Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Plattform und der damit verbundenen Dienstleistungen erforderlich ist. Die Plattform CheckSec.de ist eine Vermittlungsplattform, die Kunden (Privat und Unternehmen) mit Sicherheitsdienstleistern verbindet. Im Rahmen dieser Vermittlung verarbeiten wir insbesondere:

• Kontakt- und Stammdaten von Kunden und Unternehmen
• Anfragedaten aus dem Beratungsassistenten (Wizard)
• Verifizierungsdokumente von Unternehmen
• Kommunikationsdaten (Chat, E-Mail)
• Zahlungs- und Abrechnungsdaten
• Nutzungsdaten (Server-Logs, Session-Daten)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Newsletter-Anmeldung, nicht-essentielle Cookies.
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Registrierung, Beratungsassistent, Matching, Bewerbungssystem, Chat, Zahlungsabwicklung, Ticket-System, Dokumenten-Verifizierung.
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Aufbewahrung von Rechnungen und Zahlungsdaten (steuer- und handelsrechtliche Pflichten), Audit-Log.
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Server-Logfiles, Missbrauchsprävention (Blacklist), Plattformsicherheit, essentielle Cookies, E-Mail-Protokollierung.

4. Erhebung und Speicherung personenbezogener Daten

a) Server-Logfiles

Bei jedem Zugriff auf unsere Plattform werden automatisch Informationen durch den Webserver erfasst:

• IP-Adresse des zugreifenden Geräts
• Datum und Uhrzeit der Anfrage
• Browsertyp und -version, Betriebssystem
• Referrer-URL
• Angeforderte Ressource (URL)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Gewährleistung der technischen Funktionsfähigkeit und Sicherheit).
Speicherdauer: 30 Tage, danach automatisierte Löschung.

b) Cookies und Session-Daten

Unsere Plattform verwendet folgende Cookies:

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (strikt notwendige Cookies). Weitere Informationen finden Sie in unseren Cookie-Einstellungen.

c) Kundenregistrierung

Bei der Registrierung als Kunde erheben wir:

• E-Mail-Adresse (Pflicht)
• Name (Pflicht)
• Telefonnummer (optional)
• Firmenname (optional, Pflicht bei Kundentyp „Unternehmen“)
• Kundentyp (privat/geschäftlich)

Die Anmeldung erfolgt passwortlos über per E-Mail versandte Einmalcodes (6 Ziffern, 10 Minuten gültig). Die Codes werden nach Ablauf bzw. Nutzung automatisch ungültig.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis zur Löschung des Kundenkontos, danach Anonymisierung. Login-Codes werden nach 15 Minuten verworfen.

d) Unternehmensregistrierung

Bei der Registrierung als Sicherheitsunternehmen erheben wir umfangreiche Daten:

• Firmendaten: Firmenname, Rechtsform, Handelsregisternummer (optional), Umsatzsteuer-ID (optional), Gründungsjahr, Mitarbeiterzahl
• Inhaberdaten: Vorname und Nachname des Inhabers/Geschäftsführers
• Ansprechpartner: Vorname, Nachname
• Adresse: Straße, Hausnummer, PLZ, Stadt
• Kontakt: E-Mail-Adresse, Telefonnummer, Website (optional)
• Zugangsdaten: Passwort (gespeichert ausschließlich als bcrypt-Hash mit 12 Runden, niemals im Klartext)
• Profildaten: Firmenbeschreibung, Logo, Banner-Bild
• Einsatzgebiet: Service-PLZ, Service-Radius in km
• Qualifikationen: Gesetzliche, berufliche und zusätzliche Qualifikationen (strukturiertes JSON)
• Kategorienauswahl: Gewählte Haupt- und Unterkategorien

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis zur Löschung des Unternehmenskontos, danach Anonymisierung. Steuerrelevante Daten (USt-IdNr., Zahlungsdaten) werden 10 Jahre aufbewahrt.

e) Dokument-Upload und KI-gestützte Verifizierung

Unternehmen laden im Rahmen der Verifizierung folgende Dokumente hoch:

• Gewerbeschein (Pflicht)
• Bewachungserlaubnis gem. § 34a GewO (für Sicherheitsdienstleister)
• Weitere Nachweise je nach Kategorie (z. B. Sachkundenachweis)

Diese Dokumente werden zur automatisierten Prüfung an OpenAI, Inc. (San Francisco, USA) übermittelt. Dabei werden die Dokumentenbilder (als Base64-kodierte Daten) sowie der Firmenname zur Namensübereinstimmungsprüfung übertragen. Die Verarbeitung erfolgt über die OpenAI Vision API.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
Drittlandtransfer: USA – abgesichert durch EU-Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO. Siehe auch Abschnitt 9.
Speicherdauer: Dokumente und Verifizierungsergebnisse werden für die Dauer der Kontobestehen gespeichert. Nach Kontolöschung werden Dokumente innerhalb von 30 Tagen gelöscht.
Recht auf manuelle Prüfung: Sie können jederzeit eine manuelle Prüfung Ihrer Dokumente durch unseren Support verlangen (siehe auch Abschnitt 11).

f) Beratungsassistent (Wizard) und Anfragen

Bei der Nutzung des Beratungsassistenten werden folgende Daten erhoben:

• Ausgewählte Kategorie und Unterkategorie
• Antworten auf die dynamischen Fachfragen (als JSON gespeichert)
• Zeitrahmen / Dringlichkeit
• Einsatzort (PLZ)
• Kontaktdaten (E-Mail, Name, ggf. Telefon und Firmenname)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Anfragen haben eine Gültigkeit von 30 Tagen. Danach können sie vom Kunden archiviert oder verlängert werden. Archivierte Anfragen werden 6 Monate nach Archivierung gelöscht.

g) Matching und Bewerbungssystem

Bei der automatisierten Zuordnung von Kundenanfragen zu Unternehmen werden verarbeitet:

• Match-Score (berechneter Übereinstimmungswert)
• Match-Typ (exakt, erweiterter Radius, verwandte Kategorie)
• Bewerbungsstatus und Zeitstempel
• Ablehnungsgründe (falls vom Kunden angegeben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer der Anfrage plus 6 Monate.

h) Chat-System

Im plattforminternen Chat werden verarbeitet:

• Textnachrichten
• Dateianhänge (Dateiname, Dateigröße, Dateipfad)
• Lesebestätigungen und Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer der zugehörigen Anfrage plus 6 Monate.

i) Feedback-System

Nach Abschluss oder Beendigung einer Vermittlung kann der Kunde ein strukturiertes Feedback (Ja/Nein-Antworten auf vordefinierte Fragen) abgeben. Dieses Feedback dient ausschließlich der internen Qualitätssicherung und wird nicht öffentlich angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Qualitätssicherung).
Speicherdauer: Für die Dauer des Unternehmenskontos.

j) Zahlungsdaten

Bei kostenpflichtigen Leistungen werden verarbeitet:

• Rechnungsbeträge (brutto, netto, MwSt.)
• Zahlungsart und -status
• Stripe-Referenznummern (Payment-ID, Invoice-ID, Session-ID)
• Rechnungs-URLs und Abrechnungszeitraum
• Angewendete Gutscheincodes

Kreditkartendaten oder Bankverbindungen werden nicht auf unseren Servern gespeichert, sondern direkt durch Stripe verarbeitet (siehe Abschnitt 8a).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und steuerrechtliche Aufbewahrungspflichten).
Speicherdauer: 10 Jahre gem. § 147 AO, § 257 HGB.

k) Ticket- und Supportsystem

Bei der Nutzung des Ticketsystems werden erhoben:

• Name und E-Mail-Adresse des Erstellers
• Ticket-Kategorie, Betreff, Nachrichten
• Dateianhänge

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: 3 Jahre nach Schließung des Tickets (Verjährungsfrist).

l) Newsletter

Bei Anmeldung zum Newsletter speichern wir Ihre E-Mail-Adresse und den Zeitpunkt der Anmeldung. Der Newsletter wird nur mit Ihrer ausdrücklichen Einwilligung versandt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen. In jedem Newsletter befindet sich ein Abmeldelink.
Speicherdauer: Bis zum Widerruf der Einwilligung.

m) E-Mail-Protokollierung

Wir protokollieren alle ausgehenden E-Mails zu Zwecken der Zustellbarkeitsprüfung und Fehlerbehebung. Gespeichert werden: Empfänger-E-Mail, E-Mail-Typ (z. B. Login-Code, Ticket-Antwort, Benachrichtigung), Betreff, Zustellstatus und Zeitstempel. Der E-Mail-Inhalt wird nicht gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Überwachung der E-Mail-Zustellung).
Speicherdauer: 90 Tage.

n) Audit-Log (Verwaltungsprotokoll)

Alle administrativen Aktionen (z. B. Verifizierungen, Kontosperrungen, Einstellungsänderungen) werden in einem unveränderlichen Protokoll erfasst. Gespeichert werden: Administrator-ID, E-Mail, durchgeführte Aktion, betroffene Entität, alte und neue Werte sowie die IP-Adresse des Administrators.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c und f DSGVO (Compliance und Nachvollziehbarkeit).
Speicherdauer: Unbegrenzt (gesetzliche Nachweispflichten).

5. Missbrauchsprävention und Sperrliste

Zum Schutz der Plattform und ihrer Nutzer führen wir eine interne Sperrliste (Blacklist). Bei dauerhaftem Ausschluss eines Nutzers können folgende Daten in normalisierter Form gespeichert werden, um eine erneute Registrierung zu verhindern:

• Inhabername / Firmenname
• E-Mail-Adresse
• Telefonnummer
• Domain
• Umsatzsteuer-ID, Handelsregisternummer
• IP-Adresse (ausschließlich als Hash gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Integrität der Plattform und dem Schutz der Nutzer vor betrügerischen Akteuren).
Speicherdauer: Bis zur Aufhebung der Sperre durch einen Administrator.

6. Weitergabe von Daten an Dritte

Eine Übermittlung personenbezogener Daten an Dritte findet nur in folgenden Fällen statt:

• Im Rahmen der Vermittlung: Bei einer Bewerbung werden dem Kunden öffentliche Profildaten des Unternehmens (Firmenname, Standort, Beschreibung, Qualifikationen) angezeigt. Umgekehrt sieht das Unternehmen die anonymisierten Anfragedaten (Kategorie, PLZ, Zeitrahmen) – Kundenkontaktdaten werden erst nach Aufnahme eines Chats übermittelt.
• Zahlungsabwicklung: An den Zahlungsdienstleister Stripe (siehe Abschnitt 8a).
• Dokumentenverifizierung: An OpenAI (siehe Abschnitte 4e und 8b).
• E-Mail-Versand: An den E-Mail-Dienstleister (siehe Abschnitt 8c).
• Behörden: Bei gesetzlicher Verpflichtung oder behördlicher Anordnung.

Ein Verkauf personenbezogener Daten an Dritte findet nicht statt.

7. Cookies

Eine detaillierte Übersicht aller verwendeten Cookies sowie die Möglichkeit zur Verwaltung Ihrer Cookie-Einstellungen finden Sie auf unserer Seite Cookie-Einstellungen. Wir verwenden ausschließlich technisch notwendige Cookies (siehe Tabelle in Abschnitt 4b).

8. Auftragsverarbeiter und Drittdienste

a) Stripe – Zahlungsabwicklung

b) OpenAI – Dokumentenverifizierung

c) E-Mail-Versand

d) CDN-Dienste und externe Ressourcen

Zur Bereitstellung der Plattform werden externe Ressourcen über Content Delivery Networks (CDN) eingebunden. Dabei wird die IP-Adresse des Nutzers an den jeweiligen CDN-Betreiber übermittelt:

• jsDelivr (jsdelivr.net): Bereitstellung von CSS- und JavaScript-Bibliotheken (daisyUI, Alpine.js)
• Tailwind CSS CDN (cdn.tailwindcss.com): CSS-Framework

Hinweis: Schriftarten (DM Sans) werden lokal von unseren Servern bereitgestellt. Es findet kein Abruf von externen Font-Diensten (z. B. Google Fonts) statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch einwandfreien Darstellung der Plattform).

9. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR findet in folgenden Fällen statt:

Unsere Server befinden sich ausschließlich in Deutschland. Die Zahlungsabwicklung über Stripe erfolgt innerhalb der EU (Irland).

10. Speicherfristen

11. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Auf unserer Plattform werden in folgenden Bereichen automatisierte Verarbeitungen eingesetzt, die Auswirkungen auf Nutzer haben können:

a) Dokumentenverifizierung

Hochgeladene Dokumente (Gewerbeschein, Bewachungserlaubnis) werden mithilfe künstlicher Intelligenz (OpenAI Vision API) automatisiert geprüft. Bei hoher Konfidenz (≥ 80 %) und Übereinstimmung des Firmennamens wird das Unternehmen automatisch freigeschaltet. Ist das Ergebnis nicht eindeutig, erfolgt eine manuelle Prüfung. Sie haben jederzeit das Recht, eine manuelle Überprüfung zu verlangen – kontaktieren Sie hierzu support@checksec.de.

b) Matching-System

Das Matching-System ordnet Kundenanfragen automatisiert passenden Unternehmen zu. Die Zuordnung basiert auf geografischer Nähe, Kategorie, Verfügbarkeit und Qualifikationen. Das Matching-Ergebnis stellt keine verbindliche Entscheidung dar – Unternehmen entscheiden selbst, ob sie sich bewerben, und Kunden wählen frei aus den Bewerbern.

c) Automatische Kontosperre

Unternehmenskonten werden automatisch eingefroren, wenn innerhalb von 24 Stunden nach Registrierung kein Gewerbeschein hochgeladen wird. Diese Sperre wird automatisch aufgehoben, sobald die erforderlichen Dokumente bereitgestellt werden.

12. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihnen Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einlegen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen (z. B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@checksec.de

Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:

13. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

• Passwörter werden ausschließlich als kryptografische Hashes gespeichert (bcrypt, 12 Runden)
• CSRF-Schutz (Cross-Site-Request-Forgery) auf allen Formularen
• Rate-Limiting zum Schutz vor Brute-Force-Angriffen
• Session-Cookies mit HttpOnly- und SameSite-Attributen
• Schutz vor SQL-Injection durch ORM-basierte Datenbankabfragen
• Server-Standort ausschließlich in Deutschland

14. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand März 2026. Durch die Weiterentwicklung unserer Plattform oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden. Die jeweils aktuelle Fassung ist stets unter checksec.de/datenschutz abrufbar.