Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website:

ERP Buddy
Jacqueline Bergmann
Ellhornstraße 13
27628 Hagen im Bremischen
E-Mail: info@erp-buddy.de

2. Hosting

Diese Website (www.fillqr.de) und die fillQR-Anwendung (Subdomains *.fillqr.de) werden bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, gehostet. Die Server befinden sich ausschließlich in Deutschland (Rechenzentrum Falkenstein).

Bei jedem Zugriff werden automatisch Server-Logfiles erstellt, die deine IP-Adresse, Datum und Uhrzeit des Zugriffs sowie die angeforderte Seite enthalten. Diese Logs werden maximal 7 Tage gespeichert und dienen ausschließlich der technischen Sicherheit (Erkennung von Angriffen, Fehlersuche).

Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zur Sicherstellung eines störungsfreien Betriebs der Website.

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO vom 18.05.2026 (AVV-Version 1.2 vom 16.02.2026). Hetzner verarbeitet personenbezogene Daten ausschließlich in EU/EWR-Mitgliedstaaten (§ 3 AVV).

SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in deiner Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die du an uns übermittelst, nicht von Dritten mitgelesen werden.

3. Cookies und Tracking

Die Landingpage (www.fillqr.de) verwendet keine Cookies und keine Tracking-Tools. Cloudflare wirkt nur als DNS-Provider (Grey-Cloud-Modus) und nicht als Proxy — es werden keine Cloudflare-Cookies gesetzt.

Bei Nutzung des Kontaktformulars wird über Cloudflare Turnstile ein anonymer Bot-Schutz-Token erzeugt. Turnstile setzt keine Cookies und führt kein User-Tracking durch (Privacy-First-Captcha). Details siehe Sektion 5.2 (Cloudflare).

Die fillQR-Anwendung (Tenant-Subdomains wie z.B. demo.fillqr.de, <dein-verein>.fillqr.de) setzt nach Login ein technisch notwendiges Session-Cookie (iron-session, Speicherdauer 7 Tage). Es werden keine Tracking-Cookies und keine Cookies von Drittanbietern gesetzt.

4. Kontaktaufnahme und Self-Signup

4.1 Kontaktformular auf der Landingpage

Wenn du unser Kontaktformular nutzt, werden folgende Daten erhoben:

• Verein / Organisation (Name)
• Ansprechpartner (Name)
• E-Mail-Adresse
• Deine Nachricht (optional)
• Gewähltes Thema (VereinsBuddy, TrainerBuddy, MesseBuddy, Individuelles Design, Allgemeine Frage)

Diese Daten werden an unseren Server (Hetzner, Deutschland) übermittelt und zur Bearbeitung deiner Anfrage gespeichert.

Bestätigungsmail: Nach dem Absenden des Formulars erhältst du eine automatische Bestätigungsmail an die von dir angegebene E-Mail-Adresse. Diese Bestätigung dient ausschließlich der Dokumentation deiner Anfrage und enthält keine Werbung oder Newsletter-Anmeldung.

4.2 Self-Signup (Verein direkt online anmelden)

Über das Anmelde-Formular auf www.fillqr.de/signup kannst du deinen Verein direkt ohne vorherige Kontaktaufnahme registrieren. Dabei werden folgende Daten erfasst:

• Vereinsname
• Gewählte Subdomain (Slug)
• Admin-Vorname und -Nachname
• Admin-E-Mail-Adresse
• IP-Adresse (zur Spam-Verhinderung)
• Zeitstempel der AGB-Zustimmung und akzeptierte AGB-Version

Zur Verifikation deiner E-Mail-Adresse senden wir dir einen Magic-Link. Erst nach Klick auf diesen Link wird dein Verein angelegt — vorher werden die Daten nur in einer temporären Warteschlange gespeichert und nach 7 Tagen automatisch gelöscht, falls keine Bestätigung erfolgt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam-Verhinderung durch IP-basiertes Rate-Limit).

Speicherdauer: Bei nicht-verifizierten Anmeldungen 7 Tage (automatischer Cleanup-Cron). Bei verifizierten Anmeldungen werden die Daten Bestandteil deines Tenant-Datensatzes und nach AVV mit dir gemeinsam (du als Verantwortlicher, fillQR als Auftragsverarbeiter) gemäß den Löschfristen der AVV verarbeitet.

4.3 Kontakt per E-Mail

Wenn du uns per E-Mail kontaktierst, werden deine Angaben (Name, E-Mail, Nachricht) zur Bearbeitung deiner Anfrage gespeichert.

4.4 Speicherdauer und Weitergabe

Deine Daten werden nicht an Dritte weitergegeben (mit Ausnahme der unter Sektion 5 genannten Auftragsverarbeiter).

Personenbezogene Daten aus Kontaktanfragen werden nach abschließender Bearbeitung der Anfrage gelöscht, spätestens jedoch nach 6 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Sofern es im Anschluss zu einem Vertragsverhältnis kommt, richtet sich die weitere Speicherdauer nach den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten.

Die im Kontaktformular eingegebenen Daten betreffen ausschließlich die Kontaktaufnahme und die Anbahnung eines Vertragsverhältnisses. Eine Verarbeitung von Mitglieds-, Antrags- oder sonstigen Vereinsdaten über den Dienst fillQR erfolgt erst nach Vertragsschluss und dem Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.

5. Auftragsverarbeiter (Drittanbieter)

Zur Bereitstellung der fillQR-Plattform setzen wir folgende Auftragsverarbeiter ein. Mit allen Anbietern bestehen Verträge gemäß Art. 28 DSGVO.

5.1 Hetzner Online GmbH (Hosting)

• Sitz: Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Zweck: Hosting der fillQR-Anwendung (Web-Server, PostgreSQL-Datenbank) sowie der Landingpage
• Daten: Alle Tenant-Daten (Mitgliederdaten, SEPA-Mandate, E-Mails in Warteschlange, Server-Logs)
• Standort: Rechenzentrum Falkenstein, Deutschland — keine Drittlandsübermittlung
• AVV: Abgeschlossen am 18.05.2026 (Version 1.2 vom 16.02.2026) gemäß Art. 28 DSGVO
• Schutzmaßnahmen: TOM-Anlage 2 zum AVV (V1.2 vom 16.02.2026), TÜV-Audit-bestätigt
• Mehr Info: Hetzner Datenschutz

5.2 Cloudflare, Inc. (DNS und Bot-Schutz)

• Sitz: 101 Townsend Street, San Francisco, CA 94107, USA
• Zweck:
  • DNS-Auflösung für fillqr.de und alle Subdomains (Grey-Cloud-Modus, kein Web-Traffic-Proxy)
  • Bot-Schutz via Cloudflare Turnstile auf Formularen (Kontaktformular, Self-Signup, Login)
• Daten:
  • DNS-Lookup-Anfragen (anonym, technisch notwendig)
  • Turnstile: anonymer Bot-Schutz-Token beim Absenden eines Formulars (keine Cookies, kein User-Tracking)
• Drittlandsübermittlung (USA): Abgesichert durch:
  • EU-US Data Privacy Framework (DPF) — Cloudflare ist aktiver Teilnehmer, Status „Active" (Stand 05/2026, verifizierbar unter dataprivacyframework.gov)
  • Standard Contractual Clauses (SCCs) als Backup im Cloudflare Customer DPA
• DPA: Cloudflare Customer DPA (Bestandteil des Self-Serve Subscription Agreement)
• Schutzmaßnahmen: SOC 2 Type II + ISO 27001/27701 zertifiziert
• Mehr Info: Cloudflare Datenschutz

5.3 Scaleway SAS (Transactional E-Mail)

• Sitz: 8 rue de la Ville l'Évêque, 75008 Paris, Frankreich
• Zweck: Versand transaktionaler E-Mails (Self-Signup-Verifikation, Passwort-Reset, Welcome-Mails, Mitglieder-Bestätigungen)
• Daten: Empfänger-E-Mail-Adresse, Subject, Mail-Inhalt
• Standort: Region fr-par (Frankreich) — keine Drittlandsübermittlung
• DPA: Data Processing Agreement Version 01.06.2024 (Validated im Scaleway-Account)
• Mehr Info: Scaleway Privacy Policy

6. fillQR Anwendung (SaaS)

fillQR ist ein SaaS-Dienst (Software as a Service) für Vereine, Trainer und Veranstalter. Aktuell ist das Produkt VereinsBuddy verfügbar. Die Produkte TrainerBuddy und MesseBuddy befinden sich in Entwicklung — vor Buchung wird über die jeweilige produkt-spezifische Datenverarbeitung gesondert informiert.

6.1 Rollen nach DSGVO

• Verantwortlicher: Der jeweilige Verein, Trainer oder Veranstalter, der fillQR nutzt
• Auftragsverarbeiter: ERP Buddy (Betreiber von fillQR)

Die Verarbeitung der über fillQR erfassten Daten erfolgt ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Vor der Nutzung wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

6.2 Serverstandort

Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert (Hetzner Falkenstein). E-Mail-Versand erfolgt über Scaleway in Frankreich. Es findet keine Drittlandsübermittlung statt — mit Ausnahme des Turnstile-Bot-Schutzes auf Formularen (Cloudflare USA, abgesichert durch DPF + SCCs, siehe Sektion 5.2).

6.3 Hinweis für Antragsteller (VereinsBuddy)

Wenn du einen Mitgliedsantrag über fillQR ausfüllst, ist dein Ansprechpartner für alle datenschutzrechtlichen Fragen der jeweilige Verein, bei dem du den Antrag stellst — nicht ERP Buddy.

6.4 Besondere Datenkategorien (VereinsBuddy-spezifisch)

SEPA-Bankdaten:
Sofern der Verein die Erfassung von SEPA-Lastschriftdaten aktiviert, erfolgt diese ausschließlich zur Weitergabe an den jeweiligen Verein für den Beitragseinzug. Die Daten werden verschlüsselt übertragen und gespeichert. Eine eigenständige Zahlungsabwicklung durch ERP Buddy erfolgt nicht.

Daten minderjähriger Antragsteller:
Bei minderjährigen Antragstellern können zusätzlich Daten der Erziehungsberechtigten erfasst werden. Der jeweilige Verein ist als Verantwortlicher dafür verantwortlich, dass die erforderlichen Einwilligungen gemäß Art. 8 DSGVO vorliegen.

7. Deine Rechte

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Kontaktiere uns unter info@erp-buddy.de.

8. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für den Datenschutz Niedersachsen.

9. Änderungen

Diese Datenschutzerklärung kann angepasst werden, insbesondere wenn neue Auftragsverarbeiter hinzukommen oder die Verarbeitung sich aufgrund neuer fillQR-Produkte ändert. Die aktuelle Version findest du stets auf dieser Seite.

Stand: 18. Mai 2026