tapcoat Logo

Datenschutzerklärung

Stand: Juni 2026 | Version: 1.0
Verantwortlicher: Tapcoat GmbH, Hanauer Landstraße 204, 60314 Frankfurt am Main

Geltungsbereich: Diese Datenschutzerklärung gilt gemeinsam für: (1) die Website tapcoat.com, (2) das Tapcoat-SaaS-Dashboard sowie (3) die Tapcoat-App (iOS und Android). Sie richtet sich an Website-Besucher:innen, registrierte Mandant:innen und Interessent:innen — nicht an Endkund:innen und Gäste, deren Daten Tapcoat im Auftrag der Mandant:innen verarbeitet (dazu Abschnitt 11).

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

Tapcoat GmbH
Hanauer Landstraße 204, 60314 Frankfurt am Main
Gesetzliche Vertreter:innen: Tim Hoh, Lutz Bischoff (Geschäftsführung)
Registergericht: Amtsgericht Offenbach am Main, HRB 141281
E-Mail Datenschutz: datenschutz@tapcoat.com
Allgemeiner Kontakt: hello@tapcoat.com

Tapcoat hat keinen Datenschutzbeauftragten benannt; eine gesetzliche Pflicht zur Benennung nach Art. 37 DSGVO besteht derzeit nicht. Bei datenschutzrelevanten Anfragen wende dich direkt an datenschutz@tapcoat.com.

2. Welche Daten wir verarbeiten und warum — Übersicht

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt:

  • Art. 6 Abs. 1 lit. a — Einwilligung: z. B. Tracking-Cookies, Hotjar, Newsletter (soweit nicht Bestandskundenwerbung)
  • Art. 6 Abs. 1 lit. b — Vertragserfüllung/-anbahnung: z. B. Registrierung, Account-Verwaltung, Rechnungsstellung
  • Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung: z. B. Aufbewahrungspflichten nach HGB/AO
  • Art. 6 Abs. 1 lit. f — Berechtigtes Interesse: z. B. Server-Logs, Betrugsschutz, Service-Kommunikation, HubSpot CRM

3. Website-Besucher:innen (tapcoat.com)

3.1 Server-Logs und Cloudflare-Verbindungsdaten

Beim Aufruf von tapcoat.com werden automatisch folgende Daten erfasst und in Server-Logs gespeichert:

  • IP-Adresse (wird nach spätestens 7 Tagen anonymisiert)
  • Datum und Uhrzeit des Abrufs
  • Aufgerufene URL
  • Übertragenes Datenvolumen
  • Browser-Typ und Betriebssystem (User Agent)
  • HTTP-Status-Code

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb und Sicherheit der Website).
Dienstleister: Mittwald CM Service GmbH & Co. KG (Hosting, Espelkamp) und Cloudflare, Inc. (CDN/DDoS-Schutz, Frankfurt-PoP). AVV mit beiden abgeschlossen.
Speicherdauer: 30 Tage, danach automatische Löschung.

3.2 Kontaktaufnahme über HubSpot-Formular oder E-Mail

Wenn du uns über das Kontaktformular auf tapcoat.com (bereitgestellt von HubSpot Ireland Limited) oder per E-Mail an hello@tapcoat.com kontaktierst, verarbeiten wir:

  • Name
  • E-Mail-Adresse
  • Unternehmen (soweit angegeben)
  • Inhalt deiner Anfrage
  • Zeitpunkt der Kontaktaufnahme

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
Dienstleister: HubSpot Ireland Limited, 1 Sir John Rogerson’s Quay, Dublin 2, Irland (AVV nach Art. 28 DSGVO, Drittlandtransfer via SCC + EU-US Data Privacy Framework).
Speicherdauer: Anfragedaten werden für die Dauer der Bearbeitung sowie für 3 Jahre danach gespeichert (Verjährungsfristen BGB). Daten, aus denen ein Mandant:innen-Verhältnis entsteht, werden unter Abschnitt 6 behandelt.

3.3 HubSpot Chat

Auf tapcoat.com betreiben wir einen Live-Chat via HubSpot. Wenn du den Chat öffnest oder nutzt, werden Cookies und Verbindungsdaten (IP-Adresse, Chat-Inhalte, Zeitstempel) an HubSpot übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner für Tracking-Funktionen); Art. 6 Abs. 1 lit. f DSGVO für die reine Kommunikationsfunktion.
Dienstleister: HubSpot Ireland Limited (wie oben). Chat-Verläufe können im HubSpot-CRM gespeichert werden.
Widerspruch: Du kannst den Chat jederzeit schließen, ohne ihn zu nutzen. Einwilligung jederzeit unter tapcoat.com/datenschutz widerrufbar.

4. Cookies und ähnliche Technologien — TDDDG und DSGVO

Gemäß § 25 TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ist das Setzen von Cookies oder das Auslesen von Endgeräteinformationen nur mit ausdrücklicher Einwilligung zulässig, sofern es sich nicht um technisch zwingend notwendige Cookies handelt. Wir setzen technisch nicht notwendige Cookies (z. B. Analyse, Marketing, Chat) ausschließlich nach deiner aktiven Einwilligung über unser Cookie-Banner.

4.1 Technisch notwendige Cookies

Folgende Cookies setzen wir ohne Einwilligung, da sie für den Betrieb der Website zwingend erforderlich sind:

  • Session-Cookie (Anmeldestatus im Dashboard, lebt für die Dauer der Sitzung)
  • CSRF-Schutz-Token (Sicherheit gegen Cross-Site-Request-Forgery)
  • Cookie-Consent-Entscheidung (speichert deine Einwilligung bzw. Ablehnung)

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO.

4.2 Analyse- und Marketing-Cookies (nur mit Einwilligung)

Die nachfolgenden Cookies und Tracking-Technologien werden nur dann aktiviert, wenn du im Cookie-Banner zugestimmt hast. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Abschnitt 15.1).

5. Analyse- und Marketing-Tools

5.1 Google Analytics 4 (GA4)

Wir nutzen Google Analytics 4 (GA4) zur Analyse des Nutzungsverhaltens auf tapcoat.com. GA4 verwendet Cookies und ähnliche Technologien, um pseudonymisierte Nutzerdaten zu erheben.

Verarbeitete Daten: Pseudonymisierte Geräte-ID, Session-Daten, Seitenaufrufe, Ereignisse (z. B. Button-Klicks, Formular-Absendungen), IP-Adresse (wird serverseitig gekürzt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Gemeinsame Verantwortlichkeit: Tapcoat und Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) sind gemeinsam Verantwortliche nach Art. 26 DSGVO. Die wesentlichen Inhalte der Joint-Controller-Vereinbarung sind unter https://business.safety.google/adscontrollerterms abrufbar.
Drittlandtransfer: Google LLC, USA. Absicherung: SCC nach Art. 46 DSGVO + EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023).
Speicherdauer: Rohdaten 14 Monate (Standard GA4-Einstellung). Du kannst die Erfassung über das Browser-Add-on von Google dauerhaft deaktivieren: https://tools.google.com/dlpage/gaoptout
Widerspruch: Einwilligung jederzeit im Cookie-Banner widerrufbar.

5.2 Google Ads und Conversion-Tracking

Wir nutzen Google Ads, um Werbeanzeigen auf Google-Diensten zu schalten, sowie das Google Conversion-Tracking, um den Erfolg unserer Werbekampagnen zu messen.

Verarbeitete Daten: Cookie-ID, Klick-ID (gclid), Conversion-Ereignis (z. B. Registrierung), pseudonymisierte Geräte-Informationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Gemeinsame Verantwortlichkeit: Tapcoat und Google Ireland Limited, gemeinsam verantwortlich nach Art. 26 DSGVO. Datenschutzerklärung von Google: https://policies.google.com/privacy
Drittlandtransfer: Google LLC, USA — wie oben (SCC + EU-US DPF).
Widerspruch: Einwilligung jederzeit im Cookie-Banner widerrufbar. Alternativ: Personalisierte Werbung unter https://adssettings.google.com/ deaktivieren.

5.3 Meta Pixel und Meta Conversion API

Wir setzen den Meta Pixel sowie die Meta Conversion API (CAPI) ein, um die Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram zu messen und zielgruppengenau auszusteuern.

Verarbeitete Daten: Gehashte E-Mail-Adresse (nur bei Conversion via CAPI), Browser-Cookie (_fbp, _fbc), IP-Adresse, Verhaltensdaten auf tapcoat.com, Ereignisdaten (z. B. Seitenaufruf, Registrierung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Gemeinsame Verantwortlichkeit: Tapcoat und Meta Platforms Ireland Limited (Merrion Road, Dublin 4, Irland) sind gemeinsam Verantwortliche nach Art. 26 DSGVO gemäß Meta Controller Addendum (https://www.facebook.com/legal/controller_addendum).
Drittlandtransfer: Meta Platforms, Inc., USA — SCC + EU-US Data Privacy Framework.
Widerspruch: Einwilligung jederzeit im Cookie-Banner widerrufbar. Opt-out von personalisierter Facebook-Werbung über Facebook-Einstellungen möglich.

5.4 LinkedIn Insight Tag

Wir verwenden den LinkedIn Insight Tag, um Conversions aus LinkedIn-Kampagnen zu messen und Zielgruppen für das Remarketing auf LinkedIn aufzubauen.

Verarbeitete Daten: Cookie-ID (li_fat_id), IP-Adresse, Geräte-Metadaten, besuchte URLs, Conversion-Ereignisse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Gemeinsame Verantwortlichkeit: Tapcoat und LinkedIn Ireland Unlimited Company (Wilton Place, Dublin 2, Irland) sind gemeinsam Verantwortliche nach Art. 26 DSGVO gemäß LinkedIn Joint-Controller-Vereinbarung.
Drittlandtransfer: LinkedIn Corporation, USA — SCC + EU-US Data Privacy Framework.
Widerspruch: Einwilligung jederzeit im Cookie-Banner widerrufbar. LinkedIn-Mitglieder können das Tracking über ihre LinkedIn-Kontoeinstellungen deaktivieren.

5.5 Hotjar (Session-Recording und Heatmaps)

Hotjar zeichnet anonymisierte Mausbewegungen, Klicks, Scrolltiefe und in Ausnahmefällen auch Bildschirmaufnahmen auf. Alle Passwort-Felder und Felder mit sensiblen Daten werden technisch maskiert und erreichen Hotjar nicht.

Wir nutzen Hotjar der Hotjar Ltd. (Level 2, St Julian’s Business Centre, 3 Elia Zammit Street, St Julian’s STJ 3155, Malta) zur Verbesserung der Benutzerfreundlichkeit von tapcoat.com.

Verarbeitete Daten: Anonymisierte Mausbewegungen, Klick- und Scroll-Verhalten, Gerätetyp, Browsertyp, Zeitstempel, besuchte URLs. Keine planmäßige Verarbeitung von Namen, E-Mail-Adressen oder Passwortfeldern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
Drittlandtransfer: Datenspeicherung in der EU (Hotjar ist maltesisches Unternehmen). Etwaige Sub-Dienstleister im Drittland sind im Hotjar-DPA geregelt.
Widerspruch: Einwilligung jederzeit im Cookie-Banner widerrufbar. Opt-out auch unter: https://www.hotjar.com/legal/compliance/opt-out

6. Registrierung und Nutzung des Tapcoat-Dashboards

6.1 Registrierungsprozess (Sign-up)

Bei der Registrierung eines Tapcoat-Accounts erheben wir folgende Daten:

  • Vorname, Nachname
  • E-Mail-Adresse (wird als Login-Kennung genutzt)
  • Name des Unternehmens / der Location
  • Funktion / Rolle im Unternehmen
  • Passwort (wird ausschließlich als bcrypt-Hash gespeichert — Tapcoat hat keinen Zugriff auf das Klartext-Passwort)
  • IP-Adresse und Zeitstempel der Registrierung (Sicherheit / Betrugsschutz)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Tapcoat-Accounts).
Pflichtangaben: E-Mail, Passwort, Unternehmensname. Alle anderen Felder sind freiwillig.

6.2 Nutzungsdaten im Dashboard

Während der Nutzung des Tapcoat-Dashboards werden technische Nutzungsdaten erhoben:

  • Login-Zeitpunkte und Sitzungsdauer
  • Ausgeführte Aktionen (z. B. Pass-Erstellung, Mandant:innen-Konfiguration) — anonymisiert als Audit-Log
  • Fehlermeldungen und Performance-Metriken (via Sentry, anonymisiert)
  • Server-Logs der API-Anfragen (IP, Zeitstempel, Endpunkt) — Aufbewahrung 30 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betrieb).

6.3 Zahlungsabwicklung und Rechnungsstellung via Frisbii

Die Abrechnung von Tapcoat-Abonnements erfolgt über Frisbii Germany GmbH (Mainzer Landstraße 51, 60329 Frankfurt am Main) als Auftragsverarbeiter. Tapcoat verarbeitet selbst keine Kreditkartennummern oder vollständige Bankdaten.

Verarbeitete Daten: Name, Unternehmensname, Rechnungsadresse, Zahlungsmethode (tokenisiert), Vertragsdaten, Rechnungshistorie, KYC-Identifikationsdaten (falls gemäß aufsichtsrechtlichen Anforderungen erforderlich).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), lit. c DSGVO (steuerrechtliche Aufbewahrungspflichten).
Speicherdauer Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB).

6.4 Fehler-Monitoring via Sentry

Zur Qualitätssicherung und Fehlerbehebung nutzen wir Sentry (Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, San Francisco, CA 94105, USA; EU-Vertreter: Sentry Software Netherlands B.V., Amsterdam).

Verarbeitete Daten: Pseudonyme User-ID, Stack-Trace (Codezeilen des Fehlers), Gerätetyp, Browserversion, App-Version, IP-Adresse (serverseitig gekürzt — IP-Masking aktiviert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebsstabilität und Fehlerbehebung).
Drittlandtransfer: USA, Sentry DPA + SCC + EU-US Data Privacy Framework.
Speicherdauer: 90 Tage (Sentry-Standard).

7. Tapcoat-App (iOS und Android)

7.1 Push-Benachrichtigungen

Die Tapcoat-App versendet Push-Benachrichtigungen (z. B. Pass-Updates, Sicherheitshinweise) über die Infrastruktur von Apple (APNs) und Google (FCM).

  • Apple APNs: APNs-Device-Token, Pass-Type-Identifier, IP-Adresse — verarbeitet durch Apple Distribution International Limited, Cork, Irland.
  • Google FCM: FCM-Registration-Token, Instance-ID, IP-Adresse — verarbeitet durch Google Ireland Limited, Dublin.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der App-Funktionen).
Drittlandtransfer: Apple Inc. und Google LLC, USA — SCC + EU-US Data Privacy Framework.

7.2 Over-the-Air-Updates via Capawesome

App-Aktualisierungen werden über Capawesome Cloud (Genz IT Solutions GmbH, Brückengasse 1b, 78462 Konstanz) ausgeliefert. Dabei werden Geräts-ID, App-Version und IP-Adresse übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der aktuellen App-Version).
Drittlandtransfer: Keine; Speicherung in Deutschland/EU.

7.3 Wallet-Pass-Erstellung (Apple Wallet und Google Wallet)

Tapcoat erstellt auf Anweisung der Mandant:innen digitale Garderobenscheine als Wallet-Pässe (Apple Wallet via PassKit, Google Wallet via Google Wallet API). Tapcoat ist bei der Erstellung der Wallet-Pässe Auftragsverarbeiterin für die Mandantin, nicht eigenständig Verantwortliche. Die Datenschutzinformationen gegenüber den Gästen obliegen der Mandantin.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit der Mandantin).

8. Hosting und Infrastruktur

Alle personenbezogenen Daten, die im Rahmen der Tapcoat-Plattform verarbeitet werden, liegen auf Servern folgender Dienstleister:

  • DigitalOcean, LLC (AVV): Backend-Hosting (Compute, Datenbank, Object Storage) gemeinsam mit Hetzner Online GmbH — Standort: FRA1, Frankfurt am Main / Falkenstein/Nürnberg, Deutschland
  • Mittwald CM Service GmbH & Co. KG (AVV): Hosting der Marketing-Website tapcoat.com — Standort: Espelkamp, Deutschland
  • Cloudflare, Inc. (AVV): DNS, CDN, DDoS-Schutz, WAF — Standort: Frankfurt-PoP (EU-Routing)

Alle Anbieter sind vertraglich als Auftragsverarbeiter nach Art. 28 DSGVO gebunden. Bei US-Anbietern erfolgt die Absicherung über Standardvertragsklauseln (SCC, Modul 2) und das EU-US Data Privacy Framework.

9. Kommunikation und Marketing

9.1 Transaktionale E-Mails

Im Rahmen des Vertragsverhältnisses versenden wir dir notwendige Service-E-Mails (z. B. Kontobestätigung, Rechnungen, Sicherheitshinweise, Pass-Updates). Diese E-Mails sind für die Vertragserfüllung erforderlich und können nicht abbestellt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9.2 Marketing-E-Mails und Newsletter

Wenn du bereits Mandant:in bist, können wir dir gelegentlich Informationen über neue Funktionen, Verbesserungen oder relevante Angebote von Tapcoat zusenden. Dies erfolgt auf Grundlage von § 7 Abs. 3 UWG (Direktwerbung gegenüber Bestandskund:innen). Du kannst dieser Nutzung jederzeit widersprechen.

Für Interessent:innen ohne bestehendes Vertragsverhältnis versenden wir Marketing-E-Mails nur auf Grundlage einer ausdrücklichen Einwilligung.

Rechtsgrundlage: § 7 Abs. 3 UWG i.V.m. Art. 6 Abs. 1 lit. f DSGVO (Bestandskund:innen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Interessent:innen).
Dienstleister: ActiveCampaign LLC, 1 N Dearborn Street, 5th Floor, Chicago, IL 60602, USA (AVV + SCC + EU-US Data Privacy Framework).
Opt-out: Jede Marketing-E-Mail enthält einen Abmelde-Link. Widerspruch jederzeit auch per E-Mail an datenschutz@tapcoat.com.

9.3 CRM-System (HubSpot)

Kontaktdaten von Interessent:innen und Mandant:innen werden in HubSpot CRM gespeichert und verwaltet, um Vertriebsprozesse und Kundenkommunikation zu ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an strukturierter Kundenverwaltung) bzw. lit. b (Vorbereitung und Erfüllung eines Vertrags).
Dienstleister: HubSpot Ireland Limited, Dublin 2, Irland (AVV + SCC + EU-US DPF).
Speicherdauer: Vertragslaufzeit plus 3 Jahre (Verjährungsfristen). Auf Wunsch frühere Löschung möglich.

10. Betrieb, Monitoring und Verfügbarkeit

Zur Sicherstellung des störungsfreien Betriebs setzen wir folgende Monitoring-Dienste ein:

  • Better Stack (Better Stack s.r.o., Prag, CZ): Log-Management, Uptime-Monitoring — verarbeitet Server-Logs, Account-IDs, IP-Adressen, Request-Metadaten — Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
  • Oh Dear (Oh Dear BV, Belgien): Externes Verfügbarkeits-Monitoring — verarbeitet Endpunkt-URLs, Antwortzeiten — Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

11. Abgrenzung: Gästedaten und Wallet-Pässe der Mandant:innen

Die Daten von Endkund:innen und Gästen, die Wallet-Pässe von Tapcoat-Mandant:innen nutzen, werden nicht auf Grundlage dieser Datenschutzerklärung verarbeitet. Tapcoat agiert insoweit ausschließlich als Auftragsverarbeiterin im Sinne von Art. 28 DSGVO. Verantwortliche ist jeweils die Location / Veranstalterin als Mandantin. Die Datenschutzinformationen gegenüber den Gästen müssen von der Mandantin bereitgestellt werden (z. B. als Aushang an der Garderobe oder im Ticketing).

Tapcoat stellt Mandant:innen hierfür eine Muster-Aushang-Vorlage zur Verfügung.

12. Drittlandtransfers

Einige der von uns eingesetzten Dienstleister übertragen personenbezogene Daten in die USA. Die Absicherung erfolgt in jedem Fall über EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss EU 2021/914, Modul 2) sowie — soweit anwendbar — den Angemessenheitsbeschluss der EU-Kommission über das EU-US Data Privacy Framework vom 10. Juli 2023.

  • Google (Analytics, Ads) — USA — SCC + EU-US DPF
  • Meta Platforms — USA — SCC + EU-US DPF
  • LinkedIn Corporation — USA — SCC + EU-US DPF
  • DigitalOcean, LLC — USA (Daten verbleiben in FRA1) — SCC + EU-US DPF
  • Cloudflare, Inc. — USA (Daten in EU) — SCC + EU-US DPF
  • Sentry (Functional Software, Inc.) — USA — SCC + EU-US DPF
  • ActiveCampaign LLC — USA — SCC + EU-US DPF
  • HubSpot Ireland Limited — Irland/USA — SCC + EU-US DPF
  • GitHub, Inc. — USA — SCC + EU-US DPF
  • Dropbox International — Irland/USA — SCC + EU-US DPF

Den aktuellen Zertifizierungsstatus der US-Anbieter im EU-US Data Privacy Framework kannst du unter https://www.dataprivacyframework.gov/s/participant-search prüfen.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Server-Logs (Website): 30 Tage
  • Kontaktanfragen: Dauer der Bearbeitung + 3 Jahre (BGB-Verjährung)
  • Account-Daten aktiver Mandant:innen: Vertragslaufzeit; nach Kündigung dauerhaft als Free-Account
  • Account-Daten auf Löschungsantrag: Sofortige Anonymisierung + 30 Tage Exportfrist
  • Rechnungs- und Zahlungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
  • Marketing-E-Mail-Einwilligung: Bis Widerruf (Einwilligung) oder Widerspruch (§ 7 Abs. 3 UWG)
  • Sentry-Fehlerberichte: 90 Tage
  • HubSpot-CRM-Daten: Vertragslaufzeit + 3 Jahre
  • Google-Analytics-Rohdaten: 14 Monate
  • Hotjar-Aufzeichnungen: 365 Tage (Hotjar-Standard)

14. Deine Rechte als betroffene Person

Du hast gegenüber Tapcoat als Verantwortlicher folgende Rechte gemäß der DSGVO:

  • Auskunftsrecht (Art. 15 DSGVO): Du hast das Recht zu erfahren, welche Daten wir über dich gespeichert haben.
  • Recht auf Berichtigung (Art. 16 DSGVO): Du hast das Recht, unrichtige Daten berichtigen zu lassen.
  • Recht auf Löschung (Art. 17 DSGVO): Du hast das Recht, die Löschung deiner Daten zu verlangen, sofern keine Aufbewahrungspflicht entgegensteht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen kannst du verlangen, dass die Verarbeitung eingeschränkt wird.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, deine Daten in einem maschinenlesbaren Format zu erhalten oder an einen anderen Anbieter übertragen zu lassen.
  • Widerspruchsrecht (Art. 21 DSGVO): Du hast das Recht, der Verarbeitung auf Basis berechtigter Interessen jederzeit zu widersprechen. Bei Direktwerbung (§ 7 Abs. 3 UWG) ist der Widerspruch jederzeit wirksam.
  • Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für die Tapcoat GmbH mit Sitz in Frankfurt am Main ist das der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Gustav-Stresemann-Ring 1, 65189 Wiesbaden, https://datenschutz.hessen.de

Zur Ausübung deiner Rechte wende dich per E-Mail an datenschutz@tapcoat.com oder per Post an: Tapcoat GmbH, Hanauer Landstraße 204, 60314 Frankfurt am Main. Wir bearbeiten Anfragen innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann diese Frist um zwei weitere Monate verlängert werden.

15. Einwilligungen verwalten und widerrufen

15.1 Cookie-Einwilligungen

Du kannst deine Einwilligungen für Cookies und Tracking-Tools jederzeit mit Wirkung für die Zukunft widerrufen. Klicke dazu auf den Link ‚Cookie-Einstellungen‘ in der Fußzeile von tapcoat.com oder direkt hier: [Link zu Cookie-Einstellungen einfügen].

Seit dem 1. April 2025 gilt die Einwilligungsverwaltungsverordnung (EinwV). Du kannst deine Präferenzen auch zentral über einen anerkannten Personal Information Management Service (PIMS) nach § 26 TDDDG verwalten, sofern du einen solchen Dienst nutzt.

15.2 Marketing-E-Mails

Jede Marketing-E-Mail enthält einen Abmelde-Link. Du kannst dich alternativ jederzeit per E-Mail an datenschutz@tapcoat.com abmelden.

15.3 Account-Löschung

Über die Account-Einstellungen im Tapcoat-Dashboard kannst du die vollständige Löschung deines Accounts beantragen. Nach dem Antrag stehen dir 30 Tage für den Datenexport zur Verfügung. Anschließend werden personenbezogene Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

16. Datensicherheit

Tapcoat setzt technische und organisatorische Maßnahmen ein, um deine Daten vor Verlust, Veränderung und unbefugtem Zugriff zu schützen. Dazu gehören unter anderem:

  • Verschlüsselung aller Verbindungen mit TLS 1.2 oder höher (HTTPS erzwungen, HSTS aktiviert)
  • Passwort-Hashing mit sicherem Verfahren (bcrypt/argon2)
  • Verschlüsselung gespeicherter Daten in der Datenbank
  • Zugriff auf Produktivdaten auf das nötige Minimum beschränkt (Least Privilege)
  • Regelmäßige Backups mit verschlüsselter Speicherung
  • Incident-Response-Plan für Datenschutzvorfälle (Art. 33 DSGVO)

Die vollständige Beschreibung der technischen und organisatorischen Maßnahmen (TOM) ist als Anlage 1 zum Auftragsverarbeitungsvertrag (AVV) dokumentiert und kann auf Anfrage von Mandant:innen eingesehen werden.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, insbesondere bei Änderungen unserer Plattform, neuen eingesetzten Diensten oder Anpassungen der Rechtslage. Wesentliche Änderungen kommunizieren wir aktiv per E-Mail an registrierte Mandant:innen mit einer Vorlaufzeit von mindestens 30 Tagen.

Das Datum der letzten Aktualisierung ist am Beginn dieses Dokuments vermerkt. Unter tapcoat.com/datenschutz-changelog ist ein Änderungsprotokoll abrufbar.

Anhang: Eingesetzte Auftragsverarbeiter (Kurzübersicht)

Die vollständige Liste aller Auftragsverarbeiter, Joint Controller und eigenständig Verantwortlichen ist in der Anlage 2 zum Tapcoat-AVV dokumentiert. Die wichtigsten Auftragsverarbeiter im Überblick:

  • DigitalOcean, LLC — Backend-Hosting (FRA1 + Hetzner DE) — USA (Daten in DE) + Hetzner DE
  • Molchkragen Media GmbH (formwandler) — Entwicklung, Betrieb, Support — Deutschland
  • Mittwald CM Service GmbH & Co. KG — Website-Hosting — Deutschland
  • Cloudflare, Inc. — CDN, DDoS-Schutz — USA (Daten in EU)
  • Frisbii Germany GmbH — Billing, Subscription, KYC — Deutschland
  • Sentry (Functional Software, Inc.) — Error-Monitoring — USA
  • Better Stack s.r.o. — Log-Management, Uptime — EU
  • Capawesome / Genz IT Solutions GmbH — OTA-App-Updates — Deutschland
  • HubSpot Ireland Limited — CRM, Kontaktformular, Chat — Irland/USA
  • ActiveCampaign LLC — E-Mail-Marketing — USA
  • Microsoft Ireland Operations Ltd. — E-Mail, Teams, OneDrive — Irland/USA
  • Dropbox International — Dokumentenspeicherung — Irland/USA
  • GitHub, Inc. — Code-Repository — USA
  • GitLab Inc. — Code-Repository — USA

Joint Controller (Art. 26 DSGVO): Google Ireland Ltd. (Analytics, Ads), Meta Platforms Ireland Ltd. (Pixel, Ads), LinkedIn Ireland Unlimited Company (Insight Tag).

Stand: Mai 2026
Tapcoat GmbH | Hanauer Landstraße 204 | 60314 Frankfurt am Main | datenschutz@tapcoat.com