Datenschutzerklärung Spritbiene-App

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

(im Folgenden „Betreiber“). Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO nicht erforderlich.

(1) Diese Datenschutzerklärung gilt für:

• die Spritbiene-App für iOS und Android (im Folgenden „App“),
• alle konto- und fahrtenbuchbezogenen Funktionen, die der Betreiber unter spritbiene.at bereitstellt (insbesondere Anmeldung, E-Mail-Bestätigung, Passwort-Zurücksetzung, Konto-Löschung),
• die Inanspruchnahme der Firmenwagen-Pairing-Funktion (siehe § 15) aus Sicht der App-Nutzerin oder des App-Nutzers.

(2) Für die rein informatorische Nutzung der Website spritbiene.at ohne Konto gilt zusätzlich die Datenschutzerklärung unter spritbiene.at/datenschutz. Soweit Funktionen sich überschneiden (insbesondere Hosting, Webanalyse, Server-Logs), gehen die Regelungen der vorliegenden Erklärung für Nutzerinnen und Nutzer mit Konto vor.

(3) Für die Business-Webanwendung unter b2b.spritbiene.at gilt eine eigene Datenschutzerklärung.

(1) Der Betreiber verarbeitet personenbezogene Daten nur in dem Umfang, der zur Erbringung der App- und Konto-Funktionen erforderlich ist (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

(2) Personenbezogene Daten werden nicht zu Werbezwecken verarbeitet, nicht an Dritte verkauft, nicht profilingbasiert ausgewertet (Art. 22 DSGVO findet keine Anwendung) und nicht für geräteübergreifende Wiedererkennung außerhalb der App genutzt.

(3) Es findet kein cross-app- oder cross-device-Tracking statt. Die App verwendet keine Tracking-SDKs zur Werbeidentifikation und fragt unter iOS keine App-Tracking-Transparenz-Berechtigung (ATT) ab.

Der Betreiber verarbeitet je nach Funktion folgende Kategorien personenbezogener Daten:

• Konto- und Anmeldedaten: E-Mail-Adresse, Passwort (ausschließlich als kryptographischer Hash gespeichert), Konto-ID (UUID), Zeitpunkt der Registrierung, Zeitpunkt der letzten Anmeldung, Bestätigungs- und Reset-Token.
• Tankungs- und Fahrtenbuch-Daten: Datum, Uhrzeit, Kraftstoffart, Liter, Preis pro Liter, Gesamtbetrag, Kilometerstand, optionale Notizen, Zuordnung zur jeweiligen Tankstelle, Zuordnung zum Fahrzeug, Fahrer-Name (Snapshot).
• Fahrzeugdaten: freiwillig vom Nutzer eingegebene Bezeichnung des Fahrzeugs, Kennzeichen (sofern eingetragen), Kraftstoffart, ggf. Fahrer-Name.
• Beleg-Dokumente: Foto- oder PDF-Belege zu einzelnen Tankungen, soweit der Nutzer diese freiwillig hochlädt.
• Standortdaten: GPS-Koordinaten des Endgeräts, soweit ausdrücklich freigegeben (siehe § 9).
• Pairing-Daten: achtstelliger Pairing-Code, von der Firma vergebene Fahrzeug-Zuordnung und Fahrer-Name (siehe § 15).
• Technische Daten: IP-Adresse, Zeitstempel, Endgerätetyp, Betriebssystem und -version, App-Version, Sprache, anonyme Sitzungs-IDs, Stack Traces aus Programmabstürzen.
• Kommunikationsdaten: Inhalt von E-Mails, die an dsgvo@spritbiene.at gesandt werden (Support, Auskunfts- und Löschersuchen).

(1) Für die kontobezogenen Funktionen der App (Erfassen von Tankungen, Fahrtenbuch, Beleg-Upload, Firmenwagen-Pairing) ist die Anlage eines kostenfreien Kontos erforderlich. Die reine Spritpreis- und Tankstellensuche ist auch ohne Konto über die Website spritbiene.at nutzbar. Die Anmeldung erfolgt mit E-Mail-Adresse und einem vom Nutzer gewählten Passwort. Andere Anmeldewege (insbesondere Apple-, Google- oder Facebook-Login) werden nicht angeboten.

(2) Das Passwort wird ausschließlich als kryptographischer Hash bei dem Auftragsverarbeiter Supabase (siehe § 14) gespeichert. Der Betreiber selbst hat keine Kenntnis vom Klartext-Passwort.

(3) Zur Bestätigung der E-Mail-Adresse und zum Zurücksetzen des Passworts werden automatisierte System-E-Mails versendet. Der eigentliche Mailversand erfolgt über den Dienst Resend (Resend, Inc., USA; siehe § 14); verarbeitet werden dabei die Empfänger-E-Mail-Adresse und der Nachrichteninhalt. Diese E-Mails enthalten einen einmaligen Link mit Bestätigungs-Token.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Anmeldung).

(1) Die App stellt eine Funktion zur Erfassung von Tankungen sowie ein Fahrtenbuch bereit. Eingaben des Nutzers werden zur Synchronisation zwischen dem Endgerät und der zentralen Datenbank an die Supabase-Plattform übermittelt (siehe § 14) und dort dem Konto des Nutzers zugeordnet gespeichert.

(2) Soweit der Nutzer die App offline verwendet, werden die Einträge zusätzlich lokal in einer SQLite-Datenbank auf dem Endgerät (mittels der Bibliothek Drift) gespeichert und beim nächsten Online-Zugriff mit der zentralen Datenbank synchronisiert.

(3) Einträge können jederzeit in der App bearbeitet, gelöscht oder als CSV bzw. PDF exportiert werden. Beim Export werden die Daten ausschließlich lokal auf dem Endgerät verarbeitet; die Weitergabe einer Exportdatei (z. B. per E-Mail) erfolgt eigenverantwortlich durch den Nutzer.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

(1) Der Nutzer kann optional Belege (Fotos oder PDF-Dateien) zu einzelnen Tankungen hochladen. Vor der Übermittlung werden Bilder lokal auf dem Endgerät komprimiert.

(2) Die Belege werden über eine geschlossene Schnittstelle des Betreibers an einen Cloud-Object-Storage (Cloudflare R2, betrieben durch Cloudflare, Inc.) übertragen und dort dem Konto des Nutzers zugeordnet gespeichert. Der Storage-Bucket wird ausschließlich für konto-eigene Belege genutzt; eine öffentliche Bereitstellung erfolgt nicht.

(3) Der Nutzer ist allein verantwortlich dafür, dass hochgeladene Belege keine personenbezogenen Daten Dritter oder besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) enthalten, die ohne entsprechende Rechtsgrundlage verarbeitet werden.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — freiwilliges Vertragsfeature).

(1) Die App fragt über das Berechtigungssystem des Betriebssystems (iOS bzw. Android) folgende Zugriffe ab:

• Standort: ausschließlich nach ausdrücklicher Erlaubnis, zur Anzeige nahegelegener Tankstellen (siehe § 9).
• Kamera: zur Aufnahme von Belegen (siehe § 7).
• Foto- und Dateibibliothek: zur Auswahl bestehender Belege.

(2) Jede Berechtigung kann jederzeit in den Systemeinstellungen des Endgeräts widerrufen werden. Funktionen, die die jeweilige Berechtigung erfordern, stehen dann nicht oder nur eingeschränkt zur Verfügung.

(3) Die App fordert keine Push-Benachrichtigungs-Berechtigung an. Push-Benachrichtigungen werden derzeit nicht versendet. Sollte diese Funktion zukünftig eingeführt werden, erfolgt zuvor eine ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und eine Aktualisierung dieser Erklärung.

(1) Die App ermittelt auf ausdrückliche Anforderung des Nutzers den aktuellen Standort des Endgeräts (Breite, Länge, ggf. Genauigkeit), um nahegelegene Tankstellen anzeigen zu können.

(2) Die ermittelten Koordinaten werden:

• lokal auf dem Endgerät zwischengespeichert (siehe § 13),
• zur Abfrage nahegelegener Tankstellen an den Server des Betreibers übermittelt und dort nicht dauerhaft gespeichert; sowie an die E-Control-Schnittstelle weitergeleitet (siehe § 14),
• zur Darstellung der Karte an den Kartendienst Mapbox (siehe § 10) übermittelt.

(3) Eine Hintergrund-Standortverfolgung findet nicht statt. Der Standort wird ausschließlich abgefragt, während der Nutzer die App aktiv verwendet.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit durch Entzug der Standortberechtigung in den Systemeinstellungen des Endgeräts widerrufen werden.

(1) Zur Anzeige der Karte und der Tankstellen-Markierungen bindet die App das SDK des Anbieters Mapbox, Inc., 50 Beale Street, Floor 22, San Francisco, CA 94105, USA ein. Hierbei werden technische Verbindungsdaten (insbesondere IP-Adresse, Endgerätetyp, App-Version sowie der angeforderte Kartenausschnitt einschließlich Standortkoordinaten) an Mapbox übermittelt.

(2) Mapbox ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO liegt vor. Der Betreiber hat mit Mapbox einen Auftragsverarbeitungsvertrag geschlossen; ergänzend gelten die EU-Standardvertragsklauseln nach Art. 46 DSGVO.

(3) Weitere Informationen: Mapbox Privacy Policy.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Kartenfunktion als Kernbestandteil der App).

(1) Die App nutzt zur Diagnose und Behebung von Programmabstürzen und nicht abgefangenen Fehlern den Dienst Sentry (Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) in der EU-Region. Die Daten werden über den Server-Endpunkt ingest.de.sentry.io in Rechenzentren innerhalb der Europäischen Union (Frankfurt am Main, Deutschland) verarbeitet.

(2) Übertragen werden ausschließlich technische Daten zur Fehlerursache, insbesondere:

• Fehlertyp, Stack Trace, betroffene Code-Stelle
• App-Version, Build-Nummer
• Betriebssystem und -version, Gerätemodell
• Sprache, Ländereinstellung
• anonymisierte Sitzungs-ID, Zeitstempel
• von der App definierte technische Kontextinformationen (z. B. Bildschirm, in dem der Fehler auftrat)

(3) Es werden keine Konto- oder Tankungs-Inhalte, keine Beleg-Dokumente und keine präzisen Standortdaten an Sentry übermittelt. Die IP-Adresse wird ausschließlich zur Zustellung des Reports verwendet und nicht dauerhaft mit dem Konto verknüpft.

(4) Crash-Reports werden nach 90 Tagen automatisch gelöscht.

(5) Mit Sentry besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; ergänzend gelten die EU-Standardvertragsklauseln. Sentry ist unter dem EU-US Data Privacy Framework zertifiziert. Sentry Privacy Policy.

(6) Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der App; ohne Diagnose-Daten kann der Betreiber Programmfehler nicht zuverlässig beheben).

(1) Auf den Webseiten unter spritbiene.at, einschließlich konto- und fahrtenbuchbezogener Bereiche, kommt Cloudflare Web Analytics zum Einsatz (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Der Dienst arbeitet ohne Cookies und ohne Fingerprinting; geräteübergreifende Profile werden nicht gebildet.

(2) Erfasst werden ausschließlich aggregierte und anonymisierte Daten (insbesondere Seitenaufrufe, aufgerufene URL, Referrer, Herkunftsland aus der IP-Adresse, Betriebssystem, Browser, Gerätetyp, Core Web Vitals). Die IP-Adresse wird kurzzeitig zur Ableitung des Herkunftslandes verarbeitet und nicht gespeichert.

(3) Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Cloudflare Privacy Policy.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung zur Verbesserung des Angebots).

(5) In der App selbst kommt Cloudflare Web Analytics nicht zum Einsatz.

(1) Die App speichert folgende Daten lokal auf dem Endgerät des Nutzers:

• Gesicherter Speicher (Keychain bei iOS, EncryptedSharedPreferences bei Android): Sitzungs-Token für die Anmeldung, um eine erneute Eingabe des Passworts bei jedem App-Start zu vermeiden.
• Lokale Datenbank (SQLite via Drift): Tankungen und Fahrtenbuch-Einträge zur Offline-Nutzung.
• App-Einstellungen (Shared Preferences): bevorzugte Kraftstoffart, ausgewähltes Fahrzeug, UI-Präferenzen, Standort-Cache (automatische Löschung nach einer Stunde).
• App-Cache: Karten-Kacheln, Bilder und temporäre Dateien.

(2) Auf der Website werden im localStorage des Browsers ausschließlich Sitzungs-Token, gewählte Kraftstoffart und Standort-Cache (mit Ein-Stunden-Löschung) abgelegt.

(3) Diese lokalen Daten können jederzeit durch Abmeldung, Deinstallation der App oder Löschen der Browserdaten entfernt werden.

(4) Rechtsgrundlage ist § 165 Abs. 3 TKG 2021 bzw. die jeweils anwendbare nationale Umsetzung der ePrivacy-Richtlinie (technisch erforderlich für die Erbringung des vom Nutzer ausdrücklich gewünschten Dienstes).

(1) Zur Erbringung der App- und Konto-Funktionen werden folgende Auftragsverarbeiter und Empfänger eingesetzt:

• Supabase Pte. Ltd., 65 Chulia Street #38-02/03, OCBC Centre, Singapur 049513 — Authentifizierung, Datenbank, Object-Storage-Funktionen, Edge Functions. Datenhaltung in der Region eu-central-2 (Zürich, Schweiz). Für die Schweiz besteht ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO; für den Vertragspartner in Singapur werden ergänzend die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO verwendet. Privacy Policy
• Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA — Hosting der Website, Auslieferung der Web-Inhalte (regelmäßig über EU-Standorte wie Wien oder Frankfurt), Schutz vor Missbrauch (DDoS-Schutz), Beleg-Speicherung in Cloudflare R2, Webanalyse. EU-US Data Privacy Framework zertifiziert. Privacy Policy
• Mapbox, Inc., 50 Beale Street, San Francisco, CA 94105, USA — Bereitstellung von Karten und Geocoding in der App (siehe § 10). EU-US Data Privacy Framework zertifiziert.
• Functional Software, Inc. dba Sentry, 45 Fremont Street, San Francisco, CA 94105, USA — Crash- und Stabilitätsdiagnose (siehe § 11), Datenhaltung in der EU-Region (Frankfurt am Main).
• Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Versand transaktionaler System-E-Mails (Bestätigung der E-Mail-Adresse, Passwort-Zurücksetzung; siehe § 5). Übermittelt werden die Empfänger-E-Mail-Adresse und der Nachrichteninhalt. Die Übermittlung in die USA wird durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert.

(2) Mit den genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Soweit Daten in Drittländer übermittelt werden, erfolgt dies entweder auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO), einschließlich des EU-US Data Privacy Framework, oder auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die Nichtigkeitsklage gegen den DPF-Angemessenheitsbeschluss (Durchführungsbeschluss (EU) 2023/1795) wurde vom Gericht der Europäischen Union mit Urteil vom 3. September 2025 (Rechtssache Latombe, T-553/23) abgewiesen; der Beschluss bleibt aufrecht. Ein Rechtsmittel an den EuGH ist möglich, die Rechtslage kann sich daher ändern. Fällt der Beschluss künftig weg, stützt sich die Übermittlung ergänzend auf die Standardvertragsklauseln samt einzelfallbezogener Prüfung und Zusatzmaßnahmen (EuGH, Urteil vom 16. Juli 2020, C-311/18, Schrems II). Die Garantien der eingesetzten Anbieter werden laufend überprüft.

(3) Datenübermittlung an die E-Control (Energie-Control Austria für die Regulierung der Elektrizitäts- und Erdgaswirtschaft, Rudolfsplatz 13a, 1010 Wien) erfolgt zur Abfrage aktueller Spritpreise nahegelegener Tankstellen. Übermittelt werden ausschließlich Standortkoordinaten und die gewählte Kraftstoffart; eine Zuordnung zum Konto erfolgt nicht. E-Control ist als gesetzliche Einrichtung der Republik Österreich eigenverantwortlich nach DSGVO und KommAustria-Vorschriften tätig.

(4) Eine Weitergabe an Behörden erfolgt ausschließlich, soweit der Betreiber dazu aufgrund gesetzlicher Vorschriften (insbesondere nach der Strafprozessordnung) verpflichtet ist.

(1) Nutzerinnen und Nutzer der App können einen von ihrem Arbeitgeber oder einer anderen Organisation bereitgestellten achtstelligen Pairing-Code in der App eingeben, um ein Firmenfahrzeug ihrem persönlichen Konto zuzuordnen („Firmenwagen-Pairing“).

(2) Die Verarbeitung beim Pairing erfolgt in zwei rechtlich getrennten Verantwortlichkeitsbereichen:

• Solange Tankungen und Fahrten dem privaten Konto und einem privaten Fahrzeug zugeordnet sind, ist ausschließlich der Betreiber Verantwortlicher im Sinne der DSGVO.
• Sobald Tankungen, Fahrten oder Belege durch den Pairing- Vorgang einem Firmenfahrzeug der koppelnden Organisation zugeordnet werden, ist die jeweilige Organisation hinsichtlich dieser dienstlichen Daten eigenständige Verantwortliche im Sinne von Art. 4 Z 7 DSGVO. Der Betreiber tritt insoweit als Auftragsverarbeiter der Organisation gemäß Art. 28 DSGVO auf; Grundlage ist der zwischen Organisation und Betreiber geschlossene Auftragsverarbeitungsvertrag.

(3) Eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) zwischen Betreiber und Organisation wird ausdrücklich nicht begründet.

(4) Bei Auflösung des Pairings (durch den Nutzer oder durch die Organisation) bleiben Datensätze, die zum Zeitpunkt des aufrechten Pairings einem Firmenfahrzeug zugeordnet waren, in dieser Zuordnung bestehen, soweit dies für die nachvollziehbare Reisekosten- bzw. Lohnabrechnung der Organisation erforderlich ist (Vertrags- und Aufbewahrungsgrundlage der Organisation). Hinsichtlich dieser Datensätze richten sich Auskunfts- und Löschersuchen an die Organisation als Verantwortliche. Hinweis: Die Löschung der bereits an die Organisation übermittelten, dienstlich zugeordneten Daten kann nicht mehr über die App erwirkt werden; es wird empfohlen, Umfang und Zweck der Datennutzung bereits vor der Code-Einlösung mit der Organisation zu klären.

(5) Privat erfasste Tankungen und Fahrten sind hiervon nicht betroffen und verbleiben in der alleinigen Verantwortung des Betreibers.

(6) Rechtsgrundlage für den Pairing-Vorgang im Verantwortlichkeitsbereich des Betreibers ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — vom Nutzer ausdrücklich gewähltes Feature). Die Übermittlung des Fahrernamens und der zugeordneten Daten an die Organisation erfolgt auf ausdrücklichen Wunsch des Nutzers im Rahmen dieses Features und stellt keine gesonderte datenschutzrechtliche Einwilligung dar. Die datenschutzrechtliche Verantwortung für die anschließende dienstliche Verarbeitung trägt die Organisation; deren Rechtsgrundlage und die Information der Beschäftigten richten sich nach Art. 6 bzw. Art. 88 DSGVO sowie § 96 Abs. 1 Z 3 und § 96a ArbVG.

(1) Bei jeder Verbindung zum Server des Betreibers (über App oder Website) werden temporär technische Zugriffsdaten (insbesondere IP-Adresse, Zeitstempel, aufgerufener Endpunkt, HTTP-Statuscode, User-Agent) auf der Hosting-Plattform Cloudflare verarbeitet und nicht dauerhaft gespeichert.

(2) In die zentrale Datenbank des Betreibers werden aggregierte Anwendungsprotokolle (insbesondere Endpunkt-Bezeichnung, Zeitstempel, Statuscode, technische Fehlerdetails) ohne IP-Adresse übernommen. Die Aufbewahrungsfrist für diese Anwendungsprotokolle beträgt 60 Tage; die Löschung erfolgt automatisiert durch eine geplante Routine.

(3) Zum Schutz vor Missbrauch (insbesondere Brute-Force-Angriffe, Scraping, Überlast) wird ein Rate-Limiting eingesetzt; dabei wird die IP-Adresse ausschließlich kurzzeitig (max. eine Minute) im Arbeitsspeicher gehalten.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität des Dienstes).

(1) Der Bezug der App erfolgt über den Apple App Store bzw. den Google Play Store. Apple Inc. (One Apple Park Way, Cupertino, CA 95014, USA) und Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) verarbeiten im Zuge des Downloads und der Bereitstellung von Aktualisierungen Daten in eigener datenschutzrechtlicher Verantwortung. Für diese Verarbeitungen gelten die jeweiligen Datenschutzerklärungen der genannten Unternehmen.

(2) Sollten in Zukunft kostenpflichtige In-App-Käufe eingeführt werden, erfolgen Zahlung und Abwicklung ausschließlich über den jeweiligen App Store. Der Betreiber erhält von Apple und Google nur die zur Freischaltung des Kaufs erforderlichen technischen Bestätigungen (insbesondere Quittungs-Token, Produktkennung, Zeitstempel, Status); Zahlungsdaten, Adressdaten oder Kontaktdaten der Nutzerinnen und Nutzer erhält der Betreiber nicht. Diese Erklärung wird dann entsprechend angepasst.

(1) Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist:

• Konto- und Anmeldedaten: bis zur Löschung des Kontos (siehe § 19).
• Tankungen, Fahrtenbuch, Belege: bis zur Löschung durch den Nutzer bzw. bis zur Löschung des Kontos. Davon abweichende Aufbewahrungsfristen aufgrund des Verantwortlichkeitsbereichs einer Organisation beim Firmenwagen-Pairing bleiben unberührt (siehe § 15).
• Server-Logs: 60 Tage (siehe § 16).
• Crash-Reports: 90 Tage (siehe § 11).
• Standort-Cache auf dem Endgerät: eine Stunde (siehe § 13).
• E-Mail-Korrespondenz: bis zur Erledigung der Anfrage; danach im Rahmen gesetzlicher Aufbewahrungspflichten (insbesondere § 132 BAO, sieben Jahre, sofern einschlägig).

(2) Soweit gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen (insbesondere nach BAO oder UGB), wird die Verarbeitung gemäß Art. 18 DSGVO eingeschränkt und die Daten werden nach Ablauf der jeweiligen Frist gelöscht.

(1) Das Konto kann jederzeit durch den Nutzer selbst in der App über den Bereich „Konto / Konto löschen“ gelöscht werden. Ergänzend kann ein Löschersuchen formlos per E-Mail an dsgvo@spritbiene.at gerichtet werden.

(2) Mit der Löschung des Kontos werden die zugeordneten Tankungs-, Fahrtenbuch- und Beleg-Daten gelöscht oder anonymisiert, sofern dem keine gesetzlichen Aufbewahrungspflichten oder eine fortbestehende Verantwortlichkeit einer Organisation beim Firmenwagen- Pairing entgegenstehen (siehe § 15).

(3) Die Löschung wird ohne unangemessene Verzögerung, spätestens innerhalb von 30 Tagen nach Eingang des Löschersuchens, vollzogen.

Den Nutzerinnen und Nutzern stehen gegenüber dem Betreiber folgende Rechte hinsichtlich ihrer personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf jederzeitigen Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen sind per E-Mail zu richten an: dsgvo@spritbiene.at. Zur Identitätsprüfung kann der Betreiber geeignete Nachweise (insbesondere die Bestätigung der hinterlegten E-Mail-Adresse) verlangen, soweit dies zur Verhinderung unberechtigter Auskunftsersuchen erforderlich ist (Art. 12 Abs. 6 DSGVO).

Soweit Verarbeitungen auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (insbesondere Server-Logs, Crash-Reporting, Webanalyse), kann der Verarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit widersprochen werden. Der Betreiber verarbeitet diese Daten anschließend nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht jeder betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu (Art. 77 DSGVO). Zuständig für Österreich ist:

Die Bereitstellung der Konto-Daten (E-Mail-Adresse, Passwort) ist für die Nutzung der App erforderlich. Ohne diese Daten kann der Nutzungsvertrag nicht zustande kommen. Die Bereitstellung weiterer Daten (Tankungen, Fahrtenbuch-Einträge, Belege, Standortdaten, Pairing-Code) ist freiwillig; ohne diese Daten stehen die jeweiligen Zusatzfunktionen nicht zur Verfügung.

Die App richtet sich an Personen ab vollendetem 14. Lebensjahr. Personen unter 14 Jahren dürfen kein Konto anlegen. Sollte der Betreiber Kenntnis erlangen, dass ein Konto unter Verletzung dieser Altersgrenze angelegt wurde, wird das Konto unverzüglich gelöscht.

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne des Art. 22 DSGVO, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Insbesondere erfolgt kein Profiling und keine Bonitäts- oder Scoring-Prüfung.

(1) Der Betreiber behält sich vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund tatsächlicher Änderungen der Verarbeitungen, technischer Weiterentwicklungen oder geänderter rechtlicher Anforderungen erforderlich ist.

(2) Die jeweils aktuelle Fassung ist unter spritbiene.at/datenschutz-b2c abrufbar. Bei wesentlichen Änderungen werden die Nutzerinnen und Nutzer zusätzlich in der App oder per E-Mail informiert.