Datenschutz

Was wir mit deinen Daten machen — und was nicht

Stand: Mai 2026. Baan.fail ist Beta — diese Erklärung wird mit dem System weiterentwickelt.

In drei Sätzen

Baan.fail speichert nur, was es zur Funktion braucht. Keine Werbe-Tracker, keine Cookies ohne Einwilligung, keine personenbezogenen Daten an Dritte weitergegeben. Anonyme Verspätungs-Meldungen sind möglich — eine Anmeldung ist optional und nutzt ausschließlich deine E-Mail-Adresse für einen Magic-Link.

Verantwortlicher

Michael Mollath
Grasweg 6
24161 Altenholz
Deutschland
E-Mail: baan@mollath.com

Welche Daten erheben wir?

1. Verspätungs-Meldungen

Bei jeder Meldung speichern wir: Zug-ID, Verspätungsminuten, Mängel-Tags, optionale Freitext-Kommentare (Zugdurchsage, Reise-Realität), optional Geo-Koordinaten, Zeitpunkt der Meldung. Bei anonymen Meldungen ohne Anmeldung wird kein User-Bezug gespeichert. Bei eingeloggten Nutzerinnen wird die User-ID verknüpft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Crowdsourcing-Datenset zur Bahn-Pünktlichkeit).

Speicherdauer: Bis auf Widerruf. Eingeloggte Nutzer können ihre Meldungen jederzeit löschen. Anonyme Meldungen sind ohne User-Bezug und können nicht rückwirkend zugeordnet werden.

2. Pendler-Account (optional)

Bei Anmeldung speichern wir deine E-Mail-Adresse, ein selbstgewähltes Pseudonym und (falls vergeben) deine Stammzüge. Login funktioniert per Magic-Link — wir senden dir einen einmaligen Login-Link per E-Mail, kein Passwort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis Account-Löschung durch dich. E-Mail an baan@mollath.com genügt — wir bestätigen die Löschung innerhalb von sieben Tagen.

3. Push-Benachrichtigungen (optional)

Wenn du Push-Benachrichtigungen aktivierst, speichern wir den vom Browser gelieferten Push-Subscription-Endpoint (verschlüsselt). Wir senden Pushes ausschließlich, wenn ein Stammzug von anderen Nutzern als verspätet gemeldet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — du musst aktiv zustimmen).

4. Geo-Koordinaten

Optional — wenn du dem Browser-Standort-Prompt zustimmst — speichern wir bei einer Meldung deine ungefähre Position als Plausibilitätscheck (Punkt liegt auf der Strecke?). Eine Ablehnung des Prompts ist jederzeit möglich; die manuelle Bahnhofssuche funktioniert genauso.

5. IP-Adresse und Browser-Daten

Aus technischer Notwendigkeit verarbeitet unser Hoster (Vercel) deine IP-Adresse beim Seitenaufruf. Diese wird nicht von Baan.fail selbst gespeichert. Cloudflare Turnstile (Bot-Schutz) sieht die IP einmalig zur Verifikation, speichert sie aber nicht. Server- Logs des Hosters werden gemäß dessen Standard-Policy nach kurzer Zeit gelöscht.

Welche externen Dienste setzen wir ein?

Hosting (Vercel)

Baan.fail läuft auf Vercel, EU-Region (Frankfurt). Vercel verarbeitet IP-Adressen für den technischen Betrieb (Auftragsverarbeitung gemäß Art. 28 DSGVO). Mehr unter vercel.com/legal/privacy-policy.

Datenbank (Supabase)

Reports, Pseudonyme und Stammzüge werden in einer PostgreSQL-Datenbank bei Supabase gespeichert (EU-Region). Auftragsverarbeitung gemäß Art. 28 DSGVO.

Bahn-Daten (db-vendo-client)

Aktuelle Fahrplandaten holen wir von der öffentlichen Schnittstelle v6.db.transport.rest (Open-Source-Wrapper um die DB-Vendo-API). Es werden ausschließlich Bahnhofs- und Zug-Suchanfragen weitergegeben, keine personenbezogenen Daten.

Analytics (Plausible)

Wir nutzen Plausible Analytics zur anonymen Reichweitenmessung (Seitenaufrufe pro Seite, Browser-Typ, ungefähres Land — keine User-Profile, keine Cookies, keine IP-Speicherung). Plausible ist EU-gehostet und DSGVO-konform.

Bot-Schutz (Cloudflare Turnstile)

Bei anonymen Meldungen prüft Cloudflare Turnstile, dass keine automatisierten Bots schreiben. Turnstile ist ein Captcha-Ersatz ohne Tracking-Cookies. Cloudflare ist US-amerikanischer Anbieter (Standardvertragsklauseln greifen).

Fehler-Monitoring (Sentry)

Technische Fehler werden zur Behebung an Sentry übermittelt (Stack-Trace, betroffener Endpoint, Fehlertyp). Personenbezogene Daten aus Meldungen werden nicht weitergegeben.

Cookies

Baan.fail setzt nur funktional notwendige Cookies, keine Tracking- oder Werbe-Cookies und kein Cookie-Banner. Konkret:

Session-Cookie (Auth.js) — nur bei eingeloggten Nutzern, hält die Anmelde-Session aufrecht.
bm_intro_seen— speichert "1" für 365 Tage, sobald du das Erstbesucher-Intro geschlossen hast. Ohne dieses Cookie würde das Intro-Modal bei jedem Besuch erneut aufgehen.
bm_beta_access— speichert "1" für 90 Tage nach Einlösung eines Beta-Invite-Codes auf /login. Nur aktiv während der Beta-Phase.

Alle drei Cookies enthalten keine personenbezogenen Daten, sind nicht von Dritten auslesbar und werden nicht an externe Dienste übermittelt.

Deine Rechte

Du hast nach DSGVO jederzeit das Recht auf:

Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung deiner Daten (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Beschwerde bei der zuständigen Aufsichtsbehörde — für uns das ULD Schleswig-Holstein, datenschutzzentrum.de

Eingeloggte Nutzer können ihre Daten direkt im Profil-Bereich herunterladen oder ihr Konto endgültig löschen — kein Umweg über uns nötig.

Alternativ oder bei Fragen genügt eine formlose E-Mail an baan@mollath.com. Wir antworten innerhalb von sieben Tagen.

Datensparsamkeit

Wir speichern keine Daten, die wir für die Funktion nicht brauchen. Insbesondere:

Keine Klarnamen — der Wortfilter blockiert Klarnamen-Endungen in Freitext-Kommentaren.
Keine Ortsdaten ohne Zustimmung — Geo-Koordinaten nur, wenn du dem Browser-Prompt aktiv zustimmst.
Keine Profile — anonyme Meldungen sind nicht rück-verknüpfbar. Eingeloggte Meldungen werden nur mit deiner User-ID verknüpft, nicht mit deiner E-Mail im Frontend.