Datenschutzerklärung

NachweisWerk — Digitale Compliance-Plattform
Stand: 04.03.2026

1. Verantwortlicher

Sven Kleinert
NachweisWerk™
Roitzscher Straße 15
06796 Brehna, Deutschland
E-Mail: info@nachweiswerk.de
Telefon: +49 1511 0704067

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website nachweis-werk.de, die NachweisWerk Web-Dashboards (Fleet, T&R, SHK, Super-Admin), die NachweisWerk Mobile App (iOS/Android), öffentliche Buchungs- und Registrierungsseiten sowie alle über diese Plattformen verarbeiteten personenbezogenen Daten.

3. Erhobene personenbezogene Daten

3.1 Registrierung & Benutzerkonto

Bei der Selbst-Registrierung (über /register) und bei der Anlage durch einen Administrator werden folgende Daten erhoben: Firmenname, Name des Administrators, E-Mail-Adresse, Telefonnummer, Personal-Nr., Passwort (verschlüsselt mit bcrypt, Cost-Factor 12). Bei einem Upgrade auf Pro zusätzlich: Rechnungsadresse (Firma, Straße, PLZ, Ort, Land), Ansprechpartner, Besteller, Kostenstelle, USt-IdNr., Rechnungs-E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Fahrzeugdaten

Im Fleet-Modul werden Fahrzeugstammdaten gespeichert: Kennzeichen, Fahrzeugtyp, Hersteller/Modell, Anschaffungsdatum, KM-Stand, KM-Soll, Leasing-Daten (Gesellschaft, Vertragsnummer, Laufzeit, Kostenstelle), Standort/Niederlassung, Mehrkilometer-Preis. Diese Daten sind in der Regel nicht personenbezogen, können aber in Verbindung mit Fahrerzuordnung personenbezogen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfüllung der Halterhaftung).

3.3 Führerscheinkontrolle per NFC

Bei der digitalen Führerscheinkontrolle per NFC werden gespeichert: Zeitstempel der Kontrolle, GPS-Koordinaten (Standort zum Kontrollzeitpunkt), Geräte-ID (Device-Binding: 1 Person = 1 Gerät), NFC-Tag-ID, Prüfergebnis (gültig/ungültig/abgelaufen), Fahrer-Zuordnung. Die NFC-Daten des Führerscheins selbst werden nicht dauerhaft gespeichert — nur das Kontrollergebnis.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung zur Führerscheinkontrolle gem. § 21 StVG).

3.4 Abfahrtskontrollen

Bei digitalen Abfahrtskontrollen per App werden gespeichert: Checklisten-Ergebnisse (Beleuchtung, Reifen, Bremsen etc.), Mängel mit Foto-Dokumentation, Zeitstempel, Prüfer-Zuordnung, Fahrzeug-Zuordnung. Bei manuellen Kontrollen im Web-Dashboard: Ampel-Status, Mängelliste, Erfassungsdatum.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfüllung der DGUV V70 Prüfpflicht).

3.5 Poolfahrzeug-Verwaltung

Bei der Nutzung von Pool-Fahrzeugen werden gespeichert: Reservierungsdaten (Zeitraum, Fahrzeug), Checkout/Checkin-Protokolle mit KM-Tracking, Schlüsselübergabe-PIN (AES-256-GCM verschlüsselt), Führerscheinprüfung bei Ausleihe, Mitarbeiter-Zuordnung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Vermietungsmodul

Bei der externen Fahrzeugvermietung werden gespeichert: Kundendaten (Name, Anrede, E-Mail, Telefon), Lieferadresse, Infrastruktur-Angaben am Stellplatz (Strom, Wasser, Abwasser, Untergrund), Buchungs-PIN, Mietvertrag-Akzeptanz mit Zeitstempel, Angebots- und Buchungsdaten. Bei Wartelisten: Position, geschätzte Wartetage. Stellplatz-Fotos bei Prüfungserfordernis.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.7 T&R-Modul (Tätigkeits- & Reisenachweis)

Im T&R-Modul werden gespeichert: Tätigkeitsnachweise (Arbeitszeiten, Tätigkeitsbeschreibung, Projekt-Zuordnung), Reisenachweise (Reisedaten, Km-Abrechnung, Spesen), Mitarbeiter-Zuordnung, Zeitstempel, Genehmigungsstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Server-Logfiles

Bei jedem Zugriff auf die Website und die Plattform werden automatisch Informationen in Server-Logfiles gespeichert: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Datei, übertragene Datenmenge, Referrer-URL, Browser und Betriebssystem. Die Logfiles werden nach 7–14 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs).

5. Hosting & Datenverarbeitung

Webserver (Plattform): Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Der Produktivserver befindet sich im Hetzner-Rechenzentrum in Nürnberg, Deutschland. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO besteht.

Website-Hosting: ALL-INKL.COM, Hauptstraße 68, 02742 Friedersdorf, Deutschland. Ein AV-Vertrag nach Art. 28 DSGVO besteht.

Datenbank: PostgreSQL 16, gehostet auf dem Hetzner-Server. Alle Daten werden ausschließlich in Deutschland gespeichert.

E-Mail-Versand: Für transaktionale E-Mails (Registrierungsbestätigung, Rechnungen, Buchungsbestätigungen) wird ein SMTP-Dienst genutzt. E-Mails enthalten keine personenbezogenen Daten über den notwendigen Kommunikationszweck hinaus.

6. Mobile App

Die NachweisWerk App (iOS/Android, React Native/Expo SDK 55) erhebt zusätzlich zu den in Abschnitt 3 beschriebenen Daten: Geräte-ID für Device-Binding (1 Person = 1 Gerät), NFC-Sensordaten (nur während der Führerschein-/Schlüsselkontrolle, keine dauerhafte Speicherung), GPS-Standort (nur bei Kontrolldurchführung, für den Compliance-Nachweis), Kamera-Zugriff (nur für Mängel-Fotodokumentation).

Die App kommuniziert ausschließlich mit dem NachweisWerk-Server (nachweis-werk.de). Es werden keine Daten an Drittanbieter übermittelt. App-Updates erfolgen über Expo OTA (Over-the-Air) — dabei wird nur die App-Version aktualisiert, keine Nutzerdaten erhoben.

7. Cookies & Sessions

Die Plattform verwendet ausschließlich technisch notwendige Session-Cookies für die Authentifizierung. Es werden keine Tracking-, Marketing- oder Analyse-Cookies eingesetzt. Session-Tokens werden kryptographisch sicher generiert und nach Abmeldung oder Inaktivität invalidiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 TTDSG.

8. Mandantenisolierung (Multi-Tenant)

NachweisWerk ist eine Multi-Tenant-Plattform. Alle personenbezogenen Daten sind strikt pro Mandant (Unternehmen) isoliert. Technische Maßnahmen: Jede Datenbank-Abfrage enthält eine tenantId-Filterung, Row-Level-Security (RLS) auf Datenbankebene, Middleware-basierte Zugriffskontrolle (requireTenantContextMiddleware), Rollen-basierte Zugriffskontrolle (RBAC: Super-Admin, Tenant-Admin, Mitarbeiter, Fahrer). Ein Zugriff auf Daten anderer Mandanten ist technisch ausgeschlossen.

9. Audit-Log & Revisionssicherheit

Alle sicherheitsrelevanten Aktionen werden in einem DSGVO-konformen Audit-Log protokolliert: Anmeldungen, Datenänderungen, Führerscheinkontrollen, Abfahrtskontrollen, Modul-Aktivierungen/Deaktivierungen, Account-Löschungen. Das Audit-Log dient dem Nachweis der Compliance (Halterhaftung) und wird gemäß den gesetzlichen Aufbewahrungsfristen gespeichert.

10. Verschlüsselung & Sicherheit

Technische Sicherheitsmaßnahmen: HTTPS/TLS für alle Datenübertragungen, Passwörter verschlüsselt mit bcrypt (Cost-Factor 12), PIN-Codes kryptographisch sicher generiert (crypto.randomInt), Schlüsselkasten-PINs mit AES-256-GCM verschlüsselt, Session-Tokens kryptographisch sicher generiert, Rate-Limiting auf Anmelde- und öffentliche Endpoints, Account-Lockout nach 5 fehlgeschlagenen Versuchen (15 Minuten Sperre), Timing-safe Passwortvergleiche zur Vermeidung von Seitenkanalangriffen, Firewall-Konfiguration mit definierten Regeln.

11. Inaktive Accounts & automatische Löschung

Kostenlose Accounts (Free-Tier), die sich über die Selbst-Registrierung angemeldet haben, werden bei Inaktivität automatisch bereinigt: Nach 30 Tagen ohne Aktivität erhält der Account-Inhaber eine Warn-E-Mail mit der Möglichkeit, den Account zu behalten oder sofort zu löschen. Ohne Reaktion innerhalb von 7 weiteren Tagen (insgesamt 37 Tage) wird der Account inklusive aller Daten automatisch und unwiderruflich gelöscht. Manuell angelegte Accounts (durch Super-Admin) sind von dieser automatischen Löschung nicht betroffen.

Account-Inhaber können ihren Account jederzeit selbst löschen (über die Funktion „Account löschen“ im Dashboard).

12. Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

13. WhatsApp

Wir bieten optional die Kontaktaufnahme über WhatsApp an. Anbieter: WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Bitte beachten Sie die Datenschutzhinweise von WhatsApp.

14. Weitergabe von Daten

Eine Weitergabe personenbezogener Daten erfolgt nur: bei Vorliegen einer ausdrücklichen Einwilligung, zur Vertragserfüllung (z.B. Rechnungsversand), aufgrund gesetzlicher Verpflichtung, an Auftragsverarbeiter (Hetzner, ALL-INKL.COM) im Rahmen bestehender AV-Verträge. Eine Übermittlung in Drittländer findet nicht statt. Alle Daten werden ausschließlich in Deutschland verarbeitet und gespeichert.

15. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben. Compliance-Nachweise (Führerscheinkontrollen, Abfahrtskontrollen, UVV-Prüfungen) werden gemäß den gesetzlichen Aufbewahrungspflichten gespeichert. Rechnungsdaten: 10 Jahre (gem. § 147 AO, § 257 HGB). Server-Logfiles: 7–14 Tage. Session-Daten: Nach Abmeldung oder Inaktivität. Inaktive Free-Tier Accounts: Automatisch nach 37 Tagen (siehe Abschnitt 11).

16. Ihre Rechte

Sie haben das Recht auf: Auskunft (über die über Sie gespeicherten Daten), Berichtigung (Korrektur unrichtiger Daten), Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit (Export Ihrer Daten), Widerspruch gegen die Verarbeitung.

Für die Ausübung Ihrer Rechte wenden Sie sich an: info@nachweiswerk.de

Sie können Ihren Account und alle Daten jederzeit selbst löschen (über die Funktion „Account löschen“ im Dashboard oder über den Link in der Inaktivitäts-Warn-E-Mail).

17. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde: Landesbeauftragter für den Datenschutz Sachsen-Anhalt, Leiterstraße 9, 39104 Magdeburg.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der Plattform-Funktionen zu aktualisieren. Die aktuelle Version ist stets unter nachweis-werk.de/datenschutz abrufbar.