Schildgenie

1. Verantwortlicher
Cosysky UG (haftungsbeschränkt)
Pferdebachstraße 42b, 58455 Witten, Deutschland
E-Mail: support@schildgenie.de
Telefon: +49 170 1263550
(„wir“, „uns“)
Vertretungsberechtigter Geschäftsführer: Sergej Schmidt.
Weitere Pflichtangaben im Impressum.

2. Zwecke, Rechtsgrundlagen, Kategorien
Wir verarbeiten personenbezogene Daten, um schildgenie.de zu betreiben, Anfragen zu beantworten, Wunschkennzeichen zu generieren, Verfügbarkeit zu prüfen und – soweit möglich – zu reservieren, Bestellungen (Zubehör/Nummernschilder) abzuwickeln und zu versenden, Zahlungen zu verarbeiten sowie Sicherheit und Performance zu gewährleisten.
Webseitennutzung/Hosting/IT-Sicherheit (Server-Logfiles, Fehlerprotokolle, Security-Events).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Betrieb/Sicherheit).

Generierung & Reservierung (Kfz-Kennzeichen): Eingaben (Region/Themen/Keywords/Sprachoptionen), Kontaktdaten, Reservierungsdaten bei der Zulassungsstelle, Bestell-IDs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) und ggf. lit. f (Interessenabwägung).

Bestellung/Zahlung/Versand: Name, Anschrift, E-Mail, Zahlungsdaten (über Zahlungsdienst), Warenkorb, Versanddaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Kommunikation/Support (E-Mail, Kontaktformular, optional WhatsApp): Inhalte, Metadaten, Ticket-Historie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.

Marketing/Newsletter (optional): E-Mail, Interaktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Cookies/Tracking (optional): nur mit Einwilligung (siehe Ziff. 4).
Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO.

3. Hosting & technische Dienstleister
Wir hosten bei DigitalOcean, LLC mit Serverstandort Deutschland (Frankfurt/DE). Personenbezogene Daten werden grundsätzlich in Deutschland verarbeitet. Ein Drittlandbezug ist nicht vorgesehen. Sollte in Einzelfällen (z. B. Konzern-Support) dennoch ein Zugriff aus einem Drittland erforderlich sein, erfolgt dies ausschließlich auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) und ergänzender Schutzmaßnahmen.
Auftragsverarbeitung: Vertrag gem. Art. 28 DSGVO mit DigitalOcean.
Weitere Empfänger – auftragsbezogen:
Zahlungsdienst: Stripe (siehe Ziff. 4.7).

Versand (DHL/DPD) über Logistikpartner: Wir übermitteln Versanddaten an unsere beauftragten Logistik-/Fulfillment-Partner, die die Ware in unserem Auftrag an DHL oder DPD übergeben (siehe Ziff. 4.8).

Zulassungsstelle: Übermittlung reservierungsrelevanter Daten im Rahmen der Reservierung.

E-Mail/CRM/Helpdesk (falls vorhanden): <Name des Anbieters>

4. Cookies, lokaler Speicher & Consent
Wir nutzen technisch notwendige Cookies/Storage (z. B. Warenkorb, Login, Consent). Für Statistik/Marketing/UX setzen wir Tools nur mit deiner Einwilligung (Opt-In über das Cookie-Banner) ein. Du kannst deine Auswahl jederzeit im Cookie-Einstellungs-Center ändern:
<Link zum Cookie-Einstellungs-Center>
Rechtsgrundlagen:
Notwendig: § 25 Abs. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb/Sicherheit)

Analyse/Marketing/UX: § 25 Abs. 1 TTDSG (Einwilligung) i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Datenübermittlung:
Verarbeitung erfolgt grundsätzlich in Deutschland (Serverstandort). Bei einzelnen Anbietern (insb. Google/Meta/Hotjar/Microsoft/Stripe) kann es zu Drittlandzugriffen (USA/UK) kommen. In diesen Fällen stützen wir Übermittlungen auf EU-Standardvertragsklauseln (Art. 46 DSGVO) und zusätzliche Schutzmaßnahmen. Details je Tool unten.

4.1 Google Tag Manager
Anbieter: Google Ireland Limited, Dublin, Irland.
Zweck: Verwaltung/Einbindung von Tracking-Tags. GTM setzt selbst keine Cookies.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (sofern nicht notwendig), sonst lit. f.
Datenübermittlung: mögliche Zugriffe (USA) via SCC.
Info: policies.google.com/privacy

4.2 Google Analytics 4 (GA4)
Anbieter: Google Ireland Limited.
Zweck: Reichweiten-/Nutzungsanalyse, Performance-Messung.
Daten: Seitenaufrufe/Events, pseudonyme IDs, Gerät/Browser, ungefährer Standort; IP-Anonymisierung aktiv.
Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: i. d. R. 14 Monate (konfigurierbar).
Datenübermittlung: mögliche Zugriffe (USA) via SCC.
Opt-Out: Cookie-Center; Browser-Add-on tools.google.com/dlpage/gaoptout
Konfiguration: Datenfreigaben minimal; Aufbewahrung <gewählte Dauer>.
Kennung: <GA4 Measurement ID, z. B. G-XXXXXXX>

4.3 Google Ads / Conversion & Remarketing (Google Tag/„Pixel“)
Anbieter: Google Ireland Limited.
Zweck: Conversions, Remarketing, Anzeigenoptimierung.
Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: typ. 30–540 Tage (je nach Cookie).
Datenübermittlung: mögliche Zugriffe (USA) via SCC.
Opt-Out: Cookie-Center; adssettings.google.com
Kennungen/Tags: <Google Ads Conversion ID>, <Remarketing-Parameter>

4.4 Meta Pixel (Facebook/Instagram)
Anbieter: Meta Platforms Ireland Limited, Dublin, Irland.
Zweck: Conversion-Tracking, Custom Audiences, Kampagnenoptimierung.
Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: idR 90–180 Tage (Cookies/IDs).
Datenübermittlung: mögliche Zugriffe (USA) via SCC.
Opt-Out: Cookie-Center; zusätzlich: facebook.com/adpreferences/advertisers
Pixel-ID: <Meta Pixel ID>

4.5 Hotjar (Heatmaps, Recordings, Feedback)
Anbieter: Hotjar Ltd, Malta (EU).
Zweck: UX-Analyse (Heatmaps, Klick/Scroll), anonymisierte Sitzungsaufzeichnungen, Umfragen/Feedback.
Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: i. d. R. bis 365 Tage (projektabhängig).
Datenübermittlung: Speicherung in der EU; punktuelle Zugriffe aus Drittländern nicht ausgeschlossen (SCC).
Opt-Out: Cookie-Center; hotjar.com/policies/do-not-track/
Konfiguration: Eingabefelder/PII maskieren; Sampling-Rate <z. B. 20 % der Sessions>.
Site-ID: <Hotjar Site ID>

4.6 (Optional) Microsoft Clarity
Anbieter: Microsoft Ireland Operations Limited, Dublin, Irland.
Zweck: Session-Replay/Heatmaps (UX).
Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO.
Datenübermittlung: mögliche Zugriffe (USA) via SCC.
Opt-Out: Cookie-Center; privacy.microsoft.com
Projekt-ID: <Clarity Project ID>

4.7 Stripe (Zahlungen)
Anbieter: Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; verbundene Gesellschaften (u. a. Stripe Technology Europe/Stripe, Inc.).
Zweck: Zahlungsabwicklung (Karten/Wallets/SEPA), Betrugsprävention, gesetzliche Pflichten (z. B. Geldwäsche).
Daten: Transaktions-/Zahlungsdaten, Prüfsummen/Token, Rechnungsdetails; vollständige Kartendaten speichern wir nicht auf unseren Servern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und lit. f (Betrugsprävention), ggf. lit. c (gesetzliche Pflichten).
Datenübermittlung: mögliche Zugriffe in Drittländer (u. a. USA/UK) auf Basis SCC und interner Transfersafeguards.
Weitere Infos: stripe.com/de/privacy

4.8 Versand über Logistik-/Fulfillment-Partner (DHL/DPD)
Für den Versand physischer Waren (Kennzeichen, Halter, Befestigung) arbeiten wir mit Logistik-/Fulfillment-Partnern zusammen.
Ablauf: Wir übermitteln Versanddaten (Name, Anschrift, E-Mail für Sendungsinfos, Inhalt/Größe/Paketdaten) an unsere Partner, die in unserem Auftrag die Sendungen an DHL oder DPD übergeben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Partner: <Name/Firma des Fulfillment-Partners>
Carrier: DHL Paket GmbH / DPD Deutschland GmbH (je nach Destination/Service).

4.9 Widerruf der Einwilligung
Du kannst deine Einwilligungen jederzeit mit Wirkung für die Zukunft ändern oder widerrufen:
<Link zum Cookie-Einstellungs-Center>

5. Server-Logfiles
Automatisch verarbeitete Daten: IP-Adresse, Datum/Uhrzeit, Request/URL, Referrer, User-Agent, HTTP-Status, übertragene Bytes.
Zweck/Grundlage: Betrieb, Sicherheit, Missbrauchsabwehr (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: i. d. R. 7–30 Tage, länger nur zu Beweiszwecken bei Sicherheitsvorfällen.

6. Registrierung, Bestellung, Zahlung
Für Bestellungen benötigen wir Pflichtangaben (Name, Anschrift, E-Mail) sowie ggf. fahrzeug-/reservierungsrelevante Daten. Zahlungsabwicklung erfolgt über Stripe; es gelten die Datenschutzhinweise von Stripe (siehe Ziff. 4.7).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Reservierung bei der Zulassungsstelle
Soweit in deinem Kreis/Stadt möglich, übermitteln wir zur Reservierung die erforderlichen Daten an die zuständige Zulassungsstelle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Hinweis: Die endgültige Zuteilung erfolgt erst bei der Zulassung des Fahrzeugs.

8. Kommunikation (E-Mail, Formular, WhatsApp optional)
Anfragen werden im Ticketsystem/CRM dokumentiert. Bei WhatsApp-Kontakt gelten zusätzlich die Bedingungen/Datenschutz von WhatsApp Ireland/Meta; nutze diese Option nur, wenn du damit einverstanden bist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.
<Wenn WhatsApp angeboten wird: verifizierte Nummer/Link und separaten Opt-In nennen>

9. Löschfristen
Vertrags-/Bestelldaten: 6 bzw. 10 Jahre nach HGB/AO.

Support-/Kommunikationsdaten: i. d. R. 12–24 Monate nach Abschluss.

Reservierungsdaten: bis Ablauf des Reservierungszeitraums + Nachweisfristen.

Einwilligungen/Widerrufe: 3 Jahre (Beweis).

10. Pflicht zur Bereitstellung
Für Generierung/Reservierung/Bestellung sind bestimmte Angaben erforderlich. Ohne diese können wir den Vertrag nicht erfüllen.

11. Keine automatisierten Einzelentscheidungen
Es findet keine automatisierte Entscheidung i. S. v. Art. 22 DSGVO statt. (Unsere Vorschlagslogik bewertet Lesbarkeit/Themen, trifft aber keine rechtsfolgenbehaftete Entscheidung.)

12. Deine Rechte (Art. 15–21 DSGVO)
Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Kontakt für Betroffenenrechte: siehe Ziff. 1.

13. Beschwerderecht
Zuständige Aufsicht:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW),
Kavalleriestraße 2–4, 40213 Düsseldorf, poststelle@ldi.nrw.de, www.ldi.nrw.de.

14. Datensicherheit
TLS-Verschlüsselung, rollenbasierte Zugriffe, Protokollierung, regelmäßige Updates/Backups. Zahlungsdaten werden nicht auf unseren Servern gespeichert.

15. Drittlandübermittlung
Standardmäßig keine Drittlandübermittlung, da Verarbeitung in Deutschland erfolgt. Sollte ausnahmsweise ein Drittlandzugriff (z. B. Support) nötig sein, nutzen wir Standardvertragsklauseln (Art. 46 DSGVO) und zusätzliche Schutzmaßnahmen; Kopie der Garantien auf Anfrage.

16. Änderungen
Wir passen diese Erklärung bei Änderungen von Technik, Prozessen oder Rechtslage an. Die aktuelle Fassung ist stets hier veröffentlicht. Stand: 30.09.2025.