Privacy Policy

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) ist:

2. Technische Sicherheitsmaßnahmen

Diese Website überträgt sämtliche Daten ausschließlich verschlüsselt über das Protokoll TLS/SSL (HTTPS). Damit wird sichergestellt, dass Ihre Eingaben im Kontaktformular sowie alle weiteren Kommunikationsdaten während der Übertragung vor unbefugtem Zugriff geschützt sind.

Auf Serverebene werden technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören regelmäßige Sicherheitsupdates, Zugriffskontrollen sowie die Begrenzung der Datenverarbeitung auf das erforderliche Minimum.

Die auf dieser Website verwendeten Schriftarten (Inter) werden lokal ausgeliefert — sie werden beim Build-Prozess heruntergeladen und vom eigenen Server bereitgestellt. Es findet zur Laufzeit kein Request an externe Schriftanbieter (z. B. Google Fonts CDN) statt.

3. Hosting

Diese Website wird auf einem virtuellen Server (vServer) der Alfahosting GmbH, Ankerstraße 3b, 06108 Halle (Saale), Deutschland, betrieben. Der Server wird von uns selbst administriert. Der Serverstandort liegt in Deutschland; eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet nicht statt.

Mit Alfahosting wurde ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen. Alfahosting verarbeitet Daten im Rahmen dieses Vertrags ausschließlich nach unserer Weisung und darf sie nicht zu eigenen Zwecken nutzen.

CDN & DNS — Cloudflare

Für DNS-Auflösung und Content-Delivery-Network (CDN) nutzen wir den Dienst Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Alle Anfragen an unsere Website werden über das Cloudflare-Netzwerk geleitet. Dabei verarbeitet Cloudflare technische Verbindungsdaten, insbesondere IP-Adressen der Besucher, um DDoS-Schutz, Sicherheitsfilterung und schnellere Ladezeiten zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einem sicheren und leistungsfähigen Betrieb der Website.

Drittlandübermittlung: Cloudflare ist ein US-amerikanisches Unternehmen. Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Cloudflare ist zudem nach dem EU-U.S. Data Privacy Framework zertifiziert. Weitere Informationen: cloudflare.com/privacypolicy.

4. Server-Logfiles

Bei jedem Seitenaufruf erfasst der Webserver automatisch technische Zugriffsdaten (sogenannte Server-Logfiles). Gespeichert werden:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL
• HTTP-Statuscode
• Übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite, sofern übermittelt)
• Browser-Typ und Betriebssystem

Zweck: Sicherstellung des technischen Betriebs sowie Erkennung und Abwehr von Angriffen auf die Infrastruktur.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einem sicheren und störungsfreien Betrieb der Website.

Speicherdauer: Maximal 7 Tage, danach automatische Löschung, es sei denn, ein konkreter Sicherheitsvorfall erfordert eine längere Aufbewahrung zur Beweissicherung.

5. Kontaktformular

Über unser Kontaktformular können folgende Daten übermittelt werden:

• Name (Pflichtfeld)
• E-Mail-Adresse (optional)
• Telefonnummer (Pflichtfeld)
• Fahrzeugkennzeichen (optional)
• Schadensbeschreibung (Pflichtfeld)

Die übermittelten Daten werden per E-Mail an uns weitergeleitet und ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Der Versand erfolgt über Nodemailer via SMTP; Zugangsdaten sind verschlüsselt gespeichert. Eine Weitergabe an Dritte findet nicht statt.

Rechtsgrundlage: Primär Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Anbahnung eines Vertrags gerichtet ist (Durchführung vorvertraglicher Maßnahmen). Für allgemeine Anfragen ohne vertraglichen Bezug stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an der Beantwortung eingehender Kundenanfragen.

Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) wird für die Formularverarbeitung nicht eingeholt; das bloße Absenden des Formulars stellt keine rechtswirksame Einwilligung im Sinne der DSGVO dar.

Speicherdauer: Nach Abschluss der Bearbeitung werden die Anfragedaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (vgl. Abschnitt 9). Die zivilrechtliche Regelverjährung beträgt 3 Jahre gemäß § 195 BGB (Fristbeginn: Jahresende des Entstehungsjahres).

Bot-Schutz — Cloudflare Turnstile

Unser Formular ist mit Cloudflare Turnstilegeschützt, einem CAPTCHA-freien Verifizierungsdienst der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Turnstile analysiert im Hintergrund technische Merkmale des Browsers (u. a. IP-Adresse, User-Agent, Interaktionsmuster), um automatisierte Missbrauchsversuche (Bots) zu erkennen, ohne dass eine explizite Nutzerinteraktion erforderlich ist. Es werden keine Cookies für Werbezwecke gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse am Schutz unserer Formulare vor missbräuchlicher Nutzung und Spam.

Drittlandübermittlung: Wie unter Abschnitt 3 beschrieben, erfolgt die Übermittlung in die USA auf Basis von SCCs sowie dem EU-U.S. Data Privacy Framework.

6. Datenweitergabe an Partnergutachter

Der Kernzweck unserer Dienstleistung besteht darin, die im Rahmen der Schadensaufnahme erhobenen Daten — Fahrzeugdaten, Schadensbeschreibung sowie Fotodokumentation — an einen beauftragten, akkreditierten Sachverständigen weiterzuleiten, der auf dieser Grundlage das offizielle Kfz-Gutachten erstellt.

Empfänger: Je nach Einsatzgebiet und Verfügbarkeit werden unterschiedliche, akkreditierte Sachverständige und Gutachterbüros in der Region Ostwestfalen-Lippe (OWL) beauftragt. Die Empfänger sind als eigenverantwortliche Verantwortliche im Sinne der DSGVO tätig; es handelt sich nicht um Auftragsverarbeiter.

Übermittelte Datenkategorien: Name, Kontaktdaten, Fahrzeugkennzeichen, Schadensbeschreibung, Fotodokumentation des Schadens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — die Weitergabe ist zur Erfüllung des mit Ihnen angebahnten Vertrags (Erstellung des Kfz-Gutachtens) zwingend erforderlich. Ohne diese Übermittlung kann die beauftragte Leistung nicht erbracht werden.

Drittlandübermittlung: Es findet keine Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) statt.

7. Spam-Schutz und Rate-Limiting

Zur Abwehr von Spam und missbräuchlicher Formularnutzung setzen wir ein technisches Rate-Limiting ein. Die IP-Adresse des Absenders wird dabei für maximal 1 Stunde in einem flüchtigen Zwischenspeicher (Redis, auf unserem eigenen Server) gespeichert und danach automatisch gelöscht. Eine inhaltliche Auswertung oder Weitergabe dieser Daten findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am Schutz unserer Systeme vor missbräuchlicher Nutzung.

8. Cookies und Einwilligungsverwaltung

Wir setzen ausschließlich ein technisch notwendiges Cookie ein:

Das Cookie dm_consent_v2 ist für den ordnungsgemäßen Betrieb der Einwilligungsverwaltung technisch erforderlich. Es enthält ausschließlich Ihre Einwilligungsentscheidung und keine weiteren personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Dokumentation und Verwaltung von Einwilligungen. Die Matomo-Analyse-Cookies _pk_id.* und _pk_ses.* werden ausschließlich nach Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) gesetzt und können jederzeit über die Cookie-Einstellungen widerrufen werden.

9. Gesetzliche Aufbewahrungsfristen

Soweit personenbezogene Daten zugleich handels- oder steuerrechtlich relevante Unterlagen darstellen, unterliegen sie den folgenden gesetzlichen Mindestaufbewahrungsfristen, die einer vorzeitigen Löschung entgegenstehen:

• 10 Jahre — Buchungsbelege, Rechnungen, Kassenbelege (§ 147 Abs. 1 Nr. 1, 4 AO; § 257 Abs. 1 Nr. 1, 4 HGB)
• 6 Jahre — Geschäftsbriefe und empfangene Handelsbriefe, d. h. sämtliche schriftliche Korrespondenz mit Geschäftsbezug (§ 147 Abs. 1 Nr. 2, 3 AO; § 257 Abs. 1 Nr. 2, 3 HGB)
• 3 Jahre — Allgemeine zivilrechtliche Ansprüche unterliegen der Regelverjährung nach § 195 BGB; die Frist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist

Nach Ablauf der jeweils maßgeblichen Frist werden die Daten routinemäßig gelöscht, sofern kein anderer Aufbewahrungsgrund eingreift.

10. WhatsApp Business

Auf unserer Website befindet sich eine Schaltfläche, über die Sie uns direkt per WhatsApp Business kontaktieren können. Betreiber des Dienstes ist die Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (für Nutzer im EWR).

Wenn Sie auf die WhatsApp-Schaltfläche klicken, werden Sie aus unserer Website herausgeleitet und zur WhatsApp-App bzw. zu web.whatsapp.com weitergeleitet. Die Verbindung wird dann direkt zwischen Ihrem Gerät und den Servern von Meta/WhatsApp hergestellt — nicht über unsere Infrastruktur. Wir erhalten erst Kenntnis von einer Nachricht, wenn Sie diese aktiv abschicken.

Verarbeitete Daten (durch Meta/WhatsApp):

• Ihre Telefonnummer (WhatsApp-Konto)
• Nachrichteninhalte, die Sie uns senden
• Metadaten der Kommunikation (Zeitstempel, Gerätedaten)
• Profilinformationen Ihres WhatsApp-Kontos

Zweck: Erreichbarkeit und schnelle Kundenkommunikation im Zusammenhang mit der Kfz-Schadensaufnahme.

Rechtsgrundlage (unsere Verarbeitung): Art. 6 Abs. 1 lit. b DSGVO — vorvertragliche Maßnahmen bzw. Vertragserfüllung, soweit Sie uns zur Vereinbarung einer Schadensaufnahme kontaktieren. Im Übrigen Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einer barrierefreien und mehrsprachigen Kundenkommunikation.

Drittlandübermittlung: Meta Platforms Ireland Ltd. kann Daten in die USA und andere Drittländer übermitteln. Meta ist nach dem EU-U.S. Data Privacy Framework zertifiziert; die Übermittlung stützt sich ergänzend auf Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer (unsere Seite): Nachrichten, die uns über WhatsApp erreichen, werden nach Abschluss des Auftrags bzw. nach Ablauf gesetzlicher Aufbewahrungsfristen (vgl. Abschnitt 9) gelöscht. Für die Speicherung auf WhatsApp-Servern gelten die eigenen Datenschutzbestimmungen von Meta.

Hinweis: Die Nutzung von WhatsApp ist freiwillig. Sie können uns alternativ telefonisch unter +49 151 12545454 oder über unser Kontaktformular erreichen.

Datenschutzerklärung WhatsApp/Meta: whatsapp.com/legal/privacy-policy-eea

10a. Google Analytics / Google Tag Manager

Diese Website verwendet Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics wird über Google Tag Manager (ebenfalls Google Ireland Limited) eingebunden.

Zweck: Analyse des Nutzerverhaltens auf unserer Website (Seitenaufrufe, Verweildauer, Absprungrate, Gerätetyp, Herkunft des Traffics) zur Optimierung unseres Angebots und zur Erfolgsmessung von Marketingmaßnahmen.

Verarbeitete Daten: Anonymisierte IP-Adresse (IP-Kürzung aktiv), Browser-Typ, Betriebssystem, Referrer-URL, aufgerufene Seiten und Events (z. B. Formularabsendung), ungefährer Standort (Land/Stadt, nicht Adresse), Gerätekategorie.

Consent Mode v2: Wir setzen Google Consent Mode v2 ein. GA4 wird erst nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner vollständig aktiviert. Ohne Einwilligung werden keine Cookies gesetzt und keine Daten an Google übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Speicherdauer: Die gesetzten Cookies haben eine Laufzeit von bis zu 2 Jahren (vgl. Cookie-Tabelle in Abschnitt 8). Die Rohdaten in Google Analytics werden nach 14 Monaten automatisch gelöscht (einstellbar im GA4-Admin).

Drittlandübermittlung: Google Ireland Limited kann Daten an Server der Google LLC, Mountain View, CA, USA übermitteln. Google ist nach dem EU-U.S. Data Privacy Framework zertifiziert; die Übermittlung stützt sich ergänzend auf Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Datenschutzerklärung Google: policies.google.com/privacy

11. Webanalyse mit Matomo

Diese Website nutzt Matomo, eine Open-Source-Webanalysesoftware, die wir auf unserem eigenen Server selbst betreiben. Alle Daten verbleiben ausschließlich auf unserem Server und werden nicht an Dritte weitergegeben.

Erfasste Daten: Anonymisierte IP-Adresse (die letzten zwei Oktette werden vor der Speicherung gekürzt), aufgerufene Seiten-URL, Referrer-URL, Browsertyp, Betriebssystem, Bildschirmauflösung sowie Verweildauer auf den Seiten.

Kein Drittlandtransfer: Da wir Matomo selbst betreiben, verlassen Ihre Daten unseren Server nicht. Es findet keine Übermittlung in Drittländer statt. Ein Auftragsverarbeitungsvertrag mit einem externen Dienstleister ist nicht erforderlich.

IP-Anonymisierung: Die IP-Anonymisierung ist aktiv. Die vollständige IP-Adresse wird zu keinem Zeitpunkt gespeichert.

Speicherdauer: Rohdaten werden nach 12 Monaten automatisch gelöscht. Aggregierte Statistiken ohne Personenbezug bleiben unbegrenzt erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Analyse findet nur statt, wenn Sie über unser Cookie-Banner aktiv eingewilligt haben. Matomo ist so konfiguriert, dass es erst nach Ihrer Einwilligung aktiviert wird (Matomo-API: requireConsent).

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen öffnen und die Kategorie „Analyse" deaktivieren. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

13. Weitere Betroffenenrechte

Über das vorstehend gesondert erläuterte Widerspruchsrecht hinaus stehen Ihnen nach DSGVO und BDSG folgende Rechte zu:

• Auskunft (Art. 15 DSGVO) — Bestätigung, ob und welche Daten wir über Sie verarbeiten
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger oder Vervollständigung unvollständiger Daten
• Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten oder überwiegende berechtigte Interessen entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sperrung der Verarbeitung in bestimmten gesetzlich geregelten Fällen
• Datenübertragbarkeit (Art. 20 DSGVO) — Übermittlung Ihrer Daten in einem strukturierten, maschinenlesbaren Format, soweit die Verarbeitung auf Einwilligung oder Vertrag beruht
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an: [email protected]

14. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO i. V. m. § 19 BDSG). Zuständig für uns ist:

15. Fotodokumentation und Fahrzeugdaten

Im Rahmen der Schadensaufnahme erstellen wir eine systematische Fotodokumentation des Fahrzeugs. Dabei werden unter anderem folgende Daten bildlich erfasst:

• Fahrzeugkennzeichen
• Fahrgestellnummer (VIN)
• Kilometerstand
• Schadensbild (Übersichts- und Detailaufnahmen)

Zweck: Beweissicherung und Dokumentation des Fahrzeugzustands als Grundlage für die anschließende Gutachtenerstellung durch den beauftragten Sachverständigen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — die Dokumentation ist zur Erfüllung des Vertrags (Schadensaufnahme und Weiterleitung an den Sachverständigen) erforderlich. Ergänzend stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an einer vollständigen Beweissicherung zum Schutz aller Beteiligten.

Speicherdauer: Die Fotos werden nach Abschluss der Gutachtenerstellung und Ablauf etwaiger Aufbewahrungsfristen (vgl. Abschnitt 9) gelöscht. Eine Veröffentlichung der Fahrzeugfotos findet nicht statt.

16. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.