Datenschutzerklärung

Movoia unterstützt Nutzerinnen und Nutzer dabei, Reisen gemeinsam zu organisieren. Dazu gehören derzeit insbesondere Reisen, Teilnehmende, Einladungen, Kosten, Kostenanteile, Zahlungsfortschritt und Ausgleichsvorschläge.

Movoia ersetzt keine professionelle Buchhaltung, Zahlungsabwicklung, Steuerberatung oder Rechtsberatung.

Für die Anmeldung verarbeitet Movoia E-Mail-Adressen und, soweit angegeben oder im Konto hinterlegt, Namen. Die Anmeldung erfolgt passwortlos über Magic Links.

Magic-Link-Token und Sitzungs-Token werden nicht im Klartext gespeichert, sondern als Hashwerte. Magic Links sind zeitlich begrenzt und nur einmal nutzbar.

Für angemeldete Sitzungen setzt Movoia einen notwendigen, HTTP-only Session-Cookie mit dem Namen movoia-session. Dieser Cookie ist für die Anmeldung und den Schutz privater Reisebereiche erforderlich.

Bei der Nutzung verarbeitet Movoia Reisetitel, Reiseziele, Reisedaten, Rollen, Mitgliedschaften, Einladungen und gegebenenfalls die E-Mail-Adresse einer eingeladenen Person.

Nutzerinnen und Nutzer dürfen personenbezogene Daten anderer Personen, etwa Namen oder E-Mail-Adressen von Mitreisenden, nur eintragen, wenn sie hierzu berechtigt sind und die betroffene Person angemessen informieren dürfen.

Vor Annahme einer Einladung zeigt Movoia eingeladenen Personen nur begrenzte Informationen wie Reisebezeichnung, Ziel und einladende Person. Kosten, Salden, Mitgliederlisten und interne IDs bleiben privaten Reisebereichen vorbehalten.

Movoia verarbeitet Kostenpositionen, Beträge, Währungen, Kategorien, Zahlungsstände, Kostenanteile, Zahlungsverläufe und Ausgleichsvorschläge innerhalb einer Reisegruppe.

Diese Daten können gemeinsame Informationen mehrerer Teilnehmender sein. Deshalb kann bei Löschanfragen eine Anonymisierung personenbezogener Kontodaten erfolgen, während gemeinsame Reise- und Kostendaten erhalten bleiben, soweit andere Teilnehmende darauf angewiesen sind oder berechtigte Interessen bestehen.

Movoia versendet E-Mails für Magic Links und Reiseeinladungen. Der Versand erfolgt über IONOS SMTP mit der Absenderadresse info@movoia.app.

Beim Versand können E-Mail-Adresse, Versandzeitpunkt, Inhalt der System-E-Mail und technische Versandinformationen verarbeitet werden. Die konkreten Zustell- und Protokolldaten können zusätzlich durch den E-Mail-Dienstleister verarbeitet werden.

Movoia verwendet notwendige Speicherung für Anmeldung, Sprache, Sicherheit und Datenschutzentscheidungen.

Der Cookie movoia-session dient der angemeldeten Sitzung. Der Cookie movoia-locale speichert die bevorzugte Sprache. Die Cookie- und Datenschutzeinstellungen werden lokal im Browser gespeichert, damit Movoia deine Entscheidung berücksichtigen kann.

Wenn du der Analyse zustimmst, speichert Movoia eine zufällige Besucher-ID und eine Sitzungs-ID lokal im Browser. Damit werden Seitenaufrufe, aktive Besuche, Referrer-Domains, grobe Geräte-/Browserinformationen und gegebenenfalls Kampagnenparameter erfasst. IP-Adressen werden dabei nicht gespeichert. Marketing bleibt deaktiviert, solange kein entsprechender Dienst eingebunden und keine wirksame Einwilligung eingeholt wurde.

Beim Aufruf der Website können durch den Webserver und den Nginx-Reverse-Proxy technische Zugriffsdaten verarbeitet werden. Dazu können IP-Adresse, Datum und Uhrzeit des Zugriffs, angefragte URL, HTTP-Status, Referrer und User-Agent gehören.

Serverlogs werden zur Sicherstellung von Stabilität, Fehleranalyse und Missbrauchsabwehr verarbeitet und regelmäßig nach spätestens 14 Tagen gelöscht, sofern keine längere Aufbewahrung zur Untersuchung eines Sicherheitsvorfalls erforderlich ist.

Movoia wird selbst in den Räumlichkeiten des Betreibers gehostet. Die Anwendung läuft als Next.js-Anwendung mit PostgreSQL-Datenbank.

Backups werden ebenfalls in den Räumlichkeiten des Betreibers aufbewahrt und grundsätzlich für 14 Tage gespeichert.

Der Betreiber trifft angemessene technische und organisatorische Maßnahmen, insbesondere HTTPS-Betrieb über einen Reverse Proxy, Zugriffsbeschränkungen, regelmäßige Updates und getrennte Behandlung von Produktivdaten und Backups.

Personenbezogene Daten werden grundsätzlich innerhalb der selbst betriebenen Movoia-Infrastruktur verarbeitet.

Für den Versand von System-E-Mails wird IONOS als E-Mail-Dienstleister eingesetzt. Die optionale Nutzungsanalyse wird innerhalb der selbst betriebenen Movoia-Infrastruktur verarbeitet. Eine Weitergabe an externe Analyse-, Marketing-, CDN- oder Monitoring-Anbieter erfolgt derzeit nicht.

Eine Übermittlung in Drittländer ist derzeit nicht vorgesehen. Falls künftig Dienstleister außerhalb der EU oder des EWR eingebunden werden, werden die rechtlichen Voraussetzungen hierfür vorab geprüft und die Datenschutzerklärung aktualisiert.

Die Verarbeitung zur Bereitstellung von Konto, Anmeldung, Reisen, Einladungen, Kostenfunktionen und Gruppenorganisation erfolgt regelmäßig zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO.

Sicherheitsfunktionen, Serverlogs, Missbrauchsabwehr, Stabilität der Anwendung und Schutz privater Reisebereiche erfolgen auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die optionale Nutzungsanalyse erfolgt nur auf Grundlage einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und den Vorgaben zum Zugriff auf Endgeräte. Soweit Movoia künftig weitere nicht notwendige Marketingdienste einbindet, erfolgt dies ebenfalls nur nach wirksamer Einwilligung.

Konto-, Reise-, Mitgliedschafts-, Kosten- und Zahlungsfortschrittsdaten werden grundsätzlich gespeichert, solange das Konto oder die jeweilige Reise besteht oder die Daten für die gemeinsame Reiseorganisation benötigt werden.

Bei einer Löschanfrage werden personenbezogene Kontodaten nach Prüfung anonymisiert oder gelöscht. Gemeinsame Reise- und Kostendaten können erhalten bleiben, wenn andere Teilnehmende darauf angewiesen sind oder berechtigte Interessen an der Dokumentation bestehen.

Magic Links laufen nach kurzer Zeit ab und werden nach Nutzung als verwendet markiert. Sessiondaten laufen nach der vorgesehenen Sitzungsdauer ab. Analytics-Rohdaten dienen der kurzfristigen Auswertung der Website-Nutzung und sollten regelmäßig gelöscht oder aggregiert werden. Serverlogs und Backups werden grundsätzlich nach spätestens 14 Tagen gelöscht, soweit keine längere Aufbewahrung aufgrund eines Sicherheitsvorfalls oder gesetzlicher Pflichten erforderlich ist.

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

Anfragen können an die oben genannte Kontaktadresse gerichtet werden. Zur Bearbeitung kann eine angemessene Identitätsprüfung erforderlich sein.

Betroffene Personen haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Movoia verwendet derzeit keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO und kein Profiling.

Diese Datenschutzerklärung wird angepasst, wenn sich Funktionen, Dienstleister, technische Verarbeitung oder rechtliche Anforderungen ändern. Dies gilt insbesondere vor Einführung kostenpflichtiger Premium-Funktionen oder weiterer nicht notwendiger Analyse- und Marketingdienste.