← ZurückDatenschutzerklärung
Stand: Mai 2026
1. Verantwortlicher
Nick Mittelstedt, Eibenweg 3, 67346 Speyer — info@lumyro.de
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Webanwendung Lumyro Autohaus-Intelligence. Die Anwendung wird derzeit ausschließlich intern genutzt. Eine öffentliche Registrierung ist nicht vorgesehen.
3. Welche Daten werden verarbeitet?
- 3.1 Benutzerkontodaten: Name, E-Mail, Passwort-Hash, Organisationszugehörigkeit
- 3.2 Fahrzeugdaten: Marke, Modell, FIN, Preis, Zustand, Fotos
- 3.3 Lead- und Kundendaten: Name, Telefon, E-Mail, Kaufinteressen
- 3.4 Nutzungsdaten / Logs: Zeitstempel (Audit-Log), IP-Adressen (Serverlog), Browser-Typ
4. Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Benutzerkontodaten)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (technische Logs)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (sofern eingeholt)
5. Eingesetzte Dienstleister (Sub-Auftragsverarbeiter)
Lumyro setzt folgende Sub-Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen wurden:
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting der Lumyro-Serverinfrastruktur, Verarbeitung ausschließlich in Deutschland (EU), ISO 27001 zertifiziert. hetzner.com/legal/privacy-policy
- Supabase Inc., 970 Toa Payoh North, Singapur — Datenbank und Authentifizierung. Datenspeicherung erfolgt ausschließlich in der EU-Region Frankfurt (eu-central-1, AWS). DPA + Standardvertragsklauseln (SCC) abgeschlossen. supabase.com/privacy
- Resend Inc., San Francisco, USA — Transaktions-E-Mail-Versand (Einladungen, Systembenachrichtigungen). Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). DPA abgeschlossen. resend.com/legal/privacy-policy
Die vollständige Auflistung der Sub-Auftragsverarbeiter sowie die konkreten technischen und organisatorischen Schutzmaßnahmen sind in der AVV-Vorlage (§ 3 und § 5) dokumentiert.
6. Auftragsverarbeitung
Lumyro wird im B2B-Kontext als Software-as-a-Service an Autohäuser (Verantwortliche) bereitgestellt. In diesem Verhältnis ist Lumyro Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Auftragsverarbeitungsvertrag (AVV) ist unter lumyro.de/avv abrufbar und regelt die konkreten Pflichten beider Parteien.
7. Datenweitergabe
Keine Weitergabe personenbezogener Daten an Dritte außer an die in Abschnitt 5 genannten Sub-Auftragsverarbeiter. Eine Weitergabe an Behörden erfolgt nur auf gesetzliche Anordnung.
8. Speicherdauer / Retention-Policy
- Aktive Daten (Leads, Fahrzeuge, Kunden): solange der Verantwortliche (Autohaus) sie aktiv pflegt und der Nutzungsvertrag besteht
- Soft-deleted Daten: 90 Tage in der Datenbank, danach automatischer Hard-Delete
- Audit-Log: 12 Monate ab Erstellung, danach Hard-Delete
- Inaktive Accounts: nach 24 Monaten ohne Login werden Daten gelöscht; Benachrichtigung erfolgt 30 Tage vorher
- Benutzerkontodaten: für die Dauer der aktiven Nutzung, auf Anfrage jederzeit löschbar (Art. 17 DSGVO)
9. Ihre Rechte als Betroffene Person
- Auskunft über gespeicherte Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung — Recht auf Vergessenwerden (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Als Nutzer der Lumyro-Plattform kannst du deine Rechte teilweise direkt in der Anwendung ausüben: Einstellungen → Meine Daten & Privatsphäre — dort stehen Datenexport (Art. 20) und Löschanfrage (Art. 17) als Self-Service bereit.
Für weitere Anfragen: info@lumyro.de
Aufsichtsbehörde: LfDI Rheinland-Pfalz — datenschutz.rlp.de
10. Datensicherheit
HTTPS/TLS-Verschlüsselung, verschlüsselte Passwort-Hashes (bcrypt), Row-Level-Security (Multi-Tenant-Isolation), rollenbasierter Zugriff (Owner / Admin / Sales / Viewer), Audit-Log für alle wesentlichen Aktionen. Details zu den technischen und organisatorischen Maßnahmen (TOM) finden sich in § 5 der AVV-Vorlage.
11. Cookies und lokaler Speicher
Lumyro setzt ausschließlich technisch notwendige Cookies und Speichermechanismen ein:
- Auth-Session-Cookie (Supabase): Technisch notwendig für die Authentifizierung. Wird beim Abmelden gelöscht.
- Cookie-Banner-Bestätigung (localStorage): Speichert, ob der Hinweis-Banner bereits bestätigt wurde. Kein Cookie, ausschließlich im Browser-LocalStorage. Kein personenbezogener Inhalt.
Es werden keine Analyse-, Marketing- oder Tracking-Cookies eingesetzt. Es werden keine Cookies oder Skripte von Drittanbietern (z.B. Google Analytics, Facebook Pixel) geladen.
12. Datenschutzbeauftragter
Lumyro (Nick Mittelstedt) ist als Einzelunternehmer mit weniger als 20 fest angestellten Mitarbeitern derzeit nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen (§ 38 BDSG i.V.m. Art. 37 DSGVO). Direkter Ansprechpartner für alle datenschutzrechtlichen Fragen ist: info@lumyro.de