Zum Hauptinhalt springen

Datenschutzerklärung

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TTDSG).

In dieser Datenschutzerklärung informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website und unserer Dienstleistungen.

Stand: November 2025

1. Verantwortlicher für die Datenverarbeitung

Hofmann & Stein GbR („Trailer Swarm")

Kornmarkt 10

65795 Hattersheim am Main, Deutschland

E-Mail: datenschutz@trailer-swarm.de

Telefon: +49 89 244 182 67

Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Verpflichtung nach Art. 37 DSGVO besteht. Ansprechpartner für Datenschutzfragen siehe oben.

2. Erhebung und Speicherung personenbezogener Daten

2.1 Beim Besuch der Website (Server-Logs)

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert.

Folgende Informationen werden dabei ohne Ihr Zutun erfasst:

  • IP-Adresse des anfragenden Rechners (gekürzt/anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Website, von der aus der Zugriff erfolgt (Referrer-URL)
  • Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
  • Name Ihres Access-Providers

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, stabiler Bereitstellung)

Speicherdauer: 7-30 Tage (automatische Löschung)

2.2 Content Delivery Network & Web Application Firewall (Cloudflare)

Unsere Website wird über Cloudflare Pages bereitgestellt. Cloudflare fungiert als Content Delivery Network (CDN) und Web Application Firewall (WAF) zur Beschleunigung, Sicherheit und Verfügbarkeit unserer Website.

Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA

Zweck:

  • Schnelle und sichere Auslieferung der Website weltweit
  • Schutz vor DDoS-Angriffen, Bot-Traffic und Missbrauch
  • Lastverteilung (Load Balancing) und Performance-Optimierung
  • Caching von statischen Inhalten
  • Fehleranalyse und Stabilitätsüberwachung

Verarbeitete Daten:

  • IP-Adresse (gekürzt/anonymisiert)
  • Zeitstempel des Zugriffs
  • Angefragte URL und HTTP-Referrer
  • User-Agent (Browser/Betriebssystem-Info)
  • Sicherheits-/Firewall-Events (z.B. blockierte Angriffe)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Speicherdauer: Server-Logs max. 30 Tage

Drittlandübermittlung: Daten können auf Edge-Servern weltweit (inkl. USA) verarbeitet werden. Cloudflare ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert und bietet Standardvertragsklauseln (SCC) der EU-Kommission an. Zusätzlich nimmt Cloudflare am EU Code of Conduct teil.

Datenschutz: cloudflare.com/privacypolicy
DPA: cloudflare.com/cloudflare-customer-dpa

2.3 Backend-Infrastruktur & Datenbank (Supabase)

Für die Buchungsverwaltung, Benutzerdaten und alle Datenbankoperationen nutzen wir Supabase als Backend-as-a-Service in der EU-Region.

Anbieter: Supabase, Inc., USA (betrieben in EU-Region Frankfurt)

Zweck:

  • Speicherung von Buchungs- und Kundendaten
  • Authentifizierung und Benutzerverwaltung
  • Datenbankoperationen und API-Zugriff
  • Verschlüsselte Backups

Verarbeitete Daten:

  • Stammdaten (Name, E-Mail, Telefon)
  • Buchungsinformationen (Mietdauer, Standort, Trailer-Typ)
  • Zahlungsreferenzen (keine Kartendaten)
  • Kommunikationshistorie

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

EU-Region: Alle Daten werden ausschließlich in der EU-Region (eu-central-1, Frankfurt/Deutschland) gespeichert und verarbeitet.

Hinweis Drittlandübermittlung: Bei regulärem Betrieb erfolgt keine Datenübertragung in Drittländer. In Ausnahmefällen (z.B. technischer Support) kann ein Zugriff durch US-Personal von Supabase, Inc. erforderlich sein. Hierfür bestehen Standardvertragsklauseln (SCC) und technisch-organisatorische Maßnahmen (TOM) gemäß Art. 46 DSGVO.

Datenschutz-Maßnahmen:

  • Row Level Security (RLS): Datenbankzugriff ist auf Zeilenebene geschützt
  • Verschlüsselung: TLS 1.3 im Transit, AES-256 im Ruhezustand
  • Zugriffskontrolle: Rollenbasierte Zugriffe mit 2FA
  • Backups: Verschlüsselte, tägliche Backups mit 30-Tage-Retention
  • Monitoring: Protokollierung aller Admin-Zugriffe

Speicherdauer: Siehe Abschnitt 7 (Aufbewahrungsfristen)

Datenschutz: supabase.com/privacy
DPA: Supabase DPA (PDF)

2.4 Bei Buchung eines Anhängers

Wenn Sie über unsere Website einen Anhänger buchen, erheben wir folgende personenbezogene Daten:

  • Vor- und Nachname
  • Vollständige Adresse (Straße, Hausnummer, PLZ, Ort)
  • E-Mail-Adresse
  • Telefonnummer
  • Personalausweisnummer (zur Identitätsprüfung und Altersfeststellung)
  • Buchungsdaten (Mietdauer, Standort, Anhängertyp)
  • Zahlungsinformationen (siehe Abschnitt 2.6)

📋 Identitätsprüfung mittels Personalausweisnummer:

Die Erhebung Ihrer Personalausweisnummer dient ausschließlich der Identitätsprüfung, Altersfeststellung (Mindestalter 18 Jahre) und Betrugsprävention. Es findet keine automatisierte biometrische Verarbeitung statt.

Zweck: Vertragsabwicklung, Identitätssicherung, Missbrauchsprävention

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention und Identitätssicherung)

Speicherdauer:

  • Vertragsdaten (inkl. Adresse): 10 Jahre nach Vertragsende (§ 147 AO, § 257 HGB)
  • Personalausweisnummer: 3 Jahre nach Vertragsende (Verjährung mietvertraglicher Ansprüche, § 195 BGB). Nach Ablauf wird die Nummer gelöscht; die übrigen Vertragsdaten bleiben bis zum Ende der gesetzlichen Aufbewahrungsfrist gespeichert.

2.5 Trailer-Telemetrie und GPS-Tracking

Unsere Anhänger sind mit GPS-Tracking-Geräten ausgestattet, um Diebstahlprävention, Vertragsabwicklung und Schadensaufklärung zu ermöglichen.

Technologie-Anbieter: Giesecke & Devrient GmbH (G+D Mobile Security), Deutschland

Zweck:

  • Diebstahl- und Missbrauchsprävention
  • Vertragsabwicklung (Start-/Endstandort, gefahrene Strecke)
  • Schadensaufklärung bei Unfällen oder Verstößen
  • Technische Fehleranalyse und Wartung

Erfasste Daten:

  • GPS-Positionsdaten (Längen-/Breitengrad)
  • Zeitstempel der Positionen
  • Bewegungsgeschwindigkeit
  • Trailer-ID und Buchungszuordnung

Erfassungsintervall: Während der Fahrt maximal minütlich. Im Stillstand erfolgt keine kontinuierliche Positionserfassung (nur bei Bewegungserkennung oder auf Anfrage).

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Diebstahlprävention und Schadensaufklärung)

Speicherdauer:

  • Reguläre Fahrtdaten: 30 Tage nach Ende der Miete (gem. AGB § 17 Abs. 3)
  • Ereignis-bezogene Daten: Bis zur Klärung von Schadens-/Streitfällen (max. 3 Jahre)
  • Diebstahlverdacht: Bis zur polizeilichen Klärung

Zugriff: Nur autorisierte Mitarbeiter bei berechtigtem Anlass (Kundenanfrage, Verdacht, Schadensfall). Zugriffe werden protokolliert.

Kundenrechte: GPS-Daten können auf Anfrage eingesehen werden (Auskunftsrecht Art. 15 DSGVO)

ℹ️ Transparenz & Datenschutz:

Die GPS-Daten dienen nicht der Verhaltenskontrolle oder Überwachung des Fahrers, sondern ausschließlich den oben genannten Zwecken. Eine permanente Live-Verfolgung oder Bewegungsprofile zu anderen Zwecken werden nicht erstellt. Daten werden nur bei konkretem Anlass abgerufen.

2.6 Zahlungsabwicklung (Stripe)

Für die sichere Abwicklung von Online-Zahlungen nutzen wir den Zahlungsdienstleister Stripe.

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Verarbeitete Daten:

  • Kreditkartendaten (werden nur bei Stripe gespeichert, nicht bei uns)
  • PayPal-Daten (falls gewählt; PayPal wird über Stripe eingebunden)
  • Rechnungsadresse
  • Transaktions-ID und Zahlungsstatus

Hinweis PayPal: PayPal-Zahlungen werden über die Stripe-Plattform abgewickelt. Stripe agiert hierbei als technischer Vermittler; die Zahlungsdaten werden an PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg) weitergeleitet.

Zweck: Sichere Zahlungsabwicklung, Betrugsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Rolle: Stripe verarbeitet Zahlungsdaten in eigener Verantwortung als eigenständiger Verantwortlicher (nicht Auftragsverarbeiter)

Merchant-Initiated Transactions (MIT): Mit Buchung erklären Sie sich einverstanden, dass Zusatzkosten (z.B. Schadenersatz, verspätete Rückgabe, Reinigung) nach Mietende über das hinterlegte Zahlungsmittel eingezogen werden können. Die Autorisierung endet 90 Tage nach Mietende (gem. AGB § 6 Abs. 2-3).

Drittlandübermittlung: Daten können in die USA übermittelt werden. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert und nutzt Standardvertragsklauseln (SCC).

Datenschutz: stripe.com/de/privacy

2.7 Bei Nutzung des Kontaktformulars / E-Mail-Kommunikation

Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über ein auf der Website bereitgestelltes Formular oder direkt per E-Mail Kontakt aufzunehmen.

Erforderliche Angaben:

  • Name
  • E-Mail-Adresse
  • Nachrichtentext

E-Mail-Provider: Strato AG, Deutschland (Strato Webmail)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder lit. f DSGVO (berechtigtes Interesse)

Speicherdauer: 24 Monate nach Abschluss der Kommunikation (Support-Zwecke)

Verschlüsselung: TLS-verschlüsselter E-Mail-Transport

2.8 Newsletter

Auf unserer Website haben Sie die Möglichkeit, unseren Newsletter zu abonnieren. Mit dem Newsletter informieren wir Sie über exklusive Angebote, Tipps rund ums Motorrad und Neuigkeiten zu unseren Dienstleistungen.

Verarbeitete Daten:

  • E-Mail-Adresse
  • IP-Adresse und User-Agent (für Audit-Trail)
  • Zeitpunkt und Version der Einwilligung
  • Quelle der Anmeldung (Footer, Exit-Modal, etc.)

Freiwilligkeit: Die Bereitstellung Ihrer E-Mail-Adresse ist freiwillig; ohne sie können wir Ihnen den Newsletter nicht zusenden.

Empfänger & Verarbeitungsorte: Supabase (Speicherung in der EU-Region Frankfurt) und Postmark (E-Mail-Versand, USA – siehe Abschnitt 5: Drittlandübermittlung).

Anmeldeverfahren: Double Opt-In – Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihre Anmeldung aktiv. Dieser Link ist 24 Stunden gültig.

E-Mail-Versand: Postmark (Auftragsverarbeiter gem. Art. 28 DSGVO, USA) – für den Versand von Bestätigungs- und Newsletter-E-Mails. Es gelten EU-Standardvertragsklauseln (SCC) und ein Auftragsverarbeitungsvertrag (AVV). Postmark EU Datenschutz

Kein Tracking: Wir verwenden keine Öffnungs- oder Klick-Tracking in unseren Newsletter-E-Mails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in jeder Newsletter-E-Mail klicken oder uns direkt kontaktieren. Der Widerruf wirkt für die Zukunft; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Speicherdauer: Ihre Daten werden gespeichert, solange Sie den Newsletter abonniert haben. Nach Abmeldung werden Ihre Daten nach 6 Monaten anonymisiert (E-Mail-Adresse durch Platzhalter ersetzt, IP und User-Agent gelöscht).

Einwilligungsprotokoll: Zur Erfüllung unserer Nachweispflichten gem. Art. 7 Abs. 1 DSGVO führen wir ein Protokoll über Ihre Einwilligung (Zeitpunkt, Version, Aktion). IP-Adresse und User-Agent werden spätestens 6 Monate nach Abmeldung aus dem Protokoll entfernt; ein auf das Nötigste beschränktes Protokoll (ohne IP/User-Agent) wird zur Erfüllung gesetzlicher Nachweispflichten bis zu 3 Jahre aufbewahrt.

4. Weitergabe von Daten an Dritte & Empfänger

Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, wenn:

  • Sie Ihre nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ausdrückliche Einwilligung dazu erteilt haben,
  • die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
  • für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht, sowie
  • dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

4.1 Auftragsverarbeiter (Art. 28 DSGVO)

Wir arbeiten mit folgenden Auftragsverarbeitern zusammen. Mit allen Dienstleistern bestehen Verträge zur Auftragsverarbeitung (DPA):

Cloudflare (CDN/WAF/Hosting)

Anbieter: Cloudflare, Inc., USA

Zweck: Website-Bereitstellung, Sicherheit, Performance

AVV: Vorhanden gemäß Art. 28 DSGVO

Region: Weltweit (Edge-Server), inkl. USA

Supabase (Datenbank & Backend)

Anbieter: Supabase Inc., USA

Zweck: Speicherung von Buchungsdaten, Benutzerverwaltung

AVV: Vorhanden gemäß Art. 28 DSGVO

Region: EU (Frankfurt, eu-central-1)

Giesecke & Devrient (GPS-Telemetrie)

Anbieter: Giesecke & Devrient GmbH, Deutschland

Zweck: GPS-Tracking der Anhänger

AVV: Vorhanden gemäß Art. 28 DSGVO

Region: Deutschland/EU

Strato AG (E-Mail)

Anbieter: Strato AG, Deutschland

Zweck: E-Mail-Hosting und -Versand

AVV: Vorhanden gemäß Art. 28 DSGVO

Region: Deutschland

Postmark (E-Mail-Versand)

Anbieter: Wildbit LLC (ActiveCampaign), USA

Zweck: Versand von Buchungsbestätigungen, Double-Opt-In- und Newsletter-E-Mails (ohne Öffnungs-/Klicktracking)

AVV: Vorhanden; Garantien: SCC

Region: USA

4.2 Eigenverantwortliche Dritte

Folgende Dienstleister verarbeiten Daten in eigener Verantwortung (nicht als Auftragsverarbeiter):

Stripe (Zahlungsabwicklung)

Anbieter: Stripe Payments Europe Ltd., Irland

Zweck: Zahlungsabwicklung

Rolle: Eigenständig Verantwortlicher

Datenschutz: stripe.com/de/privacy

Google Analytics 4 (nur bei Einwilligung)

Anbieter: Google Ireland Limited, Irland

Zweck: Webanalyse

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

4.3 Empfänger im Anlassfall

In bestimmten Fällen können Daten an folgende Empfänger weitergegeben werden:

  • DEVK Versicherung: Bei Schadensfällen zur Schadensregulierung
  • Inkasso-Dienstleister: Bei Zahlungsverzug (zukünftig geplant, aktuell interne Bearbeitung)
  • Behörden/Strafverfolgung: Bei gesetzlicher Verpflichtung oder Verdacht auf Straftaten
  • Rechtsberater: Bei rechtlichen Auseinandersetzungen
  • Polizei: Bei Diebstahl oder Missbrauch (GPS-Daten)

5. Drittlandübermittlungen

Einige unserer Dienstleister verarbeiten Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Wir stellen sicher, dass dabei ein angemessenes Datenschutzniveau gewährleistet ist.

USA: Cloudflare

Verarbeitung von Traffic-Metadaten auf Edge-Servern (weltweit, inkl. USA).

Schutzmaßnahmen:

  • EU-US Data Privacy Framework (DPF) Zertifizierung
  • Standardvertragsklauseln (SCC) der EU-Kommission
  • EU Code of Conduct Teilnahme
  • Technische/Organisatorische Maßnahmen (TOM)

USA: Stripe

Zahlungsdaten können in die USA übermittelt werden.

Schutzmaßnahmen:

  • EU-US Data Privacy Framework (DPF) Zertifizierung
  • Standardvertragsklauseln (SCC)
  • PCI DSS Level 1 Zertifizierung (höchster Sicherheitsstandard)

USA: Google Analytics / GTM (nur bei Einwilligung)

Nutzungsdaten können in die USA übermittelt werden, nur nach Einwilligung.

Schutzmaßnahmen:

  • EU-US Data Privacy Framework (DPF) Zertifizierung
  • Standardvertragsklauseln (SCC)
  • Consent Mode v2 (kein Laden ohne Einwilligung)

USA: Sentry (Fehlerüberwachung)

Anonymisierte Fehlerdaten werden zur Stabilitätssicherung in die USA übermittelt (Stufe 1: berechtigtes Interesse). Zusätzliche Session Replays nur nach Analytics-Einwilligung (Stufe 2).

Schutzmaßnahmen:

  • Standardvertragsklauseln (SCC)
  • Technische/Organisatorische Maßnahmen (TOM)
  • IP-Anonymisierung, keine Nutzerkennungen in Stufe 1

USA: Postmark (E-Mail-Versand: Transaktion & Newsletter)

E-Mail-Daten für Buchungsbestätigungen, Double-Opt-In-Bestätigungen und Newsletter-Versand werden in die USA übermittelt.

Schutzmaßnahmen:

  • Standardvertragsklauseln (SCC) der EU-Kommission
  • Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO
  • Verschlüsselung bei Übertragung und Speicherung
  • Kein Öffnungs-/Klicktracking im Newsletter

✅ Keine Drittlandübermittlung:

  • Supabase: Ausschließlich EU-Region (Frankfurt)
  • Giesecke & Devrient: Deutschland/EU
  • Strato: Deutschland

6. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling verlangen.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung (z.B. Aufbewahrungspflichten nach HGB/AO), aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen, oder wenn wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen.

Besonderer Hinweis: Sie können der Verarbeitung Ihrer Daten für Zwecke der Direktwerbung jederzeit ohne Angabe von Gründen widersprechen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, Ihre erteilte Einwilligung (z.B. für Cookies, Analytics) jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde in Deutschland (Hessen):
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Website: datenschutz.hessen.de

7. Aufbewahrungsfristen (Detailliert)

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Ablauf der Fristen werden die Daten routinemäßig gelöscht.

DatenkategorieAufbewahrungsfristRechtsgrundlage
Vertrags- & Rechnungsdaten (inkl. Adresse)10 Jahre nach Vertragsende§ 147 AO, § 257 HGB
Personalausweisnummer3 Jahre nach Vertragsende§ 195 BGB (Verjährung)
GPS-Telemetrie (regulär)30 Tage nach MietendeAGB § 17 Abs. 3, DSGVO (Datenminimierung)
GPS-Telemetrie (Schadensfall)Bis zur Klärung (max. 3 Jahre)Art. 6 Abs. 1 lit. f DSGVO
Support-/Kommunikationsvorgänge24 Monate nach AbschlussArt. 6 Abs. 1 lit. f DSGVO
Cookie-Consent-Protokolle2 Jahre oder bis WiderrufDSGVO (Nachweispflicht)
Server-/Security-Logs (Cloudflare)Max. 30 TageArt. 6 Abs. 1 lit. f DSGVO
Server-Logs (eigene)7 TageArt. 6 Abs. 1 lit. f DSGVO
Zahlungsdaten (Referenzen)10 Jahre§ 147 AO (Buchhaltung)
Supabase Backups30 TageTechnische Sicherheit

Ausnahme: Bei laufenden rechtlichen Auseinandersetzungen, behördlichen Ermittlungen oder Straftaten können Daten bis zur endgültigen Klärung aufbewahrt werden, auch über die genannten Fristen hinaus (Beweis- und Verteidigungszwecke).

8. Datensicherheit & Technische/Organisatorische Maßnahmen

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-/TLS-Verfahren in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird (mind. TLS 1.2).

Unsere Mitarbeiter und alle an der Datenverarbeitung beteiligten Personen sind zur Einhaltung der datenschutzrechtlichen Bestimmungen und zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet.

Übersicht der Sicherheitsmaßnahmen:

🔒 Transportverschlüsselung

  • TLS 1.3 (aktuellster Standard)
  • HSTS (HTTP Strict Transport Security)
  • Verschlüsselte E-Mail-Kommunikation

🛡️ Datenspeicherung

  • AES-256 Verschlüsselung (Supabase)
  • Row Level Security (RLS)
  • Verschlüsselte Backups

🔐 Zugriffskontrolle

  • Rollenbasierte Zugriffe (RBAC)
  • 2FA/MFA für Admin-Zugriffe
  • Least-Privilege-Prinzip
  • Zugriffs-Logging

🚨 Angriffserkennung

  • Cloudflare WAF (Web Application Firewall)
  • DDoS-Schutz
  • Rate Limiting
  • Bot-Detection

🔄 Wartung & Updates

  • Regelmäßige Sicherheitsupdates
  • Automatisierte Backups (täglich)
  • Monitoring & Alerting

📋 Organisatorisch

  • Vertraulichkeitsverpflichtungen
  • Datenschutz-Schulungen
  • Incident Response Plan

9. Pflicht zur Bereitstellung von Daten

Für die Buchung eines Anhängers sind bestimmte Angaben erforderlich (z.B. Name, Kontaktdaten, Zahlungsinformationen). Ohne diese Daten ist ein Vertragsschluss nicht möglich.

Bei freiwilligen Angaben (z.B. Newsletter-Anmeldung) weisen wir gesondert darauf hin.

10. Automatisierte Entscheidungen & Profiling

Es findet kein automatisiertes Profiling oder eine automatisierte Entscheidungsfindung mit Rechtswirkung (Art. 22 DSGVO) statt.

Alle Buchungsentscheidungen, Schadensfälle und Kundenanfragen werden durch menschliche Mitarbeiter bearbeitet.

11. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand: November 2025 (Version 2.0).

Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter https://trailer-swarm.de/datenschutz/ von Ihnen abgerufen und ausgedruckt werden.

Fragen zum Datenschutz?

Für Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten sowie Widerruf erteilter Einwilligungen oder Widerspruch gegen eine bestimmte Datenverwendung wenden Sie sich bitte direkt an uns:

E-Mail: datenschutz@trailer-swarm.de

Telefon: +49 89 244 182 67

Wir bemühen uns, Ihre Anfragen innerhalb von 30 Tagen zu beantworten (gesetzliche Frist gemäß Art. 12 DSGVO).