Datenschutzerklärung

Verantwortlich für die Verarbeitung personenbezogener Daten auf KartenKosten.de ist die SmallBiz Guide GmbH, Nachtigallenweg 17, 65779 Kelkheim, eingetragen im Handelsregister des Amtsgerichts Königstein unter HRB 11926, vertreten durch den Geschäftsführer Robert Hoffmann.

Datenschutzanfragen richten Sie bitte schriftlich an die obenstehende Anschrift oder per E-Mail an datenschutz@kartenkosten.de. Wir bestätigen den Eingang Ihrer Anfrage und beantworten sie innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die SmallBiz Guide GmbH beschäftigt weniger als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 Abs. 1 BDSG). Eine Kerntätigkeit im Sinne des Art. 37 Abs. 1 lit. b oder c DSGVO liegt nicht vor.

Datenschutzanfragen werden von der Geschäftsführung beantwortet.

Ihnen stehen gegenüber dem Verantwortlichen die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
• Berichtigung unrichtiger Daten (Art. 16 DSGVO).
• Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen (Art. 17 DSGVO).
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO).
• Widerspruch gegen die Verarbeitung, soweit diese auf einem berechtigten Interesse beruht (Art. 21 DSGVO).
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung dieser Rechte genügt eine formlose Nachricht an datenschutz@kartenkosten.de.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die SmallBiz Guide GmbH ihren Sitz hat:

Beim Aufruf der Website werden technische Verbindungsdaten in Server-Logfiles erfasst: IP-Adresse, Datum und Uhrzeit des Zugriffs, übertragene Datenmenge, aufgerufene Ressource, Referrer-URL, verwendeter Browser und Betriebssystem.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der technischen Auslieferung der Website, der Abwehr von Angriffen und der Stabilität des Betriebs. Die Logs werden ausschließlich auf Servern unseres Hosting-Dienstleisters Google Ireland Ltd. (Firebase App Hosting) innerhalb der Europäischen Union verarbeitet.

SpeicherdauerMaximal 14 Tage, danach automatische Löschung.

Wenn Sie das Formular zur Konditionsanalyse ausfüllen, verarbeiten wir die von Ihnen freiwillig eingegebenen Daten, um Ihre Anfrage zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrags auf Ihre Anfrage hin).

Folgende Felder werden erfasst:

• Firma — zur Identifikation Ihres Unternehmens.
• Ansprechpartner — für die persönliche Ansprache.
• E-Mail-Adresse — für Rückfragen und die Eingangsbestätigung (Pflichtfeld).
• Telefonnummer — freiwillig, für telefonische Rückrufe.
• Geschätzter jährlicher Kartenumsatz — Grundlage der ersten Hebelschätzung (Pflichtfeld).
• Kommentar — freiwillig, für Hinweise zu Ihrer Konditionssituation.
• Zustimmungsnachweis — Zeitpunkt und Version der von Ihnen bestätigten AGB- und Datenschutz-Kenntnisnahme, zu Dokumentationszwecken.

SpeicherdauerBis zu Ihrem Löschungsverlangen oder bis die Daten zur Vertragsabwicklung nicht mehr erforderlich sind. Anschließend gelten ggf. die handels- und steuerrechtlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO).

Der Zugang zum Mandanten-Portal und zum Dashboard erfolgt ausschließlich per einmaligem Anmeldelink, der an Ihre E-Mail-Adresse versandt wird. Wir speichern dafür Ihre E-Mail-Adresse und einen anonymisierten Session-Identifier.

Während der Sitzung werden auf Ihrem Gerät ausschließlich technisch notwendige Cookies gesetzt, die für den Login-Vorgang erforderlich sind:

• sb-access-token — kurzlebiger Session-Token (HTTP-only).
• sb-refresh-token — Erneuerung der Sitzung (HTTP-only).

SpeicherdauerSitzung läuft nach Inaktivität automatisch ab. Eine Einwilligung nach § 25 Abs. 1 TTDSG ist nicht erforderlich, da die Cookies für den von Ihnen ausdrücklich gewünschten Anmeldevorgang unbedingt notwendig sind (§ 25 Abs. 2 Nr. 2 TTDSG).

Im Mandanten-Portal können Sie Unterlagen zur Konditionsanalyse hochladen (typischerweise Abrechnungen Ihres bestehenden Acquirers, Sondervereinbarungen, bestehende Verträge). Diese Unterlagen können personenbezogene Daten von Ansprechpartnern enthalten.

Die Dateien werden verschlüsselt in der Object-Storage-Komponente unseres Auftragsverarbeiters Supabase Inc. (Region Frankfurt am Main) abgelegt. Der Zugriff ist über zeilenbasierte Sicherheitsregeln so eingeschränkt, dass nur Sie selbst und unsere Geschäftsführung auf Ihre Dateien zugreifen können.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

SpeicherdauerWir betreiben kein automatisches Löschsystem für hochgeladene Dokumente. Sie können die Löschung Ihrer Unterlagen jederzeit formlos verlangen; wir setzen die Löschung innerhalb von 30 Tagen um. Soweit Dokumente Bestandteil eines wirksam geschlossenen Mandatsvertrags geworden sind, gelten die gesetzlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO).

Im Rahmen Ihrer Anfrage und eines bestehenden Mandats versenden wir Ihnen E-Mails — Eingangsbestätigung, Anmeldelinks, Statusnachrichten und Operator-Mitteilungen. Den Versand übernimmt unser Auftragsverarbeiter Resend Inc., USA.

Verarbeitet werden Ihre E-Mail-Adresse, der Inhalt der Nachricht und technische Zustelldaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Resend verarbeitet die Daten auf Basis der Standardvertragsklauseln der EU-Kommission und ist nach dem EU-US Data Privacy Framework zertifiziert.

Zum Schutz unserer Formulare vor automatisierten Anfragen setzen wir Cloudflare Turnstile ein, einen CAPTCHA-Dienst der Cloudflare Inc., USA. Beim Aufruf des Anmeldeformulars werden technische Informationen (insbesondere Ihre IP-Adresse, Browser-Metadaten und ein Hashwert zur Token-Überprüfung) an Cloudflare übermittelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz vor Spam und Missbrauch. Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Es werden keine Cookies durch Turnstile gesetzt.

Mit Ihrer Einwilligung setzen wir PostHog ein, eine Webanalyse-Software, um die Nutzung unserer Website auszuwerten und sie zu verbessern. PostHog erfasst pseudonymisierte Nutzungsdaten — etwa aufgerufene Seiten, Klickpfade, ungefähre Region (aus der gekürzten IP-Adresse) sowie Geräte- und Browsertyp — und speichert hierfür Kennungen in Cookies bzw. im lokalen Speicher Ihres Geräts.

Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Die Verarbeitung erfolgt auf Servern in der EU (PostHog EU Cloud); Anbieter ist die PostHog Inc., USA. Ohne Ihre Einwilligung wird PostHog nicht geladen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über „Cookie-Einstellungen“ im Footer widerrufen.

SpeicherdauerAuf Ihrem Gerät gespeicherte Kennungen verbleiben bis zu 12 Monate bzw. bis zum Widerruf Ihrer Einwilligung.

Zur Erkennung und Behebung technischer Fehler sowie zur Absicherung des stabilen Betriebs setzen wir Sentry ein. Tritt in Ihrem Browser ein Fehler auf, übermittelt Sentry einen Fehlerbericht mit technischen Angaben (z. B. Fehlermeldung, betroffene Funktion, Browser- und Gerätetyp, aufgerufene Seite).

Wir haben Sentry so konfiguriert, dass keine Sitzungsaufzeichnung (Session Replay) stattfindet und keine Standard-Identifikationsmerkmale wie die vollständige IP-Adresse übertragen werden. Es werden keine Cookies gesetzt. Die Verarbeitung erfolgt EU-gehostet (Region Deutschland); Anbieter ist die Functional Software, Inc. (Sentry), USA. Rechtsgrundlage ist unser berechtigtes Interesse an einem fehlerfreien und sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Sie können dieser Verarbeitung nach Art. 21 DSGVO widersprechen.

Die redaktionellen Inhalte der Website werden mit Sanity.io (Sanity.io AS, Norwegen) erstellt und ausgeliefert. Sanity verarbeitet keine personenbezogenen Daten unserer Website-Besucher; die Daten werden ausschließlich zum Zwecke der Inhaltsauslieferung aus dem CMS abgerufen.

Norwegen ist ein EWR-Mitgliedsstaat und Teil des einheitlichen Datenschutzraums.

Wir haben mit allen nachfolgend genannten Dienstleistern Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen, soweit dies erforderlich ist.

• Google Ireland Ltd.

  Hosting der Anwendung (Firebase App Hosting), Server-Logs.

  Sitz: Dublin, Irland · Verarbeitung in der EU.

• Supabase Inc.

  Anwendungsdatenbank, Auth, verschlüsselter Datei-Speicher.

  Sitz: San Francisco, USA · Verarbeitung in der EU-Region Frankfurt · SCCs + DPF.

• Resend Inc.

  Versand von Transaktions-E-Mails.

  Sitz: San Francisco, USA · DPF + SCCs.

• Cloudflare Inc.

  Bot-Schutz (Turnstile) für Anmeldeformulare.

  Sitz: San Francisco, USA · DPF + SCCs.

• PostHog Inc.

  Webanalyse (nur mit Einwilligung).

  Sitz: San Francisco, USA · Verarbeitung in der EU (EU Cloud) · SCCs.

• Functional Software, Inc. (Sentry)

  Fehler- und Stabilitäts-Monitoring.

  Sitz: San Francisco, USA · Verarbeitung in der EU (Region Deutschland) · SCCs.

• Sanity.io AS

  Headless Content-Management-System.

  Sitz: Oslo, Norwegen · Verarbeitung im EWR.

Einzelne unserer Auftragsverarbeiter haben ihren Hauptsitz in den USA (Supabase Inc., Resend Inc., Cloudflare Inc.). Die genannten Unternehmen sind nach dem EU-US Data Privacy Framework zertifiziert, das die Europäische Kommission mit Angemessenheitsbeschluss vom 10. Juli 2023 anerkannt hat. Ergänzend wurden Standardvertragsklauseln (Modul 2) abgeschlossen.

Die Webanalyse mit PostHog (PostHog Inc.) und das Fehler-Monitoring mit Sentry (Functional Software, Inc.) werden auf Servern innerhalb der EU betrieben. Soweit der jeweilige US-Mutterkonzern Zugriff auf Daten erhält, ist dieser durch Standardvertragsklauseln (Modul 2) der EU-Kommission abgesichert.

Eine Übermittlung in weitere Drittländer findet nicht statt.

Notwendige Cookies und vergleichbare Technologien setzen wir ein, soweit sie für den Betrieb der von Ihnen angeforderten Funktionen unbedingt erforderlich sind — etwa für den Anmeldevorgang (Abschnitt 7) und den Spam-Schutz. Hierfür ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich.

Statistik-Cookies für die Webanalyse mit PostHog (Abschnitt 11) setzen wir ausschließlich mit Ihrer vorherigen Einwilligung (§ 25 Abs. 1 TDDDG). Beim ersten Besuch fragen wir diese über einen Cookie-Banner ab — ohne Vorauswahl, und das Ablehnen ist so einfach wie das Annehmen. Ihre Entscheidung können Sie jederzeit über „Cookie-Einstellungen“ im Footer ändern oder mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Marketing-Cookies oder Tracking-Pixel setzen wir nicht ein.

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Die Empfehlung neuer Konditionen wird stets von einer Person geprüft und freigegeben; die im Lead-Formular angezeigten Hebelschätzungen sind unverbindliche Vorberechnungen.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Verarbeitung ändert oder gesetzliche Vorgaben dies erforderlich machen. Maßgeblich ist die jeweils auf KartenKosten.de veröffentlichte Fassung.

Wesentliche Änderungen werden wir Ihnen, soweit eine Geschäftsbeziehung besteht, gesondert mitteilen.