Datenschutz

Datenschutz­erklärung

Zuletzt aktualisiert: 3. Juli 2026

Diese Datenschutzerklärung erläutert, wie Scriptiflow personenbezogene Daten erhebt, verwendet, weitergibt und schützt, wenn Sie unsere Plattform für Autohäuser (den „Dienst“) und unsere Website scriptiflow.com nutzen.

Scriptiflow ist ein Werkzeug für Unternehmen. Für den Großteil der personenbezogenen Daten, die durch den Dienst fließen, handeln wir im Auftrag des Autohauses, das ihn nutzt — siehe „Unsere zwei Rollen“ weiter unten. Die EU-Datenschutz-Grundverordnung (DSGVO) wenden wir auf alle Nutzer an, unabhängig davon, wo sie sich befinden.

01Wer wir sind

Scriptiflow („Scriptiflow“, „wir“, „uns“) stellt eine Marketing-, Vertriebs- und Kundenmanagement-Plattform für Autohäuser bereit. Unser Sitz ist in Prishtina, Kosovo. Sie erreichen uns unter info@scriptiflow.com.

Diese Erklärung gilt für den Dienst und unsere Website. Soweit ein Dritter (etwa ein E-Mail-Anbieter oder eine Werbeplattform) Ihre Daten zusätzlich nach eigenen Bedingungen verarbeitet, gilt dessen Datenschutzerklärung ergänzend zu dieser.

02Unsere zwei Rollen: Verantwortlicher und Auftragsverarbeiter

Da Scriptiflow von Unternehmen genutzt wird, um ihre eigenen Kunden zu verwalten, behandelt uns das Gesetz je nach Daten unterschiedlich:

Wir sind Verantwortlicher
für die Daten, deren Zweck wir festlegen: Ihr Autohaus-Konto und Nutzerprofile, Abrechnungsdaten, Website-Besucher- und Analysedaten sowie Ihre Support-Kommunikation.
Wir sind Auftragsverarbeiter
für die Daten, die ein Autohaus im Dienst über seine eigenen Kunden und Leads einstellt oder erzeugt — Kontakte, Geschäfte, Verträge, synchronisierte E-Mails und Nachrichten. Hier ist das Autohaus der Verantwortliche und wir verarbeiten die Daten nach seinen Weisungen.

Wenn Sie Kunde eines Autohauses sind und Ihre Rechte an den Daten ausüben möchten, die das Autohaus über Sie speichert, wenden Sie sich bitte an dieses Autohaus. Wir unterstützen es bei der Beantwortung.

03Welche Daten wir erheben

Konto- und Profildaten

  • Ihr Name, geschäftliche E-Mail-Adresse und Telefonnummer.
  • Name Ihres Unternehmens / Autohauses, Rolle und Berechtigungen.
  • Ihr Passwort — verwaltet durch unseren Authentifizierungsanbieter; wir sehen oder speichern es niemals im Klartext.
  • Für die Rechnungsstellung: rechtlicher Name, USt-IdNr. oder Steuernummer sowie Geschäftsanschrift.

Abrechnungs- und Zahlungsdaten

  • Ihr Abonnement-Tarif und -Status, Rechnungsname und -anschrift.
  • Rechnungen und Zahlungshistorie.
  • Nur Karten-Metadaten — Typ, Marke und die letzten vier Ziffern. Vollständige Kartennummern werden auf der sicheren Seite unseres Zahlungsdienstleisters eingegeben und niemals in unseren Systemen gespeichert.

Kundendaten, die Sie in den Dienst einstellen (in Ihrem Auftrag verarbeitet)

Bei der Nutzung des Dienstes laden Sie Daten über Ihre Kunden und Leads hoch oder erzeugen sie. Je nach Nutzung kann dies umfassen:

  • Kontakte und Leads: Namen, E-Mail-Adressen, Telefonnummern, Herkunft des Leads, das Fahrzeug, für das sich eine Person interessiert, Tags und Notizen.
  • Geschäfte und Transaktionen: Käuferdaten, vereinbarter Preis und eine Momentaufnahme des Fahrzeugs.
  • Verträge und unterzeichnete Dokumente: Käuferinformationen (die von Ihnen eingegebene Identitäts- oder Geburtsdatumsangaben enthalten können), der Vertragstext, von Ihnen hochgeladene Dokumente (z. B. Ausweis- oder Nachweisdokumente) und Aufzeichnungen elektronischer Signaturen.
  • Kommunikation: der Inhalt der E-Mails, die Sie aus Gmail oder Outlook synchronisieren (einschließlich Anhänge), sowie die von Ihnen verbundenen WhatsApp-, Instagram- und Facebook-Messenger-Konversationen — Nachrichtentext, Medien und Telefonnummer oder Kennung der Gegenseite.

Fahrzeug- und Bestandsdaten

  • Ihre Fahrzeuginserate und deren Details (Marke, Modell, Preis, Kilometerstand, Bilder, Ausstattung).
  • Verkäufer- und Kontaktdaten zu den Inseraten, synchronisiert von Marktplätzen wie mobile.de und AutoScout24.

Zugangsdaten verbundener Konten

Wenn Sie Google, Microsoft, Meta (Facebook / Instagram / WhatsApp) oder TikTok verbinden, speichern wir die von diesen Diensten ausgestellten Zugriffstoken, damit wir für Sie tätig werden können. Diese Token werden verschlüsselt gespeichert.

Nutzungs-, Geräte- und Protokolldaten

  • IP-Adresse, Browser / User-Agent, Sitzungs- und Anmeldedaten, aufgerufene Seiten, ausgeführte Aktionen und Analyse-Ereignisse.
  • Auf unserer öffentlichen Website erfassen wir zudem Besucher- und Demo-Anfragedaten: Name, E-Mail, Unternehmen, IP-Adresse, ungefährer Standort, Gerät, aufgerufene Seiten und Referrer.

Support-Daten

  • Der Inhalt von Support-Anfragen und Nachrichten, die Sie uns senden.

04Wie wir Ihre Daten verwenden und unsere Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten für die folgenden Zwecke, gestützt auf die jeweils genannte Rechtsgrundlage der DSGVO:

  • Bereitstellung, Betrieb und Absicherung des Dienstes sowie Verwaltung Ihres Kontos — Erfüllung unseres Vertrags mit Ihnen.
  • Verarbeitung der von Ihnen eingestellten Kundendaten nach Ihren Weisungen, um die genutzten Funktionen bereitzustellen — Erfüllung Ihres Vertrags (wir handeln als Auftragsverarbeiter).
  • Abrechnung, Zahlungsabwicklung und Rechnungsstellung — Vertragserfüllung und Erfüllung rechtlicher (steuerlicher) Pflichten.
  • Versand von Service-, Sicherheits- und Transaktionsnachrichten — Vertrag und berechtigte Interessen.
  • Verbesserung und Weiterentwicklung des Dienstes sowie Schutz vor Missbrauch — berechtigte Interessen.
  • Produkt- und Website-Analyse — Ihre Einwilligung, soweit erforderlich, ansonsten berechtigte Interessen.
  • Marketing gegenüber Unternehmen und Interessenten — berechtigte Interessen oder Einwilligung, mit Abmeldemöglichkeit in jeder Nachricht.
  • Erfüllung rechtlicher Pflichten sowie Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen — rechtliche Verpflichtung und berechtigte Interessen.

05KI-gestützte Funktionen

Einige Funktionen nutzen KI, um Sie beim Erstellen von Inhalten zu unterstützen — etwa beim Erzeugen von Anzeigentexten, Bildunterschriften und Marketing-Ansätzen. Dazu senden wir den relevanten Kontext (z. B. Fahrzeugdaten und Ihre Kampagneneinstellungen) an unsere KI-Anbieter, derzeit Anthropic (Claude) und OpenAI.

Diese Anbieter verarbeiten die Daten ausschließlich, um uns ein Ergebnis zurückzugeben; nach ihren Geschäfts- / API-Bedingungen verwenden sie die Daten nicht zum Training ihrer Modelle. Die KI-Ausgabe ist ein Vorschlag — Sie prüfen sie und entscheiden, was veröffentlicht wird.

06Cookies und Tracking

Wir verwenden Cookies und ähnliche Technologien. Essenzielle Cookies sind für den Betrieb des Dienstes erforderlich; andere werden nur eingesetzt, soweit zulässig.

sf_session (essenziell)
Hält Sie sicher angemeldet. HTTP-only, gültig bis zu 60 Tage im gleitenden Fenster.
csrf-token (essenziell)
Schützt Formulare und Anfragen vor Cross-Site-Request-Forgery. Läuft nach einer Stunde ab.
Produktanalyse (PostHog)
Nutzungsanalyse und, in Teilen der App, Sitzungsaufzeichnung mit maskierten Eingabefeldern. In der EU gehostet.
Website-Analyse und Werbung
Auf unserer öffentlichen Website nutzen wir Google Analytics und den Meta-(Facebook-)Pixel, um Zugriffe und die Wirkung unserer eigenen Werbung zu messen.

Nicht-essenzielle Cookies können Sie über Ihren Browser und, sofern angeboten, unsere Cookie-Einstellungen steuern. Wo das Gesetz für Analyse- oder Werbe-Cookies eine Einwilligung verlangt, holen wir diese zuvor ein. Das Blockieren essenzieller Cookies verhindert die Nutzung des Dienstes.

07Wie wir Daten weitergeben

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben sie nur an die Dienstleister („Auftragsverarbeiter“) weiter, die uns beim Betrieb des Dienstes unterstützen, und nur soweit erforderlich. Unsere wichtigsten Auftragsverarbeiter sind:

Supabase
Primäre Datenbank, Authentifizierung und Dateispeicher (EU). Verarbeitet praktisch alle Dienstdaten.
Hetzner
Server-Hosting und Infrastruktur (EU); speichert zudem erzeugte Dokumente und Dateien.
Mailgun
Versand und Empfang von Transaktions- und Autohaus-E-Mails, einschließlich Öffnungs-/Klick-Tracking. EU-Endpunkt.
Meta (Facebook, Instagram, WhatsApp)
Werbung, WhatsApp-Business-Nachrichten und die Conversions-API (siehe nächster Abschnitt).
Google und Microsoft
E-Mail- und Kalendersynchronisierung für die von Ihnen verbundenen Postfächer (Gmail / Outlook).
TikTok
Veröffentlichung von Videoinhalten in den von Ihnen verbundenen Konten.
Documenso
Elektronische Unterzeichnung von Verträgen (auf unserer eigenen Infrastruktur selbst gehostet).
UPC / e-Commerce Connect (Raiffeisen Bank Kosovo)
Kartenzahlungsabwicklung. Kartendaten werden auf deren sicherer Seite eingegeben.
Anthropic und OpenAI
KI-Erzeugung von Marketinginhalten (nur Inferenz — kein Modelltraining).
PostHog, Google Analytics, Meta-Pixel
Produkt- und Website-Analyse sowie Werbewirkungsmessung.
Fahrzeugmarktplätze (mobile.de, AutoScout24 und ähnliche)
Synchronisierung Ihrer Bestandsinserate und zugehöriger Kontaktdaten.

Wir können Daten außerdem offenlegen, um dem Gesetz oder einer gültigen behördlichen Anordnung nachzukommen, unsere Bedingungen durchzusetzen, unsere Rechte und die Sicherheit unserer Nutzer zu schützen oder im Zusammenhang mit einer Fusion, Übernahme oder einem Verkauf von Vermögenswerten (mit Hinweis, soweit gesetzlich vorgeschrieben).

08Weitergabe von Kundendaten an Werbeplattformen

Dieser Punkt verdient einen eigenen Hinweis, weil er leicht übersehen wird. Wenn Sie Anzeigen schalten oder Click-to-WhatsApp-Kampagnen nutzen, sendet unsere Werbemessungsfunktion (die Meta Conversions-API) Conversion-Informationen an Meta, damit Ihre Anzeigen optimiert werden können.

Dies kann die E-Mail-Adresse und Telefonnummer eines Kunden in gehashter (pseudonymisierter) Form, eine Anzeigen-Klick-Kennung, das betreffende Fahrzeug sowie Wert und Art der Conversion umfassen, zusammen mit technischen Daten wie der IP-Adresse. Als Autohaus sind Sie dafür verantwortlich, vor der Nutzung dieser Funktion für Ihre Kunden über eine Rechtsgrundlage und die erforderlichen Hinweise oder Einwilligungen zu verfügen.

09Internationale Datenübermittlung

Wir halten Daten wo immer möglich in der EU — Supabase, Hetzner, Mailgun und PostHog werden in der EU gehostet. Einige Anbieter wie Meta, Google, Microsoft, TikTok, Anthropic und OpenAI können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. Wo dies geschieht, sind die Übermittlungen durch geeignete Garantien wie die EU-Standardvertragsklauseln oder einen Angemessenheitsbeschluss abgesichert.

10Wie lange wir Daten speichern

Wir speichern personenbezogene Daten, solange Ihr Konto aktiv ist und soweit dies zur Bereitstellung des Dienstes erforderlich ist.

  • Konto- und Dienstdaten werden aufbewahrt, solange Ihr Konto besteht. Manche Datensätze werden zunächst „soft-gelöscht“ (ausgeblendet), bevor sie entfernt werden.
  • Wenn Sie Ihr Konto schließen, löschen oder anonymisieren wir Ihre Daten innerhalb von 90 Tagen, sofern wir sie nicht länger aufbewahren müssen.
  • Rechnungen und andere gesetzlich aufzubewahrende Unterlagen (Steuer und Buchhaltung) bewahren wir für die gesetzliche Frist auf, die bis zu 10 Jahre betragen kann.
  • Sitzungstoken laufen automatisch ab; Zugangsdaten verbundener Postfächer und sozialer Konten werden beim Trennen entfernt.

11Wie wir Ihre Daten schützen

Wir setzen geeignete technische und organisatorische Maßnahmen ein, darunter Verschlüsselung bei der Übertragung (HTTPS) und Verschlüsselung im Ruhezustand für Token verbundener Konten, gehashte Passwörter, zeilenbasierte Datenbank-Zugriffskontrollen, rotierende Sitzungstoken mit Diebstahlerkennung sowie interne Zugriffskontrollen. Kein System ist vollkommen sicher, doch wir arbeiten daran, Ihre Daten zu schützen und Sie sowie die Behörden — soweit gesetzlich vorgeschrieben — über eine Datenpanne zu informieren.

12Ihre Rechte

Je nachdem, wo Sie sich befinden, stehen Ihnen einige oder alle dieser Rechte an Ihren personenbezogenen Daten zu:

  • Auskunft — eine Kopie der Daten, die wir über Sie speichern.
  • Berichtigung — Korrektur unrichtiger Daten.
  • Löschung — Löschung Ihrer Daten („Recht auf Vergessenwerden“).
  • Einschränkung — Begrenzung der Nutzung Ihrer Daten.
  • Datenübertragbarkeit — Erhalt Ihrer Daten in einem übertragbaren Format.
  • Widerspruch — einschließlich gegen Direktwerbung.
  • Widerruf der Einwilligung — jederzeit, sofern die Verarbeitung auf Einwilligung beruht.

Zur Ausübung dieser Rechte kontaktieren Sie uns über die unten stehenden Angaben. Sie haben zudem das Recht, sich bei Ihrer zuständigen Datenschutzbehörde zu beschweren. Werden Ihre Daten von einem Autohaus gespeichert, das Scriptiflow nutzt, wenden Sie sich bitte zunächst an dieses Autohaus — wir unterstützen es bei der Beantwortung.

13Ihre Verantwortung als Autohaus

Wenn Sie Scriptiflow nutzen, um Daten über Ihre eigenen Kunden zu verarbeiten, sind Sie der Verantwortliche für diese Daten. Sie sind dafür verantwortlich, über eine Rechtsgrundlage und etwaige erforderliche Einwilligungen zu verfügen — etwa bevor Sie Kunden per E-Mail oder Nachricht kontaktieren, Anzeigen schalten oder ein Postfach synchronisieren — die Datenschutzrechte Ihrer Kunden zu wahren und ihnen mitzuteilen, wie Sie ihre Daten verwenden. Ein Auftragsverarbeitungsvertrag ist auf Anfrage erhältlich.

14Kinder

Scriptiflow ist ein Werkzeug für Unternehmen und richtet sich nicht an Kinder. Wir erheben wissentlich keine personenbezogenen Daten von Kindern.

15Änderungen dieser Erklärung

Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder innerhalb des Dienstes. Das Datum oben zeigt, wann sie zuletzt geändert wurde.

Kontakt

Betreiber
Scriptiflow — Prishtina, Kosovo