Stand: 13. März 2025

Wir, die EnBW Energie Baden-Württemberg AG (nachfolgend: „EnBW AG“) und die EnBW mobility+ AG & Co. KG (nachfolgend: „EnBW KG“, gemeinsam mit EnBW AG: „wir“ oder „uns“), nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Im Folgenden wollen wir Sie gemeinsam darüber informieren, welche personenbezogenen Daten wir beim Herunterladen und bei der Nutzung unserer EnBW mobility+ App sowie der dazugehörigen Lademedien (wie bspw. Ladekarten; nachfolgend: „App“) erheben, wie wir diese Daten verarbeiten und welche Rechte Ihnen im Zusammenhang mit Ihren personenbezogenen Daten zustehen. Zudem möchten wir Ihnen die wesentlichen Inhalte der Vereinbarung zwischen der EnBW AG und der EnBW KG zur gemeinsamen Verantwortlichkeit zur Verfügung stellen.

1.1. Was bedeutet die gemeinsame Verantwortlichkeit für die Verarbeitung Ihrer Daten?

Die gemeinsame Verantwortlichkeit ist aufgrund der Konzern-Organisationsstruktur notwendig. Der EnBW Konzern ist geprägt vom arbeitsteiligen Zusammenwirken der einzelnen Gesellschaften und folgt in seiner Organisation einer Matrixstruktur, bei der Aufgaben und Leistungen gesellschaftsübergreifend wahrgenommen und erbracht werden. Die Gesellschaften und Funktionsbereiche des EnBW Konzerns sind in Wahrnehmung ihrer Aufgaben darauf angewiesen, personenbezogene Daten auszutauschen. Auch für die Leistungen im Bereich E-Mobilität und den Betrieb der dafür erforderlichen Infrastruktur ist innerhalb des EnBW Konzerns ein arbeitsteiliges Vorgehen erforderlich.

1.2. Wer sind die Gemeinsamen Verantwortlichen für die Verarbeitung Ihrer Daten (Art. 26 DSGVO)?

EnBW Energie Baden-Württemberg AG
Durlacher Allee 93
76131 Karlsruhe
+49 721 63-00
kontakt@enbw.com

und

EnBW mobility+ AG & Co. KG
Durlacher Allee 93
76131 Karlsruhe
+49 721 63-420
mobility@enbw.com

Bei Fragen, Anregungen oder Beschwerden können Sie uns unter den oben angegebenen Kontaktdaten erreichen. Sie können sich an beide verantwortliche Stellen (EnBW AG und EnBW KG) oder auch nur an eine der beiden Stellen wenden.

1.3. Für welche Bereiche besteht eine gemeinsame Verantwortlichkeit?

Wir sind grundsätzlich für sämtliche der im Folgenden beschriebenen Prozessabschnitte – soweit nicht gesondert gekennzeichnet – gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO). Eine eigene Verantwortlichkeit der EnBW AG besteht dagegen insbesondere für Verarbeitungsvorgänge im Zusammenhang mit:

• dem Betrieb der Webseite https://www.enbw.com, einschließlich der Unterseite https://www.enbw.com/elektromobilitaet/produkte/mobilityplus-app/uebersicht; die Datenschutzerklärung für diese Verarbeitungsvorgänge ist unter https://www.enbw.com/service/datenschutz abrufbar;
• dem Betrieb der Webseite https://www.enbw.com/myenergykey sowie dem zentralen Single Sign On Zugang zu verschiedenen EnBW-Services; die Datenschutzerklärung für die Webseite sowie den zentralen Single Sign On Zugang ist unter https://www.enbw.com/myenergykey/datenschutz abrufbar.

1.4. Was haben wir zur gemeinsamen Verantwortlichkeit vereinbart und was bedeutet dies für Sie als Betroffener?

Im Rahmen unserer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben EnBW AG und EnBW KG vereinbart, dass Zwecke und Mittel der Verarbeitung von personenbezogenen Daten gemeinsam entschieden werden. Innerhalb des EnBW-Konzerns werden die grundlegenden Anforderungen des Austausches personenbezogener Daten in einem sogenannten Inter Company Agreement mit Anlagen geregelt. Es soll zum einen datenschutzrechtliche Regelungen vereinheitlichen, indem für alle beteiligten Gesellschaften die gleichen umfassenden datenschutzrechtlichen Bedingungen gelten. Zum anderen soll es die Einhaltung datenschutzrechtlicher Anforderungen erleichtern und so den Schutz der Betroffenen gewährleisten.

Wir haben innerhalb der Vereinbarung zur gemeinsamen Verantwortlichkeit folgende Arbeitsverteilung festgelegt:

• Beim Betrieb der App sowie der Durchführung, Initiierung und Abwicklung der jeweiligen Ladevorgänge sowie bei Abschlüssen und Durchführung von Ladeverträgen arbeiten EnBW AG und EnBW KG eng zusammen. Wir sind für sämtliche der im Folgenden beschriebenen Prozessabschnitte – soweit nicht gesondert gekennzeichnet – gemeinsam für die Verarbeitung und den Schutz Ihrer personenbezogenen Daten sowie die Datensicherheit, einschließlich der erforderlichen technischen und organisatorischen Maßnahmen verantwortlich.
• EnBW AG und EnBW KG machen Ihnen die gemäß Art. 13 und 14 DSGVO sowie Art. 26 Abs. 2 S. 2 DSGVO erforderlichen Informationen gemeinsam in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.
• Datenschutzrechte können Sie sowohl bei der EnBW AG als auch bei der EnBW KG geltend machen. Betroffene erhalten die Auskunft grundsätzlich von der EnBW KG.
• Wir informieren uns unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Wir stellen einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung.
• Ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich, unterstützen wir uns hierbei gegenseitig.
• Wir informieren uns gegenseitig unverzüglich und vollständig, wenn bei der Prüfung einer Verarbeitungstätigkeit Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen festgestellt werden.

Sie können sich, auch soweit im Folgenden eine zentrale Anlaufstelle genannt wird, immer sowohl an die EnBW AG als auch die EnBW KG wenden. Wir werden intern sicherstellen, dass Ihre Frage, Anregung, Beschwerde oder sonstige Anfrage ohne Nachteile für die Wahrnehmung Ihrer Rechte bearbeitet wird.

Sollten Sie weitere Informationen zur Vereinbarung über die gemeinsame Verantwortlichkeit zwischen der EnBW AG und der EnBW KG im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten benötigen, können Sie sich gerne an die unter Ziffer 2 angegebenen Kontaktdaten wenden.

2. Wie kann ich den Datenschutzbeauftragten erreichen?

Den Datenschutzbeauftragten sowohl der EnBW AG als auch der EnBW KG erreichen Sie unter datenschutz@enbw.com. Er steht Ihnen für Fragen zum Datenschutz gerne zur Verfügung.

Wir erheben und verarbeiten Ihre Daten ausschließlich dann, wenn wir entweder Ihre Einwilligung zur Datenverarbeitung erhalten haben oder die Verarbeitung gesetzlich erlaubt ist.

3.1. Datenverarbeitung bei Herunterladen der App

Wenn Sie unsere App aus einem App-Store herunterladen werden die erforderlichen Informationen an den App-Store, also insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer übertragen. Dies erfolgt nicht durch uns, sondern im Rahmen Ihrer Nutzungsbeziehung mit dem jeweiligen App-Store. Wir haben keinen Einfluss auf diese Datenübertragung. Nähere Informationen können sie den Datenschutzhinweisen des jeweiligen App Stores entnehmen.

3.2. Datenverarbeitung beim Nutzen der App

3.2.1. Erhebung von technisch notwendigen Daten und Logfiles

Wenn Sie die App installieren und nutzen, werden folgende Kennungen Ihres mobilen Endgeräts automatisch an uns übertragen:

• Geräte-Id. (ID der App (iOS Vendor-Id bzw. Android Werbe-ID [GAID])
• App-Version (clientApplicationVersion)
• App-Betriebssystemversion (clientOsVersion)
• IP-Adresse
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• jeweils übertragene Datenmenge
• Betriebssystem und dessen Oberfläche
• Sprache und Version des Betriebssystems

Diese Daten werden bei Verwendung der App dazu genutzt, die Funktionalität der App (z.B. im Hinblick auf Benutzerfreundlichkeit) zu verbessern und die Fahrten zur Fahrtenhistorie Ihrer App zuzuordnen.
Die Erhebung und Verarbeitung dieser Daten erfolgt, um die Funktionsfähigkeit der App sicherzustellen, die Stabilität zu gewährleisten und zu verbessern, sowie aus Sicherheitsgründen. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b) bzw. lit. f) DSGVO, wobei sich unser berechtigtes Interesse aus den vorgenannten Zwecken ergibt. Die Daten werden gelöscht, sobald sie für die zuvor genannten Zwecke nicht mehr erforderlich sind. Im Falle der Speicherung einer IP-Adresse erfolgt eine Löschung bzw. Anonymisierung nach spätestens 7 Tagen. Die Erhebung dieser Daten sowie die Speicherung der Daten in Logfiles ist für die Nutzung der App zwingend erforderlich. Eine Widerspruchsmöglichkeit des Nutzers besteht daher nicht.

3.2.2. Verwendung von Cookies oder ähnlichen Technologien

Darüber hinaus werden durch unsere App Cookies und in ihrer Funktion vergleichbare Technologien z. B. HTML5 Storage (im Folgenden einheitlich Cookies genannt) verwendet. Cookies sind kleine Textdateien, die durch uns oder durch eine andere Stellen (genauere Informationen finden Sie in der Beschreibung unserer Analyseverfahren im Folgenden) auf Ihrem Endgerät gespeichert werden. Dadurch fließen der jeweils das Cookie setzenden Stelle bestimmte Informationen zu. Durch die Verwendung der Cookies ist es nicht möglich, Programme auszuführen oder Viren auf Ihr Endgerät zu übertragen.
Wenn Sie die Nutzung von Cookies oder ähnlichen Technologien nicht wünschen, können Sie diese unter Einstellungen/Datendienste abschalten. Dies kann jedoch dazu führen, dass Sie nicht alle Funktionen unserer App nutzen können. Diese App verwendet ausschließlich sogenannte Third Party Cookies. Third Party Cookies sind solche, welche nicht von uns, sondern von Drittanbietern auf Ihrem Endgerät gespeichert werden. Nähere Informationen zu Umfang und Zweck der Datenverarbeitung, der jeweiligen Rechtsgrundlage, der Speicherdauer sowie den Widerspruchs- und Beseitigungsmöglichkeiten hinsichtlich der Third Party Cookies finden Sie nachfolgend bei der Erläuterung der einzelnen von uns genutzten Verfahren.

3.2.3. MXO - Medallia Experience Orchestration

Wir nutzen die MXO Medallia Experience Orchestration von Medallia, Inc., (6220 Stoneridge Mall Rd Floor 2, Pleasanton, CA 94588, USA). Hierbei wird ein Cookie auf Ihrem Endgerät gespeichert. Hierbei wird eine individuelle ID Kennung für Ihr Gerät vergeben und auf Ihrem Gerät gespeichert. Sofern Sie nicht im registrierten Bereich eingeloggt sind, wird Ihr Nutzerverhalten anonymisiert erfasst. Zu ihrem Nutzerverhalten zählt, welche Bereiche Sie in der App besuchen, wie lange Sie dort verweilen, was Sie „anklicken“ oder in welche Felder Sie Daten eingeben (sogenanntes Listening und Capturing). Dies dient der Verbesserung unseres Appangebots wie auch unserer Produkte und Dienstleistungen als solchen, da wir hierdurch Erkenntnisse darüber gewinnen können, was die Nutzer unserer App interessiert und welche Funktionen sie wie genau nutzen. Erfasst werden folgende Daten:

Gerätehersteller, Gerätemodell, Art des Geräts (z. B. Smartphone, Tablet), Name und Version des Betriebssystems, ferner ein Zeitstempel, wann das Gerät das erste Mal sowie zuletzt mit der App kommuniziert hat. Rechtsgrundlage für die Datenverarbeitung ist ihre Einwilligung (Art. 6 Abs. 1 lit. a), 7 DSGVO, § 25 Abs. 1 TDDDGTDDDG). Die mittels Medallia erfassten Daten werden 2 Jahre nach deren Erhebung wieder gelöscht. Wenn Sie eine Erfassung und Nutzung der eben genannten Daten durch Medallia nicht wünschen, können Sie in den Einstellungen der mobility+ App unter dem Menüpunkt „Datendienste“ die Datenerhebung deaktivieren.

3.2.4. Adjust

Darüber hinaus verwenden wir in unserer App den App-Analysedienst adjust (adjust GmbH, Saarbrücker Str. 38a, 10405 Berlin). Wir nutzen adjust, um den Installationsvorgang, insbesondere die Installationserfolgsquote in Relation zu der Bewerbung der App zu analysieren. Hierbei werden zwar IP- und MAC-Adressen erfasst, welche aber direkt nach der Erhebung anonymisiert werden. Ein Rück-schluss auf Ihre Person ist dann nicht mehr möglich. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. a) DSGVO. Weitere Informationen zum Datenschutz finden Sie unter https://www.adjust.com/terms/privacy-policy

3.2.5. Google Firebase Crashlytics, Cloud Messaging & Analytics

Wir verwenden in dieser App Google Firebase, einen Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland), um auftretende Fehler zu erfassen („Crashlytics“) und Nutzungsstatistiken der App zu erhalten („Google Analytics“). Weiterhin verwenden wir „Cloud Messaging“ um „Push-Benachrichtigungen“ an Ihr Gerät zuzustellen. Die so erfassten Daten helfen uns, die Stabilität der App zu verbessern und die App im Interesse der Benutzer weiterzuentwickeln. Bei der genannten Erfassung werden IP-Adressen nur in anonymisierter Form verarbeitet.

Rechtsgrundlage für die Verarbeitung der Daten mittels „Crashlytics“ ist Art. 6 Abs. 1 lit. b) DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Diese Daten werden spätestens nach 90 Tagen gelöscht.

Rechtsgrundlage für die Verarbeitung der Daten mittels „Cloud Messaging“ ist Art. 6 Abs. 1 lit. b) DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Diese Daten werden spätestens nach 180 Tagen gelöscht.

Wir verarbeiten die Daten bei Nutzung von „Google Analytics“ auf Grundlage Ihrer erteilten Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO, § 25 Abs. 1 TDDDG). Diese Daten werden spätestens nach 2 Monaten gelöscht.

Außerdem verwenden wir „Dynamic Links“ für die Funktion Deep-Linking in die App, z.B. zur E-Mail-Verifizierung, zum Aufruf von Tarifen oder eines bestimmten Fahrzeugs. Rechtsgrundlage für die Verarbeitung der Daten mittels „Dynamic Links“ ist Art. 6 Abs. 1 lit. b), § 25 Abs. 2 Nr. 2 TDDDG. Die Erhebung dieser Daten ist für den Betrieb der App zwingend erforderlich. „Dynamic Links“ verwendet Gerätespezifikationen und IP-Adressen auf iOS, um neu installierte Apps auf einer bestimmten Seite oder in einem bestimmten Kontext zu öffnen. „Dynamic Links“ speichert Gerätespezifikationen und IP-Adressen nur vorübergehend, um den Dienst bereitzustellen.

Die im Rahmen von Google Firebase ermittelten Informationen werden an Google Ireland Limited und/oder Google LLC in den USA übertragen und dort gespeichert. Daten werden lediglich pseudonymisiert erhoben und an Firebase übermittelt. Eine Zusammenführung mit anderen Daten von Google findet nicht statt. Die Datenschutzerklärung von Firebase kann hier eingesehen werden: https://firebase.google.com/support/privacy.

3.2.6. Apple Maps (iOS)

Zu Zwecken der Kartendarstellung innerhalb unserer App sowie zur Anzeige der Routenvorschau im Rahmen des Ladestationsfinders (siehe hierzu auch 3.5) nutzen wir Apple Maps, ein Dienst der Apple Inc. (Infinite Loop, Cupertino, CA 95014, USA; „Apple“). Bei Nutzung unserer App erhält Apple die Information, dass Sie unsere App nutzen sowie Informationen über Ihre Nutzung der Kartenfunktionen. Sofern Sie bei Apple eingeloggt sind, wird diese Information auch Ihrem Benutzerkonto bei Apple zugeordnet. Sollten Sie dies nicht wünschen müssen Sie sich vor Nutzung unserer App aus Ihrem Apple Account ausloggen. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Auf die Datenerhebung und Verarbeitung durch Apple haben wir keinen Einfluss. Nähere Informationen über die Datenverarbeitung durch Apple können Sie deren Datenschutzerklärung entnehmen. Diese finden Sie unter: https://www.apple.com/de/legal/privacy/de-ww/.

3.2.7. Google Maps (Android)

Zu Zwecken der Kartendarstellung innerhalb unserer App sowie zur Anzeige der Routenvorschau im Rahmen des Ladestationsfinders (siehe hierzu auch 3.5) nutzen wir Google Maps, ein Dienst der Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). Bei Nutzung unserer App erhält Google die Information, dass Sie unsere App nutzen sowie Informationen über Ihre Nutzung der Kartenfunktionen. Sofern Sie bei Google eingeloggt sind, wird diese Information auch Ihrem Benutzerkonto bei Google zugeordnet. Sollten Sie dies nicht wünschen müssen Sie sich vor Nutzung unserer App aus Ihrem Google Account ausloggen. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Auf die Datenerhebung und Verarbeitung durch Google haben wir keinen Einfluss. Nähere Informationen über die Datenverarbeitung durch Google können Sie deren Datenschutzerklärung entnehmen. Diese finden Sie unter: https://policies.google.com/privacy.

3.2.8. Berechtigungen

Die App fordert folgende Berechtigungen an und nutzt sie für die nachfolgend dargestellten Zwecke:

• Kamera: Bereitstellung der Funktion Abfotografieren eines QR-Codes, Guthabencode oder Ladekarten-Code
• Standort: Auffinden von Ladepunkten in der Nähe sowie Navigation und bei Problemmeldungen durch den Kunden
• Bluetooth: Bereitstellung standortbezogener Mehrwertdienste über Beacons.
• Bilder: Zusenden von Bildern oder Screenshots bspw. bei Problem-meldungen
• Mobilfunk-Datendienste: Auffinden von Ladepunkten sowie Navigation

3.2.9. Push-Benachrichtigungen

Unsere App informiert Sie mittels Push-Benachrichtigungen über

• Vertragsrelevante Informationen
• Ladevorgangsinformationen
• Standortinformationen
• Supportinformationen
• Zustellung von Rechnungsdokumenten

Zum Versand der Push-Nachrichten ist es technisch notwendig, folgende Daten zu erheben: Channel ID, Locale, Zeitzone, Geräte-Plattform, Status der Zustimmung zu Push-Nachrichten, Version des eingesetzten Software-Development-Kits (SDK) und Push-Token. Die Zustimmung zu Push-Nachrichten wird 13 Monate nach Accountlöschung gelöscht, alle weiteren Daten werden 90 Tage nach Accountlöschung wieder gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) bzw. lit. f) DSGVO, wobei sich unser berechtigtes Interesse aus dem vorgenannten Zweck des Versandes von Push-Benachrichtigungen ergibt. Sie können Push-Benachrichtigungen jederzeit über Einstellungen/Mitteilungen/mobility+ (iOS) bzw. Einstellungen/Benachrichtigungen/mobility+ (Android) deaktivieren.

Push-Benachrichtigungen zu werblichen Zwecken werden Ihnen nur dann zugesandt, wenn Sie hierfür zuvor Ihre Einwilligung erteilt haben. Rechtsgrundlage für das Zusenden werblicher Push-Benachrichtigungen ist Art. 6 Abs. 1 lit. a) DSGVO. Eine Deaktivierung ist ebenfalls über Einstellungen/Mitteilungen/mobility+ (iOS) bzw. Einstellungen/Apps/mobility+ (Android) möglich.

3.3. Nutzung eines Kontaktformulars

Treten Sie mit uns über ein in der App bereitgestelltes Kontaktformular in Kontakt, werden wir die von Ihnen bereitgestellten Daten entsprechend Ihrem jeweiligen Anliegen verwenden. Rechtsgrundlage der Datenverarbeitung ist je nach Inhalt Ihrer Anfrage Art. 6 Abs. 1 lit. b), lit. f) oder lit. a) DSGVO. Die Daten, die Sie uns mittels Ihrer Anfrage zusenden, werden wir nach Erreichung des jeweiligen Zwecks löschen. Sofern sich die übermittelte Anfrage auf einen mit uns geschlossenen Vertrag bezieht, wird Ihre Anfrage wie in den Datenschutzhinweisen des jeweiligen Vertrages erläutert gelöscht.

Wir verarbeiten Ihre Daten zu Zwecken des Abschlusses, der Erfüllung und der Durchführung eines geschlossenen Vertrages. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 b) DSGVO. Die konkreten Zwecke der Datenverarbeitung richten sich nach dem jeweiligen Vertragsinhalt. Die Einzelheiten können Sie Ihren Vertragsunterlagen und den geltenden Geschäftsbedingungen entnehmen.
Wie die Datenverarbeitung bei Nutzung der einzelnen Funktionen der mobility+ App und bei der Durchführung von Ladevorgängen erfolgt, erläutern wir Ihnen im Folgenden:

4.1. Datenverarbeitung bei Nutzung des E-Mobility Ladestationsfinders sowie der Routenvorschau

Wenn Sie den Ladestationsfinder nutzen, dann werden folgende Daten erhoben:

• Breitengrad
• Längengrad
• Ihre Lieblingsladestationen, sofern Sie diese kennzeichnen
• Die Filtereinstellungen innerhalb der App, sofern Sie diese verwenden

Diese Daten werden genutzt, um Ihnen die für Sie relevanten Ladestationen in der Nähe oder der von Ihnen gewählten Adresse anzeigen zu können. Die Standortinformationen werden von uns nicht gespeichert. Um Ihnen eine Routenvorschau zur jeweiligen Ladestation anzeigen zu können nutzen wir in unserer Android App die Dienste von Google Maps (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) „Google“) und in unserer iOS App die Dienste von Apple Maps (Apple Inc. (Infinite Loop, Cupertino, CA 95014, USA, „Apple“). Hierzu übermitteln wir Ihren aktuellen Standort und den Zielort in Form von Längen- und Breitengrad an Google bzw. Apple. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO. Die von uns gespeicherten Lieblingsladestationen oder Filtereinstellungen können Sie durch Deaktivierung bzw. Zurücksetzen wieder löschen.

4.2. Datenverarbeitung bei Registrierung und Durchführung von Ladevorgängen durch die App

Wenn Sie die mobility+ App nutzen wollen, um Ladevorgänge durchzuführen, ist es erforderlich, dass Sie sich hierfür registrieren. Diese App ist an myEnergyKey, den zentralen Single Sign-On Dienst der EnBW AG, angeschlossen. Registrierung und Anmeldung erfolgen ausschließlich über den myEnergyKey Service. Nähere Informationen zur Datenverarbeitung im Rahmen der Nutzung von myEnergyKey entnehmen Sie bitte den dortigen Datenschutzhinweisen: https://enbw.com/myEnergyKey/datenschutz. Wenn Sie bereits einen myEnergyKey angelegt haben, können Sie diesen auch für die Anmeldung bei mobility+ weiterverwenden und sich mit Ihrem bestehenden Benutzernamen und Passwort bei mobility+ einloggen.
Wenn Sie Ladeverträge abschließen, Ladevorgänge starten und bezahlen wollen, werden folgende Daten erhoben:

• Vorname, Name*
• Kundentyp (Privat, Firma)*
• Adresse*
• Telefonnummer*
• Geburtsdatum*
• Kundennummer (EVCO-ID)*
• Vehicle ID
• Partner Referenz (z.B. Kundennummer, Vehicle Identifier Number VIN)*
• Abrechnungskonto*
• Vertragsinformationen*
• Zahlungsinformationen, wie Kreditkartennummer, PayPal-Adresse oder Ihre IBAN-Nummer*
• Ihre Ladekartenidentifikationsnummer (sofern Sie diese in der App hinterlegen)
  Gutscheincodes für Ladevorgänge, sofern Sie welche erhalten haben
• Ladehistorie mit Standort und Verbrauchsdaten*
• Daneben verarbeiten wir auch Daten, die wir aus anderen Quellen zulässigerweise erhalten haben. Hierzu gehören insbesondere: Bonitätsdaten von Auskunfteien*

Diese Daten werden erhoben, damit wir Ladevorgänge abrechnen können. Die erfolgreiche Anlage des Kundenkontos wird durch eine E-Mail bestätigt. Die Bereitstellung der oben mit „*“ gekennzeichneten Daten ist für den Vertragsabschluss und für die Durchführung des Vertrags erforderlich. Wenn Sie uns diese Daten nicht bereitstellen, können wir den Vertrag nicht durchführen bzw. werden wir den Vertragsschluss ablehnen müssen. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO.

4.2.1 Datenverarbeitung bei Buchung eines Kooperationstarifs

Falls Sie einen Kooperationstarif gebucht haben, nutzen wir die jeweilige Partner Referenz zur regelmäßigen Validierung Ihrer bestehenden Mitgliedschaft bei unserem Kooperationspartner. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b) DSGVO.

4.3. Datenverarbeitung bei Nutzung eines geteilten Profils als Teilnehmer

Bei der Nutzung eines geteilten Profils als „Teilnehmer“ werden dem Inhaber des geteilten Profils/ Tarifs alle Ladevorgänge inklusive Metadaten (Datum, Zeit, Ort des Ladevorgangs, Ladepunkt, Ladestandard, geladene Energiemenge) des Teilnehmers, also desjenigen Nutzers, mit dem das Profil geteilt wurde, angezeigt. Die Nutzung eines geteilten Profils als „Teilnehmer“ kann wieder rückgängig gemacht werden. Dabei ist zu beachten, dass nach Deaktivierung dieser Funktion bereits getätigte Ladevorgänge dem Inhaber des Profils/Tarifs noch angezeigt werden können.

Neben der Verarbeitung Ihrer Daten zu Zwecken der Vertragserfüllung und bei der Nutzung unserer App verarbeiten wir – sofern Ihre schutzwürdigen Interessen nicht überwiegen – Ihre Daten auch aufgrund unseres berechtigten Interesses oder des Interesses eines Dritten. Hierzu gehören folgende Verarbeitungszwecke:

• Validierung des von Ihnen angegebenen Zahlungsmittels
• Verarbeitung Ihrer Daten zu Zwecken des Direktmarketings und einer direkten Kontaktaufnahme – sofern dies gesetzlich erlaubt ist oder Sie uns Ihre Einwilligung erteilt haben
• Durchführung und Weiterentwicklung von Analysen zur Bewertung Ihrer Interessen und Kundenzufriedenheit sowie Gestaltung von dementsprechend individualisierten Angeboten für Sie
• Verarbeitung Ihrer Daten zu Zwecken der Markt- oder Meinungsforschung, um herauszufinden, welche Interessen und Nachfragen im Hinblick auf künftige Produkte und Services bestehen
• Weiterentwicklung von Produkten und Services
• Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
• Sicherstellung der Sicherheit und des Betriebs unserer IT-Systeme sowie Weiterentwicklung dieser Maßnahmen
• Verhinderung und Aufklärung von Straftaten
• Maßnahmen zur Geschäftssteuerung
• Betrugsprävention
• Steuerung unserer geschäftlichen Risiken
• Anonymisierung von Daten, um auf nicht mehr personenbeziehbaren Daten erweiterte Auswertungen vornehmen zu können
• Verifizierung und periodische Überprüfung der Voraussetzungen für Kooperations-Rabatte
• Durchführung einer Bonitätsprüfung bei Zahlungsvarianten mit Zahlungsausfallrisiko. Wir übermitteln personenbezogene Daten von natürlichen und juristischen Personen (z.B. Vor- und Nachname, Firma, Adresse, E-Mail-Adresse, Geburtsdatum) an sogenannte Auskunfteien, also Unternehmen, die Informationen über die Zahlungsfähigkeit anbieten. Hierzu gehören bspw. SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Bisnode Deutschland GmbH, Robert-Bosch-Straße 11, 64293 Darmstadt, Coface Central Europe Holding AG, Stubenring 24, A-1010 Wien, CRIF GmbH, Victor-Gollancz-Str. 5, 76137 Karlsruhe, CRIF GmbH, Rothschildplatz 3/Top 3.06.B, A-1020 Wien, Creditreform, Machtlfinger Straße 13, 81302 München, EOS Deutschland GmbH, Gottlieb-Daimler-Ring 7-9, 74906 Bad Rappenau. Anhand des zurückgelieferten Bonitätsscores und weiterer Informationen (u. a. Zahlungsunfähigkeit, nicht vertragsgemäßes Verhalten Ihrerseits, insbesondere die Nichtbegleichung offener Forderungen) über den Abschluss eines Vertragsverhältnisses entschieden. Im Falle eines Forderungsausfalls behalten wir uns vor, bei Vorliegen der gesetzlichen Zulässigkeitsvoraussetzungen die genannten Auskunfteien hierüber zu informieren. Rechtsgrundlagen dieser Übermittlung sind Art. 6 Abs. 1 b) und f) DSGVO. Die genannten Auskunfteien verarbeiten die erhaltenen Daten und verwenden sie auch zum Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern Informationen unter anderem zu Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Die Übermittlung von personenbezogenen Daten in Drittländer erfolgt gemäß Art. 44 ff. DSGVO. Nähere Informationen zur Tätigkeit der Auskunfteien erhalten Sie bei den jeweiligen Auskunfteien selbst, für die CRIF und die SCHUFA können diese beispielsweise online unter https://www.crif.de/datenschutz und https://www.schufa.de/global/datenschutz-dsgvo/index.jsp eingesehen werden. Des Weiteren können wir die erhaltenen Bonitätsscores für die Entscheidung über weitere Vertragsabschlüsse in einem Zeitraum von einem Monat nach der Abfrage bei den Auskunfteien nutzen.

Wir verarbeiten Ihre Daten zu den oben genannten Zwecken nur in pseudonymisierter Form, sofern im Einzelfall möglich. Dies bedeutet, dass sie im Rahmen der jeweiligen Verarbeitung durch uns nicht mehr direkt identifiziert werden können.

6. Darüber hinausgehende Verarbeitung Ihrer Daten aufgrund gesetzlicher Vorgaben

Sofern wir gesetzlichen Verpflichtungen unterliegen, die eine weitergehende Verarbeitung Ihrer Daten erforderlich machen, werden wir Ihre Daten auch zu den jeweils vom Gesetzgeber vorgesehenen Zwecken verarbeiten. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. c) DSGVO in Verbindung mit der Norm, welche die jeweilige gesetzliche Pflicht enthält.

7. Darüber hinausgehende Verarbeitung Ihrer Daten aufgrund einer von Ihnen erteilten Einwilligung

Neben den hier explizit genannten Zwecken erfolgt eine Datenverarbeitung dann, wenn und soweit Sie in eine Datenverarbeitung nach Art. 6 Abs. 1 lit. a) DSGVO eingewilligt haben. Die Zwecke der Datenverarbeitung ergeben sich aus der jeweiligen Einwilligung.

Sie haben z.B. die Möglichkeit uns eine Einwilligung für Marktforschungs- und Werbezwecke zu erteilen. Es besteht bei Abgabe der Einwilligung die Möglichkeit Einstellungen vorzunehmen und die Einwilligung zu individualisieren. Die Einstellungen können Sie auch jederzeit im Kundenportal Ihren Wünschen entsprechend anpassen.

Anpassungen sind in Bezug auf die gewünschten Kontaktkanäle, Bildung eines Interessenprofils, Anreicherung Ihrer Daten durch Daten bei Partnern, Themenbereiche und Kontaktaufnahme im Falle einer Änderung bei Partnern möglich. Wählen Sie eine Kategorie ab, erfolgt keine Datenverarbeitung zu dem jeweiligen Zweck oder über den gewählten Weg.

Mit Erteilung der vollständigen Einwilligung erlauben Sie uns Ihnen personalisierte Informationen, Angebote sowie Umfragen per E-Mail, SMS oder Telefon zu übermitteln. Die personalisierten Informationen, Angebote und Umfragen beziehen sich auf unser vielfältiges Angebots- und Serviceprogramm und das unserer Partner.

Dies umfasst die Bereiche:

Energie

• Strom
• Gas
• Wärmelieferung und -erzeugung
• energienahe Dienstleistungen
• Energiespeicher
• Messstellenbetrieb
• Beteiligungsmodelle (an Energieerzeugungsanlagen)
• Solaranlagen

Elektromobilität und Treibhausgasminderungsquote

Telekommunikation

• Festnetz-, Internet-Mobilfunktarife
• Streaming (Musik, Film)

Sonstiges

• Elektroklein- und -großgeräte inklusive Zubehör
• Versicherungen (Haushalt, Hardwaresicherheit)
• Kundenvorteilsprogramme

Bei unseren Partnern handelt es sich um die

• EnBW mobility+ AG & Co. KG Durlacher Allee 93, 76131 Karlsruhe (Anbieter für Elektromobilität)
• Yello Strom GmbH Siegburger Straße 229, 50679 Köln (Energieanbieter)
• SENEC GmbH Wittenberger Straße 15, 04129 Leipzig (Anbieter für Solaranlagen und Speicher)
• DZ-4 GmbH Kühnehöfe 3, 22761 Hamburg (Anbieter für Solaranlagen).

Bei Erhalt von Angeboten, Informationen oder Umfragen per E-Mail verarbeiten wir Ihre Daten, indem wir Ihr Öffnungs- und Klickverhalten auswerten, um unsere Angebote stetig zu verbessern.

Aufgrund der Einwilligung verarbeiten wir Ihre Daten zu-dem, indem wir Ihre Online-Daten mit den bei uns bereits gespeicherten Daten zusammenführen. Hierdurch wird ein Interessenprofil gebildet, um noch passendere und individuellere Angebote für Sie bilden zu können. Dabei werden auch die Daten verarbeitet, die zu Ihrer Person bei unseren Partnern gespeichert sind.

Das Interessenprofil wird wie folgt gebildet:
Um zu ermitteln, welche unserer Informationen, Produkte und Angebote zu Ihnen passen und Ihren Interessen entsprechen, werten wir Ihre Daten mit verschiedenen Algorithmen und statistischen Verfahren aus. Dabei beziehen wir zum Beispiel Daten zur Marktentwicklung mit ein und berücksichtigen, welchen Bedarf an Produkten und Energiedienstleistungen typischerweise mit Ihnen vergleichbare Kundengruppen haben. Auch verwenden wir Ihre Daten zum Entwickeln neuer Verfahren und Analysemodelle. Soweit möglich, verarbeiten wir Ihre Daten pseudonymisiert bzw. anonymisiert. Wir verarbeiten persönliche Daten, die wir aus Geschäftsbeziehungen und aus der Zusammenarbeit mit Ihnen gewonnen haben. Dazu gehören:

(1) Daten, die zu Ihrer Person gespeichert sind.
Hierunter fallen:

a. Kontakt- und vertragsbezogene Daten
Hierunter verstehen wir Stamm- und Kontaktdaten wie z. B. Name, Anschrift, Geburtsdatum, Geschlecht, Familienstand, Personenbeziehungen, Ihre E-Mail-Adresse oder Telefonnummer.

b. Daten, die wir im Rahmen Ihrer Kommunikation mit uns erheben.
Das sind Daten, die wir im Rahmen unserer Beratungs- und Serviceangebote online oder im direkten Gespräch gewonnen haben, wie zum Beispiel Ihre mitgeteilten Ziele und Wünsche, Ihre Produktkenntnisse und Erfahrungen sowie Angaben zu Ihren persönlichen Verhältnissen. Dazu gehören auch beispielsweise Informationen, wie Ihre Stromverbrauchsdaten, Hinweise auf einen bevorstehenden Umzug oder sonstige wohnliche Veränderungen zur Ermittlung eines optimalen Tarifs, Informationen zur Planung einer Solaranlage, Informationen zu bestehenden oder geplanten Anschaffungen wie z. B. eines E-Autos, einer Wallbox oder einer Wärmepumpe.

c. Daten aus der Kundenbeziehung
Hierbei handelt es sich um Daten, die wir im Rahmen der Kundenbeziehung selbst erstellt oder aus anderen Quellen (z. B. aus öffentlich zugänglichen Verzeichnissen) zulässigerweise erhalten haben. Zu den Daten aus der Kundenbeziehung zählen z. B. Angaben aus Beratungsdokumentationen, wie etwa interne Protokolle, Kundenausdrucke sowie Daten aus der Konsumforschung und Informationen zur Wohnsituation oder -umfeld oder Informationen, die wir durch eigene Bewertungsverfahren gewinnen, um beispielsweise Ihre Zufriedenheit einzuschätzen.

(2) Daten aus Ihrer Onlinenutzung.
Das sind Daten, die wir bei Ihrer Nutzung unseres Online-Angebots (Webseiten, Apps oder Portale) verarbeiten. Hierzu zählen z. B. Informationen über den von Ihnen gewählten Zugangsweg/ Kommunikationskanal (wie etwa IP-Adresse oder die Art des Empfangsgeräts), Datum und Uhrzeit der Nutzung, Informationen zu Ihrer Servicehistorie sowie Informationen zu den von Ihnen aufgerufenen und genutzten Online-Angeboten.

(3) Daten unserer Partner.
Dazu zählen Daten, die uns zulässigerweise von unseren Partnern übermittelt worden sind. Dazu können z. B. Informationen zu Ihren dortigen Verträgen, aber auch Angaben zu Beratungswünschen sowie zu Ihren persönlichen Verhältnissen gehören.

Das Interessenprofil nutzen wir, um Sie individuell zu beraten. Sobald sich die Liste der Partner ändert, verarbeiten wir Ihre Daten, indem wir Sie über die Änderung per E-Mail, Telefon oder SMS informieren und um Ihre Erlaubnis bitten diesen Partner in die Einwilligung mit einbeziehen zu dürfen.

Wir behandeln Ihre Daten vertraulich. Innerhalb der EnBW AG und der EnBW KG erhalten nur die Abteilungen und Mitarbeiter Zugriff auf Ihre Daten, die dies zur Erfüllung der oben genannten Zwecke benötigen.

Personenbezogene Daten werden von uns an Dritte nur übermittelt, wenn dies für die vorgenannten Zwecke erforderlich und gesetzlich erlaubt ist oder Sie zuvor eingewilligt haben. Zur Erfüllung der oben in 4.2 und 5 genannten Zwecke übermitteln wir Ihre Daten an Auskunfteien, bspw. SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Bisnode Deutschland GmbH, Robert-Bosch-Straße 11, 64293 Darmstadt, Coface Central Europe Holding AG, Stubenring 24, A-1010 Wien, CRIF Bürgel GmbH, Leopoldstraße 244, 80807 München, CRIF GmbH, Diefenbachgasse 35, AT-1150 Wien, Creditreform, Machtlfinger Straße 13, 81302 München, EOS Deutschland GmbH, Gottlieb-Daimler-Ring 7-9, 74906 Bad Rappenau.

Sofern Sie einen vergünstigten Tarif über einen unserer Kooperationspartner buchen oder nutzen, übermitteln wir Authentisierungsmerkmale an diesen Kooperationspartner. Die Authentisierung wird benötigt, damit der Kooperationspartner prüfen kann, dass Sie den entsprechenden Tarif nutzen dürfen. Für diese Prüfung können bspw. eine Kundennummer, Fahrzeugidentifikationsnummer oder ähnliches herangezogen werden.

Neben den oben bereits konkret benannten Empfänger bedienen wir uns zur Erfüllung unserer Verpflichtungen der Hilfe weiterer Dienstleister (Auftragsverarbeiter). Folgende Empfängerkategorien können Daten erhalten

• Kooperations-Partner
• IT-Dienstleister
• Call-Center
• Ladeinfrastrukturanbieter
• Roamingplattformen
• Datenspeicher- und Verarbeitungsdienste
• Kreditinstitute und Anbieter von Zahlungsdienstleistungen
• Marketing Dienstleister
• Werbeagenturen
• Analyse-Spezialisten
• Logistik- und Postdienstleister
• Druckdienstleister
• Beratung und Consulting
• Markt- und Meinungsforschung
• Inkassodienstleister und Rechtsanwälte
• Akten- und Datenträgerentsorgung
• Behörden
• gesetzliche Betreuer und Personen, für die eine Vollmacht besteht

Die EnBW AG und die EnBW KG sind Teil des EnBW Konzerns und wirken arbeitsteilig mit anderen Konzerngesellschaften zusammen. Eine Übermittlung personenbezogener Daten an andere Konzerngesellschaften, d. h. außerhalb der gemeinsamen Verantwortlichkeit zwischen EnBW AG und EnBW KG (vgl. dazu die Ausführungen oben unter Ziffer 1), erfolgt ebenfalls nur dann, wenn hierfür eine Rechtsgrundlage besteht und dies für einen der oben genannten Zwecke erforderlich ist.

9. Werden meine Daten auch an Empfänger in Staaten außerhalb des Europäischen Wirtschaftsraumes übermittelt? Wie wird ein angemessenes Datenschutzniveau sichergestellt?

Wir übermitteln Ihre Daten auch an Dienstleister und Datenempfänger, die sich in Drittländern außerhalb der EU bzw. des EWR befinden. Die Einhaltung eines angemessenen Datenschutzniveaus wird auf Grundlage von Angemessenheitsbeschlüssen nach Art. 45 DSGVO bzw. durch andere geeignete Garantien nach Art. 46 ff. DSGVO sichergestellt. Bitte beachten Sie, dass im Falle einer Datenübermittlung in Drittländer dennoch das grundsätzliche Risiko bestehen kann, dass kein dem europäischen Recht entsprechendes angemessenes Datenschutzniveau vorliegt und Betroffenenrechte ggf. nicht vollumfänglich durchgesetzt werden können. Im Falle von Datenübermittlungen auf Grundlage von Art. 46 ff. DSGVO können Sie bei uns eine Kopie der einschlägigen Garantien über die oben genannten Kontaktdaten anfragen.

Insbesondere für Datenübermittlungen im Wege von Administrationszugriffen ist ein Zugriff aus Drittländern möglich, da oftmals die Betriebsfähigkeit der Systeme nach dem Follow-the-Sun Prinzip sichergestellt wird. Ein Datenzugriff erfolgt in diesen Fällen ebenfalls nur, wenn die Einhaltung eines angemessenen Datenschutzniveaus sichergestellt ist.

10. Wie steht es um die Sicherheit meiner Daten?

Wir setzen technische und organisatorische Sicherheitsmaßnahmen nach dem derzeitigen Stand der Technik ein, um Ihre uns zur Verfügung gestellten Daten vor zufälliger oder vorsätzlicher Manipulation, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

11. Was gilt für Daten von Kindern?

Wir ermuntern Erziehungsberechtigte nachdrücklich, die Online-Aktivitäten ihrer Kinder zu begleiten. Kinder sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln oder unsere Apps nutzen. Wir fordern wissentlich keine personenbezogenen Daten von Kindern an und verarbeiten diese nicht wissentlich.

12. Welche Rechte habe ich in Bezug auf meine Daten?

In Bezug auf die Verarbeitung ihrer personenbezogenen Daten, haben Sie gemäß Art. 15 DSGVO das Recht, Auskunft über die durch uns zu Ihrer Person verarbeiteten Daten zu verlangen. Des Weiteren stehen Ihnen die Rechte zu, Daten gemäß Art. 16 DSGVO berichtigen oder gemäß Art. 17 DSGVO löschen zu lassen, sowie die Verarbeitung gemäß Art. 18 DSGVO einzuschränken. Des Weiteren haben Sie gemäß Art. 20 DSGVO das Recht, die Herausgabe der durch Sie bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen. Hinsichtlich des Auskunftsrechts gelten die Einschränkungen des § 34 BDSG und bezüglich des Löschungsrechts die Ausnahmen des § 35 BDSG

Widerspruchsrecht Art. 21 DSGVO

Sofern wir Ihre Daten aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO) oder zur Wahrnehmung einer öffentlichen Aufgabe (Art. 6 Abs. 1 lit. e) DSGVO) verarbeiten und wenn sich aus Ihrer besonderen Situation Gründe gegen diese Verarbeitung ergeben, haben Sie gemäß Art. 21 Abs. 1 DSGVO das Recht auf Widerspruch gegen diese Verarbeitung. Im Falle eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr zu diesen Zwecken, es sei denn wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Ein Recht auf Widerspruch steht Ihnen – ohne Einschränkung – gemäß Art. 21 Abs. 2 und 3 DSGVO gegen jede Art der Verarbeitung zu Zwecken der Direktwerbung zu.

Ihre Betroffenenrechte und Ihren Widerspruch können Sie jederzeit formfrei an uns richten. Zur bestmöglichen Bearbeitung bitten wir Sie, die folgenden Kontaktdaten zu nutzen:

EnBW Mobility+ AG & Co. KG
Durlacher Allee 93
76131 Karlsruhe
+49 721-72 586 420
mobility@enbw.com

Bitte beachten Sie, dass Sie Ihren Widerspruch gegen die Nutzung von Tracking Verfahren in unserer App nur selbst umsetzen können. Es ist technisch nicht möglich, dies zentral durchzuführen. Bei jedem Tracking Verfahren, bei dem Sie den Widerspruch selbst umsetzen müssen, haben wir Ihnen oben eine Erklärung beigefügt.

13. Kann ich erteilte Einwilligungen widerrufen?

Sofern wir Ihre Daten auf Basis einer von Ihnen erteilten Einwilligung verarbeiten, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Ihre Daten werden dann nicht mehr zu den von der Einwilligung umfassten Zwecken verarbeitet. Bitte beachten Sie, dass die Rechtmäßigkeit der Datenverarbeitung, welche vor dem Widerruf erfolgt ist, durch den Widerruf nicht berührt wird. Wie Sie Ihren Widerruf im Einzelnen erklären können, entnehmen Sie bitte den vorangegangenen Informationen bzw. der Information in der jeweiligen Einwilligung. Richten Sie Ihren Widerruf gerne an:

EnBW Mobility+ AG & Co. KG
Durlacher Allee 93
76131 Karlsruhe
+49 721-72 586 420
mobility@enbw.com

Hier wird ihr Widerruf – sofern technisch möglich – direkt zentral umgesetzt oder Ihnen wird erläutert, wie Sie selbst den Widerruf umsetzen können, da eine zentrale Umsetzung durch uns bei manchen technischen Verfahren nicht möglich ist.

14. Habe ich ein Beschwerderecht bei einer Aufsichtsbehörde?

Sofern Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt, können Sie sich gemäß Art. 77 DSGVO jederzeit mit einer Beschwerde an eine Datenschutzaufsichtsbehörde wenden. Dies gilt unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

15. Muss ich die Daten bereitstellen oder ist die Bereitstellung für den Vertragsschluss erforderlich?

Mit Ausnahme der zur Nutzung unserer App technisch notwendigen Daten ist jegliche Datenbereitstellung durch Sie freiwillig. Es kann jedoch sein, dass einzelne Funktionen der App nicht funktionieren, sofern sie uns die dafür benötigten Daten nicht bereitstellen. Sollte dies ausnahmsweise anders sein, so ist dies an der entsprechenden Stelle in dieser Erklärung explizit erwähnt.

16. Wird anhand meiner Daten eine automatisierte Entscheidungsfindung durchgeführt? Und wenn ja, wie wird das gemacht und welche Auswirkungen hat dies auf mich?

Wie unter 4.2 und 5 dargestellt, führen wir vor Vertragsabschluss eine Bonitätsprüfung durch, um uns vor Zahlungsausfällen zu schützen. Hierzu nutzen wir Wahrscheinlichkeitswerte, die uns die von uns beauftragten Wirtschaftsauskunfteien übermitteln. Näheres zur Ermittlung der Wahrscheinlichkeitswerte (Scoring) durch die Wirtschaftsauskunfteien erfahren Sie unter Punkt 5 (vgl. Internet-Links). Der durch die Wirtschaftsauskunftei ermittelte Wahrscheinlichkeitswert ist entweder direkt ausschlaggebend dafür, ob wir aufgrund des für Sie prognostizierten Zahlungsausfallrisikos ein Vertragsverhältnis mit Ihnen eingehen, oder wir beziehen den von der Wirtschaftsauskunftei ermittelten Wahrscheinlichkeitswert in eine weitere von uns durchgeführte Berechnung ein, in der ergänzend zur Beurteilung des Zahlungsausfallrisikos entscheidungserhebliche Kriterien berücksichtigt werden. Eine solche Berechnung führen wir in solchen Fällen durch, in denen wir das Zahlungsausfallrisiko allein aufgrund des von der Wirtschaftsauskunftei ermittelten Wertes als zu hoch bewerten und das Eingehen eines Vertragsverhältnisses basierend darauf dementsprechend ablehnen würden. Wir überprüfen dann, ob wir in Anbetracht des konkreten Vertrages mit seiner Laufzeit, dem jeweiligen Tarif und den für uns entstehenden Kosten das Risiko eines Vertragsschlusses nicht doch eingehen können. Bei unserer Entscheidung, Ihnen aus Gründen Ihrer Bonität einen Vertrag anzubieten oder dies abzulehnen, handelt es sich in beiden Fällen einzig um prozessual festgelegte Entscheidung im Einzelfall. Sie haben jedoch das Recht, das Eingreifen eines unserer Mitarbeiter zu verlangen, Ihren eigenen Standpunkt darzulegen und die automatisierte Entscheidung anzufechten. Wenden Sie sich hierzu bitte an uns unter den zuvor genannten Kontaktdaten. Wenn wir automatisierte Entscheidungen im Einzelfall durchführen, so werden die Voraussetzungen des § 31 BDSG sowie Art. 22 DSGVO beachtet.

17. Können diese Informationen geändert werden? Und wenn ja, wie erfahre ich hiervon?

Da unsere Datenverarbeitung Änderungen unterliegt, werden wir auch unsere Datenschutzinformationen von Zeit zu Zeit anpassen. Wir werden Sie über Änderungen, die Sie betreffen, rechtzeitig informieren. Den jeweils aktuellen Stand dieser Datenschutzbestimmungen finden Sie an dieser Stelle.

The English translation of these Privacy Policy is for information purposes only. In the event of contradictions between the language versions, the German text shall prevail.

Date: March 13, 2025

We, EnBW Energie Baden-Württemberg AG (hereinafter: "EnBW AG") and EnBW mobility+ AG & Co. KG (hereinafter: "EnBW KG", together with EnBW AG: "we" or "us"), take the protection of your personal data very seriously. Below, we jointly inform you about which personal data we collect when you download and use our EnBW mobility+ app as well as the associated charging media (such as charging cards; hereinafter: "App"), how we process this data, and which rights you have in connection with your personal data. In addition, we would like to provide you with the essential contents of the agreement between EnBW AG and EnBW KG regarding joint responsibility.

1. Who is responsible for processing my data?

1.1. What does joint responsibility for the processing of your data mean?

Joint responsibility is necessary due to the group organizational structure. The EnBW Group is characterized by the collaborative interaction of the individual companies and follows a matrix structure in its organization, with tasks and services being carried out and provided across companies. The companies and functional areas of the EnBW Group, in fulfilling their tasks, depend on the exchange of personal data. For services in the field of e-mobility and the operation of the required infrastructure, a collaborative approach within the EnBW Group is also necessary.

1.2. Who are the Joint Controllers for the processing of your data (Art. 26 DSGVO)?

EnBW Energie Baden-Württemberg AG
Durlacher Allee 93
76131 Karlsruhe
+49 721 63-00
kontakt@enbw.com

and

EnBW mobility+ AG & Co. KG
Durlacher Allee 93
76131 Karlsruhe
+49 721 63-420
mobility@enbw.com

If you have any questions, suggestions, or complaints, you can reach us using the contact details provided above. You may contact both responsible parties (EnBW AG and EnBW KG) or just one of them.

1.3. For which areas does joint responsibility exist?

As a rule, we are jointly responsible for the protection of your personal data in all of the process steps described below—unless otherwise specified (Art. 26 DSGVO). EnBW AG, however, is solely responsible for processing activities particularly in connection with:

• the operation of the website https://www.enbw.com, including the subpages https://www.enbw.com/elektromobilitaet/produkte/mobilityplus-app/uebersicht; the privacy policy for these processing activities can be found at https://www.enbw.com/service/datenschutz
• the operation of the website https://www.enbw.com/myenergykey as well as the central Single Sign-On access to various EnBW services; the privacy policy for the website as well as for the central Single Sign-On access can be found at https://www.enbw.com/myenergykey/datenschutz.

1.4. What have we agreed upon regarding joint responsibility and what does this mean for you as a data subject?

Within the scope of our joint data protection responsibility, EnBW AG and EnBW KG have agreed that the purposes and means of processing personal data will be jointly determined. Within the EnBW Group, the fundamental requirements for the exchange of personal data are regulated in what is known as an Inter Company Agreement and its appendices. On one hand, this aims to standardize data protection regulations by applying the same comprehensive data protection conditions to all involved companies. On the other hand, it is intended to facilitate compliance with data protection requirements and thereby ensure the protection of data subjects.
We have established the following division of tasks within the joint responsibility agreement:

• In operating the app as well as initiating, conducting, and managing charging processes and in concluding and executing charging contracts, EnBW AG and EnBW KG work closely together. For all process sections described below—unless otherwise indicated—we are jointly responsible for processing and protecting your personal data, as well as for data security, including the technical and organizational measures required.
• EnBW AG and EnBW KG jointly provide you with the information required under Art. 13 and 14 DSGVO and Art. 26 Sec. 2 Sentence 2 DSGVO in a precise, transparent, comprehensible, and easily accessible form, in clear and simple language, free of charge. Each party provides the other with all necessary information from its area of responsibility for this purpose.
• You can assert your data protection rights with either EnBW AG or EnBW KG. In principle, information is provided by EnBW KG to data subjects.
• We promptly inform each other about any legal positions asserted by data subjects. We provide each other with all information necessary to respond to requests for information.
• If a data protection impact assessment pursuant to Art. 35 DSGVO is required, we support each other in this regard.
• We promptly and fully inform each other if errors or irregularities regarding data protection regulations are detected during the review of a processing activity.
  Even if a central point of contact is mentioned below, you can always contact either EnBW AG or EnBW KG. We will ensure internally that your question, suggestion, complaint, or other inquiry is processed without any disadvantages for the exercise of your rights.
  If you require further information regarding the agreement on joint responsibility between EnBW AG and EnBW KG in connection with the processing of your personal data, please feel free to contact the contact details provided under section 2.

2. How can I contact the Data Protection Officer?

You can reach the Data Protection Officer of both EnBW AG and EnBW KG at datenschutz@enbw.com. They are available to answer any questions you may have regarding data protection.

3. How is my data processed when I download and use the app?

We collect and process your data exclusively when we have either received your consent for data processing or the processing is permitted by law.

3.1. Data processing when downloading the app

When you download our app from an app store, the required information is transmitted to the app store, in particular your username, email address and customer number of your account, time of download, payment information, and the individual device identifier. This does not happen through us, but within the framework of your usage relationship with the respective app store. We have no influence over this data transmission. For more information, please refer to the privacy notices of the respective app store.

3.2. Data processing when using the app

3.2.1. Collection of technically necessary data and log files

When you install and use the app, the following identifiers of your mobile device are automatically transmitted to us:

• Device ID (ID of the app (iOS Vendor-ID or Android Advertising ID [GAID]))
• App version (clientApplicationVersion)
• App operating system version (clientOsVersion)
• IP address
• Date and time of the request
• Time zone difference to Greenwich Mean Time (GMT)
• Content of the request (specific page)
• Access status/HTTP status code
• Amount of data transferred in each case
• Operating system and its interface
• Language and version of the operating system

These data are used when using the app to improve the app’s functionality (e.g., regarding user-friendliness) and to assign trips to your app’s trip history. The collection and processing of this data serve to ensure the functionality of the app, to guarantee and improve stability, and for security reasons. The legal basis for this processing is Art. 6 para. 1 lit. b) or lit. f) DSGVO, whereby our legitimate interest arises from the aforementioned purposes. The data will be deleted as soon as they are no longer required for the aforementioned purposes. In the case of IP address storage, deletion or anonymization takes place after a maximum of 7 days. The collection and storage of these data in log files is absolutely necessary for the use of the app. Therefore, the user has no option to object.

3.2.2. Use of cookies or similar technologies

Furthermore, our app uses cookies and comparable technologies, such as HTML5 Storage (hereinafter collectively referred to as cookies). Cookies are small text files that are stored on your device by us or by another party (for more detailed information, please see the description of our analysis procedures below). The respective party setting the cookie thus receives certain information. The use of cookies does not allow programs to be executed or viruses to be transmitted to your device. If you do not wish to use cookies or similar technologies, you can disable them under Settings/Data Services. However, this may mean that you cannot use all functions of our app. This app exclusively uses so-called third-party cookies. Third-party cookies are those that are not stored by us, but by third-party providers on your device. More information on the scope and purpose of data processing, the respective legal basis, storage duration as well as objection and removal options regarding third-party cookies can be found below in the explanation of the individual procedures we use.

3.2.3. MXO-Medallia Experience Orchestration

We use MXO Medallia Experience Orchestration from Medallia, Inc. (6220 Stoneridge Mall Rd Floor 2, Pleasanton, CA 94588, USA). A cookie is stored on your device for this purpose, assigning an individual ID to your device. If you are not logged in to the registered area, your usage behavior is recorded anonymously. Your usage behavior includes which areas you visit in the app, how long you stay there, what you "click" on or into which fields you enter data (so-called listening and capturing). This serves to improve our app offering as well as our products and services as a whole, as it gives us insights into what interests the users of our app and which functions they use and how. The following data are recorded:
Device manufacturer, device model, type of device (e.g., smartphone, tablet), name and version of the operating system, as well as a timestamp of when the device communicated with the app for the first time and most recently.
The legal basis for the data processing is your consent (Art. 6 para. 1 lit. a), 7 DSGVO, § 25 para. 1 TDDDGTDDDG). Data collected via Medallia are deleted 2 years after collection. If you do not wish Medallia to collect and use the above-mentioned data, you can deactivate the data collection in the mobility+ app’s settings under the menu item "Data Services".

3.2.4. Adjust

In addition, we use the app analysis service adjust (adjust GmbH, Saarbrücker Str. 38a, 10405 Berlin) in our app. We use adjust to analyze the installation process, in particular the installation success rate in relation to the promotion of the app. Although IP and MAC addresses are collected for this, they are anonymized immediately after collection. A conclusion about your person is then no longer possible. The legal basis for this data processing is Art. 6 para. 1 lit. a) DSGVO. Further information on data protection can be found at https://www.adjust.com/privacy-policy/

3.2.5. Google Firebase Crashlytics, Cloud Messaging & Analytics

We use Google Firebase in this app, a service provided by Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland), to record errors (“Crashlytics”) and to obtain usage statistics for the app (“Google Analytics”). We also use “Cloud Messaging” to deliver “push notifications” to your device. The data collected in this way helps us to improve the stability of the app and to further develop the app in the interest of users. When collecting this data, IP addresses are processed only in anonymized form.
The legal basis for processing data via “Crashlytics” is Art. 6 para. 1 lit. b) DSGVO, § 25 para. 2 no. 2 TDDDG. This data is deleted no later than 90 days.
The legal basis for processing data via “Cloud Messaging” is Art. 6 para. 1 lit. b) DSGVO, § 25 para. 2 no. 2 TDDDG. This data is deleted no later than 180 days.
We process the data when using “Google Analytics” on the basis of your consent (Art. 6 para. 1 lit. a) DSGVO, § 25 para. 1 TDDDG). This data is deleted no later than 2 months.
We also use "Dynamic Links" for deep-linking functions in the app, for example for email verification, calling up tariffs, or accessing a specific vehicle. The legal basis for data processing via "Dynamic Links" is Art. 6 para. 1 lit. b), § 25 para. 2 no. 2 TDDDG. The collection of this data is essential for the operation of the app. "Dynamic Links" uses device specifications and IP addresses on iOS to open newly installed apps on a specific page or in a specific context. "Dynamic Links" only stores device specifications and IP addresses temporarily to provide the service.
The information collected through Google Firebase will be transferred to and stored by Google Ireland Limited and/or Google LLC in the USA. Data is collected only in pseudonymized form and transmitted to Firebase. There is no merging with other Google data. The privacy policy of Firebase can be found here: https://firebase.google.com/support/privacy

3.2.6. Apple Maps (iOS)

For the purposes of displaying maps within our app and for showing route previews as part of the charging station finder (see also 3.5), we use Apple Maps, a service provided by Apple Inc. (Infinite Loop, Cupertino, CA 95014, USA; "Apple"). When using our app, Apple receives information that you are using our app and information about your use of the map functions. If you are logged in to Apple, this information is also linked to your Apple user account. If you do not want this, you must log out of your Apple account before using our app. The legal basis for data processing is Art. 6 para. 1 lit. b) DSGVO, § 25 para. 2 no. 2 TDDDG. We have no influence over the data collection and processing by Apple. Further information about data processing by Apple can be found in their privacy policy: https://www.apple.com/de/legal/privacy/de-ww/.

3.2.7. Google Maps (Android)

For the purposes of displaying maps within our app and for showing route previews as part of the charging station finder (see also 3.5), we use Google Maps, a service provided by Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; "Google"). When using our app, Google receives information that you are using our app and information about your use of the map functions. If you are logged in to Google, this information is also linked to your Google user account. If you do not want this, you must log out of your Google account before using our app. The legal basis for data processing is Art. 6 para. 1 lit. b) DSGVO, § 25 para. 2 no. 2 TDDDG. We have no influence over the data collection and processing by Google. Further information about data processing by Google can be found in their privacy policy: https://policies.google.com/privacy.

3.2.8. Permissions

The app requests the following permissions and uses them for the purposes described below:

• Camera: For the function of photographing a QR code, credit code, or charging card code
• Location: Finding nearby charging points, navigation, and for reporting issues by the customer
• Bluetooth: Provision of location-based value-added services via beacons
• Pictures: Sending pictures or screenshots, e.g. when reporting issues
• Mobile data services: Finding charging points and navigation

3.2.9. Push notifications

Our app uses push notifications to inform you of:

• Contract-relevant information
• Charging process information
• Location information
• Support information
• Delivery of invoice documents

For sending push notifications, it is technically necessary to collect the following data: channel ID, locale, time zone, device platform, status of consent to push notifications, version of the software development kit (SDK) used, and push token. Consent to push notifications is deleted 13 months after account deletion; all other data is deleted 90 days after account deletion.
The legal basis for data processing is Art. 6 para. 1 lit. b) or lit. f) DSGVO, with our legitimate interest arising from the aforementioned purpose of sending push notifications. You can deactivate push notifications at any time via Settings/Notifications/mobility+ (iOS) or Settings/Notifications/mobility+ (Android).
Push notifications for advertising purposes will only be sent to you if you have previously given your consent. The legal basis for sending advertising push notifications is Art. 6 para. 1 lit. a) DSGVO. Deactivation is also possible via Settings/Notifications/mobility+ (iOS) or Settings/Apps/mobility+ (Android).

3.3. Use of a contact form

If you contact us via a contact form provided in the app, we will use the data you provide according to your particular request. The legal basis for data processing depends on the content of your inquiry, namely Art. 6 para. 1 lit. b), lit. f) or lit. a) DSGVO. The data you send us as part of your inquiry will be deleted once the respective purpose has been achieved. If the transmitted inquiry relates to a contract concluded with us, your inquiry will be deleted as explained in the privacy notices for the respective contract.

4. How is my data processed when I conclude a contract and use the functions of the app?

We process your data for the purpose of concluding, fulfilling, and carrying out a contract you have entered into with us. The legal basis for processing is Art. 6 Abs. 1 b) DSGVO. The specific purposes of data processing depend on the respective contract content. You can find details in your contract documents and the applicable terms and conditions.
How data processing takes place when using individual functions of the mobility+ app and when performing charging processes is explained below:

4.1. Data processing when using the e-mobility charging station finder and route preview

When you use the charging station finder, the following data is collected:

• Latitude
• Longitude
• Your favorite charging stations, if you have marked them
• The filter settings within the app, if you use them

This data is used to display the charging stations in your vicinity or at the address you have chosen. The location information is not stored by us. To show you a route preview to the respective charging station, we use Google Maps services (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, "Google") in our Android app and Apple Maps services (Apple Inc. (Infinite Loop, Cupertino, CA 95014, USA, "Apple") in our iOS app. For this purpose, we transmit your current location and the destination as longitude and latitude to Google or Apple. The legal basis for data processing is Art. 6 Abs. 1 lit. b) DSGVO. The favorite charging stations or filter settings stored by us can be deleted again by deactivating or resetting them.

4.2. Data processing when registering and performing charging processes via the app

If you want to use the mobility+ app to perform charging processes, it is necessary for you to register. This app is connected to myEnergyKey, the central single sign-on service of EnBW AG. Registration and login are carried out exclusively via the myEnergyKey service. For more information on data processing when using myEnergyKey, please refer to the privacy policy there: http://enbw.com/myEnergyKey/datenschutz If you have already created a myEnergyKey, you can also use it to log in to mobility+ with your existing username and password.
If you conclude charging contracts, start charging processes, and want to pay, the following data is collected:

• First name, last name*
• Customer type (private, company)*
• Address*
• Telephone number*
• Date of birth*
• Customer number (EVCO-ID)*
• Vehicle ID
• Partner reference (e.g., customer number, vehicle identifier number VIN)*
• Billing account*
• Contract information*
• Payment information such as credit card number, PayPal address, or your IBAN number*
• Your charging card identification number (if you store it in the app)
• Voucher codes for charging processes, if you have received any
• Charging history with location and consumption data*
• In addition, we also process data that we have lawfully obtained from other sources. This includes in particular: Creditworthiness data from credit agencies*.

This data is collected so that we can bill charging processes. Successful creation of the customer account is confirmed by email. The provision of data marked with "*" above is required for concluding and carrying out the contract. If you do not provide us with this data, we cannot carry out the contract, or we will have to refuse to conclude the contract. The legal basis for data processing is Art. 6 Abs. 1 lit. b) DSGVO.

4.2.1 Data processing when booking a cooperation tariff

If you have booked a cooperation tariff, we use the respective partner reference to regularly validate your existing membership with our cooperation partner. The legal basis for this is Art. 6 Abs. 1 lit. b) DSGVO.

4.3. Data processing when using a shared profile as a participant

When using a shared profile as a "participant", the owner of the shared profile/tariff is shown all charging processes including metadata (date, time, location of the charging process, charging point, charging standard, energy quantity charged) of the participant, i.e., the user with whom the profile was shared. Usage of a shared profile as a “participant” can be reversed. Please note that after deactivating this function, charging processes already carried out may still be visible to the owner of the profile/tariff.

5. Further data processing based on our legitimate interest (Art. 6 Abs. 1 lit. f DSGVO)

In addition to processing your data for contract fulfillment and when using our app, we also process your data—provided your interests worthy of protection do not outweigh this—on the basis of our legitimate interest or that of a third party. This includes the following processing purposes:

• Validation of the payment method you have provided
• Processing your data for direct marketing purposes and direct contact—provided this is legally permitted or you have given us your consent
• Conducting and further development of analyses to assess your interests and customer satisfaction, as well as designing individualized offers for you accordingly
• Processing your data for market or opinion research purposes to determine what interests and demands exist for future products and services
• Further development of products and services
• Assertion of legal claims and defense in legal disputes
• Ensuring the security and operation of our IT systems and the continued development of these measures
• Prevention and investigation of criminal offenses
• Business management measures
• Fraud prevention
• Control of our business risks
• Anonymization of data to perform extended analyses on data that can no longer be linked to a specific person
• Verification and periodic review of requirements for cooperation discounts
• Carrying out a credit check for payment options with a risk of default. We transmit personal data of natural and legal persons (e.g., first and last name, company, address, e-mail address, date of birth) to so-called credit agencies, i.e., companies that provide information on creditworthiness. These include, for example, SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Bisnode Deutschland GmbH, Robert-Bosch-Strasse 11, 64293 Darmstadt, Coface Central Europe Holding AG, Stubenring 24, A-1010 Vienna, CRIF GmbH, Victor-Gollancz-Str. 5, 76137 Karlsruhe, CRIF GmbH, Rothschildplatz 3/Top 3.06.B, A-1020 Vienna, Creditreform, Machtlfinger Strasse 13, 81302 Munich, EOS Deutschland GmbH, Gottlieb-Daimler-Ring 7-9, 74906 Bad Rappenau. Based on the returned credit score and further information (including insolvency, non-contractual behavior on your part, in particular non-payment of outstanding claims), a decision will be made about concluding a contractual relationship. In the event of a payment default, we reserve the right, provided the legal requirements are met, to notify the mentioned credit agencies accordingly. The legal bases for this transfer are Art. 6 Abs. 1 b) and f) DSGVO. The credit agencies process the received data and also use it for the purpose of profile building (scoring), in order to provide their contractual partners in the European Economic Area and Switzerland as well as possibly other third countries with information, including for assessing the creditworthiness of natural persons. The transfer of personal data to third countries takes place in accordance with Art. 44 ff. DSGVO. Further information on the activities of the credit agencies can be obtained directly from them; for CRIF and SCHUFA, for example, this information is available online at https://www.crif.de/datenschutz and https://www.schufa.de/global/datenschutz-dsgvo/index.jsp. In addition, we may use the credit scores received for decisions on further contractual agreements within one month after the query at the credit agencies.

We process your data for the purposes mentioned above only in pseudonymized form, whenever possible in the individual case. This means that you can no longer be directly identified by us in the context of the respective processing.

6. Further Processing of Your Data Due to Legal Requirements

If we are subject to legal obligations that require further processing of your data, we will also process your data for the purposes specified by the legislator. The legal basis for this data processing is Art. 6 Abs. 1 lit. c) DSGVO in conjunction with the provision containing the respective legal obligation.

7. Further Processing of Your Data Based on Your Consent

In addition to the explicitly mentioned purposes, data processing will take place if and insofar as you have consented to data processing pursuant to Art. 6 Abs. 1 lit. a) DSGVO. The purposes of the data processing result from the respective consent.
For example, you have the option to give us consent for market research and advertising purposes. When granting consent, you can configure your settings and individualize the consent. The settings can also be adjusted at any time in the customer portal according to your wishes. Adjustments can be made regarding the desired contact channels, the creation of a profile of interests, enrichment of your data with data from partners, subject areas, and how to contact you in case of changes at partners. If you deselect a category, no data processing will take place for that purpose or via the selected channel.
By granting full consent, you allow us to send you personalized information, offers, and surveys via email, SMS, or telephone. The personalized information, offers, and surveys relate to our diverse range of products and services as well as those of our partners.
This includes the areas of:
Energy

• Electricity
• Gas
• Heat supply and generation
• Energy-related services
• Energy storage
• Metering point operation
• Participation models (in energy generation plants)
• Solar systems
  Electromobility and greenhouse gas reduction quota
  Telecommunications
• Landline, internet, and mobile tariffs
• Streaming (music, film)
  Other
• Small and large electrical appliances including accessories
• Insurances (household, hardware security)
• Customer benefit programs
  Our partners include:
• EnBW mobility+ AG & Co. KG, Durlacher Allee 93, 76131 Karlsruhe (provider for electromobility)
• Yello Strom GmbH, Siegburger Straße 229, 50679 Cologne (energy provider)
• SENEC GmbH, Wittenberger Straße 15, 04129 Leipzig (provider for solar systems and storage)
• DZ-4 GmbH, Kühnehöfe 3, 22761 Hamburg (provider for solar systems)

When receiving offers, information, or surveys by email, we process your data by analyzing your open and click behavior in order to continuously improve our offers.
Due to your consent, we also process your data by merging your online data with data already stored by us. This creates an interest profile to provide you with more suitable and individualized offers. Data that is stored about you by our partners is also processed.

The interest profile is created as follows:
To determine which of our information, products, and offers match you and your interests, we analyze your data using various algorithms and statistical methods. For example, we include market development data and consider which product and energy service needs are typically associated with customer groups comparable to yours. We also use your data to develop new procedures and analysis models. Whenever possible, we process your data in a pseudonymized or anonymized manner. We process personal data that we have obtained from business relationships and cooperation with you. This includes:

[1]Data stored about you. This comprises:

a)Contact and contract-related data, such as name, address, date of birth, gender, marital status, personal relationships, your email address, or telephone number.

b)Data collected in the course of your communication with us.This includes data obtained during our advisory and service offerings online or in direct conversation, such as your stated goals and wishes, product knowledge and experience, as well as information regarding your personal circumstances. This might also include your power consumption data, information about an impending move or other household changes to determine an optimal tariff, information about planning a solar system, or information regarding existing or planned purchases such as an electric car, wallbox, or heat pump.

c)Data from the customer relationship.
This refers to data that we have created ourselves during the customer relationship or lawfully obtained from other sources (e.g., from publicly accessible directories). Customer relationship data includes, for example, information from advisory documentation, such as internal records, customer printouts, as well as data from consumer research and information regarding the residential situation or environment, or information obtained through our own evaluation procedures to assess your satisfaction.

[2]Data from your online usage.
This refers to data we process when you use our online services (websites, apps, or portals). This includes, for example, information about the access path/communication channel you choose (such as IP address or type of receiving device), date and time of use, information about your service history, as well as information about the online services you have accessed and used.

[3]Data from our partners.
These include data that have been lawfully transmitted to us by our partners. This can include information about your contracts there, but also information about your consulting needs and personal circumstances.
We use the interest profile to advise you individually. As soon as the list of partners changes, we process your data by informing you about the change by email, telephone, or SMS and requesting your permission to include this partner in the consent.

8. Which categories of recipients receive my data?

We treat your data confidentially. Within EnBW AG and EnBW KG, only those departments and staff have access to your data who need it to fulfill the aforementioned purposes.
Personal data will only be transmitted to third parties if this is necessary and legally permitted for the aforementioned purposes or if you have previously consented. For the purposes mentioned in 4.2 and 5 above, we transmit your data to credit agencies, e.g., SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Bisnode Deutschland GmbH, Robert-Bosch-Straße 11, 64293 Darmstadt, Coface Central Europe Holding AG, Stubenring 24, A-1010 Vienna, CRIF Bürgel GmbH, Leopoldstraße 244, 80807 Munich, CRIF GmbH, Diefenbachgasse 35, AT-1150 Vienna, Creditreform, Machtlfinger Straße 13, 81302 Munich, EOS Deutschland GmbH, Gottlieb-Daimler-Ring 7-9, 74906 Bad Rappenau.
If you book or use a discounted tariff through one of our cooperation partners, we transmit authentication features to this cooperation partner. Authentication is necessary so that the partner can check whether you are entitled to use the corresponding tariff. For this verification, a customer number, vehicle identification number, or similar may be used.
In addition to the recipients already specifically named above, we also use the support of other service providers (processors) to fulfill our obligations. The following categories of recipients may receive data:

• Cooperation partners
• IT service providers
• Call centers
• Charging infrastructure providers
• Roaming platforms
• Data storage and processing services
• Banks and payment service providers
• Marketing service providers
• Advertising agencies
• Analysis specialists
• Logistics and postal services
• Printing service providers
• Consulting
• Market and opinion research
• Debt collection service providers and lawyers
• File and data carrier disposal
• Authorities
• Legal guardians and persons with power of attorney
  EnBW AG and EnBW KG are part of the EnBW Group and cooperate with other group companies. A transfer of personal data to other group companies, i.e., outside the joint responsibility between EnBW AG and EnBW KG (see explanations above under number 1), also only takes place if there is a legal basis for this and it is necessary for one of the purposes mentioned above.

9. Will my data also be transferred to recipients in countries outside the European Economic Area? How is an adequate level of data protection ensured?

We also transfer your data to service providers and data recipients who are located in third countries outside the EU or EEA. Compliance with an adequate level of data protection is ensured on the basis of adequacy decisions pursuant to Art. 45 DSGVO or by other suitable safeguards pursuant to Art. 46 ff. DSGVO. Please note that in the event of data transfer to third countries, there is still a fundamental risk that there may not be an adequate level of data protection corresponding to European law and that the rights of data subjects may not be fully enforceable. In the case of data transfers based on Art. 46 ff. DSGVO, you may request a copy of the relevant safeguards from us via the contact details provided above.
Especially for data transfers in the context of administrative access, access from third countries is possible, as the operability of the systems is often ensured according to the follow-the-sun principle. In these cases, access to data also only takes place if compliance with an adequate level of data protection is ensured.

10. How is the security of my data ensured?

We use technical and organizational security measures in line with the current state of technology to protect the data you have provided to us from accidental or intentional manipulation, loss, destruction, or access by unauthorized persons. Our security measures are continuously improved according to technological developments.

11. What applies to children’s data?

We strongly encourage guardians to accompany their children's online activities. Children should not transmit personal data to us or use our apps without the consent of their parents or guardians. We do not knowingly request personal data from children nor do we knowingly process such data.

12. What rights do I have regarding my data?

With regard to the processing of your personal data, you have the right under Art. 15 DSGVO to request information about the personal data we process about you. Furthermore, you have the right to have your data corrected in accordance with Art. 16 DSGVO or deleted in accordance with Art. 17 DSGVO, as well as to restrict processing under Art. 18 DSGVO. In addition, you have the right under Art. 20 DSGVO to receive the personal data you have provided to us in a structured, commonly used, and machine-readable format. The restrictions of § 34 BDSG apply to the right of access and the exceptions of § 35 BDSG apply to the right of erasure.

Right to object under Art. 21 DSGVO
If we process your data based on legitimate interests (Art. 6 para. 1 lit. f) DSGVO) or for the performance of a public task (Art. 6 para. 1 lit. e) DSGVO) and if there are reasons arising from your particular situation against such processing, you have the right under Art. 21 para. 1 DSGVO to object to this processing. In the event of an objection, we will no longer process your data for these purposes, unless we can demonstrate compelling legitimate grounds for the processing that override your interests, rights, and freedoms, or if the processing serves the establishment, exercise, or defense of legal claims.
You have an unrestricted right to object under Art. 21 paras. 2 and 3 DSGVO to any kind of processing for direct marketing purposes.

You can exercise your data subject rights and your objection at any time without formal requirements. For the best possible processing, we ask you to use the following contact details:

EnBW Mobility+ AG & Co. KG
Durlacher Allee 93
76131 Karlsruhe
+49 721-72 586 420
mobility@enbw.com

Please note that you can only exercise your right to object to the use of tracking methods in our app yourself. It is technically not possible to do this centrally. For each tracking method where you must exercise the objection yourself, we have provided an explanation above.

13. Can I revoke granted consents?

If we process your data on the basis of consent you have given, you have the right to revoke your consent at any time. Your data will then no longer be processed for the purposes covered by your consent. Please note that the legality of data processing carried out prior to the revocation is not affected by the revocation. Please refer to the preceding information or the information in the respective consent for details on how to declare your revocation in each individual case. You are welcome to address your revocation to:

EnBW Mobility+ AG & Co. KG
Durlacher Allee 93
76131 Karlsruhe
+49 721-72 586 420
mobility@enbw.com

Here, your revocation will—if technically possible—be implemented centrally, or you will be informed how you can implement the revocation yourself if central implementation by us is not possible for some technical procedures.

14. Do I have the right to lodge a complaint with a supervisory authority?

If you believe that the processing of your personal data violates applicable law, you may, in accordance with Art. 77 DSGVO, contact a data protection supervisory authority at any time with a complaint. This applies without prejudice to any other administrative or judicial remedies.

15. Am I required to provide the data, or is the provision of data necessary for concluding a contract?

Except for data that is technically necessary for the use of our app, any provision of data by you is voluntary. However, it may be that certain functions of the app will not work if you do not provide the required data. If, in exceptional cases, this is different, this will be explicitly mentioned at the relevant point in this statement.

16. Is automated decision-making carried out based on my data? If so, how is this done and what impact does it have on me?

As described under 4.2 and 5, we conduct a creditworthiness check before concluding a contract to protect ourselves against payment defaults. For this, we use probability values provided to us by credit agencies we have engaged. You can find more details about how these probability values (scoring) are determined by the credit agencies under point 5 (see internet links). The probability value determined by the credit agency is either directly decisive as to whether, based on the predicted risk of payment default for you, we enter into a contractual relationship with you, or we include the probability value provided by the credit agency in a further calculation carried out by us, in which we also take into account additional decision-relevant criteria for assessing the risk of payment default. We perform such a calculation in cases where, based solely on the value determined by the credit agency, we would assess the payment default risk as too high and would therefore refuse to enter into a contractual relationship. We then check whether, in view of the specific contract with its duration, the respective tariff, and the costs incurred for us, we might still be able to accept the risk of entering into a contract. Our decision to offer you a contract for reasons of your creditworthiness or to decline is, in both cases, solely a procedurally defined individual decision. However, you have the right to request the intervention of one of our employees, to state your own position, and to contest the automated decision. Please contact us at the contact details provided above. If we carry out automated individual decisions, the requirements of § 31 BDSG and Art. 22 DSGVO are observed.

17. Can this information be changed? If so, how will I be informed?

Since our data processing is subject to change, we will also adjust our privacy information from time to time. We will inform you in good time about changes that affect you. You can always find the current version of this privacy policy at this location.