Datenschutz

1. Verantwortlicher

Luca Düsdieker (Einzelunternehmer), Grafenstraße 22, 59457 Werl, kontakt@eod-app.de

Datenschutzanfragen richten Sie bitte an dieselbe E-Mail-Adresse mit dem Betreff „Datenschutzanfrage“. Ein gesonderter Datenschutzbeauftragter ist nicht benannt (kein Pflichtfall nach Art. 37 DSGVO).

2. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

• Bearbeitung von Kontaktanfragen (Art. 6 Abs. 1 lit. b DSGVO – Vertragsanbahnung/Vertrag).
• Technische Bereitstellung und sicherer Betrieb der Website (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an sicherem Betrieb).
• Bereitstellung des Dashboard-Login-Einstiegs für B2B-Kunden (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung).
• Erfüllung gesetzlicher Pflichten, insbesondere handels- und steuerrechtlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).

3. Server-Protokolldaten

Beim Aufruf unserer Website verarbeitet der Webserver automatisch folgende Daten: anonymisierte IP-Adresse (letztes Oktett entfernt), Datum und Uhrzeit des Zugriffs, aufgerufene URL, übertragene Datenmenge, HTTP-Statuscode sowie Browserkennung (User-Agent).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit und Fehlerdiagnose). Speicherdauer: 7 Tage, danach automatisierte Löschung.

4. Hosting und Auftragsverarbeitung

Die Website und das Dashboard werden bei IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland gehostet (Rechenzentrumsstandort: DE, de-fra-1). Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Alle Daten werden ausschließlich innerhalb der EU verarbeitet; ein Transfer in Drittstaaten findet nicht statt.

Für den Versand von Transaktions-E-Mails (z. B. Kontaktbestätigungen, Einladungen, Systembenachrichtigungen, Passwortzurücksetzung) wird ebenfalls IONOS SE als E-Mail-Dienstleister eingesetzt (IONOS Mail Business / SMTP). Der bestehende Auftragsverarbeitungsvertrag mit IONOS gilt auch für diese Verarbeitung. Dabei werden ausschließlich die für die Zustellung erforderlichen Daten (E-Mail-Adresse sowie ggf. Name soweit im Nachrichteninhalt enthalten) übermittelt. Ein Drittstaatentransfer findet nicht statt.

5. Empfänger von Daten

Empfänger sind ausschließlich zur Leistungserbringung erforderliche Stellen, insbesondere Hosting- und Infrastruktur-Dienstleister sowie intern autorisierte Personen nach dem Need-to-know-Prinzip.

Eine Weitergabe zu Werbezwecken an Dritte findet nicht statt.

6. Speicherdauer

• Kontaktanfragen: bis zu 12 Monate nach Abschluss der Bearbeitung.
• Server-Protokolldaten: 7 Tage (s. Abschnitt 3).
• Abrechnungsrelevante Daten: gemäß gesetzlicher Aufbewahrungspflichten (i. d. R. 10 Jahre).

7. Tracking, Cookies und Einwilligungen

Wir verwenden ausschließlich technisch notwendige Cookies für Betrieb und Sicherheit ohne Einwilligung (§ 25 Abs. 2 TDDDG). Optionale Tracking- oder Marketingtechnologien werden nur nach ausdrücklicher Einwilligung aktiviert und in der Cookie-Richtlinie transparent dokumentiert.

Einwilligungen werden serverseitig mit Zeitstempel, Version und Nachweisdaten protokolliert und können jederzeit widerrufen werden.

8. Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen ein, insbesondere Zugriffsbeschränkungen, rollenbasierten Zugang, verschlüsselte Übertragung (TLS 1.2+) und Protokollierung sicherheitsrelevanter Vorgänge.

10. Ihre Betroffenenrechte

Nach DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO – siehe Abschnitt 9)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – zuständig für NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, Tel. 0211 384 24-0, www.ldi.nrw.de, poststelle@ldi.nrw.de

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an kontakt@eod-app.de oder nutzen Sie unser Online-Formular für Datenschutzanfragen.

11. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

12. Meldepflicht bei Datenschutzverletzungen (Art. 33–34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten sind wir als Verantwortlicher verpflichtet, diese Verletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden (Art. 33 DSGVO), sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.

Besteht für die betroffenen Personen ein hohes Risiko, werden diese zusätzlich unverzüglich benachrichtigt (Art. 34 DSGVO), sofern keine der Ausnahmen des Art. 34 Abs. 3 DSGVO greift (z. B. wirksame technische Schutzmaßnahmen wie Verschlüsselung).

Zuständige Meldebehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, Tel. 0211 384 24-0, www.ldi.nrw.de, poststelle@ldi.nrw.de.

13. Verarbeitung im Dashboard-Produktivbetrieb (Art. 13 DSGVO)

Zusätzlich zu den oben genannten Websitedaten verarbeiten wir im Rahmen des B2B-Produktivbetriebs des EOD-Dashboards folgende Kategorien personenbezogener Daten:

• Schülerdaten: Name, Kontaktdaten, Kurshistorie, SEPA-Bankverbindung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsrfüllung). Löschfrist: 3 Jahre nach Vertragsende (§ 257 HGB), Rechnungsdaten 10 Jahre (§ 147 AO).

Die Plattform verarbeitet Schülerdaten ausschließlich im Auftrag des Kunden (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO). Soweit Schüler das 16. Lebensjahr noch nicht vollendet haben, obliegt die Einholung der Einwilligung erziehungsberechtigter Personen dem Kunden (Art. 8 DSGVO, § 45 BDSG).

• Lehrerdaten: Name, Qualifikationen, Stundennachweise, Lohnberechnungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei Angestellten zusätzlich § 26 BDSG. Löschfrist: 10 Jahre nach Ende des Beschäftigungsverhältnisses.
• SEPA-/Zahlungsdaten: IBAN, BIC, Lastschriftmandate. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Löschfrist: 10 Jahre (§ 147 AO).
• Audit-Protokolle: Nutzer-ID, Aktion, IP-Adresse, Zeitstempel. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Nachweis). Löschfrist: 24 Monate.
• OAuth-Tokens / E-Mail-Integration: Refresh-Tokens für Microsoft 365 / Google Workspace (nur mit ausdrücklicher Einwilligung des Standortadministrators). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Widerruf jederzeit über die OAuth-Einstellungen im Dashboard möglich.

Empfänger (Auftragsverarbeiter):

• IONOS SE, Elgendorfer Str. 57, 56410 Montabaur – Hosting, Datenbank, E-Mail-Versand (AVV nach Art. 28 DSGVO; Verarbeitung ausschließlich in Deutschland).
• Microsoft Corporation (Microsoft 365 / Exchange) – nur sofern der Standortadministrator die OAuth-E-Mail-Integration aktiviert hat. Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und des EU-U.S. Data Privacy Framework.
• Google LLC (Google Workspace / Gmail) – nur sofern der Standortadministrator die OAuth-E-Mail-Integration aktiviert hat. Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln und des EU-U.S. Data Privacy Framework.

13. Stand und Aktualisierung

Diese Datenschutzhinweise werden laufend aktualisiert (aktueller Stand: 10.05.2026). Wesentliche Änderungen werden auf dieser Seite bekannt gegeben. Der Go-Live-Prozess umfasst eine regelmäßige Rechtsprüfung dieser Hinweise.

Hinweis BDSG: Ergänzend gelten die Vorschriften des Bundesdatenschutzgesetzes (BDSG), insbesondere §…26 BDSG bei der Verarbeitung von Beschäftigtendaten.