Zum Hauptinhalt springen

Cookies & Datenspeicherung

Login-Cookies. Keine Marketing-Tracker.

Datenschutzerklärung
Zurück zur Startseite

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur Verantwortlichen Stelle" in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular oder bei der Registrierung eingeben.

Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

2. Hosting, Datenspeicherung und Sub-Processors

Unsere Infrastruktur ist bewusst so gewählt, dass alle persistenten Geschäftsdaten in Deutschland verarbeitet werden. Eine vollständige Provider-Übersicht finden Sie auf der Seite DSGVO-Setup & Datenstandorte.

Hostinger (Anwendungs-Hosting, Datenbank, DNS)

Compute- und Datenbank-Server werden bei Hostinger International Ltd. (Limassol, Zypern) auf Server-Standorten in Deutschland betrieben. Mit Hostinger besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Datenschutzerklärung von Hostinger

Hetzner (Object Storage, Off-Site-Backup)

Datei-Anhänge (Avatare, Beleg-Originale) sowie Datenbank-Backups werden auf Hetzner Object Storage in Falkenstein/Deutschland gespeichert. Anbieter ist die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (deutsches Unternehmen, ISO 27001-zertifiziert). Mit Hetzner besteht ein Auftragsverarbeitungsvertrag. Datenschutzerklärung von Hetzner

Resend (Email-Versand)

Transaktionale System-Mails (z.B. Email-Bestätigung, Passwort-Reset, Einladungen) werden über Resend Inc. (USA) versendet. Mit Resend besteht ein AVV einschließlich der EU-Standardvertragsklauseln (SCC) für den Drittlandtransfer. Resend speichert keine Mail-Inhalte dauerhaft, sondern dient ausschließlich dem Email-Transit.

Google OAuth (optional, „Sign in with Google")

Optional kannst du dich mit deinem Google-Konto anmelden. Wenn du auf den „Sign in with Google"-Button klickst, überträgt Google folgende Daten an StempelKompass: E-Mail-Adresse, Name, Profil-Bild (Avatar) und deine Google-User-ID (eine stabile Kennung, damit wir dich beim erneuten Login wiedererkennen). Beim Login werden keine weiteren Daten (z.B. Gmail-Inhalte, Drive, Kalender) abgerufen — nur die OpenID-Connect-Standard-Scopes openid, email, profile. Ein Zugriff auf deinen Google-Kalender findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Konto-Authentifizierung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl der Google-Login-Option). Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Datenübertragung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs) und des EU-US Data Privacy Framework (DPF, gültig seit Juli 2023).

Du kannst die Google-Verknüpfung jederzeit in deinen Account-Einstellungen aufheben. Dein Konto bleibt dann mit Email + Passwort weiter nutzbar. Die Google-Datenschutz- erklärung findest du unter policies.google.com/privacy.

Datenspeicherung

Alle persistenten Geschäftsdaten (Nutzerkonten, Firmendaten, Belege, Spesen-Einträge) werden ausschließlich auf Servern in Deutschland gespeichert. Es findet kein Transfer von Geschäftsdaten in Drittländer statt.

Vollständige Sub-Processor-Übersicht (Art. 30 DSGVO)

Die folgende Aufstellung listet alle aktuell eingesetzten Auftragsverarbeiter mit Verarbeitungszweck, Datenkategorien, Standort und Übermittlungs-Rechtsgrundlage. Sie wird live aus unserem Sub-Processor-Inventar generiert.

Sub-Processor-Liste konnte nicht geladen werden (Failed to fetch). Bitte kontaktieren Sie uns unter datenschutz@stempelkompass.de.

Bei Aenderungen informiert werden (Art. 28 Abs. 2 DSGVO)

Wir informieren registrierte Empfaenger ueber jede Aenderung dieser Liste — neue Sub-Processors, AVV-Signaturen, Entfernungen — mit 30 Tagen Widerspruchsfrist gemaess Art. 28 Abs. 2 DSGVO. Doppel-Opt-In zur Bestaetigung.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Valerian Huber
Einzelunternehmen
Dahlienweg 11
83109 Großkarolinenfeld
E-Mail: datenschutz@stempelkompass.de

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt.

Geschäftsrelevante Belege unterliegen der gesetzlichen Aufbewahrungspflicht nach § 147 AO (Abgabenordnung). Für Buchungsbelege beträgt die Mindestfrist seit dem Vierten Bürokratieentlastungsgesetz (BEG IV, gültig ab 2025) acht Jahre. StempelKompass speichert Ihre Belege darüber hinaus technisch unveränderbar (Object-Lock) für zehn Jahre.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

4. Datenerfassung auf dieser Website

Cookies

Unsere Internetseiten verwenden so genannte „Cookies". Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Registrierung auf dieser Website

Sie können sich auf dieser Website registrieren, um zusätzliche Funktionen auf der Seite zu nutzen. Die dazu eingegebenen Daten verwenden wir nur zum Zwecke der Nutzung des jeweiligen Angebotes oder Dienstes, für den Sie sich registriert haben.

5. Plugins und Tools

Abwesenheits- und Krankheitsmeldungen (Art. 9 DSGVO)

Mitarbeiter können in der App selbstständig Abwesenheitsmeldungen (Krankheit, Urlaub, sonstige Abwesenheit) erfassen. Krankheitsdaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO und werden mit erhöhtem Schutz behandelt:

  • Zweck: Tages-Übersicht für Vorgesetzte / Personalplanung — kein Ersatz für eAU.
  • Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 BDSG (Beschäftigungskontext) bzw. ausdrückliche Einwilligung des Mitarbeiters durch aktives Eintragen.
  • Sichtbarkeit: Nur Mitarbeiter selbst, direkte Manager-Chain und Customer-OWNER/ADMIN. Kollegen auf gleicher Ebene sehen Krankheitsdaten nicht. Operator (StempelKompass) hat keinen Zugriff (außer über expliziten Support-Access-Grant des Customer-Owners — siehe Abschnitt 7).
  • Speicherdauer: Aktive Meldungen werden gemäß Aufbewahrungspflicht aufbewahrt. Stornierte / abgelaufene Meldungen können auf Wunsch gelöscht werden (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

OCR-Verarbeitung (Optional)

Falls die OCR-Funktion aktiviert ist, nutzen wir Mistral AI (Frankreich) für die automatische Texterkennung auf Belegen.

  • Anbieter: Mistral AI (EU-Unternehmen, Frankreich)
  • Zweck: Automatische Erkennung von Ort/Hotel-Name aus Belegen
  • Datenschutz: DSGVO-konform, EU-Datenverarbeitung
  • Speicherung: Keine dauerhafte Speicherung bei Mistral, nur temporäre Verarbeitung

6. Ihre Rechte

Sie haben jederzeit das Recht:

  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten
  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren

7. Support-Zugriff durch StempelKompass-Mitarbeiter

Im Rahmen unserer Auftragsverarbeitung können autorisierte Support-Mitarbeiter mit ausdrücklicher und zeitlich befristeter Genehmigung des Customer-Owners temporären Zugriff auf einzelne Nutzer-Sichten Ihrer Organisation erhalten (z. B. zur Bug-Reproduktion oder Daten-Korrektur).

Dieser Zugriff folgt dem Salesforce-Modell:

  • Der Customer-Owner erteilt jeden Zugriff einzeln und mit einem Maximum-Fenster von 7 Tagen.
  • Jede Support-Sitzung wird mit einer eindeutigen Session-ID, IP-Adresse, User-Agent, Begründung und Zeitstempel im Audit-Log protokolliert.
  • Maximal 5 Support-Logins pro Stunde pro Mitarbeiter (Rate-Limit).
  • Customer-Owner können die Erlaubnis jederzeit unter /admin/support-access einsehen, neu erteilen oder widerrufen.
  • Eine Audit-Trail-Sicht aller historischen Support-Sitzungen Ihrer Organisation steht Ihnen auf derselben Seite gemäß Art. 15 DSGVO zur Verfügung.

Die zugrundeliegende JWT-Architektur folgt RFC 8693 (OAuth Token Exchange) mit `act`-Claim, wodurch der ursprüngliche Owner ohne Tarn-Identität nachvollziehbar bleibt.

Stand: 16. Mai 2026