Zurück zur Startseite

DSGVO-Konformität

Datenschutz-Grundverordnung (EU) 2016/679

§ 1 Compliance-Erklärung

GPS Fleet Tracker Pro erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Diese Erklärung dokumentiert die Umsetzung der Verordnung (EU) 2016/679.

Serverstandort und Datenverarbeitung

Alle Daten werden ausschließlich auf Servern der STRATO AG (Pascalstraße 10, 10587 Berlin) in Deutschland gespeichert und verarbeitet. Es erfolgt keine Datenübermittlung in Drittländer außerhalb der EU/EWR.

Verantwortlichkeit für GPS-Daten

Durch die Verwendung einer eigenen, auf den Kunden registrierten SIM-Karte (§ 111 TKG) bleibt der Kunde Data Controller (Art. 4 Nr. 7 DSGVO) für GPS-Positionsdaten. Der Anbieter fungiert als Auftragsverarbeiter (Art. 28 DSGVO).

§ 2 Artikel-Compliance-Matrix

Artikel Anforderung Status
Art. 5 Rechtmäßigkeit, Transparenz, Datenminimierung Erfüllt
Art. 6 Rechtsgrundlage der Verarbeitung Erfüllt
Art. 7 Nachweisbare Einwilligung Erfüllt
Art. 12-14 Transparente Informationspflichten Erfüllt
Art. 15 Auskunftsrecht Erfüllt
Art. 16 Recht auf Berichtigung Erfüllt
Art. 17 Recht auf Löschung Erfüllt
Art. 18 Recht auf Einschränkung Erfüllt
Art. 20 Datenübertragbarkeit Erfüllt (CSV/JSON)
Art. 25 Privacy by Design Erfüllt (SHA-256, Read-Only)
Art. 30 Verzeichnis der Verarbeitungstätigkeiten Erfüllt
Art. 32 Sicherheit der Verarbeitung Erfüllt (TLS 1.3, AES-256)
Art. 33-34 Meldung von Datenschutzverletzungen Prozess etabliert
Art. 44-49 Datenübermittlung Drittländer Nicht zutreffend (nur DE/EU)

§ 3 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

(1) Verschlüsselung

  • Transport: TLS 1.3 für alle Datenübertragungen
  • Speicherung: AES-256 Verschlüsselung für GPS-Daten
  • Passwörter: Bcrypt-Hashing mit Salt
  • Fahrtenbuch: SHA-256 Hash für GPS-Koordinaten (unveränderlich gemäß § 8 Abs. 2 EStG)

(2) Zugriffskontrolle

  • Rollenbasierte Zugriffsrechte (RBAC)
  • Zwei-Faktor-Authentifizierung für Admin-Accounts
  • Automatische Session-Timeouts nach 30 Minuten
  • IP-Whitelisting für Backend-Zugriffe

(3) Privacy by Design (Art. 25 DSGVO)

Technische Datenschutzmaßnahmen
  • OBD-Gerät im reinen Lesemodus (Read-Only, ISO 15031 / SAE J1979)
  • Pseudonymisierung durch Gerät-IDs statt direkter Personenbezüge
  • Safe Driving ohne Speicherung personenbezogener Daten
  • SIM-Karte (§ 111 TKG): Kunde als Data Controller

(4) Backup und Disaster Recovery

  • Tägliche automatische Backups (AES-256 verschlüsselt)
  • Georedundante Speicherung in deutschen Rechenzentren
  • Recovery Point Objective (RPO): 24 Stunden
  • Recovery Time Objective (RTO): 4 Stunden

(5) Monitoring und Logging

  • Echtzeit-Monitoring von Sicherheitsvorfällen
  • Audit-Logs für Systemzugriffe (7 Tage, danach anonymisiert)
  • Automatische Benachrichtigung bei verdächtigen Aktivitäten
  • SHA-256 Audit-Trail für Fahrtenbuch-Änderungen

§ 4 Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

(1) Kundenverwaltung

  • Zweck: Registrierung, Abrechnung, Support
  • Betroffene Personen: Kunden
  • Datenkategorien: Name, E-Mail, Telefon, Adresse, Zahlungsdaten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Speicherdauer: 10 Jahre (§ 147 AO)

(2) GPS-Tracking-Daten

  • Zweck: Bereitstellung der Tracking-Software
  • Betroffene Personen: Fahrzeugnutzer (vom Kunden erfasst)
  • Datenkategorien: GPS-Koordinaten (SHA-256 verschlüsselt), Bewegungsprofile
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Art. 6 Abs. 1 lit. a DSGVO
  • Speicherdauer: 30-180 Tage (tarifabhängig)
  • Besonderheit: Kunde ist Data Controller (§ 111 TKG)

(3) Server-Logs

  • Zweck: Sicherheit, Fehleranalyse
  • Betroffene Personen: Website-Besucher
  • Datenkategorien: IP-Adresse (anonymisiert nach 7 Tagen), Browser, OS
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
  • Speicherdauer: 7 Tage

(4) Safe Driving Modul

  • Zweck: Echtzeit-Warnungen für Beifahrer
  • Betroffene Personen: Beifahrer
  • Datenkategorien: Keine personenbezogenen Daten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
  • Speicherdauer: Keine dauerhafte Speicherung

§ 5 Datenschutzverletzungen (Art. 33-34 DSGVO)

Meldepflicht

Bei Datenschutzverletzungen erfolgt die Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden. Betroffene Personen werden direkt benachrichtigt, wenn ein hohes Risiko für ihre Rechte besteht.

Incident-Response-Prozess:

  1. Erkennung durch automatische Alarme
  2. Sofortige Eindämmung (Sperrung betroffener Systeme)
  3. Forensische Analyse
  4. Meldung an Aufsichtsbehörde (innerhalb 72 Stunden)
  5. Vollständige Dokumentation
  6. Präventionsmaßnahmen

Stand Januar 2025: Keine Datenschutzverletzungen.

§ 6 Auftragsverarbeitung (Art. 28 DSGVO)

Mit allen Dienstleistern, die Zugriff auf personenbezogene Daten haben, bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

Auftragsverarbeiter
  • Hosting: STRATO AG (Berlin, Deutschland) - ISO 27001-zertifiziert, AVV vorhanden
  • E-Mail: Eigenentwicklung (Server bei STRATO AG)
  • Payment: PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) - AVV vorhanden
  • SIM-Karten: Keine Bereitstellung (Kunde erwirbt selbst gemäß § 111 TKG)

§ 7 Internationale Datenübermittlung (Art. 44-49 DSGVO)

Keine Drittlandübermittlung

Alle Daten werden ausschließlich auf Servern in Deutschland (STRATO AG, Berlin) gespeichert. Es erfolgt keine Übermittlung in Länder außerhalb der EU/EWR.

Bei zukünftiger Notwendigkeit einer Übermittlung würden EU-Standardvertragsklauseln (SCCs) verwendet, zusätzliche Schutzmaßnahmen implementiert und Kunden vorab informiert.

§ 8 Umsetzung der Betroffenenrechte

(1) Auskunftsrecht (Art. 15 DSGVO)

Anfrage per E-Mail an contact@gps-fleet-tracker.de. Bearbeitung innerhalb von 30 Tagen mit vollständiger Datenauskunft (PDF + CSV Export).

(2) Löschungsrecht (Art. 17 DSGVO)

Account-Löschung über Dashboard möglich. Alle Daten werden innerhalb von 48 Stunden gelöscht (außer Rechnungsdaten: 10 Jahre gemäß § 147 AO).

(3) Datenübertragbarkeit (Art. 20 DSGVO)

Export aller Daten in maschinenlesbaren Formaten (CSV/JSON/Excel) über Dashboard möglich.

(4) Widerspruchsrecht (Art. 21 DSGVO)

Nach Prüfung wird die Verarbeitung innerhalb von 7 Tagen gestoppt oder die Fortsetzung begründet.

§ 9 Kontakt

Verantwortlicher

Stanislav Husachenko
Gotthard-Müller-Straße 43
70794 Filderstadt, Deutschland
E-Mail: contact@gps-fleet-tracker.de
Telefon: +49 160 80641 74

Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: 0711 61 55 41-0
E-Mail: poststelle@lfdi.bwl.de

§ 10 Überprüfung und Aktualisierung

Die DSGVO-Compliance wird vierteljährlich überprüft und bei Gesetzesänderungen oder neuen Leitlinien angepasst.

Stand: Januar 2025 | Version 2.0
Nächste Überprüfung: April 2025