Datenschutzerklärung
Gültig ab: 2026-04-20
Zuletzt aktualisiert: 2026-04-20
Version: 3.0
Verantwortlicher: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands (KvK 92122167).
Datenschutzkontakt: [email protected]
1. Geltungsbereich
Carsu B.V. („Carsu", „wir") betreibt eine SaaS-Plattform für den Kfz-Aftermarket. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten verarbeiten, in Übereinstimmung mit der DSGVO, dem UK GDPR, der ePrivacy-Richtlinie sowie geltendem nationalem Datenschutzrecht. Sie gilt für:
- Plattformnutzer (Werkstattinhaber und deren Mitarbeiter);
- Endkunden dieser Werkstätten, deren Daten über unsere Plattform verarbeitet werden;
- Websitebesucher auf www.carsu.com und app.carsu.com.
Alle Tochtergesellschaften, verbundenen Unternehmen oder Konzerngesellschaften der Carsu B.V., die im Zusammenhang mit unseren Diensten personenbezogene Daten verarbeiten, halten sich an diese Datenschutzerklärung.
2. Unsere Rolle
| Tätigkeit | Rolle von Carsu | Rechtsgrundlage |
|---|---|---|
| Plattformkonto, Rechnungsstellung, Zahlungen | Verantwortlicher | Vertrag (Art. 6 Abs. 1 lit. b DSGVO) |
| Endkundendaten, die über die Plattform verarbeitet werden | Auftragsverarbeiter (Werkstatt ist Verantwortlicher) | Rechtsgrundlage der Werkstatt |
| Nachrichten an Endkunden (WhatsApp, SMS, Viber) | Auftragsverarbeiter | Rechtsgrundlage der Werkstatt |
| Website-Analyse und Cookies | Verantwortlicher | Einwilligung / berechtigtes Interesse |
Sofern Carsu als Auftragsverarbeiter tätig wird, bleibt die Werkstatt für die Rechtmäßigkeit ihrer Verarbeitung verantwortlich, einschließlich der Einholung etwaig erforderlicher Einwilligungen.
3. Verarbeitete Daten
Von Ihnen oder der Werkstatt: Name, E-Mail, Telefon, Firmenname, USt-IdNr., Rechnungsadresse, Kennzeichen, Fahrzeugdaten, Servicehistorie, Termine, Nachrichten, Zahlungskennungen (Kartendaten werden direkt an Stripe übermittelt – wir speichern sie nicht).
Automatisch erfasst: IP-Adresse, Geräte- und Browserdaten, besuchte Seiten, Funktionsnutzung, Sitzungsdauer, Cookies (siehe §10).
4. Rechtsgrundlagen
Wir stützen uns auf Vertrag (Art. 6 Abs. 1 lit. b DSGVO) zur Erbringung des Dienstes, berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheit, Betrugsprävention, Produktverbesserung und Servicekommunikation, Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Marketing und nicht notwendige Cookies sowie rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Steuer-, Buchhaltungs- und Behördenanfragen.
5. Verwendung der Daten
Zum Betrieb und zur Verbesserung der Plattform; zur Zahlungsabwicklung; zum Versand von Nachrichten im Auftrag von Werkstätten; zur Bereitstellung von Support (einschließlich KI-gestützter Übersetzung über Intercom – Intercom verwendet Ihre Daten nicht zum Training seiner Modelle); zur Erstellung anonymisierter aggregierter Erkenntnisse (§7.4); zur Gewährleistung der Sicherheit und zur Betrugsprävention; zur Erfüllung rechtlicher Verpflichtungen; und – ausschließlich mit Ihrer Einwilligung – für Marketingzwecke.
KI-Nutzung. Unsere KI-Funktionen (Intercom-Übersetzung; Anthropic für de-identifizierten operativen Einsatz) entfalten keine rechtlichen oder ähnlich erheblichen Wirkungen auf Sie und stellen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar. Wir stufen unsere KI-Nutzung nach dem EU AI Act als minimales Risiko ein. Sie können der KI-gestützten Übersetzung per E-Mail an [email protected] widersprechen.
6. Kommunikation
Dienstbezogene Nachrichten (Sicherheitshinweise, Rechnungen, Änderungen der Bedingungen) werden auf Grundlage von Vertrag oder berechtigtem Interesse versandt und können nicht abbestellt werden. Marketingkommunikation erfolgt ausschließlich mit Einwilligung und kann jederzeit über den Abmeldelink oder per E-Mail an [email protected] widerrufen werden.
7. Datenweitergabe
7.1 Unterauftragsverarbeiter
Wir setzen die folgenden Unterauftragsverarbeiter auf Grundlage von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Microsoft Azure | Cloud-Infrastruktur | EU (Westeuropa) |
| Stripe | Zahlungen | EU / USA (SCC) |
| WhatsApp Business API (Meta) | Messaging | EU / USA (SCC) |
| Viber (Rakuten) | Messaging | EU / International (SCC) |
| Twilio | SMS-Gateway | EU / USA (SCC) |
| Intercom | Support & KI-Übersetzung | USA (SCC) |
| Anthropic | KI-Dienste (de-identifizierte Daten) | USA (SCC) |
| Mailchimp (Intuit) | E-Mail-Marketing | USA (SCC) |
| Mixpanel | In-App-Produktanalyse | USA (SCC) |
| Cloudflare | CDN, Bot-Abwehr | EU / Global Edge (SCC) |
| Google Ireland Ltd. | Website-Analyse (GA4, GTM) | EU / USA (SCC) |
| Microsoft Ireland Operations Ltd. | Website-UX-Analyse (Clarity) | EU / USA (SCC) |
| Meta Platforms Ireland Ltd. | Werbemessung (Meta Pixel) | EU / USA (SCC) |
| LinkedIn Ireland Unlimited Company | Werbemessung (LinkedIn Insight Tag) | EU / USA (SCC) |
7.2 Änderungen bei Unterauftragsverarbeitern
Wir informieren Plattformnutzer mindestens 30 Tage vor der Beauftragung oder dem Austausch eines Unterauftragsverarbeiters. Die Widerspruchsrechte sind in der Auftragsverarbeitungsvereinbarung in unseren Allgemeinen Geschäftsbedingungen (Anhang A, §A5) geregelt.
7.3 Weitere Empfänger
Wir können personenbezogene Daten an Berufsgeheimnisträger unter Vertraulichkeitspflichten, an Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben, sowie im Zusammenhang mit einer Fusion oder Übernahme (mit vorheriger Ankündigung) weitergeben.
7.4 Anonymisierte Erkenntnisse
Wir können unumkehrbar anonymisierte, aggregierte Erkenntnisse an Branchenpartner weitergeben. Den Empfängern ist es vertraglich untersagt, eine Re-Identifizierung zu versuchen. Da solche Daten nicht dem Anwendungsbereich der DSGVO unterliegen (Erwägungsgrund 26), handelt es sich nicht um eine Übermittlung personenbezogener Daten.
Wir verkaufen keine personenbezogenen Daten.
8. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie das Recht, eine Einwilligung jederzeit zu widerrufen – ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung davon berührt wird. Zur Ausübung Ihrer Rechte senden Sie eine E-Mail an [email protected]. Wir werden Ihre Identität prüfen und innerhalb von 30 Tagen antworten (bei komplexen Anfragen verlängerbar um zwei Monate).
Sofern eine Werkstatt Ihre Daten über unsere Plattform verarbeitet, ist Ihr primärer Ansprechpartner die Werkstatt (als Verantwortlicher). Wir unterstützen sie bei der Bearbeitung Ihrer Anfrage.
9. Internationale Datenübermittlungen
Unsere primäre Infrastruktur befindet sich im EWR. Sofern Daten in Länder außerhalb des EWR oder des Vereinigten Königreichs übermittelt werden, stützen wir uns auf die Standard Contractual Clauses (Beschluss 2021/914) oder das UK IDTA/Addendum, ergänzt durch Verschlüsselung (TLS 1.2+ bei der Übertragung, AES-256 im Ruhezustand) sowie Übermittlungs-Folgenabschätzungen. Datenübermittlungen zwischen EU und UK beruhen auf dem Angemessenheitsbeschluss für das Vereinigte Königreich (erneuert im Juli 2025). Eine Kopie der anwendbaren SCCs können Sie unter [email protected] anfordern.
10. Cookies
Website. Cookies auf www.carsu.com sind in unserer Cookie-Richtlinie beschrieben.
In-App. Wenn Sie in der Carsu-Plattform angemeldet sind, verwenden wir ein Sitzungs-Cookie, ein CSRF-Schutz-Cookie und eine Spracheinstellung (sämtlich unbedingt erforderlich). Wir nutzen Mixpanel für Produktanalysen auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO); Sie können per E-Mail an [email protected] widersprechen. Wir beenden daraufhin die Ereigniserfassung und löschen die zugehörigen Datensätze innerhalb von 30 Tagen. Ein In-App-Opt-out-Schalter ist in Planung.
11. Aufbewahrung
| Daten | Aufbewahrungsdauer | Grund |
|---|---|---|
| Konto- und Profildaten | Abonnement + 12 Monate | Dienstbereitstellung und Exportfenster |
| Rechnungen und Rechnungsstellung | 7 Jahre | Niederländisches / italienisches Steuerrecht |
| Fahrzeug- und Servicedaten | Abonnement + 12 Monate | Dienstbereitstellung |
| Kommunikationsprotokolle | 24 Monate | Dienstleistungserbringung, Streitfälle |
| Support-Tickets | 36 Monate | Qualitätssicherung |
| Analyse-Cookies | Bis zu 13 Monate | Website-Verbesserung |
| Marketing-Cookies | Bis zu 12 Monate | Werbemessung |
| Marketing-Einwilligungsnachweise | Einwilligung + 3 Jahre | Einwilligungsnachweis |
Nach Ablauf der Aufbewahrungsfrist löschen oder anonymisieren wir die Daten unumkehrbar.
12. Sicherheit
Wir wenden technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO an, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, rollenbasierter Zugriffskontrolle nach dem Prinzip der geringsten Rechte, MFA für alle Admin- und Plattformzugänge, regelmäßiger Schwachstellenbewertungen, Zugriffsprotokollierung und dokumentierter Reaktion auf Sicherheitsvorfälle. Wir arbeiten auf SOC 2 Type II und ISO 27001 hin. Verantwortungsvolle Schwachstellenmeldung: security.txt oder [email protected].
13. Datenschutzverletzungen
Wenn eine Verletzung voraussichtlich ein Risiko für Ihre Rechte zur Folge hat, benachrichtigen wir die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) und, bei hohem Risiko, Sie unverzüglich direkt (Art. 34 DSGVO). Sofern Carsu als Auftragsverarbeiter handelt, benachrichtigen wir den Verantwortlichen (die Werkstatt) unverzüglich.
14. Einwohner des Vereinigten Königreichs
Einwohner des Vereinigten Königreichs haben dieselben Rechte wie in §8 beschrieben. Datenübermittlungen zwischen der EU und dem Vereinigten Königreich beruhen auf dem Angemessenheitsbeschluss der EU für das Vereinigte Königreich (erneuert im Juli 2025, gültig bis 2031). Sofern das Datenschutzrecht des Vereinigten Königreichs für dortige Einwohner mit dieser Richtlinie kollidiert, gilt das UK-Recht vorrangig.
15. Kinder
Unsere Dienste sind B2B und richten sich nicht an Kinder. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren (bzw. unter 14 Jahren in Italien gemäß D.Lgs. 101/2018). Sollten wir solche Daten entdecken, löschen wir sie umgehend.
16. Änderungen
Wir aktualisieren diese Richtlinie, wenn sich unsere Praktiken, Technologien oder rechtlichen Verpflichtungen ändern. Wesentliche Änderungen werden per E-Mail oder in der Plattform mindestens 30 Tage im Voraus angekündigt.
17. Beschwerden
Sie können sich bei der niederländischen Datenschutzbehörde Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) – unserer federführenden Aufsichtsbehörde im Rahmen des One-Stop-Shop der DSGVO – oder bei der Datenschutzbehörde in Ihrem EU-Wohnsitzland beschweren. In Deutschland ist die jeweils zuständige Landesdatenschutzbeauftragte bzw. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig; in Österreich die Datenschutzbehörde (DSB). Wir bevorzugen es, wenn Sie sich zunächst an uns unter [email protected] wenden, damit wir versuchen können, Ihr Anliegen direkt zu klären.
18. Verwandte Dokumente
Diese Richtlinie sollte zusammen mit unseren Allgemeinen Geschäftsbedingungen (einschließlich der Auftragsverarbeitungsvereinbarung in Anhang A) und unserer Cookie-Richtlinie.
19. Kontakt
Datenschutz: [email protected]
Recht: [email protected]
Sicherheit: [email protected]
Allgemein: [email protected]
Post: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands