Zum Inhalt springen

Rechtliches · DSGVO Art. 13/14 · § 25 TDDDG

Datenschutzerklärung.

Zuletzt geprüft · 2026-05-17

Diese Datenschutzerklärung erläutert, wie Stuttgart Taxi FB GmbH personenbezogene Daten verarbeitet, wenn Sie diese Website besuchen, einen Festpreis anfragen, eine Buchung vornehmen oder uns telefonisch oder per E-Mail kontaktieren. Wir haben sie in klarer Sprache verfasst; die zugrunde liegenden gesetzlichen Vorschriften sind dort zitiert, wo sie eine Pflicht oder ein Recht begründen, damit eine Aufsichtsbehörde in Baden-Württemberg jeden Absatz seiner gesetzlichen Grundlage zuordnen kann.

§ 1Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Stuttgart Taxi FB GmbH
Austraße 107
70376 Stuttgart
Deutschland

Telefon: +49 152 2929 8484
E-Mail: info@flughafen-transfer-stuttgart.de
Geschäftsführer: Furkan Bakir

Datenschutzbeauftragter. Ein gesetzlich vorgeschriebener Datenschutzbeauftragter nach Art. 37 DSGVO / § 38 BDSG ist derzeit nicht erforderlich: Wir beschäftigen weniger als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, und unsere Kerntätigkeit besteht nicht in einer umfangreichen, regelmäßigen Überwachung oder in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten. Für alle datenschutzbezogenen Anfragen erreichen Sie uns unter info@flughafen-transfer-stuttgart.de mit dem Betreff „Datenschutzanfrage“.

§ 2Kategorien der von uns verarbeiteten personenbezogenen Daten

Wir erheben bewusst nur die Daten, die zur Erfüllung eines Festpreis-Beförderungsvertrags und zur Einhaltung der steuerlichen Aufbewahrungspflichten erforderlich sind. Die nachstehenden Kategorien entsprechen den Spalten der Tabelle bookings bei unserem Datenbank-Auftragsverarbeiter (siehe § 4) sowie den Zugriffsprotokollen unseres Hosting-Anbieters.

  • Identitätsdaten: Vor- und Nachname.
  • Kontaktdaten: E-Mail-Adresse, Mobilfunknummer.
  • Buchungsdaten: Abhol- und Zieladresse (Straße, Ort und Postleitzahl, zusätzlich Längen-/Breitengrad zur Routenberechnung), Abholdatum und -uhrzeit (Europe/Berlin), Fahrzeugklasse (Standard / Van / Premium), Anzahl der Fahrgäste, Anzahl der Gepäckstücke, optionale Flugnummer, optionaler Hinweis an den Fahrer.
  • B2B-/Rechnungsdaten (optional): Firmenname, deutsche oder EU-USt-IdNr., postalische Rechnungsanschrift.
  • Zahlungsdaten: Wir sehen und speichern keine vollständigen Kartennummern. Stripe (siehe § 4) verarbeitet die Karte direkt; wir erhalten lediglich einen nicht sensiblen Auszug — Kartenmarke (z. B. „Visa“) und die letzten vier Ziffern — sowie die Stripe-PaymentIntent-ID, den autorisierten Betrag und den Einzugsstatus. Dieser Auszug ist nach PCI-DSS als nicht sensibel eingestuft und darf nach den Branchenstandards gespeichert werden.
  • Buchungsstatusdaten: interne Zustandswerte des Statusautomaten (ausstehend, bestätigt, in Durchführung, abgeschlossen, storniert, Nichterscheinen), Zeitstempel, interne Dispositionsnotizen (nur für die Disposition sichtbar, niemals an den Kunden zurückgegeben).
  • Stornierungs-Token: ein kryptografisch zufälliger Token von 24 Byte (192 Bit Entropie), der die Stornierung durch Gäste ohne Kundenkonto autorisiert. Der Token ist an eine einzelne Buchung gebunden und ohne die zugehörige Buchungs-ID nutzlos.
  • Hotel-Attribution (B2B-Partner): Wenn Sie über einen Partnerhotel-Link mit einem Abfrageparameter wie ?hotel=marriott gekommen sind, wird die Partnerkennung zur Provisionsabrechnung bei der Buchung gespeichert. Es werden keine weiteren hotelseitigen Daten verarbeitet.
  • Server-Zugriffsprotokolle: IP-Adresse (in gekürzter/gehashter Form für Analysezwecke; vollständig zur Sicherheitsüberwachung), User-Agent, Zeitstempel, angeforderte URL, HTTP-Status, Antwortgröße, Referer. Speicherung 7 Tage zur Betrugs- und Missbrauchserkennung.

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (Gesundheit, Religion, ethnische Herkunft, biometrische Daten) im Sinne des Art. 9 DSGVO. Wir nehmen kein Profiling vor und treffen keine automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO.

§ 3Zwecke der Verarbeitung und Rechtsgrundlagen

Buchungserstellung und Vertragserfüllung

Live-Preisberechnung, Adress-Geocoding, Routenentfernung, Fahrzeugzuteilung, Bestätigung durch die Disposition, Durchführung der Fahrt.

Basis · Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage.

Kartenzahlungsabwicklung, Erstattungen

Belastung des Festpreises auf Ihrer Karte über Stripe bei Buchungsbestätigung; volle oder teilweise Erstattung in Stornierungsfällen gemäß den Stornierungsbedingungen.

Basis · Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Stripe handelt zu Zwecken der Betrugsprävention als eigenständiger Verantwortlicher gemäß seiner eigenen Datenschutzerklärung.

Buchungsbestätigungs- und Erinnerungs-E-Mails

Eine Bestätigungs-E-Mail nach erfolgreicher Kartenbelastung, eine Erinnerung 24 h vor Abholung sowie eine abschließende Abholerinnerung ca. 1 h vor Abholung. Sämtlich transaktional, ohne Werbeinhalte.

Basis · Art. 6 Abs. 1 lit. b DSGVO — erforderlich zur zuverlässigen Erfüllung des Beförderungsvertrags (ohne diese Benachrichtigungen wüssten Sie nicht, dass Ihr Fahrer unterwegs ist).

Stornierungsabwicklung

Bei einer Stornierung über den E-Mail-Link oder telefonisch aktualisieren wir den Buchungsstatus, geben die Stripe-Belastung frei bzw. ziehen sie entsprechend der Stornierungsstufe teilweise ein und versenden eine schriftliche Bestätigung.

Basis · Art. 6 Abs. 1 lit. b DSGVO (Ihr Stornierungsrecht) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflichten hinsichtlich des Teileinzugs).

Rechnungsstellung und steuerliche Aufzeichnungen

Erstellung einer umsatzsteuerkonformen Rechnung, Aufbewahrung von Buchung, Rechnung und Zahlungsnachweis.

Basis · Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit §§ 147 AO (Abgabenordnung) und 257 HGB (Handelsgesetzbuch) — 10-jährige gesetzliche Aufbewahrungsfrist.

Dispositions-Panel (interne Verwaltung)

Anzeige der Buchungsliste, manuelle Bestätigung, Statuswechsel, Auslösen von Erstattung/Stornierung. Zugriff geschützt durch HTTP-Basic-Auth; nur autorisierte Disponenten.

Basis · Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am effizienten Betrieb des Dienstes).

Server-Protokolle (Sicherheit und Missbrauchserkennung)

Erkennung von Brute-Force-Angriffen, Scraping und Betrugssignalen; Fehleranalyse bei Produktionsstörungen.

Basis · Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am Betrieb eines sicheren Dienstes. Gegen Ihre Interessen abgewogen durch kurze Speicherdauer (7 Tage) und minimalen Protokollinhalt.

Aggregierte Website-Analyse (einwilligungsbasiert)

Wenn Sie über das Cookie-Banner einwilligen, erfasst Microsoft Clarity pseudonyme Sitzungsereignisse (Klicks, Scrolltiefe) und Google Analytics 4 sammelt aggregierte Zugriffs- und Conversion-Daten. Ohne Einwilligung wird keines der beiden Tools geladen — siehe § 4 (Auftragsverarbeiter) und § 7 (Cookies) für Details.

Basis · Art. 6 Abs. 1 lit. a DSGVO — ausdrückliche Einwilligung. Jederzeit widerrufbar über den Link „Cookie-Einstellungen“ im Footer.

Telefon-/E-Mail-Anfragen (ohne Buchung)

Wenn Sie uns vor oder anstelle einer Buchung kontaktieren, verarbeiten wir Ihre Nachricht, um sie zu beantworten.

Basis · Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Kundenservice). Speicherung so lange, wie zur Beantwortung der Anfrage erforderlich, zuzüglich der gesetzlichen Verjährungsfrist.

§ 4Auftragsverarbeiter und Drittanbieterdienste

Wir setzen die folgenden Auftragsverarbeiter auf Grundlage schriftlicher Vereinbarungen gemäß Art. 28 DSGVO ein. Jeder Auftragsverarbeiter ist verpflichtet, ausschließlich auf unsere Weisung zu handeln, dem Risiko angemessene technische und organisatorische Sicherheitsmaßnahmen anzuwenden und die Daten nach Beendigung zu löschen oder zurückzugeben.

Supabase Inc.

Frankfurt am Main, Deutschland (eu-central-1)

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Zweck: Hosting der Buchungsdatenbank (PostgreSQL), Dateispeicher, Authentifizierung

Datenkategorien: Stammdaten · Buchungsdaten · Status · Interne Notizen · Karten-Snapshot (Kartenmarke + letzte 4 Ziffern)

Übermittlungsmechanismus: Die Daten werden ausschließlich in EU-Rechenzentren verarbeitet. Die Muttergesellschaft hat ihren Sitz in Singapur; der Fernzugriff für Support-Zwecke ist durch EU-konforme Vertragsklauseln geregelt.

SOC 2 Type IIHIPAA-readyISO 27001

AV-Vertrag / Datenschutzerklärung →

Stripe Payments Europe Ltd

Irland (primär), mit Replikation innerhalb der EU/des EWR

Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Dublin 2, Ireland

Zweck: Kartenzahlungsabwicklung (direkte Belastung bei Buchung), Erstattungen, Teilerstattungen, Betrugsprävention

Datenkategorien: Kartendaten (verschlüsselt, von uns nie gespeichert) · E-Mail-Adresse · Rechnungsadresse · Kartenmarke + letzte 4 Ziffern · IP-Adresse (Betrugssignale)

Übermittlungsmechanismus: Stripe ist eine irische Gesellschaft. Stripe Inc. (USA) fungiert als Unterauftragsverarbeiter für die globale Infrastruktur; die Übermittlung ist durch das EU-US Data Privacy Framework (DPF, zertifiziert) sowie ergänzende Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgedeckt.

PCI-DSS Level 1SOC 1SOC 2 Type IIISO 27001EU-US DPF

AV-Vertrag / Datenschutzerklärung →

Komoot GmbH (Photon API)

Deutschland

Komoot GmbH, Karl-Liebknecht-Straße 1, 10178 Berlin, Germany

Zweck: Adress-Autovervollständigung (Geocoding über OpenStreetMap-Daten)

Datenkategorien: Vom Nutzer eingegebene Adress-Zeichenketten · Ungefähre Browser-Spracheinstellung

OpenStreetMap-basiert, keine NutzerkennungenKeine Cookies

AV-Vertrag / Datenschutzerklärung →

Project OSRM (Open Source Routing Machine, public instance)

EU

Project OSRM, c/o FOSSGIS e.V., Rennbahnstraße 14, 60528 Frankfurt am Main, Germany

Zweck: Berechnung von Fahrstrecke und -dauer zwischen zwei Koordinatenpaaren

Datenkategorien: Abhol-Koordinaten (Breiten-/Längengrad) · Ziel-Koordinaten (Breiten-/Längengrad)

Open-Source-Software, keine Nutzerkonto-Bindung

AV-Vertrag / Datenschutzerklärung →

OpenStreetMap Foundation (Nominatim)

EU/EWR — betrieben unter UK-DSGVO (Angemessenheitsbeschluss nach dem Brexit)

OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, United Kingdom

Zweck: Reverse-Geocoding (Koordinaten → Ortsname) für die Festpreis-Zuordnung

Datenkategorien: Abhol-Koordinaten (Breiten-/Längengrad) · Ziel-Koordinaten (Breiten-/Längengrad)

Übermittlungsmechanismus: Das Vereinigte Königreich ist gemäß Art. 45 DSGVO als angemessen anerkannt (Angemessenheitsbeschluss vom 28. Juni 2021).

OpenStreetMap-Daten, keine Nutzerkonto-Bindung

AV-Vertrag / Datenschutzerklärung →

Bakir Group SMTP / Mail infrastructure + Audit-Trail

Deutschland (Netcup-Rechenzentrum, Nürnberg/Karlsruhe)

Stuttgart Taxi FB GmbH, Austraße 107, 70376 Stuttgart, Germany

Zweck: Ausgehender E-Mail-Versand (Buchungsbestätigung, Erinnerung 24 h + 1 h, Stornobestätigung, Rechnung, Bewertungsanfrage, Admin-Benachrichtigung) sowie Audit-Trail-Speicherung in der Tabelle mail_log zur gesetzlichen Aufbewahrung. Aufbewahrungsfristen: Rechnungen 10 Jahre (§ 147 AO Aufbewahrungsfrist Steuerrecht), sonstige transaktionale E-Mails 3 Jahre (BGB §§ 195/199 Regelverjährung), nicht konvertierte Anfragen 6 Monate. Das Recht auf Löschung (DSGVO Art. 17) wird durch In-Place-Anonymisierung erfüllt (recipient_email/name/body_preview werden geschwärzt, die Audit-Zeile bleibt als rechtlicher Löschnachweis erhalten) statt durch endgültiges Löschen.

Datenkategorien: Empfänger-E-Mail · Kundenname · Buchungsreferenz · Buchungsdetails (Betreff + erste 500 Zeichen des Klartext-Inhalts) · Stornierungs-Token · SMTP-Message-ID (Zustellnachweis) · Versand-Status + Fehlermeldung (sofern zutreffend)

Im eigenen Haus durch den Verantwortlichen betrieben — kein externer Auftragsverarbeiter für SMTP-Relay oder mail_log-SpeicherungZugriff auf mail_log beschränkt auf das Disponenten-Panel (HTTP Basic Auth + RLS-Service-Role-Grenze)

Netcup GmbH

Deutschland (ANEXIA Internetdienstleistungs GmbH, Nürnberg)

Netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Germany

Zweck: vServer-Hosting, Reverse-Proxy-Betrieb, Container-Laufzeitumgebung

Datenkategorien: Server-Zugriffsprotokolle (IP, User-Agent, Zeitstempel, angefragter Pfad)

ISO 27001DSGVO-konformes Rechenzentrum

AV-Vertrag / Datenschutzerklärung →

Microsoft Ireland Operations Ltd (Clarity)

EU primär, mit Weiterübermittlung an Microsoft Corporation (USA) zur Analyseverarbeitung

Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland

Zweck: Session-Aufzeichnung, Klick-Heatmaps, Conversion-Funnel-Analyse (einwilligungsbasiert, Projekt-ID wlid8hv2ne)

Datenkategorien: Anonymisierte Seiteninteraktionen · Mausbewegungen · Klick-Ereignisse · IP-Adresse (gekürzt) · User-Agent · Cookies _clck (1 J.) und _clsk (1 T.)

Übermittlungsmechanismus: Übermittlung an Microsoft Corporation (USA), abgedeckt durch das EU-US Data Privacy Framework (DPF, Microsoft ist zertifiziert) sowie ergänzende Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Wird erst nach ausdrücklicher Einwilligung des Nutzers geladen (Art. 6 Abs. 1 lit. a DSGVO).

EU-US DPFISO 27001DSGVO-AVVMicrosoft-Datenschutzerklärung

AV-Vertrag / Datenschutzerklärung →

Google Ireland Ltd (Google Analytics 4)

EU primär, mit Weiterübermittlung an Google LLC (USA) zur Analyseverarbeitung

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland

Zweck: Aggregierte Website-Analyse — Sitzungen, Traffic-Quellen, Conversion-Pfade (einwilligungsbasiert, Property-ID G-DBK7C2XFC0)

Datenkategorien: Anonymisierte IP-Adresse (anonymizeIp = true) · Cookies _ga (2 J.) und _ga_* (2 J.) · User-Agent · Seitenaufruf-Ereignisse · Conversion-Ereignisse

Übermittlungsmechanismus: Übermittlung an Google LLC (USA), abgedeckt durch das EU-US Data Privacy Framework (DPF, Google ist zertifiziert) sowie ergänzende Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Betrieben unter Google Consent Mode v2 — bis zur Erteilung der Einwilligung werden ausschließlich cookielose “ping”-Ereignisse ohne Nutzerkennungen gesendet. Nach Einwilligung: vollständiges GA4 mit anonymisierter IP, deaktivierter Anzeigenpersonalisierung und deaktivierten Anzeigensignalen.

EU-US DPFISO 27001ISO 27017ISO 27018SOC 1/2/3

AV-Vertrag / Datenschutzerklärung →

§ 5Internationale Datenübermittlungen

Die gesamte primäre Datenverarbeitung findet in Rechenzentren in der EU/im EWR statt. Strukturelle Drittlandübermittlungen beschränken sich auf drei Auftragsverarbeiter und erfolgen nur auf den nachstehend genannten Rechtsgrundlagen:

  • Stripe (Zahlung): Die Karte wird von der Stripe Payments Europe Ltd in Irland verarbeitet; die Stripe Inc. (USA) handelt als Unterauftragsverarbeiter für Betrugspräventionssignale und Support-Eskalationen. Erforderlich zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.
  • Microsoft Clarity (Analyse): Anonymisierte Interaktionsdaten werden an die Microsoft Corporation (USA) zur Sitzungsaufzeichnung und Heatmap-Analyse übermittelt. Wird nur nach Ihrer ausdrücklichen Einwilligung geladen gemäß Art. 6 Abs. 1 lit. a DSGVO — siehe § 7 unten für den Einwilligungsmechanismus.
  • Google Analytics 4 (Analyse): Anonymisierte Seitenaufrufdaten werden an die Google LLC (USA) für aggregierte Website-Analysen übermittelt. Wird nur nach Ihrer ausdrücklichen Einwilligung geladen gemäß Art. 6 Abs. 1 lit. a DSGVO. Bis zur Erteilung der Einwilligung läuft GA4 im Modus „Consent Mode v2 Default-Deny“ von Google und sendet ausschließlich cookielose Ping-Ereignisse ohne Nutzerkennung.

Alle drei Übermittlungen sind durch eine mehrstufige Garantie geschützt:

  • Die Stripe Inc., die Microsoft Corporation und die Google LLC sind sämtlich unter dem EU-US Data Privacy Framework (DPF) zertifiziert; die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für das DPF erlassen (Durchführungsbeschluss (EU) 2023/1795).
  • Jeder Auftragsverarbeiter unterhält zusätzlich Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als Absicherung für den Fall, dass das DPF jemals für ungültig erklärt würde.
  • Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der vollständige Wortlaut ist abrufbar unter stripe.com/legal/dpa.

Kein weiterer Auftragsverarbeiter übermittelt Daten außerhalb der EU/des EWR mit Ausnahme von Nominatim (OpenStreetMap Foundation), dessen Betrieb im Vereinigten Königreich durch den erneuerten Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigte Königreich vom 17. Dezember 2024 (Durchführungsbeschluss (EU) 2024/3300, der den ursprünglichen Angemessenheitsbeschluss vom 28. Juni 2021 ersetzt, welcher andernfalls am 27. Juni 2025 ausgelaufen wäre) abgedeckt ist.

§ 6Speicherfristen

  • Buchungsunterlagen, Rechnungen, Zahlungsnachweise: 10 Jahre ab dem Ende des Kalenderjahres, in dem die Buchung abgeschlossen wurde (zwingend gemäß § 147 Abs. 1 AO und § 257 HGB), danach automatische Löschung.
  • Stornierungs-Token: gelöscht bei Abschluss der Buchung oder 90 Tage nach der Abholung, je nachdem, was später eintritt.
  • Server-Zugriffsprotokolle: 7 Tage, danach rotiert und überschrieben.
  • Stripe-Daten: Stripe bewahrt Zahlungsunterlagen für den nach EU- und US-amerikanischem Finanzdienstleistungsrecht erforderlichen Zeitraum (in der Regel 7 Jahre) auf. Details siehe Datenschutzerklärung von Stripe.
  • E-Mail-Korrespondenz: aufbewahrt, so lange der zugehörige Geschäftsvorgang offen ist, zuzüglich 6 Jahre (handelsrelevante Korrespondenz gemäß § 257 Abs. 1 Nr. 4 HGB).
  • Microsoft-Clarity-/Google-Analytics-Daten: nur erhoben, sofern Sie eingewilligt haben — Clarity-Sitzungen werden 90 Tage gespeichert, GA4-Daten auf Nutzerebene 14 Monate (Standard). Aggregierte Berichte werden unbefristet aufbewahrt.

§ 7Cookies, Speicherung auf dem Endgerät und Einwilligungsverwaltung

Hinweis zur Bezeichnung: § 25 des deutschen Cookie-Einwilligungsgesetzes wurde am 14. Mai 2024 mit Inkrafttreten des Digital-Services-Act-Pakets aus dem ehemaligen TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) in das umbenannte TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) überführt. Die inhaltliche Vorschrift ist unverändert.

Cookies und ähnliche Technologien zur Speicherung auf dem Endgerät fallen auf dieser Website in zwei Kategorien:

  1. Unbedingt erforderlich — notwendig für die Funktion der Website (Buchungsformular, Zahlungs-Iframe, Spracheinstellung). Diese laufen ohne Einwilligung gemäß § 25 Abs. 2 Nr. 2 TDDDG.
  2. Optionale Analyse — Microsoft Clarity und Google Analytics 4. Diese setzen Cookies und übermitteln Daten in die USA. Sie werden nur geladen, nachdem Sie ihnen aktiv zugestimmt haben in unserem Cookie-Banner (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG). Bis zu Ihrer Zustimmung liest oder schreibt keines der Tools etwas über die cookielosen „Consent Mode v2 Default-Deny“-Pings von Google hinaus.

Widerruf der Einwilligung. Sie können Ihre Entscheidung jederzeit über den Link „Cookie-Einstellungen“ im Footer der Seite ändern. Der Widerruf wirkt für die Zukunft (Art. 7 Abs. 3 DSGVO) — er macht die während des Einwilligungszeitraums erfolgte Verarbeitung nicht ungültig, beendet jedoch die weitere Verarbeitung und löscht die Analyse-Cookies beim nächsten Seitenaufruf von Ihrem Endgerät.

Cookie / SpeicherZweckLaufzeitKategorie
sat-consent-v1Speichert Ihre Cookie-Banner-Entscheidung (Analyse: erteilt/verweigert) sowie den ISO-Zeitstempel der Entscheidung.localStorage (bis zur manuellen Löschung)Unbedingt erforderlich
__stripe_mid, __stripe_sidVom Stripe-Iframe gesetzt zur Unterstützung der Betrugserkennung und von 3-D Secure ausschließlich auf der Zahlungsseite.__stripe_mid: 1 J · __stripe_sid: 30 Min.Unbedingt erforderlich
NEXT_LOCALESpeichert die ausgewählte Oberflächensprache für wiederholte Besuche.1 JahrUnbedingt erforderlich
sessionStorage (Buchungsstrecke)Browserinterner Zustand des mehrstufigen Buchungsformulars, damit ein Neuladen Ihre Eingaben nicht verwirft.Beim Schließen des Tabs gelöschtUnbedingt erforderlich
_clck, _clskVon Microsoft Clarity gesetzt, um Sitzungsaufzeichnungs-Ereignisse einer pseudonymen Besucher-ID zuzuordnen — nur nach Einwilligung._clck: 1 J · _clsk: 1 TAnalyse — Opt-in
_ga, _ga_DBK7C2XFC0Von Google Analytics 4 gesetzt, um Nutzer und Sitzungen für aggregierte Analysen zu unterscheiden — nur nach Einwilligung. Die IP wird anonymisiert, Werbesignale und Werbepersonalisierung sind deaktiviert.2 JahreAnalyse — Opt-in

Wenn Sie die Analyse im Banner ablehnen, werden weder Microsoft Clarity noch Google Analytics geladen; die Website verzichtet dann vollständig auf verhaltensbezogene Analyse. Sie können die Buchungsstrecke vollständig ohne jede Analyse-Einwilligung nutzen.

§ 8Automatisierte Entscheidungsfindung und Profiling

Wir setzen keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung Ihnen gegenüber im Sinne des Art. 22 DSGVO ein. Stripe führt im Schritt der Kartenautorisierung eine algorithmische Betrugserkennung durch; wird eine Transaktion aufgrund von Betrugssignalen abgelehnt, ziehen wir den Betrag nicht ein, verwenden dieses Signal aber auch nicht für eine Entscheidung, die über diesen einzelnen Versuch hinausgeht. Sie können jederzeit einen menschlichen Disponenten unter +49 152 2929 8484 erreichen, um die Buchung auf alternativem Weg abzuschließen.

§ 9Dienste der Informationsgesellschaft für Kinder

Unser Dienst richtet sich an erwachsene Reisende. Wir bewerben unseren Dienst wissentlich nicht gegenüber Personen unter 16 Jahren, die unabhängig von einem Elternteil oder Erziehungsberechtigten handeln, und nehmen von solchen Personen keine Buchungen entgegen, im Einklang mit Art. 8 Abs. 1 DSGVO. Sollten Sie feststellen, dass uns ein Minderjähriger ohne nachweisbare Einwilligung der Eltern personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte, damit wir den Datensatz löschen können.

§ 10Ihre Rechte als betroffene Person

Sie haben die folgenden Rechte, die Sie kostenlos ausüben können:

  • Auskunftsrecht — Art. 15 DSGVO.
  • Recht auf Berichtigung — Art. 16 DSGVO.
  • Recht auf Löschung („Recht auf Vergessenwerden“) — Art. 17 DSGVO, vorbehaltlich der gesetzlichen Aufbewahrungspflichten gemäß §§ 147 AO, 257 HGB.
  • Recht auf Einschränkung der Verarbeitung — Art. 18 DSGVO.
  • Recht auf Datenübertragbarkeit — Art. 20 DSGVO (maschinenlesbarer Export der von Ihnen bereitgestellten Daten).
  • Widerspruchsrecht — Art. 21 DSGVO (insbesondere gegen eine auf berechtigten Interessen beruhende Verarbeitung).
  • Recht auf Widerruf der Einwilligung — Art. 7 Abs. 3 DSGVO, soweit die Verarbeitung auf einer Einwilligung beruht (in unserem Fall gilt dies nur, wenn Sie gesondert in einen Marketingkanal einwilligen; die standardmäßigen Buchungsabläufe beruhen auf der Vertragserfüllung und erfordern keine Einwilligung).
  • Recht auf Beschwerde bei einer Aufsichtsbehörde — Art. 77 DSGVO.

Richten Sie jede Anfrage zur Ausübung Ihrer Rechte an info@flughafen-transfer-stuttgart.de mit dem Betreff „Datenschutzanfrage“. Wir antworten innerhalb eines Monats gemäß Art. 12 Abs. 3 DSGVO; bei komplexen oder zahlreichen Anfragen können wir die Frist um weitere zwei Monate verlängern und werden Sie innerhalb des ursprünglichen Monats darüber informieren.

§ 11Recht auf Beschwerde

Sie können bei jeder Datenschutz-Aufsichtsbehörde in der EU/im EWR Beschwerde einlegen, insbesondere an Ihrem gewöhnlichen Aufenthaltsort, Ihrem Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes (Art. 77 DSGVO). Die für uns zuständige Behörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a
70173 Stuttgart, Deutschland

Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

§ 12Datensicherheit (technische und organisatorische Maßnahmen)

Wir wenden dem Risiko angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO an:

  • TLS-1.3-Verschlüsselung für alle Datenübertragungen (ausschließlich HTTPS, HSTS aktiviert).
  • Verschlüsselte Datenbank mit AES-256-Verschlüsselung im Ruhezustand (von Supabase verwaltetes Postgres).
  • Stornierungs-Token, erzeugt mit gen_random_bytes(24) (192 Bit Entropie) — kryptografisch nicht erratbar.
  • Geheimnisse (Supabase-Service-Role, Stripe-Schlüssel, SMTP-Zugangsdaten) ausschließlich als Umgebungsvariablen auf dem Server gespeichert, niemals im Quellcode-Repository.
  • Server in Frankfurt am Main (eu-central-1) und Karlsruhe / Nürnberg (Netcup), in ISO-27001-zertifizierten Rechenzentren.
  • HTTP-Basic-Auth im Dispositions-Panel (/dispo) vor jeder Geschäftslogik; keine öffentlich erreichbaren Pfade.
  • Fortlaufende Überwachung der Abhängigkeiten und Sicherheits-Patching der eingesetzten Node.js-, Next.js- und Postgres-Versionen.
  • Prinzip der geringsten Rechte für Backend-Zugriffe — nur autorisierte Mitarbeiter verfügen über Dispositions-Zugangsdaten.

§ 13Änderungen dieser Datenschutzerklärung

Wir können diese Erklärung anpassen, um Änderungen unserer Verarbeitung oder der gesetzlichen Anforderungen abzubilden. Die jeweils aktuelle Fassung ist stets abrufbar unter https://flughafen-transfer-stuttgart.de/datenschutz. Das Datum „Zuletzt geprüft“ am Seitenanfang gibt die letzte inhaltliche Änderung wieder. Soweit Änderungen betroffene Personen wesentlich betreffen, informieren wir Kunden mit aktiven Buchungen per E-Mail.

Stuttgart Taxi FB GmbH · Austraße 107 · 70376 Stuttgart · VAT DE450522631