⚠️Entwurf — vor Go-Live anwaltlich prüfen und Platzhalter befüllen.
Dieser Text ist ein strukturierter Entwurf und keine anwaltlich geprüfte Endfassung. Alle mit «…» markierten Werte sind Platzhalter und müssen vor Veröffentlichung durch die tatsächlichen Unternehmensdaten ersetzt werden.
Stand dieser Fassung: «Datum»
Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:
- «Firmenwortlaut lt. Firmenbuch»
- «Straße Hausnummer», «PLZ» «Ort», Österreich
- E-Mail: support@autoslot.at
- Ansprechpartner:in für Datenschutz: «Name / Funktion»
Ein Datenschutzbeauftragter ist «zu bestellen, sofern die Voraussetzungen des Art. 37 DSGVO vorliegen — sonst diesen Punkt streichen».
Übersicht der verarbeiteten Daten
Im Rahmen des Plattformbetriebs verarbeiten wir insbesondere folgende Datenkategorien:
- Konto- und Profildaten: Name, E-Mail-Adresse, Rolle (Kunde/Werkstatt), Werkstattstammdaten, Zugangsdaten.
- Anfrage-/Auftragsdaten: Service-Anfragen, Fahrzeugangaben, Terminwünsche, zugehörige Beschreibungen und Uploads.
- Buchungsdaten: vermittelte Termine, Status, Historie.
- Nachrichten: Kommunikation zwischen Kunde und Werkstatt über die Plattform.
- Zahlungsdaten: bei SEPA-Lastschrift Mandatsdaten, Kontoinhaber und IBAN; bei Kartenzahlung ausschließlich Zahlungstoken/-status des Zahlungsdienstleisters (keine vollständigen Kartendaten in unseren Systemen).
- Bewertungen: abgegebene Bewertungen und Kommentare.
- Server-Logdaten: IP-Adresse, Zeitstempel, aufgerufene Ressource, User-Agent — zur Bereitstellung, Sicherheit und Fehlerdiagnose.
Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen): Kontoführung, Vermittlung, Buchungen, Abwicklung des Werkstatt-Abos.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sicherheit, Missbrauchsvermeidung, Fehleranalyse, Weiterentwicklung der Plattform.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): optionale Analyse und sonstige einwilligungsbedürftige Verarbeitungen, jederzeit widerrufbar.
Auftragsverarbeiter und eingesetzte Dienste
Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Mit allen Genannten ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO erforderlich bzw. abzuschließen. Bei Übermittlungen in Drittländer sind geeignete Garantien (z. B. EU-Standardvertragsklauseln) sicherzustellen.
Supabase
Zweck: Datenbank (Postgres), Authentifizierung, Storage und Realtime-Funktionen.
Standort/Datenlage: Hosting in der EU.
AV-Vertrag gem. Art. 28 DSGVO erforderlich.
Stripe
Zweck: Zahlungsabwicklung (nur aktiv, wenn Kartenzahlung als Zahlungsart gewählt ist / PAYMENT_PROVIDER=stripe).
Standort/Datenlage: EU/USA.
AV-Vertrag gem. Art. 28 DSGVO erforderlich. «Drittlandtransfer USA — geeignete Garantien (SCC / Angemessenheitsbeschluss) prüfen»
Resend
Zweck: Versand transaktionaler E-Mails (z. B. Bestätigungen, Benachrichtigungen).
Standort/Datenlage: EU/USA.
AV-Vertrag gem. Art. 28 DSGVO erforderlich. «Datenlage und Garantien im AV-Vertrag konkretisieren»
Sentry
Zweck: Erfassung und Analyse technischer Fehler (Error-Monitoring).
Standort/Datenlage: EU/USA.
AV-Vertrag gem. Art. 28 DSGVO erforderlich. «Region und Garantien konkretisieren»
PostHog (EU)
Zweck: Reichweiten-/Nutzungsanalyse, nur nach Einwilligung über den Cookie-Banner.
Standort/Datenlage: EU-Instanz (PostHog EU Cloud).
AV-Vertrag gem. Art. 28 DSGVO erforderlich.
Hosting (Exoscale / AWS)
Zweck: Betrieb der Server-Infrastruktur, auf der die Anwendung läuft.
Standort/Datenlage: EU (Exoscale) bzw. gewählte AWS-Region.
AV-Vertrag gem. Art. 28 DSGVO erforderlich. «tatsächlich genutzten Hosting-Anbieter und Region angeben»
Cookies und Einwilligung
Wir verwenden technisch notwendige Cookies für Login und Session (Supabase Auth). Die Bestätigung des Cookie-Hinweises wird lokal im Browser (localStorage) gespeichert. Optionale Analyse (PostHog EU) wird ausschließlich nach Ihrer Einwilligung über den Cookie-Banner aktiviert. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Details und die Einstellungsmöglichkeiten finden Sie im Cookie-Banner der Website.
Speicherdauer und Löschung (Soft-Delete)
Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke oder zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. Konten und zugehörige Inhalte werden bei Löschung zunächst per Soft-Delete deaktiviert und anschließend nach Ablauf der Aufbewahrungsfristen endgültig entfernt bzw. anonymisiert. Handels- und steuerrechtlich relevante Belege werden für «7 Jahre (bzw. gesetzliche Frist)» aufbewahrt.
Ihre Rechte als betroffene Person
Sie haben nach der DSGVO insbesondere folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
Einen maschinenlesbaren Export Ihrer Daten (JSON) stellen wir als DSGVO-Self-Service unter /api/gdpr/export bereit. Für alle weiteren Anliegen wenden Sie sich bitte an support@autoslot.at.
Beschwerderecht
Unbeschadet eines anderweitigen Rechtsbehelfs haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In Österreich ist dies die Österreichische Datenschutzbehörde:
- Österreichische Datenschutzbehörde
- Barichgasse 40–42, 1030 Wien
- Web: www.dsb.gv.at
Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung oder der Rechtslage dies erforderlich machen. Es gilt jeweils die auf dieser Seite veröffentlichte Fassung.