Datenschutzerklärung der Schutzranzen®-Fahrer-App (Version 1.2 von 23.01.2019)

1. Überblick (Kurzfassung)

Es gibt zwei Funktionalitäten in der Schutzranzen-App:

  • „Digitale Schutzweste“
  • Familienfunktion

Im Folgenden werden wir erklären, wie beide funktionieren. Um die Funktionalität zu erreichen gibt es zwei Apps: die Kinder- und die Eltern/Fahrer-App. Zudem gibt es auch einen GPS Tracker (ein kleines Handgerät), welches die Funktionalität der Kinder-App übernehmen kann, wenn kein Smartphone zur Verfügung steht. Dieses Gerät kann auch in Schulranzen eingebaut werden.

1.1 Digitale Schutzweste

Für die Digitale Schutzweste sendet die Kinder-App die eigene Position an den Server, dort werden die Positions-Daten durch Aktivierung von Sektoren verschleiert. Diese anonymisierten und verschleierten Informationen werden Autofahrern in der Fahrer-App zur Verfügung gestellt. Bei diesem Vorgang werden keine Daten der Kinder-App gespeichert.

Die Fahrer-App sendet ebenfalls die eigene Position an den Server. Bei Eintritt/Einfahrt in einen
aktivierten Sektor wird der Fahrer gewarnt.

1.2 Familienfunktion

Für die Familienfunktion müssen die Apps miteinander gekoppelt werden. Dann stehen die
Funktionen:

  • Notruf
  • Niedriger Batteriestatus
  • Senden der Nachricht „gut angekommen“ (manuell und automatisch)

zur Verfügung. Nach manueller Aktivierung des Notrufes wird die Position an die Eltern-Geräte geschickt. Beim Tracker wird Zusätzlich ein Ruf zu ihnen aufgebaut. Ein niedriger Batteriestatus wir automatisch den Eltern geschickt. Das Senden der Nachricht „gut angekommen“ kann manuell und automatisch erfolgen.

2 Details zur Funktionalität und zum Datenschutz

Im Folgenden werden wir erklären, wie beide funktionieren, welche Möglichkeiten es gibt bzw.
welche es nicht gibt und wie Daten geschützt werden.

2.1 Digitale Schutzweste

2.1.1 Kinder-App

Die Kinder-App bestimmt per GPS die Position des Kindes (oder jedes anderen Trägers eines Smartphones mit aktivierter App) und sendet diese Information verschlüsselt (SSL und AES256 end-to-end Verschlüsselung) an unseren Server. Die IP-Informationen werden sofort verworfen (gelöscht), die Standortinformationen entschlüsselt. Der Server prüft, in welchen Sektoren sich das Kind befindet und setzt den Status des Sektors auf aktiv. Ein Sektor hat einen Durchmesser von 70 m. Anschließend wird auch die GPS-Position vom Kind am Server sofort gelöscht.

Am Server bleibt jeder aktive Sektor für 3 Minuten aktiv. Durch die Aktivierung der Sektoren erreichen wir eine Anonymisierung der Daten. Es spielt hierbei keine Rolle, wie viele Kinder sich im gleichen Sektor befinden. Aktivieren mehrere Kinder den gleichen Sektor bleibt nur der Sektor länger aktiv (3 Minuten nach der letzten Aktivierung).

Die Kinder-App sendet die Position regelmäßig an unseren Server. Durch oben beschriebenes Verfahren (Löschung sämtlicher Ursprungsinformationen) wird jede ankommende Position wie eine neue Information behandelt. Das bedeutet, die Bildung eines Bewegungsprofiles ist nicht möglich.

2.1.2 Fahrer-App

Gleichermaßen funktioniert die Fahrer-App, d.h. die App bestimmt per GPS die Position des Fahrzeugs (oder jedes anderen Trägers eines Smartphones mit aktivierter App) und sendet die Information verschlüsselt (SSL und end-to-end Verschlüsselung) an unseren Server. Am Server wird geprüft, welche aktiven Sektoren sich im Umkreis von 1,5 km um das Fahrzeug befinden und schickt eine Liste der aktiven Sektoren zurück an die Fahrer-App (SSL und AES256 ent-to-end verschlüsselt). Nach erfolgter Antwort werden sämtliche Daten vom Fahrzeug am Server sofort gelöscht (IP-Adresse und GPS-Koordinaten).

Die Fahrer-App hat nun die Information über aktivierte Sektoren in der Umgebung des Fahrzeugs, zeigt diese aber nicht an. Erst wenn das Fahrzeug in einen aktiven Sektor einfährt, wird die Information/Warnung „Kind(er) in der Umgebung“ angezeigt bzw. akustisch wiedergegeben. Die Information über sonstige aktivierte Sektoren in der Umgebung kann in der App nicht ausgelesen werden. Bewegt sich das Fahrzeug nicht, werden auch keine weiteren Anfragen nach Aktiven Sektoren an unseren Server geschickt, und auch keine anderen aktivierten Sektoren angezeigt.

Durch oben beschriebenes Verfahren (Löschung sämtlicher Ursprungsinformationen nach Abfrage aktiver Sektoren) wird jede ankommende Position wie eine neue Information behandelt. Das bedeutet, die Bildung eines Bewegungsprofiles ist nicht möglich. Auch kann aus der Fahrer-App kein Bewegungsprofil eines Kindes ausgelesen werden.

Zusätzlich enthält die Fahrer-App eine Liste der Schulen in einem Umkreis von mehreren Km. Es wird eine Warnung signalisiert, wenn sich das Smartphone mit der Fahrer-App in einem Umkreis von 250m einer Schule befindet. Die Warnung unterscheidet sich von der Warnung nach Kindern.

Hinweis:

Beide Apps (Kinder-und Fahrer-App) können aus den jeweiligen App-Stores heruntergeladen werden. Sie benötigen keine zusätzliche Anmeldung (Namen, Accounts oder ähnliches) bei der Installation bzw. Inbetriebnahme. D.h. die Verwendung der App erfolgt pseudonymisiert. Es gibt die Position und die IP-Adresse bei jeder Server-Meldung, jedoch auf völlig unterschiedlichen Software-Ebenen. Durch umgehende Löschung dieser Informationen ist keine Profilbildung möglich. Deaktivierung der Ortungsdienste oder Ausschalten des Smartphones beendet die Nutzbarkeit der App. Rückschlüsse auf ein Kind oder Kinder ist aufgrund der Sektoren durch die Fahrer-App nicht möglich. Da die Sektoren zuvor durch uns definiert wurden, ist die Position eines Kindes im Sektor nicht definierbar (der Sektor des Kindes wird nicht erst durch einen Kreis gebildet, in dessen Mittelpunkt sich das Kind befindet).

Anstelle der Kinder-App können auch sogenannte „Tracker“ verwendet werden. Bei Trackern handelt es sich um IoT-Geräte mit eingebauter SIM-Karte. Genauso wie die Kinder-App, sendet der Tracker regelmäßig seine GPS-Position an unseren Server und aktiviert so Sektoren.

2.1.3 Sektoren-Prinzip

Die Folgenden Grafiken sollen das Sektoren-Prinzip verdeutlichen.

sektoren01.png
Abbildung 1: Kinder in den Sektoren
Die Positionen werden an den Server geschickt und Sektoren werden aktiviert.
sektoren02.png
Abbildung 2: Aktivierte Sektoren

Eine Anforderung der Sektoren durch die Fahrer-App kommt.

sektoren03.png

Abbildung 3: Anfrage aktivierter Sektoren durch die Fahrer-App

Die Fahrer-App bekommt die aktivierten Sektoren

sektoren04.png
Abbildung 4: Antwort aktivierter Sektoren an die Fahrer-App (nicht sichtbar)

Der Fahrer bekommt eine Warnung, wenn er in einen aktivierten Sektor eintritt (einfährt).

sektoren05.png

Abbildung 5: Warnung bei Eintritt (Einfahrt) in einen aktivierten Sekto

2.2 Familienfunktion

Die Familienfunktion kann durch Koppelung der Kinder-App mit der Eltern-/Fahrer-App erreicht
werden. In der Familienfunktion sind folgende Funktionen möglich

  • Notruf
  • Senden der Nachricht „gut angekommen“
  • Niedriger Batteriestatus
  • Automatische Nachricht „gut angekommen“
Für die Koppelung der Apps ist das gegenseitige Scannen eines QR-Codes mit Hilfe der Kamera nötig (hierfür muss die Kinder-App kurzzeitig Zugriff auf die Kamera bekommen). In jeder App können bis zu 5 Kinder bzw. Eltern gespeichert werden. Hier ist es möglich zu den gekoppelten Apps Namen und Telefonnummern einzugeben.

Die Kopplung zwischen den Apps verwendet die Betriebssystem-spezifischen IDs der Apps, und sogenannte Push-Message Dienste, genauer Google Cloud Messaging und Apple Push Notification Service, um Mitteilungen zwischen Kinder- und Eltern-/Fahrer-App zu senden. Hierfür ist es notwendig, dass entsprechende Dienste aktiviert sind, und die entsprechende Datenschutzregelungen akzeptiert sind. Die Push-Messages müssen über den CooDriver Server geleitet werden.

Ebenfalls ist es möglich die Familien-Funktion mit Hilfe eines Trackers zu verwenden. Der Tracker ersetzt die Kinder-App. Die Koppelung mit der Eltern-/Fahrer-App erfolgt durch scannen des mitgelieferten QR-Codes. Für die umgekehrte Koppelung werden SMS-Steuerbefehle an den Tracker geschickt. Es können bis zu drei Eltern-Geräte mit einem Tracker gekoppelt werden. Die übrigen Funktionen sind so, wie oben beschrieben.

2.2.1 Manuelle Aktionen

Folgende Aktionen werden vom Kind aktiv ausgelöst:

  • Notruf
  • Senden der Nachricht „gut angekommen“

Beim Notruf wird die aktuelle GPS-Position des Kindes per Push-Message an die gekoppelten Eltern-Geräte geschickt (alle gekoppelten Geräte). Außerdem wird vom Tracker ein Anruf aufgebaut zum ersten gespeicherten Eltern-Gerät. Nur wenn dieses nicht erreichbar ist bzw.
niemand abhebt (Mailboxen sind hier kontraproduktiv), wird der Ruf zum nächsten gekoppelten Gerät aufgebaut usw. Bei Verwendung der Kinder-App können die Eltern umgehend einen Telefonanruf zu der vom Kind gespeicherten Nummer aufbauen.

Beim Senden der Nachricht „gut angekommen“ wird diese per Push-Message an alle gekoppelten Geräte verschickt. Diese Nachricht enthält die Position der Kinder-App.

In beiden Fällen wird die Position in der Eltern-App maximal 24 Stunden lang als letzte bekannte Position angezeigt. Danach wird sie gelöscht.

2.2.2 Automatische Aktionen

Folgende Aktionen werden automatisch ausgelöst:

  • Niedriger Batteriestatus
  • Automatische Nachricht „gut angekommen“ (nur wenn aktiviert)

Ist der Batteriestatus des Smartphones mit der Kinder-App niedrig, so wird diese Information per Push-Message an alle gekoppelten Geräte verschickt.

Zusätzlich gibt es eine automatische „Gut angekommen"-Funktionalität. Hierzu werden sogenannte Geo-Fences benutzt. Das sind Orte, die durch GPS-Position gespeichert werden und bestimmte Aktionen auslösen.

In der Eltern-/Fahrer-App können Eltern für jede gekoppelte Kinder-App maximal 10 Geo-Fences einrichten. Bei der Einrichtung eines Geo-Fence wird eine Push-Message an die Kinder-App geschickt, die das Zentrum, den Radius und einen Namen des Geo-Fence beinhaltet. Wenn die Kinder-App die Push-Message empfängt, wird das Zentrum und der Radius benutzt, um einen Geo-Fence in dem Betriebssystem API zu setzen, und die Push-Message gelöscht. Die Benachrichtigung „Gut angekommen“ wird in dem Fall ausgelöst, wenn die Kinder-App den Geo-Fence betritt.

Dies macht man üblicherweise für Schule, Tagesstätte, Mittagsbetreuung o.ä. Es ist möglich bis zu 10 Geo-Fences einzurichten. Erreicht das Kind einen eingerichteten Ort, so wird die Meldung „gut angekommen“ mit der Angabe des Namens der Geo-Fence automatisch per Push-Message an alle gekoppelten Geräte verschickt.

Ist die Batterie leer, das Gerät ausgeschaltet oder sind Ortungsdienste deaktiviert, so werden keine Nachrichten verschickt bzw. ist diese Funktion nicht nutzbar.

Diese App wurde entwickelt für Personen, die mehr Nutzen in dem guten Gefühl haben, dass ihre Kinder gut angekommen sind, als sie mit einem „aber melde dich auch ja, wenn du gut angekommen bist“ nerven zu müssen.

3 Informationen für App-Nutzer

bezüglich der Verarbeitung personenbezogener Daten nach Art. 13 Datenschutz-Grundverordnung

3.1 Verantwortlicher

Verantwortlich für die Verarbeitung von personenbezogenen Daten ist:

    Coodriver GmbH, vertreten durch den Geschäftsführer Walter Hildebrandt
    Major-Hirst-Str.11
    38442 Wolfsburg

3.2 Datenschutzbeauftragter

Wir haben zum Datenschutzbeauftragten bestellt:

    Verimax GmbH
    Warndtstr. 115, 66127 Saarbrücken
    Ausführende Person: Michael Schlagintweit
    E-Mail:    michael.schlagintweit.ext@verimax.de

3.3 Zwecke der Verarbeitung und Rechtsgrundlage

Die personenbezogenen Daten werden für die Bereitstellung der Schutzranzen-App verarbeitet. Details entnehmen Sie bitte dem Datenschutzkonzept oben.

Die Nutzung unserer App sehen wir als Vertragserfüllung. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 Buchst. b Datenschutz-Grundverordnung.

3.4 Datenarten und betroffene Personen

Diese personenbezogenen Daten werden verarbeitet:

  • IP-Adresse
  • Standortinformation

Nach Ihrer Eingabe/Freigabe in der App:

  • Telefonnummer
  • Selbstgewählte Bezeichnungen oder Namen
  • Batteriestatus

Das sind die betroffenen Personen:

  • App-Nutzer
  • Telefonnummerninhaber

3.5 Verarbeitung bei berechtigtem Interesse

Die berechtigten Interessen sind Es findet keine Verarbeitung aus berechtigtem Interesse statt.

3.6 Empfänger

Es werden keine personenbezogenen Daten an andere weitergegeben.

Die übermittelten Sektoren sind anonym.

3.7 Drittland

Bei einem IP-Paket kann nicht gewährleistet werden, dass die Daten innerhalb der EU bleiben. Durch die Funktionsweise des Internets ist es ggf. technisch möglich, dass ein IP-Paket auf dem Weg von Ihnen zu uns oder auf dem Rückweg über einen Server in einem unsicheren Drittland geleitet wird. Dies lässt sich auch nicht verhindern.

3.8 Dauer der Speicherung

Die IP-Adresse wird sofort gelöscht, die Standortinformation nach 3 Minuten.

Die Dauer der Speicherung der Daten in der App bestimmen Sie selbst.

3.9 Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit

Sie haben ein Recht auf Auskunft über Ihre bei uns gespeicherten Daten. Bitte bedenken Sie, dass wir Ihren Namen nicht erfassen und deshalb andere Angaben benötigen um Sie zu identifizieren, d.h. IP-Adresse, Standort oder die bei der Kopplung verwendete Telefonnummer. Ebenso haben Sie ein Recht auf Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit. Wenden Sie
sich bitte an o.g. Kontaktdaten.

Bitte prüfen Sie, ob Sie eine Berichtigung o.ä. nicht in Ihrer App vornehmen können – wir haben keinen Fernzugriff auf unsere Apps. Für eine Löschung von Daten deinstallieren Sie einfach die Schutzranzen-App. (Sie können die App auch unmittelbar danach wieder installieren.)

3.10 Einwilligung

Wir machen keine Werbung, deshalb benötigen wir auch keine Einwilligungen. Ebenso erstellen wir keine Persönlichkeitsprofile.

3.11 Beschwerderecht

Wenn Sie unzufrieden sind, so teilen Sie uns dies bitte unter den oben genannten Kontaktdaten mit. Danke!

Für Probleme mit der Datenverarbeitung können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden (Kontaktdaten siehe oben).

Grundsätzlich haben Sie auch das Recht sich über die Verarbeitung Ihrer Daten bei einer Aufsichtsbehörde zu beschweren. Dies können Sie bei einer für Ihren Wohnort zuständigen Aufsichtsbehörde oder der für uns zuständigen Aufsichtsbehörde tun:

    Die Landesbeauftragte für den Datenschutz Niedersachsen
    Postfach 221, 30002 Hannover
    Internet:      www.lfd.niedersachsen.de

3.12 Bereitstellung Ihrer Daten

Die Schutzranzen-App funktioniert nur mit den oben genannten Daten. Wenn Sie Datenübertragung oder Ortungsdienste in Ihrem Gerät ausschalten, wird die App nicht mehr funktionieren.

3.13 Automatisierte Entscheidung

Es findet keine automatisierte Entscheidung statt, die Ihnen gegenüber rechtliche Wirkung entfaltet.

3.14 Änderung und Zugang zur Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu ändern, soweit dies aus triftigen Gründen, insbesondere aufgrund einer geänderten Rechtslage oder höchstrichterlichen Rechtsprechung, technischer Änderungen oder Weiterentwicklungen, neuer organisatorischer Anforderungen des Massenverkehrs, Regelungslücken in den AGB, Veränderung der Marktgegebenheiten oder anderen gleichwertigen Gründen erforderlich ist und den Kunden nicht unangemessen benachteiligt. Änderungen der Datenschutzerklärung werden dem Kunden mindestens sechs Wochen vor ihrem Inkrafttreten beim Aufruf der App durch ein Pop up-Fenster mitgeteilt. Die Änderungen werden wirksam, wenn der Kunde nicht innerhalb dieser Frist von sechs Wochen (beginnend nach Zugang der schriftlichen Änderungsmitteilung) schriftlich an die Coodriver GmbH, Major-Hirst-Str. 11, 38442 Wolfsburg oder per E-Mail an support@schutzranzen.de widerspricht und wir den Kunden auf diese Rechtsfolge in der Änderungsmitteilung hingewiesen haben.