Datenschutz

Diese Seite enthaelt zwei Dokumente: die Datenschutzerklaerung fuer die oeffentliche Website (Teil A) und den zusaetzlichen Datenschutzhinweis fuer den geschuetzten Daten-Upload (Teil B). Beide gelten parallel.

Teil A — Datenschutzerklaerung Website

Version 1.1 · Stand 2026-04-23 · Red-Team-Review Rev. 1 eingearbeitet

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und Paragraph 5 TMG ist:

Sven Erik Fittje
SF Tankstellen Analytics (Einzelunternehmen)
Feldstrasse 5
64347 Griesheim
Deutschland

Telefon: 0163 4172577
E-Mail: datenschutz@sf-tankstellen-analytics.de
Web: sf-tankstellen-analytics.de

Weitere Pflichtangaben (Rechtsform, Umsatzsteuer-Identifikationsnummer, zustaendige Kammer, Berufshaftpflichtversicherung) finden sich im Impressum.

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nicht. Ein Datenschutzbeauftragter ist nach Art. 37 Abs. 1 DSGVO und Paragraph 38 Abs. 1 BDSG insbesondere dann zu bestellen, wenn die Kerntaetigkeit in der umfangreichen regelmaessigen und systematischen Ueberwachung von Betroffenen oder in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO besteht. Keine dieser Voraussetzungen trifft auf die Taetigkeit von SF Tankstellen Analytics zu. Zusaetzlich sind weniger als zwanzig Personen staendig mit der Verarbeitung befasst. Der Verantwortliche ist zu datenschutzrechtlichen Anliegen direkt unter den vorstehenden Kontaktdaten erreichbar.

2. Grundlegendes zur Datenverarbeitung

Diese Erklaerung informiert Besucher der Website sf-tankstellen-analytics.de darueber, welche personenbezogenen Daten beim Besuch der Website und bei der Kontaktaufnahme verarbeitet werden, zu welchem Zweck dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und welche Rechte Betroffenen zustehen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natuerliche Person beziehen (Art. 4 Nr. 1 DSGVO). Verarbeitung ist jeder Umgang mit solchen Daten, unabhaengig davon, ob er manuell oder automatisiert erfolgt (Art. 4 Nr. 2 DSGVO).

Diese Datenschutzerklaerung bezieht sich auf den oeffentlich zugaenglichen Teil der Website. Fuer die Nutzung des geschuetzten Upload-Formulars gilt zusaetzlich der gesonderte Datenschutzhinweis fuer den Daten-Upload (Teil B).

3. Erhebung beim Besuch der Website (Server-Logs)

Bei jedem Aufruf einer Seite auf sf-tankstellen-analytics.de erfasst unser Webserver technische Verbindungsdaten, die fuer die Auslieferung der Seite und den sicheren Betrieb erforderlich sind.

3.1 Welche Daten werden erfasst

• IP-Adresse des anfragenden Geraets (vollstaendig gespeichert, automatische Loeschung nach spaetestens 30 Tagen)
• Datum und Uhrzeit des Zugriffs
• Angefragte URL und HTTP-Methode
• HTTP-Statuscode der Antwort
• Uebertragene Datenmenge
• Browser-Kennung (User-Agent)
• Verweisende Seite (Referrer), soweit uebermittelt
• Betriebssystem- und Sprachangaben, soweit der Browser sie uebertraegt

Eine Auswertung der IP-Adresse erfolgt nur bei konkretem Missbrauchsverdacht. Im Regelbetrieb werden die Logs nicht personenbezogen ausgewertet.

3.2 Zweck und Rechtsgrundlage

Zweck ist der sichere Betrieb der Website, die Missbrauchsabwehr (unter anderem Erkennung und Abwehr automatisierter Scans, Brute-Force-Versuche oder Ueberlastangriffe) sowie die Fehlerdiagnose. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist der technisch sichere und stabile Betrieb der Website. Der Bundesgerichtshof hat die Speicherung von IP-Adressen zu diesem Zweck fuer grundsaetzlich zulaessig erklaert (BGH VI ZR 135/13 vom 16. Mai 2017).

3.3 Speicherdauer

Server-Logs werden nach spaetestens 30 Tagen automatisch geloescht. Eine laengere Speicherung erfolgt nur, wenn ein konkreter Missbrauchsverdacht vorliegt; in diesem Fall werden die betroffenen Log-Zeilen bis zur abschliessenden Klaerung, laengstens jedoch zwoelf Monate nach Abschluss der Pruefung, separat aufbewahrt und anschliessend geloescht.

3.4 Empfaenger

Die Logs werden ausschliesslich vom Verantwortlichen und vom Hosting-Dienstleister Hetzner Online GmbH (Auftragsverarbeiter nach Art. 28 DSGVO) zur Kenntnis genommen. Eine Weitergabe an Dritte findet nicht statt, ausser auf Grundlage einer gesetzlichen Pflicht oder gerichtlichen Anordnung.

3.5 Bereitstellung der Daten

Die Erfassung der Server-Logs ist fuer den Betrieb der Website technisch erforderlich. Ohne Erfassung dieser Daten kann die Website nicht ausgeliefert werden. Ein Widerspruch nach Art. 21 DSGVO ist jederzeit moeglich; er fuehrt in der Praxis dazu, dass kuenftige Anfragen Ihres Geraetes an unsere Server nicht mehr bedient werden koennen. Die bis zum Widerspruch rechtmaessig gespeicherten Logs werden nach Ablauf der Speicherfrist automatisch geloescht.

4. Cookies und aehnliche Technologien

Die oeffentliche Website sf-tankstellen-analytics.de setzt keine Cookies und keine vergleichbaren Technologien im Sinne des Paragraphen 25 TTDSG ein. Es werden keine Informationen in Ihrem Endgeraet gespeichert oder aus diesem abgerufen, die nicht unbedingt erforderlich sind, damit Ihr Browser die Seite darstellen kann. Dieser Zustand wird vor Go-Live und regelmaessig waehrend des Betriebs technisch verifiziert.

Eine Einwilligung im Sinne des Paragraphen 25 Abs. 1 TTDSG ist daher nicht erforderlich. Ein Cookie-Banner wird aus diesem Grund bewusst nicht eingesetzt.

Hinweis zum geschuetzten Upload-Formular: Das Upload-Formular unter sf-tankstellen-analytics.de/upload/{token} verwendet technisch notwendige Informationen im lokalen Speicher des Browsers (localStorage), um unterbrochene Uploads fortsetzen zu koennen. Diese Nutzung ist im Sinne des Paragraphen 25 Abs. 2 Nr. 2 TTDSG unbedingt erforderlich fuer die vom Nutzer ausdruecklich gewuenschte Funktion und einwilligungsfrei. Naeheres regelt Teil B.

5. Kontaktaufnahme

Sie koennen uns ueber verschiedene Wege kontaktieren. Ein Kontaktformular auf der Website gibt es derzeit nicht.

5.1 E-Mail und Telefon

Wenn Sie uns per E-Mail an datenschutz@sf-tankstellen-analytics.de oder an eine andere unter Impressum genannte E-Mail-Adresse kontaktieren oder telefonisch unter 0163 4172577, verarbeiten wir die von Ihnen uebermittelten Daten (Name, E-Mail-Adresse, Telefonnummer, Inhalt der Nachricht) zur Beantwortung Ihrer Anfrage.

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Durchfuehrung eines Vertrags zielt (Anbahnung eines Gutachterauftrags, Rueckfragen zu einem laufenden Auftrag).
• Art. 6 Abs. 1 lit. f DSGVO im Uebrigen; berechtigtes Interesse ist die effektive Bearbeitung von Anfragen und der geschaeftliche Austausch mit Interessenten, Geschaeftspartnern und Behoerden.

Die Angabe von Name und Kontaktdaten bei einer Anfrage ist freiwillig, aber fuer die Bearbeitung erforderlich. Ohne die genannten Angaben koennen wir Ihre Anfrage nicht oder nur unvollstaendig beantworten. Eine gesetzliche Pflicht zur Bereitstellung besteht nicht.

5.2 Speicherdauer

• Anfragen ohne Beauftragung: Loeschung spaetestens 6 Monate nach letztem Kontakt.
• Anfragen mit Beauftragung: siehe Speicherdauern im Datenschutzhinweis fuer den Daten-Upload (Teil B).
• E-Mail-Korrespondenz mit handels- oder steuerrechtlichem Bezug: 10 Jahre (Paragraph 147 AO, Paragraph 257 HGB).

Sobald aus einer urspruenglich nicht aufbewahrungspflichtigen Anfrage ein handels- oder steuerrechtlich relevanter Geschaeftsvorfall entsteht (z. B. Angebot, Rechnung, Gutachtenauftrag), tritt die gesetzliche Aufbewahrungsfrist (in der Regel 10 Jahre nach Paragraph 147 AO und Paragraph 257 HGB) an die Stelle der vorgenannten 6-Monats-Frist.

5.3 Empfaenger

Kontaktdaten und Kommunikationsinhalte werden nicht an Dritte weitergegeben, ausser an den E-Mail-Dienstleister als Auftragsverarbeiter. Eingehende E-Mails an Adressen der Domain sf-tankstellen-analytics.de werden ueber die Strato AG, Pascalstrasse 10, 10587 Berlin (Server in Deutschland) verarbeitet. Fuer ausgehende automatisierte E-Mails kann ergaenzend die Mailjet SAS, 4 rue Jules Lefebvre, 75009 Paris (Frankreich, EU-Mitgliedstaat) eingesetzt werden. Mit beiden Dienstleistern bestehen Auftragsverarbeitungsvertraege nach Art. 28 DSGVO.

Eine Uebermittlung der E-Mail-Inhalte in Drittlaender findet im Rahmen dieser Verarbeitung nicht statt.

6. Schriftarten

Die Website verwendet die Schriftarten Inter (SIL Open Font License) und Source Serif Pro (SIL Open Font License). Beide Schriftarten sind lokal auf dem Server des Verantwortlichen hinterlegt und werden direkt vom Hetzner-Server in Deutschland ausgeliefert.

Beim Aufruf der Website wird keine Verbindung zu Google-Servern (fonts.googleapis.com, fonts.gstatic.com) oder anderen externen Schriftart-Anbietern hergestellt. Eine Uebermittlung der IP-Adresse oder anderer Daten an solche Anbieter findet nicht statt.

7. JavaScript-Bibliotheken

Die oeffentliche Website verwendet keine externen JavaScript-Bibliotheken. Alle dynamischen Funktionen sind mit auf dem eigenen Server gehostetem Code realisiert.

Im geschuetzten Upload-Formular (sf-tankstellen-analytics.de/upload/{token}) wird die quelloffene JavaScript-Bibliothek tus-js-client eingebunden, die resumable Uploads ermoeglicht. Die Bibliothek wird vom eigenen Server ausgeliefert; eine Verbindung zu externen Content Delivery Networks findet beim Aufruf des Upload-Formulars nicht statt.

8. Hosting und Infrastruktur

8.1 Webserver und Datei-Speicher (Hetzner)

Die Website und der Datei-Speicher fuer das geschuetzte Upload-Formular werden von der Hetzner Online GmbH, Industriestrasse 25, 91710 Gunzenhausen betrieben. Konkreter Rechenzentrumsstandort ist ein Standort der Hetzner-Datenzentren innerhalb Deutschlands (Falkenstein oder Nuernberg); dieser Standort ist im Hetzner-Admin-Panel dokumentiert und wird auf Anfrage mitgeteilt. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einem technisch sicheren und zuverlaessigen Betrieb. Eine Uebermittlung in Drittlaender findet im Rahmen der regulaeren Hetzner-Verarbeitung nicht statt.

8.2 Domain-Verwaltung (Strato)

Die Domain sf-tankstellen-analytics.de und die zugehoerigen Domains werden bei der Strato AG, Pascalstrasse 10, 10587 Berlin verwaltet. Strato verarbeitet hierfuer ausschliesslich die fuer den Betrieb der Domain erforderlichen Registry-Daten. Eine Verarbeitung von Besucherdaten durch Strato findet im Regelbetrieb nicht statt.

8.3 DNS (Cloudflare)

Fuer die Aufloesung des Domainnamens (DNS) wird der Dienst der Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 Muenchen, als europaeische Niederlassung der Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA, eingesetzt.

Die Website-Inhalte werden direkt vom Hetzner-Server in Deutschland an Ihren Browser ausgeliefert. Cloudflare wird nicht als Reverse-Proxy vor den Webserver geschaltet. Cloudflare sieht daher nur die zur Namensaufloesung erforderlichen DNS-Abfragen, nicht die aufgerufenen URLs oder die Inhaltsdaten der Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an stabiler Namensaufloesung und an Schutz vor DNS-Missbrauch.

Uebermittlung in Drittlaender: DNS-Abfragen koennen durch das globale Anycast-Netzwerk von Cloudflare verarbeitet werden. Eine Uebermittlung in die USA ist daher nicht auszuschliessen. Rechtsgrundlage ist der Angemessenheitsbeschluss der Europaeischen Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (Beschluss (EU) 2023/1795). Cloudflare Inc. ist unter diesem Rahmen zertifiziert. Ergaenzend kommen Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO zur Anwendung. Sollte die Zertifizierung entfallen oder der Angemessenheitsbeschluss aufgehoben werden, stellt der Verantwortliche auf die Standardvertragsklauseln um oder beendet die Zusammenarbeit.

Hinweise zum Datenschutz bei Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/

8.4 E-Mail-Kommunikation (Strato, ggf. Mailjet)

Fuer die Uebermittlung von Statusmeldungen, Bestaetigungen und Lieferdokumenten werden E-Mail-Dienste der Strato AG und optional der Mailjet SAS eingesetzt. Mit beiden Dienstleistern bestehen Auftragsverarbeitungsvertraege nach Art. 28 DSGVO. Die Verarbeitung erfolgt innerhalb der Europaeischen Union; eine Drittlanduebermittlung findet nicht statt.

9. Upload-Formular fuer Kunden

Das Upload-Formular unter sf-tankstellen-analytics.de/upload/{token} dient ausschliesslich Kunden, die mit SF Tankstellen Analytics einen Gutachterauftrag anbahnen oder abgewickelt haben. Es wird nur ueber einen individuell versandten Token-Link erreichbar und ist von Suchmaschinen ausgeschlossen.

Die Verarbeitung der dort eingereichten Daten ist umfangreicher und wird in Teil B — Datenschutz beim Upload-Formular eigenstaendig geregelt.

Alle Auftragsdaten unterliegen zusaetzlich einer vertraglichen Verschwiegenheitspflicht des Gutachters. Naeheres regelt die mit jedem Auftrag geschlossene Verschwiegenheitsvereinbarung.

10. Widerspruchsrecht nach Art. 21 DSGVO

Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Im Falle eines Widerspruchs verarbeiten wir die personenbezogenen Daten nicht mehr, es sei denn, wir koennen zwingende schutzwuerdige Gruende fuer die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten ueberwiegen, oder die Verarbeitung dient der Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen.

Den Widerspruch koennen Sie formlos an datenschutz@sf-tankstellen-analytics.de oder an die unter Abschnitt 1 genannte Postanschrift richten.

11. Weitere Rechte der Betroffenen Personen

11.1 Auskunft (Art. 15 DSGVO)

Sie koennen Auskunft darueber verlangen, ob und welche Daten wir von Ihnen verarbeiten. Die Auskunft umfasst insbesondere die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfaenger oder Kategorien von Empfaengern, die geplante Speicherdauer oder die Kriterien fuer deren Festlegung, das Bestehen eines Rechts auf Berichtigung, Loeschung, Einschraenkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehoerde, alle verfuegbaren Informationen zur Herkunft der Daten, wenn diese nicht bei Ihnen erhoben wurden, sowie das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling.

11.2 Berichtigung (Art. 16 DSGVO)

Sie koennen die Berichtigung unrichtiger und die Vervollstaendigung unvollstaendiger Daten verlangen.

11.3 Loeschung (Art. 17 DSGVO)

Sie koennen die Loeschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten oder ueberwiegende berechtigte Interessen entgegenstehen.

11.4 Einschraenkung der Verarbeitung (Art. 18 DSGVO)

Sie koennen verlangen, dass wir die Verarbeitung einschraenken, etwa waehrend der Pruefung einer Berichtigung.

11.5 Datenuebertragbarkeit (Art. 20 DSGVO)

Sie koennen Daten, die Sie uns bereitgestellt haben und die wir auf Grundlage einer Einwilligung oder eines Vertrags verarbeiten, in einem gaengigen maschinenlesbaren Format erhalten oder an einen anderen Verantwortlichen uebertragen lassen.

11.6 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, koennen Sie diese jederzeit mit Wirkung fuer die Zukunft widerrufen. Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmaessig.

11.7 Beschwerde bei einer Aufsichtsbehoerde (Art. 77 DSGVO)

Sie koennen sich bei der zustaendigen Datenschutzaufsichtsbehoerde beschweren. Zustaendig fuer uns ist:

Der Hessische Beauftragte fuer Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 611 1408-0
Telefax: +49 611 1408-900 bzw. -901
E-Mail: poststelle@datenschutz.hessen.de
Web: datenschutz.hessen.de

11.8 Ausuebung der Rechte

Anfragen zur Ausuebung Ihrer Rechte richten Sie bitte schriftlich oder per E-Mail an den unter Abschnitt 1 genannten Verantwortlichen. Wir antworten innerhalb der Frist des Art. 12 Abs. 3 DSGVO (grundsaetzlich einen Monat). Zur Identifikation koennen wir Rueckfragen stellen.

12. Speicherdauer je Datenkategorie

13. Drittlanduebermittlungen im Ueberblick

Eine Uebermittlung personenbezogener Daten in Laender ausserhalb der Europaeischen Union (Drittlaender) findet im Rahmen der oeffentlichen Website ausschliesslich bei DNS-Abfragen ueber Cloudflare statt (siehe Abschnitt 8.3). Die Rechtsgrundlage ist der Angemessenheitsbeschluss zum EU-US Data Privacy Framework, ergaenzt um Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Alle uebrigen Verarbeitungen (Hosting, Schriftarten, JavaScript-Bibliotheken, E-Mail-Kommunikation) erfolgen innerhalb der Europaeischen Union.

14. Keine automatisierten Entscheidungen

Auf der Website findet keine automatisierte Entscheidungsfindung statt, die Ihnen gegenueber rechtliche Wirkung entfaltet oder Sie in aehnlicher Weise erheblich beeintraechtigt (Art. 22 DSGVO). Es werden keine Nutzerprofile erstellt, die ueber den technischen Auslieferungsprozess hinausgehen. Entscheidungen ueber Auftraege, Angebote und Gutachten trifft der Verantwortliche persoenlich.

15. Aenderungen dieser Datenschutzerklaerung

Diese Datenschutzerklaerung wird bei Aenderung der angebotenen Dienste oder der Rechtslage fortgeschrieben. Die jeweils aktuelle Fassung ist unter sf-tankstellen-analytics.de/datenschutz.html abrufbar. Stand und Version sind am Anfang des Dokuments angegeben. Wesentliche Aenderungen werden fuer laufende Vertragskunden zusaetzlich per E-Mail mitgeteilt.

Eine vollstaendige Ueberpruefung erfolgt mindestens einmal jaehrlich zum 31. Dezember und anlassbezogen bei wesentlichen Aenderungen.

16. Kontakt bei Datenschutzfragen

Fuer Fragen und Anliegen zum Datenschutz wenden Sie sich bitte an den unter Abschnitt 1 genannten Verantwortlichen. E-Mail an datenschutz@sf-tankstellen-analytics.de genuegt.

Teil B — Datenschutz beim Upload-Formular

Gilt fuer Kunden, die das Upload-Formular unter sf-tankstellen-analytics.de/upload/{token} nutzen. Ergaenzt Teil A.

B.1 Verantwortlicher

Verantwortlicher ist der in Teil A, Abschnitt 1 genannte Sven Erik Fittje, SF Tankstellen Analytics.

B.2 Welche Daten wir verarbeiten

B.2.1 Kontaktdaten (Auftraggeber)

Name, Firmenbezeichnung, Anschrift, Telefonnummer, E-Mail-Adresse. Diese Daten werden beim Upload-Formular oder im Rahmen des Auftragsschlusses erhoben.

B.2.2 Hochgeladene Kassenjournaldaten (Betriebsdaten der Station)

Elektronische Kassenjournaldaten im Format GZ0 oder vergleichbaren Formaten (E-Journal-Exports). Diese Dateien enthalten in der Regel:

• Karten-Identifikatoren (Kartentyp-Kuerzel, teilmaskierte Kartennummern, Folgenummern, Vertragsnummern) - diese Angaben sind bereits durch das Kassensystem pseudonymisiert; eine unmittelbare Identifikation natuerlicher Personen ist aus den Rohdaten typischerweise nicht moeglich, kann aber nicht in jedem Fall ausgeschlossen werden.
• Kaufzeitpunkte (Datum, Uhrzeit).
• Umsatzbetraege und Mengenangaben (Liter, Artikelpositionen).
• Zahlungsart (Karte, Bar).

Bitte laden Sie ausschliesslich Kassenjournaldaten hoch, die aus dem Betrieb Ihres Unternehmens stammen, und stellen Sie sicher, dass keine zusaetzlichen personenbezogenen Daten uebermittelt werden, die fuer die Auswertung nicht erforderlich sind.

B.2.3 Technische Verbindungsdaten

IP-Adresse, Browser-Kennung (User-Agent), Zeitstempel des Uploads, Dateiname und Dateigroesse.

B.2.4 Einwilligungs-Logs

Datum, Uhrzeit und der konkrete Inhalt der vor dem Upload gesetzten Checkboxen werden protokolliert. Dieser Log ist Nachweis der wirksamen Einwilligung und des informierten Einverstaendnisses.

B.3 Zwecke der Verarbeitung

B.4 Rechtsgrundlagen

Vertragserfuellung (Art. 6 Abs. 1 lit. b DSGVO). Die Verarbeitung der Kassenjournaldaten und Kontaktdaten zur Gutachtenerstellung und zur Kommunikation ist zur Erfuellung des zwischen Ihnen und uns geschlossenen Auftrags erforderlich.

Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO). Rechnungen und Vertragsunterlagen werden aufgrund der handels- und steuerrechtlichen Aufbewahrungspflichten nach Paragraphen 238, 257 HGB und Paragraph 147 AO verarbeitet und gespeichert.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung technischer Verbindungsdaten (Server-Logs, IP-Adressen) und der Einwilligungs-Logs erfolgt auf Grundlage unseres berechtigten Interesses an Sicherheit und Nachweisfuehrung.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die optionale Archivierung der Kassenjournaldaten und Auswertungsergebnisse ueber den Auftragsabschluss hinaus (Datenbehalt, Checkbox 6) erfolgt ausschliesslich auf Grundlage Ihrer freiwilligen, jederzeit widerrufbaren Einwilligung.

B.5 Empfaenger der Daten

Eine Weitergabe Ihrer Daten an Dritte findet grundsaetzlich nicht statt. Ausnahmen:

• Hosting-Dienstleister: Hetzner Online GmbH, Gunzenhausen, Deutschland (AVV nach Art. 28 DSGVO).
• E-Mail-Dienstleister: Strato AG, Berlin; optional Mailjet SAS, Paris. Beide EU-Dienstleister, AVV geschlossen.
• Steuerberater: Rechnungsdaten werden an unsere Steuerberaterkanzlei weitergegeben (gesetzliche Verschwiegenheitspflicht).
• Rechtsanwalt: Auf Ihren ausdruecklichen Wunsch koennen Auswertungsergebnisse an Ihren Anwalt uebermittelt werden.
• Gerichte und Behoerden: Nur bei gesetzlicher Pflicht oder gerichtlicher Anordnung.

B.6 Uebermittlung in Drittlaender

Im Rahmen des Upload-Workflows findet keine Uebermittlung in Laender ausserhalb der Europaeischen Union statt. Fuer Cloudflare-DNS siehe Teil A, Abschnitt 8.3.

B.7 Speicherdauer je Datenart

B.8 Ihre Rechte

Ihre Rechte als betroffene Person sind identisch mit den in Teil A, Abschnitten 10 und 11 beschriebenen Rechten (insbesondere Widerspruchsrecht nach Art. 21 DSGVO, Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit, Widerruf von Einwilligungen, Beschwerde bei der Aufsichtsbehoerde).

Bei Kassenjournaldaten waehrend laufender Auftragsbearbeitung ist die Loeschung erst nach Auftragsabschluss oder -beendigung moeglich.

B.9 Hinweis zu personenbezogenen Daten in den Kassenjournaldaten

Die GZ0-Kassenjournaldateien enthalten Karten-Identifikatoren, die als pseudonymisierte personenbezogene Daten Ihrer Endkunden einzustufen sein koennen. Als Auftraggeber sind Sie verantwortlich dafuer, dass:

1. Sie zur Weitergabe dieser Daten an uns berechtigt sind,
2. keine Kundendatei, kein Klarname-Mapping und keine Kartennummer-Datenbank in den hochgeladenen Dateien enthalten ist,
3. keine Mitarbeiterdaten enthalten sind, die fuer die Auswertung nicht erforderlich sind.

Die Information der Endkunden, deren Kartendaten in den Kassenjournaldaten enthalten sind, obliegt Ihnen als Auftraggeber im Rahmen Ihrer eigenen Datenschutzerklaerung gegenueber diesen Kunden (Art. 14 DSGVO). Fuer diese Daten sind wir Auftragsverarbeiter nach Art. 28 DSGVO; der Auftragsverarbeitungsvertrag regelt die Details.

B.10 Automatisierte Entscheidungen

Wir treffen keine automatisierten Entscheidungen im Sinne des Art. 22 DSGVO. Das Upload-System dient ausschliesslich der Datenuebertragung; alle fachlichen Auswertungen und das Gutachten werden manuell und methodisch geprueft erstellt.

B.11 Datenschutz-Folgenabschaetzung

Eine formelle Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO ist nach aktueller Beurteilung nicht zwingend erforderlich, da keine systematische Ueberwachung einer Vielzahl von Betroffenen im grossen Massstab, keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und kein Profiling erfolgen. Die Beurteilung wird erneut vorgenommen, sobald sich das Verarbeitungsmodell wesentlich aendert.

B.12 Einwilligungs-Checkboxen beim Upload

Die sechs Checkboxen vor dem Upload sind im Wortlaut im Datenschutzhinweis datenschutzhinweis-upload.md und auf dem Upload-Formular dokumentiert (fuenf Pflicht-Checkboxen und eine freiwillige Checkbox 6 fuer den Datenbehalt).

Arbeitsgrundlage. Anwaltliche Pruefung durch Nektarios Dovas wird empfohlen, ersetzt aber nicht die Eigenverantwortung des Verantwortlichen fuer die konkrete technische Umsetzung. Letzte Aktualisierung: 2026-04-23.