Datenschutzerklaerung
Informationen gemaess Art. 13 und 14 DSGVO
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist die CABITREE GmbH (i.G.), Adresse siehe Impressum. E-Mail: datenschutz@cabitree.com.
2. Datenschutzbeauftragter
Soweit gesetzlich erforderlich (Art. 37 DSGVO), wird ein Datenschutzbeauftragter benannt. Aktueller Stand: Wir pruefen die Bestellung im Zuge der Pilot-Phase. Kontakt fuer Datenschutzfragen: datenschutz@cabitree.com.
3. Verarbeitungszwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten zur Erbringung des TreePass-Dienstes (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfuellung), zur Erfuellung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO — z.B. EU-Verordnung 2023/1115 EUDR, ESPR, HGB § 147), zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO — z.B. IT-Sicherheit, Rate-Limiting) und nur fuer Cookies/Tracking auf Basis Ihrer ausdruecklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG).
4. Datenkategorien
Stammdaten (Name, E-Mail, Telefon), Auth-Daten (gehashtes Passwort, TOTP-Secret), Nutzungsdaten (Login-Zeitpunkte, Geraete-Fingerprint), Geschaeftsdaten (Pass-IDs, Lieferketten-Eintraege), technische Daten (IP-Adresse pseudonymisiert /24, User-Agent), Geo-Daten (Polygone von Forst-Standorten — kein Personenbezug bei juristischen Eigentuemern).
5. Empfaenger und Auftragsverarbeiter
Hetzner Online GmbH (Hosting, DE), Bunny.net (CDN, EU), MapTiler AG (Karten, CH), DeepL SE (Uebersetzung, DE), Sinergise Solutions d.o.o. (Sentinel-Hub, Slowenien/EU), EU-Kommission (TRACES-NT — sobald Live-Modus). Auftragsverarbeitungsvertraege (AVV gem. Art. 28 DSGVO) liegen vor bzw. werden vor Live-Schaltung abgeschlossen.
6. Drittlandtransfers
Aktuelle Auftragsverarbeiter sind in der EU/EWR ansaessig. Sollte ein Transfer in Drittlaender erforderlich werden (z.B. Google Earth Engine als optionaler Sentinel-Backup), erfolgt dies ausschliesslich auf Basis EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) und einer dokumentierten Datenschutz-Folgenabschaetzung.
7. Speicherdauer
Nutzerkonten: Soft-Delete unmittelbar bei Loeschungsverlangen, Hard-Delete nach 30 Tagen. Audit-Logs gemaess § 257 HGB / § 147 AO bzw. EUDR-Art. 33 bis zu 10 Jahre, danach pseudonymisierte Aufbewahrung fuer statistische Zwecke. IP-Adressen in Rate-Limiting: max. 60 Minuten in Redis. Backup-Archive: 30 Tage Inkremente, 365 Tage monatliche Vollsicherung.
8. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO). Sie koennen Ihre Einwilligung jederzeit fuer die Zukunft widerrufen. Den Datenexport koennen Sie im Portal unter Einstellungen > Datenexport selbst anstossen. Loeschung des Kontos: Einstellungen > Konto loeschen.
9. Beschwerderecht
Sie haben das Recht, sich bei einer Aufsichtsbehoerde zu beschweren — typischerweise der Landesdatenschutzbehoerde an Ihrem Wohn- oder Arbeitsplatz oder am Sitz des Verantwortlichen.
10. Cookies und Tracking
Wir setzen ausschliesslich technisch notwendige Cookies (Session, CSRF-Token, Sprach-Einstellung). Tracking-Cookies oder Analytics-Tools setzen wir nicht ein. Sollten wir in Zukunft optionale Cookies einsetzen, holen wir Ihre vorherige Einwilligung gemaess § 25 TTDSG ueber einen Consent-Banner ein.
11. Schriftarten
Schriftarten werden lokal vom TreePass-Server ausgeliefert. Es findet kein Aufruf externer Schriftarten-CDNs (z.B. Google Fonts) statt.
12. Datensicherheit
TLS 1.2/1.3 fuer alle Verbindungen, AES-256 fuer Backups, HMAC-SHA256 fuer Pseudonymisierung, getrennte Auftragsverarbeiter-Tenants via Postgres-Row-Level-Security. Vorfaelle werden gemaess Art. 33 DSGVO innerhalb 72 Stunden gemeldet.
13. Aenderungen
Diese Datenschutzerklaerung wird bei wesentlichen Aenderungen angepasst. Die jeweils aktuelle Version ist im Portal abrufbar.
Stand: 2026-06-01