Datenschutzerklärung
Stand: 16.03.2026
1. Verantwortlicher
Thomas Tischner IT Systems
Georg-Strobel-Straße 54
90489 Nürnberg
E-Mail: info@holzbau-konfigurator.de
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres SaaS-Dienstes erforderlich ist. Nachfolgend informieren wir Sie über Art, Umfang und Zweck der Datenverarbeitung.
Besonderheit: Endkunden-Daten (Lead-Daten wie Name, E-Mail, Telefon, PLZ, Konfiguration) werden von uns nicht gespeichert. Diese Daten werden ausschließlich per E-Mail an den jeweiligen Holzbaubetrieb (Tenant) weitergeleitet und verbleiben nicht in unserer Datenbank.
3. Datenverarbeitung im Einzelnen
a) Website-Besuch (Server-Logs)
Bei Aufruf unserer Website erhebt der Server automatisch:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- HTTP-Methode und aufgerufene URL
- HTTP-Statuscode und Antwortgröße
Die Logs dienen der Sicherstellung des Betriebs, der Erkennung von Missbrauch und der Analyse bei Sicherheitsvorfällen. Server-Logs werden an Grafana Cloud (siehe Abschnitt 5) übermittelt und dort automatisch nach 14 Tagen gelöscht. Es werden keine Request-Bodies, Passwörter oder API-Schlüssel geloggt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung des Dienstes und Erkennung von Angriffen).
b) Registrierung und Abonnement (Tenant-Daten)
Bei der Registrierung als Holzbaubetrieb erheben wir:
- Firmenname
- E-Mail-Adresse
Diese Daten werden in unserer Datenbank gespeichert und für die Vertragsdauer vorgehalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
c) Zahlungsabwicklung über Stripe
Die Zahlungsabwicklung erfolgt über Stripe, Inc. Wir speichern lediglich eine Stripe-Kunden-ID und den Abonnement-Status in unserer Datenbank. Zahlungsdaten (Kreditkartennummer, Bankverbindung) werden ausschließlich von Stripe verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Weitere Informationen: Stripe Datenschutzerklärung.
d) Konfigurator-Nutzung durch Endkunden
Wenn Endkunden den eingebetteten 3D-Konfigurator nutzen und eine Anfrage absenden, wird ein Verifizierungscode per E-Mail gesendet. Dabei werden temporär gespeichert:
- E-Mail-Adresse des Endkunden
- 6-stelliger Verifizierungscode
Diese Daten werden automatisch nach 10 Minuten gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Vermeidung von Spam-Anfragen).
e) Lead-Weiterleitung per E-Mail
Nach erfolgreicher Verifizierung werden die Anfragedaten (Name, E-Mail, Telefon, PLZ, Konfiguration, Preisberechnung) ausschließlich per E-Mail an den jeweiligen Holzbaubetrieb weitergeleitet. Diese Daten werden nicht in unserer Datenbank gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Holzbaubetriebs an der Entgegennahme von Kundenanfragen).
f) Kontaktformular
Wenn Sie unser Kontaktformular nutzen, werden Ihre Angaben (Name, E-Mail, ggf. Firma, Nachricht) ausschließlich per E-Mail an uns weitergeleitet und nicht in einer Datenbank gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
g) Admin-Login (Magic-Link)
Für den Login in den Verwaltungsbereich wird ein einmaliger Magic-Link per E-Mail versendet. Der zugehörige Token wird in unserer Datenbank gespeichert und ist einmalig nutzbar mit einer Gültigkeit von 30 Minuten. Nach Verifizierung wird ein JWT als httpOnly-Cookie gesetzt (Gültigkeit: 24 Stunden).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies:
- admin_token — httpOnly-Cookie für die Admin-Sitzung (24h)
- superadmin_token — httpOnly-Cookie für die Super-Admin-Sitzung (24h)
Zusätzlich wird im localStorage die Theme-Präferenz (Hell/Dunkel) gespeichert. Dies hat keinen Personenbezug.
Wir verwenden keine Tracking-Cookies, Analytics-Dienste oder Werbepixel.
Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch unbedingt erforderliche Speicherung — keine Einwilligung nötig).
5. Empfänger und Drittanbieter
| Empfänger | Zweck | Datenschutz-Grundlage |
|---|---|---|
| Stripe, Inc. (USA) | Zahlungsabwicklung | EU-US Data Privacy Framework (DPF) |
| SMTP-Provider | E-Mail-Versand (Verifizierung, Magic-Links, Lead-Weiterleitung) | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO |
| Grafana Labs (USA/EU) | Log-Aggregation und Monitoring (Server-Logs, anonymisierte Nutzungsmetriken) | Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO |
Es werden keine Daten an Werbenetzwerke, Analytics-Dienste oder sonstige Dritte weitergegeben.
6. Speicherdauer
| Daten | Speicherdauer |
|---|---|
| Tenant-Firmendaten | Vertragsdauer + gesetzl. Aufbewahrungsfristen |
| Stripe-Kunden-ID & Abo-Status | Vertragsdauer + gesetzl. Aufbewahrungsfristen |
| Verifizierungscodes (Endkunden) | 10 Minuten (automatische Löschung) |
| Login-Tokens (Magic-Links) | 30 Minuten (einmalig nutzbar) |
| JWT-Session-Cookies | 24 Stunden |
| Lead-Daten (Endkunden-Anfragen) | Nicht gespeichert — nur E-Mail-Transit |
| Kontaktformular-Daten | Nicht gespeichert — nur E-Mail-Transit |
| Server-Logs (IP, URL, Zeitstempel) | 14 Tage (automatische Löschung) |
7. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
8. Beschwerderecht bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Sie können sich hierzu an die Aufsichtsbehörde Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.
Hinweis: Diese Datenschutzerklärung ist ein Entwurf und sollte vor Veröffentlichung von einem Rechtsanwalt geprüft werden. Platzhalter in eckigen Klammern müssen mit den echten Betreiberdaten ersetzt werden.