Datenschutzerklärung

für die Plattform SchadenPilot von GUTACHTENfit KFZ-Sachverständigenbüro

1. Verantwortliche Stelle

Verantwortlicher im Sinne der DSGVO ist:

Halis Kaya
GUTACHTENfit KFZ-Sachverständigenbüro
Simone-Veil-Str. 24, 53121 Bonn
E-Mail: info@gutachtenfit.de
Telefon: +49 1520 4957606

2. Übersicht der Datenverarbeitung

2.1 Welche Daten werden erfasst?

Bei der Nutzung von SchadenPilot werden folgende Kategorien personenbezogener Daten verarbeitet:

• Bestandsdaten (Partnerdaten): Name, E-Mail-Adresse, Firmenname, Firmenadresse, Ansprechpartner, Telefonnummer
• Zugangsdaten: E-Mail-Adresse und kryptografisch gehashtes Passwort (bcrypt), Session-Token
• Falldaten: Fahrzeugdaten (Kennzeichen, FIN, Marke, Modell, Farbe, Kilometerstand, Erstzulassung), Halterdaten (Name, Kontakt), Versicherungsdaten, Unfallgegnerdaten, Schadenbeschreibung, Schadenorte und -schweregrade
• Mediendaten: Hochgeladene Fotos und Dokumente (Fahrzeugbilder, Fahrzeugschein, Schadenfotos) inkl. Dateiname, MIME-Typ, Dateigröße und Upload-Zeitpunkt
• Unterschriften: Digitale Signaturen zur Auftragserteilung, Abtretungserklärung, Datenschutzeinwilligung, Widerrufsbelehrung und ggf. Anwaltsvollmacht, jeweils als PNG-Bilddatei gespeichert
• KI-Analysedaten: Ergebnisse der automatisierten Bildanalyse (Schadenseinschätzung, Qualitätsbewertung, Duplikaterkennung)
• Nutzungsdaten: IP-Adresse, Browser-Typ, Zeitstempel, aufgerufene Seiten, durchgeführte Aktionen (Audit-Log)

2.2 Zwecke der Verarbeitung

• Bereitstellung und Betrieb der Plattform SchadenPilot
• Erfassung und Verwaltung von KFZ-Schadensfällen
• Erstellung von KFZ-Gutachten durch den Sachverständigen
• KI-gestützte Voranalyse von Schadenfotos zur Qualitätssicherung
• Kommunikation zwischen Partner und Sachverständigem (Rückfragen)
• Generierung und Bereitstellung von Gutachten-PDFs
• Gewährleistung der Betriebssicherheit und Missbrauchsprävention
• Erfüllung gesetzlicher Aufbewahrungspflichten

3. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung von Bestands-, Fall- und Mediendaten zur Durchführung des Vertragsverhältnisses zwischen Partner und Betreiber
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verarbeitung von Unterschriften und ggf. Weitergabe an Dritte (Anwaltskanzlei, Versicherung) auf Basis der ausdrücklichen Einwilligung des Fahrzeughalters
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrung von Geschäftsunterlagen gem. HGB/AO
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Audit-Logging, Betriebssicherheit, Missbrauchsprävention, KI-gestützte Qualitätskontrolle

4. Auftragsverarbeitung und Dienstleister

Wir setzen externe Dienstleister als Auftragsverarbeiter gem. Art. 28 DSGVO ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA).

4.1 Hinweis zur KI-Verarbeitung (Anthropic)

Hochgeladene Schadenfotos werden zur automatisierten Voranalyse an die KI-Schnittstelle von Anthropic (Claude) übermittelt. Die Verarbeitung erfolgt ausschließlich über die API-Schnittstelle. Die übermittelten Daten werden von Anthropic nicht zum Training von KI-Modellen verwendet (Zero Data Retention API). Die KI-Analyse dient als Hilfestellung und ersetzt nicht die fachliche Bewertung durch den Sachverständigen.

5. Automatisierte Entscheidungsfindung

Die Plattform nutzt KI-gestützte Bildanalyse zur Voreinschätzung von Schadenfotos (Qualitätsbewertung, Schadenseinschätzung, Duplikaterkennung). Diese Analysen haben keinen rechtsverbindlichen Charakter und führen zu keinen automatisierten Entscheidungen im Sinne des Art. 22 DSGVO. Alle Gutachten werden ausschließlich durch den Sachverständigen erstellt und verantwortet. Die KI-Ergebnisse dienen lediglich als unverbindliche Orientierungshilfe.

6. Cookies und Session-Verwaltung

SchadenPilot verwendet ausschließlich technisch notwendige Cookies:

• Session-Cookie (next-auth.session-token): Zur Authentifizierung nach dem Login. Wird beim Schließen des Browsers oder nach Ablauf der Sitzungsdauer gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (erforderlich für den Betrieb der Plattform).
• CSRF-Token (next-auth.csrf-token): Zum Schutz vor Cross-Site-Request-Forgery-Angriffen. Technisch notwendig.

Es werden keine Tracking-, Marketing- oder Analyse-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

7. Speicherdauer und Löschung

• Falldaten und Gutachten: 10 Jahre nach Abschluss des Falles gem. § 147 AO, § 257 HGB
• Mediendaten (Fotos, Unterschriften): 10 Jahre nach Abschluss des Falles, sofern für die Dokumentation des Gutachtens erforderlich
• Zugangsdaten: Bis zur Löschung des Partner-Kontos, spätestens 1 Jahr nach Beendigung des Vertragsverhältnisses
• Audit-Logs: 3 Jahre ab Erstellung zur Nachvollziehbarkeit und Missbrauchsprävention
• E-Mail-Logs (Resend): 30 Tage

Nach Ablauf der Speicherfristen werden die Daten automatisiert gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

8. Datensicherheit

• Verschlüsselte Datenübertragung mittels TLS 1.2+ (HTTPS)
• Passwörter werden mit bcrypt (Kostenfaktor 12) gehasht und nie im Klartext gespeichert
• Rollenbasierte Zugriffskontrolle (RBAC): Partner sehen nur eigene Fälle
• Audit-Log aller sicherheitsrelevanten Aktionen
• Datenbank-Verschlüsselung at rest (AES-256)
• Regelmäßige automatische Datenbank-Backups
• API-Zugriffe durch Authentifizierung und Autorisierung geschützt

9. Datenweitergabe an Dritte

Personenbezogene Daten werden nur weitergegeben, wenn eine Rechtsgrundlage vorliegt:

• Reparaturwerkstatt: Falldaten und Gutachten werden an die beauftragende Partnerwerkstatt übermittelt (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO)
• Anwaltskanzlei (nextright GmbH): Bei ausdrücklichem Wunsch des Fahrzeughalters werden relevante Falldaten und die Anwaltsvollmacht übermittelt (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO)
• Haftpflichtversicherung: Gutachten und relevante Schadendokumentation zur Schadenregulierung (Einwilligung des Halters)
• Behörden: Nur bei gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

10. Ihre Rechte nach der DSGVO

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@gutachtenfit.de

Wir werden Ihr Anliegen innerhalb von 30 Tagen bearbeiten. Bei komplexen Anfragen kann diese Frist gem. Art. 12 Abs. 3 DSGVO um weitere 60 Tage verlängert werden.

11. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes bzw. der Datenverarbeitung anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden registrierte Partner per E-Mail informiert.

Stand: März 2026