DE DE
DE DE EN EN
Schlag den Huber! 2026

Datenschutzkonzept der Radbonus App

Stand 19.02.2026

Einleitung

Zweck und Ziel des Datenschutzkonzepts

Die Radbonus-App verfolgt einen am Markt unüblichen Ansatz im Datenschutz: Sie verzichtet vollständig auf die Erhebung identifizierender personenbezogener Daten. Dieses Datenschutzkonzept dokumentiert die technischen und organisatorischen Maßnahmen, die eine datensparsame und anonyme Nutzungserfahrung gewährleisten. Ziel ist es, den Datenschutz der Nutzer konsequent zu gewährleisten und dabei die gesetzlichen Anforderungen, insbesondere der DSGVO, zu erfüllen. Die Radbonus-App verarbeitet Nutzungsdaten ohne Identitätsbezug. Die Daten sind aus Sicht der Radbonus GmbH als Verantwortlicher nicht einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen (ErwG 26 DSGVO; relativer Personenbezug nach EuGH C-413/23 P). Radbonus hält die DSGVO-Grundsätze vorsorglich ein.

Geltungsbereich der Datenschutzmaßnahmen

Dieses Datenschutzkonzept gilt für die gesamte Radbonus-App sowie alle zugehörigen Serveranwendungen und Dienste im Rahmen der jeweiligen Partner-Welt. Es beschreibt die Erhebung, Verarbeitung, Speicherung und den Schutz der Daten, um die Privatsphäre der Nutzer umfassend zu wahren. Das Konzept wird vom Nutzer beim Betreten der Partner-Welt akzeptiert und gilt für die gesamte Dauer der Nutzung innerhalb dieser Partner-Welt.

Definitionen und Begriffe

Datenschutzansatz

Die Radbonus-App verfolgt einen Datenschutzansatz, der im Bereich der Mitarbeiter-Fitness- und Radförderungs-Apps ohne vergleichbares Gegenstück ist:

Dieser Datenschutzansatz stellt sicher, dass selbst im Falle eines Sicherheitsproblems keine identifizierbaren personenbezogenen Daten freigesetzt werden können, da solche Daten zu keinem Zeitpunkt erhoben oder gespeichert werden. Diese Architektur ist im Marktsegment der Mitarbeiter-Radförderungs-Apps nach Kenntnis der Radbonus GmbH ohne Vergleich — vergleichbare Anbieter setzen typischerweise auf Account-basierte Systeme mit E-Mail-Registrierung, GPS-Tracking und Drittanbieter-Analytics.

Verantwortlichkeiten

Datenschutzbeauftragter

Der Datenschutzbeauftragte der Radbonus GmbH ist Johannes Milczewski. Er ist verantwortlich für die Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften innerhalb des Unternehmens. Johannes Milczewski verfügt über umfassende Fachkenntnisse im Datenschutzrecht und in der Datensicherheit. Er ist der zentrale Ansprechpartner für alle datenschutzrelevanten Fragen und Anliegen.

Aufgaben des Datenschutzbeauftragten

Verantwortliche Stellen und Kontaktinformationen

Die Radbonus GmbH, vertreten durch die Geschäftsführer Marius-Eugen Gerdan und Katharina Gerdan-Dörenhoff, ist die verantwortliche Stelle für den Betrieb der Radbonus-App. Bei Fragen oder Anliegen zum Datenschutz können Sie sich an den Datenschutzbeauftragten Johannes Milczewski wenden.

Kontaktinformationen des Datenschutzbeauftragten:

Datenerhebung und -verarbeitung

Die Radbonus-App ermöglicht es Nutzern, ihre Radfahraktivitäten ohne Identitätsbezug zu erfassen. Die verarbeiteten Nutzungsdaten sind aus Sicht der Radbonus GmbH als Verantwortlicher nicht einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen. Dieses Konzept stellt sicher, dass die Privatsphäre der Nutzer architektonisch geschützt ist — nicht durch nachträgliche Maßnahmen, sondern durch Verzicht auf die Erhebung identifizierender Daten.

Arten der erhobenen Daten und deren Verarbeitung

Radbonus-ID

Optional: Nickname

Optional: Device-Tokens (Push-Notifications)

App- und Betriebssysteminformationen

Gefahrene Distanzen

Fahrradtyp

Optional: Zugehörigkeit zu einem Team

Zugehörigkeit zu einer Partner-Welt

Favoriten

Preisgewinn

Nicht gespeicherte Daten

Die Radbonus-App speichert bewusst keine Daten, die zur Identifizierung einer Person führen könnten. Dazu gehören:

Zweck der Datenerhebung und -verarbeitung

Die erhobenen Daten dienen ausschließlich dem Betrieb der Radbonus-App. Dies umfasst die Verbesserung der Nutzererfahrung, die Bereitstellung von Inhalten und die Teilnahme an Herausforderungen, Wettkämpfen und Missionen. Da Nutzungsdaten ohne Identitätsbezug erhoben werden, gewährleistet die Radbonus-App, dass die Privatsphäre der Nutzer stets gewahrt bleibt.

Preisgewinn

Sollte ein Nutzer einen Preis gewinnen, wird die Gewinnabwicklung vollständig außerhalb der Radbonus-App und ohne Erhebung personenbezogener Daten durch Radbonus durchgeführt. Die App zeigt dem Nutzer lediglich den Gewinn an. Die Einlösung erfolgt über vom Partner bereitgestellte Mechanismen wie z.B. Gutscheincodes, die direkt in der App angezeigt werden und keine Angabe personenbezogener Daten erfordern. Es werden weder in der App noch auf den Servern der Radbonus GmbH personenbezogene Daten im Zusammenhang mit der Gewinnabwicklung gespeichert.

Rechtsgrundlagen und Einordnung der Datenverarbeitung

Einordnung der verarbeiteten Daten

Die Radbonus-App verarbeitet ausschließlich Nutzungsdaten, die als anonyme Daten im Sinne des Erwägungsgrundes 26 der DSGVO einzustufen sind. Die nachfolgende Analyse belegt diese Einordnung.

Prüfungsmaßstab: Erwägungsgrund 26 DSGVO

Nach ErwG 26 DSGVO gelten die Grundsätze des Datenschutzes nicht für anonyme Informationen — d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Um festzustellen, ob eine Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei sind alle objektiven Faktoren zu berücksichtigen, insbesondere die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen.

Aktuelle Rechtsprechung: EuGH C-413/23 P vom 4. September 2025 (Relativer Personenbezug)

Der Europäische Gerichtshof hat mit seinem Urteil vom 4. September 2025 in der Rechtssache EDPS gegen Single Resolution Board (C-413/23 P) zentrale Grundsätze zur Einordnung von Daten als personenbezogen oder anonym bestätigt und präzisiert:

Diese Rechtsprechung stützt die Einordnung der Radbonus-Nutzungsdaten als anonym unmittelbar: Radbonus verfügt über keinerlei Mittel — weder rechtlich noch faktisch — um die Radbonus-ID einer natürlichen Person zuzuordnen. Es existiert kein Schlüssel, keine Zuordnungstabelle und kein technischer Pfad zur Re-Identifizierung. Die Daten sind aus der allein maßgeblichen Perspektive von Radbonus als Verantwortlichem anonym.

Abgrenzung zu Cookie-IDs und Online-Kennungen

Zufallsgenerierte Kennungen (z.B. Cookie-IDs, Tracking-IDs) können nach ständiger Rechtsprechung des EuGH personenbezogene Daten darstellen, wenn sie mit weiteren Informationen verknüpft werden können, um Nutzer wiederzuerkennen oder Profile zu erstellen (vgl. EuGH C-673/17 „Planet49", Rn. 45 ff.; ErwG 30 DSGVO). Entscheidend ist dabei nicht die Zufälligkeit der Kennung, sondern die Möglichkeit der Zuordnung zu einer natürlichen Person.

Die Radbonus-ID unterscheidet sich vom typischen Cookie-/Tracking-ID-Szenario in mehreren wesentlichen Punkten:

Während Cookie-IDs typischerweise in einem Ökosystem operieren, in dem Account-Daten, Geräte-Kennungen, Standortdaten und Drittanbieter-Netzwerke eine Verknüpfung ermöglichen, fehlen im Radbonus-System sämtliche dieser Verknüpfungspunkte. Die bloße Existenz einer zufallsgenerierten Kennung begründet keinen Personenbezug — es sind die Verknüpfungsmöglichkeiten, die den datenschutzrechtlichen Unterschied ausmachen.

Analyse: Warum die verarbeiteten Daten anonym sind

Die zentrale Frage lautet: Kann über die Radbonus-ID oder die damit verknüpften Datensätze eine natürliche Person identifiziert werden — durch Radbonus, durch Partner oder durch Dritte?

Die Radbonus-ID ist ein Schlüssel zu anonymen Daten, nicht zu einer Person:

Die Radbonus-ID wird mittels Zufallsgenerator erzeugt. Sie hat keinen Bezug zum Gerät, zur Telefonnummer, zu Hardware-Kennungen, zu Accounts bei Drittanbietern oder zu sonstigen identifizierenden Merkmalen. Es existiert weder bei Radbonus noch bei Dritten eine Zuordnungstabelle, die eine Verknüpfung zwischen der ID und einer natürlichen Person ermöglicht. Die über die ID verknüpften Datensätze enthalten Nutzungsdaten ohne Identitätsbezug: gefahrene Distanzen, Zeitstempel, Challenge-Teilnahmen, Fahrradtyp, Favoriten und Gewinninformationen. Keines dieser Datenfelder enthält personenbezogene Informationen. Radbonus besitzt keine Zusatzinformationen, mit denen eine Zuordnung zu einer natürlichen Person möglich wäre. Ein technischer Schlüssel, der auf nicht identitätsbezogene Datensätze verweist und für den keine Verknüpfungsmöglichkeit besteht, begründet keinen Personenbezug im Sinne des ErwG 26 — weder der Schlüssel selbst noch die damit verknüpften Daten werden durch die Existenz des Schlüssels zu personenbezogenen Daten.

Abgrenzung zur Pseudonymisierung:

Pseudonymisierung im Sinne von Art. 4 Nr. 5 DSGVO liegt vor, wenn personenbezogene Daten so verarbeitet werden, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können — wobei diese zusätzlichen Informationen gesondert aufbewahrt werden. Im Fall der Radbonus-App existieren solche „zusätzlichen Informationen" jedoch nicht: Es gibt keine Zuordnungstabelle, kein Mapping, keine Datenbank und keinen technischen Pfad, der eine Verbindung zwischen der Radbonus-ID und einer natürlichen Person herstellt. Die Radbonus-ID ersetzt nicht eine vorher bekannte Identität — sie wurde nie mit einer Identität verknüpft.

Zum Thema „Singling Out":

Singling-out und Linkability sind technische Eigenschaften stabiler Kennungen. Für die datenschutzrechtliche Einordnung ist entscheidend, ob daraus unter Berücksichtigung der nach allgemeinem Ermessen wahrscheinlich genutzten Mittel eine Zuordnung zu einer natürlichen Person möglich ist (ErwG 26 DSGVO).

ErwG 26 DSGVO benennt Singling Out als einen Faktor bei der Beurteilung, ob Daten einer natürlichen Person zugeordnet werden können. Singling Out beschreibt die Möglichkeit, einen einzelnen Datensatz in einer Datenbank zu isolieren und von anderen Datensätzen zu unterscheiden. Im Radbonus-System fehlt hierfür jeder Verknüpfungspunkt: Es werden keine Identitätsdaten, keine Standortdaten und keine IP-Adressen auf Anwendungsebene verarbeitet; Partner und andere Nutzer sehen ausschließlich aggregierte Kilometerstände ohne Zeit- oder Ereignisdetails. Im Einzelnen:

Singling Out ist ein Risikofaktor, aber ohne Identitätsbrücke nicht ausreichend. Die Art.-29-Datenschutzgruppe (WP 216) unterscheidet drei Kriterien für die Bewertung von Anonymisierungsverfahren: Singling Out (Isolierung), Linkability (Verknüpfung) und Inferenz (Rückschluss). Im Radbonus-System ist Singling Out technisch möglich (die Radbonus-ID ermöglicht die Isolierung eines Datensatzes) und Linkability innerhalb des Systems ist gegeben (Datensätze derselben ID können einander zugeordnet werden). Es fehlt jedoch jede realistische Möglichkeit, daraus eine natürliche Person zu bestimmen. Entscheidend ist nicht die bloße Isolierbarkeit, sondern ob der isolierte Datensatz einer natürlichen Person zugeordnet werden kann — direkt oder indirekt, durch den Verantwortlichen oder durch Dritte mit nach allgemeinem Ermessen wahrscheinlich genutzten Mitteln.

Die Radbonus-Datensätze enthalten keine identifizierenden Datenfelder. Ein isolierter Radbonus-Datensatz enthält: eine zufallsgenerierte ID, eine Distanz in Kilometern, einen Zeitstempel und ggf. Challenge-Teilnahmen. Keines dieser Felder identifiziert eine Person. Der Zeitstempel dokumentiert, wann eine Distanz dem System gemeldet wurde — nicht wann oder wo eine Fahrt begonnen oder geendet hat. Die Distanz beschreibt eine Strecke ohne Start- und Endpunkt, ohne Route, ohne geographischen Bezug. 12,3 km kann jede beliebige Route zwischen beliebigen Punkten sein. Ohne geographische Verortung fehlt Bewegungsdaten die Eigenschaft, die sie identifizierbar macht: der räumliche Kontext. Ein Pendler, der täglich 15 km fährt, ist aus den Radbonus-Daten nicht von hunderttausenden anderen Personen unterscheidbar, die ebenfalls 15 km fahren.

Das häufig angeführte Szenario „nur eine Person fährt nachts 40 km" setzt Wissen voraus, über das weder Radbonus noch der Partner verfügt. Um aus dem Datensatz „Zufalls-ID XYZ, 40 km, 23:15 Uhr" auf eine konkrete Person zu schließen, müsste ein Angreifer gleichzeitig über zwei Informationsquellen verfügen: (1) Zugriff auf die individuellen Nutzungsdaten von Radbonus (Zeitstempel, Distanz pro Nutzer) und (2) externes Kontextwissen über die Angehörigen der betreffenden Partner-Welt (wer fährt wann wie weit). Die Architektur von Radbonus stellt sicher, dass diese beiden Informationsquellen bei keinem Akteur zusammenfallen: Radbonus verfügt über die individuellen Nutzungsdaten, kennt aber weder die Identität noch die Gewohnheiten der Mitarbeiter des Partners. Der Partner kennt seine Mitarbeiter, erhält von Radbonus aber ausschließlich aggregierte Gesamt-Kilometer — keine individuellen Zeitstempel, keine Distanzen pro Fahrt, keine Aktivitätsmuster einzelner Nutzer (siehe Abschnitt „Datenschutzrechtliche Rolle der Partner"). Selbst eine Person, die sowohl Radbonus-Mitarbeiter als auch Partner-Mitarbeiter wäre, hätte keinen Zugriff auf die individualisierten Nutzungsdaten anderer Radbonus-IDs.

Linkability scheitert am Fehlen von Verknüpfungspunkten. Eine Verknüpfung der Radbonus-Datensätze mit externen Datenquellen (Fitnessapps, Arbeitszeiterfassungen, Social Media) erfordert einen gemeinsamen Identifier — eine E-Mail-Adresse, eine Geräte-ID, eine IP-Adresse, einen Standort. Keiner dieser Verknüpfungspunkte existiert in den Radbonus-Daten. Die Radbonus-ID ist zufallsgeneriert und hat keinen Bezug zu Geräten, Konten oder Personen. Ohne einen gemeinsamen Schlüssel ist eine systematische Verknüpfung mit externen Datenquellen nicht möglich.

Zum Restrisiko durch Inferenz in Randfällen:

Radbonus erkennt an, dass in theoretischen Extremfällen — etwa bei einer Partner-Welt mit einer sehr geringen einstelligen Teilnehmerzahl — das Verhältnis von bekannten Teilnehmern zu Datensätzen eine Eingrenzung ermöglichen könnte. Dieses Restrisiko ist jedoch aus mehreren Gründen kein nach allgemeinem Ermessen wahrscheinlich genutztes Mittel im Sinne des ErwG 26: Es erfordert die Kombination von externem Kontextwissen mit individualisierten Nutzungsdaten, die architekturbedingt bei keinem Akteur zusammenfallen. Es setzt ein aktives Interesse an der Identifikation einzelner Radfahrer voraus, für das kein wirtschaftliches oder sonstiges Motiv erkennbar ist. Und es bleibt selbst im Extremfall probabilistisch — eine Distanz von 40 km lässt keinen sicheren Rückschluss zu, da auch andere Nutzer dieselbe Distanz an demselben Tag zurückgelegt haben können.

Dieses theoretische Restrisiko ändert die rechtliche Einordnung der Daten als anonym aus Sicht von Radbonus als Verantwortlichem nicht (vgl. EuGH C-413/23 P zur relativen Anonymität), begründet jedoch die im Folgenden dokumentierten zusätzlichen Schutzmaßnahmen: die KI-gestützte Nickname-Validierung durch ein lokales Sprachmodell mit aktiver Nutzerbestätigung, den bewussten Verzicht auf Team-Wettbewerbe mit kleinen Gruppen, die ausschließliche Weitergabe aggregierter Statistiken an Partner, die doppelte Schutzbarriere zwischen Kontextwissen und Individualdaten, die vorsorgliche Einhaltung von DSGVO-Standards als zusätzlichen Schutzrahmen sowie die folgenden operationalen Kleinwelt-Schutzmaßnahmen:

Operationale Kleinwelt-Controls (architektonische Inferenz-Barrieren):

Diese Maßnahmen stellen sicher, dass selbst in der theoretischen Extremkonstellation kleiner Partner-Welten die für eine Inferenz erforderlichen Datenpunkte architektonisch nicht zur Verfügung stehen. Die Anonymität wird nicht nur argumentiert, sondern technisch erzwungen.

Zur Profil-Übertragung:

Die Radbonus-ID kann vom Nutzer zur Übertragung seiner Nutzungsdaten auf ein anderes Gerät verwendet werden. Die Tatsache, dass ein Nutzer seine eigene ID kennt und seine eigenen Daten abrufen kann, begründet keinen Personenbezug aus Sicht des Verantwortlichen (Radbonus). Maßgeblich ist die Perspektive des Verantwortlichen und die Frage, ob dieser — oder ein Dritter mit nach allgemeinem Ermessen wahrscheinlich genutzten Mitteln — eine Zuordnung herstellen kann. Radbonus kann dies nicht. Die Situation ist vergleichbar mit einer Garderobennummer: Der Inhaber kann seinen Gegenstand abholen, aber der Betreiber der Garderobe weiß nicht, welche Person welche Nummer hat.

Zum „All means reasonably likely to be used"-Test (ErwG 26) — Szenarioanalyse:

Die zentrale Frage nach ErwG 26 DSGVO lautet: Wer verfügt über welche Informationen — und kann daraus mit nach allgemeinem Ermessen wahrscheinlich genutzten Mitteln eine natürliche Person bestimmt werden? Die Radbonus GmbH hat diese Frage entlang aller relevanten Akteure geprüft:

Szenario 1 — Radbonus selbst (Verantwortlicher): Radbonus verfügt über: Radbonus-ID, Startzeiten, Endzeiten, Dauer, Gesamt-km, optional Nickname, Challenge-Teilnahmen. Radbonus verfügt nicht über: Namen, Adressen, E-Mail, Telefonnummern, Standortdaten, IP-Adressen (X-Forwarded-For ist deaktiviert), Geräte-IDs, Zuordnungstabellen. Radbonus kennt weder die Identität der Nutzer noch die internen Strukturen, Mitarbeiter oder Organisationsabläufe der Partnerunternehmen. Es existiert kein Identitätsattribut und keine interne oder externe Zuordnungsquelle. Radbonus kann ein Nutzungsprofil intern wiedererkennen (Linkability), aber keine natürliche Person bestimmen. Bewertung: Keine Identifizierbarkeit aus Sicht des Verantwortlichen. Dies ist juristisch stark, weil der EuGH explizit auf die Perspektive des jeweiligen Verantwortlichen abstellt (C-413/23 P).

Szenario 2 — Externer Datenabfluss (Leak-Szenario): Bei einem hypothetischen Abfluss der Ranking-Darstellung wären ausschließlich betroffen: Anzeige-Kennungen (gekürzte ID-Fragmente oder validierte Nicknames) und aggregierte Gesamt-Kilometer. Ein externer Dritter, der diese Daten erhält, verfügt über: keinen Firmenkontext, keine internen Mitarbeiterkenntnisse, keine Fahrgewohnheiten, keine Zuordnungstabelle. Er sieht beispielsweise: „Meerkatze — 1.800 km im Mai". Er kann: nichts verifizieren, keine reale Person bestimmen, keine zusätzliche Datenquelle sinnvoll kombinieren. Mangels Identitäts- und Verknüpfungsdaten ist eine Zuordnung zu natürlichen Personen für externe Dritte nicht möglich; das Risiko für Rechte und Freiheiten natürlicher Personen ist entsprechend gering. Bewertung: Für die Außenwelt nicht identifizierbar. Eine Bewertung nach Art. 33/34 DSGVO erfolgt dennoch vorsorglich, soweit Device-Tokens (Push) betroffen sein könnten (siehe Abschnitt „Maßnahmen bei Sicherheitsvorfällen").

Szenario 3 — Partnerunternehmen (Organisationsebene): Partner erhalten laut Architektur: aggregierte Welt-Kilometer, Teilnehmerzahlen, Challenge-Abschlussraten. Partner erhalten nicht: Kennungen, Einzel-Kilometer, Zeitstempel, Radbonus-IDs, individuelle Aktivitätsmuster. Der Partner verfügt zwar über Kontextwissen zu seinen Mitarbeitern, aber ihm fehlen alle Individualdaten. Er kann nicht sagen: „Dieser Mitarbeiter hat 1.800 km gefahren." Er sieht nur: „Insgesamt 12.400 km in der Welt." Bewertung: Partner kann keine einzelne Person identifizieren, weil ihm Individualdaten fehlen.

Szenario 4 — Andere Nutzer innerhalb der Partner-Welt (Kollegenebene): Andere Nutzer sehen im Ranking: Anzeige-Kennung (Nickname oder gekürztes ID-Fragment) und gerundeten Gesamt-Kilometerstand im Wettbewerbszeitraum — jedoch erst ab einer Mindestteilnehmerzahl von 15 aktiven Nutzern in der jeweiligen Partner-Welt. Unterhalb dieser Schwelle werden keine Rankings angezeigt. Sie sehen nicht: Startzeiten, Endzeiten, Dauer, Einzelereignisse, Rohdaten. Individuelle Fahrtzeiten und -daten sind ausschließlich dem jeweiligen Nutzer selbst in seiner App zugänglich und werden in keiner für andere Nutzer, Partner oder Radbonus sichtbaren Form dargestellt.

Typischer Angriffsvektor in der Datenschutzbewertung: „Ein Kollege weiß, dass nur eine Person im Team jeden Morgen um 5:30 Uhr Rad fährt — er sieht die Uhrzeit im Ranking und kann die Person zuordnen.“ Dieser Vektor ist im Radbonus-System architektonisch ausgeschlossen: Das Ranking zeigt ausschließlich eine Anzeige-Kennung und einen aggregierten Gesamt-Kilometerstand im Wettbewerbszeitraum. Startzeiten, Endzeiten, Uhrzeiten, Fahrtdauer, Einzeldistanzen und Aktivitätsmuster werden anderen Nutzern zu keinem Zeitpunkt und in keiner Form angezeigt. Ein Kollege sieht „Meerkatze — 1.800 km im Mai“. Er sieht nicht: „Meerkatze — 12,3 km, 5:32 Uhr, Dauer 38 min“. Die zeitbezogene Verhaltenserkennung, die typischerweise Re-Identifikationsszenarien begründet, scheitert an der Architektur — nicht an einer Bewertungsentscheidung, sondern an der Nicht-Verfügbarkeit der dafür erforderlichen Daten.

Was bleibt, ist die reine Kilometerzahl: Ein Kollege könnte vermuten „Das ist wahrscheinlich Thomas, der fährt viel.“ Aber: Er hat keinen Zugriff auf Rohdaten. Er kann seine Vermutung nicht verifizieren. Er sieht nur eine Anzeige-Kennung und eine einzelne Zahl (Gesamt-km). Nicknames durchlaufen zudem eine KI-gestützte Validierung (lokales LLM), die identifizierende Inhalte erkennt und ablehnt — der Nickname selbst liefert daher keine belastbare Identifikationsgrundlage. Das bleibt eine soziale Vermutung auf Basis einer einzigen, nicht unterscheidungskräftigen Kennzahl.

Bewertung: Identifizierbarkeit im Sinne des ErwG 26 verlangt mehr als eine spekulative Annahme. Es braucht eine realistische, belastbare Zuordnungsmöglichkeit auf Basis nach allgemeinem Ermessen wahrscheinlich genutzter Mittel. Wenn die für eine Verhaltenszuordnung typischerweise erforderlichen Daten (Zeiten, Muster, Einzelereignisse) architektonisch nicht verfügbar sind und die einzige sichtbare Information eine aggregierte Kilometerzahl ist, fehlt die Grundlage für eine Identifizierung — es bleibt bei Vermutung, nicht bei Identifikation.

Szenario 5 — Kombination mehrerer Datenquellen: Eine Re-Identifikation durch Kombination externer Datenquellen (Fitnessapps, Arbeitszeiterfassungen, Social Media) würde erfordern: einen gemeinsamen Identifier (E-Mail, Geräte-ID, IP-Adresse, Standort). Keiner dieser Verknüpfungspunkte existiert in den Radbonus-Daten. Die Radbonus-ID ist zufallsgeneriert und hat keinen Bezug zu Geräten, Konten oder Personen. IP-Adressen sind auf den Backend-Servern nicht verfügbar (X-Forwarded-For ist deaktiviert). Standortdaten werden nie serverseitig gespeichert. Ohne gemeinsamen Schlüssel scheitert jede systematische Verknüpfung. Die serverseitig gespeicherten Daten (Distanzen, Zeitstempel, Fahrradtyp) bilden kein ausreichend spezifisches Profil für eine Re-Identifikation: Eine Distanz beschreibt weder Start- noch Endpunkt, ein Zeitstempel dokumentiert den Meldezeitpunkt — nicht wann oder wo eine Fahrt stattfand. Ohne geographische Verortung fehlt diesen Datenpunkten die Eigenschaft, die Bewegungsdaten identifizierbar macht: der räumliche Kontext. 12,3 km kann jede beliebige Route sein. Bewertung: Es fehlt die „Brücke". Ohne Brücke bleibt jedes Profil isoliert.

Zusammenfassende Risikodifferenzierung:

Die entscheidende Erkenntnis aus der Szenarioanalyse: Es existiert kein Akteur, der gleichzeitig über Kontextwissen, verifizierbare Individualdaten und ein Verknüpfungsmerkmal verfügt.

Die zentrale Schutzbarriere besteht darin, dass kein Akteur sowohl über Kontextwissen als auch über verifizierbare Individual-Rohdaten verfügt. Eine Identifizierung einer natürlichen Person würde voraussetzen, dass ein Akteur gleichzeitig Zugriff auf individualisierte Nutzungsdaten und auf identitätsbezogenes Kontextwissen hat und diese Informationen verknüpfen kann. Eine solche Konstellation besteht im Radbonus-System nicht.

Radbonus verarbeitet Nutzungsdaten ohne Identitätsbezug; sichtbar für Dritte ist ausschließlich eine nicht identitätsbezogene Anzeige-Kennung mit aggregierten Kilometerständen. Start-/Endzeiten und Dauer sind ausschließlich dem jeweiligen Nutzer selbst zugänglich. Partner erhalten keine Individualdaten.

Vorsorgliche Einhaltung der DSGVO-Standards

Die vorstehende Analyse ergibt, dass die verarbeiteten Nutzungsdaten als anonyme Daten im Sinne des ErwG 26 DSGVO einzustufen sind. Unabhängig von dieser Einordnung hat sich die Radbonus GmbH dazu entschieden, die wesentlichen Standards und Prinzipien der DSGVO vorsorglich einzuhalten. Dies umfasst insbesondere:

Diese vorsorgliche Selbstverpflichtung stellt sicher, dass der Schutz der Nutzerdaten unabhängig von der rechtlichen Einordnung auf dem dokumentierten Niveau gewährleistet ist.

Datenschutz-Folgenabschätzung (DSFA) — Schwellwertprüfung

Die Radbonus GmbH hat geprüft, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist. Eine DSFA ist vorgeschrieben, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, insbesondere bei systematischer Überwachung, Profiling oder umfangreicher Verarbeitung besonderer Datenkategorien.

Ergebnis der Schwellwertprüfung: Eine DSFA ist nicht erforderlich. Dies ergibt sich aus folgenden Gründen:

Hilfserwägung: Datenschutz-Folgenabschätzung (DSFA-Light) bei unterstelltem Personenbezug

Selbst unter der konservativsten Annahme, dass sämtliche Nutzungsdaten als personenbezogen einzustufen wären, hat die Radbonus GmbH eine vereinfachte Folgenabschätzung durchgeführt. Das Ergebnis bestätigt: Auch bei unterstelltem Personenbezug besteht kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen.

Risiko Eintrittswahrscheinlichkeit Schwere Gegenmaßnahme Restrisiko
Re-Identifikation durch Radbonus (Verantwortlicher) Sehr gering — keine Identitätsdaten, keine Zuordnungstabelle, kein Kontextwissen Gering — Daten ohne sensiblen Charakter Architektonische Trennung: Radbonus kennt weder Identität noch Unternehmensstruktur der Nutzer Vernachlässigbar
Re-Identifikation durch Partner Sehr gering — Partner erhalten ausschließlich aggregierte Statistiken Gering — keine Individualdaten verfügbar Doppelte Schutzbarriere: Partner hat Kontextwissen, aber keine Individualdaten Vernachlässigbar
Inferenz durch Kollegen in kleiner Partner-Welt Gering — nur gerundeter Gesamt-km sichtbar, keine Zeiten/Muster Gering — Vermutung bleibt spekulativ und nicht verifizierbar Mindestteilnehmerzahl (15) für Rankings, km-Rundung, verzögertes Update, LLM-Nickname-Validierung Vernachlässigbar
Device-Token-Leak (Push) Gering — Tokens verschlüsselt und getrennt gespeichert Gering — Token ohne Radbonus-ID nicht zuordenbar Verschlüsselung, getrennte Speicherung, Invalidierung bei Vorfall, Art. 33/34-Bewertung Gering
Externer Datenabfluss (Leak der Ranking-Daten) Gering — Bare-Metal-Server, ISO 27001, kein Cloud-Hosting Sehr gering — nur Anzeige-Kennungen + gerundete Gesamt-km PenTests (vierteljährlich), Zugriffskontrollen, Verschlüsselung, kein Identitätsattribut in den Daten Vernachlässigbar
Kombination mit externen Datenquellen Sehr gering — kein gemeinsamer Identifier (keine E-Mail, keine Geräte-ID, keine IP, kein GPS) Gering — ohne Verknüpfungspunkt keine systematische Kombination möglich Keine Drittanbieter-APIs, kein Tracking, keine Account-Daten, keine Standortdaten serverseitig Vernachlässigbar

Ergebnis der DSFA-Light: Kein identifiziertes Risiko erreicht die Schwelle „hohes Risiko" im Sinne des Art. 35 DSGVO. Die implementierten technischen und organisatorischen Maßnahmen reduzieren sämtliche Restrisiken auf ein vernachlässigbares Niveau. Eine vollständige DSFA nach Art. 35 ist daher auch bei unterstelltem Personenbezug nicht erforderlich. Diese vereinfachte Folgenabschätzung wird als dokumentierter Nachweis der Risikobewertung geführt.

Ungeachtet dieser Einschätzung werden die in diesem Konzept dokumentierten Schutzmaßnahmen — insbesondere Privacy by Design, Datenminimierung und die vorsorgliche DSGVO-Compliance — als Risikominimierung beibehalten.

Speicherfristen und Datenlebenszyklus

Da die Radbonus-App Nutzungsdaten ohne Identitätsbezug verarbeitet (mit Ausnahme der vorsorglich als potenziell personenbeziehbar behandelten Device-Tokens), unterliegen die gespeicherten Daten keiner datenschutzrechtlichen Löschpflicht. Anonyme Daten fallen nicht in den Anwendungsbereich der DSGVO und sind von den Grundsätzen der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) nicht erfasst.

Gleichwohl verfolgt die Radbonus GmbH eine klare Datenhaltungsstrategie:

Übersicht Speicherfristen:

Datenkategorie Speicherort Zweck Standard-Retention Lösch-Trigger
Radbonus-ID + Nutzungsdaten (Distanzen, Zeitstempel, Challenge-Teilnahmen, Favoriten, Fahrradtyp) Radbonus Bare-Metal-Server (Frankfurt) Serviceerbringung, Challenge-Durchführung Dauer der aktiven Nutzung 24 Monate Inaktivität; Deaktivierung durch Nutzer; Ende der Partner-Welt + vertragliche Aufbewahrungsfrist
Nickname Radbonus Bare-Metal-Server (Frankfurt) Anzeige-Kennung im Ranking Dauer der aktiven Nutzung Deaktivierung des Nutzungsprofils; Änderung/Entfernung durch Nutzer
Device-Token (Push) Radbonus Bare-Metal-Server (Frankfurt), verschlüsselt + getrennt Push-Notification-Zustellung Solange Einwilligung aktiv Widerruf der Einwilligung; Deaktivierung in App/OS; Inaktivitätsbereinigung
App-/OS-Version Radbonus Bare-Metal-Server (Frankfurt) Fehlerbehebung, Kompatibilität Dauer der aktiven Nutzung 24 Monate Inaktivität
Backups (verschlüsselt) Radbonus Bare-Metal-Server (Frankfurt) Disaster Recovery 6 Monate rollierend Automatische Überschreibung nach 6 Monaten

Die Tatsache, dass für anonyme Daten keine gesetzlich definierten Speicherfristen gelten, stellt keinen Mangel dar, sondern ist die logische Konsequenz der Anonymisierung: Wo kein Personenbezug besteht, besteht auch keine Löschpflicht. Die vorsorgliche Datenhaltungsstrategie der Radbonus GmbH geht über das gesetzlich Erforderliche hinaus und stellt sicher, dass auch anonyme Daten nicht unnötig lange vorgehalten werden.

Unterauftragsverarbeitung (Subprocessor)

Die Radbonus-App wird vollständig auf eigener Infrastruktur betrieben. Die Datenverarbeitung erfolgt auf von der Radbonus GmbH selbst betriebenen Bare-Metal-Servern in Deutschland. Es werden keine Cloud-Dienste, keine externen Datenbanken und keine Drittanbieter-APIs für die Verarbeitung von Nutzungsdaten eingesetzt.

Die folgenden externen Dienste kommen im Zusammenhang mit dem Betrieb der Radbonus-App zum Einsatz:

Darüber hinaus bestehen keine Unterauftragsverarbeitungsverhältnisse. Insbesondere werden keine Analyse-, Tracking-, Werbe- oder Marketingdienste Dritter eingesetzt.

Maßnahmen zur Sicherstellung der Anonymität

Die Radbonus GmbH setzt folgende technische und organisatorische Maßnahmen ein, um die Anonymität der verarbeiteten Daten dauerhaft sicherzustellen:

Rechtsgrundlagen der Datenverarbeitung

Obwohl die Kerndaten im Radbonus-System nach der hier dargelegten Analyse als anonym einzustufen sind und die DSGVO daher keine Anwendung findet, ordnet Radbonus die Verarbeitungstätigkeiten vorsorglich den folgenden Rechtsgrundlagen zu:

Vertragserfüllung / Serviceerbringung (Art. 6 Abs. 1 lit. b DSGVO analog): Die folgenden Datenverarbeitungen sind funktional erforderlich, um den Radbonus-Service im Rahmen der jeweiligen Partner-Welt bereitzustellen:

Diese Verarbeitungen erfordern keine gesonderte Einwilligung, da sie unmittelbar der Funktionserbringung dienen.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Verarbeitungen, die über die Kernfunktionalität hinausgehen und potenziell personenbeziehbare Daten betreffen, wird eine ausdrückliche Einwilligung eingeholt:

Diese Einwilligungen können jederzeit widerrufen werden — bei Push-Notifications durch Deaktivierung in den Geräteeinstellungen, bei Nicknames durch Änderung oder Entfernung im Nutzungsprofil.

Einordnung nach §25 TTDSG (Endgerätezugriff)

Die Speicherung der Radbonus-ID auf dem Endgerät des Nutzers ist unbedingt erforderlich im Sinne des §25 Abs. 2 Nr. 2 TTDSG, da ohne diese Kennung die vom Nutzer ausdrücklich gewünschte Zuordnung seiner Nutzungsdaten zu Challenges und Wettbewerben technisch nicht möglich wäre — eine Einwilligung ist hierfür nicht erforderlich. Die Erhebung von Standortdaten zur lokalen Distanzberechnung erfolgt über die systemeigene Standortberechtigung des Betriebssystems (iOS/Android) und wird vom Nutzer aktiv erteilt. Die Speicherung von Device-Tokens für Push-Notifications erfolgt auf Grundlage der ausdrücklichen Einwilligung des Nutzers (§25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO).

Informationspflichten — Privacy Notice Mapping (Art. 13/14 DSGVO analog)

Obwohl die Radbonus GmbH die Kerndaten als anonym einstuft und Art. 13/14 DSGVO auf anonyme Daten keine Anwendung finden, stellt die folgende Übersicht vorsorglich die Transparenzinformationen bereit, die bei unterstelltem Personenbezug erforderlich wären:

Pflichtangabe (Art. 13 DSGVO) Umsetzung
Verantwortlicher (Abs. 1 lit. a) Radbonus GmbH, vertreten durch Marius-Eugen Gerdan und Katharina Gerdan-Dörenhoff
Datenschutzbeauftragter (Abs. 1 lit. b) Johannes Milczewski, privacy@radbonus.com, +49 221 177 32 99 - 0
Zwecke und Rechtsgrundlagen (Abs. 1 lit. c/d) Serviceerbringung (Art. 6 Abs. 1 lit. b analog): Distanzen, Zeitstempel, Challenge-Teilnahmen, Fahrradtyp, Favoriten. Einwilligung (Art. 6 Abs. 1 lit. a): Push-Notifications (Device-Tokens), Nickname
Empfänger (Abs. 1 lit. e) Hetzner Online GmbH (Infrastruktur/Load-Balancer, AV gem. Art. 28); Google/Firebase (FCM Push, AV gem. Art. 28); Apple (APNs iOS-Zustellung). Partner erhalten ausschließlich aggregierte Statistiken — keine Einzeldaten, keine Kennungen
Drittlandtransfer (Abs. 1 lit. f) Soweit FCM/APNs Daten außerhalb des EWR verarbeiten: SCCs gem. Art. 46 Abs. 2 lit. c; EU-U.S. Data Privacy Framework gem. Art. 45 (Google); Apple Data Processing Terms
Speicherdauer (Abs. 2 lit. a) Nutzungsdaten: aktive Nutzung, max. 24 Monate nach letzter Aktivität. Device-Tokens: bis Widerruf/Deaktivierung. Nicknames: bis Entfernung/Deaktivierung. Backups: 6 Monate rollierend. Details siehe Retention-Tabelle
Betroffenenrechte (Abs. 2 lit. b/c/d) Auskunft, Berichtigung, Deaktivierung (analog Löschung), Widerruf der Einwilligung — vorsorglich gewährt (siehe Abschnitt „Rechte der Nutzer")
Beschwerderecht (Abs. 2 lit. d) Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Erforderlichkeit der Bereitstellung (Abs. 2 lit. e) Distanzen und Zeitstempel sind für die Serviceerbringung erforderlich. Push-Notifications und Nickname sind freiwillig; eine Nichtangabe hat keine Auswirkungen auf die Nutzbarkeit der App

Datenweitergabe

Die Radbonus-App verfolgt ein striktes Prinzip der Datensouveränität.

Keine Weitergabe von identifizierenden Daten

Anzeige-Kennung in Rankings

Für die Darstellung in Rankings wird eine nicht identitätsbezogene Anzeige-Kennung verwendet. Hat der Nutzer einen validierten Nickname vergeben, wird dieser angezeigt; andernfalls wird ein stark gekürztes Fragment der Radbonus-ID (die ersten Zeichen) als Platzhalter dargestellt. Nicknames durchlaufen vor der Speicherung eine zweistufige automatisierte Prüfung einschließlich KI-gestützter semantischer Analyse durch ein lokales Sprachmodell (siehe Abschnitt „Datenerhebung"). Rankings werden erst ab einer Mindestteilnehmerzahl von 15 aktiven Nutzern innerhalb einer Partner-Welt angezeigt; unterhalb dieser Schwelle sehen Nutzer ausschließlich ihre eigenen Daten. Kilometer werden in der Ranking-Darstellung auf volle Kilometerwerte gerundet, und das Ranking wird in definierten Intervallen aktualisiert (nicht in Echtzeit). In beiden Fällen dient die Anzeige-Kennung ausschließlich der visuellen Unterscheidung von Teilnehmern im Ranking und ist nicht geeignet, Dritten einen Zugriff auf Individualdaten zu ermöglichen. Weder Partner noch andere Nutzer erhalten über die Anzeige-Kennung Zugriff auf Start-/Endzeiten, Dauer, Einzelereignisse oder Rohdaten; sichtbar ist ausschließlich ein gerundeter, verzögert aktualisierter Gesamt-Kilometerstand im jeweiligen Wettbewerbszeitraum. Die Anzeige-Kennung ist partnerweltbezogen und kann nicht über verschiedene Partner-Welten hinweg verknüpft werden.

Zugriffsmodell (Wer sieht was)

Die folgende Übersicht dokumentiert, welche Daten den jeweiligen Akteuren zur Verfügung stehen:

Zugriffsmatrix (detaillierte Übersicht):

Datenkategorie / Zugriffsebene Nutzer (eigene App) Andere Nutzer (Ranking) Partner Radbonus (Ops/Admin) Hetzner (Infra) Google (FCM) Apple (APNs)
Identitätsdaten (Name, E-Mail, Telefon) Nein Nein Nein Nein Nein Nein Nein
Radbonus-ID (vollständig) Ja Nein Nein Ja Nein Nein Nein
Anzeige-Kennung (Nickname/ID-Fragment) Ja Ja (ab 15 Teilnehmer) Optional (nur öffentliche Rankings) Ja Nein Nein Nein
Gesamt-Kilometer (Wettbewerbszeitraum, gerundet) Ja Ja (ab 15 Teilnehmer) Nur aggregiert Ja Nein Nein Nein
Einzelereignisse (Fahrten) Ja Nein Nein Ja Nein Nein Nein
Start-/Endzeitpunkte Ja Nein Nein Ja Nein Nein Nein
Teamzugehörigkeit Optional Nein Nur aggregiert Ja Nein Nein Nein
Fahrradtyp Optional Nein Nur aggregiert Ja Nein Nein Nein
Geokoordinaten / GPS-Routen Nein (nur lokal, sofort gelöscht) Nein Nein Nein Nein Nein Nein
IP-Adressen (Anwendungsebene) Nein Nein Nein Nein Nein Nein Nein
IP-Adressen (Netzwerkebene/Load-Balancer) Nein Nein Nein Nein Ja (Transport) Nein Nein
Device-Token (Push) Optional Nein Nein Ja (separat, verschlüsselt) Nein Ja (Transport) Ja (Transport)
Datenexport / Rohdaten-Download Ja (eigene Daten) Nein Nein Nur intern Nein Nein Nein

Die Matrix zeigt: Kein externer Akteur verfügt über eine Kombination aus Identitätsattribut und individualisierten Nutzungsdaten. Die Zeilen „Identitätsdaten" und „Geokoordinaten" bestätigen durchgehend „Nein" über alle Akteure — die für eine Re-Identifikation typischerweise erforderlichen Daten existieren im System nicht.

Datenschutzrechtliche Rolle der Partner

Partner (Unternehmen und Organisationen), die eine Partner-Welt bei Radbonus betreiben, richten diese als Firmenwelten für ihre Mitarbeiter bzw. Mitglieder ein. Die Nutzer dieser Partner-Welten sind volljährige Beschäftigte oder Organisationsmitglieder. Partner sind datenschutzrechtlich weder gemeinsam Verantwortliche (Art. 26 DSGVO) noch Auftragsverarbeiter (Art. 28 DSGVO).

Abgrenzung zur gemeinsamen Verantwortlichkeit: Eine gemeinsame Verantwortlichkeit setzt voraus, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen (Art. 26 Abs. 1 DSGVO). Partner können ihre Partner-Welt konfigurieren — dies umfasst die visuelle Individualisierung (Farben, Logos), das Design von Challenges sowie Zielvorgaben in Kilometern. Diese Konfigurationsmöglichkeiten betreffen die inhaltliche Ausgestaltung des Dienstes, nicht die Zwecke und Mittel der Datenverarbeitung. Der Zweck der Verarbeitung (Erfassung anonymer Radfahraktivitäten zur Durchführung von Challenges und Wettbewerben) bleibt unabhängig von der konkreten Konfiguration einer Partner-Welt identisch und wird ausschließlich von Radbonus festgelegt. Partner haben weder Einfluss auf die Verarbeitungsarchitektur, die Datenkategorien, die Speicherlogik noch Zugriff auf die zugrunde liegenden Systeme. Die Situation ist vergleichbar mit einem Unternehmen, das eine SaaS-Plattform nutzt und dort Inhalte konfiguriert, ohne dadurch zum Mitverantwortlichen der Plattform-Datenverarbeitung zu werden. Sollte im Einzelfall — etwa aufgrund einer abweichenden aufsichtsbehördlichen Bewertung — eine gemeinsame Verantwortlichkeit angenommen werden, stellt die Radbonus GmbH eine Vereinbarung gemäß Art. 26 DSGVO bereit.

Partner erhalten von Radbonus ausschließlich:

Partner erhalten zu keinem Zeitpunkt:

Individuelle Nutzungsdaten (eigene Zeiten, Strecken, Challenge-Fortschritte) sind ausschließlich für den jeweiligen Nutzer selbst in seiner App einsehbar. Diese Daten verlassen die Nutzer-App-Ansicht nicht in individualisierter Form.

Diese strikte Begrenzung auf aggregierte Daten erzeugt eine doppelte Schutzbarriere: Radbonus verfügt über keinerlei Kenntnis der internen Strukturen oder Mitarbeiter des Partners. Der Partner verfügt zwar über Kontextwissen zu seiner Organisation, erhält von Radbonus jedoch keine individualisierten Daten. Keine der beiden Seiten verfügt über die Kombination aus Kontextwissen und Individualdaten, die für eine Re-Identifikation erforderlich wäre.

Sicherstellung des Datenschutzes

Durch diese Maßnahmen stellt die Radbonus GmbH sicher, dass die Daten der Nutzer stets unter Kontrolle und geschützt bleiben. Die ausschließliche Nutzung eigener Server in hochsicheren Rechenzentren unterstreicht das Engagement der Radbonus GmbH für den Datenschutz und die Datensicherheit der Nutzer.

Datenspeicherung und -sicherheit

Die Radbonus-App ist auf die sichere Speicherung und Verarbeitung der Nutzungsdaten ausgelegt. Die App und das Backend verarbeiten Nutzungsdaten ohne Identitätsbezug. Dadurch wird selbst im Falle eines Sicherheitsproblems verhindert, dass identifizierbare personenbezogene Daten freigesetzt werden können, da solche Daten zu keinem Zeitpunkt vorhanden sind.

Speicherorte und -dauer

Technische und organisatorische Sicherheitsmaßnahmen

Minimierung der Datenerhebung

Nutzungsdaten ohne Identitätsbezug

Radbonus verarbeitet Nutzungsdaten ohne Identitätsbezug und ohne Kenntnis der Identität der Nutzer. Die Radbonus-ID als technischer Schlüssel verweist ausschließlich auf Datensätze, die selbst keine personenbezogenen Informationen enthalten. Es werden keine personenbezogenen Daten erhoben oder gespeichert (z.B. Name, Anschrift, E-Mail, Telefonnummer). IP-Adressen sind auf Anwendungsebene nicht verfügbar — die Weiterleitung via X-Forwarded-For ist auf den Load-Balancern deaktiviert. Geo-Koordinaten werden ausschließlich lokal auf dem Endgerät verarbeitet und nie serverseitig gespeichert. Selbst im Falle eines Sicherheitsproblems können daher keine personenbezogenen Daten freigesetzt werden, da solche Daten zu keinem Zeitpunkt auf den Radbonus-Systemen vorhanden sind (mit Ausnahme der verschlüsselt gespeicherten Device-Tokens, für die ein gesondertes Incident-Handling gilt — siehe Abschnitt „Maßnahmen bei Sicherheitsvorfällen").

Maßnahmen bei Sicherheitsvorfällen

Rechte der Nutzer

Obwohl die Radbonus-App Nutzungsdaten ohne Identitätsbezug verarbeitet und die Vorschriften der DSGVO zu Betroffenenrechten auf anonyme Daten keine Anwendung finden, bietet die Radbonus GmbH den Nutzern vorsorglich folgende Möglichkeiten:

Authentifizierung und Zugriffskontrolle bei Rechteausübung

Da Radbonus keine Identitätsdaten speichert, erfolgt die Authentifizierung bei Auskunfts- und Deaktivierungsanfragen ausschließlich über den Besitz der Radbonus-ID auf dem Endgerät. Die Radbonus-ID wird ausschließlich lokal in der App gespeichert und ist von außen nicht einsehbar. Ein Erraten fremder IDs ist aufgrund des Zufallsgenerators und der Schlüssellänge praktisch ausgeschlossen. Der Abruf eigener Nutzungsdaten erfolgt ausschließlich über die App selbst — es existiert keine externe API oder Weboberfläche, über die mit einer Radbonus-ID auf Profildaten zugegriffen werden könnte. Bei Anfragen per E-Mail an den Datenschutzbeauftragten wird der Nutzer aufgefordert, seine Radbonus-ID aus der App heraus mitzuteilen; eine Identitätsprüfung entfällt, da die Kennung selbst keinen Personenbezug hat.

Auskunft über gespeicherte Daten

Nutzer können Auskunft darüber erhalten, welche anonymen Daten in Bezug auf ihre Radbonus-ID gespeichert sind. Diese Informationen umfassen unter anderem:

Berichtigung von Daten

Sollten Nutzer feststellen, dass die gespeicherten Daten falsch oder unvollständig sind, können sie eine Berichtigung veranlassen. Dies betrifft hauptsächlich optionale Angaben wie Nickname oder Teamzugehörigkeit.

Deaktivierung des Nutzungsprofils

Auf Antrag des Nutzers wird das Nutzungsprofil (Radbonus-ID und zugehörige Datensätze) deaktiviert. Da Radbonus Nutzungsdaten ohne Identitätsbezug verarbeitet, werden bei einer Deaktivierung folgende Maßnahmen ergriffen:

Deaktivierung von Push-Notifications

Nutzer können jederzeit die Verwendung von Device-Tokens für Push-Notifications deaktivieren. Dies kann in den Einstellungen der App erfolgen. Bei Deaktivierung werden die Device-Tokens gelöscht.

Kontakt

Nutzer können sich bei Fragen oder Anliegen an den Datenschutzbeauftragten wenden (Kontaktdaten siehe Abschnitt „Datenschutzbeauftragter").

Einwilligungs- und Opt-Out-Mechanismen

Die Radbonus-App bietet den Nutzern klare und transparente Mechanismen zur Einwilligung und zum Opt-Out, um ihre Präferenzen zu verwalten.

Einwilligung

Einwilligung zur Datenverarbeitung

Die Nutzung optionaler Funktionen erfolgt auf freiwilliger Basis. Dies betrifft insbesondere:

Die Einwilligung wird durch die aktive Nutzung der entsprechenden Funktionen in der App gegeben und kann jederzeit widerrufen werden.

Einwilligung für Push-Notifications

Nutzer können der Verwendung von Device-Tokens für den Versand von Push-Notifications zustimmen. Diese Benachrichtigungen informieren über neue Herausforderungen, Belohnungen und andere relevante Ereignisse. Die Einwilligung erfolgt bei der ersten Nutzung der App oder durch die entsprechenden Einstellungen in der App.

Opt-Out-Mechanismen

Opt-Out von Push-Notifications

Nutzer können jederzeit die Verwendung von Device-Tokens für Push-Notifications deaktivieren. Dies kann in den Einstellungen der App erfolgen. Bei Deaktivierung werden die Device-Tokens gelöscht, und der Nutzer erhält keine weiteren Benachrichtigungen.

Deaktivierung des Nutzungsprofils

Auf Antrag des Nutzers wird das Nutzungsprofil deaktiviert. Dabei werden Informationen wie Device-Tokens für Push-Notifications und optionale Angaben gelöscht.

Widerruf der Einwilligung

Nutzer können ihre Einwilligung zur Nutzung optionaler Funktionen jederzeit widerrufen. Der Widerruf kann durch eine Anfrage an den Datenschutzbeauftragten erfolgen (Kontaktdaten siehe Abschnitt „Datenschutzbeauftragter").

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die Radbonus-App verfolgt einen proaktiven Ansatz, um den Datenschutz von Anfang an in die technischen und organisatorischen Prozesse zu integrieren.

Privacy by Design

Privacy by Default

Minimierung der Datenerhebung

Regelmäßige Überprüfung und Aktualisierung

Die Radbonus GmbH verpflichtet sich zur kontinuierlichen Überprüfung und Aktualisierung der Datenschutz- und Sicherheitsmaßnahmen, um sicherzustellen, dass die dokumentierten Standards dauerhaft eingehalten werden.

Audits und Kontrollen

Verfahren zur Anpassung des Datenschutzkonzepts

Dokumentation und Protokollierung

Schulung und Sensibilisierung

Die Radbonus GmbH legt großen Wert darauf, dass alle Mitarbeiter und relevanten Stakeholder umfassend über Datenschutz und Datensicherheit informiert sind.

Schulungsprogramme für Mitarbeiter

Sensibilisierungsmaßnahmen für den Datenschutz

Förderung der Datenschutzkultur

Schlussbestimmungen

Gültigkeitsdauer des Datenschutzkonzepts

Dieses Datenschutzkonzept tritt am 01.02.2026 in Kraft und bleibt bis auf Weiteres gültig. Es wird regelmäßig überprüft und bei Bedarf angepasst, um den aktuellen rechtlichen Anforderungen und den Best Practices im Datenschutz zu entsprechen.

Verfahren zur Bekanntmachung des Konzepts

Ansprechpartner für Rückfragen

Bei Fragen oder Anliegen bezüglich dieses Datenschutzkonzepts können Sie sich an den Datenschutzbeauftragten der Radbonus GmbH wenden (Kontaktdaten siehe Abschnitt „Datenschutzbeauftragter").

Die Radbonus App

Um teilzunehmen, zeichne deine geradelten Kilometer mit der Radbonus App auf. Mit diesen Kilometern nimmst du automatisch an den oben beschriebenen Challenges teil. Tolle Boni warten auf dich!

Mehr erfahren
Radbonus App Screens
Support kontaktieren FAQ zur App
Impressum Teilnahmebedingungen Datenschutz FAQ