Datenschutzrichtlinie
Die vorliegende Datenschutzrichtlinie beschreibt, wie ODOWA (im Folgenden « wir ») die persönlichen Daten der Nutzer der mobilen Anwendung Kartes (im Folgenden « die Anwendung »),
sowie der damit verbundenen Dienstleistungen, die über die Website kartes.io.
Sie entspricht dem allgemeinen Datenschutzreglement (DSGVO — Verordnung (EU) 2016/679) und dem Gesetz vom 6. Januar 1978 über Informatik und Freiheiten in der geltenden Fassung.
Inhalt
1. Identität des Verantwortlichen
Der Verantwortliche für die Verarbeitung personenbezogener Daten ist:
- ODOWA
- 6 rue d'Armaillé, 75017 Paris
- SIRET : 94505301500018
- E-Mail : support@kartes.io
2. Erfasste Daten
2.1 Daten, die direkt vom Benutzer bereitgestellt werden
| Kategorie | Betroffene Daten |
|---|---|
| Benutzerkonto | E-Mail-Adresse, Passwort (gehascht), Name, Vorname, Telefonnummer (optional), Profilfoto (optional) |
| Arbeitsbereich (workspace) | Name der Organisation, Logo, Einstellungen, Benutzerrolle (Mitglied, Administrator, Eigentümer) |
| In der Anwendung erstellter Inhalt | Fotos von Infrastrukturkomponenten, aufgenommen über die Anwendung, eingegebene Beschreibungen, Kommentare, Inspektions- und Interventionserformulare, elektronische Signaturen, Sprachaufnahmen zur Transkription |
| Bezahlung (bezahlte Angebote) | Rechnungsdaten, die von Stripe verarbeitet werden (Name, Rechnungsadresse). Karten-Daten werden niemals über unsere Server geleitet. |
2.2 Automatisch gesammelte Daten
| Kategorie | Betroffene Daten |
|---|---|
| Ortsdaten | GPS-Koordinaten (Breitengrad/Längengrad) beim Erstellen oder Anzeigen eines Elements auf der Karte sowie für die optionalen Funktion zur Teampositionsteilung (Pro-Angebot und höhere Versionen, deaktivierbar) |
| Technische Daten | IP-Adresse, Gerätetyp, Betriebssystemversion (Android/iOS/Web), Anwendungsversion, anonymisierte technische Identifikatoren |
| Aktivitätsprotokolle (Audit Log) | Zeitgestempelter Historik der durchgeführten Aktionen (Erstellung / Änderung / Löschung von Elementen, Interventionen, Inspektionen) mit Benutzeridentifikator – zur Nachverfolgbarkeit und Sicherheit |
| Nutzungsdaten | Seiten angesehen, genutzte Funktionen, verbrachte Zeit, zu internen statistischen Zwecken |
3. Zwecke und rechtliche Grundlagen
| Ziel | Rechtliche Grundlage (DSGVO) |
|---|---|
| Erstellung und Verwaltung des Benutzerkontos | Vertragserfüllung (AGB) |
| Bereitstellung der Anwendungsfunktionen (Karten, Inspektion, Intervention, Berichterstattung) | Vertragserfüllung |
| Geolokalisierung der Elemente auf der Karte | Vertragserfüllung — die Funktion erfordert die Position, um zu funktionieren |
| Bildanalyse durch künstliche Intelligenz (IA Vision: Objekterkennung, Feldvorschläge) | Vertragserfüllung / Zustimmung (optional aktivierbare Funktion) |
| Sprachtranskription durch künstliche Intelligenz (IA Voice) | Einwilligung (expliziter Auslöser durch den Benutzer) |
| KI-Chatbot | Einwilligung (optionaler Funktion) |
| Team-Nachrichten | Vertragserfüllung |
| Push-Benachrichtigungen (Alarme, Nachrichten, Erinnerungen) | Einwilligung (aktivierbares/deaktivierbares System) |
| Gamification (Abzeichen, optionale Rankings) | Vertrag ausführen — vom Administrator deaktivierbar |
| Teampositionsteilen (Pro+-Angebote) | Einvernehmlichkeit (aktivierbar durch jeden Mitglied individuell) |
| Abrechnung und Zahlung des Abonnements | Vertragserfüllung / rechtliche Verpflichtung (Buchhaltung) |
| Sicherheit, Betrugsvorbeugung, Nachverfolgbarkeit (Audit-Log) | berechtigter Interesse / rechtliche Pflicht |
| Anonymisierte interne Statistiken zum Nutzungsverhalten | Legitimer Interesse |
| Transaktionsbezogene Kommunikation (Passwort-Reset, Bestätigungen) | Vertragserfüllung |
4. App-Berechtigungen
Die Anwendung Kartes erfordert die folgenden Systemberechtigungen auf Android und iOS. Alle werden zum Zeitpunkt ihrer ersten Verwendung entsprechend angefordert und können jederzeit in den Geräteeinstellungen widerrufen werden.
| Berechtigung | Begründung der Nutzung |
|---|---|
| Kamera | Fotos von Infrastrukturkomponenten (Anlagen, Schilder, Schäden) machen, um sie den kartografierten Elementen oder Interventionen/Inspektionen zuzuordnen. |
| Lokalisierung (genau und ungefähr) | Die Elemente beim Erstellen auf der Karte geolokalisieren, Ihre Position in Echtzeit anzeigen, um sich am Standort zu orientieren, und ggf. Ihre Position mit Ihrem Team teilen (optionaler Funktion). |
| Mikrofon | Sprachliche Annotationen, die von KI transkribiert wurden, speichern, um Felder ohne Tastatur schnell zu erfassen (optionaler Funktion). |
| Speicherung / Fotos | Bestehende Bilder aus der Galerie auswählen, um sie einem Element oder einer Intervention anzuhängen. |
| Benachrichtigungen | Sie benachrichtigen Sie über relevante Ereignisse (neue Nachricht, zugewiesene Intervention, wichtige Alarmierung). |
| Internet | Daten mit unseren Servern synchronisieren und die cloudbasierten KI-Funktionen nutzen. |
5. Unternehmer und Datenempfänger
Um die Anwendungsdienste bereitzustellen, wenden wir uns an ausgewählte technische Unterauftragnehmer, die der RGPD konform sind:
| Unternehmer | Ziel | Betroffene Daten |
|---|---|---|
| Amazon Web Services (AWS S3) | Speicherung von Fotos und heruntergeladenen Dateien | Fotos, die über die Anwendung aufgenommen wurden, Profilfotos, Hülle |
| Anthropic (API Claude) | Bildanalyse durch KI (Vision), Sprachtranskription (Voice), konversationeller Assistent | Hochgeladene Bilder, Sprachaufnahmen, Texteingaben — nur bei einem expliziten Auslösen durch den Benutzer |
| Mapbox | Anzeige der Karten, Adressgeocodierung | GPS-Koordinaten, gesuchte Adressen |
| Stripe | Verarbeitung von Abonnementzahlungen | Name, E-Mail, Rechnungsadresse, Karteninformationen (ausschließlich von Stripe verwaltet, nie von unseren Servern) |
| DeepL | Automatische Übersetzung von Inhalten für nicht französischsprachige Benutzer | Textausschnitte zur Übersetzung (Bezeichnungen, Objekttypbeschreibungen) |
| Host (API-Server) | Datenbank- und Anwendungsserver-Hosting | Benutzerdatensatz |
| E-Mail-DiensteTransactional | E-Mail-Versand (Passwort-Neuanforderung, Einladungen, Rechnungen) | E-Mail-Adresse, Vorname |
Keine personenbezogenen Daten werden an Dritte zu kommerziellen oder werblichen Zwecken weiterverkauft.
6. Transfers außerhalb der Europäischen Union
Einige unserer Auftragnehmer können Daten aus Ländern außerhalb der Europäischen Union verarbeiten:
- Anthropic (USA): überwachte Datenübertragungen gemäß den Standardvertragsklauseln (SVK) der Europäischen Kommission.
- Stripe (USA / Irland) : zertifiziertes Data Privacy Framework (DPF) EU-USA und CCT.
- AWS : unsere S3-Buckets sind in der Region eu-west-3 (Paris) konfiguriert — Ihre Fotos und Dateien bleiben in Frankreich gespeichert.
- Mapbox : CCT für Karten-Tile-Anfragen.
7. Aufbewahrungszeiten
| Datenkategorie | Aufbewahrungszeit |
|---|---|
| Benutzerkonto (Profil, Anmeldeinformationen) | Solange der Account aktiv ist. Löschung auf Antrag, oder bei längerer Inaktivität (3 Jahre ohne Verbindung) |
| Erzeugter Inhalt (Fotos, Elemente, Interventionen) | Solange der Arbeitsbereich aktiv ist. Endgültige Löschung innerhalb von 30 Tagen nach Löschung des Kontos oder des Arbeitsbereichs |
| Auditprotokolle (audit log) | 2 Jahre ab dem Ereignis |
| Rechnungsdaten | 10 Jahre (rechtliche Buchhaltungspflicht) |
| Technische Protokolle (Verbindung, Fehler) | Maximal 12 Monate |
| Sicherungen | 30 bis 90 Tage je nach Kritikalität |
| Daten an die KI (Anthropic) gesendet | Nicht von Anthropic gespeichert, außerhalb der Anfrage (Zero-Retention-Politik für API-Nutzungen) |
8. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen zur Schutz Ihrer Daten um:
- TLS-Verschlüsselung für alle Client/Server-Kommunikationen
- Hashierte Passwörter (Algorithmus bcrypt) — nie im Klartext gespeichert
- Authentifizierung mit JWT-Jetons mit begrenzter Lebensdauer + widerrufbare Refresh-Jetons
- Strenge Isolierung der Daten pro Arbeitsbereich (Multi-Tenant-Cloisonierung in der Datenbank und im Cache)
- Verschlüsselte Sicherungen
- Rollenbasiertes Zugriffssteuerungssystem (RBAC) auf Serverseite
- Zeitgestempelte Audit-Protokolle zur Nachverfolgung jeder sensiblen Aktion
- Regelmäßige Sicherheitsupdates für Server und Abhängigkeiten
9. Ihre Rechte
Gemäß der DSGVO verfügen Sie über folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Zugriffsrecht : eine Kopie der Sie betreffenden Daten erhalten
- Recht auf Berichtigung : Ungenauigkeiten oder Unvollständigkeiten in den Daten korrigieren
- Recht auf Löschung (« Recht auf Vergessenwerden »): Anfordern der Löschung Ihrer Daten, sofern nicht gesetzliche Pflichten bestehen
- Recht auf Einschränkung der Verarbeitung
- Widerspruchsrecht gegen die Verarbeitung auf der Grundlage eines berechtigten Interesses
- Recht auf Datenübertragbarkeit : Ihre Daten in einem strukturierten und lesbaren Format erhalten
- Recht auf Widerruf Ihrer Einwilligung zu jedem Zeitpunkt für die Verarbeitungen, die auf dieser basieren
- Recht auf Beschwerde bei der CNIL (www.cnil.fr)
Um Ihre Rechte auszuüben, kontaktieren Sie uns unter: support@kartes.io. Wir antworten innerhalb eines Monats.
Die Löschung Ihres Kontos ist ebenfalls direkt über die Anwendung möglich, unter Benutzereinstellungen.
10. Jugendliche
Die Anwendung Kartes ist ein professionelles Werkzeug, das an Institutionen der Infrastrukturverwaltung (Kommunen, Unternehmen, Vermögensverwalter) adressiert ist. Sie ist nicht für Personen unter 16 Jahren bestimmt, und wir sammeln bewusst keine Daten von Minderjährigen. Falls Sie denken, dass ein Minderjähriger uns Daten bereitgestellt hat, kontaktieren Sie uns bitte, damit diese sofort gelöscht werden.
11. Cookies und Tracker
Die mobile Anwendung verwendet keine Cookies von Drittanbietern zu Werbezwecken oder für das Profiling.
Die Website kartes.io kann ausschließlich Cookies verwenden, die für den Betrieb notwendig sind (Sitzung, Sprache), und gegebenenfalls anonymisierte Cookies zur Messung der Nutzeranzahl. Es werden keine Werbe- oder Cross-Site-Tracking-Cookies gesetzt.
12. Änderungen der Politik
Diese Richtlinie kann aktualisiert werden, um technische, rechtliche oder funktionale Änderungen widerzuspiegeln.
Jede wesentliche Änderung wird den Nutzern mitgeteilt (Benachrichtigung innerhalb der Anwendung oder per E-Mail).
Das Datum der letzten Aktualisierung befindet sich oben in diesem Dokument.
13. Kontakt
Für alle Fragen bezüglich dieser Datenschutzrichtlinie oder der Verarbeitung Ihrer personenbezogenen Daten:
- E-Mail : support@kartes.io
- 6 rue d'Armaillé, 75017 Paris