Datenschutzerklärung

Verantwortlicher

SafetyTracker (Einzelunternehmen)
Angaben gemäß § 5 TMG — siehe Impressum
Frankfurt am Main
E-Mail: siehe Impressum

Arten der verarbeiteten Daten

  • Stammdaten: Name, E-Mail-Adresse, Rolle, Unternehmen
  • Gerätedaten: Bezeichnung, Kennung, Hersteller, Standort, Seriennummer, Prüffristen
  • Prüfdaten: Prüfername, Prüfergebnis, Notizen, digitale Unterschrift (AES-256-GCM verschlüsselt)
  • Dokumente: Hochgeladene PDF-Berichte, Fotos von Geräteprüfungen
  • Protokolldaten: Aktivitäts-Logs (append-only), Authentifizierungsereignisse (erfolglose Logins inkl. IP, 90 Tage)
  • Technisch notwendige Session-Cookies zur Authentifizierung (keine Tracking-, Analyse- oder Marketing-Cookies)

Zweck der Verarbeitung

  • Dokumentation von Geräteprüfungen gemäß BetrSichV / DGUV V2
  • Nachverfolgung von Korrekturmaßnahmen
  • Audit-Trail und Aktivitätsprotokoll — strukturiert für GoBD-Nachweisführung
  • SIFA-Multi-Company-Verwaltung
  • Benutzerverwaltung und Zugriffskontrolle
  • Versand von Prüferinnerungen und Benachrichtigungen

Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für alle Kernfunktionen
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung des Verantwortlichen) — für Prüfdokumentation (BetrSichV, GoBD)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für Sicherheitsprotokolle

Hosting & Infrastruktur

SafetyTracker wird in Deutschland und der EU betrieben:

  • Webserver: Hetzner GmbH, Nürnberg, Deutschland
  • Datenbank & Auth: Supabase Inc., Frankfurt, Deutschland
  • E-Mail-Versand: Mailjet GmbH (Pathwire), Paris, Frankreich
  • Ratenbegrenzung: Upstash Inc., Frankfurt, Deutschland

Es findet keine Übermittlung personenbezogener Daten in Drittländer statt.

Speicherdauer

  • Authentifizierungsereignisse: 90 Tage (automatische Löschung)
  • API-Zugriffsprotokolle: 90 Tage (automatische Löschung)
  • Aktivitätsprotokolle: 3 Jahre (automatische Löschung via Cron-Job)
  • Prüfdaten und Dokumente: Unbegrenzt (GoBD-Aufbewahrungspflicht)
  • Benutzerkonten: Bis zur Löschung durch den Administrator

Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

  • Auskunft (Art. 15) — welche Daten über Sie gespeichert sind
  • Löschung (Art. 17) — vollständige Löschung Ihres Kontos und aller Daten
  • Berichtigung (Art. 16) — Korrektur fehlerhafter Daten
  • Einschränkung (Art. 18) — vorübergehende Sperrung der Verarbeitung
  • Datenübertragbarkeit (Art. 20) — Export Ihrer Daten

Zur Ausübung Ihrer Rechte wenden Sie sich an den Betreiber (Kontakt oben).

Sicherheitsmaßnahmen

  • TLS 1.3 für alle Verbindungen
  • AES-256-Verschlüsselung auf Datenbankebene; digitale Unterschriften serverseitig verschlüsselt
  • Row-Level Security (RLS) auf allen Tabellen
  • Signierte URLs für Dateidownloads (1 Stunde gültig)
  • Sitzungszeitüberschreitung nach 30 Minuten
  • Pseudonymisierung von E-Mail-Adressen in Sicherheitsprotokollen (SHA-256 + Salt)

Auftragsverarbeitung

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor und wird auf Anfrage bereitgestellt. Alle Sub-Auftragsverarbeiter (Hetzner, Supabase, Mailjet, Upstash) sitzen in der EU.

Stand

Diese Erklärung ist gültig ab Mai 2026.