CheckTouch Logo CheckTouch ← Zurück zur Startseite

Datenschutz-Compliance-Report und Erweiterte Datenschutzerklärung

Für die SaaS-Plattform "CheckTouch"

1. Präambel und Einführung in die Datenschutz-Architektur

Die vorliegende Dokumentation stellt eine umfassende Analyse und rechtliche Festlegung der Datenverarbeitungsprozesse für die Software-Applikation "CheckTouch" (checktouch.de) dar.

In einer Ära, in der digitale Souveränität und der Schutz personenbezogener Daten nicht nur regulatorische Pflichten, sondern zentrale Wettbewerbsvorteile darstellen, verfolgt die P&A Development GmbH („PandaDev“) einen Ansatz der maximalen Transparenz und technischen Exzellenz.

Diese Erklärung erfüllt höchste Industriestandards und geht in der technischen Analyse der zugrundeliegenden Infrastruktur – spezifisch der hybriden Architektur aus IONOS, Vercel, SendGrid und Stripe – ins Detail, um eine lückenlose Nachvollziehbarkeit der Datenströme zu gewährleisten.

Der Schutz der Privatsphäre ist für PandaDev kein bloßes Lippenbekenntnis, sondern ein fundamentaler Bestandteil der Softwarearchitektur. Wir verstehen, dass unsere Kunden, die "CheckTouch" für ihre geschäftlichen Prozesse nutzen, uns sensible Daten anvertrauen. Daher implementieren wir eine Datenschutzstrategie, die "Privacy by Design" und "Privacy by Default" bereits auf der Ebene der Datenbankarchitektur und des Netzwerk-Routings verankert.

Die nachfolgenden Kapitel beleuchten detailliert, wie wir die strengen Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) erfüllen und dabei modernste Cloud-Technologien rechtssicher integrieren.

1.1 Verantwortliche Stelle und Kontakt

Die datenschutzrechtliche Verantwortung für die Verarbeitung personenbezogener Daten auf der Plattform "CheckTouch" liegt vollständig bei der P&A Development GmbH. Als Betreiber der Plattform entscheiden wir über die Zwecke und Mittel der Datenverarbeitung.

Verantwortlicher (Controller) gemäß Art. 4 Nr. 7 DSGVO:

P&A Development GmbH
Schloßstraße 87
74388 Talheim
Deutschland

Gesetzliche Vertreter: Geschäftsführer Philipp Stapf und Aaron Hermann

Registergerichtliche Eintragung: Amtsgericht Stuttgart, HRB 802054

Kontaktmöglichkeiten:
Telefon: +49 15679 297000
E-Mail: info@pandadev.de
Webseite: pandadev.de

Diese Angaben basieren auf den offiziellen Registerinformationen und stellen sicher, dass Betroffene jederzeit einen direkten Ansprechpartner für ihre Anliegen haben. Jede Interaktion mit der Plattform, sei es der bloße Besuch der Webseite oder die aktive Nutzung der SaaS-Dienste, begründet ein Verarbeitungsverhältnis mit der P&A Development GmbH.

Es ist unser Anspruch, Anfragen bezüglich des Datenschutzes nicht als bürokratische Last, sondern als Chance zur Stärkung des Kundenvertrauens zu begreifen.

1.2 Geltungsbereich und Begriffsbestimmungen

Diese Erklärung gilt für alle Aspekte der Nutzung von "CheckTouch", einschließlich der Webseite, der Web-Applikation und aller damit verbundenen Kommunikationskanäle.

Um Missverständnisse zu vermeiden, legen wir die Definitionen des Art. 4 DSGVO zugrunde.

  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Abgleich, Verknüpfung, Einschränkung, Löschen oder Vernichtung.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

2. Grundsätze der Datenverarbeitung und Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten durch "CheckTouch" erfolgt nicht willkürlich, sondern folgt strengen Prinzipien der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz.

Wir erheben Daten nur für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) und beschränken die Datenmenge auf das notwendige Maß (Datenminimierung).

2.1 Analyse der Rechtsgrundlagen

Jede Datenverarbeitung innerhalb von "CheckTouch" lässt sich auf einen konkreten Erlaubnistatbestand des Art. 6 DSGVO zurückführen. Diese juristische Basis ist das Fundament unserer Compliance-Architektur.

2.1.1 Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Dies ist die zentrale Rechtsgrundlage für den Kernbetrieb von "CheckTouch". Wenn ein Nutzer sich registriert und die Software nutzt, ist die Verarbeitung seiner Stammdaten, Login-Informationen und Inhalte zwingend erforderlich, um den SaaS-Vertrag zu erfüllen. Dies umfasst auch die Abrechnung der Leistungen über unseren Partner Stripe.

2.1.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Wir verarbeiten Daten zur Wahrung unserer berechtigten Interessen, sofern nicht die Interessen der betroffenen Person überwiegen:

  • IT-Sicherheit: Protokollierung von IP-Adressen (Vercel) zur Abwehr von DDoS-Angriffen.
  • Produktverbesserung: Analyse aggregierter Nutzungsdaten zur Optimierung der User Experience.
  • Betrugsprävention: Übermittlung von Transaktionsmerkmalen an Stripe.

2.1.3 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Als deutsches Unternehmen unterliegen wir Aufbewahrungspflichten (HGB, AO). Rechnungsdaten müssen bis zu zehn Jahre archiviert werden.

2.1.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit keine der oben genannten Rechtsgrundlagen greift, holen wir eine explizite Einwilligung ein (z.B. für Newsletter oder nicht-essenzielle Cookies). Diese Einwilligung kann jederzeit widerrufen werden.

3. Technische Infrastruktur und Hosting: Eine detaillierte Analyse

Die Architektur von "CheckTouch" setzt auf einen modernen "Composable Web Architecture"-Ansatz. Datenschutzrechtlich erfordert dies eine differenzierte Betrachtung der globalen Datenflüsse.

Infrastruktur-Komponente Anbieter Sitz / Standort Daten Funktion Rechtsgrundlage Transfer
Backend & Datenbank IONOS SE DE / DE (Frankfurt/Berlin) Persistente Speicherung, Anwendungslogik Innerhalb EU
Frontend Delivery Vercel Inc. USA / Global (CDN) Auslieferung UI, Caching DPF + SCCs
Transaktions-Mails Twilio Inc. (SendGrid) USA / Global E-Mail-Versand, Zustell-Logs DPF + SCCs
Payment Gateway Stripe, Inc. USA / Irland Zahlungsabwicklung, Betrugsschutz DPF + SCCs
Webanalyse Microsoft Corporation (Clarity) USA / Global Session-Aufzeichnungen, Heatmaps, Nutzerverhalten DPF + SCCs

3.1 Datensouveränität im Kern: Managed Postgres bei IONOS

Das Herzstück unserer Anwendung liegt vollständig in deutscher Hand. Wir nutzen "Managed Database as a Service" für PostgreSQL der IONOS SE. Die Rechenzentren sind ISO 27001 zertifiziert und befinden sich physisch in Deutschland.

  • Kein US-Cloud-Act-Risiko für ruhende Daten: IONOS unterliegt nicht direkt dem Zugriff US-amerikanischer Sicherheitsbehörden für in Deutschland gespeicherte Daten.
  • Auftragsverarbeitung: Es besteht ein AV-Vertrag mit IONOS.
  • Sicherheit: Verschlüsselung "at rest" und "in transit". Georedundante Backups.

3.2 Performance und Globalität: Frontend bei Vercel

Für die Auslieferung der Benutzeroberfläche nutzen wir das globale Edge Network von Vercel. Technische Verbindungsdaten (IP-Adressen) können global verarbeitet werden.

  • Drittlandtransfer: Vercel ist US-basiert und unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.
  • Garantien: Nutzung von EU-Standardvertragsklauseln (SCCs). Serverless Functions sind so konfiguriert, dass sie bevorzugt in Frankfurt (fra1) ausgeführt werden.

3.3 Kommunikationsinfrastruktur: E-Mail-Versand über SendGrid

Für System-E-Mails nutzen wir SendGrid (Twilio Inc.). Inhalte und Metadaten werden verschlüsselt übertragen. SendGrid ist DPF-zertifiziert und nutzt SCCs. Inhalte werden nur kurzzeitig zur Fehlersuche aufbewahrt.

3.4 Finanztransaktionen: Abrechnung über Stripe

Wir verarbeiten keine vollständigen Kreditkartendaten auf eigenen Servern. Die Eingabe erfolgt über "Stripe Elements" direkt an Stripe. Wir erhalten lediglich Token und Statusmeldungen.

  • Betrugsprävention: Stripe agiert hierbei teils als eigener Verantwortlicher zur Erkennung von Betrugsmustern.
  • Sicherheit: PCI-DSS Level 1 Zertifizierung. Transfer abgesichert durch DPF und SCCs.

3.5 Webanalyse: Microsoft Clarity

Zur Verbesserung der Benutzerfreundlichkeit setzen wir Microsoft Clarity ein – ein Webanalyse-Tool der Microsoft Corporation. Clarity wird ausschließlich nach expliziter Einwilligung über unser Cookie-Banner geladen.

  • Erfasste Daten: Anonymisierte Session-Aufzeichnungen, Heatmaps (Klick-, Scroll- und Mausbewegungsdaten), Nutzerinteraktionen und aggregierte Verhaltensmetriken.
  • Zweck: Identifikation von Usability-Problemen, Optimierung der Benutzeroberfläche und Verbesserung der User Experience.
  • Datenschutz: Microsoft Clarity maskiert automatisch sensible Eingabefelder (Passwörter, persönliche Daten). Es werden keine Tastatureingaben in Textfeldern aufgezeichnet.
  • Drittlandtransfer: Microsoft ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und nutzt zusätzlich EU-Standardvertragsklauseln (SCCs).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden.

Weitere Informationen: Microsoft Clarity Nutzungsbedingungen und Microsoft Datenschutzerklärung.

4. Konkrete Datenverarbeitungsprozesse (Data Lifecycle)

4.1 Besuch der Webseite (Public Frontend)

Beim Aufruf werden durch Vercel Server-Logfiles (IP, Browser, Zeitstempel) erstellt. Zweck: Sicherheit und Auslieferung. IP-Adressen werden i.d.R. kurzzeitig gespeichert und dann anonymisiert.

4.2 Registrierung und Onboarding

Eingabedaten: Name, E-Mail, Firma, Passwort. Das Passwort wird gesalzen und gehasht (z.B. bcrypt/Argon2) bei IONOS gespeichert. Die E-Mail dient der Verifizierung (via SendGrid).

4.3 Produktive Nutzung (SaaS)

Der Nutzer pflegt Daten ein. Diese werden verschlüsselt bei IONOS gespeichert. Für die vom Nutzer eingegebenen Inhalte (z.B. Daten seiner Kunden) agiert der Nutzer als Verantwortlicher und PandaDev als Auftragsverarbeiter. Ein AV-Vertrag ist Teil der AGB.

4.4 Kündigung und Löschung

Nach Vertragsende werden Account-Daten deaktiviert und nach einer Karenzzeit gelöscht. Gesetzliche Aufbewahrungsfristen (10 Jahre für Rechnungen) bleiben unberührt.

5. Cookies und Tracking-Technologien

Wir unterscheiden gemäß § 25 TTDSG zwischen technisch notwendigen und zustimmungspflichtigen Technologien.

5.1 Technisch notwendige Cookies

Essenziell für den Betrieb (Login, Sicherheit). Keine Einwilligung erforderlich.

  • Session-Cookies: Speichern Authentifizierungsstatus (JWT).
  • Sicherheits-Cookies: Schutz vor CSRF-Angriffen.

5.2 Analyse- und Marketing-Cookies

Einsatz nur nach expliziter Einwilligung über das Consent-Banner. Die Nutzung ist freiwillig und jederzeit widerrufbar. Bei Ablehnung werden keine Analysedaten gesendet.

Eingesetzte Analyse-Tools (nur mit Einwilligung):

  • Microsoft Clarity: Session-Aufzeichnungen und Heatmaps zur Analyse des Nutzerverhaltens. Anbieter: Microsoft Corporation, USA. Datenschutzhinweise.
  • Meta Pixel: Conversion-Tracking für Werbeanzeigen. Anbieter: Meta Platforms Ireland Ltd. Datenschutzhinweise.

Beide Dienste werden erst aktiviert, wenn Sie im Cookie-Banner auf „Alle akzeptieren" klicken. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen und die Seite neu laden.

6. Betroffenenrechte und Ausübung

PandaDev wahrt die Rechte der Nutzer gemäß Kapitel III DSGVO umfassend.

  • Auskunftsrecht (Art. 15 DSGVO): Kopie aller gespeicherten Daten.
  • Berichtigungsrecht (Art. 16 DSGVO): Korrektur falscher Daten.
  • Löschrecht (Art. 17 DSGVO): "Recht auf Vergessenwerden".
  • Einschränkungsrecht (Art. 18 DSGVO): Pausierung der Verarbeitung.
  • Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung in CSV/JSON.
  • Widerspruchsrecht (Art. 21 DSGVO): Insbesondere gegen Direktwerbung.
Prozess zur Geltendmachung:
E-Mail an info@pandadev.de. Wir reagieren i.d.R. innerhalb eines Monats.

7. Datensicherheit (TOMs)

Wir setzen gemäß Art. 32 DSGVO modernste Maßnahmen ein:

  • Verschlüsselung: TLS 1.2/1.3 für alle Übertragungen. Verschlüsselung ruhender Daten bei IONOS.
  • Zugangskontrolle: Zugriff nur für autorisierte Mitarbeiter via VPN/SSH und MFA.
  • Redundanz: Hohe Verfügbarkeit durch Cloud-Architektur (IONOS & Vercel).
  • Organisatorisch: Mitarbeiterschulungen, regelmäßige Überprüfung von Dienstleistern, Privacy by Default.

8. Schlussbestimmungen und Aktualität

Diese Datenschutzerklärung hat den Stand Januar 2026. Aufgrund der dynamischen Weiterentwicklung von "CheckTouch" kann eine Anpassung notwendig werden. Die aktuelle Version ist jederzeit auf der Webseite abrufbar.

Durch die Nutzung von "CheckTouch" erklären Sie sich mit den hier beschriebenen Prozessen einverstanden.