KSK-Pilot

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Marcel Schlüter
Schwabenstraße 19
74423 Obersontheim
Deutschland
E-Mail: [email protected]

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Rechtsgrundlagen ergeben sich aus der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung des Betroffenen
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse des Verantwortlichen (z. B. Sicherheit, Missbrauchsverhinderung)

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Eine erteilte Einwilligung kann jederzeit widerrufen werden.

3. Hosting und Server

Unsere Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Die Server befinden sich ausschließlich in Deutschland.

Beim Aufruf unserer Website werden automatisch Daten durch den Hoster erhoben und in Server-Logfiles gespeichert. Mit der Hetzner Online GmbH haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen, der den datenschutzkonformen Umgang mit personenbezogenen Daten sicherstellt.

4. Content Delivery Network (Cloudflare)

Wir nutzen das Content Delivery Network von Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Cloudflare ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert und hat sich zur Einhaltung der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO verpflichtet.

Cloudflare dient der Beschleunigung der Seitenauslieferung und dem Schutz vor DDoS-Angriffen. IP-Adressen werden von Cloudflare anonymisiert verarbeitet. Es werden keine Tracking-Cookies durch Cloudflare gesetzt. Es findet kein Profiling oder Nutzer-Tracking statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und performanten Auslieferung unserer Website).

5. KSK-Pflicht-Checker

Unser KSK-Pflicht-Checker ermöglicht die Prüfung der Abgabepflicht zur Künstlersozialabgabe. Die gesamte Berechnung erfolgt ausschließlich clientseitig im Browser des Nutzers.

Es werden keine Eingabedaten an unseren Server oder an Dritte übertragen. Weder die eingegebenen Beträge noch die Berechnungsergebnisse verlassen den Browser des Nutzers.

6. Nutzerkonto / Registrierung

Für die Nutzung der erweiterten Funktionen von KSK-Pilot ist die Erstellung eines Benutzerkontos erforderlich. Hierbei werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Passwort (wird als bcrypt-Hash gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer der Kontonutzung gespeichert und nach Kontolöschung unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Cookies und Tokens

KSK-Pilot verwendet ausschließlich ein funktionales Authentifizierungs-Token (Auth-Token). Dieses Token ist:

  • HMAC-signiert (kryptografisch geschützt gegen Manipulation)
  • HttpOnly (nicht per JavaScript auslesbar)
  • Secure (nur über HTTPS übertragen)
  • SameSite=Strict
  • Gültigkeit: 24 Stunden

Wir setzen keine Tracking-Cookies, kein Google Analytics, kein Facebook Pixel und keine sonstigen Analyse- oder Werbetracker ein. Es gibt keinen Cookie-Banner, da kein einwilligungspflichtiges Cookie gesetzt wird.

8. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert und hat sich zur Einhaltung der EU-Standardvertragsklauseln (SCCs) verpflichtet.

Bei einem Zahlungsvorgang werden folgende Daten an Stripe übermittelt:

  • E-Mail-Adresse
  • Gewähltes Zahlungsmittel (z. B. Kreditkarte, SEPA-Lastschrift)

Wir speichern keine Kreditkartendaten auf unseren Servern. Sämtliche Zahlungsdaten werden ausschließlich von Stripe verarbeitet und gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

9. E-Mail-Versand

Der Versand von E-Mails (Transaktions-E-Mails wie Registrierungsbestätigung, Passwort-Zurücksetzen, Zahlungsbestätigungen sowie Frist-Erinnerungen für KSK-Jahresmeldungen) erfolgt über unseren eigenen Mailserver mail.mschlueter.net, gehostet bei der Hetzner Online GmbH in Deutschland.

Es werden keine E-Mail-Dienste von Drittanbietern außerhalb der EU eingesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. OCR-Rechnungserkennung

KSK-Pilot bietet eine optische Zeichenerkennung (OCR) für hochgeladene Rechnungsbelege an. Die OCR-Verarbeitung erfolgt mittels Tesseract lokal auf unserem Server in Deutschland.

Es wird kein Drittanbieter-Dienst für die OCR-Erkennung eingesetzt. Die hochgeladenen Belege und die extrahierten Texte verlassen zu keinem Zeitpunkt unseren Server. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. KI-gestützte Klassifizierung

Zur automatisierten Klassifizierung von Rechnungspositionen (KSK-pflichtig / nicht KSK-pflichtig) nutzen wir die API von Anthropic PBC (d/b/a Anthropic), 548 Market Street, PMB 90375, San Francisco, CA 94104, USA (Modell: Claude).

Die Datenübermittlung ist auf das Minimum beschränkt: Es wird ausschließlich die Rechnungsbeschreibung (z. B. Logodesign für Webauftritt) an die API übermittelt — keine Personennamen, keine Rechnungsbeträge, keine Kontaktdaten. Die übermittelten Daten werden von Anthropic nicht für das Training ihrer Modelle verwendet und nach der Analyse sofort gelöscht (Zero Data Retention Policy).

Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Klassifizierung).

12. Server-Logfiles

Bei jedem Zugriff auf unsere Website erhebt der Server automatisch folgende Daten:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Angeforderte URL
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL
  • Browser-Typ und Version

Die Speicherdauer beträgt 7 Tage. Danach werden die Logfiles automatisch gelöscht. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und dem störungsfreien Betrieb unserer Website).

13. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von http:// auf https:// wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Sämtliche Daten, die Sie an uns übermitteln, werden ausschließlich über HTTPS übertragen und können nicht von Dritten mitgelesen werden.

14. Speicherdauern

DatenkategorieSpeicherdauer
NutzerkontoBis zur Löschung durch den Nutzer
Zahlungsdaten (Rechnungen)10 Jahre (§ 147 AO, § 257 HGB)
Belege / HonorareBis zur Löschung durch den Nutzer
Server-Logfiles7 Tage
Auth-Tokens24 Stunden

15. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]

16. Widerruf der Einwilligung

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie gemäß Art. 7 Abs. 3 DSGVO das Recht, Ihre Einwilligung jederzeit formlos zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

Den Widerruf können Sie per E-Mail an [email protected] richten.

17. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: 0711 / 615541-0
E-Mail: [email protected]
Website: https://www.baden-wuerttemberg.datenschutz.de

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: April 2026

← Zurück zur Startseite