Datenschutzerklärung
§ 1 Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Jasser Seyam
Spracho – Dolmetscher Vermittlungsplattform
Einzelunternehmer (Gewerbebetrieb)
Donnerschweer Str. 158
26123 Oldenburg, Deutschland
E-Mail: support@spracho.de
Telefon: +49 172 8198349
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen (§ 38 BDSG) noch nicht erfüllt sind. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
§ 2 Zwecke, Rechtsgrundlagen & berechtigte Interessen
| Verarbeitungszweck | Rechtsgrundlage | Berechtigtes Interesse (falls Art. 6 Abs. 1 lit. f) |
|---|---|---|
| Bereitstellung der Plattform, Registrierung, Kontoverwaltung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung / vorvertragliche Maßnahmen) | — |
| Buchungsvermittlung, Terminverwaltung, Kontaktweitergabe | Art. 6 Abs. 1 lit. b DSGVO | — |
| Zahlungsabwicklung (Plattformgebühr, Honorar, Transaktionskosten) über Stripe | Art. 6 Abs. 1 lit. b DSGVO | — |
| SMS-OTP-Verifizierung der Telefonnummer über Twilio | Art. 6 Abs. 1 lit. b DSGVO | — |
| Verschlüsselte In-App-Kommunikation (Chat) | Art. 6 Abs. 1 lit. b DSGVO | — |
| System-E-Mails (Buchungsbestätigungen, Erinnerungen, Rechnungen) | Art. 6 Abs. 1 lit. b DSGVO | — |
| Telegram-Benachrichtigungen (optional, nach Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Drittlandtransfer: Art. 49 Abs. 1 lit. a DSGVO | — |
| Bewertungen und Badges | Art. 6 Abs. 1 lit. b/f DSGVO | Qualitätssicherung, Vertrauensbildung |
| Sicherheit, Missbrauchsabwehr, Betrugsverhinderung, No-Show-Tracking | Art. 6 Abs. 1 lit. f DSGVO | Schutz der Plattform und der Nutzer:innen vor Betrug und Missbrauch |
| Rechnungsstellung, Buchhaltung, steuerliche Aufbewahrung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: §§ 147 AO, 257 HGB, 14b UStG) | — |
| PStTG/DAC7-Meldepflichten (Steuertransparenz) | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: PStTG) | — |
| Protokollierung (IP-Adressen, Zeitstempel, Server-Logs) | Art. 6 Abs. 1 lit. f DSGVO | IT-Sicherheit, Fehleranalyse, Angriffsabwehr |
| Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) | — |
| Optionale Cookies (Statistik/Marketing), sofern aktiviert | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | — |
§ 3 Datenkategorien & Speicherfristen
| Datenkategorie | Beispiele | Speicherdauer |
|---|---|---|
| Stammdaten | Name, E-Mail, Telefonnummer, Passwort (gehasht) | Bis zur Kontolöschung; steuerrelevante Daten: 10 Jahre (§ 147 AO) |
| Profildaten (Dolmetscher:innen) | Foto, Sprachen, Verfügbarkeit, Stundensatz, Stadt, Geburtsdatum | Bis zur Kontolöschung; Foto-Metadaten werden bei Upload sofort entfernt |
| Buchungsdaten | Termin, Dauer, Treffpunkt/Adresse, Thema/Notizen, Status, Rechnungsdaten | 10 Jahre (steuerliche Aufbewahrung, §§ 147 AO, 14b UStG); Geschäftsbriefe: 6 Jahre (§ 257 HGB) |
| Chatnachrichten | Verschlüsselte Nachrichten zwischen Kund:in und Dolmetscher:in | Automatische Löschung 2 Tage nach Terminende |
| Zahlungsdaten | Stripe-Transaktions-IDs, Autorisierungsstatus (keine Kartennummern bei Spracho) | 10 Jahre (steuerliche Aufbewahrung) |
| Verifizierungsdaten | SMS-OTP-Codes, E-Mail-Verifizierungscodes | 5 bzw. 15 Minuten Gültigkeit; nach Verwendung oder Ablauf gelöscht |
| Bewertungsdaten | Sterne-Bewertung (1–5), Kommentar, Anonymitätsflag | Bis zur Kontolöschung oder Entfernung der Bewertung |
| Telegram-Daten | Telegram-Chat-ID, Verknüpfungstoken | Bis zur Aufhebung der Verknüpfung |
| Protokolldaten | IP-Adresse, Browser/User-Agent, Zeitstempel, aufgerufene Seiten | 90 Tage (Server-Logs); länger nur bei Sicherheitsvorfällen |
| Einwilligungsdaten | Zeitstempel der AGB-/Datenschutz-/Art. 9-Zustimmung, anonymisierte IP, User-Agent | 3 Jahre nach Kontolöschung (Nachweispflicht Art. 7 Abs. 1 DSGVO) |
| PStTG-Meldedaten | Steuer-ID, Anschrift, Geburtsdatum, Bankverbindung, Umsätze | 10 Jahre (steuerliche Aufbewahrung) |
§ 4 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Aufgrund der Natur von Dolmetschleistungen (z. B. bei Arztterminen, Behördenterminen, Gerichtsverhandlungen, Therapiesitzungen) können im Rahmen der Plattformnutzung, insbesondere in Buchungsnotizen und im verschlüsselten Chat, besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet werden. Hierzu zählen insbesondere Gesundheitsdaten, Daten zu religiöser Überzeugung, ethnischer Herkunft oder politischen Meinungen.
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie bei der Registrierung durch aktives Ankreuzen einer separaten Checkbox erteilen.
Widerruf: Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie uns unter support@spracho.de kontaktieren. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung. Da die Verarbeitung solcher Daten bei Dolmetschleistungen systembedingt nicht ausgeschlossen werden kann, führt ein Widerruf dazu, dass die Plattform nicht weiter genutzt werden kann.
Schutzmaßnahmen: Buchungsnotizen sind nur für die beteiligten Parteien sichtbar. Chatnachrichten werden Fernet-verschlüsselt gespeichert und 2 Tage nach Terminende automatisch und unwiderruflich gelöscht. Dolmetscher:innen unterliegen einer vertraglichen Verschwiegenheitspflicht (§ 13 der AGB).
§ 5 In-App-Chat (Verschlüsselung & automatische Löschung)
Die Plattform bietet nach Annahme einer Buchung eine verschlüsselte Chat-Funktion zwischen Kund:in und Dolmetscher:in.
- Verschlüsselung: Alle Chatnachrichten werden vor der Speicherung mit symmetrischer Fernet-Verschlüsselung (basierend auf AES-128-CBC mit HMAC-SHA256) verschlüsselt. Spracho hat keinen Zugriff auf den Klartext gespeicherter Nachrichten.
- Übertragung: Die Kommunikation zwischen Ihrem Browser und unserem Server erfolgt über HTTPS/TLS.
- Automatische Löschung: Im Sinne der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) werden sämtliche Chatnachrichten automatisch und unwiderruflich 2 Tage nach Ende des gebuchten Termins dauerhaft gelöscht. Eine Wiederherstellung ist nicht möglich.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung, Koordination des Dolmetschtermins).
§ 6 Datenweitergabe zwischen Kund:in & Dolmetscher:in
Zur Durchführung der Buchung geben wir notwendige Daten stufenweise weiter (mehrstufiges Sichtbarkeitsmodell):
| Phase | Sichtbar für Dolmetscher:in | Sichtbar für Kund:in |
|---|---|---|
| Suchergebnisse | — | Vorname + Initiale (z. B. „Anna M."), Sprachen, Stadt, Stundensatz, Foto |
| Offene Anfrage | Termindetails (Datum, Stadt, Einrichtung, Thema); Kundenname maskiert („Verdeckt") | Dolmetscher-Kurzprofil |
| Angenommene Buchung | Vorname + Initiale, E-Mail, Telefon, genaue Adresse | Vorname + Initiale, E-Mail, Telefon, genaue Adresse |
Diese stufenweise Offenlegung dient der Datenminimierung. Ohne die Datenweitergabe bei angenommener Buchung ist die Vertragserfüllung nicht möglich (Art. 6 Abs. 1 lit. b DSGVO).
§ 7 Empfänger, Auftragsverarbeiter & Drittanbieter
Wir geben personenbezogene Daten nur weiter, soweit dies für die genannten Zwecke erforderlich ist. Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.
| Dienst | Anbieter | Sitz / Serverstandort | Zweck | Übermittelte Daten | Drittlandtransfer-Schutz |
|---|---|---|---|---|---|
| Stripe | Stripe, Inc. | USA; Verarbeitung teilweise in EU (Stripe Payments Europe, Ltd., Irland) | Zahlungsabwicklung (Auth & Hold, Capture, Refund) | Name, E-Mail, Zahlungsinformationen, Buchungsbetrag, IP-Adresse | EU-US Data Privacy Framework (DPF); AVV mit Stripe |
| Twilio | Twilio, Inc. | USA | SMS-OTP-Verifizierung der Telefonnummer | Telefonnummer, Verifizierungscode, SMS-Zustellstatus | EU-US Data Privacy Framework (DPF); Standardvertragsklauseln (SCCs); AVV mit Twilio |
| Telegram | Telegram FZ-LLC | Dubai, VAE (kein Angemessenheitsbeschluss) | Optionale Buchungsbenachrichtigungen & Annahme/Ablehnung | Telegram-Chat-ID, Buchungsdetails (Datum, Uhrzeit, Ort, Status) | Ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO; freiwillig |
| E-Mail-Versand (SMTP) | Strato AG | Deutschland (Serverstandort: DE) | System-E-Mails (Bestätigungen, Erinnerungen, Rechnungen) | E-Mail-Adresse, Name, Buchungsdetails | Kein Drittlandtransfer; AVV mit Strato AG |
| Webhosting | Hosting-Anbieter | EU / EWR | Serverinfrastruktur, Datenbankhosting, Backups | Alle auf der Plattform verarbeiteten Daten | AVV mit Hosting-Anbieter; Serverstandort EU |
Darüber hinaus können Daten an folgende Empfänger weitergegeben werden, soweit gesetzlich erforderlich:
- Finanzverwaltung / Bundeszentralamt für Steuern (PStTG-Meldungen, steuerliche Prüfungen)
- Strafverfolgungsbehörden (bei gesetzlicher Verpflichtung)
- Steuerberater (für Buchhaltung, unter Berufsgeheimnis)
§ 8 Übermittlung in Drittländer (Art. 44–49 DSGVO)
Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt nur unter den in Art. 44–49 DSGVO genannten Voraussetzungen:
| Drittland | Betroffener Dienst | Schutzgarantie |
|---|---|---|
| USA | Stripe, Twilio | Angemessenheitsbeschluss für unter dem EU-US Data Privacy Framework (DPF) zertifizierte Unternehmen (Art. 45 DSGVO); ergänzend Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO) |
| VAE (Dubai) | Telegram | Kein Angemessenheitsbeschluss. Übermittlung ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO. Risiko: In den VAE besteht kein dem EU-Recht vergleichbares Datenschutzniveau. Betroffenenrechte sind möglicherweise nicht in gleichem Umfang durchsetzbar. Die Verknüpfung ist freiwillig und kann jederzeit in den Profileinstellungen widerrufen werden. |
§ 9 Sicherheitsmaßnahmen (Art. 32 DSGVO)
Wir treffen angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten, insbesondere:
- HTTPS/TLS-Verschlüsselung für alle Datenübertragungen und Erzwingung sicherer Verbindungen (HSTS);
- Fernet-Verschlüsselung (AES-128-CBC + HMAC-SHA256) für Chatnachrichten at-rest;
- PBKDF2-Hashing für Passwörter (keine Klartext-Speicherung);
- CSRF-Schutz für alle Formulare;
- Rate-Limiting für SMS-Versand (max. 3 pro Nummer/Stunde, max. 5 pro IP/Stunde) zur Verhinderung von SMS-Pumping;
- HMAC-SHA256-signierte Telegram-Callback-Daten zur Verhinderung von Manipulation;
- Stripe-Webhook-Signaturprüfung;
- Automatische Entfernung von EXIF-Metadaten bei Profilfotos;
- Zugriffsbeschränkungen und rollenbasierte Berechtigungen;
- Automatische Löschung von Chatnachrichten nach 2 Tagen (Datenminimierung);
- Automatische Löschung/Entwertung von Verifizierungscodes nach Ablauf;
- Anonymisierung von IP-Adressen bei der Speicherung von Einwilligungsnachweisen.
§ 10 Cookies & ähnliche Technologien
Wir setzen technisch notwendige Cookies ein. Optionale Cookies (z. B. für Statistik oder Marketing) werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Ohne Einwilligung werden keine optionalen Cookies platziert. Optionale Skripte werden erst nach Ihrer Zustimmung geladen (Script-Blocking).
10.1 Technisch notwendige Cookies
| Name | Zweck | Anbieter | Speicherdauer | Kategorie |
|---|---|---|---|---|
| sessionid | Sitzungsverwaltung (Login, Status) | Spracho | Sitzung (max. ca. 2 Wochen) | Erforderlich |
| csrftoken | CSRF-Schutz bei Formularen | Spracho | bis zu 1 Jahr | Erforderlich |
| django_language | Speichert die gewählte Sprache | Spracho | bis zu 1 Jahr | Erforderlich |
| cookie_consent | Merkt Ihre Cookie-Einstellung | Spracho | 6 Monate | Erforderlich |
Hinweis zu Stripe.js: Auf der Zahlungsseite wird das Skript des Zahlungsdienstleisters Stripe (js.stripe.com) geladen. Dies ist technisch notwendig für die sichere Zahlungsabwicklung (PCI-DSS-Konformität) und wird ausschließlich auf der Zahlungsseite eingebunden, nicht auf anderen Seiten der Plattform.
10.2 Cookie-Banner & Einstellungen
Beim ersten Besuch zeigen wir einen Cookie-Hinweis. Sie können dort optionale Cookies akzeptieren oder ablehnen. Ihre Auswahl können Sie jederzeit im Footer-Link „Cookie-Einstellungen" ändern.
§ 11 Ihre Rechte (Art. 15–22 DSGVO)
Sie haben gegenüber dem Verantwortlichen folgende Rechte bezüglich Ihrer personenbezogenen Daten:
| Recht | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Auskunft | Sie können Auskunft über die von uns verarbeiteten Daten verlangen. | Art. 15 DSGVO |
| Berichtigung | Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. | Art. 16 DSGVO |
| Löschung | Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. | Art. 17 DSGVO |
| Einschränkung | Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. | Art. 18 DSGVO |
| Datenübertragbarkeit | Sie können die Herausgabe Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) verlangen. | Art. 20 DSGVO |
| Widerspruch | Sie können der Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f) widersprechen. | Art. 21 DSGVO |
| Widerruf der Einwilligung | Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. | Art. 7 Abs. 3 DSGVO |
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter support@spracho.de. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde:
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen)
Prinzenstr. 5, 30159 Hannover
Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Web: www.lfd.niedersachsen.de
§ 12 Automatisierte Entscheidungsfindung & Profiling (Art. 22 DSGVO)
Es findet keine ausschließlich automatisierte Entscheidungsfindung (einschließlich Profiling) statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die Vergabe von Badges an Dolmetscher:innen basiert auf objektiven Kriterien (z. B. Anzahl abgeschlossener Aufträge, Fachgebiet) und hat keine nachteiligen Auswirkungen auf Ihre Rechte.
§ 13 Kontolöschung
Sie können die Löschung Ihres Kontos jederzeit per E-Mail an support@spracho.de veranlassen. Nach Löschung werden Ihre Daten umgehend entfernt, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere steuerrechtliche Pflichten gemäß §§ 147 AO, 257 HGB, Aufbewahrungsfrist bis zu 10 Jahre) entgegenstehen. Von Aufbewahrungspflichten betroffene Daten werden gesperrt und nach Fristablauf endgültig gelöscht.
§ 14 Pflichten als Plattformbetreiber (DAC7/PStTG)
Wir sind nach dem Plattformen-Steuertransparenzgesetz (PStTG) verpflichtet, bestimmte Daten über auf der Plattform anbietende Dolmetscher:innen (z. B. Name, Anschrift, Steuer-Identifikationsnummer, Geburtsdatum, Bankverbindung, Umsätze) zu erheben und jährlich an das Bundeszentralamt für Steuern (BZSt) zu melden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. PStTG. Details und Datenumfang finden Sie im Onboarding-Prozess.
§ 15 Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Aufgrund der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) und der Verarbeitung von Daten schutzbedürftiger Personen führt Spracho eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch. Die DSFA wird regelmäßig überprüft und bei wesentlichen Änderungen der Verarbeitungstätigkeiten aktualisiert. Die Ergebnisse werden intern dokumentiert und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.
§ 16 Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung bei neuen Funktionen, Änderungen der Verarbeitungstätigkeiten oder rechtlichen Änderungen. Maßgeblich ist die hier veröffentlichte Version. Über wesentliche Änderungen informieren wir in geeigneter Weise (z. B. per E-Mail oder Hinweis auf der Plattform).