Datenschutzerklärung
Datenschutzerklärung der DEINHÄNGER Anhängervermietungs GmbH — Stand: 1. April 2026 (Version 2.0)
Inhaltsverzeichnis
- Verantwortlicher
- Zwecke und Rechtsgrundlagen der Verarbeitung
- Datenverarbeitung beim Besuch der Website
- Cookies und ähnliche Technologien
- Kontaktformular und Kommunikation
- Registrierung und Nutzerkonto
- Mietvorgang und Vertragsdurchführung
- Zahlungsabwicklung (Stripe, PayPal)
- Identitätsprüfung (Stripe Identity)
- GPS-Tracking und Telematikdaten
- Smart Locks (Igloohome)
- SMS, E-Mail und Push-Benachrichtigungen
- Pickup- und Rückgabe-Fotos
- Kartendarstellung (Google Maps)
- Aufbewahrungsfristen
- Empfänger Ihrer Daten
- Datenübermittlung in Drittländer
- Rechte der betroffenen Personen
- Datensicherheit
- Änderungen dieser Datenschutzerklärung
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO ist die DEINHÄNGER Anhängervermietungs GmbH, Behnitz 5, 13597 Berlin. Das Unternehmen wird vertreten durch den Geschäftsführer Maximilian-Benedigt Henschke.
Bei Fragen zum Datenschutz wenden Sie sich bitte an [email protected] oder telefonisch unter +49 (0)30 23253058.
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (unter 20 Mitarbeiter, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind). Ansprechpartner für alle datenschutzrechtlichen Belange ist der Geschäftsführer.
Hinweis: DEINHÄNGER ist ein in Berlin ansässiges Unternehmen, das Anhänger digital zur Vermietung anbietet. Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir zu welchen Zwecken verarbeiten und welche Rechte Ihnen dabei zustehen.
2. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten nur im Einklang mit der DSGVO. Ihre Daten werden zweckgebunden verwendet, insbesondere für folgende Zwecke:
- Bereitstellung der Website und IT-Sicherheit: Um unsere Website und App bereitzustellen und deren Sicherheit und Stabilität zu gewährleisten (z. B. Erstellung von Logfiles), benötigen wir bestimmte technische Informationen (u. a. IP-Adresse). Dies erfolgt auf Grundlage unseres berechtigten Interesses an einem sicheren, funktionsfähigen Online-Angebot (Art. 6 Abs. 1 lit. f DSGVO).
- Bearbeitung von Kontaktanfragen: Daten, die Sie uns über das Kontaktformular oder per E-Mail mitteilen, verwenden wir zur Beantwortung Ihrer Anfrage. Dies dient je nach Kontext der Durchführung vorvertraglicher Maßnahmen bzw. Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder unserem berechtigten Interesse an der Pflege von Kundenanfragen (Art. 6 Abs. 1 lit. f DSGVO).
- Nutzerregistrierung und Konto: Für die Registrierung eines Benutzerkontos und die Verwaltung Ihrer Daten (z. B. Name, Adresse, E-Mail, Ausweisinformationen) verarbeiten wir Ihre Angaben zur Bereitstellung der Account-Funktionen und zur Identitätsprüfung. Dies ist zur Erfüllung des Nutzungsvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
- Mietvorgang und Vertragsdurchführung: Im Rahmen einer Anhängermiete verarbeiten wir Ihre personenbezogenen Daten zur Vorbereitung und Abwicklung des Mietvertrags (z. B. Überprüfung der Fahrerlaubnis, Erstellung des Mietvertrags, Kommunikation bezüglich Abholung/Rückgabe). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zusätzlich haben wir ein berechtigtes Interesse, unsere Fahrzeuge vor Diebstahl oder Missbrauch zu schützen (Art. 6 Abs. 1 lit. f DSGVO).
- Zahlungsabwicklung: Zur Abwicklung von Zahlungen (Mietgebühren) über unsere Zahlungsdienstleister (Stripe/PayPal) verarbeiten wir Zahlungs- und Transaktionsdaten. Dies erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und zur Erfüllung gesetzlicher Buchhaltungs- und Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).
- Identitätsprüfung: Zur Prüfung Ihrer Identität und Fahrerlaubnis setzen wir Stripe Identity ein. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unseres Eigentums).
- GPS-Tracking und Smart Locks: Unsere Anhänger sind mit GPS-Trackern und elektronischen Schlössern ausgestattet. Die Verarbeitung der dabei anfallenden Daten dient der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) und unseren berechtigten Interessen an Diebstahlschutz und Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO).
- SMS- und Push-Benachrichtigungen: Wir versenden Diebstahl-Alarme per SMS sowie Buchungsbenachrichtigungen per E-Mail und Push-Notification. Dies erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
- Erfüllung rechtlicher Pflichten: Gegebenenfalls verarbeiten wir Daten zur Erfüllung gesetzlicher Verpflichtungen, z. B. handels- und steuerrechtlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).
Wir holen eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) nur ein, wenn in einzelnen Fällen eine freiwillige Zustimmung erforderlich ist (z. B. für Webanalyse mit PostHog, Fehler-Tracking mit Sentry oder einen zukünftigen Newsletter). Falls wir auf Einwilligung angewiesen sind, informieren wir Sie gesondert und Sie können diese jederzeit mit Wirkung für die Zukunft widerrufen.
3. Datenverarbeitung beim Besuch der Website
Beim rein informatorischen Besuch unserer Website (ohne Registrierung oder Kontaktaufnahme) erheben unsere Server automatisch einige technische Daten. Diese Zugriffsdaten (z. B. IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite, Browser-Typ) werden in Server-Logfiles gespeichert. Die Verarbeitung erfolgt, um den Verbindungsaufbau der Website zu ermöglichen und die IT-Sicherheit zu gewährleisten. Rechtsgrundlage ist unser berechtigtes Interesse an der korrekten Darstellung und Sicherheit unseres Webauftritts (Art. 6 Abs. 1 lit. f DSGVO).
Hosting und CDN
Unsere Website wird auf einem eigenen Server bei der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Die Server befinden sich in Deutschland. Hetzner agiert als Auftragsverarbeiter nach Art. 28 DSGVO. Eine Datenübermittlung in Drittländer erfolgt durch Hetzner nicht.
Zusätzlich nutzen wir Cloudflare (Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA) als CDN und DDoS-Schutz. Die Verbindung zu unserer Website wird über einen Cloudflare-Tunnel geroutet, wobei Edge-Server in Deutschland (Frankfurt, Berlin) bevorzugt genutzt werden. Cloudflare verarbeitet dabei kurzzeitig Verbindungsdaten (IP-Adresse, Request-Metadaten) zur Bereitstellung der TLS-Verschlüsselung, des Cachings und des DDoS-Schutzes. Cloudflare ist nach dem EU–US Data Privacy Framework zertifiziert und hat EU-Standardvertragsklauseln abgeschlossen. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren, performanten Webauftritt (Art. 6 Abs. 1 lit. f DSGVO).
Datenbank
Für die Speicherung von Nutzerdaten, Buchungen und weiteren Anwendungsdaten verwenden wir Supabase (Supabase Inc., USA) mit einer PostgreSQL-Datenbank, deren Rechenzentrum sich in Frankfurt am Main (EU) befindet. Supabase agiert als Auftragsverarbeiter. Die Daten verlassen den EU-Raum nicht. Mit Supabase wurden EU-Standardvertragsklauseln abgeschlossen.
Webanalyse und Fehler-Tracking (nur mit Einwilligung)
Wir setzen keine Marketing-Cookies, Werbetracker, Google Analytics, Meta Pixel, Hotjar oder ähnliche Tracking-Tools ein. Profiling findet nicht statt. Zur Verbesserung unserer Website setzen wir jedoch die Analysesoftware PostHog (EU-Server) sowie den Fehlermeldungsdienst Sentry ein – allerdings ausschließlich mit Ihrer vorherigen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Ohne Ihre Zustimmung werden keinerlei Analyse- oder Tracking-Scripts geladen. Technisch notwendige Cookies (z. B. für Login-Sitzungen) sind für die Bereitstellung unserer Dienste erforderlich und bedürfen keiner Einwilligung (§ 25 Abs. 2 TTDSG). Details zu den einzelnen Cookies finden Sie im folgenden Abschnitt.
5. Kontaktformular und Kommunikation
Wenn Sie über das Kontaktformular auf der Website oder per E-Mail mit uns in Verbindung treten, verarbeiten wir die von Ihnen angegebenen Daten (z. B. Name, E-Mail-Adresse, Telefon, Nachrichteninhalt). Diese Daten nutzen wir ausschließlich, um Ihre Anfrage zu bearbeiten und mit Ihnen in Kontakt zu treten. Je nach Anliegen ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Anfrage oder Erfüllung eines Vertrags) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Anfragenden).
Wir speichern Kontaktanfragen nur so lange, wie es für die Bearbeitung erforderlich ist. In der Regel werden Anfragen nach Abschluss der Kommunikation gelöscht. Eine längere Speicherung kann erfolgen, sofern gesetzliche Aufbewahrungspflichten bestehen. Im Normalfall werden Anfragen jedoch spätestens nach 6 Monaten gelöscht.
Bitte beachten Sie, dass die Kommunikation per E-Mail Sicherheitslücken aufweisen kann. Senden Sie uns keine sensiblen Informationen unverschlüsselt per E-Mail. Unsere Website nutzt eine TLS-Verschlüsselung, um Daten aus dem Kontaktformular sicher zu übertragen.
6. Registrierung und Nutzerkonto
Sie haben die Möglichkeit, sich über unsere App zu registrieren und ein Nutzerkonto zu erstellen. Im Rahmen der Registrierung erheben wir verschiedene personenbezogene Daten, die für die Kontoeinrichtung und Nutzung unseres Services erforderlich sind:
- Pflichtangaben bei Registrierung: In der Regel erfassen wir Ihren vollständigen Namen, Anschrift, E-Mail-Adresse und Telefonnummer. Diese Daten benötigen wir, um Ihnen das Konto bereitzustellen und Sie als berechtigten Nutzer zu identifizieren.
- Authentifizierung: Zur technischen Verwaltung der Nutzerkonten und Authentifizierung (Login) verwenden wir Supabase Auth. Supabase speichert Ihre Registrierungsdaten (E-Mail-Adresse, gehashtes Passwort, Session-Daten) und agiert als Auftragsverarbeiter. Die Datenbank befindet sich in Frankfurt am Main (EU). Eine Übermittlung personenbezogener Daten in Drittländer erfolgt hierdurch nicht.
- Identitätsnachweis: In der App werden Sie aufgefordert, sich per Ausweisdokument zu verifizieren. Die Identitätsprüfung erfolgt über Stripe Identity (siehe Abschnitt 9). Die Ausweisfotos und -daten werden ausschließlich bei Stripe gespeichert. Wir erhalten lediglich den Verifizierungsstatus (verifiziert ja/nein) sowie die geprüften Stammdaten (Name, Geburtsdatum).
- Zahlungsinformationen: Im Nutzerkonto können Sie Zahlungsinformationen hinterlegen (z. B. Ihre bevorzugte Zahlungsmethode). Konkrete Zahlungsdaten wie Kreditkartennummern werden direkt durch unsere Zahlungsdienstleister (Stripe bzw. PayPal) erhoben und verarbeitet. Wir selbst speichern solche sensiblen Zahlungsdetails nicht im Klartext, erhalten aber z. B. eine Benutzer-ID von Stripe (Stripe Customer ID) als Referenz.
Die Verarbeitung Ihrer Registrierungsdaten erfolgt zum Zweck der Bereitstellung Ihres Kontos und zur Anbahnung bzw. Durchführung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Ohne diese Daten können wir Ihnen kein Konto und keine Mietservices anbieten.
Speicherung der Ausweisdokumente: Die von Ihnen im Rahmen der Identitätsprüfung hochgeladenen Ausweisfotos werden ausschließlich bei Stripe gespeichert und verarbeitet. Wir haben keinen Zugriff auf die Ausweisbilder selbst, sondern erhalten lediglich das Prüfergebnis. Stripe bewahrt die Daten gemäß seinen Aufbewahrungsrichtlinien und regulatorischen Anforderungen auf.
Schutz Minderjähriger: Unsere Services richten sich an Erwachsene (mindestens 18 Jahre alt). Wir sammeln wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren. Falls wir Kenntnis von einer Registrierung erhalten, die von Minderjährigen vorgenommen wurde, werden wir das Konto und die zugehörigen Daten umgehend löschen.
7. Mietvorgang und Vertragsdurchführung
Wenn Sie einen Anhänger über unsere Plattform mieten, verarbeiten wir eine Reihe von Daten, um den Mietvertrag vorzubereiten und durchzuführen:
- Buchungs- und Vertragsdaten: Bei einer Mietanfrage oder -buchung erfassen wir die relevanten Vertragsdaten: welchen Anhänger Sie mieten möchten, Mietdauer, den Standort des jeweiligen Anhängers, Preis der Miete sowie Ihren Namen und Ihre Kontaktdaten.
- Nutzungsdaten während der Miete: Während der Mietdauer erfassen wir bestimmte Nutzungsdaten. Dies betrifft vor allem die Standortdaten des Anhängers über den GPS-Tracker (30-Sekunden-Intervall während aktiver Miete) sowie den Status des elektronischen Schlosses.
- Pickup- und Rückgabe-Fotos: Bei der Abholung und Rückgabe des Anhängers werden Fotos des Zustands erstellt. Diese Fotos werden auf unserem Server gespeichert und nach 1 Jahr automatisch gelöscht (siehe Abschnitt 13).
- Kommunikation im Mietverlauf: Wir nutzen Ihre Kontaktdaten, um Sie im Zusammenhang mit der Mietabwicklung zu kontaktieren (Buchungsbestätigungen per E-Mail, PIN-Mitteilungen, Erinnerungen an die Rückgabe, Diebstahl-Alarme per SMS). Diese Kommunikation erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Schadens- und Vorfallmanagement: Sollten während der Miete Schäden, Unfälle oder Regelverstöße auftreten, verarbeiten wir die dazugehörigen Daten (z. B. Fotos von Schäden, Unfallberichte, Positionsdaten zum Schadenszeitpunkt). Dies dient der Abwicklung von Versicherungsfällen und der Geltendmachung bzw. Abwehr von Ansprüchen.
Alle genannten Daten im Mietprozess verarbeiten wir vorrangig, um unseren Vertrag mit Ihnen zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO). Soweit wir darüber hinaus Daten zur Wahrung berechtigter Interessen nutzen (z. B. Dokumentation von Verstößen, Schutz unseres Eigentums), geschieht dies auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Nach Beendigung der Miete werden die dabei erhobenen Daten grundsätzlich gelöscht oder anonymisiert, sobald sie nicht mehr erforderlich sind. Vertragsrelevante Daten (z. B. Rechnungen) bewahren wir entsprechend der gesetzlichen Vorgaben auf.
8. Zahlungsabwicklung (Stripe, PayPal)
Für die Bezahlung der Mietgebühren setzen wir externe Zahlungsdienstleister ein. Wir bieten folgende Zahlungsmethoden an: Kreditkarte, SEPA-Lastschrift, Revolut Pay und PayPal. Die Abwicklung der Zahlung erfolgt ausschließlich über Stripe oder PayPal – wir selbst erheben oder speichern keine Zahlungsinformationen wie Kreditkartennummern vollständig.
- Stripe: Bei Kartenzahlungen, SEPA-Lastschriften und Revolut Pay nutzen wir Stripe Payments. Anbieter in der EU ist Stripe Payments Europe Ltd., Grand Canal Street Lower, Dublin 1, Irland. Wenn Sie via Stripe zahlen, werden die zur Zahlungsdurchführung erforderlichen Daten an Stripe übermittelt (z. B. Zahlungsbetrag, Zahlungsmethode, E-Mail-Adresse, Name). Stripe verarbeitet diese Informationen zur Durchführung der Zahlungstransaktion und ggf. zur Betrugsprävention. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO für Stripe's eigene berechtigte Interessen. Stripe ist nach dem EU–US Data Privacy Framework zertifiziert. Zusätzlich wurden EU-Standardvertragsklauseln abgeschlossen.
- PayPal (über Stripe): Sie können alternativ über PayPal bezahlen. Die PayPal-Zahlung wird über Stripe als Zahlungs-Gateway abgewickelt. Anbieter für EU-Kunden ist die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg. Wenn Sie PayPal nutzen, werden Sie auf die Website von PayPal weitergeleitet. PayPal erhebt selbständig die für die Zahlung erforderlichen Daten und agiert hierbei als eigenständiger Verantwortlicher.
Zahlungsdaten-Sicherheit: Beide Zahlungsdienstleister sind PCI-DSS-zertifiziert und setzen hohe Sicherheitsstandards ein. Wir erhalten von Stripe und PayPal lediglich Informationen über den Erfolg oder Misserfolg der Zahlung und eine Transaktions-ID, nicht jedoch vollständige Konto- oder Kartendaten.
Rechnungsdaten: Nach erfolgter Zahlung erstellen wir eine Rechnung mit Ihren Rechnungsdaten (Name, Adresse, Leistung, Betrag, Datum) und speichern diese in unserem System. Diese Rechnungs- und Transaktionsdaten bewahren wir gemäß den steuer- und handelsrechtlichen Pflichten 10 Jahre auf (Art. 6 Abs. 1 lit. c DSGVO, § 147 AO).
9. Identitätsprüfung (Stripe Identity)
Zur Prüfung Ihrer Identität und Fahrerlaubnis vor der ersten Anhängermiete setzen wir Stripe Identity ein, einen Service der Stripe Payments Europe Ltd. (Irland) bzw. Stripe Inc. (USA).
- Ablauf: Sie werden in der App aufgefordert, ein Foto Ihres Ausweisdokuments und ggf. ein Selfie aufzunehmen. Diese Daten werden direkt an Stripe übermittelt und dort verarbeitet.
- Speicherung bei Stripe: Die Ausweisfotos und biometrischen Daten werden ausschließlich bei Stripe gespeichert und verarbeitet. Wir haben keinen Zugriff auf die Bilddaten. Wir erhalten von Stripe lediglich den Verifizierungsstatus (verifiziert ja/nein) sowie die geprüften Stammdaten (Name, Geburtsdatum, Dokumententyp).
- Rechtsgrundlage: Die Identitätsprüfung ist zur Erfüllung des Mietvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO), da wir sicherstellen müssen, dass der Mieter volljährig und identifizierbar ist. Zudem dient sie unserem berechtigten Interesse am Schutz unseres Eigentums (Art. 6 Abs. 1 lit. f DSGVO).
- Drittlandstransfer: Stripe ist nach dem EU–US Data Privacy Framework zertifiziert und hat EU-Standardvertragsklauseln abgeschlossen.
10. GPS-Tracking und Telematikdaten
Unsere Anhänger sind mit GPS-Trackern ausgestattet, um während der Mietzeit deren Standort und Bewegungen nachvollziehen zu können.
- Erfasste Daten: Der GPS-Tracker übermittelt während einer aktiven Miete alle 30 Sekunden Standortkoordinaten des Anhängers. Je nach Gerät können zusätzlich Daten wie Geschwindigkeit, Bewegungsrichtung oder Erschütterungen erfasst werden.
- Dienstleister PAJ GPS: Wir nutzen für das Tracking den Service der PAJ GPS UG (haftungsbeschränkt), Am Wieschen 1, 51570 Windeck, Deutschland. PAJ GPS stellt das FINDER-Portal bereit. PAJ GPS verarbeitet die GPS-Daten in unserem Auftrag nach Art. 28 DSGVO auf Servern in Deutschland bzw. der EU. Eine Übermittlung an Dritte oder in Drittländer erfolgt durch PAJ GPS nicht.
- Zwecke des Trackings: Wir nutzen die GPS-Informationen zur Durchführung des Mietvertrags (z. B. Standortanzeige für den Mieter), zur Diebstahlprävention (automatische Geofence-Alarme) und um bei Missbrauch oder schwerwiegenden Verstößen reagieren zu können.
- Rechtsgrundlage: Das GPS-Tracking erfolgt auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der Sicherung unseres Eigentums und der Durchsetzung der Mietbedingungen.
- Speicherung und Löschung: Die GPS-Tracking-Daten werden bei PAJ GPS für maximal 1 Jahr vorgehalten und anschließend automatisch gelöscht. Wir selbst speichern keine historischen GPS-Daten dauerhaft, sondern rufen diese bei Bedarf über die PAJ GPS API ab.
Wir informieren alle Mieter im Mietvertrag transparent darüber, dass ein GPS-Tracker eingesetzt wird. Die GPS-Daten werden nicht für Verhaltensprofile oder andere Zwecke genutzt, die über die genannten hinausgehen.
11. Smart Locks (Igloohome)
Unsere Anhänger sind mit elektronischen Schlössern der Firma Igloohome Pte. Ltd. (Singapur) ausgestattet. Diese Smart Locks ermöglichen eine schlüssellose Abholung und Rückgabe des Anhängers über zeitlich begrenzte PIN-Codes.
- Erfasste Daten: Igloohome verarbeitet den Schloss-Status (offen/geschlossen), PIN-Code-Zuweisungen und den Batteriestatus. Es werden keine Standortdaten durch das Schloss erhoben.
- Zweck: Die Verarbeitung dient der automatisierten Schlüsselübergabe und der Nachvollziehbarkeit von Zugriffen auf den Anhänger (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO).
- Drittlandstransfer: Igloohome hat seinen Sitz in Singapur. Für Singapur besteht kein Angemessenheitsbeschluss der EU-Kommission. Die Datenübermittlung wird durch EU-Standardvertragsklauseln abgesichert. Es werden ausschließlich technische Schlossdaten übermittelt, keine personenbezogenen Kundendaten direkt.
12. SMS, E-Mail und Push-Benachrichtigungen
SMS (Twilio)
Für den Versand von SMS-Benachrichtigungen (insbesondere Diebstahl-Alarme und einmalige Bestätigungscodes bei Account-Migrationen) nutzen wir den Dienst der Twilio Inc. (San Francisco, USA). Twilio erhält dabei Ihre Telefonnummer und den Nachrichteninhalt. Twilio agiert als Auftragsverarbeiter. Twilio ist nach dem EU–US Data Privacy Framework zertifiziert und hat EU-Standardvertragsklauseln abgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit Ihrer Miete).
Transaktions-E-Mails (Resend)
Für den Versand von Transaktions-E-Mails (Buchungsbestätigungen, Erinnerungen, Stornierungen) nutzen wir den Dienst Resend (Resend Inc., USA). Resend erhält dabei Ihre E-Mail-Adresse, Ihren Namen sowie den Nachrichteninhalt. Resend agiert als Auftragsverarbeiter. Die Absicherung erfolgt über EU-Standardvertragsklauseln. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Push-Benachrichtigungen (App)
In unserer nativen App nutzen wir Expo Push Notifications (Expo, Inc., USA) für den Versand von Push-Benachrichtigungen (z. B. Miet-Erinnerungen, Status-Updates). Expo erhält dabei ein gerätespezifisches Push-Token und den Nachrichteninhalt. Expo leitet die Nachricht an Apple Push Notification Service (APNs) bzw. Google Firebase Cloud Messaging (FCM) weiter. Expo agiert als Auftragsverarbeiter. Die Absicherung erfolgt über EU-Standardvertragsklauseln. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Web Push Notifications
Auf unserer Website bieten wir Web-Push-Benachrichtigungen an. Diese werden VAPID-basiert über unseren eigenen Server versendet, ohne Einbindung eines Drittanbieters. Es werden dabei ein Push-Subscription-Endpunkt und kryptografische Schlüssel in Ihrem Browser generiert und auf unserem Server gespeichert. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie über den Browser-Dialog erteilen und jederzeit in Ihren Browser-Einstellungen widerrufen können.
13. Pickup- und Rückgabe-Fotos
Bei der Abholung und Rückgabe eines Anhängers werden Fotos des Fahrzeugzustands erstellt. Diese dienen der Dokumentation des Zustands und der Beweissicherung bei eventuellen Schadensansprüchen.
- Speicherort: Die Fotos werden auf unserem eigenen Server (Hetzner VPS, Deutschland) gespeichert.
- Aufbewahrungsfrist: Die Fotos werden 1 Jahr nach der Buchung automatisch gelöscht. Ein automatisiertes Löschscript führt diese Bereinigung regelmäßig durch.
- Rechtsgrundlage: Die Foto-Dokumentation erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und zur Wahrung unserer berechtigten Interessen an der Beweissicherung (Art. 6 Abs. 1 lit. f DSGVO).
14. Kartendarstellung (Google Maps)
Unsere Website und App nutzen die Google Maps API zur Darstellung von Kartenansichten und Standorten unserer Anhänger. Anbieter ist die Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland).
Beim Laden der Karte werden Daten (u. a. Ihre IP-Adresse, Geräte-Informationen) an Google übermittelt. Google kann diese Daten auf Servern in den USA verarbeiten. Google ist nach dem EU–US Data Privacy Framework zertifiziert. Zusätzlich wurden EU-Standardvertragsklauseln abgeschlossen.
Rechtsgrundlage ist unser berechtigtes Interesse an einer ansprechenden Darstellung unserer Standorte (Art. 6 Abs. 1 lit. f DSGVO). Weitere Informationen finden Sie in der Datenschutzerklärung von Google.
15. Aufbewahrungsfristen
Wir speichern personenbezogene Daten nicht länger als notwendig. Das bedeutet konkret:
| Datenkategorie | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Nutzerkonto-Daten | Bis zur Kontolöschung | Art. 6 Abs. 1 lit. b DSGVO |
| Kontaktanfragen | Max. 6 Monate | Art. 6 Abs. 1 lit. f DSGVO |
| Mietvertragsdaten, Rechnungen | 10 Jahre | § 147 AO, § 257 HGB |
| Zahlungs- und Abrechnungsdaten | 10 Jahre | § 147 AO |
| Pickup-/Rückgabe-Fotos | 1 Jahr | Art. 6 Abs. 1 lit. f DSGVO |
| GPS-Tracking-Daten (bei PAJ GPS) | Max. 1 Jahr | Art. 6 Abs. 1 lit. f DSGVO |
| Ausweisdaten (bei Stripe) | Gemäß Stripe-Richtlinien | Art. 6 Abs. 1 lit. b DSGVO |
| Server-Logfiles | 7 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Anonymisierte Buchungsdaten (nach Kontolöschung) | 10 Jahre | § 147 AO |
Bei Löschung Ihres Nutzerkontos werden Ihre personenbezogenen Daten gelöscht bzw. anonymisiert. Buchungsdaten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden anonymisiert (Personenbezug entfernt) und bis zum Ablauf der Frist aufbewahrt.
16. Empfänger Ihrer Daten
Wir behandeln Ihre personenbezogenen Daten vertraulich und geben sie nur dann an Dritte weiter, wenn dies zur Erfüllung unserer Dienste erforderlich ist, wir gesetzlich dazu verpflichtet sind, oder Sie eingewilligt haben. Im Folgenden eine Übersicht aller eingesetzten Dienstleister:
| Dienstleister | Zweck | Sitz | Rolle |
|---|---|---|---|
| Hetzner | Server-Hosting | Deutschland | Auftragsverarbeiter |
| Cloudflare | CDN, DDoS-Schutz, TLS | USA (DPF) | Auftragsverarbeiter |
| Supabase | Datenbank, Auth | USA (DB in EU/Frankfurt) | Auftragsverarbeiter |
| Stripe | Zahlungen, Identitätsprüfung | Irland / USA (DPF) | Auftragsverarbeiter |
| PayPal | Zahlungsabwicklung | Luxemburg | Eigenständiger Verantwortlicher |
| PAJ GPS | GPS-Tracking | Deutschland | Auftragsverarbeiter |
| Igloohome | Smart Locks | Singapur (SCCs) | Auftragsverarbeiter |
| Twilio | SMS-Versand | USA (DPF) | Auftragsverarbeiter |
| Resend | Transaktions-E-Mails | USA (SCCs) | Auftragsverarbeiter |
| Expo | Push-Benachrichtigungen (App) | USA (SCCs) | Auftragsverarbeiter |
| PostHog | Webanalyse (nur mit Consent) | EU-Server | Auftragsverarbeiter |
| Sentry | Fehler-Tracking (nur mit Consent) | USA (SCCs) | Auftragsverarbeiter |
| Google Maps | Kartendarstellung | Irland / USA (DPF) | Eigenständiger Verantwortlicher |
DPF = EU–US Data Privacy Framework; SCCs = EU-Standardvertragsklauseln
- Buchhaltung und Verwaltung: Intern nur diejenigen Mitarbeiter, die diese zur Erfüllung ihrer Aufgaben benötigen (Prinzip der Mindestberechtigung).
- Inkasso- und Rechtsdienstleister: Bei fälligen Zahlungen oder Streitfällen, nur im notwendigen Umfang.
- Behörden: Im Falle rechtlicher Verpflichtungen oder behördlicher Anfragen (Art. 6 Abs. 1 lit. c DSGVO).
Eine Weitergabe an sonstige Dritte findet nicht statt. Insbesondere verkaufen wir keine personenbezogenen Daten zu Marketingzwecken an Dritte.
17. Datenübermittlung in Drittländer
Grundsätzlich verarbeiten wir personenbezogene Daten in der Europäischen Union (EU) bzw. im Europäischen Wirtschaftsraum (EWR). Einige unserer Dienstleister haben ihren Sitz in Drittländern. Die Übermittlung erfolgt nur unter besonderen Schutzmaßnahmen:
- USA – Angemessenheitsbeschluss (EU–US DPF): Für die USA hat die EU-Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss für das EU–US Data Privacy Framework erlassen. Folgende unserer Dienstleister sind nach dem DPF zertifiziert: Stripe, Cloudflare, Twilio, Google. Die Datenübermittlung an diese Anbieter ist damit gemäß Art. 45 DSGVO abgesichert.
- USA – Standardvertragsklauseln (SCCs): Für US-Dienstleister, die nicht (oder nicht ausschließlich) unter das DPF fallen, haben wir zusätzlich EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Dies betrifft insbesondere: Supabase, Resend, Expo, Sentry.
- Singapur (Igloohome): Für Igloohome (Smart Locks) mit Sitz in Singapur haben wir EU-Standardvertragsklauseln abgeschlossen. Es werden ausschließlich technische Schlossdaten übermittelt.
- Dienste mit Verarbeitung in der EU: Hetzner (Deutschland), PAJ GPS (Deutschland), PostHog (EU-Server), Supabase-Datenbank (Frankfurt) und PayPal (Luxemburg) verarbeiten Daten ausschließlich innerhalb der EU.
Auf Anfrage stellen wir Ihnen gerne weitere Informationen zu den konkret getroffenen Maßnahmen für den internationalen Datentransfer bereit. Ihre Daten werden nie ohne geeignete Schutzmechanismen an Empfänger in unsicheren Drittstaaten übermittelt.
18. Rechte der betroffenen Personen
Als betroffene Person im Sinne der DSGVO stehen Ihnen eine Reihe von Rechten zu:
- Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, von uns eine Bestätigung zu erhalten, ob wir personenbezogene Daten von Ihnen verarbeiten. Wenn dies der Fall ist, können Sie Auskunft über diese Daten und weitere Informationen zur Verarbeitung verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können unverzüglich die Berichtigung falscher oder unvollständiger personenbezogener Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie sind berechtigt, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Bitte beachten Sie, dass gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen können. Sie können Ihr Nutzerkonto jederzeit in der App löschen. Dabei werden Ihre personenbezogenen Daten gelöscht und Buchungsdaten anonymisiert.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zu erhalten. Wir stellen Ihnen hierfür eine Datenexport-Funktion in Ihrem Nutzerkonto bereit, über die Sie Ihre Daten herunterladen können.
- Widerspruchsrecht (Art. 21 DSGVO): Verarbeiten wir Ihre Daten auf Grundlage berechtigter Interessen, haben Sie das Recht, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Gegen Direktwerbung können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen.
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Wenn Sie uns eine Einwilligung zur Datenverarbeitung erteilt haben (z. B. für Analyse-Cookies oder Push-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
- Recht auf Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. In Berlin ist die zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin.
Zur Ausübung Ihrer Rechte können Sie uns formlos per E-Mail an [email protected] kontaktieren. Wir werden Ihrem Anliegen unverzüglich, spätestens innerhalb eines Monats nachkommen.
19. Datensicherheit
Wir treffen umfangreiche technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor Verlust, Missbrauch, unbefugtem Zugriff oder Offenlegung zu schützen. Dazu gehören unter anderem:
- TLS-Verschlüsselung: Unsere Website und App nutzen eine moderne TLS-Verschlüsselung (via Cloudflare), um die Übertragung vertraulicher Inhalte zu schützen.
- DDoS-Schutz: Cloudflare schützt unsere Infrastruktur vor verteilten Denial-of-Service-Angriffen.
- Zugriffsschutz: Intern sind Ihre Daten nur für jene Mitarbeiter zugänglich, die sie zur Erfüllung ihrer Aufgaben benötigen. Wir verwenden Berechtigungskonzepte, Passwortschutz und Zwei-Faktor-Authentisierung.
- Infrastruktur-Sicherheit: Unsere Server befinden sich in einem Hetzner-Rechenzentrum in Deutschland mit Zutrittskontrollen. Wir setzen Firewalls, Rate-Limiting und regelmäßige Sicherheitsupdates ein. Sensible Informationen werden verschlüsselt gespeichert.
- Regelmäßige Backups: Wir führen tägliche, wöchentliche und monatliche Datenbank-Backups durch, um Datenverlust zu vermeiden.
- Organisatorische Maßnahmen: Unsere Mitarbeiter sind im Datenschutz geschult und auf Vertraulichkeit verpflichtet. Wir verfügen über Prozesse zum Management von Sicherheitsvorfällen.
Bitte beachten Sie, dass trotz aller Bemühungen kein absolut lückenloser Schutz von Daten garantiert werden kann. Wir sichern jedoch unser Online-Angebot und die internen Systeme nach bestem Wissen und aktuellen Sicherheitsstandards ab.
20. Änderungen dieser Datenschutzerklärung
Die Inhalte dieser Datenschutzerklärung können sich im Laufe der Zeit ändern, etwa bei Weiterentwicklung unserer Services oder Anpassung an neue gesetzliche Vorgaben. Wir behalten uns daher vor, die Erklärung bei Bedarf zu aktualisieren oder zu ändern. Die jeweils aktuelle Fassung wird an dieser Stelle auf unserer Website veröffentlicht.
Wesentliche Änderungen (z. B. Einführung neuer Verarbeitungszwecke) werden wir Ihnen – sofern erforderlich – rechtzeitig mitteilen. Ältere Versionen dieser Datenschutzerklärung halten wir zu Dokumentationszwecken vor.