Rechtliches & Datenschutz

Datenschutzerklärung

Diese Erklärung informiert nach Art. 13, 14 DSGVO über die Verarbeitung personenbezogener Daten durch die P&A Development GmbH. Sie gilt für unsere Website, unsere Apps, unsere kundenspezifische Software/SaaS sowie KI-Automatisierungsleistungen.

Letzte Aktualisierung:

Verantwortlicher & Kontakt

P&A Development GmbH
Schlossstraße 8, 74388 Talheim, Deutschland

Telefon: +49 15679 297000
E-Mail: info@pandadev.de

Datenschutzbeauftragter: nicht bestellt (gesetzlich derzeit nicht erforderlich).

Je nach Nutzungskontext handeln wir als Verantwortlicher (Art. 4 Nr. 7 DSGVO) oder als Auftragsverarbeiter (Art. 28 DSGVO). Details in den Kontext-Tabs unten.

Zuständige Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a, 70173 Stuttgart, Deutschland

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Rechtsgrundlagen & Begriffe

Rechtsgrundlagen (Auszug)

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
  • Art. 6 Abs. 1 lit. b DSGVO – Vertrag/vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
  • Art. 9 Abs. 2 DSGVO – besondere Kategorien (sofern einschlägig)
  • § 25 TDDDG – Endgerätezugriffe (Cookies, Local Storage etc.)

Begriffe

  • Personenbezogene Daten: Informationen zu identifizierten/identifizierbaren Personen
  • Verarbeitung: jeder Umgang mit Daten (Erheben, Speichern, Übermitteln, Löschen)
  • Profiling: automatisierte Auswertung persönlicher Aspekte
  • ADM: automatisierte Entscheidungen im Einzelfall (Art. 22 DSGVO) – findet bei uns nicht statt

Hosting & Infrastruktur

Unsere Systeme werden überwiegend in der EU bei IONOS SE (Elgendorfer Str. 57, 56410 Montabaur) sowie in der IONOS Cloud betrieben. Beim Aufruf unserer Website verarbeitet IONOS u. a. Server-Logfiles (IP-Adresse, Zeitstempel, User-Agent, Referrer) zur Sicherstellung von Betrieb, Sicherheit und Fehleranalyse. Mit IONOS besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVOFalls Endgerätezugriff nötig: zusätzlich § 25 Abs. 1 TDDDG (Einwilligung)

Kontexte

1) Website

  • Datenkategorien: IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten/Dateien, Referrer-URL, Browser/OS, ggf. Cookie-IDs/Local-Storage-IDs; Angaben aus Formularen (Name, E-Mail, Nachricht); Consent-Protokolle.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit), Art. 6 Abs. 1 lit. b DSGVO (Formulare, Anbahnung), Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (nicht notwendige Cookies/Technologien).
  • SSL/TLS: Transportverschlüsselung ist aktiv.

2) Apps

Eigene Apps: Verantwortlicher sind wir. White-Label/Kundenapps: regelmäßig Verarbeitung als Auftragsverarbeiter (Art. 28 DSGVO) auf Weisung des Auftraggebers.

  • Daten: Geräte-ID, OS-/App-Version, IP, Zeitstempel; Nutzungsevents; ggf. Accountdaten (Name, E-Mail); Berechtigungen (Kamera, Fotos, Mikrofon, Standort, Push-Token) nur nach System-Einwilligung; Crash/Diagnose (Stacktraces, Performance).
  • Zwecke: Bereitstellung vertraglicher Funktionen, Stabilität/Sicherheit, optionale Komfort-Features.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Funktion), Art. 6 Abs. 1 lit. a DSGVO (optionale Telemetrie/Push), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Fehlerbehebung).
  • Kontolöschung: in-App oder per Anfrage an uns; gesetzliche Aufbewahrungen bleiben unberührt.

3) Kundenspezifische Software/SaaS (B2B)

Wir handeln regelmäßig als Auftragsverarbeiter (Art. 28 DSGVO) für Geschäftskunden (Verantwortliche). Grundlage ist ein AV-Vertrag; in Einzelfällen gemeinsame Verantwortlichkeit (Art. 26 DSGVO).

  • Zwecke: Entwicklung, Betrieb, Wartung; Hosting, Backup, Logging, Monitoring, Security; Support/Troubleshooting.
  • Daten: Stamm-/Kontaktdaten, Vertrags-/Abrechnungsdaten, Nutzungs-/Protokolldaten, geschäftsbezogene Objektdaten gemäß Systemzweck.
  • Subprozessoren: nur vertraglich und mit geeigneten Garantien (siehe unten).
  • Löschung: gemäß Weisung/Vertrag (Löschkonzept, Backup-Zyklen, Log-Fristen, Export-/Rückgabe zum Vertragsende).

4) KI-Automatisierung (z. B. n8n-Workflows, LLM-Integrationen)

In Kundenprojekten sind wir regelmäßig Auftragsverarbeiter (AVV). Eigene KI-Features betreiben wir als Verantwortlicher.

  • Zwecke: Prozessautomatisierung/Orchestrierung, Texterzeugung, Klassifikation, Extraktion, semantische Suche (RAG), Assistenz/Chatbots, Datenanreicherungen.
  • Daten: Prompts/Dokumente/Kontexte, generierte Ausgaben, Protokoll-/Fehlerdaten.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vertraglich), Art. 6 Abs. 1 lit. f DSGVO (Optimierung/Sicherheit), Art. 6 Abs. 1 lit. a DSGVO (optionale externe LLMs).
  • Eingesetzte/zulässige Anbieter (projektspezifisch): Azure OpenAI (Microsoft), OpenAI, Google AI (Gemini), Anthropic, Mistral.
  • Hosting Automationsplattform: n8n self-hosted bei IONOS Cloud (EU).
  • Qualitätshinweis: KI-Ausgaben können Fehler enthalten; Prüfung vor produktiver Nutzung ist erforderlich.

Cookies & Consent (Cookiebot)

Wir setzen für das Einholen/Protokollieren von Einwilligungen den Dienst Cookiebot (Cybot A/S, Dänemark) ein. Notwendige Cookies dienen Betrieb/Sicherheit und benötigen keine Einwilligung. Statistik/Marketing-Technologien setzen wir nur nach Einwilligung.

Name/TechnologieZweckAnbieterSpeicherdauerRechtsgrundlage
Consent-Cookie (Cookiebot)Speicherung Ihrer EinwilligungenCybot A/S (DK/EU)12 MonateArt. 6 Abs. 1 lit. c DSGVO; § 25 Abs. 1 TDDDG
Notwendige CookiesBetrieb/Sicherheit (z. B. Session)P&A / IONOSSitzungsende bis 12 Monate§ 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO

Sie können Ihre Auswahl jederzeit über „Cookie-Einstellungen“ (Consent-Banner) ändern/widerrufen.

Webanalyse (Google Analytics)

Wir nutzen Google Analytics (Google Ireland Limited) zur Reichweitenmessung/Optimierung. IP-Anonymisierung ist aktiviert (Maskierung in der EU). In Ausnahmefällen kann es zu Übermittlungen in die USA kommen; diese stützen wir auf EU-Standardvertragsklauseln und – soweit einschlägig – auf das EU-US Data Privacy Framework.

  • Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG)
  • Widerruf: jederzeit im Consent-Banner; zusätzlich Opt-out-Add-on: https://tools.google.com/dlpage/gaoptout
  • Speicherdauer (z. B. _ga): 24 Monate

Terminbuchung (Microsoft Bookings / Microsoft 365)

Für Online-Termine nutzen wir Microsoft Bookings. Verarbeitet werden u. a. Name, Kontaktdaten, gewünschter Termin, Metadaten (Bestätigungen). Microsoft verarbeitet Kundendaten vorzugsweise innerhalb der EU Data Boundary; etwaige Drittlandübermittlungen (z. B. USA) werden durch EU-Standardvertragsklauseln und – soweit anwendbar – DPF abgesichert.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Terminvereinbarung) bzw. lit. f DSGVO (effiziente Abwicklung)
  • Speicherdauer: bis Terminabwicklung; gesetzliche Aufbewahrungen bleiben unberührt

Kontakt (E-Mail/Telefon/WhatsApp)

Bei Kontaktaufnahme verarbeiten wir Ihre Angaben zur Bearbeitung/Beantwortung. Für WhatsApp-Kontakt (freiwillig) gelten zusätzlich die Datenschutzinformationen von WhatsApp Ireland/Meta (E2E-Verschlüsselung der Inhalte; Metadatenverarbeitung möglich).

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Vertrag) oder lit. f DSGVO (allgemeine Anfragen)

Social-Media-Auftritte (Instagram/LinkedIn)

Wir betreiben Unternehmensseiten bei Instagram und LinkedIn. Für „Page/Insights“ besteht eine gemeinsame Verantwortlichkeit mit dem jeweiligen Anbieter (Art. 26 DSGVO). Anbieter verarbeiten u. a. Nutzungs-/Interaktionsdaten; wir erhalten aggregierte Statistiken. Nähere Informationen entnehmen Sie den Datenschutzhinweisen der Plattformen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Datenübermittlungen in Drittländer & Garantien

Sofern erforderlich, stützen wir Übermittlungen in Drittländer (außerhalb des EWR) auf geeignete Garantien nach Art. 46 DSGVO (insb. EU-Standardvertragsklauseln). Soweit Anbieter nach dem EU-US Data Privacy Framework zertifiziert sind, kann dies ergänzend als Übermittlungsmechanismus dienen.

Wesentliche Auftragsverarbeiter (Sub-Prozessoren)

AnbieterLeistungSitz/HostingÜbermittlungsgrundlageAVV
IONOS SE / IONOS CloudHosting/InfrastrukturEU (DE/EU)ja
Microsoft 365 inkl. BookingsE-Mail/Kollaboration/TerminbuchungEU Data Boundary; ggf. USASCC, ggf. DPFja
Cybot A/S (Cookiebot)Consent-ManagementDK/EUja
Google Ireland Ltd. (Analytics)WebanalyseEU/USASCC, ggf. DPFja

Projekt-spezifische Subprozessoren (z. B. für Apps/KI) werden gegenüber Kunden vertraglich benannt.

Speicherdauer & Löschung

DatenkategorieTypische Frist/ZweckRechtsgrundlage
Server-Logstechnische Sicherheit/Fehleranalyse; Löschung i. d. R. nach 30–90 TagenArt. 6 Abs. 1 lit. f DSGVO
KontaktanfragenBearbeitung/Follow-up; Löschung nach Abschluss + bis zu 12 MonateArt. 6 Abs. 1 lit. b bzw. f DSGVO
Vertrags-/AbrechnungsdatenAufbewahrung gem. HGB/AO: 6–10 JahreArt. 6 Abs. 1 lit. c DSGVO
Consent-ProtokolleNachweis von Einwilligungen bis zu 3 Jahre nach letzter NutzungArt. 6 Abs. 1 lit. c DSGVO
App-Telemetrie/CrashStabilität/Debugging; Löschung typ. nach bis zu 90 TagenArt. 6 Abs. 1 lit. a bzw. f DSGVO
KI-Prompts/LogsFehleranalyse/Qualität; projektbezogene Fristen (Datenminimierung)Art. 6 Abs. 1 lit. b bzw. f DSGVO

Nach Zweckerreichung/Widerruf/Widerspruch werden Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Ihre Rechte

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21), insbesondere gegen Direktwerbung/Profiling
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Bitte richten Sie Anfragen an info@pandadev.de und nennen Sie möglichst den Kontext (Website/App/Software/KI).

Sicherheit (Art. 32 DSGVO)

  • Zugriffs-/Zutritts-/Zugangskontrollen (RBAC, Least-Privilege, MFA)
  • Transport-/Speicherverschlüsselung, Schlüsselmanagement
  • Systemhärtung, Patch-Management, Firewall/WAF, Rate-Limiting
  • Protokollierung/Monitoring, Backup-/Recovery-Tests
  • Lieferantenmanagement, AVV/Sub-Prozessor-Kontrollen
  • Privacy by Design/Default, Datenminimierung, Löschkonzepte

Bewerbungen

Wir verarbeiten Bewerberdaten (Kontakt-/Stammdaten, Unterlagen, Korrespondenz) zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Nicht berücksichtigte Bewerbungen löschen wir in der Regel 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zur längeren Aufbewahrung (Talentpool) vorliegt.

§ 26 BDSGArt. 6 Abs. 1 lit. b DSGVOTalentpool (optional): Art. 6 Abs. 1 lit. a DSGVO

Newsletter

Wir versenden derzeit keinen Newsletter. Sollte sich dies ändern, informieren wir hier vorab transparent über Dienstanbieter, Double-Opt-In, Widerrufs- und Löschfristen.

Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Rechtslage, Technologien oder unsere Prozesse ändern. Maßgeblich ist die jeweils aktuelle Fassung auf dieser Seite.

Stand: 20.10.2025