Stand: 17.04.2026
Datenschutzerklärung
Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir Sie gemäß Art. 13 DSGVO über die Verarbeitung personenbezogener Daten bei der Nutzung von rechtsfest.de (nachfolgend „rechtsfest" oder „Website").
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO:
Norman Voellings
rechtsfest
Urbanização Quinta da Torre 20
8365-184 Armação de Pêra
Portugal
Telefon: +351 927 483 323
E-Mail: kontakt@rechtsfest.de
Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO gesetzlich nicht verpflichtend zu bestellen.
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Erbringung unserer Leistungen (Website-Audit, Lösungsanleitung, Fix-Paket, Wartungs-Abos) oder zur Abwicklung von Bezahlvorgängen erforderlich ist — oder soweit eine gesetzliche Pflicht bzw. Ihre Einwilligung vorliegt.
3. Zwecke der Verarbeitung und Rechtsgrundlagen
3.1 Aufruf der Website & Server-Logs
Beim Aufruf der Website werden technisch notwendige Daten an unseren Server übermittelt: IP-Adresse (gekürzt), Datum/Uhrzeit der Anfrage, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer, User-Agent.
Zweck: Auslieferung der Inhalte, Gewährleistung der Systemsicherheit, Fehleranalyse, Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb).
Speicherdauer: Error-Logs max. 90 Tage, danach Löschung bzw. Anonymisierung.
3.2 Bestellung einer Leistung (Audit / Lösungsanleitung / Fix-Paket / Abo)
Zur Erfüllung unseres Vertrags mit Ihnen verarbeiten wir: Vor- und Zuname, E-Mail-Adresse, optional Firmenname und USt-Identifikationsnummer, zu prüfende Website-URL, ggf. Zugangsdaten für das Fix-Paket (Application Password oder temporärer Admin-Account bei WordPress / Shopify / Typo3 / HubSpot), Rechnungsanschrift, Zahlungsdaten (verarbeitet ausschließlich durch Stripe — siehe unten), sowie den Audit-Report und die Fix-Historie.
Zweck: Durchführung des Website-Audits, Erstellung der Lösungsanleitung, technische Umsetzung der Fixes, Rechnungsstellung, Kommunikation zur Leistungserbringung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).
Speicherdauer: Rechnungs- und Bestelldaten 10 Jahre gemäß § 257 HGB und § 147 AO. Übermittelte CMS-Zugangsdaten werden verschlüsselt (AES-256-GCM) gespeichert und unmittelbar nach Abschluss des Fix-Auftrags gelöscht.
3.3 E-Mail-Kommunikation (transaktional)
Wir versenden Bestellbestätigungen, Audit-Reports als PDF, Hinweise zum Fix-Status und Rechnungen per E-Mail.
Zweck: Abwicklung des Vertrags, Information über den Leistungsstand.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Versand-Logs 12 Monate.
3.4 Bot-Schutz
Zum Schutz vor automatisierten Anfragen (CAPTCHA) kann Cloudflare Turnstile eingesetzt werden.
Zweck: Abwehr von Bots, Missbrauchsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit).
3.5 Reichweitenmessung (Plausible Analytics, cookielos)
Wir nutzen Plausible Analytics der Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland (EU). Plausible arbeitet ohne Cookies und ohne Verarbeitung personenbezogener Daten im Sinne der DSGVO: IP-Adressen werden nicht gespeichert und kein Cross-Site-Tracking betrieben. Aggregierte Messwerte (Seitenaufrufe, Referrer, Gerätekategorie) werden gebildet, ohne dass ein Bezug zu einer identifizierbaren Person hergestellt werden kann.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unseres Angebots). Da Plausible keine Informationen auf dem Endgerät speichert oder ausliest, ist nach § 25 Abs. 1 TDDDG keine Einwilligung erforderlich. Als EU-Anbieter findet kein Drittlandtransfer statt.
3.6 USt-ID-Validierung (B2B)
Bei einer Bestellung als Unternehmen mit EU-Umsatzsteuer-ID wird Ihre USt-IdNr. zur Prüfung an das offizielle MIAS-/VIES-System der Europäischen Kommission übermittelt.
Zweck: Prüfung der Reverse-Charge-Voraussetzungen (§ 13b UStG).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.
4. Eingesetzte Dienstleister (Auftragsverarbeiter / Empfänger)
Zur Erbringung unserer Leistung setzen wir folgende Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.
| Dienst | Anbieter & Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Hosting / VPS | Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern (EU) | Webhosting, Serverbetrieb, Log-Verarbeitung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb) — AVV vorhanden. |
| Datenbank & Auth | Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 — Speicherung EU-Region Frankfurt (eu-central-1) | Speicherung Bestell-, Audit- und Account-Daten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zugriffe aus Drittländern (z. B. USA durch Supabase Inc.) möglich, abgesichert über AVV + EU-Standardvertragsklauseln (SCC). |
| Zahlungsabwicklung | Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin, Irland (EU) | Zahlungsabwicklung, Rechnungstellung, Betrugsprävention | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Fraud-Analysen kann eine Übermittlung an Stripe, Inc. (USA) erfolgen — abgesichert durch EU-US Data Privacy Framework (DPF) und EU-SCC. |
| Transaktionale E-Mails | Resend (Delaware, Inc.), 2261 Market Street #5039, San Francisco, CA 94114, USA | Versand von Bestellbestätigungen, Audit-Reports, Rechnungen | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen Versand). Drittlandübermittlung abgesichert durch EU-US DPF und EU-SCC. |
| Bot-Schutz (CAPTCHA) | Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA | Turnstile-CAPTCHA zur Abwehr automatisierter Anfragen | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit). Drittlandübermittlung abgesichert durch EU-US DPF und EU-SCC. |
| Reichweitenmessung | Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland (EU) | Cookielose, anonyme Reichweitenmessung — keine IP-Adressen gespeichert, kein Cross-Site-Tracking | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Angebotsoptimierung). EU-Anbieter, kein Drittlandtransfer. |
| USt-ID-Validierung | Europäische Kommission, VIES / MIAS, Rue de la Loi 200, 1049 Brüssel, Belgien | Prüfung EU-Umsatzsteuer-IDs (B2B-Bestellungen) | Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO |
| KI-Audit-Infrastruktur | Anthropic PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA — trust.anthropic.com | Automatisierte Audit-Durchführung. Für das Fix-Paket (Track A) werden verschlüsselte CMS-Zugangsdaten an Anthropic übermittelt (AES-256-GCM, nur für die Dauer der Verarbeitung). | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittland USA: abgesichert durch EU-US Data Privacy Framework (DPF) und EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. |
5. Übermittlung in Drittländer
Übermittlungen personenbezogener Daten in die USA (Resend, Cloudflare, teilweise Stripe) erfolgen auf Grundlage des durch die Europäische Kommission am 10.07.2023 beschlossenen EU-US Data Privacy Framework (DPF) und ergänzend auf Grundlage der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Die genannten Empfänger sind — soweit gelistet — unter dem DPF zertifiziert. Supabase verarbeitet Daten in der EU-Region Frankfurt; der Firmensitz in Singapur ist für die Datenverarbeitung rechtlich unerheblich, da die Speicherung in der EU erfolgt und ein AVV einschließlich SCC besteht.
6. Cookies und vergleichbare Technologien
Wir setzen ausschließlich technisch notwendige Cookies ein:
- Session-Cookie (Warenkorb/Checkout-Zustand, Auth) — Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.
- Stripe-Sicherheitscookie (Betrugsabwehr im Zahlungsprozess) — Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.
Ein Einwilligungsbanner nach § 25 Abs. 1 TDDDG ist nicht erforderlich, da keine nicht-notwendigen Cookies gesetzt und keine personenbezogenen Tracking-Tools genutzt werden. Plausible arbeitet cookielos.
7. Schriften (Fonts)
Wir verwenden die Schriften Inter und JetBrains Mono. Diese werden lokal über die Next.js-Font-Optimierung (next/font) bzw. aus unserem eigenen Hosting ausgeliefert. Es erfolgt keine Einbindung externer Google Fonts und damit auch keine Übertragung von IP-Adressen an Google (vgl. LG München, Urteil vom 20.01.2022 — 3 O 17493/20).
8. Speicherdauer (Übersicht)
- Bestell- und Rechnungsdaten: 10 Jahre (§ 257 HGB, § 147 AO)
- Audit-Reports und Fix-Protokolle: Dauer des Vertragsverhältnisses + 10 Jahre Aufbewahrungsfrist, soweit rechnungsrelevant
- CMS-Zugangsdaten (Fix-Paket): bis Abschluss des Fix-Auftrags
- Transaktionale E-Mail-Logs: max. 12 Monate
- Server-/Error-Logs: max. 90 Tage
9. Ihre Rechte als betroffene Person
Sie haben uns gegenüber folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
- Recht auf Freistellung von einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO) — eine solche findet nicht statt.
Haben Sie uns eine Einwilligung erteilt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an kontakt@rechtsfest.de.
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
In Deutschland finden Sie die für Sie zuständige Aufsichtsbehörde über die Datenschutzkonferenz:
www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html
11. Pflicht zur Bereitstellung
Die Bereitstellung der für die Vertragsdurchführung erforderlichen Daten (insbesondere Name, E-Mail-Adresse, Rechnungsdaten, Website-URL) ist vertraglich notwendig. Ohne diese Daten können wir keinen Vertrag mit Ihnen abschließen und keine Leistung erbringen.
12. Aktualität dieser Erklärung
Wir überprüfen diese Datenschutzerklärung regelmäßig und passen sie an, wenn Änderungen an unseren Verarbeitungen oder Dienstleistern dies erforderlich machen.