Datenschutzerklärung
[FACHANWALT-GATE] Diese Datenschutzerklärung ist ein Entwurf und muss vor Launch von einem Fachanwalt für IT-Recht überprüft und freigegeben werden (Phase 5 sign-off gate).
1. Verantwortlicher (Art 13(1)(a) DSGVO)
Intraxta GmbH [[ADRESSE]] Deutschland
Vertreten durch: [[GESCHAEFTSFUEHRER]]
E-Mail: info@intraxta.de Telefon: [[TELEFON]]
2. Datenschutzbeauftragter
[[DPO_STATUS]] — wird im Phase 5 BDSG §38(1) / Art 37 DSGVO Threshold-Prüfung bestimmt:
- Mehr als 20 Personen regelmäßig mit der Datenverarbeitung beschäftigt? → DPO erforderlich
- Kerntätigkeit umfasst regelmäßige, systematische, umfangreiche Beobachtung? → DPO erforderlich (Art 37(1)(b))
- Kerntätigkeit umfasst umfangreiche besondere Kategorien personenbezogener Daten? → DPO erforderlich (Art 37(1)(c))
Wenn DPO erforderlich: datenschutz@intraxta.de Wenn nicht erforderlich: Schriftlicher Verzicht beim Geschäftsführer ([[GESCHAEFTSFUEHRER]]).
3. Aufsichtsbehörde (Art 13(2)(d) DSGVO)
Zuständige Datenschutzaufsichtsbehörde: [[AUFSICHTSBEHOERDE]] (Sitz-basiert, z.B. BlnBDI für Berlin, BayLfD für Bayern, LDI NRW für Nordrhein-Westfalen).
Hinweis: [[AUFSICHTSBEHOERDE]] ist die zuständige Datenschutzaufsicht NICHT das BSI (Bundesamt für Sicherheit in der Informationstechnik — andere Behörde).
Beschwerderecht nach Art 77 DSGVO: Sie können sich jederzeit bei der Aufsichtsbehörde beschweren.
4. Welche Daten — Zwecke (Art 13(1)(c) DSGVO)
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Kontodaten (E-Mail, Name, Passwort-Hash, Telefon) | Konto-Registrierung + Authentifizierung | Art 6(1)(b) Vertragserfüllung |
| Bestelldaten (Angebot, Lieferadresse, USt-IdNr) | Angebotsverwaltung + Abwicklung | Art 6(1)(b) Vertragserfüllung |
| Rechnungsdaten (HGB §257 Snapshot) | Steuerliche Aufbewahrung | Art 6(1)(c) rechtliche Verpflichtung |
| Kontaktanfragen (Name, E-Mail, Nachricht) | Kommunikation + Support | Art 6(1)(f) berechtigtes Interesse + Art 6(1)(b) Anbahnung |
| Newsletter-Anmeldungen (E-Mail, DOI-Beleg) | Versand des Newsletters | Art 6(1)(a) Einwilligung |
| IP-Adresse / User-Agent (Audit-Log) | Sicherheit + Missbrauchserkennung | Art 6(1)(f) berechtigtes Interesse |
| Cookie-Einwilligungen (ConsentLog) | Nachweispflicht Art 7(1) | Art 6(1)(c) rechtliche Verpflichtung |
5. Rechtsgrundlage (Art 6(1) DSGVO)
Wie in der Tabelle oben dargestellt — je Datenkategorie:
- (a) Einwilligung (Newsletter)
- (b) Vertragserfüllung (Konto, Angebot, Lieferung)
- (c) Rechtliche Verpflichtung (HGB §257 Rechnungsspeicherung, ConsentLog Nachweispflicht)
- (f) Berechtigtes Interesse (Sicherheits-Logging, Anbahnung)
6. EU-Umsatzsteuer-Identifikationsnummer (USt-IdNr / vatId)
Kategorie: USt-IdNr nach §27a UStG Zwecke: B2B-Vertragsabwicklung + Rechnungsstellung + Finanzamt-Meldung Rechtsgrundlage: Art 6(1)(b) Vertragserfüllung + Art 6(1)(c) UStG / HGB §257 Speicherdauer: 10 Jahre HGB §257 (Rechnungs-Snapshot-Aufbewahrung) Empfänger: Steuerberater + Finanzamt (gesetzlich vorgeschriebene Übermittlung)
CJEU C-115/22-Hinweis: Bei Einzelunternehmer:innen (sole trader) gilt die USt-IdNr als personenbezogenes Datum.
7. Automatisierte Entscheidungsfindung (Art 22 DSGVO)
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art 22 DSGVO statt.
Zukünftige Änderung: Sollten KI-basierte Empfehlungssysteme, dynamische Preisbildung oder Betrugserkennungs-ML eingeführt werden, wird diese Datenschutzerklärung sowie das Verzeichnis von Verarbeitungstätigkeiten (ROPA) aktualisiert.
8. Auftragsverarbeiter (Art 28 DSGVO)
Wir bedienen uns folgender Auftragsverarbeiter:
Hetzner Online GmbH (Server-Hosting)
- Sitz: Deutschland (EU)
- DPA: https://www.hetzner.com/AV
- Zweck: Hosting der Server-Infrastruktur
Hostinger International Ltd (E-Mail + DNS)
- Sitz: Litauen (EU)
- DPA: https://www.hostinger.com/legal/data-processing-agreement
- Zweck: E-Mail-Versand + DNS-Verwaltung
Google LLC / Google Workspace (Backup-Speicherung)
- Sitz: USA (Drittland)
- DPA: https://cloud.google.com/terms/data-processing-addendum
- Zweck: Off-site-Backup (verschlüsselt, eigene Schlüssel)
9. Drittlandsübermittlung (Art 13(1)(f) DSGVO)
Übermittlung in die USA an Google LLC erfolgt auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses — Beschluss 2021/914 der EU-Kommission).
Zusätzliche technische Schutzmaßnahmen:
- Verschlüsselung at-rest (AES-256-CBC + PBKDF2)
- Eigene Schlüsselverwaltung (kundenverwaltete Schlüssel — KMS)
- Kein Zugriff auf Klartext-Daten durch Google ohne unsere Mitwirkung
10. Speicherdauer (Art 13(2)(a) DSGVO)
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten (PII) | Bis zur Löschungsanfrage (Art 17 DSGVO) — unverzügliche Anonymisierung |
| Lieferadresse (B2B) | HGB §257: 10 Jahre ab letzter Rechnungstätigkeit |
| Lieferadresse (B2C) | BGB §195: 3 Jahre ab letzter Aktivität (Art 5(1)(c) Datenminimierung) |
| Rechnungs-Snapshot | HGB §257: 10 Jahre ab Rechnungsdatum (B2B) / 3 Jahre (B2C light) |
| Kontaktanfragen | 90 Tage automatischer Löschungssweep |
| AuthEvent (Sicherheits-Audit, ipHash) | 1 Jahr nach Ereignis |
| ConsentLog | Unbegrenzt (Art 7(1) Nachweispflicht) |
| Newsletter (abgemeldet) | 3 Jahre (Opt-out-Beleg) |
11. Betroffenenrechte (Art 15-21 DSGVO)
Sie haben das Recht auf:
- Auskunft (Art 15) — Welche Daten verarbeiten wir?
- Berichtigung (Art 16) — Korrektur falscher Daten
- Löschung (Art 17) — "Recht auf Vergessenwerden" (vorbehaltlich gesetzlicher Aufbewahrungspflichten wie HGB §257)
- Einschränkung der Verarbeitung (Art 18)
- Datenübertragbarkeit (Art 20)
- Widerspruch (Art 21)
- Widerruf von Einwilligungen (Art 7(3)) — z.B. Newsletter-Abmeldung oder Cookie-Widerruf unter /cookie-settings
Anfragen richten Sie bitte an: info@intraxta.de
12. Beschwerderecht (Art 13(2)(d) DSGVO)
Siehe Abschnitt 3. Aufsichtsbehörde.
13. Cookies (TTDSG §25)
Wir verwenden essentielle Cookies (z.B. Session-Cookies für Authentifizierung). Nicht-essentielle Cookies (Analytik, Marketing) werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt.
Cookie-Banner: Beim ersten Besuch wird ein Cookie-Banner angezeigt mit drei gleichwertigen Optionen (Akzeptieren / Ablehnen / Anpassen).
Cookie-Einstellungen jederzeit ändern unter /cookie-settings.
Liste der eingesetzten Cookies:
__Host-session(essentiell — Authentifizierung)__Host-csrf(essentiell — Anti-CSRF-Schutz)__intraxta_consent_v1(essentiell — speichert Ihre Cookie-Entscheidung selbst)- weitere nicht-essentielle (Analytik etc.) nur bei Einwilligung
14. Newsletter
Anmeldung erfolgt im Double-Opt-In-Verfahren (DOI). Nach Eingabe Ihrer E-Mail-Adresse senden wir eine Bestätigungs-Mail mit einem Bestätigungslink — Sie müssen den Link aktiv anklicken, damit die Anmeldung wirksam wird.
Abmeldung jederzeit möglich:
- via Abmelde-Link in jeder Newsletter-E-Mail
- oder per E-Mail an info@intraxta.de
Beleg der Einwilligung speichern wir 3 Jahre (Opt-out-Nachweis).
Stand: [[DATE]] Version: 1.0 (Phase 5 Entwurf, Fachanwalt-Review ausstehend)