Zum Inhalt springen
← Zurück

Datenschutzerklärung

Stand: April 2026

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

MDDX Digital Solutions UG (haftungsbeschränkt) in Gründung
Lukas Hengl, Simon Hengl, Niklas Hengl
Eichholzstr. 20a
45475 Mülheim an der Ruhr
E-Mail: [email protected]
Telefon:

1. Überblick

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir im Rahmen der Nutzung der Plattform PawCoach erheben, verarbeiten und speichern. PawCoach ist eine Multi-Tenant-SaaS-Plattform für Hundeschulen, die Kursverwaltung, Online-Buchung, Kommunikation und Abrechnung ermöglicht.

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln diese vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

2. Erhobene Daten bei der Registrierung

2.1 Alle Nutzer (Hundehalter, Trainer)

  • Vorname und Nachname
  • E-Mail-Adresse (verschlüsselt gespeichert mit AES/Fernet)
  • Passwort (gehasht mit Argon2, nicht im Klartext gespeichert)
  • Telefonnummer (optional, verschlüsselt gespeichert)
  • Anschrift: Straße, Postleitzahl, Ort (optional, verschlüsselt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Zusätzlich für Hundeschul-Administratoren

  • Firmenname und Geschäftsadresse
  • Steuernummer, USt-IdNr., W-IdNr.
  • Handelsregistereintrag
  • IBAN (verschlüsselt gespeichert)
  • Stripe-Konto-ID

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung bei steuerrelevanten Daten).

3. Rechtsgrundlagen der Verarbeitung

3.1 Übersicht

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

3.2 Im Detail

RechtsgrundlageAnwendungsbereich
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)Marketing-E-Mails, Newsletter, Webanalyse (Plausible), optionale Cookies
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)Registrierung, Buchungen, Zahlungsabwicklung, transaktionale E-Mails, Kursverwaltung
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)Steuerliche Aufbewahrungsfristen, Rechnungsstellung, handelsrechtliche Pflichten
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)IT-Sicherheit, Logfile-Analyse, Fehlermonitoring, Zwei-Faktor-Authentifizierung, Missbrauchsprävention

4. Hundedaten

Im Rahmen der Nutzung der Plattform können folgende Daten zu Hunden erfasst werden:

  • Name, Rasse, Geburtsdatum, Geschlecht
  • Kastriert-Status
  • Chipnummer
  • Gewicht
  • Gesundheitsinformationen (Allergien, Erkrankungen)
  • Impfstatus
  • Versicherungsnummer
  • Foto
  • Verhaltensnotizen

Diese Daten werden auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) verarbeitet, da sie für die Durchführung des Trainings und die Kursverwaltung erforderlich sind. Gesundheitsdaten können unter Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) fallen, sofern sie Rückschlüsse auf den Halter zulassen.

5. Zwei-Faktor-Authentifizierung (2FA)

Zur Erhöhung der Kontosicherheit bieten wir Zwei-Faktor-Authentifizierung an. Für Administratoren ist diese verpflichtend. Dabei werden verarbeitet:

  • TOTP-Secret (verschlüsselt gespeichert)
  • WebAuthn/Passkey-Credentials (Public Key, Credential-ID)
  • Bis zu 10 Backup-Codes (mit SHA-256 gehasht, nicht im Klartext gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

6. Logfile-Daten

Bei jedem Zugriff auf unsere Plattform werden automatisch folgende Daten erfasst:

  • IP-Adresse (das letzte Oktett wird in Audit-Logs maskiert)
  • Zeitpunkt des Zugriffs
  • Angeforderte URL
  • HTTP-Statuscode
  • Referrer-URL
  • User-Agent (Browser- und Betriebssystemkennung)
  • Übertragene Datenmenge

Diese Daten werden für maximal 365 Tage gespeichert und anschließend automatisch gelöscht (Log-Rotation). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Gewährleistung der IT-Sicherheit und Fehleranalyse).

7. Cookies

7.1 Technisch notwendige Cookies

CookieZweckLaufzeit
Session-CookieVerschlüsselte Sitzungs-ID (httpOnly, Secure, SameSite=Lax)Sitzungsende
CSRF-TokenSchutz vor Cross-Site-Request-ForgerySitzungsende
CookieConsentSpeicherung Ihrer Cookie-Einwilligungsentscheidung (Cookiebot)12 Monate

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Diese Cookies sind für den Betrieb der Plattform zwingend erforderlich und können nicht deaktiviert werden.

7.2 Optionale Cookies

Optionale Cookies (z. B. für Webanalyse) werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.

8. Messaging und Chat

Innerhalb einer Hundeschule können Nutzer über ein integriertes Nachrichtensystem (WebSocket/SocketIO) miteinander kommunizieren. Dabei werden verarbeitet:

  • Nachrichteninhalte
  • Zeitstempel
  • Lesebestätigungen

Nachrichten können archiviert und gelöscht werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Forum

Hundeschulen können ein schulinternes Forum betreiben. Dabei werden Autor, Beitragstext und Zeitstempel gespeichert. Beiträge können durch den jeweiligen Autor gelöscht werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Umfragen

Hundeschulen können Umfragen an ihre Kunden versenden. Die Antworten werden zusammen mit der Nutzer-ID und einem Zeitstempel gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern die Teilnahme freiwillig ist.

11. Live-Standortfreigabe

Trainer können während Spaziergängen ihren Standort temporär für Hundehalter freigeben. Dabei werden GPS-Koordinaten über eine WebSocket-Verbindung übertragen. Die Standortdaten werden ausschließlich für die Dauer der aktiven Freigabe verarbeitet und nicht dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Trainers).

12. Datei-Uploads

Sie können Profilbilder, Hundefotos und Dokumente hochladen. Dabei gilt:

  • Speicherung in Azure Blob Storage (EU, Region West Europe)
  • Maximale Dateigrößen: 5 MB für Bilder, 10 MB für Dokumente, 50 MB für Videos
  • Alle hochgeladenen Dateien werden vor der Speicherung durch ClamAV auf Schadsoftware geprüft

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

13. Zahlungsabwicklung (Stripe)

Für die Zahlungsabwicklung nutzen wir den Dienst Stripe. Dabei werden Zahlungsdaten (Kreditkartendaten, IBAN) direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Stripe kann Daten in die USA übermitteln. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework. Datenschutzhinweise: https://stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

14. Buchhaltungssoftware-Integration (optional)

Hundeschulen können optional eine Buchhaltungssoftware anbinden. Dabei werden Rechnungsdaten (Name, Adresse, Betrag, Leistungsbeschreibung) an den jeweiligen Anbieter übermittelt. Die API-Schlüssel werden verschlüsselt gespeichert. Folgende Anbieter stehen zur Verfügung:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung bei steuerrelevanten Daten).

15. E-Mail-Versand (Microsoft Graph API)

Für den Versand transaktionaler E-Mails (Buchungsbestätigungen, Passwortzurücksetzung, Benachrichtigungen) nutzen wir die Microsoft Graph API. Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Microsoft kann Daten in die USA übermitteln. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework. Datenschutzhinweise: https://privacy.microsoft.com/de-de/privacystatement

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

16. Push-Benachrichtigungen

Sofern Sie Push-Benachrichtigungen auf Ihrem mobilen Endgerät aktivieren, wird ein Device-Token (APNs für iOS, FCM für Android) gespeichert. Dieser Token wird ausschließlich für den Versand von Push-Nachrichten verwendet. Sie können Push-Benachrichtigungen jederzeit in Ihren Profil-Einstellungen deaktivieren. Bei Löschung Ihres Accounts wird der Token ebenfalls gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

17. Newsletter und Marketing-E-Mails

Sie können sich für unseren Newsletter anmelden. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungsmail. Erst nach Klick auf den Bestätigungslink werden Sie in den Verteiler aufgenommen. Wir speichern den Zeitstempel der Einwilligung.

Sie können den Newsletter jederzeit abbestellen. Jede Newsletter-E-Mail enthält einen One-Click-Unsubscribe-Link.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

18. Zeiterfassung (Trainer)

Trainer können ihre Arbeitszeiten über die Plattform erfassen. Dabei werden Start- und Endzeit, Dauer sowie zugewiesene Kurse gespeichert. Diese Daten sind ausschließlich für den jeweiligen Trainer und die Schuladministratoren einsehbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

19. Haushalte

Nutzer können in Haushalten gruppiert werden (z. B. Familien). Haushaltsmitglieder teilen den Zugang zu gemeinsamen Hunden. Die Zuordnung zu einem Haushalt erfolgt auf Einladung und Zustimmung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

20. Webanalyse (Plausible)

Wir nutzen Plausible Analytics zur Analyse der Nutzung unserer Plattform. Plausible ist ein datenschutzfreundliches Analysetool, das keine Cookies setzt und keine personenbezogenen Daten erhebt. Es werden keine Daten in Drittländer übermittelt; die Verarbeitung erfolgt vollständig in der EU (Estland).

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Datenschutzhinweise: https://plausible.io/data-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymisierten Reichweitenmessung).

21. Consent-Management (Cookiebot)

Wir nutzen Cookiebot zur Verwaltung von Cookie-Einwilligungen. Anbieter: Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark. Cookiebot speichert Ihre Einwilligungsentscheidung in einem Cookie (CookieConsent) mit einer Laufzeit von 12 Monaten. Die Daten verbleiben in der EU.

Datenschutzhinweise: https://www.cookiebot.com/de/privacy-policy/

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einholung und Dokumentation von Einwilligungen).

22. Internationale Datenübermittlung

Im Rahmen der Nutzung unserer Plattform können Daten an folgende Empfänger in Drittländern übermittelt werden:

DienstEmpfängerLandGarantie
StripeStripe Payments Europe, Ltd. (Irland)Irland / USAEU-US Data Privacy Framework
Microsoft (E-Mail)Microsoft Ireland Operations LimitedIrland / USAEU-US Data Privacy Framework
PlausiblePlausible Insights OÜ (Estland)EUKein Drittlandtransfer
CookiebotCybot A/S (Dänemark)EUKein Drittlandtransfer

Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework gem. Art. 45 DSGVO.

23. Datensicherheitsmaßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • Verschlüsselung personenbezogener Daten mit AES (Fernet) in der Datenbank
  • Passwort-Hashing mit Argon2 (aktueller Stand der Technik)
  • HTTPS/TLS für alle Verbindungen (HSTS mit Preload, max-age 1 Jahr)
  • Datenbankverbindungen mit SSL (sslmode=require)
  • Content Security Policy (CSP) mit Nonce-basierter Script-Kontrolle
  • Schutz vor Cross-Site-Request-Forgery (CSRF-Token)
  • Rate-Limiting auf allen API-Endpunkten (200 Anfragen/Tag, 50 Anfragen/Stunde als Standard)
  • Zwei-Faktor-Authentifizierung (TOTP und WebAuthn/Passkeys) für Administratoren
  • Sichere Session-Cookies (httpOnly, Secure, SameSite=Lax, serverseitig in Redis)
  • Automatisches Session-Timeout nach 240 Minuten Inaktivität
  • Eingabevalidierung und HTML-Sanitization (Bleach)
  • Malware-Scanning hochgeladener Dateien (ClamAV)
  • Row-Level Security in PostgreSQL (Mandantentrennung auf Datenbankebene)
  • Regelmäßige, GPG-verschlüsselte Datenbank-Backups (AES-256)
  • Audit-Logging mit IP-Maskierung und E-Mail-Maskierung (DSGVO-konform)
  • Automatische Log-Rotation (max. 365 Tage Aufbewahrung)
  • Docker-Container mit Non-Root-User und Ressourcenlimits
  • Security-Headers: X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy
  • Minimale Berechtigungen (Principle of Least Privilege) für Datenbanknutzer

24. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

DatenkategorieSpeicherdauerBegründung
Account-DatenBis zur Löschung des Accounts + 90 TageVertragserfüllung, Widerrufsfrist
Rechnungen und Zahlungsdaten10 Jahre§ 147 AO, § 257 HGB
Vertragsunterlagen6 Jahre nach Vertragsende§ 257 HGB
LogfilesMax. 365 TageIT-Sicherheit, Fehleranalyse
Chat-NachrichtenBis zur Löschung durch den NutzerVertragserfüllung
Einwilligungen (Newsletter, Cookies)3 Jahre nach WiderrufNachweispflicht
Standortdaten (Live-Tracking)Nur während aktiver FreigabeKeine dauerhafte Speicherung
Push-TokenBis zur Deaktivierung oder Account-LöschungEinwilligung

Nach Kündigung eines Accounts werden alle personenbezogenen Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie erhalten Erinnerungen an Tag 60 und Tag 85 vor der endgültigen Löschung.

25. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Alle Entscheidungen, die Sie betreffen, werden von Menschen getroffen.

26. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format anfordern. Diese Funktion steht Ihnen unter /account/export zur Verfügung.
  • Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO widersprechen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]

27. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Sie können sich insbesondere an die Aufsichtsbehörde Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden.

28. Hosting

Diese Plattform wird auf eigenen Servern in Deutschland (EU) betrieben. Die Infrastruktur ist Docker-basiert. Es findet kein Hosting bei externen Cloud-Providern für die Anwendung selbst statt. Datei-Uploads werden in Azure Blob Storage (EU, Region West Europe) gespeichert.

29. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Es gilt die jeweils auf unserer Plattform veröffentlichte Fassung.

Stand: April 2026