Datenschutzerklärung

Letzte Aktualisierung: 14. Februar 2026

1. Verantwortlicher

  1. Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist Next Orbit OÜ, handelnd unter der Marke LocaYo ("LocaYo", "wir", "uns" oder "unser"), eine Gesellschaft mit beschränkter Haftung (osaühing), eingetragen in der Republik Estland, Registernummer [WIRD ERGÄNZT], eingetragene Adresse [WIRD BEI REGISTRIERUNG ERGÄNZT].
  2. Für Datenschutzanfragen wenden Sie sich bitte an unseren Datenschutzbeauftragten unter privacy@locayo.app oder über unser Hilfecenter-Kontaktformular.
  3. Wir verarbeiten personenbezogene Daten in Übereinstimmung mit:
    • EU/Estland: Datenschutz-Grundverordnung (DSGVO) 2016/679, unmittelbar anwendbar in Estland
    • EU/EWR: Datenschutz-Grundverordnung (DSGVO) 2016/679
    • Deutschland: DSGVO sowie das Bundesdatenschutzgesetz (BDSG) und weitere nationale Datenschutzvorschriften

2. Informationen, die wir erheben

2.1 Von Ihnen bereitgestellte Informationen

  • Kontoinformationen: Name, E-Mail-Adresse, Telefonnummer, Passwort, Profilbild
  • Profilinformationen: Beschreibung, Standort, Geschäftsdaten (bei Geschäftskonten)
  • Anzeigeninformationen: Beschreibungen, Fotos, Preise, Verfügbarkeit
  • Kommunikation: Nachrichten mit anderen Nutzern, Supportanfragen
  • Bewertungen: Beurteilungen und Bewertungsinhalte
  • Verifizierungsdaten: Identitätsdokumente (falls Sie sich verifizieren möchten)
  • Zahlungsinformationen: Zahlungsdaten für Premium-Funktionen (Boosts), verarbeitet durch unseren Zahlungsdienstleister Stripe — wir speichern keine vollständigen Kreditkartendaten

2.2 Steuerliche Compliance-Informationen (nur Anbieter)

Wir sind gemäß der EU-Richtlinie 2021/514 (DAC7), umgesetzt in estnisches Recht, gesetzlich verpflichtet, die folgenden Informationen von Anbietern zu erheben.

  • Steueridentifikationsdaten: Steueridentifikationsnummer (Steuer-IdNr), einschließlich PESEL/NIP (Polen), Steuer-IdNr (Deutschland), Isikukood (Estland) oder gleichwertig im Land des steuerlichen Wohnsitzes
  • Geburtsdatum (bei Anbietern, die natürliche Personen sind)
  • Steuerlicher Wohnsitz: Land oder Länder des steuerlichen Wohnsitzes
  • Vollständige Adresse: Hauptwohn- oder Geschäftsadresse
  • Art des Rechtsträgers: ob Sie eine natürliche Person oder eine juristische Person sind
  • Handelsregisternummer (bei Geschäftskonten, sofern zutreffend)
  • Umsatzsteuer-Identifikationsnummer (sofern zutreffend)
  • Bankverbindung (sofern der Plattform verfügbar — Details in Abschnitt 3)

2.3 Automatisch erhobene Informationen

  • Geräteinformationen: IP-Adresse, Browsertyp, Betriebssystem, Gerätekennungen
  • Nutzungsinformationen: aufgerufene Seiten, genutzte Funktionen, Suchanfragen, Klicks
  • Standortdaten: allgemeiner Standort basierend auf IP, präziser Standort bei Aktivierung
  • Cookies und ähnliche Technologien: siehe unsere Cookie-Richtlinie

2.4 Informationen von Dritten

  • Social-Login-Anbieter: wenn Sie sich über Google oder Facebook anmelden, erhalten wir Ihre grundlegenden Profilinformationen
  • Zahlungsdienstleister: Stripe kann uns Transaktionsbestätigungen und begrenzte Kontoinformationen für Premium-Feature-Käufe bereitstellen
  • Andere Nutzer: Bewertungen und Meldungen über Sie

2.5 Transaktionsdaten

  • Buchungsdaten: Details bestätigter Buchungen einschließlich Daten, Dauer, angegebener Preis, Buchungsstatus und Anzahl der Transaktionen pro Anbieter pro Quartal
  • Abhol-/Lieferadressen: bei Abschluss einer Buchung können Adressen zwischen Anbieter und Kunde ausgetauscht werden
  • Datenminimierung: wir empfehlen, einen ungefähren Standort anstelle der genauen Wohnadresse anzugeben
  • Automatische Löschung: Adressdaten aus abgeschlossenen Buchungen werden nach 30 Tagen automatisch anonymisiert

3. Wie wir Ihre Informationen verwenden

ZweckRechtsgrundlageAufbewahrungsfrist
PlattformbetriebVertrag (Art. 6 Abs. 1 lit. b)Kontolaufzeit + 3 Jahre
SicherheitBerechtigte Interessen (Art. 6 Abs. 1 lit. f)12 Monate
KundenserviceVertrag (Art. 6 Abs. 1 lit. b)Lösung + 2 Jahre
TransaktionsadressenVertrag (Art. 6 Abs. 1 lit. b)30 Tage nach Buchung
Steuerliche Meldepflichten (EU DAC7)Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)5 Jahre nach letztem meldepflichtigen Zeitraum
Premium-Feature-Zahlungen (MwSt.-Compliance)Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)10 Jahre (VAT OSS Aufbewahrungspflicht)
AnalytikBerechtigte Interessen (Art. 6 Abs. 1 lit. f)26 Monate (anonymisiert)
MarketingEinwilligung (Art. 6 Abs. 1 lit. a)Bis zum Widerruf
Sonstige rechtliche ComplianceRechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)Gemäß gesetzlichen Anforderungen

Hinweis zu steuerlichen Compliance-Daten: Die Verarbeitung steuerlicher Compliance-Daten (Steuer-IdNr, Geburtsdatum, Adresse, steuerlicher Wohnsitz) erfolgt auf Grundlage unserer rechtlichen Verpflichtung gemäß EU DAC7 (Richtlinie 2021/514 des Rates), umgesetzt in estnisches Recht, und bedarf nicht Ihrer Einwilligung. Sie werden jedoch vor der Erhebung dieser Daten informiert und haben das Recht zu erfahren, wie sie verwendet werden. Die Daten werden ausschließlich zur Erfüllung unserer steuerlichen Meldepflichten verwendet und nicht für Marketing oder andere nicht damit zusammenhängende Zwecke.

4. An wen wir Ihre Daten weitergeben

  1. Andere Nutzer: für Transaktionen erforderliche Informationen (Name, Profilbild, Kontaktdaten nach Buchungsbestätigung).
  2. Dienstleister (Auftragsverarbeiter): wir nutzen die folgenden Drittanbieter-Dienste für den Betrieb der Plattform:
    • MongoDB Atlas (MongoDB, Inc.) — Datenbank-Hosting und -Speicherung
    • Cloudinary (Cloudinary Ltd.) — Bild-Hosting und -Verarbeitung
    • Render (Render Services, Inc.) — Anwendungs-Hosting
    • Stripe (Stripe, Inc.) — Zahlungsabwicklung für Premium-Funktionen
    • Google Analytics (Google LLC) — Website-Analytik (mit Einwilligung)
    • Socket.io / Hosting-Anbieter — Infrastruktur für Echtzeit-Kommunikation

    Jeder Auftragsverarbeiter verarbeitet Daten ausschließlich nach unseren Weisungen und ist durch entsprechende Auftragsverarbeitungsverträge (AVV) gebunden. Eine vollständige, aktuelle Liste der Auftragsverarbeiter ist auf Anfrage erhältlich.

  3. Steuerbehörden: wir sind gesetzlich verpflichtet, Anbieterinformationen an folgende Stellen weiterzugeben:
    • Maksu- ja Tolliamet (Estnisches Steuer- und Zollamt) — Jahresmeldungen gemäß EU DAC7, umgesetzt in estnisches Recht
    • Steuerbehörden der EU-Mitgliedstaaten — Maksu- ja Tolliamet tauscht gemeldete Informationen automatisch mit den Steuerbehörden des Landes des steuerlichen Wohnsitzes jedes Anbieters gemäß DAC7 aus

    An die Steuerbehörden weitergegebene Informationen umfassen: Name des Anbieters, Adresse, Geburtsdatum, Steuer-IdNr, Gesamttransaktionswert (basierend auf angegebenen Preisen), Anzahl der Transaktionen, Plattformgebühren sowie (bei Immobilienvermietungen) Immobilienadressen und Anzahl der Miettage. Diese Weitergabe erfolgt auf Grundlage unserer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO.

  4. Rechtliche und regulatorische Anforderungen: wenn anderweitig gesetzlich vorgeschrieben, durch Gerichtsbeschluss oder zum Schutz von Rechten und Sicherheit.
  5. Unternehmenstransaktionen: im Zusammenhang mit Fusionen, Übernahmen oder Verkauf von Vermögenswerten.

5. Internationale Übermittlungen

  1. Ihre Daten können außerhalb des Vereinigten Königreichs/EWR übermittelt werden. Wir verwenden die folgenden Schutzmechanismen:
    • Vereinigte Staaten: MongoDB Atlas, Cloudinary, Render, Stripe und Google Analytics können Daten in den USA verarbeiten. Diese Übermittlungen sind durch den EU-US-Datenschutzrahmen (Data Privacy Framework, sofern der Anbieter zertifiziert ist) und/oder Standardvertragsklauseln (SVK), genehmigt von der Europäischen Kommission und dem britischen Staatssekretär, geschützt.
    • EU/EWR: wo möglich, konfigurieren wir Dienste so, dass Daten innerhalb der EU/des EWR verarbeitet werden (z. B. MongoDB Atlas EU-Region). Übermittlungen zwischen dem Vereinigten Königreich und der EU/dem EWR sind durch Angemessenheitsbeschlüsse abgedeckt.
  2. Steuerliche Compliance-Daten (Steuer-IdNr, Adresse, Geburtsdatum) werden an das Estnische Steuer- und Zollamt (Maksu- ja Tolliamet) weitergegeben, das diese Daten automatisch mit den Steuerbehörden des Wohnsitzlandes des Anbieters gemäß den DAC7-Bestimmungen zum automatischen Informationsaustausch austauscht. Da Estland ein EU-Mitgliedstaat ist, erfolgen diese Übermittlungen innerhalb des EU/EWR-Rahmens.
  3. Sie können weitere Informationen über internationale Übermittlungen und die getroffenen Schutzmaßnahmen anfordern, indem Sie sich an privacy@locayo.app wenden.

6. Ihre Rechte

Gemäß der EU-DSGVO stehen Ihnen folgende Rechte zu:

  1. Auskunftsrecht — Sie können eine Kopie Ihrer personenbezogenen Daten anfordern.
  2. Recht auf Berichtigung — Sie können die Korrektur unrichtiger Daten verlangen.
  3. Recht auf Löschung — Sie können unter bestimmten Umständen die Löschung Ihrer Daten verlangen.
  4. Recht auf Einschränkung der Verarbeitung — Sie können verlangen, dass wir die Verwendung Ihrer Daten einschränken.
  5. Recht auf Datenübertragbarkeit — Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.
  6. Widerspruchsrecht — Sie können der Verarbeitung auf Grundlage berechtigter Interessen oder für Direktmarketing widersprechen.
  7. Rechte bei automatisierter Entscheidungsfindung — Rechte bezüglich automatisierter Entscheidungen, die Sie erheblich betreffen.
  8. Recht auf Widerruf der Einwilligung — Sie können Ihre Einwilligung jederzeit widerrufen, wenn wir uns darauf stützen.

Wichtiger Hinweis zu steuerlichen Compliance-Daten: Ihre Rechte auf Löschung und Einschränkung können in Bezug auf steuerliche Compliance-Daten (Steuer-IdNr, Geburtsdatum, Adresse, steuerlicher Wohnsitz) eingeschränkt sein, wenn wir gesetzlich zur Aufbewahrung und Verarbeitung dieser Daten für Zwecke der Steuerberichterstattung verpflichtet sind. In solchen Fällen erläutern wir die spezifische Rechtsgrundlage und etwaige geltende Einschränkungen.

Um Ihre Rechte auszuüben, kontaktieren Sie uns unter privacy@locayo.app oder über unser Hilfecenter. Wir beantworten Anfragen innerhalb eines Monats (oder bis zu drei Monaten bei komplexen Fällen, mit Benachrichtigung).

Aufsichtsbehörden:

  • Estland (federführende Aufsichtsbehörde): Andmekaitse Inspektsioon (Estnischer Datenschutzbeauftragter) — aki.ee
  • Deutschland: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) — bfdi.bund.de sowie die jeweils zuständige Landesdatenschutzbehörde
  • Polen: Urząd Ochrony Danych Osobowych (UODO) — uodo.gov.pl
  • Litauen: Valstybinė duomenų apsaugos inspekcija (VDAI) — vdai.lrv.lt
  • Lettland: Datu valsts inspekcija (DVI) — dvi.gov.lv
  • Vereinigtes Königreich: Information Commissioner's Office (ICO) — ico.org.uk
  • EU: Ihre örtliche Datenschutzbehörde

7. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten ein, darunter:

  • Verschlüsselung bei der Übertragung: alle zwischen Ihrem Gerät und unseren Servern übertragenen Daten werden mit TLS 1.2 oder höher (HTTPS) verschlüsselt
  • Verschlüsselung im Ruhezustand: alle in unserer Datenbank gespeicherten Daten werden mit branchenüblicher Verschlüsselung unserer Cloud-Infrastruktur verschlüsselt
  • Verschlüsselung auf Feldebene: besonders sensible Daten wie Steueridentifikationsnummern und Bankverbindungen werden zusätzlich auf Anwendungsebene mit AES-256-GCM-Verschlüsselung vor der Speicherung in der Datenbank verschlüsselt
  • Passwort-Hashing: Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert
  • Regelmäßige Backups: automatisierte verschlüsselte Sicherungen mit sicherer Aufbewahrung
  • Zugangskontrollen: strenge rollenbasierte Zugangskontrollen, die den Zugriff auf personenbezogene Daten einschränken, mit erhöhten Beschränkungen für steuerliche Compliance-Daten
  • Sicherheitsüberwachung: kontinuierliche Überwachung auf unbefugten Zugriff und Sicherheitsvorfälle
  • Datenminimierung: wir erheben nur die für den jeweiligen Zweck erforderlichen Daten und löschen sie, wenn sie nicht mehr benötigt werden

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellt, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und, soweit erforderlich, die betroffenen Personen unverzüglich.

8. Cookies

Wir verwenden Cookies und ähnliche Technologien. Details finden Sie in unserer Cookie-Richtlinie.

9. Datenschutz von Kindern

  1. Unsere Plattform erfordert ein Mindestalter von 16 Jahren (18 Jahre, um Anbieter zu werden).
  2. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Sollten wir erfahren, dass dies geschehen ist, werden wir die Daten umgehend löschen.

10. Änderungen dieser Datenschutzerklärung

  1. Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Praktiken oder rechtlicher Anforderungen widerzuspiegeln.
  2. Wesentliche Änderungen werden per E-Mail oder durch eine auffällige Mitteilung auf der Plattform mindestens 15 Tage vor Inkrafttreten bekannt gegeben.
  3. Die aktuelle Version ist jederzeit auf der Plattform verfügbar.

11. Kontakt

Für datenschutzrelevante Anfragen:

Verwandte Dokumente

© 2026 LocaYo. Alle Rechte vorbehalten.