Datenschutz-
erklärung

Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO und des Schweizer DSG ist:

Ein Datenschutzbeauftragter wurde freiwillig bestimmt und ist über die obige Adresse erreichbar.

Erhobene Daten
& Zwecke

Stammdaten (bei Buchung)

• Vor- und Nachname
• Geburtsdatum
• Adresse (Strasse, PLZ, Ort, Land)
• E-Mail-Adresse
• Telefonnummer
• Verwendungszweck der Miete

Zweck: Vertragsabschluss, Vertragsabwicklung, Rechnungsstellung, Kommunikation.

Identitätsprüfungsdaten

• Scan / Foto des amtlichen Ausweises (ID oder Pass), Vorder- und Rückseite
• Scan / Foto des Führerausweises, Vorder- und Rückseite
• Selfie-Foto zur biometrischen Verifikation

Zweck: Verifikation der Identität und Fahrberechtigung, Verhinderung von Identitätsmissbrauch.

Vertragsdaten

• Übergabe- und Rückgabeprotokolle (inkl. Fotos des Fahrzeugzustandes)
• Kilometerstand bei Übergabe und Rückgabe
• Schadensmeldungen
• Zahlungsstatus und -historie
• Kommunikationsverlauf (E-Mail, WhatsApp)

Technische Daten

• IP-Adresse (gekürzt zur Anonymisierung)
• Browser-Typ, Betriebssystem
• Referrer-URL
• Zeitpunkt des Zugriffs
• Session-Cookie (technisch notwendig)

Zweck: Funktionsfähigkeit, IT-Sicherheit, Missbrauchsabwehr.

Rechtsgrundlagen

Rechtsgrundlagen der Datenverarbeitung sind:

• Art. 6 Abs. 1 lit. b DSGVO / Art. 31 DSG — Vertragserfüllung und vorvertragliche Massnahmen (Buchung, Mietvertrag)
• Art. 6 Abs. 1 lit. c DSGVO / Art. 31 DSG — Gesetzliche Pflichten (Buchhaltung, Steuern, Verkehrsmeldewesen)
• Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 1 lit. a DSG — Berechtigte Interessen (Betrugsprävention, IT-Sicherheit, Geltendmachung von Ansprüchen)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (optional, wo ausdrücklich eingeholt, z. B. für Marketing)

Empfänger &
Auftragsverarbeiter

Zur Erfüllung unserer Leistungen binden wir sorgfältig ausgewählte Dienstleister ein. Alle sind vertraglich (Auftragsverarbeitungsverträge nach Art. 28 DSGVO / Art. 9 DSG) zur Wahrung des Datenschutzes verpflichtet.

• Stripe Payments Europe Ltd. (Irland/USA) — Zahlungsabwicklung, Kautions-Vorautorisierung
• Meta Platforms Ireland Ltd. (Irland/USA) — WhatsApp Business API für Nachrichtenkommunikation
• OpenAI Ireland Ltd. / Emergent Labs (USA) — GPT-4o Vision für KI-Ausweisprüfung
• Emergent Labs (Hosting-Plattform) — Anwendungs-Hosting, Object Storage für Dokumente
• Gmail/Google Workspace — E-Mail-Versand
• MongoDB (Cloud Services) — Datenbankhosting
• OpenStreetMap / Leaflet — Kartendarstellung für Bringservice (nur IP-Adresse, kein Profiling)
• Kantonale Behörden / Strafverfolgung — ausschliesslich bei gesetzlicher Pflicht oder bei Weiterleitung von Bussen
• Versicherungen — im Schadensfall, beschränkt auf relevante Daten

Datentransfer
ins Ausland

Einige unserer Auftragsverarbeiter (insbesondere Stripe, Meta, OpenAI, Google) verarbeiten Daten in Drittländern ausserhalb der Schweiz und der EU — vor allem in den USA.

Für diese Transfers stützen wir uns auf:

• EU-Standardvertragsklauseln (SCC 2021/914) nach Art. 46 DSGVO
• EU-U.S. Data Privacy Framework (DPF) — für Anbieter, die sich zertifiziert haben
• Die Angemessenheitsbeschlüsse der EU-Kommission, soweit anwendbar
• Einwilligung der betroffenen Person, soweit erforderlich

Eine Liste der Subauftragsverarbeiter und Verweise auf die jeweiligen Datenschutzerklärungen der Anbieter stellen wir auf Anfrage zur Verfügung.

KI-gestützte
Identitätsprüfung

Zur schnellen und zuverlässigen Prüfung Ihrer Identität setzen wir KI-basierte Bildanalyse (GPT-4o Vision von OpenAI, vermittelt über Emergent Labs) ein. Dabei werden Ihre hochgeladenen Dokumente und Ihr Selfie analysiert.

Was passiert konkret?

• Die Bilder werden zur OpenAI-API übermittelt (Server in den USA, DPF-zertifiziert)
• Die KI extrahiert Name, Geburtsdatum und weitere Ausweismerkmale (OCR)
• Die KI vergleicht Selfie mit Ausweisbild (Ähnlichkeitsprüfung)
• Das Ergebnis wird bei uns gespeichert — die Originalbilder in unserem Object Storage, die KI-Extraktion in der Datenbank
• OpenAI speichert Anfragen gemäss seiner Datenschutzrichtlinie nicht zum Training

Keine automatisierte Einzelentscheidung

Die KI-Prüfung ist ein Hilfsmittel. Die finale Buchungsentscheidung trifft stets ein Mensch (Admin). Sie haben das Recht, dieser Art der Verarbeitung zu widersprechen — in diesem Fall erfolgt eine rein manuelle Prüfung, die jedoch mehrere Werktage dauern kann.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO / Art. 31 DSG.

Zahlungs-
abwicklung (Stripe)

Zahlungen und Kautions-Vorautorisierungen werden über Stripe Payments Europe Ltd. abgewickelt. Wir selbst speichern keine Kreditkartendaten.

• Bei Kartenzahlung werden Sie auf das Stripe-Formular weitergeleitet (bzw. Stripe-iframe eingebettet)
• Stripe verarbeitet Name, E-Mail, Kartendaten, Betrag und übermittelt uns nur eine Transaktions-ID sowie den Status
• Stripe ist PCI-DSS Level 1 zertifiziert und DPF-registriert (USA)
• Details siehe: https://stripe.com/privacy

WhatsApp-
Kommunikation (Meta)

Wenn Sie uns eine Telefonnummer angeben und Kommunikation per WhatsApp wünschen (oder wir Sie so kontaktieren), läuft der Nachrichtenaustausch über die Meta WhatsApp Business API.

• Verarbeitete Daten: Telefonnummer, Nachrichteninhalt, Zeitstempel, Zustell-/Lesestatus
• Betreiber: Meta Platforms Ireland Ltd. — Server in Irland und USA
• Nachrichten werden Ende-zu-Ende-verschlüsselt zwischen Mobilgerät und WhatsApp, Meta hat jedoch Zugriff auf Metadaten
• Wir verwenden WhatsApp nur für betriebliche Kommunikation (Buchung, Erinnerungen, Rückfragen) — keine Werbung
• Sie können der WhatsApp-Kommunikation jederzeit widersprechen; wir wechseln dann auf E-Mail
• Meta-Datenschutzerklärung: https://www.whatsapp.com/legal/business-policy

Speicherdauer

Wir speichern Personendaten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder Gesetz und Verträge es vorschreiben.

• Buchungs- und Vertragsdaten: 10 Jahre (Art. 958f OR — Aufbewahrungspflicht Schweiz)
• Rechnungen und Zahlungsbelege: 10 Jahre (Art. 958f OR)
• Ausweiskopien und Selfies: 90 Tage nach Ende des Mietverhältnisses, danach automatische Löschung
• Kommunikation (E-Mail, WhatsApp): 3 Jahre nach letztem Kontakt
• Kundenkonto-Stammdaten: bis zur Löschung des Kontos durch den Kunden (oder 3 Jahre Inaktivität)
• Technische Server-Logs: 30 Tage, danach anonymisiert
• Bewertungen / Reviews: unbefristet (nach Einwilligung; jederzeit widerruflich)

Ihre
Rechte

Nach Schweizer DSG und EU-DSGVO stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 25 DSG / Art. 15 DSGVO) — Sie dürfen wissen, welche Daten wir über Sie verarbeiten
• Berichtigungsrecht (Art. 32 DSG / Art. 16 DSGVO) — Sie können unrichtige Daten korrigieren lassen
• Löschungsrecht / Recht auf Vergessenwerden (Art. 32 DSG / Art. 17 DSGVO) — soweit keine Aufbewahrungspflichten entgegenstehen
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruchsrecht (Art. 30 DSG / Art. 21 DSGVO) — insbesondere gegen Verarbeitung auf Basis berechtigter Interessen
• Recht auf Datenübertragbarkeit (Art. 28 DSG / Art. 20 DSGVO) — Herausgabe der Daten in maschinenlesbarem Format
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft

Anfragen richten Sie bitte formlos per E-Mail an: datenschutz@bellastrada.ch. Wir antworten innert 30 Tagen (DSG) bzw. einem Monat (DSGVO). Zur Verifikation Ihrer Identität können wir zusätzliche Informationen anfordern.

Cookies
& Tracking

Wir verwenden auf www.bellastrada.ch ausschliesslich technisch notwendige Cookies. Kein Drittanbieter-Tracking, kein Google Analytics, keine Werbe-Pixel.

Eingesetzte Cookies

• Session-Cookie (Authentifizierung) — wird nach Sitzungsende oder Logout gelöscht
• CSRF-Token — zur Formular-Sicherheit
• Sprach-Präferenz (localStorage) — technisch notwendig, bleibt auf Ihrem Gerät

Nach Schweizer DSG sowie §25 TTDSG (für EU-Besucher) ist für technisch notwendige Cookies keine Einwilligung erforderlich. Sie können Cookies in Ihrem Browser jederzeit löschen oder blockieren.

Sicherheit

Wir treffen angemessene technische und organisatorische Massnahmen nach Art. 8 DSG / Art. 32 DSGVO, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen:

• SSL/TLS-Verschlüsselung aller Datenübertragungen
• Bcrypt-Hashing für Passwörter
• Verschlüsselte Speicherung sensibler Credentials (WhatsApp-Tokens u. ä.)
• Zugriffskontrolle via JWT / OTP (rollenbasiert)
• Regelmässige Sicherheits-Updates der Software
• Zugriff auf Dokumente nur für autorisierte Mitarbeitende
• Segmentierte Datenhaltung (Kundendaten, Zahlungsdaten, Identitätsdokumente getrennt)
• Isolierte Object-Storage mit signierten URLs

Kontakt &
Beschwerderecht

Für Fragen zur Verarbeitung Ihrer Daten oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde zu beschweren:

Änderungen der
Datenschutzerklärung

Wir passen diese Datenschutzerklärung bei Bedarf an neue rechtliche oder betriebliche Gegebenheiten an. Die jeweils aktuelle Version ist auf www.bellastrada.ch/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Sie zusätzlich per E-Mail.

Diese Datenschutzerklärung wurde zuletzt am 1. Februar 2026 aktualisiert.