Zum Inhalt springen
Biscotti CMP
FunktionenPreise🔍 Cookie-Check♿ Barrierefreiheit📦 DownloadsDokumentationBlog
Anmelden
Startseite›Datenschutz

Datenschutzerklärung

Auf einen Blick

  • Welche personenbezogenen Daten wir verarbeiten und warum.
  • Die Rechtsgrundlagen, Empfänger und Speicherfristen.
  • Ihre Datenschutzrechte und wie Sie diese ausüben.

Datenschutzerklärung

Umfassende Information über die Verarbeitung personenbezogener Daten gemäß Art. 13 und Art. 14 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung — DSGVO)

Stand: 15. April 2026 | Version 2.0

1. Verantwortlicher und Datenschutzbeauftragter

1.1 Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb der Webseite biscotti-cmp.com, der Applikation app.biscotti-cmp.com sowie aller damit verbundenen Dienste ist:

Campcruisers GmbH
Berliner Str. 21 B
14612 Falkensee
Deutschland

Vertreten durch: Daniel Bosch (Geschäftsführer / CEO)
Außerdem vertretungsberechtigt: Philipp André Marschall (Prokurist)

Telefon:+49 3322 50703301
Fax:+49 3322 50703302
E-Mail (Allgemein):info@biscotti-cmp.com
E-Mail (Datenschutz):datenschutz@biscotti-cmp.com
Webseite:www.biscotti-cmp.com
Registergericht:Amtsgericht Potsdam
Registernummer:HRB 40180 P
USt-IdNr.:DE368000447

1.2 Datenschutzbeauftragter

Sofern eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten nach § 38 Abs. 1 BDSG oder Art. 37 DSGVO besteht, wird dieser benannt und die Kontaktdaten an dieser Stelle veröffentlicht. Unabhängig davon stellen die Geschäftsführung (Daniel Bosch, Philipp André Marschall) die vollumfängliche Überwachung und Einhaltung der datenschutzrechtlichen Pflichten sicher.

Für alle Datenschutzanfragen wenden Sie sich bitte an:
E-Mail: datenschutz@biscotti-cmp.com
Telefon: +49 3322 50703301
Geschäftszeiten: Montag bis Freitag, 10:00–17:00 Uhr (MEZ/MESZ)

2. Übersicht der Verarbeitungstätigkeiten

Biscotti CMP ist eine umfassende Consent-Management- und Legal-Compliance-Plattform. Im Rahmen des Betriebs der Plattform verarbeiten wir personenbezogene Daten in folgenden Bereichen:

  • Registrierung und Kontoverwaltung (Abschnitt 3)
  • Nutzung der SaaS-Plattform / Dashboard (Abschnitt 4)
  • Consent-Daten der Website-Besucher unserer Kunden (Abschnitt 5)
  • Cookie-Scanner (Abschnitt 6)
  • Legal Suite — KI-Textgenerierung (Abschnitt 7)
  • Legal Sync — Gesetzesänderungs-Monitoring (Abschnitt 8)
  • Policy-Audit — Website-Scraping und KI-Analyse (Abschnitt 9)
  • Anwaltsmarktplatz (Abschnitt 10)
  • Agentur- und White-Label-Funktionen (Abschnitt 11)
  • Newsletter (Abschnitt 12)
  • Review Rewards Programm (Abschnitt 13)
  • Zahlungsabwicklung (Abschnitt 14)
  • GeoIP-Erkennung (Abschnitt 15)
  • Bot-Erkennung (Abschnitt 16)
  • Session-Tracking (Abschnitt 17)
  • Backups (Abschnitt 18)
  • Hosting und Infrastruktur (Abschnitt 19)
  • Cookies und Local Storage auf biscotti-cmp.com (Abschnitt 20)

Für jede Verarbeitungstätigkeit werden nachfolgend der Zweck, die Rechtsgrundlage, die Kategorien verarbeiteter Daten, die Empfänger sowie die Speicherdauer angegeben.

Wichtiger Hinweis zur Doppelrolle: Hinsichtlich der Daten unserer eigenen Kunden (Account-Inhaber, Team-Mitglieder) sind wir Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Hinsichtlich der Consent-Daten der Website-Besucher unserer Kunden handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung sind im separaten Auftragsverarbeitungsvertrag (AVV) geregelt, der integraler Bestandteil unserer AGB ist (§ 27.2 AGB).

3. Registrierung und Kontoverwaltung

3.1 Registrierung und Account-Erstellung

Zweck: Erstellung und Verwaltung Ihres Benutzerkontos zur Nutzung der Biscotti CMP Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Registrierung ist Voraussetzung für die Nutzung der SaaS-Plattform).

Kategorien verarbeiteter Daten:

  • E-Mail-Adresse (Pflichtangabe)
  • Passwort (wird als kryptografischer Hash gespeichert, niemals im Klartext)
  • Vorname, Nachname (optional)
  • Firmenname (optional)
  • Sprache des Accounts (automatisch aus Browser-Sprache erkannt oder manuell aus 42 verfügbaren Sprachen gewählt)
  • Zeitpunkt der Registrierung
  • IP-Adresse zum Zeitpunkt der Registrierung (für die Protokollierung der AVV-Zustimmung gemäß Art. 28 Abs. 9 DSGVO)

Empfänger: Resend (Versand der Verifizierungs-E-Mail), Google Cloud Platform (Hosting der Datenbank).

Speicherdauer: Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Löschung des Accounts werden die Daten unverzüglich gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten (vgl. Abschnitt 23).

3.2 Double-Opt-In (E-Mail-Verifizierung)

Zweck: Verifizierung der E-Mail-Adresse zur Sicherstellung, dass der Inhaber der E-Mail-Adresse die Registrierung tatsächlich vorgenommen hat.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch).

Kategorien verarbeiteter Daten:

  • E-Mail-Adresse
  • Verifizierungs-Token (zufällig generiert, 24 Stunden gültig)
  • Zeitpunkt des Versands und der Bestätigung
  • Verifizierungsstatus (emailVerified: true/false)

Empfänger: Resend (Versand der Verifizierungs-E-Mail).

Speicherdauer: Der Verifizierungs-Token wird nach Bestätigung oder nach Ablauf der 24-Stunden-Frist gelöscht. Der Verifizierungsstatus wird für die Dauer des Vertragsverhältnisses gespeichert.

3.3 Passwort-Zurücksetzung

Zweck: Ermöglichung der Wiederherstellung des Zugangs zum Account bei vergessenem Passwort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • E-Mail-Adresse
  • Reset-Token (zufällig generiert, zeitlich befristet)
  • Zeitpunkt der Anforderung

Empfänger: Resend (Versand der Reset-E-Mail).

Speicherdauer: Der Reset-Token wird nach Verwendung oder nach Ablauf der Gültigkeitsfrist gelöscht.

4. Nutzung der SaaS-Plattform (Dashboard)

4.1 Dashboard-Nutzung und Banner-Konfiguration

Zweck: Bereitstellung der webbasierten Benutzeroberfläche (Dashboard) unter app.biscotti-cmp.com zur Konfiguration und Verwaltung des Consent-Banners, der Websites, der Kategorien, der Rechtstexte und aller weiteren Plattform-Funktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • Account-Daten (E-Mail, Name, Firma)
  • Website-Konfigurationen (Domain, Banner-Einstellungen, Farben, Texte, Consent-Kategorien)
  • Banner-Statistiken (Aufrufe, Interaktionen, Akzeptanzraten)
  • Scan-Ergebnisse und Scan-Historien
  • Generierte Rechtstexte
  • Compliance-Berichte und Health-Scores
  • Audit-Log-Einträge (Zeitstempel, Nutzer-ID, durchgeführte Aktion, IP-Adresse)

Empfänger: Google Cloud Platform (Hosting).

Speicherdauer: Für die Dauer des Vertragsverhältnisses. Audit-Logs werden für 12 Monate gespeichert. Nach Account-Löschung werden die Daten nach Ablauf der 30-tägigen Grace Period unwiderruflich gelöscht.

4.2 Team-Verwaltung

Zweck: Ermöglichung des Multi-User-Zugangs zum Account durch Einladung von Team-Mitgliedern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • E-Mail-Adressen der eingeladenen Team-Mitglieder
  • Zugewiesene Rollen und Berechtigungen
  • Zeitpunkt der Einladung und Annahme

Empfänger: Resend (Versand der Einladungs-E-Mail), Google Cloud Platform (Hosting).

Speicherdauer: Für die Dauer der Team-Mitgliedschaft. Bei Entfernung aus dem Team werden die Zuordnungsdaten gelöscht.

4.3 Consent-Analytics und A/B-Testing

Zweck: Statistische Auswertung von Consent-Raten, Banner-Interaktionen und Conversion-Tracking. A/B-Testing ermöglicht den Vergleich verschiedener Banner-Varianten zur Optimierung der Akzeptanzraten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Analytics-Funktionen sind Bestandteil des gebuchten Tarifs).

Kategorien verarbeiteter Daten:

  • Aggregierte Consent-Statistiken (keine Einzelpersonendaten)
  • Banner-Varianten-Zuordnung (bei A/B-Testing)
  • Traffic-Verteilung und Conversion-Raten

Empfänger: Google Cloud Platform (Hosting).

Speicherdauer: Aggregierte Statistiken werden für die Dauer des Vertragsverhältnisses gespeichert.

5. Consent-Daten der Website-Besucher

Hinweis: Hinsichtlich der Consent-Daten der Website-Besucher unserer Kunden handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Kunde ist Verantwortlicher. Die nachfolgenden Angaben dienen der Transparenz gegenüber den Website-Besuchern.

5.1 Erfassung von Einwilligungsentscheidungen

Zweck: Erfassung, Speicherung und Dokumentation der Einwilligungsentscheidungen der Website-Besucher zur Erfüllung der Nachweispflicht des Website-Betreibers gemäß Art. 7 Abs. 1 DSGVO und § 25 Abs. 1 TDDDG.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Nachweispflicht nach Art. 7 Abs. 1 DSGVO) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Website-Betreibers an der Dokumentation der Einwilligung).

Kategorien verarbeiteter Daten:

  • Consent-ID (pseudonyme UUID, die dem Endgerät/Browser zugeordnet wird)
  • Einwilligungsentscheidungen pro Kategorie (Essentiell, Funktional, Analyse, Marketing sowie ggf. benutzerdefinierte Kategorien)
  • Zeitstempel der Einwilligung (Datum und Uhrzeit)
  • IP-Hash (die IP-Adresse wird ausschließlich zur Jurisdiktionserkennung verarbeitet und anschließend zu einem kryptografischen Hash anonymisiert; Roh-IP-Adressen werden nicht dauerhaft gespeichert)
  • Ländercode (ermittelt über GeoIP-Erkennung)
  • Browser-Sprache
  • User-Agent-String
  • Referrer-Kategorie (organic, social, paid, direct, referral)
  • TCF-String (bei aktiviertem IAB Transparency & Consent Framework 2.3)
  • Consent-Variante (bei aktiviertem A/B-Testing)
  • Google Consent Mode v2 Signale
  • Global Privacy Control (GPC) Signal

Empfänger: Google Cloud Platform (Hosting, Datenbank), MinIO (Backup, selbst gehostet auf GCP).

Speicherdauer: Consent-Daten werden standardmäßig für 18 Monate gespeichert. Der Website-Betreiber (Kunde) kann die Aufbewahrungsfrist individuell konfigurieren. Nach Ablauf der Aufbewahrungsfrist werden die Daten automatisch und unwiderruflich gelöscht.

5.2 Consent-Lookup (Auskunft für Website-Besucher)

Zweck: Ermöglichung der Einsichtnahme in gespeicherte Einwilligungsdaten durch Website-Besucher zur Erfüllung des Auskunftsrechts nach Art. 15 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Auskunftsrecht nach Art. 15 DSGVO).

Kategorien verarbeiteter Daten:

  • Consent-ID (vom Website-Besucher eingegeben)
  • IP-Adresse (für Rate-Limiting, nicht dauerhaft gespeichert)

Empfänger: Google Cloud Platform (Hosting).

Speicherdauer: Es werden keine zusätzlichen Daten gespeichert. Die Abfrage ist auf 10 Anfragen pro Minute pro IP-Adresse begrenzt.

6. Cookie-Scanner

6.1 Automatisierter Website-Scan

Zweck: Automatisierte Durchsuchung der Websites unserer Kunden nach Cookies, Local-Storage-Einträgen und Drittanbieter-Trackern zur Identifikation, Kategorisierung und Dokumentation der eingesetzten Technologien. Die Ergebnisse dienen der datenschutzkonformen Konfiguration des Consent-Banners.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — der Cookie-Scanner ist Kernfunktion der Plattform).

Kategorien verarbeiteter Daten:

  • Domain und URL der gescannten Website
  • Gefundene Cookies (Name, Wert, Domain, Ablaufdatum, Pfad, Secure-Flag, SameSite-Attribut)
  • Local-Storage-Einträge
  • Drittanbieter-Tracker und eingebundene externe Ressourcen
  • Kategorisierung der gefundenen Elemente (Essentiell, Funktional, Analyse, Marketing)
  • Abgleich mit der IAB Global Vendor List (GVL)
  • Scan-Zeitpunkt und Scan-Dauer

Technische Umsetzung: Der Scanner verwendet Playwright (Open-Source-Headless-Browser von Microsoft), der auf unseren eigenen Servern auf der Google Cloud Platform (europe-west4, Niederlande) betrieben wird. Es erfolgt keine Datenübermittlung an Microsoft. Der Scanner besucht die Website des Kunden wie ein regulärer Browser, um JavaScript-gerenderte Inhalte und dynamisch gesetzte Cookies zu erfassen.

Empfänger: Google Cloud Platform (Hosting), Google Gemini (KI-gestützte Kategorisierung der gefundenen Cookies).

Speicherdauer: Scan-Ergebnisse werden für die Dauer des Vertragsverhältnisses gespeichert. Scan-Historien ermöglichen den Vergleich mit früheren Scans.

6.2 Öffentlicher Cookie-Checker

Zweck: Bereitstellung eines kostenlosen, öffentlichen Cookie-Checkers auf der Marketing-Webseite, der ohne Registrierung nutzbar ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines Informationsdienstes und der Kundengewinnung).

Kategorien verarbeiteter Daten:

  • Eingegebene Domain/URL
  • IP-Adresse (für Rate-Limiting, nicht dauerhaft gespeichert)
  • Scan-Ergebnisse

Empfänger: Google Cloud Platform (Hosting).

Speicherdauer: Scan-Ergebnisse des öffentlichen Checkers werden temporär gespeichert. Die Nutzung ist auf 3 Scans pro Tag pro IP-Adresse begrenzt.

7. Legal Suite — KI-Textgenerierung

7.1 KI-gestützte Generierung von Rechtstexten

Zweck: Generierung von maßgeschneiderten Rechtstexten (Impressum, Datenschutzerklärung, Cookie-Richtlinie, AGB, Widerrufsbelehrung, AVV/DPA, Versand- und Retourenbedingungen, Nutzungsbedingungen, Disclaimer, NDA, DSA-Informationen und über 30 weitere Dokumenttypen) auf Basis der vom Kunden eingegebenen Informationen unter Einsatz von Künstlicher Intelligenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Legal Suite ist Bestandteil des gebuchten Tarifs).

Kategorien verarbeiteter Daten, die an Google Gemini übermittelt werden:

  • Unternehmensdaten des Kunden (Firmenname, Rechtsform, Adresse, Kontaktdaten)
  • Namen von Vertretungsberechtigten (Geschäftsführer, Prokuristen)
  • Registerdaten (Registergericht, Registernummer, USt-IdNr.)
  • Branchenspezifische Informationen und Geschäftskategorie
  • Beschreibung der Verarbeitungstätigkeiten
  • Vom Kunden eingegebene individuelle Angaben zum Dokumenttyp
  • Jurisdiktionsinformationen

KI-Provider: Google Gemini (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Die Verarbeitung erfolgt über die Google Gemini API innerhalb der EU/des EWR. Gemäß den Google Cloud-Datenschutzbestimmungen werden Eingabedaten nicht zum Training von KI-Modellen verwendet.

Transparenzhinweis gemäß EU AI Act (Verordnung (EU) 2024/1689): Die KI simuliert verschiedene juristische Experten-Rollen (z. B. „Fachanwalt für IT-Recht") zur Optimierung der Textqualität. Es handelt sich hierbei ausdrücklich nicht um eine Prüfung durch echte Rechtsanwälte. KI-generierte Inhalte werden als solche gekennzeichnet.

Empfänger: Google Gemini (KI-Verarbeitung), Google Cloud Platform (Hosting, Speicherung der generierten Texte).

Speicherdauer: Generierte Rechtstexte werden für die Dauer des Vertragsverhältnisses gespeichert. Bei Google Gemini werden die Eingabedaten gemäß den Google Cloud-Nutzungsbedingungen nicht über die Verarbeitung hinaus gespeichert.

7.2 Bring Your Own Key (BYOK)

Zweck: Kunden können optional eigene API-Keys für KI-Provider (Google Gemini, OpenAI, Anthropic Claude, Ollama) hinterlegen, um die Textgenerierung über ihren eigenen Account beim jeweiligen KI-Provider abzuwickeln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • API-Key des Kunden (wird mit AES-256-GCM verschlüsselt gespeichert)

Hinweis: Bei Nutzung eines eigenen API-Keys erfolgt die Verarbeitung der Eingabedaten beim jeweiligen KI-Provider unter der Verantwortung des Kunden. Es gelten die Datenschutzbestimmungen des jeweiligen Providers.

Empfänger: Der vom Kunden gewählte KI-Provider.

Speicherdauer: Der verschlüsselte API-Key wird für die Dauer des Vertragsverhältnisses gespeichert und bei Account-Löschung gelöscht.

8. Legal Sync — Gesetzesänderungs-Monitoring

Zweck: Automatisierte Überwachung von Gesetzesänderungen in über 186 Jurisdiktionen. Bei relevanten Änderungen werden betroffene Rechtstexte des Kunden automatisch als aktualisierungsbedürftig markiert. In Tarifen mit „Auto-Update"-Funktion können betroffene Texte automatisch regeneriert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Legal Sync ist Bestandteil des gebuchten Tarifs).

Kategorien verarbeiteter Daten:

  • Jurisdiktionszuordnung der Kunden-Websites
  • Zuordnung der generierten Rechtstexte zu Jurisdiktionen
  • Zeitpunkt und Art der erkannten Gesetzesänderung
  • Status der Aktualisierung (aktuell, aktualisierungsbedürftig, automatisch aktualisiert)

Technische Umsetzung: Ein täglicher automatisierter Prozess (Cron-Job, 03:00 UTC) prüft auf Gesetzesänderungen und gleicht diese mit den Kunden-Dokumenten ab.

Empfänger: Google Cloud Platform (Hosting), Google Gemini (bei automatischer Regenerierung von Rechtstexten), Resend (Benachrichtigungs-E-Mails).

Speicherdauer: Änderungsprotokolle werden für die Dauer des Vertragsverhältnisses gespeichert.

9. Policy-Audit — Website-Scraping und KI-Analyse

9.1 Automatisierte Compliance-Audits

Zweck: Automatisierte wöchentliche Überprüfung der Kunden-Websites auf datenschutzrechtliche Risiken. Dies umfasst die Erkennung neuer Cookies seit dem letzten Scan, die Prüfung auf Consent-Probleme sowie die KI-gestützte Analyse bestehender Rechtstexte (Datenschutzerklärung, Impressum) des Kunden. Das Ergebnis wird als Health-Score (A–F) dargestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Compliance-Audit-Funktion ist Bestandteil der Plattform).

Kategorien verarbeiteter Daten:

  • Domain und URL der geprüften Website
  • Gescrapte Inhalte der Datenschutzerklärung und des Impressums des Kunden
  • Ergebnisse der KI-Analyse (erkannte Lücken, veraltete Referenzen, fehlende Services)
  • Health-Score und Compliance-Bericht
  • Zeitpunkt des Audits

Technische Umsetzung: Playwright (Headless-Browser, selbst gehostet auf GCP) scrapt die öffentlich zugänglichen Rechtstexte der Kunden-Website. Die gescrapten Texte werden anschließend über die Google Gemini API analysiert.

Empfänger: Google Cloud Platform (Hosting), Google Gemini (KI-Analyse), Resend (Benachrichtigungs-E-Mails bei erkannten Problemen).

Speicherdauer: Audit-Ergebnisse und Compliance-Berichte werden für die Dauer des Vertragsverhältnisses gespeichert.

10. Anwaltsmarktplatz

10.1 Vermittlung anwaltlicher Dienstleistungen

Zweck: Vermittlung anwaltlicher Dienstleistungen zwischen Kunden und unabhängigen, auf der Plattform registrierten Rechtsanwälten. Die Campcruisers GmbH tritt hierbei ausschließlich als Vermittlerin auf und wird nicht selbst Vertragspartei des Mandatsverhältnisses zwischen Kunde und Rechtsanwalt (vgl. § 14 AGB).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Nutzung des Anwaltsmarktplatzes).

10.2 Anwaltsregistrierung

Kategorien verarbeiteter Daten:

  • Kontaktdaten des Rechtsanwalts (Name, E-Mail, Telefon, Kanzleiadresse)
  • Berufliche Qualifikationen und Fachgebiete
  • Verifizierungsdokumente (max. 10 MB, PDF/JPEG/PNG)
  • Verifizierungsstatus (PENDING_APPROVAL, APPROVED, REJECTED)
  • Verfügbarkeiten (wöchentliche Zeitfenster, blockierte Datumsräume, Zeitzone)
  • Profilbild und Profilbeschreibung
  • Stripe Connect Account-Daten (für Auszahlungen)

10.3 Mandatsdaten

Kategorien verarbeiteter Daten:

  • Angebotsanfragen und Angebote (Beschreibung, Preis, Gültigkeitsdauer)
  • Mandatsstatus (QUOTE_REQUESTED, QUOTE_SENT, PAYMENT_PENDING, IN_REVIEW, COMPLETED, QUOTE_REJECTED, QUOTE_EXPIRED, CANCELLED, DISPUTED)
  • Nachrichten zwischen Kunde und Rechtsanwalt
  • Zahlungsinformationen (Betrag, Plattform-Provision, Auszahlungsbetrag)

10.4 Videoberatung (Twilio)

Zweck: Bereitstellung von Videoberatungen zwischen Kunden und Rechtsanwälten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • Videoberatungs-Metadaten (Zeitpunkt, Dauer, Teilnehmer)
  • Twilio-Raum-ID und Zugangs-Token

Empfänger: Twilio Ireland Limited, Dublin, Irland (Bereitstellung der Video-Infrastruktur).

10.5 Bewertungen

Zweck: Ermöglichung der Bewertung von Rechtsanwälten durch Kunden zur Qualitätssicherung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung und Transparenz).

Kategorien verarbeiteter Daten:

  • Bewertung (Sterne, Freitext)
  • Zeitpunkt der Bewertung
  • Zuordnung zum Mandat

Empfänger für den gesamten Anwaltsmarktplatz: Stripe Connect (Zahlungsabwicklung), Twilio (Videoberatung), Google Cloud Platform (Hosting), Resend (Benachrichtigungen).

Speicherdauer: Mandatsdaten werden für die Dauer des Vertragsverhältnisses gespeichert, mindestens jedoch für die Dauer gesetzlicher Aufbewahrungspflichten (10 Jahre für Rechnungsdaten). Bewertungen bleiben für die Dauer der Registrierung des Rechtsanwalts sichtbar. Nicht angenommene Angebote verfallen automatisch nach 7 Tagen.

11. Agentur- und White-Label-Funktionen

11.1 Sub-Account-Verwaltung

Zweck: Ermöglichung der Verwaltung von Endkunden-Accounts (Sub-Accounts) durch Agenturen im Rahmen des Agency-Tarifs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • E-Mail-Adressen und Kontaktdaten der Sub-Account-Inhaber (Endkunden der Agentur)
  • Einladungsdaten (E-Mail, Zeitpunkt)
  • Proxy-Token-Zugriffsprotokolle (Zeitpunkt, Agentur-Nutzer, Sub-Account)
  • Website-Konfigurationen und Consent-Daten der Sub-Accounts

Empfänger: Google Cloud Platform (Hosting), Resend (Einladungs-E-Mails).

Speicherdauer: Für die Dauer des Vertragsverhältnisses zwischen Agentur und Campcruisers GmbH.

11.2 Custom Domain (CNAME)

Zweck: Bereitstellung einer eigenen Domain für das Dashboard der Agentur.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • Domain-Name der Agentur
  • DNS-Verifizierungsdaten
  • SSL/TLS-Zertifikatsdaten (automatisch über Let's Encrypt bereitgestellt)

Empfänger: Let's Encrypt (SSL-Zertifikatsausstellung — es werden ausschließlich Domain-Namen, keine personenbezogenen Daten natürlicher Personen übermittelt), Google Cloud Platform (Hosting, Traefik-Routing).

11.3 Eigene Transaktions-E-Mails

Zweck: Ermöglichung des Versands von Transaktions-E-Mails unter dem Branding der Agentur über einen eigenen E-Mail-Provider.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • API-Keys des E-Mail-Providers der Agentur (verschlüsselt mit AES-256-GCM gespeichert)
  • E-Mail-Absenderdaten (Name, E-Mail-Adresse)
  • Unterstützte Provider: Resend, SendGrid, Mailjet, Mailchimp/Mandrill, Maileroo, Gmail SMTP, Custom SMTP

Hinweis: Bei Nutzung eines eigenen E-Mail-Providers erfolgt der E-Mail-Versand unter der datenschutzrechtlichen Verantwortung der Agentur.

Speicherdauer: Verschlüsselte API-Keys werden für die Dauer des Vertragsverhältnisses gespeichert.

12. Newsletter

12.1 Newsletter-Abonnement

Zweck: Versand von Informationen zu Produktupdates, Datenschutzrecht, Compliance-Themen und Neuigkeiten rund um Biscotti CMP.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — der Newsletter wird nur nach ausdrücklicher Einwilligung im Double-Opt-In-Verfahren versendet).

Kategorien verarbeiteter Daten:

  • E-Mail-Adresse
  • Zeitpunkt der Anmeldung und der Double-Opt-In-Bestätigung
  • Abmeldestatus

Double-Opt-In-Verfahren: Nach Eingabe der E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail mit einem Verifizierungslink. Erst nach Klick auf diesen Link wird Ihre E-Mail-Adresse in den Newsletter-Verteiler aufgenommen.

Empfänger: Resend (Versand der Newsletter-E-Mails und der Bestätigungs-E-Mail).

Abmeldung: Sie können den Newsletter jederzeit abbestellen. Jede Newsletter-E-Mail enthält einen Abmeldelink (Unsubscribe-Link). Alternativ können Sie sich per E-Mail an datenschutz@biscotti-cmp.com abmelden.

Speicherdauer: Ihre E-Mail-Adresse wird bis zur Abmeldung vom Newsletter gespeichert. Nach Abmeldung wird die E-Mail-Adresse unverzüglich aus dem Verteiler gelöscht. Zur Dokumentation der erteilten Einwilligung wird der Zeitpunkt der Anmeldung und Bestätigung für die Dauer von 3 Jahren nach Abmeldung aufbewahrt (berechtigtes Interesse an der Nachweisbarkeit der Einwilligung, Art. 6 Abs. 1 lit. f DSGVO).

13. Review Rewards Programm

Zweck: Belohnung von Kunden, die Bewertungen über Biscotti CMP auf externen Bewertungsplattformen abgeben, mit Bonus-Sessions und einem temporären Plan-Upgrade.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Teilnahme am Programm ist freiwillig und stellt eine vertragliche Zusatzleistung dar).

Kategorien verarbeiteter Daten:

  • Account-Daten des teilnehmenden Kunden
  • Bewertungsplattform (OMR Reviews, Capterra, G2, Google Business, WordPress.org, Trustpilot, SourceForge, Facebook, earlybird.so)
  • Link zur abgegebenen Bewertung
  • Genehmigungsstatus (durch Admin-Prüfung)
  • Belohnungsdaten (15.000 Bonus-Sessions, 1 Monat Plan-Upgrade)

Empfänger: Google Cloud Platform (Hosting).

Speicherdauer: Belohnungsdaten werden für die Dauer des Vertragsverhältnisses gespeichert. Bonus-Sessions verfallen nach 6 Monaten (reguläre Pläne) bzw. sind unbegrenzt gültig (LTD-Pläne).

14. Zahlungsabwicklung (Stripe)

14.1 Abonnement-Zahlungen

Zweck: Abwicklung der Zahlungen für kostenpflichtige Abonnement-Tarife, Credit Packs und sonstige kostenpflichtige Leistungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • Rechnungsadresse (Name/Firma, Straße, PLZ, Ort, Land)
  • USt-IdNr. (bei B2B-Kunden)
  • Zahlungsmethode (Kreditkarte, SEPA-Lastschrift, PayPal, Apple Pay, Google Pay etc.)
  • Zahlungshistorie und Rechnungen
  • Stripe Customer-ID und Subscription-ID
Wichtiger Hinweis: Kreditkartendaten werden direkt bei Stripe tokenisiert und nicht im Klartext auf unseren Servern gespeichert. Wir haben keinen Zugriff auf vollständige Kreditkartennummern.

Empfänger: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert.

Speicherdauer: Rechnungen und buchhalterische Daten werden für 10 Jahre aufbewahrt (§ 147 AO, §§ 238, 257 HGB). Zahlungsmethoden werden bei Stripe für die Dauer des Abonnements gespeichert.

14.2 Stripe Connect (Anwaltsmarktplatz)

Zweck: Abwicklung der Zahlungen zwischen Kunden und Rechtsanwälten über den Anwaltsmarktplatz sowie Auszahlung an Rechtsanwälte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kategorien verarbeiteter Daten:

  • Stripe Connect Express Account-Daten der Rechtsanwälte
  • Zahlungsbeträge, Plattform-Provision, Auszahlungsbeträge
  • Checkout-Session-Daten

Empfänger: Stripe Payments Europe, Ltd., Dublin, Irland.

Speicherdauer: Gemäß den Aufbewahrungspflichten für Rechnungsdaten (10 Jahre).

14.3 ZUGFeRD-Rechnungen

Zweck: Erstellung und Bereitstellung von Rechnungen im ZUGFeRD-Format (PDF mit eingebettetem XML gemäß EN 16931).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Rechnungsstellungspflichten nach UStG, HGB).

Kategorien verarbeiteter Daten:

  • Rechnungsadresse, Kundennummer (CUS-JJMM-XXXXX), Rechnungsnummer (INV-JJMM-XXXXX)
  • Leistungsbeschreibung, Beträge, Steuersätze

Empfänger: Resend (Versand der Rechnung per E-Mail), Google Cloud Platform (Hosting).

Speicherdauer: 10 Jahre (§ 147 AO, §§ 238, 257 HGB).

15. GeoIP-Erkennung

Zweck: IP-basierte Ermittlung des Landes bzw. der Jurisdiktion des Website-Besuchers zur dynamischen Ausspielung rechtskonformer Banner-Varianten (z. B. Opt-In für DSGVO-Länder, Opt-Out für CCPA-Länder, Notice-Only für Länder ohne spezifische Cookie-Gesetzgebung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der rechtskonformen Ausspielung des Consent-Banners entsprechend der anwendbaren Jurisdiktion des Website-Besuchers).

Kategorien verarbeiteter Daten:

  • IP-Adresse des Website-Besuchers (wird an ip-api.com zur Ländererkennung übermittelt)
  • Ermittelter Ländercode

Technische Umsetzung: Die IP-Adresse wird an den Dienst ip-api.com (Sitz: Litauen, EU) übermittelt. Das Ergebnis (Ländercode) wird für 1 Stunde im Cache (Redis) zwischengespeichert, um wiederholte Abfragen zu vermeiden. Nach der Ländererkennung wird die IP-Adresse zu einem kryptografischen Hash anonymisiert (IP-Hash). Roh-IP-Adressen werden nicht dauerhaft gespeichert.

Empfänger: ip-api.com (ip-api, Litauen — GeoIP-Dienst), Google Cloud Platform (Hosting, Redis-Cache).

Speicherdauer: Das GeoIP-Ergebnis wird für 1 Stunde im Cache gespeichert. Roh-IP-Adressen werden nach der Ländererkennung sofort anonymisiert. Der IP-Hash wird als Bestandteil der Consent-Daten für die konfigurierte Aufbewahrungsfrist (Standard: 18 Monate) gespeichert.

16. Bot-Erkennung

Zweck: Unterscheidung zwischen menschlichen Website-Besuchern und automatisierten Zugriffen (Bots, Crawler, Scraper) zur korrekten Session-Zählung. Automatisierte Zugriffe werden nicht als Sessions gezählt und nicht berechnet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der korrekten Abrechnung und dem Schutz der Plattform vor Missbrauch).

Kategorien verarbeiteter Daten:

  • User-Agent-String
  • HTTP-Header (z. B. Accept-Language, Accept-Encoding)
  • Merkmale von Headless-Browsern
  • IP-Adresse (für IP-basiertes Rate-Limiting, nicht dauerhaft gespeichert)

Technische Umsetzung: Die Bot-Erkennung analysiert jeden Zugriff anhand von User-Agent-Analyse, Header-Analyse (z. B. fehlende Accept-Language-Header), Erkennung von Headless-Browsern und IP-basiertem Rate-Limiting. Die Analyse erfolgt in Echtzeit auf unseren Servern.

Empfänger: Google Cloud Platform (Hosting).

Speicherdauer: Die Analyseergebnisse werden nicht dauerhaft gespeichert. Das Ergebnis (Bot: ja/nein) fließt in die Session-Zählung ein.

16.1 Cloudflare Turnstile (Bot-Schutz bei Login/Registrierung)

Zweck: Schutz der Login- und Registrierungsformulare vor automatisierten Bot-Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform vor Missbrauch und automatisierten Angriffen).

Kategorien verarbeiteter Daten:

  • IP-Adresse
  • Browser-Informationen
  • Interaktionsdaten mit dem Turnstile-Widget

Empfänger: Cloudflare Germany GmbH, Rosental 7, 80331 München, Deutschland. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Die Absicherung erfolgt zusätzlich durch Standardvertragsklauseln (SCCs).

Speicherdauer: Cloudflare speichert die Daten gemäß den eigenen Datenschutzbestimmungen. Auf unseren Servern werden keine zusätzlichen Daten aus Turnstile gespeichert.

17. Session-Tracking

Zweck: Zählung der Sessions zur tarifbasierten Abrechnung. Eine Session wird gezählt, wenn das Biscotti-CMP-Widget (biscotti.min.js) auf einer Website des Kunden geladen wird und einen HTTP-Ping an den Endpunkt /api/v1/ping sendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Session-basierte Abrechnung ist Grundlage des Tarifmodells).

Kategorien verarbeiteter Daten:

  • Session-Zähler (aggregiert pro Website und Abrechnungsmonat)
  • Zeitpunkt des Pings
  • Bot-Erkennungsergebnis (vgl. Abschnitt 16)

Technische Umsetzung: Redis wird als In-Memory-Datenbank für das Session-Tracking und Caching eingesetzt. Redis wird selbst gehostet auf der Google Cloud Platform (europe-west4, Niederlande) betrieben. Es erfolgt keine Datenübermittlung an Dritte.

Empfänger: Google Cloud Platform (Hosting, Redis).

Speicherdauer: Session-Zähler werden für den jeweiligen Abrechnungsmonat gespeichert. Historische Session-Daten werden für die Dauer des Vertragsverhältnisses zur Nachvollziehbarkeit der Abrechnung aufbewahrt.

18. Backups

Zweck: Regelmäßige Sicherung von Consent-Logs, Banner-Konfigurationen, Website-Konfigurationen und Datenbankdaten zur Gewährleistung der Wiederherstellbarkeit im Falle eines Datenverlusts.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Datensicherheit und Wiederherstellbarkeit gemäß Art. 32 Abs. 1 lit. c DSGVO).

Kategorien verarbeiteter Daten:

  • Alle in der Datenbank gespeicherten Daten (Consent-Logs, Konfigurationen, Account-Daten, Rechtstexte, Scan-Ergebnisse)
  • Banner-Konfigurationen

Technische Umsetzung:

  • Tägliche automatische Backups der PostgreSQL-Datenbank
  • Tägliche automatische Backups von Banner-Konfigurationen und Website-Konfigurationen
  • Speicherung auf selbst gehostetem MinIO-Speicher innerhalb der GCP
  • Serverseitige Verschlüsselung mit AES-256
  • Integritätsprüfung durch SHA-256-Checksummen
  • Regelmäßige Wiederherstellungstests

Empfänger: MinIO (selbst gehostet auf der Google Cloud Platform).

Speicherdauer: Backups werden für einen rollierenden Zeitraum aufbewahrt. Bei Account-Löschung werden die Backup-Daten nach Ablauf der 30-tägigen Grace Period und des nächsten Backup-Rotationszyklus gelöscht.

19. Hosting und Infrastruktur

19.1 Google Cloud Platform (GCP)

Zweck: Hosting der gesamten Biscotti CMP Infrastruktur, einschließlich Webserver, Datenbank, Anwendungslogik und aller damit verbundenen Dienste.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen und sicheren Infrastruktur).

Rechenzentrumsstandort: Google Cloud Platform, Region europe-west4 (Eemshaven, Niederlande, Europäische Union).

Anbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland.

Technische Architektur:

  • Containerisierte Anwendung (Docker)
  • Traefik als Reverse-Proxy und Load-Balancer
  • PostgreSQL als relationale Datenbank (selbst gehostet auf GCP)
  • Redis als In-Memory-Datenbank für Session-Tracking und Caching (selbst gehostet auf GCP)
  • Playwright als Headless-Browser für Website-Scanning (selbst gehostet auf GCP)
  • MinIO als S3-kompatibler Object Storage für Backups (selbst gehostet auf GCP)
Hinweis: PostgreSQL, Redis, Playwright und MinIO werden selbst gehostet auf der Google Cloud Platform betrieben und stellen keine eigenständigen Unterauftragsverarbeiter dar, da keine Datenübermittlung an Dritte erfolgt.

19.2 Server-Logfiles

Zweck: Technische Bereitstellung der Webseite und Sicherstellung der Systemstabilität.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit).

Kategorien verarbeiteter Daten:

  • IP-Adresse (anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite/Endpunkt
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL
  • Browser-Typ und -Version
  • Betriebssystem

Speicherdauer: Server-Logfiles werden für maximal 30 Tage gespeichert und anschließend automatisch gelöscht.

20. Cookies und Local Storage auf biscotti-cmp.com

20.1 Eigener Einsatz von Biscotti CMP

Zur Verwaltung der notwendigen Einwilligungen auf unserer eigenen Webseite (biscotti-cmp.com) setzen wir unser eigenes Produkt „Biscotti CMP" ein.

20.2 Technisch notwendige Cookies

Zweck: Sicherstellung der Funktionalität der Webseite und des Dashboards.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionalität) in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies sind von der Einwilligungspflicht ausgenommen).

Eingesetzte technisch notwendige Cookies:

  • Session-Cookie (JWT-Token für die Authentifizierung, Gültigkeit: 7 Tage)
  • Consent-Cookie (Speicherung der Einwilligungsentscheidung des Besuchers auf biscotti-cmp.com)
  • Sprachpräferenz-Cookie

20.3 Analyse-Cookies (nur mit Einwilligung)

Zweck: Statistische Auswertung der Nutzung unserer Webseite zur Verbesserung unseres Angebots.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG.

Google Analytics 4: Wir nutzen Google Analytics 4 zur statistischen Auswertung ausschließlich mit Ihrer Einwilligung. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Die Datenverarbeitung erfolgt in der EU. IP-Anonymisierung ist aktiviert.

20.4 Detaillierte Cookie-Informationen

Detaillierte Informationen zu allen auf biscotti-cmp.com eingesetzten Cookies, einschließlich Name, Zweck, Anbieter, Speicherdauer und Typ, finden Sie in unserer separaten Cookie-Richtlinie.

21. Externe Dienstleister / Empfänger

Zur Erbringung unserer Dienstleistungen setzen wir die folgenden externen Dienstleister ein. Diese Liste entspricht § 24 unserer AGB und § 7 unseres AVV:

Nr.DienstleisterVertragspartner und SitzZweck der VerarbeitungVerarbeitungsortRechtsgrundlage
1StripeStripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, IrlandZahlungsabwicklung, Abonnement-VerwaltungEU/EWRArt. 6 Abs. 1 lit. b DSGVO
2Stripe ConnectStripe Payments Europe, Ltd., Dublin, IrlandZahlungsabwicklung Anwaltsmarktplatz (Auszahlung an Rechtsanwälte)EU/EWRArt. 6 Abs. 1 lit. b DSGVO
3ResendResend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USATransaktions-E-Mails (Verifizierung, Passwort-Reset, Rechnungen, Benachrichtigungen, Newsletter)USA/EU (AWS eu-west-1)Art. 6 Abs. 1 lit. b DSGVO / Art. 6 Abs. 1 lit. a DSGVO (Newsletter)
4Google GeminiGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, IrlandKI-Textgenerierung (Legal Suite), KI-gestützte Cookie-Kategorisierung, Policy-AnalyseEU/EWRArt. 6 Abs. 1 lit. b DSGVO
5Google Cloud Platform (GCP)Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, IrlandHosting, Server-Infrastruktur, Datenbank (PostgreSQL), Container-Orchestrierung (Docker/Traefik), Redis, Playwright, MinIOEU (Niederlande, europe-west4)Art. 6 Abs. 1 lit. b DSGVO
6TwilioTwilio Ireland Limited, Dublin, IrlandVideoberatung im Anwaltsmarktplatz (Raum-Erstellung, Token-Generierung)EU/EWRArt. 6 Abs. 1 lit. b DSGVO
7ip-api.comip-api, LitauenGeoIP-Erkennung zur Jurisdiktionsbestimmung der Website-BesucherEUArt. 6 Abs. 1 lit. f DSGVO
8Let's EncryptInternet Security Research Group (ISRG), San Francisco, USAAutomatische Bereitstellung von SSL/TLS-Zertifikaten für Custom Domains (Agency-Tarif)GlobalArt. 6 Abs. 1 lit. f DSGVO
9Cloudflare TurnstileCloudflare Germany GmbH, Rosental 7, 80331 München, DeutschlandBot-Schutz, CAPTCHA-Verifizierung bei Login und RegistrierungGlobalArt. 6 Abs. 1 lit. f DSGVO
10Google Analytics 4Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, IrlandStatistische Auswertung der Nutzung von biscotti-cmp.com (nur mit Einwilligung)EUArt. 6 Abs. 1 lit. a DSGVO
11IAB EuropeIAB Europe, Brüssel, BelgienGlobal Vendor List (GVL) für IAB TCF 2.3EUArt. 6 Abs. 1 lit. b DSGVO

Selbst gehostete Technologien (keine eigenständigen Unterauftragsverarbeiter):

  • PostgreSQL (Open Source) — Relationale Datenbank, selbst gehostet auf GCP (europe-west4)
  • Redis (Open Source) — In-Memory-Datenbank für Session-Tracking und Caching, selbst gehostet auf GCP (europe-west4)
  • Playwright (Open Source, Microsoft) — Headless-Browser für Website-Scanning, selbst gehostet auf GCP (europe-west4)
  • MinIO (Open Source) — S3-kompatibler Object Storage für Backups, selbst gehostet auf GCP (europe-west4)

Bei diesen Technologien erfolgt keine Datenübermittlung an Dritte. Sie sind Bestandteil der unter Nr. 5 genannten GCP-Infrastruktur.

22. Drittlandtransfer

22.1 Grundsatz

Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR). Die primäre Infrastruktur (Google Cloud Platform, europe-west4) befindet sich in den Niederlanden.

22.2 Transfers in Drittländer

Soweit eine Verarbeitung durch externe Dienstleister außerhalb der EU/des EWR stattfindet, stellen wir sicher, dass die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind:

(a) Resend (USA):

  • Absicherung durch die aktuellen Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914
  • Zusätzliche Absicherung durch das EU-US Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023
  • Ergänzende technische Maßnahmen: TLS-Verschlüsselung aller E-Mail-Übertragungen
  • Datenverarbeitung erfolgt auf AWS-Servern in der EU (Region eu-west-1)

(b) Let's Encrypt (USA):

  • Die Kommunikation mit Let's Encrypt beschränkt sich auf die automatisierte Ausstellung von SSL/TLS-Zertifikaten über das ACME-Protokoll
  • Es werden ausschließlich Domain-Namen übermittelt — keine personenbezogenen Daten natürlicher Personen

(c) Cloudflare Turnstile (Global):

  • Absicherung durch die Standardvertragsklauseln (SCCs) der EU-Kommission
  • Zusätzliche Absicherung durch das EU-US Data Privacy Framework
  • Die Verarbeitung beschränkt sich auf die Bot-Erkennung bei Login- und Registrierungsvorgängen

22.3 Transferfolgenabschätzung

Für jeden Drittlandtransfer führen wir eine Transferfolgenabschätzung (Transfer Impact Assessment — TIA) durch, um sicherzustellen, dass das Datenschutzniveau im Drittland im Wesentlichen dem der EU entspricht. Die Ergebnisse der TIA stellen wir auf Anfrage zur Verfügung.

22.4 Änderungen der Rechtslage

Sollte ein Angemessenheitsbeschluss der EU-Kommission aufgehoben oder ein Drittlandtransfer durch eine Aufsichtsbehörde oder ein Gericht untersagt werden, werden wir Sie unverzüglich informieren und geeignete alternative Schutzmaßnahmen ergreifen oder die betroffene Verarbeitung einstellen.

23. Speicherdauer und Löschfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Folgenden eine Übersicht der wesentlichen Speicherfristen:

DatenkategorieSpeicherdauerRechtsgrundlage
Account-Daten (E-Mail, Name, Firma)Dauer des Vertragsverhältnisses + 30 Tage Grace PeriodArt. 6 Abs. 1 lit. b DSGVO
Passwort-HashDauer des VertragsverhältnissesArt. 6 Abs. 1 lit. b DSGVO
Consent-Daten der Website-BesucherStandard: 18 Monate (konfigurierbar durch den Kunden)Art. 6 Abs. 1 lit. c DSGVO
Scan-ErgebnisseDauer des VertragsverhältnissesArt. 6 Abs. 1 lit. b DSGVO
Generierte RechtstexteDauer des VertragsverhältnissesArt. 6 Abs. 1 lit. b DSGVO
Audit-Logs12 MonateArt. 6 Abs. 1 lit. f DSGVO
Rechnungen und buchhalterische Daten10 Jahre§ 147 AO, §§ 238, 257 HGB
Steuerlich relevante Unterlagen10 Jahre§ 147 AO
Handelsrechtlich relevante Korrespondenz6 Jahre§ 257 HGB
Server-Logfiles30 TageArt. 6 Abs. 1 lit. f DSGVO
GeoIP-Cache1 StundeArt. 6 Abs. 1 lit. f DSGVO
Verifizierungs-/Reset-TokenBis zur Verwendung oder Ablauf (24 Stunden)Art. 6 Abs. 1 lit. b DSGVO
Newsletter-Einwilligungsnachweis3 Jahre nach AbmeldungArt. 6 Abs. 1 lit. f DSGVO
Mandatsdaten (Anwaltsmarktplatz)Dauer des Vertragsverhältnisses, Rechnungsdaten 10 JahreArt. 6 Abs. 1 lit. b DSGVO
Anwalts-BewertungenDauer der Registrierung des RechtsanwaltsArt. 6 Abs. 1 lit. f DSGVO
Backup-DatenRollierender Zeitraum, Löschung nach Account-Löschung + Grace Period + RotationszyklusArt. 6 Abs. 1 lit. f DSGVO
Compliance-Berichte / Health-ScoresDauer des VertragsverhältnissesArt. 6 Abs. 1 lit. b DSGVO

Nach Löschung des Accounts werden sämtliche personenbezogenen Daten nach Ablauf der 30-tägigen Grace Period unwiderruflich und datenschutzkonform aus den produktiven Systemen und Backups gelöscht, vorbehaltlich der oben genannten gesetzlichen Aufbewahrungspflichten.

24. Rechte der betroffenen Personen (Art. 15–22 DSGVO)

Sie haben als betroffene Person folgende Rechte bezüglich Ihrer personenbezogenen Daten:

24.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 DSGVO genannten Informationen (Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger, geplante Speicherdauer, Herkunft der Daten, Bestehen einer automatisierten Entscheidungsfindung).

Technische Umsetzung: Sie können Ihre Account-Daten jederzeit im Dashboard einsehen. Consent-Daten können über die Export-Funktion (CSV) heruntergeladen werden. Website-Besucher können über die öffentliche Consent-Lookup-Seite unter Angabe ihrer Consent-ID ihre gespeicherten Einwilligungsdaten einsehen.

24.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Technische Umsetzung: Kontodaten (Name, E-Mail, Firma, Adresse) können jederzeit im Dashboard berichtigt werden.

24.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft (z. B. Daten sind für den Zweck nicht mehr notwendig, Widerruf der Einwilligung, unrechtmäßige Verarbeitung).

Technische Umsetzung: Sie können die Löschung Ihres Accounts jederzeit über das Dashboard oder per E-Mail an support@biscotti-cmp.com veranlassen. Bei der Account-Löschung werden sämtliche personenbezogenen Daten unwiderruflich gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten (vgl. Abschnitt 23). Consent-Daten können durch den Kunden (Website-Betreiber) über die Dashboard-Funktionen gelöscht werden.

Einschränkungen: Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten).

24.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen gegeben ist (z. B. Bestreiten der Richtigkeit, unrechtmäßige Verarbeitung, Widerspruch nach Art. 21 DSGVO).

Technische Umsetzung: Die Einschränkung einzelner Datensätze kann über die Dashboard-Funktionen oder durch Kontaktaufnahme mit unserem Support veranlasst werden.

24.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln.

Technische Umsetzung: Biscotti CMP bietet umfangreiche Datenexport-Möglichkeiten im CSV-Format über das Dashboard und die REST-API. Exportierbar sind: Consent-Daten, Website-Konfigurationen, Scan-Ergebnisse, Rechtstexte, Audit-Logs und Rechnungen.

24.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

24.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

Technische Umsetzung für Website-Besucher: Das Einwilligungsbanner der Biscotti CMP bietet Endnutzern die Funktion, getroffene Einstellungen jederzeit aufzurufen und zu widerrufen. Der Widerruf ist ebenso einfach wie die Erteilung der Einwilligung.

Technische Umsetzung für Newsletter: Jede Newsletter-E-Mail enthält einen Abmeldelink.

24.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Telefon: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de

Sie können sich jedoch auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes wenden.

24.9 Kontakt für die Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

E-Mail: datenschutz@biscotti-cmp.com
Telefon: +49 3322 50703301
Post: Campcruisers GmbH, Berliner Str. 21 B, 14612 Falkensee, Deutschland

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO). In komplexen Fällen oder bei einer Vielzahl von Anfragen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie unter Angabe der Gründe informieren.

25. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

25.1 KI-Textgenerierung

Im Rahmen der Legal Suite werden Rechtstexte durch Künstliche Intelligenz (Google Gemini) generiert. Diese Textgenerierung stellt eine automatisierte Verarbeitung dar, die jedoch keine automatisierte Entscheidungsfindung im Sinne des Art. 22 Abs. 1 DSGVO darstellt, da:

  • Die generierten Texte keine rechtliche Wirkung gegenüber der betroffenen Person entfalten und diese nicht in ähnlicher Weise erheblich beeinträchtigen.
  • Die Texte lediglich Entwürfe darstellen, die vom Kunden vor der Verwendung geprüft, bearbeitet und freigegeben werden müssen.
  • Keine Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht — der Kunde behält stets die volle Kontrolle über die Verwendung der generierten Texte.

25.2 KI-gestützte Cookie-Kategorisierung

Die automatische Kategorisierung von Cookies durch KI (Essentiell, Funktional, Analyse, Marketing) stellt eine Unterstützungsfunktion dar. Der Kunde kann die Kategorisierung jederzeit manuell überprüfen und anpassen. Es handelt sich nicht um eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO.

25.3 Bot-Erkennung

Die automatisierte Bot-Erkennung (vgl. Abschnitt 16) entscheidet automatisch, ob ein Zugriff als menschlich oder automatisiert eingestuft wird. Diese Entscheidung hat Auswirkungen auf die Session-Zählung und damit auf die Abrechnung. Da die Entscheidung ausschließlich den Kunden (nicht den Website-Besucher) betrifft und der Kunde die Session-Zählung im Dashboard nachvollziehen kann, liegt keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO vor, die eine betroffene Person erheblich beeinträchtigt.

25.4 Compliance-Health-Score

Die automatisierte Berechnung des Compliance-Health-Scores (A–F) im Rahmen des Policy-Audits (vgl. Abschnitt 9) stellt eine Informations- und Unterstützungsfunktion dar. Der Score hat keine rechtliche Wirkung und dient ausschließlich der Information des Kunden.

25.5 Transparenzhinweis gemäß EU AI Act

Wir setzen KI-Systeme (Google Gemini) für die Textgenerierung, Cookie-Kategorisierung und Policy-Analyse ein. Gemäß den Transparenzpflichten der Verordnung (EU) 2024/1689 (EU AI Act) weisen wir darauf hin, dass:

  • KI-generierte Inhalte als solche gekennzeichnet werden.
  • Die KI verschiedene juristische Experten-Rollen simuliert — es handelt sich nicht um eine Prüfung durch echte Rechtsanwälte.
  • Wir empfehlen dringend, KI-generierte Rechtstexte vor produktivem Einsatz durch einen qualifizierten Rechtsanwalt prüfen zu lassen.

26. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Entwicklungen oder neue Funktionalitäten der Biscotti CMP anzupassen. Die jeweils aktuelle Fassung ist jederzeit auf unserer Webseite unter biscotti-cmp.com/de/datenschutz abrufbar.

Bei wesentlichen Änderungen, die Ihre Rechte oder die Art der Datenverarbeitung betreffen, werden wir Sie per E-Mail an die in Ihrem Account hinterlegte E-Mail-Adresse informieren. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu überprüfen.

27. Zuständige Aufsichtsbehörde

Die für die Campcruisers GmbH zuständige Datenschutz-Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Deutschland
Telefon: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de
Webseite: https://www.lda.brandenburg.de

Datensicherheit

Wir setzen umfassende technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ein, um Ihre personenbezogenen Daten zu schützen. Hierzu gehören insbesondere:

  • Verschlüsselung bei der Übertragung: TLS 1.2/1.3 für alle Datenübertragungen, HTTPS-Erzwingung (HSTS)
  • Verschlüsselung im Ruhezustand: AES-256-Verschlüsselung aller Datenbanken und Speichermedien auf der Google Cloud Platform, AES-256-GCM für sensible Konfigurationsdaten (API-Keys, BYOK-Schlüssel)
  • Pseudonymisierung: Consent-Daten werden mit pseudonymen Consent-IDs verknüpft, IP-Adressen werden zu IP-Hashes anonymisiert
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der minimalen Rechtevergabe, logische Mandantentrennung
  • Authentifizierung: JWT-basierte Authentifizierung, Cloudflare Turnstile zum Schutz vor Bot-Angriffen
  • Backup und Wiederherstellung: Tägliche automatische Backups mit AES-256-Verschlüsselung und SHA-256-Integritätsprüfung
  • Audit-Logging: Umfassendes Protokollierungssystem für alle sicherheitsrelevanten Aktionen

Die vollständigen technischen und organisatorischen Maßnahmen (TOMs) sind in § 8 unseres Auftragsverarbeitungsvertrags (AVV) dokumentiert.

Reditus (Affiliate-Tracking)

Wir betreiben ein eigenes Affiliate-/Empfehlungsprogramm und nutzen hierfür den Dienst Reditus der Reditus B.V., Europalaan 100, 3526 KS Utrecht, Niederlande (Betreiberin der Plattform getreditus.com). Wenn Sie über einen Empfehlungslink (Parameter „red" bzw. „refby") auf unsere Website gelangen und sich anschließend registrieren, melden wir die vermittelte Registrierung sowie nachgelagerte Zahlungs-, Rückerstattungs- und Kündigungsereignisse serverseitig an Reditus, um die Affiliate-Provision korrekt zuzuordnen.

Reditus-Tracking-Skript und Cookies: Ausschließlich wenn Sie in die Kategorie „Marketing" eingewilligt haben, wird das Reditus-Tracking-Skript (script.getreditus.com/gr.js) geladen. Dieses kann in Ihrem Browser eine Empfehlungs-/Klick-Kennung (Cookie „gr_id") setzen und auslesen. Zusätzlich speichern wir die Attributionsdaten in einem eigenen First-Party-Speicher (Cookie bzw. Local Storage „biscotti_reditus_attribution"). Vor Ihrer Einwilligung wird weder das Skript geladen noch eine Kennung gesetzt oder gelesen; ohne Marketing-Einwilligung findet auch keine serverseitige Übermittlung an Reditus statt.

Zweck: Abrechnung und Zuordnung von Affiliate-Provisionen für vermittelte Registrierungen und Zahlungen.

Rechtsgrundlage: Für das Laden des Reditus-Skripts sowie das Speichern/Auslesen der Empfehlungskennung in bzw. aus Ihrem Endgerät Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Für die anschließende serverseitige Übermittlung der Vermittlungs- und Abrechnungsdaten an Reditus stützen wir uns auf unser berechtigtes Interesse an einer korrekten Provisionsabrechnung gemäß Art. 6 Abs. 1 lit. f DSGVO (dokumentierte Interessenabwägung); diese Übermittlung erfolgt ausschließlich, sofern zuvor eine Marketing-Einwilligung erteilt wurde.

Kategorien verarbeiteter Daten:

  • E-Mail-Adresse und/oder interne Account-ID
  • Zahlungsbetrag (netto), Währung und Zahlungsintervall
  • Affiliate-Slug (Empfehlungskennung), ggf. Advocate-Slug sowie Reditus-Klick-ID (gr_id)

Empfänger: Reditus B.V., Niederlande. Reditus verarbeitet die Empfehlungs-Tracking-Daten in unserem Auftrag; die genaue Rollen- und Pflichtenverteilung (Auftragsverarbeitung gemäß Art. 28 DSGVO) ist in dem mit Reditus geschlossenen Auftragsverarbeitungsvertrag geregelt und kann bei uns angefordert werden.

Drittlandtransfer: Die Verarbeitung findet grundsätzlich innerhalb der EU bzw. des EWR statt. Sofern Reditus Sub-Auftragsverarbeiter außerhalb der EU/des EWR einsetzt, erfolgt der Transfer auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln).

Speicherdauer: Der am Konto gespeicherte Empfehlungs-Marker und die zugehörigen Abrechnungsdaten werden für die Dauer des Vertragsverhältnisses sowie im Rahmen der gesetzlichen Aufbewahrungsfristen gespeichert und anschließend gelöscht. Die First-Party-Attributionskennung (biscotti_reditus_attribution) wird längstens 90 Tage vorgehalten.

Widerspruch und Widerruf: Sie können der auf Art. 6 Abs. 1 lit. f DSGVO gestützten Verarbeitung jederzeit gemäß Art. 21 DSGVO widersprechen und Ihre Marketing-Einwilligung jederzeit mit Wirkung für die Zukunft über unsere Cookie-Einstellungen widerrufen.

An Reditus werden ausschließlich die vorgenannten Daten übermittelt. Es werden keine Stripe-Kundenobjekte, keine Zahlungskarten- bzw. Kontodaten und kein Zugriff auf unser Stripe-Konto weitergegeben. Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung findet nicht statt.

Stand: 15. April 2026
Campcruisers GmbH
Berliner Str. 21 B, 14612 Falkensee

Biscotti CMP

Consent Management und Legal Text Generator der Campcruisers GmbH. Kann Sie bei Ihrer Webseiten-Compliance unterstützen.

Produkt

🏢 Über unsFunktionenPreiseDokumentation🔍 Cookie-Check📦 Downloads📚 Datenschutz & Consent Wissensdatenbank📝 Blog📖 Cookie-Consent & Datenschutz-Glossar🌍 Jurisdiktionen♿ WCAG 2.2 Barrierefreies Consent-Banner

Rechtliches

ImpressumDatenschutzAGBWiderrufsrechtAVVCookie-Richtlinie

Kontakt

Kontakt
© 2026 Biscotti – Ein Service der Campcruisers GmbH🍪 Cookie-Einstellungen ändern