Datenschutzerklärung
Stand: Mai 2026. Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten wir im Rahmen unseres Vermietungsbetriebs erheben, verarbeiten und speichern.
1. Verantwortlicher
BBL Baumaschinen GmbH
Provinzialstraße 119, 66299 Friedrichsthal
E-Mail: demo@bbl-baumaschinen.example · Telefon: +49 6897 983080
2. Erhobene Daten und Zwecke
2.1 Mietanfrage
- Name, E-Mail, Telefonnummer, optional Anschrift, gewünschter Mietzeitraum, freiwillige Nachricht.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).
- Speicherdauer: 6 Monate, sofern keine Buchung zustande kommt.
2.2 Mietvertragsabschluss
- Stammdaten (Vor-/Nachname, Geburtsdatum, vollständige Anschrift).
- Personalausweis-/Reisepass-Foto sowie maschinenlesbare Daten (MRZ).
- Touchscreen-Unterschrift, IP-Adresse zum Zeitpunkt der Signatur, User-Agent.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für Ausweisdaten Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 20 Abs. 2 PAuswG (ausdrückliche Einwilligung).
2.3 Übergabe-/Rückgabe-Protokolle
- Foto-Dokumentation des Geräts, Zähler-/Kilometerstand, festgestellte Schäden, Unterschriften.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Vertragsabwicklung, berechtigtes Interesse Schadensnachweis).
2.4 Server-Logs
- IP-Adresse, Zeitpunkt, aufgerufene URL, User-Agent — zur Abwehr missbräuchlicher Zugriffe.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: max. 30 Tage.
3. Schutz von Ausweis-Daten (§ 20 PAuswG)
Wir behandeln Ausweis-Bilder mit besonderer Sorgfalt:
- Die Aufnahme erfolgt ausschließlich nach deiner ausdrücklichen Einwilligung.
- Vor Speicherung werden die Bilder serverseitig mit einem Wasserzeichen „KOPIE · NUR FÜR VERMIETUNG" versehen. Bei Reisepässen wird der MRZ-Bereich automatisch geschwärzt.
- EXIF-/Geo-Daten werden beim Re-Encoding entfernt.
- Die Bilder werden im Object-Storage verschlüsselt gespeichert; Ausweisnummern zusätzlich AES-256-symmetrisch.
- Aufbewahrungsfrist: 3 Jahre nach Vertragsende (regelmäßige Verjährung gem. § 195 BGB). Danach automatische Löschung der Bilder durch täglichen Cron-Job; der DB-Eintrag wird anonymisiert für den DSGVO-Lösch-Nachweis aufbewahrt.
4. Empfänger / Auftragsverarbeiter
Wir setzen die folgenden Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein:
- Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) — Hosting des Anwendungs-Servers und des verschlüsselten Object-Storage in Nürnberg / Falkenstein.
- Cloudflare Germany GmbH (Rosental 7, 80331 München) — DNS und CDN, Schutz vor DDoS.
- BBL Baumaschinen (Demo) selbst betreibt den Mailversand über einen eigenen SMTP-Server (Mailcow) auf eigener Infrastruktur. Es findet kein Mail-Versand über Drittanbieter wie Sendgrid oder Mailchimp statt.
Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.
5. Cookies / Local Storage
Wir setzen ausschließlich technisch notwendige Cookies. Eine Einwilligung ist gem. § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich, weil diese Cookies für den vom Nutzer angeforderten Dienst zwingend nötig sind. Es werden keine Tracking-Cookies und keine Drittanbieter-Skripte eingebunden.
| Name | Zweck | Speicherdauer |
|---|---|---|
vermietung.session_token | Anmelde-Sitzung Vermieter-Dashboard | 30 Tage |
vermietung.csrf_token | CSRF-Schutz für Formulare | Sitzung |
6. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch (Art. 21 DSGVO),
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Anfragen richte bitte an demo@bbl-baumaschinen.example.
7. Beschwerderecht
Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren — in Deutschland in der Regel die Behörde am Sitz des Verantwortlichen.
8. Datensicherheit
- HTTPS/TLS-Verschlüsselung aller Verbindungen (HSTS-Pinning).
- Strenge Tenant-Trennung in der Datenbank.
- Audit-Log über alle administrativen Aktionen.
- Rate-Limiting auf öffentlichen Endpunkten.
- Regelmäßige Backups (verschlüsselt, < 30 Tage Aufbewahrung).
Hinweis: Diese Datenschutzerklärung wurde sorgfältig erstellt, ersetzt jedoch keine anwaltliche Prüfung im Einzelfall. Vor der Live-Schaltung empfehlen wir eine abschließende Prüfung durch eine qualifizierte Person.