Datenschutzrichtlinie

Diese Übersetzung wird Ihnen zur Vereinfachung zur Verfügung gestellt. Bei Unstimmigkeiten gilt die englische Fassung.

1. Wer wir sind

1.1. Diese Datenschutzrichtlinie erläutert, wie GrowthTurn Marcin Chirowski, in Polen mit NIP 7542694209 registriert, mit Sitz in al. Zwycięstwa 241/13, 81-521 Gdynia ("Carseto", "wir", "uns", "unser"), Ihre personenbezogenen Daten erhebt, verwendet, speichert und teilt, wenn Sie unsere Website carseto.com, mobile Anwendungen und zugehörige Dienste (die "Plattform") nutzen.

1.2. Carseto ist der für Ihre personenbezogenen Daten Verantwortliche gemäß der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO").

1.3. Bei Datenschutzanfragen kontaktieren Sie uns unter: privacy@carseto.com oder schreiben Sie an: Datenschutz, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polen.

2. Welche Daten wir erheben

Wir erheben folgende Kategorien personenbezogener Daten:

2.1. Kontodaten - Name, E-Mail-Adresse, Passwort (gehasht), Telefonnummer (optional), Anzeigename, Profilfoto, Wohnsitzland, bevorzugte Sprache.

2.2. Garage- und Anzeigendaten - von Ihnen angegebene Fahrzeugdetails (Marke, Modell, Jahr, VIN/Rahmennummer, Zustand, Fotos, Servicehistorie, Dokumente), Verkaufspreise, Anzeigenbeschreibungen.

2.3. Identitätsverifizierungsdaten - wenn Sie Ihre Identität verifizieren: amtlicher Ausweis, Handelsregisterauszug, Bankverbindung (für Händler), Selfie zur Identitätsabgleichung. Diese werden nur zur Verifizierung verarbeitet und mit erhöhter Sicherheit gespeichert.

2.4. Kommunikationsdaten - Nachrichten über unser internes Nachrichtensystem, Anfragen, Support-Anfragen, Anzeigenkommentare.

2.5. Transaktionsdaten - Kauf- und Zahlungsunterlagen, Abonnementdetails, Rechnungsadresse, Zahlungsmethoden-Kennung (vollständige Kartennummern speichern wir nicht; diese werden von Stripe gehalten).

2.6. Nutzungsdaten - besuchte Seiten, genutzte Funktionen, Suchanfragen, Geräteinformationen (Browsertyp, Betriebssystem, Bildschirmauflösung), IP-Adresse, Verweisquelle, Sitzungsdauer.

2.7. Cookie- und Tracking-Daten - wie in unserer Cookie-Richtlinie beschrieben, einschließlich Analysedaten, Präferenz-Cookies und Marketing-Kennungen (nur mit Ihrer Einwilligung).

2.8. Drittanbieter-Daten - wenn Anzeigen aus öffentlichen Marktplätzen stammen, können wir öffentlich verfügbare Anzeigeninformationen erheben, einschließlich Fahrzeugbeschreibungen und Verkäuferkontaktdaten, die von Nutzern auf diesen Plattformen veröffentlicht wurden.

3. Wie und warum wir Ihre Daten verwenden

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:
Zweck	Verwendete Daten	Rechtsgrundlage (DSGVO Art. 6)
Kontoerstellung und -verwaltung	Kontodaten	Vertragserfüllung - Art. 6(1)(b)
Bereitstellung des Marktplatzdienstes	Garage-, Anzeigen-, Kommunikationsdaten	Vertragserfüllung - Art. 6(1)(b)
Zahlungsabwicklung	Transaktionsdaten	Vertragserfüllung - Art. 6(1)(b)
Identitätsverifizierung und Betrugsprävention	Verifizierungsdaten, Nutzungsdaten	Berechtigtes Interesse - Art. 6(1)(f)
Trust-Score und Plattformsicherheit	Nutzungsdaten, Kommunikationsdaten	Berechtigtes Interesse - Art. 6(1)(f)
Nachrichtenüberwachung zur Betrugs-/Scam-Erkennung	Kommunikationsdaten	Berechtigtes Interesse - Art. 6(1)(f)
Marktdaten und CCI-Preisindizes	Anzeigendaten (aggregiert/anonymisiert)	Berechtigtes Interesse - Art. 6(1)(f)
Plattform-Analysen und -verbesserung	Nutzungsdaten	Berechtigtes Interesse - Art. 6(1)(f)
Kundensupport	Konto-, Kommunikationsdaten	Vertragserfüllung - Art. 6(1)(b)
Marketing-E-Mails und Newsletter	Kontodaten	Einwilligung - Art. 6(1)(a)
Personalisierte Empfehlungen	Nutzungsdaten, Garage-Daten	Einwilligung - Art. 6(1)(a)
Rechtliche Compliance (Steuerunterlagen, Streitigkeiten)	Transaktions-, Kontodaten	Rechtliche Verpflichtung - Art. 6(1)(c)
Übersetzte Anzeigeninhalte	Anzeigendaten	Berechtigtes Interesse - Art. 6(1)(f)
Dynamische OG-Bilderzeugung für geteilte URLs	Garage-Daten, Anzeigendaten	Berechtigtes Interesse - Art. 6(1)(f)

3.2. Wo wir auf berechtigtes Interesse abstellen, haben wir eine Abwägung durchgeführt und festgestellt, dass unsere Interessen Ihre Rechte und Freiheiten nicht überwiegen. Sie können Einzelheiten unserer Abwägungsprüfungen unter privacy@carseto.com anfordern.

4. Wie wir Ihre Daten teilen

4.1. Mit anderen Nutzern. Wenn Sie eine Anzeige erstellen, sind Ihre Anzeigeninformationen und begrenzte Profilinformationen (Anzeigename, Verifizierungsstatus, Mitglied seit, Antwortzeit) für andere Nutzer sichtbar. Wenn Sie eine Nachricht senden, sind Ihr Anzeigename und der Nachrichteninhalt für den Empfänger sichtbar.

4.2. Dienstleister. Wir teilen Daten mit folgenden Auftragsverarbeitern, die nach unseren Anweisungen handeln:

Anbieter	Zweck	Geteilte Daten	Standort
Supabase (EU-West)	Datenbank-Hosting, Authentifizierung	Alle Plattformdaten	EU (Frankfurt)
Vercel	Website-Hosting und -Auslieferung	Nutzungsdaten, IP-Adressen	Globales CDN (EU-Verarbeitung)
Stripe	Zahlungsabwicklung	Transaktionsdaten, Abrechnungsinfos	EU (Irland)
DeepL	Übersetzung von Anzeigen	Anzeigentextinhalte	EU (Deutschland)
PostHog (geplant)	Analytics	Nutzungsdaten (anonymisiert)	EU (Frankfurt)
Sentry (geplant)	Fehler-Tracking	Technische Fehlerdaten	EU
Emailit	Transaktions- und Marketing-E-Mails	E-Mail-Adresse, Name	EU

4.3. Rechtliche Anforderungen. Wir können Ihre Daten offenlegen, wenn das Gesetz, Vorschriften, Gerichtsverfahren oder behördliche Anfragen es verlangen, einschließlich an Strafverfolgungsbehörden, wenn wir vermuten, dass eine Anzeige ein gestohlenes Fahrzeug oder betrügerische Aktivitäten betrifft.

4.4. Unternehmensübertragungen. Bei Fusion, Übernahme oder Vermögensverkauf können Ihre Daten auf das übernehmende Unternehmen übertragen werden. Wir informieren Sie über jede solche Übertragung und Änderungen der geltenden Datenschutzrichtlinie.

4.5. Aggregierte Daten. Wir können anonymisierte, aggregierte Daten (wie Markttrends und CCI-Preisindizes) mit Dritten teilen. Diese Daten können nicht zur Identifizierung verwendet werden.

4.6. Wir verkaufen Ihre personenbezogenen Daten nicht. Wir teilen Ihre personenbezogenen Daten nicht ohne Ihre ausdrückliche Einwilligung für eigene Marketingzwecke von Dritten.

5. Internationale Datenübermittlungen

5.1. Ihre Daten werden vornehmlich im Europäischen Wirtschaftsraum (EWR) gespeichert und verarbeitet. Unsere Hauptdatenbank wird von Supabase in der Region EU-West (Frankfurt) gehostet.

5.2. Einige unserer Dienstleister können Daten außerhalb des EWR verarbeiten (z. B. bestimmte Vercel-CDN-Edge-Knoten). In solchen Fällen stellen wir geeignete Schutzmaßnahmen sicher, einschließlich: EU-Standardvertragsklauseln (SVK) gemäß Art. 46(2)(c) DSGVO; oder Angemessenheitsbeschlüsse der Europäischen Kommission gemäß Art. 45 DSGVO.

5.3. Sie können unter privacy@carseto.com eine Kopie der von uns für internationale Übermittlungen verwendeten Schutzmaßnahmen anfordern.

6. Datenaufbewahrung

6.1. Wir speichern Ihre personenbezogenen Daten nur so lange, wie für die Erhebungszwecke oder gesetzlich erforderlich nötig.

Datenkategorie	Aufbewahrungsdauer	Grund
Kontodaten	Laufzeit des Kontos + 2 Jahre	Dienstleistung + Streitbeilegungsfrist
Anzeigendaten (aktiv)	Laufzeit der Anzeige + 5 Jahre	Marktdaten, Streitbeilegung
Anzeigendaten (verkauft/abgelaufen)	5 Jahre ab Verkauf/Ablauf	CCI-Preisindex, rechtliche Compliance
Transaktions-/Zahlungsunterlagen	7 Jahre ab Transaktion	Steuer- und Finanzvorschriften
Nachrichten	3 Jahre ab letzter Aktivität	Betrugsprävention, Streitbeilegung
Verifizierungsdokumente	1 Jahr nach erfolgreicher Verifizierung	Regulatorische Compliance
Nutzungs-/Analysedaten	26 Monate (rollierend)	Plattformverbesserung
Marketing-Einwilligungsunterlagen	Laufzeit der Einwilligung + 3 Jahre	Nachweis der Einwilligung
Support-Tickets	3 Jahre ab Lösung	Qualität und Schulung

6.2. Nach der Aufbewahrungsfrist werden Daten sicher gelöscht oder irreversibel für statistische Zwecke anonymisiert.

7. Ihre Rechte

7.1. Gemäß der DSGVO haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

- Auskunftsrecht (Art. 15) - Anforderung einer Kopie der von uns über Sie gespeicherten personenbezogenen Daten.
- Recht auf Berichtigung (Art. 16) - Anforderung der Korrektur unrichtiger oder unvollständiger Daten.
- Recht auf Löschung (Art. 17) - Anforderung der Löschung Ihrer personenbezogenen Daten, wenn kein zwingender Grund zur weiteren Verarbeitung besteht (vorbehaltlich gesetzlicher Aufbewahrungspflichten).
- Recht auf Einschränkung (Art. 18) - Anforderung, die Nutzung Ihrer Daten unter bestimmten Umständen einzuschränken.
- Recht auf Datenübertragbarkeit (Art. 20) - Erhalt Ihrer personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format und Übermittlung an einen anderen Verantwortlichen.
- Widerspruchsrecht (Art. 21) - Widerspruch gegen auf berechtigten Interessen beruhende Verarbeitung, einschließlich Profiling. Bei Direktmarketing haben Sie ein uneingeschränktes Widerspruchsrecht.
- Recht auf Widerruf der Einwilligung - wenn die Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu berühren.

7.2. Zur Ausübung dieser Rechte kontaktieren Sie uns unter privacy@carseto.com. Wir antworten innerhalb eines Monats. Bei komplexen Anfragen kann dies um bis zu zwei weitere Monate verlängert werden; wir informieren Sie über jede Verlängerung.

7.3. Wir berechnen keine Gebühren für die Ausübung Ihrer Rechte, es sei denn, Anfragen sind offensichtlich unbegründet oder überzogen; in diesem Fall können wir eine angemessene Gebühr erheben oder die Bearbeitung ablehnen.

7.4. Wenn Sie mit der Bearbeitung Ihrer Anfrage nicht zufrieden sind, haben Sie das Recht, Beschwerde bei der polnischen Aufsichtsbehörde einzulegen: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polen, https://uodo.gov.pl. Sie können auch bei der Aufsichtsbehörde Ihres Wohnsitzlandes Beschwerde einlegen.

8. Datensicherheit

8.1. Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Dazu gehören:
- Verschlüsselung von Daten während der Übertragung (TLS 1.2+) und im Ruhezustand;
- Row Level Security (RLS) auf allen Datenbanktabellen, begrenzt auf authentifizierte Nutzer;
- Ratenbegrenzung und Bot-Prävention auf allen Endpunkten;
- Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen;
- Zugriffskontrollen, die Mitarbeiterzugriff auf personenbezogene Daten nach dem Need-to-know-Prinzip beschränken;
- Sichere Authentifizierung über Supabase Auth mit Unterstützung für Mehrfaktor-Authentifizierung.

8.2. Obwohl wir Ihre Daten bestmöglich schützen, ist keine elektronische Speicherung oder Übertragung 100 % sicher. Wir können absolute Sicherheit nicht garantieren.

9. Minderjährige

9.1. Die Plattform ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn Sie glauben, dass wir Daten von einem Minderjährigen erhoben haben, kontaktieren Sie uns bitte unter privacy@carseto.com; wir werden diese umgehend löschen.

10. Automatisierte Entscheidungsfindung

10.1. Wir nutzen automatisierte Systeme für Trust-Score, Betrugserkennung und Anzeigenmoderation. Diese Systeme können die Sichtbarkeit Ihrer Anzeigen oder den Kontostatus beeinflussen. Allerdings wird keine automatisierte Entscheidung mit rechtlichen oder ähnlich bedeutsamen Auswirkungen ohne menschliche Kontrolle getroffen.

10.2. Sie haben das Recht, eine menschliche Überprüfung jeder automatisierten Entscheidung anzufordern, die Sie erheblich betrifft.

11. Änderungen dieser Datenschutzrichtlinie

11.1. Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie mindestens 30 Tage vor Inkrafttreten per E-Mail oder durch einen auffälligen Hinweis auf der Plattform.

11.2. Das Datum der letzten Aktualisierung wird oben auf dieser Seite angezeigt.

12. Kontakt

12.1. Bei Fragen zu dieser Datenschutzrichtlinie oder unseren Datenpraktiken kontaktieren Sie uns unter:

- E-Mail: privacy@carseto.com
- Post: Datenschutz, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polen
- Aufsichtsbehörde: UODO, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl

Weitere Informationen finden Sie in unseren Nutzungsbedingungen und der Cookie-Richtlinie.