Datenschutzerklaerung

1. Verantwortlicher

Verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO ist der im Impressum genannte Diensteanbieter.

2. Server-Logdateien

Beim Aufruf dieser Webseite erhebt der eingesetzte Reverse-Proxy (Caddy) automatisch technische Daten in Server-Logdateien:

• IP-Adresse des aufrufenden Rechners
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Statuscode
• Uebertragene Datenmenge
• Referrer (falls vom Browser uebertragen)
• Browser-Kennung (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit, Fehlerdiagnose, Missbrauchserkennung).

Speicherdauer: 7 Tage, danach automatische Loeschung durch Logrotation des Docker-Loggings.

Empfaenger: Keine Weitergabe an Dritte.

3. Cookies und lokale Speicherung

ValiDachs setzt im Rahmen der Beta-Phase ausschliesslich technisch notwendige Cookies ein. Es werden keine Tracking- oder Werbe-Cookies geladen, solange der Nutzer dem nicht ueber den Cookie-Banner ausdruecklich zustimmt.

Strict-necessary Cookies (technisch erforderlich, kein Consent)

• validachs_user — Authentifizierungs-Session nach Login. httpOnly. Speicherdauer: 30 Tage oder bis Logout. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) + § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich).
• validachs_beta_code — HMAC-signiertes Beta-Code-Token, das den Zugang zur geschlossenen Beta-Phase oeffnet. httpOnly. Speicherdauer: 90 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + § 25 Abs. 2 Nr. 2 TTDSG.

Lokale Browser-Speicherung (LocalStorage)

• validachs_consent — speichert die Cookie-Banner-Entscheidung des Nutzers (z.B. "Statistik-Cookies abgelehnt"). Wird vom Browser nicht an den Server uebermittelt. Speicherdauer: bis zum manuellen Loeschen oder Klick auf "Cookie-Einstellungen" im Footer. Rechtsgrundlage: Speicherung der Consent-Entscheidung gilt nach Aufsichtsbehoerden-Konsens als technisch erforderlich (kein Consent fuer den Speicher-Vorgang selbst).
• theme — speichert die Hell/Dunkel- Modus-Praeferenz des Nutzers. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich fuer die nutzerseitig konfigurierbare Darstellung).

Optionale Cookies (zustimmungspflichtig)

Derzeit werden in der Beta-Phase keine optionalen Cookies (Statistik, Marketing) geladen. Der Cookie-Banner zeigt eine Statistik-Kategorie als Vorbereitung fuer eine spaetere Aktivierung von Plausible Analytics (self-hosted). Solange diese Kategorie nicht zugestimmt wird (Default = abgelehnt), wird kein Statistik-Skript geladen.

4. Keine Tracking-Tools

ValiDachs verwendet derzeit keine Analyse- oder Tracking-Dienste. Der Cookie-Banner zeigt eine Statistik-Kategorie als Vorbereitung fuer eine spaetere Aktivierung von Plausible Analytics (self-hosted, DSGVO-konform). Es gibt kein Google Analytics, keine Social-Media-Pixel und keine vergleichbaren Drittanbieter-Dienste.

5. Selbstgehostete Schriftarten

Die verwendete Schriftart Inter wird ausschliesslich vom eigenen Server geladen. Es erfolgt kein Abruf von externen Servern (kein Google Fonts CDN).

6. Rechte der betroffenen Personen

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Loeschung (Art. 17 DSGVO)
• Einschraenkung der Verarbeitung (Art. 18 DSGVO)
• Datenuebertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehoerde (Art. 77 DSGVO)

Self-Service ueber /account: Eingeloggte Nutzer koennen ihre Rechte direkt ausueben:

• DSGVO-Datenexport (Art. 15 + 20): Auf /account den Button "Daten exportieren" klicken — der Server liefert sofort eine JSON-Datei mit allen gespeicherten Profil-, Audit-Log-, Recherche- und Chart-Daten.
• Account-Loeschung (Art. 17): Auf /account den Button "Konto loeschen" klicken und mit Eingabe des Wortes "LOESCHEN" bestaetigen — der Server loescht User-Profil, Recherchen und zugehoerige Daten unverzueglich; der Audit-Log-Eintrag der Loeschung selbst bleibt 10 Jahre erhalten (gesetzliche Aufbewahrungspflicht fuer Sicherheits-/Missbrauchs-Nachvollziehbarkeit, anonymisiert).

Fuer alle weiteren Anliegen stehen wir per E-Mail unter kontakt@validachs.de zur Verfuegung.

7. Auftragsverarbeiter

ValiDachs setzt folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen besteht ein Auftragsverarbeitungsvertrag (AVV):

• Resend (Resend Inc.) — Versand transaktionaler E-Mails (Email-Verifikation, Tarif-Wechsel-Bestaetigungen, Beta-Code-Mails). Übermittelt werden Email-Adresse + E-Mail-Inhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. AVV: Resend Standard-DPA (resend.com/legal/dpa).
• OpenAI Ireland Limited — Sprach-Verarbeitung der eingegebenen Frage/These zur Erkennung von Indikator-Codes und Formulierung der Antwort. Übermittelt wird ausschließlich der Frage-Text (kein User-Identifier, keine Daten aus der Statistik-Datenbank). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. AVV: OpenAI Data Processing Addendum (openai.com/policies/data-processing-addendum).
• Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen) — Server-Hosting der ValiDachs-Plattform in Frankfurt am Main, Deutschland (DSGVO-konform durch Datenresidenz EU). AVV: Hetzner-Standard-AVV (hetzner.com/de/rechtliches/auftragsverarbeitung/).

8. Engagement-Tracking (Phase 511)

Bei eingeloggten Nutzer:innen werden vier Klick-Events anonym aggregierbar gespeichert: „Visualisieren", „Bericht exportieren", „Korrelations-Vorschlag" und „Recherche speichern". Zweck ist die statistische Auswertung der Plattform-Nutzung zur Produktverbesserung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung). Anonyme Besucher werden nicht getrackt. Aufbewahrung: 24 Monate, danach automatische Löschung.

9. Aufsichtsbehoerde

Zustaendig ist die Datenschutzaufsichtsbehoerde des Bundeslandes, in dem der Diensteanbieter seinen Sitz hat. Eine Liste der deutschen Aufsichtsbehoerden findet sich auf der Webseite des Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit (BfDI).