Stand: 25. Mai 2026
Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Mendoro Holding GmbH (i. Gr.)
[Anschrift]
E-Mail: datenschutz@mendoro.io
2. Erhebung und Speicherung personenbezogener Daten
2.1 Bei Registrierung
Bei der Registrierung erheben wir folgende Daten:
- Vor- und Nachname
- E-Mail-Adresse
- Passwort (verschlüsselt gespeichert mit bcrypt)
- Telefonnummer (optional)
- Bei Pros: Branche, Standort, Stundensatz
- Geburtsjahr (für 18+ Verifizierung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Beim Aufruf der Website
Beim Aufruf werden automatisch erfasst:
- IP-Adresse (anonymisiert nach 7 Tagen)
- Browser-Typ und -Version
- Betriebssystem
- Referrer-URL
- Uhrzeit und Datum des Zugriffs
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Sicherheit).
2.3 Standortdaten (GPS)
Wenn Sie der GPS-Nutzung zustimmen, erfassen wir Ihre Position für:
- Profi-Suche in Ihrer Nähe
- GPS-Zeit-Tracking bei Pros (nur während aktiver Aufträge)
- GPS-Stempel auf Foto-Beweisen
Sie können die GPS-Berechtigung jederzeit in den Browser-Einstellungen widerrufen.
2.4 Fotos
Hochgeladene Fotos werden in Supabase Storage (EU-Frankfurt) gespeichert. EXIF-Metadaten (inkl. GPS) werden VOR Speicherung entfernt. GPS-Koordinaten werden separat verschlüsselt in der Datenbank gespeichert.
3. Auftragsverarbeiter
Wir nutzen folgende Dienste als Auftragsverarbeiter (Art. 28 DSGVO):
| Anbieter | Zweck | Land |
|---|---|---|
| Supabase | Datenbank, Auth, Storage | EU (Frankfurt) |
| Vercel | Hosting, CDN | EU/USA (DPF) |
| Stripe | Zahlungsabwicklung | EU/USA (DPF) |
| Anthropic (Claude) | KI-Funktionen | USA (SCC) |
| OpenStreetMap | Karten, Geocoding | EU |
| Resend | E-Mail-Versand | EU |
| Twilio | SMS, Relay-Nummern | EU/USA (SCC) |
4. Cookies
Wir verwenden folgende Cookie-Kategorien:
- Notwendige Cookies: Session, CSRF-Token (keine Einwilligung nötig)
- Funktional: Sprach-/Theme-Präferenzen
- Analytics: Anonymisierte Nutzungsstatistiken (PostHog) — nur mit Einwilligung
- Marketing: Nicht verwendet
Sie können Ihre Cookie-Einstellungen jederzeit unter /cookies anpassen.
5. Ihre Rechte
Sie haben gegenüber uns folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO) — Download aller Daten unter /pro/settings/security
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO) — Konto-Löschung in den Einstellungen
- Recht auf Einschränkung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Beschwerde bei der Aufsichtsbehörde (Hessischer Beauftragter für Datenschutz)
6. Speicherdauer
- Account-Daten: Solange der Account aktiv ist
- Aufträge/Rechnungen: 10 Jahre (gesetzliche Aufbewahrungspflicht § 257 HGB)
- IP-Adressen in Logs: 7 Tage
- Audit-Log: 2 Jahre
- Nach Konto-Löschung: Sofort gelöscht (außer steuerrelevante Daten)
7. Datensicherheit
Wir setzen folgende Maßnahmen ein:
- SSL/TLS-Verschlüsselung (HTTPS, HSTS)
- Passwörter mit bcrypt gehashed
- 2-Faktor-Authentifizierung verfügbar
- Row-Level Security in der Datenbank
- Rate-Limiting + Brute-Force-Schutz
- Regelmäßige Sicherheits-Audits
- Zugriffe werden protokolliert (Audit-Log)
8. Übermittlung in Drittländer
Einige unserer Dienste werden in den USA betrieben. Übermittlungen erfolgen nur auf Basis von Standardvertragsklauseln (SCC) oder dem EU-US Data Privacy Framework (DPF).
9. Kontakt Datenschutzbeauftragter
E-Mail: datenschutz@mendoro.io
Hessische Datenschutz-Aufsicht: datenschutz.hessen.de
10. Änderungen
Diese Datenschutzerklärung kann angepasst werden. Bei wesentlichen Änderungen werden Sie per E-Mail informiert.