Datenschutzerklärung

Stand: Juli 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

AviWhere (eine Marke von Manuel Wieler Fotografie)
Manuel Wieler
Nieper Str. 46
47506 Neukirchen-Vluyn
Deutschland
E-Mail: contact@aviwhere.com

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten zur Bereitstellung der Plattform, insbesondere für: Registrierung und Kontoverwaltung, Identitäts- und Lizenzverifizierung (KYC), Vermittlung und Abwicklung von Buchungen (Flugzeugmiete, Mitflüge), Marktplatz-Inserate, Nachrichtenaustausch zwischen Nutzern, Zahlungsabwicklung, digitales Flugbuch, Bewertungen sowie E-Mail-Benachrichtigungen.

3. Verarbeitete Datenarten

  • Kontodaten: E-Mail-Adresse, Passwort (verschlüsselt bei unserem Auth-Dienstleister), Name, Telefonnummer, Rolle (Passagier/Pilot/Halter)
  • Profildaten: Nationalität, Pilotenlizenzen und Klassenberechtigungen (Eigenangaben), Einstellungs-Präferenzen
  • Verifizierungsdaten (KYC): hochgeladene Ausweis- und Lizenzdokumente, Prüfstatus
  • Buchungsdaten: Miet-/Flugzeiträume, gebuchte Sitzplätze, Preise, Buchungsstatus, Stornierungsgründe
  • Kommunikationsdaten: Nachrichten zwischen Nutzern über die Plattform
  • Zahlungsdaten: Zahlungsstatus, Transaktions-Referenzen, Erstattungsbeträge (Kartendaten werden ausschließlich von Stripe verarbeitet und erreichen unsere Server nicht)
  • Flugbuchdaten: vom Nutzer erfasste Flüge (freiwillig, Sichtbarkeit konfigurierbar)
  • Technische Daten: IP-Adresse, Zugriffszeitpunkte, Session-Informationen (Server-Logs des Hostings)

4. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontoverwaltung, Vermittlung und Abwicklung von Buchungen, Nachrichtenfunktion, Zahlungsabwicklung, transaktionale E-Mails
  • Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): steuer- und handelsrechtliche Aufbewahrung von Zahlungsbelegen
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verifizierung zur Betrugsprävention und Plattformsicherheit, Missbrauchserkennung, technische Bereitstellung und Absicherung der Plattform

5. Empfänger und Auftragsverarbeiter

  • Supabase (Supabase Inc.) — Datenbank, Authentifizierung und Dateispeicher (u. a. KYC-Dokumente). Hosting in der EU-Region.
  • Vercel (Vercel Inc., USA) — Hosting und Auslieferung der Web-Anwendung inkl. Server-Logs.
  • Stripe (Stripe Payments Europe Ltd., Irland) — Zahlungsabwicklung. Stripe verarbeitet Kartendaten in eigener datenschutzrechtlicher Verantwortung. Details: stripe.com/de/privacy
  • E-Mail-Versanddienst (SMTP) — Versand transaktionaler E-Mails (Buchungsbenachrichtigungen etc.); übermittelt werden E-Mail-Adresse und Nachrichteninhalt.
  • aviationweather.gov (NOAA, USA) — Abruf von Wetterdaten (METAR/TAF). Übermittelt werden nur Flugplatz-Codes (ICAO), keine personenbezogenen Daten.
  • photon.komoot.io (komoot GmbH) — Flugplatz- und Ortssuche. Bei der Suche werden die eingegebenen Suchbegriffe an den Dienst übermittelt.

Buchungs- und Profildaten werden zudem an den jeweiligen Vertragspartner (Halter, Pilot, Passagier) weitergegeben, soweit dies zur Vermittlung und Abwicklung erforderlich ist (z. B. Name und Kontaktdaten nach bestätigter Buchung).

6. Drittlandtransfer

Soweit Daten in die USA übertragen werden (insbesondere Vercel, NOAA, ggf. Stripe-Konzernunternehmen), erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. — soweit anwendbar — des EU-US Data Privacy Framework.

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies: Session-Cookies unseres Authentifizierungsdienstes (Supabase) zur Anmeldung sowie ein Cookie zur Speicherung deiner Spracheinstellung („locale“). Es werden keine Analyse-, Tracking- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).

8. Speicherdauer

  • Konto- und Profildaten: bis zur Löschung des Kontos
  • Buchungs- und Zahlungsdaten: bis zu 10 Jahre (gesetzliche Aufbewahrungsfristen, § 147 AO)
  • KYC-Dokumente: für die Dauer der Kontoführung, soweit keine längere gesetzliche Pflicht besteht
  • Nachrichten: bis zur Löschung des Kontos der Beteiligten
  • Server-Logs: gemäß den Aufbewahrungsfristen des Hosting-Anbieters (i. d. R. wenige Tage bis Wochen)

9. Deine Rechte

Du hast gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)

Zur Ausübung genügt eine formlose E-Mail an contact@aviwhere.com. Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf.

10. E-Mail-Benachrichtigungen

Wir versenden transaktionale E-Mails zu Buchungen, Nachrichten und deinen Inseraten. Diese kannst du in deinem Konto unter „Benachrichtigungen“ pro Kategorie deaktivieren. Wichtige kontobezogene E-Mails (z. B. Registrierungsbestätigung, Verifizierungsentscheidungen) werden immer zugestellt, da sie zur Vertragserfüllung erforderlich sind. Werbe-Newsletter versenden wir nicht.

11. Datensicherheit

Alle Datenübertragungen erfolgen TLS-verschlüsselt. Der Zugriff auf personenbezogene Daten ist auf das erforderliche Minimum beschränkt; KYC-Dokumente sind nur für Administratoren einsehbar. Passwörter werden ausschließlich als kryptographische Hashes gespeichert.

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung oder die Rechtslage ändert. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Siehe auch unsere AGB und das Impressum.