1. Einleitung und Geltungsbereich
Diese DSGVO-Compliance-Richtlinie beschreibt, wie AUTONOMi personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und dem anwendbaren Recht der EU-Mitgliedstaaten erhebt, verarbeitet, speichert und schützt.
Diese Richtlinie gilt für:
- Alle personenbezogenen Daten, die von Personen erhoben werden, die sich in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) befinden, einschließlich Deutschland und Polen
- Alle Verarbeitungstätigkeiten, die von AUTONOMi als Verantwortlicher oder Auftragsverarbeiter durchgeführt werden
- Alle Mitarbeiter, Auftragnehmer und Dritte, die personenbezogene Daten im Auftrag von AUTONOMi verarbeiten
2. Rollen des Verantwortlichen und des Auftragsverarbeiters
2.1 AUTONOMi als Verantwortlicher
AUTONOMi handelt als Verantwortlicher, wenn es die Zwecke und Mittel der Verarbeitung personenbezogener Daten direkt bestimmt, einschließlich:
- Personenbezogene Daten, die von Webseitenbesuchern erhoben werden (goautonomi.com)
- Kontakt- und Kontoinformationen, die von Plattformnutzern bereitgestellt werden
- Marketing- und Kommunikationsdaten
Kontaktdaten des Verantwortlichen:
AUTONOMi
E-Mail: gdpr@goautonomi.com
Webseite: goautonomi.com
2.2 AUTONOMi als Auftragsverarbeiter
AUTONOMi handelt als Auftragsverarbeiter, wenn es personenbezogene Daten im Auftrag seiner Kunden (Autohäuser und Händlergruppen) verarbeitet, die die Verantwortlichen sind. Dies umfasst:
- CRM- und DMS-Daten, die mit der Plattform synchronisiert werden
- Kundenlisten und First-Party-Zielgruppendaten, die von Kunden hochgeladen werden
- Werbeplattform-Daten und Kampagnen-Attributionsdaten
In dieser Eigenschaft verarbeitet AUTONOMi Daten ausschließlich gemäß den Anweisungen des Kunden, wie im anwendbaren Auftragsverarbeitungsvertrag (AVV) festgelegt.
2.3 EU-Vertreter
AUTONOMi ist für betroffene Personen in der EU über die oben genannten Kontaktdaten erreichbar. Sofern nach Art. 27 DSGVO erforderlich, wird AUTONOMi einen EU-Vertreter benennen. EU-Nutzer können uns unter gdpr@goautonomi.com für alle DSGVO-bezogenen Anfragen kontaktieren.
3. Rechtsgrundlagen für die Verarbeitung
AUTONOMi verarbeitet personenbezogene Daten nur, wenn eine Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt. Die folgende Tabelle zeigt die Verarbeitungstätigkeiten und die entsprechenden Rechtsgrundlagen:
| Verarbeitungstätigkeit | Rechtsgrundlage | DSGVO-Artikel |
|---|---|---|
| Bereitstellung vertraglich vereinbarter Plattformdienste | Vertragserfüllung | Art. 6(1)(b) |
| Benutzerkontenverwaltung | Vertragserfüllung | Art. 6(1)(b) |
| Rechnungsstellung und Zahlungsabwicklung | Rechtliche Verpflichtung | Art. 6(1)(c) |
| Steuer- und Finanzaufbewahrung | Rechtliche Verpflichtung (7 Jahre Aufbewahrung) | Art. 6(1)(c) |
| Marketingkommunikation (Opt-in) | Einwilligung | Art. 6(1)(a) |
| Analysen und Plattformverbesserung | Berechtigtes Interesse | Art. 6(1)(f) |
| Betrugsprävention und Sicherheit | Berechtigtes Interesse | Art. 6(1)(f) |
| Nicht-essenzielle Cookies und Tracking | Einwilligung | Art. 6(1)(a) |
| Einhaltung rechtlicher Verfahren | Rechtliche Verpflichtung | Art. 6(1)(c) |
3.1 Einwilligung
Wenn die Einwilligung die Rechtsgrundlage ist, wird AUTONOMi:
- Die Einwilligung durch eine klare, bestätigende Handlung einholen
- Eine verständliche Erklärung darüber bereitstellen, welche Daten erhoben werden und wie sie verwendet werden
- Nachweise über die Einwilligung führen (Zeitstempel, Version der Richtlinie, der zugestimmt wurde, und Methode der Einwilligung)
- Den Widerruf der Einwilligung jederzeit und ohne Nachteil ermöglichen
Um Ihre Einwilligung jederzeit zu widerrufen: gdpr@goautonomi.com
3.2 Berechtigte Interessen
Wenn wir uns auf berechtigte Interessen stützen, haben wir eine Interessenabwägung (Legitimate Interest Assessment, LIA) durchgeführt, um sicherzustellen, dass unsere Interessen nicht die Rechte und Freiheiten der betroffenen Personen überwiegen. Sie haben das Recht, der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen (siehe Abschnitt 7).
4. Von uns erhobene Daten
4.1 Verantwortlichen-Daten (Webseiten- und Plattformnutzer)
| Kategorie | Beispiele | Aufbewahrungsfrist |
|---|---|---|
| Identitätsdaten | Name, Berufsbezeichnung | Kontodauer + 3 Jahre |
| Kontaktdaten | E-Mail, Telefonnummer | Kontodauer + 3 Jahre |
| Kontoanmeldedaten | Benutzername, gehashtes Passwort | Kontodauer |
| Finanzdaten | Zahlungsmitteldetails (tokenisiert) | 7 Jahre (rechtliche Verpflichtung) |
| Nutzungsdaten | Anmeldezeitstempel, Funktionsnutzung | 3 Jahre nach letzter Aktivität |
| Kommunikation | Support-Tickets, E-Mails | 2 Jahre nach Lösung |
| Technische Daten | IP-Adresse, Browser, Gerät | 13 Monate (Analysen) |
4.2 Auftragsverarbeiterdaten (vom Kunden hochgeladene Daten)
Wenn Kunden Daten auf die AUTONOMi-Plattform hochladen, verarbeiten wir diese als Auftragsverarbeiter gemäß den Anweisungen des Kunden:
- Kunden-CRM-Datensätze (Name, Kontaktdaten, Kaufhistorie)
- Fahrzeugbesitz- und Servicedaten
- First-Party-Werbezielgruppen
- Attributions- und Konversionsdaten
Die Aufbewahrung von Auftragsverarbeiterdaten wird durch den anwendbaren AVV geregelt.
5. Datenminimierung und Zweckbindung
AUTONOMi hält sich an die Grundsätze der:
- Datenminimierung — Wir erheben nur die personenbezogenen Daten, die für den festgelegten Zweck erforderlich sind
- Zweckbindung — Personenbezogene Daten, die für einen Zweck erhoben wurden, werden nicht für unvereinbare Zwecke verwendet
- Speicherbegrenzung — Daten werden nur so lange aufbewahrt, wie es notwendig ist, und gemäß unseren Aufbewahrungsfristen gelöscht
- Richtigkeit — Wir ergreifen angemessene Maßnahmen, um sicherzustellen, dass personenbezogene Daten korrekt und aktuell sind
6. Internationale Datenübermittlungen
AUTONOMi ist in den Vereinigten Staaten, Deutschland und Polen tätig. Wenn personenbezogene Daten aus dem EWR in die Vereinigten Staaten oder andere Drittländer übermittelt werden, stellen wir angemessene Garantien gemäß Kapitel V DSGVO sicher.
6.1 Übermittlungsmechanismen
| Übermittlungsziel | Mechanismus | Referenz |
|---|---|---|
| Vereinigte Staaten (AUTONOMi-Infrastruktur) | Standardvertragsklauseln (SVK) | EU-Beschluss 2021/914 |
| Google (Werbung und Analysen) | SVK + Google-Datenverarbeitungsbedingungen | policies.google.com/privacy |
| Meta (Werbeplattform) | SVK + Meta-Datenübermittlungsmechanismen | facebook.com/privacy/policy |
| HubSpot (CRM/Marketing) | SVK + AVV | legal.hubspot.com/dpa |
| Andere US-basierte Auftragsverarbeiter | SVK + individuelle AVVs | Auf Anfrage erhältlich |
6.2 Standardvertragsklauseln
Wir verwenden die von der Europäischen Kommission gemäß Beschluss 2021/914 genehmigten Standardvertragsklauseln als primären Mechanismus für Übermittlungen in Drittländer. Kopien der SVK sind auf Anfrage erhältlich unter gdpr@goautonomi.com.
7. Rechte der betroffenen Personen
Personen in der EU haben die folgenden Rechte gemäß DSGVO. Um ein Recht auszuüben, senden Sie eine Anfrage an gdpr@goautonomi.com. Wir werden innerhalb von 30 Kalendertagen antworten (verlängerbar um weitere 2 Monate bei komplexen Anfragen, mit vorheriger Benachrichtigung).
7.1 Auskunftsrecht (Art. 15)
Sie haben das Recht, eine Bestätigung darüber zu erhalten, ob wir Ihre personenbezogenen Daten verarbeiten, und eine Kopie dieser Daten sowie Informationen über die Verarbeitungstätigkeiten zu erhalten.
7.2 Recht auf Berichtigung (Art. 16)
Sie haben das Recht, die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten unverzüglich zu verlangen.
7.3 Recht auf Löschung (Art. 17)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn:
- Die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind
- Sie die Einwilligung widerrufen und keine andere Rechtsgrundlage vorliegt
- Sie der Verarbeitung widersprechen und keine vorrangigen berechtigten Gründe vorliegen
- Die Daten unrechtmäßig verarbeitet wurden
Dieses Recht gilt nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
7.4 Recht auf Einschränkung der Verarbeitung (Art. 18)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten unter bestimmten Umständen zu verlangen, einschließlich wenn die Richtigkeit bestritten wird oder ein Widerspruch anhängig ist.
7.5 Recht auf Datenübertragbarkeit (Art. 20)
Wenn die Verarbeitung auf Einwilligung oder Vertrag basiert und mithilfe automatisierter Verfahren erfolgt, haben Sie das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON oder CSV) zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
7.6 Widerspruchsrecht (Art. 21)
Sie haben das Recht, jederzeit gegen die Verarbeitung auf Grundlage berechtigter Interessen oder für Direktmarketingzwecke Widerspruch einzulegen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.
Um Direktmarketing zu widersprechen: Melden Sie sich von jeder E-Mail ab oder kontaktieren Sie privacy@goautonomi.com.
7.7 Recht, nicht einer automatisierten Entscheidung unterworfen zu werden (Art. 22)
AUTONOMi trifft keine Entscheidungen, die erhebliche rechtliche Auswirkungen auf Personen haben, die ausschließlich auf automatisierter Verarbeitung beruhen.
7.8 Recht auf Widerruf der Einwilligung
Wenn die Verarbeitung auf Einwilligung basiert, haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf.
8. Aufsichtsbehörde
Betroffene Personen in der EU haben das Recht, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen:
Deutschland:
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Webseite: bfdi.bund.de
Polen:
Urząd Ochrony Danych Osobowych (UODO)
Webseite: uodo.gov.pl
Sie haben auch das Recht, einen gerichtlichen Rechtsbehelf bei den Gerichten Ihres gewöhnlichen Aufenthaltsorts einzulegen.
9. Auftragsverarbeitungsverträge
AUTONOMi schließt einen Auftragsverarbeitungsvertrag (AVV) ab mit:
- Allen EU-Kunden, die die AUTONOMi-Plattform nutzen (erforderlich gemäß Art. 28 DSGVO)
- Allen Unterauftragsverarbeitern, die personenbezogene Daten im Auftrag von AUTONOMi verarbeiten
9.1 AVV-Anforderungen
Unser AVV enthält:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Genehmigung und Benachrichtigungspflichten für Unterauftragsverarbeiter
- Löschung oder Rückgabe von Daten bei Vertragsende
- Sicherheitsmaßnahmen (technisch und organisatorisch)
- Unterstützung bei Anfragen betroffener Personen
Um einen AVV anzufordern: gdpr@goautonomi.com
9.2 Unterauftragsverarbeiter
AUTONOMi verwendet die folgenden Kategorien von Unterauftragsverarbeitern, die EU-personenbezogene Daten verarbeiten können:
| Kategorie | Beispiele | Verarbeitungstätigkeit |
|---|---|---|
| Cloud-Infrastruktur | AWS, Google Cloud | Datenspeicherung und Hosting |
| Zahlungsabwicklung | Stripe | Abrechnung und Abonnementverwaltung |
| CRM und Support | HubSpot, Intercom | Kundenkommunikation |
| Analysen | Google Analytics | Nutzungsanalysen |
| Werbeplattformen | Google Ads, Meta, LinkedIn | Kampagnenauslieferung (Kundendaten) |
| E-Mail-Zustellung | SendGrid oder vergleichbar | Transaktions-E-Mails |
Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich unter gdpr@goautonomi.com. Wir werden Kunden 30 Tage im Voraus über die Hinzunahme neuer Unterauftragsverarbeiter informieren.
10. Meldung von Datenschutzverletzungen
10.1 Interne Reaktion
Bei Feststellung einer Verletzung des Schutzes personenbezogener Daten wird AUTONOMi:
- Die Verletzung eindämmen und das Risiko für betroffene Personen bewerten
- Die Verletzung in unserem Vorfallregister dokumentieren
- Die zuständige Aufsichtsbehörde benachrichtigen, sofern erforderlich
10.2 Meldung an die Aufsichtsbehörde
Wenn eine Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, gemäß Art. 33 DSGVO.
Die Meldung enthält:
- Art der Verletzung und Kategorien/Anzahl der betroffenen Personen
- Kontaktdaten unseres DSB oder DSGVO-Ansprechpartners
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung
10.3 Benachrichtigung der betroffenen Personen
Wenn eine Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt, werden wir die betroffenen Personen unverzüglich benachrichtigen, gemäß Art. 34 DSGVO.
10.4 Kundenmeldung (Rolle als Auftragsverarbeiter)
Wenn eine Verletzung Kundendaten betrifft, für die AUTONOMi als Auftragsverarbeiter handelt, werden wir den betreffenden Verantwortlichen unverzüglich benachrichtigen, damit der Kunde seinen eigenen Benachrichtigungspflichten nachkommen kann.
11. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
AUTONOMi setzt Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO um:
- Technische Maßnahmen: Verschlüsselung von Daten bei der Übertragung und im Ruhezustand, Pseudonymisierung wo anwendbar, Zugriffskontrollen
- Organisatorische Maßnahmen: Datenschutz-Folgenabschätzungen (DSFA) für Verarbeitungstätigkeiten mit hohem Risiko, Mitarbeiterschulungen, Zugriffspolitiken nach dem Prinzip der geringsten Rechte
- Voreinstellungen: Datenschutzfreundliche Voreinstellungen — keine nicht-essenziellen Cookies ohne Einwilligung, minimale Datenerhebung, Opt-in (nicht Opt-out) für Marketingkommunikation
12. Datenschutz-Folgenabschätzungen
AUTONOMi führt Datenschutz-Folgenabschätzungen (DSFA) durch, bevor Verarbeitungstätigkeiten mit hohem Risiko durchgeführt werden, einschließlich:
- Umfangreiche Verarbeitung personenbezogener Daten
- Systematische Überwachung von Personen
- Verarbeitung besonderer Kategorien von Daten
- Neue Technologien, die erhebliche Risiken darstellen können
DSFA-Aufzeichnungen werden intern geführt und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.
13. Deutschlandspezifische Anforderungen (BDSG)
Zusätzlich zu den DSGVO-Anforderungen erfüllt AUTONOMi die Vorgaben des Bundesdatenschutzgesetzes (BDSG):
- Beschäftigtendaten werden gemäß §26 BDSG verarbeitet
- Technische und organisatorische Maßnahmen entsprechen, soweit anwendbar, dem BSI IT-Grundschutz (Anhang 1)
- Betroffenenanfragen von in Deutschland ansässigen Personen werden innerhalb der 30-Tage-Frist der DSGVO bearbeitet
Deutsche Aufsichtsbehörde für die deutschen Aktivitäten von AUTONOMi:
Landesbeauftragter für Datenschutz und Informationsfreiheit (zuständige Landesbehörde basierend auf dem Sitz von AUTONOMi in Deutschland oder BfDI für grenzüberschreitende Angelegenheiten)
14. Polenspezifische Anforderungen
AUTONOMi erfüllt die polnische Umsetzung der DSGVO und die anwendbaren Leitlinien des Urząd Ochrony Danych Osobowych (UODO):
- Betroffenenanfragen von in Polen ansässigen Personen werden innerhalb der 30-Tage-Frist der DSGVO bearbeitet
- Marketing an in Polen ansässige Personen erfolgt nur mit gültiger Einwilligung oder einer dokumentierten Interessenabwägung
Polnische Aufsichtsbehörde:
Urząd Ochrony Danych Osobowych (UODO)
Webseite: uodo.gov.pl
15. Aktualisierungen der Richtlinie
Wir überprüfen und aktualisieren diese DSGVO-Compliance-Richtlinie mindestens jährlich oder wenn:
- Wesentliche Änderungen unserer Verarbeitungstätigkeiten vorliegen
- Neue EU-Leitlinien oder regulatorische Entscheidungen unsere Compliance-Pflichten betreffen
- Wir in neue EU-Märkte expandieren oder neue Datenverarbeitungstätigkeiten hinzufügen
Wir werden registrierte EU-Nutzer per E-Mail über wesentliche Änderungen mit einer Frist von 30 Tagen informieren.
16. Kontakt
Für DSGVO-Anfragen, Betroffenenrechte-Anfragen oder AVV-Anfragen:
AUTONOMi DSGVO-Kontakt
E-Mail: gdpr@goautonomi.com
Webseite: goautonomi.com
Für allgemeine Datenschutzanfragen:
E-Mail: privacy@goautonomi.com