← Zurück zur Startseite

Datenschutzerklärung

Stand: April 2026 · gemäß Art. 13, 14 DSGVO

1. Verantwortlicher

DGTL Solutions GmbH
Lendersbergstr. 32B, 53721 Siegburg
E-Mail:
Geschäftsführer: Ing. Bünyamin Sarikaya

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres Dienstes und der damit verbundenen Zwecke erforderlich ist. Es findet kein Tracking, kein Profiling und keine Weitergabe an Werbetreibende statt.

3. Erhobene Daten und Rechtsgrundlagen

Daten	Zweck	Rechtsgrundlage	Speicherdauer
E-Mail, Passwort (gehasht)	Kontoerföffnung, Login	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)	Bis Kontolöschung + 90 Tage
Firmenname, Adresse, Steuernr., IBAN	Rechnungserstellung	Art. 6 Abs. 1 lit. b DSGVO	Bis Kontolöschung, steuerrelevante Daten 10 Jahre (§ 147 AO)
Kundendaten (Name, Adresse, E-Mail)	Rechnungs-/Angebotsadressierung	Art. 6 Abs. 1 lit. b DSGVO	Bis Kontolöschung
Zahlungsdaten (via Stripe)	Abo-Abrechnung	Art. 6 Abs. 1 lit. b DSGVO	Gemäß Stripe-Richtlinien
IP-Adresse, Zeitstempel	Sicherheit, Rate Limiting, Missbrauchsschutz	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)	7 Tage in Logs
TOTP-Secret, Passkey-Credentials	Zwei-Faktor-Authentifizierung	Art. 6 Abs. 1 lit. b DSGVO	Bis Deaktivierung/Kontolöschung

4. Hosting und Infrastruktur

Unsere Server werden bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland betrieben. Die Datenverarbeitung erfolgt ausschließlich in Rechenzentren innerhalb Deutschlands. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Es werden keine externen Schriftarten, CDNs oder Analyse-Tools eingebunden. Alle Ressourcen werden lokal vom Server ausgeliefert.

5. Auftragsverarbeiter und Drittanbieter

Anbieter	Zweck	Sitz	Grundlage
Hetzner Online GmbH	Server-Hosting	Deutschland	AV-Vertrag gem. Art. 28 DSGVO
Stripe, Inc.	Zahlungsabwicklung (Abo + Kunden-Zahlungen)	USA (EU-Repräsentanz in Irland)	EU-US Data Privacy Framework, AV-Vertrag
Resend, Inc.	Transaktionaler E-Mail-Versand	USA	EU-US Data Privacy Framework, AV-Vertrag

Bei Stripe und Resend handelt es sich um Unternehmen, die unter dem EU-US Data Privacy Framework zertifiziert sind. Es findet keine Datenübermittlung in unsichere Drittländer ohne angemessene Schutzmaßnahmen statt.

6. Cookies und lokale Speicherung

Unsere Landingpage verwendet keine Cookies.

Die Anwendung (App) speichert ausschließlich ein Authentifizierungs-Token (JWT) im localStorage des Browsers. Dies ist technisch notwendig für die Aufrechterhaltung der Sitzung und stellt kein Tracking dar. Es handelt sich um ein technisch notwendiges Speichern gem. § 25 Abs. 2 Nr. 2 TDDDG (ehemals TTDSG), das keiner Einwilligung bedarf.

7. Verschlüsselung und Sicherheit

Wir setzen folgende technische und organisatorische Maßnahmen gem. Art. 32 DSGVO ein:

• Transport: TLS 1.2+ für alle Verbindungen (HTTPS erzwungen, HSTS)
• Speicherung: Sensible Daten (IBAN, SMTP-Passwörter, API-Keys) werden mit AES-256 (Fernet) verschlüsselt in der Datenbank gespeichert
• Passwörter: Bcrypt-Hashing (kein Klartext-Speichern)
• Authentifizierung: 2FA (TOTP), Passkeys (WebAuthn), Rate Limiting
• Mandantentrennung: Strikte Datenisolierung zwischen Kunden auf Datenbankebene
• Container-Sicherheit: Non-Root-Prozesse, Read-Only-Dateisysteme, minimale Berechtigungen
• Backups: Automatische verschlüsselte Datenbank-Backups

8. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in maschinenlesbarem Format (PDF-Export, DATEV-CSV-Export)
• Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis berechtigter Interessen
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit ohne Angabe von Gründen

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

9. Datenlöschung und Aufbewahrung

• Kontolöschung: Bei Kündigung oder Kontolöschung werden alle Kundendaten innerhalb von 90 Tagen unwiderruflich gelöscht.
• Steuerliche Aufbewahrungspflichten: Rechnungsdaten werden gemäß § 147 AO und § 257 HGB für 10 Jahre aufbewahrt, sofern der Kunde die Daten nicht vorher exportiert und selbst archiviert.
• Server-Logs: IP-Adressen und Zugriffsprotokolle werden nach 7 Tagen automatisch gelöscht.
• Backups: Enthalten Kundendaten werden gemäß der konfigurierten Retention-Policy automatisch rotiert und gelöscht.

10. Datenweitergabe

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich:

• an die unter Abschnitt 5 genannten Auftragsverarbeiter zur Vertragserfüllung,
• sofern wir gesetzlich dazu verpflichtet sind (z.B. auf Anordnung einer Behörde oder eines Gerichts),
• zur Durchsetzung unserer Rechte, sofern dies erforderlich ist.

Es findet kein Verkauf von Daten statt. Es gibt keine Werbepartner und kein Tracking.

11. Internationale Datenübermittlung

Soweit Daten an Auftragsverarbeiter in den USA übermittelt werden (Stripe, Resend), geschieht dies auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO) sowie ergänzend auf Basis von EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.

12. Auftragsverarbeitung (AVV)

Soweit wir im Auftrag unserer Kunden personenbezogene Daten verarbeiten (z.B. Kundendaten in Rechnungen), handeln wir als Auftragsverarbeiter gem. Art. 28 DSGVO. Wir bieten allen Kunden den Abschluss eines Auftragsverarbeitungsvertrags an. Dieser kann unter angefordert werden.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4, 40213 Düsseldorf
www.ldi.nrw.de

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.