Datenschutzerklärung

1. Verantwortliche

Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze ist:

Juana Schreckenbach (Hipparia)
Amselweg 2
95445 Bayreuth
Deutschland
E-Mail: datenschutz@hipparia.de

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir erheben und verwenden personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der betroffenen Person oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

2.2 Rechtsgrundlagen

Sofern wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unsererseits oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

2.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir unterliegen, vorgesehen wurde. Insbesondere unterliegen Rechnungs- und Buchhaltungsunterlagen einer Aufbewahrungspflicht von bis zu zehn Jahren nach § 147 AO und § 257 HGB.

3. Bereitstellung der Website und Erstellung von Logfiles

3.1 Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

  • IP-Adresse des Nutzers
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite (URL)
  • Übertragene Datenmenge
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL (zuvor besuchte Seite)

Diese Daten werden in Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

3.2 Rechtsgrundlage

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

3.3 Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen, die Sicherheit unserer informationstechnischen Systeme zu gewährleisten und Angriffe abzuwehren.

3.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall.

4. Hosting und Infrastruktur

4.1 Microsoft Azure (Anwendungs-Hosting)

Diese Website wird auf Servern von Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland (Microsoft Azure) im Rechenzentrum „West Europe" (Niederlande) gehostet.

Beim Aufruf der Website erhält Microsoft Azure technisch notwendige Daten wie IP-Adresse, aufgerufene URL, Datum und Uhrzeit des Zugriffs sowie Browser-Informationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in einem zuverlässigen, sicheren und performanten Hosting unseres Online-Angebots.

Auftragsverarbeitung: Mit Microsoft Azure besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

4.2 Neon (Datenbank-Hosting)

Zur Speicherung von Anwendungsdaten nutzen wir den Datenbank-Dienst der Neon Inc., 209 Barton Springs Rd., Austin, TX 78704, USA (Neon). Die Hipparia-Datenbank wird in der Region „Azure Germany West Central" (Frankfurt am Main, Deutschland) betrieben. Eine Übermittlung der gespeicherten Anwendungsdaten in Drittländer findet im Rahmen des regulären Betriebs nicht statt.

In der Neon-Datenbank werden Konto-, Profil- und Vertragsdaten der Nutzer gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (sicherer und skalierbarer Datenbankbetrieb).

Auftragsverarbeitung: Mit Neon Inc. besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Soweit administrative oder unterstützende Tätigkeiten der Neon Inc. in den USA Zugriff auf Metadaten erfordern, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO).

4.3 Strato AG (Domain und E-Mail)

Die Domain hipparia.de wird über die Strato AG, Pascalstraße 10, 10587 Berlin, registriert. Die E-Mail-Adressen unter @hipparia.de werden ebenfalls bei Strato gehostet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: zuverlässige Erreichbarkeit per E-Mail.

5. Schriftarten

Wir verwenden auf unserer Website die Schriftarten „DM Serif Display" und „DM Sans". Diese Schriftarten sind lokal auf unseren Servern gehostet und werden direkt von dort an Ihren Browser ausgeliefert. Es findet keine Verbindung zu externen Schriftartendiensten (insbesondere nicht zu Google Fonts) statt. Es werden keine personenbezogenen Daten an Dritte übermittelt.

6. Registrierung und Benutzerkonto

6.1 Beschreibung und Umfang der Datenverarbeitung

Auf unserer Website bieten wir Nutzern die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Bei der Registrierung werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Anzeigename
  • Ggf. Rolle (Pferdebesitzer, Dienstleister)
  • Ggf. Kundentyp (Verbraucher, Unternehmer)

Im Rahmen des Registrierungsprozesses wird eine Bestätigungs-E-Mail mit einem sechsstelligen Code an die angegebene E-Mail-Adresse versendet, um diese zu verifizieren. Hierbei werden zusätzlich folgende technische Daten gespeichert:

  • Zeitpunkt der Code-Erzeugung
  • Zeitpunkt des Code-Ablaufs
  • Anzahl der Fehlversuche

6.2 Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. vorvertraglicher Maßnahmen).

6.3 Zweck der Datenverarbeitung

Eine Registrierung des Nutzers ist für das Bereithalten bestimmter Inhalte und Leistungen auf unserer Website erforderlich. Die Verifizierung der E-Mail-Adresse dient der Sicherheit, dem Schutz vor Missbrauch und der Verifikation des tatsächlichen Inhabers der E-Mail-Adresse.

6.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Dies ist bei den Registrierungs-Stammdaten der Fall, wenn die Registrierung auf unserer Website aufgehoben oder abgeändert wird. Bei einer Kündigung des Nutzerkontos werden die Stammdaten gelöscht, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

7. Premium-Abo und Zahlungsabwicklung über Stripe

7.1 Beschreibung und Umfang der Datenverarbeitung

Für die Abwicklung von kostenpflichtigen Premium-Abonnements und Zusatzpaketen nutzen wir den Zahlungsdienstleister Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe").

Im Rahmen der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt:

  • Name
  • E-Mail-Adresse
  • Rechnungsanschrift (sofern angegeben)
  • Zahlungsdaten (z. B. Kreditkartennummer, IBAN — werden ausschließlich an Stripe übermittelt und von Hipparia nicht gespeichert)
  • Transaktionsdaten (Bestellnummer, Betrag, Zeitstempel)
  • IP-Adresse zum Zeitpunkt der Zahlung
  • Bei Verbraucherkäufen: Bestätigung des Customer Type sowie der Zustimmung zur Widerrufsbelehrung und zur sofortigen Bereitstellung

Die Zahlungsdaten werden direkt in einem von Stripe bereitgestellten Formular eingegeben und an Stripe übermittelt; Hipparia hat keine Möglichkeit, Kreditkartendaten oder Bankdaten einzusehen oder zu speichern.

7.2 Doppelrolle von Stripe

Stripe nimmt bei der Verarbeitung dieser Daten eine Doppelrolle ein:

a) Als Auftragsverarbeiter im Sinne von Art. 28 DSGVO verarbeitet Stripe Daten, soweit dies zur Durchführung der konkreten Zahlung erforderlich ist. Wir haben mit Stripe einen Vertrag zur Auftragsverarbeitung geschlossen.

b) Als eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO verarbeitet Stripe Daten zur Erfüllung eigener regulatorischer Pflichten (z. B. Geldwäscheprävention, Betrugserkennung, „Know your Customer"). Auf diese Verarbeitung haben wir keinen Einfluss.

Weitere Informationen zur Datenverarbeitung durch Stripe finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.

7.3 Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung im Rahmen der Zahlungsabwicklung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, effizienten Zahlungsabwicklung).

7.4 Datenübermittlung in Drittländer

Stripe kann Daten innerhalb der Stripe-Unternehmensgruppe übermitteln, was auch eine Übermittlung in die USA umfassen kann. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie des EU-US Data Privacy Framework, sofern anwendbar.

7.5 Speicherdauer

Die Vertrags- und Zahlungsdaten werden bei Hipparia für die Dauer der vertraglichen Beziehung sowie darüber hinaus für die Dauer der gesetzlichen Aufbewahrungspflichten (bis zu zehn Jahre nach § 147 AO bzw. § 257 HGB) gespeichert. Stripe speichert Daten gemäß seiner eigenen Datenschutzerklärung und seinen regulatorischen Pflichten.

8. Widerrufsanträge nach § 356a BGB

8.1 Beschreibung und Umfang der Datenverarbeitung

Für die Bearbeitung von Widerrufsanträgen, die über die elektronische Widerrufsfunktion oder anderweitig bei uns eingehen, verarbeiten wir folgende Daten:

  • Name des Widerrufenden
  • E-Mail-Adresse
  • Vertragsnummer / Bestellnummer (sofern angegeben)
  • Vertragsdatum (sofern angegeben)
  • Optional: Begründung des Widerrufs
  • IP-Adresse zum Zeitpunkt der Übermittlung
  • User-Agent (Browser-Information)
  • Zeitstempel des Eingangs
  • Vorgangsnummer (intern vergeben)
  • Verlaufsdaten zur Bearbeitung (Audit-Trail)

8.2 Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung gemäß §§ 355 ff. BGB) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung und an der Verteidigung gegen unberechtigte Ansprüche).

8.3 Speicherdauer

Daten zu Widerrufsanträgen werden für die Dauer der gesetzlichen Aufbewahrungspflichten gespeichert (bis zu zehn Jahre nach § 147 AO bzw. § 257 HGB), mindestens jedoch bis zur Verjährung möglicher Ansprüche aus dem zugrunde liegenden Vertrag (regelmäßige Verjährungsfrist drei Jahre, § 195 BGB).

9. KI-gestützter Profilimport (Anthropic Claude API)

9.1 Beschreibung und Umfang der Datenverarbeitung

Hipparia bietet Dienstleistern die Möglichkeit, ihr Profil automatisiert auf Grundlage einer von ihnen angegebenen Website-URL zu erstellen. Hierfür nutzen wir die API der Anthropic PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA (nachfolgend „Anthropic").

Im Rahmen dieser Funktion wird der vom Nutzer angegebene Website-Inhalt (HTML-Text, ohne Bilder, maximal 100 KB) an die Anthropic Claude API übermittelt, um daraus strukturierte Profilinformationen (z. B. Beschreibung, Kategorien, Kontaktdaten) zu extrahieren.

9.2 Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung; die Funktion wird auf ausdrücklichen Wunsch des Nutzers ausgeführt) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Anstoßen des Imports).

9.3 Datenübermittlung in Drittländer

Anthropic verarbeitet die übermittelten Daten in den USA. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO). Anthropic verwendet die übermittelten API-Daten gemäß seiner eigenen Datenschutzerklärung nicht zum Training von KI-Modellen.

9.4 Auftragsverarbeitung

Mit Anthropic besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO im Rahmen der Anthropic Commercial Terms of Service.

9.5 Speicherdauer

Die im Rahmen des KI-Imports übertragenen Inhalte werden bei Anthropic nur für die Dauer der API-Verarbeitung gespeichert. Die durch den Import erstellten Profilfelder werden bei Hipparia entsprechend der allgemeinen Profil-Speicherdauer aufbewahrt.

10. Bilder und Dateien (Azure Blob Storage)

Im Rahmen der Profilpflege können Nutzer Bilder hochladen. Diese Bilder werden im Azure Blob Storage Service der Microsoft Ireland Operations Limited gespeichert (Region „West Europe", Niederlande). Es gelten die Hinweise unter Ziffer 4.1.

Bei der Verarbeitung der Bilder erfolgt eine automatische Komprimierung und Größenanpassung. Vor dem Hochladen sollten Nutzer sicherstellen, dass die Bilder keine Persönlichkeitsrechte Dritter verletzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

11. E-Mail-Versand (Azure Communication Services)

Für den Versand von System- und Benachrichtigungs-E-Mails (z. B. Registrierungs-Bestätigung, Premium-Aktivierung, Widerrufsbestätigung) nutzen wir den Dienst Azure Communication Services der Microsoft Ireland Operations Limited.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht zur Bestätigung von Verträgen und Widerrufen).

12. Empfehlungen

Registrierte Nutzer können auf der Plattform Empfehlungen für Dienstleister abgeben. Hierbei werden der Vorname und der erste Buchstabe des Nachnamens des Verfassers (z. B. „Juana S.") sowie der Text der Empfehlung gespeichert und öffentlich angezeigt. Der vollständige Nachname wird nicht veröffentlicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Verfassen und Absenden) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer transparenten Plattform mit Nutzerstimmen).

Empfehlungen können vom Verfasser jederzeit über sein Konto gelöscht werden. Nach Löschung wird der Eintrag soft-deleted und ist öffentlich nicht mehr sichtbar.

13. Kontaktaufnahme

Bei Kontaktaufnahme per E-Mail an unsere E-Mail-Adressen werden die übermittelten Daten der Nutzer gespeichert, um die Anfrage zu bearbeiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (sofern die Anfrage einen Vertragsbezug hat) bzw. Art. 6 Abs. 1 lit. f DSGVO (bei sonstigen Anfragen, berechtigtes Interesse an der Beantwortung von Anfragen).

Die Daten werden gelöscht, sobald sie für die Bearbeitung der Anfrage nicht mehr erforderlich sind, spätestens jedoch nach Ablauf der gesetzlichen Aufbewahrungsfristen.

14. Cookies und lokale Speicherung

Hipparia verwendet ausschließlich technisch notwendige Cookies und lokale Speichermechanismen, die für den Betrieb der Website unerlässlich sind. Hierzu zählen insbesondere:

  • Authentifizierungs-Cookie: Speichert die Sitzungsinformationen nach dem Login (gültig bis zu 14 Tage, „Sliding Expiration").
  • Anti-Forgery-Token: Schutz vor Cross-Site-Request-Forgery-Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG (technische Notwendigkeit).

Hipparia setzt keine Tracking-Cookies, keine Analyse-Tools (Google Analytics o. Ä.) und keine Werbe-Cookies ein. Eine Einwilligung in das Setzen von Cookies ist daher nicht erforderlich.

15. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene/r im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

15.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können von uns eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden, und Auskunft über diese Daten verlangen.

15.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.

15.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der gesetzlich vorgesehenen Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist.

15.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen.

15.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

15.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

15.7 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

15.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde für Hipparia ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: https://www.lda.bayern.de

16. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Dazu gehören insbesondere:

  • TLS/HTTPS-Verschlüsselung der gesamten Website-Kommunikation
  • Verschlüsselte Speicherung von Passwörtern (Hashing)
  • Zugangskontrollen zum Backend
  • Regelmäßige Backups der Datenbank
  • Content-Security-Policy-Header und weitere Schutzmaßnahmen gegen typische Angriffsvektoren
  • Soft-Delete-Mechanismen mit Wiederherstellungsmöglichkeit bei versehentlicher Löschung

Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

17. Aktualität und Änderung dieser Datenschutzerklärung

Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit unter https://hipparia.de/legal/datenschutz von Ihnen abgerufen und ausgedruckt werden.