Datenschutzerklärung
Diese Erklärung beschreibt die Verarbeitung eigener Daten durch Gagenheld (Account-Inhaber und Besucher). Die Verarbeitung der Daten, die ein Nutzer über seine eigenen Kunden einpflegt, erfolgt im Auftrag des Nutzers – siehe Auftragsverarbeitungsvertrag (AVV).
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Max Blumentrath (Gagenheld, Einzelunternehmen)
Strunder Feld 30, 51069 Köln, Deutschland
E-Mail: info@gagenheld.de
Es ist kein Datenschutzbeauftragter bestellt (gesetzlich nicht erforderlich).
2. Grundsätze, Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Plattform erforderlich ist. Rechtsgrundlagen sind insbesondere:
- Art. 6 Abs. 1 lit. b DSGVO – Erfüllung des Nutzungsvertrags (Account, Plattformfunktionen).
- Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (Sicherheit, Missbrauchsabwehr, technischer Betrieb).
- Art. 6 Abs. 1 lit. c DSGVO – rechtliche Pflichten (z. B. handels-/steuerrechtliche Aufbewahrung).
Gagenheld richtet sich ausschließlich an Unternehmer (§ 14 BGB).
3. Hosting
Die Plattform wird gehostet bei ALL-INKL.COM – Neue Medien Münnich, Inhaber René Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland. Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Server stehen in Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f (sicherer, effizienter Betrieb).
Server-Logfiles
Beim Aufruf werden technisch notwendige Zugriffsdaten verarbeitet (IP-Adresse, Datum/Uhrzeit, abgerufene Ressource, Statuscode, Referrer, User-Agent). Rechtsgrundlage: Art. 6 Abs. 1 lit. f (Betriebssicherheit). Die Logfiles werden vom Hoster im Rahmen seiner Standard-Konfiguration nach kurzer Zeit automatisch rotiert und gelöscht.
Anwendungs-Fehlerprotokoll
Bei technischen Fehlern protokollieren wir zur Fehleranalyse intern
Benutzername, IP-Adresse, aufgerufene URL und einen technischen
Stack-Trace. Diese Einträge werden nach 30 Tagen automatisch
gelöscht. Argumentwerte werden aus Stack-Traces entfernt
(zend.exception_ignore_args). Rechtsgrundlage:
Art. 6 Abs. 1 lit. f (IT-Sicherheit, Fehlerbehebung).
4. Account & Stammdaten
Für die Nutzung wird ein Konto angelegt. Die Registrierung erfolgt nach Anfrage durch Zusendung eines persönlichen Einrichtungs-Links, über den der Nutzer sein Passwort selbst setzt (das Passwort ist uns nie bekannt; gespeichert wird nur ein bcrypt-Hash). Verarbeitet werden Stammdaten wie Name, Anschrift, E-Mail, Bankverbindung, Steuernummer. Diese personenbezogenen Stammdaten werden in der Datenbank AES-verschlüsselt gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b.
Zwei-Faktor-Authentifizierung (optional)
Aktiviert ein Nutzer 2FA, speichern wir ein TOTP-Geheimnis (AES-verschlüsselt) sowie Hashes von Wiederherstellungscodes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f (Kontosicherheit).
5. Inhaltsdaten (Angebote, Rechnungen, Finanzen, Kundenkartei)
Im Rahmen der Nutzung verarbeitet der Nutzer eigene Geschäftsdaten (Auftritte, Angebote, Rechnungen, Einnahmen/Ausgaben, Kundenkontakte). Soweit darin personenbezogene Daten Dritter (z. B. der Kunden des Nutzers) enthalten sind, ist der Nutzer dafür der datenschutzrechtlich Verantwortliche und Gagenheld Auftragsverarbeiter; Einzelheiten regelt der AVV (Art. 28 DSGVO). Rechtsgrundlage des Nutzungsvertrags: Art. 6 Abs. 1 lit. b.
6. Cookies / Session
Wir setzen ausschließlich ein technisch notwendiges Session-Cookie zur Anmeldung (httpOnly, secure, SameSite=Lax). Es findet kein Tracking, keine Analyse, keine Werbung statt. Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderlich) i. V. m. Art. 6 Abs. 1 lit. f.
7. Eingebundene Dienste / Empfänger
Schriftarten (Google Fonts) und Icons (Font Awesome) werden selbst gehostet ausgeliefert – es findet keine Verbindung zu Google- oder CDN-Servern statt. Folgende externe Dienste sind eingebunden:
| Dienst | Zweck | Anbieter / Sitz | Rechtsgrundlage |
|---|---|---|---|
| Cloudflare Turnstile | Bot-/Missbrauchsschutz auf Login-/Einrichtungsseite | Cloudflare, Inc., USA | Art. 6 (1) f |
| OpenRouteService | Geocoding + Streckenberechnung (Fahrtkosten) | HeiGIT gGmbH, Heidelberg (DE/EU) | Art. 6 (1) b/f |
| Mapbox | Kartenanzeige (Auftritte/Pianocello) | Mapbox, Inc., USA | Art. 6 (1) f |
| Anthropic | KI-gestützte Beleg-/Dokumentauslesung | Anthropic PBC, USA | Art. 6 (1) b |
Cloudflare Turnstile verarbeitet zur Bot-Erkennung u. a. die IP-Adresse. Anthropic erhält die vom Nutzer zur Auslesung hochgeladenen Belege/Dokumente. Die Auslesung erfolgt über die Claude-API. Die übermittelten Inhalte werden gemäß den Commercial Terms von Anthropic nicht zum Training der KI-Modelle verwendet und nur kurzzeitig (bis zu 30 Tage) zur Missbrauchsprüfung gespeichert und danach gelöscht. OpenRouteService erhält die zu verortenden Adressen (kein US-Transfer, EU).
Drittlandübermittlung (USA)
Bei Cloudflare, Mapbox und Anthropic findet eine Übermittlung in die USA statt. Grundlage sind EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. das EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist (Cloudflare ist unter dem DPF zertifiziert).
8. E-Mail-Versand
Transaktions-E-Mails (z. B. Einrichtungs-/Zurücksetzungs-Links) versenden wir über den Mailserver von all-inkl. Ein externer Mailprovider wird nicht genutzt.
9. Optionale eigene Cloud-Anbindung (Nextcloud)
Nutzer können optional ihre eigene Nextcloud-Instanz für Dokumente verbinden. In diesem Fall werden Dokumente direkt zwischen der Plattform und der vom Nutzer betriebenen Cloud ausgetauscht; für diese ist der Nutzer selbst verantwortlich. Gagenheld ist insoweit kein Auftragsverarbeiter dieser Cloud.
10. Speicherdauer
Vertrags- und Stammdaten speichern wir für die Dauer des Vertragsverhältnisses und anschließend, soweit gesetzliche Aufbewahrungspflichten bestehen (handels-/steuerrechtlich i. d. R. 6 bzw. 10 Jahre). Nach Vertragsende werden Konto- und Konfigurationsdaten gemäß AGB nach einem Monat gelöscht, soweit keine Aufbewahrungspflicht entgegensteht. Fehlerprotokoll: 30 Tage (Ziff. 3).
11. Rechte der betroffenen Personen
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f (Art. 21). Anfragen richten Sie an die unter Ziff. 1 genannte E-Mail.
Sie haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
12. Keine automatisierte Entscheidung im Einzelfall
Eine automatisierte Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO findet nicht statt.
13. Änderungen
Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung oder der Rechtslage dies erfordern. Es gilt die jeweils auf der Plattform veröffentlichte Fassung.