Zurück zum Login

Datenschutzerklärung

Information nach Art. 13 / 14 DSGVO

Zuletzt aktualisiert: 25.04.2026 · Version: 2026-04-25-v1

Diese Datenschutzerklärung informiert dich darüber, wie wir bei der Bereitstellung der Hector-Plattform mit deinen personenbezogenen Daten umgehen. Sie gilt für alle Nutzer der App unter app.hector.de und der zugehörigen Websites.

1. Verantwortlicher und Rollen

1.1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Hector Technologies OÜ (in Gründung / asutamisel)
Vertreten durch Felix Bächle (Founder & Managing Director)
Geschäftssitz: [wird nach Eintragung ergänzt — voraussichtlich c/o Xolo, Tallinn, Estland]
Eingetragen im estnischen Handelsregister (Äriregister) unter Registrikood: [wird bei Eintragung zugeteilt]
E-Mail: privacy@gethector.io

1.2 Rollenverteilung (wichtig zu verstehen)

Hector ist Verantwortlicher („Controller") für die folgenden Datenverarbeitungen:

  • Account-Erstellung und -Verwaltung (E-Mail, Name, Passwort-Hash, MFA-Faktoren)
  • Authentifizierung und Session-Management
  • Abrechnung mit dem Customer (deinem Arbeitgeber, sofern du im B2B-Kontext nutzt)
  • Sicherheits-Telemetrie und Fehler-Diagnose
  • Weiterentwicklung und technischer Betrieb der Plattform

Wenn du die Hector-Plattform im Auftrag deines Arbeitgebers nutzt (z. B. als Fahrer, Disponent oder Administrator eines Unternehmens, das Hector abonniert hat), ist dein Arbeitgeber der Verantwortliche für alle Daten, die innerhalb dessen Hector-Account verarbeitet werden — also Kundendaten, Stopp-Daten, Routendaten, Fragebogenantworten, Standortdaten und ähnliche operative Daten. Hector ist insoweit lediglich Auftragsverarbeiter („Processor") im Sinne von Art. 28 DSGVO. Die Bedingungen dieser Verarbeitung sind in unserer DPA geregelt.

Anfragen zu deinen operativen Daten (Auskunft, Löschung, Korrektur etc.) richtest du in diesem Fall bitte direkt an deinen Arbeitgeber, nicht an uns.

2. Erhobene Daten und Verarbeitungszwecke

2.1 Bei Registrierung und Account-Nutzung (Hector als Verantwortlicher)

DatenkategorieZweckRechtsgrundlage
Vor- und Nachname, geschäftliche E-Mail-Adresse, FirmaAccount-Erstellung, Anmeldung, KommunikationVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Passwort-Hash, MFA-Faktoren, Backup-Codes (gehasht)Authentifizierung, Account-SicherheitVertragserfüllung + berechtigtes Interesse (Art. 6 Abs. 1 lit. b und f DSGVO)
IP-Adresse, Geräte-/Browser-Metadaten, Login-ZeitpunkteSicherheit, Betrugs- und Missbrauchsabwehr, Audit-LoggingBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Trusted-Device-Cookies (für 2FA-Bypass)Komfort bei wiederkehrenden Logins von einem vertrauten GerätEinwilligung beim 2FA-Setup (Art. 6 Abs. 1 lit. a DSGVO)
Sprach- und Zeitzonen-PräferenzLokalisierte DarstellungVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Zahlungs-Metadaten (Plan, Subscription-Status, USt-IdNr; keine Kreditkartendaten)Abrechnung, Mehrwertsteuer-Korrekt-AusweisVertragserfüllung + rechtliche Verpflichtung (Art. 6 Abs. 1 lit. b und c DSGVO)
Zustimmungs-Logs (Versionen + Datum für Terms / DPA / Privacy)Nachweis der DSGVO-konformen VertragsannahmeRechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Server-Logs (HTTP-Anfragen, Fehlerausgaben)Betrieb, Stabilität, FehlerdiagnoseBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

2.2 Bei produktiver Nutzung der Plattform (Customer als Verantwortlicher)

Wenn du die Plattform im Rahmen eines Customer-Abonnements nutzt, verarbeitet Hector im Auftrag des Customers u. a.:

  • Namen und Kontaktdaten von Fahrern, Disponenten, Administratoren und deren Kunden
  • Standortdaten (GPS-Koordinaten, Adressen, Routenhistorie)
  • Fahrzeug- und Schicht-Zuordnungsdaten
  • Aufgaben-, Stopp- und Fragebogen-Daten inkl. Fotos und Unterschriften

Die Verarbeitungszwecke und Rechtsgrundlagen für diese Daten bestimmt der Customer. Details regelt die DPA.

3. Empfänger und Sub-Prozessoren

Wir geben Daten nur an sorgfältig ausgewählte Auftragsverarbeiter und Dienstleister weiter, mit denen Verträge nach Art. 28 DSGVO bestehen. Die folgende Liste umfasst alle Sub-Prozessoren, die im Rahmen der Plattform Personendaten verarbeiten können:

Sub-ProzessorStandortFunktionÜbermittlungsmechanismus
Supabase, Inc.EU (Frankfurt, DE)Datenbank, Authentifizierung, Datei-SpeicherEU — keine Drittland-Übermittlung; ISO 27001 / SOC 2
Vercel Inc.USA (HQ); EU-EdgeHosting, CDN, Serverless-ComputeEU-US DPF + SCCs; SOC 2 Type II
Stripe Payments EuropeEU (Irland) + USASubscription-Abrechnung, ZahlungsabwicklungEU-US DPF + SCCs; PCI-DSS Level 1
Resend, Inc.USATransaktionale E-Mails (Anmeldung, Reset, Benachrichtigungen)EU-US DPF + SCCs
Functional Software, Inc. (Sentry)EU (Frankfurt, DE)Fehler- und Performance-Monitoring (mit clientseitigem PII-Filter)EU — Data Residency in der EU
Upstash, Inc.EU (Frankfurt) für Hector-WorkloadsRedis-basiertes Rate-Limiting und CachingEU-Region; SCCs als Fallback
Hetzner Online GmbHDE (Falkenstein / Nürnberg)Hosting der Routenoptimierung (VROOM + OSRM auf eigener Infrastruktur, DACH-OSM-Daten)EU — keine Drittland-Übermittlung; ISO 27001
HeiGIT gGmbHDE (Heidelberg)OpenRouteService Directions-API für Routen-Geometrie (Polyline-Darstellung auf der Karte)EU — keine Drittland-Übermittlung
OpenStreetMap FoundationUK / EUKarten-Tiles (tile.openstreetmap.org) und Geokodierung (Nominatim) für AdressvervollständigungUK — Adequacy-Decision der EU-Kommission

Eine aktuelle Liste ist auf Anfrage an subprocessors@gethector.io erhältlich. Bei wesentlichen Änderungen an der Sub-Prozessor-Liste informieren wir Customer mindestens 30 Tage im Voraus über die in der DPA festgelegte Vereinbarung.

4. Übermittlung in Drittländer

Die Hauptverarbeitung deiner Daten findet in der Europäischen Union statt (Datenbank in Frankfurt). Bei einigen Sub-Prozessoren mit Sitz außerhalb der EU/EWR (Vercel, Stripe, Resend, Upstash — siehe Tabelle oben) kann es zu einer Übermittlung in die USA kommen. In diesen Fällen stützen wir uns auf:

  • das EU-US Data Privacy Framework (DPF) gemäß Beschluss (EU) 2023/1795 für DPF-zertifizierte Empfänger,
  • die Standardvertragsklauseln der EU-Kommission (SCCs) gemäß Beschluss (EU) 2021/914 als Fallback,
  • technische und organisatorische ergänzende Maßnahmen (Verschlüsselung at-rest und in-transit, Zugriffskontrollen, Audit-Logging, PII-Filter).

Für US-basierte Sub-Prozessoren halten wir eine Transfer-Impact-Assessment (TIA) vor, die auf Anfrage einsehbar ist.

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

  • Account-Daten (Profil, Auth, MFA): bis zur Löschung des Accounts durch dich oder den Customer-Admin, danach Löschung innerhalb 30 Tage gemäß DPA Abschnitt 10.
  • Zustimmungs-Logs (Terms / DPA / Privacy): mindestens für die Dauer des Account-Bestehens, danach gemäß handelsrechtlicher Aufbewahrungspflichten ggf. bis zu 10 Jahre.
  • Rechnungs- und Abrechnungsdaten: 10 Jahre gemäß estnischem Buchführungsgesetz / handelsrechtlicher Pflichten.
  • Server-Logs / Sentry-Fehler: bis zu 90 Tage, danach automatische Löschung.
  • Operative Daten (Stopps, Routen, Fragebogen-Antworten): wie vom Customer in seiner Datenschutz-Konfiguration festgelegt; Standardmäßig nicht automatisch gelöscht.

6. Deine Rechte

Du hast nach DSGVO jederzeit das Recht auf:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO) — Self-Service via Profil → Datenschutz → Datenexport
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO) — direkt im Profil bearbeitbar
  • Löschung deiner Daten (Art. 17 DSGVO) — über den Account-Löschen-Button oder via E-Mail an uns
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — JSON-/CSV-Export
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses (Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist primär die estnische Datenschutzaufsicht (Andmekaitse Inspektsioon, aki.ee) oder die Aufsicht in deinem gewöhnlichen Aufenthaltsort

Anfragen zu Hector-eigenen Verarbeitungen richtest du an privacy@gethector.io. Anfragen zu operativen Daten innerhalb eines Customer-Accounts richtest du bitte direkt an deinen Arbeitgeber (siehe Abschnitt 1.2).

7. Cookies und ähnliche Technologien

7.1 Notwendige Cookies (immer aktiv)

  • Session-Cookies (Supabase-Auth) — für deine Anmeldung. Lebensdauer: bis zum Logout oder Ablauf der Session.
  • Sprach-Präferenz (NEXT_LOCALE) — speichert deine UI-Sprache. Lebensdauer: 1 Jahr.
  • Trusted-Device-Cookie (mfa_device_id) — falls du ein Gerät beim 2FA-Setup als vertraut markiert hast. Lebensdauer: 30 Tage. Diese Speicherung erfolgt auf Grundlage deiner Einwilligung beim 2FA-Setup und kann jederzeit widerrufen werden.
  • Cookie-Consent-Cookie (hector_consent) — speichert deine Cookie-Entscheidung. Lebensdauer: 12 Monate.
  • LocalStorage für Kontext-Hinweise und temporäre UI-Zustände.

Diese Cookies sind für den Betrieb der Plattform unverzichtbar und werden ohne deine Einwilligung gesetzt (§ 25 Abs. 2 TTDSG / Art. 5 Abs. 3 ePrivacy-Richtlinie).

7.2 Statistik (Opt-in)

Mit deiner Einwilligung nutzen wir Sentry zur Fehler- und Performance-Überwachung. Übermittelt werden u. a. Fehler-Stacks, IP-Adresse, Browser-Metadaten — mit clientseitigem PII-Filter (E-Mails / Namen werden vor dem Versand entfernt). Speicherort: Frankfurt, EU. Aufbewahrung: 90 Tage.

7.3 Marketing (Opt-in)

Aktuell setzen wir keine Marketing-Cookies ein. Sollten wir in Zukunft Marketing-Tracker integrieren, werden diese ausschließlich mit deiner ausdrücklichen Einwilligung aktiviert.

7.4 Einwilligung verwalten

Du kannst deine Cookie-Entscheidung jederzeit ändern oder widerrufen — entweder über den Button unten oder im Profil unter Datenschutz. Eine Änderung wird sofort wirksam (Sentry wird bei Widerruf der Statistik-Kategorie nach einem Page-Reload nicht mehr aktiviert).

8. Datensicherheit

Wir implementieren branchenübliche technische und organisatorische Maßnahmen zum Schutz deiner Daten, darunter:

  • Verschlüsselung in der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
  • Tenant-isolierte Datenarchitektur mit Row-Level-Security auf Datenbank-Ebene
  • Mehr-Faktor-Authentifizierung verfügbar für alle Account-Typen, verpflichtend für administrative Zugriffe
  • Web-Application-Firewall, Rate-Limiting auf sensiblen Endpoints
  • Sicherheits-HTTP-Header (HSTS, CSP, X-Frame-Options, Permissions-Policy)
  • Regelmäßige Dependency- und Vulnerability-Scans
  • Audit-Logging administrativer Aktionen
  • Tägliche automatisierte Backups mit Point-in-Time-Recovery

Detaillierte technische und organisatorische Maßnahmen sind in unserer DPA, Abschnitt 6, dokumentiert.

9. Verpflichtung zur Bereitstellung

Die Bereitstellung der unter Abschnitt 2.1 genannten Daten ist für die Nutzung der Plattform erforderlich. Ohne diese Daten können wir keinen Account anlegen und die Plattform nicht für dich bereitstellen. Es besteht jedoch keine gesetzliche Pflicht zur Bereitstellung — du kannst auf eine Nutzung der Plattform verzichten.

10. Automatisierte Entscheidungsfindung

Wir setzen keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO ein. Algorithmische Funktionen wie Routenoptimierung dienen ausschließlich der Vorbereitung von Entscheidungen, die letztlich vom Customer (Disponent / Administrator) getroffen werden.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die Verarbeitung ändert oder rechtliche Anforderungen es verlangen. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail oder über einen Hinweis in der App und holen, soweit erforderlich, eine erneute Zustimmung ein. Die jeweils aktuelle Version ist auf dieser Seite verfügbar.