Datenschutzerklärung
Version 1.0 — Stand: 27. März 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Christopher Geyer
Ronrieder Straße 11
87616 Marktoberdorf
E-Mail: christopher.geyer@appding.de
Telefon: +49 171 311 46 23
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen gemäß § 38 BDSG nicht vorliegen (weniger als 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt).
3. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienstleistungen erforderlich ist oder eine gesetzliche Grundlage vorliegt. Die folgende Tabelle gibt einen Überblick über die einzelnen Verarbeitungstätigkeiten:
| Verarbeitungstätigkeit | Datenkategorien | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Kontoregistrierung und Authentifizierung | E-Mail-Adresse, Passwort (gehasht), Name | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Vertragsdauer + 3 Jahre (§ 195 BGB) |
| Verwaltung von Werkstattterminen | Kundennamen, Telefonnummern, Fahrzeugdaten (FIN, Kennzeichen), Termindetails | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Gemäß Organisationseinstellung, max. 12 Monate nach letzter Aktivität |
| CSV-Import (DMS-Daten) | Werkstatttermindaten inkl. personenbezogener Daten der Fahrzeughalter | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Wie Werkstatttermine |
| CRM-Export (AutoCRM/E-Mail) | Termindaten, Kundenkontaktdaten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Export-Protokolle: 10 Jahre (§ 257 HGB) |
| HIS-Vertragsdaten (Leasing/Finanzierung) | Vertragsdaten, FIN, Kundennamen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Vertragsdauer |
| Zahlungsabwicklung (Stripe) | Name, E-Mail, Zahlungsmethode, Rechnungsadresse | Art. 6 Abs. 1 lit. b DSGVO + Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflicht) | Rechnungsdaten: 10 Jahre (§ 257 HGB, § 147 AO) |
| E-Mail-Kommunikation | E-Mail-Adressen, E-Mail-Inhalte | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | 6 Monate für transaktionale E-Mails |
| Website-Analyse (Umami, selbst gehostet) | Anonymisierte Nutzungsdaten, keine personenbezogenen Daten, keine Cookies | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | Aggregiert, keine personenbezogenen Daten gespeichert |
| Server-Logdateien | IP-Adresse, Browser, Zeitstempel, aufgerufene URLs | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | 30 Tage |
| Audit-Protokollierung | Benutzeraktionen, Zeitstempel, Benutzer-IDs | Art. 6 Abs. 1 lit. f DSGVO + Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung) | 90 Tage bis 10 Jahre (gestuft) |
| Wartelisten-Anmeldung | E-Mail-Adresse | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Bis zum Widerruf der Einwilligung |
4. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Soweit wir die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DSGVO stützen, liegen folgende berechtigte Interessen vor:
- Gewährleistung der Website-Sicherheit und Stabilität
- Verhinderung von Missbrauch und Betrug
- Analyse und Verbesserung unseres Dienstes (anonymisiert, cookie-frei mittels selbst gehostetem Umami)
Bei der Verarbeitung auf Grundlage berechtigter Interessen haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen. Weitere Informationen hierzu finden Sie unter Abschnitt 8 dieser Datenschutzerklärung.
5. Empfänger und Auftragsverarbeiter
Im Rahmen unserer Geschäftstätigkeit setzen wir folgende Dienstleister ein, die als Auftragsverarbeiter gemäß Art. 28 DSGVO oder als eigenverantwortliche Stellen Zugang zu personenbezogenen Daten erhalten können:
| Dienst | Anbieter | Zweck | Standort | Transfergrundlage |
|---|---|---|---|---|
| Datenbank und Authentifizierung | Supabase Inc. (US-Unternehmen, EU-Region Frankfurt) | Datenspeicherung, Authentifizierung | EU (Frankfurt) | EU-US DPF + SCCs |
| Hosting | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen | Anwendungshosting, E-Mail-Versand und -Empfang (Stalwart-Mailserver) | Deutschland (Nürnberg) | Inland |
| Zahlungsabwicklung | Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA, USA | Zahlungsverarbeitung | EU + USA | EU-US DPF + SCCs |
| E-Mail-Versand (Fallback) | Resend Inc., 660 4th Street #310, San Francisco, CA, USA | Fallback-Versand transaktionaler E-Mails bei Nichtverfügbarkeit des primären Mailservers | USA | EU-US DPF + SCCs |
| Website-Analyse | Umami (selbst gehostet auf Hetzner) | Anonyme Nutzungsstatistiken | Deutschland | Inland |
| Cache | Upstash Inc. | Ratenbegrenzung | EU-Region | DPA vorhanden |
Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen. Die Weitergabe personenbezogener Daten an die genannten Empfänger erfolgt ausschließlich im Rahmen der beschriebenen Zwecke.
6. Übermittlung in Drittländer
Personenbezogene Daten werden grundsätzlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet. In folgenden Fällen kann eine Übermittlung in die USA als Drittland erfolgen:
- Supabase Inc. — Die Datenbank-Instanz wird in der EU-Region Frankfurt betrieben. Supabase Inc. ist als US-Unternehmen unter dem EU-US Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) zertifiziert. Zusätzlich wurden Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
- Stripe Inc. — Stripe verarbeitet Zahlungsdaten teilweise in den USA. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert und hat darüber hinaus Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert.
- Resend Inc. — Resend dient als Fallback-Dienstleister für den Versand transaktionaler E-Mails bei Nichtverfügbarkeit des primären, selbst gehosteten Mailservers. Resend ist unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich wurden Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework stellt sicher, dass die genannten US-Unternehmen ein angemessenes Datenschutzniveau gewährleisten (Art. 45 DSGVO). Die ergänzend vereinbarten Standardvertragsklauseln (Art. 46 DSGVO) dienen als zusätzliche Absicherung.
Alle weiteren Dienstleister (Hetzner, Stalwart, Umami) verarbeiten Daten ausschließlich in Deutschland. Der primäre E-Mail-Versand erfolgt über den selbst gehosteten Mailserver (Stalwart) auf der Hetzner-Infrastruktur in Nürnberg. Upstash betreibt seine Cache-Server in der EU-Region mit einem entsprechenden Auftragsverarbeitungsvertrag (DPA).
7. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Kontodaten | Vertragsdauer + 3 Jahre | § 195 BGB (Verjährungsfrist) |
| Werkstatttermine | Konfigurierbar, max. 12 Monate | Zweckbindung |
| Rechnungs-/Zahlungsdaten | 10 Jahre ab Ende des Kalenderjahres | § 257 HGB, § 147 AO |
| Server-Logdateien | 30 Tage | Berechtigtes Interesse (Sicherheit) |
| Audit-Protokolle | 90 Tage bis 10 Jahre (gestuft) | Gesetzliche Verpflichtung + berechtigtes Interesse |
| Export-Protokolle | 12 Monate | Vertragserfüllung |
| Einwilligungsnachweise | Verarbeitungsdauer + 3 Jahre | Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) |
Nach Ablauf der jeweiligen Speicherdauer werden die Daten routinemäßig gelöscht oder anonymisiert, sofern sie nicht mehr für die Vertragserfüllung oder aufgrund gesetzlicher Aufbewahrungspflichten benötigt werden.
8. Ihre Rechte
Als betroffene Person stehen Ihnen die folgenden Rechte gemäß der DSGVO zu. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Abschnitt 1 genannten Kontaktdaten.
a) Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO, insbesondere über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger und die geplante Speicherdauer.
b) Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen.
c) Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen gegeben ist, beispielsweise wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.
e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Zudem haben Sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.
f) Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
g) Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sofern die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Wartelisten-Anmeldung), haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
h) Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde finden Sie unter Abschnitt 9.
9. Zuständige Aufsichtsbehörde
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Website: https://www.lda.bayern.de
10. Cookies und Telemedienrecht (TDDDG)
Die Nutzung von Cookies und ähnlichen Technologien auf unserer Website richtet sich nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie der DSGVO.
Technisch notwendige Cookies
Wir verwenden ausschließlich technisch notwendige Session-Cookies für die Authentifizierung (Supabase Auth). Diese Cookies sind für den Betrieb der Anwendung zwingend erforderlich und können nicht deaktiviert werden. Sie erfordern gemäß § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung, da sie unbedingt erforderlich sind, um den von Ihnen ausdrücklich gewünschten Dienst zur Verfügung zu stellen.
Website-Analyse
Für die Website-Analyse setzen wir Umami ein, eine datenschutzfreundliche Analyse-Software, die auf unserer eigenen Hetzner-Infrastruktur in Deutschland selbst gehostet wird. Umami erhebt ausschließlich anonymisierte, aggregierte Nutzungsstatistiken. Es werden keine Cookies gesetzt, keine personenbezogenen Daten erhoben und kein Browser-Fingerprinting durchgeführt. Eine Einwilligung ist daher nicht erforderlich.
Drittanbieter-Tracking
Wir setzen keine Tracking-Cookies von Drittanbietern ein. Es erfolgt kein Cross-Site-Tracking und keine Weitergabe von Nutzungsdaten an Werbenetzwerke oder sonstige Dritte.
11. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt. Alle geschäftsrelevanten Entscheidungen werden von natürlichen Personen getroffen.
12. Aktualität und Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand März 2026 (Version 1.0). Aufgrund der Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf unserer Website abgerufen werden.