Was wir mit deinen Daten machen — und was nicht

In drei Sätzen

Bahnmalus speichert nur, was es zur Funktion braucht. Keine Werbe-Tracker, keine Cookies ohne Einwilligung, keine personenbezogenen Daten an Dritte weitergegeben. Anonyme Verspätungs-Meldungen sind möglich — eine Anmeldung ist optional und nutzt ausschließlich deine E-Mail-Adresse für einen Magic-Link.

Verantwortlicher

Welche Daten erheben wir?

1. Verspätungs-Meldungen

Bei jeder Meldung speichern wir: Zug-ID, Verspätungsminuten, Mängel-Tags, optionale Freitext-Kommentare (Zugdurchsage, Reise-Realität), optional Geo-Koordinaten, Zeitpunkt der Meldung. Bei anonymen Meldungen ohne Anmeldung wird kein User-Bezug gespeichert. Bei eingeloggten Nutzerinnen wird die User-ID verknüpft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Crowdsourcing-Datenset zur Bahn-Pünktlichkeit).

Speicherdauer: Bis auf Widerruf. Eingeloggte Nutzer können ihre Meldungen jederzeit löschen. Anonyme Meldungen sind ohne User-Bezug und können nicht rückwirkend zugeordnet werden.

2. Pendler-Account (optional)

Bei Anmeldung speichern wir deine E-Mail-Adresse, ein selbstgewähltes Pseudonym und (falls vergeben) deine Stammzüge. Login funktioniert per Magic-Link — wir senden dir einen einmaligen Login-Link per E-Mail, kein Passwort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis Account-Löschung durch dich. E-Mail an baan@mollath.com genügt — wir bestätigen die Löschung innerhalb von sieben Tagen.

3. Push-Benachrichtigungen (optional)

Wenn du Push-Benachrichtigungen aktivierst, speichern wir den vom Browser gelieferten Push-Subscription-Endpoint (verschlüsselt). Wir senden Pushes ausschließlich, wenn ein Stammzug von anderen Nutzern als verspätet gemeldet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — du musst aktiv zustimmen).

4. Geo-Koordinaten

Optional — wenn du dem Browser-Standort-Prompt zustimmst — speichern wir bei einer Meldung deine ungefähre Position als Plausibilitätscheck (Punkt liegt auf der Strecke?). Eine Ablehnung des Prompts ist jederzeit möglich; die manuelle Bahnhofssuche funktioniert genauso.

5. IP-Adresse und Browser-Daten

Aus technischer Notwendigkeit verarbeitet unser Hoster (Vercel) deine IP-Adresse beim Seitenaufruf. Diese wird nicht von Bahnmalus selbst gespeichert. Cloudflare Turnstile (Bot-Schutz) sieht die IP einmalig zur Verifikation, speichert sie aber nicht. Server- Logs des Hosters werden gemäß dessen Standard-Policy nach kurzer Zeit gelöscht.

Welche externen Dienste setzen wir ein?

Hosting (Vercel)

Bahnmalus läuft auf Vercel, EU-Region (Frankfurt). Vercel verarbeitet IP-Adressen für den technischen Betrieb (Auftragsverarbeitung gemäß Art. 28 DSGVO). Mehr unter vercel.com/legal/privacy-policy.

Datenbank (Supabase)

Reports, Pseudonyme und Stammzüge werden in einer PostgreSQL-Datenbank bei Supabase gespeichert (EU-Region). Auftragsverarbeitung gemäß Art. 28 DSGVO.

Bahn-Daten (db-vendo-client)

Aktuelle Fahrplandaten holen wir von der öffentlichen Schnittstelle v6.db.transport.rest (Open-Source-Wrapper um die DB-Vendo-API). Es werden ausschließlich Bahnhofs- und Zug-Suchanfragen weitergegeben, keine personenbezogenen Daten.

Analytics (Plausible)

Wir nutzen Plausible Analytics zur anonymen Reichweitenmessung (Seitenaufrufe pro Seite, Browser-Typ, ungefähres Land — keine User-Profile, keine Cookies, keine IP-Speicherung). Plausible ist EU-gehostet und DSGVO-konform.

Bot-Schutz (Cloudflare Turnstile)

Bei anonymen Meldungen prüft Cloudflare Turnstile, dass keine automatisierten Bots schreiben. Turnstile ist ein Captcha-Ersatz ohne Tracking-Cookies. Cloudflare ist US-amerikanischer Anbieter (Standardvertragsklauseln greifen).

Fehler-Monitoring (Sentry)

Technische Fehler werden zur Behebung an Sentry übermittelt (Stack-Trace, betroffener Endpoint, Fehlertyp). Personenbezogene Daten aus Meldungen werden nicht weitergegeben.

Cookies

Bahnmalus setzt nur das technisch notwendige Session-Cookie für eingeloggte Nutzer (Auth.js). Keine Tracking-Cookies, keine Werbe-Cookies, kein Cookie-Banner — weil wir keine zustimmungspflichtigen Cookies setzen.

Deine Rechte

Du hast nach DSGVO jederzeit das Recht auf:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Beschwerde bei der zuständigen Aufsichtsbehörde — für uns das ULD Schleswig-Holstein, datenschutzzentrum.de

Eingeloggte Nutzer können ihre Daten direkt im Profil-Bereich herunterladen oder ihr Konto endgültig löschen — kein Umweg über uns nötig.

Alternativ oder bei Fragen genügt eine formlose E-Mail an baan@mollath.com. Wir antworten innerhalb von sieben Tagen.

Datensparsamkeit

Wir speichern keine Daten, die wir für die Funktion nicht brauchen. Insbesondere:

• Keine Klarnamen — der Wortfilter blockiert Klarnamen-Endungen in Freitext-Kommentaren.
• Keine Ortsdaten ohne Zustimmung — Geo-Koordinaten nur, wenn du dem Browser-Prompt aktiv zustimmst.
• Keine Profile — anonyme Meldungen sind nicht rück-verknüpfbar. Eingeloggte Meldungen werden nur mit deiner User-ID verknüpft, nicht mit deiner E-Mail im Frontend.