Verantwortlicher
Excite Digital Marketing LLC., 7901 4th St N, Ste 300, St. Petersburg, FL 33702, USA.
Kontakt: [email protected]
Grundsatz
Wir verarbeiten personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Dokumenterstellung, Kundenportal, Zahlung, Versand, Support oder mit Einwilligung für Erinnerungen und Marketing erforderlich ist.
Diese Datenschutzerklärung beschreibt die derzeit in Vertragexit angelegten Prozesse. Sie ersetzt keine rechtliche Prüfung der finalen Produktivfassung.
Serverlogs, Sicherheit und Auslieferung
Beim Aufruf der Website werden technische Zugriffsdaten verarbeitet, etwa IP-Adresse, Zeitpunkt, aufgerufene URL, Browserinformationen und Sicherheitsereignisse. Diese Verarbeitung dient der Auslieferung der Website, Stabilität, Missbrauchsabwehr und Fehleranalyse.
Für Hosting, DNS, DDoS-Schutz, SSL/TLS, Firewall, Caching und private Dateispeicherung sind Dienste wie Hetzner und Cloudflare in der technischen Architektur vorgesehen beziehungsweise angebunden. Sicherheitslogs können verwendet werden, um Angriffe, Spam, Missbrauch, technische Fehler und unbefugte Zugriffe zu erkennen.
Server- und Sicherheitslogs werden nur so lange gespeichert, wie dies für Betrieb, Sicherheit, Fehleranalyse und rechtlich erforderliche Nachweise notwendig ist.
Kündigungs- und Widerrufsprozess
Wenn du einen Dokumentprozess startest, verarbeiten wir insbesondere Anbieter, Dokumenttyp, E-Mail-Adresse, Name, Anschrift, Vertrags- oder Kundennummer, gewünschtes Beendigungsdatum, Freitextangaben, Auftragsstatus, Zahlungsstatus, erzeugte Dokumente und Versandinformationen.
Die Verarbeitung erfolgt zur Vertragsanbahnung und Vertragserfüllung, zur Erstellung des Dokuments, zur Bereitstellung im Kundenportal sowie zur Vorbereitung oder Durchführung des gewählten Versands.
Kundenportal und transaktionale E-Mails
Für das Kundenportal nutzen wir deine E-Mail-Adresse, um Aufträge zuzuordnen und sichere Login-Links zu versenden. Im Portal können Auftrag, PDF, Rechnung, Zahlungsstatus und Versandnachweise angezeigt werden.
Transaktionale E-Mails können für Login, Auftragsstatus, Dokumentbereitstellung, Zahlungs- oder Versandinformationen verwendet werden.
Zahlung und Rechnung
Zahlungen werden über Stripe vorbereitet und verarbeitet. Vertragexit speichert keine vollständigen Karten- oder Zahlungsinstrumentdaten. Gespeichert werden können Zahlungsstatus, Betrag, Währung, Stripe-Referenzen, Rechnungslinks, Rechnungs-PDFs und technische Zahlungsereignisse.
Je nach Zahlungsart verarbeitet Stripe weitere Daten eigenverantwortlich oder als Dienstleister, insbesondere zur Zahlungsabwicklung, Betrugsprävention und Rechnungserstellung.
E-Mail-, Brief- und Versanddienste
Wenn du E-Mail-Versand an einen Anbieter auswählst, können Anbieteradresse, Empfänger-E-Mail, Dokument, Versandstatus und Fehlermeldungen verarbeitet werden.
Wenn du Briefversand auswählst, werden die für Druck und Zustellung erforderlichen Daten an den angebundenen Briefdienst übermittelt. In der aktuellen Architektur ist LetterXpress als Briefversanddienst vorgesehen.
Kontaktformular
Wenn du das Kontaktformular nutzt, verarbeiten wir Name, E-Mail-Adresse, Betreff, Nachricht, IP-Adresse, User-Agent und technische Metadaten der Anfrage. Diese Daten werden verwendet, um deine Anfrage zu beantworten und Missbrauch zu verhindern.
Die Anfrage wird an [email protected] übermittelt. Eine werbliche Nutzung der Kontaktformularangaben findet ohne gesonderte Grundlage oder Einwilligung nicht statt.
Erinnerungen, Recovery und Marketing
Wenn du eine entsprechende Einwilligung gibst, können wir dich an einen begonnenen, aber nicht abgeschlossenen Auftrag erinnern. Ohne Einwilligung wird die Marketing-Recovery im System gesperrt.
Für E-Mail-Kommunikation, Listen, Vorlagen, Webhooks sowie später optional WhatsApp oder Push ist Brevo als Kommunikationsdienst vorgesehen beziehungsweise angebunden.
Cookies, Consent und Tracking
Notwendige Cookies und Speicherungen dienen dem Betrieb von Website, Formularen, Sicherheit, Checkout und Kundenportal. Nicht notwendige Kategorien wie Analyse, Marketing, Conversion-Messung oder Push werden über den Cookie-Layer gesteuert.
Soweit eine Einwilligung für den Zugriff auf dein Endgerät oder die Speicherung von Informationen erforderlich ist, orientiert sich Vertragexit an § 25 TDDDG und den Anforderungen der DSGVO an eine freiwillige, informierte und widerrufbare Einwilligung.
Google Tag Manager, Google-Ads-Signale, Analyseereignisse und Brevo-Push werden technisch erst nach passender Zustimmung geladen. Der Google Consent Mode startet standardmäßig mit abgelehnten Analyse- und Marketing-Speicherungen.
Du kannst deine Auswahl jederzeit über die Cookie-Einstellungen ändern. Bei Ablehnung oder Widerruf werden bekannte Analyse- und Marketing-Cookies nach Möglichkeit clientseitig gelöscht.
Checkout-, Zahlungs- und Rechnungsereignisse
Für kostenpflichtige Leistungen können Bestellzeitpunkt, Produkt, Betrag, Währung, Steuerinformationen, Zahlungsstatus, Stripe-Session, Stripe-Payment-Intent, Rechnung, Rechnungsnummer, Rechnungs-PDF und Webhook-Ereignisse verarbeitet werden.
Webhook-Ereignisse werden genutzt, um Zahlungen, Rechnungen und Auftragsstatus zuverlässig zu synchronisieren. Vollständige Zahlungsinstrumentdaten werden nicht durch Vertragexit gespeichert.
Support, Backoffice und Qualitätssicherung
Im Backoffice können Leads, Kunden, Aufträge, offene Zahlungen, Versandstatus, Anbieterqualität, Suchanfragen ohne Treffer, Content-Status und technische Ereignisse angezeigt werden, soweit dies für Support, Qualitätssicherung, Missbrauchsschutz und Betriebssteuerung erforderlich ist.
Zugriffe auf administrative Bereiche werden beschränkt und sollen zusätzlich über geeignete Schutzmaßnahmen wie Zugriffskontrolle, sichere Authentifizierung und Protokollierung abgesichert werden.
Content-Pipeline und KI-Systeme
Die im Backend angelegte Content-Pipeline dient der Erstellung und Prüfung von SEO-Inhalten, Anbieterinformationen, Outlines, FAQ und interner Verlinkung. Kundendokumente und personenbezogene Auftragsdaten sollen nicht als Standardinhalt für öffentliche SEO-Generierung verwendet werden.
Rechtsgrundlagen
Je nach Vorgang erfolgt die Verarbeitung insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung oder vorvertraglichen Durchführung, Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung gesetzlicher Pflichten, Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen an Sicherheit, Betrieb und Missbrauchsabwehr sowie Art. 6 Abs. 1 lit. a DSGVO, wenn eine Einwilligung erforderlich ist.
Empfänger und Drittlandbezug
Daten können an technische Dienstleister, Zahlungsdienstleister, E-Mail- und Kommunikationsdienste, Briefversanddienste, Hosting- und Sicherheitsanbieter sowie an den jeweils ausgewählten Anbieter als Empfänger des Dokuments übermittelt werden.
Die konkret angebundenen Dienstleister sind in der Dienstleisterübersicht auf dieser Seite zusammengefasst. Vor breitem Produktivbetrieb müssen Auftragsverarbeitungsverträge, Drittlandgarantien, Standardvertragsklauseln und technische Schutzmaßnahmen je Dienstleister final geprüft und dokumentiert werden.
Da der Verantwortliche in den USA sitzt und einzelne Dienstleister außerhalb der EU oder des EWR eingebunden sein können, kann ein Drittlandbezug entstehen. Geeignete Garantien und Vertragsgrundlagen müssen für den finalen Produktivbetrieb geprüft und dokumentiert werden.
Speicherdauer
Daten werden nur so lange gespeichert, wie dies für Auftrag, Kundenportal, Nachweise, gesetzliche Aufbewahrungspflichten, Sicherheit, Support oder berechtigte Dokumentation erforderlich ist. Nicht mehr benötigte Daten werden gelöscht oder anonymisiert, soweit keine Aufbewahrungspflicht entgegensteht.
Die operative Aufbewahrungsübersicht auf dieser Seite beschreibt die vorgesehenen Standardfristen. Gesetzliche Pflichten, offene Forderungen, Missbrauchsfälle oder Supportvorgänge können im Einzelfall längere Speicherung erforderlich machen.
Deine Rechte
Du hast nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Erteilte Einwilligungen kannst du mit Wirkung für die Zukunft widerrufen.
Du hast außerdem das Recht, dich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.
Dienstleisterübersicht
Diese Übersicht beschreibt die derzeit vorgesehene technische Verarbeitung. Verträge zur Auftragsverarbeitung, Drittlandgarantien und technische Schutzmaßnahmen müssen vor breitem Produktivbetrieb final geprüft werden.
| Dienst | Zweck | Daten | Ort |
|---|---|---|---|
| Hetzner | Serverbetrieb, Datenbank, Queues, Backups und technische Infrastruktur. | Serverlogs, Auftragsdaten, Dokument-Metadaten und Betriebsdaten. | EU/Deutschland nach gewählter Infrastruktur. |
| Cloudflare und Cloudflare R2 | DNS, SSL/TLS, DDoS-Schutz, WAF, Caching, Access, private Dokument- und Backup-Speicherung. | IP-Adresse, Sicherheitsereignisse, HTTP-Metadaten, private PDFs und technische Artefakte. | Weltweite Verarbeitung mit Drittlandbezug möglich. |
| Stripe | Checkout, Zahlungsabwicklung, Rechnungserstellung und Zahlungsstatus. | E-Mail, Betrag, Produkt, Zahlungsstatus, Stripe-Referenzen und Rechnungslinks. | EU/USA je Stripe-Konfiguration und Zahlungsart. |
| Brevo | Transaktionale E-Mails, Magic-Links, Recovery nur mit Einwilligung, später Push/WhatsApp nach Opt-in. | E-Mail, Kommunikationsstatus, Template-Parameter, Consent und technische Versandereignisse. | EU mit möglichem Drittlandbezug je Brevo-Leistung. |
| LetterXpress | Briefdruck, Briefversand und Versandstatus. | Absenderdaten, Anbieteradresse, PDF-Dokument, Versandprodukt und Versandreferenzen. | Deutschland. |
| AI-Anbieter | SEO-Recherche, Outline, Text, QA und Content-Pipeline für öffentliche Inhaltsseiten. | Anbieter- und Seitendaten, keine Kundendokumente als Standardinput. | Drittlandbezug je Anbieter möglich. |
| GitHub | Codeverwaltung, CI, Security Checks und Deployment-Automatisierung. | Code, technische Konfiguration und Deployment-Metadaten, keine produktiven Kundendokumente. | USA/EU je GitHub-Verarbeitung. |
| Hetzner Storage Box / Borg | Verschlüsselte Offsite-Backups und Restore-Tests. | Verschlüsselte Datenbank- und Dateisicherungen. | EU/Deutschland nach Storage-Standort. |
Aufbewahrung nach Datenbereich
Löschung oder Anonymisierung nach Ende des Recovery-Zwecks, sofern keine Einwilligung oder Nachweispflicht entgegensteht.
Speicherung nach handels- und steuerrechtlichen Aufbewahrungspflichten, typischerweise bis zu 10 Jahre.
So lange wie für Kundenportal, Nachweis, Support und gesetzliche Pflichten erforderlich; danach Löschung oder Archivierung nach Retention-Regel.
Kurzfristig für Betrieb und Missbrauchsabwehr; längere Speicherung nur bei Sicherheitsvorfällen oder Nachweispflichten.
Für die Dauer der Einwilligung und eine angemessene Nachweisfrist nach Widerruf.
Für Qualitätssicherung und Nachvollziehbarkeit öffentlicher Inhalte; keine Standardablage von Kundendokumenten.
Nach Backup-Konzept mit stündlichen, täglichen, wöchentlichen und monatlichen Generationen; Löschung nach Ablauf der Backup-Retention.