Datenschutzerklärung

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen (nachfolgend zusammenfassend bezeichnet als „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 30. Mai 2026

Egor Ferber
Getreidestraße 17
84160 Frontenhausen
Deutschland

E-Mail: ferbegor@gmail.com
Telefon: 0151 52536898

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten
• Zahlungsdaten
• Kontaktdaten
• Inhaltsdaten (inkl. Fahrzeugfotos und Schadens-Annotationen)
• Vertragsdaten
• Nutzungsdaten
• Meta-, Kommunikations- und Verfahrensdaten
• Protokolldaten

Kategorien betroffener Personen

• Nutzer (Mitarbeitende der Werkstätten)
• Endkunden der Werkstätten (Fahrzeughalter, deren Fahrzeug im Annahme-Protokoll erfasst wird)
• Leistungsempfänger und Auftraggeber (Werkstatt-Betreiber)
• Interessenten
• Kommunikationspartner
• Geschäfts- und Vertragspartner

Zwecke der Verarbeitung

• Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten
• Bereitstellung des Onlineangebotes und Nutzerfreundlichkeit
• Erstellung digitaler Fahrzeug-Annahmeprotokolle
• Automatische Anonymisierung von KFZ-Kennzeichen vor Langzeit-Speicherung
• Kommunikation und Anfrageverwaltung
• Sicherheitsmaßnahmen
• Informationstechnische Infrastruktur
• Geschäftsprozesse und betriebswirtschaftliche Verfahren

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) — Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) — Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling.

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Konkrete Maßnahmen bei Wrenchly:

• TLS/SSL-Verschlüsselung (HTTPS) für alle Verbindungen zwischen Endgerät und Server, automatisch verwaltet über Let's Encrypt.
• Verschlüsselung gespeicherter Daten im Object Storage und verschlüsselte Backups (AES-256, 7 Tage Rolling, monatlicher Restore-Test).
• Pseudonymisierung personenbeziehbarer Bilddaten durch automatische, lokal betriebene Kennzeichen-Unkenntlichmachung vor Speicherung im Langzeit-Storage.
• Mindestpasswortlänge 12 Zeichen, verpflichtende E-Mail-Verifikation, kurzlebige Sitzungs-Tokens.
• Rate-Limiting auf sicherheitsrelevanten Endpunkten (Anmeldung, Registrierung, Passwort-Reset, E-Mail-Versand) zum Schutz vor Brute-Force-Angriffen und Massenversand-Missbrauch.
• Zugriffskontrolle auf Verarbeitungssysteme nach dem Need-to-know- Prinzip; signierte Kurz-URLs mit 15-Minuten-Gültigkeit für Foto-Abrufe im Frontend.
• Automatisierte Löschroutinen für Rohfotos (90 Tage nach Protokoll-Ende) und für Daten gekündigter Werkstätten (60 Tage nach Vertragsende).

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass diese an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt beziehungsweise ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten gehören insbesondere mit IT-Aufgaben beauftragte Dienstleister (Hosting, Zahlungsabwicklung, E-Mail-Versand). In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen mit allen Empfängern entsprechende Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO ab.

Datenverarbeitung in Drittländern: Sofern wir Daten in ein Drittland (d. h. außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) übermitteln oder dies im Rahmen der Nutzung von Diensten Dritter geschieht, erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben.

Für Datenübermittlungen in die USA stützen wir uns vorrangig auf das EU-US Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich haben wir mit den jeweiligen Anbietern Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO abgeschlossen.

Diese zweifache Absicherung gewährleistet einen umfassenden Schutz: Das DPF bildet die primäre Schutzebene, während die Standardvertragsklauseln als zusätzliche Sicherheit dienen. Bei den einzelnen Diensteanbietern informieren wir Sie darüber, ob sie nach dem DPF zertifiziert sind und ob Standardvertragsklauseln vorliegen. Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen finden Sie unter dataprivacyframework.gov.

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Ausnahmen bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung erfordern.

Insbesondere müssen Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung zur Rechtsverfolgung oder zum Schutz der Rechte anderer notwendig ist, entsprechend archiviert werden. Bei mehreren Angaben zur Aufbewahrungsdauer ist stets die längste Frist maßgeblich.

Allgemeine Aufbewahrungsfristen nach deutschem Recht (relevant für Wrenchly):

• 10 Jahre — Buchhaltungsunterlagen, Jahresabschlüsse, Rechnungen, Kostenbelege, signierte Annahmeprotokolle (§ 147 Abs. 1 i.V.m. Abs. 3 AO, § 257 HGB).
• 6 Jahre — Übrige Geschäftsunterlagen und Geschäftsbriefe inkl. geschäftlicher E-Mails (§ 147 Abs. 1 Nr. 2, 3, 5 AO, § 257 HGB).
• 3 Jahre — Daten zur Berücksichtigung möglicher Gewährleistungs- und Schadensersatzansprüche, basierend auf der gesetzlichen Verjährungsfrist (§§ 195, 199 BGB).

Spezifische Aufbewahrung bei Wrenchly:

• Signiertes Annahmeprotokoll (PDF): 10 Jahre (AO § 147), inkl. der im PDF eingebetteten anonymisierten Fotos.
• Rohfotos (Originalaufnahmen vor Anonymisierung): 90 Tage nach Protokoll-Abschluss, danach automatische Löschung aus dem Object Storage.
• Daten gekündigter Werkstätten: 60 Tage nach Vertragsende, danach automatische Löschung. Signierte Protokolle bleiben gemäß Aufbewahrungspflicht erhalten.
• Server-Logfiles: maximal 7 Tage zu Sicherheits- und Stabilitätszwecken.

Fristbeginn mit Ablauf des Jahres: Beginnt eine Frist nicht ausdrücklich zu einem bestimmten Datum und beträgt sie mindestens ein Jahr, so startet sie automatisch am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Im Fall laufender Vertragsverhältnisse ist das fristauslösende Ereignis der Zeitpunkt des Wirksamwerdens der Kündigung.

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
• Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
• Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden, sowie auf Auskunft über diese Daten und Kopie der Daten.
• Recht auf Berichtigung: Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung unrichtiger Daten zu verlangen.
• Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, die Löschung der Sie betreffenden Daten oder eine Einschränkung der Verarbeitung zu verlangen.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
• Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Anfragen richten Sie bitte an: ferbegor@gmail.com

Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 (0) 981 53 1300
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

Wir verarbeiten personenbezogene Daten unserer Vertrags- und Geschäftspartner (Kunden, Auftraggeber, Interessenten, Lieferanten und sonstige Kooperationspartner) zur Anbahnung, Durchführung und Abwicklung von Vertragsverhältnissen sowie vergleichbaren Rechtsverhältnissen. Dies umfasst auch vorvertragliche Maßnahmen, die auf Anfrage erfolgen, sowie die Kommunikation im Zusammenhang mit dem Vertragsverhältnis.

Verarbeitet werden insbesondere Stammdaten (Name, Anschrift, ggf. Firma), Kontaktdaten (E-Mail-Adresse, Telefonnummer), Vertrags- und Leistungsdaten (Vertragsgegenstand, Laufzeit, Plan, Vorgangsnummern), Nutzungs- und Leistungsdaten, Zahlungs- und Abrechnungsdaten sowie Kommunikationsinhalte und -historien.

Darüber hinaus verarbeiten wir die Daten zur Wahrung unserer Rechte und zur Erfüllung gesetzlicher Verpflichtungen, insbesondere handels- und steuerrechtlicher Aufbewahrungspflichten und Dokumentationspflichten. Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich, soweit dies zur Vertragserfüllung, zur Wahrung berechtigter Interessen oder zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

• Verarbeitete Datenarten: Bestandsdaten, Zahlungsdaten, Kontaktdaten, Vertragsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten.
• Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Geschäfts- und Vertragspartner.
• Zwecke: Erbringung vertraglicher Leistungen, Sicherheitsmaßnahmen, Kommunikation, Geschäftsprozesse.
• Aufbewahrung: Löschung entsprechend Angaben im Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung".
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

SaaS-Abonnement und Leistungserfüllung: Wir verarbeiten die Daten unserer Werkstatt-Kunden, um ihnen die Auswahl, den Abschluss und die Nutzung eines Wrenchly-Abonnements sowie dessen Abrechnung und die Bereitstellung des Online-Dienstes zu ermöglichen. Für die Abwicklung der Zahlungsvorgänge nehmen wir die Dienste von Stripe in Anspruch (siehe Abschnitt „Zahlungsabwicklung über Stripe"). Die erforderlichen Angaben sind als solche im Rahmen des Bestellvorgangs gekennzeichnet und umfassen die zur Vertragsabwicklung und Abrechnung benötigten Angaben sowie Kontaktinformationen. Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b) DSGVO).

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

• Verarbeitete Datenarten: Nutzungsdaten, Meta-/Kommunikationsdaten, Protokolldaten (Logfiles).
• Betroffene Personen: Nutzer (Webseitenbesucher, Nutzer von Onlinediensten).
• Zwecke: Bereitstellung unseres Onlineangebotes, informationstechnische Infrastruktur, Sicherheitsmaßnahmen.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Bereitstellung Onlineangebot auf eigener/dedizierter Serverhardware: Für die Bereitstellung unseres Onlineangebotes nutzen wir von uns selbst administrierte Serverhardware sowie den damit verbundenen Speicherplatz, die Rechenkapazität und die Software. Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Erhebung von Zugriffsdaten und Logfiles: Der Zugriff auf unser Onlineangebot wird in Form von Server-Logfiles protokolliert. Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Browsertyp und Version, das Betriebssystem, Referrer-URL und in der Regel IP-Adressen und der anfragende Provider gehören. Die Serverlogfiles werden zu Sicherheitszwecken eingesetzt (u. a. zur Vermeidung von Überlastung durch DDoS-Angriffe) und zur Sicherstellung von Auslastung und Stabilität der Server. Logfile-Informationen werden für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen. Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Hetzner Online GmbH: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen. Wir nutzen sowohl Hetzner Cloud (virtuelle Server, auf denen Datenbank, API und Web-Anwendung laufen) als auch Hetzner Object Storage / Storage Boxes für die Speicherung von Fahrzeugfotos und generierten Protokoll-PDFs. Die Server und Storage-Systeme befinden sich ausschließlich in Deutschland (Falkenstein und/oder Nürnberg). Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (zuletzt abgeschlossen am 29.05.2026). Website: www.hetzner.com; Datenschutzerklärung: docs.hetzner.com. Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Unter dem Begriff „Cookies" werden Funktionen verstanden, die Informationen auf Endgeräten der Nutzer speichern und aus ihnen auslesen. Wir setzen Cookies ausschließlich dort ein, wo dies für den Betrieb unseres Onlineangebots unbedingt erforderlich ist (insbesondere zur Aufrechterhaltung der Sitzung nach einer Anmeldung). Es kommen keine Cookies für Tracking, A/B-Testing, Profiling oder Marketing zum Einsatz. Zur aggregierten Reichweitenmessung nutzen wir Plausible Analytics — cookielos und ohne personenbezogene Identifier (siehe Abschnitt „Reichweitenmessung mit Plausible Analytics").

Da wir nur unbedingt erforderliche Cookies setzen, ist eine vorherige Einwilligung der Nutzer nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Die Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f) DSGVO) sowie zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b) DSGVO).

Übersicht der eingesetzten Cookies:

Alle vorgenannten Cookies werden ausschließlich von unserer eigenen Domain gesetzt (First-Party-Cookies), sind HttpOnly, Secure undSameSite=Lax markiert und werden nicht an Drittanbieter übermittelt.

Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-out): Nutzer können das Setzen und Auslesen von Cookies über die Privatsphäre-Einstellungen ihres Browsers steuern oder vollständig unterbinden. Bitte beachten Sie, dass in diesem Fall die Funktionsfähigkeit unseres Onlineangebots eingeschränkt sein kann (insbesondere kann eine Anmeldung dann nicht aufrechterhalten werden).

• Verarbeitete Datenarten: Meta-/Kommunikationsdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern).
• Betroffene Personen: Nutzer.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO), Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO), § 25 Abs. 2 Nr. 2 TDDDG.

Zur aggregierten Messung der Reichweite und Nutzung unserer Marketing-Website (wrenchly.de) setzen wir den Webanalyse-Dienst Plausible Analytics ein. Anbieter ist die Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland (EU). Die Verarbeitung erfolgt ausschließlich auf Servern in der Europäischen Union (Deutschland und Niederlande); ein Drittlandtransfer findet nicht statt.

Cookielos und ohne personenbezogene Identifier: Plausible setzt keine Cookies, speichert keine IP-Adressen in persistierter Form und verwendet keine geräteübergreifenden Identifier. Zur Unterscheidung wiederkehrender Besucher innerhalb desselben Tages wird aus IP-Adresse, User-Agent und einem täglich rotierenden Salt ein flüchtiger Hash gebildet, der nicht persistiert und nicht zu einer Person zurückverfolgt werden kann. Eine Wiedererkennung über mehrere Tage hinweg ist technisch ausgeschlossen.

Verarbeitete Daten: aufgerufene URL, Referrer-URL, Browsertyp und -version, Betriebssystem, ungefährer Standort auf Länderebene (per IP-Lookup, ohne Speicherung der IP), Geräteklasse (Desktop/Tablet/Mobil), Zeitpunkt des Aufrufs.

Da keine personenbezogenen Daten im Sinne des § 25 TDDDG auf dem Endgerät gespeichert oder ausgelesen werden, ist eine vorherige Einwilligung der Nutzer nicht erforderlich. Die Verarbeitung der oben genannten Daten erfolgt auf Grundlage unseres berechtigten Interesses an einer datenschutzfreundlichen, aggregierten Reichweitenmessung zur Verbesserung unseres Online-Angebots.

• Verarbeitete Datenarten: Nutzungsdaten, Meta-/Kommunikationsdaten (in pseudonymisierter, nicht persistierter Form).
• Betroffene Personen: Besucher unserer Marketing-Website.
• Zwecke: Reichweitenmessung, Verbesserung des Onlineangebots, Sicherheitsmaßnahmen (Erkennung anomaler Zugriffsmuster).
• Aufbewahrung: aggregierte Statistiken zeitlich unbegrenzt (keine Personenbeziehbarkeit); Einzel-Ereignisdaten werden nicht persistiert.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Anbieter-Datenschutz: plausible.io/privacy und plausible.io/data-policy

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Name, E-Mail- Adresse, gehashtes Passwort) sowie die Zugehörigkeit zu einer Werkstatt-Organisation.

Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen sowie jener der Nutzer an einem Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, es sei denn, sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht eine gesetzliche Verpflichtung hierzu.

Die Nutzer können über Vorgänge, die für deren Nutzerkonto relevant sind (z. B. technische Änderungen, Passwort-Reset, E-Mail-Verifikation), per E-Mail informiert werden. Die Authentifizierung wird selbst gehostet auf unserer Wrenchly-Infrastruktur betrieben (BetterAuth, Speicherung in unserer PostgreSQL-Datenbank in Deutschland). Es findet keine Übermittlung an externe Identity-Provider statt.

• Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Protokolldaten.
• Betroffene Personen: Nutzer.
• Zwecke: Erbringung vertraglicher Leistungen, Sicherheitsmaßnahmen, Bereitstellung des Onlineangebotes.
• Aufbewahrung: Löschung nach Kündigung des Nutzerkontos (60 Tage), vorbehaltlich gesetzlicher Aufbewahrungspflichten für vertragsbezogene Stammdaten.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Registrierung mit Klarnamen: Aufgrund der vertraglichen Natur unseres Angebots bitten wir die Nutzer, unser Angebot nur unter Verwendung von Klarnamen zu nutzen. Die Nutzung von Pseudonymen ist nicht zulässig.

Profile der Nutzer sind nicht öffentlich: Die Profile der Nutzer sind öffentlich nicht sichtbar und nicht zugänglich.

Löschung von Daten nach Kündigung: Wenn Nutzer ihr Nutzerkonto oder die Werkstatt ihren Vertrag gekündigt haben, werden die zugehörigen Nutzungsdaten vorbehaltlich gesetzlicher Aufbewahrungspflichten innerhalb von 60 Tagen automatisch gelöscht. Signierte Annahmeprotokolle (PDFs) bleiben aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten erhalten.

Bei der Kontaktaufnahme mit uns (z. B. per E-Mail oder Telefon) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist. Wir nutzen diese Daten ausschließlich für den angegebenen Zweck der Kontaktaufnahme und Kommunikation.

• Verarbeitete Datenarten: Kontaktdaten, Inhaltsdaten, Meta-/Kommunikationsdaten.
• Betroffene Personen: Kommunikationspartner.
• Zwecke: Kommunikation, Organisations- und Verwaltungsverfahren.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Im Rahmen der digitalen Fahrzeugannahme werden Fotos des Fahrzeugs erstellt. Diese können personenbezogene Daten enthalten — insbesondere das KFZ-Kennzeichen, in Einzelfällen auch Personen, die unbeabsichtigt im Hintergrund einer Aufnahme erfasst werden. Verantwortlich für die Erhebung dieser Fotos ist die jeweilige Werkstatt, die unseren Dienst nutzt; Wrenchly verarbeitet diese Daten im Auftrag der Werkstatt als Auftragsverarbeiter (Art. 28 DSGVO).

Automatische Kennzeichen-Anonymisierung: Vor der Speicherung im ausgelieferten Annahmeprotokoll werden alle Fotos automatisiert anonymisiert. KFZ-Kennzeichen werden mittels eines lokal auf unseren Servern in Deutschland betriebenen Erkennungsmodells unkenntlich gemacht (Pixelung). Die ursprünglichen, nicht-anonymisierten Aufnahmen verlassen unser Storage-System nicht über die öffentliche API und sind ausschließlich der ausstellenden Werkstatt zugänglich.

Speicherorte und -fristen: Alle Bildverarbeitungs- und Speichervorgänge erfolgen ausschließlich auf Servern in Deutschland (Hetzner Falkenstein). Die ursprünglichen Rohaufnahmen werden 90 Tage nach Abschluss des Annahmeprotokolls automatisch gelöscht. Die im signierten Protokoll-PDF eingebetteten anonymisierten Aufnahmen bleiben gemäß handels- und steuerrechtlicher Aufbewahrungspflicht für 10 Jahre erhalten (§ 147 AO, § 257 HGB).

Nutzung anonymisierter Annotationsdaten zur Modellverbesserung: Soweit der Endkunde im Rahmen der Annahme dem ausdrücklich zustimmt (Art. 6 Abs. 1 lit. a) DSGVO), nutzen wir anonymisierte Annotationsdaten (Schadenstyp, Position auf dem Fahrzeug, Schweregrad — ohne direkten Personen-, Fahrzeug- oder Kennzeichenbezug) zur Verbesserung unserer automatischen Schadenserkennung. Diese Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar.

• Verarbeitete Datenarten: Bilddaten von Fahrzeugen, Schadens-Annotationen, Metadaten (Erstellzeit, Geräte-ID).
• Betroffene Personen: Endkunden der Werkstätten (Fahrzeughalter), ggf. unbeabsichtigt im Hintergrund erfasste Dritte.
• Zwecke: Erstellung und Bereitstellung des Annahmeprotokolls, Beweissicherung des Fahrzeugzustands zum Annahmezeitpunkt, optional Verbesserung automatischer Schadenserkennung.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO) zwischen Werkstatt und Endkunde; Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO) an Beweissicherung; Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) für die Trainings-Nutzung.

Für die Abwicklung von Zahlungen im Zusammenhang mit unseren SaaS-Abonnements nutzen wir den Zahlungsdienstleister Stripe. Anbieter ist innerhalb des Europäischen Wirtschaftsraums die Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Mutterkonzern ist die Stripe, Inc., San Francisco, USA.

Bei einem Zahlungsvorgang werden insbesondere Name, Anschrift, Rechnungsdaten und Zahlungsmittel-Informationen (z. B. Kreditkartendaten oder SEPA-Mandatsdaten) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst speichern keine vollständigen Zahlungsmittel-Daten; in unserer Datenbank werden lediglich die zugehörigen Stripe- Kennungen (Customer-ID, Subscription-ID) sowie aggregierte Abrechnungsdaten (Rechnungsnummer, Betrag, Status) gespeichert.

Stripe ist nach dem EU-US Data Privacy Framework zertifiziert. Soweit Daten an die Konzernmutter in den USA übermittelt werden, geschieht dies auf Grundlage des EU-US-DPF-Angemessenheitsbeschlusses (Art. 45 DSGVO) sowie zusätzlich auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO. Mit Stripe besteht ein Auftragsverarbeitungsvertrag.

• Verarbeitete Datenarten: Bestandsdaten, Zahlungsdaten, Kontaktdaten, Vertragsdaten, Meta-/Kommunikationsdaten.
• Betroffene Personen: Werkstatt-Kunden, Vertragspartner.
• Zwecke: Abwicklung von Zahlungen, Erfüllung vertraglicher Pflichten, Betrugsprävention.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Anbieter-Datenschutz: stripe.com/de/privacy

Zum Versand von vertragsbezogenen Auth-E-Mails (E-Mail-Verifikation, Passwort-Reset, Bestätigung von E-Mail-Änderungen, Benachrichtigungen zu sicherheitsrelevanten Vorgängen) nutzen wir den Dienst Resend. Anbieter ist die Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Die Datenverarbeitung erfolgt ausschließlich in der EU-Region (Irland); ein Transfer personenbezogener Daten in Drittländer findet im Rahmen der Mailversand-Vorgänge nicht statt. Verarbeitet werden die E-Mail-Adresse des Empfängers, der jeweilige E-Mail-Inhalt sowie technische Metadaten (Zustellstatus, Zeitstempel). Mit Resend besteht ein Auftragsverarbeitungsvertrag.

• Verarbeitete Datenarten: Kontaktdaten (E-Mail-Adresse), Inhaltsdaten, Meta-/Kommunikationsdaten.
• Betroffene Personen: Nutzer, Kommunikationspartner.
• Zwecke: Erbringung vertraglicher Leistungen, Sicherheitsmaßnahmen, Kommunikation.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Anbieter-Datenschutz: resend.com/legal/privacy-policy

Wir nutzen die Google Search Console (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse der Auffindbarkeit unserer Website in der Google-Suche und zur Überwachung der technischen Indexierbarkeit. Verarbeitete Daten sind aggregierte und teils anonymisierte Suchanfragen, mit denen Nutzer auf unsere Seite gelangt sind, sowie Klick- und Impressionszahlen. Diese Daten stammen aus dem Such-Index von Google.

Hinweis: Wir setzen im Rahmen der Search Console keine Skripte, Cookies oder Tracking-Pixel ein, die Daten unserer Besucher an Google übertragen. Die Verifikation unserer Domain gegenüber Google erfolgt ausschließlich über statische Methoden (Meta-Tag oder DNS-Eintrag), die keine Datenübertragung beim Aufruf unserer Seite auslösen.

• Verarbeitete Datenarten: Aggregierte/anonymisierte Suchstatistiken; keine personenbezogenen Daten unserer Besucher im Rahmen dieses Dienstes.
• Zwecke: Sichtbarkeit in Suchmaschinen, Optimierung des Onlineangebots.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Anbieter-Datenschutz: policies.google.com/privacy

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Soweit die Begrifflichkeiten gesetzlich definiert sind, gelten deren gesetzliche Definitionen.

• Bestandsdaten: Wesentliche Informationen, die für die Identifikation und Verwaltung von Vertragspartnern, Benutzerkonten und Profilen notwendig sind (Name, Kontaktdaten, Geburtsdatum, Identifikatoren wie Benutzer-IDs).
• Inhaltsdaten: Informationen, die im Zuge der Erstellung, Bearbeitung und Veröffentlichung von Inhalten generiert werden (Texte, Bilder, Videos sowie Metadaten wie Tags, Autoreninformationen, Veröffentlichungsdaten).
• Kontaktdaten: Informationen, die die Kommunikation mit Personen oder Organisationen ermöglichen (Telefonnummern, postalische Adressen, E-Mail-Adressen).
• Meta-, Kommunikations- und Verfahrensdaten: Daten über den Kontext, die Herkunft und Struktur von Daten und Kommunikation (IP-Adressen, Zeitstempel, Identifikationsnummern, beteiligte Personen, Übertragungswege).
• Nutzungsdaten: Daten, die die Interaktion mit digitalen Produkten und Plattformen erfassen (Seitenaufrufe, Verweildauer, Klickpfade, verwendete Gerätetypen).
• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Protokolldaten: Informationen über Ereignisse oder Aktivitäten in einem System (Zeitstempel, IP-Adressen, Benutzeraktionen, Fehlermeldungen).
• Verantwortlicher: Natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Löschen u. v. m.).
• Vertragsdaten: Informationen zur Formalisierung einer Vereinbarung zwischen zwei oder mehr Parteien (Vertragsgegenstand, Laufzeit, Zahlungsbedingungen, Kündigungsrechte).
• Zahlungsdaten: Informationen zur Abwicklung von Zahlungstransaktionen (Bankverbindungen, Kreditkartendaten, Zahlungsbeträge, Transaktionsdaten, Rechnungsinformationen).