DATENSCHUTZERKLÄRUNG

1. Name und Kontaktdaten des Verantwortlichen

GOTT WALD HOLDING LLC
Maseli Street N2a, Office N201
0131 Tbilisi, Georgien
Vertretungsberechtigt: Mathias Gottwald (Director)
E-Mail: office@gottwald.world

2. Kein Datenschutzbeauftragter

Die Plattform unterhält keinen Datenschutzbeauftragten gemäß Art. 37 DSGVO, da die gesetzlichen Schwellenwerte derzeit nicht überschritten werden. Datenschutzanfragen sind an office@gottwald.world zu richten.

3. Allgemeine Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage gesetzlicher Bestimmungen (DSGVO, BDSG). In dieser Datenschutz­erklärung informieren wir über Umfang, Zweck und Rechtsgrundlage der Verarbeitung.

4. Aufruf der Webseite — Server-Log-Dateien

Bei jedem Aufruf werden automatisch Daten in Server-Log-Dateien gespeichert (IP-Adresse, Datum/Uhrzeit, abgerufene URL, User-Agent, Referrer). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer Plattform). Speicherdauer: 14 Tage, anschließend automatische Löschung. Kein Profiling.

5. Kontaktaufnahme

Bei Kontakt per E-Mail oder Formular werden die übermittelten Daten (Name, E-Mail, Anliegen) zur Bearbeitung der Anfrage gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) bzw. Art. 6 Abs. 1 lit. f DSGVO. Daten werden nach Erledigung gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

6. KI-Konfigurator (Anthropic Claude API)

Der Fahrzeug-Konfigurator nutzt die Programmierschnittstelle von Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA (Modell: claude-opus-4-7). Eingaben des Nutzers werden zur Erzeugung der KI-Antwort an Anthropic-Server in den USA übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Konfigurators).

Drittland-Übermittlung (Art. 44 ff. DSGVO): Die Übermittlung erfolgt in die USA. Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert und setzt ergänzend die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Durchführungsbeschluss (EU) 2021/914 ein. Der konkrete Auftragsverarbeitungsvertrag (DPA) mit Anthropic kann auf Anfrage zur Einsichtnahme bereitgestellt werden.

Wir empfehlen, im Konfigurator keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) einzugeben.

Speicherdauer: Konversationen werden bis zur Auftragserstellung gespeichert; danach im Rahmen der Auftragsdaten archiviert (siehe Punkt 7) bzw. bei Nicht-Auftrag nach 30 Tagen gelöscht.

7. Auftragsanfragen und Vermittlungsvertrag

Bei Anforderung eines Premium-Angebots erheben wir: Vor- und Nachname, E-Mail, Telefon, Adresse, Konfiguration, AGB-/Widerrufs- einwilligung, Auftragsdatum.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Daten werden bei Auftragserteilung an die Partnerwerkstatt weitergegeben (siehe Punkt 9). Speicherdauer: bis Vertragsabwicklung plus gesetzliche Aufbewahrungsfristen.

7a. Konfigurator-Magic-Link (Konzept speichern)

Wenn Sie ein Konzept im Konfigurator zwischenspeichern, erheben wir E-Mail-Adresse, optional Vorname, sowie den vollständigen Konversationsverlauf. Aus diesen Daten generieren wir einen Token-basierten Wieder-Aufnahme-Link, der per E-Mail versendet wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung über Consent-Checkbox). Der Token läuft nach 30 Tagen ab; der Konzept-Eintrag bleibt anschließend bis zur Auftragserstellung im Entwurf-Status oder wird auf Anfrage gelöscht.

7b. Newsletter „Werkstatt-Tagebuch"

Wenn Sie sich für unseren Newsletter anmelden, erheben wir E-Mail- Adresse, optional Vorname, IP-Adresse zur Anmelde-Dokumentation, Datum/Zeitstempel und User-Agent. Der Versand erfolgt mit Double- Opt-In über Brevo (siehe Punkt 8).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Sie können die Einwilligung jederzeit per Ein-Klick-Abmelde-Link widerrufen. IP-Adresse und User-Agent werden ausschließlich zur Anmelde-Dokumentation erhoben (Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO) und nicht zu Tracking-Zwecken verwendet.

Speicherdauer: Bei abgemeldeten Adressen bleibt der Eintrag mit Status „unsubscribed" als Audit-Nachweis bestehen. Bei Pending-Anmeldungen ohne Bestätigung erfolgt automatische Löschung nach 14 Tagen.

8. E-Mail-Versand über Brevo

Wir nutzen Brevo (Sendinblue SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich) zum Versand transaktionaler E-Mails (Auftragsbestätigungen, Premium-Angebote als PDF). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Auftragsverarbeitungsvertrag liegt vor. Die Datenverarbeitung findet in der EU statt. E-Mail-Authentifizierung erfolgt mittels SPF, DKIM und DMARC für die Domain gottwald.world.

9. Weitergabe an den Werkstatt-Partner

Im Rahmen des Vermittlungsmodells werden die zur Auftragsdurchführung erforderlichen Daten (Name, Anschrift, E-Mail, Telefon, Konfiguration) an die Partnerwerkstatt in Mittelfranken weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Die Werkstatt verarbeitet die Daten in eigener Verantwortung gemäß ihrer Datenschutzerklärung.

10. Hosting und Datenbank

Die Plattform wird gehostet bei:

• Vercel Inc. (340 S Lemon Ave #4133, Walnut CA 91789, USA), Server-Standort: EU/Frankfurt am Main
• Datenbank: Supabase, Inc. (970 Toa Payoh North #07-04, Singapore 318992), Server-Standort: EU/Frankfurt am Main

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. AVV liegt jeweils vor.

11. Cookies — technisch notwendig und einwilligungsbasiert

Die Plattform unterscheidet zwei Arten von Cookies und vergleichbaren Speichertechniken:

• Pflicht (immer aktiv): Technisch notwendige Session-Cookies (z. B. Konfigurator-Session, Admin-Authentifizierung, Cookie-Banner-Entscheidung im localStorage). Diese sind gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei.
• Analyse (nur nach Opt-in): Google Analytics 4 (siehe Punkt 11b) — feuert ausschließlich, wenn du im Cookie-Banner „Akzeptieren" oder die Analyse-Kategorie aktiv geschaltet hast.
• Marketing: Aktuell nicht aktiv. Reserviert für spätere Einbindungen, die ebenfalls nur nach Opt-in feuern würden.

Widerruf jederzeit möglich: Über den Link „Cookie-Einstellungen" im Footer kannst du deine Entscheidung jederzeit ändern. Die Speicherdauer der Banner-Entscheidung beträgt 12 Monate; danach fragen wir erneut.

11a. Web-Analyse über Vercel Analytics (cookieless)

Zur Messung von Seitenaufrufen, Top-Routen und Lade-Zeiten setzen wir Vercel Analytics und Vercel Speed Insights (Vercel Inc.) ein. Beide Dienste arbeiten ausdrücklich cookieless und ohne personenbezogene Identifikatoren — es werden keine nutzerspezifischen Profile gebildet.

Erhoben werden ausschließlich aggregierte Metriken: anonymisierte IP-Adressen-Hashes (für Geo-Kategorisierung auf Land-Ebene), anonymisierte Geräte-Hashes (zur Unterscheidung von Unique Visits pro Tag), Lade-Zeiten der Web Vitals (LCP, INP, CLS).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, schneller Plattform). Da keine Cookies und keine personenbezogenen Identifikatoren gesetzt werden, ist § 25 TDDDG nicht einschlägig — eine Einwilligungspflicht besteht nicht.

Datenverarbeitung erfolgt durch Vercel Inc., AVV liegt vor. EU-Server-Standort. Speicherdauer der aggregierten Metriken 90 Tage.

11b. Google Analytics 4 (einwilligungsbasiert)

Sofern du der Cookie-Kategorie „Analyse" im Cookie-Banner zugestimmt hast, setzen wir Google Analytics 4 (GA4) ein, um anonymisiert zu messen, welche Seiten besucht werden, wie lange sie betrachtet werden und über welche Quellen Besucher die Plattform erreichen.

• Mess-ID: G-P38FDS3L1E
• Anbieter (Auftragsverarbeiter): Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Mutter­konzern: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
• Erhobene Daten: Anonymisierte IP-Adresse (durch aktiviertes anonymize_ip wird das letzte Oktett vor jeder Speicherung gekürzt), pseudonyme Geräte- und Sitzungs-IDs in GA4-Cookies (_ga, _ga_*), Seitenaufrufe, Verweildauer, Referrer, ungefähre Region (Land/Stadt-Ebene), Geräte- und Browser-Informationen.
• Speicherdauer in deinem Browser: bis zu 24 Monate (GA4-Standard). Du kannst die Cookies jederzeit über deinen Browser oder den Footer-Link „Cookie-Einstellungen" löschen.
• Speicherdauer bei Google: 14 Monate (kürzeste GA4-Einstellung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (ausdrückliche Einwilligung über das Cookie-Banner). Ohne Einwilligung wird kein GA4-Cookie gesetzt und kein Mess-Ping an Google gesendet — die Plattform setzt für diesen Zweck den Google Consent Mode v2 mit Default-Status „denied" ein.

Drittland-Übermittlung (Art. 44 ff. DSGVO): Auftragsverarbeiter ist Google Ireland Ltd. (EU). Eine Übermittlung an die Konzernmutter Google LLC in den USA ist nicht ausgeschlossen. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend kommen die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 zur Anwendung. Auftrags­verarbeitungs­vertrag gemäß Art. 28 DSGVO liegt vor (Google Ads Data Processing Terms).

IP-Anonymisierung: Wir aktivieren in der GA4-Konfiguration anonymize_ip; die IP-Adresse wird vor jeder Speicherung in den USA gekürzt. Eine Re-Identifikation einzelner Personen ist auf dieser Basis nicht möglich.

Widerruf der Einwilligung: Du kannst deine Einwilligung jederzeit über den Footer-Link „Cookie-Einstellungen" widerrufen. Der Widerruf wirkt für die Zukunft; die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt (Art. 7 Abs. 3 DSGVO). Alternativ kannst du das offizielle Browser-Add-on zur Deaktivierung von Google Analytics installieren.

12. Rechte der Betroffenen

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird

Anfragen richten Sie bitte an: office@gottwald.world

13. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). In Deutschland ist die zuständige Aufsichtsbehörde diejenige des Bundeslandes Ihres Wohnsitzes. Eine Übersicht finden Sie unter: bfdi.bund.de/DE/Service/Anschriften/anschriften-node.html

14. Aktualität und Änderung dieser Datenschutzerklärung

Stand: Mai 2026. Wir behalten uns vor, die Datenschutzerklärung anzupassen, soweit dies aufgrund neuer Rechtsvorschriften oder Änderungen unserer Dienstleistungen erforderlich wird. Die jeweils aktuelle Fassung kann jederzeit auf der Webseite eingesehen werden.

15. Teilemarkt — Verarbeitung von Profil- und Anbieterdaten

Im Rahmen des Teilemarkts (URL: /kreislauf) verarbeiten wir folgende personenbezogene Daten:

• Bei Registrierung: E-Mail, Passwort (gehasht)
• Bei Profil-Anlage: Anzeigename, Region, PLZ-Bereich (2 Ziffern), Spezialgebiete, Profil-Text, Kontakt-E-Mail, optional Telefon
• Bei Verifikations-Antrag: gegebenenfalls Gewerbenachweis (in späterer Phase)
• Verkäufer-Profile sind öffentlich auf der Plattform einsehbar
• Foto-Anhänge im Käufer-Verkäufer-Chat (Phase T10): Im Konversations-Chat können Fotos (max. 4 pro Nachricht, max. 5 MB pro Foto) angehängt werden. Diese werden in privatem Storage (Frankfurt, EU) gespeichert und sind ausschließlich für die beiden Konversations-Teilnehmer per signierter URL (24 h gültig) zugänglich. Fotos werden 36 Monate nach Konversations-Ende automatisch gelöscht und nicht für KI-Training verwendet. Bei Missbrauchs-Meldung kann ANALOG WERKE die Fotos zur Streitbeilegung einsehen. Nutzer sind verantwortlich für die rechtmäßige Übermittlung der Fotos und dürfen keine Bilder senden, an denen sie keine Rechte haben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: für die Dauer der Mitgliedschaft. Bei Konto-Löschung werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Im Rahmen des Plattformen-Steuertransparenzgesetzes (PStTG) sind wir verpflichtet, ab bestimmten Schwellenwerten (30 Verkäufe oder 2.000 € Umsatz pro Jahr) Verkäuferdaten an das Bundeszentralamt für Steuern zu melden.

Sprach-Anlage (optional): Beim Anlegen eines Teils kann der Verkäufer eine Sprachaufnahme erstellen. Dabei verarbeiten wir folgende Daten:

• Live-Transkription erfolgt im Browser via Web Speech API. Je nach Browser kann die Sprache zur Erkennung an den Browser-Hersteller (z. B. Google bei Chrome, Apple bei Safari) übermittelt werden. Die genauen Datenflüsse unterliegen den Datenschutz-Erklärungen des Browser-Herstellers. Vor jeder Aufnahme wird die Browser-Permission abgefragt.
• Audio-Datei: Die Original-Aufnahme wird zusätzlich in unserem privaten Storage (Supabase, Frankfurt EU) gespeichert — nur der Verkäufer selbst hat Zugriff. Empfohlene Lösch-Frist: 90 Tage nach Upload (Audit-Zweck).
• Transkript-Text: Der finale, vom Verkäufer bestätigte Text wird gemeinsam mit dem Inserat in der Datenbank gespeichert. Er wird zusammen mit den Fotos an Anthropic übermittelt zur strukturierten Felderkennung (siehe Punkt 6).

Du kannst die Aufnahme jederzeit abbrechen, verwerfen oder die Sprach-Funktion ganz überspringen — die manuelle Anlage bleibt immer verfügbar.

Käufer-Verkäufer-Chat: Im Rahmen des In-Plattform-Chats speichern wir den Nachrichtenverlauf zwischen Käufer und Verkäufer. Diese Daten dienen

• der Vermittlungsfunktion der Plattform,
• dem Streitbeilegungsverfahren bei Konflikten,
• der Missbrauchserkennung (Spam, Beleidigung, Phishing).

Nachrichten werden 36 Monate nach Ende der Konversation automatisch gelöscht (außer bei laufendem Streitfall). Bei Konto-Löschung werden Nachrichten anonymisiert (Sender wird durch „gelöschter Nutzer" ersetzt) — der Empfänger soll seinen Verlauf weiter sehen können.

Spam-Erkennung erfolgt automatisch durch KI-Analyse (Anthropic, Modell Claude Haiku). Die Nachricht wird zur Bewertung an Anthropic übermittelt; das Ergebnis (Score 0–1) wird zur Entscheidung über Versand der Nachricht herangezogen. Es findet keine inhaltliche Auswertung durch Mitarbeiter statt, außer bei manueller Beschwerde. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam-Schutz und Nutzungssicherheit der Plattform).

E-Mail-Benachrichtigungen über neue Anfragen und Antworten werden über Brevo (Sendinblue, Frankreich/EU) versandt. Frequenz-Limit: max. 1 E-Mail pro Konversation pro Stunde. Opt-Out im Profil.

16. Saved Searches und Match-Benachrichtigungen

Käufer können Suchanfragen speichern und werden per E-Mail benachrichtigt, sobald ein passendes Teil neu eingestellt wird. Wir verarbeiten dafür folgende Daten:

• Original-Suchtext (z. B. „Türgriff Manta links 78")
• KI-interpretierte Strukturfilter (Hersteller, Modell, Bauteil, Position, Baujahr)
• Frequenz-Wahl (sofort / täglich / wöchentlich)
• Match-Tracking: welche Teile angezeigt wurden, ob der Mail-Link geklickt wurde

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — Plattform-Vermittlungsleistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Match-Qualität und Spam-Schutz).

Versand: Mail-Versand erfolgt über Brevo (Sendinblue, Frankreich/EU). Jede Mail enthält einen signierten Abbestell-Link (HMAC-SHA256, 1 Jahr gültig). Du kannst einzelne Suchen oder alle Mail-Benachrichtigungen jederzeit deaktivieren — im Profil unter „Meine Suchen" oder „Einstellungen".

Speicherdauer: Saved Searches und Match-Records bleiben gespeichert, solange das Konto aktiv ist. Match-Records werden zusätzlich nach 12 Monaten automatisch gelöscht. Bei Konto-Löschung werden alle Suchen sofort entfernt.

17. Sprach-Eingabe im Konfigurator

Im Konfigurator kannst du deine Antworten wahlweise tippen oder per Mikrofon einsprechen.

Was passiert technisch: Wenn du den Mikrofon-Button antippst, wandelt dein Browser die Sprache direkt in Text um (Web Speech API). Die Audio-Aufnahme verlässt dein Gerät nicht und wird auch nicht an unsere Server übertragen. Wir verarbeiten ausschließlich den transkribierten Text — exakt wie bei einer normalen Texteingabe über die Tastatur.

Hinweis zum Browser: Manche Browser leiten die Sprache zur Erkennung an einen Cloud-Dienst des Browser-Herstellers weiter (z. B. Google bei Chrome, Apple bei Safari). Das ist eine Eigenschaft deines Browsers, nicht unserer Plattform. Welche Daten dabei wohin fließen, regelt die Datenschutzerklärung deines Browsers.

Speicherdauer: Der per Sprache erzeugte Text wird wie eine normale Tastatur-Eingabe behandelt — die Konfigurator-Konversation läuft in deiner Browser-Session und wird nur dann dauerhaft gespeichert, wenn du am Ende ein Premium-Angebot anforderst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — Konfigurator-Funktion).

Die Sprach-Eingabe ist optional. Alle Konfigurator-Antworten kannst du auch tippen.

18. Demand-Aggregation (Reverse-Match)

Im Rahmen der Phase T8 („Reverse-Match") werden gespeicherte Suchanfragen und Such-Logs aus dem Teilemarkt anonymisiert in Sammelstatistiken überführt. Diese Aggregate erlauben es Verkäufern, die Käufer-Nachfrage in ihrem Spezialgebiet zu sehen und entsprechend Inserate einzustellen.

Anonymisierung: Veröffentlicht werden ausschließlich generalisierte Bauteil-Bezeichnungen und Stückzahlen (z. B. „Türgriff Opel Manta — 12 Käufer suchen"). Es werden keine individuellen Suchen, keine Käufer-Namen, keine Kontaktdaten und keine Standorte einzelner Käufer veröffentlicht.

Mindest-Schwelle: Ein Aggregat erscheint nur dann öffentlich, wenn mindestens 3 unterschiedliche Saved Searches oder 5 Suchanfragen darauf einzahlen. Liegen weniger Datenpunkte vor, bleibt das Aggregat technisch im System, aber nicht öffentlich sichtbar.

Verwendung: Die Aggregate werden auf /kreislauf/gesucht öffentlich gezeigt sowie eingeloggten Verkäufern auf ihrem Profil-Dashboard. Sie fließen außerdem in den wöchentlichen Verkäufer-Digest ein.

Speicherdauer: Die Aggregate werden alle 4 Stunden neu berechnet. Eine Sammelstatistik bleibt nur so lange bestehen, wie aktive Saved Searches oder Such-Logs (letzte 30 Tage) sie stützen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Plattform-Vermittlungsleistung) in Verbindung mit der Anonymisierung der zugrundeliegenden Daten.

19. Bewertungssystem

Käufer und Verkäufer können sich nach Abschluss eines Verkaufs gegenseitig bewerten. Wir verarbeiten dafür folgende Daten:

• Sterne-Bewertungen (1–5) zu spezifischen Verhaltens-Aspekten (Beschreibungs-Übereinstimmung, Versand, Bezahlung, Kommunikation)
• Optionaler Text-Review (max. 500 Zeichen)
• Empfehlungs-Angabe („würde wieder kaufen/verkaufen")
• Reviewer-Profil-Daten (Anzeigename gekürzt auf „Vorname N.", Region) zur öffentlichen Anzeige
• Konversations- und Teil-Bezug zur Verifikation, dass eine reale Transaktion stattgefunden hat

KI-Moderation: Text-Reviews werden vor Veröffentlichung durch Anthropic Claude (Haiku) auf Beleidigungen, Hassrede und rechtswidrige Inhalte geprüft. Beanstandete Reviews bleiben gespeichert, sind aber nicht öffentlich sichtbar (Admin-Moderation).

Doppelblind-Verfahren: Beide Bewertungen werden gleichzeitig sichtbar geschaltet, sobald die Gegenseite ebenfalls bewertet hat — oder spätestens nach 14 Tagen. Das schützt vor Rache-Bewertungen.

Edit-Fenster: Bewertungen sind 24 Stunden nach Erstellung editierbar, danach gefroren (Audit-Integrität). Löschungen sind nicht vorgesehen.

Anonymisierung bei Konto-Löschung: Wenn ein Reviewer-Konto gelöscht wird, wird der Reviewer-Name auf „Gelöschter Nutzer" anonymisiert — die Bewertung selbst bleibt erhalten zur Reputation des Bewerteten.

Reputation-Aggregation: Bewertungen fließen in ein öffentliches Reputation-Aggregat (Durchschnitt, Tier new/bronze/silver/gold/platinum) für jeden bewerteten Nutzer.

Speicherdauer: Bewertungen bleiben unbefristet gespeichert, solange das Konto des Bewerteten besteht (Recht des Bewerteten auf bestehende Reputation).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — Plattform-Vermittlungsleistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Vertrauensbildung und Missbrauchsschutz).

20. Werkstatt-Stammdaten

Im Rahmen des Werkstatt-Netzwerks (Sektion W) verarbeiten wir folgende personenbezogene Daten:

• Beim Antrag: Firmenname, Inhaber-Name, Adresse, Kontakt (E-Mail, Telefon), Spezialisierungen, Beschreibung
• Bei Aufnahme: alle obigen Daten plus Status-Historie, Aufnahme-Notiz, Founder-Status
• Bei Abrechnung: Rechnungs-Anschrift, Umsatzsteuer-ID, Zahlungs-IBAN
• Bei Bildern: hochgeladene Werkstatt-, Portfolio- und Konzept-Bilder

Werkstatt-Profile sind nach Aufnahme öffentlich auf der Plattform einsehbar. Abrechnungs- und IBAN-Daten sind nicht öffentlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung).

21. Pool-Anfragen (Kunden-Daten)

Bei Pool-Anfragen verarbeiten wir Kunden-Name, E-Mail, Telefon, PLZ und Ort, Konfigurations-Daten (Edition, Fahrzeug-Basis, Optionen) sowie den Anliegen-Text. Der Zugriff erfolgt token-basiert ohne Login.

Daten werden ausschließlich an die ausgewählten Pool-Werkstätten übermittelt. Bei Auftrags-Vergabe werden die Daten in den regulären Auftrags-Datensatz übernommen.

Aufbewahrungsdauer: 24 Monate nach Anfrage-Eingang, außer es entsteht ein Auftrag — dann gemäß steuerlichen Aufbewahrungsfristen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

22. Werkstatt-Bewertungen

Bei Werkstatt-Bewertungen verarbeiten wir:

• Sterne-Bewertungen pro Frage (5 Dimensions-Fragen)
• Frei-Text-Kommentar
• Auftrags-Bezug
• Optional: Anzeige als „anonym" — Name wird nicht angezeigt, bleibt aber intern verknüpft

Bewertungen werden auf der Werkstatt-Profil-Seite veröffentlicht. Bei Wahl „anonym": ohne Kunden-Namen.

Aufbewahrungsdauer: dauerhaft, da Bewertungen Teil der öffentlichen Reputation sind. Kunden können Löschung beantragen — die Bewertung wird dann gelöscht, der Aggregat-Score wird neu berechnet.

23. Streit-Fall-Daten

Bei Streit-Fällen verarbeiten wir:

• Beteiligten-Daten (Werkstatt, Kunde, ggf. Plattform)
• Beschreibung des Streits
• Verlauf der Mediation
• Lösung / Ausgang

Aufbewahrungsdauer: 7 Jahre (kaufmännische Aufbewahrungspflichten).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Streit-Dokumentation).

24. Vertragsannahme-Belege

Bei Annahme von Netzwerk-AGB, Provisions-Vertrag und Foto-Nutzungs-Rechten speichern wir:

• IP-Adresse als Hash (SHA-256 mit Plattform-Salt, kein Klartext)
• User-Agent als Hash
• Zeitstempel
• User-ID

Die Hashes dienen ausschließlich dem Beweis der Annahme im Streitfall — keine Profilbildung, keine Wiederherstellbarkeit der Originaldaten.

Stand: Mai 2026 — bei Änderungen wird die Versionsnummer im Footer aktualisiert.