Datenschutzerklaerung

MALOC SASU | SIREN 985054923 | RCS Paris | Version 2.0 | 22. Maerz 2026

DATENSCHUTZERKLÄRUNG — MALOC

Version: 2.0 — Letzte Aktualisierung: 22. März 2026
Datum des Inkrafttretens: 22. März 2026

MALOC SASU — SIREN 985054923 — RCS Paris — Stammkapital 1.000 EUR — Sitz: 15 quai aux fleurs, 75004 Paris
E-Mail: contact@maloc.life — DSB: dpo@maloc.life — Website: https://maloc.fr / https://maloc.fr

PRÄAMBEL

Die Gesellschaft MALOC SASU, eine vereinfachte Aktiengesellschaft mit einem Gesellschafter (société par actions simplifiée unipersonnelle) mit einem Stammkapital von 1.000 Euro, eingetragen im Handels- und Gesellschaftsregister von Paris unter der SIREN-Nummer 985054923, mit Sitz in 15 quai aux fleurs, 75004 Paris (im Folgenden „Maloc"), verpflichtet sich, die personenbezogenen Daten ihrer Nutzer mit größter Sorgfalt im Einklang mit dem geltenden europäischen und französischen Rechtsrahmen zu verarbeiten.

Diese Datenschutzerklärung (im Folgenden die „Erklärung") wurde in Übereinstimmung mit folgenden Vorschriften verfasst:

  • den Artikeln 12 bis 14 der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (im Folgenden die „DSGVO");
  • dem französischen Datenschutzgesetz Nr. 78-17 vom 6. Januar 1978 (Loi Informatique et Libertés), geändert durch das Gesetz Nr. 2018-493 vom 20. Juni 2018 und die Verordnung Nr. 2018-1125 vom 12. Dezember 2018;
  • der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (die „ePrivacy"-Richtlinie), umgesetzt in Artikel 82 des französischen Datenschutzgesetzes;
  • den CNIL-Leitlinien vom 17. September 2020 über Cookies und Tracker sowie der CNIL-Entscheidung Nr. 2020-091;
  • den Empfehlungen des Europäischen Datenschutzausschusses (EDSA).

Die Maloc-Plattform richtet sich an zwei Kategorien von Nutzern mit unterschiedlichem Rechtsstatus im Sinne der DSGVO:

  • Vermieter (Loueurs): ausschließlich juristische Personen (französische Gesellschaften) oder eingetragene selbständige Gewerbetreibende (im Folgenden die „Vermieter"). Die in Bezug auf Vermieter verarbeiteten Daten umfassen Daten zur juristischen Person (Unternehmensdaten) sowie personenbezogene Daten ihrer gesetzlichen Vertreter und Geschäftsführer. Letztere unterliegen dem Schutz der DSGVO.

  • Mieter (Locataires): volljährige natürliche Personen, die zu nichtgewerblichen Zwecken handeln (im Folgenden die „Mieter"). Diese Personen genießen als Verbraucher den vollen Schutz der DSGVO.

Diese Erklärung beschreibt transparent und umfassend: die je nach Nutzerprofil erhobenen Daten, die Zwecke und Rechtsgrundlagen jeder Verarbeitung, die Aufbewahrungsfristen, die Empfänger und Auftragsverarbeiter, die Übermittlungen außerhalb der Europäischen Union sowie die Rechte der betroffenen Personen und die Modalitäten ihrer Ausübung.

Artikel 1 — IDENTITÄT DES VERANTWORTLICHEN

1.1. Verantwortlicher:

MALOC SASU
Vereinfachte Aktiengesellschaft mit einem Gesellschafter (société par actions simplifiée unipersonnelle)
Stammkapital: 1.000 Euro
SIREN: 985054923 — SIRET: 98505492300026
RCS Paris
Sitz: 15 quai aux fleurs, 75004 Paris
Allgemeine E-Mail: contact@maloc.life
Website: https://maloc.fr / https://maloc.fr

1.2. Datenschutzbeauftragter (DSB):

Maloc hat gemäß Artikel 37 DSGVO einen Datenschutzbeauftragten (DSB) benannt:

Datenschutzbeauftragter — MALOC SASU
E-Mail: dpo@maloc.life
Postanschrift: MALOC SASU, 15 quai aux fleurs, 75004 Paris
(Post: „Zu Händen des DSB — Vertraulich")

Der DSB ist die bevorzugte Anlaufstelle für alle Fragen zum Schutz personenbezogener Daten sowie für die Ausübung der Rechte betroffener Personen. Der DSB ist in der Ausübung seiner Aufgaben unabhängig und darf bezüglich seiner Datenschutzaufgaben keine Weisungen erhalten.

Artikel 2 — ANWENDUNGSBEREICH UND UNTERSCHEIDUNG B2B / B2C

2.1. Daten der Mieter (natürliche Personen — B2C)

Die Mieter sind Privatverbraucher im Sinne des französischen Verbrauchergesetzbuchs. Sie genießen als natürliche betroffene Personen den vollen Schutz der DSGVO. Alle Bestimmungen dieser Erklärung gelten für sie ohne Einschränkung.

2.2. Daten der Vermieter — juristische Personen (B2B)

Die Vermieter sind juristische Personen. Daten, die sich auf die Gesellschaft als solche beziehen (Firmenbezeichnung, SIRET, Umsatzsteuer-Identifikationsnummer, Sitzadresse), stellen keine personenbezogenen Daten im Sinne der DSGVO dar.

Die personenbezogenen Daten der gesetzlichen Vertreter, Geschäftsführer und Mitarbeiter der Vermietergesellschaften (Nachname, Vorname, Ausweisdokument, Unterschrift) stellen hingegen durch die DSGVO geschützte personenbezogene Daten dar. Diese Erklärung gilt für diese Daten.

Spezifische Rechtsgrundlage: Die Verarbeitung personenbezogener Daten der Geschäftsführer von Vermietergesellschaften stützt sich auf zwei kumulative Grundlagen:

  • Die Erfüllung des B2B-Vertrags zwischen Maloc und der Vermietergesellschaft (Art. 6 Abs. 1 lit. b DSGVO), wobei der Geschäftsführer gesetzlicher Vertreter der Vertragspartei ist;
  • Die rechtliche Verpflichtung aus den KYC-Pflichten nach den Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (GwG/CFT), insbesondere die Verordnung Nr. 2016-1635 vom 1. Dezember 2016 (Art. 6 Abs. 1 lit. c DSGVO).

2.3. Doppelte Eigenschaft von Maloc

Bei bestimmten Verarbeitungen handelt Maloc gleichzeitig in zwei unterschiedlichen Eigenschaften:

  • Als Verantwortlicher für Daten, die für eigene Zwecke verarbeitet werden (Plattformverwaltung, Rechnungsstellung, Sicherheit);
  • Als Auftragsverarbeiter der Vermieter für Verarbeitungen, die in deren Auftrag über die Plattform-Tools erfolgen (Nachrichtensystem, Fahrzeugübergabeprotokoll, Reservierungsverwaltung), gemäß Artikel 28 DSGVO.

Artikel 3 — ERHOBENE PERSONENBEZOGENE DATEN

3.1. Für Mieter erhobene Daten (B2C)

3.1.1. Identitäts- und Kontaktdaten

  • Nachname und Vorname
  • Geburtsdatum (Volljährigkeitsprüfung)
  • Vollständige Postanschrift
  • Mobiltelefonnummer
  • E-Mail-Adresse
  • Profilfoto (optional, vom Nutzer hochgeladen)

3.1.2. Daten zur Identitätsprüfung (KYC Mieter)

  • Kopie eines amtlichen Ausweisdokuments (Personalausweis oder Reisepass): Vorder-/Rückseite
  • Kopie des Führerscheins (Vorder-/Rückseite): Klasse(n), Ausstellungsdatum, Ausstellungsland, Nummer
  • Per E-Mail oder SMS erhaltener OTP-Code zur Authentifizierung bei jeder Anmeldung und Reservierung

3.1.3. Zahlungsdaten

  • Stripe-Transaktionsreferenzen (PaymentIntent-, SetupIntent-, Stripe-Customer-Kennungen)
  • Transaktionsverlauf (Beträge, Daten, Status, Rückerstattungen)
  • Maloc speichert unter keinen Umständen Kreditkartennummern, Ablaufdaten oder Sicherheitscodes; diese Daten werden ausschließlich von Stripe Technology Europe, Limited verarbeitet.

3.1.4. Reservierungs- und Nutzungsdaten

  • Reservierungsdaten und -zeiten, Check-in und Check-out
  • Ort der Fahrzeugübergabe und -rückgabe (bei der Reservierung angegebene statische Adresse)
  • Transaktionsbeträge (Mietpreis, Servicegebühren, genehmigte Kaution)
  • Reservierungsstatus (ausstehend, bestätigt, laufend, abgeschlossen, storniert, Streitfall)
  • Auf der Plattform veröffentlichte Bewertungen und Benotungen
  • Reservierungsverlauf

3.1.5. Daten des digitalen Fahrzeugübergabeprotokolls (Check-in/Check-out)

  • Mit Zeitstempel versehene Fotografien des Fahrzeugs (bis zu 12 Winkel: Außen, Innen, Details, Felgen, Fenster, Dach)
  • Metadaten der Fotografien: genauer Zeitstempel (UTC), GPS-Koordinaten des Aufnahmeortes (d. h. des Standorts des Fahrzeugs zum Zeitpunkt des Check-in oder Check-out)
  • Wichtiger Hinweis: Diese Fotografien dienen der Dokumentation des Fahrzeugzustands. Das zufällige Vorhandensein einer identifizierbaren natürlichen Person auf diesen Fotografien stellt personenbezogene Daten dar. Maloc empfiehlt Vermietern und Mietern, bei der Fahrzeugübergabe keine identifizierbaren Dritten zu fotografieren. Bei Vorhandensein einer identifizierbaren Person gelten die für personenbezogene Daten geltenden Bestimmungen der Artikel 5 bis 17 DSGVO für diese Bilder.
  • Die Geolokalisierungsdaten aus den Fotos des Übergabeprotokolls entsprechen ausschließlich der statischen Adresse des Fahrzeugs zum Zeitpunkt der Übergabe/Rückgabe. Maloc führt keine kontinuierliche GPS-Verfolgung des Fahrzeugs während der Mietdauer durch.

3.1.6. Kommunikationsdaten

  • Über das interne Nachrichtensystem der Plattform ausgetauschte Nachrichten
  • Transaktions-E-Mails (Bestätigungen, Erinnerungen, Reservierungsbenachrichtigungen)
  • An den Kundendienst gerichtete Anfragen und Verlauf der Kommunikation

3.1.7. Technische Verbindungsdaten

  • IP-Adresse der Verbindung
  • Browsertyp und -version (User-Agent), Betriebssystem
  • Verbindungsprotokolle (Datum, Uhrzeit, Dauer, besuchte Seiten, Aktionen)
  • Sitzungskennung
  • Leistungs- und technische Fehlerdaten

3.2. Für Vermieter erhobene Daten (B2B — juristische Personen und ihre Geschäftsführer)

3.2.1. Daten zur juristischen Person (keine personenbezogenen Daten im Sinne der DSGVO)

  • Firmenbezeichnung, Rechtsform
  • SIREN-/SIRET-Nummer, innergemeinschaftliche Umsatzsteuer-Identifikationsnummer
  • Sitzadresse und Betriebsadresse
  • Allgemeine berufliche Kontaktdaten (Firmen-E-Mail, Firmentelefon)
  • Kbis-Auszug oder gleichwertiges Registrierungsdokument (Firmendokument)

3.2.2. Personenbezogene Daten der gesetzlichen Vertreter und Geschäftsführer (DSGVO anwendbar)

  • Nachname, Vorname, Funktion innerhalb der Gesellschaft
  • Kopie des amtlichen Ausweisdokuments des gesetzlichen Vertreters (Personalausweis oder Reisepass): Vorder-/Rückseite — im Rahmen der KYC-/GwG-/CFT-Pflichten erhoben
  • Geburtsdatum des Geschäftsführers (KYC-Identitätsprüfung)
  • Elektronische Unterschrift des gesetzlichen Vertreters
  • Persönliche berufliche E-Mail-Adresse (falls abweichend von der Firmen-E-Mail)
  • Persönliche berufliche Telefonnummer (falls abweichend vom Firmentelefon)

3.2.3. Berufsbezogene Dokumente zu Fahrzeugen

  • Kfz-Versicherungsbescheinigungen für jedes Fahrzeug (Firmendokument, kann jedoch Namen enthalten)
  • Betriebshaftpflichtversicherungsbescheinigung
  • Fahrzeugscheine (Zulassungsbescheinigungen)
  • Verwaltungsmandatsdokumente (für Concierge-Dienste)

3.2.4. Fahrzeugbezogene Daten

  • Fahrzeugfotos (Außen, Innen)
  • Technische Merkmale (Marke, Modell, Version, Baujahr, Kilometerstand, Farbe)
  • Kennzeichen, Fahrzeug-Identifizierungsnummer (VIN)
  • Vom Vermieter konfigurierte Mietpreise
  • Fahrzeugbereitstellungsadresse(n) (statische Adresse, geokodiert über HERE.com)
  • Mietverlauf des Fahrzeugs

3.2.5. Finanzdaten des Vermieters

  • Bankverbindung (IBAN) für Zahlungen über Stripe Connect
  • Verlauf der erhaltenen Zahlungen (Daten, Beträge, Referenzen)
  • Abrechnungsdaten für Pro-Plan-Abonnements

3.2.6. Bewertungs- und Leistungsdaten

  • Anzahl und Dauer der abgeschlossenen Reservierungen
  • Durchschnittliche Bewertung durch Mieter
  • Pünktlichkeitsrate (Einhaltung der Check-in- und Check-out-Zeiten)
  • Stornierungsrate durch den Vermieter
  • Reaktionszeit auf Reservierungsanfragen
  • Qualität und Vollständigkeit des Profils und der Anzeigen

Artikel 4 — VEREINFACHTES VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN

Gemäß Artikel 30 DSGVO stellt die folgende Tabelle umfassend alle von Maloc durchgeführten Verarbeitungstätigkeiten dar:

| Nr. | Verarbeitung | Betroffene Daten | Betroffene Personen | Rechtsgrundlage (Art. 6 DSGVO) | Aufbewahrungsfrist | Empfänger | |---|---|---|---|---|---|---| | T01 | Erstellung und Verwaltung des Nutzerkontos | Identität, E-Mail, Telefon, Passwort (gehasht) | Vermieter (Geschäftsführer) + Mieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | Dauer des Vertragsverhältnisses + 3 Jahre | Maloc, Supabase | | T02 | OTP-Authentifizierung (E-Mail/SMS) | E-Mail oder Telefon, OTP-Code | Vermieter (Geschäftsführer) + Mieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | Sitzungsdauer (OTP verfällt nach 10 Min.) | Maloc, Supabase, Resend, SMS-Anbieter | | T03 | KYC Mieter — Ausweisdokument + Führerschein | Personalausweis/Reisepass, Führerschein | Mieter | Vertragserfüllung + berechtigtes Interesse (Sicherheit, Betrugsbekämpfung) — Art. 6 Abs. 1 lit. b, f | 30 Tage nach Verifizierung (außer bei aktivem Streitfall) | Maloc, Supabase | | T04 | KYC Vermieter — Ausweisdokument des Geschäftsführers | Personalausweis/Reisepass des gesetzlichen Vertreters | Geschäftsführer der Vermietergesellschaften | B2B-Vertragserfüllung + gesetzliche Verpflichtung GwG/CFT — Art. 6 Abs. 1 lit. b, c | 5 Jahre nach Ende der Geschäftsbeziehung (Art. L561-12 frz. Währungs- und Finanzgesetzbuch) | Maloc, Supabase | | T05 | KYC Vermieter — KBIS | Kbis-Auszug (Firmendaten) | Juristische Personen (nicht DSGVO für die Gesellschaft) | Gesetzliche Verpflichtung GwG/CFT — Art. 6 Abs. 1 lit. c | 5 Jahre nach Ende der Geschäftsbeziehung | Maloc, Supabase | | T06 | KYC Vermieter — Versicherungsbescheinigungen | Versicherungsbescheinigungen (Firma + Betriebshaftpflicht) | Vermietergesellschaften | Vertragserfüllung + berechtigtes Interesse — Art. 6 Abs. 1 lit. b, f | Vertragsdauer + 5 Jahre (fünfjährige Regelverjährung) | Maloc, Supabase | | T07 | Reservierung und Mietverwaltung | Identität, Führerschein, Fahrzeug, Daten, Ort, Beträge | Vermieter (Geschäftsführer) + Mieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | 5 Jahre nach der letzten Anmietung (Verjährung Art. 2224 frz. Zivilgesetzbuch) | Maloc, Supabase, Stripe, Gegenpartei (Vermieter/Mieter) | | T08 | Zahlungsabwicklung | Stripe-Referenzen, Transaktionsverlauf | Mieter (Zahlungen), Vermieter (Auszahlungen) | Vertragserfüllung — Art. 6 Abs. 1 lit. b | 13 Monate nach der Transaktion (PSD2) + 10 Jahre (Buchhaltung) | Maloc, Stripe | | T09 | Kautionsverwaltung (Vorautorisierung) | Autorisierter Betrag, Stripe-Referenz, Status | Mieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | 7 Tage nach Check-out (dann Freigabe) + Dauer eines etwaigen Streitfalls | Maloc, Stripe | | T10 | Rechnungsstellung und Buchhaltung | Rechnungen, Beträge, Identität der Parteien | Vermieter (Geschäftsführer) + Mieter | Gesetzliche Verpflichtung — Art. 6 Abs. 1 lit. c (Art. L123-22 frz. Handelsgesetzbuch) | 10 Jahre ab Ausstellungsdatum | Maloc, Steuerberater | | T11 | Digitales Fahrzeugübergabeprotokoll (Check-in/Check-out) | Mit Zeitstempel versehene Fotos (12 Winkel), GPS des Übergabeorts, elektronische Unterschriften | Vermieter (Geschäftsführer) + Mieter (+ Dritte, falls auf Fotos sichtbar) | Vertragserfüllung + berechtigtes Interesse (Beweismittel) — Art. 6 Abs. 1 lit. b, f | 5 Jahre ab Check-out | Maloc, Supabase, Cloudflare R2 | | T12 | Geolokalisierung der Fahrzeugadresse | Statische Adresse des Bereitstellungsorts (geokodiert) | Vermieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | Dauer der Anzeigenveröffentlichung | Maloc, HERE.com (Geokodierung) | | T13 | Internes Nachrichtensystem | Nachrichteninhalt, Identität der Parteien | Vermieter (Geschäftsführer) + Mieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | 5 Jahre nach letzter Nutzung | Maloc, Supabase | | T14 | Transaktions-E-Mails | E-Mail-Adresse, Inhalt der Transaktions-E-Mails | Vermieter (Geschäftsführer) + Mieter | Vertragserfüllung — Art. 6 Abs. 1 lit. b | 3 Jahre nach Ende des Vertragsverhältnisses | Maloc, Resend | | T15 | Verwaltung von Bewertungen und Benotungen | Bewertungstext, Note, Identität des Verfassers | Vermieter (Geschäftsführer) + Mieter | Berechtigtes Interesse (Verbesserung des Vertrauens) — Art. 6 Abs. 1 lit. f | Dauer der Veröffentlichung (max. 5 Jahre), sofern keine Löschung beantragt | Maloc, Supabase | | T16 | Vermieter-Scoring | Leistungsdaten (siehe §3.2.6), berechneter Score | Vermieter (juristische Personen + Geschäftsführer) | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f | Kontodauer + 1 Jahr | Maloc (interne Verarbeitung) | | T17 | Streitbeilegung | Alle streitrelevanten Elemente (Reservierung, Fotos, Nachrichten, Identität) | Vermieter (Geschäftsführer) + Mieter | Berechtigtes Interesse + gesetzliche Verpflichtung — Art. 6 Abs. 1 lit. c, f | 5 Jahre ab endgültiger Beilegung des Streitfalls (Art. 2224 frz. Zivilgesetzbuch) | Maloc, Rechtsanwälte, Versicherer, Gerichte | | T18 | Meldung von Verkehrsordnungswidrigkeiten | Identität des Fahrers, Verstoß, Fahrzeug | Vermieter (als Verantwortliche), Mieter | Gesetzliche Verpflichtung (Art. L121-6 frz. Straßenverkehrsordnung) — Art. 6 Abs. 1 lit. c | 5 Jahre ab dem Verstoß | Maloc, Behörden | | T19 | DAC7-Pflichten (Steuererklärungen) | Vermieteridentität, Transaktionsbeträge | Vermieter | Gesetzliche Verpflichtung (Richtlinie (EU) 2021/514) — Art. 6 Abs. 1 lit. c | 10 Jahre | Maloc, Finanzverwaltung (DGFIP) | | T20 | Verbindungsprotokolle und Sicherheit | IP-Adresse, User-Agent, Zeitstempel, Aktionen | Vermieter (Geschäftsführer) + Mieter | Gesetzliche Verpflichtung (Art. 6 III LCEN) + berechtigtes Interesse — Art. 6 Abs. 1 lit. c, f | 1 Jahr | Maloc, Supabase, Hetzner | | T21 | Anonymisierte Nutzungsstatistiken | Aggregierte und anonymisierte Daten (nicht personenbezogen) | — (anonymisiert) | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f | Unbegrenzt (anonymisierte Daten, außerhalb des Anwendungsbereichs der DSGVO) | Maloc | | T22 | Newsletter und Marketingkommunikation | E-Mail, Präferenzen | Vermieter (Geschäftsführer) + Mieter (bei Einwilligung) | Einwilligung — Art. 6 Abs. 1 lit. a | Bis zum Widerruf der Einwilligung, dann Löschung innerhalb von 3 Jahren | Maloc, Resend | | T23 | Analytische Cookies | Sitzungskennung, besuchte Seiten, Surfverhalten | Besucher, Vermieter, Mieter (bei Einwilligung) | Einwilligung — Art. 6 Abs. 1 lit. a | Maximal 13 Monate (CNIL-Empfehlung) | Maloc, Analysetool | | T24 | Meta Pixel (gezielte Werbung) | Browser-Kennung, Navigationsereignisse | Besucher, Vermieter, Mieter (bei Einwilligung) | Einwilligung — Art. 6 Abs. 1 lit. a | Maximal 13 Monate | Maloc, Meta Platforms, Inc. | | T25 | TTS-Sprachsynthese (Barrierefreiheit) | An den TTS-Dienst übermittelte Textdaten (keine identifizierenden Daten übermittelt) | Nutzer (indirekt) | Berechtigtes Interesse (Barrierefreiheit) — Art. 6 Abs. 1 lit. f | Keine Speicherung (Echtzeitverarbeitung, nicht gespeichert) | Maloc, ElevenLabs, Inc. (falls aktiviert) | | T26 | Verzeichnis der Datenschutzverletzungen | Art der Verletzung, betroffene Daten, ergriffene Maßnahmen | Von der Verletzung betroffene Personen | Gesetzliche Verpflichtung (Art. 33 DSGVO) — Art. 6 Abs. 1 lit. c | 5 Jahre | Maloc (internes Verzeichnis), CNIL | | T27 | Ausübung von DSGVO-Rechten | Identität des Antragstellers, Art des Antrags, erteilte Antwort | Vermieter (Geschäftsführer) + Mieter | Gesetzliche Verpflichtung (Art. 12 DSGVO) — Art. 6 Abs. 1 lit. c | 3 Jahre (Nachweis der Konformität) | Maloc (DSB) |

Artikel 5 — DETAILLIERTE AUFBEWAHRUNGSFRISTEN

5.1. Daten der Mieter (B2C)

| Datenkategorie | Aufbewahrungsfrist | Begründung | |---|---|---| | Kontodaten (Identität, E-Mail) | Dauer des Vertragsverhältnisses + 3 Jahre | Nachvertragliche Geschäftswerbung (Art. L223-1 CPCE) | | Ausweisdokument (Personalausweis/Reisepass) | 30 Tage nach KYC-Verifizierung | Datenminimierung (Art. 5 Abs. 1 lit. e DSGVO) — außer bei aktivem Streitfall | | Führerschein | 30 Tage nach KYC-Verifizierung — außer bei laufender Reservierung oder Streitfall | Datenminimierung | | Reservierungsdaten | 5 Jahre nach der letzten Anmietung | Regelverjährungsfrist (Art. 2224 frz. Zivilgesetzbuch) | | Zahlungsdaten (Stripe-Referenzen) | 13 Monate nach der Transaktion | PSD2-Konformität (Richtlinie (EU) 2015/2366) | | Rechnungen (Buchführungsunterlagen) | 10 Jahre ab Ausstellungsdatum | Art. L123-22 frz. Handelsgesetzbuch | | Check-in-/Check-out-Fotos | 5 Jahre ab Check-out | Beweismittel im Falle eines Streitfalls über den Fahrzeugzustand | | Interne Nachrichten | 5 Jahre nach letzter Nutzung | Vertraglicher Beweis | | Verbindungsprotokolle | 1 Jahr | Art. 6 III LCEN | | Cookies und Tracker | Maximal 13 Monate | CNIL-Empfehlung vom 17. September 2020 | | Streitfalldaten | 5 Jahre nach endgültiger Beilegung | Art. 2224 frz. Zivilgesetzbuch |

5.2. Daten der Geschäftsführer der Vermieter (B2B — natürliche Personen)

| Datenkategorie | Aufbewahrungsfrist | Begründung | |---|---|---| | Identifikationsdaten des Geschäftsführers | Dauer der Geschäftsbeziehung + 5 Jahre | Handelsrechtliche Verjährungsfrist (Art. L110-4 frz. Handelsgesetzbuch) | | Ausweisdokument des gesetzlichen Vertreters | 5 Jahre nach Ende der Geschäftsbeziehung | GwG/CFT-Verpflichtung (Art. L561-12 frz. Währungs- und Finanzgesetzbuch) | | Kbis-Auszug | 5 Jahre nach Ende der Geschäftsbeziehung | GwG/CFT-Verpflichtung | | Versicherungsbescheinigungen (Fahrzeuge + Betriebshaftpflicht) | Versicherungsvertragsdauer + 5 Jahre | Fünfjährige Regelverjährung | | IBAN und Bankverbindung des Vermieters | Dauer der Geschäftsbeziehung + 5 Jahre | Handelsrechtliche Verjährungsfrist | | Scoring-Daten | Kontodauer + 1 Jahr | Berechtigtes Interesse (Leistungshistorie) | | Reservierungs-/Transaktionsdaten | 5 Jahre nach der letzten Transaktion | Handelsrechtliche Verjährungsfrist (Art. L110-4 frz. Handelsgesetzbuch) | | Rechnungen (Abonnements, Provisionen) | 10 Jahre ab Ausstellungsdatum | Art. L123-22 frz. Handelsgesetzbuch | | DAC7-Daten | 10 Jahre | Richtlinie (EU) 2021/514 |

5.3. Daten nach Ende des Vertragsverhältnisses

Bei Löschung des Nutzerkontos oder Beendigung des Vertragsverhältnisses:

  1. Daten, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, werden innerhalb von dreißig (30) Tagen anonymisiert;
  2. Daten, die einer gesetzlichen Verpflichtung unterliegen, werden für die geltende gesetzliche Frist mit eingeschränktem Zugang archiviert (nur DSB);
  3. Verbindungsprotokolle werden nach Ablauf der gesetzlichen Frist von einem (1) Jahr gelöscht;
  4. Daten, die zur Verteidigung der Rechte von Maloc in einem laufenden Streitfall erforderlich sind, werden bis zur endgültigen Beilegung des betreffenden Streitfalls aufbewahrt.

Artikel 6 — EMPFÄNGER PERSONENBEZOGENER DATEN

6.1. Weitergabe zwischen den Transaktionsparteien

Im Rahmen jeder Reservierung übermittelt Maloc jeder Partei die für die Erfüllung des Mietvertrags streng erforderlichen Informationen, im Einklang mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):

Der Mieter erhält:

  • Firmenbezeichnung des Vermieters und Name des operativen Ansprechpartners
  • Informationen und Fotografien des Fahrzeugs
  • Kfz-Versicherungsbescheinigung (gekürzte Fassung)
  • Adresse der Fahrzeugübergabe
  • Berufliche Telefonnummer des Vermieters

Der Vermieter erhält:

  • Nachname und Vorname des Mieters
  • Mobiltelefonnummer des Mieters
  • Führerscheinnummer (Klasse, Ausstellungsdatum) — nicht die vollständige Kopie
  • KYC-Verifizierungsstatus (validiert / ausstehend / abgelehnt) — ohne Zugang zu den Originaldokumenten

6.2. Technische Auftragsverarbeiter (Art. 28 DSGVO)

Alle technischen Auftragsverarbeiter von Maloc sind durch eine Auftragsverarbeitungsvereinbarung (AVV — Data Processing Agreement) gemäß Artikel 28 DSGVO gebunden:

| Auftragsverarbeiter | Funktion | Sitz | Tatsächlicher Datenstandort | Mechanismus für Übermittlungen außerhalb der EU | |---|---|---|---|---| | Supabase Inc. | Hauptdatenbank, Authentifizierung, strukturierte Speicherung | San Francisco, USA | Frankfurt, Deutschland (EU) — Region eu-central-1 | Daten in der EU gespeichert — keine Übermittlung außerhalb der EU für Maloc-Daten | | Hetzner Online GmbH | Hosting der Anwendungsserver | Gunzenhausen, Deutschland (EU) | Deutschland (EU) | Innergemeinschaftliche Übermittlung — kein Mechanismus erforderlich | | Cloudflare, Inc. | CDN, statische Dateispeicherung (R2), DDoS-Schutz, WAF | San Francisco, USA | EU (für R2 Europa) + USA (globales CDN-Netzwerk) | SCC (Beschluss 2021/914) + DPF (EU-US-Angemessenheitsbeschluss, 10. Juli 2023) | | Stripe Technology Europe, Limited | Zahlungsabwicklung, finanzielle Identitätsprüfung, Stripe Connect | Dublin, Irland (EU) | EU + Stripe, Inc. (USA) für bestimmte Verarbeitungen | SCC + DPF — Stripe DPF-zertifiziert | | Resend, Inc. | Versand von Transaktions-E-Mails | San Francisco, USA | USA | SCC (Beschluss 2021/914) | | Meta Platforms Ireland Limited | Meta Pixel — gezielte Werbung (bei Einwilligung) | Dublin, Irland (EU) | EU + Meta, Inc. USA | SCC + DPF — Meta DPF-zertifiziert | | HERE Global B.V. | Geokodierung von Fahrzeugadressen (Umwandlung Adresse in GPS-Koordinaten) | Eindhoven, Niederlande (EU) | EU | Innergemeinschaftliche Übermittlung — kein Mechanismus erforderlich | | ElevenLabs, Inc. (falls TTS-Funktion aktiviert) | Text-to-Speech-Synthese für Barrierefreiheit | New York, USA | USA | SCC (Beschluss 2021/914) — nicht identifizierende Textdaten |

Hinweis zu HERE.com: Der HERE-Geokodierungsdienst wird ausschließlich zur Umwandlung statischer Fahrzeugbereitstellungsadressen in GPS-Koordinaten verwendet, um diese Fahrzeuge auf der Plattformkarte anzuzeigen. Keine personenbezogenen Daten der Mieter oder Geschäftsführer der Vermieter werden an HERE.com übermittelt.

Hinweis zu ElevenLabs: Die Text-to-Speech-Funktion erhält, wenn aktiviert, ausschließlich Textdaten zu Fahrzeugbeschreibungen und Serviceinformationen. Keine identifizierenden personenbezogenen Daten (Nachname, Vorname, Kontaktdaten) werden an ElevenLabs übermittelt.

6.3. Behörden

Maloc kann verpflichtet sein, personenbezogene Daten auf rechtliche oder gerichtliche Anforderung an die zuständigen Behörden zu übermitteln:

  • Polizei- oder Gendarmeriedienste im Rahmen einer gerichtlichen Ermittlung;
  • Finanzverwaltung (DGFIP) im Rahmen der DAC7-Pflichten;
  • CNIL im Rahmen ihrer Kontrollaufgaben (Art. 47 frz. Datenschutzgesetz);
  • Gerichte im Rahmen von Rechtsstreitigkeiten.

Maloc verpflichtet sich, solche Mitteilungen nur im streng gesetzlich vorgeschriebenen Rahmen vorzunehmen und die betroffene Person im gesetzlich zulässigen Umfang zu informieren.

6.4. Kein Verkauf von Daten

Maloc verpflichtet sich formell und unwiderruflich, die personenbezogenen Daten seiner Nutzer niemals an Dritte zu Geschäftszwecken zu verkaufen, zu vermieten, entgeltlich abzutreten oder auszutauschen.

Artikel 7 — DATENÜBERMITTLUNGEN AUSSERHALB DER EUROPÄISCHEN UNION

7.1. Grundsatz der Datenspeicherung in der Europäischen Union

Maloc ist bestrebt, die personenbezogenen Daten seiner Nutzer innerhalb der Europäischen Union zu halten:

  • Die Hauptdatenbank (Supabase) wird in Frankfurt, Deutschland gehostet;
  • Die Anwendungsserver (Hetzner) werden in Deutschland gehostet;
  • Die Geokodierung (HERE.com) wird in den Niederlanden (EU) verarbeitet.

7.2. Übermittlungen in die Vereinigten Staaten

Bestimmte Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten oder sind dort teilweise tätig. Diese Übermittlungen werden gemäß den Artikeln 44 bis 49 DSGVO durch folgende Mechanismen geregelt:

a) Data Privacy Framework (DPF) — Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (C(2023) 4745):

  • Stripe, Inc. — DPF-zertifiziert
  • Cloudflare, Inc. — DPF-zertifiziert
  • Meta Platforms, Inc. — DPF-zertifiziert

b) Standardvertragsklauseln (SCC) — Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021:

  • Resend, Inc.
  • ElevenLabs, Inc.
  • Cloudflare, Inc. (SCC ergänzend zum DPF)

7.3. Ergänzende Schutzmaßnahmen

Im Einklang mit den EDSA-Empfehlungen (Guidelines 05/2021 über Übermittlungen personenbezogener Daten gemäß der DSGVO) setzt Maloc folgende ergänzende Maßnahmen um:

  • Verschlüsselung der Daten bei der Übertragung mittels TLS 1.3 (mindestens TLS 1.2) für alle Kommunikationen;
  • Verschlüsselung der Daten im Ruhezustand für sensible Daten (Ausweisdokumente, KYC-Daten);
  • Pseudonymisierung der Daten in Entwicklungs- und Testumgebungen;
  • Grundsatz der Datenminimierung: nur streng erforderliche Daten werden an Auftragsverarbeiter außerhalb der EU übermittelt.

7.4. Verzeichnis internationaler Übermittlungen

Maloc führt ein Verzeichnis internationaler Datenübermittlungen gemäß Artikel 30 Abs. 1 lit. e DSGVO. Dieses Verzeichnis ist auf begründeten Antrag an dpo@maloc.life erhältlich.

Artikel 8 — RECHTE DER BETROFFENEN PERSONEN

Gemäß den Artikeln 15 bis 22 DSGVO verfügt jede betroffene Person — einschließlich der Geschäftsführer von Vermietergesellschaften in Bezug auf ihre personenbezogenen Daten — über folgende Rechte:

8.1. Auskunftsrecht (Art. 15 DSGVO)

Jede betroffene Person kann die Bestätigung erhalten, dass sie betreffende Daten von Maloc verarbeitet werden, und Zugang zu allen diesen Daten sowie zu Informationen über die Zwecke, Empfänger, Aufbewahrungsfristen und verfügbaren Rechte erhalten. Eine Kopie der Daten kann in einem lesbaren Format bereitgestellt werden.

8.2. Recht auf Berichtigung (Art. 16 DSGVO)

Unrichtige Daten können direkt über den persönlichen Bereich oder durch Anfrage an den DSB berichtigt werden. Bei KYC-Daten (abgelaufene Ausweisdokumente, Wechsel des Geschäftsführers) wird der Nutzer gebeten, aktualisierte Dokumente über die Plattform einzureichen.

8.3. Recht auf Löschung — „Recht auf Vergessenwerden" (Art. 17 DSGVO)

Jede betroffene Person kann die Löschung ihrer Daten verlangen, wenn:

  • Die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind;
  • Die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage vorliegt;
  • Ein berechtigter Widerspruch eingelegt wurde (Art. 21 DSGVO);
  • Die Daten unrechtmäßig verarbeitet wurden.

Einschränkungen dieses Rechts: Die Löschung kann nicht gewährt werden, wenn die Verarbeitung zur Erfüllung einer gesetzlichen Aufbewahrungspflicht (Buchhaltungsdaten, GwG/CFT), zur Geltendmachung oder Verteidigung von Rechtsansprüchen oder für im öffentlichen Interesse liegende Archivzwecke erforderlich ist.

8.4. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Daten, die auf Grundlage des Vertrags oder der Einwilligung verarbeitet werden, können in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV) abgerufen werden. Dieses Recht gilt für Mieter und für Geschäftsführer der Vermieter in Bezug auf ihre personenbezogenen Daten.

8.5. Widerspruchsrecht (Art. 21 DSGVO)

Jede betroffene Person kann jederzeit Widerspruch einlegen:

  • Gegen die Verarbeitung auf Grundlage des berechtigten Interesses von Maloc, aus Gründen, die sich aus ihrer besonderen Situation ergeben — Maloc muss dann zwingende berechtigte Gründe nachweisen, die die Interessen der betroffenen Person überwiegen;
  • Gegen Direktwerbung (absolutes Widerspruchsrecht, keine Begründung erforderlich);
  • Gegen die Einbeziehung in das Vermieter-Scoring-System (siehe Artikel 11).

Der Widerspruch gegen Direktwerbung kann direkt über die Benachrichtigungseinstellungen des Kontos oder per Nachricht an dpo@maloc.life ausgeübt werden.

8.6. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Die Einschränkung der Verarbeitung kann insbesondere beantragt werden:

  • Bei Bestreitung der Richtigkeit der Daten, für die Dauer der Überprüfung durch Maloc;
  • Wenn die Verarbeitung unrechtmäßig ist und die betroffene Person der Löschung widerspricht;
  • Wenn Maloc die Daten nicht mehr benötigt, die betroffene Person sie aber zur Geltendmachung von Rechtsansprüchen benötigt.

8.7. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Der Widerruf der Einwilligung (Cookies, Marketing) kann jederzeit erfolgen, ohne die Rechtmäßigkeit der zuvor erfolgten Verarbeitungen zu berühren. Der Widerruf erfolgt über das Cookie-Verwaltungsbanner oder per E-Mail an dpo@maloc.life. Der Widerruf wird innerhalb von maximal 72 Stunden wirksam.

8.8. Recht auf Beschwerde bei der CNIL (Art. 77 DSGVO)

Jede betroffene Person kann eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen:

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Telefon: +33 (0)1 53 73 22 22
Website: https://www.cnil.fr
Online-Formular: https://www.cnil.fr/fr/plaintes

8.9. Praktische Modalitäten zur Ausübung der Rechte

Wie Sie Ihre Rechte ausüben können:

  • Per E-Mail: dpo@maloc.life (Betreff: „Ausübung von DSGVO-Rechten — [Art des Rechts]")
  • Per Post: MALOC SASU, 15 quai aux fleurs, 75004 Paris — Zu Händen des DSB (vertraulich)
  • Über den persönlichen Bereich auf der Plattform für direkt zugängliche Rechte (Berichtigung, Widerspruch gegen Marketing)

Antwortfrist: Maloc verpflichtet sich, innerhalb von dreißig (30) Kalendertagen nach Eingang des Antrags zu antworten (Art. 12 Abs. 3 DSGVO). Diese Frist kann bei Komplexität oder einer hohen Anzahl von Anträgen um zwei (2) weitere Monate verlängert werden, mit begründeter Benachrichtigung innerhalb der ursprünglichen Frist von dreißig Tagen.

Identitätsprüfung: Zur Bearbeitung sensibler Anfragen kann eine Kopie eines Ausweisdokuments verlangt werden, um betrügerische Zugriffe zu verhindern. Dieses Dokument wird nach Bearbeitung des Antrags gelöscht.

Kostenfreiheit: Die Ausübung der Rechte ist kostenlos. Bei offensichtlich unbegründeten oder übermäßigen Anträgen (missbräuchliche Häufigkeit) kann Maloc eine angemessene Gebühr erheben oder die Bearbeitung ablehnen, mit begründeter Benachrichtigung (Art. 12 Abs. 5 DSGVO).

Artikel 9 — PROFILING UND AUTOMATISIERTE ENTSCHEIDUNGEN

9.1. Vermieter-Scoring-System

Maloc verwendet ein automatisiertes Scoring-System zur Bewertung der Servicequalität der Vermieter auf der Plattform. Dieser Score wird auf der Grundlage objektiver Leistungskriterien berechnet:

| Kriterium | Indikative Gewichtung | |---|---| | Durchschnittliche Bewertung durch Mieter | Erheblich | | Pünktlichkeitsrate (Check-in/Check-out) | Erheblich | | Stornierungsrate durch den Vermieter | Erheblich | | Reaktionszeit auf Reservierungsanfragen | Mäßig | | Qualität und Vollständigkeit des Profils und der Anzeigen | Mäßig | | Anzahl und Dauer der Reservierungen | Mäßig | | Streitbeilegungsrate zugunsten des Mieters | Erheblich |

Rechtsgrundlage: Berechtigtes Interesse von Maloc (Art. 6 Abs. 1 lit. f DSGVO) — Verbesserung der Servicequalität und Schutz der Mieter. Maloc hat eine Interessenabwägung durchgeführt, die bestätigt, dass dieses Interesse angesichts des beruflichen Charakters der Vermieter und der begrenzten Auswirkungen des Scorings die Interessen der Vermieter überwiegt.

Auswirkungen des Scorings:

  • Einfluss auf das Ranking der Anzeigen in den Suchergebnissen;
  • Ein unzureichender Score kann ein Verifizierungs- oder Warnverfahren auslösen;
  • Der Score führt nicht zu einer automatischen Kontokündigung (siehe §9.3).

9.2. Recht auf Opt-out vom Scoring

Jeder Vermieter kann der Einbeziehung seiner Daten in das Scoring-System widersprechen, indem er einen Antrag an dpo@maloc.life richtet. Bei berechtigtem Widerspruch wird der Vermieter aus dem scorebasierten Ranking-System ausgeschlossen, was zu einer geringeren Sichtbarkeit seiner Anzeigen in den Suchergebnissen führen kann. Maloc wird den Vermieter vor der Umsetzung über die praktischen Folgen seines Widerspruchs informieren.

9.3. Keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung

Gemäß Artikel 22 DSGVO verpflichtet sich Maloc, keine Entscheidung mit erheblicher rechtlicher Wirkung — insbesondere Kontokündigung, dauerhafte Sperrung, Zugangsverbot — ausschließlich auf der Grundlage einer vollständig automatisierten Verarbeitung ohne menschliches Eingreifen zu treffen. Jede Entscheidung über eine Kontosperrung oder -kündigung unterliegt einer vorherigen menschlichen Prüfung durch das Trust-&-Safety-Team von Maloc.

9.4. Recht auf Erläuterung und Anfechtungsrecht

Jeder Nutzer, der von einer Entscheidung auf Grundlage automatisierter Verarbeitung betroffen ist, hat:

  • Das Recht auf eine Erläuterung der Logik der Verarbeitung und der verwendeten Kriterien (Art. 22 Abs. 3 DSGVO);
  • Das Recht, die Entscheidung vor einem menschlichen Ansprechpartner von Maloc anzufechten;
  • Das Recht, seinen Standpunkt darzulegen, bevor die Entscheidung endgültig wird.

Diese Rechte werden durch einen Antrag an dpo@maloc.life oder über das in den AGB vorgesehene interne Beschwerdeverfahren ausgeübt.

Artikel 10 — DATENSICHERHEIT

10.1. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Maloc setzt angemessene Sicherheitsmaßnahmen im Hinblick auf die bei der Datenschutz-Folgenabschätzung (DSFA) identifizierten Risiken um:

Technische Maßnahmen:

  • Verschlüsselung bei der Übertragung: TLS 1.3 (mindestens TLS 1.2) für alle Kommunikationen zwischen Nutzern und der Plattform (verpflichtendes HTTPS);
  • Verschlüsselung im Ruhezustand: AES-256-Verschlüsselung sensibler Daten (Ausweisdokumente, KYC-Daten) in Datenbanken;
  • Starke Authentifizierung: OTP-Authentifizierung (Einmalcode per E-Mail oder SMS) bei jeder Anmeldung und sensiblen Aktion;
  • Passwort-Hashing: Speicherung in gehashter Form mit bcrypt (Kostenfaktor >= 12);
  • Umgebungsisolierung: Strikte Trennung von Produktions-, Staging- und Entwicklungsumgebungen;
  • Pseudonymisierung: Verwendung pseudonymisierter Daten in Testumgebungen.

Organisatorische Maßnahmen:

  • Zugriffskontrolle: Prinzip der geringsten Berechtigung — Zugang zu personenbezogenen Daten streng auf autorisierte Personen gemäß ihrer Rolle beschränkt;
  • Protokollierung: Zugangsprotokolle zu sensiblen Daten, aufbewahrt für ein (1) Jahr, die die Erkennung unbefugter Zugriffe ermöglichen;
  • Sicherungskopien: Regelmäßige verschlüsselte Sicherungskopien (täglich), gespeichert in sicheren Umgebungen, die geografisch von der Produktion getrennt sind;
  • Schulung: Jährliche Schulung der Maloc-Teams zu Best Practices im Datenschutz;
  • Zugangsüberprüfung: Vierteljährliche Überprüfung der Zugriffsberechtigungen auf Daten.

10.2. Datenschutzverletzung — Verfahren (Art. 33-34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten (unbefugter Zugriff, Vernichtung, Verlust, Veränderung, unbefugte Offenlegung) wendet Maloc folgendes Verfahren an:

Schritt 1 — Erkennung und Qualifizierung (H+0 bis H+4):

  • Identifizierung der Art der Verletzung und der betroffenen Daten;
  • Bewertung der Wahrscheinlichkeit eines Risikos für die Rechte und Freiheiten der betroffenen Personen;
  • Aktivierung des internen Krisenteams.

Schritt 2 — Meldung an die CNIL (innerhalb von 72 Stunden):

  • Gemäß Artikel 33 DSGVO meldet Maloc der CNIL innerhalb von zweiundsiebzig (72) Stunden nach Bekanntwerden einer Verletzung, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt;
  • Die Meldung umfasst: die Art der Verletzung, die Kategorien und ungefähre Anzahl der betroffenen Personen, die betroffenen Daten, die wahrscheinlichen Folgen, die ergriffenen oder vorgeschlagenen Maßnahmen;
  • Wenn die Meldung nicht innerhalb der 72-Stunden-Frist vollständig erfolgen kann, wird eine erste Meldung übermittelt und ohne unangemessene Verzögerung ergänzt.

Schritt 3 — Benachrichtigung der betroffenen Personen (bei hohem Risiko):

  • Gemäß Artikel 34 DSGVO informiert Maloc die betroffenen Personen ohne unangemessene Verzögerung, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten darstellt (z. B.: Identitätsdiebstahl, Diskriminierung, finanzieller Schaden);
  • Die Mitteilung beschreibt in klaren Worten die Art der Verletzung, die betroffenen Daten, die wahrscheinlichen Folgen und die ergriffenen Abhilfemaßnahmen;
  • Die Mitteilung erfolgt über die mit dem Nutzerkonto verknüpfte E-Mail-Adresse und gegebenenfalls über eine In-App-Benachrichtigung.

Schritt 4 — Dokumentation:

  • Jede Datenschutzverletzung wird im internen Verzeichnis der Verletzungen dokumentiert (Art. 33 Abs. 5 DSGVO), aufbewahrt für fünf (5) Jahre, unabhängig davon, ob sie der CNIL gemeldet wurde.

Artikel 11 — GEOLOKALISIERUNG UND FOTOGRAFIEN

11.1. Geolokalisierung der Fahrzeuge — Nur statische Adresse

Die Maloc-Plattform verwendet Geolokalisierungsdaten in folgenden Kontexten:

  • Kartografische Anzeige der Inserate: Die vom Vermieter eingegebene Fahrzeugbereitstellungsadresse wird über den Dienst HERE.com geokodiert (Umwandlung Adresse in GPS-Koordinaten), um das Fahrzeug auf der Suchkarte anzuzeigen. Es handelt sich um eine vom Vermieter gewählte statische Adresse, nicht um eine Echtzeitposition.

  • GPS-Metadaten der Übergabeprotokoll-Fotos: Die aus den Check-in-/Check-out-Fotografien extrahierten GPS-Koordinaten entsprechen der geografischen Position des Fahrzeugübergabe- oder -rückgabeorts zum Zeitpunkt der Aufnahme. Diese Koordinaten dienen der zeitlichen und räumlichen Dokumentation des Übergabeprotokolls zu Beweiszwecken.

Maloc führt unter keinen Umständen durch:

  • Eine kontinuierliche oder periodische GPS-Verfolgung des Fahrzeugs während der Mietdauer;
  • Eine Erhebung der Echtzeitposition des Mieters oder Vermieters über die Plattform;
  • Jegliche Form der Überwachung der Mobilität der Nutzer.

11.2. Fotografien des Übergabeprotokolls — Verarbeitung potenziell sensibler Daten

Die Fotografien des Übergabeprotokolls (Check-in/Check-out) dienen ausschließlich der Dokumentation des Fahrzeugzustands. Diese Fotografien können zufällig identifizierbare natürliche Personen erfassen (Passanten, andere bei der Übergabe anwesende Personen).

Anwendbare Maßnahmen:

  • Maloc empfiehlt den Parteien ausdrücklich, bei der Fahrzeugübergabe keine identifizierbaren Dritten zu fotografieren;
  • Bei Vorhandensein einer identifizierbaren Person auf einem Foto stellt dieses Bild personenbezogene Daten im Sinne der DSGVO dar und unterliegt den entsprechenden Schutzmaßnahmen;
  • Identifizierbare Personen, die zufällig auf diesen Fotografien erscheinen, können ihr Auskunfts- und Löschungsrecht beim DSB (dpo@maloc.life) ausüben, vorbehaltlich der Aufbewahrungspflichten zu Beweiszwecken;
  • Der Zugang zu den Fotografien ist streng begrenzt: die Transaktionsparteien (Vermieter und Mieter) haben Zugang, ebenso Maloc und gegebenenfalls die zuständigen Behörden im Rahmen eines Streitfalls.

Aufbewahrungsfrist: 5 Jahre ab Check-out (Beweiswert im Falle eines Streitfalls über den Fahrzeugzustand).

Artikel 12 — COOKIES UND TRACKER

12.1. Anwendbarer Rechtsrahmen

Die Verwaltung von Cookies und Trackern unterliegt:

  • der Richtlinie 2002/58/EG über den Datenschutz in der elektronischen Kommunikation (ePrivacy);
  • Artikel 82 des französischen Datenschutzgesetzes (französische Umsetzung der ePrivacy-Richtlinie);
  • den CNIL-Empfehlungen vom 17. September 2020 zu Cookies und Trackern (Entscheidung Nr. 2020-091);
  • den EDSA-Leitlinien zur Einwilligung (Guidelines 05/2020).

12.2. Grundsatz der vorherigen Einwilligung

Gemäß Artikel 82 des französischen Datenschutzgesetzes dürfen nur für den Betrieb der Plattform streng notwendige Cookies ohne vorherige Einwilligung des Nutzers gesetzt werden. Alle anderen Cookies erfordern eine freiwillige, spezifische, informierte und unmissverständliche Einwilligung (Art. 4 Nr. 11 DSGVO).

12.3. Keine Cookie-Wall — Freier Zugang ohne Einwilligung zu nicht wesentlichen Cookies

Gemäß den CNIL-Leitlinien und der EDSA-Rechtsprechung kann die Ablehnung nicht wesentlicher Cookies nicht den Zugang zur Plattform einschränken. Jeder Nutzer kann auf alle Funktionen der Maloc-Plattform zugreifen und diese nutzen, ohne analytische oder Marketing-Cookies zu akzeptieren. Das Fehlen einer Cookie-Wall ist eine grundlegende Garantie für die Freiwilligkeit der Einwilligung.

12.4. Symmetrie von Einwilligung und Ablehnung

Gemäß den CNIL-Leitlinien 2020 muss die Ablehnung von Cookies ebenso einfach sein wie ihre Akzeptierung. Die Cookie-Verwaltungsoberfläche der Plattform bietet:

  • Einen „Alle akzeptieren"-Button und einen „Alle ablehnen"-Button mit gleichwertiger Darstellung und Zugänglichkeit;
  • Die Möglichkeit einer granularen Konfiguration nach Cookie-Kategorie;
  • Keine zusätzliche Navigationseinschränkung für den Zugang zum Ablehnungs-Button.

12.5. Tabelle der verwendeten Cookies

a) Streng notwendige Cookies — Von der Einwilligung befreit (Art. 82 frz. Datenschutzgesetz)

| Name / Kennung | Herausgeber | Zweck | Lebensdauer | |---|---|---|---| | sb-[project]-auth-token | Maloc (Supabase) | Aufrechterhaltung der authentifizierten Sitzung des Nutzers | Sitzungsdauer | | csrf_token | Maloc | Schutz gegen Cross-Site-Request-Forgery-Angriffe (CSRF) | Sitzungsdauer | | user_prefs | Maloc | Speicherung von Anzeigeeinstellungen (Sprache, Zeitzone) | 13 Monate |

Diese Cookies sind für den technischen Betrieb der Plattform unerlässlich. Ihre Deaktivierung würde die Plattform unbrauchbar oder unsicher machen. Sie erheben keine Daten zu Zwecken der Verhaltensverfolgung.

b) Analytische Cookies — Einwilligung erforderlich

| Tool | Herausgeber | Zweck | Lebensdauer | Rechtsgrundlage | |---|---|---|---|---| | Analysetool (bei Bereitstellung zu spezifizieren) | Zu spezifizieren | Anonymisierte Reichweitenmessung: besuchte Seiten, Sitzungsdauer, Absprungrate — aggregierte und anonymisierte Daten | Maximal 13 Monate | Einwilligung — Art. 6 Abs. 1 lit. a DSGVO + Art. 82 frz. Datenschutzgesetz |

Wenn die erhobenen Daten streng aggregiert und anonymisiert sind, kann Maloc gegebenenfalls eine Einwilligungsbefreiung bei der CNIL gemäß ihrer Entscheidung Nr. 2022-253 vom 19. Juli 2022 (befreite analytische Reichweitenmessungs-Cookies) beantragen.

c) Marketing- und Werbe-Cookies — Einwilligung erforderlich

| Tool | Herausgeber | ID / Kennung | Zweck | Lebensdauer | Rechtsgrundlage | |---|---|---|---|---|---| | Meta Pixel | Meta Platforms Ireland Limited | Pixel-ID: 1605202037392588 | Messung der Wirksamkeit von Meta-Werbekampagnen (Facebook, Instagram), Werbe-Retargeting, Erstellung ähnlicher Zielgruppen | Maximal 13 Monate | Einwilligung — Art. 6 Abs. 1 lit. a DSGVO + Art. 82 frz. Datenschutzgesetz |

Das Meta Pixel ist standardmäßig inaktiv. Es wird nur geladen und setzt Cookies erst nach ausdrücklicher Einwilligung des Nutzers. Bei Ablehnung oder fehlendem Einwilligungsentscheid wird kein Meta-Cookie gesetzt und keine Tracking-Kennung an Meta Platforms übermittelt.

12.6. Cookie-Verwaltungsoberfläche (Consent Management Platform)

Ein CNIL-konformes Cookie-Banner wird bei jedem Erstbesuch auf der Plattform und bei jeder wesentlichen Änderung der verwendeten Cookies angezeigt. Der Nutzer kann seine Einstellungen jederzeit über den Link „Meine Cookies verwalten" am unteren Rand jeder Seite der Plattform ändern.

12.7. Gültigkeitsdauer der Einwilligung

Die Einwilligung gilt für maximal dreizehn (13) Monate. Nach Ablauf dieser Frist wird dem Nutzer das Banner erneut zur Erneuerung angezeigt. Ohne Erneuerung werden nicht wesentliche Cookies automatisch deaktiviert.

12.8. Drittanbieter-Cookies

Bestimmte Cookies können direkt von Dritten (Meta Platforms) auf dem Endgerät des Nutzers gesetzt werden. Maloc hat keine direkte Kontrolle über diese Drittanbieter-Cookies, sobald die Einwilligung erteilt wurde. Nutzer werden gebeten, die Datenschutzerklärungen der betreffenden Dritten einzusehen:

  • Meta Platforms: https://www.facebook.com/privacy/policy/

Artikel 13 — MINDERJÄHRIGE

13.1. Die Maloc-Plattform ist ausschließlich natürlichen Personen vorbehalten, die mindestens achtzehn (18) Jahre alt sind. Maloc erhebt nicht wissentlich personenbezogene Daten von Minderjährigen.

13.2. Der Nutzer, der ein Konto auf der Plattform erstellt, versichert, volljährig zu sein. Sollte festgestellt werden, dass Daten eines Minderjährigen erhoben wurden, wird Maloc diese Daten schnellstmöglich und ohne unangemessene Verzögerung löschen.

13.3. Eltern oder Erziehungsberechtigte eines Minderjährigen, dessen Daten möglicherweise erhoben wurden, können die sofortige Löschung beim DSB unter dpo@maloc.life beantragen.

Artikel 14 — JEWEILIGE ROLLEN VON VERMIETER / MALOC (ART. 26-28 DSGVO)

14.1. Maloc als Verantwortlicher

Maloc ist Verantwortlicher für alle Verarbeitungstätigkeiten, die für seine eigenen Zwecke durchgeführt werden: Plattformverwaltung, Rechnungsstellung, Sicherheit, Vermieter-Scoring, gesetzliche Verpflichtungen.

14.2. Maloc als Auftragsverarbeiter der Vermieter

Für Verarbeitungen, die im Auftrag der Vermieter über die Plattform-Tools erfolgen (internes Nachrichtensystem, Verwaltung der Übergabeprotokolle, Speicherung der Mietverträge), handelt Maloc als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. In diesem Rahmen:

  • Eine Auftragsverarbeitungsvereinbarung (AVV) zwischen Maloc und jedem Vermieter formalisiert die jeweiligen Pflichten;
  • Maloc verarbeitet diese Daten nur auf dokumentierte Weisung des Vermieters;
  • Maloc gibt diese Daten nicht an Dritte weiter, außer im Rahmen der in Artikel 6.2 aufgeführten Auftragsverarbeiter.

14.3. Pflichten der Vermieter als Verantwortliche

Die professionellen Vermieter sind als Verantwortliche für ihre eigenen Vermietungstätigkeiten verpflichtet:

  • Ihre Kunden (Mieter) über ihre eigenen Datenverarbeitungen gemäß den Artikeln 13 und 14 DSGVO zu informieren;
  • Über eine gültige Rechtsgrundlage für jede von ihnen durchgeführte Verarbeitung personenbezogener Daten zu verfügen;
  • Die für ihre eigenen Verarbeitungen geltenden Aufbewahrungsfristen einzuhalten;
  • Die Rechte der betroffenen Personen für die Verarbeitungen zu gewährleisten, für die sie verantwortlich sind.

Artikel 15 — DATENSCHUTZ-FOLGENABSCHÄTZUNG (DSFA)

Gemäß Artikel 35 DSGVO hat Maloc eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungen durchgeführt oder wird diese durchführen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, insbesondere:

  • Die Verarbeitung von Ausweisdokumenten und KYC-Daten (großer Umfang, sensible Daten);
  • Das Vermieter-Scoring-System (Profiling);
  • Fotografien des Übergabeprotokolls mit GPS-Daten.

Die Ergebnisse dieser DSFAs sind dokumentiert und werden vom DSB aufbewahrt. Sie können der CNIL auf Anfrage übermittelt werden.

Artikel 16 — VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN (ART. 30 DSGVO)

16.1. Gemäß Artikel 30 DSGVO führt und pflegt Maloc ein Verzeichnis der Verarbeitungstätigkeiten. Dieses vom DSB geführte Verzeichnis dokumentiert:

  • Den Namen und die Kontaktdaten des Verantwortlichen und des DSB;
  • Die Zwecke der Verarbeitungen;
  • Die Kategorien betroffener Personen und Daten;
  • Die Kategorien von Empfängern;
  • Übermittlungen in Drittländer und geltende Garantien;
  • Aufbewahrungsfristen;
  • Eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

16.2. Dieses Verzeichnis ist auf begründeten Antrag an dpo@maloc.life erhältlich, unter den von der CNIL vorgesehenen Bedingungen, insbesondere im Rahmen einer CNIL-Anfrage oder einer betroffenen Person, die dessen Existenz überprüfen möchte.

Artikel 17 — ÄNDERUNGEN DER DATENSCHUTZERKLÄRUNG

17.1. Maloc behält sich das Recht vor, diese Erklärung jederzeit zu ändern, insbesondere zur Anpassung an rechtliche oder regulatorische Entwicklungen (neue CNIL-, EDSA-Empfehlungen) oder an neue Datenverarbeitungspraktiken.

17.2. Bei wesentlichen Änderungen (neue Zwecke, neue Auftragsverarbeiter, Änderung der Rechtsgrundlage, neue Übermittlungen außerhalb der EU) benachrichtigt Maloc die Nutzer per E-Mail an die mit ihrem Konto verknüpfte Adresse mindestens dreißig (30) Tage vor Inkrafttreten der Änderungen.

17.3. Wenn die Änderungen eine neue Einwilligung erfordern (z. B.: neue einwilligungsbasierte Verarbeitung), holt Maloc diese Einwilligung vor der Umsetzung der neuen Verarbeitung ein.

17.4. Bei Ablehnung von Änderungen, die eine Vertragsänderung beinhalten, kann der Nutzer sein Recht auf Löschung seines Kontos ausüben. Maloc wird die verbleibenden Daten dann gemäß den gesetzlichen Aufbewahrungspflichten verarbeiten.

17.5. Aufeinanderfolgende Versionen dieser Erklärung werden vom DSB archiviert und sind auf Anfrage an dpo@maloc.life erhältlich. Eine Versionshistorie ist auch am Ende der Seite der Erklärung auf der Plattform einsehbar.

Artikel 18 — KONTAKT UND AUSÜBUNG DER RECHTE

Für Fragen zu dieser Erklärung oder zur Ausübung Ihrer Datenschutzrechte:

Datenschutzbeauftragter (DSB)

MALOC SASU — Zu Händen des DSB
15 quai aux fleurs, 75004 Paris
E-Mail: dpo@maloc.life
(Empfohlener Betreff: „Ausübung von DSGVO-Rechten — [Art Ihres Anliegens]")

Allgemeiner Kundendienst

E-Mail: contact@maloc.life

Zuständige Aufsichtsbehörde

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Telefon: +33 (0)1 53 73 22 22
Website: https://www.cnil.fr
Online-Beschwerde: https://www.cnil.fr/fr/plaintes

ANLAGE A — GLOSSAR

| Begriff | Definition | |---|---| | DSGVO | Verordnung (EU) Nr. 2016/679 vom 27. April 2016 — Datenschutz-Grundverordnung | | LIL | Loi Informatique et Libertés Nr. 78-17 vom 6. Januar 1978, geändert (französisches Datenschutzgesetz) | | ePrivacy | Richtlinie 2002/58/EG über die Verarbeitung von Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation | | CNIL | Commission Nationale de l'Informatique et des Libertés — Französische Aufsichtsbehörde | | EDSA | Europäischer Datenschutzausschuss — Europäisches Koordinierungsorgan | | DSB | Datenschutzbeauftragter (Data Protection Officer) | | KYC | Know Your Customer — Verfahren zur Identitätsprüfung und Konformität | | GwG/CFT | Geldwäschebekämpfung / Bekämpfung der Terrorismusfinanzierung | | SCC | Standard Contractual Clauses — Standardvertragsklauseln der Europäischen Kommission | | DPF | Data Privacy Framework — EU-US-Datenschutzrahmen (Angemessenheitsbeschluss 2023) | | AVV | Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO) | | DSFA | Datenschutz-Folgenabschätzung (Art. 35 DSGVO) | | OTP | One-Time Password — Einmalcode zur Authentifizierung | | DAC7 | Richtlinie (EU) 2021/514 — Meldepflicht digitaler Plattformen an Steuerbehörden | | PSD2 | Richtlinie (EU) 2015/2366 — Zahlungsdienste im Binnenmarkt | | CDN | Content Delivery Network — Netzwerk zur Inhaltsbereitstellung | | TLS | Transport Layer Security — Verschlüsselungsprotokoll für Kommunikationen (HTTPS) | | WAF | Web Application Firewall — Web-Anwendungs-Firewall |

ANLAGE B — RECHTSGRUNDLAGEN

Diese Erklärung stützt sich auf folgende Rechtstexte:

Europäische Union:

  • Verordnung (EU) Nr. 2016/679 vom 27. April 2016 (DSGVO)
  • Richtlinie 2002/58/EG vom 12. Juli 2002 (ePrivacy)
  • Verordnung (EU) 2022/2065 vom 19. Oktober 2022 (DSA — Digital Services Act)
  • Richtlinie (EU) 2015/2366 vom 25. November 2015 (PSD2)
  • Richtlinie (EU) 2021/514 vom 22. März 2021 (DAC7)
  • Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 (SCC)
  • Angemessenheitsbeschluss C(2023) 4745 vom 10. Juli 2023 (EU-US DPF)

Frankreich:

  • Gesetz Nr. 78-17 vom 6. Januar 1978 (Informatique et Libertés), geändert
  • Verordnung Nr. 2018-1125 vom 12. Dezember 2018
  • Gesetz Nr. 2004-575 vom 21. Juni 2004 (LCEN)
  • Verordnung Nr. 2016-1635 vom 1. Dezember 2016 (GwG/CFT)
  • Artikel L561-12 des französischen Währungs- und Finanzgesetzbuchs (GwG/CFT-Aufbewahrung)
  • Artikel L123-22 des französischen Handelsgesetzbuchs (Buchhaltungsaufbewahrung)
  • Artikel 2224 des französischen Zivilgesetzbuchs (fünfjährige Regelverjährung)
  • Artikel L110-4 des französischen Handelsgesetzbuchs (handelsrechtliche Verjährung)
  • Artikel L121-6 der französischen Straßenverkehrsordnung (Fahrerbezeichnung)
  • Artikel L111-7 des französischen Verbrauchergesetzbuchs (Plattformbetreiber)

Empfehlungen und Leitlinien:

  • CNIL-Entscheidung Nr. 2020-091 vom 17. September 2020 (Cookies und Tracker)
  • CNIL-Entscheidung Nr. 2022-253 vom 19. Juli 2022 (Befreiung analytischer Cookies)
  • EDSA Guidelines 05/2020 zur Einwilligung (überarbeitete Fassung vom 4. Mai 2020)
  • EDSA Guidelines 05/2021 zu Übermittlungen personenbezogener Daten
  • EDSA Guidelines 01/2022 zu den Rechten betroffener Personen

MALOC SASU — Datenschutzerklärung — Version 2.0 — 22. März 2026
Verfasst von: DSB Maloc (dpo@maloc.life)
Nächste geplante Überarbeitung: März 2027