Datenschutzerklärung
Stand: 10. Juli 2026 · Anwaltliche Prüfung empfohlen. Dieses Dokument ist ein Template auf Basis gängiger SaaS-Datenschutzerklärungen und nicht von einem Anwalt geprüft. Vor produktivem Einsatz mit professioneller Beratung finalisieren.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
RepairSpot
Marius Meißner
Theodor-Storm-Straße 18a
93051 Regensburg
Deutschland
Email: info@repairspot.de
2. Begriffsbestimmungen
Diese Datenschutzerklärung verwendet die Begriffe der DSGVO. Erläuterungen unter Art. 4 DSGVO. Im Folgenden bezeichnen wir uns als „TicketBase" oder „wir", die nutzende Werkstatt als „Kunde", und Personen, deren Daten unsere Kunden im System verarbeiten, als „Endkunden".
3. Hosting und technische Infrastruktur
Unsere Plattform wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) im Rechenzentrumspark Falkenstein/Vogtland betrieben. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Hosting und Speicherung aller Daten erfolgen vollständig in Deutschland; im Rahmen des Hostings findet kein Drittland-Transfer statt. Zur optionalen Übermittlung einzelner Ticketinhalte an KI-Anbieter siehe Abschnitt 6.
4. Welche personenbezogenen Daten wir verarbeiten
4.1 Daten der Werkstatt-Account-Inhaber (Kunden)
- Account-Daten: Email, Name, gehashtes Passwort (Argon2id), TOTP-Geheimnis (AES-256-GCM verschlüsselt)
- Werkstatt-Stammdaten: Firmenname, Anschrift, Telefon (optional), Land
- Login-Aktivität: Zeitpunkt, IP-Adresse, User-Agent (gespeichert zur Sicherheits-Auditierung 90 Tage)
- Subdomain-Konfiguration, Branding, Mailbox-Einstellungen (IMAP/SMTP-Zugangsdaten, AES-256-GCM verschlüsselt)
- Abrechnungsdaten via Stripe (siehe Abschnitt 7)
4.2 Endkunden-Daten der Werkstatt
Im Rahmen ihrer Nutzung verarbeiten unsere Kunden Daten ihrer Endkunden im System (z.B. Email-Adressen, Reparatur-Anfragen, IMEI-Nummern, Geräte-Informationen). Für die Verarbeitung dieser Daten ist der Kunde Verantwortlicher; wir sind Auftragsverarbeiter. Die Bedingungen regelt ein separater Auftragsverarbeitungsvertrag (AVV).
4.3 Server-Logs
- Webserver-Logs (nginx): IP, Zeitstempel, URL, Status-Code, User-Agent, Referrer (90 Tage Aufbewahrung)
- Anwendungs-Logs der Container (rotiert nach 7 Tagen)
- Audit-Logs der Plattform-Aktivitäten (hash-chained, unveränderlich; 24 Monate Aufbewahrung)
4.4 Cookies und lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies für die Aufrechterhaltung der Anmeldesession (JWT-Token im Browser-Storage). Keine Tracking-, Marketing- oder Analyse-Cookies. Eine Einwilligung nach § 25 TTDSG ist daher nicht erforderlich.
5. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung des Ticketsystems, Account-Verwaltung, Abrechnung
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): steuerliche und handelsrechtliche Aufbewahrungsfristen für Rechnungen (10 Jahre)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Server-Logs zur Sicherheitsanalyse, Missbrauchserkennung, Performance-Monitoring
- Art. 28 DSGVO (Auftragsverarbeitung) für Endkunden-Daten der Werkstätten
6. Empfänger und Auftragsverarbeiter
Wir geben personenbezogene Daten an folgende Dienstleister weiter:
- Hetzner Online GmbH (Hosting, Deutschland) — AVV vorhanden
- Stripe Payments Europe Ltd. (Zahlungsabwicklung, Irland) — siehe Abschnitt 7
- Let's Encrypt / ISRG (SSL-Zertifikate, USA) — verarbeitet nur Domain-Name, keine personenbezogenen Daten
- Anthropic (KI-Antwortvorschläge und Ticketanalyse, USA — EU-Standardvertragsklauseln) — nur bei aktiviertem KI-Add-on; Auftragsverarbeitungsvertrag vorhanden
- OpenAI Ireland Ltd. (Embeddings für die semantische Suche der Wissensdatenbank, Irland) — nur bei aktiviertem KI-Add-on; Auftragsverarbeitungsvertrag vorhanden
Die KI-Funktionen sind ein optionales, kostenpflichtiges Add-on und standardmäßig deaktiviert. Nur wenn der Kunde das Add-on aktiviert, werden einzelne Ticketinhalte zur Erstellung von Antwortvorschlägen bzw. zur semantischen Suche an die genannten KI-Anbieter übermittelt. Andere KI-Anbieter werden nicht eingesetzt.
Vom Kunden konfigurierte Integrationen (externe Systeme, RepairVision): TicketBase bietet Schnittstellen, über die der Kunde eigene externe Systeme anbinden kann — etwa ERP- oder Shop-Systeme über die „Externe Systeme"-Schnittstelle oder die Werkstattsoftware RepairVision per selbst hinterlegtem API-Schlüssel. Der Kunde entscheidet dabei allein, an welche Systeme TicketBase Daten sendet und von welchen Systemen es Daten abruft (z.B. E-Mail-Adresse oder Telefonnummer eines Endkunden als Suchparameter, um Bestell- oder Reparaturstatus im Ticket anzuzeigen). Für diese vom Kunden konfigurierten Datenflüsse ist der Kunde Verantwortlicher im Sinne der DSGVO; die vom Kunden angebundenen Systeme sind keine Auftragsverarbeiter von uns. Ohne entsprechende Konfiguration durch den Kunden finden diese Datenflüsse nicht statt.
Weitere Auftragsverarbeiter werden vorab in dieser Datenschutzerklärung gelistet und unsere Kunden 30 Tage vor Beauftragung informiert.
7. Zahlungsabwicklung über Stripe
Für die Verarbeitung von Abonnement-Zahlungen nutzen wir Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland). Bei der Bezahlung übermittelt Stripe folgende Daten an uns: Zahlungsstatus, eindeutige Kunden-ID, Land der Zahlungsmethode (für Steuerberechnung). Die Kreditkarten- oder SEPA-Daten werden ausschließlich von Stripe verarbeitet und uns nie zugänglich gemacht (PCI-DSS Level 1).
Datenschutzerklärung von Stripe: https://stripe.com/de/privacy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8. Speicherdauer
- Account-Daten: für die Dauer des Vertragsverhältnisses
- Nach Kündigung: 14 Tage Grace-Periode (Reaktivierungsoption), danach unwiderrufliche Löschung inklusive aller Backups
- Rechnungen: 10 Jahre (§ 14b UStG, § 257 HGB)
- GoBD-Archiv (optionale Funktion, standardmäßig deaktiviert): Bei Aktivierung durch den Kunden werden E-Mail-Originale unveränderbar als EML mit SHA-256-Prüfsumme archiviert und 6 Jahre mit Löschsperre und Löschprotokoll aufbewahrt (§ 257 HGB, § 147 AO). Verantwortlicher für die Einhaltung dieser Aufbewahrungspflichten ist der Kunde.
- Audit-Logs: 24 Monate
- Server-Logs: 90 Tage
- Backup-Daten: rollierend 30 Tage
9. Sicherheit (Art. 32 DSGVO)
Wir setzen folgende technische und organisatorische Maßnahmen ein:
- Transportverschlüsselung: TLS 1.2/1.3, HSTS, sichere Cipher-Suiten
- Verschlüsselung sensibler Felder (Passwörter, Mailbox-Zugangsdaten, 2FA-Secrets) mit AES-256-GCM
- Passwort-Hashing mit Argon2id
- Mehrstufige Authentifizierung (TOTP) für Administrationszugänge zwingend aktiv
- Per-Tenant-Datenbankisolation: jede Werkstatt hat eine eigene, vollständig getrennte Datenbank
- Verschlüsselte Backups (AES-256-GCM Envelope Encryption), separate Schlüsselverwaltung
- Container-Sandboxing, Read-Only-Filesystem wo möglich, no-new-privileges, capabilities-Drop
- Hash-chained Audit-Log für privilegierte Aktionen
- Rate-Limiting, fail2ban (SSH + Web), Login-Throttling
- Regelmäßige Sicherheitsaudits und Pentest
10. Ihre Rechte als betroffene Person
Nach DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft über gespeicherte Daten (Art. 15)
- Berichtigung unzutreffender Daten (Art. 16)
- Löschung („Recht auf Vergessenwerden", Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit in maschinenlesbarem Format (Art. 20) — wir stellen JSON-Export auf Anfrage zur Verfügung
- Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)
Wenden Sie sich zur Ausübung Ihrer Rechte formlos per Email an info@repairspot.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.
11. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Zuständig für uns ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
12. Auftragsverarbeitungsvertrag (AVV)
Da unsere Kunden (Werkstätten) personenbezogene Daten ihrer eigenen Endkunden über TicketBase verarbeiten, schließen wir mit jeder Werkstatt einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. Der AVV ist Bestandteil der Nutzungsvereinbarung und kann nach Vertragsabschluss im Account-Bereich heruntergeladen werden.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit Änderungen aufgrund neuer Funktionen oder gesetzlicher Anforderungen erforderlich werden. Aktive Kunden werden über wesentliche Änderungen per Email mit einer Vorlaufzeit von mindestens 30 Tagen informiert.
Letzte Änderung: 10. Juli 2026