Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Tek Impact · Vincent Kehl
[Straße + Hausnummer]
[PLZ + Ort]
E-Mail: v.kehl@tekimpact.de

2. Welche Daten wir verarbeiten

2.1 Registrierung und Account

Bei der Registrierung erheben wir: Name, E-Mail-Adresse, Firmenbezeichnung. Ihr Passwort wird ausschließlich als kryptographischer Hash (bcrypt) gespeichert — wir kennen Ihr Passwort nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 JTL-Datenbank-Zugangsdaten

Wenn Sie eine JTL-WAWI-Datenquelle verbinden, speichern wir die Verbindungsdaten (Host, Port, Datenbank, Benutzername, Passwort). Diese werden mit AES-256-GCM verschlüsselt in unserer Datenbank abgelegt. Der Entschlüsselungsschlüssel liegt ausschließlich auf unserem Server und ist nicht Bestandteil der Datenbank-Backups.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 JTL-Geschäftsdaten (Aufträge, Artikel, Kunden etc.)

WawiPulse liest Daten aus Ihrer JTL-WAWI-Datenbank ausschließlich lesend (Read-Only). Wir speichern keine JTL-Rohdaten dauerhaft. Report-Ergebnisse werden temporär im Cache (Redis) vorgehalten und verfallen automatisch nach maximal 60 Minuten.

Auf folgende JTL-Tabellen greifen wir zu: Aufträge, Auftragspositionen, Artikel, Artikelbeschreibungen, Kunden (nur Kundennummer, keine Bankdaten), Lieferscheine, Versand, Retouren, Zahlungen, Rechnungen, Lagerbestand, Wareneingänge, Mitarbeiter (nur Name und Login).

Wir greifen nicht auf: Passwörter, Bankverbindungen, SEPA-Mandate, Zahlungsdetails Ihrer Endkunden oder interne Kommentare zu.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung von Analyse-Reports).

2.4 Nutzungsdaten

Wir protokollieren im Audit-Log, welcher Benutzer wann welche Report-Abfrage ausgelöst hat. Dies dient der Nachvollziehbarkeit und Sicherheit. Server-Zugriffslogs (IP-Adresse, Zeitstempel, URL) werden von unserem Reverse-Proxy (Caddy) erhoben und nach 30 Tagen gelöscht.

3. Hosting und Auftragsverarbeitung

Unsere Server stehen bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hetzner ist ein nach ISO 27001 zertifizierter Hoster mit Rechenzentren in Deutschland und Finnland. Wir nutzen ausschließlich Standorte in Deutschland.

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO wurde mit Hetzner geschlossen.

4. Datenweitergabe an Dritte

Wir geben Ihre Daten nur an Dritte weiter, soweit dies für die Vertragserfüllung erforderlich ist:

  • Stripe, Inc. (Zahlungsabwicklung) — für Abo-Verwaltung und Rechnungsstellung. Stripe verarbeitet Zahlungsdaten nach PCI DSS Level 1. Datenschutz Stripe
  • Resend (E-Mail-Versand) — für transaktionale E-Mails (Willkommen, Passwort-Reset). Resend verarbeitet nur Ihre E-Mail-Adresse und den Nachrichteninhalt.

Eine Weitergabe Ihrer JTL-Geschäftsdaten an Dritte findet nicht statt.

5. Sicherheit

  • Alle Verbindungen sind TLS-verschlüsselt (HTTPS)
  • JTL-Zugangsdaten: AES-256-GCM verschlüsselt at rest
  • Passwörter: bcrypt mit Salt (Kostenfaktor 12)
  • Server: SSH-Key-only, Fail2ban, UFW-Firewall (nur 22/80/443)
  • JTL-Zugriff: ausschließlich Read-Only (keine Schreibrechte)
  • SQL-Queries: parametrisiert (kein SQL-Injection-Risiko)
  • Rate-Limiting: per User und IP
  • Content-Security-Policy + HSTS + X-Frame-Options

6. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: v.kehl@tekimpact.de

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

7. Cookies

WawiPulse verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Token). Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies ein. Es ist kein Cookie-Banner erforderlich, da ausschließlich notwendige Cookies verwendet werden (§ 25 Abs. 2 Nr. 2 TDDDG).

8. Aufbewahrungsfristen

  • Account-Daten: bis zur Löschung des Accounts
  • JTL-Zugangsdaten: bis zur Löschung der Datenquelle
  • Report-Cache: automatisch nach maximal 60 Minuten
  • Audit-Logs: 12 Monate, danach automatisch gelöscht
  • Server-Zugriffslogs: 30 Tage
  • Rechnungsdaten (Stripe): 10 Jahre (handelsrechtliche Aufbewahrungspflicht)

9. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.