Datenschutz-Compliance-Report und Erweiterte Datenschutzerklaerung

Fuer die SaaS-Plattform "CheckTouch"

1. Praeambel und Einfuehrung in die Datenschutz-Architektur

Die vorliegende Dokumentation stellt eine umfassende Analyse und rechtliche Festlegung der Datenverarbeitungsprozesse fuer die Software-Applikation "CheckTouch" (checktouch.de) dar.

In einer Aera, in der digitale Souveraenitaet und der Schutz personenbezogener Daten nicht nur regulatorische Pflichten, sondern zentrale Wettbewerbsvorteile darstellen, verfolgt die P&A Development GmbH („PandaDev“) einen Ansatz der maximalen Transparenz und technischen Exzellenz.

Diese Erklaerung erfuellt hoechste Industriestandards und geht in der technischen Analyse der zugrundeliegenden Infrastruktur – spezifisch der hybriden Architektur aus IONOS, Vercel, SendGrid und Stripe – ins Detail, um eine lueckenlose Nachvollziehbarkeit der Datenstroeme zu gewaehrleisten.

Der Schutz der Privatsphaere ist fuer PandaDev kein blosses Lippenbekenntnis, sondern ein fundamentaler Bestandteil der Softwarearchitektur. Wir verstehen, dass unsere Kunden, die "CheckTouch" fuer ihre geschaeftlichen Prozesse nutzen, uns sensible Daten anvertrauen. Daher implementieren wir eine Datenschutzstrategie, die "Privacy by Design" und "Privacy by Default" bereits auf der Ebene der Datenbankarchitektur und des Netzwerk-Routings verankert.

Die nachfolgenden Kapitel beleuchten detailliert, wie wir die strengen Anforderungen der europaeischen Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) erfuellen und dabei modernste Cloud-Technologien rechtssicher integrieren.

1.1 Verantwortliche Stelle und Kontakt

Die datenschutzrechtliche Verantwortung fuer die Verarbeitung personenbezogener Daten auf der Plattform "CheckTouch" liegt vollstaendig bei der P&A Development GmbH. Als Betreiber der Plattform entscheiden wir ueber die Zwecke und Mittel der Datenverarbeitung.

Verantwortlicher (Controller) gemaess Art. 4 Nr. 7 DSGVO:

P&A Development GmbH
Schlossstrasse 87
74388 Talheim
Deutschland

Gesetzliche Vertreter: Geschaeftsfuehrer Philipp Stapf und Aaron Hermann

Registergerichtliche Eintragung: Amtsgericht Stuttgart, HRB 802054

Kontaktmoeglichkeiten:
Telefon: +49 15679 297000
E-Mail: info@pandadev.de
Webseite: pandadev.de

Diese Angaben basieren auf den offiziellen Registerinformationen und stellen sicher, dass Betroffene jederzeit einen direkten Ansprechpartner fuer ihre Anliegen haben. Jede Interaktion mit der Plattform, sei es der blosse Besuch der Webseite oder die aktive Nutzung der SaaS-Dienste, begruendet ein Verarbeitungsverhaeltnis mit der P&A Development GmbH.

Es ist unser Anspruch, Anfragen bezueglich des Datenschutzes nicht als buerokratische Last, sondern als Chance zur Staerkung des Kundenvertrauens zu begreifen.

1.2 Geltungsbereich und Begriffsbestimmungen

Diese Erklaerung gilt fuer alle Aspekte der Nutzung von "CheckTouch", einschliesslich der Webseite, der Web-Applikation und aller damit verbundenen Kommunikationskanaele.

Um Missverstaendnisse zu vermeiden, legen wir die Definitionen des Art. 4 DSGVO zugrunde.

Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Veraendern, Auslesen, Abfragen, Verwenden, Offenlegen, Abgleich, Verknuepfung, Einschraenkung, Loeschen oder Vernichtung.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natuerliche Person beziehen.

2. Grundsaetze der Datenverarbeitung und Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten durch "CheckTouch" erfolgt nicht willkuerlich, sondern folgt strengen Prinzipien der Rechtmaessigkeit, Verarbeitung nach Treu und Glauben und Transparenz.

Wir erheben Daten nur fuer festgelegte, eindeutige und legitime Zwecke (Zweckbindung) und beschraenken die Datenmenge auf das notwendige Mass (Datenminimierung).

2.1 Analyse der Rechtsgrundlagen

Jede Datenverarbeitung innerhalb von "CheckTouch" laesst sich auf einen konkreten Erlaubnistatbestand des Art. 6 DSGVO zurueckfuehren. Diese juristische Basis ist das Fundament unserer Compliance-Architektur.

2.1.1 Vertragserfullung und vorvertragliche Massnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Dies ist die zentrale Rechtsgrundlage fuer den Kernbetrieb von "CheckTouch". Wenn ein Nutzer sich registriert und die Software nutzt, ist die Verarbeitung seiner Stammdaten, Login-Informationen und Inhalte zwingend erforderlich, um den SaaS-Vertrag zu erfuellen. Dies umfasst auch die Abrechnung der Leistungen ueber unseren Partner Stripe.

2.1.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Wir verarbeiten Daten zur Wahrung unserer berechtigten Interessen, sofern nicht die Interessen der betroffenen Person ueberwiegen:

IT-Sicherheit: Protokollierung von IP-Adressen (Vercel) zur Abwehr von DDoS-Angriffen.
Produktverbesserung: Analyse aggregierter Nutzungsdaten zur Optimierung der User Experience.
Betrugspraevention: Uebermittlung von Transaktionsmerkmalen an Stripe.

2.1.3 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Als deutsches Unternehmen unterliegen wir Aufbewahrungspflichten (HGB, AO). Rechnungsdaten muessen bis zu zehn Jahre archiviert werden.

2.1.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit keine der oben genannten Rechtsgrundlagen greift, holen wir eine explizite Einwilligung ein (z.B. fuer Newsletter oder nicht-essenzielle Cookies). Diese Einwilligung kann jederzeit widerrufen werden.

3. Technische Infrastruktur und Hosting: Eine detaillierte Analyse

Die Architektur von "CheckTouch" setzt auf einen modernen "Composable Web Architecture"-Ansatz. Datenschutzrechtlich erfordert dies eine differenzierte Betrachtung der globalen Datenfluesse.

Infrastruktur-Komponente	Anbieter	Sitz / Standort Daten	Funktion	Rechtsgrundlage Transfer
Backend & Datenbank	IONOS SE	DE / DE (Frankfurt/Berlin)	Persistente Speicherung, Anwendungslogik	Innerhalb EU
Frontend Delivery	Vercel Inc.	USA / Global (CDN)	Auslieferung UI, Caching	DPF + SCCs
Transaktions-Mails	Twilio Inc. (SendGrid)	USA / Global	E-Mail-Versand, Zustell-Logs	DPF + SCCs
Payment Gateway	Stripe, Inc.	USA / Irland	Zahlungsabwicklung, Betrugsschutz	DPF + SCCs
Webanalyse	Microsoft Corporation (Clarity)	USA / Global	Session-Aufzeichnungen, Heatmaps, Nutzerverhalten	DPF + SCCs

3.1 Datensouveraenitaet im Kern: Managed Postgres bei IONOS

Das Herzstueck unserer Anwendung liegt vollstaendig in deutscher Hand. Wir nutzen "Managed Database as a Service" fuer PostgreSQL der IONOS SE. Die Rechenzentren sind ISO 27001 zertifiziert und befinden sich physisch in Deutschland.

Kein US-Cloud-Act-Risiko fuer ruhende Daten: IONOS unterliegt nicht direkt dem Zugriff US-amerikanischer Sicherheitsbehoerden fuer in Deutschland gespeicherte Daten.
Auftragsverarbeitung: Es besteht ein AV-Vertrag mit IONOS.
Sicherheit: Verschluesselung "at rest" und "in transit". Georedundante Backups.

3.2 Performance und Globalitaet: Frontend bei Vercel

Fuer die Auslieferung der Benutzeroberflaeche nutzen wir das globale Edge Network von Vercel. Technische Verbindungsdaten (IP-Adressen) koennen global verarbeitet werden.

Drittlandtransfer: Vercel ist US-basiert und unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.
Garantien: Nutzung von EU-Standardvertragsklauseln (SCCs). Serverless Functions sind so konfiguriert, dass sie bevorzugt in Frankfurt (fra1) ausgefuehrt werden.

3.3 Kommunikationsinfrastruktur: E-Mail-Versand ueber SendGrid

Fuer System-E-Mails nutzen wir SendGrid (Twilio Inc.). Inhalte und Metadaten werden verschluesselt uebertragen. SendGrid ist DPF-zertifiziert und nutzt SCCs. Inhalte werden nur kurzzeitig zur Fehlersuche aufbewahrt.

3.4 Finanztransaktionen: Abrechnung ueber Stripe

Wir verarbeiten keine vollstaendigen Kreditkartendaten auf eigenen Servern. Die Eingabe erfolgt ueber "Stripe Elements" direkt an Stripe. Wir erhalten lediglich Token und Statusmeldungen.

Betrugspraevention: Stripe agiert hierbei teils als eigener Verantwortlicher zur Erkennung von Betrugsmustern.
Sicherheit: PCI-DSS Level 1 Zertifizierung. Transfer abgesichert durch DPF und SCCs.

3.5 Webanalyse: Microsoft Clarity

Zur Verbesserung der Benutzerfreundlichkeit setzen wir Microsoft Clarity ein – ein Webanalyse-Tool der Microsoft Corporation. Clarity wird ausschliesslich nach expliziter Einwilligung ueber unser Cookie-Banner geladen.

Erfasste Daten: Anonymisierte Session-Aufzeichnungen, Heatmaps (Klick-, Scroll- und Mausbewegungsdaten), Nutzerinteraktionen und aggregierte Verhaltensmetriken.
Zweck: Identifikation von Usability-Problemen, Optimierung der Benutzeroberflaeche und Verbesserung der User Experience.
Datenschutz: Microsoft Clarity maskiert automatisch sensible Eingabefelder (Passwoerter, persoenliche Daten). Es werden keine Tastatureingaben in Textfeldern aufgezeichnet.
Drittlandtransfer: Microsoft ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und nutzt zusaetzlich EU-Standardvertragsklauseln (SCCs).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit ueber die Cookie-Einstellungen widerrufen werden.

Weitere Informationen: Microsoft Clarity Nutzungsbedingungen und Microsoft Datenschutzerklaerung.

4. Konkrete Datenverarbeitungsprozesse (Data Lifecycle)

4.1 Besuch der Webseite (Public Frontend)

Beim Aufruf werden durch Vercel Server-Logfiles (IP, Browser, Zeitstempel) erstellt. Zweck: Sicherheit und Auslieferung. IP-Adressen werden i.d.R. kurzzeitig gespeichert und dann anonymisiert.

4.2 Registrierung und Onboarding

Eingabedaten: Name, E-Mail, Firma, Passwort. Das Passwort wird gesalzen und gehasht (z.B. bcrypt/Argon2) bei IONOS gespeichert. Die E-Mail dient der Verifizierung (via SendGrid).

4.3 Produktive Nutzung (SaaS)

Der Nutzer pflegt Daten ein. Diese werden verschluesselt bei IONOS gespeichert. Fuer die vom Nutzer eingegebenen Inhalte (z.B. Daten seiner Kunden) agiert der Nutzer als Verantwortlicher und PandaDev als Auftragsverarbeiter. Ein AV-Vertrag ist Teil der AGB.

4.4 Kuendigung und Loeschung

Nach Vertragsende werden Account-Daten deaktiviert und nach einer Karenzzeit geloescht. Gesetzliche Aufbewahrungsfristen (10 Jahre fuer Rechnungen) bleiben unberuehrt.

5. Cookies und Tracking-Technologien

Wir unterscheiden gemaess § 25 TTDSG zwischen technisch notwendigen und zustimmungspflichtigen Technologien.

5.1 Technisch notwendige Cookies

Essenziell fuer den Betrieb (Login, Sicherheit). Keine Einwilligung erforderlich.

Session-Cookies: Speichern Authentifizierungsstatus (JWT).
Sicherheits-Cookies: Schutz vor CSRF-Angriffen.

5.2 Analyse- und Marketing-Cookies

Einsatz nur nach expliziter Einwilligung ueber das Consent-Banner. Die Nutzung ist freiwillig und jederzeit widerrufbar. Bei Ablehnung werden keine Analysedaten gesendet.

Eingesetzte Analyse-Tools (nur mit Einwilligung):

Microsoft Clarity: Session-Aufzeichnungen und Heatmaps zur Analyse des Nutzerverhaltens. Anbieter: Microsoft Corporation, USA. Datenschutzhinweise.
Meta Pixel: Conversion-Tracking fuer Werbeanzeigen. Anbieter: Meta Platforms Ireland Ltd. Datenschutzhinweise.

Beide Dienste werden erst aktiviert, wenn Sie im Cookie-Banner auf „Alle akzeptieren“ klicken. Sie koennen Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies loeschen und die Seite neu laden.

6. Betroffenenrechte und Ausuebung

PandaDev wahrt die Rechte der Nutzer gemaess Kapitel III DSGVO umfassend.

Auskunftsrecht (Art. 15 DSGVO): Kopie aller gespeicherten Daten.
Berichtigungsrecht (Art. 16 DSGVO): Korrektur falscher Daten.
Loeschrecht (Art. 17 DSGVO): "Recht auf Vergessenwerden".
Einschraenkungsrecht (Art. 18 DSGVO): Pausierung der Verarbeitung.
Datenuebertragbarkeit (Art. 20 DSGVO): Bereitstellung in CSV/JSON.
Widerspruchsrecht (Art. 21 DSGVO): Insbesondere gegen Direktwerbung.

Prozess zur Geltendmachung:
E-Mail an info@pandadev.de. Wir reagieren i.d.R. innerhalb eines Monats.

7. Datensicherheit (TOMs)

Wir setzen gemaess Art. 32 DSGVO modernste Massnahmen ein:

Verschluesselung: TLS 1.2/1.3 fuer alle Uebertragungen. Verschluesselung ruhender Daten bei IONOS.
Zugangskontrolle: Zugriff nur fuer autorisierte Mitarbeiter via VPN/SSH und MFA.
Redundanz: Hohe Verfuegbarkeit durch Cloud-Architektur (IONOS & Vercel).
Organisatorisch: Mitarbeiterschulungen, regelmaessige Ueberpruefung von Dienstleistern, Privacy by Default.

8. Schlussbestimmungen und Aktualitaet

Diese Datenschutzerklaerung hat den Stand Januar 2026. Aufgrund der dynamischen Weiterentwicklung von "CheckTouch" kann eine Anpassung notwendig werden. Die aktuelle Version ist jederzeit auf der Webseite abrufbar.

Durch die Nutzung von "CheckTouch" erklaeren Sie sich mit den hier beschriebenen Prozessen einverstanden.