Datenschutzerklärung

1. Verantwortlicher und Auftragsverarbeitung

Plattformbetreiber (Auftragsverarbeiter gem. Art. 28 DSGVO):

Makan Mousavi
Konrad-Zuse-Straße 12
60438 Frankfurt am Main
E-Mail: kontakt@driveslot.de

Verantwortlicher für die Datenverarbeitung:

Verantwortlich im Sinne der DSGVO ist die jeweilige Fahrschule, die DriveSlot nutzt. Der Plattformbetreiber verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung der Fahrschule. Zwischen Fahrschule und Plattformbetreiber besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

2. Welche Daten wir erheben

Bei der Nutzung von DriveSlot werden folgende personenbezogene Daten verarbeitet:

• Kontaktdaten: Vorname, Nachname, E-Mail-Adresse, Telefonnummer
• Zugangsdaten: Verschlüsseltes Passwort (bcrypt-Hash)
• Buchungsdaten: Fahrstunden-Termine, Buchungen, Stornierungen, No-Show-Markierungen
• Zuordnungsdaten: Zugewiesener Fahrlehrer, Wartelisten-Position, Wunsch-Fahrlehrer
• Technische Daten: IP-Adresse (temporär für Rate-Limiting), Session-Token

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (bei Registrierung erteilt)
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Fahrschulvertrag zwischen Schüler und Fahrschule)
• Art. 6 Abs. 1 lit. c DSGVO — Gesetzliche Aufbewahrungspflichten
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Betriebsführung, Missbrauchsprävention)

4. Speicherdauer und Aufbewahrung

Personenbezogene Daten werden für die Dauer der Fahrausbildung und darüber hinaus gespeichert:

• Fahrstunden-Termine und Buchungsdaten: 10 Jahre nach Abschluss der Ausbildung. Dies ist erforderlich zur Erfüllung gesetzlicher Aufbewahrungspflichten sowie für behördliche Überprüfungen der Fahrschule (§ 29 FahrlG, §§ 147, 257 HGB/AO).
• Kontaktdaten: Werden bei Account-Löschung anonymisiert. Die anonymisierten Datensätze bleiben für die Aufbewahrungsfrist bestehen.
• Technische Daten (IP-Adressen): Werden nach 24 Stunden gelöscht.

Hinweis zu abgelaufenen Terminen: Vergangene Fahrstunden-Termine werden im Schülerbereich der App nicht mehr angezeigt. Sie bleiben jedoch intern im System des Fahrlehrers gespeichert und dort einsehbar. Dies dient der Dokumentation der Fahrausbildung und der Erfüllung gesetzlicher Aufbewahrungspflichten. „Nicht mehr sichtbar für den Schüler“ ist technisch und rechtlich nicht gleichbedeutend mit „gelöscht“. Maßgeblich ist, was im System tatsächlich noch gespeichert ist.

5. Account-Löschung

Schüler können ihren Account jederzeit über ihr Profil in der App löschen. Bei einer Löschung:

• Der Login wird gesperrt.
• Personenbezogene Kontaktdaten (Name, E-Mail, Telefon) werden anonymisiert.
• Fahrstunden-Termine bleiben als anonymisierte Einträge im System erhalten.
• Nach Ablauf der 10-jährigen Aufbewahrungsfrist werden alle verbleibenden Daten endgültig gelöscht.

Eine sofortige vollständige Löschung aller Daten ist aufgrund der gesetzlichen Aufbewahrungspflichten nicht möglich. Eine Deaktivierung ist keine Löschung — solange Termine im Fahrlehrer-Kalender einem (anonymisierten) Datensatz zugeordnet sind, handelt es sich weiterhin um gespeicherte Daten im Sinne der DSGVO.

6. Recht auf Datenportabilität (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Der Export umfasst alle Sie betreffenden Daten, einschließlich vergangener Termine, sofern diese noch im System gespeichert sind. Als eingeloggter Schüler können Sie den Export jederzeit direkt in der App herunterladen (siehe unten).

7. Weitere Betroffenenrechte

• Auskunftsrecht (Art. 15 DSGVO)
• Berichtigungsrecht (Art. 16 DSGVO)
• Löschungsrecht (Art. 17 DSGVO) — unter Berücksichtigung der gesetzlichen Aufbewahrungspflichten
• Einschränkungsrecht (Art. 18 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde

Anfragen richten Sie bitte an Ihre Fahrschule (Verantwortlicher) oder an den Plattformbetreiber unter der oben genannten E-Mail-Adresse.

8. Datensicherheit

• Passwörter werden ausschließlich als bcrypt-Hash gespeichert.
• Einladungscodes werden gehasht — der Klartext wird nur einmalig angezeigt.
• Session-Cookies sind HTTP-only und mit CSRF-Schutz versehen.
• API-Zugriffe sind authentifiziert und autorisiert.
• Rate-Limiting schützt vor Brute-Force-Angriffen.
• CORS-Schutz verhindert API-Missbrauch durch fremde Webseiten.

9. Cookies

DriveSlot verwendet ausschließlich technisch notwendige Cookies:

• session: HTTP-only Session-Cookie (JWT, 7 Tage gültig)
• csrf-token: CSRF-Schutz-Token

Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.

10. Hosting und Unterauftragsverarbeiter

Die Plattform wird gehostet bei:
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland
Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland.