Datenschutzerklärung
Stand: Mai 2026 • Der Schutz deiner persönlichen Daten ist unser wichtigstes Anliegen.
1. Verantwortlicher im Sinne der DSGVO
Verantwortlich für die Datenverarbeitung auf dieser Webseite und Plattform ist:
René Möllers
Pilotra
Kirchblick 17A
23769 Fehmarn
E-Mail: rene.moellers@pilotra.de
2. Betrieb der Plattform & Webhosting (Supabase)
Wir hosten unsere Plattform bei dem Cloud-Datenbank- und Backenddienst-Anbieter **Supabase**.
- Anbieter: Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992.
- Serverstandort: Die Speicherung aller Plattform- und Datenbankinhalte erfolgt in einem EU-Rechenzentrum von Supabase (Standort: Irland, AWS-Region: eu-west-1).
- Zweck & Rechtsgrundlage: Der Einsatz von Supabase dient der Bereitstellung und dem sicheren Betrieb unserer Webanwendung sowie der Speicherung von Benutzer- und Kundendaten. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen und sicheren Infrastruktur).
- Datensicherheit: Es wurde ein Auftragsverarbeitungsvertrag (AVV) mit Supabase abgeschlossen, um den Schutz deiner Daten nach EU-Standards sicherzustellen.
3. Benutzerkonto und passwortloser Login (Magic Link via Resend)
Wir bieten ein passwortloses Login-Verfahren an. Zur Anmeldung wird ein sogenannter „Magic Link“ generiert.
- Verfahren: Du gibst deine E-Mail-Adresse ein. Unser System sendet dir eine E-Mail mit einem temporär gültigen Zugangs-Link. Durch Klicken dieses Links wirst du automatisch auf der Plattform angemeldet.
- Dienstleister für den E-Mail-Versand: Resend (Resend Labs Inc., 228 Park Ave S, PMB 99547, New York, NY 10003, USA).
- Zweck & Rechtsgrundlage: Die Verarbeitung deiner E-Mail-Adresse und der Login-Token dient der Authentifizierung und Absicherung deines Kontos. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
- Serverstandort & Drittlandtransfer: Wir nutzen für den Versand die europäische Server-Infrastruktur von Resend (Standort: Irland, AWS-Region: eu-west-1). Dadurch verbleiben alle E-Mail-Adressen und Zugangsdaten zur Speicherung und Verarbeitung innerhalb der Europäischen Union. Da die Muttergesellschaft ihren Sitz in den USA hat, wurde zusätzlich ein AVV inklusive der Standardvertragsklauseln (SCCs) geschlossen, um maximale Datenschutzsicherheit nach EU-Standards zu garantieren.
4. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung unserer Abonnements binden wir den Zahlungsdienstleister **Stripe** ein.
- Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
- Übermittelte Daten: Zur Abwicklung von Zahlungen werden deine Rechnungsdaten (z. B. Name, Anschrift, E-Mail-Adresse) sowie Zahlungsdaten (z. B. Kreditkarten- oder Bankverbindungsdaten) an Stripe übermittelt.
- Zweck & Rechtsgrundlage: Die Verarbeitung ist für die Abwicklung der Zahlung und damit für die Durchführung des Vertrages erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
- Hinweis: Stripe verarbeitet einige Daten auch in eigener datenschutzrechtlicher Verantwortung (z. B. zur Betrugsprävention).
5. Rechnungsstellung und Buchhaltung
Nach erfolgreicher Zahlung wird für dich vollautomatisiert eine Rechnung generiert.
- Dienstleister: Zur Erstellung und Archivierung unserer Rechnungen binden wir deutsche Buchführungsdienste (wie lexoffice oder sevDesk) an.
- Zweck & Rechtsgrundlage: Die Speicherung von Rechnungen dient der Erfüllung unserer gesetzlichen Buchführungs- und Aufbewahrungspflichten (§ 257 HGB, § 147 AO). Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO.
6. Reichweitenanalyse und Produktoptimierung (Posthog)
Während der Beta-Phase nutzen wir zu Analyse- und Optimierungszwecken das Open-Source-Analysetool **Posthog**.
- Anbieter: PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA.
- EU-Server-Hosting: Wir nutzen Posthog ausschließlich mit dem dedizierten EU-Datenhosting. Sämtliche Analyse- und Nutzungsdaten werden ausschließlich in der PostHog EU-Cloud auf Servern in Frankfurt am Main, Deutschland verarbeitet und gespeichert. Es findet kein Transfer von rohen Analyse- oder Profildaten in die USA statt. Zudem werden IP-Adressen vor der Speicherung vollständig anonymisiert.
- Rechtsgrundlage: Das Tracking erfolgt ausschließlich nach deiner aktiven und freiwilligen Einwilligung (Opt-In) über unser Cookie-Banner (Art. 6 Abs. 1 lit. a DSGVO). Du kannst diese Einwilligung jederzeit widerrufen.
7. Cookie-Einwilligungs-Banner & Consent-Management (Vanilla CookieConsent)
Wir nutzen zur Verwaltung und Dokumentation deiner datenschutzrechtlichen Cookie-Einwilligungen die Open-Source-Bibliothek Vanilla CookieConsent.
- Lokales Hosting (Keine Weitergabe an Dritte): Im Gegensatz zu vielen kommerziellen Drittanbieter-Lösungen (wie Cookiebot) hosten wir dieses Consent-Tool **vollständig lokal auf unserer eigenen Server-Infrastruktur (Vercel)**. Es findet zu keinem Zeitpunkt eine Übertragung deiner IP-Adresse, deines Browser-Fingerprints oder sonstiger Zustimmungsdaten an externe Server statt. Deine Daten bleiben komplett in unserer Hand.
- Verarbeitete Daten & Speicherung: Sobald du eine Auswahl triffst, wird dein Einwilligungsstatus in einem Cookie namens
cc_cookielokal in deinem Browser gespeichert. Dieses Cookie hat eine typische Gültigkeit von einem Jahr, sodass du beim nächsten Besuch nicht erneut gefragt wirst. - Rechtsgrundlage: Der Einsatz des Tools dient der Erfüllung unserer gesetzlichen Pflicht, eine wirksame und nachweisbare Einwilligung für nicht-essenzielle Cookies einzuholen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung).
8. Stabilitätsüberwachung & Fehleranalyse (Sentry)
Zur Gewährleistung der Stabilität, Sicherheit und Fehlerfreiheit unserer Plattform nutzen wir den Fehleranalysedienst Sentry.
- Anbieter: Functional Software Inc., 1501 Folsom St, San Francisco, CA 94103, USA.
- EU-Server-Hosting: Wir nutzen die europäische Instanz von Sentry. Die Speicherung und Verarbeitung der Fehlerlogs erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union (Standort: Frankfurt am Main, Deutschland).
- Härtung & Datenschutz-Garantien: Um deine Privatsphäre maximal zu schützen, haben wir Sentry streng konfiguriert:
- Visuelle Maskierung (Session Replay): Replay-Aufzeichnungen sind so eingestellt, dass alle Texte und Eingabewerte unkenntlich gemacht werden (
maskAllText: true,blockAllMedia: true). Finanzdaten oder persönliche Namen dringen niemals zu Sentry. - PII-Filterung: Alle gesendeten Daten werden im Browser und auf unseren Servern vorab gefiltert. Sensitive HTTP-Header und E-Mail-Adressen werden unkenntlich gemacht (
[REDACTED]).
- Visuelle Maskierung (Session Replay): Replay-Aufzeichnungen sind so eingestellt, dass alle Texte und Eingabewerte unkenntlich gemacht werden (
- Rechtsgrundlage: Der Einsatz dient unserem berechtigten Interesse an einer sicheren, stabilen und fehlerfreien Plattform (Art. 6 Abs. 1 lit. f DSGVO).
9. Automatisierte Belegerkennung (OCR-Scanner)
Zur Vereinfachung der Ausgabenerfassung bietet unsere Plattform eine automatisierte Beleglesung an.
- Hybrid-Verfahren: Die Erkennung läuft stufenweise ab. Eine schnelle Texterkennung erfolgt direkt lokal im Browser (Tesseract.js, ohne Datenübertragung). Für eine hochpräzise Erkennung werden die Belegdateien transient an die Google Gemini API (über die Google Cloud Platform (GCP) Vertex AI, betrieben in der EU/Frankfurt) übertragen.
- Rechtsgrundlage: Die Verarbeitung ist zur Erfüllung des Vertrages erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
- Datenschutz-Garantie: Auf Basis des abgeschlossenen Google Cloud DPAs (Data Processing Addendum) werden alle Belege ausschließlich transient zur Transkription verarbeitet. Google verwendet deine hochgeladenen Dokumente vertraglich garantiert nicht zur Weiterentwicklung oder zum Training eigener KI-Modelle.
10. Einladungssystem & Erfassung öffentlicher Künstlerdaten (Scraping & Double-Opt-In)
Wir führen zur Pflege und zum Aufbau unserer Künstler- und Eventpartner-Kartei ein aktives Einladungsverfahren auf Basis datenschutzkonformer Richtlinien durch.
- Verfahren: Zu diesem Zweck recherchieren und erfassen wir öffentlich zugängliche Kontaktdaten von professionellen Künstlern, Bands und Event-Dienstleistern (z. B. Name, E-Mail-Adresse, Webauftritt, Performance-Kategorie) aus öffentlichen Webseiten und Verzeichnissen („Scraping“) und speichern diese vorübergehend in einer Onboarding-Datenbank.
- Rechtsgrundlage: Zweck ist die werbliche Kontaktaufnahme zur Einladung auf unsere B2B-Plattform. Rechtsgrundlage ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO (Direktwerbung im B2B-Bereich). Wir halten uns dabei strikt an § 7 Abs. 2 Nr. 3 UWG (mutmaßliche Einwilligung bei geschäftlicher Relevanz).
- Double-Opt-In-Verfahren (Double-In-Verfahren): Die Aufnahme und aktive Listung im Künstler- und Partner-Programm erfolgt ausschließlich über ein strenges Double-Opt-In-Verfahren. Nach der ersten Einladung per E-Mail erhält die betroffene Person die Möglichkeit, die Aufnahme in die Kartei aktiv zu bestätigen (Annehmen) oder abzulehnen (Ablehnen). Erst nach expliziter Bestätigung durch den Empfänger werden die Daten dauerhaft für das Vermittlungsportal freigeschaltet.
- Direktes Opt-Out & Sperrliste (Blacklist): Jede Einladungs-E-Mail enthält zudem einen eindeutigen Abmelde-Link zur sofortigen Ablehnung. Macht der Empfänger von seinem Widerspruchsrecht Gebrauch oder verweigert die Registrierung, wird seine E-Mail-Adresse dauerhaft auf unserer internen Sperrliste (Scraping Blacklist) gespeichert. Dadurch wird technisch und dauerhaft sichergestellt, dass dieser Kontakt zukünftig nie wieder durch automatisierte Scraper erfasst oder angeschrieben wird.
- Informationspflicht (Art. 14 DSGVO): Wir informieren die betroffene Person spätestens bei der ersten Kontaktaufnahme vollumfänglich über die Herkunft ihrer Daten und ihre umfassenden Widerspruchsrechte.
11. Deine Betroffenenrechte nach DSGVO
Als betroffene Person hast du nach der Datenschutz-Grundverordnung (DSGVO) umfassende Rechte gegenüber uns als Verantwortlichem:
- Recht auf Auskunft (Art. 15 DSGVO): Du kannst Auskunft über deine von uns verarbeiteten personenbezogenen Daten sowie deren Verarbeitungszwecke und Herkunft verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Du kannst die unverzügliche Richtigstellung fehlerhafter oder Vervollständigung deiner bei uns gespeicherten Profildaten verlangen.
- Recht auf Löschung (Art. 17 DSGVO / Recht auf Vergessenwerden): Du kannst die vollständige Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre nach HGB/AO für Rechnungen) entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst verlangen, dass deine Daten gesperpt und nicht weiter verarbeitet werden, z. B. während einer Profilprüfung.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) Widerspruch einzulegen. Dies gilt insbesondere für den Widerspruch gegen Direktwerbung (wie unser Einladungssystem).
- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Du kannst erteilte Einwilligungen (z.B. für PostHog-Tracking) jederzeit mit Wirkung für die Zukunft widerrufen.
- Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, dich bei einer zuständigen Datenschutz-Aufsichtsbehörde über unsere Datenverarbeitung zu beschweren.
12. Speicherdauer und Löschung von Daten
Wir speichern personenbezogene Daten nur so lange wie nötig, um den jeweiligen Speicherzweck zu erfüllen oder gesetzliche Pflichten einzuhalten:
- Serverlogs & IP-Adressen: Werden zur IT-Sicherheit und DDoS-Abwehr für maximal 7 Tage vorgehalten und anschließend automatisch gelöscht oder anonymisiert.
- Plattform- & Anwendungsdaten: Werden während der aktiven Abonnement-Laufzeit gespeichert. Nach Kündigung des Abonnements sperren wir dein Konto und löschen alle deine operativen Anwendungsdaten vollständig innerhalb von **30 Tagen**.
- Gesetzliche Aufbewahrungsfristen: Rechnungsdaten und vertragliche Belege werden gesperrt und gemäß den deutschen Bestimmungen (§ 257 HGB, § 147 AO) für **10 Jahre** archiviert.
- Komplette Löschung veranlassen: Du kannst die rückstandsfreie Löschung deines Accounts und aller damit verbundenen Daten jederzeit direkt über dein Kunden-Dashboard (Profil-Einstellungen) im Gefahrenbereich anstoßen oder uns eine formlose E-Mail an rene.moellers@pilotra.de senden.