Datenschutzbestimmungen

Datum des Inkrafttretens: 2025-09-18
Fassung: v1.0
Betroffene Websites und Dienste: https://autoaz.de (Webshop und Informationsseite), zugehörige Kundendienstkanäle und Social-Media-Plattformen (Facebook, Instagram, YouTube, TikTok).

Einleitung und Zweck
Zweck dieses Hinweises ist es, den Nutzern, die natürliche Personen sind (im Folgenden "betroffene Personen"), knappe, transparente und leicht verständliche Informationen über die Verarbeitung personenbezogener Daten gemäß den Artikeln 12-14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO) zu geben. Der Hinweis bezieht sich auf Besucher der Website, Nutzer, die sich registrieren und kaufen, Newsletter-Abonnenten und Personen, die eine direkte Anfrage stellen.

Datenverantwortlicher und Kontaktangaben

Für die Datenverarbeitung Verantwortlicher
Firmensitz: 1139 Budapest, Frangepán utca 55-57, Ungarn
Registrierungsnummer des Unternehmens: 01-09-072803
Steuernummer: 10465802-2-44
Registergericht: Fővárosi Törvényszék Cégbírósága
Vertretungsberechtigt: Geschäftsführer
Allgemeiner Kontakt: info@unixauto.hu
Datenschutz-Kontakt-E-Mail: gdpr@autoaz.com

Datenschutzbeauftragter (DSB)
Name: Gergely Kárpáti
E-Mail: karpati.gergely@unixauto.hu
Kommentare, Beschwerden und Anträge von betroffenen Personen können an den DSB gerichtet werden.

Quelle der personenbezogenen Daten

Die primäre Quelle der Datenerhebung ist direkt von der betroffenen Person (Formulare, Bestellung, Kontoeinstellungen). Sekundäre Quellen können Rückmeldungen zur Betrugsbekämpfung vom Zahlungsdienstleister, der Status des Kurierdienstes oder Kundendienstsysteme sein.

Überblick über die Rechtsgrundlagen
- Vertragserfüllung - Artikel 6(1)(b) GDPR: Einrichtung und Betrieb eines Kontos, Bestellung, Lieferung, Kundendienst.

- Gesetzliche Verpflichtung - GDPR Artikel 6(1)(c): Rechnungsstellung und Aufbewahrung (Buchhaltungsgesetz), steuerliche und buchhalterische Verpflichtungen.

- Einwilligung - GDPR Artikel 6 (1) a): Marketing-Newsletter, Profiling, nicht-essentielle Cookies.

- Berechtigtes Interesse - GDPR Artikel 6 (1)(f): Nachweis der Einwilligung, IT-Sicherheit, Verhinderung von Missbrauch und Betrug, Forderungsmanagement. Die berechtigten Interessen, die wir verfolgen, sind verhältnismäßig, stellen keinen ungerechtfertigten Eingriff in die Privatsphäre dar und gewährleisten stets das Recht auf Widerspruch

Einzelheiten der Datenverarbeitung

Registrierung und Kontoverwaltung
- Zweck: Erstellung und Verwaltung eines Benutzerkontos; Erleichterung künftiger Käufe.

- Verarbeitete Daten: E-Mail-Adresse, Vorname, Nachname, Passwort (verschlüsselt), Rechnungs-/Lieferanschrift(en), Telefonnummer; optional: gespeicherte Fahrzeugdaten (Typ, Baujahr, Motorkennzeichen, Kennzeichen, Fahrgestellnummer, Note).

- Rechtsgrundlage: GDPR 6(1)(b) (Vertragserfüllung) - Betrieb des Kontos; optional für gespeicherte Fahrzeugdaten GDPR 6(1)(a) (Einwilligung).

- Aufbewahrung: Dauer des aktiven Kontos + 30 Tage ab Löschung in Backups; bei Inaktivität Löschung des Kontos nach 24 Monaten (es sei denn, die Auftragsdaten werden noch gesetzlich benötigt).

Einkauf und Erfüllung
- Zweck: Vertragsabschluss und -erfüllung, Rechnungsstellung, Lieferung, Kundenkommunikation.

- Verarbeitete Daten: Name, Rechnungs-/Lieferanschrift, Bestelldaten (Produkt, Menge, Preis, Bestellnummer), Zahlungsart, Kundenkommunikation.

- Rechtsgrundlage: GDPR 6(1)(b) (Vertrag), nach Erfüllung GDPR 6(1)(c) (Aufbewahrung der Buchhaltung).

- Aufbewahrung: Rechnung und grundlegende Buchhaltungsunterlagen: bis zum Ablauf von 8 Jahren nach dem Jahr der Ausstellung (§ 169 des Buchhaltungsgesetzes).
Zahlung (Kartendaten)
- Akteure und Rollen: Barion Payment Zrt.; Stripe Payments Europe Ltd.; PayPal (Europe) S.à r.l. et Cie, S.C.A. - in der Regel unabhängige Kontrolleure von Zahlungsdaten.

- Schlüssel: Kartendaten (PAN, Ablaufdatum, CVC/CVV) werden nicht von dem für die Verarbeitung Verantwortlichen erhoben und gespeichert. Sie werden ausschließlich vom Zahlungsdienstleister in Übereinstimmung mit dem Kartensystem und den PCI DSS-Vorschriften verarbeitet und in Token umgewandelt.

- Datenfluss an den für die Verarbeitung Verantwortlichen: Transaktions-ID, Status, Beträge, Beschwerde-/Rückbuchungs-Metadaten.

- Rechtsgrundlage: GDPR 6(1) b) (Zahlungsverarbeitung); für Betrugsprävention und Missbrauchsmanagement GDPR 6(1) f) (berechtigtes Interesse).
Kundenbetreuung und Kontakt
- Zweck: Bearbeitung von Anfragen, Fragen, Beschwerden; Unterstützung bei der Fahrzeugidentifizierung.

- Verarbeitete Daten: Name, E-Mail, Telefonnummer, Bestellnummer, Inhalt der Nachricht; zur Fahrzeugidentifizierung: Fahrgestellnummer, Marke, Modell, Baujahr.

- Rechtsgrundlage: für vertragliche Angelegenheiten GDPR 6(1)(b); für andere Anfragen GDPR 6(1)(f) (berechtigtes Interesse); für Verbraucherbeschwerden GDPR 6(1)(c) (gesetzliche Verpflichtung).

- Aufbewahrung: in der Regel 12 Monate; im Falle eines Rechtsstreits/einer Beschwerde, die entsprechende Verjährungsfrist.
Newsletter und Direktmarketing
- Zweck: Versendung von Nachrichten, Angeboten, Werbeaktionen; Verwaltung und Überprüfung der Abonnenten.

- Verarbeitete Daten: Name, E-Mail-Adresse; protokollierte Zustimmung/Abbestellung und Zeitpunkt.

- Rechtsgrundlage: für den Versand, GDPR 6(1)(a) (Einwilligung); für den Nachweis der Einwilligung, GDPR 6(1)(f) (berechtigtes Interesse).

- Aufbewahrung: bis zur Abmeldung; für 3 Jahre zum Nachweis der Tatsache und des Zeitpunkts der Abmeldung.
Profiling (personalisierte Angebote)
- Zweck: Erstellung von relevanten Angeboten, Segmenten auf der Grundlage von Verkehrs- und Kaufdaten.

- Verarbeitete Daten: demografische und technische Metadaten; Browsing- und Bestellverhalten; Präferenzen; optional Geburtsdatum.

- Rechtsgrundlage: GDPR 6(1)(a) (ausdrückliche Zustimmung).

- Folgen: Profiling beeinflusst, welche Angebote Sie erhalten; kein Nachteil für den Kauf.

- Abmeldung: jederzeit, ohne Angabe von Gründen.

Logistik und Lieferung
- Zweck: Lieferung der bestellten Produkte, Bearbeitung von Rücksendungen.

- Empfänger: GLS Hungary Kft. und DPD Hungary Kft. (Datenverarbeiter).

- Verarbeitete Daten: Name, Adresse, Telefonnummer, E-Mail (Benachrichtigung), Paketinformationen.

- Rechtsgrundlage: GDPR 6(1) b).
Regulatorische Verpflichtungen
- Zweck: Steuer- und Buchhaltungsberichte, gesetzliche Anforderungen.

- Empfänger: z. B. die nationale Steuer- und Zollverwaltung.

- Rechtsgrundlage: GDPR 6(1)(c).

Empfänger und Auftragsverarbeiter

Unabhängige Datenverantwortliche (Beispiele):
- Barion Payment Zrt.
- Stripe Payments Europe Ltd. / Stripe, Inc.
- PayPal (Europe) S.à r.l. et Cie, S.C.A.
- Meta Platforms Ireland Ltd. (Verwaltung von Facebook/Instagram-Seiten)
- Google Ireland Ltd. (Einbettung von YouTube)

Datenverarbeiter (Beispiele):
- GLS Hungary Kft.; DPD Hungary Kft. (Zustellung).
- GetResponse S.A. - Newsletter, Analytik (nur mit den notwendigen Zugriffen).
- Hosting/CDN/IT-Hosting: [auszufüllen: Name und Adresse des Anbieters] - Hosting in der EU/EWR.

Die Auftragsverarbeiter handeln ausschließlich nach den Anweisungen des für die Verarbeitung Verantwortlichen, mit entsprechenden Verträgen und Sicherheitsanforderungen.

Internationale Datenübermittlung (außerhalb des EWR)

Bestimmte Dienstleister (z. B. Stripe, Meta, Google, TikTok) können Daten außerhalb des EWR verarbeiten. In solchen Fällen wenden wir die EU-Standardvertragsklauseln (SCC) an, mit Übertragungsrisikobewertung (TIA) und erforderlichenfalls zusätzlichen technischen/rechtlichen Vertragsgarantien. Eine Zusammenfassung der angewandten Garantien ist auf Anfrage erhältlich.

Cookies und ähnliche Technologien (Cookies)

Die Website verwendet Cookies. Nicht wesentliche Cookies werden nur mit Zustimmung gesetzt (TTDSG § 25 (1)); das Setzen notwendiger Cookies ist für die Erbringung des Dienstes unerlässlich (GDPR 6(1) f) - berechtigtes Interesse). Sie können Ihre Zustimmung jederzeit über die Cookie-Einstellungsschnittstelle (Consent Management Platform - CMP) ändern.

Kategorien
- Erforderlich (unbedingt erforderlich): Anmeldung, Warenkorb, Sicherheit (z. B. CSRF), Lastausgleich, Sprache.

- Präferenzen/Funktional (nutzerorientiert): Komfort-Einstellungen (z.B. zuletzt gewähltes Fahrzeug, zuletzt angesehenes Produkt).

- Statistik: anonyme/pseudo-anonyme Messung und Leistung.

- Marketing: Anzeigenkennungen und Remarketing (z. B. Criteo, Meta, Google Ads, TikTok).

Name Kategorie Zweck Verfall Operator
_antfr Erforderlicher CSRF-Schutz session AutoAZ
_sesid Erforderlich Session ID session AutoAZ
_ccons Erforderlich Abonnementstatus 1 Jahr AutoAZ/CMP
_acto Erforderlich Eingeloggte Benutzerkennung 1 Jahr AutoAZ
_pgsiz Voreinstellungen Seitengröße/-einstellung 1 Jahr AutoAZ
_vehty / _vehma / _vehmo / _vehid Voreinstellungen Zuletzt ausgewählte Fahrzeugdetails 1 Jahr AutoAZ
_grave Einstellungen "Garage"-Fahrzeuge speichern 1 Jahr AutoAZ
_lstar / _lstve Präferenzen Zuvor angesehene/ausgewählte Produkte/Fahrzeuge 1 Jahr AutoAZ
_guid Einstellungen Eindeutige Benutzer-ID (funktional) 1 Jahr AutoAZ
_gufapro Einstellungen Wunschzettel (ausgecheckt) 1 Jahr AutoAZ
1 Jahr GetResponse/Google Analytics _ga Statistik Analytics - Benutzer-ID 1 Jahr
_gid Statistik Analytics - Sitzung 24 Stunden GetResponse/Google Analytics
gaVisitorUuid / gaVisitorResubscribed Marketing GetResponse eindeutige Bezeichner 1 Jahr GetResponse
BarionMarketingConsent^ Marketing Beitrag zur Verhaltensanalyse 18 Monate Barion
grUuidHasBeenSet Marketing GetResponse Status permanent GetResponse
gaLocalStorageVisitKey Marketing GetResponse Status persistent GetResponse
Ein und dasselbe Cookie wird nicht in mehr als einer Kategorie aufgeführt. Die aktuelle Liste kann in der CMP eingesehen und aktualisiert werden.

YouTube-Einbettung ("erweiterter Datenschutz")
Videos werden erst abgespielt, nachdem die betroffene Person das Video aktiv gestartet hat; Google/YouTube kann dann seine eigenen Cookies und andere Identifikatoren setzen.

Zeitplan für die Datenspeicherung (Aufbewahrung)
Datengruppe Aufbewahrungsfrist Rechtsgrundlage/Angabe
Grunddaten des Nutzerkontos bis zur Löschung des Kontos + 30 Tage Backups 6(1)(b)
Inaktives Konto nach 24 Monaten der Inaktivität Löschung 6(1)(b); Datenminimierung
Bestell-/Rechnungsdaten bis zum Ende des 8. Jahres nach Ausstellungsjahr 6(1)(c); Rechnungsakt.
Kundendienstkorrespondenz 12 Monate; im Streitfall bis zum Ende der Verjährungsfrist 6(1)(b)/(f)
Newsletter-Abonnement bis zur Abbestellung 6(1)(a)
Nachweis der Abbestellung 3 Jahre 6(1)(f)
Profiling-Segmente bis zum Widerruf der Einwilligung 6(1)(a)
Protokolle, Sicherheitsereignisse 6-12 Monate 6(1)(f)

Sicherheit der Daten
Angemessene technische und organisatorische Maßnahmen sind vorhanden (Zugangskontrolle, Verschlüsselung bei der Übertragung und im Ruhezustand, Protokollierung, Backups, Schwachstellenmanagement, Zugangskontrolle). Zahlungsdienstleister verarbeiten Kartendaten in ihren eigenen Systemen gemäß PCI DSS.

Obligatorische oder freiwillige Datenbereitstellung und Konsequenzen
Die Nichtbereitstellung der für den Vertragsabschluss und die Leistungserbringung erforderlichen Daten kann die Erbringung der Dienstleistung verhindern (z. B. keine Lieferung ohne Lieferadresse). Die Bereitstellung von Marketing- und Profildaten ist freiwillig, ihre Nichtbereitstellung hat keine Auswirkungen auf den Kauf.

Rechte der betroffenen Person Zugang, Information (Artikel 15 GDPR)

- Berichtigung (Artikel 16)

- Löschung (Artikel 17)

- Einschränkung (Artikel 18)

- Datenübertragbarkeit (Artikel 20) - bei automatisierter, auf Einwilligung beruhender oder vertraglicher Verarbeitung

- Widerspruch (Artikel 21) - insbesondere gegen Direktmarketing

- Widerruf der Einwilligung - jederzeit und ohne Angabe von Gründen
Ausübung: gdpr@autoaz.com (oder per E-Mail an den DSB). Antwortfrist: 1 Monat, in begründeten Fällen +2 Monate. Wir können eine angemessene Identifizierung verlangen, um Ihre Daten zu schützen. Die Anfragen werden protokolliert.

Beschwerden und Rechtsbehelfe

Beschwerden können bei jeder EU/EWR-Aufsichtsbehörde eingereicht werden. In Ungarn:
Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH)
9-11, Falk Miksa Straße, 1055 Budapest.
Anschrift für den Schriftverkehr: 1363 Budapest, Pf. 9.
Internet: https://naih.hu
Sie können sich auch an die Gerichte wenden, um den Rechtsweg zu beschreiten.

Minderjährige

Unsere Dienstleistungen richten sich nicht an Personen unter 16 Jahren. Die Zustimmung einer Person unter 16 Jahren ist nur mit der Zustimmung eines Erziehungsberechtigten gültig.

Social Media Sites und gemeinsame Datenverwaltung

Facebook/Instagram-Fanseiten werden mit Meta Platforms Ireland Ltd. betrieben und unterliegen einem gemeinsamen Datenmanagement für sogenannte Page Insights-Daten. Die grundlegenden Informationen sind in den Allgemeinen Geschäftsbedingungen von Meta aufgeführt; Sie können Ihre Rechte gegenüber beiden Parteien geltend machen.

Änderungsmanagement und Benachrichtigung
Wir können diesen Hinweis von Zeit zu Zeit aktualisieren. Im Falle einer wesentlichen Änderung wird ein Hinweis auf der Website angezeigt. Ein Änderungsprotokoll ist am Ende dieses Dokuments enthalten.

Kontakt

Für allgemeine Datenschutzanfragen: gdpr@autoaz.com
Datenschutzbeauftragter: Gergely Kárpáti
Kontaktinformationen des Datenschutzbeauftragten: karpati.gergely@unixauto.hu

Anhänge

A) Kurze Zusammenfassung der Tests zur Interessenüberprüfung

- IT-Sicherheit und Protokollierung: Das berechtigte Interesse des für die Datenverarbeitung Verantwortlichen hat Vorrang vor den geringsten Bedenken der betroffenen Person; kurze Aufbewahrungsfrist; begrenzter Zugriff.

- Nachweis der Zustimmung zum Marketing: Einhaltung der Rechtsvorschriften, Vermeidung von Streitigkeiten; geringes Risiko; Aufbewahrung für 3 Jahre.

B) Garantien für Datenübermittlungen in Drittländer

- Anwendung der SCC (2021/914/EU) Vertragsklauseln,

- TIA (Transferrisikobewertung),

- Verschlüsselung und Zugangskontrolle,

- Grundsatz des minimalen Datenflusses.

C) Erweiterte Liste von Cookies und Dienstleistern

Die CMP-Schnittstelle enthält immer die aktuelle und ausführliche Liste (Name, Zweck, Ablaufdatum, Anbieter, Kategorie). Die obige Tabelle ist ein Leitfaden und kann sich bei Systemaktualisierungen ändern.

Änderungsprotokoll

- v2.0 (2025-09-24): zweite veröffentlichte Version, konsolidierte und bereinigte Rechtsgrundlage; Klärung des Umgangs mit Kartendaten; Trennung der Cookie-Kategorien; Aufnahme von Garantien für den internationalen Datentransfer; Aufbewahrungsmatrix.