Datenschutzerklärung
⚠️ Diese Datenschutzerklärung wurde für die B2B-Plattform von OnlineStart erstellt und требует проверки актуальности durch die/den Datenschutzbeauftragte*n sowie die Rechtsberatung bei Änderungen von Prozessen, Auftragsverarbeitern oder Rechtsgrundlagen.
1. Verantwortlicher
- Firma: OnlineStart GmbH
- Anschrift: Friedrichstraße 123, 10117 Berlin, Deutschland
- Vertretungsberechtigte Personen: Mira Schneider (Geschäftsführerin), Lukas Weber (Geschäftsführer)
- E-Mail: datenschutz@onlinestart.de
- Telefon: +49 (0)30 12088900
2. Datenschutzbeauftragter (extern bestellt)
- Name/Firma: SecuData Consulting GmbH, Dr. Jana Vogel (externes Mandat – требует проверки актуальности bei Vertragsverlängerung)
- Anschrift: Schanzenstraße 36, 20357 Hamburg, Deutschland
- E-Mail: dsb@secudata-consulting.de
- Telefon: +49 (0)40 2285859-0
- Erreichbarkeit: werktags 09:00–17:00 Uhr; Bestellung nach Art. 37 Abs. 1 lit. b DSGVO dokumentiert
3. Allgemeine Hinweise zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der DSGVO, des BDSG sowie branchenspezifischer Vorschriften (VerpackG, AVV, R/D-Codes). Das Angebot richtet sich an Geschäftskunden (B2B) wie Erstinverkehrbringer, Entsorgungsdienstleister und Auditor*innen. Kernleistungen sind die Erfassung, Auswertung und der Export von Abfall- und Verpackungsdaten für gesetzliche Meldeverfahren.
4. Kategorien personenbezogener Daten
- Stammdaten (Namen, Position, Unternehmen)
- Kontaktdaten (geschäftliche E-Mail, Telefonnummer, Dienstadresse)
- Vertrags- und Nutzungsdaten (Tarif, Module, Aktivitätslogs, Rollen)
- Zahlungs- und Abrechnungsdaten (Rechnungsanschrift, Zahlungsreferenzen, Buchungsjournal)
- Support- und Kommunikationsdaten (Tickets, Gesprächsnotizen, Audit-Logs)
- Technische Daten (IP-Adresse, Geräte-/Browserinformationen, Zeitstempel, Session-ID)
5. Zwecke und Rechtsgrundlagen
| Zweck der Verarbeitung | Rechtsgrundlage | Beschreibung |
|---|---|---|
| Bereitstellung der Plattform, Vertragsdurchführung, Nutzerverwaltung | Art. 6 Abs. 1 lit. b DSGVO | Registrierung, Authentifizierung, Rollenmanagement, Speicherung von Berichten und Exportdateien |
| Erfüllung gesetzlicher Pflichten (u. a. HGB, AO, VerpackG, Nachweisführung ggü. ZSVR) | Art. 6 Abs. 1 lit. c DSGVO | Aufbewahrung von Rechnungs- und Nachweisdaten, Dokumentation von Prüfpfaden, behördliche Auskunftspflichten |
| IT-Sicherheit, Missbrauchs- und Betrugsprävention | Art. 6 Abs. 1 lit. f DSGVO | Monitoring von Logins, Sperrlisten, Analyse ungewöhnlicher Aktivitäten, Abgleich mit AVV-/R-D-Code-Vorgaben |
| Kommunikation mit Ansprechpartner*innen (Support, Onboarding, Audits) | Art. 6 Abs. 1 lit. b oder f DSGVO | Telefon- und E-Mail-Korrespondenz, Ticketing, Statusberichte |
| Direktwerbung gegenüber Bestandskund*innen (z. B. Informationen zu Funktionsupdates) | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG | Versand produktbezogener Hinweise, jederzeitiges Widerspruchsrecht ohne Zusatzkosten |
| Einsatz einwilligungspflichtiger Technologien (z. B. Analyse-Cookies, Newsletter) | Art. 6 Abs. 1 lit. a DSGVO | Separate Einwilligung über Consent-Banner oder Double-Opt-In (derzeit deaktiviert; требует проверки актуальности vor Aktivierung) |
6. Hosting und Logfiles
Die Plattform wird in Rechenzentren der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Deutschland) betrieben. Hetzner agiert als Auftragsverarbeiter mit AV-Vertrag. Bei jedem Zugriff werden Logfiles mit IP-Adresse (gekürzt nach 48 Stunden), Datum/Uhrzeit, URL, HTTP-Status, User-Agent sowie übertragenem Datenvolumen erstellt. Speicherdauer: 14 Tage, Verlängerung bei sicherheitsrelevanten Ereignissen. Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit der Verarbeitung (Art. 6 Abs. 1 lit. f DSGVO i. V. m. Art. 32 DSGVO).
7. Kommunikation und Support
Supportanfragen erreichen uns per E-Mail, Telefon oder über ein internes Ticket-System (self-hosted, Zugriff auf EU-Server). Pflichtfelder sind Name, Unternehmensbezug, Kontaktkanal und Anliegenbeschreibung. Verarbeitungszweck ist die Bearbeitung von Kundenanfragen, ggf. mit Rückfragen an Fachabteilungen. Daten werden 24 Monate nach Abschluss des Tickets gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten greifen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für vertragsbezogene Anliegen, andernfalls Art. 6 Abs. 1 lit. f DSGVO (Interesse an effizientem Support).
8. Vertrags- und Abrechnungsabwicklung
Rechnungsdaten werden in DATEV Unternehmen online verarbeitet; Zahlungsabwicklung für Kreditkarte und SEPA erfolgt über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland (AV-Vertrag, Serverstandort EU). Banktransaktionen laufen über die Hausbank Berliner Volksbank eG. Rechnungen und Buchungsbelege werden 10 Jahre, Vertragsunterlagen 6 Jahre aufbewahrt (§§ 147 AO, 257 HGB). (требует проверки актуальности bei Wechsel des Zahlungsdienstleisters)
9. Newsletter und Direktwerbung
Derzeit wird kein Newsletter angeboten. Sollte zukünftig ein Versand erfolgen, setzen wir ein Double-Opt-In-Verfahren mit protokollierter Einwilligung ein; Dienstleister: Brevo (Sendinblue) GmbH, Köpenicker Str. 126, 10179 Berlin. Abmeldungen sind jederzeit über einen Link im Mailing oder per Nachricht an datenschutz@onlinestart.de möglich. (требует проверки актуальности vor Produktivsetzung)
10. Einsatz von Cookies / Tracking-Technologien
Wir setzen ausschließlich technisch notwendige Session-Cookies (Login-Session, CSRF-Schutz). Optionale Analysecookies (Matomo On-Premise) werden nur nach ausdrücklicher Einwilligung aktiviert; ohne Einwilligung erfolgt kein Tracking. Cookie-Laufzeiten: Session-Cookies bis zum Logout, Matomo-Cookies bis zu 13 Monaten. Details enthält die separate Cookie-Richtlinie unter https://onlinestart.de/cookies (in Erstellung; требует проверки актуальности).
11. Empfänger und Datenübermittlung
- Interne Empfänger: Customer Success, Product Engineering, Finance, Compliance
- Auftragsverarbeiter: Hetzner Online GmbH (Hosting), Stripe Payments Europe Ltd. (Zahlungsabwicklung), Brevo GmbH (E-Mail-Versand, optional), IT-Dienstleister für Wartung (jeweils AV-Verträge, требует проверки актуальности)
- Behörden: Finanzbehörden, ZSVR oder Landesbehörden auf Grundlage gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
- Drittländer: Keine Übermittlung außerhalb des EWR geplant; sollte ein Dienstleister Drittlandsserver einsetzen, erfolgt dies nur mit geeigneten Garantien nach Art. 44 ff. DSGVO (требует проверки актуальности vor Vertragsabschluss)
12. Speicherdauer und Löschung
Personenbezogene Daten werden gelöscht, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungsfristen bestehen. Standardfristen: Vertrags- und Rechnungsdaten 6/10 Jahre (§ 257 HGB, § 147 AO), technische Logdaten 14 Tage, Nutzerkonten 3 Jahre nach Vertragsende (Verjährungsfristen). Löschkonzepte werden jährlich geprüft und dokumentiert (требует проверки актуальности).
13. Datensicherheit
Wir setzen organisatorische und technische Maßnahmen gemäß Art. 32 DSGVO ein: TLS 1.3-Verschlüsselung, rollenbasierte Zugriffskontrolle, Multi-Faktor-Authentifizierung für Administratoren, Protokollierung sicherheitsrelevanter Events, regelmäßige Penetrationstests sowie Verschlüsselung von Backups. Maßnahmen werden mindestens jährlich auditiert.
14. Rechte der betroffenen Personen
Betroffene Personen haben folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit sowie Widerruf erteilter Einwilligungen. Anfragen können über datenschutz@onlinestart.de gestellt werden; wir beantworten sie in der Regel innerhalb von 30 Tagen. Darüber hinaus besteht das Recht auf Beschwerde bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin.
15. Pflicht zur Bereitstellung von Daten
Vertragsrelevante Angaben (Kontakt-, Abrechnungs- und Nutzerdaten) sind für die Nutzung der Plattform erforderlich. Bei Nichtbereitstellung ist eine Anlage von Nutzerkonten, die Abrechnung oder die Nutzung von Exportfunktionen nicht möglich. Freiwillige Daten (z. B. Newsletterpräferenzen) werden entsprechend gekennzeichnet.
16. Automatisierte Entscheidungsfindung / Profiling
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt, die rechtliche Wirkung entfaltet oder Nutzer erheblich beeinträchtigt.
17. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird bei Bedarf aktualisiert (z. B. neue Module, neue Auftragsverarbeiter). Historische Fassungen werden intern versioniert (Repository compliance/policies, Laufwerk LC-01). Letzte redaktionelle Prüfung: 22.09.2024 (требует проверки актуальности mindestens jährlich).
Quellen & Prüfdaten
- Art. 13, 14 und 32 DSGVO – Informationspflichten, Speicherfristen, Sicherheit der Verarbeitung (EUR-Lex CELEX:32016R0679, Abruf 22.09.2024)
- § 7 UWG – Anforderungen an Direktwerbung, abrufbar über https://dejure.org/gesetze/UWG/7.html (Prüfdatum: 22.09.2024)
- § 5 TMG / §§ 5–6 DDG – Anbieterpflichten, abrufbar über https://dejure.org/gesetze/TMG/5.html (Prüfdatum: 22.09.2024)
- Interne Compliance-Guideline „Packaging Reporting Playbook“ Version 2024-09 (требует проверки актуальности durch ZSVR-Fachberatung)