Datenschutzerklärung
Hashfox GmbH - GiroCode API
Stand: 29.11.2025
1. Einleitung
Wir freuen uns über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung der Hashfox GmbH. Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb unseres Onlineangebotes und der damit verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen auf.
2. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Hashfox GmbH
Christopher Wicha
Gartenstraße 42
53859 Niederkassel
Deutschland
Telefon: +49 (0) 228 / 763 636 50
Fax: +49 (0) 228 / 763 636 9899
E-Mail: datenschutz@hashfox.com
UST-ID: DE 295552831
3. Arten der verarbeiteten Daten
3.1 Bestandsdaten (Account-Daten)
- E-Mail-Adresse (erforderlich für die Registrierung)
- Benutzername (automatisch generiert)
- API-Zugangsdaten (API-Secret)
3.2 Zahlungsdaten (über Stripe)
- Stripe-Kunden-ID
- Abonnement-Status und -Plan
- Zahlungsmethode (wird von Stripe verarbeitet, nicht bei uns gespeichert)
3.3 Nutzungsdaten
- IP-Adresse
- Datum und Uhrzeit der API-Zugriffe
- Aufgerufene Endpunkte
- Antwortzeiten
- Erfolgs-/Fehlerstatus
3.4 API-Durchleitungsdaten (NICHT gespeichert)
Wichtig: Die folgenden Daten werden bei API-Aufrufen verarbeitet, aber NICHT gespeichert. Sie werden ausschließlich zur QR-Code-Generierung verwendet und unmittelbar nach der Verarbeitung verworfen:
- IBAN des Zahlungsempfängers
- BIC der Bank
- Name des Zahlungsempfängers
- Betrag
- Verwendungszweck
4. Zweck der Verarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der GiroCode API, Account-Verwaltung, Abrechnung
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit der Systeme, Betrugsprävention, Verbesserung des Dienstes
- Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung steuerlicher Aufbewahrungspflichten
5. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten | Bis zur Löschung des Accounts + 30 Tage |
| API-Logs | Max. 50.000 Einträge (rollierend) |
| Admin-Logs | Max. 10.000 Einträge (rollierend) |
| Session-Daten | 30 Tage nach letzter Aktivität |
| OTP-Codes | 10 Minuten (dann automatisch gelöscht) |
| Rechnungsdaten | 10 Jahre (gesetzliche Aufbewahrungspflicht) |
| API-Durchleitungsdaten | Keine Speicherung (nur im Arbeitsspeicher) |
6. Empfänger der Daten / Drittanbieter
6.1 Stripe (Zahlungsabwicklung)
Anbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA
Zweck: Zahlungsabwicklung für kostenpflichtige Abonnements
Übermittelte Daten: E-Mail-Adresse, gewählter Tarif
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandtransfer: USA - Stripe ist nach dem EU-US Data Privacy Framework zertifiziert
Datenschutz: https://stripe.com/de/privacy
6.2 Server-Infrastruktur (OVHcloud)
Anbieter: OVH Groupe SAS, 2 rue Kellermann, 59100 Roubaix, Frankreich
Zweck: Bereitstellung von Bare-Metal-Servern (Dedicated Server)
Art der Nutzung: Die Hashfox GmbH betreibt eigene, dedizierte Bare-Metal-Server im OVHcloud-Rechenzentrum Frankfurt. OVHcloud hat keinen logischen Zugriff auf die Server oder darauf gespeicherten Daten – es handelt sich nicht um Managed Hosting.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Infrastruktur)
Standort: Frankfurt, Deutschland (kein Drittlandtransfer)
6.3 Backup-Speicher (Wasabi)
Anbieter: Wasabi Technologies, Inc., 75 Arlington Street, Boston, MA 02116, USA
Zweck: Verschlüsselte Speicherung von Backups
Sicherheit: Alle Backups werden clientseitig verschlüsselt bevor sie übertragen werden. Wasabi hat keinen Zugriff auf die unverschlüsselten Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherung)
Standort: Europa (EU) – kein Zugriff auf unverschlüsselte Daten
6.4 E-Mail-Versand
Zweck: Versand von OTP-Codes zur Authentifizierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
7. Cookies und Session-Speicherung
Wir verwenden folgende Cookies und lokale Speichermechanismen:
| Cookie/Storage | Zweck | Dauer | Typ |
|---|---|---|---|
| girocode_user_session | Benutzer-Authentifizierung | 30 Tage | Essentiell |
| girocode_admin_session | Admin-Authentifizierung | Session | Essentiell |
| locale | Spracheinstellung | 1 Jahr | Funktional |
| pwa_install_dismissed | PWA-Installationshinweis | 7 Tage | Funktional |
Hinweis: Wir verwenden keine Tracking-Cookies, keine Analyse-Tools (wie Google Analytics) und keine Werbe-Cookies. Alle eingesetzten Cookies sind für den Betrieb des Dienstes erforderlich oder dienen der Benutzerfreundlichkeit.
8. Ihre Rechte als betroffene Person
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO)
Sie können Auskunft über Ihre gespeicherten Daten verlangen.
Berichtigung (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger Daten verlangen.
Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden").
Einschränkung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem gängigen Format erhalten.
Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten widersprechen.
Account-Löschung: Sie können Ihren Account jederzeit selbst über das Dashboard unter „Abonnement" → „Gefahrenzone" → „Account löschen" vollständig löschen. Dabei werden alle Ihre personenbezogenen Daten unwiderruflich entfernt.
9. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 (0) 211 / 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de
10. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten zu schützen:
- Verschlüsselung: Alle Datenübertragungen erfolgen TLS/HTTPS-verschlüsselt
- Zugriffskontrolle: Timing-safe Credential-Vergleich, API-Key-Authentifizierung
- Protokollierung: Audit-Logs für sicherheitsrelevante Aktionen
- Datensparsamkeit: Zahlungsdaten werden nicht gespeichert, nur durchgeleitet
- Serverstandort: Bare-Metal-Server im OVHcloud-Rechenzentrum Frankfurt, Deutschland – ohne Zugriff durch den Hosting-Provider
- Backups: Clientseitig verschlüsselte Backups auf Wasabi S3-Speicher in Europa
11. Auftragsverarbeitung
Wenn Sie die GiroCode API nutzen und dabei personenbezogene Daten Ihrer Kunden (z.B. IBAN, Empfängernamen) an uns übermitteln, handeln wir als Auftragsverarbeiter in Ihrem Auftrag. In diesem Fall gilt ergänzend unser Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.
Kontakt für Datenschutzanfragen
Hashfox GmbH
Datenschutz
Gartenstraße 42
53859 Niederkassel
Deutschland
E-Mail: datenschutz@hashfox.com
Telefon: +49 (0) 228 / 763 636 50