PrüfMal.de

Datenschutzerklärung

Stand: 13. Mai 2026 — vor Live-Go durch Anwalt zu prüfen

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[Vorname Nachname]
Einzelunternehmen
[Straße + Hausnummer]
[PLZ Ort]
Deutschland
E-Mail: support@pruefmal.de

2. Allgemeine Hinweise

2.1 Server-Standort

Die Anwendung läuft auf Servern der Hetzner Online GmbH in Falkenstein (Deutschland). Datenbank, Anwendungs-Container und Dateien werden ausschließlich auf europäischen Servern verarbeitet.

2.2 Server-Log-Daten

Beim Aufruf der Website erhebt unser System automatisch Daten und Informationen, die vom Browser des Aufrufenden übermittelt werden. Diese werden für maximal 14 Tage im Server-Log gespeichert. Erhoben werden:

  • IP-Adresse — wird vor dem Logging anonymisiert (letztes Oktett auf 0 bei IPv4, /48-Aggregat bei IPv6); rohe IP-Adressen werden niemals persistiert
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Methode
  • HTTP-Statuscode der Antwort
  • Übertragenes Datenvolumen
  • Browser-Typ und -Version, Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Sicherheit, Stabilität, Missbrauchserkennung).

2.3 Cookies

Wir verwenden ausschließlich technisch notwendige Cookies gemäß §25 Abs. 2 Nr. 2 TTDSG. Eine Einwilligung (Cookie-Banner) ist für diese Cookies nicht erforderlich. Im Einzelnen:

  • pm_session — bindet Ihre Stripe-Session an die Erfolgsseite. HttpOnly, SameSite=Lax, Gültigkeit 1 Stunde.
  • upload_token — autorisiert den Upload Ihrer Abrechnung nach Bezahlung. HttpOnly, SameSite=Lax, Gültigkeit 1 Stunde.

Beide Cookies enthalten ausschließlich kryptografisch signierte technische Kennungen, keine personenbezogenen Inhalte. Es findet keine Tracking-Analyse, kein Profiling und keine Werbe-Nutzung statt.

3. Verarbeitungs-Vorgänge

3.1 Bestellung und Zahlung

Daten: E-Mail-Adresse, gewähltes Tool, Zahlungsbetrag, Stripe-Session-ID, Zahlungsstatus.
Zweck: Abwicklung des Kaufvertrags, Zahlungs­abwicklung, Versand der Leistung per E-Mail.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis 10 Jahre (steuerrechtliche Aufbewahrungspflicht §147 AO). Die E-Mail-Adresse wird vor Aufbewahrungsende auf Wunsch gelöscht (Recht auf Vergessenwerden).

3.2 PDF-Upload und KI-Prüfung

Daten: Hochgeladene PDF-Datei (z. B. Nebenkostenabrechnung), aus dem PDF extrahierter Text.
Zweck: Erbringung der gebuchten Leistung (KI-Plausibilitätsprüfung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Die hochgeladene PDF wird ausschließlich im Arbeitsspeicher des Servers verarbeitet und niemals auf Festplatte gespeichert. Der extrahierte Text wird gespeichert, um die Verarbeitung zu vollenden, und automatisch nach 24 Stunden gelöscht(technisches Reaper-Cronjob). Nach 24 Stunden bleibt nur der Prüfbericht als Ergebnis erhalten, ohne den ursprünglichen Originaltext.

3.3 Versand von Berichten und Reminder-Mails

Daten: E-Mail-Adresse, Vorgangsnummer, PDF-Bericht als Anhang.
Zweck: Zustellung des Prüfberichts; gegebenenfalls Erinnerung an Upload (wenn nach Bezahlung noch keine PDF hochgeladen wurde).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Versanddienstleister: Brevo (Sendinblue SAS, Frankreich) — siehe Auftragsverarbeiter unten.
Reminder-Frequenz: Höchstens 3 Erinnerungen pro Vorgang (nach 1 Stunde, 24 Stunden, 3 Tagen — Magic-Link 7 Tage gültig).

4. Auftragsverarbeiter (Art. 28 DSGVO)

Mit folgenden Dienstleistern bestehen schriftliche Auftragsverarbeitungs-Verträge (AVV/DPA):

4.1 Hosting — Hetzner Online GmbH

Sitz: Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Server-Standort: Falkenstein, Deutschland.
Verarbeitete Daten: Sämtliche serverseitig verarbeiteten Daten.
AVV: Automatisch im Hetzner-Vertrag enthalten.

4.2 Zahlung — Stripe Payments Europe Ltd.

Sitz: The One Building, 1 Lower Grand Canal Street, Dublin 2, Irland.
Verarbeitete Daten: E-Mail-Adresse, Zahlungsdaten (Kartendaten oder SEPA/Paypal), IP-Adresse, Betrag, Stripe-Session-ID.
Datenfluss: Zahlungsdaten werden direkt im Stripe-Checkout-Fenster erfasst — wir erhalten sie selbst nicht.
AVV: stripe.com/legal/dpa.

4.3 KI-Verarbeitung — Anthropic, PBC

Sitz: 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.
Verarbeitete Daten: Aus Ihrer PDF extrahierter Text (für die KI-Plausibilitätsprüfung).
Datenübertragung in Drittland: Anthropic ist nach EU-US Data Privacy Framework zertifiziert. Datenfluss erfolgt auf Basis Standard­vertrags­klauseln + EU-US DPF (Angemessenheits­beschluss der EU-Kommission vom 10.07.2023).
AVV: Wird bei Erstnutzung per Mail angefordert (privacy@anthropic.com).
Keine Trainings-Nutzung: Anthropic verwendet Ihre Daten gemäß Standard-API-Bedingungen nicht für Modell-Trainings.

4.4 E-Mail-Versand — Brevo / Sendinblue SAS

Sitz: 7 rue de Madrid, 75008 Paris, Frankreich.
Verarbeitete Daten: E-Mail-Adresse, Versand-Zeitpunkt, Mail-Inhalt (PDF-Bericht, Magic-Link-URL).
AVV: Im Brevo-Vertrag enthalten, einsehbar im Brevo-Account.

5. Ihre Rechte als Betroffener

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)

Senden Sie Ihre Anfrage mit Ihrer Vorgangsnummer an support@pruefmal.de. Wir antworten innerhalb von 30 Tagen.

Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig in Hessen ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: +49 611 1408-0
Website: datenschutz.hessen.de

6. Datensicherheit

Wir setzen aktuelle technische und organisatorische Maßnahmen ein:

  • TLS-Verschlüsselung (HTTPS) für alle Verbindungen — Zertifikat von Let's Encrypt
  • HMAC-signierte HttpOnly-Cookies für Authentifizierung — kein Zugriff per JavaScript
  • Rate-Limiting pro IP und Sitzung gegen automatisierte Angriffe
  • Isolierte Verarbeitung von PDF-Dateien in Worker-Prozessen mit Speicher-Limit (Schutz gegen Dekompressions-Bomben)
  • Tägliche verschlüsselte Backups der Datenbank auf separates Hetzner-Storage

7. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets aktuellen rechtlichen Anforderungen entspricht. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.