Rechtliches
Datenschutzerklärung
Stand: 28. Mai 2026 · Policy-Version 2026-05-28
Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln sie vertraulich gemäß der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Diese Erklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf loocollector.com.
§ 1 Verantwortliche Stelle
Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten auf dieser Website ist:
loocollector UGKoppehof 16
16727 Oberkrämer
E-Mail: datenschutz@loocollector.com
Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse. Wir antworten innerhalb der gesetzlichen Frist von 30 Tagen (Art. 12 Abs. 3 DSGVO).
§ 2 Allgemeines zur Datenverarbeitung
Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder, sofern eine vorherige Einholung der Einwilligung aus tatsächlichen Gründen nicht möglich ist, auf Grundlage einer der weiteren Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO.
Rechtsgrundlagen im Überblick
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Cookie-Banner, Produkt-Analyse).
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (z. B. Bearbeitung einer Buchungsanfrage).
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (z. B. Aufbewahrung gemäß HGB).
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z. B. Sicherheits-Monitoring, technische Fehlersuche).
Datenlöschung und Speicherdauer
Personenbezogene Daten werden gelöscht oder anonymisiert, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den Gesetzgeber vorgesehen wurde — etwa zur Erfüllung handels- oder steuerrechtlicher Aufbewahrungspflichten nach § 257 HGB bzw. § 147 AO (in der Regel 6 bis 10 Jahre).
§ 3 Hosting
Die Website wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Der Serverstandort liegt im Rechenzentrum Falkenstein (Sachsen, Deutschland). Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Bei jedem Aufruf der Website werden vom Webserver automatisch sogenannte Server-Logfiles erfasst:
- Anonymisierte IP-Adresse des anfragenden Geräts
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Statuscode
- User-Agent (Browser, Betriebssystem)
- Referrer-URL (sofern übermittelt)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und sicheren Betrieb). Die Logfiles werden nach 30 Tagen automatisch gelöscht, soweit sie nicht zur Aufklärung eines konkreten Sicherheits- vorfalls weiter benötigt werden.
§ 4 E-Mail-Versand (transaktional)
Für den Versand transaktionaler E-Mails — insbesondere der Anmeldecodes (One-Time-Passwords) beim passwortlosen Login, künftig auch Buchungsbestätigungen — setzen wir Scaleway TEM (Scaleway SAS, 8 rue de la Ville l’Évêque, 75008 Paris, Frankreich) ein. Die Verarbeitung erfolgt ausschließlich auf Scaleway-eigener Infrastruktur in der EU (Rechenzentrum Paris); mit Scaleway besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Verarbeitet werden die Empfänger-E-Mail-Adresse sowie Betreff und Inhalt der jeweiligen Nachricht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher bzw. vertraglicher Maßnahmen — Sie fordern den Anmeldecode aktiv an) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen, missbrauchssicheren Mailversand).
Zur Sicherstellung der Zustellbarkeit verarbeiten wir Zustell- und Bounce-Ereignisse von Scaleway. In unseren eigenen Protokollen speichern wir dabei keine vollständige Empfängeradresse, sondern lediglich die Domain und den technischen Zustellstatus.
§ 5 Error-Tracking mit Sentry
Wir setzen Sentry (Functional Software, Inc., gehostet in Frankfurt am Main durch die Sentry GmbH, Prinzessinnenstraße 19–20, 10969 Berlin) zur Erkennung und Behebung von Software-Fehlern ein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Unser berechtigtes Interesse liegt in der Sicherstellung eines stabilen und sicheren Dienstes für unsere Nutzerinnen und Nutzer. Verarbeitet werden ausschließlich technische Fehlerinformationen:
- Stack-Trace und Fehlermeldung
- Browser- und Betriebssystem-Informationen
- Anonymisierte URL (ohne personenbezogene Parameter)
- Zeitpunkt des Fehlers
IP-Adressen werden vor Übertragung verworfen; Formulardaten und URL-Parameter werden serverseitig automatisch redacted (Allowlist-basierte PII-Filterung). Eine Profilbildung findet nicht statt.
Verarbeitungsort ist die EU (Frankfurt am Main). Sie können der Verarbeitung jederzeit per E-Mail an datenschutz@loocollector.com mit Wirkung für die Zukunft widersprechen (Art. 21 DSGVO).
Sicherheits-Logs und Missbrauchserkennung
Im Rahmen unseres Sicherheits-Monitorings protokollieren wir Versuche, tenant-fremde Daten abzurufen (z. B. ein Mitarbeiter eines Sanitärdienstleisters versucht, Daten eines anderen Sanitärdienstleisters einzusehen). Diese Protokolle laufen ebenfalls in unsere Sentry-EU-Instanz und sind sicherheitsrelevant. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Mandanten-Isolation und Missbrauchsabwehr).
Verarbeitet werden ausschließlich pseudonyme Kennungen und Metadaten:
- Pseudonyme Account-ID des handelnden Benutzers
- Pseudonyme IDs des eigenen und des angegriffenen Mandanten
- Art der versuchten Aktion (Lesen, Ändern, Löschen) und Objektklasse
- Route (ohne URL-Parameter) und Zeitstempel
Speicherdauer: 180 Tage. Es findet keine personenbezogene Auswertung oder Profilbildung statt. Bei einem konkreten Vorfall (z. B. wiederholtem Missbrauchsversuch) können Auszüge zur Beweissicherung in eine revisionssichere Ablage exportiert werden — dann maximal 3 Jahre. Wir informieren betroffene Mandanten unverzüglich nach Art. 33 / 34 DSGVO, falls trotz unserer Schutzmaßnahmen ein Datenabfluss stattgefunden hat.
§ 6 Produktanalyse mit PostHog
Wir setzen PostHog (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA — gehostet in der EU durch PostHog B.V., Niederlande) zur Produktanalyse und Verbesserung der Nutzererfahrung ein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
PostHog wird erst nach Ihrer aktiven Zustimmung über den Cookie-Banner geladen. Ohne Einwilligung findet keinerlei Analyse-Datenerhebung statt. Bei erteilter Einwilligung werden erfasst:
- Seitenaufrufe und Klick-Ereignisse
- Geräte-Informationen (Browser, Betriebssystem, Viewport-Größe)
- Pseudonyme Visitor-ID (kein Klarname, keine E-Mail)
- Verweisende Seite (Referrer)
Personenbezogene Daten in Eingabefeldern (z. B. Namen, E-Mail-Adressen, Adressen) werden automatisch maskiert. Verarbeitungsort ist die EU.
Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie im Footer auf „Cookie-Einstellungen" klicken und die Kategorie „Analyse" deaktivieren. Bereits erhobene pseudonyme Daten bleiben hiervon unberührt; eine Verknüpfung mit Ihrer Person findet nicht statt.
§ 7 Cookies und vergleichbare Technologien
Wir setzen auf unserer Website Cookies ein. Cookies sind kleine Textdateien, die Ihr Browser auf Ihrem Endgerät speichert. Sie dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu gestalten.
Die Rechtsgrundlage für den Einsatz technisch notwendiger Cookies ist § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Alle übrigen Cookies werden nur mit Ihrer Einwilligung gemäß § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO gesetzt.
Übersicht der gesetzten Cookies
| Cookie | Anbieter | Zweck | Speicherdauer | Kategorie |
|---|---|---|---|---|
| PHPSESSID | LooCollector | Session-Management (Login, Warenkorb-State) | Browser-Session | Notwendig |
| loo_consent | LooCollector | Speicherung der Cookie-Einwilligung | 12 Monate | Notwendig |
| ph_* | PostHog (EU) | Produktanalyse, pseudonyme Visitor-ID | 12 Monate | Analyse (Opt-In) |
Sie können Ihre Cookie-Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer ändern oder Cookies in Ihrem Browser manuell löschen.
§ 8 Auftragsverarbeiter und Sub-Prozessoren
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen. Die folgende Übersicht listet alle eingesetzten Sub-Prozessoren:
| Dienstleister | Zweck | Standort | Rechtsgrundlage / Transfer |
|---|---|---|---|
| Hetzner Online GmbH | Hosting der Website und Datenbank | Falkenstein, Deutschland | AVV nach Art. 28 DSGVO (EU) |
| PostHog B.V. | Produktanalyse (opt-in) | Niederlande (EU) | AVV nach Art. 28 DSGVO (EU) |
| Sentry GmbH (Functional Software, Inc.) | Error-Tracking | Frankfurt am Main, Deutschland | AVV nach Art. 28 DSGVO (EU) |
| Cloudflare, Inc. | CDN, DDoS-Schutz | USA (mit EU-Edge-Nodes) | EU-Standardvertragsklauseln (Art. 46 DSGVO) |
| GitHub, Inc. | Quellcode-Verwaltung, CI/CD | USA | Kein Personenbezug zu Endnutzern |
| Let's Encrypt (ISRG) | TLS-Zertifikate | USA | Keine personenbezogenen Daten |
Eine Übermittlung in Drittstaaten findet nur statt, wenn ein angemessenes Schutzniveau gemäß Art. 44 ff. DSGVO sichergestellt ist (z. B. durch EU-Standardvertragsklauseln).
§ 9 Ihre Rechte als betroffene Person
Sofern Ihre personenbezogenen Daten verarbeitet werden, sind Sie Betroffene*r i. S. d. DSGVO und Ihnen stehen folgende Rechte uns gegenüber zu:
- Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung (Art. 18 DSGVO) — Sie können verlangen, dass die Verarbeitung eingeschränkt wird.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
- Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht.
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
- Recht, nicht einer automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO).
Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an datenschutz@loocollector.com. Wir beantworten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
§ 10 Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz- Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für uns zuständig ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 53 1300
Telefax: +49 (0) 981 53 98 1300
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de
§ 11 Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 26. Mai 2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Erklärung zu ändern.
Bei wesentlichen Änderungen, die die Verarbeitung personenbezogener Daten betreffen, fragen wir Ihre Einwilligung erneut ab (Re-Prompt im Cookie-Banner). Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen werden. Wir versionieren die Erklärung mit dem Datum der jeweiligen Änderung.
Letzte Änderung: 28. Mai 2026 ·
Policy-Version 2026-05-28