Datenschutzerklärung

Datenschutzerklärung

Stand: März 2026 | Fassung 2.1

Präambel

Der Schutz Ihrer personenbezogenen Daten ist für uns nicht bloß eine rechtliche Verpflichtung, sondern ein Kernbestandteil unseres unternehmerischen Selbstverständnisses. Wir sind davon überzeugt, dass Datenschutz und modernes Dienstleistungsangebot keine Gegensätze darstellen, sondern sich gegenseitig bedingen: Nur wer das Vertrauen seiner Kunden genießt, kann nachhaltig erfolgreich wirtschaften. Diese Datenschutzerklärung beschreibt daher mit größtmöglicher Transparenz, welche personenbezogenen Daten wir im Rahmen der Nutzung unserer Website und unserer Dienstleistungen erheben, zu welchen Zwecken wir diese verarbeiten, auf welche Rechtsgrundlagen wir uns dabei stützen und welche Rechte Ihnen als betroffene Person zustehen.

Die vorliegende Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden „DSGVO") sowie des Bundesdatenschutzgesetzes in der Fassung des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU, im Folgenden „BDSG") und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) über Art, Umfang, Zweck und Rechtsgrundlagen der Verarbeitung personenbezogener Daten im Rahmen der Nutzung unserer Website und unserer Dienstleistungen.

Die Datenschutzerklärung gilt für alle Verarbeitungsvorgänge, die wir als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO selbst durchführen, sowie für Verarbeitungen durch von uns beauftragte Auftragsverarbeiter gemäß Art. 28 DSGVO. Sie gilt gleichermaßen für die Nutzung unserer Website unter der Domain https://www.kfzamt.de wie auch für die Inanspruchnahme unserer KFZ-Zulassungsdienstleistungen (Anmeldung, Ummeldung, Abmeldung von Kraftfahrzeugen).

Wir empfehlen, diese Datenschutzerklärung sorgfältig und vollständig zu lesen. Bei Fragen, Anmerkungen oder zur Geltendmachung Ihrer Betroffenenrechte stehen wir Ihnen jederzeit unter der E-Mail-Adresse datenschutz@kfzamt.de zur Verfügung. Unseren Datenschutzbeauftragten erreichen Sie ebenfalls unter dieser Adresse; die vollständigen Kontaktdaten finden Sie in § 3 dieser Erklärung.

Personenbezogene Daten im Sinne dieser Datenschutzerklärung sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Standortkennung, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

§ 1 Verantwortlicher und Geltungsbereich

§ 1.1 Identität und Kontaktdaten des Verantwortlichen

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung Ihrer personenbezogenen Daten auf dieser Website und im Rahmen unserer Dienstleistungen ist:

KFZ Amt
Dubai South P.O. Box 282228
00000 Dubai South - UAE
Vereinigte Arabische Emirate
E-Mail: service@kfzamt.de
Website: https://www.kfzamt.de

Als Verantwortlicher bestimmen wir allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten. Fragen zum Datenschutz, zur vorliegenden Datenschutzerklärung sowie die Ausübung Ihrer Betroffenenrechte richten Sie bitte an die oben genannte E-Mail-Adresse oder an unseren Datenschutzbeauftragten (siehe § 3).

§ 1.2 Räumlicher Anwendungsbereich der DSGVO — Das Marktortprinzip (Art. 3 Abs. 2 DSGVO)

Unser Unternehmen hat seinen Sitz in den Vereinigten Arabischen Emiraten (Emirat Dubai) und damit außerhalb des Europäischen Wirtschaftsraums (EWR). Dennoch unterliegen wir in vollem Umfang der DSGVO. Die Geltung ergibt sich unmittelbar aus dem Marktortprinzip des Art. 3 Abs. 2 DSGVO.

Gemäß Art. 3 Abs. 2 DSGVO findet die Verordnung auf die Verarbeitung personenbezogener Daten von betroffenen Personen Anwendung, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen, sofern die Datenverarbeitung im Zusammenhang damit steht, diesen Personen Waren oder Dienstleistungen anzubieten — unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist (Art. 3 Abs. 2 lit. a DSGVO), oder das Verhalten dieser Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 lit. b DSGVO).

Sämtliche von uns angebotenen Dienstleistungen — die digitale Abwicklung von Kraftfahrzeug-Zulassungen, -Ummeldungen und -Abmeldungen — richten sich ausschließlich an Personen mit Wohnsitz in der Bundesrepublik Deutschland und damit an Personen, die sich im Gebiet der Union befinden. Die Entgeltlichkeit unserer Leistungen ist dabei gemäß dem Wortlaut des Art. 3 Abs. 2 lit. a DSGVO irrelevant; entscheidend ist allein, dass sich das Angebot an Personen in der Union richtet. Das Marktortprinzip ist damit tatbestandsmäßig erfüllt; die DSGVO gilt für uns in vollem Umfang ohne jede Einschränkung.

Die Einhaltung der DSGVO wird durch uns nicht lediglich als formale Pflicht verstanden. Wir haben organisatorische und technische Maßnahmen implementiert, die sicherstellen, dass das Schutzniveau, das die DSGVO für natürliche Personen in der Union vorsieht, von uns vollumfänglich gewährleistet wird — unabhängig davon, in welchem Staat unsere Server betrieben werden oder wo sich unser Unternehmenssitz befindet.

§ 1.3 Zeitlicher Geltungsbereich

Diese Datenschutzerklärung gilt ab dem Datum ihrer Veröffentlichung in der jeweils gültigen Fassung. Sie ersetzt alle vorherigen Versionen. Bei wesentlichen Änderungen werden wir Sie in geeigneter Form informieren — im Regelfall durch Bereitstellung der aktualisierten Erklärung auf unserer Website unter deutlichem Hinweis auf die erfolgten Änderungen. Die Weiternutzung unserer Dienste nach Veröffentlichung einer neuen Version gilt als Kenntnisnahme der geänderten Datenschutzerklärung, sofern nicht eine ausdrückliche erneute Einwilligung gesetzlich erforderlich ist.

§ 1.4 Haftung des Verantwortlichen (Art. 82 DSGVO)

Als Verantwortlicher haften wir gemäß Art. 82 DSGVO für Schäden, die einer Person dadurch entstehen, dass wir ihre personenbezogenen Daten unter Verstoß gegen die DSGVO verarbeiten. Wir werden von dieser Haftung nur befreit, wenn wir nachweisen können, dass wir in keinerlei Hinsicht für den schadensauslösenden Umstand verantwortlich sind. Diese Haftungsvorschrift umfasst sowohl materielle als auch immaterielle Schäden, einschließlich Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verluste, Rufschädigung oder anderer erheblicher wirtschaftlicher oder sozialer Nachteile. Die Haftung ist nicht auf vorsätzliches Handeln beschränkt; auch fahrlässige Datenschutzverstöße können Schadensersatzansprüche begründen.

§ 2 EU-Vertreter gemäß Art. 27 DSGVO

§ 2.1 Pflicht zur Benennung und Erfüllung dieser Pflicht

Da wir als Verantwortlicher keinen Sitz innerhalb eines Mitgliedstaates der Europäischen Union oder des Europäischen Wirtschaftsraums unterhalten, sind wir gemäß Art. 27 Abs. 1 DSGVO verpflichtet, schriftlich einen Vertreter in der Union zu benennen. Diese Pflicht besteht immer dann, wenn ein nicht in der Union niedergelassener Verantwortlicher gemäß Art. 3 Abs. 2 DSGVO der Verordnung unterliegt — also wenn er, wie in unserem Fall, Waren oder Dienstleistungen an Personen in der Union anbietet oder deren Verhalten beobachtet.

Wir haben dieser Verpflichtung durch die schriftliche Benennung des nachfolgend genannten EU-Vertreters vollständig entsprochen. Sie können sich in allen Angelegenheiten, die die Verarbeitung Ihrer personenbezogenen Daten betreffen — insbesondere zur Ausübung Ihrer Betroffenenrechte nach Art. 15 bis 22 DSGVO sowie zur Einreichung von Beschwerden — wahlweise direkt an uns oder an unseren EU-Vertreter wenden:

Eagle lsp GmbH
Neustädter Neuer Weg 22
20459 Hamburg
Deutschland
E-Mail: internaldataprotection@secjur.com

§ 2.2 Rechtliche Stellung und Funktion des EU-Vertreters

Der EU-Vertreter ist eine natürliche oder juristische Person, die im Sinne des Art. 27 DSGVO als Anlaufstelle für Aufsichtsbehörden und betroffene Personen innerhalb der Union fungiert. Die Benennung eines EU-Vertreters befreit uns als Verantwortlichen nicht von unseren datenschutzrechtlichen Pflichten und begründet keine Übertragung der datenschutzrechtlichen Verantwortlichkeit auf den EU-Vertreter.

Der EU-Vertreter nimmt gegenüber Aufsichtsbehörden und betroffenen Personen die Stellung eines Bevollmächtigten ein. Er kann im Rahmen dieser Bevollmächtigung Anfragen entgegennehmen, an uns weiterleiten und — soweit ermächtigt — erste Antworten erteilen. Die eigenständige Entscheidungsbefugnis über die Datenverarbeitung verbleibt ausschließlich bei uns. Aufsichtsbehördliche Maßnahmen, Untersuchungen, Bußgeldverfahren und Anordnungen können ausschließlich gegen uns als Verantwortlichen gerichtet werden; der EU-Vertreter ist davon persönlich nicht betroffen, es sei denn, er handelt als eigener Verantwortlicher in einer anderen Eigenschaft.

Betroffene Personen können sich — zusätzlich zur Kontaktaufnahme mit uns direkt — zur Ausübung ihrer Rechte nach Art. 15 bis 22 DSGVO an den EU-Vertreter wenden. Der EU-Vertreter ist verpflichtet, Anfragen unverzüglich an uns weiterzuleiten, soweit er sie nicht selbst abschließend beantworten kann.

§ 2.3 Abgrenzung zum Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO)

Der EU-Vertreter ist ausdrücklich kein Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen weisungsgebunden verarbeitet. Der EU-Vertreter hingegen verarbeitet keine personenbezogenen Daten in unserem Auftrag; seine Funktion beschränkt sich auf die Entgegennahme von Kommunikation seitens Betroffener und Aufsichtsbehörden und deren Weiterleitung an uns. Aus diesem Grund ist zwischen uns und dem EU-Vertreter kein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO erforderlich.

§ 2.4 Konsequenzen der Nicht-Benennung

Die Nicht-Benennung eines EU-Vertreters trotz bestehender Verpflichtung stellt einen eigenständigen Verstoß gegen die DSGVO dar und kann gemäß Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße von bis zu 10.000.000,00 Euro oder, bei einem Unternehmen, von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher der Beträge höher ist. Wir haben durch die Benennung unseres EU-Vertreters dieser Pflicht vollständig entsprochen und sehen uns nicht dem Risiko einer entsprechenden Sanktionierung ausgesetzt.

§ 3 Datenschutzbeauftragter

§ 3.1 Benennung und Kontaktdaten

Wir haben einen betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO und § 38 BDSG benannt. Der Datenschutzbeauftragte ist erste Anlaufstelle für alle Fragen, Auskunftsersuchen und Beschwerden im Zusammenhang mit der Verarbeitung personenbezogener Daten durch unser Unternehmen. Sie können unseren Datenschutzbeauftragten jederzeit unter folgenden Kontaktdaten erreichen:

Patrick Niederhauer
E-Mail: p.niederhauer@kfzamt.de

Bei der Kontaktaufnahme mit dem Datenschutzbeauftragten bitten wir Sie, Ihre Anfrage so konkret wie möglich zu formulieren, um eine schnelle und zielgerichtete Bearbeitung zu ermöglichen. Bitte teilen Sie uns mit, um welche Art von Daten es geht, welches Anliegen Sie haben und — sofern Sie ein Auskunfts- oder Löschungsersuchen stellen — welche Identifizierungsmerkmale eine Zuordnung Ihrer Person zu gespeicherten Daten ermöglichen. Wir sind gesetzlich verpflichtet, auf Anfragen betroffener Personen innerhalb eines Monats zu antworten (Art. 12 Abs. 3 DSGVO).

§ 3.2 Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)

Der Datenschutzbeauftragte hat gemäß Art. 39 Abs. 1 DSGVO zumindest folgende Aufgaben wahrzunehmen:

  • Unterrichtung und Beratung: Der Datenschutzbeauftragte unterrichtet und berät den Verantwortlichen sowie die Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und anderen europäischen oder nationalen Datenschutzvorschriften (Art. 39 Abs. 1 lit. a DSGVO).
  • Überwachung der Compliance: Er überwacht die Einhaltung der DSGVO, anderer europäischer oder nationaler Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (Art. 39 Abs. 1 lit. b DSGVO).
  • Beratung bei Datenschutz-Folgenabschätzungen: Auf Anfrage gibt er Ratschläge zu Datenschutz-Folgenabschätzungen (DSFA) und überwacht deren Durchführung gemäß Art. 35 DSGVO (Art. 39 Abs. 1 lit. c DSGVO).
  • Zusammenarbeit mit Aufsichtsbehörden: Der Datenschutzbeauftragte arbeitet mit der Aufsichtsbehörde zusammen und fungiert als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und führt gegebenenfalls Konsultationen in allen sonstigen Angelegenheiten durch (Art. 39 Abs. 1 lit. d und e DSGVO).
  • Risikobasierter Ansatz: Bei der Erfüllung seiner Aufgaben berücksichtigt der Datenschutzbeauftragte das mit den Verarbeitungsvorgängen verbundene Risiko unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (Art. 39 Abs. 2 DSGVO).

§ 3.3 Weisungsfreiheit und berufliche Verschwiegenheit

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art. 38 Abs. 3 DSGVO). Er ist unmittelbar der höchsten Managementebene des Unternehmens unterstellt. Der Datenschutzbeauftragte ist zur Verschwiegenheit oder zur Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet (Art. 38 Abs. 5 DSGVO). Betroffene Personen können den Datenschutzbeauftragten daher vertraulich kontaktieren, ohne befürchten zu müssen, dass ihre Anfragen ohne ihre Zustimmung an Dritte weitergegeben werden.

§ 4 Grundsätze der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten durch unser Unternehmen erfolgt in strikter Einhaltung der in Art. 5 DSGVO normierten Grundsätze. Diese Grundsätze bilden das datenschutzrechtliche Fundament aller unserer Verarbeitungstätigkeiten und sind für uns bindend:

§ 4.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten werden nur auf einer gültigen Rechtsgrundlage verarbeitet (Art. 6 Abs. 1 DSGVO). Jede Verarbeitungstätigkeit beruht auf einer der im Gesetz abschließend aufgezählten Rechtsgrundlagen: Einwilligung (lit. a), Vertragserfüllung (lit. b), rechtliche Verpflichtung (lit. c), Schutz lebenswichtiger Interessen (lit. d), öffentliches Interesse (lit. e) oder berechtigte Interessen (lit. f). Die Verarbeitung erfolgt nach Treu und Glauben, d. h. ohne versteckte oder unerwartete Verarbeitungspraktiken. Das Transparenzgebot verpflichtet uns, Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über alle relevanten Aspekte der Datenverarbeitung zu informieren — was die vorliegende Erklärung bezweckt.

§ 4.2 Zweckbindung

Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Eine Weiterverarbeitung für andere Zwecke ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Erhebungszweck vereinbar ist, eine Einwilligung vorliegt oder eine gesetzliche Grundlage dies gestattet. Wir verarbeiten Ihre Daten ausschließlich zur Durchführung der KFZ-Zulassungsdienstleistung, zur Erfüllung gesetzlicher Pflichten, zu Abrechnungszwecken sowie — mit Ihrer Einwilligung — zur Website-Analyse.

§ 4.3 Datenminimierung

Wir erheben und verarbeiten ausschließlich die personenbezogenen Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind. Eine darüber hinausgehende Erhebung oder Speicherung von Daten findet nicht statt. Wo immer möglich, setzen wir auf Datensparsamkeit und prüfen regelmäßig, ob eine Anonymisierung oder Pseudonymisierung vorhandener Datensätze ohne Beeinträchtigung des Verarbeitungszwecks möglich ist.

§ 4.4 Richtigkeit

Wir treffen geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind. Unrichtige Daten werden unverzüglich berichtigt oder gelöscht, sobald uns die Unrichtigkeit bekannt wird. Betroffene Personen sind eingeladen, uns auf fehlerhafte Daten hinzuweisen; wir werden entsprechende Berichtigungen innerhalb der gesetzlich vorgesehenen Fristen vornehmen.

§ 4.5 Speicherbegrenzung

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Verarbeitungszwecke erforderlich ist. Sobald der Zweck entfallen ist, werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (vgl. § 10 dieser Erklärung). Wir haben ein Löschkonzept implementiert, das regelmäßige Überprüfungen des Datenbestands und automatisierte Löschroutinen umfasst.

§ 4.6 Integrität und Vertraulichkeit

Personenbezogene Daten werden durch angemessene technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor zufälligem Verlust, zufälliger Zerstörung oder zufälliger Schädigung geschützt (Art. 32 DSGVO). Einzelheiten zu den von uns implementierten Sicherheitsmaßnahmen finden Sie in § 21 dieser Erklärung.

§ 4.7 Rechenschaftspflicht

Als Verantwortlicher sind wir für die Einhaltung der vorgenannten Grundsätze verantwortlich und müssen deren Einhaltung nachweisen können (Art. 5 Abs. 2 DSGVO). Wir führen zu diesem Zweck ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und dokumentieren alle Datenschutzmaßnahmen. Auf begründetes Verlangen von Aufsichtsbehörden legen wir dieses Verzeichnis vor.

§ 5 Kategorien personenbezogener Daten

Im Rahmen der Nutzung unserer Website und der Inanspruchnahme unserer Dienstleistungen verarbeiten wir verschiedene Kategorien personenbezogener Daten. Ein Überblick über die Kategorien der verarbeiteten Daten:

§ 5.1 Stammdaten

Hierzu zählen Vorname, Nachname, Geburtsdatum, Geburtsort sowie bei juristischen Personen der Firmenname und die vertretungsberechtigte Person. Diese Daten sind zur Identifikation der auftraggebenden Person und zur ordnungsgemäßen Abwicklung der KFZ-Zulassung unbedingt erforderlich. Ohne diese Angaben ist eine Durchführung der Zulassung beim Straßenverkehrsamt nicht möglich, da die Behörde die Identität des Halters zweifelsfrei feststellen muss.

§ 5.2 Kontaktdaten

E-Mail-Adresse und — sofern angegeben — Telefonnummer. Die E-Mail-Adresse ist für die gesamte Kommunikation im Rahmen der Auftragsabwicklung unentbehrlich: Auftragsbestätigung, Zahlungsaufforderung, Statusupdates, Dokumentenanforderungen und die Zustellung des Zulassungsergebnisses erfolgen ausschließlich auf elektronischem Weg.

§ 5.3 Wohnanschrift und Zulassungsanschrift

Straße, Hausnummer, Postleitzahl und Wohnort des Fahrzeughalters. Die Anschrift ist gesetzlich vorgeschriebenes Pflichtmerkmal für die Kraftfahrzeuganmeldung (§ 6 FZV) und wird im Zulassungsbescheid vermerkt. Außerdem ist sie für die Adressierung von postalischen Schriftstücken im Rahmen der Vertragsabwicklung erforderlich.

§ 5.4 Fahrzeugdaten

Fahrzeug-Identifizierungsnummer (FIN/VIN), Kennzeichen (bisheriges und/oder neues), Fahrzeugklasse, Marke, Modell, Erstzulassungsdatum, Motorleistung, Hubraum, Kraftstoffart sowie alle in den amtlichen Fahrzeugpapieren (Fahrzeugbrief/Zulassungsbescheinigung Teil II) enthaltenen Informationen. Diese Daten sind Gegenstand der Zulassungsdienstleistung selbst und werden unverändert an die zuständige Zulassungsbehörde weitergeleitet.

§ 5.5 Ausweisdokumente und Identifikationsnachweise

Lichtbildkopie des Personalausweises oder Reisepasses des Fahrzeughalters sowie gegebenenfalls des Bevollmächtigten. Diese Dokumente werden von der Zulassungsbehörde zur Identitätsfeststellung des Halters zwingend benötigt. Wir speichern diese Dokumente ausschließlich für die Dauer der Auftragsabwicklung und löschen sie nach Abschluss gemäß unserem Löschkonzept (§ 10).

§ 5.6 Zahlungsdaten

Transaktions-ID, Zahlungsbetrag, Zahlungsstatus und Zahlungszeitpunkt. Kreditkartendaten werden von uns zu keinem Zeitpunkt direkt erhoben oder gespeichert; die Zahlungsabwicklung erfolgt ausschließlich über den Zahlungsdienstleister Stripe (vgl. § 11). Stripe übermittelt uns lediglich eine anonymisierte Bestätigung über den Erfolg der Zahlung sowie eine Transaktions-ID zur Zuordnung.

§ 5.7 Bankverbindung (SEPA-Lastschrift für KFZ-Steuer)

IBAN und — soweit erforderlich — BIC des Fahrzeughalters. Diese Daten werden ausschließlich dann erhoben, wenn der Fahrzeughalter die KFZ-Steuer per SEPA-Lastschriftverfahren entrichten möchte. Die Daten werden in verschlüsselter Form gespeichert und ausschließlich an das zuständige Hauptzollamt bzw. die Zollbehörden im Rahmen des steuerlichen Einzugsverfahrens weitergeleitet. Sie werden nicht für eigene Abbuchungen genutzt.

§ 5.8 Kommunikations- und Korrespondenzdaten

Der Inhalt der E-Mail-Korrespondenz sowie von Nachrichten über unsere Website oder sonstige Kommunikationskanäle, soweit Sie uns kontaktieren. Diese Daten werden zur Bearbeitung Ihrer Anfragen und zur Dokumentation der Kommunikation im Rahmen der Auftragsabwicklung gespeichert.

§ 5.9 Technische Nutzungsdaten

IP-Adresse (gekürzt/anonymisiert bei Google Analytics), Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung, Referrer-URL, aufgerufene Seiten und Zeitstempel des Seitenaufrufs. Diese Daten werden durch unseren Hosting-Anbieter Cloudflare und durch Google Analytics (sofern Sie eingewilligt haben) protokolliert und dienen der technischen Sicherstellung des Betriebs sowie der statistischen Auswertung der Website-Nutzung.

§ 6 Zwecke und Rechtsgrundlagen der Verarbeitung

§ 6.1 Durchführung des KFZ-Zulassungsvertrags (Art. 6 Abs. 1 lit. b DSGVO)

Die weitaus umfangreichste Verarbeitung personenbezogener Daten erfolgt auf der Grundlage des Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des zwischen Ihnen und uns geschlossenen Dienstleistungsvertrags über die Abwicklung einer KFZ-Anmeldung, -Ummeldung oder -Abmeldung. Hierzu gehören insbesondere:

  • Entgegennahme und Prüfung Ihres Auftrags
  • Identifikation Ihrer Person anhand der eingereichten Unterlagen
  • Koordination mit dem zuständigen regionalen Zulassungspartner
  • Weiterleitung aller erforderlichen Unterlagen an den Partner und die Zulassungsbehörde
  • Erstellung und Versendung der Auftragsbestätigung, Rechnung und des Leistungsnachweises
  • Statusmitteilungen über den Bearbeitungsfortschritt
  • Abwicklung des Widerrufsverfahrens, sofern dieses ausgeübt wird

Ohne die Verarbeitung dieser Daten ist die Durchführung der vertraglich geschuldeten Leistung schlechterdings unmöglich; die Zulassungsbehörde verweigert ohne vollständige Unterlagen die Bearbeitung des Antrags.

§ 6.2 Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Verschiedene gesetzliche Vorschriften verpflichten uns zur Aufbewahrung und Verarbeitung personenbezogener Daten, ohne dass es einer separaten Einwilligung bedürfte:

  • Steuerrechtliche Aufbewahrungspflichten: § 147 Abgabenordnung (AO) und § 257 Handelsgesetzbuch (HGB) verpflichten uns, Buchungsbelege, Rechnungen und sonstige steuerlich relevante Unterlagen für die Dauer von 10 Jahren aufzubewahren. Dies schließt auch personenbezogene Daten ein, die in diesen Unterlagen enthalten sind.
  • Geldwäscherecht: Das Geldwäschegesetz (GwG) kann im Einzelfall zur Identifizierung von Vertragspartnern und zur Aufbewahrung entsprechender Nachweise verpflichten.
  • Behördliche Auskunftspflichten: Bei strafrechtlich relevanten Sachverhalten oder auf richterliche Anordnung sind wir verpflichtet, Daten an Strafverfolgungsbehörden herauszugeben.
  • Zulassungsrechtliche Dokumentationspflichten: Die Fahrzeugzulassungsverordnung (FZV) und das Straßenverkehrsgesetz (StVG) enthalten Anforderungen an die Dokumentation von Zulassungsvorgängen.

§ 6.3 Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)

In den folgenden Fällen verarbeiten wir Ihre Daten auf der Grundlage unserer berechtigten Interessen, sofern diese gegenüber Ihren Grundrechten und -freiheiten überwiegen:

  • IT-Sicherheit und Systemintegrität: Die Protokollierung technischer Zugriffsdaten (IP-Adressen, Zugriffszeiten) dient der Erkennung, Abwehr und Nachverfolgung von Sicherheitsvorfällen, Angriffen und Missbrauchsversuchen. Unser berechtigtes Interesse liegt im Schutz unserer IT-Systeme und der uns anvertrauten Kundendaten.
  • Betrugsverhinderung und Risikomanagement: Die Prüfung auf Anzeichen für betrügerische Handlungen oder Identitätsmissbrauch liegt sowohl in unserem Interesse als auch im Interesse redlicher Kunden und der Integrität des Zulassungsverfahrens.
  • Mahnwesen und Forderungsmanagement: Bei Zahlungsverzug sind wir berechtigt, die zur Durchsetzung unserer Forderungen erforderlichen Daten zu verarbeiten und entsprechende Mahnverfahren einzuleiten. Unser berechtigtes Interesse liegt in der Sicherung unserer vertraglichen Entgeltansprüche.
  • Verbesserung unserer Dienstleistungen: Die aggregierte, anonymisierte Auswertung von Nutzungsdaten ermöglicht uns, unsere Website und unsere Prozesse kontinuierlich zu verbessern.

Bei der Verarbeitung auf Grundlage berechtigter Interessen haben wir eine Abwägung zwischen unseren Interessen und den Interessen und Grundrechten der betroffenen Personen vorgenommen. Das Ergebnis dieser Abwägung haben wir dokumentiert. Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (vgl. § 18.7).

§ 6.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit wir Google Analytics 4 zur Website-Analyse einsetzen, erfolgt dies ausschließlich auf der Grundlage Ihrer ausdrücklichen Einwilligung, die Sie beim ersten Besuch unserer Website über unser Cookie-Einwilligungsbanner erteilen können. Die Einwilligung ist freiwillig; die Ablehnung hat keinerlei Auswirkungen auf die Nutzung unserer Dienste. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (vgl. § 19). Die Rechtsgrundlage für die Verarbeitung bis zum Widerruf bleibt von einem etwaigen Widerruf unberührt.

§ 7 Empfänger und Kategorien von Empfängern

§ 7.1 Interne Empfänger

Innerhalb unseres Unternehmens haben nur diejenigen Personen Zugriff auf personenbezogene Daten, die diesen Zugriff für die Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip). Wir haben interne Zugriffsberechtigungskonzepte implementiert, die sicherstellen, dass personenbezogene Daten nur von autorisierten Personen eingesehen und verarbeitet werden können.

§ 7.2 Auftragsverarbeiter (Art. 28 DSGVO)

Wir setzen verschiedene externe Dienstleister ein, die in unserem Auftrag und nach unseren Weisungen personenbezogene Daten verarbeiten. Mit jedem dieser Dienstleister haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen, der deren Pflichten zur Datensicherheit, Zweckbindung und Vertraulichkeit verbindlich regelt. Im Einzelnen handelt es sich um:

  • Cloudflare, Inc. (Hosting, Datenbank, Dateispeicher) — vgl. § 13
  • Resend, Inc. (E-Mail-Zustellung) — vgl. § 12

§ 7.3 Eigenständige Verantwortliche

Die nachfolgend genannten Empfänger verarbeiten Ihre Daten in eigener datenschutzrechtlicher Verantwortung und nicht im Rahmen einer Auftragsverarbeitung für uns:

  • Stripe (Zahlungsabwicklung) — Stripe verarbeitet Ihre Zahlungsdaten als eigenständiger Verantwortlicher für die Zwecke der Zahlungsabwicklung und der Betrugsprävention — vgl. § 11.
  • Google Ireland Limited / Google LLC (Website-Analyse) — verarbeitet Nutzungsdaten eigenständig im Rahmen von Google Analytics 4 — vgl. § 15.
  • Regionale KFZ-Zulassungspartner — erhalten die für die Zulassung erforderlichen Daten und werden im Rahmen der Dienstleistungserbringung zu eigenständigen Verantwortlichen hinsichtlich der von ihnen durchgeführten Verarbeitungen — vgl. § 14.

§ 7.4 Behörden und Gerichte

Auf Grundlage gesetzlicher Verpflichtungen oder aufgrund gerichtlicher oder behördlicher Anordnung sind wir verpflichtet, bestimmte Daten an Behörden weiterzugeben. Hierzu gehören insbesondere:

  • Kraftfahrzeugzulassungsbehörden (Straßenverkehrsämter) — für die Durchführung des Zulassungsverfahrens selbst
  • Finanz- und Steuerbehörden — auf gesetzliche Anforderung
  • Strafverfolgungsbehörden und Gerichte — auf richterliche Anordnung oder im Falle einer konkreten Gefahr
  • Hauptzollamt / Zollverwaltung — für die KFZ-Steuer-Einzugsermächtigung

Eine Datenweitergabe an Behörden erfolgt ausschließlich im gesetzlich zwingend vorgesehenen Umfang; eine darüber hinausgehende proaktive Übermittlung findet nicht statt.

§ 8 Auftragsverarbeitung (Art. 28 DSGVO)

§ 8.1 Begriff und rechtliche Grundlage

Eine Auftragsverarbeitung liegt vor, wenn wir einen Dritten (Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten in unserem Auftrag beauftragen, ohne dass dieser Dritte eigene Zwecke für die Verarbeitung verfolgt. Der Auftragsverarbeiter handelt ausschließlich nach unseren dokumentierten Weisungen und darf die Daten nicht für eigene Zwecke verwenden (Art. 4 Nr. 8, Art. 28 DSGVO).

§ 8.2 Pflichten aus dem Auftragsverarbeitungsvertrag

Mit jedem Auftragsverarbeiter haben wir einen schriftlichen Vertrag gemäß Art. 28 Abs. 3 DSGVO geschlossen, der mindestens folgende Regelungen enthält:

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
  • Gewährleistung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben
  • Ergreifung aller erforderlichen Maßnahmen gemäß Art. 32 DSGVO (Datensicherheit)
  • Einhaltung der Voraussetzungen für den Einsatz von Unterauftragsverarbeitern
  • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Abschluss der Auftragsverarbeitung
  • Bereitstellung aller für Compliance-Nachweise erforderlichen Informationen und Mitwirkung bei Audits

§ 9 Drittlandübermittlungen

§ 9.1 Grundsatz und rechtliche Anforderungen

Für Übermittlungen personenbezogener Daten in Länder außerhalb der EU und des EWR (sog. Drittstaaten) gelten besondere Anforderungen (Art. 44 ff. DSGVO). Eine solche Übermittlung ist nur zulässig, wenn entweder die Europäische Kommission für den Empfängerstaat ein angemessenes Datenschutzniveau festgestellt hat (Angemessenheitsbeschluss, Art. 45 DSGVO) oder geeignete Garantien vorliegen, die ein gleichwertiges Schutzniveau sicherstellen (Art. 46 DSGVO), oder einer der in Art. 49 DSGVO genannten Ausnahmetatbestände greift.

§ 9.2 Vereinigte Arabische Emirate (Sitz des Verantwortlichen)

Für die Vereinigten Arabischen Emirate (VAE) liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor. Da unser Unternehmen selbst dort ansässig ist und wir als Verantwortlicher der DSGVO unterliegen, haben wir Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO in der aktuellen Fassung des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission als geeignete Garantie implementiert, soweit Datenflüsse in die VAE stattfinden. Zusätzlich haben wir ergänzende technische und organisatorische Maßnahmen getroffen, die das Schutzniveau der DSGVO auch im Drittlandbezug gewährleisten.

§ 9.3 Vereinigte Staaten von Amerika

Mehrere unserer Dienstleister haben ihren Hauptsitz in den USA. Mit der Invalidierung des EU-US Privacy Shield durch den Europäischen Gerichtshof in der Rechtssache Schrems II (C-311/18) im Juli 2020 entfiel die bisher maßgebliche Rechtsgrundlage für Übermittlungen in die USA. Seither stützen wir Drittlandübermittlungen in die USA ausschließlich auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit dem aktuellen Durchführungsbeschluss (EU) 2021/914 sowie auf das EU-US Data Privacy Framework (DPF), soweit der jeweilige Anbieter hierunter zertifiziert ist.

Im Einzelnen gelten folgende Regelungen für unsere US-Dienstleister:

  • Cloudflare, Inc.: Übermittlung auf Grundlage von SCCs und dem EU-US DPF (Cloudflare ist DPF-zertifiziert). Zusätzlich verfügt Cloudflare über eine europäische Niederlassung (Cloudflare Limited, Irland), die EU-Datenschutzrecht unmittelbar unterliegt.
  • Stripe, Inc.: Übermittlung auf Grundlage von SCCs; für EU-Kunden erfolgt die Zahlungsabwicklung vorrangig über Stripe Payments Europe, Ltd. (Irland), sodass ein Datentransfer in die USA weitgehend vermieden wird.
  • Resend, Inc.: Übermittlung auf Grundlage von SCCs. Resend verpflichtet sich vertraglich zur Einhaltung des DSGVO-Schutzniveaus.
  • Google LLC / Google Ireland Limited: Übermittlung auf Grundlage von SCCs und des EU-US DPF. Primäre Verarbeitung erfolgt über Google Ireland Limited, Dublin, für EU-Nutzer.

§ 9.4 Risiken und Gegenmaßnahmen

Wir sind uns bewusst, dass Drittlandübermittlungen — trotz geeigneter Garantien — gewisse Residualrisiken in sich tragen, insbesondere hinsichtlich möglicher staatlicher Zugriffsbefugnisse in den USA (wie FISA Section 702, EO 12333). Wir haben diese Risiken im Rahmen eines Transfer Impact Assessments (TIA) bewertet und sind zu dem Ergebnis gelangt, dass die implementierten Maßnahmen (SCCs, DPF-Zertifizierung, Verschlüsselung, minimale Datenweitergabe) ein dem Schutzniveau der DSGVO gleichwertiges Ergebnis erzielen. Das TIA ist auf Anfrage beim Datenschutzbeauftragten einsehbar.

§ 10 Speicherdauer und Löschfristen

§ 10.1 Grundsatz der Speicherbegrenzung

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck notwendig ist. Nach Entfall des Verarbeitungszwecks werden die Daten entweder gelöscht oder — sofern eine Identifizierung nicht mehr möglich ist — vollständig anonymisiert. Anonymisierte Daten gelten nicht mehr als personenbezogen und dürfen zu statistischen und analytischen Zwecken dauerhaft aufbewahrt werden.

§ 10.2 Auftragsabwicklungsdaten

Daten, die ausschließlich zur Durchführung des Zulassungsauftrags erhoben wurden und für die keine gesetzliche Aufbewahrungspflicht besteht, werden spätestens 30 Tage nach vollständigem Abschluss des Auftrags und Ablauf der Widerrufsfrist gelöscht. Dokument-Scans und Ausweiskopien werden nach Abschluss des Auftrags unverzüglich gelöscht.

§ 10.3 Buchhalterische und steuerliche Aufbewahrungspflichten

Rechnungen, Buchungsbelege, Zahlungsnachweise und sonstige steuerlich und handelsrechtlich relevante Unterlagen müssen gemäß § 147 AO und § 257 HGB für die Dauer von 10 Jahren aufbewahrt werden. Diese Frist beginnt mit dem Ablauf des Kalenderjahres, in dem das Dokument erstellt wurde. Soweit in diesen Unterlagen personenbezogene Daten enthalten sind (z. B. Name und Adresse auf Rechnungen), werden diese Daten für die Dauer der Aufbewahrungspflicht aufbewahrt und anschließend gelöscht.

§ 10.4 Kommunikationsdaten

E-Mail-Korrespondenz und sonstige Kommunikation werden für die Dauer der Geschäftsbeziehung sowie für die Dauer der allgemeinen zivilrechtlichen Verjährungsfrist von 3 Jahren (§ 195 BGB) nach Abschluss des Auftrags aufbewahrt, sofern nicht kürzere oder längere Fristen auf Grund spezifischer gesetzlicher Vorschriften gelten. Im Streitfall kann die Aufbewahrung bis zum rechtskräftigen Abschluss des Verfahrens verlängert werden.

§ 10.5 Technische Nutzungsdaten

Protokolldateien (Server-Logs, die IP-Adressen enthalten) werden für maximal 7 Tage gespeichert und dann automatisch gelöscht, sofern kein Sicherheitsvorfall eine längere Speicherung erfordert. Google Analytics-Daten werden gemäß unserer Konfiguration für maximal 14 Monate gespeichert; danach erfolgt eine automatische Löschung durch Google.

§ 10.6 Löschkonzept

Wir haben ein formales Löschkonzept implementiert, das alle Datenkategorien, die zugehörigen Aufbewahrungsfristen und die verantwortlichen Stellen für die Durchführung der Löschung dokumentiert. Löschvorgänge werden protokolliert und regelmäßig intern auditiert. Auf begründeten Antrag einer betroffenen Person prüfen wir die sofortige Löschung der sie betreffenden Daten, soweit gesetzliche Aufbewahrungspflichten nicht entgegenstehen.

§ 11 Zahlungsabwicklung durch Stripe

§ 11.1 Identität des Zahlungsdienstleisters

Die Abwicklung von Kartenzahlungen auf unserer Website erfolgt über den Zahlungsdienstleister Stripe. Für Kunden mit Sitz in der Europäischen Union ist der primäre Vertragspartner und datenschutzrechtlich Verantwortliche:

Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower
Dublin 2, D02 H210
Irland
Datenschutzinformationen: https://stripe.com/de/privacy

Stripe Payments Europe, Ltd. ist eine nach irischem Recht gegründete Gesellschaft und unterliegt unmittelbar der DSGVO. Sie ist als E-Geld-Institut bei der Central Bank of Ireland zugelassen. Für Aspekte der Verarbeitung, die bei Stripe, Inc. (USA) verbleiben, gelten die in § 9 beschriebenen Garantien für Drittlandübermittlungen.

§ 11.2 Verarbeitete Daten und Zweck

Bei der Durchführung einer Kartenzahlung auf unserer Website werden folgende Daten an Stripe übermittelt: Vorname, Nachname, E-Mail-Adresse, Rechnungsadresse sowie — über das von Stripe bereitgestellte sichere Zahlungsformular (Stripe.js) — die Kreditkartendaten (Kartennummer, Ablaufdatum, Prüfziffer). Wir selbst erhalten zu keinem Zeitpunkt Zugriff auf die Kreditkartendaten; diese werden ausschließlich zwischen Ihrem Browser und den Servern von Stripe übertragen und verarbeitet.

Stripe verarbeitet diese Daten zum Zweck der Zahlungsabwicklung, der Betrugserkennung und -prävention sowie zur Erfüllung eigener regulatorischer Verpflichtungen (z. B. PCI DSS, Geldwäscheprävention). Stripe kann diese Daten auch zur Verbesserung eigener Dienste und für eigene statistische Zwecke verarbeiten, soweit dies durch Stripes Datenschutzerklärung gedeckt ist.

§ 11.3 Rechtsgrundlagen

Die Übermittlung Ihrer Daten an Stripe erfolgt auf der Grundlage des Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zahlungsabwicklung als notwendiger Vertragsbestandteil) sowie auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung der Zahlungssicherheit und Betrugsprävention).

§ 12 E-Mail-Dienst (Resend)

§ 12.1 Identität und Funktion

Für den Versand transaktionaler E-Mails (Auftragsbestätigungen, Zahlungsbestätigungen, Statusupdates, Rechnungen, Mahnungen) setzen wir den E-Mail-Dienst Resend des Unternehmens Resend, Inc. ein, einem nach US-amerikanischem Recht organisierten Unternehmen mit Sitz in den Vereinigten Staaten von Amerika. Transaktionale E-Mails sind E-Mails, die ausschließlich im direkten Zusammenhang mit Ihrer Auftragsabwicklung versendet werden; sie enthalten keine Werbung und werden nicht zu Marketingzwecken eingesetzt.

§ 12.2 Verarbeitete Daten

Resend verarbeitet in unserem Auftrag folgende Daten für den E-Mail-Versand: Empfänger-E-Mail-Adresse, Empfängername (Vorname, Nachname), Betreff und Inhalt der E-Mail, Versand-Zeitstempel sowie Zustellstatus. Mit Resend haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Resend verarbeitet die Daten ausschließlich nach unseren Weisungen und darf sie nicht für eigene Zwecke verwenden.

§ 12.3 Drittlandübermittlung

Da Resend, Inc. in den USA ansässig ist, findet eine Drittlandübermittlung statt. Diese stützen wir auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Resend verpflichtet sich vertraglich zur Einhaltung des Schutzniveaus der DSGVO und nimmt an einschlägigen Zertifizierungsprogrammen teil.

§ 13 Hosting und Cloud-Infrastruktur (Cloudflare)

§ 13.1 Cloudflare als Infrastrukturdienstleister

Unsere Website und unsere gesamte technische Infrastruktur — Webserver, Datenbank und Datei-Speicher — werden auf der Plattform von Cloudflare betrieben:

Cloudflare, Inc.
101 Townsend Street
San Francisco, CA 94107, USA

Für die Verarbeitung im Europäischen Wirtschaftsraum ist zusätzlich die europäische Niederlassung relevant:

Cloudflare Limited
101 College Green
Dublin 2, Irland

§ 13.2 Eingesetzte Cloudflare-Dienste

Wir nutzen folgende Cloudflare-Produkte, bei denen personenbezogene Daten verarbeitet werden:

  • Cloudflare Workers: Serverlose Laufzeitumgebung für unsere Webanwendung. Jede HTTP-Anfrage an unsere Website wird in einer Cloudflare-Worker-Instanz verarbeitet; hierbei wird zwangsläufig die IP-Adresse des Anfragenden verarbeitet.
  • Cloudflare D1: SQLite-kompatible verteilte Datenbank, in der alle Auftragsdaten, Kundendaten und Einstellungen gespeichert sind. Die Daten werden verschlüsselt gespeichert.
  • Cloudflare R2: Objektspeicher für hochgeladene Dokumente (Ausweiskopien, Fahrzeugpapiere). Die gespeicherten Objekte sind durch Zugriffskontrolle gesichert und nicht öffentlich zugänglich.
  • Cloudflare WAF und DDoS-Schutz: Zur Absicherung gegen Web-Angriffe analysiert Cloudflare eingehende HTTP-Anfragen. Hierbei werden IP-Adressen und Request-Metadaten verarbeitet.

§ 13.3 Standorte und Drittlandübermittlung

Cloudflare betreibt Rechenzentren weltweit, darunter zahlreiche Standorte in der Europäischen Union (z. B. Frankfurt, Amsterdam, Paris). Wir haben in unserem Cloudflare-Konto die Option aktiviert, die Speicherung von D1-Daten und R2-Objekten vorzugsweise in der EU zu konfigurieren. Dennoch kann Cloudflare-Infrastruktur aus technischen Gründen im Einzelfall auf Rechenzentren in den USA oder anderen Ländern zurückgreifen. Cloudflare ist im Rahmen des EU-US Data Privacy Framework (DPF) zertifiziert; zusätzlich bestehen SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO.

§ 14 Regionale KFZ-Zulassungspartner und Behörden

§ 14.1 Notwendigkeit der Datenweitergabe

Die Erbringung unserer KFZ-Zulassungsdienstleistung macht die Weitergabe Ihrer personenbezogenen Daten an regionale KFZ-Zulassungspartner und an die zuständige Kraftfahrzeugzulassungsbehörde zwingend erforderlich. Ohne diese Weitergabe ist die Durchführung der Zulassung beim Straßenverkehrsamt schlechterdings unmöglich. Die Weitergabe erfolgt auf der Grundlage des Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

§ 14.2 Regionale Zulassungspartner

Wir arbeiten mit einem Netzwerk regionaler KFZ-Zulassungspartner zusammen, die über die erforderliche behördliche Zulassung für die Durchführung von Kraftfahrzeugzulassungen in ihrem jeweiligen Zuständigkeitsbereich verfügen. Diese Partner erhalten von uns alle für die Durchführung der Zulassung erforderlichen Daten — insbesondere Stammdaten des Fahrzeughalters, Fahrzeugdaten und Ausweiskopien — und handeln im Rahmen der Zulassungsabwicklung als eigenständige datenschutzrechtliche Verantwortliche. Wir haben sichergestellt, dass unsere Partner die Anforderungen der DSGVO einhalten; entsprechende vertragliche Zusicherungen sind Bestandteil unserer Partnerverträge.

§ 14.3 Kraftfahrzeugzulassungsbehörden

Die Zulassungsbehörden (Straßenverkehrsämter) verarbeiten die ihnen übermittelten Daten auf der Grundlage des Straßenverkehrsgesetzes (StVG), der Fahrzeugzulassungsverordnung (FZV) und des Datenschutzgesetzes für die Kraftfahrzeugzulassung. Als Behörden sind sie an das öffentliche Datenschutzrecht gebunden. Eine Verweigerung der Datenweitergabe an die Zulassungsbehörde würde die Durchführung der beauftragten Zulassung unmöglich machen.

§ 14.4 Hauptzollamt (KFZ-Steuer)

Sofern Sie die KFZ-Steuer per SEPA-Lastschrift entrichten möchten, wird Ihre IBAN an das zuständige Hauptzollamt übermittelt. Die Einzugsermächtigung ist behördlich vorgeschrieben und kann nicht durch uns beeinflusst werden. Das Hauptzollamt verarbeitet diese Daten auf gesetzlicher Grundlage als eigenständiger Verantwortlicher.

§ 15 Website-Analyse durch Google Analytics

§ 15.1 Beschreibung des Dienstes

Sofern Sie Ihre Einwilligung über unser Cookie-Einwilligungsbanner erteilt haben, nutzen wir auf unserer Website den Web-Analyse-Dienst Google Analytics 4 (GA4). GA4 ist ein Dienst zur Analyse des Nutzerverhaltens auf Websites. Er ermöglicht uns, Informationen darüber zu erheben, wie Besucher unsere Website nutzen — zum Beispiel welche Seiten sie aufrufen, wie lange sie verweilen und über welche Kanäle sie auf unsere Website gelangt sind. Diese Informationen dienen ausschließlich der Verbesserung unserer Website und unserer Dienstleistungsangebote.

Anbieter des Dienstes ist:

Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland

(Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)

§ 15.2 Verarbeitete Daten und Cookies

Google Analytics verwendet Cookies, um Ihren Browser bei einem erneuten Besuch wiederzuerkennen. Folgende Cookies werden von Google Analytics gesetzt:

  • _ga: Hauptcookie zur Unterscheidung von Nutzern; Speicherdauer: 2 Jahre
  • _ga_[Property-ID]: Cookie zur Speicherung des Sitzungsstatus; Speicherdauer: 2 Jahre
  • _gid: Cookie zur Unterscheidung von Nutzern; Speicherdauer: 24 Stunden

Google Analytics verarbeitet folgende Daten: anonymisierte IP-Adresse (die letzten beiden Oktette der IPv4-Adresse bzw. die letzten 80 Bits der IPv6-Adresse werden vor der Speicherung gelöscht), Browser-Typ und -Version, Betriebssystem, Referrer-URL, Hostname, Zugriffszeit, Seitenaufrufe, Sitzungsdauer, Klickpfade sowie demografische Informationen, soweit diese aus den Nutzungsdaten ableitbar sind.

§ 15.3 IP-Anonymisierung

Wir haben für Google Analytics die IP-Anonymisierung aktiviert. Dies bedeutet, dass Ihre IP-Adresse von Google innerhalb der Europäischen Union oder anderer Vertragsstaaten des Europäischen Wirtschaftsraums vor der Übermittlung in die USA gekürzt wird. Nur in Ausnahmefällen wird die vollständige IP-Adresse an Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt, soweit Sie nicht in die Verknüpfung mit Ihrem Google-Konto eingewilligt haben.

§ 15.4 Rechtsgrundlage und Einwilligung

Die Nutzung von Google Analytics erfolgt ausschließlich auf der Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen in Ihrem Browser aufrufen oder das Google Analytics Opt-out Browser-Add-on installieren, das unter https://tools.google.com/dlpage/gaoptout heruntergeladen werden kann.

§ 15.5 Drittlandübermittlung an Google

Google verarbeitet Daten grundsätzlich innerhalb der EU über Google Ireland Limited. Dennoch können Daten im Rahmen der Konzernstruktur auch an Google LLC in den USA weitergeleitet werden. Diese Übermittlung stützen wir auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie auf das EU-US Data Privacy Framework, unter dem Google LLC zertifiziert ist. Weitere Informationen zum Datenschutz bei Google finden Sie in der Google-Datenschutzerklärung unter https://policies.google.com/privacy.

§ 16 Cookies und ähnliche Technologien

§ 16.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Endgerät (Computer, Smartphone, Tablet) gespeichert werden, wenn Sie unsere Website besuchen. Sie ermöglichen es, Ihren Browser bei einem erneuten Besuch wiederzuerkennen und gespeicherte Einstellungen oder Zustände abzurufen. Cookies können von unserer Website selbst (First-Party-Cookies) oder von eingebundenen Drittanbietern (Third-Party-Cookies) gesetzt werden.

§ 16.2 Technisch notwendige Cookies

Folgende Cookies sind für den Betrieb unserer Website technisch unbedingt notwendig und werden ohne Einwilligung gesetzt. Sie können in Ihrem Browser deaktiviert werden, was jedoch zu erheblichen Funktionseinschränkungen führen kann:

  • admin_session: Session-Cookie zur Authentifizierung im Admin-Bereich. Enthält eine verschlüsselte Session-ID. Wird nach dem Schließen des Browsers oder nach Inaktivität automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (notwendig zur Nutzung des Admin-Bereichs) und § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).

§ 16.3 Analyse-Cookies (nur mit Einwilligung)

Die Google Analytics Cookies (_ga, _gid, _ga_[Property-ID]) werden nur gesetzt, wenn Sie über unser Cookie-Einwilligungsbanner zugestimmt haben. Details finden Sie in § 15. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG (Einwilligung erforderlich).

§ 16.4 Cookie-Verwaltung und Widerspruch

Sie können Ihre Einwilligung zur Nutzung von Analyse-Cookies jederzeit über unser Cookie-Banner widerrufen oder die Cookie-Einstellungen in Ihrem Browser anpassen. Die meisten Browser ermöglichen es Ihnen, Cookies zu löschen, die Annahme neuer Cookies zu verweigern oder Warnmeldungen zu erhalten, bevor neue Cookies gespeichert werden. Beachten Sie, dass das Deaktivieren bestimmter Cookies die Funktionalität unserer Website beeinträchtigen kann. Eine Übersicht der Einstellungsmöglichkeiten finden Sie in der Hilfefunktion Ihres Browsers.

§ 16.5 Keine Marketing-Cookies

Wir setzen keine Cookies zu Werbezwecken (Marketing-Cookies), keine Retargeting-Cookies und keine Cookies für Social-Media-Plugins ein. Eine Profilbildung für Werbezwecke findet nicht statt.

§ 17 Kontaktaufnahme und Kommunikation

§ 17.1 Direktkontakt per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden die von Ihnen übermittelten Daten — insbesondere Ihre E-Mail-Adresse, Ihr Name (sofern angegeben) und der Inhalt Ihrer Nachricht — ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Kundenanfragen) oder, sofern die Anfrage im Zusammenhang mit einem bestehenden Auftrag steht, Art. 6 Abs. 1 lit. b DSGVO.

§ 17.2 Speicherdauer von Kommunikationsdaten

Anfragen und Korrespondenz, die im Zusammenhang mit einem Zulassungsauftrag stehen, werden für die Dauer der Geschäftsbeziehung sowie für die Dauer der gesetzlichen Aufbewahrungsfristen gespeichert (vgl. § 10). Allgemeine Anfragen ohne konkreten Auftragsbezug werden nach abschließender Beantwortung und Ablauf der allgemeinen Verjährungsfrist (3 Jahre gemäß § 195 BGB) gelöscht.

§ 17.3 Keine Pflicht zur Kontaktaufnahme

Die Kontaktaufnahme mit uns ist freiwillig. Wenn Sie uns jedoch keinen Zugang zu bestimmten Daten gewähren, kann es sein, dass wir die angefragte Dienstleistung nicht oder nur eingeschränkt erbringen können. Im Rahmen der KFZ-Zulassung ist die Übermittlung bestimmter personenbezogener Daten gesetzlich vorgeschrieben (FZV) und kann nicht verweigert werden, ohne die Durchführung der Zulassung zu verhindern.

§ 18 Ihre Rechte als betroffene Person

Die DSGVO gewährt Ihnen als betroffener Person umfassende Rechte gegenüber Verantwortlichen, die Ihre personenbezogenen Daten verarbeiten. Wir nehmen diese Rechte ernst und haben Prozesse implementiert, die eine reibungslose Geltendmachung und fristgerechte Bearbeitung sicherstellen. Bitte wenden Sie sich zur Geltendmachung Ihrer Rechte an: datenschutz@kfzamt.de.

§ 18.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, von uns unentgeltlich Auskunft darüber zu erhalten, ob und in welchem Umfang wir personenbezogene Daten über Sie verarbeiten. Im Falle einer Verarbeitung haben Sie Anspruch auf folgende Informationen:

  • Die Verarbeitungszwecke
  • Die Kategorien verarbeiteter personenbezogener Daten
  • Die Empfänger oder Empfängerkategorien, gegenüber denen die Daten offengelegt wurden oder werden
  • Die geplante Speicherdauer oder die Kriterien für deren Bestimmung
  • Das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei Ihnen erhoben wurden
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik
  • Bei Drittlandübermittlungen: Angabe der geeigneten Garantien

Wir stellen Ihnen auf Anfrage eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für weitere Kopien können wir ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Das Auskunftsrecht wird innerhalb eines Monats ab Eingang des Ersuchens erfüllt; bei Komplexität oder einer Vielzahl von Anträgen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie unverzüglich informieren.

§ 18.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen — auch mittels einer ergänzenden Erklärung. Bitte informieren Sie uns umgehend, wenn sich Ihre Daten (insbesondere Anschrift oder E-Mail-Adresse) ändern, damit wir die korrekte Abwicklung Ihres Auftrags gewährleisten können.

§ 18.3 Recht auf Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO)

Sie haben das Recht, die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern einer der folgenden Gründe zutrifft:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig
  • Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage
  • Sie legen Widerspruch nach Art. 21 Abs. 1 DSGVO gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe vor
  • Sie legen Widerspruch nach Art. 21 Abs. 2 DSGVO gegen Direktwerbung ein
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung (insbesondere gesetzliche Aufbewahrungsfristen), aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

§ 18.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der folgenden Voraussetzungen vorliegt:

  • Sie bestreiten die Richtigkeit der Daten — für die Dauer der Überprüfung
  • Die Verarbeitung ist unrechtmäßig und Sie lehnen die Löschung ab und verlangen stattdessen die Einschränkung
  • Wir benötigen die Daten nicht länger, Sie benötigen sie jedoch zur Geltendmachung von Rechtsansprüchen
  • Sie haben Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt — bis zur Klärung, ob unsere berechtigten Interessen überwiegen

Bei eingeschränkter Verarbeitung dürfen die Daten — abgesehen von ihrer Speicherung — nur mit Ihrer Einwilligung, zur Geltendmachung von Rechtsansprüchen, zum Schutz der Rechte anderer Personen oder aus Gründen des öffentlichen Interesses verarbeitet werden. Wir informieren Sie, bevor die Einschränkung aufgehoben wird.

§ 18.5 Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung (Art. 19 DSGVO)

Wir sind verpflichtet, alle Empfänger, denen wir Ihre personenbezogenen Daten offenbart haben, über jede Berichtigung, Löschung oder Einschränkung der Verarbeitung zu informieren — es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Auf Ihre Anfrage hin teilen wir Ihnen diese Empfänger mit.

§ 18.6 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Dieses Recht besteht nur dann, wenn die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b DSGVO) beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Auf Antrag übermitteln wir Ihre Daten auch direkt an einen von Ihnen benannten anderen Verantwortlichen, soweit dies technisch machbar ist.

§ 18.7 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Wir weisen darauf hin, dass wir keine Direktwerbung ohne Einwilligung betreiben und kein Profiling für Werbezwecke durchführen.

§ 18.8 Automatisierte Einzelentscheidungen einschließlich Profiling (Art. 22 DSGVO)

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Wir treffen keine solchen automatisierten Entscheidungen (vgl. auch § 23). Die Zulässigkeit oder Ablehnung Ihres Auftrags wird stets von einem Menschen geprüft und entschieden.

§ 19 Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer von Ihnen erteilten Einwilligung beruht (insbesondere die Nutzung von Google Analytics), haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung — vergangene Verarbeitungsvorgänge bleiben also rechtmäßig.

Den Widerruf können Sie wie folgt erklären:

  • Google Analytics: Über das Cookie-Einwilligungsbanner auf unserer Website (erneuter Aufruf der Einstellungen) oder durch Installation des Google Analytics Opt-out Browser-Add-ons
  • Alle Einwilligungen: Per E-Mail an datenschutz@kfzamt.de unter Angabe der konkreten Einwilligung, die Sie widerrufen möchten

Nach Eingang Ihres Widerrufs werden wir die betreffende Verarbeitung unverzüglich einstellen und alle auf Basis der Einwilligung gespeicherten Daten löschen, sofern keine andere Rechtsgrundlage für die weitere Speicherung besteht.

§ 20 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

§ 20.1 Recht auf Beschwerde

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Da wir als Verantwortlicher außerhalb der EU ansässig sind, können Sie sich an die für Sie zuständige Aufsichtsbehörde in dem EU-Mitgliedstaat wenden, in dem Sie Ihren gewöhnlichen Aufenthalt haben, in dem Sie arbeiten oder in dem der mutmaßliche Verstoß begangen wurde.

§ 20.2 Zuständige Aufsichtsbehörde

Die von uns als zuständige Aufsichtsbehörde im Sinne des Art. 77 DSGVO benannte Behörde ist:

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Str. 153 53117 Bonn
Website: https://www.bfdi.bund.de/

Unabhängig davon können Sie sich als betroffene Person an jede Datenschutzaufsichtsbehörde in dem EU-Mitgliedstaat wenden, in dem Sie Ihren gewöhnlichen Wohnsitz haben. Für Deutschland sind dies die Datenschutzbehörden der einzelnen Bundesländer sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn.

§ 20.3 Recht auf gerichtlichen Rechtsbehelf (Art. 79 DSGVO)

Unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs haben Sie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn Sie der Ansicht sind, dass Ihre Rechte gemäß der DSGVO infolge einer nicht im Einklang mit der DSGVO stehenden Verarbeitung Ihrer personenbezogenen Daten verletzt wurden. Das zuständige Gericht befindet sich in dem Mitgliedstaat, in dem wir als Verantwortlicher unsere Niederlassung haben — da wir außerhalb der EU ansässig sind, können Sie wahlweise auch vor den Gerichten des EU-Mitgliedstaats klagen, in dem Sie Ihren gewöhnlichen Aufenthalt haben.

§ 21 Datensicherheit (Art. 32 DSGVO)

§ 21.1 Technische und organisatorische Maßnahmen

Wir haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Zu den implementierten Maßnahmen gehören insbesondere:

  • Verschlüsselung der Übertragung: Sämtliche Kommunikation zwischen Ihrem Browser und unserer Website erfolgt ausschließlich über das HTTPS-Protokoll unter Verwendung des Transport Layer Security-Protokolls (TLS 1.3). Eine unverschlüsselte HTTP-Verbindung wird automatisch auf HTTPS umgeleitet.
  • Verschlüsselung der Datenspeicherung: In der Cloudflare D1-Datenbank und im Cloudflare R2-Objektspeicher gespeicherte Daten werden durch Cloudflare verschlüsselt gespeichert (Encryption at Rest).
  • Zugriffskontrolle und Authentifizierung: Der Admin-Bereich unserer Website ist durch eine sichere Authentifizierung mit gehashten und gesalzenen Passwörtern (PBKDF2 mit SHA-256, 100.000 Iterationen) geschützt. Session-Tokens haben eine begrenzte Gültigkeitsdauer.
  • Web Application Firewall (WAF): Cloudflare stellt eine Web Application Firewall zur Verfügung, die bekannte Angriffsmuster (SQL-Injection, Cross-Site-Scripting, etc.) automatisch blockiert.
  • DDoS-Schutz: Unsere Infrastruktur ist durch den DDoS-Schutz von Cloudflare gegen volumetrische und applikationsbasierte Angriffe geschützt.
  • Datensparsamkeit und Zugriffsbeschränkung: Wir erheben nur die für den jeweiligen Zweck unbedingt notwendigen Daten (Datenminimierungsprinzip) und beschränken den internen Datenzugriff auf autorisierte Personen (Need-to-know-Prinzip).
  • Regelmäßige Überprüfungen: Wir führen regelmäßige interne Sicherheitsüberprüfungen durch und testen unsere Sicherheitsmaßnahmen auf Wirksamkeit.

§ 21.2 Grenzen der Datensicherheit

Wir weisen darauf hin, dass keine Datenübertragung über das Internet und keine elektronische Datenspeicherung zu 100 % sicher ist. Trotz aller Bemühungen um den Schutz Ihrer personenbezogenen Daten können wir keine absolute Sicherheit garantieren. Im Falle einer Sicherheitsverletzung werden wir die gesetzlichen Meldepflichten einhalten (Art. 33, 34 DSGVO) und Sie unverzüglich informieren, soweit die Verletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge hat.

§ 22 Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO)

§ 22.1 Meldepflicht gegenüber der Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten sind wir gemäß Art. 33 DSGVO verpflichtet, diese Verletzung unverzüglich und möglichst binnen 72 Stunden, nachdem sie uns bekannt wurde, der zuständigen Aufsichtsbehörde zu melden, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, Name und Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen der Verletzung sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und zur Abmilderung der Auswirkungen.

§ 22.2 Benachrichtigung betroffener Personen

Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, informieren wir diese unverzüglich gemäß Art. 34 DSGVO. Die Benachrichtigung enthält eine Beschreibung der Art der Verletzung und enthält Empfehlungen für die betroffene Person, mögliche nachteilige Auswirkungen der Verletzung zu mindern. Wir haben interne Prozesse implementiert, die eine schnelle Erkennung, Bewertung und Reaktion auf Datenschutzverletzungen sicherstellen.

§ 23 Keine automatisierte Einzelentscheidung und kein Profiling (Art. 22 DSGVO)

Wir treffen keine Entscheidungen über Sie, die ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhen und die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Alle Entscheidungen über die Annahme, Durchführung oder Ablehnung von Aufträgen sowie über die Reaktion auf Kundenanfragen werden von Menschen getroffen und unterliegen menschlicher Überprüfung. Google Analytics wird ausschließlich zur aggregierten statistischen Auswertung des Website-Traffics eingesetzt und begründet kein Profiling einzelner Personen.

Sofern wir in Zukunft Prozesse implementieren sollten, die eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO beinhalten, werden wir Sie hierüber gesondert informieren und — soweit gesetzlich erforderlich — Ihre ausdrückliche Einwilligung einholen. Sie würden in einem solchen Fall stets das Recht haben, eine Überprüfung der automatisierten Entscheidung durch einen Menschen zu verlangen, Ihren Standpunkt darzulegen und die Entscheidung anzufechten.

§ 24 Aktualität der Datenschutzerklärung und Änderungsvorbehalte

Diese Datenschutzerklärung entspricht dem aktuellen Stand zum oben genannten Datum. Sie unterliegt dem Vorbehalt von Änderungen, die durch gesetzliche Entwicklungen (neue oder geänderte Rechtsnormen, Rechtsprechung des EuGH oder der nationalen Gerichte), technische Neuerungen in unseren Diensten oder die Aufnahme neuer Datenverarbeitungspraktiken erforderlich werden können.

Wesentliche Änderungen werden wir auf unserer Website unter deutlichem Hinweis auf die Natur der Änderungen bekannt geben. Sofern wir im Rahmen einer Änderung neue Verarbeitungsvorgänge einführen, für die eine Einwilligung erforderlich ist, werden wir diese gesondert und ausdrücklich einholen.

Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen, um über etwaige Änderungen informiert zu sein. Die jeweils aktuelle Fassung ist stets unter https://www.kfzamt.de/datenschutz abrufbar. Ältere Versionen dieser Datenschutzerklärung sind auf Anfrage beim Datenschutzbeauftragten erhältlich.

Stand: März 2026 | KFZ Amt | datenschutz@kfzamt.de