blitzkeks
EN Dashboard →
DSGVO · Art. 13 / 14 · TDDDG § 25

Datenschutzerklärung

Kurzfassung Blitzkeks hat drei datenschutzrelevante Rollen: die Marketing-Website blitzkeks.de, Konto + Dashboard unter app.blitzkeks.de, und den Consent-Service cmp.blitzkeks.de den wir im Auftrag unserer Kunden auf deren Websites betreiben. Wir setzen keine Third-Party-Cookies, geben keine Daten in Drittländer und tracken niemanden. Wer wegen eines Blitzkeks-Banners auf einer fremden Website hier gelandet ist: Abschnitt 2.3 ist dein Abschnitt.

1. Verantwortlicher + Kontakt

Verantwortlicher im Sinne der DSGVO für die unter 2.1 und 2.2 beschriebenen Verarbeitungen:

Wladislaw Mitzel
Grenzstr. 25A
63179 Obertshausen
Deutschland

Kontakt: hallo@blitzkeks.de
Sicherheit / Meldungen: security@blitzkeks.de
Siehe auch Impressum.

Ein externer Datenschutzbeauftragter ist nicht bestellt; die Schwellenwerte nach § 38 BDSG werden nicht überschritten.

2. Was wir wofür verarbeiten

Blitzkeks hat drei datenschutzrelevante Rollen. Suche dir den Abschnitt der zu deiner Situation passt — oder lies alle drei.

2.1 · Verantwortlicher

Marketing-Website blitzkeks.de

Kurzfassung Du liest diese Seite auf blitzkeks.de. Server-Logs werden gekürzt und nach 14 Tagen gelöscht. Der Consent-Banner auf dieser Seite ist unser eigenes Produkt (Dogfood). Deine Banner-Entscheidung liegt als Standard-euconsent-v2 Cookie nach IAB TCF v2.3 auf deinem Gerät.

Welche Daten wir erheben

  • Server-Logs: IP-Adresse (nach 24 Stunden auf /24 IPv4 bzw. /48 IPv6 gekürzt), User-Agent, angeforderte URL, HTTP-Status, Antwortzeit, Referer (wenn vom Browser gesendet), Zeitstempel, übertragene Bytes.
  • Bei Kontaktaufnahme per Mail: E-Mail-Inhalt und Metadaten, verarbeitet bei mailbox.org (Heinlein Support GmbH, Schwedter Str. 8/9A, 10119 Berlin, Deutschland).

Cookies auf dieser Seite

  • csrf — technisch notwendiger CSRF-Schutz.
  • euconsent-v2 — speichert deine Banner-Entscheidung (IAB-TCF-v2.3-Consent-String). Blitzkeks setzt auf der Marketing-Site keine Vendoren ein; der Banner dient als Dogfood-Demo und dokumentiert deine Wahl.

Details und Ablaufzeiten siehe Abschnitt 3.

Rechtsgrundlagen

  • Server-Logs: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb, Sicherheit und Missbrauchserkennung).
  • csrf: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.
  • euconsent-v2: § 25 Abs. 2 Nr. 2 TDDDG (die Speicherung deiner Einwilligungs- oder Ablehnungs-Entscheidung ist zur Bereitstellung eines funktionierenden Einwilligungs-Mechanismus erforderlich) i. V. m. Art. 6 Abs. 1 lit. c DSGVO (Rechenschaftspflicht nach Art. 7 Abs. 1).
  • Kontakt-Mail: Art. 6 Abs. 1 lit. b (vertragsbezogen) bzw. lit. f (sonst).

Hoster / Edge

  • Bunny.net — BunnyWay d.o.o., Cesta Komandanta Staneta 4a, 1215 Medvode, Slowenien. Edge-CDN mit EU-only Routing, AVV geschlossen.
  • Netcup GmbH — Daimlerstraße 25, 76185 Karlsruhe, Deutschland. Origin-Hosting (VPS, PostgreSQL, Valkey), AVV aus dem Auftragsverarbeitungs-Anhang.
  • mailbox.org / Heinlein Support GmbH — Schwedter Str. 8/9A, 10119 Berlin, Deutschland. Posteingang für hallo@blitzkeks.de und security@blitzkeks.de, AVV geschlossen.

Speicherdauer

  • Server-Logs (Bunny + Origin): 14 Tage, danach automatische Löschung.
  • Cookies: siehe Abschnitt 3.
  • Kontakt-Mails: bis zum Abschluss der Anfrage, zuzüglich bis zu sechs Monate für Rückfragen.
2.2 · Verantwortlicher

Konto + Dashboard (app.blitzkeks.de, auth.blitzkeks.de)

Kurzfassung Wenn du ein Blitzkeks-Konto hast: E-Mail und Passkey-Public-Keys (selbst-gehostetes Hanko), verwaltete Sites, Konfigurationen, Rechnungsdaten und ein Konfig-Audit-Log. Transaktions-Mails (Login-Links) laufen über Scaleway in Frankreich.

Welche Daten wir speichern

  • Kontodaten: E-Mail-Adresse, Passkey-Public-Keys (verwaltet durch das selbst-gehostete Hanko auf auth.blitzkeks.de), Registrierungszeitpunkt.
  • Nutzungsdaten: verwaltete Sites, Konfigurationen (Purposes, Vendors, Branding), Analytics-Abfragen im Dashboard.
  • Rechnungsdaten: Firma, Anschrift, Umsatzsteuer-ID, Betrag und Abrechnungszeitraum.
  • Audit-Log: Konfigurations-Writes mit Zeitstempel und Konto-ID.

Cookies

  • hanko — Session-Cookie, SameSite=Lax, Secure, Domain .blitzkeks.de, technisch notwendig.

Rechtsgrundlagen

  • Konto + Dashboard: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), § 25 Abs. 2 Nr. 2 TDDDG für das Session-Cookie.
  • Audit-Log: Art. 6 Abs. 1 lit. c DSGVO (Rechenschaftspflicht nach Art. 5 Abs. 2) i. V. m. lit. f.
  • Rechnungsdaten: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 14b UStG und § 147 AO (10 Jahre Aufbewahrung).

Verarbeiter

  • Hanko — selbst-gehostet auf auth.blitzkeks.de, kein externer Anbieter.
  • PostgreSQL via CloudNativePG auf Netcup-VPS in Deutschland.
  • Scaleway TEM — Scaleway SAS, 8 Rue de la Ville l'Évêque, 75008 Paris, Frankreich. Transaktions-Mails (Hanko-Login-Magic-Links, E-Mail-Verifizierung), produktiv im Einsatz, AVV geschlossen.
  • Zahlungsabwicklung (noch nicht live): geplant mit Mollie B.V. (Niederlande) oder Stripe Payments Europe Ltd. (Irland). Wir ergänzen hier sobald produktiv und kündigen bestehenden Konto-Inhabern per E-Mail an.
  • Fehler-Tracking (optional, noch nicht live): geplant über Sentry EU-Region oder selbst-gehostetes GlitchTip.

Speicherdauer

  • Aktives Konto: Lebensdauer des Vertrages plus 30 Tage Reaktivierungsfenster, danach Löschung auf Konto-Ebene.
  • Rechnungsdaten: 10 Jahre (§ 147 AO / § 14b UStG).
  • Audit-Log: 3 Jahre.
  • Session-Cookie: gemäß Hanko-Konfiguration.
2.3 · Auftragsverarbeiter

Consent-Service cmp.blitzkeks.de

Kurzfassung Wenn du diese Seite besuchst, weil du auf einer anderen Website ein Blitzkeks-Banner gesehen hast — verantwortlich ist der Betreiber dieser anderen Website, nicht Blitzkeks. Wir verarbeiten deine Daten dort weisungsgebunden in seinem Auftrag (Art. 28 DSGVO).

Rolle

Blitzkeks ist Auftragsverarbeiter. Verantwortlicher ist der Publisher (Betreiber der Kunden-Website). Deine Rechte aus Art. 15–21 DSGVO richtest du zuerst an den Publisher; wir unterstützen ihn bei der Erfüllung.

Welche Daten pro Banner-Interaktion verarbeitet werden

  • IP-Adresse (nach 24 Stunden auf /24 IPv4 bzw. /48 IPv6 gekürzt).
  • User-Agent.
  • Site-UUID (identifiziert den Publisher, nicht dich).
  • TCF-Consent-String (IAB TCF v2.3).
  • Referrer (Publisher-Domain).
  • Zeitstempel.
  • GeoIP-Ableitung (ISO-Ländercode) via MaxMind GeoLite2 und db-ip Lite, in-process berechnet, keine externen API-Calls.

Rechtsgrundlage

Weisungsgebundene Verarbeitung im Auftrag des Publishers auf Grundlage eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO. Rechtsgrundlage auf Publisher-Seite ist typischerweise Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung); Dokumentation und Prüfung obliegen dem Publisher.

Speicherdauer des Consent-Records

3 Jahre ab letzter Bestätigung, oder bis zum Widerruf durch den Besucher — je nachdem was zuerst eintritt. Bei Vertragsende des Publisher-Kunden wird der Record gemäß AVV gelöscht.

Mehr Details

Volltext AVV: /avv. Kanonische Subprozessoren-Liste: Anlage C des AVV .

3. Cookies und Zugriffe auf Endgeräte (§ 25 TDDDG)

Alles was Informationen auf deinem Endgerät speichert oder ausliest — Cookies, Local-Storage, Tracking-IDs — fällt unter § 25 TDDDG (vormals TTDSG, umbenannt am 14. Mai 2024). Technisch notwendige Einträge sind einwilligungsfrei (§ 25 Abs. 2 Nr. 2 TDDDG); alles andere braucht deine aktive Einwilligung nach § 25 Abs. 1 TDDDG.

Name Domain Zweck Rechtsgrundlage Ablauf
csrf blitzkeks.de CSRF-Schutz § 25 Abs. 2 Nr. 2 TDDDG + Art. 6 I f DSGVO Session
euconsent-v2 blitzkeks.de Speicherung deiner Banner-Entscheidung (IAB TCF v2.3) § 25 Abs. 2 Nr. 2 TDDDG + Art. 6 I c DSGVO (Rechenschaft) 12 Monate (TCF-Standard) oder bis Widerruf
hanko .blitzkeks.de Auth-Session § 25 Abs. 2 Nr. 2 TDDDG + Art. 6 I b DSGVO gemäß Hanko-Konfiguration

Deine Banner-Entscheidung kannst du jederzeit über den Banner-Footer-Link „Cookie-Einstellungen" neu treffen. Alternativ löschst du das euconsent-v2-Cookie im Browser — das Banner erscheint beim nächsten Besuch erneut. Ein Widerruf wirkt ex nunc und lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt (Art. 7 Abs. 3 DSGVO).

Hinweis zur Doppelrolle auf dieser Seite: Der Banner auf blitzkeks.de wird technisch durch unseren eigenen Consent-Service (cmp.blitzkeks.de) bedient. Da Verantwortlicher und Diensteanbieter hier identisch sind (beides Blitzkeks), liegt keine Auftragsverarbeitung nach Art. 28 DSGVO zwischen zwei Parteien vor — es handelt sich um eine Verarbeitung innerhalb derselben verantwortlichen Stelle.

4. Empfänger · Subprozessoren

Produktiv eingesetzte Subprozessoren im Besucher- und Kundendatenpfad:

  • Netcup GmbH (Deutschland) — VPS-Hosting, PostgreSQL, Valkey.
  • mailbox.org / Heinlein Support GmbH (Deutschland) — Posteingang für hallo@blitzkeks.de und security@blitzkeks.de.
  • Bunny.net / BunnyWay d.o.o. (Slowenien) — Edge-CDN, EU-only Routing.
  • INWX GmbH (Deutschland) — DNS und ACME DNS-01 Challenges.
  • Scaleway SAS (Frankreich) — Transaktions-Mails (Hanko-Auth-Mails).
  • Let's Encrypt / ISRG (USA) — TLS-Zertifikatssignatur, außerhalb des Request-Pfads, keine Besucherdaten.

Änderungen der Subprozessoren-Liste (Hinzuziehung oder Ersetzung, einschließlich geplanter Aufnahmen wie Mollie / Stripe IE, Sentry EU oder GlitchTip) werden in der kanonischen Liste aktualisiert und Konto-Inhabern anschließend in Textform unterrichtet (z. B. per E-Mail). Einspruchs- und Kündigungsrecht siehe AVV § 8 Nr. 2.

Kanonische Subprozessoren-Liste mit Anschriften und Zuständigkeitsbereich: Anlage C des AVV .

5. Drittlandtransfers

Keine Übermittlung personenbezogener Daten in Drittländer. Alle Besucher- und Kundendaten verbleiben in EU-Rechenzentren (Deutschland, Slowenien, Frankreich).

Der einzige US-Berührungspunkt im Infrastrukturpfad ist Let's Encrypt (ISRG, USA) zur TLS-Zertifikatssignatur. Let's Encrypt arbeitet außerhalb des Request-Pfades und sieht keinen Besucher-Traffic.

Pulumi Cloud (USA) und GitHub (USA) halten ausschließlich Infrastruktur-Metadaten beziehungsweise Quellcode, keine Besucher- oder Kundendaten; eine Auftragsverarbeitung nach Art. 28 DSGVO besteht in diesen Beziehungen nicht.

6. Speicherdauer

Datenkategorie Aufbewahrung Rechtsgrund
Server-Logs (Bunny, Origin) 14 Tage Art. 6 Abs. 1 lit. f DSGVO (Betrieb / Sicherheit)
Cookie csrf Session § 25 Abs. 2 Nr. 2 TDDDG
Cookie euconsent-v2 12 Monate oder bis Widerruf § 25 Abs. 2 Nr. 2 TDDDG + Art. 7 Abs. 1 DSGVO
Cookie hanko gemäß Hanko-Konfiguration Vertragserfüllung
Kontodaten Vertragslaufzeit + 30 Tage Art. 6 Abs. 1 lit. b DSGVO
Rechnungsdaten 10 Jahre § 147 AO / § 14b UStG
Audit-Log 3 Jahre Art. 5 Abs. 2 + Art. 6 Abs. 1 lit. f DSGVO
Consent-Record (§ 2.3) 3 Jahre oder bis Widerruf Weisung des Publishers, AVV
Kontakt-Mails bis Anfrage abgeschlossen, plus bis 6 Monate Follow-up Art. 6 Abs. 1 lit. b bzw. f DSGVO

7. Deine Rechte (Art. 15–21 DSGVO)

  • Auskunft über die zu dir gespeicherten Daten — Art. 15 DSGVO
  • Berichtigung unzutreffender Daten — Art. 16 DSGVO
  • Löschung deiner Daten — Art. 17 DSGVO
  • Einschränkung der Verarbeitung — Art. 18 DSGVO
  • Datenübertragbarkeit in maschinenlesbarem Format — Art. 20 DSGVO
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f — Art. 21 DSGVO
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft — Art. 7 Abs. 3 DSGVO

Anfragen per E-Mail an hallo@blitzkeks.de .

Wenn deine Anfrage Consent-Service-Daten betrifft (Besuch einer Website auf der ein Blitzkeks-Banner läuft, siehe § 2.3), wende dich zuerst an den Betreiber dieser Website — er ist Verantwortlicher. Blitzkeks unterstützt den Betreiber bei der Erfüllung deiner Anfrage.

8. Beschwerderecht (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1
65189 Wiesbaden
datenschutz.hessen.de ↗

Wahlweise kannst du deine Beschwerde auch bei jeder anderen Aufsichtsbehörde in einem EU-Mitgliedstaat einreichen (Art. 77 Abs. 1 DSGVO).

9. Automatisierte Entscheidungen · Profiling · KI

Keine automatisierten Einzelentscheidungen im Sinne des Art. 22 DSGVO. Kein Profiling von Besucher- oder Kundendaten.

Keine KI-Modelle werden auf Besucher- oder Kundendaten trainiert, und es findet keine KI-Verarbeitung im Request-Pfad des Produkts statt. Generative-KI-Werkzeuge werden ausschließlich in der Softwareentwicklung eingesetzt, außerhalb des Produktions-Datenpfads.

10. Quelle der Daten

Alle Daten werden direkt bei dir erhoben. Auch die Consent-Service-Daten aus § 2.3 entstehen durch deine Interaktion mit dem Banner auf der Kunden-Website — die Erhebung erfolgt also ebenfalls unmittelbar bei dir, nur in der anderen Rolle (Auftragsverarbeiter statt Verantwortlicher).

11. Datensicherheit · TOMs (Kurzfassung)

TLS 1.2 oder höher erzwungen, SSH-Key-Authentifizierung und Firewall vor der Infrastruktur, Secrets verwaltet in Pulumi ESC mit regelmäßiger Rotation, Audit-Logging auf Konfigurations-Writes, Rate-Limiting auf dem Consent-Write-Path, minimale Container-Images für die datenverarbeitenden Dienste.

Vollständige technische und organisatorische Maßnahmen im Anhang zum AVV: /avv.

12. Änderungen dieser Erklärung

Substantielle Änderungen werden hier bekanntgegeben. Konto-Inhaber erhalten zusätzlich eine E-Mail-Benachrichtigung vor Inkrafttreten — bei Änderungen die die Verarbeitung erweitern mit mindestens 14 Tagen Vorlauf. Die aktuelle Version und der Stand stehen unten.

13. Stand + Versionshistorie

Stand: 22. April 2026 · v2 (TCF v2.3) — überarbeitete Fassung zum Launch.

Frühere Fassungen: Git-Commit-History auf GitHub ↗ .