Datenschutzerklärung

Stand: 06.09.2025

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten beim Besuch unserer Website und bei der Nutzung unserer Leistungen – insbesondere unseres Produkts „QR-Stempel“ zur Verifizierbarkeit von PDF-Dokumenten.

1. Verantwortlicher

schottech – Software- und Webentwicklung Oberer Triftweg 16 38640 Goslar, Niedersachsen, Deutschland E-Mail (allgemein & Datenschutzanfragen): sales@schottech.de Vertretungsberechtigt: Pascal Schott (Inhaber) Weitere Pflichtangaben entnehmen Sie bitte dem Impressum.

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht erfüllt sind.

2. Grundsätze unserer Datenverarbeitung

Rechtsgrundlagen: – Einwilligung: Art. 6 Abs. 1 lit. a DSGVO – Vertrag/Anbahnung: Art. 6 Abs. 1 lit. b DSGVO – Rechtspflichten: Art. 6 Abs. 1 lit. c DSGVO – Berechtigte Interessen (z. B. IT-Sicherheit, Missbrauchs-/Betrugsprävention, Reichweitenmessung): Art. 6 Abs. 1 lit. f DSGVO
Erforderlichkeit & Datenminimierung: Wir verarbeiten nur solche Daten, die für den jeweiligen Zweck erforderlich sind.
Empfänger: IT-/Hosting-Dienstleister, Infrastruktur- und Sicherheitsanbieter, ggf. E-Mail-/Kommunikations- und Zahlungsdienstleister sowie – im Rahmen des QR-Stempels – unsere Kunden, in deren Auftrag wir handeln (siehe Abschnitt 7).
Auftragsverarbeitung/Subunternehmer: Von uns eingesetzte Dienstleister werden nach Art. 28 DSGVO vertraglich gebunden. Eine aktuelle Liste stellen wir in der AVV oder auf Anfrage bereit; Änderungen werden vorab mit angemessener Frist angekündigt.
Verarbeitung innerhalb der EU/EWR; Drittlandübermittlungen: Grundsätzlich findet die Verarbeitung innerhalb der EU/EWR statt. Sofern ausnahmsweise eine Drittlandübermittlung erforderlich ist, erfolgt diese nur unter den Voraussetzungen der Art. 44 ff. DSGVO (insb. Standardvertragsklauseln, zusätzliche Maßnahmen).
Sicherheit: Wir treffen geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO, u. a. TLS-Verschlüsselung, Härtung, Zugriffskonzepte, Pseudonymisierung/ Verschlüsselung, Rate-Limiting, strenge Referrer-/Cache-Policies, Protokollierung und Backups.

3. Hosting, Server-Logfiles & Sicherheit

Beim Aufruf unserer Website werden serverseitig u. a. verarbeitet: aufgerufene URL, Datum/Uhrzeit, IP-Adresse, User-Agent, Referrer (ggf. unterdrückt), HTTP-Status, übertragene Datenmenge.

Zwecke/Rechtsgrundlage: Bereitstellung der Website, Stabilität, IT-Sicherheit (z. B. DDoS-Abwehr), Fehleranalyse; Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: Server-Protokolle werden i. d. R. 7–30 Tage gespeichert und anschließend gelöscht oder anonymisiert, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erfordern.

4. Cookies, lokale Speicherung & Einwilligungsmanagement

Unsere Website kann technisch notwendige Cookies und/oder lokale Speichermechanismen (z. B. Session-Steuerung) einsetzen.

Analyse/Marketing-Cookies oder vergleichbare Technologien setzen wir nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) über ein Consent-Banner ein. Details (Anbieter, Zwecke, Speicherdauern) werden dort ausgewiesen. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Telekommunikationsrechtliche Vorgaben ergeben sich zusätzlich aus dem TTDSG.

5. Kommunikation & Kontaktformulare (z. B. „Kostenvoranschlag“)

Bei Kontaktaufnahme (E-Mail oder Formular) verarbeiten wir die von Ihnen eingegebenen Daten (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachricht) sowie Metadaten (Zeitpunkt; ggf. IP/Header zur Missbrauchsabwehr).

Zwecke: Bearbeitung Ihrer Anfrage, Angebotserstellung, Vertragsanbahnung/-durchführung, Support. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) sowie lit. f DSGVO (Kommunikation/IT-Sicherheit). Eine Einwilligung ist hierfür nicht erforderlich. Speicherdauer: Anfragen werden i. d. R. nach 6–12 Monaten gelöscht, sofern keine längeren gesetzlichen Aufbewahrungspflichten gelten. Geschäfts-/Vertragskorrespondenz bewahren wir gem. HGB/AO auf. Spam-/Missbrauchsschutz: Verhältnismäßige Maßnahmen (z. B. Honeypots, Rate-Limiting, Header-Prüfungen); Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6. Vertragsbeziehung, Kundenkonto, Abrechnung

Im Rahmen kostenpflichtiger Leistungen verarbeiten wir Stammdaten (Unternehmen, Ansprechpartner, Kontaktdaten), Vertrags-/Nutzungsdaten (gebuchte Pläne, Volumina), Abrechnungsdaten (Rechnungs-/Zahlungsinformationen) und Kommunikationsdaten.

Zwecke/Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b), Rechtspflichten (Art. 6 Abs. 1 lit. c, z. B. steuerliche Aufbewahrung), berechtigte Interessen (Art. 6 Abs. 1 lit. f, z. B. Forderungsmanagement, Produktverbesserung). Speicherdauer: Vertrags-/Abrechnungsunterlagen gem. gesetzlichen Fristen (6–10 Jahre), sonst nach Zweckfortfall.

7. Besonderheiten des Produkts „QR-Stempel“

7.1 Rollen (Verantwortlicher/Auftragsverarbeiter)

Unsere Kunden (z. B. Unternehmen, Schulen, Organisationen), die den QR-Stempel einsetzen, sind in der Regel Verantwortliche i. S. d. DSGVO für die personenbezogenen Daten innerhalb ihrer Dokumente.
schottech agiert hierfür als Auftragsverarbeiter (Art. 28 DSGVO), soweit wir im Auftrag Daten verschlüsselt speichern und zur Verifikation bereitstellen. Vor Leistungsbeginn schließen wir mit dem Kunden eine Auftragsverarbeitungsvereinbarung (AVV) (inkl. TOMs, Unterauftragsverhältnissen, Löschkonzept).
Für Verifizierungsprozesse gegenüber Dritten stellen wir eine technische Plattform bereit. Inhalt und Richtigkeit der Dokumentdaten verantwortet der Kunde (Verantwortlicher).

7.2 Technischer Ablauf & Datenkategorien

Lokale Verarbeitung beim Kunden: Aus einem vorhandenen PDF werden ausschließlich vom Kunden ausgewählte Daten extrahiert (Datenminimierung).
Clientseitige Verschlüsselung & Übertragung: Die ausgewählten Daten werden clientseitig verschlüsselt und zusammen mit einem nicht erratbaren Token (mindestens 128-Bit Entropie, empfohlen 256-Bit) auf unsere Server übertragen.
QR-Code-Stempel: Das PDF wird mit einem QR-Code versehen, der auf eine Verifikations-URL verweist.
Schlüsselprinzip: Je Dokument wird ein Entschlüsselungsschlüssel generiert.
- Standard-Modus (empfohlen): Der Schlüssel wird dem Link als URL-Fragment (Teil nach „#“) beigefügt und nicht an unsere Server übertragen; die Entschlüsselung erfolgt im Browser der verifizierenden Person (z. B. mittels Web-Krypto-APIs).
- Server-Modus (optional, nur auf ausdrücklichen Wunsch des Kunden): Der Schlüssel wird temporär zur serverseitigen Entschlüsselung übermittelt, ausschließlich flüchtig im Arbeitsspeicher verarbeitet und nicht protokolliert.
Verifikation: Eine berechtigte Person scannt den QR-Code mit einem Smartphone. Auf der Verifikationsseite werden die verschlüsselten Daten ausschließlich zum Abgleich/Integritätsnachweis angezeigt. Keine spezielle App erforderlich.

Sicherheits-Hinweis zur URL-Gestaltung: Für die Datenabfrage verwenden wir einen nicht erratbaren Token (s. o.) sowie technische Schutzmechanismen (Rate-Limiting, strikte Referrer-Policy, Cache-Control, keine öffentlichen Verlinkungen). Ohne Kenntnis des vollständigen Links (Token) und des Schlüssels ist ein Zugriff mit zumutbaren Mitteln nicht möglich.

7.3 Zwecke & Rechtsgrundlagen

Gegenüber Website-Besuchern/Verifizierenden: Bereitstellung der Verifikationsfunktion, IT-Sicherheit, Missbrauchsprävention; Art. 6 Abs. 1 lit. f DSGVO.
Gegenüber Kunden: Vertragserfüllung (Betrieb der Stempel-/Verifikationsfunktion); Art. 6 Abs. 1 lit. b DSGVO.
Server-Modus (falls genutzt): Vorübergehende Schlüsselverarbeitung zur Entschlüsselung ist für die Vertragserfüllung erforderlich; Art. 6 Abs. 1 lit. b DSGVO.

7.4 Protokollierung bei Verifikation

Beim Abruf der Verifikations-Ressourcen werden minimale Logdaten verarbeitet (Abschnitt 3). Zusätzlich können abrufbezogene Ereignisdaten (z. B. Anfragen pro Zeitintervall) verarbeitet werden, um Missbrauch zu erkennen.

Speicherdauer: verifikationsbezogene Logs i. d. R. 7–30 Tage; längere Speicherung nur bei sicherheitsrelevanten Vorfällen. Schlüssel werden im Standard-Modus nicht gespeichert.

7.5 Speicherung der verifizierbaren Daten

Wir speichern die vom Kunden verschlüsselten Datensätze pseudonymisiert (Zuordnung über Token).
Speicherdauer: nach kundenseitigen Vorgaben und Vertragslaufzeit (AVV). Auf Wunsch des Kunden können Datensätze zeitgesteuert gelöscht werden (z. B. nach Ablauf der Gültigkeit eines Dokuments). Spätestens 90 Tage nach Vertragsende erfolgt eine Löschung bzw. Rückgabe, sofern keine gesetzlichen Pflichten entgegenstehen.

7.6 Zuständigkeit für Betroffenenrechte

Für Betroffenenrechte, die Dokumentinhalte betreffen (z. B. Berichtigung, Löschung), ist grundsätzlich der jeweilige Kunde als Verantwortlicher zuständig. Wir unterstützen den Kunden im Rahmen der AVV.
Für Verarbeitungen auf unserer Website (z. B. Logfiles, Kontaktformular) sind wir Verantwortlicher (siehe übrige Abschnitte).

8. Zahlungsabwicklung (sofern eingesetzt)

Setzen wir Zahlungsdienstleister ein, verarbeiten diese eigenverantwortlich bzw. als (gemeinsame) Verantwortliche Zahlungs- und Identifikationsdaten. Details (Anbieter, Zwecke, Rechtsgrundlagen) werden an entsprechender Stelle gesondert benannt und – sofern erforderlich – in das Consent-Banner integriert.

9. Analytik, Reichweitenmessung & Fehlermonitoring (optional)

Sofern eingesetzt, verarbeiten wir Daten zur Reichweitenmessung/Analytik oder zum Fehlermonitoring entweder auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a) oder – bei rein anonymisierter/aggregierter Verarbeitung ohne Cookies bzw. bei überwiegenden Sicherheitsinteressen – auf Basis Art. 6 Abs. 1 lit. f. Datenkategorien (beispielhaft): pseudonymisierte Nutzungskennzahlen, Ereignisdaten, Fehler-Kontext, Zeitstempel, User-Agent; bei IP-Adressen nutzen wir Kürzung/Maskierung, soweit möglich. Konkrete Anbieter, Zwecke und Speicherdauern nennen wir im Consent-Banner bzw. an entsprechender Stelle.

10. Ihre Rechte

Sie haben – jeweils nach Maßgabe der gesetzlichen Voraussetzungen – folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO). Beruht eine Verarbeitung auf Ihrer Einwilligung, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Beschwerderecht: Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren. In Niedersachsen z. B. bei der/dem Landesbeauftragten für den Datenschutz Niedersachsen. Kontakt für Rechteausübung: Verwenden Sie die in Abschnitt 1 genannten Kontaktdaten. Für Daten, die wir im Auftrag eines Kunden (QR-Stempel) verarbeiten, richten Sie Ihre Anfrage bitte an den jeweiligen Kunden; wir unterstützen diesen bei der Bearbeitung. Hinweis zur effizienten Bearbeitung: Bitte fügen Sie – sofern möglich – Zeitpunkt und URL des Vorgangs bei.

11. Pflicht zur Bereitstellung von Daten

Im Rahmen der Vertragserfüllung (z. B. Abonnement) sind bestimmte Angaben erforderlich. Ohne diese können wir Verträge nicht anbahnen/erfüllen. Eine gesetzliche Pflicht zur Bereitstellung besteht nur, soweit dies ausdrücklich vorgeschrieben ist (z. B. steuerliche Angaben).

12. Keine automatisierte Entscheidungsfindung/Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

13. Meldung von Datenschutzverletzungen

Wir handhaben Verletzungen des Schutzes personenbezogener Daten nach den Vorgaben der Art. 33/34 DSGVO. Soweit wir Auftragsverarbeiter sind, informieren wir den Kunden (Verantwortlichen) unverzüglich. Als Verantwortlicher melden wir gegenüber der zuständigen Aufsichtsbehörde und – sofern erforderlich – gegenüber betroffenen Personen. Details regelt die AVV.

14. Drittlandübermittlungen

Sofern Daten in Drittländer übermittelt werden, geschieht dies ausschließlich unter Einsatz geeigneter Garantien gemäß Art. 44 ff. DSGVO (insb. Standardvertragsklauseln und ggf. zusätzliche Maßnahmen) und unter Information der Betroffenen gemäß Art. 13/14 DSGVO.

15. Aktualisierung dieser Datenschutzerklärung

Wir passen diese Erklärung an, sobald Änderungen der Datenverarbeitung oder der Rechtslage dies erfordern. Die jeweils aktuelle Fassung ist jederzeit auf unserer Website abrufbar.

Kurzüberblick: Schutzprinzipien des QR-Stempels

Datenminimierung: Verarbeitet werden nur vom Kunden ausgewählte Daten.
Clientseitige Verschlüsselung (Standard): Schlüssel verbleibt im Browser (URL-Fragment); keine Server-Übertragung.
Starke Identifikatoren: Nicht erratbarer Token (≥ 128-Bit Entropie, empfohlen 256-Bit).
Technische Schutzmaßnahmen: TLS, Rate-Limiting, strenge Referrer-/Cache-Policies, keine öffentlichen Verlinkungen.
Transparente Rollen: Kunde = Verantwortlicher für Dokumentinhalte; schottech = Auftragsverarbeiter für Speicherung/Bereitstellung.
Löschkonzept: Speicherung nach kundenseitigen Vorgaben; Löschung spätestens 90 Tage nach Vertragsende (sofern keine Pflichten entgegenstehen).