Datenschutzerklärung

Zuletzt aktualisiert: 20. Mai 2026 · Version 2026-05-20

Dies ist eine inoffizielle Übersetzung. Bei Auslegungsfragen ist die englische Fassung unter napspan.com/privacy.html rechtlich maßgeblich. Ihre Rechte aus DSGVO und nationalem Datenschutzrecht bleiben unberührt.

Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten erheben, verwenden, speichern und schützen, wenn Sie napspan.com besuchen oder die NAPSPAN-API, das Entwicklerportal, die Live-Karte oder zugehörige Dienste (den „Dienst") nutzen. Sie setzt unsere Pflichten aus Verordnung (EU) 2016/679 („DSGVO"), Richtlinie 2002/58/EG („ePrivacy") und den nationalen Umsetzungsgesetzen der EWR-Mitgliedstaaten um.

1. Verantwortlicher und EU-Vertreter

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

• Roman Kotenko, Einzelunternehmer (фізична особа-підприємець) registriert in der Ukraine
• E-Mail: [email protected]
• Postanschrift: siehe Impressum / Rechtliche Hinweise

Vertreter in der Europäischen Union (Art. 27 DSGVO): Der Betreiber ist außerhalb des EWR niedergelassen, bietet den Dienst aber Betroffenen im EWR an. Unser benannter EU-Vertreter — an den sich Betroffene aus dem EWR und Aufsichtsbehörden mit allen Fragen zur Verarbeitung wenden können — ist im Impressum ausgewiesen. Bis zur dortigen Veröffentlichung der Benennung können Sie alle DSGVO-Anfragen an [email protected] richten; wir leiten sie entsprechend weiter.

Datenschutzbeauftragter (DSB). Wir sind nach Art. 37 DSGVO und § 38 BDSG nicht zur Bestellung eines DSB verpflichtet (keine umfangreiche Verarbeitung besonderer Kategorien, keine umfangreiche systematische Überwachung). Datenschutzanfragen richten Sie bitte direkt an den Verantwortlichen.

2. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

Die folgenden Abschnitte beschreiben für jede Verarbeitungstätigkeit, was wir verarbeiten, warum, auf welcher Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) und wie lange wir die Daten aufbewahren.

2.1 Kontoerstellung und -verwaltung

• Datenkategorien: Name, E-Mail, Firmenname (optional), Passwort (bcrypt-Hash; niemals im Klartext)
• Zweck: Anlage und Verwaltung Ihres Kontos; Authentifizierung
• Rechtsgrundlage: Vertragserfüllung oder vorvertragliche Maßnahmen — Art. 6 Abs. 1 lit. b DSGVO
• Speicherdauer: für die Dauer Ihres Kontos; Löschung innerhalb von 30 Tagen nach Löschungsantrag, sofern keine längere Aufbewahrung aus steuer- oder handelsrechtlichen Gründen erforderlich ist (in Deutschland regelmäßig 6–10 Jahre nach §§ 257 HGB, 147 AO für rechnungsbezogene Metadaten)

2.2 API-Schlüssel-Verwaltung und Anfrage-Authentifizierung

• Datenkategorien: API-Schlüssel (gespeichert nur als SHA-256-Hash; der vollständige Schlüssel wird einmalig bei Erstellung angezeigt), Schlüssel-Bezeichnung, Erstellungs-/letzter Nutzungs-Zeitstempel
• Zweck: Authentifizierung Ihrer API-Anfragen; Durchsetzung von Ratenbegrenzungen und Kontingenten
• Rechtsgrundlage: Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO
• Speicherdauer: während der Schlüssel aktiv ist; widerrufene Schlüssel bis zu 90 Tage zur Auditierung, danach Löschung

2.3 API-Nutzung und Ratenbegrenzung

• Datenkategorien: gehashter API-Schlüssel-Identifikator, Anfrage-Endpunkt, Zeitstempel, IP-Adresse (kurzfristig zur Ratenbegrenzung), aggregierte Tageswerte
• Zweck: Ratenbegrenzung, Plandurchsetzung, Missbrauchsschutz, Kapazitätsplanung
• Rechtsgrundlage: Vertragserfüllung — Art. 6 Abs. 1 lit. b; berechtigtes Interesse am Schutz der Dienstintegrität — Art. 6 Abs. 1 lit. f DSGVO
• Speicherdauer: Roh-Anfrageprotokolle werden nicht gespeichert; IP-Adressen nur flüchtig im Arbeitsspeicher; aggregierte Tageswerte bis zu 12 Monate

2.4 Abrechnung und Abonnementverwaltung

• Datenkategorien: Paddle-Kundennummer, Abonnementnummer, Plan, Status, Transaktionsbeträge und -daten, Rechnungsland, USt.-Status. Kartennummern, IBAN oder andere Zahlungsmittel sehen, speichern oder erhalten wir nicht.
• Zweck: Verwaltung des kostenpflichtigen Abonnements, Rechnungsstellung, Erfüllung steuerrechtlicher Pflichten
• Rechtsgrundlage: Vertragserfüllung — Art. 6 Abs. 1 lit. b; rechtliche Verpflichtungen (Steuer-/Handelsrecht) — Art. 6 Abs. 1 lit. c DSGVO
• Speicherdauer: nach den steuerrechtlichen Vorgaben des jeweiligen Landes (in Deutschland 10 Jahre nach § 147 AO für Rechnungen)

2.5 Transaktionale E-Mails

• Datenkategorien: E-Mail-Adresse, Nachrichteninhalt (Kontobestätigung, Passwort-Reset, Trial-Erinnerungen, Abrechnungsbenachrichtigungen, Sicherheitsmeldungen)
• Zweck: Zustellung dienstwesentlicher Mitteilungen
• Rechtsgrundlage: Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO
• Speicherdauer: wir archivieren keine Transaktions-E-Mails; sie werden nur so lange aufbewahrt, wie es für Zustellung und Rückläufer-Behandlung nötig ist

2.6 Support-Korrespondenz

• Datenkategorien: Name, E-Mail, Nachrichteninhalt, von Ihnen gesendete Anhänge
• Zweck: Beantwortung Ihrer Anfragen und Problemlösung
• Rechtsgrundlage: Vertrag oder vorvertragliche Maßnahmen — Art. 6 Abs. 1 lit. b; berechtigtes Interesse an Support-Bereitstellung — Art. 6 Abs. 1 lit. f DSGVO
• Speicherdauer: 24 Monate ab letzter Nachricht im Vorgang, danach Archivierung oder Löschung

2.7 Server-Logs (Sicherheit und Fehlerdiagnose)

• Datenkategorien: gekürzte IP-Adresse, Anfragepfad, Statuscode, User-Agent, Zeitstempel; Anwendungs-Warn-/Fehlerprotokolle
• Zweck: Sicherheitsüberwachung, Missbrauchsschutz, Fehlerdiagnose
• Rechtsgrundlage: berechtigtes Interesse am sicheren Betrieb — Art. 6 Abs. 1 lit. f DSGVO
• Speicherdauer: Fehler-/Warnprotokolle werden nach 7 Tagen gelöscht; Zugriffsprotokolle nach 30 Tagen

2.8 Cookies und ähnliche Technologien

Vollständige Übersicht in der Cookie-Richtlinie. Wir verwenden ausschließlich unbedingt erforderliche Cookies und Local-Storage-Einträge (Authentifizierungs-Sitzung, CSRF-Token, Sprachpräferenz). Keine Analyse-, Werbe- oder Tracking-Cookies.

2.9 Routing-Eingaben und automatisch gespeicherte Routen

• Datenkategorien: Start-, Ziel- und optionale Zwischenpunkt-Koordinaten, das zum Anfragezeitpunkt aktive eingefrorene Lkw-Profil (Abmessungen, Gewicht, Achsanzahl, Gefahrgutklasse), die von NAPSPAN erzeugte serialisierte Routengeometrie samt Anreicherungs-Overlay sowie Zeitstempel für Erstellung, letzten Abruf und TTL-Ablauf. Wir leiten weder Fahreridentität, Fahrzeugkennzeichen, Frachtbeschreibung noch Transportverlauf ab und speichern diese nicht.
• Zweck: Berechnung und Rückgabe des Routing-Ergebnisses, erneuter Abruf einer kürzlich berechneten Route ohne Verbrauch eines neuen Routing-Aufrufs, Durchsetzung von Kontingent und Missbrauchsschutz sowie — bei von Ihnen ausdrücklich dauerhaft gespeicherten Routen — Bereitstellung der gewünschten Speicherfunktion.
• Rechtsgrundlage: Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO — für Routen, die Sie im Rahmen eines Plans mit Routing-Funktion übermitteln.
• Empfänger / Auftragsverarbeiter: Die Koordinaten und das Lkw-Profil werden an HERE Technologies (HERE Global B.V., Niederlande) übermittelt, die als Auftragsverarbeiter für uns tätig wird (siehe Abschnitt 4). Wir übermitteln weder Ihre E-Mail, Ihren Namen, Ihre Firma, Ihren API-Schlüssel, Ihre Kontokennung noch ein sonstiges Kontomerkmal an HERE.
• Speicherdauer: automatisch gespeicherte Routen werden 30 Minuten nach Erstellung automatisch gelöscht. Von Ihnen ausdrücklich dauerhaft gespeicherte Routen werden aufbewahrt, bis Sie sie löschen oder Ihr Konto schließen.

2.10 Marketing- und Newsletter-E-Mails

• Datenkategorien: E-Mail-Adresse, Name, Ihr Newsletter-Abonnementstatus sowie der Zeitstempel Ihrer Einwilligung oder Ihres Widerrufs.
• Zweck: Versand unseres Newsletters — Produktneuigkeiten, Updates, Angebote und Tipps — nur soweit Sie diesen aktiv abonniert haben.
• Rechtsgrundlage: Ihre Einwilligung — Art. 6 Abs. 1 lit. a DSGVO. Das Abonnement-Kontrollkästchen ist standardmäßig nicht angehakt; das Abonnieren ist eine gesonderte, freiwillige, ausdrückliche Handlung. Wir setzen ein Double-Opt-in-Verfahren ein: Nach dem Anhaken senden wir eine Bestätigungs-E-Mail, und Sie werden erst dann in den Newsletter aufgenommen, wenn Sie den Bestätigungslink in dieser E-Mail anklicken.
• Widerruf der Einwilligung: Sie können sich jederzeit abmelden — über die Einstellungsseite des Entwicklerportals oder über den Abmeldelink in jedem Newsletter. Der Widerruf wird sofort wirksam und berührt weder die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung noch transaktionale E-Mails (Bestätigung, Abrechnung, Sicherheit), die zur Vertragserfüllung erforderlich sind.
• Speicherdauer: solange Sie abonniert sind; der Einwilligungs-/Widerrufs-Zeitstempel wird als Einwilligungsnachweis so lange aufbewahrt, wie es zum Nachweis gemäß Art. 7 Abs. 1 DSGVO erforderlich ist.

3. Was wir NICHT tun

• Wir verkaufen oder vermieten Ihre personenbezogenen Daten nicht an Dritte
• Wir geben Ihre Daten nicht an Werbetreibende oder Datenhändler weiter
• Wir betreiben keine Drittanbieter-Tracking-Pixel, Analyseskripte, Retargeting-Tags oder Session-Replay-Tools
• Wir profilieren Sie nicht zu Marketingzwecken
• Wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO
• Wir speichern Ihre vollständigen API-Schlüssel nicht (nur SHA-256-Hashes)

4. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an folgende Empfänger weiter, jeweils gebunden durch eine schriftliche Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO, soweit sie als Auftragsverarbeiter für uns tätig werden:

• Paddle.com Market Limited — Irland (Sitz) und Vereinigtes Königreich — Merchant of Record für den NAPSPAN-Dienst. Tätig als eigenverantwortlicher Verantwortlicher für Steuer-/Zahlungspflichten und als Auftragsverarbeiter für die Abonnementverwaltung. Verarbeitet: Name, E-Mail, Firma, Rechnungsland, USt.-Status / Steuernummer (soweit angegeben), Kartendaten und (tokenisierten) Karten-Fingerabdruck (ausschließlich bei Paddle gespeichert). Paddle, nicht NAPSPAN, ist für Berechnung, Erhebung und Abführung der MwSt. / GST / Sales Tax auf Transaktionen sowie für die Ausstellung rechtskonformer Rechnungen verantwortlich. Datenschutzerklärung: paddle.com/legal/privacy.
• Zoho Corporation — Zoho Mail SMTP-Relay für Transaktions-E-Mails. Empfängt zustellungsnotwendig E-Mail-Adresse und Nachrichteninhalt. Datenschutzerklärung: zoho.com/privacy.html.
• Hetzner Online GmbH — Deutschland — stellt die dedizierten Server und die verwaltete Datenbankinfrastruktur. AVV nach Art. 28 DSGVO geschlossen. Datenschutzerklärung: hetzner.com/legal/privacy-policy.
• Cloudflare, Inc. — USA, mit EU-basierten Verarbeitungsoptionen — eingesetzt für (i) DNS und Edge-TLS-Terminierung auf ausgewählten Hostnamen, wobei ausschließlich die zur Weiterleitung der Anfrage erforderlichen Anfrage-Metadaten (IP, Host, Pfad) verarbeitet werden; und (ii) Cloudflare Turnstile-CAPTCHA auf den Formularen für Registrierung, Anmeldung und Passwort-Reset. Turnstile erhebt einen Browser-/Geräte-Fingerabdruck und Verhaltenssignale des Besuchers und teilt diese zu Missbrauchs- und Bot-Erkennungszwecken mit Cloudflare; wir erhalten lediglich ein Pass/Fail-Ergebnis. Cloudflare bietet Standardvertragsklauseln für Verarbeitung außerhalb der EU. Datenschutzerklärung: cloudflare.com/privacypolicy.
• HERE Technologies (HERE Global B.V., Niederlande) — vorgelagerter Routing-Anbieter, der vom Lkw-Routing-Endpunkt genutzt wird und als Auftragsverarbeiter für uns im Sinne von Art. 28 DSGVO tätig ist. Bei einer Routing-Anfrage übermitteln wir an HERE ausschließlich: Start-, Ziel- und optionale Zwischenpunkt-Koordinaten sowie das Lkw-Profil (Abmessungen, Gewicht, Achsanzahl, Gefahrgutklasse). Wir übermitteln weder Ihre E-Mail, Ihren Namen, Ihre Firma, Ihren API-Schlüssel, Ihre Kontokennung noch ein sonstiges personenbeziehbares Kontomerkmal. HERE Global B.V. ist in der EU niedergelassen; für den Teil der Berechnung, der auf Infrastruktur außerhalb des EWR erfolgt, stützt sich HERE auf eigene geeignete Garantien (Standardvertragsklauseln oder Angemessenheit). Datenschutzhinweis von HERE: legal.here.com/privacy. Hinweis: Die NAPSPAN-API nennt HERE bewusst nicht in Routing-Antwortkörpern oder Antwort-Headern, um die Möglichkeit eines Anbieterwechsels ohne Beeinträchtigung von Integrationen zu wahren; die Transparenzpflichten der DSGVO verlangen jedoch, dass wir HERE hier benennen — diese Datenschutzerklärung ist die maßgebliche Offenlegung.
• Der Betreiber (Roman Kotenko, Ukraine) — administriert den Dienst aus der Ukraine; dies ist eine Datenübermittlung in ein Drittland (siehe Abschnitt 5).
• Behörden und Strafverfolgung — nur soweit nach EU- oder geltendem nationalen Recht zwingend verlangt und nur im erforderlichen Umfang.

Eine aktuelle Liste der Auftragsverarbeiter ist auf Anfrage unter [email protected] erhältlich.

5. Internationale Datenübermittlungen

Die Anwendungsserver und die primäre PostgreSQL-Datenbank des Dienstes werden in der Europäischen Union (Frankfurt am Main, Deutschland) gehostet. Es kommt jedoch zu bestimmten Übermittlungen außerhalb des EWR:

• Ukraine — administrativer Zugriff durch den Betreiber. Die Ukraine ist nicht Gegenstand eines Angemessenheitsbeschlusses nach Art. 45 DSGVO. Wir stützen uns auf die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914) sowie zusätzliche technische Schutzmaßnahmen (Verschlüsselung in Transit, verschlüsselter SSH-Zugang, Prinzip der minimalen Rechtevergabe), gemäß Art. 46 DSGVO.
• Vereinigtes Königreich (Paddle) — abgedeckt durch den Angemessenheitsbeschluss der Europäischen Kommission vom 28. Juni 2021.
• Indien (Zoho) — Zoho betreibt EU-Rechenzentren für EWR-Kunden; soweit Daten in Indien verarbeitet werden, gelten Standardvertragsklauseln.
• HERE Technologies (Niederlande; ggf. weitere Standorte als Unterauftragsverarbeiter von HERE) — Routenberechnung. HERE Global B.V. ist in der EU niedergelassen. Soweit die von HERE zur Bedienung unserer Anfragen genutzte Infrastruktur außerhalb des EWR liegt, stützt sich HERE auf eigene Garantien nach Art. 46 DSGVO (Standardvertragsklauseln, ggf. Angemessenheit). Die an HERE gesendeten Daten beschränken sich auf Koordinaten und ein Lkw-Profil (Abschnitt 4) und enthalten keine direkten Identifikatoren.

Eine Kopie der für eine konkrete Übermittlung geltenden Schutzmaßnahmen erhalten Sie auf Anfrage unter [email protected].

6. Ihre Rechte

Wenn Sie sich im EWR oder im Vereinigten Königreich befinden, haben Sie folgende Rechte aus DSGVO / UK GDPR. Zur Ausübung schreiben Sie an [email protected]; wir antworten innerhalb eines Monats (in komplexen Fällen verlängerbar um zwei weitere Monate, mit Hinweis an Sie).

• Auskunftsrecht (Art. 15 DSGVO): Bestätigung, ob wir Sie betreffende Daten verarbeiten, samt Datenkopie
• Recht auf Berichtigung (Art. 16): unrichtige oder unvollständige Daten korrigieren lassen; viele Felder sind im Entwicklerportal selbst änderbar
• Recht auf Löschung („Recht auf Vergessenwerden", Art. 17): Löschung verlangen, soweit ein gesetzlicher Grund vorliegt
• Recht auf Einschränkung der Verarbeitung (Art. 18): Einschränkung in den dort genannten Fällen
• Recht auf Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in strukturiertem, gängigem, maschinenlesbarem Format und Übermittlung an einen anderen Verantwortlichen
• Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen, einschließlich Profiling (wir betreiben kein Profiling)
• Rechte hinsichtlich automatisierter Einzelfallentscheidungen (Art. 22): wir treffen solche Entscheidungen nicht
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): jederzeit, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77): Sie können Beschwerde bei der Datenschutzbehörde Ihres EWR-Wohnsitzstaats, Arbeitsorts oder des Orts des mutmaßlichen Verstoßes einlegen. Eine Liste der EWR-Aufsichtsbehörden veröffentlicht der Europäische Datenschutzausschuss unter edpb.europa.eu/about-edpb/about-edpb/members. In Deutschland ist je nach Sachverhalt die Aufsichtsbehörde des Bundeslandes oder der/die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.

Die Ausübung dieser Rechte ist in der Regel kostenlos; bei offenkundig unbegründeten oder exzessiven Anträgen können wir nach Art. 12 Abs. 5 DSGVO ein angemessenes Entgelt verlangen oder das Tätigwerden verweigern.

7. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (Art. 32 DSGVO), insbesondere:

• HTTPS/TLS für sämtlichen API- und Website-Verkehr
• bcrypt-Passwort-Hashing
• SHA-256-Hashing der API-Schlüssel im Ruhezustand (vollständiger Schlüssel nur einmalig bei Erstellung sichtbar)
• verschlüsselte Datenträger auf der Hosting-Infrastruktur
• beschränkter, authentifizierter Datenbankzugang; Prinzip der minimalen Rechtevergabe
• HMAC-SHA256-Signatur der Webhook-Payloads
• verschlüsselte Off-Site-Datenbanksicherungen

8. Meldung von Datenschutzverletzungen

Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, melden wir den Vorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung (Art. 33 DSGVO); bei voraussichtlich hohem Risiko benachrichtigen wir Sie unverzüglich (Art. 34 DSGVO).

9. Kinder

Der Dienst richtet sich nicht an Personen unter 16 Jahren (bzw. an die höhere digitale Einwilligungsalter-Grenze in einem EWR-Mitgliedstaat) und ist nicht für deren Nutzung bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten Sie Kenntnis davon erlangen, dass uns ein Kind Daten übermittelt hat, kontaktieren Sie uns; wir löschen diese.

10. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Praktiken, das Recht oder unsere Infrastruktur ändern. Wesentliche Änderungen werden mindestens 14 Tage vor Inkrafttreten per E-Mail und durch Hinweis auf der Website mitgeteilt. Das Datum „Zuletzt aktualisiert" oben gibt die jüngste Fassung an.

11. Kontakt

Datenschutzanfragen und Rechteausübung an [email protected] oder an unseren EU-Vertreter wie im Impressum / Rechtliche Hinweise ausgewiesen.