Datenschutzerklärung
Verantwortlicher & Kontakt
P&A Development GmbH
Schloßstraße 8, 74388 Talheim, Deutschland
Telefon: +49 15679 297000
E-Mail: info@pandadev.de
Datenschutzbeauftragter: nicht bestellt (gesetzlich derzeit nicht erforderlich).
Je nach Nutzungskontext handeln wir als Verantwortlicher (Art. 4 Nr. 7 DSGVO) oder als Auftragsverarbeiter (Art. 28 DSGVO).
Zuständige Aufsichtsbehörde
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a, 70173 Stuttgart, Deutschland
Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Rechtsgrundlagen & Begriffe
Rechtsgrundlagen (Auszug)
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO – Vertrag/vorvertragliche Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
- Art. 9 Abs. 2 DSGVO – besondere Kategorien (sofern einschlägig)
- § 25 TDDDG – Endgerätezugriffe (Cookies, Local Storage etc.)
Begriffe
- Personenbezogene Daten: Informationen zu identifizierten/identifizierbaren Personen
- Verarbeitung: jeder Umgang mit Daten (Erheben, Speichern, Übermitteln, Löschen)
- Profiling: automatisierte Auswertung persönlicher Aspekte
- ADM: automatisierte Entscheidungen im Einzelfall (Art. 22 DSGVO) – findet bei uns nicht statt
Hosting & Infrastruktur
Diese Website wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Beim Aufruf unserer Website verarbeitet Vercel u. a. Server-Logfiles (IP-Adresse, Zeitstempel, User-Agent, Referrer) zur Sicherstellung von Betrieb, Sicherheit und Fehleranalyse. Vercel setzt Edge-Server weltweit ein; die Datenverarbeitung kann daher auch außerhalb der EU stattfinden. Übermittlungen in die USA stützen wir auf EU-Standardvertragsklauseln (Art. 46 DSGVO) und – soweit einschlägig – auf das EU-US Data Privacy Framework. Mit Vercel besteht ein Data Processing Addendum (Art. 28 DSGVO).
Weitere Systeme (KI-Plattform, Backend-Dienste) werden überwiegend in der EU bei IONOS SE (Elgendorfer Str. 57, 56410 Montabaur) sowie in der IONOS Cloud betrieben. Mit IONOS besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Falls Endgerätezugriff nötig: zusätzlich § 25 Abs. 1 TDDDG (Einwilligung).
Verarbeitungskontexte
1) Website
Datenkategorien: IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten/Dateien, Referrer-URL, Browser/OS, ggf. Cookie-IDs/Local-Storage-IDs; Angaben aus Formularen (Name, E-Mail, Nachricht); Consent-Protokolle.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit), Art. 6 Abs. 1 lit. b DSGVO (Formulare, Anbahnung), Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (nicht notwendige Cookies/Technologien).
SSL/TLS: Transportverschlüsselung ist aktiv.
2) Apps
Eigene Apps: Verantwortlicher sind wir. White-Label/Kundenapps: regelmäßig Verarbeitung als Auftragsverarbeiter (Art. 28 DSGVO) auf Weisung des Auftraggebers.
Daten: Geräte-ID, OS-/App-Version, IP, Zeitstempel; Nutzungsevents; ggf. Accountdaten (Name, E-Mail); Berechtigungen (Kamera, Fotos, Mikrofon, Standort, Push-Token) nur nach System-Einwilligung; Crash/Diagnose (Stacktraces, Performance).
Zwecke: Bereitstellung vertraglicher Funktionen, Stabilität/Sicherheit, optionale Komfort-Features.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Funktion), Art. 6 Abs. 1 lit. a DSGVO (optionale Telemetrie/Push), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Fehlerbehebung).
Kontolöschung: in-App oder per Anfrage an uns; gesetzliche Aufbewahrungen bleiben unberührt.
3) Kundenspezifische Software/SaaS (B2B)
Wir handeln regelmäßig als Auftragsverarbeiter (Art. 28 DSGVO) für Geschäftskunden (Verantwortliche). Grundlage ist ein AV-Vertrag; in Einzelfällen gemeinsame Verantwortlichkeit (Art. 26 DSGVO).
Zwecke: Entwicklung, Betrieb, Wartung; Hosting, Backup, Logging, Monitoring, Security; Support/Troubleshooting.
Daten: Stamm-/Kontaktdaten, Vertrags-/Abrechnungsdaten, Nutzungs-/Protokolldaten, geschäftsbezogene Objektdaten gemäß Systemzweck.
Subprozessoren: nur vertraglich und mit geeigneten Garantien.
Löschung: gemäß Weisung/Vertrag (Löschkonzept, Backup-Zyklen, Log-Fristen, Export-/Rückgabe zum Vertragsende).
4) KI-Automatisierung (z. B. n8n-Workflows, LLM-Integrationen)
In Kundenprojekten sind wir regelmäßig Auftragsverarbeiter (AVV). Eigene KI-Features betreiben wir als Verantwortlicher.
Zwecke: Prozessautomatisierung/Orchestrierung, Texterzeugung, Klassifikation, Extraktion, semantische Suche (RAG), Assistenz/Chatbots, Datenanreicherungen.
Daten: Prompts/Dokumente/Kontexte, generierte Ausgaben, Protokoll-/Fehlerdaten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vertraglich), Art. 6 Abs. 1 lit. f DSGVO (Optimierung/Sicherheit), Art. 6 Abs. 1 lit. a DSGVO (optionale externe LLMs).
Eingesetzte/zulässige Anbieter (projektspezifisch): Azure OpenAI (Microsoft), OpenAI, Google AI (Gemini), Anthropic, Mistral.
Hosting Automationsplattform: n8n self-hosted bei IONOS Cloud (EU).
Qualitätshinweis: KI-Ausgaben können Fehler enthalten; Prüfung vor produktiver Nutzung ist erforderlich.
Cookies & Consent (Cookiebot)
Wir setzen für das Einholen/Protokollieren von Einwilligungen den Dienst Cookiebot (Cybot A/S, Dänemark) ein. Notwendige Cookies dienen Betrieb/Sicherheit und benötigen keine Einwilligung. Statistik/Marketing-Technologien setzen wir nur nach Einwilligung.
| Name/Technologie | Zweck | Anbieter | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|---|
| Consent-Cookie (Cookiebot) | Speicherung Ihrer Einwilligungen | Cybot A/S (DK/EU) | 12 Monate | Art. 6 Abs. 1 lit. c DSGVO; § 25 Abs. 1 TDDDG |
| Notwendige Cookies | Betrieb/Sicherheit (z. B. Session) | P&A / Vercel | Sitzungsende bis 12 Monate | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO |
Sie können Ihre Auswahl jederzeit über „Cookie-Einstellungen" (Consent-Banner) ändern/widerrufen.
Webanalyse (Google Analytics)
Wir nutzen Google Analytics (Google Ireland Limited) zur Reichweitenmessung/Optimierung. IP-Anonymisierung ist aktiviert (Maskierung in der EU). In Ausnahmefällen kann es zu Übermittlungen in die USA kommen; diese stützen wir auf EU-Standardvertragsklauseln und – soweit einschlägig – auf das EU-US Data Privacy Framework.
- Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG)
- Widerruf: jederzeit im Consent-Banner; zusätzlich Opt-out-Add-on: https://tools.google.com/dlpage/gaoptout
- Speicherdauer (z. B. _ga): 24 Monate
Kontakt (E-Mail/Telefon/WhatsApp)
Bei Kontaktaufnahme verarbeiten wir Ihre Angaben zur Bearbeitung/Beantwortung. Für WhatsApp-Kontakt (freiwillig) gelten zusätzlich die Datenschutzinformationen von WhatsApp Ireland/Meta (E2E-Verschlüsselung der Inhalte; Metadatenverarbeitung möglich).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Vertrag) oder lit. f DSGVO (allgemeine Anfragen).
Social-Media-Auftritte (Instagram/LinkedIn)
Wir betreiben Unternehmensseiten bei Instagram und LinkedIn. Für „Page/Insights" besteht eine gemeinsame Verantwortlichkeit mit dem jeweiligen Anbieter (Art. 26 DSGVO). Anbieter verarbeiten u. a. Nutzungs-/Interaktionsdaten; wir erhalten aggregierte Statistiken. Nähere Informationen entnehmen Sie den Datenschutzhinweisen der Plattformen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Datenübermittlungen in Drittländer & Garantien
Sofern erforderlich, stützen wir Übermittlungen in Drittländer (außerhalb des EWR) auf geeignete Garantien nach Art. 46 DSGVO (insb. EU-Standardvertragsklauseln). Soweit Anbieter nach dem EU-US Data Privacy Framework zertifiziert sind, kann dies ergänzend als Übermittlungsmechanismus dienen.
Wesentliche Auftragsverarbeiter (Sub-Prozessoren)
| Anbieter | Leistung | Sitz/Hosting | Übermittlungsgrundlage | AVV |
|---|---|---|---|---|
| Vercel Inc. | Website-Hosting (Edge) | USA / global (Edge) | SCC, ggf. DPF | ja |
| IONOS SE / IONOS Cloud | Backend-Hosting/Infrastruktur | EU (DE/EU) | — | ja |
| Cybot A/S (Cookiebot) | Consent-Management | DK/EU | — | ja |
| Google Ireland Ltd. (Analytics) | Webanalyse | EU/USA | SCC, ggf. DPF | ja |
Projekt-spezifische Subprozessoren (z. B. für Apps/KI) werden gegenüber Kunden vertraglich benannt.
Speicherdauer & Löschung
| Datenkategorie | Typische Frist/Zweck | Rechtsgrundlage |
|---|---|---|
| Server-Logs | technische Sicherheit/Fehleranalyse; Löschung i. d. R. nach 30–90 Tagen | Art. 6 Abs. 1 lit. f DSGVO |
| Kontaktanfragen | Bearbeitung/Follow-up; Löschung nach Abschluss + bis zu 12 Monate | Art. 6 Abs. 1 lit. b bzw. f DSGVO |
| Vertrags-/Abrechnungsdaten | Aufbewahrung gem. HGB/AO: 6–10 Jahre | Art. 6 Abs. 1 lit. c DSGVO |
| Consent-Protokolle | Nachweis von Einwilligungen bis zu 3 Jahre nach letzter Nutzung | Art. 6 Abs. 1 lit. c DSGVO |
| App-Telemetrie/Crash | Stabilität/Debugging; Löschung typ. nach bis zu 90 Tagen | Art. 6 Abs. 1 lit. a bzw. f DSGVO |
| KI-Prompts/Logs | Fehleranalyse/Qualität; projektbezogene Fristen (Datenminimierung) | Art. 6 Abs. 1 lit. b bzw. f DSGVO |
Nach Zweckerreichung/Widerruf/Widerspruch werden Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Ihre Rechte
- Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch (Art. 21), insbesondere gegen Direktwerbung/Profiling
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft
- Beschwerde bei einer Aufsichtsbehörde (Art. 77)
Bitte richten Sie Anfragen an info@pandadev.de und nennen Sie möglichst den Kontext (Website/App/Software/KI).
Sicherheit (Art. 32 DSGVO)
- Zugriffs-/Zutritts-/Zugangskontrollen (RBAC, Least-Privilege, MFA)
- Transport-/Speicherverschlüsselung, Schlüsselmanagement
- Systemhärtung, Patch-Management, Firewall/WAF, Rate-Limiting
- Protokollierung/Monitoring, Backup-/Recovery-Tests
- Lieferantenmanagement, AVV/Sub-Prozessor-Kontrollen
- Privacy by Design/Default, Datenminimierung, Löschkonzepte
Bewerbungen
Wir verarbeiten Bewerberdaten (Kontakt-/Stammdaten, Unterlagen, Korrespondenz) zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Nicht berücksichtigte Bewerbungen löschen wir in der Regel 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zur längeren Aufbewahrung (Talentpool) vorliegt.
- § 26 BDSG
- Art. 6 Abs. 1 lit. b DSGVO
- Talentpool (optional): Art. 6 Abs. 1 lit. a DSGVO
Newsletter
Wir versenden derzeit keinen Newsletter. Sollte sich dies ändern, informieren wir hier vorab transparent über Dienstanbieter, Double-Opt-In, Widerrufs- und Löschfristen.
Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung an, wenn sich Rechtslage, Technologien oder unsere Prozesse ändern. Maßgeblich ist die jeweils aktuelle Fassung auf dieser Seite.
Stand: 20.10.2025