Datenschutzerklärung – CARDAD App

iOS und Android Mobile App

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Innovadev UG (haftungsbeschränkt)

Winterstraße 2a, 50354 Hürth, Deutschland

E-Mail: info[at]innovadev.de

Telefon: +49 (0) 172 574 6153

Geschäftsführung: Alen Berberović, Mirza Djuherić

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die mobile Anwendung „CARDAD Onboarding App“ (im Folgenden „App“) für iOS und Android. Die App dient der digitalen Erfassung, Dokumentation und Verwaltung von Fahrzeugen durch gewerbliche Nutzer (Autohändler, Sachverständige, Flottenverantwortliche).

3. Erhobene Daten und Verarbeitungszwecke

3.1 Konto- und Anmeldedaten

Bei der Anmeldung verarbeiten wir die im Backend hinterlegten Zugangsdaten (E-Mail-Adresse, Name, ggf. Händlerzuordnung, verschlüsseltes Passwort, Authentifizierungs-Token). Die Anlage und Löschung von Konten erfolgt manuell durch Innovadev auf Grundlage des zugrundeliegenden Vertragsverhältnisses.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Fahrzeug- und Bestandsdaten

Im Rahmen der Aufnahme („Aufnahme-Prozess“) verarbeiten wir fahrzeugbezogene Daten (z. B. FIN/VIN, Marke, Modell, Erstzulassung, Kilometerstand, Ausstattung, Schadenangaben, Standort). Diese Daten beziehen sich primär auf das Fahrzeug, können aber im Einzelfall personenbeziehbar sein (z. B. Halter gemäß Fahrzeugschein – sofern vom Nutzer eingegeben).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem gewerblichen Nutzer); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ordnungsgemäßen Dokumentation des Fahrzeugbestands).

3.3 Fotos und Dokumente

Über die in der App integrierte Kamera bzw. die Foto-Galerie werden Bilder des Fahrzeugs und ggf. Fahrzeugdokumente erfasst. Auf den Bildern können in seltenen Fällen Personen oder Kennzeichen erkennbar sein. Der Nutzer ist verpflichtet, keine Aufnahmen ohne erforderliche Einwilligung Dritter anzufertigen und Kennzeichen ggf. unkenntlich zu machen.

Speicherort: AWS Simple Storage Service (S3), Region EU (Frankfurt). Die Übertragung erfolgt verschlüsselt (TLS).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

3.4 Geräte- und Nutzungsdaten

Beim Aufruf der App-Schnittstellen verarbeiten unsere Server technisch notwendige Daten: IP-Adresse, Zeitstempel, HTTP-Methode, aufgerufene Endpunkte, App-Version, Geräte-/Plattformangabe (iOS oder Android, Modellbezeichnung). Diese Daten werden zu Zwecken der Sicherheit, Stabilität und Fehleranalyse für maximal 30 Tage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Dienste).

3.5 Authentifizierungs-Token

Nach erfolgreicher Anmeldung wird ein Authentifizierungs-Token ausschließlich verschlüsselt im sicheren Speicher des Endgeräts (iOS Keychain bzw. Android Keystore) abgelegt. Der Token wird bei Abmeldung gelöscht.

4. Berechtigungen auf dem Endgerät

  • Kamera – ausschließlich zur Aufnahme von Fahrzeugfotos im Rahmen des Aufnahme-Prozesses. Audio wird nicht erfasst.
  • Fotos / Mediathek – ausschließlich, um vom Nutzer ausgewählte Fahrzeugbilder hochzuladen oder gespeicherte Fotos der App in der Geräte-Galerie abzulegen.
  • Internetzugriff – zur Kommunikation mit dem CARDAD-Backend, AWS S3 sowie zur Abfrage von Fahrzeugdaten bei Drittanbietern (z. B. DAT, mobile.de) im Auftrag des Nutzers.

Berechtigungen können jederzeit in den Systemeinstellungen des Endgeräts widerrufen werden. Ein Widerruf kann zur Einschränkung der Funktionalität führen.

5. Empfänger und Auftragsverarbeiter

Personenbezogene und fahrzeugbezogene Daten werden ausschließlich an folgende Empfänger übermittelt, soweit dies für die Leistungserbringung erforderlich ist:

  • Hosting-Provider des CARDAD-Backends innerhalb der EU (Auftragsverarbeitung gemäß Art. 28 DSGVO).
  • Amazon Web Services EMEA SARL – Speicherung von Fahrzeugbildern in S3 (Region EU/Frankfurt). DPA und EU-Standardvertragsklauseln liegen vor.
  • DAT Deutsche Automobil Treuhand GmbH – Abruf von Fahrzeugstammdaten und Ausstattung anhand der vom Nutzer eingegebenen FIN/VIN, sofern der Nutzer DAT-Zugangsdaten in der App hinterlegt.
  • mobile.de GmbH – Abgleich von Referenzdaten und Fahrzeugattributen, soweit vom Nutzer ausgelöst.
  • Apple App Store / Google Play – im Rahmen der technischen Bereitstellung der App (z. B. Crash-Berichte des Betriebssystems, sofern der Nutzer in den Geräteeinstellungen zugestimmt hat).

6. Speicherort und Drittlandtransfer

Die Verarbeitung erfolgt grundsätzlich in der Europäischen Union. Soweit Anbieter eingesetzt werden, deren Mutterunternehmen ihren Sitz außerhalb des EWR haben (z. B. AWS, Apple, Google), bestehen EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und ergänzende Schutzmaßnahmen.

7. Speicherdauer

  • Konto- und Bestandsdaten: für die Dauer des Vertragsverhältnisses sowie gesetzliche Aufbewahrungspflichten (i. d. R. 6 bzw. 10 Jahre nach HGB / AO).
  • Fahrzeugbilder: bis zu 24 Monate nach Verkauf bzw. Löschung des Fahrzeugbestands.
  • Server-Logs / technische Zugriffsdaten: maximal 30 Tage.
  • Authentifizierungs-Token auf dem Gerät: bis zur Abmeldung oder Deinstallation der App.

8. Konto- und Datenlöschung

Die Anlage und Löschung von Nutzerkonten erfolgt manuell durch Innovadev. Wenn Sie Ihr Konto und die zugehörigen Daten löschen lassen möchten, senden Sie uns bitte eine E-Mail an info[at]innovadev.de. Wir bestätigen die Löschung schriftlich und stellen sicher, dass die Daten – vorbehaltlich gesetzlicher Aufbewahrungspflichten – entfernt werden.

9. Ihre Rechte

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Anfragen richten Sie bitte an info[at]innovadev.de. Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (zuständig in NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).

10. Tracking und Analyse

Die App enthält kein Werbe-Tracking, kein App-Tracking-Transparency-relevantes Cross-App-Tracking, keine Werbe-IDs (IDFA / Advertising ID) und keine Analyse-SDKs (z. B. Firebase Analytics, Crashlytics, Sentry), sofern in einer späteren Version nicht ausdrücklich anders dokumentiert und eingewilligt.

11. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung dies erforderlich machen. Die jeweils aktuelle Fassung ist innerhalb der App und unter dieser URL abrufbar.