Datenschutzerklärung

1. Verantwortlicher

update.bike
Bogenallee 10
20144 Hamburg
Deutschland
E-Mail: support@update.bike

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten:

• Bestandsdaten (Name, Adresse der Werkstatt)
• Kontaktdaten (E-Mail-Adresse)
• Inhaltsdaten (Auftragsnummern, Reparaturstatus, Notizen)
• Nutzungsdaten (Zugriffszeiten, aufgerufene Seiten)
• Zahlungsdaten (verarbeitet durch Mollie B.V.)
• Meta-/Kommunikationsdaten (IP-Adresse, Geräteinformationen)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung zur Bereitstellung des SaaS-Dienstes update.bike
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Sicherheit und Stabilität des Dienstes, Missbrauchsprävention
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungsdaten gem. § 14b UStG

4. Erhebung und Speicherung personenbezogener Daten

Beim Besuch unserer Website werden automatisch Informationen an den Server gesendet. Diese Informationen werden temporär in einem Server-Logfile gespeichert.

Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners

Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs der Website und zur Verbesserung unseres Angebotes ausgewertet. Eine Zuordnung zu einer bestimmten Person ist nicht möglich.

5. Nutzung des SaaS-Dienstes

Bei der Registrierung und Nutzung von update.bike werden folgende Daten erhoben:

• Werkstattname, Adresse und E-Mail-Adresse (bei Registrierung)
• Auftragsnummern und zugehörige 4-stellige PINs
• Reparaturstatus und optionale Notizen (max. 160 Zeichen)
• Kunden-E-Mail-Adressen (optional, für Statusbenachrichtigungen)
• Kunden-Telefonnummern (optional, für SMS-Statusbenachrichtigungen im Pro-Plan)
• Kostenvoranschläge und Freigabestatus (Betrag, Freigabe/Ablehnung, ggf. Ablehnungsgrund)
• Öffnungszeiten der Werkstatt (optional)
• Zahlungsdaten (verarbeitet durch Mollie B.V. als Zahlungsdienstleister)
• Gutschein-Einlösedaten (eingelöster Code, Rabatthöhe, Zeitpunkt der Einlösung)

6. Technische und organisatorische Maßnahmen (TOMs)

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten bestmöglich zu schützen:

Verschlüsselung bei der Übertragung (Transport)

• Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen ausschließlich über TLS 1.2/1.3 (HTTPS)
• API-Kommunikation zwischen unseren Servern und der Datenbank ist ebenfalls TLS-verschlüsselt
• E-Mail-Versand über Resend erfolgt über verschlüsselte Verbindungen (TLS)
• Zahlungsdaten werden direkt an Mollie über verschlüsselte Kanäle übermittelt und nie auf unseren Servern gespeichert

Verschlüsselung bei der Speicherung (At Rest)

• Die PostgreSQL-Datenbank bei Supabase nutzt AES-256-Verschlüsselung auf Festplattenebene (Encryption at Rest)
• Datenbank-Backups werden ebenfalls verschlüsselt gespeichert
• Die Datenbank befindet sich in der Region eu-central-1 (Frankfurt, Deutschland) und unterliegt europäischem Datenschutzrecht

Zugriffskontrolle

• Werkstatt-Dashboards sind durch individuelle 4-stellige PINs geschützt
• Kunden-Zugriff auf Auftragsdaten erfordert Auftragsnummer + PIN-Kombination
• Datenbank-Zugriff ist durch Row-Level Security (RLS) auf Supabase-Ebene eingeschränkt
• API-Endpunkte validieren Berechtigungen serverseitig bei jedem Zugriff
• Administrative Datenbankzugriffe erfolgen ausschließlich über Service-Role-Keys, die serverseitig gespeichert und nie an den Client übermittelt werden

Datentrennung

• Jede Werkstatt operiert in einem logisch getrennten Datenbereich (Multi-Tenancy)
• Aufträge, Events und Rechnungsdaten sind stets einem spezifischen Workshop zugeordnet
• Es ist technisch nicht möglich, auf Daten anderer Werkstätten zuzugreifen

7. E-Mail-Versand

Für den Versand transaktionaler E-Mails nutzen wir den Dienst Resend (Resend, Inc.). Folgende E-Mail-Typen werden versendet:

• Statusbenachrichtigungen bei Änderung des Reparaturstatus
• Kostenfreigabe-Anfragen an Endkunden (mit Betrag und Freigabe-Link)
• Kostenfreigabe-Erinnerungen (automatisch nach 2 Tagen ohne Rückmeldung)
• E-Mail-Aktivierungsbestätigungen für Kunden
• Verifizierungscodes bei der Werkstatt-Registrierung
• PIN-Recovery E-Mails für Werkstätten
• Rechnungen bei Zahlungsvorgängen
• Abo-Verlängerungshinweise gemäß § 312k BGB

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). E-Mails werden nur an Adressen versendet, die aktiv durch den Nutzer hinterlegt wurden.

8. SMS-Versand

Für den Versand transaktionaler SMS-Benachrichtigungen nutzen wir den Dienst Bird (MessageBird B.V., Trompenburgstraat 2C, 1079 TX Amsterdam, Niederlande).

SMS werden ausschließlich im Pro-Plan versendet und nur dann, wenn die Werkstatt eine Kunden-Telefonnummer hinterlegt hat. Folgende SMS-Typen werden versendet:

• Abholbenachrichtigungen ("Dein Auftrag ist fertig")
• Kostenfreigabe-Anfragen an Endkunden

Es handelt sich ausschließlich um transaktionale Nachrichten im Rahmen der Vertragserfüllung — es werden keine Werbe-SMS versendet.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Telefonnummern werden ausschließlich zum Versand der SMS an Bird übermittelt. In unserer Datenbank wird die Telefonnummer im Versandprotokoll nur in maskierter Form gespeichert (z. B. *****1234). Die vollständige Telefonnummer wird bei Archivierung des Auftrags automatisch gelöscht.

9. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande. Mollie ist als Zahlungsdienstleister PCI DSS Level 1 zertifiziert.

Dabei werden die zur Zahlungsabwicklung erforderlichen Daten direkt an Mollie übermittelt. Kreditkarten- oder Bankdaten werden zu keinem Zeitpunkt auf unseren Servern gespeichert. Es gelten die Datenschutzbestimmungen von Mollie: mollie.com/privacy

10. Hosting und Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:

• Vercel Inc. — Hosting der Website und API (Serverless Functions). Datenschutzbestimmungen: vercel.com/legal/privacy-policy
• Supabase Inc. — PostgreSQL-Datenbank, Region eu-central-1 (Frankfurt). Datenschutzbestimmungen: supabase.com/privacy
• Resend, Inc. — Transaktionaler E-Mail-Versand. Datenschutzbestimmungen: resend.com/legal/privacy-policy
• Mollie B.V. — Zahlungsabwicklung. Datenschutzbestimmungen: mollie.com/privacy
• MessageBird B.V. (Bird) — Transaktionaler SMS-Versand. Datenschutzbestimmungen: bird.com/legal/privacy
• Meta Platforms Ireland Limited — Marketing-Tracking (Meta Pixel, nur mit Einwilligung). Datenschutzbestimmungen: facebook.com/privacy/policy

Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

11. Cookies und lokale Speicherung

a) Technisch notwendige Speicherung

Wir nutzen folgende browserseitige Speichermechanismen, die für den Betrieb des Dienstes erforderlich sind:

• sessionStorage — Speichert die Workshop-PIN für die aktuelle Browser-Sitzung. Die Daten werden automatisch gelöscht, sobald der Browser-Tab geschlossen wird.
• localStorage — Speichert die Kunden-PIN für eine bestimmte Auftragsnummer, damit Kunden bei erneutem Besuch nicht erneut die PIN eingeben müssen. Diese Daten können jederzeit über die Browser-Einstellungen gelöscht werden.
• localStorage (cookie_consent) — Speichert Ihre Cookie-Einstellung (akzeptiert/abgelehnt), damit der Banner nicht erneut angezeigt wird.

Diese Speicherungen erfolgen auf Grundlage von § 25 Abs. 2 TTDSG (technisch notwendig) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit des Dienstes).

b) Marketing-Cookies (Meta Pixel) — nur mit Einwilligung

Auf unseren öffentlichen Seiten (Startseite, Registrierung, Kundenansicht, Informationsseiten) setzen wir das Meta Pixel (ehemals Facebook Pixel) ein — ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner.

Das Meta Pixel wird nicht im eingeloggten Werkstatt-Bereich (Dashboard, Board, Einstellungen) geladen.

Details zum Meta Pixel finden Sie in Abschnitt 16 dieser Datenschutzerklärung.

12. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre bei uns gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@update.bike

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG, 20459 Hamburg

13. Löschung von Daten

Werkstatt-Accounts können jederzeit über das Dashboard gelöscht werden (PIN-verifiziert). Dabei werden alle zugehörigen Aufträge, Events und Rechnungsdaten unwiderruflich entfernt.

Automatische Datenlöschung: Aufträge, die seit 30 Tagen keine Statusänderung erfahren haben, werden automatisch archiviert. Bei der Archivierung werden personenbezogene Kundendaten (E-Mail-Adresse, Telefonnummer, Name) unwiderruflich gelöscht. Audit-Trail-Einträge werden nach 12 Monaten automatisch entfernt.

Rechnungsdaten und zugehörige Gutschein-Einlösedaten werden gemäß den gesetzlichen Aufbewahrungspflichten (§ 14b UStG) für 10 Jahre aufbewahrt, sofern gesetzlich erforderlich.

14. Datenübermittlung in Drittländer

Unsere Datenbank wird in der EU (Frankfurt, Deutschland) betrieben. Einige unserer Auftragsverarbeiter (Vercel, Resend) haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und dem EU-U.S. Data Privacy Framework.

15. Einwilligungsverwaltung (Cookie-Banner)

Beim ersten Besuch unserer Website wird ein Cookie-Banner angezeigt, über den Sie entscheiden können, ob Marketing-Cookies (Meta Pixel) gesetzt werden dürfen.

Ihre Optionen:

• „Akzeptieren“ — Das Meta Pixel wird geladen und Marketing-Cookies werden gesetzt. Ihre Einwilligung wird in Ihrem Browser gespeichert.
• „Nur notwendige“ — Es werden keine Marketing-Cookies gesetzt. Ihre Entscheidung wird ebenfalls gespeichert, damit der Banner nicht erneut erscheint.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie in Ihren Browser-Einstellungen die gespeicherten Daten für update.bike löschen (localStorage leeren). Beim nächsten Besuch wird der Cookie-Banner erneut angezeigt.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TTDSG (Einwilligung zur Speicherung/Auslesung von Informationen auf dem Endgerät).

16. Meta Pixel (Facebook Pixel)

Wir verwenden auf unseren öffentlichen Seiten das Meta Pixel, einen Dienst der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland (nachfolgend „Meta“).

Zweck der Verarbeitung

Das Meta Pixel dient der Messung der Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram, der Bildung von Zielgruppen (Custom Audiences) und der Optimierung unserer Werbekampagnen.

Rechtsgrundlage

Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG. Das Meta Pixel wird erst nach Ihrer aktiven Zustimmung über den Cookie-Banner geladen.

Art der Datenverarbeitung

Bei aktiviertem Meta Pixel werden folgende Daten erfasst und an Meta übermittelt:

• aufgerufene Seiten (PageView-Events)
• IP-Adresse (wird von Meta gekürzt)
• Browsertyp, Betriebssystem und Gerätetyp
• Referrer-URL
• Facebook-Cookie-Identifier (sofern vorhanden)

Meta kann diese Daten mit Ihrem Facebook- oder Instagram-Profil verknüpfen, sofern Sie bei diesen Diensten eingeloggt sind. Weitere Informationen zur Datenverarbeitung durch Meta finden Sie in der Datenschutzrichtlinie von Meta.

Drittlandübermittlung

Meta Platforms Ireland Limited kann Daten an Meta Platforms, Inc. in den USA übermitteln. Die Übermittlung erfolgt auf Basis des EU-U.S. Data Privacy Frameworks und Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Einschränkung auf öffentliche Seiten

Das Meta Pixel wird ausschließlich auf öffentlichen Seiten geladen (Startseite, Registrierung, Login, Kundenansicht, Informationsseiten). Im eingeloggten Werkstatt-Bereich (Dashboard, Board, Einstellungen) wird das Pixel nicht geladen, um die Privatsphäre unserer Geschäftskunden zu schützen.

Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Website-Daten in Ihren Browser-Einstellungen löschen. Der Cookie-Banner wird dann beim nächsten Besuch erneut angezeigt. Bereits an Meta übermittelte Daten bleiben von einem Widerruf unberührt.

17. Webanalyse (Vercel Web Analytics)

Wir verwenden auf unserer Website Vercel Web Analytics, einen Dienst der Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA.

Zweck der Verarbeitung

Die Webanalyse dient der statistischen Auswertung der Nutzung unserer Website, um Inhalte, Performance und Benutzerfreundlichkeit zu verbessern.

Rechtsgrundlage ist:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unseres Online-Angebots)
• Deutschland: § 25 Abs. 2 TTDSG (kein Einwilligungserfordernis, da keine Speicherung von Informationen auf dem Endgerät erfolgt)
• Österreich: § 165 Abs. 3 TKG 2021 (kein Einwilligungserfordernis bei technisch notwendigen bzw. nicht speichernden Vorgängen)

Art der Datenverarbeitung

Vercel Web Analytics arbeitet nach Anbieterangaben ohne Cookies und speichert keine Informationen auf dem Endgerät der Nutzer.

Erfasst werden ausschließlich anonymisierte bzw. aggregierte Nutzungsdaten, insbesondere:

• aufgerufene Seiten (Page Views)
• Referrer-URL
• Browsertyp und Betriebssystem
• Gerätetyp
• Datum und Uhrzeit des Zugriffs

Eine dauerhafte Speicherung vollständiger IP-Adressen erfolgt nicht. Die Daten werden nicht dazu verwendet, einzelne Nutzer zu identifizieren.

Keine Profilbildung

Es erfolgt keine personenbezogene Profilbildung, kein geräteübergreifendes Tracking und keine Zusammenführung mit anderen Datenquellen.

Drittlandübermittlung

Da es sich um einen US-amerikanischen Anbieter handelt, kann eine Datenübermittlung in die USA nicht ausgeschlossen werden. Die Übermittlung erfolgt – sofern erforderlich – auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln).

Speicherdauer

Die Daten werden ausschließlich in aggregierter Form verarbeitet und gespeichert, solange sie für statistische Zwecke erforderlich sind.

Keine gesonderte Einwilligung erforderlich

Da bei Einsatz von Vercel Web Analytics keine Cookies gesetzt werden, keine Informationen im Endgerät gespeichert oder ausgelesen werden und keine personenbezogenen Daten im Sinne einer identifizierbaren Person verarbeitet werden, ist für Vercel Web Analytics keine gesonderte Einwilligung erforderlich. Vercel Web Analytics wird unabhängig von Ihrer Cookie-Einstellung geladen.

18. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand März 2026. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen.

Stand: März 2026