Datenschutz

Diese Seite enthält zwei Dokumente: die Datenschutzerklärung für die öffentliche Website (Teil A) und den zusätzlichen Datenschutzhinweis für den geschützten Daten-Upload (Teil B). Beide gelten parallel.

Teil A — Datenschutzerklärung Website

Version 1.1 · Stand 2026-04-23 · Red-Team-Review Rev. 1 eingearbeitet

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und Paragraph 5 TMG ist:

Sven Erik Fittje
SF Tankstellen Analytics (Einzelunternehmen)
Feldstraße 5
64347 Griesheim
Deutschland

Telefon: 0163 4172577
E-Mail: datenschutz@sf-tankstellen-analytics.de
Web: sf-tankstellen-analytics.de

Weitere Pflichtangaben (Rechtsform, Umsatzsteuer-Identifikationsnummer, zuständige Kammer, Berufshaftpflichtversicherung) finden sich im Impressum.

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nicht. Ein Datenschutzbeauftragter ist nach Art. 37 Abs. 1 DSGVO und Paragraph 38 Abs. 1 BDSG insbesondere dann zu bestellen, wenn die Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen oder in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO besteht. Keine dieser Voraussetzungen trifft auf die Tätigkeit von SF Tankstellen Analytics zu. Zusätzlich sind weniger als zwanzig Personen ständig mit der Verarbeitung befasst. Der Verantwortliche ist zu datenschutzrechtlichen Anliegen direkt unter den vorstehenden Kontaktdaten erreichbar.

2. Grundlegendes zur Datenverarbeitung

Diese Erklärung informiert Besucher der Website sf-tankstellen-analytics.de darüber, welche personenbezogenen Daten beim Besuch der Website und bei der Kontaktaufnahme verarbeitet werden, zu welchem Zweck dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und welche Rechte Betroffenen zustehen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Verarbeitung ist jeder Umgang mit solchen Daten, unabhängig davon, ob er manuell oder automatisiert erfolgt (Art. 4 Nr. 2 DSGVO).

Diese Datenschutzerklärung bezieht sich auf den öffentlich zugänglichen Teil der Website. Für die Nutzung des geschützten Upload-Formulars gilt zusätzlich der gesonderte Datenschutzhinweis für den Daten-Upload (Teil B).

3. Erhebung beim Besuch der Website (Server-Logs)

Bei jedem Aufruf einer Seite auf sf-tankstellen-analytics.de erfasst unser Webserver technische Verbindungsdaten, die für die Auslieferung der Seite und den sicheren Betrieb erforderlich sind.

3.1 Welche Daten werden erfasst

• IP-Adresse des anfragenden Geräts (vollständig gespeichert, automatische Löschung nach spätestens 30 Tagen)
• Datum und Uhrzeit des Zugriffs
• Angefragte URL und HTTP-Methode
• HTTP-Statuscode der Antwort
• Übertragene Datenmenge
• Browser-Kennung (User-Agent)
• Verweisende Seite (Referrer), soweit übermittelt
• Betriebssystem- und Sprachangaben, soweit der Browser sie überträgt

Eine Auswertung der IP-Adresse erfolgt nur bei konkretem Missbrauchsverdacht. Im Regelbetrieb werden die Logs nicht personenbezogen ausgewertet.

3.2 Zweck und Rechtsgrundlage

Zweck ist der sichere Betrieb der Website, die Missbrauchsabwehr (unter anderem Erkennung und Abwehr automatisierter Scans, Brute-Force-Versuche oder Überlastangriffe) sowie die Fehlerdiagnose. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist der technisch sichere und stabile Betrieb der Website. Der Bundesgerichtshof hat die Speicherung von IP-Adressen zu diesem Zweck für grundsätzlich zulässig erklärt (BGH VI ZR 135/13 vom 16. Mai 2017).

3.3 Speicherdauer

Server-Logs werden nach spätestens 30 Tagen automatisch gelöscht. Eine längere Speicherung erfolgt nur, wenn ein konkreter Missbrauchsverdacht vorliegt; in diesem Fall werden die betroffenen Log-Zeilen bis zur abschließenden Klärung, längstens jedoch zwölf Monate nach Abschluss der Prüfung, separat aufbewahrt und anschließend gelöscht.

3.4 Empfänger

Die Logs werden ausschließlich vom Verantwortlichen und vom Hosting-Dienstleister Hetzner Online GmbH (Auftragsverarbeiter nach Art. 28 DSGVO) zur Kenntnis genommen. Eine Weitergabe an Dritte findet nicht statt, außer auf Grundlage einer gesetzlichen Pflicht oder gerichtlichen Anordnung.

3.5 Bereitstellung der Daten

Die Erfassung der Server-Logs ist für den Betrieb der Website technisch erforderlich. Ohne Erfassung dieser Daten kann die Website nicht ausgeliefert werden. Ein Widerspruch nach Art. 21 DSGVO ist jederzeit möglich; er führt in der Praxis dazu, dass künftige Anfragen Ihres Gerätes an unsere Server nicht mehr bedient werden können. Die bis zum Widerspruch rechtmäßig gespeicherten Logs werden nach Ablauf der Speicherfrist automatisch gelöscht.

4. Cookies und ähnliche Technologien

Die öffentliche Website sf-tankstellen-analytics.de setzt keine Cookies und keine vergleichbaren Technologien im Sinne des Paragraphen 25 TTDSG ein. Es werden keine Informationen in Ihrem Endgerät gespeichert oder aus diesem abgerufen, die nicht unbedingt erforderlich sind, damit Ihr Browser die Seite darstellen kann. Dieser Zustand wird vor Go-Live und regelmäßig während des Betriebs technisch verifiziert.

Eine Einwilligung im Sinne des Paragraphen 25 Abs. 1 TTDSG ist daher nicht erforderlich. Ein Cookie-Banner wird aus diesem Grund bewusst nicht eingesetzt.

Hinweis zum geschützten Upload-Formular: Das Upload-Formular unter sf-tankstellen-analytics.de/upload/{token} verwendet technisch notwendige Informationen im lokalen Speicher des Browsers (localStorage), um unterbrochene Uploads fortsetzen zu können. Diese Nutzung ist im Sinne des Paragraphen 25 Abs. 2 Nr. 2 TTDSG unbedingt erforderlich für die vom Nutzer ausdrücklich gewünschte Funktion und einwilligungsfrei. Näheres regelt Teil B.

5. Kontaktaufnahme

Sie können uns über verschiedene Wege kontaktieren. Ein Kontaktformular auf der Website gibt es derzeit nicht.

5.1 E-Mail und Telefon

Wenn Sie uns per E-Mail an datenschutz@sf-tankstellen-analytics.de oder an eine andere unter Impressum genannte E-Mail-Adresse kontaktieren oder telefonisch unter 0163 4172577, verarbeiten wir die von Ihnen übermittelten Daten (Name, E-Mail-Adresse, Telefonnummer, Inhalt der Nachricht) zur Beantwortung Ihrer Anfrage.

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags zielt (Anbahnung eines Gutachterauftrags, Rückfragen zu einem laufenden Auftrag).
• Art. 6 Abs. 1 lit. f DSGVO im Übrigen; berechtigtes Interesse ist die effektive Bearbeitung von Anfragen und der geschäftliche Austausch mit Interessenten, Geschäftspartnern und Behörden.

Die Angabe von Name und Kontaktdaten bei einer Anfrage ist freiwillig, aber für die Bearbeitung erforderlich. Ohne die genannten Angaben können wir Ihre Anfrage nicht oder nur unvollständig beantworten. Eine gesetzliche Pflicht zur Bereitstellung besteht nicht.

5.2 Speicherdauer

• Anfragen ohne Beauftragung: Löschung spätestens 6 Monate nach letztem Kontakt.
• Anfragen mit Beauftragung: siehe Speicherdauern im Datenschutzhinweis für den Daten-Upload (Teil B).
• E-Mail-Korrespondenz mit handels- oder steuerrechtlichem Bezug: 10 Jahre (Paragraph 147 AO, Paragraph 257 HGB).

Sobald aus einer ursprünglich nicht aufbewahrungspflichtigen Anfrage ein handels- oder steuerrechtlich relevanter Geschäftsvorfall entsteht (z. B. Angebot, Rechnung, Gutachtenauftrag), tritt die gesetzliche Aufbewahrungsfrist (in der Regel 10 Jahre nach Paragraph 147 AO und Paragraph 257 HGB) an die Stelle der vorgenannten 6-Monats-Frist.

5.3 Empfänger

Kontaktdaten und Kommunikationsinhalte werden nicht an Dritte weitergegeben, außer an den E-Mail-Dienstleister als Auftragsverarbeiter. Eingehende E-Mails an Adressen der Domain sf-tankstellen-analytics.de werden über die Strato AG, Pascalstraße 10, 10587 Berlin (Server in Deutschland) verarbeitet. Für ausgehende automatisierte E-Mails kann ergänzend die Mailjet SAS, 4 rue Jules Lefebvre, 75009 Paris (Frankreich, EU-Mitgliedstaat) eingesetzt werden. Mit beiden Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

Eine Übermittlung der E-Mail-Inhalte in Drittländer findet im Rahmen dieser Verarbeitung nicht statt.

6. Schriftarten

Die Website verwendet die Schriftarten Inter (SIL Open Font License) und Source Serif Pro (SIL Open Font License). Beide Schriftarten sind lokal auf dem Server des Verantwortlichen hinterlegt und werden direkt vom Hetzner-Server in Deutschland ausgeliefert.

Beim Aufruf der Website wird keine Verbindung zu Google-Servern (fonts.googleapis.com, fonts.gstatic.com) oder anderen externen Schriftart-Anbietern hergestellt. Eine Übermittlung der IP-Adresse oder anderer Daten an solche Anbieter findet nicht statt.

7. JavaScript-Bibliotheken

Die öffentliche Website verwendet keine externen JavaScript-Bibliotheken. Alle dynamischen Funktionen sind mit auf dem eigenen Server gehostetem Code realisiert.

Im geschützten Upload-Formular (sf-tankstellen-analytics.de/upload/{token}) wird die quelloffene JavaScript-Bibliothek tus-js-client eingebunden, die resumable Uploads ermöglicht. Die Bibliothek wird vom eigenen Server ausgeliefert; eine Verbindung zu externen Content Delivery Networks findet beim Aufruf des Upload-Formulars nicht statt.

8. Hosting und Infrastruktur

8.1 Webserver und Datei-Speicher (Hetzner)

Die Website und der Datei-Speicher für das geschützte Upload-Formular werden von der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen betrieben. Konkreter Rechenzentrumsstandort ist ein Standort der Hetzner-Datenzentren innerhalb Deutschlands (Falkenstein oder Nürnberg); dieser Standort ist im Hetzner-Admin-Panel dokumentiert und wird auf Anfrage mitgeteilt. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einem technisch sicheren und zuverlässigen Betrieb. Eine Übermittlung in Drittländer findet im Rahmen der regulären Hetzner-Verarbeitung nicht statt.

8.2 Domain-Verwaltung (Strato)

Die Domain sf-tankstellen-analytics.de und die zugehörigen Domains werden bei der Strato AG, Pascalstraße 10, 10587 Berlin verwaltet. Strato verarbeitet hierfür ausschließlich die für den Betrieb der Domain erforderlichen Registry-Daten. Eine Verarbeitung von Besucherdaten durch Strato findet im Regelbetrieb nicht statt.

8.3 DNS (Cloudflare)

Für die Auflösung des Domainnamens (DNS) wird der Dienst der Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München, als europäische Niederlassung der Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA, eingesetzt.

Die Website-Inhalte werden direkt vom Hetzner-Server in Deutschland an Ihren Browser ausgeliefert. Cloudflare wird nicht als Reverse-Proxy vor den Webserver geschaltet. Cloudflare sieht daher nur die zur Namensauflösung erforderlichen DNS-Abfragen, nicht die aufgerufenen URLs oder die Inhaltsdaten der Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an stabiler Namensauflösung und an Schutz vor DNS-Missbrauch.

Übermittlung in Drittländer: DNS-Abfragen können durch das globale Anycast-Netzwerk von Cloudflare verarbeitet werden. Eine Übermittlung in die USA ist daher nicht auszuschließen. Rechtsgrundlage ist der Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (Beschluss (EU) 2023/1795). Cloudflare Inc. ist unter diesem Rahmen zertifiziert. Ergänzend kommen Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO zur Anwendung. Sollte die Zertifizierung entfallen oder der Angemessenheitsbeschluss aufgehoben werden, stellt der Verantwortliche auf die Standardvertragsklauseln um oder beendet die Zusammenarbeit.

Hinweise zum Datenschutz bei Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/

8.4 E-Mail-Kommunikation (Strato, ggf. Mailjet)

Für die Übermittlung von Statusmeldungen, Bestätigungen und Lieferdokumenten werden E-Mail-Dienste der Strato AG und optional der Mailjet SAS eingesetzt. Mit beiden Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Die Verarbeitung erfolgt innerhalb der Europäischen Union; eine Drittlandübermittlung findet nicht statt.

9. Upload-Formular für Kunden

Das Upload-Formular unter sf-tankstellen-analytics.de/upload/{token} dient ausschließlich Kunden, die mit SF Tankstellen Analytics einen Gutachterauftrag anbahnen oder abgewickelt haben. Es wird nur über einen individuell versandten Token-Link erreichbar und ist von Suchmaschinen ausgeschlossen.

Die Verarbeitung der dort eingereichten Daten ist umfangreicher und wird in Teil B — Datenschutz beim Upload-Formular eigenständig geregelt.

Alle Auftragsdaten unterliegen zusätzlich einer vertraglichen Verschwiegenheitspflicht des Gutachters. Näheres regelt die mit jedem Auftrag geschlossene Verschwiegenheitsvereinbarung.

10. Widerspruchsrecht nach Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Im Falle eines Widerspruchs verarbeiten wir die personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Den Widerspruch können Sie formlos an datenschutz@sf-tankstellen-analytics.de oder an die unter Abschnitt 1 genannte Postanschrift richten.

11. Weitere Rechte der Betroffenen Personen

11.1 Auskunft (Art. 15 DSGVO)

Sie können Auskunft darüber verlangen, ob und welche Daten wir von Ihnen verarbeiten. Die Auskunft umfasst insbesondere die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer oder die Kriterien für deren Festlegung, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, alle verfügbaren Informationen zur Herkunft der Daten, wenn diese nicht bei Ihnen erhoben wurden, sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

11.2 Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger und die Vervollständigung unvollständiger Daten verlangen.

11.3 Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten oder überwiegende berechtigte Interessen entgegenstehen.

11.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können verlangen, dass wir die Verarbeitung einschränken, etwa während der Prüfung einer Berichtigung.

11.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Daten, die Sie uns bereitgestellt haben und die wir auf Grundlage einer Einwilligung oder eines Vertrags verarbeiten, in einem gängigen maschinenlesbaren Format erhalten oder an einen anderen Verantwortlichen übertragen lassen.

11.6 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig.

11.7 Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie können sich bei der zuständigen Datenschutzaufsichtsbehörde beschweren. Zuständig für uns ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 611 1408-0
Telefax: +49 611 1408-900 bzw. -901
E-Mail: poststelle@datenschutz.hessen.de
Web: datenschutz.hessen.de

11.8 Ausübung der Rechte

Anfragen zur Ausübung Ihrer Rechte richten Sie bitte schriftlich oder per E-Mail an den unter Abschnitt 1 genannten Verantwortlichen. Wir antworten innerhalb der Frist des Art. 12 Abs. 3 DSGVO (grundsätzlich einen Monat). Zur Identifikation können wir Rückfragen stellen.

12. Speicherdauer je Datenkategorie

13. Drittlandübermittlungen im Überblick

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union (Drittländer) findet im Rahmen der öffentlichen Website ausschließlich bei DNS-Abfragen über Cloudflare statt (siehe Abschnitt 8.3). Die Rechtsgrundlage ist der Angemessenheitsbeschluss zum EU-US Data Privacy Framework, ergänzt um Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Alle übrigen Verarbeitungen (Hosting, Schriftarten, JavaScript-Bibliotheken, E-Mail-Kommunikation) erfolgen innerhalb der Europäischen Union.

14. Keine automatisierten Entscheidungen

Auf der Website findet keine automatisierte Entscheidungsfindung statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO). Es werden keine Nutzerprofile erstellt, die über den technischen Auslieferungsprozess hinausgehen. Entscheidungen über Aufträge, Angebote und Gutachten trifft der Verantwortliche persönlich.

15. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Änderung der angebotenen Dienste oder der Rechtslage fortgeschrieben. Die jeweils aktuelle Fassung ist unter sf-tankstellen-analytics.de/datenschutz.html abrufbar. Stand und Version sind am Anfang des Dokuments angegeben. Wesentliche Änderungen werden für laufende Vertragskunden zusätzlich per E-Mail mitgeteilt.

Eine vollständige Überprüfung erfolgt mindestens einmal jährlich zum 31. Dezember und anlassbezogen bei wesentlichen Änderungen.

16. Kontakt bei Datenschutzfragen

Für Fragen und Anliegen zum Datenschutz wenden Sie sich bitte an den unter Abschnitt 1 genannten Verantwortlichen. E-Mail an datenschutz@sf-tankstellen-analytics.de genügt.

Teil B — Datenschutz beim Upload-Formular

Gilt für Kunden, die das Upload-Formular unter sf-tankstellen-analytics.de/upload/{token} nutzen. Ergänzt Teil A.

B.1 Verantwortlicher

Verantwortlicher ist der in Teil A, Abschnitt 1 genannte Sven Erik Fittje, SF Tankstellen Analytics.

B.2 Welche Daten wir verarbeiten

B.2.1 Kontaktdaten (Auftraggeber)

Name, Firmenbezeichnung, Anschrift, Telefonnummer, E-Mail-Adresse. Diese Daten werden beim Upload-Formular oder im Rahmen des Auftragsschlusses erhoben.

B.2.2 Hochgeladene Kassenjournaldaten (Betriebsdaten der Station)

Elektronische Kassenjournaldaten im Format GZ0 oder vergleichbaren Formaten (E-Journal-Exports). Diese Dateien enthalten in der Regel:

• Karten-Identifikatoren (Kartentyp-Kürzel, teilmaskierte Kartennummern, Folgenummern, Vertragsnummern) - diese Angaben sind bereits durch das Kassensystem pseudonymisiert; eine unmittelbare Identifikation natürlicher Personen ist aus den Rohdaten typischerweise nicht möglich, kann aber nicht in jedem Fall ausgeschlossen werden.
• Kaufzeitpunkte (Datum, Uhrzeit).
• Umsatzbeträge und Mengenangaben (Liter, Artikelpositionen).
• Zahlungsart (Karte, Bar).

Bitte laden Sie ausschließlich Kassenjournaldaten hoch, die aus dem Betrieb Ihres Unternehmens stammen, und stellen Sie sicher, dass keine zusätzlichen personenbezogenen Daten übermittelt werden, die für die Auswertung nicht erforderlich sind.

B.2.3 Technische Verbindungsdaten

IP-Adresse, Browser-Kennung (User-Agent), Zeitstempel des Uploads, Dateiname und Dateigröße.

B.2.4 Einwilligungs-Logs

Datum, Uhrzeit und der konkrete Inhalt der vor dem Upload gesetzten Checkboxen werden protokolliert. Dieser Log ist Nachweis der wirksamen Einwilligung und des informierten Einverständnisses.

B.3 Zwecke der Verarbeitung

B.4 Rechtsgrundlagen

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Verarbeitung der Kassenjournaldaten und Kontaktdaten zur Gutachtenerstellung und zur Kommunikation ist zur Erfüllung des zwischen Ihnen und uns geschlossenen Auftrags erforderlich.

Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO). Rechnungen und Vertragsunterlagen werden aufgrund der handels- und steuerrechtlichen Aufbewahrungspflichten nach Paragraphen 238, 257 HGB und Paragraph 147 AO verarbeitet und gespeichert.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung technischer Verbindungsdaten (Server-Logs, IP-Adressen) und der Einwilligungs-Logs erfolgt auf Grundlage unseres berechtigten Interesses an Sicherheit und Nachweisführung.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die optionale Archivierung der Kassenjournaldaten und Auswertungsergebnisse über den Auftragsabschluss hinaus (Datenbehalt, Checkbox 6) erfolgt ausschließlich auf Grundlage Ihrer freiwilligen, jederzeit widerrufbaren Einwilligung.

B.5 Empfänger der Daten

Eine Weitergabe Ihrer Daten an Dritte findet grundsätzlich nicht statt. Ausnahmen:

• Hosting-Dienstleister: Hetzner Online GmbH, Gunzenhausen, Deutschland (AVV nach Art. 28 DSGVO).
• E-Mail-Dienstleister: Strato AG, Berlin; optional Mailjet SAS, Paris. Beide EU-Dienstleister, AVV geschlossen.
• Steuerberater: Rechnungsdaten werden an unsere Steuerberaterkanzlei weitergegeben (gesetzliche Verschwiegenheitspflicht).
• Rechtsanwalt: Auf Ihren ausdrücklichen Wunsch können Auswertungsergebnisse an Ihren Anwalt übermittelt werden.
• Gerichte und Behörden: Nur bei gesetzlicher Pflicht oder gerichtlicher Anordnung.

B.6 Übermittlung in Drittländer

Im Rahmen des Upload-Workflows findet keine Übermittlung in Länder außerhalb der Europäischen Union statt. Für Cloudflare-DNS siehe Teil A, Abschnitt 8.3.

B.7 Speicherdauer je Datenart

B.8 Ihre Rechte

Ihre Rechte als betroffene Person sind identisch mit den in Teil A, Abschnitten 10 und 11 beschriebenen Rechten (insbesondere Widerspruchsrecht nach Art. 21 DSGVO, Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf von Einwilligungen, Beschwerde bei der Aufsichtsbehörde).

Bei Kassenjournaldaten während laufender Auftragsbearbeitung ist die Löschung erst nach Auftragsabschluss oder -beendigung möglich.

B.9 Hinweis zu personenbezogenen Daten in den Kassenjournaldaten

Die GZ0-Kassenjournaldateien enthalten Karten-Identifikatoren, die als pseudonymisierte personenbezogene Daten Ihrer Endkunden einzustufen sein können. Als Auftraggeber sind Sie verantwortlich dafür, dass:

1. Sie zur Weitergabe dieser Daten an uns berechtigt sind,
2. keine Kundendatei, kein Klarname-Mapping und keine Kartennummer-Datenbank in den hochgeladenen Dateien enthalten ist,
3. keine Mitarbeiterdaten enthalten sind, die für die Auswertung nicht erforderlich sind.

Die Information der Endkunden, deren Kartendaten in den Kassenjournaldaten enthalten sind, obliegt Ihnen als Auftraggeber im Rahmen Ihrer eigenen Datenschutzerklärung gegenüber diesen Kunden (Art. 14 DSGVO). Für diese Daten sind wir Auftragsverarbeiter nach Art. 28 DSGVO; der Auftragsverarbeitungsvertrag regelt die Details.

B.10 KI-Werkzeuge bei SF Tankstellen Analytics

Im Rahmen unserer Dienstleistung kommt der Einsatz moderner KI-Werkzeuge an drei Stellen vor: in der Engine-Entwicklung und Methodik-Pflege, in der Marktbeobachtung der BGH-Rechtsprechung und in der mandanten-spezifischen Vorab-Konfiguration der Engine. Diese KI-Werkzeuge verarbeiten zu keinem Zeitpunkt Ihre Auftragsdaten (Kassenjournaldaten, Stationsprofil, Vertragsdaten).

Die konkrete Auswertung Ihrer Kassendaten erfolgt durch eine deterministische, lokal in Deutschland betriebene Python-Engine. Ihre Daten werden insbesondere nicht an externe Cloud-KI-Anbieter oder Sprachmodelle übertragen. Es findet kein KI-Training auf Ihren Daten statt; Ihre Daten fließen nicht in die Konfiguration anderer Mandantenauswertungen ein.

Die im Rahmen der Engine-Entwicklung eingesetzten KI-Werkzeuge arbeiten mit Test- und Referenzdaten, nicht mit Mandantendaten. Eine mandanten-spezifische Engine-Konfiguration wird auf Grundlage des Stationsprofils und einer ersten Sichtung der Datenstruktur (nicht der Daten-Inhalte) erstellt; diese Konfiguration ist eine technische Voreinstellung der Engine und keine automatisierte Bewertung Ihres Auftrags im Sinne Art. 22 DSGVO.

Engine-Code, Pflege-Berichte (T-Session-Berichte) und Volltest-Vergleichsdaten sind auf Anforderung einsehbar. Bei Rückfragen zur konkreten technischen Umsetzung wenden Sie sich an die in Abschnitt 1 genannte Kontaktadresse.

B.11 Automatisierte Entscheidungen

Wir treffen keine automatisierten Entscheidungen im Sinne des Art. 22 DSGVO. Das Upload-System dient ausschließlich der Datenübertragung; alle fachlichen Auswertungen und das Gutachten werden manuell und methodisch geprüft erstellt. Die in Abschnitt B.10 beschriebenen KI-Werkzeuge greifen nicht in die Schluss-Bewertung Ihres Falles ein; die Endergebnisse werden durch die deterministische Engine berechnet und durch den Verantwortlichen persönlich verantwortet.

B.12 Datenschutz-Folgenabschätzung

Eine formelle Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist nach aktueller Beurteilung nicht zwingend erforderlich, da keine systematische Überwachung einer Vielzahl von Betroffenen im großen Maßstab, keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und kein Profiling erfolgen. Die Beurteilung wird erneut vorgenommen, sobald sich das Verarbeitungsmodell wesentlich ändert.

B.13 Einwilligungs-Checkboxen beim Upload

Die sechs Checkboxen vor dem Upload sind im Wortlaut im Datenschutzhinweis datenschutzhinweis-upload.md und auf dem Upload-Formular dokumentiert (fünf Pflicht-Checkboxen und eine freiwillige Checkbox 6 für den Datenbehalt).

Arbeitsgrundlage. Anwaltliche Prüfung durch Nektarios Dovas wird empfohlen, ersetzt aber nicht die Eigenverantwortung des Verantwortlichen für die konkrete technische Umsetzung. Letzte Aktualisierung: 2026-04-23.