Datenschutzerklärung
DSGVO-konform — Stand: Juli 2026
1. Verantwortliche Stelle
Verantwortliche Stelle nach Artikel 4 Absatz 7 der Datenschutz-Grundverordnung (DSGVO):
WP-Check360 · Inhaber: Tim Tuxhorn (Energieberatung Tuxhorn)
Holteystraße 21
44267 Dortmund
Deutschland
E-Mail: support@wp-check360.de
Telefon: +49 (0) 231 130 945 22
2. Erhobene Daten und Kategorien personenbezogener Daten
WP-Check360 erhebt, verarbeitet und speichert folgende Kategorien personenbezogener Daten:
Account- und Registrierungsdaten
- Name, Vorname
- E-Mail-Adresse
- Telefonnummer
- Postadresse
- Passwort (verschlüsselt)
Assessment- und Prüfdaten
- Prüfungsantworten und Antwortmuster
- Technische Daten zu Wärmepumpenanlagen
- Standortinformationen (Adresse der geprüften Anlage)
- Fotos und Dokumentationen
- Prüfberichte und Analysen
Zahlungsdaten
- Kartendaten (Name, Kartennummer, Gültigkeitsdatum)
- Rechnungsadresse
- Transaktionshistorie
- PayPal-Kontoangaben
- Bankverbindung (bei Überweisung)
Nutzungsdaten
- IP-Adresse
- Browser-Typ und -Version
- Betriebssystem
- Zugriffszeitpunkte und -dauer
- Klick- und Navigationsverhalten
3. Zweck der Datenverarbeitung
Ihre Daten werden verarbeitet für folgende Zwecke:
- Erbringung und Abwicklung der Prüfleistungen (Assessment)
- Erstellung und Zustellung von Prüfberichten
- Abwicklung von Zahlungen und Rechnungsstellung
- Kundensupport und Kommunikation
- Einhaltung gesetzlicher und steuerlicher Anforderungen
- Verbesserung und Optimierung der Plattform
- Statistik und Qualitätssicherung
4. Rechtsgrundlage der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen nach der DSGVO:
- Artikel 6 Abs. 1 c) DSGVO: Erfüllung einer rechtlichen Verpflichtung (z.B. Steuerpflichten, Handelsgesetzbuch)
- Artikel 6 Abs. 1 b) DSGVO: Erfüllung eines Vertrags (Erbringung der Assessment-Leistung, Zahlungsabwicklung)
- Artikel 6 Abs. 1 a) DSGVO: Ihre freie Einwilligung (z.B. Newsletter, Marketingkommunikation)
- Artikel 6 Abs. 1 f) DSGVO: Berechtigte Interessen (z.B. Sicherheit und Betrieb der Plattform)
5. Speicherdauer
Personenbezogene Daten werden nicht länger als erforderlich gespeichert:
- Account- und Nutzerdaten: Für die Dauer des Kundenkontos, maximal 24 Monate nach letztem Login
- Assessment- und Prüfdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht)
- Zahlungsdaten: 10 Jahre (Steuerrecht und HGB)
- Nutzungslogs: 90 Tage
- Support-Kommunikation: 36 Monate nach letzter Nachricht
6. Ihre Rechte als betroffene Person
Nach der DSGVO haben Sie folgende Rechte:
Recht auf Auskunft (Art. 15 DSGVO)
Sie können jederzeit kostenlos erfragen, welche personenbezogenen Daten von Ihnen verarbeitet werden.
Recht auf Berichtigung (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, wenn keine gesetzliche Aufbewahrungspflicht mehr besteht.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Beschränkung der Datenverarbeitung verlangen.
Recht auf Portabilität (Art. 20 DSGVO)
Sie können Ihre Daten in strukturiertem, gängigem Format erhalten und an andere weitergeben.
Recht auf Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten widersprechen, z.B. zu Marketingzwecken.
Beschwerde bei Aufsichtsbehörde (Art. 77 DSGVO)
Sie können sich bei der zuständigen Datenschutzaufsichtsbehörde beschweren (für den Anbietersitz Dortmund: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen), wenn Sie Ihre Rechte verletzt sehen.
Anfragen können Sie jederzeit an support@wp-check360.de einreichen.
7. Assessment-Durchführung und Foto-Uploads
Während der Durchführung eines Assessments werden folgende Daten verarbeitet:
Foto-Uploads (DSGVO-konform)
- Zweck: Dokumentation der Wärmepumpenanlage für Assessment
- Speicherort: Encrypted Storage auf Hetzner (Deutschland)
- Verschlüsselung: AES-256-GCM (während Übertragung und im Ruhezustand)
- Speicherdauer: 30 Tage, dann automatische Löschung
- Zugriff: Nur Sie als Uploader und authorized Support-Mitarbeiter
- Freigabe: Fotos werden nicht an Dritte weitergegeben (außer Sie geben explizite Freigabe)
- Erinnerung: 5 Tage vor Löschung erhalten Sie eine Erinnerung
- Manuelle Löschung: Sie können Fotos jederzeit selbst löschen
Hinweis: Keine Personenfotos
Bitte laden Sie KEINE Fotos von Personen hoch. Fotos von Dritten benötigen deren explizite Zustimmung. Fotos mit erkennbaren Gesichtern werden von uns ggf. nachträglich gelöscht.
Ihre Assessment-Antworten werden ebenfalls nach Art. 6 Abs. 1 b) DSGVO verarbeitet und für 10 Jahre aufbewahrt (gesetzliche Aufbewahrungspflicht nach HGB).
8. Cookies und Tracking
Unsere Webseite nutzt folgende Arten von Cookies:
- Notwendige Cookies: Session, Login und Sicherheit (z. B. CSRF-Schutz) — für den Betrieb erforderlich, keine Einwilligung nötig
- Analyse-Cookies (nur mit Einwilligung): Reichweitenmessung zur Verbesserung der Plattform
- Marketing-Cookies (nur mit Einwilligung): Google-Ads-Conversion-Messung, s. Abschnitt 9
Analyse- und Marketing-Cookies werden ausschließlich gesetzt, wenn Sie im Cookie-Banner ausdrücklich zustimmen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG) — ohne Zustimmung lädt kein externer Dienst. Ihre Auswahl können Sie jederzeit über die Browser-Einstellungen (Löschen der Website-Daten) zurücksetzen; der Banner erscheint dann erneut.
SSL-Verschlüsselung: Diese Website verwendet HTTPS-Verschlüsselung, um Ihre Daten während der Übertragung zu schützen.
9. Drittanbieter und Datenübertragungen
Folgende externe Dienstleister verarbeiten Ihre Daten in unserem Auftrag:
Stripe (Zahlungsverarbeitung)
Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA verarbeitet Ihre Zahlungsdaten nach US-Standards mit Standard Contractual Clauses (SCC). Ihre Kartendaten werden NICHT auf unseren Servern gespeichert. Alle Kartentransaktionen erfolgen PCI-DSS-konform und tokenisiert.
Hetzner Online GmbH (Hosting)
Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Alle Daten werden auf Servern in Deutschland gehostet (EU-konform). Auftragsverarbeitungsvertrag (AV) vorhanden. Backups werden verschlüsselt (AES-256) gespeichert.
Strato (E-Mail-Versand)
Strato AG, Berlin, Deutschland. Transaktions-E-Mails (Bestellbestätigungen, Bericht-Benachrichtigungen, Rechnungszustellung) werden über Strato-Mailserver in Deutschland versendet. Auftragsverarbeitungsvertrag (AV) vorhanden. Ihre E-Mail-Adressen werden nicht länger als notwendig gespeichert.
sevDesk (Rechnungsstellung)
SEVENIT GmbH, Offenburg, Deutschland. Für die Erstellung und Aufbewahrung von Rechnungen werden Ihr Name, Ihre Rechnungsadresse und die Kaufdaten an die Buchhaltungssoftware sevDesk übermittelt (Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Aufbewahrungspflichten nach HGB/AO). Auftragsverarbeitungsvertrag (AV) vorhanden.
Anthropic (KI-Chatbot)
Anthropic, PBC, San Francisco, CA, USA. Unser Hilfe-Chatbot beantwortet Fragen mit Unterstützung des KI-Modells Claude. Ihre Chat-Nachrichten werden erst nach Ihrer ausdrücklichen Einwilligung im Chat-Fenster (Art. 6 Abs. 1 lit. a DSGVO) an Anthropic übermittelt — geben Sie dort keine sensiblen personenbezogenen Daten ein. Die Übermittlung in die USA erfolgt auf Grundlage von Standard Contractual Clauses (SCC); Anthropic verwendet API-Daten nicht zum Training seiner Modelle.
Google Ads (Conversion-Messung, nur mit Einwilligung)
Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Ausschließlich wenn Sie im Cookie-Banner der Kategorie „Marketing" zustimmen, laden wir das Google-Ads-Tag zur Messung, ob Werbeanzeigen zu einem Besuch bzw. einem abgeschlossenen Check geführt haben (Art. 6 Abs. 1 lit. a DSGVO). Ohne Ihre Zustimmung wird keine Verbindung zu Google-Werbediensten aufgebaut (Consent Mode, Grundeinstellung „abgelehnt"). Eine Übermittlung in Drittländer (USA, Google LLC) erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. Standardvertragsklauseln. Sie können die Einwilligung jederzeit widerrufen, indem Sie die Website-Daten dieser Seite im Browser löschen und im erneut erscheinenden Banner „Nur notwendige" wählen.
Have I Been Pwned (Passwort-Sicherheitsprüfung)
Bei der Registrierung und bei Passwortänderungen prüfen wir, ob das gewählte Passwort in bekannten Datenlecks enthalten ist (haveibeenpwned.com). Dabei kommt das k-Anonymity-Verfahren zum Einsatz: Es werden ausschließlich die ersten 5 Zeichen eines SHA-1-Prüfwerts übermittelt — niemals Ihr Passwort selbst und keine Daten, die Ihnen zugeordnet werden können (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — Schutz Ihres Kontos).
10. SSL-Verschlüsselung
Diese Website verwendet SSL-Verschlüsselung (TLS 1.2 oder höher). Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern sind verschlüsselt und können nicht von Dritten mitgelesen werden. Sie erkennen die sichere Verbindung am Schloss-Symbol in der Adressleiste.
11. Datenschutzbeauftragter
Für Fragen zum Datenschutz kontaktieren Sie unseren Datenschutzbeauftragten:
Datenschutzbeauftragter WP-Check360
E-Mail: support@wp-check360.de
Wir antworten auf alle Anfragen innerhalb von 30 Tagen.
Datenschutzerklärung: Diese Datenschutzerklärung ist DSGVO-konform und berücksichtigt die Anforderungen nach Artikel 13 und 14 DSGVO. Sie wird regelmäßig überprüft und aktualisiert. Letzte Aktualisierung: Juli 2026.