LagerLuchs

Datenschutzerklärung

Stand: 27.06.2026 · DSGVO-konform · Keine externen Tracker

1. Verantwortlicher

2. Kurzfassung (TL;DR)

LagerLuchs ist eine DSGVO-konforme B2B-SaaS für Verkaufsautomaten-Betreiber. Wir verarbeiten nur Daten, die für den Betrieb der App notwendig sind. Keine externen Tracker, keine Cookies, keine Datenweitergabe an Werbenetzwerke.

3. Welche Daten wir verarbeiten

3.1 Daten, die du uns gibst

• Benutzerkonto: E-Mail, Passwort (gehashed), Name (optional), Tenant-Zuordnung
• Betriebsdaten: Produkte, Chargen mit MHD, Mengen, Standorte, Verkaufsautomaten-Konfiguration
• PDF-Export-Historie: Welche Bestandslisten wann exportiert wurden (für Audit-Trail)

3.2 Daten, die automatisch entstehen

• Login-Audit-Log: Wann du dich einloggst (gededuped auf 1 Eintrag pro 12h, konfigurierbar)
• Audit-Log (Hash-Chain): Jede Buchung wird unveränderlich geloggt (HACCP-Pflicht)
• Server-IP + Browser-User-Agent bei jedem Request (Standard-Nginx-Log, 7 Tage Retention)

3.3 Daten, die wir nicht erheben

• Keine Cookies (außer Session-Cookie, technisch erforderlich)
• Keine Tracking-Pixel
• Keine Standortdaten (GPS) der Endkunden
• Keine Zahlungsdaten (Zahlungen laufen über externe Payment-Provider in Beta-Phase)

4. Wofür wir die Daten nutzen (Zweck)

• Bestandsverwaltung: Speicherung deiner MHD-, Produkt- und Verkaufsdaten
• PDF-Generierung mit Signatur: Erstellung von Bestandslisten mit RFC 3161 Zeitstempel für HACCP-Auditoren
• Multi-Tenancy: Deine Daten sind strikt von anderen Betreibern getrennt (DB-Level-Isolation)
• Audit-Compliance: Unveränderlicher Audit-Trail aller Buchungen (HACCP-Pflicht)

Wir verkaufen deine Daten nicht. Wir teilen sie nicht mit Werbenetzwerken. Wir nutzen sie nicht für Profiling.

5. Speicherdauer

• Betriebsdaten: Solange dein Account aktiv ist. Bei Kontolöschung: 30 Tage Aufbewahrungsfrist (DSGVO Art. 17 + 19), dann unwiderruflich gelöscht.
• Audit-Logs: 10 Jahre (HACCP-Pflicht § 3 LMHV / Rückverfolgbarkeit)
• Server-Logs (Nginx): 7 Tage (danach automatisch gelöscht via logrotate rotate 7)
• PDF-Export-Logs: Solange Account aktiv (kann manuell gelöscht werden)

6. Deine Rechte (DSGVO Art. 15-22)

• Auskunftsrecht (Art. 15): Du kannst jederzeit eine Daten-Export anfordern
• Berichtigungsrecht (Art. 16): Du kannst deine Daten selbst in der App korrigieren
• Löschungsrecht (Art. 17): Du kannst deinen Account + alle Daten löschen lassen (30 Tage Recovery-Fenster)
• Datenübertragbarkeit (Art. 20): Vollständiger JSON-Export möglich
• Widerspruchsrecht (Art. 21): Du kannst der Verarbeitung widersprechen

Kontakt: info@lagerluchs.app

7. Externe Dienste (Drittanbieter)

Nicht auf der Liste: Google Analytics, Facebook Pixel, Hotjar, Sentry, Intercom — wir nutzen keines davon.

8. Cookies

LagerLuchs setzt ausschließlich technisch notwendige Session-Cookies ein (für die Login-Sitzung). Keine Tracking-Cookies, keine Marketing-Cookies, keine Drittanbieter-Cookies.

9. Sicherheit

• Verschlüsselte Verbindung (HTTPS): Pflicht via Nginx + Let's Encrypt
• Passwort-Hashing: bcrypt mit aktuellen Work-Factor (Django-Default)
• Multi-Tenancy-Isolation: DB-Level Row-Level-Security (jeder Mandant sieht nur seine Daten)
• Hash-Chain-Audit: Jede Buchung enthält den Hash der vorherigen (Manipulation wird erkannt)
• Backup-Strategie: Tägliche DB-Snapshots, 30 Tage Retention (verschlüsselt)

10. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das vollständige Verzeichnis der Verarbeitungstätigkeiten findest du in docs/verzeichnis-verarbeitungstaetigkeiten.md (im Repo).

11. Beschwerderecht (Art. 77 DSGVO)

Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren. Für Franken ist das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

12. Änderungen dieser Datenschutzerklärung

Bei wesentlichen Änderungen werden wir dich per E-Mail informieren. Kleinere Änderungen werden hier mit Datum vermerkt.

← Zurück zur Startseite Zum Impressum →