SPLT Data Protection Statement

 

English Version

German

Datenschutzerklärung SPLT

Der Schutz der personenbezogenen Daten unserer Nutzer und die Wahrung des Datenschutzes haben
für SPLT höchsten Stellenwert. Die vorliegenden Grundsätze dienen dazu, die wichtigsten Fragen zum
Datenschutz bei der Nutzung von SPLT zu klären. Alle SPLT-Nutzer müssen diesen Grundsätzen
zustimmen. Dies wird dokumentiert und sicher gespeichert.

ADAC Nutzer können SPLT ab 8. und 9. November 2017 herunterladen und einen Account einrichten.
Der Routenabgleich beginnt unmittelbar danach am 10. November und läuft bis 16. Februar 2018.

1. Inwiefern gelten diese Datenschutzgrundsätze für SPLT?

SPLT organisiert und koordiniert Mitfahrgelegenheiten von und zur Arbeit für Mitarbeiter von
Großunternehmen.

Wir nutzen erhobene Informationen zu folgenden Zwecken:

ZWECKE

RECHTSGRUNDLAGE

Diese Verarbeitung ist zur Erfüllung unserer
gegenseitigen vertraglichen Pflichten
erforderlich.

1.1. Erfüllung unserer Pflichten aus zwischen Ihnen
und uns abgeschlossenen Verträgen und
Bereitstellung der von Ihnen angeforderten
Informationen bzw. Leistungen;

Diese Verarbeitung ist zur Erfüllung unserer
gegenseitigen vertraglichen Pflichten
erforderlich und/oder erfolgt mit Ihrer
Zustimmung.

1.2. Übermittlung von Informationen in
Zusammenhang mit den Leistungen per E-Mail
und/oder SMS und/oder sonstigem Wege (z.B.
Buchungsbestätigung);

Diese Verarbeitung erfolgt mit Ihrer
Zustimmung.

1.3. Personalisierung Ihres Nutzerprofils auf unseren
Plattformen;

Diese Verarbeitung ist zur Erfüllung unserer
gegenseitigen vertraglichen Pflichten
erforderlich und/oder erfolgt mit Ihrer
Zustimmung.

1.4. Ermöglichung von Kommunikation und
Herstellung des Kontakts zwischen Ihnen und anderen
Mitgliedern zum Informationsaustausch über unsere
Leistungen oder über Fahrten, die Sie gemeinsam mit
anderen Mitgliedern unternehmen, und/oder zur
Organisation solcher Fahrten;

Diese Verarbeitung ist (i) zur Erfüllung
unserer gegenseitigen vertraglichen Pflichten
erforderlich, erfolgt (ii) mit Ihrer Zustimmung
und/oder ist (iii) für die Geltendmachung
bzw. Wahrung rechtlicher Ansprüche
erforderlich.

1.5. Herstellung des Zugangs zu Supportleistungen
und des Kontakts mit unserem Kundendienst;

Diese Verarbeitung ist zur Erfüllung (i)
unserer gegenseitigen vertraglichen
Pflichten, (ii) unserer gesetzlichen Pflichten
und/oder (iii) für die Geltendmachung bzw.
Wahrung rechtlicher Ansprüche erforderlich.

1.6. Einhaltung (i) der geltenden Gesetze, (ii) unserer
Geschäftsbedingungen und (iii) unserer
Datenschutzbestimmungen. Bestimmte Verstöße
werden unsererseits als unangemessen erachtet und
können die Deaktivierung Ihres Accounts nach sich
ziehen;

Diese Verarbeitung erfolgt mit Ihrer
Zustimmung und/oder in Ihrem berechtigten
Interesse (d.h. Bereitstellung einschlägiger
Werbung).

1.7. Übermittlung von Werbematerial und -
informationen, sofern gesetzlich zulässig und falls
erforderlich mit Ihrer Zustimmung, zur Unterstützung
der Leistung oder des Buchungsprozesses und für die
Empfehlung von Waren oder Dienstleistungen, die mit
unseren Leistungen zusammenhängen und Sie
interessierten könnten.

Diese Verarbeitung ist zur Erfüllung (i)
unserer gegenseitigen vertraglichen
Pflichten, (ii) unserer gesetzlichen Pflichten
und/oder (iii) für die Geltendmachung bzw.
Wahrung rechtlicher Ansprüche erforderlich.

1.8. Bekanntgabe von Änderungen unserer
Leistungen;

Diese Verarbeitung erfolgt in unserem
berechtigten Interesse (d.h. Gewährleistung
der Sicherheit unserer Plattformen und
Verbesserung der Funktionalität).

2.11. Verwaltung unserer Plattformen und interne
Maßnahmen wie Fehlersuche, Datenanalyse, Tests,
Forschung, Analyse- und Umfragezwecke;

 

Diese Verarbeitung erfolgt in unserem
berechtigten Interesse (d.h. Lieferung
einschlägiger Inhalte).

2.12. Verbesserung unserer Plattformen, damit
Inhalte in der für Sie und Ihr Gerät am sinnvollsten Art
und Weise dargestellt werden;

Diese Verarbeitung ist (i) zur Erfüllung
unserer gegenseitigen vertraglichen Pflichten
und/oder (ii) erfolgt mit Ihrer Zustimmung.

2.13. Ermöglichung Ihrer Nutzung der von Ihnen
angewählten interaktiven Funktionen unserer
Leistungen;

Diese Verarbeitung erfolgt (i) in unserem
berechtigten Interesse (d.h. Gewährleistung
der Sicherheit unserer Plattformen), (ii) zur
Geltendmachung bzw. Wahrung rechtlicher
Ansprüche und/oder (iii) zur Erfüllung
unserer gesetzlichen Pflichten.

2.14. Im Rahmen unserer Bemühungen, die Sicherheit
unserer Plattformen zu wahren; und

Diese Verarbeitung erfolgt (i) in unserem berechtigten Interesse (d.h. Messung und
Optimierung der Effizienz unserer
Werbekampagnen) und/oder (ii) mit Ihrer
Zustimmung.

2.15 Messung bzw. Dokumentation der Effektivität von an Sie oder Dritte gerichteter Werbung und
Unterbreitung einschlägiger Werbung an Sie.

Überblick über die Funktionsweise von SPLT:

Der Nutzer richtet regelmäßige oder einmalige geschäftliche oder private Fahrten (nur Hinfahrt oder
Hin- und Rückfahrt) ein. Zeit und Ort sind frei wählbar.

Der Nutzer kann auswählen, an welchen Strecken oder Fahrgemeinschaften er teilnimmt. Innerhalb der App besteht die Möglichkeit, mit anderen zu kommunizieren, ein bargeldloses Erstattungs-Tool und
andere Funktionalitäten für Android oder iOS zu nutzen. Nähere Informationen zur SPLT-Plattform und Nutzerhinweise sind auf unserer Website unter www.splt.io zu finden.

2. Welche personenbezogenen Daten erhebt SPLT von den Nutzern der Plattform und zu welchem
Zweck?

2.1 Bei der Registrierung erhebt SPLT folgende Daten: Name, Foto (optional), geschäftliche E-Mail-
Adresse, Telefonnummer, Fahrzeugmodell (nur Fahrer) und Passwort.

2.2 Zur Leistungserbringung und insbesondere zur Erleichterung von Routenabgleich und Erstattung von
Zahlungen erhebt und verarbeitet SPLT Informationen über einzelne Fahrgemeinschaften und ihre
weiteren Transaktionen. Daher erheben wir Informationen zu Beginn, Ende und während der Dauer der
Fahrt einer Fahrgemeinschaft. Erhoben werden lediglich die Anschriften der zurückgelegten Routen, die
jeweilige Fahrtdauer, die Fahrzeugdaten (Hersteller, Modell, Baujahr, Zahl der Sitze und (optional)
Farbe), die Tage, an denen die Fahrten durchgeführt werden und ob es sich um Hin- und Rückfahrt
handelt. Diese Daten werden verwendet, um mit Hilfe unserer einzigartigen Methode zur Optimierung
pünktlicher Abfahrten zum und vom Arbeitsplatz Übereinstimmungen für Mitfahrgelegenheiten zu
ermitteln.

2.3 Aktiviert ein Nutzer die GPS-Ortung in der SPLT-App, so erhebt und verarbeitet SPLT Informationen
zum Standort des Nutzers, insbesondere Breitengrad, Längengrad, Richtung, Geschwindigkeit und
Fahrtzeit. Diese Informationen dienen der Nachverfolgung und Validierung von Fahrten von
Fahrgemeinschaften. Wir nutzen den Fahrerstandort, um Mitfahrern die voraussichtliche Ankunftszeit
zur Verfügung zu stellen. Auf die gleiche Weise können wir mit Hilfe der Geokoordinaten feststellen,
dass eine Fahrt stattgefunden hat. Für diese Ortungsdaten ist die Erlaubnis erforderlich, im Hintergrund
Ortungsdaten zu erheben während die App ausgeführt wird und wenn sie nicht läuft. Die Daten werden
für einen Zeitraum von maximal sechs Jahren nachverfolgt und zum Zwecke der Dokumentation
gespeichert (Historie), damit die durch die Bildung von Fahrgemeinschaften gesparten Kilometer in das
Reporting einfließen können. Nutzer können auf diese Daten jedoch nur zugreifen, so lange eine
bestimmte Strecke aktiv bzw. der Nutzer-Account gültig ist. Fahrer und Mitfahrer werden über den
Tagesverlauf nachverfolgt, um eine intelligentere Plattform zu schaffen, die anhand der Geokoordinaten
automatisch Aktionen auslöst wie z.B. automatisches Setzen der Abfahrtszeit oder Benachrichtigung für demnächst anstehende Fahrten. Diese Funktion kann vom Nutzer bei den Einstellungen sowohl unter
Android als auch iOS deaktiviert werden.

Endet die Fahrt durch Antippen der Schaltfläche Fahrtende (End Ride), so endet auch die
Nachverfolgung/Aufzeichnung. Die erhobenen GPS-Daten werden spätestens nach sechs Jahren
gelöscht.

2.4 Darüber hinaus behält sich SPLT das Recht zur Nutzung anonymisierter Daten zur Verbesserung des
Angebots und Produktentwicklung vor (dies gilt jedoch nicht für Transaktionen von Fahrgemeinschaften
in Großunternehmen). Solche Verbesserungen verwenden anonymisierte Fahr- und Routendaten zur
Feinabstimmung und „Schulung“ des Systems, damit durch die Aufzeichnung der Nutzerpräferenzen ein
intelligenterer Routenabgleich erfolgen kann. Diese Daten werden intern in unseren Systemen für
Routenabgleich und Mitfahrgelegenheiten verwendet, um einen besseren Abgleich zu erreichen, und
werden ausdrücklich nicht an Dritte weitergegeben.

2.5 Personenbezogene Daten werden zu keinem anderen Zweck verarbeitet. SPLT speichert
personenbezogenen Daten nur so lange, wie dies zu vertraglichen Zwecken erforderlich ist, höchstens
jedoch für sechs Jahre.

2.6 Lokal auf den Geräten werden folgende Daten gespeichert: Vorname, Profilfoto, Routenstopps,
Unternehmensdaten (Name), Fahrzeuginformationen des Fahrers - optional (Baujahr, Hersteller,
Modell) und ähnliche Informationen für andere Nutzer.

3. Teilt SPLT personenbezogene Daten an Dritte mit ?

3.1 Die von uns erhobenen Informationen einschließlich anonymisierter Daten werden von uns an Dritte
weder verkauft, noch gehandelt oder sonst wie übertragen. Dies beinhaltet nicht Website- und Data
Hosting-Partner und sonstige Dritte, die uns bei der Abwicklung unserer Leistungen, der Durchführung
unseres Geschäfts oder im Rahmen der Wartung für Sie unterstützen, sofern diese Parteien sich
verpflichten, die Informationen vertraulich zu behandeln. Außerdem können wir Ihre Informationen
offenlegen, wenn dies zur Einhaltung gesetzlicher Bestimmungen geboten ist, oder um unsere
Grundsätze durchzusetzen oder unsere Rechte, unser Eigentum oder unsere Sicherheit bzw. die Rechte,
das Eigentum oder die Sicherheit Dritter zu wahren. In diesen Fällen würden wir Ihre Informationen nur
innerhalb der EU weitergeben, ohne dass von außerhalb der EU darauf zugegriffen werden kann. Nicht
personenbezogene Besucherdaten können Dritten gegenüber für Marketing, Werbung und sonstige
Zwecke offengelegt werden.
Unter folgendem Link finden Sie Informationen über den Datenschutz der AWS (Amazon Web Services)
in Deutschland: https://aws.amazon.com/compliance/germany-data- protection/

3.2 Alle Daten werden auf einem Server in Deutschland auf deutschen Servern gespeichert und
verlassen Deutschland oder die EU nur mit Zustimmung des Nutzers im Rahmen des Kundensupports
einschließlich über Desk.com.

3.3 Das Reporting wichtiger Messdaten wie absolvierte Fahrten erfolgt anonymisiert und
zusammengefasst, nicht einzeln.
3.4 Kleine Datenmengen laufen zufällig über Dritte, um übliche App-Aktionen wie Push-Nachrichten (für
alle Updates Ihres Accounts wie gefundene Mitfahrgelegenheiten und begonnene
Pendlergemeinschaften), SMS-Nachrichten (für telefonische Verifizierung) und E-Mail (für Updates beider App- und Account-Verifizierung) durchzuführen. Der Versand von Push-Nachrichten erfolgt über
Pushwoosh. Für SMS-Nachrichten und Anrufe verwenden wir Nexmo und Twilio. Zur Versendung von E-
Mails verwenden wir Mandrill. Zur Protokollierung wichtiger App-Informationen und Fehler verwenden
wir Sentry.

3.5 Der Datenaustausch zwischen Nutzern ist anonymisiert. Nutzer sehen nur die Anfangsbuchstaben
des Vor- und des Nachnamens. Bei Anrufen über die SPLT-App sind die Nummern der Nutzer
anonymisiert. Profilfotos sind für andere Nutzer sichtbar.

3.6 In rechtlichen Angelegenheiten gibt SPLT Nutzerdaten an die lokalen Behörden weiter.

4. Wie schützt SPLT personenbezogene Daten?

SPLT hat strenge Sicherheitsvorkehrungen zum Schutz personenbezogener Daten seiner Nutzer
getroffen. Diese Sicherheitsvorkehrungen umfassen den Schutz gegen unbefugten Zugriff, Verlust,
Zerstörung oder Manipulation durch Dritte. Sämtliche Sicherheitsvorkehrungen werden regelmäßig
überprüft und angepasst, um dem neuesten technischen Stand zu entsprechen. Unsere App wird
regelmäßig auf Sicherheitslücken und bekannte Schwachstellen gescannt, damit Besuche auf unserer
Website so sicher wie möglich sind. Wir führen regelmäßig Malware-Scans durch. Ihre persönlichen
Informationen befinden sich hinter gesicherten Netzwerken und sind nur einem beschränkten
Personenkreis zugänglich, der zur Vertraulichkeit verpflichtet ist und spezielle Zugriffsrechte für diese
Systeme hat. Darüber hinaus werden alle von Ihnen weitergegebenen sensiblen Daten mittels Secure
Socket Layer (SSL) verschlüsselt. Wir führen eine Vielzahl von Sicherheitsmaßnahmen durch, wenn
Nutzer bei Aufgabe einer Bestellung ihre Daten eingeben, senden oder darauf zugreifen, um die
Sicherheit ihrer persönlichen Informationen zu wahren. Alle Transaktionen werden über alle
Übertragungsstationen hinweg verschlüsselt (End-to- End), über einen Gateway-Provider verarbeitet und
auf unseren Servern weder gespeichert noch verarbeitet.

Daten von Nutzern aus der EU liegen auf Servern in Frankfurt in einer von Amazon Web Services
gehosteten Virtual Private Cloud (VPC). Ruhende Server-Daten werden über gesicherte Client-Server-
Verbindungen per SSL verschlüsselt. Der API-Zugriff wird über API-Schlüssel und Nutzerschlüssel
kontrolliert. Nähere Informationen finden Sie bei den Datenschutzregelungen von Amazon für
Deutschland: https://aws.amazon.com/compliance/germany-data- protection/

SPLT hält sich an die Vorgaben von EU Privacy Shield einschließlich der sieben Datenschutzgrundsätze
sowie der 16 verbindlichen Zusatzgrundsätze, soweit sie für aus der EU empfangene personenbezogene
Daten maßgeblich sind. Die Beitrittsbestimmungen (in englischer Sprache) sind hier zu finden:
https://www.privacyshield.gov/article?id=Requirements-of- Participation

5. Welche Rechte hat der Nutzer und wie kann er diese geltend machen?

Auf Anfrage des Nutzers teilt SPLT mit, ob personenbezogene Daten von SPLT gespeichert werden und
ggfs. um welche (von den oben aufgeführten) Daten es sich handelt. Sind falsche Informationen
gespeichert, so werden diese von SPLT umgehend auf Anfrage korrigiert und aktualisiert. Vor der
Beantwortung von Anfragen bitten wir eventuell um (i) Nachweis Ihrer Identität und (ii) Angabe weiterer
Informationen, um bestmöglich antworten zu können.Nutzer sind auch berechtigt, die Erlaubnis für
bestimmte Zugriffe z.B. Push-Mitteilungen, Karten, Standort-Tracking im Hintergrund und Zugriff auf die
Fotogalerie des Nutzers zu erteilen oder zurückzuziehen bzw. zu verweigern. Derzeit ist es Nutzern noch nicht möglich, ein Profilfoto zu löschen oder die Anzeige zu deaktivieren. Hier muss sich der Nutzer an
uns wenden, damit wir das Foto entfernen, sofern eines hinzugefügt wurde.

Bitte beachten Sie, dass wir in bestimmten Fällen gesetzlich oder aus rechtlichen Gründen verpflichtet
sind, bestimmte Informationen über Sie zu sichern. Wenn beispielsweise der Verdacht auf Betrug oder
Verstoß gegen unsere Geschäftsbedingungen besteht, speichern wir gegebenenfalls einige Ihrer
Informationen, um zu vermeiden, dass die für unsere Plattformen geltenden Regeln umgangen werden.

Auf Anfrage löschen wir jederzeit sämtliche Nutzerdaten in unseren Systemen, soweit dies möglich ist,
außer diese sind anonymisiert und nicht auf die betreffende Person zurückzuführen (in Fällen, in denen
die Daten für ähnliche, bereits durchgeführte Fahrten benötigt werden). Auf Anfrage werden
Nutzerdaten auch aus den Systemprotokollen oder Sentry-Protokollen gelöscht.
Die Datenspeichergrundsätze (in englischer Sprache) von Sentry sind unter folgendem Link zu finden:

https://sentry.io/privacy/#data-retention

Für Fragen zu Ihren Rechten stehen wir jederzeit zur Verfügung:

Splitting Fares, Inc.

Postanschrift: 330 E Liberty, Ann Arbor, MI 48104, USA

Telefon: 001-844- 538-7758

E-Mail: support@splt.io

English

SPLT Data Protection Statement

 Protecting our user’s personal data and privacy is of the utmost importance to Splitting Fares Inc (“SPLT”). With the following information, we would like to give you as a customer or as an interested party in our services an overview of the processing of your personal data by us and of your rights under data protection law. 

SPLT complies with the EU-U.S. Privacy Shield Framework as set forth by the U.S. Department of Commerce regarding the collection, use, and retention of personal information transferred from the European Union to the United States. SPLT has certified to the Department of Commerce that it adheres to the Privacy Shield Principles. If there is any conflict between the terms in this privacy policy and the Privacy Shield Principles, the Privacy Shield Principles shall govern. To learn more about the Privacy Shield program, and to view our certification, please visit https://www.privacyshield.gov/ 

 

1. What is SPLT and how does it work for the user? 

The purpose of the SPLT Platform is to provide the organization and coordination of shared rides to and from work among the staff of corporations. 

To that end, users may set up recurring or non-recurring business or non-business routes at the time and place of their choosing, either one-way or roundtrip. 

Users may select which routes and carpools to participate in, with the ability to communicate within the app, use a cashless reimbursement tool, and other functionality on Android or iOS. Please refer to our website at www.splt.io for more detailed information on the SPLT Platform and how it is used. 

The SPLT Platform is not directed at children under 16 years of age. 

 

2. What personal data does SPLT collect from its users?

2.1. Personal data is any information relating to an identified or identifiable natural person. We process personal data that we receive from our customers or other data subjects in the course of our business relationship. We collect and process personal data only if there is a legal basis for this or if you have given us your consent to do so, e. g. during your registration (for more information on this see section 4 below). 

2.2. Upon registration, SPLT collects the following personal data from its users: name, photo (optional), work e-mail address, phone number, car model (Drivers only) and password. 

2.3. To provide our service, particularly to facilitate the route-matching and reimbursement of payments among users (rider and driver), SPLT collects and processes information on individual carpools and their subsequent transactions. Thus, we collect information at start, at end and throughout the duration of a carpool route. The data collected is limited to addresses from the routes traveled, the times these routes are performed, the days they travel these routes, and whether or not it is a round trip as well as (optionally at the user’s discretion) the user’s car information (make, model, year, number of seats, and color). 

2.4. The SPLT app lets you organize carpool trips by messaging other members of your carpool. Thus these messages are collected by SPLT. 

2.5. In case a user activates location detection via GPS in the SPLT app, we collect and processes information regarding the location of the user including: latitude, longitude, direction, speed, and time of travel. 

Once the ride ends by tapping the End Ride button, tracking ends as well. The GPS data collected is deleted after a maximum of six years. 

2.6. In addition, SPLT retains the right to use anonymized data to improve its offerings, for product improvement purposes (however, this does not apply to carpool transactions that are settled on behalf of corporations). These improvements include using anonymized driving and route data to fine-tune and train the system to match people in a more intelligent way by tracking people’s preferences for route matches. This data is used internally by our matching and carpooling systems to provide better matching services and not explicitly provided to third parties. 

2.7. The following data is primarily stored locally on the device and will be synchronized with the SPLT backend for backup purposes and for the purpose of matching users for their carpool: First name, profile photos, route stops, company information (name), as well as optionally at the user’s discretion the user’s car information (make, model, year, number of seats, and color). This data will be shared automatically within the app between the members of the same carpool for this carpools’ purposes. 

 

3. What permissions does the SPLT app require? 

Included below is a description of each permission that SPLT requests within the app, on both Android and iOS, from its users and the functional reasons why it is requested. Users can agree or disagree to any of the permission requests. However, permission requests that are needed for the app to run functionally are denoted by a “*”. 

3.1. Android Permissions: 

 

REQUEST

REASON

INTERNET * 

Used to communicate with our API. 


CAMERA 

We use this to take your profile pictures. 


SYSTEM_ALERT_WINDOW 

A built-in React Native tool used for us to debug. 


VIBRATE 

Vibrates the phone when you get a notification. 


ACCESS_NETWORK_STATE *

To stop network requests when you don't have network access and display a message saying you don’t have internet.


ACCESS_COARSE_LOCATION *

To see where you are during your carpool.


ACCESS_LOCATION_EXTRA_COMMANDS *

This allows us to see when you move and allow us to better update the carpool.


WAKE_LOCK

Used by react-native-push-notification.


RECEIVE_BOOT_COMPLETED

Added by react-native-push-notification.


GET_TASKS

This constant was deprecated in API level 21. No longer enforced. We don't use this but it is a default for react-native.


BLUETOOTH

We use this to talk to bluetooth devices. Added by react-native-device-info.


NOTE ON Android PERMISSIONS: Android segregates its permission into normal permissions and not normal permissions. Normal permissions are defined as permissions that are granted automatically and which indicate that there's no great risk to the user's privacy or security in letting apps have those permissions. Normal permissions include: INTERNET, VIBRATE, ACCESS_NETWORK_STATE, ACCESS_LOCATION_EXTRA_COMMANDS, WAKE_LOCK, RECEIVE_BOOT_COMPLETED, and BLUETOOTH. 

Some permissions are also added by third party libraries, but those that are most important are the Locations, which we use to track user locations to coordinate pickup locations and times. This is how the app knows where the driver is located. Camera is used to take profile pictures and access their pictures. 

3.2. iOS Permissions: 

 

REQUEST

REASON


Camera Usage

We require access to the camera to update your profile photo


NSLocationAlwaysAndWhenInUseUsage *

We require your location to track your carpool locations 


NSLocationAlwaysUsage *

We require your location to track your carpool locations.


NSLocationWhenInUseUsage *

We require your location to track your carpool locations.


NSMotionUsage *

We require your location to track your carpool locations. This is the fitness data we request


NSPhotoLibraryUsage

We require your photo library to update your profile photo


Push notifications

Used to send you updates and reminders


4. What personal data does SPLT collect from its users and for what purposes?

We will use the information we collect:

 

PURPOSES

LEGAL BASIS


4.1. to carry out our obligations arising from any contracts entered into between you and us and to provide you with the information and services that you requested from us; 

This processing is necessary for the performance of our mutual contractual obligations. 


4.2. To provide you with additional and advanced functionalities of our service (examples are: use of the data described in section 2.3 for the purposes of providing carpool matches based on our unique solution for optimizing on-time trips to and from work; use of the data described in section 2.4 to validate the occurrence of a ride, for tracking and validating rides based on carpools and for providing estimated time of arrivals of drivers to riders) 

This processing is necessary for the performance of our mutual contractual obligations and/or based on our legitimate interest (i.e. providing you with a better and competitive service). 


4.3. to send you service-related information and other communication pertaining to your carpools by email and/or text message and/or any other communication means (e.g. your booking confirmation; 

This processing is necessary for the performance of our mutual contractual obligations. 


4.4. to facilitate the reimbursement of payments between you and other users (rider and driver), usually by way of third party (payment provider) services ; 

This processing is necessary for the performance of our mutual contractual obligations. 


4.5. to enable you to personalize your user profile on our Platforms; 

This processing is necessary for the performance of our mutual contractual obligations and/or based on our legitimate interests (i.e. providing you with a better and competitive service).


4.6. to enable you to communicate and interact with other members about our services or about the trips(s) you have/will share with other members and/or to organize such trips via messaging and calling;

This processing is necessary for the performance of our mutual contractual obligations. 


4.7. to give you access to our support services and to enable you to communicate with our member relations team; 

This processing is necessary for the performance of our mutual contractual obligations.


4.8. to ensure compliance with (i) applicable laws, (ii) our Terms and Conditions, and (iii) our Privacy Notice. Certain breaches that we regard as inappropriate may lead to the suspension of your account;

This processing is necessary (i) for the performance of our mutual contractual obligations, (ii) for compliance with our legal obligations and/or (iii) for the establishment, exercise or defence of legal claims. 


4.9. to notify you about changes to our services;

This processing is necessary (i) for the performance of our mutual contractual obligations, (ii) for compliance with our legal obligations and/or (iii) the establishment, exercise or defence of legal claims.


4.10. to administer our Platforms and for internal operations, including troubleshooting, data analysis, testing, research, analytic and survey purposes (e.g. we store the data described in section 2.4 for historical tracking purposes and to be able to anonymized report kilometers reduced by carpooling); 

This processing is based on our legitimate interest (i.e. ensuring the security of our Platforms and improving its features). 


4.11. to improve our Platforms to ensure that content is presented in the most effective manner for you and for your device (e.g. we use the data described in section 2.4 in order to create a smarter platform that can automatically trigger geolocation based actions, such as starting a ride automatically or notification of an upcoming ride); 

This processing is based on our legitimate interest (i.e. providing you with meaningful content). 


4.12. to allow you to participate in interactive features of our service (such as e.g. providing messages or call between you and other users in connection to your mutually shared rides), when you choose to do so; 

This processing is necessary (i) for the performance of our mutual contractual obligations and/or (ii) based on your consent. 


4.13. as part of our efforts to keep our Platforms safe and secure;

This processing is based on (i) our legitimate interest (ensuring the security of our Platforms), (ii) carried out for the establishment, exercise or defense of legal claims and/or (iii) for compliance with our legal obligations. 


4.14. to allow you to participate in our rewards platform, where you can earn rewards based on the tons of CO2 saved by sharing your trips; as part of this participation your user name may appear on the rewards list and report.

This processing is based on your consent.


5. Who can access my personal data? 

5.1. Within SPLT, access to your personal data is only possible under a strict need-to-know policy in order to fulfill our contractual and legal obligations. To that end, service providers and our agents may also receive your personal data, if they in particular maintain confidentiality and integrity. We have carefully selected the service providers and our agents and regularly monitor them, in particular their careful handling and safeguarding of the personal data stored with them. In compliance with the applicable data protection regulations, we in particular pass on required personal data to the following processors outside of SPLT for the provision of our services for the following reasons::

 

PROCESSOR
NAME

DATA USED BY THIS PROCESSOR

WHY


Google Maps

GPS coordinates, and addresses

Used to make routes between some origin and destination. Also used to suggest places that are nearby the user.


Twilio

Phone number

Used to send text messages and phone calls to notify user of their rides and when they arrive. Also used to anonymize calls between users of the app


Mandrill/Mailchi mp

Email address

Used to send emails to the users with information related to the application


Sentry

Phone OS, Phone device ID, email

Used to log important app information and to track internal errors


Nexmo

Phone number

Used to send text messages and phone calls to notify user of their rides and when they arrive. Also used to anonymize calls between users of the app


Pushwoosh

Phone device ID

This is used to send push notifications to the application. The Phone ID is used to route data


Stripe

Credit card information, billing address, name

Used to bill users. Also used to make payments through the application.


Paypal

Credit card information, billing address, name

Used to transfer money between users. We just use Paypal’s information


AWS

IP address

To route users to the proper server.


Desk.com

Name, Email

To log feedback from users


5.2. With regard to the transfer of data to third parties, it must first of all be noted that we only pass on required personal data in compliance with the applicable data protection regulations. As a matter of principle, we may only disclose information about you if required by law, if you have given your consent or if we are authorized to provide information. Under these conditions, recipients of personal data can be, for example: 

  • Public bodies and institutions (e. g., tax authorities, law enforcement agencies) in the event of a legal or official obligation
  • Creditors or insolvency administrators who file a petition in the course of enforcement proceedings
  • Auditors
  • Service providers that we use to process personal data on our behalf (see section 5.1 above).

5.3. We may provide third parties with non-personally identifiable visitor information for marketing, advertising, or other uses. Additionally, reporting of key metrics such as rides completed are anonymized and reported on a collective basis, not individual. 

5.4. The data exchange between the users is pseudonymized. Users only see first name and last initials. When calling one another through the SPLT app, user’s numbers are pseudonymized. The Users can see one another’s profile photos. Users can only see profile photos of suggested matches and not everyone at will. 

 

6. Is personal data transferred to a third country or international organization? 

6.1. In principle, all data will be stored on a server in Germany and will not leave Germany or the EU. However, as an exception to this general rule, personal data may be transferred to bodies in countries outside the European Union (so-called third countries) to the extent that it is legally required (e. g. tax reporting obligations), or to the extent the user has consented to such transfer of personal data. Furthermore, we may transfer personal data to bodies in third countries to the extent necessary for the purpose of customer support including Desk.com and to IT service providers in a third country to ensure SPLT’s IT operations while complying with European data protection standards. 

6.2. The companies listed in the Processor Name column in the table under section 5.1 above are based in the United States and are certified EU-US Privacy Shield or have agreed to abide to the requirements of the EU data privacy model clauses of the EU commission. 

 

7. How does SPLT protect personal data? 

SPLT has taken strict security precautions to protect the personal data of its users. These security precautions include protection against unauthorized access, loss, destruction or manipulation by third parties. All security precautions are reviewed on an ongoing basis and adjusted to reflect the latest state-of-the art. Our app is scanned on a regular basis for security holes and known vulnerabilities in order to make it as safe as reasonably achievable. We use regular Malware Scanning. Your personal information is contained behind secured networks and is only accessible by a limited number of persons who have special access rights to such systems and are required to keep the information confidential. We implement a variety of security measures when a user places an order, enters, submits, or accesses their information to maintain the safety of your personal information. All transactions are encrypted end to end and processed through a gateway provider and are not stored or processed on our servers. 

EU users will have data hosted in servers located in Frankfurt on a VPC within Amazon Web Services hosting. Server data is encrypted at rest with secured connections between clients and the servers via SSL. API access is controlled via API keys and user keys. For reference, please see Amazon’s Data Protection in Germany: https://aws.amazon.com/compliance/germany-data-protection/ 

SPLT abides by the EU Privacy Shield, including the seven privacy principles and 16 binding supplemental principles as they relate to personal data received from the EU. For reference, see the Requirements of Participation here: https://www.privacyshield.gov/article?id=Requirements-of- Participation 

 

8. How long will my personal data be stored? 

8.1. We process and store your personal data as long as it is necessary for the fulfilment of our contractual and/or legal obligations. 

8.2. If your personal data is no longer required for the fulfilment of our contractual and/or legal obligations, it will be deleted regularly, unless its further processing - limited in time - is necessary for the following purposes:

  • Fulfilment of commercial and tax law storage obligations (German Commercial Code (HGB), German Tax Code (AO), German Money Laundering Act (GwG)). As a rule, the periods for storage and documentation specified therein are between two and ten years.
  • Preservation of evidence within the framework of the statutory limitation period (e.g. if we believe you have committed fraud or violated our Terms and Conditions, we may want to keep some of your information to avoid that you circumvent the rules applicable to the SPLT Platform). Pursuant to sections 195 et seqq. of the German Civil Code (BGB), the statutory limitation period can be up to 30 years, whereby the regular statutory limitation period is 3 years.

 

9. What rights do I have as a user and how can I assert them? 

9.1. Every user has the right of access in accordance with Article 15 of the General Data Protection Regulation (GDPR), the right to rectification in accordance with Article 16 GDPR, the right to erasure in accordance with Article 17 GDPR, the right to restriction of processing in accordance with Article 18 GDPR, the right to data portability in accordance with Article 20 GDPR and the right to object under Article 21 GDPR. In addition, you have the right to lodge a complaint with the competent supervisory authority in accordance with Article 77 GDPR in conjunction with section 19 Federal Data Protection Act (BDSG-neu). 

9.2. With regard to the right of access and the right to erasure, the restrictions according to sections 34 and 35 of the Federal Data Protection Act (BDSG-neu) apply. 

9.3. Before responding to your request, we may ask you to (i) verify your identity and (ii) provide further details so we can better respond to your request. 

9.4. You may revoke your consent to the processing of your personal data at any time. This also applies to the revocation of consent given to us before the application of the GDPR, i. e. before 25 May 2018. Please note that the revocation will only take effect for the future. Processing carried out prior to revocation is not affected. 

 

10. Is there a statutory or contractual requirement for the user to provide data? 

Within the scope of our business relationship, you must provide personal data that is necessary for the initiation, execution and termination of a business relationship and for the fulfilment of the associated contractual obligations or that we are legally obliged to collect. Without this information, we will usually not be able to enter into, execute and terminate a contract with you. 

 

11. Changes to this Data Privacy Policy

We reserve the right to change our security and data protection measures as necessary due to technical developments. In these cases, we will also adapt our Data Privacy Policy accordingly. Therefore, please always take note of the current version of our Data Privacy Policy. 

 

12. Who is responsible for data processing and who can I contact? 

Responsible for data processing is 

Splitting Fares, Inc.
330 E Liberty, Ann Arbor, MI 48104
United States of America 

In compliance with the Privacy Shield Principles, SPLT commits to resolve complaints about our collection or use of your personal information. EU individuals with inquiries or complaints regarding our Privacy Shield policy should first contact SPLT’s data protection officer at: 

Matthias Goebel
Group data protection officer
Information security and data protection Bosch group (C/ISP) 
Robert Bosch GmbH
Kronenstrasse 20
70173 Stuttgart
Germany 

 

E-Mail: Matthias.Goebel3@de.bosch.com 

SPLT has further committed to refer unresolved Privacy Shield complaints to JAMS an alternative dispute resolution provider located in the [United States]. If you do not receive timely acknowledgment of your complaint from us, or if we have not addressed your complaint to your satisfaction, please contact or visit https://www.jamsadr.com/file-an-eu-us-privacy-shield-or-safe-harbor-claim, for more information or to file a complaint. The services of JAMS are provided at no cost to you. 

Under certain conditions, more fully described on the Privacy Shield website [https://www.privacyshield.gov/article?id=How-to-Submit-a-Complaint], you may be entitled to invoke binding arbitration when other dispute resolution procedures have been exhausted. 

SPLT is subject to the investigatory and enforcement powers of the United States Federal Trade Commission. We remain potentially liable if an agent that we engage to assist us does so in a manner inconsistent with the Privacy Shield Principles.