Datenschutzerklärung

Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

CampusCar
[Name der verantwortlichen Person oder Gesellschaft ergänzen]
[Straße und Hausnummer ergänzen]
[PLZ und Ort ergänzen]
E-Mail: [datenschutz@campuscar.example ergänzen]

Hosting und technische Bereitstellung

Die Website wird über Vercel bereitgestellt. Beim Aufruf der Website können technisch notwendige Server-Logdaten verarbeitet werden, zum Beispiel IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Datei, Referrer, Browser und Betriebssystem.

Zweck ist die sichere und stabile Auslieferung der Website. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt im sicheren Betrieb der Website.

Waitlist und Mitmach-Anfragen

Wenn du dich in die Beta-Waitlist einträgst oder eine Mitmach-Anfrage abschickst, speichern wir die von dir eingegebenen Angaben:

• E-Mail-Adresse
• Hochschule oder Campus-Bezug
• Pendel-Tage pro Woche, falls im Formular abgefragt
• Kategorie der Anfrage, zum Beispiel Beta-Waitlist oder Mitmach-Anfrage
• freiwillige Nachricht, wobei du mithelfen willst
• Zeitpunkt der Eintragung
• technische Metadaten wie User-Agent und Referrer

Die Daten werden über die Vercel-API der Website an Supabase übertragen und in der Tabelle waitlist_signups gespeichert. Zweck ist die Organisation des Beta-Zugangs, Mitmach-Anfragen und die Kontaktaufnahme zu CampusCar. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Schreibe dafür an die oben genannte Kontaktadresse.

Feedback-Fragebogen

Wenn du den CampusCar-Fragebogen ausfüllst, speichern wir die von dir eingegebenen Antworten zur Konzeptvalidierung, Feature- Priorisierung, Einschätzung von Vertrauen und Sicherheitsbedarf sowie zur Go-to-Market-Planung.

• Campus-Bezug, Hochschule oder Gruppe
• freiwillige E-Mail-Adresse für Rückfragen
• Angaben zu Pendelhäufigkeit, Verkehrsmittel und Entfernung
• Einschätzungen zu Mitnahme, Mitfahren, Vertrauen und Sicherheit
• Feature-Prioritäten, Marketingkanäle und freie Hinweise
• Zeitpunkt der Absendung sowie technische Metadaten wie User-Agent und Referrer

Die Daten werden über die Vercel-API der Website an Supabase übertragen und in der Tabelle survey_responses gespeichert. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

App-Dummy auf der Marketing-Seite

Der klickbare App-Dummy unter /prototype verarbeitet Eingaben wie Demo-Posts, Filterauswahl, Theme-Wechsel oder Chat-Beispiele ausschließlich im Browser. Diese Demo-Daten werden nicht an einen Server gesendet und beim Neuladen der Seite zurückgesetzt.

CampusCar Web-App unter /app

Unter /app erreichst du eine echte Web-App, die mit einem Konto bedient wird. Sie nutzt Supabase als Backend (Auth, Datenbank, Realtime, Datei-Speicher). Supabase wird über Amazon Web Services in der Region eu-west-1 (Irland) betrieben. Rechtsgrundlage für die Vertragserfüllung mit dir als Nutzer:in ist Art. 6 Abs. 1 lit. b DSGVO; soweit zusätzliche Profilangaben freiwillig sind, beruht ihre Verarbeitung auf deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Account & Auth

• E-Mail-Adresse und ein von dir gewähltes Passwort (gespeichert als sicherer Hash)
• technische Session-Tokens, lokal im Browser unter dem Schlüssel campuscar.auth (Local Storage), zur Aufrechterhaltung der Anmeldung
• Zeitstempel von Anmeldung, Registrierung und Token-Refresh

Profil

• Anzeigename, Username, vollständiger Name (freiwillig), Studiengang, Semester, Bio
• Profilbild — gespeichert im Storage-Bucket profile-images, öffentlich abrufbar via signierter URL
• Interessen-Tags und Mitfahr-Präferenzen (Gesprächigkeit, Rauchen erlaubt, max. Umweg, max. Fußweg)
• optional Fahrzeug-Daten (Marke/Modell, Kennzeichen, Sitzanzahl) — nur falls du als Fahrer:in aktiv bist

Posts, Anfragen, Mitfahr-Angebote

• von dir erstellte Inhalte (Mensa Mate, Lerngruppe, Event-Begleitung, Anzeigen, Forum-Posts, Mitfahr-Angebote/Gesuche)
• Standortdaten, die du selbst angibst (Start- und Zieladresse als Text plus Geo-Koordinaten) — diese werden mit allen anderen authentifizierten Nutzer:innen geteilt, damit Suche und Match funktionieren
• Antworten und Anfragen anderer Nutzer:innen auf deine Posts

Chat

• Nachrichten, die du mit anderen Nutzer:innen austauschst, werden in der Datenbank gespeichert und in Echtzeit über eine WebSocket-Verbindung übertragen
• Inhalte sind nur für die Teilnehmer:innen des jeweiligen Threads und für die Datenbank-Administration sichtbar

Standort

Die App nutzt die Browser-Schnittstelle navigator.geolocation nur, wenn du den „Mein Standort"-Button aktiv betätigst. Es gibt kein dauerhaftes Tracking. Die ermittelten Koordinaten werden an den Geocoding-Dienst Nominatim (OpenStreetMap Foundation) gesendet, um eine lesbare Adresse zu ermitteln. Beim Aufruf von Karten werden Tile-Bilder von OpenStreetMap-Servern geladen; dabei wird deine IP-Adresse an die jeweiligen Anbieter übertragen.

Empfänger

• Supabase Inc., San Francisco, betreibt das Backend (Hosting in der EU, AWS eu-west-1) — Auftragsverarbeitung gemäß Art. 28 DSGVO
• Vercel Inc. liefert die Web-Inhalte aus — siehe Abschnitt „Hosting"
• Andere Nutzer:innen der App sehen dein öffentliches Profil sowie deine geteilten Posts und Mitfahr-Angebote; aus einer angenommenen Mitfahrt heraus zusätzlich Inhalte des privaten Chats
• OpenStreetMap Foundation erhält IP-Adresse und Koordinaten beim Adress-Lookup

Speicherdauer und Löschung

Account-Daten bleiben gespeichert, solange dein Account besteht. Du kannst deinen Account jederzeit über die Profil-Seite löschen („Account löschen"); Profil, Posts, Anfragen und Mitfahr-Angebote werden dann entfernt. Chat-Nachrichten bleiben für die übrigen Teilnehmer:innen sichtbar, sind aber nicht mehr deinem Profil zuordenbar. Du kannst zusätzlich jederzeit Auskunft, Berichtigung oder Löschung per E-Mail an die unten genannte Adresse verlangen.

Realtime und WebSockets

Damit Chats und Match-Status sofort aktualisiert werden, hält die App eine WebSocket-Verbindung zu Supabase. Es werden nur Daten übertragen, die durch die serverseitigen Zugriffsregeln (Row-Level-Security) für deinen Account ohnehin sichtbar sind.

Externe Inhalte

Der aktuelle Web-Auftritt lädt Schriften über Google Fonts und verlinkt auf externe Quellen, zum Beispiel die Universität Regensburg. Beim Laden externer Ressourcen können technische Zugriffsdaten an die jeweiligen Anbieter übertragen werden.

Für eine datenschutzärmere Produktionsversion sollten Schriften und weitere externe Ressourcen möglichst lokal gehostet oder durch eigene Assets ersetzt werden.

Cookies, Local Storage, Analytics und Profiling

Die Marketing-Seite setzt keine eigenen Cookies, nutzt kein Analytics-Tracking und trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO. Der CampusCar-Feed arbeitet ohne verpflichtenden Empfehlungsalgorithmus.

Die Web-App unter /app verwendet zwei Local-Storage- Einträge im Browser:

• campuscar.auth — Session-Tokens für deine Anmeldung (technisch erforderlich, Art. 6 Abs. 1 lit. b DSGVO)
• campuscar.ui — deine Theme- und Sprachwahl (technisch erforderlich für deine Auswahl, kein Tracking)

Beide Einträge werden lokal in deinem Browser gespeichert und nicht an Drittanbieter übertragen. Du kannst sie über die Browser-Einstellungen jederzeit löschen — danach musst du dich neu anmelden.

Speicherdauer

Waitlist-Daten speichern wir, solange die Beta-Organisation läuft oder bis du Löschung verlangst. Fragebogen-Antworten speichern wir, solange sie für Konzeptvalidierung, Produktentscheidungen und Auswertung benötigt werden oder bis du Löschung verlangst. Technische Server-Logs werden nur so lange gespeichert, wie es für Betrieb, Sicherheit und Fehleranalyse erforderlich ist.

Deine Rechte

Du hast nach Maßgabe der DSGVO insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf einer Einwilligung. Außerdem kannst du dich bei einer Datenschutzaufsichtsbehörde beschweren.