Impressum Datenschutzerklärung Terms of Service
Entwurf zur anwaltlichen Prüfung – Stand 06/2026. Platzhalter ([...]) müssen vor Go-Live durch konkrete Angaben ersetzt werden. Anwaltliche Prüfung empfohlen, bevor diese Seite produktiv geht.

Datenschutzerklärung

Stand dieser Datenschutzerklärung: [DATUM]

Inhalt
  1. Verantwortlicher
  2. Datenschutzbeauftragter
  3. Allgemeines zur Datenverarbeitung
  4. Ihre Rechte
  5. Datenverarbeitung beim Besuch der Website
  6. Cookies
  7. reCAPTCHA von Google
  8. Registrierung und Vertragsverhältnis
  9. Zahlungsabwicklung über PayPal
  10. Versanddienstleister UPS
  11. Hosting und CDN
  12. E-Mail-Versand
  13. Datenverarbeitung im Auftrag (Tekari als Auftragsverarbeiter)
  14. Datensicherheit (TOMs)
  15. Speicherdauer und Löschkonzept
  16. Übermittlung in Drittländer
  17. Automatisierte Entscheidungsfindung und Profiling
  18. Widerruf und Beschwerderecht
  19. Änderungen dieser Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze ist:

[VOLLSTÄNDIGER FIRMENNAME]
[VOR- UND NACHNAME DES INHABERS]
[STRASSE UND HAUSNUMMER]
[PLZ ORT]
Telefon: [TELEFONNUMMER]
E-Mail: [email protected]
Website: https://tekari.app

(nachfolgend: „wir" oder „Tekari")

2. Datenschutzbeauftragter

Wir sind derzeit nicht gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO i.V.m. § 38 BDSG). Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte an die unter Ziffer 1 genannte Anschrift oder per E-Mail an: [email protected]

[Falls DSB benannt wird: stattdessen Name + Kontaktdaten DSB hier eintragen.]

3. Allgemeines zur Datenverarbeitung

3.1 Umfang

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist.

3.2 Rechtsgrundlagen

Bei Einwilligung dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei Verarbeitung zur Erfüllung eines Vertrages: Art. 6 Abs. 1 lit. b DSGVO. Bei gesetzlichen Verpflichtungen (z.B. § 147 AO): Art. 6 Abs. 1 lit. c DSGVO. Bei berechtigten Interessen unsererseits oder eines Dritten: Art. 6 Abs. 1 lit. f DSGVO.

4. Rechte der betroffenen Personen

Werden personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) über die Sie betreffenden verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger oder unvollständiger Daten
  • Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) – maschinenlesbares Format
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Zur Geltendmachung: [email protected]

Zuständige Aufsichtsbehörde

[AUFSICHTSBEHÖRDE DES SITZ-BUNDESLANDES]
[Anschrift, Telefon, E-Mail]
Beispiel Bayern: Bayerischer Landesbeauftragter für den Datenschutz, Wagmüllerstraße 18, 80538 München, +49 89 212672-0, [email protected]

5. Datenverarbeitung beim Besuch der Website

5.1 Server-Logfiles

Bei jedem Aufruf erfasst unser System automatisiert:

  • IP-Adresse (gekürzt um die letzten Oktetts, sobald technisch möglich)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL inkl. Query-Parameter
  • HTTP-Statuscode und übertragene Datenmenge
  • Referrer (zuvor besuchte Seite)
  • Browser-Typ und -Version, Betriebssystem (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: technische Bereitstellung, Systemsicherheit, Erkennung unbefugter Zugriffe.
Speicherdauer: 7 Tage (Logrotate), bei sicherheitsrelevanten Vorfällen bis zur Abschlussbearbeitung.

5.2 SSL/TLS-Verschlüsselung

Sämtlicher Datenverkehr ist via TLS 1.2 oder höher verschlüsselt (Let's Encrypt-Zertifikate über Caddy). Erkennbar am Schloss-Symbol und „https://".

6. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

CookieZweckDauer
PHPSESSIDAufrechterhaltung der Login-SessionSitzungsende / 30 Min Inaktivität
tekari_csrfSchutz vor Cross-Site-Request-ForgerySitzungsende

Alle Cookies werden mit HttpOnly, Secure und SameSite=Strict gesetzt. Wir verwenden keine Tracking-, Analyse- oder Marketing-Cookies. Insbesondere kommen Google Analytics, Facebook Pixel oder vergleichbare Dienste nicht zum Einsatz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TTDSG.

7. reCAPTCHA von Google

Zur Absicherung unserer Registrierungs-Formulare gegen Bots verwenden wir Google reCAPTCHA v3. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Übermittelt werden u.a. IP-Adresse, Zeitstempel, Browser-Informationen sowie Maus-/Tastatur-Verhalten zur Bot-Erkennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Schutz vor Spam und automatisierten Angriffen.
Drittlandsübermittlung: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework.
Datenschutzerklärung: policies.google.com/privacy

8. Registrierung und Vertragsverhältnis

8.1 Erhobene Daten

Bei Registrierung als Werkstatt-Betreiber erheben wir:

  • Firmenname / Unternehmensbezeichnung
  • Vor- und Nachname des Vertragsansprechpartners
  • E-Mail-Adresse, Telefonnummer
  • Postanschrift
  • Subdomain-Slug, gewählter Tarif
  • PayPal-E-Mail-Adresse (Abrechnung)
  • Akzeptanz von AGB und AV-Vertrag (mit Timestamp + IP-Adresse)
  • Optional: Umsatzsteuer-Identifikationsnummer, Steuernummer

Zweck: Begründung und Durchführung des Vertragsverhältnisses, Bereitstellung der SaaS-Leistung, Abrechnung, Support, steuer- und handelsrechtliche Pflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

8.2 Speicherdauer

DatenkategorieDauer
StammdatenVertragsdauer + 3 Jahre (Verjährung)
Rechnungsdaten10 Jahre (§ 147 Abs. 3 AO)
AV-Vertrags-Akzeptanz (Timestamp + IP)Vertragsdauer + 3 Jahre (Nachweis)
Login-Daten (bcrypt-Hash)Vertragsdauer, sofort gelöscht bei Account-Auflösung
Audit-Logs90 Tage, danach automatischer Cleanup
Container-Daten (Werkstatt-DB)30 Tage nach Kündigung (Grace), danach Container-Destroy

9. Zahlungsabwicklung über PayPal

Die Abwicklung Ihres Tekari-Abonnements erfolgt über PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg. Übermittelt werden: PayPal-E-Mail, Subscription-ID, Zahlungsstatus, Beträge und Transaktions-IDs. Wir speichern keine Kreditkarten- oder Bankdaten – diese verbleiben bei PayPal.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Datenschutzerklärung PayPal: paypal.com/de/webapps/mpp/ua/privacy-full

10. Versanddienstleister UPS

Sofern Sie als Werkstatt die Versand-Funktion (Pro/Enterprise) nutzen, werden Versandlabels bei UPS Deutschland S.à r.l. & Co. OHG, Görlitzer Straße 1, 41460 Neuss erstellt. Übermittelt werden Absender- und Empfängeradresse des Pakets, Gewicht/Abmessungen, Versandart.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Auftrag der Werkstatt) bzw. Art. 28 DSGVO (Auftragsverarbeitung, siehe Ziffer 13).
Datenschutzerklärung UPS: ups.com/de/de/help-center/legal-terms-conditions/privacy-notice.page

11. Hosting und Content-Delivery-Network

11.1 Server-Hosting

Die Tekari-Plattform wird auf eigener Hardware in einem Rechenzentrum in Deutschland betrieben.
Server-Standort: [STANDORT / HOSTING-PROVIDER, z.B. Hetzner Online GmbH, Nürnberg].
Sämtliche personenbezogenen Daten werden auf Servern innerhalb des EWR gespeichert.

11.2 Cloudflare

Wir nutzen die Dienste der Cloudflare Germany GmbH (Rosental 7, c/o Mindspace, 80331 München; Mutterkonzern Cloudflare Inc., USA) für DNS-Auflösung, DDoS-Schutz und TLS-Terminierung. Verarbeitet werden IP-Adressen, angeforderte Ressourcen und HTTP-Header.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Schutz vor Angriffen, performante Bereitstellung.
Drittlandsübermittlung: EU-Standardvertragsklauseln + EU-U.S. Data Privacy Framework.
Datenschutzerklärung: cloudflare.com/privacypolicy

12. E-Mail-Versand

Tekari versendet im Rahmen des Vertragsverhältnisses Transaktions-E-Mails (Willkommens-Mail, Rechnungs-Mitteilungen, Sperr-Benachrichtigungen) direkt von unseren Servern. Absender: [email protected] oder noreply+[slug]@tekari.app. Sofern Sie als Werkstatt-Betreiber eine eigene SMTP-Konfiguration im Tekari-Frontend hinterlegen, gehen Endkunden-Mails über Ihren eigenen Mail-Server. SMTP-Zugangsdaten werden in unserer Datenbank AES-256-GCM-verschlüsselt gespeichert.
Marketing- oder Newsletter-Mails versenden wir nicht.

13. Datenverarbeitung im Auftrag (Tekari als Auftragsverarbeiter)

13.1 Rollenverteilung

Wenn Sie Tekari als Werkstatt-Betreiber zur Verwaltung von Reparaturaufträgen Ihrer Kunden nutzen:

Rolle (Art. 4 DSGVO)Wer
Betroffene PersonIhre Endkunden
VerantwortlicherSie als Werkstatt
AuftragsverarbeiterTekari
Sub-AuftragsverarbeiterCloudflare, UPS, ggf. Hosting-Provider

Sie als Werkstatt entscheiden über Zwecke und Mittel der Verarbeitung Ihrer Endkundendaten. Tekari verarbeitet diese ausschließlich auf Ihre Weisung. Wir nehmen keine eigenständige Auswertung, kein Profiling, kein Marketing gegenüber Ihren Endkunden vor.

13.2 Auftragsverarbeitungsvertrag (AVV)

Bei Vertragsabschluss schließen Sie mit uns einen AVV gemäß Art. 28 DSGVO. Der AVV ist Bestandteil der Tekari-AGB und im Registrierungsprozess zustimmungspflichtig. Abrufbar unter: tekari.app/av-vertrag.pdf

13.3 Endkundenrechte gegenüber der Werkstatt

Endkunden machen ihre DSGVO-Rechte gegenüber Ihnen als Werkstatt geltend, nicht gegenüber Tekari. Wir stellen Ihnen hierfür Werkzeuge im Werkstatt-Frontend bereit:

  • DSGVO-Auskunfts-Tool mit PDF-/JSON-Export (Art. 15 / 20)
  • Read-Only-Archivierung abgeschlossener Aufträge (Art. 16)
  • Tenant-Datenexport als verschlüsseltes ZIP (Art. 20 Datenportabilität)

13.4 Subunternehmer

SubunternehmerSitzTätigkeit
[HOSTING-PROVIDER]DeutschlandServer-Hosting
Cloudflare Germany GmbHDeutschland / USA-MutterDNS, DDoS, CDN
PayPal (Europe) S.à r.l.LuxemburgAbonnement-Abrechnung
UPS Deutschland S.à r.l. & Co. OHGDeutschlandVersand (optional)
Google Ireland LimitedIrland / USA-MutterreCAPTCHA-Bot-Schutz

Bei Wechsel oder Hinzunahme von Subunternehmern werden Sie 30 Tage vorab informiert.

14. Datensicherheit (TOMs)

14.1 Verschlüsselung

  • Endkundendaten (Name, E-Mail, Telefon, Anschrift, Seriennummer, Chat-Nachrichten): AES-256-GCM, Schlüssel pro Werkstatt-Container eindeutig
  • TLS 1.2 / 1.3 für alle externen Verbindungen (Let's Encrypt via Caddy)
  • Passwörter ausschließlich als bcrypt-Hash (Cost-Faktor 12) gespeichert
  • SMTP-Passwörter im RAM via sodium_memzero() sofort nach Nutzung überschrieben

14.2 Zugriffskontrolle

  • Mehrstufiges Rollen- und Rechtesystem mit Audit-Trail jeder Aktion
  • Account-Lockout nach 5 Fehlversuchen
  • CSRF-Schutz auf allen schreibenden Endpunkten
  • Cookies mit HttpOnly + Secure + SameSite=Strict
  • SSH-Zugriff zu Servern ausschließlich Public-Key, Root-Login deaktiviert

14.3 Mandantentrennung

  • Jede Werkstatt erhält einen eigenen Linux-Container (LXC) mit eigener Datenbank
  • Strikte Trennung – kein Cross-Tenant-Datenzugriff möglich
  • Backend und Frontends netzwerktechnisch separiert

14.4 Verfügbarkeit

  • Tägliche automatische Backups (vzdump) der gesamten Plattform
  • Backup-Verifikation durch regelmäßige Restore-Tests
  • Audit-Log über sämtliche administrative Aktionen, Aufbewahrung 90 Tage

15. Speicherdauer und Löschkonzept

15.1 Bei Vertragskündigung durch die Werkstatt

  1. Sofort: Sperrung des öffentlichen Zugangs (Werkstatt-Subdomain nicht mehr erreichbar)
  2. 30-Tage-Grace-Period: Werkstatt-Backend bleibt für Datenexport verfügbar
  3. Nach 30 Tagen: Unwiderrufliche Löschung des kompletten LXC-Containers inklusive Datenbank. Backups nach weiteren 90 Tagen automatisch entfernt.
  4. Werkstatt-Stammdaten und Rechnungsdaten: Aufbewahrung gemäß § 147 AO (10 Jahre)

16. Übermittlung in Drittländer

Wir übermitteln personenbezogene Daten grundsätzlich nicht außerhalb des EWR. Ausnahme: technisch bedingte Übertragungen an Cloudflare und Google (reCAPTCHA), deren Mutterkonzerne in den USA sitzen. Garantien: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und EU-U.S. Data Privacy Framework (Adäquanzbeschluss vom 10.07.2023). DPF-Zertifizierung prüfbar unter dataprivacyframework.gov/list.

17. Automatisierte Entscheidungsfindung und Profiling

Wir nutzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO. Es findet kein Profiling und kein Scoring statt. Insbesondere:

  • Keine Auswertung Ihres Nutzungsverhaltens zu Werbe- oder Marketingzwecken
  • Keine Erstellung von Bewegungs- oder Interessenprofilen
  • Keine Übermittlung an Wirtschaftsauskunfteien (SCHUFA o.ä.)
  • Keine Bonitätsprüfungen
  • Kein Targeted Advertising oder Re-Targeting

18. Widerruf und Beschwerderecht

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Bei datenschutzrechtlichen Beschwerden steht Ihnen der Weg zur Aufsichtsbehörde offen (siehe Ziffer 4 oben für Kontakt).

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere technische Datenverarbeitung ändert. Bei wesentlichen Änderungen werden aktive Tenants per E-Mail informiert. Stand: [DATUM].