Datenschutzerklärung
Gültig ab: 2026-05-14 Zuletzt aktualisiert: 2026-05-14 Version: 3.1
Verantwortlicher: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Niederlande (KvK 92122167). Datenschutzkontakt: privacy@carsu.com
1. Geltungsbereich
Carsu B.V. („Carsu", „wir") betreibt eine SaaS-Plattform für den Kfz-Aftermarket. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten verarbeiten, in Übereinstimmung mit der DSGVO, dem UK GDPR, der ePrivacy-Richtlinie sowie geltendem nationalem Datenschutzrecht. Sie gilt für:
- Plattformnutzer (Werkstattinhaber und deren Mitarbeiter);
- Endkunden dieser Werkstätten, deren Daten über unsere Plattform verarbeitet werden;
- Websitebesucher auf www.carsu.com und app.carsu.com.
Alle Tochtergesellschaften, verbundenen Unternehmen oder Konzerngesellschaften der Carsu B.V., die im Zusammenhang mit unseren Diensten personenbezogene Daten verarbeiten, halten sich an diese Datenschutzerklärung.
2. Unsere Rolle
| Tätigkeit | Rolle von Carsu | Rechtsgrundlage |
|---|---|---|
| Plattformkonto, Rechnungsstellung, Zahlungen | Verantwortlicher | Vertrag (Art. 6 Abs. 1 lit. b DSGVO) |
| Endkundendaten, die über die Plattform verarbeitet werden | Auftragsverarbeiter (Werkstatt ist Verantwortlicher) | Rechtsgrundlage der Werkstatt |
| Nachrichten an Endkunden (WhatsApp, SMS, Viber) | Auftragsverarbeiter | Rechtsgrundlage der Werkstatt |
| Über OAuth auf Ihre Veranlassung synchronisierte Google-Calendar-Daten | Verantwortlicher | Einwilligung (Art. 6 Abs. 1 lit. a) und Vertrag (Art. 6 Abs. 1 lit. b) |
| Website-Analyse und Cookies | Verantwortlicher | Einwilligung / berechtigtes Interesse |
Sofern Carsu als Auftragsverarbeiter tätig wird, bleibt die Werkstatt für die Rechtmäßigkeit ihrer Verarbeitung verantwortlich, einschließlich der Einholung etwaig erforderlicher Einwilligungen.
3. Verarbeitete Daten
Von Ihnen oder der Werkstatt: Name, E-Mail, Telefon, Firmenname, USt-IdNr., Rechnungsadresse, Kennzeichen, Fahrzeugdaten, Servicehistorie, Termine, Nachrichten, Zahlungskennungen (Kartendaten werden direkt an Stripe übermittelt – wir speichern sie nicht).
Von Google APIs mit Ihrer OAuth-Einwilligung (optionale Kalendersynchronisation): Kalendereinträge, die Sie aus Ihrem Google Calendar importieren möchten, einschließlich Eventtitel, Start- und Endzeit, Ort, Beschreibung, E-Mail-Adressen der Teilnehmer und Wiederholungsmuster. Wir greifen auf diese Daten ausschließlich über die Google-API mit dem Scope calendar.events.readonly zu. Wir erhalten niemals Ihr Google-Passwort und schreiben niemals Events in Ihren Google Calendar zurück. Sie können die Integration jederzeit trennen (siehe §8 und §11).
Automatisch erfasst: IP-Adresse, Geräte- und Browserdaten, besuchte Seiten, Funktionsnutzung, Sitzungsdauer, Cookies (siehe §10).
4. Rechtsgrundlagen
Wir stützen uns auf Vertrag (Art. 6 Abs. 1 lit. b DSGVO) zur Erbringung des Dienstes, berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheit, Betrugsprävention, Produktverbesserung und Servicekommunikation, Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Marketing, nicht notwendige Cookies sowie optionale Integrationen mit Drittanbietern wie der Google-Calendar-Synchronisation, sowie rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Steuer-, Buchhaltungs- und Behördenanfragen.
5. Verwendung der Daten
Zum Betrieb und zur Verbesserung der Plattform; zur Zahlungsabwicklung; zum Versand von Nachrichten im Auftrag von Werkstätten; zur Synchronisation und Anzeige Ihrer Google-Calendar-Events auf der Kalenderseite von Carsu (sofern Sie dies autorisiert haben); zur Bereitstellung von Support (einschließlich KI-gestützter Übersetzung über Intercom – Intercom verwendet Ihre Daten nicht zum Training seiner Modelle); zur Erstellung anonymisierter aggregierter Erkenntnisse (§7.4); zur Gewährleistung der Sicherheit und zur Betrugsprävention; zur Erfüllung rechtlicher Verpflichtungen; und – ausschließlich mit Ihrer Einwilligung – für Marketingzwecke.
KI-Nutzung. Unsere KI-Funktionen (Intercom-Übersetzung; Anthropic für de-identifizierten operativen Einsatz) entfalten keine rechtlichen oder ähnlich erheblichen Wirkungen auf Sie und stellen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar. Wir stufen unsere KI-Nutzung nach dem EU AI Act als minimales Risiko ein. Sie können der KI-gestützten Übersetzung per E-Mail an support@carsu.com widersprechen. Daten, die aus Google APIs stammen, sind von jeglicher KI- und Machine-Learning-Verarbeitung ausgeschlossen (siehe §5a).
5a. Google API Services User Data Policy — Limited Use
Die Nutzung und Weitergabe von Informationen, die Carsu über Google APIs erhält, an andere Apps entspricht der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Konkret nutzen wir Google-Calendar-Daten ausschließlich, um die Kalendersynchronisationsfunktion bereitzustellen und zu verbessern, die für Sie in der Carsu-Plattform sichtbar ist. Wir werden nicht:
- Google-Nutzerdaten an Dritte weitergeben, es sei denn, dies ist erforderlich, um nutzerseitige Funktionen bereitzustellen oder zu verbessern, geltendem Recht nachzukommen oder im Rahmen einer Fusion, Übernahme oder Vermögensveräußerung – mit vorheriger Mitteilung an Sie;
- Google-Nutzerdaten zur Anzeige von Werbung verwenden, einschließlich Retargeting, personalisierter oder interessenbezogener Werbung;
- Google-Nutzerdaten an Dritte, Datenhändler oder Informationswiederverkäufer verkaufen;
- Google-Nutzerdaten verwenden, um allgemeine oder nicht personalisierte Modelle der künstlichen Intelligenz oder des maschinellen Lernens zu entwickeln, zu verbessern oder zu trainieren.
Der menschliche Zugriff auf Google-Nutzerdaten ist beschränkt auf (a) Fälle, in denen wir Ihre ausdrückliche Einwilligung zur Einsicht in bestimmte Nachrichten, Dateien oder Events erhalten haben; (b) Fälle, in denen dies für Sicherheitsuntersuchungen, Missbrauchsprävention oder zur Einhaltung geltenden Rechts erforderlich ist; (c) Fälle, in denen die Daten gemäß dieser Richtlinie für interne Zwecke aggregiert und anonymisiert wurden; oder (d) Fälle, in denen dies zur Bereitstellung von Kundensupport auf Ihre ausdrückliche Anfrage hin erforderlich ist.
6. Kommunikation
Dienstbezogene Nachrichten (Sicherheitshinweise, Rechnungen, Änderungen der Bedingungen) werden auf Grundlage von Vertrag oder berechtigtem Interesse versandt und können nicht abbestellt werden. Marketingkommunikation erfolgt ausschließlich mit Einwilligung und kann jederzeit über den Abmeldelink oder per E-Mail an privacy@carsu.com widerrufen werden.
7. Datenweitergabe
7.1 Unterauftragsverarbeiter
Wir setzen die folgenden Unterauftragsverarbeiter auf Grundlage von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Microsoft Azure | Cloud-Infrastruktur | EU (Westeuropa) |
| Stripe | Zahlungen | EU / USA (SCC) |
| WhatsApp Business API (Meta) | Messaging | EU / USA (SCC) |
| Viber (Rakuten) | Messaging | EU / International (SCC) |
| Twilio | SMS-Gateway | EU / USA (SCC) |
| Intercom | Support & KI-Übersetzung | USA (SCC) |
| Anthropic | KI-Dienste (de-identifizierte Daten) | USA (SCC) |
| Mixpanel | In-App-Produktanalyse | USA (SCC) |
| Cloudflare | CDN, Bot-Abwehr | EU / Global Edge (SCC) |
| Google Ireland Ltd. | Website-Analyse (GA4, GTM) | EU / USA (SCC) |
| Microsoft Ireland Operations Ltd. | Website-UX-Analyse (Clarity) | EU / USA (SCC) |
| Meta Platforms Ireland Ltd. | Werbemessung (Meta Pixel) | EU / USA (SCC) |
| LinkedIn Ireland Unlimited Company | Werbemessung (LinkedIn Insight Tag) | EU / USA (SCC) |
Google LLC ist zudem eine vorgelagerte Datenquelle (kein Unterauftragsverarbeiter), wenn Sie die optionale Google-Calendar-Integration autorisieren. Die Daten fließen von Google zu Carsu auf Grundlage Ihrer OAuth-Einwilligung und unterliegen den §3, §5 und §5a dieser Richtlinie. Kalenderdaten werden nicht an einen der oben aufgeführten Unterauftragsverarbeiter weitergegeben.
7.2 Änderungen bei Unterauftragsverarbeitern
Wir informieren Plattformnutzer mindestens 30 Tage vor der Beauftragung oder dem Austausch eines Unterauftragsverarbeiters. Die Widerspruchsrechte sind in der Auftragsverarbeitungsvereinbarung in unseren Allgemeinen Geschäftsbedingungen (Anhang A, §A5) geregelt.
7.3 Weitere Empfänger
Wir können personenbezogene Daten an Berufsgeheimnisträger unter Vertraulichkeitspflichten, an Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben, sowie im Zusammenhang mit einer Fusion oder Übernahme (mit vorheriger Ankündigung) weitergeben.
7.4 Anonymisierte Erkenntnisse
Wir können unumkehrbar anonymisierte, aggregierte Erkenntnisse an Branchenpartner weitergeben. Den Empfängern ist es vertraglich untersagt, eine Re-Identifizierung zu versuchen. Da solche Daten nicht dem Anwendungsbereich der DSGVO unterliegen (Erwägungsgrund 26), handelt es sich nicht um eine Übermittlung personenbezogener Daten. Daten, die aus Google APIs stammen, sind im Rahmen unserer Limited-Use-Verpflichtung von anonymisierten Erkenntnissen ausgeschlossen (§5a).
Wir verkaufen keine personenbezogenen Daten.
8. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie das Recht, eine Einwilligung jederzeit zu widerrufen – ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung davon berührt wird. Zur Ausübung Ihrer Rechte senden Sie eine E-Mail an privacy@carsu.com. Wir werden Ihre Identität prüfen und innerhalb von 30 Tagen antworten (bei komplexen Anfragen verlängerbar um zwei Monate).
Sofern eine Werkstatt Ihre Daten über unsere Plattform verarbeitet, ist Ihr primärer Ansprechpartner die Werkstatt (als Verantwortlicher). Wir unterstützen sie bei der Bearbeitung Ihrer Anfrage.
Google-Calendar-Integration — Widerruf und Löschung. Sie können den Zugriff von Carsu auf Ihr Google-Konto jederzeit widerrufen, indem Sie entweder (a) die Integration in Ihren Carsu-Kontoeinstellungen trennen oder (b) die Carsu-App in Ihrem Google-Konto unter myaccount.google.com/permissions entfernen. Mit dem Widerruf endet jede weitere Synchronisation unverzüglich. Bereits in unseren Servern zwischengespeicherte Kalenderereignisdaten werden innerhalb von 30 Tagen nach der Trennung gelöscht (siehe §11). Für eine sofortige Löschung senden Sie bitte eine E-Mail an privacy@carsu.com.
9. Internationale Datenübermittlungen
Unsere primäre Infrastruktur befindet sich im EWR. Sofern Daten in Länder außerhalb des EWR oder des Vereinigten Königreichs übermittelt werden, stützen wir uns auf die Standard Contractual Clauses (Beschluss 2021/914) oder das UK IDTA/Addendum, ergänzt durch Verschlüsselung (TLS 1.2+ bei der Übertragung, AES-256 im Ruhezustand) sowie Übermittlungs-Folgenabschätzungen. Datenübermittlungen zwischen EU und UK beruhen auf dem Angemessenheitsbeschluss für das Vereinigte Königreich (erneuert im Juli 2025). Eine Kopie der anwendbaren SCCs können Sie unter privacy@carsu.com anfordern.
10. Cookies
Website. Cookies auf www.carsu.com sind in unserer Cookie-Richtlinie beschrieben.
In-App. Wenn Sie in der Carsu-Plattform angemeldet sind, verwenden wir ein Sitzungs-Cookie, ein CSRF-Schutz-Cookie und eine Spracheinstellung (sämtlich unbedingt erforderlich). Wir nutzen Mixpanel für Produktanalysen auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO); Sie können per E-Mail an privacy@carsu.com widersprechen. Wir beenden daraufhin die Ereigniserfassung und löschen die zugehörigen Datensätze innerhalb von 30 Tagen. Ein In-App-Opt-out-Schalter ist in Planung.
11. Aufbewahrung
| Daten | Aufbewahrungsdauer | Grund |
|---|---|---|
| Konto- und Profildaten | Abonnement + 12 Monate | Dienstbereitstellung und Exportfenster |
| Rechnungen und Rechnungsstellung | 7 Jahre | Niederländisches / italienisches Steuerrecht |
| Fahrzeug- und Servicedaten | Abonnement + 12 Monate | Dienstbereitstellung |
| Kommunikationsprotokolle | 24 Monate | Dienstleistungserbringung, Streitfälle |
| Support-Tickets | 36 Monate | Qualitätssicherung |
| Synchronisierte Google-Calendar-Events | Dauer der aktiven Synchronisation + 30 Tage nach Trennung oder Kontolöschung | Dienstbereitstellung; Einhaltung von Limited Use |
| Google-OAuth-Token | Bis Sie die Integration trennen oder den Zugriff unter myaccount.google.com widerrufen | Erforderlich zur Aufrechterhaltung der von Ihnen autorisierten Synchronisation |
| Analyse-Cookies | Bis zu 13 Monate | Website-Verbesserung |
| Marketing-Cookies | Bis zu 12 Monate | Werbemessung |
| Marketing-Einwilligungsnachweise | Einwilligung + 3 Jahre | Einwilligungsnachweis |
Nach Ablauf der Aufbewahrungsfrist löschen oder anonymisieren wir die Daten unumkehrbar. Daten aus Google APIs werden gelöscht, nicht anonymisiert, in Übereinstimmung mit unserer Limited-Use-Verpflichtung.
12. Sicherheit
Wir wenden technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO an, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, rollenbasierter Zugriffskontrolle nach dem Prinzip der geringsten Rechte, MFA für alle Admin- und Plattformzugänge, regelmäßiger Schwachstellenbewertungen, Zugriffsprotokollierung und dokumentierter Reaktion auf Sicherheitsvorfälle. Wir arbeiten auf SOC 2 Type II und ISO 27001 hin. Verantwortungsvolle Schwachstellenmeldung: security.txt oder security@carsu.com.
OAuth-Token für den Zugriff auf Google APIs werden verschlüsselt im Ruhezustand gespeichert und sind ausschließlich für die Plattformkomponenten zugänglich, die die Kalendersynchronisation ausführen.
13. Datenschutzverletzungen
Wenn eine Verletzung voraussichtlich ein Risiko für Ihre Rechte zur Folge hat, benachrichtigen wir die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) und, bei hohem Risiko, Sie unverzüglich direkt (Art. 34 DSGVO). Sofern Carsu als Auftragsverarbeiter handelt, benachrichtigen wir den Verantwortlichen (die Werkstatt) unverzüglich.
14. Einwohner des Vereinigten Königreichs
Einwohner des Vereinigten Königreichs haben dieselben Rechte wie in §8 beschrieben. Datenübermittlungen zwischen der EU und dem Vereinigten Königreich beruhen auf dem Angemessenheitsbeschluss der EU für das Vereinigte Königreich (erneuert im Juli 2025, gültig bis 2031). Sofern das Datenschutzrecht des Vereinigten Königreichs für dortige Einwohner mit dieser Richtlinie kollidiert, gilt das UK-Recht vorrangig.
15. Kinder
Unsere Dienste sind B2B und richten sich nicht an Kinder. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren (bzw. unter 14 Jahren in Italien gemäß D.Lgs. 101/2018). Sollten wir solche Daten entdecken, löschen wir sie umgehend.
16. Änderungen
Wir aktualisieren diese Richtlinie, wenn sich unsere Praktiken, Technologien oder rechtlichen Verpflichtungen ändern. Wesentliche Änderungen werden per E-Mail oder in der Plattform mindestens 30 Tage im Voraus angekündigt.
17. Beschwerden
Sie können sich bei der niederländischen Datenschutzbehörde Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) – unserer federführenden Aufsichtsbehörde im Rahmen des One-Stop-Shop der DSGVO – oder bei der Datenschutzbehörde in Ihrem EU-Wohnsitzland beschweren. In Deutschland ist die jeweils zuständige Landesdatenschutzbeauftragte bzw. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig; in Österreich die Datenschutzbehörde (DSB). Wir bevorzugen es, wenn Sie sich zunächst an uns unter privacy@carsu.com wenden, damit wir versuchen können, Ihr Anliegen direkt zu klären.
18. Verwandte Dokumente
Diese Richtlinie sollte zusammen mit unseren Allgemeinen Geschäftsbedingungen (einschließlich der Auftragsverarbeitungsvereinbarung in Anhang A) und unserer Cookie-Richtlinie gelesen werden.
19. Kontakt
Datenschutz: privacy@carsu.com Recht: legal@carsu.com Sicherheit: security@carsu.com Allgemein: hello@carsu.com Post: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Niederlande