1. Verantwortlicher

Der für die Verarbeitung Ihrer personenbezogenen Daten auf dieser Website verantwortliche Verantwortliche ist:

Entrio sp. z o.o.
ul. Zagórna 28, 37-420 Kopki, Polen
E-Mail:  Hilfe@tollto.com
Telefon: +48 880 685 468

Bei Fragen zum Datenschutz kontaktieren Sie uns bitte unter der oben angegebenen E-Mail-Adresse.

1.2. Wir haben keinen Datenschutzbeauftragten (DPO) ernannt, da wir gesetzlich nicht dazu verpflichtet sind gemäß Art. 37 DSGVO. Für alle Anfragen zum Datenschutz kontaktieren Sie uns bitte unter  Hilfe@tollto.com.

2. Daten, die wir erheben

Wir erheben nur personenbezogene Daten, die für die in dieser Datenschutzrichtlinie beschriebenen spezifischen Zwecke erforderlich sind.

2.1. Daten, die Sie während des Bestellvorgangs bereitstellen

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer
  • Rechnungsadresse (Straße, Stadt, Postleitzahl, Land)
  • Fahrzeugzulassungsnummer (Nummernschild)
  • Land der Fahrzeugzulassung
  • Fahrzeugtyp/-kategorie

2.2. Automatisch erfasste Daten

  • IP-Adresse
  • Browsertyp und -version
  • Betriebssystem
  • Datum und Uhrzeit des Zugriffs
  • Besuchte Seiten und Referrer-URL
  • Geräteinformationen

2.3. Zahlungsdaten

Zahlungsinformationen (Kartennummern, Bankdaten) werden ausschließlich von unseren Drittanbieter-Zahlungsanbietern verarbeitet und niemals auf unseren Servern gespeichert.

3. Zweck & Rechtsgrundlage

Wir verarbeiten Ihre personenbezogenen Daten zu den folgenden Zwecken und auf den folgenden Rechtsgrundlagen (DSGVO):

ZweckRechtsgrundlage
Auftragsabwicklung (E-Vignette-Registrierung)Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Versand der Auftragsbestätigung & E-Vignette per E-Mail/SMSArt. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
ZahlungsabwicklungArt. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Einhaltung steuerlicher und buchhalterischer VerpflichtungenGesetzliche Verpflichtung
Kundensupport & KommunikationBerechtigtes Interesse
Website-Analyse und VerbesserungEinwilligung
BetrugspräventionBerechtigtes Interesse

3.2. Wenn die Verarbeitung auf unserem berechtigten Interesse (Art. 6(1)(f) GDPR) beruht, umfasst dieses Interesse die Gewährleistung der Sicherheit unserer Website, die Verhinderung von Betrug, die Verbesserung unserer Dienstleistungen und die Aufrechterhaltung eines effizienten Kundensupports. Wir haben festgestellt, dass diese Interessen nicht von den grundlegenden Rechten und Freiheiten der Nutzer überlagert werden.

4. Datenweitergabe & Empfänger

Ihre Daten können mit den folgenden Kategorien von Empfängern geteilt werden, ausschließlich für die oben beschriebenen Zwecke:

  • Nationale Mautbehörden — Fahrzeugregistrierungsdaten werden an die zuständige Mautbehörde des Ziellandes übermittelt, um die E-Vignette zu registrieren;
  • Zahlungsdienstleister — Zahlungsdaten werden an unseren sicheren Zahlungsanbieter zur Transaktionsabwicklung übermittelt;
  • E-Mail/SMS-Dienstanbieter — Ihre Kontaktdaten werden mit unserem Kommunikationsanbieter geteilt, um Bestellbestätigungen zu liefern;
  • Hosting-Anbieter — Daten werden auf Servern gespeichert, die von unserem Hosting-Anbieter betrieben werden;
  • Steuerberater/Buchhalter — Bestell- und Rechnungsdaten können geteilt werden, um gesetzlichen Verpflichtungen nachzukommen.

Wir verkaufen, vermieten oder handeln Ihre persönlichen Daten nicht an Dritte für Marketingzwecke.

5. Datenaufbewahrung

Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie es für die Zwecke, für die sie erhoben wurden, notwendig ist:

  • Bestelldaten: aufbewahrt für den Zeitraum, der durch Steuer- und Handelsrecht erforderlich ist (typischerweise 5–10 Jahre, abhängig von der Rechtsordnung);
  • Kundensupport-Korrespondenz: aufbewahrt für bis zu 3 Jahre nach der letzten Interaktion;
  • Website-Analyse-Daten: anonymisiert oder nach 26 Monaten gelöscht;
  • Cookies: siehe Abschnitt 8 unten.

6. Ihre Rechte (GDPR)

Nach der GDPR haben Sie die folgenden Rechte:

  • Recht auf Zugang (Art. 15 GDPR) — verlangen Sie eine Kopie Ihrer personenbezogenen Daten;
  • Recht auf Berichtigung (Art. 16 GDPR) — Anfrage zur Berichtigung ungenauer Daten;
  • Recht auf Löschung (Art. 17 DSGVO) — Anfrage zur Löschung Ihrer Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten;
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Anfrage Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format;
  • Recht auf Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung auf Grundlage eines berechtigten Interesses;
  • Recht auf Widerruf der Einwilligung (Art. 7(3) DSGVO) — die Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu beeinträchtigen.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte unter  Hilfe@tollto.com. Wir werden innerhalb von 30 Tagen antworten. Sie haben auch das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde in Ihrem Wohnsitzland einzureichen.

6.2. Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO, die rechtliche Auswirkungen auf Sie hat oder Sie ähnlich erheblich beeinträchtigt.

7. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen um, um Ihre personenbezogenen Daten zu schützen, einschließlich:

  • SSL/TLS-Verschlüsselung für alle Daten, die zwischen Ihrem Browser und unseren Servern übertragen werden;
  • Verschlüsselte Datenbankspeicherung;
  • Zugangskontrollen und Authentifizierung für interne Systeme;
  • Regelmäßige Sicherheitsüberprüfungen und Updates.

8. Cookies

Unsere Website verwendet Cookies — kleine Textdateien, die auf Ihrem Gerät gespeichert werden — um den ordnungsgemäßen Betrieb sicherzustellen und Ihre Benutzererfahrung zu verbessern.

8.1. Notwendige Cookies

Diese Cookies sind für das Funktionieren der Website unerlässlich (z. B. Sitzungsverwaltung, Warenkorb). Sie erfordern keine Zustimmung.

8.2. Analyse-Cookies

Wir verwenden möglicherweise Analysetools (z. B. Google Analytics), um zu verstehen, wie Besucher unsere Website nutzen. Diese Cookies werden nur mit Ihrer Zustimmung gesetzt.

8.3. Marketing-Cookies

Wir verwenden möglicherweise Cookies von Drittanbietern für Marketingzwecke (z. B. Google Ads, Facebook), um relevante Anzeigen zu zeigen. Diese Cookies werden nur mit Ihrer ausdrücklichen Zustimmung gesetzt. Das Deaktivieren von Cookies kann die Funktionalität unserer Website beeinträchtigen.

8.4. Einwilligungsmanagement (CookieYes)

Wir verwenden CookieYes von Adzapier LLC, um Ihre Cookie-Präferenzen gemäß der DSGVO und der ePrivacy-Richtlinie zu verwalten. Bei Ihrem ersten Besuch wird ein Zustimmungsbanner angezeigt, das es Ihnen ermöglicht, nicht wesentliche Cookies zu akzeptieren, abzulehnen oder anzupassen. Sie können Ihre Zustimmung jederzeit über das Cookie-Symbol in der Ecke der Seite ändern oder widerrufen. Weitere Informationen: cookieyes.com. Sie können Ihre Cookie-Zustimmung jederzeit über das Tool für Cookie-Einstellungen auf unserer Website widerrufen oder ändern. Der Widerruf der Zustimmung hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitungbasierend auf der Zustimmung vor ihrem Widerruf.

Serverprotokolldateien

Wenn Sie unsere Website aufrufen, überträgt Ihr Browser automatisch technische Informationen, die wir in Serverprotokolldateien speichern. Dazu gehören:

  • Browsertyp und -version;
  • Verwendetes Betriebssystem;
  • Referrer-URL (die Seite, von der Sie gekommen sind);
  • Datum und Uhrzeit der Serveranfrage;
  • Die IP-Adresse Ihres Geräts (anonymisiert, wo technisch möglich).

Diese Daten werden im Allgemeinen nicht mit anderen personenbezogenen Daten kombiniert und es besteht keine Absicht, dies zu tun. Die Verarbeitung basiert auf Art. 6 Abs. 1 lit. f DSGVO, um unser berechtigtes Interesse an der Stabilität, Sicherheit und Funktionalität unserer Website zu schützen. Protokolldateien werden nach 30 Tagen automatisch gelöscht, es sei denn, sie sind erforderlich, um einen Sicherheitsvorfall zu untersuchen.

10. Hosting und Infrastruktur

10.1. Supabase (Datenbank & Authentifizierung)

Unser Anwendungs-Backend läuft auf Supabase (Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992). Supabase speichert Bestelldaten, Kundendaten und Authentifizierungsinformationen auf Servern, die sich in der EU (eu-central) befinden. Die Verarbeitung unterliegt einer Datenverarbeitungsvereinbarung (DPA) gemäß Art. 28 DSGVO. Weitere Informationen: supabase.com/privacy.

10.2. Cloudflare (CDN, DDoS-Schutz)

Wir verwenden Cloudflare (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) als Content Delivery Network und für DDoS-Schutz. Cloudflare verarbeitet technische Daten wie IP-Adressen in Serverprotokollen. Cloudflare kann Daten auf Servern verarbeiten, die sich außerhalb der EU befinden, einschließlich in den Vereinigten Staaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Internationale Übertragungen sind durch die EU-Standardvertragsklauseln geschützt. Datenschutzrichtlinie: cloudflare.com/privacypolicy.

11. Webanalyse- & Werbetools

11.1. Google Analytics 4

Unsere Website verwendet Google Analytics 4, einen Webanalysedienst von Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Google Analytics verwendet Cookies, die die Analyse der Nutzung unserer Website ermöglichen. Die durch die Cookies erzeugten Informationen werden in der Regel an einen Google-Server übermittelt und dort gespeichert.

IP-Anonymisierung: Wir haben die IP-Anonymisierung aktiviert. Ihre IP-Adresse wird von Google innerhalb der EU/EWR-Mitgliedstaaten vor der Übertragung gekürzt. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Google-Server in den USA übermittelt und dort gekürzt.

Aufbewahrung: Daten, die mit Cookies, Benutzer-IDs oder Werbe-IDs verbunden sind, werden anonymisiert oder nach 14 Monaten gelöscht.

Rechtsgrundlage: Ihre Zustimmung, die über das Cookie-Banner gegeben wurde (Art. 6(1)(a) DSGVO). Sie können Ihre Zustimmung jederzeit über das Cookie-Symbol widerrufen. Weitere Informationen: policies.google.com/privacy.

11.2. Google Tag Manager

Unsere Website verwendet Google Tag Manager, um Marketing- und Analytik-Tags zu verwalten. Google Tag Manager selbst setzt keine Cookies und sammelt keine persönlichen Daten – es aktiviert nur andere Tags, die Daten sammeln können. Wenn Sie die Zustimmung auf Cookie- oder Domainebene abgelehnt haben, gilt dies für alle über Google Tag Manager verwalteten Tags.

11.3. Google Ads & Conversion-Tracking

Wir verwenden Google Ads (Google Ireland Ltd), einschließlich Conversion-Tracking, um die Effektivität unserer Werbekampagnen zu messen. Wenn Sie auf eine von Google geschaltete Anzeige klicken, wird ein Cookie auf Ihrem Gerät gesetzt (gültig für 30 Tage). Dieses Cookie wird nicht verwendet, um Sie persönlich zu identifizieren. Wir erfahren die Gesamtzahl der Benutzer, die auf unsere Anzeige geklickt haben und auf eine Seite mit einem Conversion-Tracking-Tag weitergeleitet wurden, erhalten jedoch keine Informationen, die Benutzer persönlich identifizieren. Rechtsgrundlage: Zustimmung (Art. 6(1)(a) DSGVO). Informationen: policies.google.com/technologies/ads.

11.4. Meta Pixel (Facebook)

Wir können das Meta Pixel (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland) verwenden, um die Effektivität von Anzeigen auf Facebook und Instagram zu messen und interessenbasierte Anzeigen an Benutzer zu zeigen, die unsere Website besucht haben (Retargeting). Das Pixel kann Daten an Meta-Server in den USA übertragen. Rechtsgrundlage: Zustimmung (Art. 6(1)(a) DSGVO). Weitere Informationen: facebook.com/privacy/policy.

11.5. Microsoft Advertising (Bing Ads)

Wir können Microsoft Advertising (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA) für Werbung und Conversion-Tracking verwenden. Kategorien der verarbeiteten Daten können Folgendes umfassen: Browsersprache, angeklickte Anzeigen, IP-Adresse, Microsoft Click ID, Seitentitel, Referrer-URL und Geräteinformationen. Rechtsgrundlage: Zustimmung (Art. 6(1)(a) DSGVO).

11.6. Soweit zutreffend, können wir als gemeinsamer Verantwortlicher mit bestimmten Anbietern (z. B. Meta Platforms Ireland Ltd.) gemäß Art. 26 DSGVO für Daten handeln, die über Tracking-Technologien gesammelt werden. Weitere Einzelheiten sind in den Datenschutzrichtlinien des jeweiligen Anbieters verfügbar.

Zahlungsdienstleister

Stripe

Für Kartenzahlungen und Wallet-Zahlungen verwenden wir Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Wenn Sie mit Karte bezahlen, werden Ihre Zahlungsdaten (Kartennummer, CVC, Ablaufdatum, Rechnungsdaten) ausschließlich von Stripe erfasst und verarbeitet – wir sehen oder speichern niemals Ihre vollständige Kartennummer. Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung). Datenschutzrichtlinie: stripe.com/privacy.

Lokale Zahlungsgateways

Für regionale Zahlungsmethoden (z. B. BLIK, Apple Pay, Google Pay) können wir die Transaktion über zusätzliche zertifizierte Zahlungsanbieter leiten. In jedem Fall werden die Zahlungsdaten ausschließlich vom Zahlungsanbieter verarbeitet, niemals von uns. Wir erhalten nur eine Transaktionsbestätigung (Erfolg/Misserfolg, Betrag, Transaktions-ID).

Auftragsabwicklung & nationale Mautbehörden

Um Ihre E-Vignette zu registrieren, übermitteln wir streng notwendige Daten – Fahrzeugkennzeichen, Land der Zulassung, Fahrzeugkategorie und Gültigkeitsdauer – an die zuständige nationale Mautbehörde des Ziellandes. Empfänger nach Ländern:

  • Ungarn: Nemzeti Mobilfizetési Zrt., Kapás utca 6–12, 1027 Budapest, Ungarn;
  • Tschechien: Státní fond dopravní infrastruktury (SFDI), Sokolovská 1955/278, 190 00 Praha 9;
  • Slowakei: Národná diaľničná spoločnosť, a. s. (NDS), Dúbravská cesta 14, 841 04 Bratislava;
  • Slowenien: DARS d. d., Ulica XIV. divizije 4, 3000 Celje;
  • Bulgarien: National Toll Committee (Toll BG), Sofia;
  • Rumänien: Compania Națională de Administrare a Infrastructurii Rutiere (CNAIR), Bd. Dinicu Golescu 38, Bukarest;
  • Schweiz: Bundesamt für Zoll und Grenzsicherheit (BAZG), Bern;
  • Moldawien: Vama Moldovei (Zollbehörde der Republik Moldau), Chișinău.

Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung). Ohne diese Übertragung kann die E-Vignette nicht registriert werden.

E-Mail- & SMS-Zustellung

Transaktions-E-Mails

Bestellbestätigungen und E-Vignette-PDFs werden über einen Transaktions-E-Mail-Dienst (Resend / Supabase SMTP) gesendet. Ihre E-Mail-Adresse und Bestelldaten werden nur zum Zweck der Zustellung verarbeitet. Rechtsgrundlage: Art. 6(1)(b) DSGVO.

SMS-Benachrichtigungen

Wenn Sie sich für die SMS-Zustellung entscheiden (zusätzliche Gebühren), wird Ihre Telefonnummer und der Nachrichteninhalt an unseren SMS-Anbieter übermittelt. Der Anbieter kann die Nachricht über Partnernetzbetreiber weltweit verarbeiten und weiterleiten. Rechtsgrundlage: Art. 6(1)(a) DSGVO (Ihre ausdrückliche Zustimmung beim Checkout). Die Telefonnummer wird nur so lange gespeichert, wie es für die Auftragsabwicklung und gesetzliche Aufbewahrungsfristen erforderlich ist.

CRM & interne Tools

Wir verwenden Zoho CRM (Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Niederlande), um Kundenbestellungen, Supportkorrespondenz und Buchhaltungsabläufe zu verwalten. Gespeicherte Daten: Name, E-Mail, Telefon, Abrechnungsdaten, Bestellübersicht. EU-Datenansässigkeit. Rechtsgrundlage: Art. 6(1)(b) und (f) DSGVO. Datenschutzrichtlinie: zoho.com/privacy. Interne betriebliche Benachrichtigungen werden über sichere interne Kommunikationsmittel gesendet. Diese Benachrichtigungen enthalten keine vollständigen personenbezogenen Daten und sind auf Bestell-ID, Land und Transaktionsstatus beschränkt.

Wechselkursdaten (NBP)

Um Preise in Ihre lokale Währung umzurechnen, verwenden wir die Wechselkurse von der öffentlichen API der Nationalbank von Polen (NBP). Es werden keine personenbezogenen Daten an die NBP gesendet – nur eine anonyme Anfrage für die aktuelle Kurstabelle. Cache: 4 Stunden.

Internationale Datenübertragungen

Ihre Daten können in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden, in denen sich unsere Dienstanbieter befinden (z. B. USA: Stripe, Google, Meta, Microsoft, Cloudflare). In jedem Fall verlassen wir uns auf eine der folgenden Schutzmaßnahmen:

  • EU-Standardvertragsklauseln (SCCs) der Europäischen Kommission;
  • Angemessenheitsentscheidungen der Europäischen Kommission (z. B. EU–US Datenschutzrahmen);
  • Verbindliche Unternehmensregeln (BCRs) des Empfängers.

Trotz dieser Schutzmaßnahmen können wir nicht vollständig ausschließen, dass die Behörden des Empfängerlandes auf übertragene Daten zugreifen, ohne dass Ihnen wirksame rechtliche Mittel zur Verfügung stehen. Indem Sie nicht erforderlichen Cookies zustimmen, stimmen Sie auch solchen Übertragungen im Sinne von Art. 49(1)(a) DSGVO zu.

Benachrichtigung über Datenpannen

Im Falle einer Datenpanne, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung benachrichtigen und, wo erforderlich, betroffene Personen ohne unangemessene Verzögerung informieren.

19. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Die aktualisierte Version wird auf dieser Seite mit dem Datum der letzten Überarbeitung veröffentlicht. Wir empfehlen, diese Seite regelmäßig zu überprüfen.

20. Kontakt

Bei Fragen zum Datenschutz kontaktieren Sie uns bitte unter  Hilfe@tollto.com.