Datenschutzerklärung

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem ChargyX-Angebot ist:

EnduranceX UG (haftungsbeschränkt)
Bischof-Manfred-Müller Str. 13
93161 Sinzing
Deutschland

Vertreten durch die Geschäftsführer: Max Nebl, Johannes Ramser, Bastian Aunkofer
Telefon: +49 162 8122973
E-Mail: info@endurance-x.de
Registergericht: Amtsgericht Regensburg
Registernummer: HRB 22251

Ein Datenschutzbeauftragter ist nicht bestellt. Datenschutzanfragen können an info@endurance-x.de gerichtet werden.

2. Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt für alle Datenverarbeitungen im Zusammenhang mit ChargyX. Dazu gehören insbesondere:

  • unsere Website und Web-App,
  • der QR-Code-basierte Mietprozess,
  • die Anmeldung und Verifizierung per E-Mail oder SMS,
  • die Zahlungsabwicklung über Stripe,
  • die Nutzung von ChargyX-Stationen und Kiosks,
  • die Rückgabe von Powerbanks an ChargyX-Stationen,
  • das Kundenkonto, soweit ein Konto angelegt wird,
  • Support-, Kontakt- und Partneranfragen,
  • technische Betriebs-, Sicherheits- und Fehlerprotokolle.

3. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb des ChargyX-Angebots, die Durchführung der Miete, die Zahlungsabwicklung, die Sicherheit des Systems, die Kommunikation mit Nutzern oder die Erfüllung gesetzlicher Pflichten erforderlich ist.

Wir verarbeiten insbesondere keine Daten zu Werbe-Tracking oder Profiling, soweit dies in der jeweils eingesetzten Produktversion nicht ausdrücklich gesondert beschrieben und, falls erforderlich, von den Nutzern erlaubt wurde.

4. Rechtsgrundlagen

Je nach Verarbeitung stützen wir uns insbesondere auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Anbahnung, Durchführung und Abwicklung des Mietvertrags, einschließlich Verifizierung, Zahlungsautorisierung, Ausgabe, Rückgabe, Abrechnung und Mietverlauf.
  • Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung gesetzlicher Pflichten, insbesondere handels-, steuer- und buchhalterischer Aufbewahrungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung zur Wahrung berechtigter Interessen, insbesondere IT-Sicherheit, Missbrauchsvermeidung, Betrugsprävention, Systembetrieb, Fehleranalyse, Durchsetzung und Verteidigung von Ansprüchen sowie Betrieb der Stationen.
  • Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung auf Grundlage einer Einwilligung, insbesondere soweit Nutzer freiwillig eine Zahlungsart für spätere Nutzungen speichern lassen oder andere optionale Funktionen verwenden.
  • § 25 Abs. 2 TDDDG: Speicherung oder Zugriff auf Informationen im Endgerät, soweit dies für die Bereitstellung eines ausdrücklich gewünschten Dienstes technisch erforderlich ist, insbesondere Session-, Sicherheits- und Zahlungsprozessdaten. Soweit nicht erforderliche Technologien eingesetzt werden, holen wir vorher eine Einwilligung ein.

5. Daten beim Aufruf der Website und Web-App

Beim Aufruf unserer Website oder Web-App werden technisch erforderliche Daten verarbeitet, damit die Website ausgeliefert und sicher betrieben werden kann. Dazu können gehören:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene URL,
  • Referrer-URL,
  • Browsertyp und Browserversion,
  • Betriebssystem,
  • Geräteinformationen,
  • technische Fehler- und Sicherheitsinformationen.

Die Verarbeitung erfolgt zur Bereitstellung der Website, zur Absicherung gegen Angriffe und zur Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Soweit der Websiteaufruf zur Durchführung eines Mietvorgangs erforderlich ist, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Hosting / Infrastruktur: Das Hosting erfolgt über die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Domains, DNS, E-Mail- und SSL-/Kommunikationsinfrastruktur können über die netcup GmbH, Emmy-Noether-Str. 10, 76131 Karlsruhe, Deutschland, betrieben werden. Backend, Datenbanken, Redis, Reverse-Proxy-Komponenten und technische Protokolldaten werden im Rahmen dieser Infrastruktur verarbeitet.

6. Registrierung, Login und Verifizierung per OTP

Für die Nutzung bestimmter Funktionen, insbesondere das Starten einer Miete über die Web-App, muss eine E-Mail-Adresse oder Telefonnummer verifiziert werden. Hierzu senden wir einen Einmalcode per E-Mail oder SMS.

Verarbeitet werden dabei insbesondere:

  • E-Mail-Adresse oder Telefonnummer,
  • Einmalcode bzw. technische Prüfdaten zum Einmalcode,
  • Verifizierungsstatus,
  • Challenge-/Session-ID,
  • IP-Adresse,
  • Zeitstempel,
  • Fehlversuche und Rate-Limit-Daten.

Der Zweck ist die sichere Verifizierung, Missbrauchsvermeidung und Zuordnung von Mietvorgängen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für mietbezogene Verifizierung und Art. 6 Abs. 1 lit. f DSGVO für Missbrauchs- und Angriffsschutz.

Für den Versand von E-Mails nutzen wir derzeit Zoho ZeptoMail. Dabei werden Empfängeradresse, Inhalt der Transaktionsmail und technische Versandinformationen verarbeitet. Für den Versand von SMS nutzen wir derzeit seven.io. Dabei werden insbesondere Telefonnummer, SMS-Inhalt und technische Versandinformationen verarbeitet.

7. Session, Cookies und lokale Speicherung

Wir verwenden technisch erforderliche Cookies und lokale Speichermechanismen, um Login-Status, Session, CSRF-Schutz und den Mietprozess bereitzustellen.

Dazu gehören insbesondere:

  • Session-Cookie,
  • CSRF-/Sicherheits-Cookie,
  • temporäre Daten des Mietprozesses,
  • temporäre Zahlungsprozessdaten, z. B. SetupIntent-Referenzen,
  • technisch erforderliche Daten in sessionStorage oder vergleichbaren Browser-Speichern.

Diese Daten sind erforderlich, um den gewünschten Dienst bereitzustellen und den Mietprozess sicher durchzuführen. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 TDDDG.

Wir setzen nach aktuellem Stand keine nicht erforderlichen Tracking-Cookies für Werbung oder Nutzerprofiling ein.

8. Mietvorgang über Web-App oder Kiosk

Bei einem Mietvorgang verarbeiten wir die Daten, die für die Ausgabe, Nutzung, Rückgabe und Abrechnung einer Powerbank erforderlich sind.

Dazu gehören insbesondere:

  • Nutzer-ID oder Gastkennung,
  • E-Mail-Adresse oder Telefonnummer,
  • Station, an der die Powerbank ausgegeben wird,
  • Rückgabestation,
  • Slot-/Fachnummer,
  • Powerbank-ID,
  • Startzeit, Rückgabezeit und Abschlusszeit,
  • Mietstatus,
  • Abrechnungsdaten,
  • genutzte Guthabenminuten,
  • Zahlungs- und Stripe-Referenzen,
  • technische Fehler- oder Supportinformationen.

Der Zweck ist die Durchführung des Mietvertrags, die Zuordnung der ausgegebenen Powerbank, die Rückgabeerkennung, die Abrechnung und die Bearbeitung von Problemen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für Sicherheits-, Nachweis- und Missbrauchszwecke stützen wir uns zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO.

9. Zahlungsabwicklung über Stripe

Wir nutzen Stripe zur Zahlungsabwicklung, zur Autorisierung des Sicherungsbetrags, zur Erfassung der tatsächlichen Nutzungsgebühr, zur Aufhebung nicht benötigter Autorisierungen und zur Verarbeitung von Kartenzahlungen am Kiosk/Terminal.

Je nach Zahlungsweg können verarbeitet werden:

  • Name, E-Mail-Adresse oder Telefonnummer, soweit an Stripe übermittelt,
  • Stripe Customer ID,
  • SetupIntent-, PaymentIntent- und PaymentMethod-IDs,
  • Zahlungsstatus,
  • Zahlungsbetrag, Währung und Autorisierungsbetrag,
  • Miet- und Stationsreferenzen als Zahlungsmetadaten,
  • Kartendaten, Wallet-Daten oder vergleichbare Zahlungsinstrumentdaten direkt durch Stripe.

Wir speichern keine vollständigen Kartennummern und keine vollständigen Zahlungsinstrumentdaten auf unseren Servern. Diese Daten werden direkt durch Stripe bzw. die Stripe SDKs und Stripe Terminal verarbeitet. Wir erhalten von Stripe insbesondere Referenzen, Statusinformationen und technische Bestätigungen.

Bei Web-Mieten kann eine Zahlungsart für spätere Nutzungen gespeichert werden, wenn der Nutzer dies auswählt oder eine entsprechende Funktion nutzt. Die Entscheidung wird protokolliert. Nicht benötigte oder nicht gewünschte Zahlungsarten werden nach den technischen Möglichkeiten wieder entfernt oder nicht weiterverwendet.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Zahlungsabwicklung und Mietvertrag, Art. 6 Abs. 1 lit. f DSGVO für Betrugsprävention, Zahlungsnachweis und Fehlerbearbeitung sowie Art. 6 Abs. 1 lit. a DSGVO, soweit eine Zahlungsart freiwillig für spätere Nutzungen gespeichert wird.

Stripe kann Daten auch in Drittländern verarbeiten. Soweit erforderlich, erfolgen Übermittlungen auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln, Data Processing Agreements oder sonstiger datenschutzrechtlicher Mechanismen.

10. Stationen, Kiosks und Powerbank-Telemetrie

Unsere Stationen und Kiosks kommunizieren mit unserem Backend, damit Powerbanks ausgegeben, zurückgegeben, abgerechnet und technisch überwacht werden können.

Dabei können insbesondere verarbeitet werden:

  • interne und öffentliche Stations-ID,
  • Standort, Adresse und GPS-Koordinaten der Station,
  • Online-/Offline-Status,
  • Slots/Fächer und Verfügbarkeit,
  • Powerbank-ID,
  • Batteriestatus, Ladezustand und technische Gesundheitsdaten,
  • technische Stationsmeldungen,
  • Reader-/Terminal-Seriennummern,
  • Fehler-, Diagnose- und Sicherheitsinformationen,
  • Zeitpunkte von Ausgabe und Rückgabe.

Diese Daten sind grundsätzlich stations- und gerätebezogen. Sie können aber im Rahmen eines konkreten Mietvorgangs mit einem Nutzer verbunden sein, z. B. wenn eine bestimmte Powerbank an einen Nutzer ausgegeben und später zurückgegeben wird.

Zwecke sind Betrieb der Stationen, Verfügbarkeitsermittlung, Ausgabe und Rückgabe, Abrechnung, Fehleranalyse, Wartung und Missbrauchsvermeidung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

11. Kundenkonto und Mietverlauf

Wenn ein Nutzer ein Konto erstellt oder sich erneut mit derselben verifizierten E-Mail-Adresse oder Telefonnummer anmeldet, können Mietverläufe und Kontoinformationen angezeigt werden.

Verarbeitet werden insbesondere:

  • Konto-ID,
  • verifizierte E-Mail-Adresse oder Telefonnummer,
  • Kontostatus,
  • Mietvorgänge,
  • Zahlungs- und Abrechnungsstatus,
  • Guthabenminuten,
  • Einwilligungen und Versionen akzeptierter Rechtstexte.

Zwecke sind Bereitstellung des Kundenkontos, Anzeige des Mietverlaufs, Support, Nachweis von Vertragsabschlüssen und Abrechnung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.

12. Kontakt-, Support- und Partneranfragen

Wenn Nutzer oder Interessenten uns kontaktieren, verarbeiten wir die angegebenen Daten zur Bearbeitung der Anfrage.

Dazu können gehören:

  • Name,
  • E-Mail-Adresse,
  • Telefonnummer, sofern angegeben,
  • Inhalt der Anfrage,
  • Anfragekategorie,
  • IP-Adresse und technische Sicherheitsdaten,
  • Kommunikationsverlauf.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage mit einem Vertrag oder vorvertraglichen Maßnahmen zusammenhängt, und Art. 6 Abs. 1 lit. f DSGVO für allgemeine Kommunikation, Support und Nachweiszwecke.

13. Cloudflare Turnstile

Zum Schutz vor automatisierten Anfragen, Spam und Missbrauch setzen wir Cloudflare Turnstile ein. Turnstile hilft dabei, menschliche Nutzer von Bots zu unterscheiden und sicherheitskritische Formulare zu schützen, insbesondere OTP- und Kontaktformulare.

Dabei können insbesondere verarbeitet werden:

  • IP-Adresse,
  • Browser- und Geräteinformationen,
  • Interaktions- und Prüfwerte,
  • Turnstile-Token,
  • Zeitstempel,
  • technische Sicherheitsdaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherung unseres Angebots, dem Schutz vor Missbrauch, der Verhinderung automatisierter Angriffe und dem Schutz der Nutzerkonten und Zahlungsprozesse. Soweit ein Zugriff auf Informationen im Endgerät für die konkrete Sicherheitsprüfung erforderlich ist, stützen wir uns auf § 25 Abs. 2 TDDDG.

Cloudflare kann Daten auch in Drittländern verarbeiten. Soweit erforderlich, erfolgen Übermittlungen auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln, Data Processing Agreements oder sonstiger datenschutzrechtlicher Mechanismen.

14. Kartenanzeige, OpenStreetMap und Google Maps

Zur Anzeige von ChargyX-Stationen können wir Kartendienste nutzen. In der Web-App werden Kartendaten und Kacheln von OpenStreetMap bzw. OpenStreetMap-nahen Diensten geladen. Beim Laden der Karte können Browserdaten, IP-Adresse, Geräteinformationen, Kartenausschnitt und technische Abrufdaten an den jeweiligen Kartenanbieter übertragen werden.

Wenn Nutzer auf einen Link zu Google Maps oder eine Navigationsfunktion klicken, wird Google Maps in einem neuen Kontext geöffnet. Ab diesem Zeitpunkt gelten zusätzlich die Datenschutzbestimmungen von Google.

Die Rechtsgrundlage für die Anzeige der Stationskarte ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, Nutzern verfügbare Stationen anzuzeigen und die Rückgabe oder Ausleihe zu erleichtern. Soweit die Karte unmittelbar für den Mietvorgang erforderlich ist, kommt zusätzlich Art. 6 Abs. 1 lit. b DSGVO in Betracht.

15. Protokolle, Sicherheit und Fehleranalyse

Zur Sicherstellung des Betriebs, zur Fehleranalyse, zur Abwehr von Angriffen und zur Klärung von Supportfällen verarbeiten wir technische Protokolldaten.

Dazu können gehören:

  • IP-Adressen,
  • Zeitstempel,
  • technische Request-Daten,
  • Fehlercodes und Stacktraces,
  • Stations- und Powerbank-IDs,
  • Zahlungsreferenzen und Statusinformationen,
  • E-Mail- oder SMS-Empfänger in Versandprotokollen,
  • technische Kiosk- und Terminalereignisse.

Wir verwenden Protokolldaten nicht für Werbeprofiling. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit, Stabilität, Wartbarkeit und Nachvollziehbarkeit des Systems sowie in der Bearbeitung von Fehlern und Missbrauchsfällen.

16. Empfänger und Dienstleister

Wir können personenbezogene Daten an Dienstleister und technische Empfänger übermitteln, soweit dies für die genannten Zwecke erforderlich ist. Dazu gehören insbesondere:

Empfänger / DienstleisterZweck
StripeZahlungsabwicklung, Zahlungsautorisierung, Kartenzahlungen, Zahlungsreferenzen
Cloudflare TurnstileBot- und Missbrauchsschutz
Zoho ZeptoMailVersand von Transaktions-E-Mails und OTP-Codes
seven.ioVersand von OTP-SMS
Hetzner Online GmbHHosting- und Server-Infrastruktur, Backend, Datenbanken, Redis, technische Logs
netcup GmbHDomain-, DNS-, E-Mail-, SSL- und Kommunikationsinfrastruktur
OpenStreetMap / KartenkachelanbieterAnzeige von Stationskarten
Google MapsNavigation und Kartendarstellung nach Klick durch den Nutzer
GitHub / Container Registry [falls produktiv relevant]Deployment und technische Infrastruktur ohne unmittelbare Nutzerverarbeitung

Mit Auftragsverarbeitern schließen wir, soweit erforderlich, Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO. Soweit Anbieter als eigene Verantwortliche auftreten, informieren wir entsprechend und verweisen auf deren eigene Datenschutzhinweise.

17. Drittlandübermittlungen

Einige Dienstleister können personenbezogene Daten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeiten. Dies betrifft insbesondere international tätige Anbieter wie Stripe, Cloudflare, Zoho oder Google.

Soweit eine Drittlandübermittlung stattfindet, erfolgt sie nur, wenn hierfür eine datenschutzrechtliche Grundlage besteht, insbesondere:

  • Angemessenheitsbeschluss der EU-Kommission,
  • EU-US Data Privacy Framework, soweit anwendbar,
  • Standardvertragsklauseln der EU-Kommission,
  • zusätzliche technische und organisatorische Maßnahmen,
  • oder eine gesetzliche Ausnahme.

18. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Geplante bzw. vorgesehene Speicherdauern:

DatenkategorieSpeicherdauer
OTP-Challenges und EinmalcodesKurzfristig, nur für die Gültigkeitsdauer des Codes bzw. bis zur erfolgreichen Verifikation oder bis zum Ablauf der Gültigkeit
Rate-Limit- und MissbrauchsschutzdatenKurzfristig, solange dies zur Missbrauchsprävention und Systemsicherheit erforderlich ist
Gastnutzer ohne offene MieteNach technischer Logik regelmäßig Löschung nach ca. 48 Stunden, sofern keine aktive/offene Miete besteht
SessionsBis zum Ablauf der jeweiligen Session bzw. Remember-me-Frist; lokale Browserdaten bleiben bis zum Logout, Ablauf oder Löschen durch den Nutzer gespeichert
Miet- und AbrechnungsdatenFür die Dauer der Vertragsabwicklung und anschließend nach handels- und steuerrechtlichen Pflichten, regelmäßig 6 bis 10 Jahre bzw. nach aktueller Rechtslage teils 8 Jahre für bestimmte Buchungsbelege
ZahlungsreferenzenFür Abrechnung, Nachweis, Support und gesetzliche Pflichten; regelmäßig entsprechend den Miet- und Abrechnungsdaten
Einwilligungs- und NachweisdatenSolange der Nachweis erforderlich ist, regelmäßig für die Dauer möglicher Ansprüche und gesetzlicher Nachweispflichten
Support- und KontaktanfragenBis zur abschließenden Bearbeitung und anschließend nur, soweit gesetzliche Aufbewahrungspflichten oder berechtigte Nachweisinteressen bestehen
Server- und SicherheitslogsServer-Logfiles werden täglich rotiert; es werden maximal 14 Protokolldateien vorgehalten, sodass die Speicherdauer der Roh-Logdaten regelmäßig bis zu 14 Tage beträgt. Eine längere Speicherung erfolgt nur im Einzelfall zur Aufklärung konkreter Sicherheits- oder Missbrauchsvorfälle
Stations- und TelemetriedatenSolange dies für Betrieb, Wartung, Fehleranalyse, Rückgabe-/Abrechnungsnachweis und Missbrauchsprävention erforderlich ist; danach Löschung oder Einschränkung, sofern keine gesetzlichen Pflichten oder berechtigten Nachweisinteressen entgegenstehen

Wenn Daten aufgrund gesetzlicher Pflichten weiter gespeichert werden müssen, wird die Verarbeitung auf diese Zwecke beschränkt.

19. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Recht auf Auskunft,
  • Recht auf Berichtigung,
  • Recht auf Löschung,
  • Recht auf Einschränkung der Verarbeitung,
  • Recht auf Datenübertragbarkeit,
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO,
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft,
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zur Ausübung dieser Rechte genügt eine Nachricht an info@endurance-x.de.

Zuständige Datenschutzaufsichtsbehörde ist voraussichtlich das Bayerische Landesamt für Datenschutzaufsicht, sofern die EnduranceX UG ihren Sitz in Bayern hat. Andernfalls ist die Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes zuständig.

20. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter Daten ist für die Nutzung des ChargyX-Angebots erforderlich. Ohne E-Mail-Adresse oder Telefonnummer kann die Web-Miete nicht verifiziert werden. Ohne Zahlungsautorisierung kann eine kostenpflichtige Miete nicht gestartet werden. Ohne Stations-, Powerbank- und Rückgabedaten kann eine Miete nicht korrekt durchgeführt und abgerechnet werden.

21. Automatisierte Entscheidungen

Eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nach aktuellem Stand nicht statt. Automatisierte Systemprozesse können jedoch technische Statusentscheidungen treffen, z. B. ob eine Station verfügbar ist, ob eine Powerbank ausgegeben wurde, ob eine Rückgabe erkannt wurde oder ob eine Zahlungsautorisierung technisch erfolgreich war.

22. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich unser Angebot, unsere Datenverarbeitung, die eingesetzten Dienstleister oder die Rechtslage ändern. Die jeweils aktuelle Fassung ist über unsere Website abrufbar.