Datenschutzrichtlinie
Zuletzt aktualisiert: 2026-03-31
1. Einleitung
Willkommen bei CFM - CONTROL FLEET MOTOS ("CFM", "wir", "uns" oder "unser"). Wir verpflichten uns zum Schutz der Privatsphäre und der personenbezogenen Daten unserer Nutzer, Kunden und Website-Besucher. Diese Datenschutzrichtlinie erläutert, wie wir Ihre personenbezogenen Daten erheben, verwenden, speichern, weitergeben und schützen, wenn Sie unsere Flottenmanagement-Plattform und die damit verbundenen Dienste nutzen.
CFM bietet eine cloudbasierte Software-as-a-Service (SaaS)-Plattform, die für Motorrad-Vermietungsunternehmen entwickelt wurde. Unsere Plattform ermöglicht es Flottenbetreibern, ihren Motorradbestand, Mietverträge, Wartungspläne, Finanzunterlagen und Kundenbeziehungen zu verwalten.
Diese Datenschutzrichtlinie gilt für alle personenbezogenen Daten, die über unsere Plattform unter https://fleetmoto.com verarbeitet werden, einschließlich der über unsere Webanwendung und alle damit verbundenen Dienste erhobenen Daten. Durch den Zugang zu oder die Nutzung unserer Plattform bestätigen Sie, dass Sie diese Datenschutzrichtlinie gelesen und verstanden haben.
Wenn Sie Fragen zum Umgang mit Ihren personenbezogenen Daten haben, kontaktieren Sie uns bitte über die in Abschnitt 15 dieser Richtlinie angegebenen Kontaktdaten.
2. Verantwortlicher
Der für die Verarbeitung Ihrer personenbezogenen Daten Verantwortliche ist:
| Firmenname | Jerry Strait |
|---|---|
| Steueridentifikationsnummer (NIF) | 327380136 |
| Eingetragene Anschrift | Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal |
| contact@fleetmoto.com | |
| Telefon | +351 939 048 392 |
| Datenschutzbeauftragter (DSB) | dpo@fleetmoto.com |
Als Verantwortlicher bestimmen wir die Zwecke und Mittel der Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzvorschriften. Wir sind dafür verantwortlich, sicherzustellen, dass alle Verarbeitungstätigkeiten mit der Datenschutz-Grundverordnung (DSGVO) und den portugiesischen Datenschutzgesetzen übereinstimmen.
Für alle Anfragen, Fragen oder Bedenken bezüglich der Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an unseren Datenschutzbeauftragten unter dpo@fleetmoto.com.
3. Rechtsrahmen
Unsere Datenverarbeitungstätigkeiten unterliegen den folgenden Rechtsvorschriften:
- Verordnung (EU) 2016/679 — Datenschutz-Grundverordnung (DSGVO/RGPD): Die grundlegende Verordnung der Europäischen Union zum Datenschutz, die in allen EU-Mitgliedstaaten, einschließlich Portugal, unmittelbar gilt. Sie legt die Rechte der betroffenen Personen und die Pflichten der Verantwortlichen und Auftragsverarbeiter fest.
- Lei n.º 58/2019 vom 8. August — Portugiesisches Datenschutzgesetz: Das nationale Gesetz, das die Durchführung der DSGVO in der portugiesischen Rechtsordnung sicherstellt. Es enthält nationale Abweichungen, die Zuständigkeit der Aufsichtsbehörde und besondere Bestimmungen zur Datenverarbeitung im portugiesischen Kontext.
- Lei n.º 59/2019 vom 8. August — Portugiesisches Gesetz zum elektronischen Datenschutz: Setzt die EU-Richtlinie 2002/58/EG (ePrivacy-Richtlinie) in portugiesisches Recht um und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation, einschließlich Regeln zu Cookies, Direktmarketing und Verkehrsdaten.
- Comissão Nacional de Proteção de Dados (CNPD): Die portugiesische nationale Aufsichtsbehörde für den Datenschutz, eingerichtet gemäß der DSGVO und dem portugiesischen Recht. Die CNPD überwacht und setzt die Einhaltung der Datenschutzvorschriften in Portugal durch.
Wir überprüfen regelmäßig unsere Datenverarbeitungspraktiken, um die fortlaufende Einhaltung dieser Rechtsrahmen und etwaiger nachfolgender Änderungen oder Leitlinien der CNPD, des Europäischen Datenschutzausschusses (EDSA) oder zuständiger Gerichte sicherzustellen.
4. Erhobene Daten
Wir erheben und verarbeiten die folgenden Kategorien personenbezogener Daten, die je nach Ihrer Rolle und Nutzung unserer Plattform variieren:
4.1. Konto- und Identitätsdaten
- Vollständiger Name
- E-Mail-Adresse
- Passwort (sicher gespeichert; wir speichern niemals Passwörter im Klartext)
- Profilbild (falls freiwillig bereitgestellt)
- Benutzerrolle und Berechtigungen innerhalb der Plattform
- Zeitstempel der Kontoerstellung und letzten Anmeldung
- Google-Kontoidentifikator und Profilinformationen (falls Sie sich über Google OAuth anmelden)
4.2. Organisationsdaten
- Organisationsname, Kennung und Logo
- Details zur Organisationsmitgliedschaft und Benutzerrollen
- Einladungsdatensätze (E-Mail des Eingeladenen, Rolle, Status, Ablaufdatum)
4.3. Flotten- und Geschäftsdaten
- Motorrad-Flottendaten: Marke, Modell, Baujahr, Kennzeichen, Fahrgestellnummer (VIN), Farbe, Kilometerstand, Status, Anschaffungsdetails (Datum, Preis, Quelle), Versicherungsinformationen und zugehörige Dokumentation
- Mietdatensätze: Mietverträge, Start-/Enddaten, Preise, Zahlungsstatus, Kundenzuordnungen und Vertragsbedingungen
- Mieterdaten (Kunden): Name, E-Mail, Telefonnummer, Ausweisdaten, Führerscheininformationen, Adresse und Mietverlauf
- Wartungsdatensätze: Serviceart, Datum, Kosten, Kilometerstand bei Wartung, Anbieterinformationen und zugehörige Dokumentation
- Finanzdaten: Buchungseinträge, Transaktionsbeträge, Zahlungskategorien, Einnahmen- und Ausgabenaufzeichnungen sowie steuerrelevante Dokumentation
4.4. Technische und Nutzungsdaten
- IP-Adresse
- Browsertyp und -version
- Betriebssystem
- Gerätetyp und Bildschirmauflösung
- Besuchte Seiten und genutzte Funktionen der Plattform
- Datum und Uhrzeit des Zugriffs
- Verweisende URL
- Sitzungstoken und Authentifizierungsdaten
4.5. Kommunikationsdaten
- Über die Plattform gesendete E-Mails (z. B. Einladungs-E-Mails, Benachrichtigungen)
- Supportanfragen und Korrespondenz
4.6. Zahlungsdaten
- Auswahl des Abonnementplans und Abrechnungszyklus (monatlich/jährlich)
- Zahlungstransaktionskennungen und Rechnungsreferenzen
- Rechnungsadresse (falls angegeben)
- Hinweis: Zahlungskartendaten (Kartennummer, CVV, Ablaufdatum) werden ausschließlich von Stripe, Inc. verarbeitet und niemals auf unseren Servern gespeichert. Wir empfangen und speichern nur Transaktionsbestätigungsdaten, Abonnementstatus und Stripe-Kundenkennungen.
4.7. Sicherheitsverifizierungsdaten
- Cloudflare-Turnstile-Verifizierungstoken und -ergebnisse
- Browser-Fingerabdruckmerkmale zur Bot-Erkennung
- Hinweis: Diese Daten werden von Cloudflare, Inc. ausschließlich zum Zweck der Unterscheidung legitimer Nutzer von automatisierten Bots verarbeitet. Verifizierungstoken sind kurzlebig und werden nicht langfristig gespeichert.
Wir erheben keine besonderen Kategorien personenbezogener Daten (wie rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten oder biometrische Daten), es sei denn, dies ist unbedingt erforderlich und erfolgt mit Ihrer ausdrücklichen Einwilligung.
5. Zweck und Rechtsgrundlage
Wir verarbeiten Ihre personenbezogenen Daten für die folgenden Zwecke, jeweils gestützt auf eine rechtmäßige Grundlage gemäß Artikel 6 Absatz 1 DSGVO:
| Zweck | Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) |
|---|---|
| Bereitstellung und Pflege der CFM-Plattform, einschließlich Benutzerkontoerstellung, Authentifizierung und Sitzungsverwaltung | (b) Vertragserfüllung — Die Verarbeitung ist für die Erfüllung des Dienstleistungsvertrags zwischen Ihnen und CFM erforderlich |
| Verwaltung Ihrer Organisation, einschließlich Teameinladungen, Mitgliedschaftsrollen und Zugriffsberechtigungen | (b) Vertragserfüllung — Erforderlich zur Erbringung des vereinbarten SaaS-Dienstes |
| Verarbeitung von Flottenmanagement-Daten, einschließlich Motorradbestand, Mietverträge, Wartungspläne und Finanzunterlagen | (b) Vertragserfüllung — Kernfunktionalität des von Ihnen abonnierten Dienstes |
| Versand von Transaktions-E-Mails wie Kontoeinladungen, Passwortzurücksetzungen und Systembenachrichtigungen | (b) Vertragserfüllung — Notwendige Kommunikation zur Erbringung des Dienstes |
| Führung von Finanz- und Steuerunterlagen gemäß portugiesischem und EU-Recht | (c) Rechtliche Verpflichtung — Einhaltung portugiesischer Steuer- und Buchhaltungsvorschriften (Código do IRC, Código do IVA und verwandte Vorschriften zur Aufbewahrung von Finanzdokumenten) |
| Gewährleistung der Plattformsicherheit, Betrugsprävention und Untersuchung unbefugter Zugriffe oder Missbrauchs | (f) Berechtigtes Interesse — Unser berechtigtes Interesse am Schutz der Plattform, unserer Nutzer und ihrer Daten vor Sicherheitsbedrohungen |
| Erstellung aggregierter Nutzungsanalysen und Leistungskennzahlen zur Verbesserung der Plattform | (f) Berechtigtes Interesse — Unser berechtigtes Interesse am Verständnis der Plattformnutzung zur Verbesserung der Servicequalität und Zuverlässigkeit |
| Beantwortung von Supportanfragen und Bereitstellung von Kundenbetreuung | (b) Vertragserfüllung und (f) Berechtigtes Interesse — Erforderlich zur Erfüllung unserer Dienstleistungsverpflichtungen und unser Interesse an der Aufrechterhaltung der Kundenzufriedenheit |
| Einhaltung gesetzlicher Verpflichtungen, gerichtlicher Anordnungen oder rechtmäßiger Anfragen von Behörden | (c) Rechtliche Verpflichtung — Verarbeitung zur Einhaltung geltender Gesetze erforderlich |
| Zahlungsabwicklung und Abonnementverwaltung über Stripe, Inc. | (b) Vertragserfüllung — Erforderlich zur Erbringung kostenpflichtiger Dienstleistungen gemäß Abonnementvertrag |
Soweit wir uns auf ein berechtigtes Interesse als Rechtsgrundlage stützen, haben wir eine Abwägung durchgeführt, um sicherzustellen, dass unsere Interessen Ihre Grundrechte und Grundfreiheiten nicht überwiegen. Sie haben das Recht, der Verarbeitung auf Grundlage eines berechtigten Interesses jederzeit zu widersprechen (siehe Abschnitt 7).
Wir verwenden Ihre personenbezogenen Daten nicht für automatisierte Entscheidungsfindung oder Profiling, die rechtliche Auswirkungen auf Sie haben oder Sie in ähnlicher Weise erheblich beeinträchtigen.
6. Aufbewahrungsfristen
Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie es für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es das geltende Recht vorschreibt. Die spezifischen Aufbewahrungsfristen sind wie folgt:
| Datenkategorie | Aufbewahrungsfrist | Begründung |
|---|---|---|
| Konto- und Identitätsdaten | Dauer des aktiven Kontos + 30 Tage nach Löschungsanfrage | Erforderlich für die Diensterbringung und die Kontowiederherstellungsfrist |
| Organisations- und Mitgliedschaftsdaten | Dauer des aktiven Abonnements der Organisation + 90 Tage | Erforderlich für die Diensterbringung und den Datenexportzeitraum |
| Finanz- und Steuerunterlagen (Buchungseinträge, Rechnungen, Transaktionen) | 10 Jahre ab Ende des Geschäftsjahres, auf das sie sich beziehen | Vorgeschrieben durch portugiesisches Steuerrecht (Código do IRC, Art. 123.º; Código do IVA, Art. 52.º) und allgemeine handelsrechtliche Verpflichtungen (Código Comercial, Art. 40.º) |
| Mietverträge und Verträge | 10 Jahre ab Ende des Vertragsverhältnisses | Portugiesische zivilrechtliche Verjährungsfrist für vertragliche Ansprüche (Código Civil, Art. 309.º) und steuerliche Dokumentationsanforderungen |
| Personenbezogene Daten der Mieter (Kunden) | Dauer der Geschäftsbeziehung + 10 Jahre für zugehörige Finanzunterlagen | Gesetzliche Verpflichtungen in Bezug auf Steuerdokumentation und vertragliche Haftung |
| Motorrad-Flottendaten | Dauer des Eigentums/der Verwaltung + 10 Jahre für zugehörige Finanzunterlagen | Erforderlich für die Diensterbringung und die Einhaltung von Finanz-/Steuervorschriften |
| Wartungsdatensätze | Dauer der Fahrzeugverwaltung + 5 Jahre | Erforderlich für Garantieansprüche, Haftung und Flottenmanagement-Historie |
| Serverprotokolle und technische Daten (IP-Adressen, Zugriffsprotokolle) | 6 Monate | Erforderlich für Sicherheitsüberwachung, Vorfalluntersuchung und Betrugsprävention |
| Sitzungs- und Authentifizierungsdaten | Dauer der aktiven Sitzung + 30 Tage | Erforderlich für Sicherheits- und Authentifizierungszwecke |
| Supportkorrespondenz | 3 Jahre ab Lösung | Erforderlich für Servicequalität und Streitbeilegung |
| Zahlungs- und Abonnementdaten | Dauer des Abonnements + 10 Jahre (gesetzliche Buchführungspflicht) | Finanzdatensätze und steuerliche Compliance gemäß geltendem Recht |
Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten sicher gelöscht oder anonymisiert. Anonymisierte Daten, die nicht mehr einer identifizierbaren Person zugeordnet werden können, können unbegrenzt zu statistischen und analytischen Zwecken aufbewahrt werden.
Wenn Sie die Löschung Ihres Kontos beantragen, werden wir Ihre personenbezogenen Daten innerhalb von 30 Tagen löschen oder anonymisieren, mit Ausnahme von Daten, die wir gesetzlich aufbewahren müssen (wie Finanz- und Steuerunterlagen), wie oben dargelegt.
7. Rechte der Betroffenen
Gemäß der DSGVO (Artikel 15 bis 22) und dem portugiesischen Datenschutzrecht haben Sie die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht auf Bestätigung, ob wir Ihre personenbezogenen Daten verarbeiten, und wenn ja, auf Zugang zu diesen Daten zusammen mit Informationen über die Verarbeitungszwecke, die Datenkategorien, die Empfänger, die Aufbewahrungsfristen und die Datenquelle.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen und unvollständige Daten vervollständigen zu lassen.
- Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn: die Daten für ihren ursprünglichen Zweck nicht mehr erforderlich sind; Sie Ihre Einwilligung widerrufen (wenn die Einwilligung die Rechtsgrundlage war); Sie der Verarbeitung widersprechen und keine vorrangigen berechtigten Gründe vorliegen; die Daten unrechtmäßig verarbeitet wurden; oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dieses Recht unterliegt Ausnahmen, einschließlich unserer gesetzlichen Verpflichtung zur Aufbewahrung von Finanz- und Steuerunterlagen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können verlangen, dass wir die Verarbeitung Ihrer Daten unter bestimmten Umständen einschränken, z. B. wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, Sie aber der Löschung widersprechen, wir die Daten nicht mehr benötigen, Sie sie aber für Rechtsansprüche benötigen, oder wenn Sie der Verarbeitung widersprochen haben und die Überprüfung noch aussteht.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten ungehindert an einen anderen Verantwortlichen zu übermitteln, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.
- Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zu widersprechen. Nach Eingang Ihres Widerspruchs werden wir die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden (Art. 22 DSGVO): Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. CFM betreibt derzeit keine solche automatisierte Entscheidungsfindung.
- Recht auf Widerruf der Einwilligung: Soweit wir Ihre Daten auf Grundlage Ihrer Einwilligung verarbeiten, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
Ausübung Ihrer Rechte
Um eines dieser Rechte auszuüben, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter dpo@fleetmoto.com oder schreiben Sie uns an Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal. Wir werden innerhalb eines (1) Monats nach Eingang auf Ihre Anfrage antworten. Diese Frist kann unter Berücksichtigung der Komplexität und Anzahl der Anfragen um weitere zwei (2) Monate verlängert werden. Wir werden Sie über eine solche Verlängerung innerhalb eines Monats nach Eingang der Anfrage informieren.
Wir können einen Identitätsnachweis verlangen, bevor wir Ihre Anfrage bearbeiten, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten. Für die Ausübung Ihrer Rechte erheben wir keine Gebühren, es sei denn, Anfragen sind offensichtlich unbegründet oder übermäßig, in welchem Fall wir eine angemessene Gebühr erheben oder die Bearbeitung der Anfrage ablehnen können.
Wenn Sie der Meinung sind, dass wir Ihre Anfrage nicht angemessen bearbeitet haben, haben Sie das Recht, eine Beschwerde bei der portugiesischen Aufsichtsbehörde (CNPD) einzureichen — siehe Abschnitt 15.
8. Datensicherheit
Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten gegen unbefugten Zugriff, Veränderung, Offenlegung oder Vernichtung, gemäß Artikel 32 der DSGVO. Diese Maßnahmen umfassen unter anderem:
8.1. Technische Maßnahmen
- Verschlüsselung bei der Übertragung: Alle zwischen Ihrem Browser und unseren Servern übertragenen Daten werden mit TLS/HTTPS verschlüsselt.
- Verschlüsselung im Ruhezustand: Die Datenbankspeicherung wird durch unsere Infrastrukturpartner im Ruhezustand verschlüsselt.
- Passwortsicherheit: Benutzerpasswörter werden mit branchenüblichen kryptographischen Algorithmen gehasht und niemals im Klartext gespeichert.
- Sitzungsverwaltung: Sichere Sitzungstoken mit angemessenen Ablaufrichtlinien.
- Datenisolierung: Strikte organisatorische Datentrennung, die sicherstellt, dass jede Organisation nur auf ihre eigenen Daten zugreifen kann.
- Eingabevalidierung: Alle Benutzereingaben werden mittels schemabasierter Validierung überprüft und bereinigt, um Injection-Angriffe zu verhindern.
- Rollenbasierte Zugriffskontrolle: Granulares Berechtigungssystem, das sicherstellt, dass Benutzer nur auf Daten und Funktionen zugreifen können, die für ihre Rolle autorisiert sind.
8.2. Organisatorische Maßnahmen
- Der Zugang zu personenbezogenen Daten ist auf autorisiertes Personal beschränkt, das diese zur Erfüllung seiner Aufgaben benötigt.
- Regelmäßige Sicherheitsbewertungen und Code-Reviews werden durchgeführt.
- Verfahren zur Reaktion auf Vorfälle sind für den Umgang mit Datenschutzverletzungen vorhanden (siehe Abschnitt 12).
- Drittanbieter-Auftragsverarbeiter werden überprüft und durch Auftragsverarbeitungsverträge gebunden (siehe Abschnitt 9).
- Regelmäßige Sicherungskopien werden mit angemessenen Zugriffskontrollen und Verschlüsselung gepflegt.
Obwohl wir umfangreiche Maßnahmen zum Schutz Ihrer Daten ergreifen, ist keine Methode der Übertragung über das Internet oder der elektronischen Speicherung zu 100 % sicher. Wir evaluieren und verbessern kontinuierlich unsere Sicherheitspraktiken, um das höchste Schutzniveau aufrechtzuerhalten.
9. Auftragsverarbeiter
Wir beauftragen die folgenden Auftragsverarbeiter zur Bereitstellung und Unterstützung unserer Plattform. Jeder Auftragsverarbeiter ist durch einen Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 der DSGVO gebunden, und wir haben überprüft, dass sie angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen.
| Auftragsverarbeiter | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| Supabase, Inc. | Datenbankhosting und Dateispeicherung | Alle in der Datenbank gespeicherten Plattformdaten (Benutzerkonten, Organisationsdaten, Flottendatensätze, Mietverträge, Finanzdaten) und hochgeladene Dokumente/Bilder | EU-Region (Frankfurt, Deutschland) — Daten verbleiben innerhalb des Europäischen Wirtschaftsraums |
| Vercel, Inc. | Anwendungshosting, Edge Computing und Inhaltsbereitstellung | Technische Daten (IP-Adressen, Zugriffsprotokolle) und Seiteninhalte | Globales Edge-Netzwerk — primäre Berechnung in EU-Regionen; Inhalte können an Edge-Standorten weltweit zwischengespeichert werden; Vercel erfüllt die DSGVO durch Standardvertragsklauseln (SVK) |
| Resend, Inc. | Transaktionale E-Mail-Zustellung | Empfänger-E-Mail-Adressen, E-Mail-Betreffzeilen und E-Mail-Inhalte (Einladungs-E-Mails, Passwortzurücksetzungs-E-Mails, Systembenachrichtigungen) | Vereinigte Staaten — Resend verarbeitet Daten unter Standardvertragsklauseln (SVK) und erfüllt die DSGVO-Anforderungen |
| Stripe, Inc. | Zahlungsabwicklung und Abonnementverwaltung | Abonnementplan, Zahlungstransaktionskennungen, Rechnungsadresse und Stripe-Kundenkennung. Kartendaten werden direkt von Stripe verarbeitet und nie auf unseren Servern gespeichert. | Vereinigte Staaten — Stripe verarbeitet Daten gemäß dem EU-US-Datenschutzrahmen (DPF) und Standardvertragsklauseln (SVK) |
| Cloudflare, Inc. | Bot-Erkennung und Sicherheitsverifizierung (Turnstile) | Browser-Fingerabdruckmerkmale und Verifizierungstoken zur Unterscheidung legitimer Nutzer von automatisierten Bots | Vereinigte Staaten und globale Edge-Knoten — Cloudflare verarbeitet Daten gemäß dem EU-US-Datenschutzrahmen (DPF) und Standardvertragsklauseln (SVK) |
| Google LLC | OAuth-Authentifizierungsdienst | Google-Kontoidentifikator und grundlegende Profilinformationen (Name, E-Mail-Adresse) nur bei Anmeldung über Google OAuth | Vereinigte Staaten — Google verarbeitet Daten gemäß dem EU-US-Datenschutzrahmen (DPF) und Standardvertragsklauseln (SVK) |
Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht mit Dritten für deren eigene Marketing- oder kommerzielle Zwecke. Daten werden nur mit den oben aufgeführten Auftragsverarbeitern und nur in dem zur Erbringung unserer Dienste erforderlichen Umfang geteilt.
Wir überprüfen regelmäßig unsere Auftragsverarbeitungsverträge und können diese Liste aktualisieren, wenn sich unsere Dienstinfrastruktur weiterentwickelt. Wesentliche Änderungen an unseren Unterauftragsverarbeitern werden in dieser Datenschutzrichtlinie berücksichtigt.
10. Internationale Datenübermittlungen
CFM ist ein portugiesisches Unternehmen, und unsere primäre Datenspeicherung befindet sich innerhalb des Europäischen Wirtschaftsraums (EWR). Einige unserer Auftragsverarbeiter können jedoch personenbezogene Daten außerhalb des EWR verarbeiten, insbesondere in den Vereinigten Staaten.
Wenn personenbezogene Daten außerhalb des EWR übermittelt werden, stellen wir sicher, dass angemessene Schutzmaßnahmen gemäß Kapitel V der DSGVO (Artikel 44–49) vorhanden sind:
- EU-Angemessenheitsbeschlüsse (Art. 45 DSGVO): Wenn die Europäische Kommission festgestellt hat, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet, erfolgen Übermittlungen auf Grundlage dieses Angemessenheitsbeschlusses. Das EU-US Data Privacy Framework gilt für zertifizierte US-Organisationen.
- Standardvertragsklauseln (SVK) (Art. 46 Abs. 2 lit. c DSGVO): Wenn kein Angemessenheitsbeschluss vorliegt, stützen wir uns auf die Standardvertragsklauseln der Europäischen Kommission, genehmigt durch den Durchführungsbeschluss (EU) 2021/914, die den Datenimporteur vertraglich verpflichten, personenbezogene Daten nach EWR-Standards zu schützen.
- Ergänzende Maßnahmen: Soweit auf Grundlage einer Transfer-Folgenabschätzung erforderlich, werden zusätzliche technische Maßnahmen (wie Verschlüsselung bei der Übertragung und im Ruhezustand) oder organisatorische Maßnahmen umgesetzt, um ein im Wesentlichen gleichwertiges Schutzniveau zu gewährleisten.
Unsere Datenbank und primäre Dateispeicherung (über Supabase) werden in EU-Regionen (Frankfurt, Deutschland) gehostet, wodurch der Großteil der personenbezogenen Daten innerhalb des EWR verbleibt. Vercel verarbeitet Daten hauptsächlich in EU-Regionen, kann aber sein globales Edge-Netzwerk für die Inhaltsbereitstellung nutzen; jede solche Verarbeitung ist durch SVK abgedeckt. Resend verarbeitet E-Mail-Daten in den Vereinigten Staaten unter SVK und dem EU-US Data Privacy Framework. Stripe, Inc. verarbeitet Zahlungsdaten in den Vereinigten Staaten gemäß dem EU-US-Datenschutzrahmen (DPF) und SVK. Cloudflare, Inc. verarbeitet Sicherheitsverifizierungsdaten über sein globales Edge-Netzwerk, einschließlich US-Standorten, gemäß dem EU-US-Datenschutzrahmen (DPF) und SVK. Google LLC verarbeitet OAuth-Authentifizierungsdaten in den Vereinigten Staaten gemäß dem EU-US-Datenschutzrahmen (DPF) und SVK.
Sie können eine Kopie der von uns für internationale Übermittlungen eingerichteten Schutzmaßnahmen erhalten, indem Sie unseren DSB unter dpo@fleetmoto.com kontaktieren.
12. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir den in den Artikeln 33 und 34 der DSGVO festgelegten Meldepflichten nachkommen.
12.1. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, werden wir die portugiesische Aufsichtsbehörde (Comissão Nacional de Proteção de Dados — CNPD) unverzüglich und, sofern möglich, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen. Erfolgt die Meldung nicht innerhalb von 72 Stunden, werden wir die Gründe für die Verzögerung angeben.
Die Meldung an die CNPD enthält:
- Eine Beschreibung der Art der Verletzung, einschließlich der ungefähren Anzahl der betroffenen Personen und Datensätze
- Den Namen und die Kontaktdaten unseres Datenschutzbeauftragten
- Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
- Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen
12.2. Benachrichtigung der Betroffenen (Art. 34 DSGVO)
Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, werden wir die betroffenen Personen unverzüglich in klarer und verständlicher Sprache über die Verletzung informieren. Diese Mitteilung beschreibt die Art der Verletzung und gibt Empfehlungen, wie die betroffenen Personen mögliche nachteilige Auswirkungen mindern können.
Eine Benachrichtigung der Betroffenen ist möglicherweise nicht erforderlich, wenn: wir geeignete technische Schutzmaßnahmen (wie Verschlüsselung) implementiert haben, die die Daten unverständlich machen; wir nachfolgende Maßnahmen ergriffen haben, die sicherstellen, dass das hohe Risiko voraussichtlich nicht mehr eintritt; oder wenn ein unverhältnismäßiger Aufwand erforderlich wäre, in welchem Fall stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgt.
12.3. Internes Verfahren bei Datenschutzverletzungen
Wir unterhalten einen internen Plan zur Reaktion auf Datenschutzverletzungen, der Verfahren zur Identifizierung, Eindämmung, Bewertung und Dokumentation aller Verletzungen des Schutzes personenbezogener Daten umfasst, unabhängig davon, ob sie meldepflichtig sind. Alle Verletzungen werden in einem internen Register gemäß Artikel 33 Absatz 5 der DSGVO protokolliert.
13. Datenschutz für Minderjährige
CFM - CONTROL FLEET MOTOS ist eine Business-to-Business (B2B) SaaS-Plattform, die für Motorrad-Vermietungsunternehmen entwickelt wurde. Unsere Dienste richten sich nicht an Personen unter 16 Jahren, dem Mindestalter für die Einwilligung in Dienste der Informationsgesellschaft in Portugal gemäß Lei n.º 58/2019, Art. 16.º (Umsetzung von Art. 8 DSGVO).
Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir feststellen, dass wir versehentlich personenbezogene Daten eines Kindes unter 16 Jahren ohne entsprechende elterliche oder vormundschaftliche Einwilligung erhoben haben, werden wir Maßnahmen ergreifen, um diese Daten so schnell wie möglich zu löschen.
Wenn Sie ein Elternteil oder Erziehungsberechtigter sind und glauben, dass Ihr Kind uns personenbezogene Daten mitgeteilt hat, kontaktieren Sie uns bitte unter dpo@fleetmoto.com, damit wir geeignete Maßnahmen ergreifen können.
14. Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken, gesetzlicher Anforderungen oder unserer Dienste widerzuspiegeln. Wenn wir Änderungen vornehmen, aktualisieren wir das "Datum des Inkrafttretens" am Anfang dieser Richtlinie.
Bei wesentlichen Änderungen, die die Art und Weise, wie wir Ihre personenbezogenen Daten verarbeiten, erheblich beeinflussen, werden wir Sie über die Plattform deutlich informieren (z. B. durch ein Banner oder eine Benachrichtigung) und, soweit gesetzlich vorgeschrieben, Ihre Einwilligung einholen, bevor wir Ihre Daten gemäß den aktualisierten Bedingungen weiterverarbeiten.
Wir empfehlen Ihnen, diese Datenschutzrichtlinie regelmäßig zu überprüfen, um darüber informiert zu bleiben, wie wir Ihre personenbezogenen Daten schützen. Die weitere Nutzung der Plattform nach Veröffentlichung von Änderungen stellt Ihre Kenntnisnahme der überarbeiteten Richtlinie dar, es sei denn, eine Einwilligung ist erforderlich.
Frühere Versionen dieser Datenschutzrichtlinie sind auf Anfrage bei unserem DSB unter dpo@fleetmoto.com erhältlich.
15. Kontakt und Beschwerden
Wenn Sie Fragen, Bedenken oder Anfragen bezüglich dieser Datenschutzrichtlinie oder unserer Datenverarbeitungspraktiken haben, kontaktieren Sie uns bitte:
| Datenschutzbeauftragter | dpo@fleetmoto.com |
|---|---|
| Allgemeiner Kontakt | contact@fleetmoto.com |
| Telefon | +351 939 048 392 |
| Postanschrift | Jerry Strait Avenida Do Brasil 127 2735-674 Agualva-Cacém, Portugal |
Recht auf Beschwerde
Wenn Sie der Meinung sind, dass unsere Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das portugiesische Datenschutzrecht verstößt, haben Sie das Recht, eine Beschwerde bei der portugiesischen Aufsichtsbehörde einzureichen:
Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 - 1.º
1200-651 Lisboa, Portugal
Telefon: +351 213 928 400
Fax: +351 213 976 832
E-Mail: geral@cnpd.pt
Website: www.cnpd.pt
Sie können auch eine Beschwerde bei der Aufsichtsbehörde des EU-Mitgliedstaats Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes einreichen, gemäß Artikel 77 der DSGVO.
Wir empfehlen Ihnen, sich zunächst an uns zu wenden, um etwaige Bedenken zu klären, bevor Sie eine förmliche Beschwerde bei einer Aufsichtsbehörde einreichen.
Datum des Inkrafttretens: 31. März 2026