Datenschutz

2. Zwecke und Rechtsgrundlagen

• Bereitstellung des Portals und Durchführung des Nutzungsvertrages (Art. 6 Abs. 1 lit. b DSGVO)
• IT-Sicherheit, Stabilität, Fehlerdiagnose und Missbrauchsabwehr (Art. 6 Abs. 1 lit. f DSGVO)
• Erfüllung gesetzlicher Pflichten, z. B. steuer- und handelsrechtliche Vorgaben (Art. 6 Abs. 1 lit. c DSGVO)

3. Verarbeitete Datenkategorien

• Kontodaten: Werkstattname, Name, Benutzername, E-Mail-Adresse, Passwort-Hash
• Werkstattdaten: Planstatus, Limits, Beta-Status, Bestell- und Zahlungsreferenzen
• Fachdaten: Kunden-, Fahrzeug-, Servicehistorie- und Fälligkeitsdaten
• Technische Daten: IP-Adresse, Datum/Uhrzeit, Browser/Client-Informationen, angeforderte URL

4. Registrierung und Benutzerkonten

Bei der Registrierung wird ein Werkstattkonto mit Inhaber-Benutzer angelegt. Weitere Benutzer (Mitarbeiter) werden durch den Inhaber erstellt. Mitarbeiter können ihre Zugangsdaten innerhalb der vorgesehenen Funktionen selbst verwalten.

5. Server-Logfiles

Beim Zugriff auf die Website werden technisch erforderliche Logdaten verarbeitet (z. B. IP-Adresse, Zeitpunkt, angeforderte Ressource, Statuscode). Die Verarbeitung dient der Sicherstellung des Betriebs und der Aufklärung von Sicherheitsvorfällen.

Logdaten werden grundsätzlich kurzzeitig gespeichert und danach gelöscht, sofern keine längere Aufbewahrung zur Missbrauchs- oder Fehleraufklärung erforderlich ist.

6. Cookies und lokale Speicherungen

Nibaa verwendet ausschließlich technisch notwendige Cookies/Speichermechanismen (z. B. Session, Login, CSRF-Schutz). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b/f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG.

Tracking- oder Marketing-Cookies werden derzeit nicht eingesetzt.

7. Monitoring und Fehleranalyse

Für den stabilen Betrieb und die administrative Betreuung werden technische Monitoring- und Sicherheitsinformationen verarbeitet. Dazu gehören insbesondere Login-Zeitpunkte, letzte Aktivität eingeloggter Benutzer, aktive Sessions, IP-Adressen sowie Browser-/Client-Informationen.

Die Verarbeitung dient ausschließlich der Sicherstellung des Betriebs, der Fehleranalyse, der Missbrauchsabwehr sowie dem Support durch berechtigte Administratoren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Eine Nutzung zu Werbe- oder Marketingzwecken findet nicht statt.

Ergänzend kann ein selbst gehostetes Open-Source-Monitoring für Verfügbarkeit und technische Systemüberwachung eingesetzt werden. Dabei werden nur die für Betrieb und Sicherheit erforderlichen Daten verarbeitet.

8. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden nur an Dienstleister weitergegeben, die für Hosting, Wartung oder Betrieb erforderlich sind und vertraglich als Auftragsverarbeiter gebunden sind (Art. 28 DSGVO).

9. Drittlandübermittlungen

Eine Verarbeitung in Staaten außerhalb der EU/des EWR ist nicht beabsichtigt. Sofern im Einzelfall doch erforderlich, erfolgt dies nur unter den gesetzlichen Voraussetzungen (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln).

10. Speicherdauer

Daten werden nur solange gespeichert, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Werkstattdaten können auf Anfrage gelöscht werden, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Session- und Monitoringdaten werden grundsätzlich nur für einen begrenzten Zeitraum gespeichert, soweit sie nicht ausnahmsweise zur Sicherheits- oder Fehleraufklärung länger benötigt werden.

11. Rechte betroffener Personen

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

12. Datensicherheit

Die Übertragung erfolgt verschlüsselt (TLS). Zugriff auf Daten ist rollenbasiert organisiert. Im Anwendungskern erfolgt eine strikte Mandantentrennung über die Workshop-ID.

13. Keine automatisierte Entscheidung

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.