Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Joël Marth IT Services
Senftenauerstraße 3
80689 München
Deutschland

E-Mail: [email protected]
Website: https://pathsweeper.com

Ein Datenschutzbeauftragter ist gesetzlich nicht vorgeschrieben. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungen

PathSweeper ist eine browserbasierte Anwendung zur Berechnung von Schleppkurven (Swept-Path-Analyse). Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:

• Bestandsdaten – E-Mail-Adresse; akzeptierte AGB-Version, Zeitpunkt und Sprache der AGB-Annahme
• Nutzungsdaten – Projektdaten, hochgeladene Dateien (CAD, Hintergrundbilder), Feedback-Nachrichten
• Kommunikationsdaten – E-Mail-Adresse (Newsletter, Passwort-Reset)
• Einwilligungs- und Vertragsnachweise – Protokoll der AGB-Annahme und (beim Kauf) der Widerrufsverzichtserklärung mit Versionskennung, Zeitstempel, Sprachkennung sowie einem gepfefferten SHA-256-Fingerabdruck von IP-Adresse und User-Agent (siehe Abschnitt 7a)
• Zahlungsdaten – E-Mail-Adresse, Projekt-ID, Sprachkennung (an den Zahlungsdienstleister übermittelt); Karten-/Bankdaten werden ausschließlich vom Zahlungsdienstleister verarbeitet, nicht von uns; Stripe-Kunden-ID wird zur Wiederverwendung bei Folgekäufen am Nutzerkonto gespeichert
• Rechnungsdaten – Käuferstatus (Privatperson/Unternehmen), Firmenname, vollständige Rechnungsanschrift, ggf. Umsatzsteuer-Identifikationsnummer, Steuerkonstellation (§19-Kleinunternehmer / EU-Reverse-Charge / Nicht-EU); gespeichert in Nutzerkonto, Projekt und im ZUGFeRD/Factur-X-Rechnungs-PDF (siehe Abschnitt 14a)
• Technische Daten – IP-Adresse (als SHA-256-Fingerabdruck mit serverseitigem Pepper beim AGB-Einwilligungsprotokoll und bei der öffentlichen DWG-Konvertierung; im Klartext nur in Server-Logfiles nach Abschnitt 5), Browser-Typ, Betriebssystem, Referrer, Zeitstempel
• Analysedaten – Ereignisse der Nutzungsinteraktion (selbst gehostete Webanalyse)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Newsletter-Anmeldung
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Registrierung, Bereitstellung der Anwendung, Projektdaten, transaktionale E-Mails (Passwort-Reset, Kontobestätigung), Zahlungsabwicklung beim Kauf eines Projekt-Passes
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Ausstellung und Aufbewahrung von Rechnungen gemäß § 14 UStG, § 147 AO, § 257 HGB; Protokollierung der AGB-Annahme und der Widerrufsverzichtserklärung nach § 312k Abs. 6 BGB / § 356 Abs. 5 BGB
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Server-Logfiles, Gewährleistung der IT-Sicherheit, selbst gehostete Webanalyse zur Produktverbesserung, Feedback-Verarbeitung, Missbrauchsschutz (Rate-Limiting)

4. Sicherheitsmaßnahmen

Wir treffen technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• Verschlüsselte Datenübertragung mittels TLS/HTTPS für sämtliche Verbindungen
• Passwort-Hashing (keine Klartextspeicherung)
• Row-Level-Security: Nutzer können ausschließlich auf ihre eigenen Projektdaten zugreifen
• IP-Adressen werden bei der öffentlichen DWG-Konvertierung nicht im Klartext gespeichert, sondern als tageweise rotierender Hash (SHA-256)
• IP-Adresse und User-Agent im AGB-Einwilligungsprotokoll (Abschnitt 7a) werden ausschließlich als SHA-256-Fingerabdruck mit einem dauerhaften serverseitigen Pepper gespeichert; aus einem Datenbankabzug allein lässt sich die ursprüngliche IP nicht zurückrechnen
• Isolierte Microservice-Architektur: CAD-Verarbeitung findet in einem eigenen Container statt

5. Hosting und Server-Logfiles

Hosting

Diese Website wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Hetzner betreibt zertifizierte Rechenzentren ausschließlich in Deutschland und Finnland (EU).

Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Server-Logfiles

Bei jedem Zugriff auf unsere Website erfasst der Server automatisch folgende Daten (sog. Server-Logfiles):

• IP-Adresse des zugreifenden Rechners
• Datum und Uhrzeit der Anfrage
• Aufgerufene URL / Dateiname
• HTTP-Statuscode
• Übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite)
• Browser-Typ und -Version, Betriebssystem

Diese Daten werden zur Sicherstellung eines störungsfreien Betriebs und zur Erkennung von Missbrauch benötigt. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit und Betriebsstabilität).

Speicherdauer: Logfiles werden nach 14 Tagen automatisch gelöscht.

6. Content Delivery Network (Cloudflare)

Wir nutzen das Content Delivery Network (CDN) und die DNS-Dienste von Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Bei Aufruf unserer Website wird Ihre Anfrage über Cloudflare-Server geleitet. Dabei können folgende Daten verarbeitet werden:

• IP-Adresse
• HTTP-Header (Browser-Typ, Sprache, Referrer)
• Aufgerufene URL und Zeitstempel

Cloudflare kann technisch notwendige Cookies setzen (z. B. __cf_bm zur Bot-Erkennung). Diese Cookies dienen ausschließlich der Sicherheit und Funktionsfähigkeit der Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und performanten Auslieferung der Website); für Cookies zusätzlich § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich).

Drittlandtransfer: Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden Standardvertragsklauseln (SCCs) vereinbart.

Weitere Informationen: Cloudflare Datenschutzerklärung.

7. Registrierung und Benutzerkonto

Reguläres Konto

Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse
• Passwort (wird ausschließlich als Hash gespeichert)
• Optional: Einwilligung zum Erhalt von E-Mail-Benachrichtigungen (Newsletter-Opt-in)
• Akzeptierte AGB-Version, Zeitpunkt und Sprache der AGB-Annahme; bei späteren Upgrades (z. B. Gast → reguläres Konto) jeweils die zum Upgrade-Zeitpunkt akzeptierte Version. Eine revisionssichere Kopie jeder Annahme wird im AGB-Einwilligungsprotokoll (Abschnitt 7a) abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Benutzerkontos).

Speicherdauer: Die Daten werden gespeichert, bis das Konto gelöscht wird.

Gast-Zugang

PathSweeper kann auch ohne Registrierung als Gast genutzt werden. In diesem Fall legen wir auf unserem Server ein anonymes Konto mit einer automatisch generierten zufälligen E-Mail-Adresse (<zufall>@guest.pathsweeper.com) und einem zufälligen Passwort an. Die Zugangsdaten werden im localStorage Ihres Browsers gespeichert, damit Sie nach einem Neuladen wieder auf dieselben Projekte zugreifen können; der Kontodatensatz selbst sowie die von Ihnen erstellten Projekte werden in unserer PocketBase-Datenbank gespeichert. Die automatisch generierte E-Mail-Adresse lässt keine Rückschlüsse auf eine reale Person zu.

Für den Kauf eines Projekt Pass ist ein reguläres Konto erforderlich. Möchten Sie als Gast einen Projekt Pass erwerben, werden Sie vor dem Checkout zur Registrierung weitergeleitet; ab diesem Zeitpunkt wird Ihr Konto wie jedes andere registrierte Konto behandelt (siehe Abschnitt 7 oben).

Speicherdauer (Gast): Gast-Konten und ihre Projekte verbleiben in der Datenbank, bis Sie sie aktiv löschen.

7a. AGB-Einwilligungsprotokoll

Zum Nachweis der Annahme unserer Allgemeinen Geschäftsbedingungen (AGB) sowie – beim Kauf eines Projekt Pass – der ausdrücklichen Widerrufsverzichtserklärung gemäß § 356 Abs. 5 BGB führen wir in unserer PocketBase-Datenbank eine separate, revisionssichere Tabelle (consent_log). Pro Einwilligung wird genau eine Zeile angelegt.

Pro Eintrag werden folgende Daten gespeichert:

• Art der Einwilligung (Registrierung, Konto-Upgrade von Gast, Kauf-Checkout)
• Nutzer-ID und – beim Kauf – Projekt-ID
• Akzeptierte AGB-Version (Datumskennung der zum Annahmezeitpunkt veröffentlichten Fassung)
• Beim Kauf: Angabe, ob die Widerrufsverzichtserklärung abgegeben wurde (entfällt bei B2B-Käufen ohne Widerrufsrecht)
• Sprachkennung der angezeigten AGB (de / en)
• SHA-256-Fingerabdruck Ihrer IP-Adresse und Ihres User-Agents, gebildet mit einem dauerhaften serverseitigen Pepper (CONSENT_IP_SALT). Die IP-Adresse und der User-Agent selbst werden nicht gespeichert.
• Status (pending bei Anlage, confirmed nach Bezahlung) sowie ggf. die zugehörige Stripe-Sitzungs-ID
• Zeitstempel der Erstellung und letzten Aktualisierung

Bei einer späteren Löschung Ihres Nutzerkontos bleibt die Zeile als anonymisierter Nachweis bestehen (die Nutzer-ID wird als reine Textreferenz gespeichert und nicht als verknüpfte Relation), damit die rechtliche Nachweispflicht über die Kontoexistenz hinaus erfüllt werden kann.

Zweck: Erfüllung der gesetzlichen Nachweispflichten zur Einbeziehung der AGB in den Vertrag (§ 305 Abs. 2 BGB), zur ausdrücklichen Widerrufsverzichtserklärung beim Kauf digitaler Inhalte (§ 356 Abs. 5 BGB) sowie zur Bestätigung im Bestellprozess (§ 312k BGB).

Rechtsgrundlage:Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) i. V. m. den vorgenannten Vorschriften des BGB; ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beweissicherung gegenüber Missbrauchsfällen).

Speicherdauer:Bis zum Ablauf der vertraglichen Verjährungsfristen, bei kaufbezogenen Einträgen mindestens parallel zur Aufbewahrungspflicht der zugehörigen Rechnung (10 Jahre gemäß § 147 AO).

8. Projektdaten

Wenn Sie Projekte in PathSweeper erstellen und speichern, verarbeiten wir folgende Daten:

• Projektname
• Projektdaten im JSON-Format (Schleppkurven-Pfade, Kalibrierung, Fahrzeugeinstellungen, Messungen, Ebenen)
• Vorschaubild (Thumbnail) des Projekts
• Hochgeladenes Hintergrundbild (z. B. Lageplan als JPG, PNG, PDF)

Projektdaten sind durch Row-Level-Security geschützt: Jeder Nutzer kann ausschließlich auf seine eigenen Projekte zugreifen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung der Anwendung).

Speicherdauer: Bis zur Löschung durch den Nutzer. Bei Kontolöschung werden alle zugehörigen Projekte gelöscht.

9. CAD-Datei-Verarbeitung

Nutzer können CAD-Dateien (DXF, DWG, 12d-XML, PDF) zur Geometrie-Extraktion hochladen. Dabei verarbeiten wir:

• Die hochgeladene Datei
• Den ursprünglichen Dateinamen

Die Verarbeitung erfolgt ausschließlich auf unseren eigenen Servern in einem eigenen Container (Microservice). Es findet keine Weitergabe der CAD-Dateien an Dritte statt.

Speicherdauer: CAD-Dateien werden temporär gespeichert und nach der Verarbeitung automatisch gelöscht.

10. DWG-zu-DXF-Konvertierung (öffentliches Tool)

Wir bieten ein öffentliches Tool zur Konvertierung von DWG- zu DXF-Dateien an. Für die Nutzung ist kein Benutzerkonto erforderlich.

Folgende Daten werden verarbeitet:

• Hochgeladene Datei: Die DWG-Datei wird temporär auf unserem Server gespeichert und nach spätestens einer Stunde automatisch gelöscht.
• IP-Adresse: Ihre IP-Adresse wird nicht im Klartext gespeichert. Stattdessen wird ein Hash (SHA-256) mit einem tageweise rotierenden Salt erzeugt. Dieser Hash dient ausschließlich dem Rate-Limiting (max. 5 Konvertierungen pro Stunde) und kann nicht zur Identifizierung verwendet werden. Am nächsten Tag wird ein neuer Salt verwendet, sodass alte Hashes nicht mehr zugeordnet werden können.

Der Download der konvertierten Datei erfolgt über einen zufällig generierten Token. Nach Ablauf der Stunde wird die Datei samt Metadaten gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes); Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsschutz durch Rate-Limiting).

11. Feedback-Funktion

Über unsere Feedback-Funktion können Sie uns Rückmeldungen zu Fehlern, Funktionswünschen oder allgemeines Feedback senden – auch ohne Registrierung. Dabei werden folgende Daten verarbeitet:

• Feedback-Typ (Fehler, Funktionswunsch, Allgemein)
• Ihre Nachricht (max. 5.000 Zeichen)
• E-Mail-Adresse (optional, nur bei freiwilliger Angabe)
• URL der Seite, auf der das Feedback abgegeben wurde
• Browser- und Geräteinformationen (User-Agent)
• Spracheinstellung (Locale)
• Nutzer-ID (nur wenn Sie zum Zeitpunkt der Abgabe eingeloggt sind)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unserer Anwendung).

Speicherdauer: Bis zur Bearbeitung und anschließenden Löschung.

12. Newsletter

Auf unserer Website können Sie sich für unseren Newsletter anmelden. Dabei erheben wir Ihre E-Mail-Adresse, die Quelle der Anmeldung (z. B. Landingpage, App) sowie die gewählte Sprachkennung.

Double-Opt-In: Nach Ihrer Anmeldung senden wir Ihnen eine Bestätigungs-E-Mail mit einem einmaligen Bestätigungslink. Erst nach Klick auf diesen Link wird Ihre Adresse als bestätigt markiert und in den Versandverteiler aufgenommen. Hierzu speichern wir bis zur Bestätigung zusätzlich einen zufällig generierten Bestätigungstoken sowie den Zeitstempel der Bestätigung. Bestätigen Sie die Anmeldung nicht, wird der Eintrag regelmäßig manuell entfernt.

Der Versand erfolgt über den Dienst Resend (siehe Abschnitt 13).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, beispielsweise über den Abmeldelink in jeder E-Mail oder per Nachricht an [email protected].

Speicherdauer: Bis zum Widerruf der Einwilligung (Abmeldung); unbestätigte Anmeldungen werden regelmäßig manuell entfernt.

12a. Geschäftliche Kontaktaufnahme zu Nutzern

In Einzelfällen kontaktieren wir registrierte Nutzerinnen und Nutzer direkt – z. B. per E-Mail oder über berufliche Netzwerke (LinkedIn, Xing) – wenn aufgrund ihres beruflichen Kontextes ein konkreter Bezug zu PathSweeper besteht. Mögliche Anlässe sind insbesondere Kooperations- und Partnerschaftsanfragen, Sponsoring, gezielte Produktrückfragen, Einladungen zu Beta-Programmen oder Fallstudien sowie individuelle Angebote (z. B. erweiterte Lizenzen für Großprojekte).

Verarbeitet werden dabei ausschließlich die im Rahmen der Registrierung ohnehin vorhandene E-Mail-Adresse sowie ggf. öffentlich verfügbare berufliche Informationen (z. B. Name und Rolle aus dem beruflichen Netzwerkprofil).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zielgerichteten geschäftlichen Ansprache, an der Weiterentwicklung unseres Produkts sowie am Aufbau von Kooperationen mit Organisationen, die zu unserem Anwendungsfeld passen).

Eine Verwendung dieser Daten für allgemeine Newsletter- oder Massenwerbung erfolgt ausdrücklich nicht. Hierfür benötigen wir Ihre gesonderte Einwilligung (siehe Abschnitt 12).

Widerspruchsrecht: Sie können dieser Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen (Art. 21 DSGVO) – formlos per E-Mail an [email protected]. Nach einem Widerspruch werden wir Sie nicht erneut auf diesem Wege kontaktieren.

13. E-Mail-Versand (Resend)

Für den Versand transaktionaler E-Mails (Passwort-Reset, Kontobestätigung) sowie des Newsletters nutzen wir den Dienst Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Beim E-Mail-Versand wird Ihre E-Mail-Adresse an Resend übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails als Teil der Vertragserfüllung); Art. 6 Abs. 1 lit. a DSGVO (Newsletter auf Basis Ihrer Einwilligung).

Drittlandtransfer: Resend hat seinen Sitz in den USA. Die Datenübermittlung wird durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.

Weitere Informationen: Resend Datenschutzerklärung.

14. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen beim Kauf eines Projekt-Passes nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe ist ein in Irland lizenziertes E-Geld-Institut und wird durch die Central Bank of Ireland beaufsichtigt.

Bei einem Kauf werden folgende Daten an Stripe übermittelt:

• Ihre E-Mail-Adresse (Rechnungs- bzw. Kontakt-E-Mail)
• Betrag, Währung und Verwendungszweck
• Technische Metadaten zur Zuordnung der Zahlung zu Ihrem Projekt (Projekt-ID, Sprachkennung)
• Falls bereits hinterlegt: Firmenname, Rechnungsanschrift und Umsatzsteuer-Identifikationsnummer (Vorbefüllung der Rechnungsfelder im Stripe-Checkout)
• Die für die gewählte Zahlungsart erforderlichen Daten (z. B. Kartendaten, Bank- oder PayPal-Daten) – diese werden direkt von Stripe erhoben und verarbeitet. PathSweeper erhält und speichert diese Daten nicht.

Stripe-Checkout zeigt Ihnen unsere AGB im Bezahlvorgang erneut zur ausdrücklichen Bestätigung an (consent_collection.terms_of_service). Das Ergebnis dieser zweiten Bestätigung wird über unseren Webhook in das AGB-Einwilligungsprotokoll (Abschnitt 7a) zurückgeschrieben und – sofern Sie damit eine neuere AGB-Fassung angenommen haben – auf Ihrem Nutzerkonto aktualisiert. Eine bereits akzeptierte neuere Version wird dabei nie überschrieben.

Beim ersten Kauf legen wir bei Stripe einen Kunden-Datensatz an und speichern die zugehörige Stripe-Kunden-ID auf Ihrem Nutzerkonto, damit Folgekäufe denselben Datensatz wiederverwenden und bereits eingegebene Rechnungsdaten (Adresse, USt-IdNr.) automatisch vorbelegt werden.

Die im Checkout angegebene E-Mail-Adresse verwenden wir darüber hinaus, um Ihnen nach erfolgreichem Kauf die Rechnung als PDF zuzusenden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bezahlung und Rechnungsstellung).

Auftragsverarbeitung / Verantwortlichkeit: Stripe handelt für die eigentliche Zahlungsabwicklung als eigenständig Verantwortlicher im Sinne der DSGVO (insbesondere zur Erfüllung geldwäsche-, betrugs- und aufsichtsrechtlicher Pflichten). Im Übrigen besteht ein Vertrag gemäß Art. 28 DSGVO.

Drittlandtransfer:Stripe Payments Europe Ltd. verarbeitet Zahlungsdaten innerhalb der EU. Stripe setzt eigene Unterauftragsverarbeiter ein, die im Rahmen einzelner Zahlungsarten teilweise außerhalb der EU ansässig sein können (z. B. internationale Kartennetzwerke sowie die Konzernmutter Stripe, Inc. in den USA); diese Übermittlungen sind durch geeignete Garantien (insbesondere Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende Maßnahmen) abgesichert. Details hierzu finden Sie in der Datenschutzerklärung von Stripe.

Speicherdauer:Stripe speichert personenbezogene Daten nicht länger als vorgeschrieben oder, falls keine solche vorgeschriebene Frist gilt, nicht länger als für die Erfüllung der jeweiligen Zwecke unbedingt erforderlich ist. Als Finanzinstitut ist Stripe nach geltendem Recht in den meisten Fällen verpflichtet, zahlungsbezogene Daten (z. B. zur Vertragserfüllung, zur Abwicklung von Zahlungen oder zur Kundenprüfung) über mehrere Jahre aufzubewahren. Bei PathSweeper bewahren wir Rechnungsdaten gemäß § 147 AO und § 257 HGB für 10 Jahre auf.

Weitere Informationen: Datenschutzerklärung von Stripe.

14a. Rechnungsstellung (ZUGFeRD/Factur-X)

Für jeden Kauf erstellen wir eine umsatzsteuerlich konforme Rechnung als hybrides PDF nach dem Standard ZUGFeRD BASIC / Factur-X (PDF/A-3b). Die maschinenlesbaren Rechnungsdaten werden zusätzlich als XML in das PDF eingebettet.

Hierfür verarbeiten und speichern wir auf unseren Servern (PocketBase, gehostet bei Hetzner) folgende Daten:

• Käuferstatus: Privatperson oder Unternehmen (buyerType)
• Bei Unternehmen: Firmenname, vollständige Rechnungsanschrift (Straße, PLZ, Ort, Land); bei Privatpersonen: Name und Anschrift soweit erforderlich
• Sofern angegeben: Umsatzsteuer-Identifikationsnummer (USt-IdNr./VAT-ID)
• Steuerkonstellation (taxScenario): §19-Kleinunternehmer, EU-Reverse-Charge oder Nicht-EU – ermittelt aus Käuferstatus, Land und USt-IdNr.
• Rechnungsnummer, Rechnungsdatum, Leistungsbeschreibung, Nettobetrag, ggf. Umsatzsteuersatz und -betrag, Bruttobetrag
• Das erzeugte Rechnungs-PDF (mit eingebetteten XML-Rechnungsdaten), abgelegt im Dateispeicher von PocketBase

Nach dem Kauf erhalten Sie von uns eine E-Mail (Versand über Resend, siehe Abschnitt 13) mit Rechnungsnummer, Betrag und einem Link zum Download Ihrer Rechnung im eingeloggten Bereich „Rechnungen“. Die Rechnungs-PDF selbst wird aus Sicherheitsgründen nicht als Anhang versendet, sondern steht dort jederzeit zum Abruf bereit. Wir nutzen diese Daten ausschließlich zur Erstellung, zum Versand, zur Aufbewahrung und zur ggf. erforderlichen Korrektur der Rechnung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Rechnungsstellung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gemäß § 14 UStG, § 14a UStG, § 147 AO und § 257 HGB).

Speicherdauer: Rechnungs- und Buchhaltungsdaten einschließlich des Rechnungs-PDFs bewahren wir gemäß § 147 AO und § 257 HGB für 10 Jahre auf. Diese gesetzliche Aufbewahrungspflicht überwiegt einem Löschanspruch nach Art. 17 Abs. 1 DSGVO; nach Ablauf werden die Daten gelöscht.

15. Satellitenkarten (Mapbox)

PathSweeper bietet die Möglichkeit, Satellitenbilder als Projekthintergrund zu laden. Für die interaktive Standortauswahl nutzen wir Mapbox GL JS und die Mapbox Geocoding API, für den finalen Import des Kartenausschnitts die Mapbox Static Images API der Mapbox, Inc., 740 15th Street NW, 5th Floor, Washington, DC 20005, USA.

Beim Öffnen der Standortauswahl verbindet sich Ihr Browser direkt mit Mapbox-Servern, um Kartenkacheln und Suchvorschläge zu laden. Dabei werden technisch notwendige Daten (insbesondere IP-Adresse, User-Agent, angefragte Kartenausschnitte und Suchanfragen) an Mapbox übermittelt. Der eigentliche Import des ausgewählten Ausschnitts erfolgt ausschließlich serverseitig; dabei werden nur Koordinaten und Zoomstufe übermittelt – keine personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion).

Mapbox, Inc. ist ein US-amerikanisches Unternehmen. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs).

Weitere Informationen: Mapbox Datenschutzerklärung.

16. Webanalyse (OpenPanel – selbst gehostet)

Zur Verbesserung unserer Anwendung setzen wir die Open-Source-Analysesoftware OpenPanel ein. Die Analysesoftware wird vollständig auf unseren eigenen Servern bei Hetzner in Deutschland betrieben. Es werden keine Daten an Dritte weitergegeben.

Folgende Daten werden erfasst:

• Nutzungsereignisse (z. B. Projekt erstellt, Export durchgeführt, Werkzeug gewechselt, Seitenaufrufe, Newsletter-Anmeldung)
• Sitzungsdaten (Sitzungs-ID, Dauer, Zeitpunkt der letzten Aktivität)
• Geräteinformationen (Browser-Typ, Betriebssystem, Bildschirmgröße)
• Spracheinstellung und allgemeine Nutzungspräferenzen (z. B. bevorzugtes Fahrzeug)
• Marketing-Attribution: UTM-Parameter (utm_source, utm_medium, utm_campaign, utm_term, utm_content) aus dem Einstiegslink, sofern in der URL enthalten, sowie der Referrer und Pfad der ersten Sitzung. Diese Daten werden lokal im Browser (localStorage) gespeichert und bei Ereignissen an unsere eigene Analyse-Instanz übermittelt, um den Erfolg von Marketing-Kanälen auszuwerten.

Es werden keine IP-Adressen gespeichert und keine Daten an externe Analysedienste übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bedarfsgerechten Gestaltung und Optimierung unserer Anwendung).

17. Lokale Speicherung (localStorage / sessionStorage)

Wir verwenden den lokalen Speicher Ihres Browsers (localStorage und sessionStorage) für folgende Zwecke:

Die in dieser Tabelle genannten Daten verbleiben technisch in Ihrem Browser. Die Marketing-Attributionsdaten werden bei Ereignissen zusätzlich an unsere eigene, in Deutschland gehostete Analyse-Instanz (siehe Abschnitt 16) übermittelt und nicht an Dritte weitergegeben.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Speicherung im Endgerät); Art. 6 Abs. 1 lit. f DSGVO (funktionale Speicherung im berechtigten Interesse).

18. Cookies

PathSweeper setzt keine eigenen Cookies. Die Authentifizierung erfolgt über den lokalen Speicher des Browsers (localStorage), nicht über Cookies.

Durch den Einsatz von Cloudflare (siehe Abschnitt 6) können jedoch technisch notwendige Cookies gesetzt werden (z. B. __cf_bm zur Bot-Erkennung). Diese Cookies enthalten keine personenbezogenen Daten und dienen ausschließlich der Sicherheit.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Cookies sind ohne Einwilligung zulässig).

19. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

Mit allen Auftragsverarbeitern wurden entsprechende Verträge gemäß Art. 28 DSGVO geschlossen.

20. Datenübermittlung in Drittländer

Im Rahmen der unter Abschnitt 19 genannten Dienste kann eine Übermittlung personenbezogener Daten in die USA stattfinden. Die Übermittlung wird wie folgt abgesichert:

• Cloudflare: Zertifizierung unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO) sowie ergänzende Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Resend: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Die Datenverarbeitung durch Mapbox, Inc. erfolgt in den USA. Beim Öffnen der Standortauswahl werden Verbindungsdaten (insbesondere IP-Adresse und Suchanfragen) übermittelt; der serverseitige Import des Kartenausschnitts übermittelt nur Koordinaten und Zoomstufe. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln.

Stripe Payments Europe Ltd. hat ihren Sitz in Irland (EU). Stripe kann jedoch im Rahmen einzelner Zahlungsarten sowie konzernintern (Stripe, Inc., USA) Unterauftragsverarbeiter außerhalb der EU einsetzen (z. B. internationale Kartennetzwerke); diese Übermittlungen werden von Stripe durch geeignete Garantien gemäß Art. 46 DSGVO (insbesondere Standardvertragsklauseln) abgesichert (siehe Abschnitt 14).

21. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

22. Rechte der betroffenen Personen

Ihnen stehen nach der DSGVO folgende Rechte zu. Zur Ausübung dieser Rechte wenden Sie sich bitte an [email protected]:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln. Ihre Projektdaten können jederzeit als JSON exportiert werden.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung (z. B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

23. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Website: www.lda.bayern.de

24. Keine automatisierte Entscheidungsfindung

Wir nutzen keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

25. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.