Datenschutzerklärung

Diese App („Exoda Control for Tesla“) wird von Exoda entwickelt und betrieben. Der Schutz deiner persönlichen Daten ist uns wichtig. Nachfolgend erläutern wir transparent, welche Daten die App erhebt, verarbeitet und wohin sie übertragen werden.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Stephan (Exoda)
Kontakt über die App oder per E-Mail an: stephan@leckerstecker.de

Exoda Control for Tesla ist ein unabhängiges Produkt von Exoda und nicht mit Tesla, Inc. verbunden oder von Tesla autorisiert.

2. Tesla-Konto & OAuth-Authentifizierung

• Du meldest dich über den offiziellen Tesla OAuth 2.0-Flow bei auth.tesla.com an.
• Die App speichert das Access Token und Refresh Token verschlüsselt im Keychain (iOS) bzw. Keystore (Android).
• Die App kennt dein Tesla-Passwort nicht – die Anmeldung erfolgt direkt bei Tesla.
• Das Access Token wird automatisch erneuert, wenn es abläuft (proaktiv alle 6 Stunden).
• Beim Abmelden werden alle gespeicherten Token gelöscht.

3. Welche Daten werden abgerufen?

Über die Tesla Fleet API werden folgende Fahrzeugdaten abgerufen:

• Ladezustand, Reichweite, Ladeleistung
• Fahrzeugstatus (online/offline, gesperrt/entsperrt)
• Kilometerstand, Reifendruck
• Fahrzeugname, VIN, Firmware-Version
• Klimastatus (Innen- und Außentemperatur)
• Sentry Mode Status
• Fahrtdaten (Geschwindigkeit, Position, Richtung, Leistung) – für Fahrt-Historie und Fahrtenbuch

Diese Daten werden nur angezeigt und nicht dauerhaft auf externen Servern gespeichert.

4. Fahrzeugsteuerung

Die App kann folgende Befehle an dein Fahrzeug senden:

• Auf-/Abschließen
• Klimaanlage ein-/ausschalten, Wunschtemperatur setzen
• Frunk/Trunk öffnen
• Hupen, Lichter blinken
• Ladelimit und Ladestrom anpassen
• Laden starten/stoppen, Ladeport öffnen/schließen
• Sentry Mode ein-/ausschalten
• Fenster öffnen/schließen
• Lenkradheizung, Sitzheizung (Stufen 0–3)
• Max-Defrost (Scheibenenteisung)
• Software-Update planen/abbrechen
• Mediensteuerung (Play/Pause, Titel, Lautstärke)

Alle Befehle werden über das Tesla Vehicle Command Protocol über einen Cloud-Proxy gesendet und mit einem privaten Schlüssel signiert.

5. Cloud-Dienste & Datenübertragung

Die App nutzt folgende externe Dienste:

5.1 Tesla Fleet API

Endpunkt: fleet-api.prd.eu.vn.cloud.tesla.com
Zweck: Abruf von Fahrzeugdaten und Senden von Leseanfragen.

5.2 Tesla Auth

Endpunkt: auth.tesla.com
Zweck: OAuth 2.0 Authentifizierung mit PKCE (Proof Key for Code Exchange).

5.3 Google Cloud Run (Tesla-Proxy)

Zweck: Proxy-Server zum Signieren von Vehicle Command Protocol-Befehlen.
Der private Schlüssel liegt ausschließlich im Google Secret Manager. Es werden keine Fahrzeugdaten auf dem Proxy gespeichert.

5.4 Firebase Cloud Functions (europe-west1)

Zweck: Sichere Bereitstellung der OAuth-Konfiguration (Client ID/Secret). Die Secrets werden im Google Secret Manager verwaltet.

5.5 Firebase Cloud Messaging (optional)

Zweck: Push-Benachrichtigungen (z. B. Abfahrt/Ankunft).
Das FCM-Token wird lokal gespeichert und nach Firestore synchronisiert, um Benachrichtigungen zu ermöglichen. Die Nutzung ist optional und jederzeit deaktivierbar.

5.6 Cloud Firestore

Zweck: Synchronisierung des FCM-Tokens und Tesla-Tokens für serverseitige Push-Benachrichtigungen (Cloud Function). Es werden keine Fahrzeugnutzungs- oder Bewegungsdaten in Firestore gespeichert.

Alle Verbindungen erfolgen verschlüsselt über HTTPS/TLS.

6. Lokale Datenspeicherung

Folgende Daten werden verschlüsselt im Geräte-Keychain gespeichert:

• Access Token & Refresh Token (Tesla OAuth)
• Tesla Client ID & Client Secret
• Cloud-Proxy-URL
• Zeitpunkt der letzten Token-Erneuerung

Das Fahrtenbuch speichert Fahrten lokal auf dem Gerät (als JSON-Datei). Diese Daten werden nicht an Server übertragen.

7. API-Kostenlogbuch

Jede kostenpflichtige Tesla-API-Anfrage (Datenabruf, Befehl, Wake-Up) wird mit Zeitstempel, Typ und geschätzten Kosten in Cloud Firestore protokolliert. Dies dient ausschließlich der Transparenz gegenüber dem Betreiber. Es werden keine personenbezogenen Nutzerprofile erstellt.

8. Keine Weitergabe an Dritte

• Es werden keine Daten an Dritte verkauft oder weitergegeben.
• Es gibt keine Analyse- oder Tracking-Tools (kein Google Analytics, kein Firebase Analytics).
• Es werden keine Werbe-IDs oder Nutzungsprofile erhoben.
• Die App enthält keine Werbung.

9. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung deiner Rechte wende dich an: stephan@leckerstecker.de

Du kannst deinen Tesla-Zugang jederzeit in deinem Tesla-Konto unter Sicherheit → Drittanbieter-Apps widerrufen.

10. Abmeldung & Datenlöschung

• Abmelden: Alle gespeicherten Token und Zugangsdaten werden gelöscht.
• Deinstallation: Alle lokalen Daten werden vollständig entfernt.
• Für die Löschung von Firestore-Daten (FCM-Token, API-Logs) wende dich per E-Mail an uns.

11. Sicherheit

• Token werden im iOS Keychain / Android Keystore gespeichert (hardwaregestützte Verschlüsselung).
• OAuth-Flow nutzt PKCE (Proof Key for Code Exchange) zum Schutz vor Authorization Code Interception.
• Der Vehicle Command Private Key liegt ausschließlich im Google Secret Manager und ist nie auf dem Endgerät vorhanden.
• Die App speichert keine Passwörter.

12. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei Änderungen der App aktualisiert werden. Die jeweils aktuelle Version ist über diese Website und das App-Menü einsehbar.