Verantwortlicher im Sinne der DSGVO und des TTDSG ist:
[STRASSE UND HAUSNUMMER]
[PLZ] [ORT], Deutschland
E-Mail: [E-MAIL]
Telefon: [TELEFON]
Weitere Pflichtangaben gemäß § 5 TMG (Telemediengesetz) findest du in unserem Impressum.
Einen Datenschutzbeauftragten sind wir gesetzlich nicht zur Benennung verpflichtet, sofern wir als kleines Unternehmen keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vornehmen und in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Sollte sich dies ändern, wird ein Datenschutzbeauftragter benannt und diese Erklärung entsprechend aktualisiert.
Bei der Registrierung als Kunde erheben wir folgende Daten:
Bei der Registrierung als Unternehmen erheben wir:
Als Betreiber der Plattform haben wir über ein passwortgeschütztes Verwaltungspanel Zugriff auf folgende Daten aller registrierten Nutzer und Unternehmen:
Dieser Zugriff erfolgt ausschließlich zu folgenden Zwecken:
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung als Plattformbetreiber) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Qualitätssicherung der Plattform). Passwörter sind für uns zu keiner Zeit einsehbar.
Wir verwenden localStorage und sessionStorage deines Browsers für folgende Zwecke (näheres in Abschnitt 3):
Diese Daten verlassen deinen Browser nicht, sofern sie nicht für eine der nachfolgend beschriebenen Funktionen an unsere Server übertragen werden.
Bei jeder Nutzung unserer App werden automatisch technische Verbindungsdaten an unseren Authentifizierungsserver (Render.com) sowie an die Supabase-Datenbank übermittelt. Diese sogenannten Server-Logs können enthalten:
Diese Daten sind technisch notwendig, um die App zu betreiben und Fehler zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Sicherheit). Protokolldaten werden nach spätestens 30 Tagen automatisch gelöscht, sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert.
Wenn du uns über das Kontaktformular auf der Kontaktseite schreibst, erheben wir folgende Daten:
Diese Daten verwenden wir ausschließlich zur Bearbeitung deiner Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Nutzern) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage vertragsrelevant ist. Die Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Wenn du die optionale Google-Anmeldefunktion nutzt, übermitteln wir folgende Daten an Google und erhalten diese zurück:
Näheres zur Google-Anmeldung findest du in Abschnitt 5 unter „Google Identity Services".
Gemäß § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) ist für das Speichern von und den Zugriff auf Informationen im Endgerät des Nutzers entweder dessen Einwilligung oder ein gesetzlich anerkannter Ausnahmetatbestand erforderlich.
localStorage und sessionStorage – browser-eigene Speichermechanismen, die dieselben rechtlichen Anforderungen wie Cookies erfüllen müssen.
Folgende Daten werden ohne gesonderte Einwilligung gespeichert, da sie technisch unbedingt erforderlich sind, um die von dir ausdrücklich angeforderten Dienste zu erbringen:
Folgende Daten werden nur gespeichert, wenn du dies ausdrücklich anforderst:
Darüber hinaus können Drittanbieter, die in dieser App eingebunden sind (insbesondere Google Identity Services und OpenStreetMap/Leaflet), beim Laden ihrer Inhalte eigene Speichermechanismen auf deinem Gerät nutzen. Näheres dazu findest du in Abschnitt 5.
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:
Grundsatz der Zweckbindung: Deine personenbezogenen Daten werden nur für die Zwecke verwendet, für die sie erhoben wurden. Eine Weiterverarbeitung für andere Zwecke findet nicht statt, soweit keine gesetzliche Grundlage dies ausdrücklich erlaubt (Art. 5 Abs. 1 lit. b DSGVO).
Wir setzen folgende Dienstleister ein, an die personenbezogene Daten übermittelt werden können:
Anbieter: Supabase Inc., 970 Tresser Blvd, Stamford, CT 06901, USA
Zweck: Speicherung von Unternehmensprofildaten (Name, Adresse, Öffnungszeiten, Logo, Passwort-Hashes) in einer PostgreSQL-Datenbank
Verarbeitete Daten: Alle Unternehmensregistrierungsdaten sowie Verbindungsmetadaten (IP-Adressen, Zeitstempel)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer in die USA auf Basis von Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO)
Auftragsverarbeitungsvertrag (AVV): abgeschlossen gemäß Art. 28 DSGVO
Anbieter: Render Services, Inc., 525 Brannan Street Suite 300, San Francisco, CA 94107, USA
Zweck: Hosting unseres Authentifizierungsservers für Registrierung, Anmeldung und Versand von 2FA-Codes
Verarbeitete Daten: E-Mail-Adresse, Passwort-Hash, temporäre 2FA-Codes (max. 10 Minuten), IP-Adressen und Server-Protokolldaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer in die USA auf Basis von Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO)
Auftragsverarbeitungsvertrag (AVV): abgeschlossen gemäß Art. 28 DSGVO
Anbieter: Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich
Zweck: Transaktionaler E-Mail-Versand – Bestätigungs-E-Mails und 2-Faktor-Authentifizierungscodes
Verarbeitete Daten: E-Mail-Adresse des Empfängers, Inhalt der versendeten E-Mail
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Anbieter in der EU (Frankreich), kein Drittlandtransfer
Auftragsverarbeitungsvertrag (AVV): abgeschlossen gemäß Art. 28 DSGVO
Anbieter der Kartendaten: OpenStreetMap Foundation (OSMF), St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich
Zweck: Darstellung einer interaktiven Karte in der App, auf der teilnehmende Unternehmen in deiner Nähe angezeigt werden. Kartenkacheln werden direkt von den Servern von OpenStreetMap geladen.
Verarbeitete Daten: IP-Adresse deines Geräts (technisch bedingt beim Laden der Kartenkacheln), aufgerufene Kartenausschnitte
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer ortsbezogenen Kartenfunktion); § 25 Abs. 2 Nr. 2 TTDSG für Informationen auf dem Endgerät
Drittlandtransfer: Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) – kein besonderer Schutzmechanismus erforderlich.
Datenschutzerklärung von OpenStreetMap →
Die JavaScript-Bibliothek Leaflet.js wird von einem CDN (unpkg.com) geladen. Dabei wird deine IP-Adresse an den CDN-Anbieter übertragen. Die Bibliothek selbst überträgt keine Nutzerdaten.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (verantwortlich für Nutzer in der EU/EWR); Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Zweck: Optionale Anmeldung mit einem bestehenden Google-Konto. Wenn du diese Funktion nutzt, authentifiziert Google deine Identität und übermittelt uns deinen Google-Kontonamen und deine E-Mail-Adresse.
Verarbeitete Daten: Google-Konto-E-Mail, Anzeigename, ggf. Profilbild-URL; beim Laden der Google-Bibliothek auch IP-Adresse und User-Agent
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kontoerstellung und Login); § 25 Abs. 2 Nr. 2 TTDSG für technisch notwendige Speicherungen
Drittlandtransfer: Google LLC ist unter dem EU-US-Datenschutzrahmen (Data Privacy Framework, DPF) zertifiziert – Rechtsgrundlage Art. 45 DSGVO (Angemessenheitsbeschluss).
Hinweis: Die Einbindung von accounts.google.com/gsi/client erfolgt bereits beim Laden der Anmelde-Seite. Google kann dadurch technische Daten (IP-Adresse) erhalten, auch wenn du die Google-Anmeldung nicht nutzt.
Mit unseren Dienstleistern Supabase, Render und Brevo haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Diese Verträge verpflichten die Dienstleister:
OpenStreetMap Foundation und Google Ireland Limited sind im Rahmen der Kartenintegration bzw. des Google-Logins als eigenständige Verantwortliche anzusehen, nicht als Auftragsverarbeiter – da sie die Daten auch für eigene Zwecke verarbeiten. Die Datenverarbeitung durch diese Anbieter unterliegt deren eigenen Datenschutzerklärungen.
Supabase Inc. und Render Services Inc. haben ihren Sitz in den USA. Die USA gelten nicht als sicheres Drittland im Sinne der DSGVO (kein Angemessenheitsbeschluss für US-Unternehmen im Allgemeinen). Die Übermittlung erfolgt daher auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, die von der EU-Kommission durch Durchführungsbeschluss vom 4. Juni 2021 genehmigt wurden. Beide Anbieter haben diese SCCs unterzeichnet und sind über ihre jeweiligen Auftragsverarbeitungsverträge (DPA) daran gebunden.
Google LLC ist seit dem 10. Juli 2023 unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die EU-Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss (Art. 45 DSGVO) für DPF-zertifizierte US-Unternehmen gefasst. Für Google LLC ist die Übermittlung in die USA daher auf Basis dieses Angemessenheitsbeschlusses zulässig.
Die EU-Kommission hat für das Vereinigte Königreich am 28. Juni 2021 einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO gefasst. Datenübermittlungen an die OpenStreetMap Foundation (UK) sind daher ohne besondere Schutzmaßnahmen zulässig.
Brevo (Sendinblue SAS) ist in Frankreich ansässig und unterliegt vollständig der DSGVO als EU-Mitgliedstaat – kein Drittlandtransfer erforderlich.
Nach Ablauf der jeweils angegebenen Fristen werden die Daten routinemäßig gelöscht, sofern sie nicht zur Erfüllung eines Vertrags oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden.
Du hast folgende Rechte gegenüber uns bezüglich deiner personenbezogenen Daten (Art. 15–22, Art. 77 DSGVO). Diese Rechte können dir gegenüber eingeschränkt werden, soweit sie die Rechte anderer Personen oder gesetzliche Verpflichtungen beeinträchtigen würden.
Beispiele je nach Bundesland:
Eine vollständige Übersicht aller Landesbehörden findest du beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): bfdi.bund.de
Zur Ausübung deiner Rechte wende dich per E-Mail an: [E-MAIL]
Wir beantworten deine Anfrage innerhalb von 30 Tagen nach Eingang (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann diese Frist auf bis zu 3 Monate verlängert werden; wir informieren dich in diesem Fall rechtzeitig.
Wir setzen technische und organisatorische Sicherheitsmaßnahmen (TOMs) ein, um deine Daten vor Verlust, Manipulation, unbefugtem Zugriff und unbefugter Weitergabe zu schützen:
Diese Maßnahmen werden regelmäßig überprüft und dem aktuellen Stand der Technik angepasst. Bei einem Datenschutzvorfall, der deine Rechte und Freiheiten voraussichtlich beeinträchtigt, werden wir dich gemäß Art. 34 DSGVO unverzüglich informieren.
Wir verarbeiten personenbezogene Daten gemäß den Grundsätzen des Art. 5 DSGVO:
Unsere App richtet sich nicht an Kinder unter 16 Jahren. Gemäß Art. 8 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten nicht zulässig. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.
Sollte uns bekannt werden, dass ein Kind unter 16 Jahren uns Daten übermittelt hat, werden diese unverzüglich gelöscht. Erziehungsberechtigte, die Kenntnis davon haben, dass ihr Kind uns Daten übermittelt hat, können sich unter der in Abschnitt 1 genannten E-Mail-Adresse an uns wenden.
Wir nutzen keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt. Insbesondere werden keine Nutzerprofile für Werbezwecke, Scoring oder ähnliche Anwendungen erstellt.
Wir verkaufen deine personenbezogenen Daten nicht und geben sie nicht zu Werbezwecken an Dritte weiter. Eine Weitergabe an Dritte erfolgt ausschließlich:
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version ist in der App abrufbar. Das Datum der letzten Aktualisierung ist in der Kopfzeile angegeben.
Bei wesentlichen Änderungen, die deine Rechte als betroffene Person berühren, werden wir dich per E-Mail informieren oder beim nächsten Login auf die Änderungen hinweisen. Unwesentliche redaktionelle Änderungen bedürfen keiner gesonderten Benachrichtigung.
Bei Fragen zum Datenschutz, zur Ausübung deiner Rechte oder zu unserer Datenschutzerklärung erreichst du uns unter:
E-Mail: [E-MAIL]
Telefon: [TELEFON]
Adresse: [STRASSE], [PLZ] [ORT]
Alternativ kannst du unser Kontaktformular verwenden.
Wir beantworten deine Anfrage kostenlos innerhalb von 30 Tagen nach Eingang (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen kann diese Frist um weitere zwei Monate verlängert werden; wir informieren dich in diesem Fall innerhalb der ersten 30 Tage über die Verlängerung und deren Gründe.