Datenschutz Stand: 2026-06-07 Gültig: Bundesrepublik Deutschland

DatenschutzerklärungInformationen nach Art. 12–14 DSGVO

Wir verarbeiten personenbezogene Daten sparsam, zweckgebunden und so anonymisiert wie rechtlich möglich. Diese Erklärung sagt Ihnen genau, was wir tun, warum, und welche Rechte Sie haben.

§ 1 · VerantwortlicherWer ist für die Verarbeitung zuständig

Roman Findeis · Einzelunternehmen
Schäferstrasse 45, 19053 Schwerin
Deutschland
E-Mail: retrofue@gmail.com

§ 2 · Welche Daten wir verarbeitenÜberblick

2.1 Beim Besuch der Website

IP-Adresse (gekürzt auf /24, 7 Tage Logfile-Retention)
Zeitpunkt des Zugriffs
Browser-Typ & Version, User-Agent
Aufgerufene Seiten (ausschließlich zu technischen Zwecken)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am sicheren Betrieb.

2.2 Beim Kontaktformular

Firma, Name, Telefon (Pflicht für Rückruf)
E-Mail, Nachricht (optional)
Einwilligung mit Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) + lit. b (Vertragsanbahnung).

2.3 Bei Nutzung als Mandant (nach Auftragserteilung)

Stammdaten (Firma, Adresse, USt-IdNr., HRB-Nummer, Steuer-Nr.)
Kontaktdaten der Ansprechperson
Firmendokumente (Protokolle, Rechnungen, Fotos)
Mitarbeiterdaten — ausschließlich pseudonymisiert (MA-1, MA-2, ...); Klarnamen werden mit AES-128-Fernet-Key verschlüsselt gespeichert und nur bei behördlicher Anforderung entschlüsselt (§ 7 Abs. 6 FZulG).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + lit. c (gesetzliche Pflichten).

§ 3 · Zwecke & SpeicherdauerWie lange wir was behalten

Kontaktformular-Leads ohne Vertragsschluss: 6 Monate, dann Löschung
Mandanten-Dokumente: bis Bescheid-Rechtskraft + 30 Tage, dann Anonymisierung
Case-ID + Bescheidsumme: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 7 Abs. 6 FZulG)
Rechnungen & Verträge: 10 Jahre (§ 14b UStG, § 257 HGB)
Server-Logs: 7 Tage

DSGVO-Cleanup automatisch 30 Tage nach Archivierung eines Falls werden personenbezogene Daten (Namen, Dokumente, Fotos, E-Mail-Korrespondenz) automatisiert anonymisiert oder gelöscht. Nur die zur Aufbewahrung gesetzlich verpflichteten Metadaten bleiben erhalten.

§ 4 · AuftragsverarbeiterExterne Dienstleister

Für den Betrieb unserer Plattform nutzen wir folgende Dienste. Alle EU/EWR, alle mit Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO:

Hosting: eigener Server in Deutschland (Rechenzentrum-Standort: Frankfurt/Main)
Transaktionsmail: Brevo SA, 106 Boulevard Haussmann, 75008 Paris (Sitz: Frankreich)
KI-Verarbeitung (pseudonymisiert): OpenAI Ireland Ltd. (Dublin), Anthropic PBC (US mit EU-DPF-Zertifizierung), Google Ireland Ltd., OpenRouter Inc. (US mit Standardvertragsklauseln)
Firmenrecherche: OpenStreetMap Foundation (UK) — nur öffentliche Unternehmensdaten, keine personenbezogenen Daten

Wichtig: Vor jeder KI-Verarbeitung werden Mitarbeiternamen pseudonymisiert. Die Modelle sehen nie Klarnamen. Rechtsgrundlage für die Verarbeitung durch KI-Dienstleister: Art. 28 DSGVO in Verbindung mit Art. 46 DSGVO (Standardvertragsklauseln) bzw. EU-US-DPF.

§ 5 · Cookies & TrackingWas wir nicht tun

Kein Google Analytics, Facebook Pixel, TikTok oder ähnliches Tracking
Keine Werbe-Cookies, keine Drittanbieter-Einbindungen außer Google Fonts (preconnect)
Nur ein technisch notwendiges Session-Cookie bei eingeloggten Nutzern (session_token, 24 Std. Lebensdauer, HttpOnly + SameSite=lax)

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig), Einwilligung nicht erforderlich.

§ 6 · Ihre RechteWas Sie verlangen können

Nach DSGVO haben Sie folgende Rechte, die Sie jederzeit formlos per E-Mail an retrofue@gmail.com geltend machen können:

Auskunft (Art. 15 DSGVO) — welche Daten wir über Sie gespeichert haben
Berichtigung (Art. 16 DSGVO) — Korrektur falscher Daten
Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden"
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO) — CSV/JSON-Export
Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Beschwerde bei der Aufsichtsbehörde — für uns zuständig: der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Schloss Schwerin, Lennéstraße 1, 19053 Schwerin

§ 7 · DatensicherheitTechnische Maßnahmen

HTTPS/TLS 1.3 für alle Verbindungen (Let's Encrypt, automatische Rotation)
Passwort-Speicherung mit PBKDF2-SHA256, 260 000 Iterations, pro-User-Salt
Datenbank: PostgreSQL 16 mit verschlüsselten Backups
Mitarbeiter-Klarnamen via Fernet/AES-128 verschlüsselt
Zero-Footprint-Prinzip: gegenüber Behörden (BSFZ, Finanzamt) wird FuEscan nicht sichtbar
Rate-Limiting gegen Brute-Force-Versuche
CSRF-Schutz + AuthEnforcement-Middleware + Content-Security-Policy

§ 8 · ÄnderungenAnpassung dieser Erklärung

Diese Datenschutzerklärung wird bei gesetzlichen Änderungen oder Änderungen unserer Leistungen aktualisiert. Aktueller Stand: 2026-06-07. Wir informieren Sie per E-Mail über wesentliche Änderungen, sofern Sie Kundendaten hinterlegt haben.