Datenschutzerklärung
Diese Erklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb von PrepLink — gemäß Art. 13 Datenschutz-Grundverordnung (DSGVO).
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung ist der im Impressum genannte Anbieter.
2. Welche Daten werden verarbeitet?
Bei der Nutzung von PrepLink fallen die folgenden Datenkategorien an:
- Account-Daten der Kanzlei-Nutzer: E-Mail, Name, gehashtes Passwort (bcrypt via Better Auth).
- Firmen-Daten, die der Nutzer eingibt: Firmenname, URL-Slug, Adresse, Parkempfehlung, Einlass-Hinweis sowie optional WLAN-Name und WLAN-Passwort.
- Vorgangs-/Termindaten: Name des Besuchers, E-Mail-Adresse (sofern eingegeben), Termin-Datum, vom Besucher hochgeladene Dokumente, interne Notizen.
- Parkkosten-Erstattung (optional): Foto/Scan des Parkbelegs, Betrag, IBAN/BIC und Kontoinhaber zur Überweisung.
- E-Signaturen (optional): wenn die Funktion aktiv ist, werden zu signierende PDFs sowie das fertig signierte Dokument inklusive Audit-Trail (IP, Zeitstempel) gespeichert.
- Technische Logs: Server-Logs (systemd-journal) und Web-Server-Zugriffslog (Caddy) mit IP-Adresse, Zeitstempel, HTTP-Methode, URL, Status, User-Agent.
- Session-Cookie: ein essentielles Cookie der Better-Auth-Bibliothek zur Authentifizierung eingeloggter Kanzlei-Nutzer.
3. Zwecke der Verarbeitung
- Bereitstellung der PrepLink-Funktionen (Vorgang-Verwaltung, Dokumenten-Sammlung, Parkerstattung, E-Signatur).
- Authentifizierung und Zugriffskontrolle der Kanzlei-Nutzer.
- Versand transaktionaler E-Mails an Mitarbeiter und Besucher.
- Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. GoBD bei Parkbelegen).
- Betriebssicherheit und Missbrauchs-Erkennung (Logs).
4. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung gegenüber Kanzlei-Nutzern bzw. vorvertragliche Maßnahmen.
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Betriebssicherheit, Missbrauchs-Erkennung und techn. Logs.
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, wo Besucher freiwillig Daten eingeben (z. B. Parkbeleg, IBAN).
- Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. steuerrechtliche Aufbewahrung).
5. Aufbewahrungsdauer
- Account und Firmen-Daten: bis zur Löschung durch den Nutzer bzw. Beendigung der Nutzung.
- Vorgangs-/Termindaten und Dokumente: gemäß steuer- und handelsrechtlicher Pflichten bis zu 10 Jahre (GoBD-konform). Eine automatische Löschung ist derzeit nicht implementiert und geplant.
- Server- und Zugriffs-Logs: bis zu 30 Tage; das Caddy-Zugriffslog rotiert mit 50 MiB pro Datei x 10 (maximal ca. 500 MB).
6. Auftragsverarbeiter und Drittanbieter
Zur Erbringung der Dienste werden folgende Auftragsverarbeiter eingesetzt. Mit jedem dieser Anbieter besteht oder wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.
Hetzner Online GmbH — Hosting
Industriestr. 25, 91710 Gunzenhausen, Deutschland. Anwendungs- und Datenbank-Server stehen im Rechenzentrum Falkenstein (DE). Standard-AVV von Hetzner ist hinterlegt.
Resend Inc. — Transaktions-E-Mail
2261 Market Street #5039, San Francisco, CA 94114, USA. Sitz außerhalb der EU; die EU-Datenregion wird verwendet (Amazon-SES-Frankfurt-Backend). Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) bzw. ergänzender EU-Standardvertragsklauseln.
DocuSeal — E-Signatur (optional)
Wird ausschließlich der EU-Endpoint api.docuseal.eu verwendet. Personenbezogene Daten (Name, E-Mail des Unterzeichners, Signatur, IP-Adresse, Zeitstempel) werden zur Erbringung der Signatur-Funktion übertragen. Die Funktion ist nur aktiv, wenn der Kanzlei-Nutzer ein Signatur-Template einrichtet.
Cloudflare, Inc. — DNS und DDoS-Schutz
101 Townsend Street, San Francisco, CA 94107, USA. Nameserver- und perspektivisch Proxy-Schutz. Cloudflare kann technische Verbindungsmetadaten (IP, User-Agent) sehen. Datenübermittlung analog Resend.
Better Auth — Authentifizierung
Better Auth ist eine Open-Source-Bibliothek und wird selbstgehostet auf dem Hetzner-Server betrieben. Es findet keine Datenübermittlung an einen externen Anbieter statt.
7. Cookies
PrepLink setzt ausschließlich ein essentielles Session-Cookie (Better Auth), das nach dem Login die authentifizierte Sitzung des Kanzlei-Nutzers hält. Da das Cookie für den Betrieb der Seite zwingend erforderlich ist, ist hierfür gemäß § 25 Abs. 2 TTDSG keine Einwilligung erforderlich. Es werden derzeit keine Analyse-, Marketing- oder Tracking-Cookies eingesetzt.
8. Ihre Rechte (Art. 15–21 DSGVO)
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15).
- Berichtigung unrichtiger Daten (Art. 16).
- Löschung Ihrer Daten, soweit keine Aufbewahrungspflicht entgegensteht (Art. 17).
- Einschränkung der Verarbeitung (Art. 18).
- Datenübertragbarkeit in einem gängigen, maschinenlesbaren Format (Art. 20).
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses (Art. 21).
Zur Ausübung dieser Rechte genügt eine formlose Nachricht an k.schwenzfeuer@gmail.com.
9. Beschwerderecht
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig ist die Datenschutzaufsichtsbehörde Ihres Bundeslandes bzw. die des Wohnsitzes oder mutmaßlichen Verstoßorts.
10. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes und der Datenverarbeitung zu adaptieren. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.