Datenschutzerklärung

Stand: 14. Juli 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Sustamatic GbR
Georg-Schwarz-Str. 149
04179 Leipzig
Deutschland

Vertreten durch: Darius Enache und Christian Bardin
E-Mail: darius.enache@sustamatic.de
Website: sustamatic.de

Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach unserer aktuellen Unternehmensstruktur derzeit nicht. Datenschutzanfragen richten Sie bitte an die vorstehende Kontaktadresse.

2. Gegenstand und Kategorien verarbeiteter Daten

Wir verarbeiten auf den vorstehend genannten Seiten insbesondere Verbindungs- und Nutzungsdaten, Protokolldaten, Kontaktdaten, Inhaltsdaten aus Anfragen sowie Daten, die für den Zugang zu unserem Dienst technisch erforderlich sind.

  • Server- und Zugriffsdaten wie IP-Adresse, Datum, Uhrzeit, aufgerufene Seite, Browser-Informationen.
  • Kontaktdaten und Kommunikationsinhalte, wenn Sie uns per E-Mail oder auf anderem Weg kontaktieren.
  • Angaben, die im Rahmen öffentlich erreichbarer Authentifizierungsseiten verarbeitet werden, etwa E-Mail-Adresse, Benutzerkennung, Einladungs- oder Passwort-Reset-Token und sicherheitsrelevante Metadaten.
  • Technisch erforderliche Informationen zur Darstellung der Seite, zur Sprachwahl und zur Steuerung notwendiger Speichermechanismen im Browser.

3. Zwecke und Rechtsgrundlagen

  • Bereitstellung der Website und öffentlich erreichbarer Einstiegsseiten der Webapp, Gewährleistung von Stabilität, Sicherheit und Missbrauchsabwehr auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
  • Bearbeitung von Anfragen sowie Durchführung vorvertraglicher Kommunikation auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.
  • Bereitstellung von Login-, Registrierungs- und Passwort-Reset-Funktionen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.
  • Einsatz technisch erforderlicher Cookies oder vergleichbarer Speichermechanismen auf Grundlage von § 25 Abs. 2 TDDDG sowie, soweit personenbezogene Daten betroffen sind, Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

4. Browser-Speicher, Cookies und vergleichbare Technologien

Wir verwenden auf diesen Seiten keine Marketing-, Tracking- oder Analyse-Cookies. Eingesetzt werden nur technisch erforderliche Speichermechanismen.

  • Sprachpräferenzen und die Auswahl im Cookie-Hinweis können lokal im Browser gespeichert werden.
  • Im Zusammenhang mit einer Anmeldung zur Webapp können technisch notwendige Sitzungs- und Sicherheits-Cookies gesetzt werden.

Diese Speicherung ist zur Bereitstellung der von Ihnen ausdrücklich gewünschten Funktionen unbedingt erforderlich und daher ohne Einwilligung nach § 25 Abs. 2 Nr. 2 TDDDG zulässig.

5. Empfänger und Auftragsverarbeiter

Unsere Website und die öffentlich erreichbaren Seiten von app.sustamatic.de werden in Deutschland auf dedizierter Infrastruktur bei Hetzner Online GmbH betrieben.

Für den Versand transaktionsbezogener Nachrichten (z. B. Bestätigungs- und Passwort-Reset-E-Mails) setzen wir die E-Mail-Infrastruktur der IONOS SE (Deutschland/EU) ein. Mit unseren Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

Eine weitergehende Übermittlung erfolgt nur, soweit dies für die Bereitstellung unserer Dienste, zur Durchsetzung von Rechten oder aufgrund gesetzlicher Verpflichtungen erforderlich ist. Die vollständige Liste der für die eingeloggte Webapp eingesetzten Auftragsverarbeiter (u. a. KI-gestützte Dokumentenverarbeitung und Geokodierung) samt zugehöriger Garantien enthält unser Auftragsverarbeitungsvertrag (AVV).

6. Drittlandbezug

Die hier beschriebenen öffentlichen Seiten werden im Regelfall in Deutschland bzw. innerhalb der EU betrieben. Für die reine Nutzung von sustamatic.de und öffentlich erreichbaren Authentifizierungsseiten findet keine planmäßige, eigenständige Drittlandverarbeitung zu Marketing- oder Trackingzwecken statt.

Konkrete Drittlandbezüge entstehen auf diesen öffentlichen Seiten im Rahmen der kostenpflichtigen Registrierung beim Schutz des Registrierungsformulars über Cloudflare (USA). Diese Übermittlung ist nach Kapitel V DSGVO abgesichert; das eingesetzte Übermittlungsinstrument (Standardvertragsklauseln) ist in Abschnitt 13 im Einzelnen beschrieben.

Soweit Sie anschließend die eingeloggte Webapp nutzen, gelten ergänzend die dort bereitgestellten detaillierten Hinweise zu möglichen Drittlandübermittlungen innerhalb bestimmter App-Funktionen.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Server- und Sicherheitsprotokolle werden grundsätzlich nur befristet vorgehalten.
  • Kommunikationsdaten speichern wir für die Dauer der Bearbeitung und darüber hinaus nur bei Bedarf.
  • Zugangsbezogene Vorgänge wie Einladungs- oder Reset-Informationen werden nur bis zur Erfüllung, zum Ablauf oder zur sicherheitsbedingten Bereinigung vorgehalten.
  • Vertrags-, Konto- und Abrechnungsdaten speichern wir für die Dauer des Vertragsverhältnisses und darüber hinaus, soweit gesetzliche Aufbewahrungspflichten bestehen (insbesondere nach § 147 AO und § 257 HGB, in der Regel bis zu zehn Jahre).

8. Ihre Rechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen.

Soweit eine Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für uns zuständige Aufsichtsbehörde ist die Sächsische Datenschutz- und Transparenzbeauftragte mit Sitz in Dresden. Unbeschadet dessen können Sie sich an jede andere Datenschutz-Aufsichtsbehörde wenden.

10. Pflicht zur Bereitstellung und automatisierte Entscheidungen

Die Bereitstellung personenbezogener Daten ist nur insoweit erforderlich, wie dies für die Nutzung der jeweiligen Funktion notwendig ist. Ohne bestimmte Angaben können wir etwa Kontaktanfragen oder Authentifizierungsvorgänge nicht bearbeiten.

Auf diesen öffentlichen Seiten erfolgt keine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO.

11. Zahlungsabwicklung

Die Zahlungsabwicklung für kostenpflichtige Abonnements erfolgt in dieser Phase unmittelbar durch Sustamatic als alleinigen Vertragspartner, Verkäufer und Rechnungssteller. Ein dritter Zahlungsdienstleister als eigenständig Verantwortlicher ist derzeit nicht eingebunden; die Zahlungs- und Rechnungsdaten werden ausschließlich durch Sustamatic zur Vertragsabwicklung verarbeitet.

Rechtsgrundlage für die Zahlungsverarbeitung ist die Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

12. Registrierung und Kontoeröffnung

Im Rahmen der Selbstregistrierung für ein kostenpflichtiges Konto verarbeiten wir die von Ihnen angegebenen Daten zur Vertragsanbahnung und Vertragsdurchführung. Erhoben werden insbesondere:

  • E-Mail-Adresse und Passwort (gespeichert als kryptografischer Hash).
  • Firmenname, Name der Ansprechperson und Firmenanschrift.
  • Umsatzsteuer-Identifikationsnummer (USt-IdNr.) zur korrekten umsatzsteuerlichen Behandlung im B2B-Geschäft.
  • Spracheinstellung sowie die Zeitstempel der Zustimmung zu AGB und AVV.
  • Die Bestätigung, dass Sie als Unternehmer im Sinne des § 14 BGB handeln.

Zweck und Rechtsgrundlage sind die Vertragsanbahnung und -durchführung gemäß Art. 6 Abs. 1 lit. b DSGVO. Die zur Verifizierung versandte Bestätigungs-E-Mail (Double-Opt-in) ist rein transaktional und dient nicht Werbezwecken (§ 7 UWG).

Ihre Rechnungsanschrift wird für die Rechnungsstellung unmittelbar durch Sustamatic verarbeitet.

13. Schutz vor automatisiertem Missbrauch (Cloudflare Turnstile)

Das öffentliche Registrierungsformular nutzt Cloudflare Turnstile, einen Dienst der Cloudflare, Inc. (USA), um menschliche Nutzer von automatisierten Anfragen (Bots) zu unterscheiden. Dabei werden technische Anfragedaten einschließlich der IP-Adresse zu Sicherheitszwecken verarbeitet.

Rechtsgrundlage für die Verarbeitung ist unser berechtigtes Interesse an der Missbrauchs- und Betrugsabwehr gemäß Art. 6 Abs. 1 lit. f DSGVO. Soweit dabei Informationen in Ihrer Endeinrichtung gespeichert oder ausgelesen werden, ist dies zur Bereitstellung des von Ihnen ausdrücklich gewünschten Registrierungsdienstes unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

Übermittlungen an Cloudflare in die USA stützen sich auf die einschlägigen Standardvertragsklauseln sowie das Auftragsverarbeitungs-Addendum (DPA) von Cloudflare. Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare unter cloudflare.com/privacypolicy.