Datenschutzerklärung

Stand: 16.04.2026

1. Geltungsbereich

Diese Datenschutzerklärung gilt für die unter app.racktag.de erreichbare Web-Anwendung sowie für die mobile App „RackTag“ (nachfolgend zusammenfassend „Dienst“). Sie richtet sich an die Ansprechpartner und Mitarbeitenden der Unternehmen, die den Dienst im Rahmen eines Vertragsverhältnisses mit dem Anbieter nutzen (nachfolgend „Nutzer“).

RackTag richtet sich ausschließlich an gewerbliche Kunden (B2B). Der Dienst ist nicht für Verbraucher im Sinne des § 13 BGB bestimmt.

2. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Henning Dodenhof
c/o IP-Management #5310
Ludwig-Erhard-Str. 18
20459 Hamburg

E-Mail: privacy@racktag.de

3. Rechtsgrundlagen

Soweit personenbezogene Daten verarbeitet werden, stützen sich die Verarbeitungen auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitungen, die zur Bereitstellung des Dienstes und zur Erfüllung der vertraglichen Pflichten gegenüber dem Kunden erforderlich sind, insbesondere die Verwaltung von Benutzerkonten, die Bereitstellung der Web-Anwendung und der mobilen App sowie die Durchführung der Nutzerauthentifizierung.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Verarbeitungen zur Gewährleistung des sicheren und stabilen Betriebs des Dienstes, insbesondere Serverprotokollierung, Fehlerüberwachung und IT-Sicherheitsmaßnahmen. Das berechtigte Interesse des Anbieters an einem zuverlässigen, sicheren Betrieb überwiegt die Interessen der Nutzer, da nur betriebsnotwendige Daten in minimalem Umfang verarbeitet werden.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrung von Abrechnungs- und Buchhaltungsunterlagen zur Erfüllung steuer- und handelsrechtlicher Pflichten.

4. Verarbeitungen im Einzelnen

4.1 Nutzerverwaltung und Onboarding

Der Anbieter verarbeitet im Rahmen der Vertragsanbahnung und -durchführung die Stammdaten des Unternehmens und seines administrativen Ansprechpartners sowie die vom Kundenadministrator angelegten Nutzerdaten (Name, E-Mail-Adresse, Rolle).

Zweck: Einrichtung und Verwaltung des Kundenzugangs, Vertragserfüllung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis zur Löschung des Nutzerkontos bzw. Vertragsende.

4.2 Web-Anwendung

Beim Aufruf und der Nutzung der Web-Anwendung verarbeitet der Dienst folgende Daten:

  • Zugangsdaten: E-Mail-Adresse und Passwort-Hash, die zur Anmeldung mit den vom Kundenadministrator ausgegebenen Zugangsdaten verwendet werden.
  • Sitzungsdaten: Session-Cookie (racktag_session) zur Absicherung der Web-Sitzung. Diese Daten werden ausschließlich zur Aufrechterhaltung der Anmeldung verwendet und nach Ende der Sitzung gelöscht.
  • Serverprotokolle: Bei jedem Zugriff werden technische Metadaten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode, Browser-/Client-Kennung) in Serverprotokollen erfasst. Diese dienen ausschließlich der Sicherstellung des Betriebs, der Erkennung von Fehlfunktionen und der Abwehr unberechtigter Zugriffe.

Zweck: Authentifizierung, Betrieb und Absicherung der Web-Anwendung, Nutzerverwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Zugangs- und Sitzungsdaten), Art. 6 Abs. 1 lit. f DSGVO (Serverprotokolle).
Speicherdauer: Zugangsdaten bis zur Löschung des Nutzerkontos; Sitzungsdaten für die Dauer der Sitzung; Serverprotokolle für 28 Tage.

4.3 Mobile App

Beim Betrieb der RackTag-App für Android verarbeitet der Dienst folgende personenbezogenen Daten:

  • Zugangsdaten: E-Mail-Adresse und Passwort-Hash, die zur Anmeldung mit den vom Kundenadministrator ausgegebenen Zugangsdaten verwendet werden.
  • Sitzungsdaten: Authentifizierungstokens, die nach erfolgreicher Anmeldung verschlüsselt auf dem Gerät gespeichert werden. Diese Tokens dienen der Aufrechterhaltung der authentifizierten Verbindung zur Web-Anwendung.

Zweck: Authentifizierung und Bereitstellung der App-Funktionalität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer der Sitzung oder bis zur Deinstallation der App vom Gerät.

4.4 Fehlerüberwachung

Zur Erkennung technischer Fehler und zur Sicherstellung der Stabilität des Dienstes setzt der Anbieter ein Fehlerüberwachungssystem ein.

Im Fehlerfall können folgende Daten erfasst werden: Fehlermeldung und Stack-Trace, Zeitstempel, HTTP-Anfrageinformationen (URL, Methode, Statuscode), technische Gerätedaten (Betriebssystem, App-Version) sowie unter Umständen Nutzerkennung oder Session-Informationen, sofern diese im Fehlerkontext vorhanden sind.

Der Anbieter hat technische Maßnahmen getroffen, um personenbezogene Daten in Fehlerberichten vor der Speicherung zu minimieren.

Zweck: Technische Fehleranalyse und Qualitätssicherung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Fehlerberichte werden nach 28 Tagen gelöscht.

4.5 Transaktions-E-Mails

Der Dienst versendet transaktionale E-Mails an Nutzer (z. B. Einladungen zur Registrierung, Passwort-Reset-Links, Bestätigung von E-Mail-Adressänderungen). Dazu werden die E-Mail-Adresse und der Name des Empfängers sowie der jeweilige E-Mail-Inhalt an den E-Mail-Versanddienstleister Lettermint B.V. (Niederlande) übertragen.

Zweck: Zustellung systembedingter Benachrichtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Auftragsverarbeiter: Lettermint B.V., Niederlande (siehe Abschnitt 6).
Speicherdauer: 28 Tage.

4.6 Abrechnungsdaten

Zur Sicherstellung einer nachvollziehbaren Rechnungsstellung führt das System ein unveränderliches Protokoll über abrechnungsrelevante Ereignisse (Anlage, Löschung oder Änderung von Nutzern mit der Rolle USER, Rollenwechsel), jeweils mit Zeitstempel und der zu diesem Zeitpunkt gültigen Anzahl abrechnungsrelevanter Nutzer. Dieses Protokoll enthält keine weitergehenden personenbezogenen Daten als die Nutzer-ID und den Ereignistyp.

Zweck: Abrechnungsnachvollziehbarkeit, Vertragserfüllung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO.
Speicherdauer: 10 Jahre (steuerrechtliche Aufbewahrungspflicht nach § 147 AO).

5. Doppelrolle: Verantwortlicher und Auftragsverarbeiter

Für die personenbezogenen Daten, die im Rahmen des eigenen Geschäftsbetriebs anfallen (z. B. Kontaktdaten von Ansprechpartnern der Kunden, eigene Serverprotokolle, Abrechnungsdaten), ist der Anbieter datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Für personenbezogene Daten, die der Kunde im Rahmen der Nutzung des Dienstes einbringt – insbesondere die Zugangsdaten der vom Kundenadministrator angelegten Mitarbeitenden –, handelt der Anbieter als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. In dieser Eigenschaft verarbeitet der Anbieter diese Daten ausschließlich auf dokumentierte Weisung des Kunden hin.

Der Kunde bleibt für diese Daten datenschutzrechtlich Verantwortlicher. Mitarbeitende des Kunden, die ihre Betroffenenrechte (z. B. Auskunft, Löschung) in Bezug auf ihre im Dienst gespeicherten Daten geltend machen möchten, werden gebeten, sich hierfür an ihren Arbeitgeber zu wenden.

Mit jedem Kunden wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO als Bestandteil des Hauptvertrages geschlossen.

6. Auftragsverarbeiter

Der Anbieter setzt folgende Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen wurden:

Dienstleister Sitz Zweck Datenkategorien
Hetzner Online GmbH Gunzenhausen, Deutschland Hosting der Web-Anwendung, der Datenbank und des Objektspeichers Alle im Dienst gespeicherten Daten
Lettermint B.V. Niederlande Versand transaktionaler E-Mails E-Mail-Adresse, Name, E-Mail-Inhalt

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU oder des EWR findet nicht statt.

7. Cookies und lokale Datenspeicherung

Web-Anwendung

Die Web-Anwendung setzt ausschließlich technisch notwendige Cookies ein:

  • Session-Cookie (racktag_session): Dient der Aufrechterhaltung der authentifizierten Sitzung.

Es werden keine Tracking-, Analyse- oder Werbe-Cookies verwendet. Eine Einwilligung ist für die eingesetzten Cookies nicht erforderlich, da sie technisch notwendig für den Betrieb des eingeloggten Bereichs sind.

Mobile App

Die App speichert lokal auf dem Gerät:

  • Verschlüsselte Authentifizierungstoken
  • Planogramm-Metadaten und -bilder

Diese Daten sind nicht für andere Apps zugänglich und werden bei Deinstallation der App gelöscht.

8. Datensicherheit

Der Anbieter trifft angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO:

  • Alle Datenübertragungen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS/HTTPS).
  • Passwörter werden ausschließlich als kryptografischer Hash gespeichert; eine Wiederherstellung des Klartextes ist nicht möglich.
  • Zugangstoken auf Mobilgeräten werden hardwaregestützt verschlüsselt.
  • Jeder Kunde arbeitet in einem logisch getrennten Datenbereich; jede Anfrage wird gegen die Mandantenzugehörigkeit des authentifizierten Nutzers geprüft.
  • Zugriffe auf im Objektspeicher abgelegte Dateien erfolgen über zeitlich begrenzte, signierte URLs.

9. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Im Einzelnen:

Datenkategorie Speicherdauer
Zugangsdaten der NutzerBis zur Löschung des Nutzerkontos
Sitzungscookie und -tokensDauer der Sitzung
Serverprotokolle30 Tage
FehlerberichteBis zur Fehlerbehebung
E-Mail-Versanddaten (Lettermint)28 Tage
Vertragsbezogene StammdatenBis Vertragsende
Abrechnungsprotokolle10 Jahre (§ 147 AO)

10. Rechte der betroffenen Personen

Soweit personenbezogene Daten durch den Anbieter als Verantwortlichen verarbeitet werden, stehen den betroffenen Personen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Recht auf Auskunft über die verarbeiteten personenbezogenen Daten.
  • Berichtigungsrecht (Art. 16 DSGVO): Recht auf Berichtigung unrichtiger oder unvollständiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Recht auf Löschung der Daten, sofern die Verarbeitung nicht mehr erforderlich ist oder keine vorrangigen Gründe für die weitere Verarbeitung bestehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Recht auf Erhalt der bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format.

Hinweis zum Widerspruchsrecht (Art. 21 DSGVO)

Werden personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeitet, haben betroffene Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung dieser Daten einzulegen. Der Anbieter verarbeitet die Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Ausübung der genannten Rechte genügt eine Kontaktaufnahme per E-Mail an die in Abschnitt 2 genannte Adresse.

11. Beschwerderecht

Betroffene Personen haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde für den Anbieter ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Straße 22
20459 Hamburg
datenschutz-hamburg.de

12. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung einer gültigen E-Mail-Adresse sowie eines Passworts ist zur Nutzung des Dienstes erforderlich. Ohne diese Angaben kann kein Nutzerkonto eingerichtet und der Dienst nicht genutzt werden.

13. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

14. Änderungen dieser Datenschutzerklärung

Der Anbieter behält sich vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der rechtlichen Anforderungen anzupassen. Die jeweils aktuelle Fassung ist unter racktag.de/datenschutz abrufbar. Über wesentliche Änderungen werden registrierte Nutzer informiert.