Datenschutzerklärung (Art. 13/14 DSGVO, § 25 TTDSG)

1. Verantwortlicher und Kontakte

Verantwortlicher (Art. 4 Nr. 7 DSGVO): Elephant Webdesign & Marketing GmbH, Schlosslände 26, 85049 Ingolstadt

Vertretungsberechtigt: David Zimmert, Marius Heilmeier, Jonah Runge

E‑Mail (Datenschutz): hello@togethr-share.io

2. Rollenmodell & Verantwortlichkeiten

Wir erbringen eine B2B‑Plattform für Veranstalter (Workspaces). Je nach Verarbeitung agieren wir als:

• Eigenständig Verantwortlicher (z. B. für Konto/Abrechnung, Sicherheits‑/Betriebslogs, eigene Kommunikation).
• Auftragsverarbeiter des Workspace‑Kunden (Art. 28 DSGVO) für Eventteilnehmer‑Daten: Upload‑Original/Thumbnail, flüchtige Overlays, eventbezogene Analytics. In diesem Umfang informiert primär der Workspace als Verantwortlicher seine Teilnehmer. Unsere AVV (Bestandteil der AGB) legt Zwecke/Mittel, TOM und Unterauftragsverarbeiter fest.

Hinweis: Für einige Empfänger (z. B. Stripe) bestehen getrennte Verantwortlichkeiten: Stripe verarbeitet Zahlungs‑ und Betrugspräventionsdaten teils in eigener Verantwortlichkeit. Näheres unten in § 7.

3. Verarbeitungen im Überblick (Kategorien, Zwecke, Grundlagen)

Wir verarbeiten personenbezogene Daten nur, soweit erforderlich. Soweit angegeben, stützen wir uns auf Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO), sonst auf Vertrag (lit. b), rechtliche Pflichten (lit. c) oder berechtigte Interessen (lit. f).

3.1 Konto/Registrierung & Authentifizierung (eigene Verantwortlichkeit)

Daten: E‑Mail, Vor‑/Nachname, optional Profilbild, Passwort‑Hash (bcrypt), Verifikations‑/Reset‑/Einladungs‑Tokens (befristet), Rollen/Mitgliedschaften, kurzlebige JWTs.

Zweck: Kontoanlage, Login, Rollen‑/Rechtemanagement, Workspace‑Verwaltung, Sicherheit.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b; für Sicherheitsmaßnahmen lit. f.

Speicherdauer: Konto bis Löschung; Tokens 24 h; Einladungen 7 Tage.

3.2 Login via Google (OAuth) (eigene Verantwortlichkeit / Google als eigener Verantwortlicher)

Daten: E‑Mail, Name, Profilbild (Scopes „email“, „profile“).

Zweck: bequemer Login. Keine weitergehende Google‑Datenabfrage.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (gewählter Login‑Weg) und – soweit erforderlich – Einwilligung (lit. a).

Hinweis: Für Googles Verarbeitung gilt die Google‑Datenschutzerklärung; Vorgaben für Entwickler: Google API Services User Data Policy. Links siehe § 8.

3.3 Events/Uploads/Overlays (Auftragsverarbeitung für den Workspace)

Daten: Upload‑Original & Thumbnail (gespeichert), Overlays nur flüchtig erzeugt (keine persistente Speicherung), optionale Texteingaben (Masken‑Textfelder).

Zweck (für den Workspace): Erbringung der Event‑Funktion, Auslieferung von Ergebnissen, Kapazitätssteuerung, Missbrauchsprävention (auf Basis gehashter IP), Export/Löschung auf Anforderung.

Rechtsgrundlagen: Verantwortlich ist der Workspace (typisch Art. 6 Abs. 1 lit. b/f). Wir verarbeiten weisungsgebunden (Art. 28).

Klarstellung: Keine Gesichtsanalyse, keine biometrischen Deskriptoren.

3.4 Serverseitige Analytics (ohne Drittanbieter‑Tracker)

Daten: gehashte IP, Browserkennung, zufällige Session‑ID, Zeitstempel (Besuch/erster‑letzter Download/Exit), Zähler generierter/geladener Bilder, Shares, abgeleitete Session‑Dauer, aggregierte Tages‑/Stundenwerte.

Zweck: Auswertung der Event‑Performance, Stabilität/Kapazität, Missbrauchsprävention.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f; keine Drittanbieter‑Cookies; nur pseudonyme/aggregierte Auswertung.

Speicherdauer: i. d. R. ca. 90 Tage.

3.5 Kommunikation/Transaktions‑E‑Mails

Daten: Empfänger, Betreff, Versand‑/Zustellstatus, Message‑ID, Inhalte (Bestätigungs‑/Einladungs‑/Reset‑Links).

Zweck: notwendige Systemmails.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/f.

Empfänger: Netcup (SMTP‑Anbieter, Deutschland) (AVV).

3.6 Support/Automation (nur bei bezahlten Custom‑Overlays)

Daten: Eventname, E‑Mail des Erstellers, PaidAt, ggf. Logo‑URL, Use Case, Workspace‑Referenz.

Zweck: Ticket‑Erstellung/Bearbeitung.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/f.

Empfänger: ClickUp (AVV). Link siehe § 8.

4. Cookies/Local Storage/ähnliche Technologien (§ 25 TTDSG)

Wir verwenden keine Marketing‑ oder Drittanbieter‑Tracker. Authentifizierung nutzt ggf. lokale Tokens/JWT (technisch erforderlich). Bei Zahlungen kann Stripe eigene Cookies/Technologien setzen (Fraud‑Prevention, Checkout). Soweit nicht technisch erforderlich, holen wir Ihre Einwilligung ein; andernfalls erfolgt Einsatz auf Basis § 25 Abs. 2 Nr. 2 TTDSG.

5. Empfänger/Kategorien von Empfängern

• Hosting/Storage: Google Cloud Platform (GCP) – Speicherung von Original/Thumbnail/Logs (AVV/SCC).
• Zahlung: Stripe – Zahlungsabwicklung, Betrugsprävention; teils eigene Verantwortlichkeit (s. § 7).
• E‑Mail/SMTP: Netcup – Versand von Transaktionsmails (AVV).
• Support/Ticketing: ClickUp – nur bei Custom‑Overlays (AVV).
• Login: Google (OAuth) – eigene Verantwortlichkeit für bereitgestellte Profildaten.

Weitere Empfänger nur bei Rechtsgrundlage (z. B. Berater/Behörden) oder mit Einwilligung.

6. Internationale Datentransfers

Soweit personenbezogene Daten in Drittländer (außerhalb des EWR) übermittelt werden (z. B. an Stripe/ClickUp/Google), erfolgt dies unter Einsatz geeigneter Garantien i. S. v. Art. 46 DSGVO (insb. EU‑Standardvertragsklauseln – SCC) und – soweit einschlägig – auf Basis der EU‑US Data Privacy Framework‑Zertifizierung des Empfängers. Ergänzende Maßnahmen werden geprüft und dokumentiert. Verweise auf die Anbieter‑Datenübertragungsregelungen siehe § 8.

7. Besonderheiten bei Zahlungen über Stripe

Vorgang: Für Upgrades/Verlängerungen/Custom‑Bestellungen leiten wir zu Stripe Checkout weiter bzw. binden Stripe‑Elemente ein. Zahlungsdaten (z. B. Karten‑ oder Wallet‑Informationen) verarbeitet Stripe. Wir erhalten abrechnungsrelevante Metadaten (z. B. Checkout‑Session‑ID, Betrag, Status) sowie Kundenstammdaten (z. B. E‑Mail, Name) zur Zuordnung/Buchhaltung.

Rollen: Stripe agiert teils als Auftragsverarbeiter (Abwicklung in unserem Auftrag) und teils als eigener Verantwortlicher, u. a. für Betrugserkennung, Compliance, Sanktions‑/KYC‑Prüfungen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag/Abrechnung), lit. c (gesetzliche Pflichten), lit. f (Betrugsprävention); ggf. lit. a (Einwilligung) für nicht erforderliche Cookies/Tracking.

Technologien/TTDSG: Stripe kann Cookies/Local Storage/Fingerprinting einsetzen. Soweit erforderlich, erfolgt dies nur nach Einwilligung; technisch notwendige Komponenten stützen sich auf § 25 Abs. 2 Nr. 2 TTDSG.

Informationspflichten: Details zu Stripes Verarbeitung, Empfängern und Transfers finden Sie im Stripe Privacy Center und der Privacy Policy (Links § 8).

8. Rechtsinformationen der eingesetzten Dienste (Auswahl)

• Stripe: Privacy Policy; Data Processing Agreement; Data Transfers Addendum (inkl. SCC/DPF‑Rangfolge); Service‑Providers/Sub‑Processors.
• Google Cloud (GCP): Data Processing Addendum mit SCC/Anhängen.
• ClickUp: Data Protection Addendum.
• Google (OAuth): Google Privacy Policy; Google API Services User Data Policy (Vorgaben für Entwickler).

(Aktuelle Links siehe Quellen in Ihrer Dokumentation/Website.)

9. Speicherdauern

• Verifikations‑/Reset‑Token 24 Stunden; Einladungs‑Token 7 Tage.
• Original/Thumbnail bis Event‑Ende + Karenz (z. B. 90 Tage) oder bis Löschanfrage (Weisung des Workspace).
• Analytics/Visit‑Daten (inkl. gehashter IP) ca. 90 Tage.
• Logs 30–90 Tage.
• Abrechnungsrelevante Unterlagen 6–10 Jahre (HGB/AO).
• Kontodaten bis Konto‑Löschung zzgl. gesetzlicher Aufbewahrung.

10. Rechte der Betroffenen

Betroffene haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 21 DSGVO, insb. gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f). Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3). Zudem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (insb. am Sitz des Verantwortlichen).

11. Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Für Registrierung, Login und Zahlungen sind bestimmte Daten erforderlich. Ohne diese ist eine Nutzung/Buchung nicht möglich. Freiwillige Angaben sind als solche gekennzeichnet.

12. Minderjährige

Das Angebot richtet sich an Unternehmen/Veranstalter (B2B). Eine Nutzung durch Minderjährige sollte nur mit Einwilligung der Sorgeberechtigten erfolgen. Wir verarbeiten nicht wissentlich Daten von Kindern.

13. Sicherheit/TOM (Kurzüberblick)

TLS; Passwörter bcrypt; zeitlich begrenzte Tokens; rollenbasierte Zugriffssteuerung; Private Buckets + signierte URLs; keine persistente Overlayspeicherung; IP nur gehasht; Backups/Monitoring; Export‑/Löschprozesse. Details in Anlage TOM (AGB/AVV).

14. Quellen der Daten

Direkterhebung bei Nutzern; bei Eventteilnehmer‑Daten Verarbeitung auf Weisung des Workspace. Indirekte Quellen (z. B. Zahlungsbestätigungen durch Stripe) sind als solche gekennzeichnet.

15. Automatisierte Entscheidungen/Profiling

Keine automatisierten Entscheidungen i. S. v. Art. 22 DSGVO; kein Profiling zu Marketingzwecken.

16. Aktualität/Änderungen

Diese Erklärung wird bei Änderungen von Funktionen, Rechtslagen oder Dienstleistern aktualisiert. Die aktuelle Fassung ist in der App/auf der Website abrufbar. Stand: 15.01.2025

Anlage W (optional) – Muster‑Widerrufsbelehrung & Muster‑Widerrufsformular

(Nur, wenn Leistungen gegenüber Verbrauchern erbracht werden.)

Widerrufsbelehrung

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen. Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsschlusses.

Um Ihr Widerrufsrecht auszuüben, müssen Sie uns (Elephant Webdesign & Marketing GmbH, Schlosslände 26, 85049 Ingolstadt, hello@togethr-share.io) mittels einer eindeutigen Erklärung (z. B. E‑Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Zur Wahrung der Frist reicht die rechtzeitige Absendung.

Folgen des Widerrufs: Wir erstatten alle Zahlungen unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag, an dem die Mitteilung über den Widerruf bei uns eingegangen ist. Für die Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie eingesetzt haben.

Erlöschen des Widerrufsrechts bei digitalen Diensten: Das Widerrufsrecht erlischt, wenn wir mit der Ausführung des Vertrages begonnen haben, nachdem Sie ausdrücklich zugestimmt haben, dass wir vor Ablauf der Widerrufsfrist mit der Ausführung beginnen, und Sie Ihre Kenntnis vom Erlöschen bestätigt haben.

Muster‑Widerrufsformular

(Wenn Sie den Vertrag widerrufen wollen, füllen Sie dieses Formular aus und senden Sie es zurück.)