Zum Hauptinhalt springen
Zurück zur Startseite

Datenschutzerklärung

Stand: 04.05.2026

Wir, die TBit Solutions GmbH, nehmen den Schutz Ihrer personenbezogenen Daten ernst und halten uns strikt an die Regeln der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG). Diese Erklärung informiert Sie in einfacher, verständlicher Sprache (Art. 12 DSGVO) darüber, welche Daten wir auf dieser Website verarbeiten, warum wir das tun und wie lange wir sie speichern.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

TBit Solutions GmbH
Tjark Brauner (Geschäftsführer)
Brinkheide 80
49214 Bad Rothenfelde
Deutschland
E-Mail: service@tbit-solutions.de
Telefon: +49 5424 39644780

Vollständige Pflichtangaben (auch zur Vertretung) finden Sie in unserem Impressum.

2. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt. Eine gesetzliche Pflicht zur Bestellung besteht für unser Unternehmen derzeit nicht (§ 38 BDSG: weniger als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind; keine Kerntätigkeit, die nach Art. 37 Abs. 1 DSGVO eine Bestellung erfordert). Bei Datenschutzfragen wenden Sie sich bitte an die unter Ziffer 1 genannte Adresse.

3. Allgemeine Verarbeitungsgrundsätze

Wir verarbeiten personenbezogene Daten nur, wenn dies entweder gesetzlich erlaubt ist (z. B. zur Vertragserfüllung oder zur Wahrung berechtigter Interessen) oder Sie ausdrücklich eingewilligt haben. Wir erheben so wenige Daten wie nötig, speichern sie so kurz wie möglich und schützen sie durch technische und organisatorische Maßnahmen (siehe Ziffer 15).

In den folgenden Abschnitten erläutern wir für jeden einzelnen Verarbeitungs­vorgang: was wir verarbeiten, warum (Zweck und Rechtsgrundlage) und wie lange wir die Daten speichern.

4. Server-Logs (Caddy-Webserver)

Beim Aufruf unserer Website werden durch den Webserver (Caddy) technisch notwendige Informationen in einer Logdatei gespeichert:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL (verweisende Seite)
  • User-Agent (Browser- und Betriebssystem-Kennung)

Zweck: Betrieb einer sicheren und stabilen Website, Erkennung und Abwehr von Angriffen, Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Stabilität).
Speicherdauer: 30 Tage. Danach werden die Logs automatisch gelöscht. Bei einem konkreten Sicherheitsvorfall kann eine längere Speicherung bis zur Aufklärung erforderlich sein.

5. Reichweitenmessung (Pageviews, Verweildauer, Scroll-Tiefe)

Wir betreiben eine selbst gehostete, cookielose Reichweitenmessung auf unserer eigenen Infrastruktur in Deutschland. Es werden keine Daten an Drittanbieter übermittelt; es wird kein persönliches Profil erstellt und keine geräteübergreifende Wiedererkennung vorgenommen.

5.1 Was gemessen wird

  • Aufgerufene Seite (Pfad) und Zeitpunkt
  • Verweildauer pro Seite
  • Scroll-Tiefe pro Seite (in Prozent)
  • Grobe Kategorien aus dem User-Agent (Browser, Betriebssystem, Gerätetyp)
  • Land (nur Ländercode, lokale Bestimmung — siehe Ziffer 11)
  • Verweisende Seite (nur Hostname, keine vollständige URL)
  • UTM-Kampagnen-Parameter, falls in der URL enthalten
  • Anonymer Tageswert-Hash: Aus Ihrer IP-Adresse und einem täglich rotierenden Salt wird ein pseudonymer Hash gebildet. Die rohe IP-Adresse wird in den Reichweiten-Daten nicht gespeichert. Eine Rückrechnung auf Sie ist nach dem Salt-Wechsel (spätestens nach 24 Stunden) technisch ausgeschlossen.

5.2 Zweck und Rechtsgrundlage

Zweck: Optimierung unserer Website (welche Inhalte werden gelesen, an welcher Stelle springen Nutzer ab), keine Werbung, kein Profiling.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TTDSG. Die Messung läuft nur, wenn Sie im Cookie-Banner eingewilligt haben. Ohne Einwilligung findet keinerlei Reichweitenmessung statt.

5.3 Speicherdauer

  • Einzelne Pageview-Datensätze: maximal 6 Monate, danach automatische Löschung.
  • Aggregierte Statistiken (anonym, ohne Bezug zu Einzelnutzern): unbegrenzt.

5.4 Widerspruch und Widerruf

Sie können Ihre Einwilligung jederzeit über die widerrufen. Zusätzlich respektieren wir die Browser-Signale DNT ("Do Not Track") und Sec-GPC ("Global Privacy Control") — bei aktiviertem Signal verzichten wir unabhängig vom Banner-Status auf die Messung.

6. Cookies und lokaler Speicher

Wir setzen Cookies und Einträge im lokalen Speicher Ihres Browsers nur sparsam und nach folgender Logik ein:

6.1 Technisch notwendige Cookies / Storage (ohne Einwilligung)

  • cookie-consent-v1 (localStorage) — speichert Ihre Cookie-Entscheidung selbst. Lebensdauer: bis zu 12 Monate, anschließend erneute Abfrage. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich).
  • Session-Cookie (Kundenportal) — hält Sie nach dem Login eingeloggt. Lebensdauer: bis zum Logout oder Sitzungsende. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • CSRF-Token — schützt Formulare vor Cross-Site-Request-Forgery. Lebensdauer: Sitzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).

6.2 Optionale Cookies / Storage (nur mit Einwilligung)

  • Statistik-Einwilligung — siehe Ziffer 5. Wird nur gesetzt, wenn Sie zustimmen.

Marketing- oder Drittanbieter-Cookies setzen wir nicht ein.

7. Kontaktformular und E-Mail-Kontakt

Wenn Sie unser Kontaktformular nutzen oder uns per E-Mail schreiben, verarbeiten wir folgende Daten:

  • E-Mail-Adresse (Pflicht)
  • Name und Firma (optional)
  • Nachricht und Betreff
  • Zeitstempel der Einreichung
  • Honeypot-Status (technische Spam-Prüfung)

Empfänger: Die Nachricht wird intern in unserem Ticket-System (siehe work4all unter Ziffer 9) entgegengenommen und per E-Mail über Microsoft 365 versandt (siehe Ziffer 9).
Zweck: Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).
Speicherdauer: 12 Monate ab Eingang, sofern keine gesetzlichen Aufbewahrungsfristen (z. B. handels-/steuerrechtlich bis zu 10 Jahre) eine längere Speicherung erfordern.

8. Kundenportal (Phase 2)

Unser Kundenportal steht ausschließlich Bestandskundinnen und -kunden zur Verfügung. Im Rahmen des Logins und der Nutzung verarbeiten wir:

  • Kundennummer und E-Mail-Adresse
  • Passwort (gespeichert ausschließlich als Argon2id-Hash)
  • Zwei-Faktor-Geheimnis (TOTP) und Backup-Codes (verschlüsselt)
  • Session-Token zur Aufrechterhaltung der Anmeldung
  • Audit-Log: Zeitpunkt, Aktion (z. B. Login, Passwortänderung), IP-Adresse, User-Agent, Pfad. Speicherdauer: 90 Tage.
  • Bekannte Geräte: Hash des User-Agents und ein /24-Bucket der IP-Adresse (Subnetz-Maskierung), um neue Anmeldungen aus unbekannten Umgebungen erkennen zu können.
  • IP-Sperrtabelle: Bei wiederholten Fehlversuchen wird die IP zeitlich befristet gesperrt. Speicherdauer: bis zum Ablauf der Sperre.
  • Inhalt von Tickets, Anhängen und Bestelldaten (siehe Ziffer 9 — work4all).

Zweck: Authentifizierung, Schutz vor Account-Übernahme, Vertragsabwicklung, Support.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit für Audit-Log und IP-Sperre).
Speicherdauer: Audit-Log 90 Tage; IP-Sperren bis Ablauf; Account-Daten für die Dauer des Kundenverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen.

9. Auftragsverarbeiter

Mit den folgenden Dienstleistern bestehen Verträge zur Auftragsverarbeitung (Art. 28 DSGVO):

9.1 Hetzner Online GmbH (Hosting)

Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Sämtliche Server stehen in Deutschland. Es findet keine Übermittlung in ein Drittland statt. AVV nach Art. 28 DSGVO liegt vor.

9.2 Microsoft Ireland Operations Limited (E-Mail über Microsoft 365 / Graph)

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Wir nutzen Microsoft 365 bzw. die Microsoft Graph API für den Versand und Empfang der über Formulare eingehenden E-Mails. Unser Tenant-Standort liegt in der EU (EU Data Boundary).

Drittland-Hinweis: Die Microsoft Corporation (USA) als Konzernmutter kann auf Daten potenziell zugreifen. Als geeignete Garantien nach Art. 46 DSGVO kommen die EU-Standardvertragsklauseln (Module Microsoft Products and Services DPA), das EU-US Data Privacy Framework (Microsoft ist zertifiziert) sowie die Microsoft Online Services DPA (AVV) zur Anwendung.

9.3 work4all GmbH (ERP-/Ticket-Backend)

work4all GmbH (Anbieter der gleichnamigen ERP-/CRM-Software). Daten aus dem Kundenportal und dem Kontaktformular fließen — sofern aktiviert — in unser ERP-/Ticketsystem ein. Die work4all-Instanz wird auf unserer eigenen Infrastruktur in Deutschland betrieben. Weitere Informationen: work4all.de.

10. Drittanbieter-Aufrufe (ohne Auftragsverarbeitung)

10.1 Have I Been Pwned (HIBP) — Passwort-Sicherheitsprüfung

Wenn Sie im Kundenportal ein neues Passwort vergeben, prüfen wir, ob das gewählte Passwort in bekannten Datenleaks aufgetaucht ist. Hierfür wird clientseitig ein SHA-1-Hash Ihres Passworts gebildet und nur die ersten 5 Hex-Stellen dieses Hashes an die HIBP-API unter api.pwnedpasswords.com gesendet (k-Anonymity-Verfahren — bedeutet: der Server erhält nur ein Hash-Prefix und kann darauf basierend keine Rückrechnung auf das Passwort vornehmen). Es entsteht kein direkter Personenbezug, da weder Klartext-Passwort noch der vollständige Hash übertragen werden.

Anbieter: Superlative Enterprises Ltd. / Troy Hunt; Infrastruktur teilweise Cloudflare in UK / USA. Für das Vereinigte Königreich liegt ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vor.
Zweck: Schutz Ihres Accounts vor Datenleck-Passwörtern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

11. Lokale GeoIP-Bestimmung

Zur groben Länderbestimmung (nur Ländercode, z. B. „DE") nutzen wir eine lokal gehostete GeoIP-Datenbank (geoip-lite). Es findet kein Aufruf einer externen API statt; Ihre IP-Adresse verlässt unseren Server nicht. Stadt- oder Region-Daten werden nicht ermittelt.

12. Cookie-Banner und Widerruf der Einwilligung

Beim ersten Besuch zeigen wir einen Cookie-Banner mit den Optionen „Akzeptieren", „Ablehnen" und „Einstellungen". Standardmäßig sind alle optionalen Verarbeitungen deaktiviert; sie werden erst nach Ihrer ausdrücklichen Zustimmung aktiv. Ihre Entscheidung wird im lokalen Speicher Ihres Browsers für bis zu 12 Monate gespeichert.

Sie können Ihre Einwilligung jederzeit widerrufen — entweder durch Klick auf den Footer-Link „Cookie-Einstellungen" oder durch Löschen der entsprechenden Browser-Daten. Der Widerruf wirkt für die Zukunft; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt (Art. 7 Abs. 3 DSGVO).

13. Profiling und automatisierte Entscheidungen (Art. 22 DSGVO)

Zum Schutz unserer Systeme vor Missbrauch setzen wir technisch zwei automatisierte Mechanismen ein:

  • IP-Sperre: Bei wiederholten Fehlversuchen (z. B. fehlgeschlagene Logins, Form-Spam) wird die anfragende IP-Adresse zeitlich befristet gesperrt.
  • Account-Lockout: Nach mehrfachen Falsch-Eingaben des Passworts wird der betroffene Account vorübergehend gesperrt.

Diese Entscheidungen sind technisch erforderlich für IT-Sicherheit und haben keine erheblichen rechtlichen oder ähnlich beeinträchtigenden Auswirkungen im Sinne von Art. 22 DSGVO, da die Sperren zeitlich begrenzt sind und Sie sich jederzeit per E-Mail an service@tbit-solutions.de wenden können, um den Vorgang zu klären. Eine Profilbildung über Sie als Person findet nicht statt.

14. Ihre Rechte als betroffene Person

Sie haben gegenüber uns jederzeit die folgenden Rechte:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose Nachricht an service@tbit-solutions.de.

Beschwerderecht bei der Aufsichtsbehörde: Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Für unser Unternehmen zuständig ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
lfd.niedersachsen.de

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um Ihre Daten zu schützen — insbesondere:

  • Transportverschlüsselung (TLS) für alle Verbindungen zur Website
  • Speicherung von Passwörtern ausschließlich als Argon2id-Hash
  • Zwei-Faktor-Authentifizierung (TOTP) für das Kundenportal
  • Verschlüsselung sensibler Konfigurationsdaten mit AES-256-GCM
  • Pseudonymisierung der IP-Adresse in der Reichweitenmessung
  • Regelmäßige Sicherheitsupdates, Backups und Zugriffsbeschränkungen auf unserer Infrastruktur

16. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen an unserer Website oder an den rechtlichen Rahmenbedingungen dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Stand: 04.05.2026.