LocateStartseite Beta Version

Datenschutzerklärung

Stand: 7. Juni 2026

Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir beim Besuch und der Nutzung von LOCATE (im Folgenden „Plattform“) verarbeiten, zu welchem Zweck dies geschieht und welche Rechte dir dabei zustehen. Sie gilt für die Website unter lc8-app.de und alle damit verbundenen Funktionen.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

LOCATE Services by Scott Idegho
Inhaber: Scott Idegho
Am Krankenhaus 20
67550 Worms
Deutschland

Telefon: +49 6241 3861933
E-Mail: info@lc8-app.de
Weitere Angaben findest du im Impressum.

2. Datenschutzbeauftragter

Wir haben aktuell keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen einer Bestellpflicht (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen. Anfragen zum Datenschutz richtest du bitte direkt an den unter Ziffer 1 genannten Verantwortlichen.

3. Begriffe und Rechtsgrundlagen

Die in dieser Erklärung verwendeten Begriffe (z. B. „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“) entsprechen den Definitionen in Art. 4 DSGVO. Soweit wir personenbezogene Daten verarbeiten, geschieht dies auf Grundlage einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, optionale Standortfreigabe)
  • Art. 6 Abs. 1 lit. b DSGVO – Vertrag bzw. vorvertragliche Maßnahmen (z. B. Konto, Buchungen, Locate-Pay)
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrung)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (z. B. IT-Sicherheit, Missbrauchsprävention, Schutz von Anbieterprofilen)

4. Deine Rechte als betroffene Person

Dir stehen folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an die unter Ziffer 1 genannte E-Mail-Adresse. Viele Funktionen kannst du außerdem direkt in deinem Konto unter /dashboard selbst verwalten (z. B. Profil bearbeiten, Sichtbarkeit steuern, Konto löschen).

5. Speicherdauer und Löschung

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten (insb. nach HGB und AO, regelmäßig 6 bzw. 10 Jahre für buchungs- und steuerrelevante Unterlagen) vorsehen. Spezifische Fristen findest du in den jeweiligen Abschnitten unten.

Folgende Lösch- und Bereinigungsläufe finden automatisiert statt:

  • Täglich: Bereinigung älterer, ausschließlich privat gehaltener Reviews (DSGVO-Cleanup).
  • Alle 15 Minuten: Löschung abgelaufener Shake-Events (Standorthygiene).
  • Laufend: Ablauf von Session-, Passwort-Reset-, E-Mail-Verifizierungs- und Verbindungs-Tokens nach Ablauf der jeweiligen Gültigkeit.

6. Hosting und Server-Logfiles

Die Plattform wird auf Servern in einem Rechenzentrum innerhalb der Europäischen Union betrieben. Hosting-Anbieter ist Sliplane.io; die zugrundeliegende Server-Infrastruktur wird von der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) bereitgestellt. Mit beiden Anbietern bestehen entsprechende Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

Beim Aufruf der Plattform werden technisch notwendige Verbindungsdaten verarbeitet (insbesondere IP-Adresse, Datum und Uhrzeit, abgerufene Ressource, Referrer, User-Agent, HTTP-Status). Diese Daten sind erforderlich, um die Auslieferung der Seite zu ermöglichen, Stabilität und Sicherheit zu gewährleisten und Angriffe abzuwehren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
Speicherdauer: Logfiles werden in der Regel nach spätestens 14 Tagen gelöscht oder anonymisiert, sofern nicht im Einzelfall ein Sicherheitsvorfall eine längere Speicherung erforderlich macht.

7. Cookies und vergleichbare Technologien

LOCATE verzichtet bewusst auf Tracking-, Analyse- oder Werbe-Cookies. Es wird ein einziger technisch notwendiger Cookie gesetzt:

  • sid — Session-Cookie zur Authentisierung eingeloggter Nutzer. httpOnly, sameSite=lax, secure (Produktion), Laufzeit 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung beim Login). Eine Einwilligung über ein Cookie-Banner ist daher nicht erforderlich.

Du kannst Cookies in deinem Browser jederzeit löschen oder deren Setzen unterbinden; in letzterem Fall ist ein Login allerdings nicht möglich.

8. Registrierung, Konto und Login

Zur Nutzung der personalisierten Funktionen ist ein Nutzerkonto erforderlich. Bei der Registrierung verarbeiten wir:

  • E-Mail-Adresse
  • Passwort (ausschließlich als Hash mittels Argon2id gespeichert — das Klartextpasswort liegt uns nicht vor)
  • Rolle (Nutzer:in, Anbieter:in oder Administrator:in)
  • optional: Invite-Code, über den du eingeladen wurdest (zur reinen Zuordnung — es entsteht keine automatische Vernetzung)
  • Zeitstempel von Anlage, Änderung und Bestätigung der E-Mail

Zur Verifizierung deiner E-Mail-Adresse senden wir dir einen einmaligen Bestätigungslink. Bei „Passwort vergessen“ erstellen wir analog einen einmaligen Reset-Token. In beiden Fällen wird in unserer Datenbank lediglich ein Hash des Tokens hinterlegt; nach erfolgter Nutzung bzw. nach Ablauf wird er entwertet.

Beim Login wird eine Session in unserer Datenbank angelegt und über den Cookie sid referenziert (siehe Ziffer 7). Sessions laufen spätestens nach 30 Tagen ab; ein Logout löscht die Session sofort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).
Speicherdauer: bis zur Löschung des Kontos; abgelaufene Tokens und Sessions werden automatisch entfernt.

9. Zwei-Faktor-Authentisierung (MFA)

Du kannst dein Konto optional mit einer Zwei-Faktor-Authentisierung (TOTP) absichern. Hierzu wird ein geheimer Schlüssel generiert, der ausschließlich verschlüsselt in unserer Datenbank gespeichert wird. Zur Einrichtung wird ein QR-Code in deinem Browser erzeugt, den du mit einer Authenticator-App scannst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (Kontosicherheit).
Speicherdauer: bis zur Deaktivierung von MFA oder Löschung des Kontos.

10. Provider-Profile (Anbieterdaten)

Anbieter:innen können ein öffentliches Profil anlegen. Verarbeitet werden insbesondere:

  • Firmenname, rechtlicher Name, Slogan, Kurz- und Langbeschreibung
  • Kategorien, Tags, Sprachen, Stornierungsbedingungen, Barrierefreiheit
  • Logo, Cover, Intro-Video und Service-Videos (siehe Ziffer 19 zur Speicherung)
  • Kontaktdaten: E-Mail, Telefon (inkl. WhatsApp-Flag), Website, Social-Media-Links
  • Adresse (Straße, PLZ, Ort, Land) sowie aus der Adresse abgeleitete Geokoordinaten (siehe Ziffer 21)
  • Zahlungsmethoden, Buchungs- und Kontaktoptionen
  • Bankdaten zur Auszahlung (Kontoinhaber:in im Klartext, IBAN ausschließlich verschlüsselt)
  • Status der Verifizierung und Zeitstempel

Profilinhalte sind grundsätzlich öffentlich abrufbar (z. B. unter /p/<slug>) — das ist der Sinn eines Anbieterprofils. Bankdaten und Verifizierungsdokumente werden nicht veröffentlicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattformvertrag mit Anbieter:innen). Für die Veröffentlichung des Profils zusätzlich Art. 6 Abs. 1 lit. a DSGVO, jederzeit widerrufbar durch Deaktivierung oder Löschung des Profils.
Speicherdauer: bis zur Löschung des Profils. Buchungs- und steuerrelevante Daten unterliegen darüber hinaus den gesetzlichen Aufbewahrungspflichten (siehe Ziffer 5).

11. Identitäts- und Gewerbenachweise

Zur Verifizierung als Anbieter:in können Dokumente hochgeladen werden, etwa Gewerbeschein, Handelsregisterauszug, Personalausweis oder vergleichbare Nachweise. Diese Dokumente werden ausschließlich von berechtigten Administrator:innen geprüft und sind nicht öffentlich.

Personalausweise und vergleichbare amtliche Ausweisdokumente sollten nach Möglichkeit mit geschwärzten, nicht zwingend erforderlichen Angaben (z. B. Zugangsnummer) hochgeladen werden. Wir empfehlen dies ausdrücklich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/Prüfung der Plattformberechtigung) und Art. 6 Abs. 1 lit. f DSGVO (Vertrauensschutz für Nutzer:innen, Missbrauchsprävention).
Speicherdauer: bis zum Abschluss der Prüfung und darüber hinaus, soweit zur Nachweisführung gegenüber Aufsichts- oder Strafverfolgungs- behörden erforderlich; spätestens jedoch mit Löschung des Anbieterprofils, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

12. Buchungsanfragen und Buchungen

Bei einer Buchungsanfrage verarbeiten wir folgende Daten:

  • Name, E-Mail-Adresse, optional Telefonnummer der buchenden Person
  • gewünschter Termin (Datum und Uhrzeit), Nachricht an den Anbieter
  • Snapshot des gewählten Services (Bezeichnung, Preis, Dauer) zum Buchungszeitpunkt
  • Buchungsart („Anfrage“ oder „Locate-Pay“), Status (neu, bestätigt, abgelehnt, abgeschlossen, storniert)
  • Anmerkungen der Anbieter:in
  • Sichtbarkeits-Einstellung („Footprint“) der buchenden Person

Diese Daten werden an den jeweils gewählten Anbieter weitergegeben — das ist die wesentliche Funktion einer Buchungsanfrage. Anbieter:innen sehen die Daten in ihrem Dashboard und erhalten zusätzlich eine Benachrichtigung per E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung und Erfüllung des Buchungsvertrags zwischen Nutzer:in und Anbieter:in, den wir vermitteln).
Speicherdauer: bis zur Löschung des Kontos; bei steuerlich oder handelsrechtlich relevanten Buchungen verlängern sich die Fristen entsprechend den gesetzlichen Aufbewahrungspflichten.

13. Zahlungsabwicklung über Stripe

Für Zahlungen über die Funktion „Locate-Pay“ nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (kurz „Stripe“). Die Zahlungsabwicklung erfolgt vollständig bei Stripe; Kreditkartennummern oder Kontodaten werden uns nicht übermittelt und sind für uns nicht einsehbar.

Wir speichern lediglich die für die Zuordnung erforderlichen technischen Referenz-Identifier (Stripe-Session-ID und Payment-ID), den Zahlbetrag in Cent, den Zahlstatus sowie den Zeitpunkt der Zahlung.

Stripe verarbeitet personenbezogene Daten unter Umständen auch außerhalb der EU, insbesondere in den USA. Die Übermittlung in Drittländer stützt Stripe auf Standardvertragsklauseln und ergänzende Garantien (siehe Ziffer 25). Weitere Informationen findest du in der Datenschutzerklärung von Stripe: https://stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
Speicherdauer: Zahlungsbezogene Daten unterliegen den steuer- und handelsrechtlichen Aufbewahrungsfristen (regelmäßig 10 Jahre nach § 147 AO).

14. Bewertungen und Pro-Antworten

Nach abgeschlossenen Buchungen können Nutzer:innen ein Feedback abgeben. Dabei verarbeiten wir:

  • Antworten zu Weiterempfehlung und Wiederbuchung
  • privates Feedback an den Anbieter (zunächst nicht öffentlich)
  • im positiven Pfad: optionaler öffentlicher Kommentar und Empfehlungs-Tags
  • im negativen Pfad: optionale Alternativempfehlung (aus eigener positiver Buchungshistorie) sowie 14-Tage-Reaktionsfenster für die Anbieter:in
  • Pro-Antwort und Zeitstempel
  • Status (privat, ausstehend, entschieden, veröffentlicht, privat gelöst) und Lebenszyklus-Zeitstempel

Reviews durchlaufen einen mehrstufigen Workflow, in dem Anbieter:innen die Möglichkeit haben, auf Feedback zu reagieren, bevor es ggf. veröffentlicht wird. Veröffentlichte Reviews enthalten keine Klarnamen oder E-Mail-Adressen, sondern lediglich ein generisches Label sowie den freigegebenen Text.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattformfunktion) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Transparenz für andere Nutzer:innen und Qualitätssicherung des Marktplatzes).
Speicherdauer: Veröffentlichte Reviews bleiben so lange sichtbar, wie das zugehörige Anbieterprofil aktiv ist. Rein privat gehaltene Reviews werden nach einer Übergangszeit automatisiert bereinigt (täglicher DSGVO-Cleanup). Auf Wunsch löschen wir Reviews unverzüglich (Art. 17 DSGVO).

15. Locater-Netzwerk (QR, Code, Invite, Shake)

Nutzer:innen können sich untereinander zu einem privaten Netzwerk verknüpfen. Eine Verknüpfung entsteht ausschließlich, wenn beide Seiten aktiv zustimmen — entweder durch Scannen eines QR-Codes, Eingabe eines 6-stelligen Codes, eines Invite-Links oder durch die optionale „Shake“-Funktion (siehe Ziffer 16).

Verarbeitet werden hierfür:

  • Verbindungs-Tokens und ‑Codes (jeweils ausschließlich als Hash gespeichert, kurze Gültigkeit)
  • die entstandene symmetrische Verbindung zwischen zwei Nutzer:innen sowie der Verbindungsweg (QR, Code, Shake, Invite)
  • Blockierungen, falls eine Nutzer:in eine andere blockiert
  • Invite-Codes und Referrals zur reinen Zuordnung (es entsteht keine automatische Vernetzung)

Über die Einstellung „Footprint-Privatsphäre“ kannst du steuern, ob du in den Footprints anderer Nutzer:innen auftauchst — global oder pro Buchung. Diese Einstellung wirkt sich ausschließlich auf die Sichtbarkeit aus, nicht auf die Verarbeitung an sich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattformfunktion).
Speicherdauer: bis zur Auflösung der Verbindung oder Löschung eines beteiligten Kontos; Tokens und Codes werden mit Ablauf entwertet.

16. Standortdaten

Für die Funktionen „Feed“ und „Shake“ kannst du deinen aktuellen Standort über die Geolocation-API deines Browsers freigeben. Die Freigabe ist strikt freiwillig und erfolgt erst nach einer ausdrücklichen Browser-Abfrage — ohne deine Zustimmung erhält die Plattform keine Standortdaten.

Im Rahmen eines Shake-Events werden Längen- und Breitengrad zusammen mit einem Zeitstempel kurzzeitig gespeichert, um eine räumlich-zeitlich passende Gegenstelle zu finden („zwei Geräte schütteln gleichzeitig am selben Ort“). Shake-Events laufen nach kurzer Zeit ab und werden automatisiert alle 15 Minuten aus der Datenbank entfernt.

Zusätzlich werden die aus der Anbieteradresse über Geocoding ermittelten Geokoordinaten gespeichert (siehe Ziffer 21).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — jederzeit widerrufbar durch Entzug der Standortfreigabe im Browser) für die Shake-Funktion; Art. 6 Abs. 1 lit. b DSGVO für die Geokoordinaten von Anbieterprofilen.

17. Favoriten

Du kannst Anbieterprofile als Favorit markieren. Wir speichern hierfür die Zuordnung zwischen deinem Nutzerkonto und dem favorisierten Profil. Favoriten sind ausschließlich für dich sichtbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattformfunktion).
Speicherdauer: bis du den Favoriten entfernst oder dein Konto löschst.

18. Newsletter

Soweit du dich für unseren Newsletter angemeldet hast, verwenden wir deine E-Mail-Adresse, um dir regelmäßig oder anlassbezogen Informationen rund um LOCATE zuzusenden. Wir nutzen ein Double-Opt-in-Verfahren: Nach deiner Anmeldung erhältst du eine Bestätigungs-E-Mail mit einem Aktivierungslink. Erst nach Klick auf den Link wird das Abonnement aktiv.

In unserer Datenbank speichern wir deine E-Mail-Adresse, einen Hash des Bestätigungs-Tokens, optional die Quelle der Anmeldung sowie Zeitstempel der Anmeldung, Bestätigung und ggf. Abmeldung.

Du kannst den Newsletter jederzeit abbestellen — über den Abmeldelink in jeder Newsletter-Mail oder per formloser Nachricht an uns.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 7 DSGVO. Für den Nachweis der Einwilligung speichern wir die Bestätigungs-Daten auf Grundlage von Art. 6 Abs. 1 lit. c i.V.m. Art. 7 Abs. 1 DSGVO.
Speicherdauer: bis zur Abmeldung; Abmelde-Zeitstempel werden für den Nachweis aufbewahrt.

19. Medien-Speicherung (Hetzner Object Storage)

Hochgeladene Medien (Logos, Cover-Bilder, Intro- und Service-Videos sowie Verifizierungsdokumente) speichern wir in einem S3-kompatiblen Object Storage der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, Region eu-central. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Daten werden ausschließlich innerhalb der EU verarbeitet.

Öffentliche Medien (Profilbilder, Videos) sind über eine URL des Object Storage direkt aus dem Browser abrufbar. Verifizierungsdokumente sind über interne Schlüssel geschützt und ausschließlich für berechtigte Administrator:innen zugänglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattformvertrag).
Speicherdauer: bis zur Löschung des zugehörigen Profils, Services oder Dokuments; Löschungen werden auch im Object Storage durchgeführt.

20. Transaktionale E-Mails

Wir versenden anlassbezogene E-Mails (z. B. Bestätigung der E-Mail-Adresse, Buchungsbestätigungen, Review-Einladungen, Pro-Antwort-Erinnerungen, Verifizierungs- Statusmeldungen, Newsletter-Bestätigung). Versand und Zustellung erfolgen über einen externen SMTP-Anbieter mit Sitz in Deutschland. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Newsletter).

21. Adress-Geocoding (OpenStreetMap Nominatim)

Wenn eine Anbieter:in ihre Kontaktadresse speichert, übermittelt unser Server die eingegebene Adresse einmalig an den freien Geocoding-Dienst Nominatim der OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich), um daraus Längen- und Breitengrad zu ermitteln. Die Anfrage erfolgt serverseitig von unserer Infrastruktur aus; deine IP-Adresse wird dabei nicht an OpenStreetMap übertragen.

Datenschutzerklärung der OpenStreetMap Foundation: https://wiki.osmfoundation.org/wiki/Privacy_Policy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattformfunktion) und Art. 6 Abs. 1 lit. f DSGVO (Anzeige von Anbietern in räumlicher Suche).

22. Google-Profil-Synchronisation

Für Anbieter:innen, die ihr LOCATE-Profil mit ihrem Google-Unternehmensprofil verknüpfen, können wir öffentliche Profildaten von Google synchronisieren (z. B. Adresse, Öffnungszeiten, Place-ID). Hierbei wirken Google-Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland mit.

Die Synchronisation erfolgt ausschließlich auf ausdrücklichen Wunsch der Anbieter:in und nur, sofern für das Profil eingerichtet. Wir speichern den Roh-Rückgabewert der Google-API sowie Zeitstempel der Synchronisation.

Datenschutzerklärung von Google: https://policies.google.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung der Anbieter:in) bzw. Art. 6 Abs. 1 lit. b DSGVO (Plattformvertrag).

23. Schriftarten

Zur einheitlichen Darstellung verwenden wir die Schriftart „Saira“. Die Schriftdateien werden ausschließlich von unseren eigenen Servern ausgeliefert. Es besteht keine Verbindung zu Google Fonts oder anderen Drittservern; insbesondere wird deine IP-Adresse nicht an Google übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlichem Erscheinungsbild und schneller Auslieferung).

24. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen, um deine Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen, insbesondere:

  • TLS-Verschlüsselung der Verbindungen zwischen Browser und Server
  • Passwortspeicherung ausschließlich als Argon2id-Hash
  • verschlüsselte Speicherung sensibler Daten (z. B. IBAN, MFA-Secret)
  • nur gehashte Speicherung von Verifizierungs-, Reset- und Verbindungs-Tokens
  • rollenbasierte Zugriffskontrolle (Nutzer / Anbieter / Administrator)
  • regelmäßige Updates und Sicherheitsprüfungen
  • automatisierte Bereinigung abgelaufener Daten (siehe Ziffer 5)

25. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums erfolgt nur, soweit dies oben ausdrücklich erwähnt ist (insbesondere bei Stripe und Google). In diesen Fällen stützen wir die Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission (sofern vorhanden, z. B. EU-US Data Privacy Framework), auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO oder auf eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO.

26. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet auf der Plattform nicht statt.

27. Hinweise zu Minderjährigen

Die Plattform richtet sich an volljährige Personen. Personen unter 16 Jahren dürfen uns ohne Zustimmung der Erziehungsberechtigten keine personenbezogenen Daten übermitteln. Stellen wir fest, dass uns Daten Minderjähriger ohne entsprechende Zustimmung übermittelt wurden, löschen wir diese unverzüglich.

28. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche oder tatsächliche Umstände ändern (z. B. neue Funktionen, neue Dienstleister). Die jeweils aktuelle Fassung ist unter /privacy abrufbar. Bei wesentlichen Änderungen informieren wir eingeloggte Nutzer:innen zusätzlich per E-Mail oder per Hinweis im Dashboard.