Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO ist:

Vincenzo Faldetta
Im Trierischen Hof 14
60311 Frankfurt am Main, Deutschland
E-Mail: kontakt@vcf-made.de

Weitere Kontaktdaten finden sich im Impressum.

2. Erhebung allgemeiner Daten beim Aufruf der Website

Beim Aufruf dieser Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert:

• IP-Adresse des anfragenden Endgeräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung, ob der Abruf erfolgreich war
• Browser-Typ und Browser-Version, Betriebssystem, Referrer-URL

Zweck: Gewährleistung der Funktionsfähigkeit der Website, Optimierung, Gewährleistung der IT-Sicherheit (insbesondere Erkennung und Abwehr von Angriffen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).
Speicherdauer: maximal 14 Tage, danach automatische Löschung. Eine Zusammenführung mit anderen personenbezogenen Daten findet nicht statt.

3. Cookies und Local Storage

Wir setzen technisch notwendige Cookies ein. Tracking durch Drittanbieter findet nicht statt. Optional kann eine 1st-Party-Reichweitenanalyse aktiviert werden (siehe Abschnitt 3a, Opt-In-Pflicht).

• PHPSESSID (Session-Cookie) — speichert Ihre Login-Sitzung. Wird beim Schließen des Browsers gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• csrf_token — schützt vor Cross-Site-Request-Forgery-Angriffen. Wird mit der Session gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).
• klaro (Local Storage) — speichert Ihre Cookie-Einwilligungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung nach §25 TDDDG).

Sie können Ihre Cookie-Einstellungen jederzeit über Einstellungen → Datenschutz & Cookies → Cookie-Einstellungen aufrufen und anpassen.

3a. Anonyme Reichweitenanalyse (1st-Party-Tracking, Opt-In)

Mit Ihrer ausdrücklichen Einwilligung im Cookie-Banner aktivieren Sie eine anonyme Reichweitenanalyse direkt auf unserem Server. Es werden keine Daten an Drittanbieter übertragen.

Erhobene Daten:

• Aufgerufene Seiten-URL (ohne Query-Parameter)
• Verweildauer pro Seite (Sekunden)
• Scroll-Tiefe (Maximalwert pro Seite, in Prozent)
• Klick-Ziele (CSS-Selector, kein Klartext-Inhalt)
• Browser-Familie, Betriebssystem, Gerätetyp (Desktop/Mobile/Tablet)
• Geografische Region auf Stadt-Ebene (siehe nächster Absatz)
• JavaScript-Fehlermeldungen (anonym, ohne User-Bezug)
• API-Performance-Daten (Endpoint-Latenz)

Pseudonymisierung: Statt einer User-ID speichern wir einen Session-Hash (SHA-256 der PHP-Session-ID). Dieser Hash ist nicht zurückrechenbar und nicht mit Ihrem Benutzerkonto verknüpft.

IP-Anonymisierung: Ihre IP-Adresse wird vor der Speicherung anonymisiert (bei IPv4 wird das letzte Oktett auf 0 gesetzt, bei IPv6 werden nur die ersten 64 Bits gespeichert). Die geografische Region (Stadt-Ebene) wird VOR der Anonymisierung aus einer lokal gespeicherten Datenbank ermittelt und separat abgelegt — die volle IP-Adresse verlässt unseren Server nicht.

Geo-Datenbank: Wir nutzen die IP-Geolokalisierungs-Datenbank von DB-IP (IP-to-City Lite, CC-BY-4.0-Lizenz). Die Datenbank wird einmalig auf unserem Server installiert und monatlich aktualisiert — es findet kein Abruf bei DB-IP zur Laufzeit statt, Ihre IP-Adresse wird nicht an DB-IP übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit §25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über Einstellungen → Datenschutz & Cookies → Cookie-Einstellungen widerrufen. Bei Widerruf werden keine neuen Daten erhoben; bereits gespeicherte (pseudonyme) Daten bleiben bis zum Ablauf der Speicherfrist erhalten.

Speicherdauer: Rohdaten 12 Monate, danach automatische Löschung. Anonymisierte Tages-Aggregate (Summen pro Tag, ohne Session-Hash) bleiben für Mehrjahres-Trends erhalten.

Empfänger: Keine Drittanbieter. Alle Daten verbleiben auf unserem Server.

4. Benutzerkonto und Authentifizierung

Zur Nutzung des geschützten Bereichs ist die Anlage eines Benutzerkontos erforderlich. Wir verarbeiten dabei folgende Daten:

• Benutzername (Pseudonym, frei wählbar)
• E-Mail-Adresse
• Passwort-Hash (bcrypt, das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)
• Geburtsdatum (optional, für interne Anwendung)
• Anlage- und Login-Zeitstempel

Zweck: Authentifizierung, Steuerung von Zugriffsrechten innerhalb der Anwendung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung).
Speicherdauer: bis zur Löschung des Kontos (Self-Service möglich, siehe Punkt 9).

5. E-Mail-Versand über Microsoft Graph (Drittland-Transfer USA)

Für den Versand von System-Mails (Passwort-Reset, Einladungen, Bestätigungen) nutzen wir die Microsoft-Graph-API der Microsoft Ireland Operations Limited. Beim Versand kann es zur Übermittlung Ihrer E-Mail-Adresse und des Mail-Inhalts an Server in den USA kommen.

Microsoft ist nach dem EU-US Data Privacy Framework (Adäquanzbeschluss der EU-Kommission vom 10.07.2023) zertifiziert; zusätzlich bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und die Microsoft Online Services Terms (inkl. Data Protection Addendum) als Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Mail-Versand zum Account-Management) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Kommunikation).

6. Hosting

Diese Website wird gehostet bei der netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Deutschland. Die Server-Infrastruktur befindet sich in einem Rechenzentrum in Nürnberg. Mit der netcup GmbH besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb).

7. Aktivitätsprotokoll

Innerhalb des angemeldeten Bereichs protokollieren wir sicherheitsrelevante Aktionen (Login, Logout, Berechtigungs-Änderungen, Einladungs-Versand, Feedback-Versand). Erfasst werden:

• Benutzer-ID
• Aktions-Typ
• Zeitstempel
• Bei sicherheitskritischen Aktionen: Browser-Header und IP-Adresse

Zweck: Nachvollziehbarkeit administrativer Vorgänge, Missbrauchserkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Audit).
Speicherdauer: 90 Tage; danach werden Einträge täglich (02:30 Uhr UTC) automatisch gelöscht.

8. Passwort-Reset

Bei der Anforderung eines Passwort-Resets erzeugen wir einen einmaligen Token, der an Ihre hinterlegte E-Mail-Adresse versendet wird. Erfasst werden: Token, Zeitstempel der Anforderung, Verfallszeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Account-Management).
Speicherdauer: Token werden bei Verwendung oder Ablauf (üblicherweise nach 60 Minuten) gelöscht — spätestens jedoch täglich automatisch.

9. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO) — welche Daten wir verarbeiten
• Berichtigungsrecht (Art. 16 DSGVO) — Korrektur unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO) — „Recht auf Vergessenwerden"
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — strukturierte, gängige, maschinenlesbare Form
• Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitung auf Grundlage berechtigter Interessen

Self-Service direkt in der Anwendung

Sie können viele Rechte selbst ausüben, ohne uns kontaktieren zu müssen. Nach Login finden Sie unter Einstellungen → Datenschutz & Cookies folgende Funktionen:

• Cookie-Einstellungen — Einwilligungen jederzeit ändern oder widerrufen
• Meine Daten anfordern — Sofort-Download Ihrer Daten als XLSX-Datei (Art. 15 + 20 DSGVO)
• Meine Daten löschen — sofortige, vollständige Löschung Ihres Kontos inklusive aller relationalen Daten (Art. 17 DSGVO). Eine Bestätigungs-E-Mail wird versendet.

Für alle weiteren Anliegen erreichen Sie uns unter kontakt@vcf-made.de.

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist in der Regel die Landes-Datenschutzbehörde Ihres Wohnsitzes oder die der Geschäftsleitung des Verantwortlichen.

Für den Verantwortlichen ist zuständig:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Wilhelmstraße 7, 65185 Wiesbaden
Postanschrift: Postfach 3163, 65021 Wiesbaden
Telefon: 0611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Web: datenschutz.hessen.de

11. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet nicht statt.

12. Aktualität dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen abzubilden. Für Ihren erneuten Besuch gilt dann die jeweils neue Version.

Stand: 2026-06-07