Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Erhebung allgemeiner Daten beim Besuch der Website

Beim Aufrufen unserer Website werden durch den von Ihnen verwendeten Browser automatisch Informationen an den Server unseres Hosting-Anbieters gesendet und temporär in einem sogenannten Logfile gespeichert. Folgende Daten werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem

Die Verarbeitung erfolgt zur Wahrung unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einem stabilen, sicheren und funktionsfähigen Webauftritt.

3. Hosting (Lovable Cloud / Supabase)

Diese Website wird auf der Plattform Lovable Cloud (Anbieter: Lovable AB, Stockholm, Schweden) betrieben. Lovable Cloud nutzt im Hintergrund die Datenbank- und Backend-Infrastruktur von Supabase Inc. (Region EU). Mit den Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

3a. Cloudflare CDN, DDoS-Schutz und Cloudflare Turnstile

Zur sicheren und performanten Auslieferung dieser Website nutzen wir das Content Delivery Network (CDN) sowie die Sicherheitsdienste von Cloudflare. Anbieter ist die Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA (nachfolgend „Cloudflare"). Cloudflare ist als Reverse-Proxy zwischen Ihren Browser und unseren Server geschaltet. Dadurch werden sämtliche Anfragen an unsere Website über die Server von Cloudflare geleitet. Hierbei werden insbesondere Ihre IP-Adresse, aufgerufene URL, Browsertyp, Betriebssystem, Referrer-URL und Zeitpunkt des Zugriffs verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, schnellen und ausfallsicheren Bereitstellung unserer Website). Eine Datenübertragung in die USA findet statt. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023); ergänzend bestehen EU-Standardvertragsklauseln nach Art. 46 DSGVO. Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Zusätzlich setzen wir auf Formularen (Buchung, Kontakt, VIP-Login) Cloudflare Turnstile ein, um automatisierte Spam-Anfragen und Bots abzuwehren. Turnstile arbeitet ohne Cookies und ohne Tracking-Profilbildung. Verarbeitet werden lediglich technische Browser-Signale (z. B. JavaScript-Fähigkeit, Geräteklasse) sowie Ihre IP-Adresse zur Bot-Erkennung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Formulare).

Weitere Informationen zum Datenschutz bei Cloudflare finden Sie unter: https://www.cloudflare.com/privacypolicy/

4. Online-Terminbuchung

Wenn Sie über unsere Website einen Termin buchen, verarbeiten wir die von Ihnen eingegebenen Daten zur Vorbereitung und Durchführung der Untersuchung (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Erhobene Daten:

• Name
• E-Mail-Adresse
• Telefonnummer
• Fahrzeuginformationen (Marke, Modell, amtliches Kennzeichen, Herstellerschlüsselnummer HSN, Typschlüsselnummer TSN, Datum der Erstzulassung)
• Untersuchungsart, Datum und Uhrzeit des gewünschten Termins
• Optionale Anmerkungen, die Sie uns mitteilen

Zweck: Bearbeitung Ihrer Anfrage, Bestätigung des Termins, Erinnerung vor dem Termin und ggf. Rücksprache zur Untersuchung.

Optionale KI-gestützte Texterkennung des Fahrzeugscheins: Sie können im Buchungsformular freiwillig ein Foto Ihres Fahrzeugscheins (Zulassungsbescheinigung Teil I) aufnehmen oder hochladen, um die Fahrzeugfelder automatisch ausfüllen zu lassen. Das Bild wird hierzu an den Dienst Lovable AI Gateway (Anbieter: Lovable AB, Stockholm) übermittelt, der im Hintergrund ein KI-Modell von Google (Gemini) zur Texterkennung nutzt. Aus dem Bild werden ausschließlich die genannten Fahrzeugdaten (Marke, Modell, Kennzeichen, HSN/TSN, Erstzulassung) ausgelesen und in das Formular übernommen. Das hochgeladene Bild wird nicht dauerhaft gespeichert, sondern nur zur Erkennung verarbeitet und anschließend verworfen. Mit Lovable bestehen die erforderlichen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das aktive Hochladen des Bildes) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Die Nutzung der Texterkennung ist freiwillig — Sie können die Fahrzeugdaten jederzeit auch manuell eingeben.

Speicherdauer: Die Buchungsdaten werden nach Abschluss der Untersuchung so lange aufbewahrt, wie es zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist (insb. handels- und steuerrechtliche Vorgaben, in der Regel bis zu 10 Jahre). Termindaten ohne steuerliche Relevanz werden spätestens nach 3 Jahren anonymisiert.

5. Versand von E-Mails (Bestätigungen, Erinnerungen)

Im Rahmen der Terminbuchung versenden wir Bestätigungs-, Erinnerungs- und Stornierungs-E-Mails an die von Ihnen angegebene E-Mail-Adresse. Der Versand erfolgt über die infrastrukturelle Plattform Lovable Cloud. Eine Weitergabe Ihrer E-Mail-Adresse zu Werbezwecken erfolgt nicht.

Sie können den Erhalt nicht zwingend erforderlicher E-Mails jederzeit über den in jeder E-Mail enthaltenen Abmelde-Link widerrufen.

5a. Versand von SMS-Benachrichtigungen (Twilio)

Wenn Sie bei der Buchung eine Mobilfunknummer angeben, können wir Ihnen ergänzend zur E-Mail kurze SMS-Benachrichtigungen zu Ihrem Termin senden (insbesondere Terminerinnerung am Vortag, Bestätigung kurzfristiger Änderungen, ggf. Information über eine Verschiebung).

Dienstleister: Der technische Versand erfolgt über die Twilio Ireland Limited, 25–28 North Wall Quay, Dublin 1, Irland („Twilio"). Twilio verarbeitet hierzu Ihre Mobilfunknummer, den Nachrichteninhalt sowie technische Zustellinformationen (z. B. Zustellstatus, Zeitstempel) in unserem Auftrag. Mit Twilio besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine Übermittlung in Drittländer (insbesondere USA) kann nicht ausgeschlossen werden; Twilio stützt sich hierfür u. a. auf die EU-Standardvertragsklauseln.

Absenderkennung: Unsere SMS werden unter dem Alpha-Sender „GTUE_Hein“ verschickt. Eine Antwort auf diese SMS ist technisch nicht möglich; bitte nutzen Sie für Rückfragen E-Mail, Telefon oder WhatsApp.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Terminkommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Terminzustellung). Sie können dem Versand jederzeit formlos per E-Mail an info@gtue-hein.de widersprechen; in diesem Fall erhalten Sie Erinnerungen ausschließlich per E-Mail.

Speicherdauer: Zustellprotokolle werden nur so lange gespeichert, wie es zur Nachvollziehbarkeit des Versands und zur Abrechnung mit dem Dienstleister erforderlich ist (in der Regel maximal 90 Tage), danach gelöscht oder anonymisiert. Weitere Informationen zum Datenschutz bei Twilio finden Sie unter twilio.com/legal/privacy.

5b. WhatsApp Business API (Zwei-Wege-Kommunikation, automatische Antwort)

Zusätzlich zum oben beschriebenen WhatsApp-Klick-zu-Chat (siehe Abschnitt 8) betreiben wir einen offiziellen WhatsApp-Business-Kanal über die WhatsApp Business Platform (Cloud API). Wenn Sie uns über diesen Kanal eine Nachricht senden, kann es sein, dass Sie unmittelbar eine automatische Empfangsbestätigung („Auto-Reply") erhalten, die Sie über unsere Erreichbarkeit informiert. Die inhaltliche Beantwortung erfolgt anschließend persönlich durch Steven Hein.

Verarbeitete Daten: Mobilfunknummer, von Ihnen gewählter Profilname, Nachrichteninhalt, ggf. mitgesendete Medien, Zeitstempel sowie Lese- und Zustellstatus. Wir speichern den Nachrichtenverlauf in unserem internen Admin-Bereich, um auf Rückfragen reagieren zu können und Ihren Konversationsverlauf einer ggf. zugehörigen Buchung zuordnen zu können.

Technische Bereitstellung: Der Empfang und Versand der WhatsApp-Nachrichten läuft über Twilio Ireland Limited (siehe 5a) als BSP (Business Solution Provider). Mit Twilio besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Twilio bindet seinerseits die WhatsApp Ireland Limited / Meta Platforms Ireland Limited als Unter-Auftragsverarbeiter ein; für die Nutzung der WhatsApp Business Platform gelten zusätzlich die WhatsApp Business Solution Terms von Meta, die wir beim Onboarding akzeptiert haben. Eine Übermittlung in Drittländer (insbesondere USA) findet statt; Meta ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

24-Stunden-Service-Fenster: Außerhalb von 24 Stunden nach Ihrer letzten eingehenden Nachricht erlauben die WhatsApp-Richtlinien uns nur den Versand vorab freigegebener Vorlagen (z. B. Terminerinnerungen). Wir nutzen diesen Kanal ausschließlich für die Terminkommunikation, nicht für Werbung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Anschreiben unseres WhatsApp-Kanals) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit Ihre Anfrage einen Termin oder Vertrag betrifft).

Widerruf / Löschung: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns das per E-Mail oder direkt per WhatsApp mitteilen („STOP"); wir löschen Ihren Konversationsverlauf dann unverzüglich, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5d. Interne Benachrichtigung des Inhabers per Telegram (ohne personenbezogene Daten)

Damit der Inhaber neue Terminanfragen sofort bearbeiten kann, wird bei jeder Buchung eine pseudonymisierte interne Benachrichtigung an einen ausschließlich vom Inhaber genutzten Telegram-Chat gesendet. Die Nachricht enthält ausschließlich die Art der Prüfleistung sowie Datum und Uhrzeit des Termins (z. B. „Neue Terminanfrage – HU/AU – 21.05.2026 10:00"). Name, Telefonnummer, E-Mail-Adresse, Kfz-Kennzeichen oder sonstige personenbezogene Daten werden nicht über Telegram übermittelt. Die Kontaktdaten ruft der Inhaber ausschließlich im geschützten Admin-Bereich auf unseren EU-Servern ab.

Folge: Da über diesen Kanal keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO an Telegram (Telegram FZ-LLC, Dubai, VAE) übermittelt werden, findet auch keine Drittlandübermittlung personenbezogener Daten statt. Eine gesonderte Einwilligung nach Art. 49 DSGVO ist daher nicht erforderlich. Rechtsgrundlage für die rein technische, nicht personenbezogene Benachrichtigung des Inhabers ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen Bearbeitung von Terminanfragen).

5c. VIP-Kundenkonto (nur für eingeladene Stammkunden)

Für ausgewählte Stammkunden bieten wir ein persönliches Kundenkonto („VIP-Konto") an. Das Konto wird ausschließlich vom Anbieter angelegt; eine Selbstregistrierung ist nicht möglich.

Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer, optional hinterlegte Standard-Fahrzeugdaten, selbst gewähltes Kennwort (ausschließlich als gesalzener PBKDF2-SHA-256-Hash gespeichert, das Klartext-Kennwort ist uns nicht bekannt), Zeitpunkt der letzten Anmeldung, Anzahl fehlgeschlagener Anmeldeversuche sowie Session-Informationen (zufälliger Session-Token, Ablaufzeit, IP-Adresse und User-Agent des eingeloggten Geräts; Aufbewahrung max. 90 Tage ab Login).

Zweck: Authentifizierung am VIP-Portal, Anzeige gebuchter und vergangener Termine, Direktbuchung, Verschiebung und Stornierung eigener Termine sowie Schutz des Kontos vor unbefugtem Zugriff (z. B. temporäre Sperre nach 5 Fehlversuchen).

Anmeldung per E-Mail-Link (Magic Link): Alternativ zum Kennwort-Login können wir Ihnen einen einmalig gültigen Login-Link per E-Mail senden. Der Link ist 15 Minuten gültig und kann nur einmal verwendet werden.

Cookie: Nach erfolgreicher Anmeldung setzen wir ein technisch notwendiges Session-Cookie (vip_session, httpOnly, Secure, SameSite=Lax, Laufzeit 90 Tage) zur Wiedererkennung Ihres angemeldeten Zustands. Eine Einwilligung nach § 25 TTDSG ist hierfür nicht erforderlich, da das Cookie unbedingt erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung im Rahmen der VIP-Vereinbarung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Login-Verfahren).

Speicherdauer: Die Kontodaten werden für die Dauer der aktiven Geschäftsbeziehung gespeichert. Auf Wunsch der VIP-Kundin / des VIP-Kunden oder bei dauerhafter Inaktivität löschen wir das Konto; gesetzliche Aufbewahrungspflichten für die zugehörigen Buchungen bleiben hiervon unberührt.

6. HU-Erinnerung (optional, nur mit Einwilligung)

Bei der Buchung einer Hauptuntersuchung (HU) können Sie freiwillig einwilligen, dass wir Sie ca. 6 Wochen vor Ablauf der nächsten HU (rund 2 Jahre nach Ihrem Termin) einmalig per E-Mail erinnern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung ist freiwillig und für die Buchung eines Termins nicht erforderlich.

Verarbeitete Daten: Name, E-Mail-Adresse, Datum der letzten HU, ggf. Fahrzeuginformationen.

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — über den Abmelde-Link in jeder E-Mail oder per formloser Nachricht an info@gtue-hein.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Speicherdauer: Die Einwilligung wird gespeichert, bis die Erinnerung versendet wurde oder Sie widerrufen — spätestens jedoch 3 Jahre nach der zugrundeliegenden Buchung.

7. Übermittlung an Google Calendar (Drittland-Transfer)

Bestätigte Termine werden zur internen Terminkoordination automatisch in unseren Google-Kalender übertragen. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Eine Datenübermittlung in die USA kann dabei nicht ausgeschlossen werden. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert, wodurch ein angemessenes Datenschutzniveau gewährleistet wird.

Übertragen werden: Name, E-Mail-Adresse, Telefonnummer, Termindatum und -uhrzeit, Untersuchungsart, ggf. Fahrzeuginformationen sowie ggf. Ihre Notizen zur Buchung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (organisatorische Effizienz).

8. Kontaktaufnahme per E-Mail, Telefon oder WhatsApp Business

Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage und für den Fall, dass Anschlussfragen entstehen, gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

WhatsApp Business: Auf unserer Website bieten wir Ihnen die Möglichkeit, uns über einen Klick auf den WhatsApp-Button direkt per WhatsApp Business zu kontaktieren. Anbieter ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Tochter der Meta Platforms, Inc.). Sobald Sie den Button anklicken und eine Nachricht an uns senden, werden personenbezogene Daten (insbesondere Mobilfunknummer, Profilname, ggf. Profilbild, Nachrichteninhalt sowie Online- und Lesestatus) durch WhatsApp verarbeitet. Eine Übermittlung in Drittländer (insbesondere USA) findet statt; Meta ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Wir haben keinen Einfluss auf den Umfang der durch WhatsApp erhobenen Daten.

Rechtsgrundlage für die Verarbeitung über WhatsApp ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Anklicken des Buttons und Versenden einer Nachricht) sowie Art. 6 Abs. 1 lit. b/f DSGVO zur Bearbeitung Ihrer Anfrage. Inhalte unserer Konversation werden auf unserem dienstlichen Endgerät gespeichert, solange dies zur Beantwortung und für eventuelle Rückfragen erforderlich ist. Sie können diese Einwilligung jederzeit für die Zukunft widerrufen, indem Sie uns auf einem anderen Weg (z. B. Telefon oder E-Mail) kontaktieren.

Weitere Informationen zum Datenschutz bei WhatsApp finden Sie unter whatsapp.com/legal/privacy-policy-eea.

9. Verlinkung auf Google Maps (keine Einbettung)

Auf unserer Website sind keine Google-Maps-Karten direkt eingebettet. Wir verlinken lediglich auf das Karten- und Routenplaner-Angebot von Google. Erst wenn Sie aktiv auf einen dieser Links klicken, werden Sie auf google.com/maps weitergeleitet, und Google verarbeitet dort eigenverantwortlich Ihre Daten (insbesondere IP-Adresse, Geräteinformationen, Datum und Uhrzeit der Anfrage sowie ggf. Standort).

Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Eine Datenübermittlung in die USA kann dabei nicht ausgeschlossen werden; Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage für den Klick auf den externen Link ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (durch das aktive Anklicken).

Weitere Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google unter policies.google.com/privacy.

10. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies bzw. Speicher-Mechanismen, die für den sicheren Betrieb der Anwendung erforderlich sind (z. B. Session-Cookies für den Admin-Login). Es findet kein Tracking und keine werbliche Auswertung statt. Eine Einwilligung nach § 25 TTDSG ist hierfür nicht erforderlich.

11a. Optionale Spracheingabe (Voice-Booking)

Wir bieten Ihnen im Buchungsformular optional die Möglichkeit, Ihre Terminanfrage per Spracheingabe zu erfassen („Voice-Booking"). Diese Funktion ist freiwillig — Sie können alle Angaben jederzeit auch klassisch per Tastatur erfassen.

Wie die Spracherkennung technisch funktioniert: Die Umwandlung Ihrer Sprache in Text (Speech-to-Text) erfolgt ausschließlich lokal in Ihrem Browser über die Web Speech API Ihres Betriebssystems bzw. Browsers (z. B. Chrome, Safari). Es wird keine Audio-Aufnahme auf unsere Server oder an Dritte übertragen. Die Verarbeitung etwaiger biometrischer Stimmcharakteristika nach Art. 9 DSGVO findet durch uns nicht statt. Welche Verarbeitungen Ihr Browser- bzw. Betriebssystem-Anbieter (z. B. Apple, Google, Microsoft) im Rahmen der nativen Spracherkennung selbst vornimmt, entzieht sich unserem Einfluss; bitte beachten Sie hierzu die Datenschutzhinweise des jeweiligen Anbieters.

Verarbeitung des erkannten Textes: Der im Browser erzeugte Text-Transkript wird an unseren Server übermittelt und dort zur Extraktion der Termin-Bestandteile (Datum, Uhrzeit, Prüfart, Name, Kontaktdaten) an den Dienst Lovable AI Gateway (Anbieter: Lovable AB, Stockholm) weitergegeben, der im Hintergrund ein Sprachmodell von Google (Gemini) oder OpenAI nutzt. Übertragen wird ausschließlich der Transkript-Text, kein Audio, keine IP-Adresse und keine sonstigen personenbezogenen Identifikatoren. Mit Lovable besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung durch aktives Starten der Spracheingabe) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Speicherdauer: Der Transkript-Text wird im Browser nur für die Dauer der Erfassung gehalten. Sobald Sie die Buchung absenden, werden die extrahierten Daten Teil der regulären Buchungsdaten (siehe Abschnitt 4). Brechen Sie ab, werden alle Eingaben verworfen.

11b. Fehler- und Stabilitätsprotokollierung

Zur Sicherstellung der Stabilität, Sicherheit und Verfügbarkeit dieser Website betreiben wir ein eigenes, ausschließlich technisches Fehlerprotokoll. Wenn in Ihrem Browser oder auf dem Server ein unerwarteter Fehler auftritt, übertragen wir hierzu folgende technische Informationen an unseren eigenen Server (kein Drittanbieter, kein Sentry oder ähnlicher Tracker):

• Fehlermeldung und technischer Stack-Trace
• Aufgerufene URL bzw. Routen-Pfad (z. B. /termin) — ohne von Ihnen eingegebene Formularinhalte
• Browser-Kennung (User-Agent), Zeitpunkt, HTTP-Statuscode

Wir speichern hierbei ausdrücklich nicht Ihre IP-Adresse, Ihren Namen, Ihre E-Mail-Adresse oder Inhalte aus Formularen. Eine Personenbeziehbarkeit besteht dadurch in aller Regel nicht. Eine Weitergabe dieser Protokolldaten an Dritte findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen, sicheren und funktionsfähigen Betrieb dieser Website sowie an der schnellen Behebung von Fehlern zum Schutz Ihrer Eingaben). Eine Verarbeitung zu Profiling- oder Analysezwecken findet nicht statt. Speicherdauer: Fehlerprotokolle werden spätestens nach 90 Tagen automatisch gelöscht.

11c. Terminbuchung über KI-Assistenten (MCP-Schnittstelle)

Wir stellen unter /api/mcp eine maschinenlesbare Schnittstelle nach dem Model Context Protocol (MCP) bereit. Über diese Schnittstelle können KI-Assistenten (z. B. ChatGPT von OpenAI, Claude von Anthropic, Gemini von Google, Perplexity u. a.) in Ihrem Auftrag Informationen zu Leistungen und Preisen abrufen, freie Termine ermitteln und Termine direkt buchen.

Wichtige Klarstellung zur Verantwortlichkeit: Wenn Sie einen KI-Assistenten eines Drittanbieters nutzen, um bei uns einen Termin zu buchen, ist der jeweilige KI-Anbieter (OpenAI, Anthropic, Google etc.) für die Verarbeitung Ihrer Eingaben im Chat eigenständig datenschutzrechtlich verantwortlich. Wir haben weder Einblick in Ihren Chatverlauf noch Kenntnis davon, mit welchem KI-Dienst Sie arbeiten. Es besteht zwischen uns und diesen KI-Anbietern kein Auftragsverarbeitungsverhältnis. Bitte beachten Sie die Datenschutzhinweise des von Ihnen gewählten KI-Anbieters.

Was bei uns ankommt: Sobald der KI-Assistent in Ihrem Auftrag eine verbindliche Buchung anlegt, übermittelt er an unsere Schnittstelle dieselben Buchungsdaten, die auch beim regulären Online-Formular erhoben werden (Name, E-Mail, Telefon, Fahrzeuginfo, Wunschtermin, ggf. Anmerkungen). Die weitere Verarbeitung dieser Daten (Speicherung, Bestätigungsmail, Erinnerung, Aufbewahrungsfristen) erfolgt identisch zur Online-Buchung — siehe Abschnitt 4.

Technisches Protokoll (mcp_call_log): Zur Missbrauchs- und Lastabwehr protokollieren wir jeden Aufruf der MCP-Schnittstelle mit folgenden technischen Daten: IP-Adresse des aufrufenden Servers (dies ist in der Regel die IP des KI-Anbieters, nicht Ihre eigene), User-Agent-Kennung, Tool-Name, Zeitpunkt, Antwortzeit in Millisekunden, Erfolgs-/Fehlerstatus und ggf. die ID einer erzeugten Buchung. Es werden keine Inhalte Ihres Chatverlaufs und keine über die Buchungsdaten hinausgehenden personenbezogenen Daten gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) für die Buchungsdaten sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz, Lastbegrenzung und stabilem Betrieb der Schnittstelle) für das technische Protokoll. Speicherdauer: Buchungsdaten gemäß Abschnitt 4; das technische MCP-Protokoll wird spätestens nach 90 Tagen automatisch gelöscht.

11. Ihre Rechte

Ihnen stehen folgende Rechte zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an info@gtue-hein.de.

12. Zuständige Aufsichtsbehörde

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12, 66111 Saarbrücken
www.datenschutz.saarland.de

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern dies aufgrund neuer Technologien oder geänderter Rechtslage erforderlich wird. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.