Datenschutzerklärung

Information nach DSGVO Art. 13 · Stand: 2026-05-01 · Version 1.0

Hinweis: Dieser Text ist eine Vorlage und ersetzt keine rechtsverbindliche Beratung. Vor der Live-Schaltung wird er von einem in Deutschland zugelassenen Datenschutzbeauftragten oder Rechtsanwalt überprüft.

1. Verantwortlicher

Verantwortlicher i.S.d. DSGVO Art. 4 Nr. 7:

Name: Onur Kağan (Einzelunternehmer, Soraka)
E-Mail: onurkagaan@gmail.com [wird durch datenschutz@soraka.de ersetzt]
Anschrift: [nach Gewerbeanmeldung]
Telefon: [wird ergänzt]

Bei Fragen zur Datenverarbeitung oder zur Ausübung Ihrer Rechte erreichen Sie uns über die oben genannten Kontaktwege.

2. Allgemeine Grundlagen der Verarbeitung

2.1 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Abschluss und Erfüllung von Vorbestellverträgen, Bereitstellung der App und des OBD-II Adapters, optionale Cloud-Synchronisation.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Freiwillige Teilnahme an Community-Funktionen (Leaderboard, Gesundheitsprofil), optionale Crash- und Analytik-Berichte.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Betrugserkennung, App-Stabilität, Fehleranalyse.

2.2 Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie sie für den jeweiligen Zweck erforderlich sind oder gesetzliche Aufbewahrungsfristen (z. B. § 257 HGB, 7 Jahre für Geschäftsunterlagen) bestehen. Nach Zweckfortfall oder Widerspruch werden Daten gelöscht.

3. Kategorien der verarbeiteten Daten

3.1 Vorbestellformular (www.soraka.de/pricing)

Daten: E-Mail-Adresse (erforderlich), Land (ISO 3166-1 alpha-2), Referrer (UTM oder „organic"), IP-Adresse als SHA-256-Hash (Betrugserkennung), User-Agent als Hash.

Zweck: Vertragsanbahnung gemäß Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer:

Aktive Vorbestellung: bis zur Konvertierung in eine Bestellung
Konvertierte Bestellung: 7 Jahre (§ 257 HGB)
Abgelaufene oder stornierte Vorbestellung: 6 Monate nach Statuswechsel, danach Löschung

3.2 Soraka-Anwendung (iOS / Android)

3.2.1 Konto und Profil (optional)

Daten: Geräte-UUID (lokal generiert), Benutzername (optional, in Community sichtbar), E-Mail (nur falls Konto verknüpft). Zweck: Kontoerstellung, Geräte-Kopplung, Cloud-Synchronisation (Art. 6 Abs. 1 lit. b). Speicherdauer: bis zur Kontolöschung + 30 Tage Archiv.

3.2.2 OBD-II-Sensordaten

Daten: Echtzeit-Motordaten (RPM, Kühlmitteltemperatur, MAF, Boost-Druck, DPF-Status u. a.), VIN ausschließlich als SHA-256-Hash, Fehlercodes (DTC, ISO 14229), Fahrtaufzeichnungen (Datum, Uhrzeit, Strecke). Zweck: Diagnose, Berechnung des Gesundheitsscores (Art. 6 Abs. 1 lit. b). Speicherdauer: lokal beliebig; Backend (bei aktivierter Cloud-Sync) bis Benutzerlöschung + 30 Tage. Die VIN wird niemals im Klartext gespeichert.

3.2.3 Absturz- und Fehler-Logs

Daten: Stack-Trace (Klassennamen, Zeilennummern, Gerätespezifikation), Zeitstempel, App- und Betriebssystemversion. Zweck: Stabilität, Fehlerdiagnose (Art. 6 Abs. 1 lit. f). Speicherdauer: 90 Tage, danach automatische Löschung.

3.2.4 Community-Funktionen (Leaderboard, Gesundheitsprofil)

Daten (nur bei Aktivierung): Benutzername (öffentlich), aggregierte Sensorstatistiken, Fahrzeugmodell (gehashter VIN), Leaderboard-Platzierung. Zweck: Community-Engagement, Benchmarking (Art. 6 Abs. 1 lit. a, ausdrückliche Einwilligung). Rohdaten werden nicht geteilt. Kennzeichen werden on-device unkenntlich gemacht, bevor Screenshots hochgeladen werden. Speicherdauer: solange Profil aktiv; nach Kontolöschung innerhalb von 30 Tagen anonymisiert oder gelöscht.

3.2.5 Bluetooth / BLE-Verbindung

Daten: MAC-Adresse des OBD-Adapters (nur lokal), Verbindungsmeldungen. Zweck: Geräte-Kopplung (Art. 6 Abs. 1 lit. b). Daten werden nicht ans Backend übertragen.

3.2.6 Absturzberichte und Nutzungsanalytik (OPT-IN)

Daten: Stack-Traces (Sentry) ohne Quellcode, Nutzungsmetriken (Aptabase: besuchte Seiten, Sitzungsdauer, Geräte-OS), anonyme User-UUID. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).

Automatische PII-Filterung: Felder mit E-Mail, VIN, Kennzeichen, Telefon, Passwort, API-Schlüssel oder Adresse werden vor Übermittlung automatisch entfernt.

Auftragsverarbeiter / Speicherorte:

Sentry GmbH (Frankfurt, Deutschland) — Absturzberichte, Löschung nach 90 Tagen. AVV gemäß Art. 28 DSGVO.
Aptabase (EU-Rechenzentren) — Metriken, aggregiert und anonymisiert nach 120 Tagen. AVV gemäß Art. 28 DSGVO.

Widerruf: jederzeit unter „Einstellungen → Datenschutz → Absturzberichte / Analytik" möglich.

3.3 Backend-Server (api.soraka.de)

Auftragsverarbeiter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (AVV nach Art. 28 DSGVO unterzeichnet).

Datenkategorien: Vorbestelldaten, Cloud-Sensordaten (bei Aktivierung), Community-Profileinträge, Fehler-Logs, Access-Logs (IP, Zeitstempel, Request-Metadaten).

Standort: Frankfurt am Main, Deutschland. Die Daten verlassen die EU nicht.

3.4 Cloudflare (Reverse Proxy, optional)

Hinweis: Falls Cloudflare Inc. (101 Townsend Street, San Francisco, CA 94107, USA) als Reverse-Proxy / CDN aktiv ist, werden bei jedem Seitenaufruf IP-Adresse, User-Agent und Anfrage-Metadaten an Cloudflare in die USA übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, DDoS-Schutz). Übermittlung gestützt auf das EU-US Data Privacy Framework sowie Standardvertragsklauseln (Art. 46 DSGVO).

3.5 Google Fonts (CDN)

Die Website lädt Schriften von fonts.googleapis.com (Google Ireland Ltd.). Dabei wird die IP-Adresse an Google übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. [Geplant: Self-Hosting der Schriften, dann Wegfall der Datenübermittlung].

3.6 Drittländer-Übermittlung

Apple Inc. (USA, App Store) und Google LLC (USA, Play Store) erhalten Daten im Rahmen der App-Verteilung. Übermittlung auf Basis des EU-US Data Privacy Framework und Standardvertragsklauseln nach Art. 46 DSGVO. Weitere Informationen: Apple Datenschutz, Google Datenschutz.

4. Ihre Rechte

Auskunft (Art. 15): Auskunft über die Verarbeitung Ihrer Daten.
Berichtigung (Art. 16): Korrektur unrichtiger Daten.
Löschung (Art. 17): „Recht auf Vergessenwerden", soweit keine Aufbewahrungspflichten bestehen.
Einschränkung (Art. 18): Beschränkung der Verarbeitung.
Datenübertragbarkeit (Art. 20): Export Ihrer Daten in strukturiertem, maschinenlesbarem Format.
Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung.
Widerruf einer Einwilligung (Art. 7 Abs. 3): jederzeit mit Wirkung für die Zukunft.
Beschwerde (Art. 77): Beschwerde bei einer Aufsichtsbehörde, insbesondere im Mitgliedstaat Ihres Aufenthaltsorts.

Ausübung: onurkagaan@gmail.com.

5. Sicherheitsmaßnahmen

Verschlüsselung: TLS 1.2+ (HTTPS) für alle Übertragungen zwischen App und Backend.
Hashing: Sensible Identifizierungsmerkmale (VIN, IP) werden mit SHA-256 unumkehrbar transformiert.
Zugriffskontrolle: Nur autorisierte Personen (derzeit nur Onur Kağan) haben Zugriff auf Backend-Datenbanken.
Backups: Tägliche verschlüsselte Backups, 30 Tage Aufbewahrung.

6. Cookies und Tracking

Website (www.soraka.de): ausschließlich technisch notwendige Cookies für Sitzung und Spracheinstellung. Keine Google Analytics, kein Pixel-Tracking, kein Profiling.

App: keine Cookies. Lokale Daten verbleiben auf dem Gerät.

Werbe-IDs: keine Anforderung von Android-AAID oder iOS-IDFA.

7. Alter der Nutzer

Soraka ist nicht für Kinder unter 16 Jahren bestimmt. Wir verarbeiten wissentlich keine personenbezogenen Daten von Kindern unter 16 ohne Einwilligung der Erziehungsberechtigten. Sollten Sie davon Kenntnis erhalten, kontaktieren Sie uns bitte umgehend.

8. Änderungen dieser Erklärung

Wesentliche Änderungen (neue Datenkategorien, neue Auftragsverarbeiter) werden mindestens 30 Tage im Voraus angekündigt. Die jeweils gültige Fassung ist auf dieser Seite abrufbar; ältere Versionen werden archiviert.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist u. a. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) — www.bfdi.bund.de — sowie die Landesdatenschutzbehörde Ihres Wohnsitzes.