Zurück zum Login

Datenschutzerklärung

Information nach Art. 13 / 14 DSGVO

Zuletzt aktualisiert: 22.05.2026 · Version: 2026-05-22-v7

Diese Datenschutzerklärung informiert dich darüber, wie wir bei der Bereitstellung der Trailo-Plattform mit deinen personenbezogenen Daten umgehen. Sie gilt für alle Nutzer der App unter app.trailo.io und der zugehörigen Websites.

1. Verantwortlicher und Rollen

1.1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Felix Bächle
Selbständiger Einzelunternehmer (trabalhador independente), handelnd unter der Marke „Trailo"
Rua Bernardim Ribeiro 47, 2.º
1150-070 Lissabon, Portugal
NIF: 310659655 · USt-IdNr: PT310659655
E-Mail: legal@trailo.io

1.2 Rollenverteilung (wichtig zu verstehen)

Trailo ist Verantwortlicher („Controller") für die folgenden Datenverarbeitungen:

  • Account-Erstellung und -Verwaltung (E-Mail, Name, Passwort-Hash, MFA-Faktoren)
  • Authentifizierung und Session-Management
  • Abrechnung mit dem Customer (deinem Arbeitgeber, sofern du im B2B-Kontext nutzt)
  • Sicherheits-Telemetrie und Fehler-Diagnose
  • Weiterentwicklung und technischer Betrieb der Plattform

Wenn du die Trailo-Plattform im Auftrag deines Arbeitgebers nutzt (z. B. als Fahrer, Disponent oder Administrator eines Unternehmens, das Trailo abonniert hat), ist dein Arbeitgeber der Verantwortliche für alle Daten, die innerhalb dessen Trailo-Account verarbeitet werden — also Kundendaten, Stopp-Daten, Routendaten, Fragebogenantworten, Standortdaten und ähnliche operative Daten. Trailo ist insoweit lediglich Auftragsverarbeiter („Processor") im Sinne von Art. 28 DSGVO. Die Bedingungen dieser Verarbeitung sind in unserer DPA geregelt.

Anfragen zu deinen operativen Daten (Auskunft, Löschung, Korrektur etc.) richtest du in diesem Fall bitte direkt an deinen Arbeitgeber, nicht an uns.

2. Erhobene Daten und Verarbeitungszwecke

2.1 Bei Registrierung und Account-Nutzung (Trailo als Verantwortlicher)

DatenkategorieZweckRechtsgrundlage
Vor- und Nachname, geschäftliche E-Mail-Adresse, FirmaAccount-Erstellung, Anmeldung, KommunikationVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Passwort-Hash, MFA-Faktoren, Backup-Codes (gehasht)Authentifizierung, Account-SicherheitVertragserfüllung + berechtigtes Interesse (Art. 6 Abs. 1 lit. b und f DSGVO)
IP-Adresse, Geräte-/Browser-Metadaten, Login-ZeitpunkteSicherheit, Betrugs- und Missbrauchsabwehr, Audit-LoggingBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
SHA-256-Hashes deiner E-Mail-Adresse und E-Mail-Domain (keine Klartext-E-Mail)Verhinderung von Free-Trial-Missbrauch durch wiederholtes Anlegen und Löschen von Accounts mit derselben Adresse / Firmen-DomainBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Anti-Fraud
Trusted-Device-Cookies (für 2FA-Bypass)Komfort bei wiederkehrenden Logins von einem vertrauten GerätEinwilligung beim 2FA-Setup (Art. 6 Abs. 1 lit. a DSGVO)
Sprach- und Zeitzonen-PräferenzLokalisierte DarstellungVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Zahlungs-Metadaten (Plan, Subscription-Status, USt-IdNr; keine Kreditkartendaten)Abrechnung, Mehrwertsteuer-Korrekt-AusweisVertragserfüllung + rechtliche Verpflichtung (Art. 6 Abs. 1 lit. b und c DSGVO)
Zustimmungs-Logs (Versionen + Datum für Terms / DPA / Privacy)Nachweis der DSGVO-konformen VertragsannahmeRechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Server-Logs (HTTP-Anfragen, Fehlerausgaben)Betrieb, Stabilität, FehlerdiagnoseBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

2.2 Bei produktiver Nutzung der Plattform (Customer als Verantwortlicher)

Wenn du die Plattform im Rahmen eines Customer-Abonnements nutzt, verarbeitet Trailo im Auftrag des Customers u. a.:

  • Namen und Kontaktdaten von Fahrern, Disponenten, Administratoren und deren Kunden
  • Standortdaten (GPS-Koordinaten, Adressen, Routenhistorie)
  • Fahrzeug- und Schicht-Zuordnungsdaten
  • Aufgaben-, Stopp- und Fragebogen-Daten inkl. Fotos und Unterschriften

Die Verarbeitungszwecke und Rechtsgrundlagen für diese Daten bestimmt der Customer. Details regelt die DPA.

3. Empfänger und Sub-Prozessoren

Wir geben Daten nur an sorgfältig ausgewählte Auftragsverarbeiter und Dienstleister weiter, mit denen Verträge nach Art. 28 DSGVO bestehen. Die folgende Liste umfasst alle Sub-Prozessoren, die im Rahmen der Plattform Personendaten verarbeiten können:

Sub-ProzessorStandortFunktionÜbermittlungsmechanismus
Supabase, Inc.EU (Frankfurt, DE)Datenbank, Authentifizierung, Datei-SpeicherEU — keine Drittland-Übermittlung; ISO 27001 / SOC 2
Vercel Inc.USA (HQ); EU-EdgeHosting, CDN, Serverless-ComputeEU-US DPF + SCCs; SOC 2 Type II
Hostinger International Ltd.EU (Litauen / Niederlande)Hosting der öffentlichen Marketing-Website (trailo.io) — statische Inhalte; verarbeitet nur Server-Logs (IP-Adresse, User-Agent, Zeitstempel)EU — keine Drittland-Übermittlung; ISO 27001
Stripe Payments EuropeEU (Irland) + USASubscription-Abrechnung, ZahlungsabwicklungEU-US DPF + SCCs; PCI-DSS Level 1
Resend, Inc.USATransaktionale E-Mails (Anmeldung, Reset, Benachrichtigungen)EU-US DPF + SCCs
Calendly, LLCUSATerminbuchung über die Trailo-Website (nur aktiv, wenn ein Termin gebucht wird — kein passives Tracking)EU-US DPF + SCCs
Google Ireland Limited / Google LLCEU (Irland) + USAGoogle Tag Manager (Container-Verwaltung); Google Analytics 4 (Reichweitenmessung — nur mit Statistik-Einwilligung, mit IP-Anonymisierung, ohne Übermittlung der Trailo-User-ID); Google Ads Conversion-Tracking + Remarketing (nur mit Marketing-Einwilligung); Cross-Domain-gclid-Linker zwischen trailo.ioapp.trailo.ioEU-US DPF + SCCs; Google ist DPF-zertifiziert
Functional Software, Inc. (Sentry)EU (Frankfurt, DE)Fehler- und Performance-Monitoring (mit clientseitigem PII-Filter)EU — Data Residency in der EU
Upstash, Inc.EU (Frankfurt) für Trailo-WorkloadsRedis-basiertes Rate-Limiting und CachingEU-Region; SCCs als Fallback
Hetzner Online GmbHDE (Falkenstein / Nürnberg)Hosting der Routenoptimierung (VROOM + OSRM auf eigener Infrastruktur, DACH-OSM-Daten)EU — keine Drittland-Übermittlung; ISO 27001
HeiGIT gGmbHDE (Heidelberg)OpenRouteService Directions-API für Routen-Geometrie (Polyline-Darstellung auf der Karte)EU — keine Drittland-Übermittlung
HERE Europe B.V.NL (Eindhoven)Geokodierung und Adressvervollständigung (HERE Geocoding & Search v7) — server-seitig über /api/geocode, Ergebnisse in EU gecachtEU — keine Drittland-Übermittlung
OpenStreetMap FoundationUK / EUKarten-Tiles (tile.openstreetmap.org); Nominatim wird nur als Fallback genutzt, wenn HERE nicht verfügbar istUK — Adequacy-Decision der EU-Kommission

Eine aktuelle Liste ist auf Anfrage an subprocessors@trailo.io erhältlich. Bei wesentlichen Änderungen an der Sub-Prozessor-Liste informieren wir Customer mindestens 30 Tage im Voraus über die in der DPA festgelegte Vereinbarung.

4. Übermittlung in Drittländer

Die Hauptverarbeitung deiner Daten findet in der Europäischen Union statt (Datenbank in Frankfurt). Bei einigen Sub-Prozessoren mit Sitz außerhalb der EU/EWR (Vercel, Stripe, Resend, Upstash, Google — siehe Tabelle oben) kann es zu einer Übermittlung in die USA kommen. In diesen Fällen stützen wir uns auf:

  • das EU-US Data Privacy Framework (DPF) gemäß Beschluss (EU) 2023/1795 für DPF-zertifizierte Empfänger,
  • die Standardvertragsklauseln der EU-Kommission (SCCs) gemäß Beschluss (EU) 2021/914 als Fallback,
  • technische und organisatorische ergänzende Maßnahmen (Verschlüsselung at-rest und in-transit, Zugriffskontrollen, Audit-Logging, PII-Filter).

Für US-basierte Sub-Prozessoren halten wir eine Transfer-Impact-Assessment (TIA) vor, die auf Anfrage einsehbar ist.

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

  • Account-Daten (Profil, Auth, MFA): bis zur Löschung des Accounts durch dich oder den Customer-Admin, danach Löschung innerhalb 30 Tage gemäß DPA Abschnitt 10.
  • Anti-Fraud-Hashes (SHA-256 deiner E-Mail-Adresse und E-Mail-Domain — siehe Tabelle in Abschnitt 2.1): werden unbefristet aufbewahrt und überstehen die Löschung deines Accounts bewusst. Die Hashes sind nicht reversibel; sie können nur per direktem Vergleich („wurde mit dieser konkreten Adresse bzw. Firmen-Domain bereits ein Free-Trial in Anspruch genommen?") geprüft werden. Eine Re-Identifikation der ursprünglichen E-Mail aus dem Hash ist nicht möglich. Der dauerhafte Erhalt ist erforderlich, um wiederholten Trial-Missbrauch („Account löschen → neu anmelden") zu verhindern; das ist das mildeste Mittel im Vergleich zu IP- oder Geräte-Fingerprinting.
  • Zustimmungs-Logs (Terms / DPA / Privacy): mindestens für die Dauer des Account-Bestehens, danach gemäß handelsrechtlicher Aufbewahrungspflichten ggf. bis zu 10 Jahre.
  • Rechnungs- und Abrechnungsdaten: gemäß portugiesischem Steuer- und Buchführungsrecht (Código do IVA, Decreto-Lei n.º 28/2019) in der Regel 10 Jahre.
  • Server-Logs / Sentry-Fehler: bis zu 90 Tage, danach automatische Löschung.
  • Google Analytics 4 (nur bei Statistik-Einwilligung): Cookies _ga und _ga_* jeweils bis zu 24 Monate. Eventdaten in GA4: bis zu 14 Monate (kürzeste GA4-Property-Aufbewahrung). Bei Widerruf der Statistik-Einwilligung werden keine weiteren Beacons gesendet.
  • Google Ads (nur bei Marketing-Einwilligung): Cookies _gcl_au, _gcl_aw bis zu 90 Tage. Der bei einer erfolgreichen Registrierung an Google übermittelte SHA-256-Hash deiner E-Mail (Enhanced Conversions) wird von Google nach der Conversion-Zuordnung gelöscht (Google-Aufbewahrung typischerweise ≤ 30 Tage).
  • Operative Daten (Stopps, Routen, Fragebogen-Antworten): wie vom Customer in seiner Datenschutz-Konfiguration festgelegt; Standardmäßig nicht automatisch gelöscht.

6. Deine Rechte

Du hast nach DSGVO jederzeit das Recht auf:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO) — Self-Service via Profil → Datenschutz → Datenexport
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO) — direkt im Profil bearbeitbar
  • Löschung deiner Daten (Art. 17 DSGVO) — über den Account-Löschen-Button oder via E-Mail an uns
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — JSON-/CSV-Export
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses (Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist primär die portugiesische Datenschutzaufsicht (Comissão Nacional de Proteção de Dados, CNPD, cnpd.pt) oder die Aufsicht in deinem gewöhnlichen Aufenthaltsort

Anfragen zu Trailo-eigenen Verarbeitungen richtest du an legal@trailo.io. Anfragen zu operativen Daten innerhalb eines Customer-Accounts richtest du bitte direkt an deinen Arbeitgeber (siehe Abschnitt 1.2).

7. Cookies und ähnliche Technologien

7.1 Notwendige Cookies (immer aktiv)

  • Session-Cookies (Supabase-Auth) — für deine Anmeldung. Lebensdauer: bis zum Logout oder Ablauf der Session.
  • Sprach-Präferenz (NEXT_LOCALE) — speichert deine UI-Sprache. Lebensdauer: 1 Jahr.
  • Trusted-Device-Cookie (mfa_device_id) — falls du ein Gerät beim 2FA-Setup als vertraut markiert hast. Lebensdauer: 30 Tage. Diese Speicherung erfolgt auf Grundlage deiner Einwilligung beim 2FA-Setup und kann jederzeit widerrufen werden.
  • Cookie-Consent-Cookie (trailo_consent) — speichert deine Cookie-Entscheidung. Lebensdauer: 12 Monate.
  • LocalStorage für Kontext-Hinweise und temporäre UI-Zustände.

Diese Cookies sind für den Betrieb der Plattform unverzichtbar und werden ohne deine Einwilligung gesetzt (§ 25 Abs. 2 TTDSG / Art. 5 Abs. 3 ePrivacy-Richtlinie).

7.2 Statistik (Opt-in)

Mit deiner Einwilligung nutzen wir Sentry zur Fehler- und Performance-Überwachung. Übermittelt werden u. a. Fehler-Stacks, IP-Adresse, Browser-Metadaten — mit clientseitigem PII-Filter (E-Mails / Namen werden vor dem Versand entfernt). Speicherort: Frankfurt, EU. Aufbewahrung: 90 Tage.

Mit deiner Einwilligung nutzen wir zusätzlich Google Analytics 4 (Google Ireland Limited, Irland; Mutterkonzern Google LLC, USA) zur Reichweitenmessung. Verarbeitet werden Page-Views, technische Geräte-/Browser-Metadaten und Klick-Events (u. a. sign_up_complete). In der GA4-Konfiguration ist die IP-Anonymisierung aktiviert; deine vollständige IP-Adresse wird nicht gespeichert. Wir übermitteln keine User-ID aus deinem Trailo-Account an GA4 — eine Re-Identifikation deiner Person aus den GA4-Daten ist daher nicht möglich. Daten werden zur Verarbeitung an Google-Server in die USA übermittelt; Stützung auf das EU-US Data Privacy Framework (Google ist DPF-zertifiziert) sowie Standardvertragsklauseln als Fallback. Details zu Googles Datenverarbeitung: policies.google.com/privacy.

7.3 Marketing (Opt-in)

Mit deiner Einwilligung nutzen wir Google Ads Conversion-Tracking und Google Ads Remarketing (Google Ireland Limited, Irland; Google LLC, USA). Dies hilft uns, die Wirksamkeit unserer Online-Werbung zu messen (z. B. ob ein Klick auf eine Google-Anzeige zu einer Registrierung bei Trailo geführt hat) und Werbung gezielter auszuspielen.

Enhanced Conversions: Wenn du dich erfolgreich registrierst, übermitteln wir an Google einen SHA-256-Hash deiner E-Mail-Adresse (in Kleinbuchstaben, getrimmt). Der Hash ist nicht umkehrbar; Google kann ihn ausschließlich dafür verwenden, deinen Klick auf eine Anzeige mit der Registrierung zu matchen, sofern dein Google-Account dieselbe (ebenfalls von Google gehashte) Adresse hinterlegt hat. Die Klartext-E-Mail-Adresse wird nicht an Google übermittelt.

Cookies: Mit deiner Einwilligung werden u. a. _gcl_au und _gcl_aw gesetzt (jeweils bis zu 90 Tage Lebensdauer). Über einen Cross-Domain-Linker reichen wir den Google-Click-Identifier (gclid) von trailo.io nach app.trailo.io durch, damit der ursprüngliche Werbe-Klick mit der späteren Registrierung verknüpft werden kann.

Übermittlung: Daten werden zur Verarbeitung an Google-Server in die USA übermittelt. Stützung auf das EU-US Data Privacy Framework (Google ist DPF-zertifiziert) sowie Standardvertragsklauseln als Fallback. Details zu Googles Datenverarbeitung: policies.google.com/privacy.

Rechtsgrundlage: deine Einwilligung im Cookie-Banner (Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TTDSG). Du kannst die Einwilligung jederzeit über den Button unten oder im Profil unter Datenschutz widerrufen — wir senden danach keine weiteren Conversion-Events mehr und die genannten Cookies werden beim nächsten Reload nicht erneuert. Bereits an Google übermittelte Hashes werden von Google nach Googles Aufbewahrungsfristen gelöscht (siehe Abschnitt 5).

7.4 Calendly (nur bei aktiver Terminbuchung)

Auf der Trailo-Website bieten wir die Möglichkeit, einen Beratungstermin über Calendly (Calendly, LLC, USA) zu buchen. Calendly wird ausschließlich dann geladen und verarbeitet Daten, wenn du den Termin-Buchungs-Bereich aktiv aufrufst und einen Slot reservierst. Beim reinen Besuch der übrigen Website-Bereiche werden keine Daten an Calendly übertragen.

Verarbeitete Daten beim Buchen: Vor- und Nachname, E-Mail-Adresse, optional Telefonnummer und Notizen, Zeitzone, Buchungs-Zeitpunkt, IP-Adresse zur Missbrauchs-Prävention.

Zweck: Vorbereitung und Durchführung eines Beratungs-/Vertriebsgesprächs. Rechtsgrundlage: Anbahnung eines Vertragsverhältnisses bzw. vorvertragliche Maßnahmen auf deine Anfrage hin (Art. 6 Abs. 1 lit. b DSGVO) sowie deine Einwilligung im Buchungs-Formular (Art. 6 Abs. 1 lit. a DSGVO).

Übermittlung: Calendly verarbeitet die Daten in den USA. Stützung auf das EU-US Data Privacy Framework (Calendly ist DPF-zertifiziert) sowie auf Standardvertragsklauseln als Fallback. Details zu Calendlys Datenverarbeitung: calendly.com/privacy.

7.4 Einwilligung verwalten

Du kannst deine Cookie-Entscheidung jederzeit ändern oder widerrufen — entweder über den Button unten oder im Profil unter Datenschutz. Eine Änderung wird sofort wirksam (Sentry wird bei Widerruf der Statistik-Kategorie nach einem Page-Reload nicht mehr aktiviert).

8. Datensicherheit

Wir implementieren branchenübliche technische und organisatorische Maßnahmen zum Schutz deiner Daten, darunter:

  • Verschlüsselung in der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
  • Tenant-isolierte Datenarchitektur mit Row-Level-Security auf Datenbank-Ebene
  • Mehr-Faktor-Authentifizierung verfügbar für alle Account-Typen, verpflichtend für administrative Zugriffe
  • Web-Application-Firewall, Rate-Limiting auf sensiblen Endpoints
  • Sicherheits-HTTP-Header (HSTS, CSP, X-Frame-Options, Permissions-Policy)
  • Regelmäßige Dependency- und Vulnerability-Scans
  • Audit-Logging administrativer Aktionen
  • Tägliche automatisierte Backups mit Point-in-Time-Recovery

Detaillierte technische und organisatorische Maßnahmen sind in unserer DPA, Abschnitt 6, dokumentiert.

9. Verpflichtung zur Bereitstellung

Die Bereitstellung der unter Abschnitt 2.1 genannten Daten ist für die Nutzung der Plattform erforderlich. Ohne diese Daten können wir keinen Account anlegen und die Plattform nicht für dich bereitstellen. Es besteht jedoch keine gesetzliche Pflicht zur Bereitstellung — du kannst auf eine Nutzung der Plattform verzichten.

10. Automatisierte Entscheidungsfindung

Wir setzen keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO ein. Algorithmische Funktionen wie Routenoptimierung dienen ausschließlich der Vorbereitung von Entscheidungen, die letztlich vom Customer (Disponent / Administrator) getroffen werden.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die Verarbeitung ändert oder rechtliche Anforderungen es verlangen. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail oder über einen Hinweis in der App und holen, soweit erforderlich, eine erneute Zustimmung ein. Die jeweils aktuelle Version ist auf dieser Seite verfügbar.