Datenschutzerklaerung
§ 1 Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Jasser Seyam
Spracho – Dolmetscher Vermittlungsplattform
Einzelunternehmer (Gewerbebetrieb)
Donnerschweer Str. 158
26123 Oldenburg, Deutschland
E-Mail: support@spracho.de
Telefon: +49 172 8198349
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen (§ 38 BDSG) noch nicht erfuellt sind. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
§ 2 Zwecke, Rechtsgrundlagen & berechtigte Interessen
| Verarbeitungszweck | Rechtsgrundlage | Berechtigtes Interesse (falls Art. 6 Abs. 1 lit. f) |
|---|---|---|
| Bereitstellung der Plattform, Registrierung, Kontoverwaltung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung / vorvertragliche Massnahmen) | — |
| Buchungsvermittlung, Terminverwaltung, Kontaktweitergabe | Art. 6 Abs. 1 lit. b DSGVO | — |
| Zahlungsabwicklung (Plattformgebuehr, Honorar, Transaktionskosten) ueber Stripe | Art. 6 Abs. 1 lit. b DSGVO | — |
| SMS-OTP-Verifizierung der Telefonnummer ueber Twilio | Art. 6 Abs. 1 lit. b DSGVO | — |
| Verschluesselte In-App-Kommunikation (Chat) | Art. 6 Abs. 1 lit. b DSGVO | — |
| System-E-Mails (Buchungsbestaetigungen, Erinnerungen, Rechnungen) | Art. 6 Abs. 1 lit. b DSGVO | — |
| Telegram-Benachrichtigungen (optional, nach Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Drittlandtransfer: Art. 49 Abs. 1 lit. a DSGVO | — |
| Bewertungen und Badges | Art. 6 Abs. 1 lit. b/f DSGVO | Qualitaetssicherung, Vertrauensbildung |
| Sicherheit, Missbrauchsabwehr, Betrugsverhinderung, No-Show-Tracking | Art. 6 Abs. 1 lit. f DSGVO | Schutz der Plattform und der Nutzer:innen vor Betrug und Missbrauch |
| Rechnungsstellung, Buchhaltung, steuerliche Aufbewahrung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: §§ 147 AO, 257 HGB, 14b UStG) | — |
| PStTG/DAC7-Meldepflichten (Steuertransparenz) | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: PStTG) | — |
| Protokollierung (IP-Adressen, Zeitstempel, Server-Logs) | Art. 6 Abs. 1 lit. f DSGVO | IT-Sicherheit, Fehleranalyse, Angriffsabwehr |
| Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) | Art. 9 Abs. 2 lit. a DSGVO (ausdrueckliche Einwilligung) | — |
| Optionale Cookies (Statistik/Marketing), sofern aktiviert | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | — |
§ 3 Datenkategorien & Speicherfristen
| Datenkategorie | Beispiele | Speicherdauer |
|---|---|---|
| Stammdaten | Name, E-Mail, Telefonnummer, Passwort (gehasht) | Bis zur Kontoloeschung; steuerrelevante Daten: 10 Jahre (§ 147 AO) |
| Profildaten (Dolmetscher:innen) | Foto, Sprachen, Verfuegbarkeit, Stundensatz, Stadt, Geburtsdatum | Bis zur Kontoloeschung; Foto-Metadaten werden bei Upload sofort entfernt |
| Buchungsdaten | Termin, Dauer, Treffpunkt/Adresse, Thema/Notizen, Status, Rechnungsdaten | 10 Jahre (steuerliche Aufbewahrung, §§ 147 AO, 14b UStG); Geschaeftsbriefe: 6 Jahre (§ 257 HGB) |
| Chatnachrichten | Verschluesselte Nachrichten zwischen Kund:in und Dolmetscher:in | Automatische Loeschung 2 Tage nach Terminende |
| Zahlungsdaten | Stripe-Transaktions-IDs, Autorisierungsstatus (keine Kartennummern bei Spracho) | 10 Jahre (steuerliche Aufbewahrung) |
| Verifizierungsdaten | SMS-OTP-Codes, E-Mail-Verifizierungscodes | 5 bzw. 15 Minuten Gueltigkeit; nach Verwendung oder Ablauf geloescht |
| Bewertungsdaten | Sterne-Bewertung (1–5), Kommentar, Anonymitaetsflag | Bis zur Kontoloeschung oder Entfernung der Bewertung |
| Telegram-Daten | Telegram-Chat-ID, Verknuepfungstoken | Bis zur Aufhebung der Verknuepfung |
| Protokolldaten | IP-Adresse, Browser/User-Agent, Zeitstempel, aufgerufene Seiten | 90 Tage (Server-Logs); laenger nur bei Sicherheitsvorfaellen |
| Einwilligungsdaten | Zeitstempel der AGB-/Datenschutz-/Art. 9-Zustimmung, anonymisierte IP, User-Agent | 3 Jahre nach Kontoloeschung (Nachweispflicht Art. 7 Abs. 1 DSGVO) |
| PStTG-Meldedaten | Steuer-ID, Anschrift, Geburtsdatum, Bankverbindung, Umsaetze | 10 Jahre (steuerliche Aufbewahrung) |
§ 4 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Aufgrund der Natur von Dolmetschleistungen (z. B. bei Arztterminen, Behoerdenterminen, Gerichtsverhandlungen, Therapiesitzungen) koennen im Rahmen der Plattformnutzung, insbesondere in Buchungsnotizen und im verschluesselten Chat, besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet werden. Hierzu zaehlen insbesondere Gesundheitsdaten, Daten zu religioeser Ueberzeugung, ethnischer Herkunft oder politischen Meinungen.
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage Ihrer ausdruecklichen Einwilligung gemaess Art. 9 Abs. 2 lit. a DSGVO, die Sie bei der Registrierung durch aktives Ankreuzen einer separaten Checkbox erteilen.
Widerruf: Sie koennen diese Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, indem Sie uns unter support@spracho.de kontaktieren. Der Widerruf beruehrt nicht die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung. Da die Verarbeitung solcher Daten bei Dolmetschleistungen systembedingt nicht ausgeschlossen werden kann, fuehrt ein Widerruf dazu, dass die Plattform nicht weiter genutzt werden kann.
Schutzmassnahmen: Buchungsnotizen sind nur fuer die beteiligten Parteien sichtbar. Chatnachrichten werden Fernet-verschluesselt gespeichert und 2 Tage nach Terminende automatisch und unwiderruflich geloescht. Dolmetscher:innen unterliegen einer vertraglichen Verschwiegenheitspflicht (§ 13 der AGB).
§ 5 In-App-Chat (Verschluesselung & automatische Loeschung)
Die Plattform bietet nach Annahme einer Buchung eine verschluesselte Chat-Funktion zwischen Kund:in und Dolmetscher:in.
- Verschluesselung: Alle Chatnachrichten werden vor der Speicherung mit symmetrischer Fernet-Verschluesselung (basierend auf AES-128-CBC mit HMAC-SHA256) verschluesselt. Spracho hat keinen Zugriff auf den Klartext gespeicherter Nachrichten.
- Uebertragung: Die Kommunikation zwischen Ihrem Browser und unserem Server erfolgt ueber HTTPS/TLS.
- Automatische Loeschung: Im Sinne der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) werden saemtliche Chatnachrichten automatisch und unwiderruflich 2 Tage nach Ende des gebuchten Termins dauerhaft geloescht. Eine Wiederherstellung ist nicht moeglich.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung, Koordination des Dolmetschtermins).
§ 6 Datenweitergabe zwischen Kund:in & Dolmetscher:in
Zur Durchfuehrung der Buchung geben wir notwendige Daten stufenweise weiter (mehrstufiges Sichtbarkeitsmodell):
| Phase | Sichtbar fuer Dolmetscher:in | Sichtbar fuer Kund:in |
|---|---|---|
| Suchergebnisse | — | Vorname + Initiale (z. B. „Anna M."), Sprachen, Stadt, Stundensatz, Foto |
| Offene Anfrage | Termindetails (Datum, Stadt, Einrichtung, Thema); Kundenname maskiert („Verdeckt") | Dolmetscher-Kurzprofil |
| Angenommene Buchung | Vorname + Initiale, E-Mail, Telefon, genaue Adresse | Vorname + Initiale, E-Mail, Telefon, genaue Adresse |
Diese stufenweise Offenlegung dient der Datenminimierung. Ohne die Datenweitergabe bei angenommener Buchung ist die Vertragserfuellung nicht moeglich (Art. 6 Abs. 1 lit. b DSGVO).
§ 7 Empfaenger, Auftragsverarbeiter & Drittanbieter
Wir geben personenbezogene Daten nur weiter, soweit dies fuer die genannten Zwecke erforderlich ist. Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsvertraege (AVV) gemaess Art. 28 DSGVO geschlossen.
| Dienst | Anbieter | Sitz / Serverstandort | Zweck | Uebermittelte Daten | Drittlandtransfer-Schutz |
|---|---|---|---|---|---|
| Stripe | Stripe, Inc. | USA; Verarbeitung teilweise in EU (Stripe Payments Europe, Ltd., Irland) | Zahlungsabwicklung (Auth & Hold, Capture, Refund) | Name, E-Mail, Zahlungsinformationen, Buchungsbetrag, IP-Adresse | EU-US Data Privacy Framework (DPF); AVV mit Stripe |
| Twilio | Twilio, Inc. | USA | SMS-OTP-Verifizierung der Telefonnummer | Telefonnummer, Verifizierungscode, SMS-Zustellstatus | EU-US Data Privacy Framework (DPF); Standardvertragsklauseln (SCCs); AVV mit Twilio |
| Telegram | Telegram FZ-LLC | Dubai, VAE (kein Angemessenheitsbeschluss) | Optionale Buchungsbenachrichtigungen & Annahme/Ablehnung | Telegram-Chat-ID, Buchungsdetails (Datum, Uhrzeit, Ort, Status) | Ausdrueckliche Einwilligung gemaess Art. 49 Abs. 1 lit. a DSGVO; freiwillig |
| E-Mail-Versand (SMTP) | Strato AG | Deutschland (Serverstandort: DE) | System-E-Mails (Bestaetigungen, Erinnerungen, Rechnungen) | E-Mail-Adresse, Name, Buchungsdetails | Kein Drittlandtransfer; AVV mit Strato AG |
| Webhosting | Hosting-Anbieter | EU / EWR | Serverinfrastruktur, Datenbankhosting, Backups | Alle auf der Plattform verarbeiteten Daten | AVV mit Hosting-Anbieter; Serverstandort EU |
Darueber hinaus koennen Daten an folgende Empfaenger weitergegeben werden, soweit gesetzlich erforderlich:
- Finanzverwaltung / Bundeszentralamt fuer Steuern (PStTG-Meldungen, steuerliche Pruefungen)
- Strafverfolgungsbehoerden (bei gesetzlicher Verpflichtung)
- Steuerberater (fuer Buchhaltung, unter Berufsgeheimnis)
§ 8 Uebermittlung in Drittlaender (Art. 44–49 DSGVO)
Eine Uebermittlung personenbezogener Daten in Laender ausserhalb des Europaeischen Wirtschaftsraums (EWR) erfolgt nur unter den in Art. 44–49 DSGVO genannten Voraussetzungen:
| Drittland | Betroffener Dienst | Schutzgarantie |
|---|---|---|
| USA | Stripe, Twilio | Angemessenheitsbeschluss fuer unter dem EU-US Data Privacy Framework (DPF) zertifizierte Unternehmen (Art. 45 DSGVO); ergaenzend Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO) |
| VAE (Dubai) | Telegram | Kein Angemessenheitsbeschluss. Uebermittlung ausschliesslich auf Grundlage Ihrer ausdruecklichen Einwilligung gemaess Art. 49 Abs. 1 lit. a DSGVO. Risiko: In den VAE besteht kein dem EU-Recht vergleichbares Datenschutzniveau. Betroffenenrechte sind moeglicherweise nicht in gleichem Umfang durchsetzbar. Die Verknuepfung ist freiwillig und kann jederzeit in den Profileinstellungen widerrufen werden. |
§ 9 Sicherheitsmassnahmen (Art. 32 DSGVO)
Wir treffen angemessene technische und organisatorische Massnahmen (TOMs) zum Schutz Ihrer Daten, insbesondere:
- HTTPS/TLS-Verschluesselung fuer alle Datenuebertragungen und Erzwingung sicherer Verbindungen (HSTS);
- Fernet-Verschluesselung (AES-128-CBC + HMAC-SHA256) fuer Chatnachrichten at-rest;
- PBKDF2-Hashing fuer Passwoerter (keine Klartext-Speicherung);
- CSRF-Schutz fuer alle Formulare;
- Rate-Limiting fuer SMS-Versand (max. 3 pro Nummer/Stunde, max. 5 pro IP/Stunde) zur Verhinderung von SMS-Pumping;
- HMAC-SHA256-signierte Telegram-Callback-Daten zur Verhinderung von Manipulation;
- Stripe-Webhook-Signaturpruefung;
- Automatische Entfernung von EXIF-Metadaten bei Profilfotos;
- Zugriffsbeschraenkungen und rollenbasierte Berechtigungen;
- Automatische Loeschung von Chatnachrichten nach 2 Tagen (Datenminimierung);
- Automatische Loeschung/Entwertung von Verifizierungscodes nach Ablauf;
- Anonymisierung von IP-Adressen bei der Speicherung von Einwilligungsnachweisen.
§ 10 Cookies & aehnliche Technologien
Wir setzen technisch notwendige Cookies ein. Optionale Cookies (z. B. fuer Statistik oder Marketing) werden nur mit Ihrer ausdruecklichen Einwilligung gesetzt. Ohne Einwilligung werden keine optionalen Cookies platziert. Optionale Skripte werden erst nach Ihrer Zustimmung geladen (Script-Blocking).
10.1 Technisch notwendige Cookies
| Name | Zweck | Anbieter | Speicherdauer | Kategorie |
|---|---|---|---|---|
| sessionid | Sitzungsverwaltung (Login, Status) | Spracho | Sitzung (max. ca. 2 Wochen) | Erforderlich |
| csrftoken | CSRF-Schutz bei Formularen | Spracho | bis zu 1 Jahr | Erforderlich |
| django_language | Speichert die gewaehlte Sprache | Spracho | bis zu 1 Jahr | Erforderlich |
| cookie_consent | Merkt Ihre Cookie-Einstellung | Spracho | 6 Monate | Erforderlich |
Hinweis zu Stripe.js: Auf der Zahlungsseite wird das Skript des Zahlungsdienstleisters Stripe (js.stripe.com) geladen. Dies ist technisch notwendig fuer die sichere Zahlungsabwicklung (PCI-DSS-Konformitaet) und wird ausschliesslich auf der Zahlungsseite eingebunden, nicht auf anderen Seiten der Plattform.
10.2 Cookie-Banner & Einstellungen
Beim ersten Besuch zeigen wir einen Cookie-Hinweis. Sie koennen dort optionale Cookies akzeptieren oder ablehnen. Ihre Auswahl koennen Sie jederzeit im Footer-Link „Cookie-Einstellungen" aendern.
§ 11 Ihre Rechte (Art. 15–22 DSGVO)
Sie haben gegenueber dem Verantwortlichen folgende Rechte bezueglich Ihrer personenbezogenen Daten:
| Recht | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Auskunft | Sie koennen Auskunft ueber die von uns verarbeiteten Daten verlangen. | Art. 15 DSGVO |
| Berichtigung | Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen. | Art. 16 DSGVO |
| Loeschung | Sie koennen die Loeschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. | Art. 17 DSGVO |
| Einschraenkung | Sie koennen die Einschraenkung der Verarbeitung Ihrer Daten verlangen. | Art. 18 DSGVO |
| Datenuebertragbarkeit | Sie koennen die Herausgabe Ihrer Daten in einem strukturierten, gaengigen, maschinenlesbaren Format (JSON) verlangen. | Art. 20 DSGVO |
| Widerspruch | Sie koennen der Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f) widersprechen. | Art. 21 DSGVO |
| Widerruf der Einwilligung | Sie koennen erteilte Einwilligungen jederzeit mit Wirkung fuer die Zukunft widerrufen. | Art. 7 Abs. 3 DSGVO |
Zur Ausuebung Ihrer Rechte kontaktieren Sie uns bitte unter support@spracho.de. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
Beschwerderecht bei der Aufsichtsbehoerde:
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehoerde zu beschweren (Art. 77 DSGVO). Die fuer uns zustaendige Aufsichtsbehoerde ist:
Die Landesbeauftragte fuer den Datenschutz Niedersachsen (LfD Niedersachsen)
Prinzenstr. 5, 30159 Hannover
Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Web: www.lfd.niedersachsen.de
§ 12 Automatisierte Entscheidungsfindung & Profiling (Art. 22 DSGVO)
Es findet keine ausschliesslich automatisierte Entscheidungsfindung (einschliesslich Profiling) statt, die Ihnen gegenueber rechtliche Wirkung entfaltet oder Sie in aehnlicher Weise erheblich beeintraechtigt. Die Vergabe von Badges an Dolmetscher:innen basiert auf objektiven Kriterien (z. B. Anzahl abgeschlossener Auftraege, Fachgebiet) und hat keine nachteiligen Auswirkungen auf Ihre Rechte.
§ 13 Kontoloeschung
Sie koennen die Loeschung Ihres Kontos jederzeit per E-Mail an support@spracho.de veranlassen. Nach Loeschung werden Ihre Daten umgehend entfernt, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere steuerrechtliche Pflichten gemaess §§ 147 AO, 257 HGB, Aufbewahrungsfrist bis zu 10 Jahre) entgegenstehen. Von Aufbewahrungspflichten betroffene Daten werden gesperrt und nach Fristablauf endgueltig geloescht.
§ 14 Pflichten als Plattformbetreiber (DAC7/PStTG)
Wir sind nach dem Plattformen-Steuertransparenzgesetz (PStTG) verpflichtet, bestimmte Daten ueber auf der Plattform anbietende Dolmetscher:innen (z. B. Name, Anschrift, Steuer-Identifikationsnummer, Geburtsdatum, Bankverbindung, Umsaetze) zu erheben und jaehrlich an das Bundeszentralamt fuer Steuern (BZSt) zu melden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. PStTG. Details und Datenumfang finden Sie im Onboarding-Prozess.
§ 15 Datenschutz-Folgenabschaetzung (Art. 35 DSGVO)
Aufgrund der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) und der Verarbeitung von Daten schutzbeduerftiger Personen fuehrt Spracho eine Datenschutz-Folgenabschaetzung (DSFA) gemaess Art. 35 DSGVO durch. Die DSFA wird regelmaessig ueberprueft und bei wesentlichen Aenderungen der Verarbeitungstaetigkeiten aktualisiert. Die Ergebnisse werden intern dokumentiert und der Aufsichtsbehoerde auf Anfrage zur Verfuegung gestellt.
§ 16 Aenderungen dieser Datenschutzerklaerung
Wir aktualisieren diese Datenschutzerklaerung bei neuen Funktionen, Aenderungen der Verarbeitungstaetigkeiten oder rechtlichen Aenderungen. Massgeblich ist die hier veroeffentlichte Version. Ueber wesentliche Aenderungen informieren wir in geeigneter Weise (z. B. per E-Mail oder Hinweis auf der Plattform).