Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[IHR NAME/FIRMA]
[IHRE ADRESSE]
E-Mail: [IHRE E-MAIL]

Hinweis: Bitte ergänzen Sie hier Ihre vollständigen Kontaktdaten.

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. OpenPIMS ist ein Personal Information Management System (PIMS) zur zentralen Verwaltung von Cookie-Einwilligungen gemäß TDDDG.

2.2 Rechtsgrundlage für die Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

2.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber vorgesehen wurde. Eine Löschung der Daten erfolgt auch dann, wenn eine vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Inaktive Accounts: Accounts ohne Aktivität über einen Zeitraum von 3 Jahren werden automatisch gelöscht, sofern keine aktive Subscription besteht.

3. Welche Daten werden verarbeitet?

3.1 Registrierung und Login (Magic Link)

Gespeicherte Daten:

  • E-Mail-Adresse
  • Zeitpunkt der Registrierung
  • Zeitpunkt der E-Mail-Verifizierung
  • Interne User-ID (fortlaufende Nummer)
  • Sicherheits-Token (HMAC-Secret, 32 Zeichen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Account-Löschung oder 3 Jahre Inaktivität
Besonderheit: Wir verwenden ein passwortloses Magic-Link-System. Der Login-Link ist 2 Stunden gültig und wird per E-Mail zugestellt.

3.2 Cookie-Consent-Verwaltung

Gespeicherte Daten:

  • Ihre Einwilligungen/Ablehnungen für Cookies (3-Tier-System: Kategorien, Provider, einzelne Cookies)
  • Besuchte Websites mit OpenPIMS-Integration (nur Domain, keine URLs)
  • Zeitstempel der letzten Besuche
  • Zeitstempel von Consent-Änderungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Account-Löschung

3.3 Subscription (Stripe)

Falls Sie ein kostenpflichtiges Abo abschließen, werden folgende Daten verarbeitet:

  • Stripe Customer ID
  • Subscription Status (active/canceled/etc.)
  • Subscription ID

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Account-Löschung oder Ende der Subscription + 10 Jahre (steuerrechtliche Aufbewahrungspflicht)

4. Weitergabe von Daten an Dritte

4.1 Stripe Inc. (USA)

Zweck: Zahlungsabwicklung für kostenpflichtige Subscriptions
Übermittelte Daten: E-Mail-Adresse, Zahlungsinformationen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandtransfer: USA, abgesichert durch Standard-Vertragsklauseln (SCC) der EU-Kommission
Datenschutzerklärung: https://stripe.com/privacy

4.2 Mailgun Technologies Inc. (USA)

Zweck: Versand von Magic-Link-E-Mails und transaktionalen E-Mails
Übermittelte Daten: E-Mail-Adresse, Inhalt der E-Mail
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandtransfer: USA, abgesichert durch Standard-Vertragsklauseln (SCC)
Datenschutzerklärung: https://www.mailgun.com/legal/privacy-policy/

4.3 Cloudflare Inc. (USA)

Zweck: Bot-Schutz (Turnstile) bei Registrierung und Login
Übermittelte Daten: Browser-Informationen, Challenge-Response
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz)
Drittlandtransfer: USA, abgesichert durch Standard-Vertragsklauseln (SCC)
Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/

5. Cookies und Sessions

Unsere Website verwendet ausschließlich technisch notwendige Cookies (§ 25 Abs. 2 TDDDG):

  • Session-Cookie: Zur Aufrechterhaltung Ihrer Login-Session (2 Stunden Gültigkeit)
  • CSRF-Token: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen
  • XSRF-TOKEN: Laravel-Framework-Cookie für CSRF-Schutz

Diese Cookies sind für den Betrieb der Website zwingend erforderlich und bedürfen keiner Einwilligung.

6. Browser-Extension

Die OpenPIMS Browser-Extension kommuniziert mit unserem Server über:

  • User-Agent-Modification: Ihre Extension sendet einen determinierten Token in der User-Agent-Kennung
  • Token-System: Der Token wird täglich neu berechnet (HMAC-basiert) und enthält keine personenbezogenen Daten
  • Keine Third-Party-Cookies: Die Extension setzt keine Cookies auf fremden Websites

Privacy by Design: Der Token wird nicht zentral gespeichert, sondern bei jeder Anfrage neu berechnet.

7. Ihre Rechte als betroffene Person

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Sie können eine strukturierte Übersicht Ihrer Daten über die Funktion "DSGVO-Auskunft" in Ihren Account-Einstellungen herunterladen.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ihre E-Mail-Adresse können Sie jederzeit in den Account-Einstellungen ändern.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Sie können Ihren Account jederzeit selbst über die Funktion "Account löschen" in den Einstellungen entfernen.

Was wird gelöscht:

  • Alle Ihre Consent-Einstellungen (Kategorien, Provider, Cookies)
  • Alle Visit-Daten
  • Ihre E-Mail-Adresse und Account-Daten
  • Ihre Stripe-Subscription wird gekündigt
7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen. Kontaktieren Sie uns unter der oben genannten E-Mail-Adresse.

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Nutzen Sie dazu die Export-Funktion in Ihrem Account (JSON-Format).

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Die Verarbeitung wird dann eingestellt, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

7.7 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde in Deutschland:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Str. 153
53117 Bonn
Telefon: +49 (0)228-997799-0
E-Mail: poststelle@bfdi.bund.de
Website: https://www.bfdi.bund.de

8. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Alle Daten werden verschlüsselt übertragen (HTTPS).

Technische Sicherheitsmaßnahmen:

  • TLS/SSL-Verschlüsselung für alle Verbindungen
  • CSRF-Protection (Cross-Site-Request-Forgery)
  • Encrypted Session-Cookies
  • Bot-Protection (Cloudflare Turnstile)
  • Passwortloses Login-System (Magic Links)
  • Deterministische Token-Generierung (keine zentrale Token-Storage)

9. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand: 21.11.2025

Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter https://openpims.de/datenschutz von Ihnen abgerufen und ausgedruckt werden.

Hinweis: Diese Datenschutzerklärung wurde mit größter Sorgfalt erstellt, ersetzt jedoch keine individuelle rechtliche Beratung. Bitte lassen Sie diese Datenschutzerklärung durch einen Rechtsanwalt oder Datenschutzbeauftragten prüfen und an Ihre individuellen Gegebenheiten anpassen.