Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) ist:

2. Technische Sicherheitsmaßnahmen

Diese Website überträgt sämtliche Daten ausschließlich verschlüsselt über das Protokoll TLS/SSL (HTTPS). Damit wird sichergestellt, dass Ihre Eingaben im Kontaktformular sowie alle weiteren Kommunikationsdaten während der Übertragung vor unbefugtem Zugriff geschützt sind.

Auf Serverebene werden technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören regelmäßige Sicherheitsupdates, Zugriffskontrollen sowie die Begrenzung der Datenverarbeitung auf das erforderliche Minimum.

Die auf dieser Website verwendeten Schriftarten (Inter) werden lokal ausgeliefert — sie werden beim Build-Prozess heruntergeladen und vom eigenen Server bereitgestellt. Es findet zur Laufzeit kein Request an externe Schriftanbieter (z. B. Google Fonts CDN) statt.

3. Hosting

Diese Website wird auf einem virtuellen Server (vServer) der Alfahosting GmbH, Ankerstraße 3b, 06108 Halle (Saale), Deutschland, betrieben. Der Server wird von uns selbst administriert. Der Serverstandort liegt in Deutschland; eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet nicht statt.

Mit Alfahosting wurde ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen. Alfahosting verarbeitet Daten im Rahmen dieses Vertrags ausschließlich nach unserer Weisung und darf sie nicht zu eigenen Zwecken nutzen.

CDN & DNS — Cloudflare

Für DNS-Auflösung und Content-Delivery-Network (CDN) nutzen wir den Dienst Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Alle Anfragen an unsere Website werden über das Cloudflare-Netzwerk geleitet. Dabei verarbeitet Cloudflare technische Verbindungsdaten, insbesondere IP-Adressen der Besucher, um DDoS-Schutz, Sicherheitsfilterung und schnellere Ladezeiten zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einem sicheren und leistungsfähigen Betrieb der Website.

Drittlandübermittlung: Cloudflare ist ein US-amerikanisches Unternehmen. Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Weitere Informationen: cloudflare.com/privacypolicy.

4. Server-Logfiles

Bei jedem Seitenaufruf erfasst der Webserver automatisch technische Zugriffsdaten (sogenannte Server-Logfiles). Gespeichert werden:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL
• HTTP-Statuscode
• Übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite, sofern übermittelt)
• Browser-Typ und Betriebssystem

Zweck: Sicherstellung des technischen Betriebs sowie Erkennung und Abwehr von Angriffen auf die Infrastruktur.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einem sicheren und störungsfreien Betrieb der Website.

Speicherdauer: Maximal 7 Tage, danach automatische Löschung, es sei denn, ein konkreter Sicherheitsvorfall erfordert eine längere Aufbewahrung zur Beweissicherung.

5. Kontaktformular

Über unsere Kontakt- und Partnerformulare können folgende Daten übermittelt werden:

• Name (Pflichtfeld)
• E-Mail-Adresse (optional)
• Telefonnummer (Pflichtfeld)
• Fahrzeugkennzeichen (optional)
• Schadensbeschreibung (Pflichtfeld)

Die übermittelten Daten werden per E-Mail an uns weitergeleitet und ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Der Versand erfolgt über Nodemailer via SMTP; Zugangsdaten sind verschlüsselt gespeichert. Eine Weitergabe an Dritte findet nicht statt.

Rechtsgrundlage: Primär Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Anbahnung eines Vertrags gerichtet ist (Durchführung vorvertraglicher Maßnahmen). Für allgemeine Anfragen ohne vertraglichen Bezug stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an der Beantwortung eingehender Kundenanfragen.

Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) wird für die Formularverarbeitung nicht eingeholt; das bloße Absenden des Formulars stellt keine rechtswirksame Einwilligung im Sinne der DSGVO dar.

Speicherdauer: Nach Abschluss der Bearbeitung werden die Anfragedaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (vgl. Abschnitt 8). Die zivilrechtliche Regelverjährung beträgt 3 Jahre gemäß § 195 BGB (Fristbeginn: Jahresende des Entstehungsjahres).

Bot-Schutz — Cloudflare Turnstile

Unsere Formulare sind mit Cloudflare Turnstilegeschützt, einem CAPTCHA-freien Verifizierungsdienst der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Turnstile analysiert im Hintergrund technische Merkmale des Browsers (u. a. IP-Adresse, User-Agent, Interaktionsmuster), um automatisierte Missbrauchsversuche (Bots) zu erkennen, ohne dass eine explizite Nutzerinteraktion erforderlich ist. Es werden keine Cookies für Werbezwecke gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse am Schutz unserer Formulare vor missbräuchlicher Nutzung und Spam.

Drittlandübermittlung: Wie unter Abschnitt 3 beschrieben, erfolgt die Übermittlung in die USA auf Basis von SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: cloudflare.com/privacypolicy.

6. Datenweitergabe an Partnergutachter

Der Kernzweck unserer Dienstleistung besteht darin, die im Rahmen der Schadensaufnahme erhobenen Daten — Fahrzeugdaten, Schadensbeschreibung sowie Fotodokumentation — an einen beauftragten, akkreditierten Sachverständigen weiterzuleiten, der auf dieser Grundlage das offizielle Kfz-Gutachten erstellt.

Empfänger: Je nach Einsatzgebiet und Verfügbarkeit werden unterschiedliche, akkreditierte Sachverständige und Gutachterbüros in der Region Ostwestfalen-Lippe (OWL) beauftragt. Die Empfänger sind als eigenverantwortliche Verantwortliche im Sinne der DSGVO tätig; es handelt sich nicht um Auftragsverarbeiter.

Übermittelte Datenkategorien: Name, Kontaktdaten, Fahrzeugkennzeichen, Schadensbeschreibung, Fotodokumentation des Schadens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — die Weitergabe ist zur Erfüllung des mit Ihnen angebahnten Vertrags (Erstellung des Kfz-Gutachtens) zwingend erforderlich. Ohne diese Übermittlung kann die beauftragte Leistung nicht erbracht werden.

Drittlandübermittlung: Es findet keine Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) statt.

7. Spam-Schutz und Rate-Limiting

Zur Abwehr von Spam und missbräuchlicher Formularnutzung setzen wir ein technisches Rate-Limiting ein. Die IP-Adresse des Absenders wird dabei für maximal 1 Stunde in einem flüchtigen Zwischenspeicher (Redis, auf unserem eigenen Server) gespeichert und danach automatisch gelöscht. Eine inhaltliche Auswertung oder Weitergabe dieser Daten findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am Schutz unserer Systeme vor missbräuchlicher Nutzung.

8. Cookies und Einwilligungsverwaltung

Wir setzen ausschließlich ein technisch notwendiges Cookie ein:

Das Cookie dm_consent_v2 ist für den ordnungsgemäßen Betrieb der Einwilligungsverwaltung technisch erforderlich. Es enthält ausschließlich Ihre Einwilligungsentscheidung und keine weiteren personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Dokumentation und Verwaltung von Einwilligungen. Die Matomo-Analyse-Cookies _pk_id.* und _pk_ses.* werden ausschließlich nach Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) gesetzt und können jederzeit über die Cookie-Einstellungen widerrufen werden.

9. Gesetzliche Aufbewahrungsfristen

Soweit personenbezogene Daten zugleich handels- oder steuerrechtlich relevante Unterlagen darstellen, unterliegen sie den folgenden gesetzlichen Mindestaufbewahrungsfristen, die einer vorzeitigen Löschung entgegenstehen:

• 10 Jahre — Buchungsbelege, Rechnungen, Kassenbelege (§ 147 Abs. 1 Nr. 1, 4 AO; § 257 Abs. 1 Nr. 1, 4 HGB)
• 6 Jahre — Geschäftsbriefe und empfangene Handelsbriefe, d. h. sämtliche schriftliche Korrespondenz mit Geschäftsbezug (§ 147 Abs. 1 Nr. 2, 3 AO; § 257 Abs. 1 Nr. 2, 3 HGB)
• 3 Jahre — Allgemeine zivilrechtliche Ansprüche unterliegen der Regelverjährung nach § 195 BGB; die Frist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist

Nach Ablauf der jeweils maßgeblichen Frist werden die Daten routinemäßig gelöscht, sofern kein anderer Aufbewahrungsgrund eingreift.

10. Cloudflare Turnstile (CAPTCHA)

Zum Schutz unserer Kontaktformulare vor automatisierten Spam- und Missbrauchsanfragen setzen wir Cloudflare Turnstile ein, einen datenschutzfreundlichen CAPTCHA-Dienst der Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA.

Beim Laden und Absenden eines Formulars stellt Ihr Browser eine Verbindung zu Cloudflare-Servern her. Dabei werden technische Signale (u. a. IP-Adresse, User-Agent, Interaktionsverhalten) an Cloudflare übermittelt, um automatisierte Anfragen von menschlichen Nutzern zu unterscheiden. Cloudflare setzt dabei kein dauerhaftes Tracking-Cookie und erstellt kein individuelles Nutzerprofil.

Zweck: Schutz der Formulare vor Spam und missbräuchlicher Nutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Sicherheit und Verfügbarkeit unserer Dienste.

Drittlandübermittlung: Die Übermittlung in die USA erfolgt auf Grundlage der von der EU-Kommission genehmigten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Cloudflare ist zudem nach dem EU-U.S. Data Privacy Framework zertifiziert.

Datenschutzerklärung Cloudflare: cloudflare.com/privacypolicy

11. Webanalyse mit Matomo

Diese Website nutzt Matomo, eine Open-Source-Webanalysesoftware, die wir auf unserem eigenen Server selbst betreiben. Alle Daten verbleiben ausschließlich auf unserem Server und werden nicht an Dritte weitergegeben.

Erfasste Daten: Anonymisierte IP-Adresse (die letzten zwei Oktette werden vor der Speicherung gekürzt), aufgerufene Seiten-URL, Referrer-URL, Browsertyp, Betriebssystem, Bildschirmauflösung sowie Verweildauer auf den Seiten.

Kein Drittlandtransfer: Da wir Matomo selbst betreiben, verlassen Ihre Daten unseren Server nicht. Es findet keine Übermittlung in Drittländer statt. Ein Auftragsverarbeitungsvertrag mit einem externen Dienstleister ist nicht erforderlich.

IP-Anonymisierung: Die IP-Anonymisierung ist aktiv. Die vollständige IP-Adresse wird zu keinem Zeitpunkt gespeichert.

Speicherdauer: Rohdaten werden nach 12 Monaten automatisch gelöscht. Aggregierte Statistiken ohne Personenbezug bleiben unbegrenzt erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Analyse findet nur statt, wenn Sie über unser Cookie-Banner aktiv eingewilligt haben. Matomo ist so konfiguriert, dass es erst nach Ihrer Einwilligung aktiviert wird (Matomo-API: requireConsent).

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen öffnen und die Kategorie „Analyse" deaktivieren. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

13. Weitere Betroffenenrechte

Über das vorstehend gesondert erläuterte Widerspruchsrecht hinaus stehen Ihnen nach DSGVO und BDSG folgende Rechte zu:

• Auskunft (Art. 15 DSGVO) — Bestätigung, ob und welche Daten wir über Sie verarbeiten
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger oder Vervollständigung unvollständiger Daten
• Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten oder überwiegende berechtigte Interessen entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sperrung der Verarbeitung in bestimmten gesetzlich geregelten Fällen
• Datenübertragbarkeit (Art. 20 DSGVO) — Übermittlung Ihrer Daten in einem strukturierten, maschinenlesbaren Format, soweit die Verarbeitung auf Einwilligung oder Vertrag beruht
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an: [email protected]

14. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO i. V. m. § 19 BDSG). Zuständig für uns ist:

15. Fotodokumentation und Fahrzeugdaten

Im Rahmen der Schadensaufnahme erstellen wir eine systematische Fotodokumentation des Fahrzeugs. Dabei werden unter anderem folgende Daten bildlich erfasst:

• Fahrzeugkennzeichen
• Fahrgestellnummer (VIN)
• Kilometerstand
• Schadensbild (Übersichts- und Detailaufnahmen)

Zweck: Beweissicherung und Dokumentation des Fahrzeugzustands als Grundlage für die anschließende Gutachtenerstellung durch den beauftragten Sachverständigen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — die Dokumentation ist zur Erfüllung des Vertrags (Schadensaufnahme und Weiterleitung an den Sachverständigen) erforderlich. Ergänzend stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einer vollständigen Beweissicherung zum Schutz aller Beteiligten.

Speicherdauer: Die Fotos werden nach Abschluss der Gutachtenerstellung und Ablauf etwaiger Aufbewahrungsfristen (vgl. Abschnitt 9) gelöscht. Eine Veröffentlichung der Fahrzeugfotos findet nicht statt.

16. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.