Datenschutzerklärung
Gültig ab: 11. Juni 2026
1. Verantwortlicher für personenbezogene Daten
Verantwortlicher für die personenbezogenen Daten im Sinne von Art. 4 Abs. 7 DSGVO ist:
Firmenname: Cacciatore SR s.r.o.
Sitz: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske
Unternehmens-ID (IČO): 47608412
Steuer-ID / USt-IdNr.: DIČ 2023997547 · IČ DPH SK2023997547
Eintragung: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V
Betrieb des Dienstes: WebsiteAudit
E-Mail:websiteaudit@cacciatore.sk
Telefon:+421 915 170 050
Ein Datenschutzbeauftragter (DSB) im Sinne von Art. 37 DSGVO wurde nicht benannt, da Art und Umfang der Verarbeitung nicht unter die Benennungspflicht nach Art. 37 Abs. 1 DSGVO fallen. Ansprechpartner in Datenschutzangelegenheiten ist der Geschäftsführer des Unternehmens, erreichbar unter der oben genannten E-Mail.
2. Rechtsgrundlage der Verarbeitung
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:
Vertragserfüllung — Art. 6 Abs. 1 lit. b) DSGVO
Die Verarbeitung ist erforderlich, um den Dienst bereitzustellen, dem Sie durch Registrierung oder Start eines Audits beigetreten sind. Sie umfasst die Kontoverwaltung, die Zustellung von Berichten und die mit dem Dienst zusammenhängende Kommunikation.
Berechtigtes Interesse — Art. 6 Abs. 1 lit. f) DSGVO
Wir verarbeiten IP-Adressen und technische Logs zu Sicherheitszwecken (Schutz vor Missbrauch, Rate Limiting), für die Betriebsstabilität und die Fehlerüberwachung (Sentry). Das berechtigte Interesse des Verantwortlichen überwiegt die Interessen der betroffenen Person, da die Verarbeitung zum Schutz des Dienstes und seiner Nutzer erforderlich ist.
Rechtliche Verpflichtung — Art. 6 Abs. 1 lit. c) DSGVO
Rechnungs- und Zahlungsunterlagen bewahren wir gemäß dem Gesetz Nr. 431/2002 Slg. über die Buchführung (gesetzliche Aufbewahrung 10 Jahre) und dem Gesetz Nr. 222/2004 Slg. über die Mehrwertsteuer auf.
Der Dienst sendet derzeit keine Marketing-E-Mails ohne direkten Bezug zu Ihrer Bestellung oder Ihrem Audit. Sollten wir künftig eine solche Kommunikation einführen, holen wir dafür Ihre ausdrückliche Einwilligung ein (Art. 6 Abs. 1 lit. a) DSGVO).
3. Kategorien der verarbeiteten personenbezogenen Daten
Je nachdem, wie Sie den Dienst nutzen, verarbeiten wir folgende Kategorien personenbezogener Daten:
3.1 Direkt bereitgestellte Daten
- E-Mail-Adresse — bei Registrierung, Anmeldung oder Kontaktaufnahme mit dem Support
- Vor- und Nachname — optional, bei Registrierung über Google- oder GitHub-OAuth
- Passwort — ausschließlich in gehashter Form gespeichert (bcrypt); der Verantwortliche hat keinen Zugriff auf das ursprüngliche Passwort
- Agency-Profil — Firmenname, Webadresse, E-Mail, Telefon, Logo-URL; nur für den Agency-Plan, freiwillig
3.2 Betriebs- und Audit-Daten
- URLs, die zum Auditieren eingegeben werden — einschließlich Audit-Ergebnisse, Scores und Befunde
- Getrackte URLs — URLs, die zur Tracking-Liste hinzugefügt wurden (Pro- und Agency-Plan)
- Audit-Verlauf — Datum, Uhrzeit, URL, Ergebnisse; der Umfang hängt vom Plan ab (15 Tage / 45 Tage / 1 Jahr)
- API-Schlüssel — generierter Identifikator für den programmatischen Zugriff (Agency-Plan)
- Abo-Status — aktueller Plan, Ablaufdatum der Testphase, Datum der letzten Zahlung
3.3 Technische und betriebliche Aufzeichnungen
- IP-Adresse — bei jeder Anfrage zu Zwecken des Rate Limiting und der Sicherheit erfasst
- Session-Token — in einem HttpOnly-Cookie zur Authentifizierung gespeichert; 30 Tage gültig
- Fehleraufzeichnungen — technische Ausnahme-Aufzeichnungen (Stack Traces), die an Sentry gesendet werden; sie enthalten keine Passwörter oder Zahlungsdaten
- Anfragezeitpunkte — ein Zeitstempel jedes Audits zu Zwecken des Rate Limiting und des Verlaufs
3.4 Zahlungsdaten
Zahlungstransaktionen werden ausschließlich von Stripe, Inc. verarbeitet (siehe Punkt 5). Der Verantwortliche speichert keine Zahlungskartennummern, CVV-Codes oder Bankverbindungen. Von Stripe bewahren wir nur den Kundenidentifikator (Stripe Customer ID) und den Abo-Status auf.
3.5 Besondere Kategorien personenbezogener Daten
Der Dienst erhebt und verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, rassische Herkunft, religiöse Überzeugungen usw.).
4. Zwecke der Verarbeitung
| Zweck | Daten | Rechtsgrundlage |
|---|---|---|
| Bereitstellung des Dienstes (Audits, Berichte) | E-Mail, URL, Audit-Ergebnisse | Vertrag (Art. 6b) |
| Kontoverwaltung und Authentifizierung | E-Mail, gehashtes Passwort, Session-Token | Vertrag (Art. 6b) |
| Zahlungen und Abrechnung | E-Mail, Stripe Customer ID, Plan-Status | Vertrag + Gesetz (Art. 6b, 6c) |
| E-Mail-Kommunikation (Audits, Passwort-Reset, Verifizierung) | E-Mail, Name | Vertrag (Art. 6b) |
| Rate Limiting und Missbrauchsschutz | IP-Adresse, Zeitstempel | Berechtigtes Interesse (Art. 6f) |
| Fehlerüberwachung und Stabilität des Dienstes | IP-Adresse, Stack Traces (keine PII) | Berechtigtes Interesse (Art. 6f) |
| Buchhalterische Archivierung | Rechnungsunterlagen | Gesetz (Art. 6c) |
5. Empfänger und Auftragsverarbeiter personenbezogener Daten
Wir verkaufen personenbezogene Daten nicht an Dritte zu Marketing- oder anderen kommerziellen Zwecken. Für den Betrieb des Dienstes nutzen wir folgende Auftragsverarbeiter (Art. 28 DSGVO), mit denen wir Auftragsverarbeitungsverträge (DPA) abgeschlossen haben:
Stripe, Inc.
USA (San Francisco, CA)Zweck: Zahlungsabwicklung und Abo-Verwaltung
Verarbeitete Daten: E-Mail, Rechnungsunterlagen, Stripe Customer ID
Garantie (Art. 46 DSGVO): EK-Standardvertragsklauseln (SCC) + EU–US Data Privacy Framework-Zertifizierung (DPF, EK-Beschluss C(2023) 4745)
Google LLC
USA (Mountain View, CA)Zweck: OAuth-Anmeldung, Google PageSpeed Insights API, Google Safe Browsing API, Chrome UX Report (CrUX) API — diese APIs erhalten die URLs der auditierten Seiten, nicht die personenbezogenen Daten des Nutzers
Verarbeitete Daten: OAuth: E-Mail, Name (nur bei Anmeldung über Google). Andere APIs: auditierte URL (öffentliche Webadresse)
Garantie (Art. 46 DSGVO): SCC + EU–US Data Privacy Framework (DPF)-Zertifizierung
GitHub, Inc. (Microsoft)
USAZweck: OAuth-Anmeldung über ein GitHub-Konto
Verarbeitete Daten: E-Mail, GitHub-Benutzername (nur bei Anmeldung über GitHub)
Garantie (Art. 46 DSGVO): SCC + EU–US Data Privacy Framework (DPF)-Zertifizierung
Functional Software, Inc. dba Sentry
USA (San Francisco, CA)Zweck: Automatisierte Aufzeichnung von Anwendungsfehlern und Ausnahmen zu Debugging- und Stabilitätszwecken
Verarbeitete Daten: IP-Adresse, Stack Traces. Passwörter, Zahlungsdaten und Audit-Inhalte sind vom Reporting ausgeschlossen.
Garantie (Art. 46 DSGVO): EK-Standardvertragsklauseln (SCC)
Hosting-Anbieter
EU / laut VertragZweck: Betrieb der Server, Datenbank (PostgreSQL), Redis und der Container-Umgebung
Verarbeitete Daten: Alle in der Datenbank und in Redis gespeicherten Daten (Session-Tokens, Audit-Ergebnisse)
Garantie (Art. 46 DSGVO): Verarbeitung innerhalb der EU/des EWR; Auftragsverarbeitungsvertrag (DPA)
6. Internationale Übermittlungen personenbezogener Daten
Einige Auftragsverarbeiter haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), vor allem in den USA. Übermittlungen in Drittländer werden durch eines oder eine Kombination der folgenden Instrumente im Sinne von Kapitel V DSGVO abgesichert:
- EU–US Data Privacy Framework (DPF) — Angemessenheitsbeschluss der Europäischen Kommission Nr. C(2023) 4745 vom 10. Juli 2023, gilt für Google, GitHub (Microsoft) und Stripe.
- Standardvertragsklauseln (SCC) — von der Kommission mit Beschluss (EU) 2021/914 vom 4. Juni 2021 angenommene Musterklauseln, vor allem für Sentry verwendet.
Der Verantwortliche ist im Hoheitsgebiet der Slowakischen Republik (EU) ansässig und die Verarbeitung findet primär in der EU statt. Übermittlungen in die USA werden minimiert und sind für den Betrieb des Dienstes erforderlich.
7. Aufbewahrungsdauer personenbezogener Daten
| Datenkategorie | Dauer | Grund |
|---|---|---|
| Kontodaten (E-Mail, Name) | Für die Dauer des Kontos + 30 Tage nach Löschung | Vertrag; Wiederherstellung bei Irrtum |
| Audit-Verlauf — Free-Plan | 15 Tage ab Erstellung des Audits | Plan-Begrenzung |
| Audit-Verlauf — Pro-Plan | 45 Tage ab Erstellung des Audits | Plan-Begrenzung |
| Audit-Verlauf — Agency-Plan | 1 Jahr ab Erstellung des Audits | Plan-Begrenzung |
| Session-Tokens (Cookies) | 30 Tage ab letzter Anmeldung | Authentifizierung |
| Rechnungsunterlagen | 10 Jahre | Gesetz Nr. 431/2002 Slg. |
| IP-Adressen (Rate Limiting) | 24 Stunden in Redis; keine Langzeitspeicherung | Sicherheit |
| Fehleraufzeichnungen (Sentry) | 90 Tage (Sentry-Standardeinstellung) | Debugging und Stabilität |
| API-Schlüssel | Für die Dauer des Kontos oder bis zum Widerruf | API-Zugang |
Nach Ablauf der Aufbewahrungsdauer werden personenbezogene Daten automatisch gelöscht oder anonymisiert, sofern eine weitere Aufbewahrung nicht gesetzlich vorgeschrieben ist.
8. Cookies und lokaler Speicher
Der Dienst verwendet ausschließlich funktionale Cookies, die für den Betrieb erforderlich sind:
| Name / Typ | Zweck | Gültigkeit | Typ |
|---|---|---|---|
| better-auth.session_token | Aufrechterhaltung der angemeldeten Sitzung (HttpOnly, Secure, SameSite=Lax) | 30 Tage | Notwendig |
| better-auth.session_data | Caching von Sitzungsdaten zur Reduzierung der DB-Last (HttpOnly) | 5 Minuten | Notwendig |
Funktionale Cookies haben die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO (zur Vertragserfüllung erforderlich) und erfordern keine gesonderte Einwilligung nach § 55 Abs. 5 des Gesetzes Nr. 452/2021 Slg. über elektronische Kommunikation. Sie können die Speicherung von Cookies in den Browsereinstellungen einschränken, eine Anmeldung am Dienst ist jedoch ohne das Session-Cookie nicht möglich.
9. Automatisierte Entscheidungsfindung und Profiling
Der Dienst führt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO durch, die rechtliche Wirkung hätte oder Sie in ähnlicher Weise erheblich beeinträchtigen würde. Audit-Ergebnisse sind ein deterministisches technisches Ergebnis — keine Bewertung des Nutzers und kein Profiling.
Der Tarif (Plan) des Nutzers wird automatisch anhand des Abo-Status in der Datenbank bestimmt (Free / Pro / Agency / Trial). Diese automatische Planzuweisung ist zur Vertragserfüllung erforderlich und stellt kein Profiling im Sinne der DSGVO dar.
10. Ihre Rechte als betroffene Person
Gemäß Kapitel III DSGVO (Art. 15–22) und dem Gesetz Nr. 18/2018 Slg. haben Sie gegenüber dem Verantwortlichen folgende Rechte:
Auskunftsrecht
Sie haben das Recht, eine Bestätigung darüber zu erhalten, ob wir Ihre personenbezogenen Daten verarbeiten, und falls ja, Zugang dazu sowie Informationen über die Verarbeitung.
Recht auf Berichtigung
Sie haben das Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten. E-Mail und Name können Sie direkt in den Kontoeinstellungen ändern.
Recht auf Löschung („Vergessenwerden“)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn der Zweck, zu dem sie erhoben wurden, entfallen ist oder Sie die Einwilligung widerrufen haben. Das Recht gilt nicht für Daten, die wir gesetzlich aufbewahren müssen (z. B. Rechnungsunterlagen).
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, eine Einschränkung der Verarbeitung zu verlangen, beispielsweise während wir die Richtigkeit Ihrer Daten oder die Berechtigung Ihres Widerspruchs prüfen.
Recht auf Datenübertragbarkeit
Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (z. B. der für den Agency-Plan verfügbare JSON-Export) und sie an einen anderen Verantwortlichen zu übertragen.
Widerspruchsrecht
Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten auf Grundlage des berechtigten Interesses (Art. 6f) zu widersprechen. Der Verantwortliche beendet die Verarbeitung, sofern er keine zwingenden berechtigten Gründe nachweist.
Recht auf Widerruf der Einwilligung
Beruht die Verarbeitung auf einer Einwilligung, haben Sie das Recht, diese jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung vor dem Widerruf berührt wird.
So üben Sie Ihre Rechte aus
Senden Sie Ihre Anfrage per E-Mail an websiteaudit@cacciatore.sk. Wir beantworten die Anfrage ohne unangemessene Verzögerung, spätestens innerhalb von 30 Tagen nach Eingang (Art. 12 Abs. 3 DSGVO). Wir können die Frist ausnahmsweise um weitere 2 Monate verlängern, worüber wir Sie informieren.
Zur Überprüfung Ihrer Identität fordern wir eine Bestätigung von der E-Mail-Adresse Ihres Kontos an. Wir stellen den Dienst kostenlos bereit; eine Gebühr können wir nur bei offensichtlich unbegründeten oder wiederholten Anfragen erheben (Art. 12 Abs. 5 DSGVO).
11. Recht auf Beschwerde bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das Gesetz Nr. 18/2018 Slg. verstößt, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die zuständige Behörde für die Slowakei ist:
Amt für den Schutz personenbezogener Daten der Slowakischen Republik
Hraničná 12, 820 07 Bratislava 27
Tel.: +421 2 3231 3214
Vor einer Beschwerde empfehlen wir, uns direkt zu kontaktieren — die meisten Angelegenheiten lösen wir schneller und ohne formelles Verfahren.
12. Sicherheit personenbezogener Daten
Der Verantwortliche implementiert angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO:
- Verschlüsselung der Übertragungen über das Protokoll TLS 1.2+ (HTTPS)
- Hashing von Passwörtern mit dem bcrypt-Algorithmus (Einwegfunktion; das Passwort ist nicht wiederherstellbar)
- Session-Cookies mit den Attributen HttpOnly, Secure und SameSite=Lax
- Rate Limiting (Begrenzung der Anzahl der Anfragen) zum Schutz vor Brute-Force-Angriffen
- E-Mail-Verifizierung des Kontos bei der Registrierung
- Automatisierte Überwachung von Fehlern und Sicherheitsvorfällen
- Datenbankzugriff ausschließlich über eine interne Netzwerkschnittstelle (nicht öffentlich zugänglich)
Im Falle eines Sicherheitsvorfalls, der die Rechte und Freiheiten natürlicher Personen gefährdet, meldet der Verantwortliche dies der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden und den betroffenen Personen ohne unangemessene Verzögerung, wenn der Vorfall sie beeinträchtigen könnte (Art. 33–34 DSGVO).
13. Änderungen dieser Erklärung
Der Verantwortliche behält sich das Recht vor, diese Erklärung zu aktualisieren, insbesondere bei Änderungen in der Datenverarbeitung, Gesetzesänderungen oder der Einführung neuer Funktionen des Dienstes.
Über wesentliche Änderungen (z. B. ein neuer Verarbeitungszweck, neue Auftragsverarbeiter, eine neue Rechtsgrundlage) werden Sie per E-Mail mindestens 14 Tage im Voraus informiert. Weniger wesentliche Änderungen (Textkorrekturen, Aktualisierungen der Kontaktdaten) treten mit der Veröffentlichung auf dieser Seite und der Aktualisierung des Datums „Gültig ab“ in Kraft.
Ein Archiv früherer Versionen der Erklärung ist auf Anfrage per E-Mail verfügbar.
14. Kontakt in Datenschutzangelegenheiten
Senden Sie alle Anfragen, Fragen und Beschwerden zum Schutz personenbezogener Daten an:
Firmenname: Cacciatore SR s.r.o.
Sitz: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske
Unternehmens-ID (IČO): 47608412
Steuer-ID / USt-IdNr.: DIČ 2023997547 · IČ DPH SK2023997547
Eintragung: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V
Betrieb des Dienstes: WebsiteAudit
E-Mail:websiteaudit@cacciatore.sk
Telefon:+421 915 170 050
Diese Datenschutzerklärung tritt am 11. Juni 2026 in Kraft.
Erstellt in Übereinstimmung mit der DSGVO (EU) 2016/679 und dem Gesetz Nr. 18/2018 Slg. über den Schutz personenbezogener Daten.