Datenschutzerklärung

Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Expanse UG (haftungsbeschränkt) & Co. KG Bavariastr. 15, 80336 München, Deutschland

Register: Amtsgericht München, HRA 107329 · USt-IdNr.: DE314197563 Persönlich haftende Gesellschafterin: Kistner Management UG (haftungsbeschränkt), HRB 234250, Amtsgericht München Geschäftsführer: Hans-Peter Kistner

Allgemeine Anfragen: contact@thetaurus.com Datenschutzanfragen: privacy@thetaurus.com

Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Schwellenwerte des § 38 BDSG nicht überschritten sind: Wir beschäftigen nicht in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten, wir führen keine Verarbeitungen durch, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, und wir verarbeiten personenbezogene Daten nicht geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

In allen datenschutzrechtlichen Angelegenheiten erreichen Sie uns unmittelbar unter privacy@thetaurus.com. Wir beantworten Anfragen innerhalb der Fristen des Art. 12 Abs. 3 DSGVO.

Verbindliche Sprachfassung

Rechtsverbindlich ist ausschließlich die deutsche Fassung dieser Datenschutzerklärung. Die englische Fassung dient der bloßen Information und ist eine Übersetzung. Bei Abweichungen zwischen den Fassungen ist die deutsche Fassung maßgeblich.

Anwendungsbereich

Diese Datenschutzerklärung gilt für:

– die authentifizierte Plattform thetaurus.com, auf der Sponsoren und Herausgeber politischer Werbung Transparenzhinweise erstellen, verwalten und veröffentlichen;

– das öffentliche Register ttad.eu, das veröffentlichte Transparenzhinweise über einen QR-Code-Aufruf lesend zugänglich macht;

– unseren E-Mail- und Supportverkehr; und

– alle von uns unter diesen Domains betriebenen Seiten, Formulare und Funktionen.

Sie gilt nicht für verlinkte Websites Dritter. Für diese gelten die jeweils eigenen Datenschutzerklärungen.

Kategorien verarbeiteter personenbezogener Daten

Je nach Nutzung verarbeiten wir folgende Kategorien personenbezogener Daten:

– Kontodaten: Name, E-Mail-Adresse, Passwort-Hash, Organisationszugehörigkeit, Rolle, Sprachpräferenz, Status der E-Mail-Verifizierung.

– Inhalte von Transparenzhinweisen: rechtlicher Name, Anschrift, E-Mail- und Registerdaten von Sponsoren, Zahlern, Verantwortlichen der Werbung und Herausgebern; Kampagnenumfang; Platzierungszeitraum; gezahlte Beträge und Sachleistungen; Finanzierungsquellen; Targeting-Techniken und Datenquellen; Wahlbezug.

– Beschwerdedaten: Kontaktdaten und freier Text der Beschwerdeführer, die die Meldewege nach Art. 15 VO (EU) 2024/900 nutzen; solche Daten können mittelbar politische Meinungen offenbaren.

– Abrechnungsdaten: Rechnungsanschrift, USt-IdNr., Status des Abonnements, Rechnungshistorie. Kartendaten werden ausschließlich vom Zahlungsdienstleister verarbeitet; wir sehen oder speichern die vollständige Kartennummer nicht.

– Nutzungs- und Gerätedaten: IP-Adresse, Browserkennung (User-Agent), aufgerufene Seiten, Zeitstempel, Referrer-URL, Sprache, anhand der IP-Adresse abgeleitete ungefähre Region.

– Korrespondenz: an uns gerichtete E-Mails und unsere Antworten.

Personenbezogene Daten in einem veröffentlichten Transparenzhinweis werden aufgrund der Verordnung (EU) 2024/900 öffentlich gemacht und können nicht vertraulich behandelt werden; siehe Abschnitt s14.

Rechtsgrundlagen der Verarbeitung

Wir stützen die Verarbeitung auf eine oder mehrere der folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

– lit. a – Einwilligung: für nicht erforderliche Cookies, Produkt- und Marketing-Analyse sowie jede werbliche E-Mail-Ansprache;

– lit. b – Vertragserfüllung: für Kontoanlage, Plattformbetrieb, Abrechnung und Support;

– lit. c – rechtliche Verpflichtung: für die Veröffentlichung und siebenjährige Aufbewahrung von Transparenzhinweisen nach Art. 12 i. V. m. Art. 13 VO (EU) 2024/900, für die Aufbewahrung von Buchführungsunterlagen nach §§ 147 AO, 257 HGB sowie für die Beantwortung rechtmäßiger behördlicher Ersuchen;

– lit. f – berechtigte Interessen: für die Auswertung von Server-Logs, Sicherheitsüberwachung, Missbrauchsabwehr, Betrugsprävention bei der Abrechnung, Fehler-Monitoring, Ratenbegrenzung und den allgemeinen Plattformbetrieb.

Soweit wir uns auf Einwilligungen stützen, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht. Soweit wir uns auf berechtigte Interessen stützen, haben Sie ein Widerspruchsrecht nach Art. 21 DSGVO; siehe Abschnitt s8.

Soweit Cookies oder vergleichbare Technologien Informationen auf Ihrem Endgerät speichern oder auf dort bereits gespeicherte Informationen zugreifen, richtet sich die Zulässigkeit nach § 25 TTDSG. Unbedingt erforderliche Zugriffe stützen wir auf § 25 Abs. 2 Nr. 2 TTDSG; jede weitere Speicherung oder jeder weitere Zugriff erfordert Ihre vorherige Einwilligung über unser Cookie-Banner.

Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen auf Basis von Art. 32 DSGVO, die dem Risiko angemessen sind. Hierzu zählen Transportverschlüsselung (TLS 1.2+) für den gesamten öffentlichen Datenverkehr, Verschlüsselung der Produktionsdatenbank im Ruhezustand, Passwort-Hashing (bcrypt), Zugriffsbeschränkungen nach dem Minimalprinzip, Protokollierung administrativer Zugriffe, Trennung von Umgebungen, regelmäßige Abhängigkeits-Updates, Ratenbegrenzung von Authentifizierungs-Endpunkten sowie ein dokumentiertes Verfahren zur Behandlung von Sicherheitsvorfällen.

Sie sind für die Sicherheit Ihrer Zugangsdaten selbst verantwortlich. Bitte wählen Sie ein starkes, einzigartiges Passwort und informieren Sie uns unverzüglich unter privacy@thetaurus.com, wenn Sie den Verdacht haben, dass Ihr Konto kompromittiert wurde.

Ihre Rechte als betroffene Person

Unter den Voraussetzungen der DSGVO stehen Ihnen in Bezug auf Sie betreffende personenbezogene Daten folgende Rechte zu:

– Auskunft (Art. 15 DSGVO);

– Berichtigung (Art. 16 DSGVO);

– Löschung (Art. 17 DSGVO), vorbehaltlich der gesetzlichen Aufbewahrungspflicht von sieben Jahren für veröffentlichte Transparenzhinweise;

– Einschränkung der Verarbeitung (Art. 18 DSGVO);

– Datenübertragbarkeit (Art. 20 DSGVO);

– Widerspruch gegen auf berechtigte Interessen gestützte Verarbeitungen (Art. 21 DSGVO) – bei wirksamem Widerspruch beenden wir die Verarbeitung, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen;

– Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung dieser Rechte genügt eine Nachricht an privacy@thetaurus.com. Wir können vor der Bearbeitung Ihre Identität in zumutbarem Umfang überprüfen. Wir antworten innerhalb eines Monats; bei komplexen oder zahlreichen Anträgen kann sich die Frist um bis zu zwei weitere Monate verlängern, worüber wir Sie informieren.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere im Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts der mutmaßlichen Verletzung (Art. 77 DSGVO).

Für unser Unternehmen zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de

Internationale Datenübermittlung

Wir verarbeiten personenbezogene Daten vorrangig innerhalb des Europäischen Wirtschaftsraums. Sofern ein Auftragsverarbeiter oder Unterauftragsverarbeiter außerhalb des EWR ansässig ist oder der Support bzw. die Infrastruktur eines im EWR niedergelassenen Anbieters über ein Drittland geführt werden kann, stützen wir die Übermittlung auf eine der folgenden Garantien nach Kapitel V DSGVO:

– einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO), einschließlich des EU-US Data Privacy Framework für teilnehmende US-Stellen;

– Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in Verbindung mit einer Transfer-Folgenabschätzung und – soweit erforderlich – ergänzenden Maßnahmen;

– Ihre ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) für gelegentliche Einzelfall-Übermittlungen.

Eine Übersicht der von uns eingesetzten Auftragsverarbeiter und der zugrunde liegenden Garantien erhalten Sie auf Anfrage unter privacy@thetaurus.com.

Hosting und Server-Logfiles

Die Plattform wird bei Netlify, Inc. gehostet. Die Datenbankdienste stellt Prisma Data, Inc. bereit (Prisma Postgres / Accelerate). Soweit verfügbar, erfolgt das Hosting auf EU-Infrastruktur; werden US-basierte Ressourcen einbezogen, greifen die in Abschnitt s10 beschriebenen Garantien.

Bei jedem Seitenaufruf erhebt die Hosting-Infrastruktur automatisch sogenannte Server-Logdaten: die IP-Adresse des anfragenden Geräts, Datum und Uhrzeit der Anfrage, die aufgerufene URL, den HTTP-Status, die übertragene Datenmenge, Referrer und User-Agent. Die Verarbeitung erfolgt auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO zum berechtigten Interesse an Betrieb, Sicherheit und Fehlerbehebung des Dienstes. Server-Logdaten werden für bis zu vierzehn Tage gespeichert und sodann gelöscht oder anonymisiert, soweit nicht ein Sicherheitsvorfall eine längere Aufbewahrung zu Ermittlungszwecken erfordert.

Cookies und vergleichbare Technologien

Wir setzen Cookies und vergleichbare Technologien (Local Storage, Session Storage) ein, um den Dienst zu betreiben und – mit Ihrer Einwilligung – um seine Nutzung zu verstehen.

Unbedingt erforderliche Speicherung/Zugriff (§ 25 Abs. 2 Nr. 2 TTDSG) – keine Einwilligung erforderlich:

– Authentifizierungs-Sitzungscookie („next-auth.session-token“), Laufzeit Sitzung zuzüglich bis zu 30 Tagen;

– CSRF-Token-Cookie, Laufzeit Sitzung;

– Sprachpräferenz-Cookie („NEXT_LOCALE“), Laufzeit bis zu 12 Monaten;

– Cookie-Einwilligungs-Cookie, Laufzeit bis zu 12 Monaten.

Nicht erforderliche Speicherung/Zugriff – nur nach Einwilligung über unser Cookie-Banner:

– Google Analytics 4 (Marketing-Analyse) – siehe Abschnitt s21;

– PostHog (Produkt-Analyse) – siehe Abschnitt s20.

Sie können Ihre Einwilligungen jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile einsehen und ändern. Der Widerruf wirkt für die Zukunft.

Registrierung und Authentifizierung

Für die Nutzung der authentifizierten Funktionen der Plattform ist die Anlage eines Kontos erforderlich. Wir verarbeiten Ihre E-Mail-Adresse, ein bcrypt-gehashtes Passwort, Ihren Namen, Ihre Organisation und Ihre Rolle. An die angegebene E-Mail-Adresse senden wir einen Bestätigungslink.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); die E-Mail-Verifizierung erfolgt zusätzlich auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Integrität der Plattform).

Kontodaten werden für die Dauer des Kontos aufbewahrt und nach dessen Beendigung gelöscht, soweit nicht gesetzliche Aufbewahrungspflichten (Steuer, Buchführung, veröffentlichte Hinweise) eine längere Aufbewahrung einzelner Datensätze vorschreiben.

Transparenzhinweise und öffentliches Register (TTAD)

Kernfunktion des Dienstes ist die Erstellung, Veröffentlichung und Bereitstellung von Transparenzhinweisen für politische Werbung nach Maßgabe der Verordnung (EU) 2024/900.

Wenn Sie einen Transparenzhinweis zur Veröffentlichung freigeben, werden die Inhalte – einschließlich rechtlichem Namen und Kontaktdaten von Sponsor, Zahler, Verantwortlichem der Werbung und Herausgeber, Kampagneninformationen, gezahlten Beträgen, Finanzierungsquellen und Targeting-Informationen – auf ttad.eu und gegebenenfalls über eingebundene Links auf den Kanälen des Herausgebers öffentlich zugänglich gemacht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 12 VO (EU) 2024/900. Die Veröffentlichung und die siebenjährige Aufbewahrung nach Art. 13 dieser Verordnung sind gesetzlich vorgeschrieben und können nicht durch Löschantrag abgewendet werden.

Ein Anspruch auf Einschränkung oder Löschung besteht nur in den engen Fällen, in denen die gesetzliche Veröffentlichungspflicht selbst nicht greift (z. B. versehentlich veröffentlichte Daten, die nach Art. 12 der Verordnung tatsächlich nicht erforderlich sind). Die Prüfung erfolgt im Einzelfall.

Beschwerdebearbeitung

Wir betreiben das in Art. 15 VO (EU) 2024/900 und – soweit anwendbar – in Art. 20 VO (EU) 2022/2065 (Digital Services Act) vorgesehene Beschwerdeverfahren.

Wenn Sie eine Beschwerde zu einem Transparenzhinweis einreichen, verarbeiten wir Ihre Kontaktdaten und den Inhalt der Beschwerde, um diese an den zuständigen Herausgeber weiterzuleiten, den Bearbeitungsstand zu dokumentieren und unseren Transparenz- und Berichtspflichten nachzukommen.

Beschwerden können mittelbar politische Meinungen offenbaren (besondere Kategorie nach Art. 9 Abs. 1 DSGVO). In diesem Fall ist die zusätzliche Rechtsgrundlage Art. 9 Abs. 2 lit. e DSGVO (durch die betroffene Person offensichtlich öffentlich gemachte Daten) bzw. Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit der durch die Verordnung (EU) 2024/900 festgelegten besonderen Aufgabe im öffentlichen Interesse.

Beschwerdevorgänge werden für die Dauer der gesetzlichen Aufbewahrungsfrist des zugehörigen Hinweises (sieben Jahre) gespeichert.

Zahlungsabwicklung – Stripe

Die Abwicklung kostenpflichtiger Ensured-Abonnements erfolgt durch Stripe Payments Europe, Limited, 25/28 North Wall Quay, Dublin 1, Irland. Bei Eingabe von Kartendaten werden diese unmittelbar an die PCI-DSS-konforme Infrastruktur von Stripe übertragen; wir sehen und speichern die vollständige Kartennummer nicht.

Von Stripe erhalten wir Transaktions-Metadaten (Betrag, Währung, Status, letzte vier Stellen der Karte, Ausstellungsland), die wir zur Verwaltung Ihres Abonnements und zur Rechnungsstellung verwenden.

Stripe ist eigenverantwortlich für die eigenen Betrugspräventions- und Geldwäscheverhinderungspflichten; für den Zahlungsauftrag selbst sind wir und Stripe über eine Auftragsverarbeitungs- bzw. Controller-Controller-Beziehung nach Art. 28 DSGVO verbunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Rechnungsstellung und steuerliche Aufbewahrungspflichten). Die Datenschutzerklärung von Stripe finden Sie unter https://stripe.com/de/privacy.

Transaktionale E-Mails – Resend

Transaktionale E-Mails (Verifizierung, Passwort-Zurücksetzung, Konto- und Abrechnungsmeldungen, hinweisbezogene Nachrichten) versenden wir über Resend (Resend, Inc., 2261 Market Street #4667, San Francisco, CA 94114, USA) oder ersatzweise über einen von uns konfigurierten SMTP-Server.

Zweckentsprechend verarbeiten wir Ihre E-Mail-Adresse, Inhalt und Zeitpunkt der Nachricht sowie Zustellungs-Metadaten (Erfolg, Bounce, Spam-Beschwerde). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Zustellung).

Übermittlungen in die USA werden durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und – soweit der Empfänger zertifiziert ist – durch das EU-US Data Privacy Framework abgesichert.

Fehler-Monitoring – Sentry

Zur Erkennung und Diagnose von Laufzeitfehlern nutzen wir Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Tritt ein Fehler im Browser oder auf dem Server auf, wird ein Diagnosebericht an Sentry übermittelt. Wir haben Sentry so konfiguriert, dass personenbezogene Informationen vor der Übermittlung bereinigt werden; verbleibende Daten können IP-Adresse, User-Agent und den Pfad der Anfrage umfassen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und sicheren Dienst). Garantien für Drittlandübermittlungen: Standardvertragsklauseln und – soweit anwendbar – das EU-US Data Privacy Framework. Die Speicherdauer bei Sentry beträgt bis zu 90 Tage.

Ratenbegrenzung und Missbrauchsabwehr – Upstash

Zum Schutz der Authentifizierungs-, Registrierungs- und Schreib-Endpunkte gegen Brute-Force-Angriffe und Missbrauch setzen wir Upstash Redis ein (Upstash, Inc., 350 Cambridge Ave, Palo Alto, CA 94306, USA). Gespeichert wird ein kurzlebiger Zähler, der an einen Hash der IP-Adresse oder an die Kontokennung gebunden ist; die Lebensdauer beträgt typischerweise höchstens eine Stunde.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformsicherheit). Garantien für Drittlandübermittlungen: Standardvertragsklauseln.

Produkt-Analyse – PostHog

Vorbehaltlich Ihrer Einwilligung (§ 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO) setzen wir PostHog ein (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA – EU-Regional-Endpunkt), um die Nutzung der authentifizierten Plattform zu verstehen und den Dienst zu verbessern.

PostHog erhält pseudonymisierte Ereignisdaten (z. B. „Schritt abgeschlossen“, „Hinweis veröffentlicht“), eine in einem First-Party-Cookie gespeicherte Geräte-ID, nach Anmeldung einen gehashten Nutzer-Identifikator sowie technischen Kontext (IP-Adresse, User-Agent, URL, Referrer). IP-Adressen werden gekürzt bzw. anonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile widerrufen. Garantien für Drittlandübermittlungen: Standardvertragsklauseln und – soweit anwendbar – das EU-US Data Privacy Framework. Die Speicherdauer bei PostHog beträgt bis zu zwölf Monate.

Marketing-Analyse – Google Analytics 4

Vorbehaltlich Ihrer Einwilligung (§ 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO) setzen wir Google Analytics 4 ein, einen Dienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland, und ihres verbundenen Unternehmens Google LLC.

Google Analytics setzt Cookies und nutzt Geräte-Identifikatoren, um die Nutzung unserer öffentlichen Marketing-Seiten zu analysieren, die Wirksamkeit von Werbekampagnen zu messen und die Nutzungsqualität zu verbessern. IP-Adressen werden anonymisiert (IP-Masking). Wir haben für unsere Zwecke geeignete Einstellungen zu Aufbewahrung und Löschung aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile widerrufen; zusätzlich können Sie den Einsatz von Cookies durch die Installation des Browser-Add-ons zur Deaktivierung von Google Analytics verhindern (https://tools.google.com/dlpage/gaoptout).

Garantien für Drittlandübermittlungen: Für Übermittlungen an die Google LLC in den USA stützen wir uns auf das EU-US Data Privacy Framework (Art. 45 DSGVO). Die Datenschutzerklärung von Google finden Sie unter https://policies.google.com/privacy.

KI-gestützte Entwurfshilfe – Anthropic

Wenn Sie innerhalb des Assistenten für Transparenzhinweise die optionale KI-gestützte Entwurfshilfe verwenden, wird der eingegebene Text zur Erzeugung von Vorschlägen an die Anthropic PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA, über deren API übermittelt. Die Antwort wird Ihnen im Assistenten zurückgespielt; Sie können Vorschläge annehmen, bearbeiten oder verwerfen.

Anthropic verarbeitet die Anfrage und Antwort als Auftragsverarbeiter im Sinne des Art. 28 DSGVO und nutzt die Inhalte der API-Nutzer nach ihren kommerziellen API-Bedingungen nicht zum Training ihrer Modelle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer Verfassungshilfe). Garantien für Drittlandübermittlungen: Standardvertragsklauseln. Wir empfehlen, in KI-gestützte Felder keine personenbezogenen Daten Dritter einzugeben, die über den Zweck des Transparenzhinweises hinausgehen.

Kontakt und Support-Korrespondenz

Nehmen Sie per E-Mail oder über ein Kontaktformular mit uns Kontakt auf, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt und etwaige Anhänge), um Ihre Anfrage zu beantworten und ein daran anknüpfendes vertragliches oder vorvertragliches Verhältnis zu bearbeiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen). Die Korrespondenz wird so lange aufbewahrt, wie dies zur Bearbeitung erforderlich ist; hat die Anfrage zu einer Geschäftsbeziehung geführt, gelten zusätzlich die gesetzlichen Aufbewahrungspflichten.

Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die in dieser Erklärung beschriebenen Zwecke erforderlich oder gesetzlich vorgeschrieben ist. Insbesondere:

– Kontodaten – Dauer des Kontos zuzüglich gesetzlicher Aufbewahrungspflichten.

– Veröffentlichte Transparenzhinweise und zugehörige Vorgänge – sieben Jahre nach Ende des Veröffentlichungszeitraums (Art. 13 VO (EU) 2024/900). Diese Frist kann durch Löschantrag nicht verkürzt werden.

– Rechnungen und Buchführungsunterlagen – zehn Jahre (§ 147 AO, § 257 HGB).

– Server-Logs – bis zu vierzehn Tage, soweit nicht wegen eines Sicherheitsvorfalls länger.

– Ratenbegrenzungs-Zähler – bis zu eine Stunde.

– PostHog-Produktereignisse – bis zu zwölf Monate.

– Sentry-Fehlerberichte – bis zu 90 Tage.

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert.

Automatisierte Entscheidungen und Profiling

Wir führen keine automatisierten Entscheidungen mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung im Sinne des Art. 22 Abs. 1 DSGVO durch. KI-gestützte Entwurfsvorschläge (Abschnitt s22) sind Empfehlungen, die Ihrer Überprüfung und ausdrücklichen Übernahme bedürfen; sie treffen keine Entscheidungen für Sie.

Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Verarbeitungen, der eingesetzten Dienste oder der rechtlichen Rahmenbedingungen. Die jeweils aktuelle Fassung ist unter https://thetaurus.com/de/privacy und https://thetaurus.com/en/privacy verfügbar und trägt ein Datum der letzten Aktualisierung.

Wesentliche Änderungen geben wir innerhalb der Plattform und – soweit angemessen – per E-Mail an registrierte Nutzer mindestens 30 Tage vor Wirksamwerden bekannt.