Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Carma App ist:

Christoph Bimmer Undeostr. 37 85661 Forstinning Deutschland

• E-Mail: datenschutz@getcarma.de
• Telefon: +49 8121 9049909

2. Erhobene Daten

2.1 Bei der Registrierung

• E-Mail-Adresse
• Name
• Passwort (verschlüsselt gespeichert mit bcrypt)

2.2 Bei der Nutzung der App

• Fahrzeugdaten (Hersteller, Modell, HSN/TSN, FIN etc.)
• Eigene Felder und Notizen
• Scan-Ergebnisse und Verlauf (ohne Fotos)
• Kaufhistorie (Abo, Credits)

2.3 Fotos

Fotos werden nach der KI-Analyse sofort und unwiderruflich gelöscht. Es werden ausschließlich die Ergebnisse der Analyse gespeichert, niemals die Fotos selbst. Die temporäre Speicherung erfolgt auf Cloudflare R2 Servern in der EU (Datenhoheit EU) und wird im Regelfall innerhalb weniger Sekunden gelöscht.

2.4 Bei Nutzung der Website

Diese Website verwendet technisch notwendige Cookies und bindet Google Fonts ein. Es werden keine Tracking-Cookies oder Analyse-Tools eingesetzt.

3. Zweck der Verarbeitung

• Bereitstellung der App-Funktionalität
• Fahrzeugidentifikation und -verwaltung
• Rückruf-Prüfung und Problemrecherche
• Kontoverwaltung und Authentifizierung
• Abwicklung von In-App-Käufen

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, insbesondere für Drittlandtransfers)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z.B. Betrugsprävention)

5. Drittanbieter

5.1 Google Gemini (KI-Analyse)

Für die Fahrzeugerkennung und Recherche nutzen wir Google Gemini 2.0 Flash. Dabei werden Daten an Server von Google in den USA übertragen. Dies geschieht nur nach ausdrücklicher Einwilligung vor dem ersten Upload (Art. 49 Abs. 1 lit. a DSGVO). Fotos werden nach der Analyse sofort gelöscht. Es werden keine Fotos an Google übermittelt — lediglich eine Base64-kodierte Bilddatei zur Analyse, die nicht gespeichert wird.

5.2 Cloudflare

Wir nutzen Cloudflare Workers als API-Gateway und Cloudflare R2 (EU-Region, Datenhoheit EU) für die temporäre Foto-Verarbeitung. Die Verarbeitung erfolgt auf Basis eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.

5.3 RevenueCat

Für die Abwicklung von In-App-Käufen (Abonnements und Credits) nutzen wir RevenueCat, Inc. RevenueCat verarbeitet Kaufdaten im Auftrag und erhält keine personenbezogenen Fahrzeugdaten.

5.4 Hetzner

Unsere Server und Datenbanken werden bei Hetzner Online GmbH in Deutschland gehostet. Die Datenverarbeitung erfolgt ausschließlich in deutschen Rechenzentren.

5.5 Apple / Google (SSO)

Bei Nutzung von Apple Sign-In, Google Sign-In oder Microsoft Sign-In werden Authentifizierungsdaten (E-Mail, Name) vom jeweiligen Anbieter übermittelt. Dies erfolgt auf Basis Ihrer ausdrücklichen Einwilligung bei der Anmeldung.

5.6 Google Fonts

Diese Website bindet Schriftarten von Google Fonts ein. Dabei kann Ihre IP-Adresse an Google übermittelt werden.

6. Speicherdauer

• Kontodaten: bis zur Löschung des Kontos
• Scan-Ergebnisse und Verlauf: bis zur Löschung des Kontos
• Fotos: werden sofort nach Analyse gelöscht (wenige Sekunden)
• IP-Adressen in Logs: maximal 7 Tage, danach anonymisiert
• Kaufdaten: gemäß gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre)

7. Ihre Rechte

Sie haben das Recht auf:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), z.B. dem Bayerischen Landesamt für Datenschutzaufsicht

8. Kontolöschung

Sie können Ihr Konto jederzeit in der App löschen. Nach einer Sicherheitsfrist von 30 Tagen werden alle personenbezogenen Daten endgültig und unwiderruflich gelöscht. Dies umfasst: Kontodaten, Fahrzeugdaten, Scan-Ergebnisse, Verlauf und Credits.

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

• Verschlüsselte Übertragung (TLS/HTTPS)
• Passwörter werden mit bcrypt gehasht (niemals im Klartext gespeichert)
• JWT-Tokens mit kurzer Lebensdauer (15 Minuten)
• Single-Device Login (nur eine aktive Sitzung pro Konto)
• API Rate-Limiting zum Schutz vor Missbrauch

10. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich an:

Christoph Bimmer E-Mail: datenschutz@getcarma.de Telefon: +49 8121 9049909

11. Änderungen

Diese Datenschutzerklärung kann angepasst werden. Die aktuelle Version finden Sie stets auf dieser Seite.