Datenschutzerklärung
Stand: 22. April 2026
1. Verantwortlicher
E-BOTEN.DE GmbH
Mülheimer Straße 18, 53840 Troisdorf
E-Mail: info@e-boten.de
Telefon: +49 176 21252219
2. Übersicht der Verarbeitungen
E-BOTEN.DE Services ist eine Logistik-ERP-Plattform für Apothekenbotendienste. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Auftragsabwicklung und des Betriebs unserer Dienste.
3. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z.B. GPS-Tracking, Cookie-Zustimmung)
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Auftragsabwicklung, Lieferdienst)
- Art. 6 Abs. 1 lit. c DSGVO — Gesetzliche Pflichten (Aufbewahrungsfristen, Arbeitszeitgesetz)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Systemsicherheit, Betrugsprävention)
- Art. 88 DSGVO i.V.m. § 26 BDSG — Beschäftigtendatenschutz
4. Kategorien personenbezogener Daten
4.1 Mitarbeiter- und Fahrerdaten
- Name, E-Mail, Telefonnummer
- Geburtsdatum, Nationalität, Adresse
- Führerscheinnummer und -ablaufdatum
- Vertragsdaten (Vertragsart, Stundenlohn, Personalnummer)
- Arbeitszeitdaten (Stempeluhr, Pausenzeiten)
- Standortdaten (GPS) während der Arbeitszeit
- Abwesenheiten und Urlaubssalden
- Notfallkontakt (Name und Telefon)
4.2 Empfängerdaten (Lieferadressen)
- Name, Adresse, Telefonnummer
- Lieferhinweise und Zugangscodes
- Koordinaten der Lieferadresse
4.3 Nutzerdaten (Systemzugang)
- Name, E-Mail-Adresse
- Rolle und Berechtigungen
- Passwort (verschlüsselt gespeichert, bcrypt)
- Session-Daten (JWT-Token)
4.4 Auftragsdaten
- Auftrags- und Tourdetails
- Zustellnachweise (Unterschriften, Fotos)
- Abrechnungsdaten
5. Standorterfassung (GPS-Tracking)
Für die Tourenplanung und Sendungsverfolgung erfassen wir den Standort von Fahrern während der aktiven Arbeitszeit. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie die Einwilligung des Fahrers.
- Erfassung erfolgt nur bei aktiver Anmeldung in der Fahrer-App
- GPS-Daten werden nach 90 Tagen automatisch gelöscht
- Zugriff nur für Disponenten und Administratoren
- Die Einwilligung kann jederzeit widerrufen werden
6. Zeiterfassung
Gemäß § 3 Abs. 2 Nr. 1 ArbSchG und dem BAG-Urteil zur Arbeitszeiterfassung sind wir verpflichtet, Arbeitszeiten zu dokumentieren. Dabei werden Ein-/Ausstempelzeiten sowie optionale GPS-Koordinaten am Stempelort erfasst.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).
6b. Hosting und Speicherort der Daten
Die primäre Datenhaltung (Applikation, Datenbank, Backups) erfolgt ausschließlich auf Servern innerhalb der Europäischen Union:
| Komponente | Standort | Anbieter |
|---|---|---|
| Webserver (Applikation) | Frankfurt am Main, Deutschland | Hostinger International Ltd. |
| Datenbank (PostgreSQL) | Frankfurt am Main, Deutschland | Hostinger International Ltd. (gleicher Server) |
| TLS-Zertifikate | EU | Let's Encrypt (ISRG) |
| DNS | Global (Anycast) | Wix.com (A-Record) |
Backups werden verschlüsselt auf dem gleichen Server gespeichert. Eine Übertragung der Datenbank-Inhalte in andere Rechenzentren erfolgt nicht.
Für einzelne, klar abgegrenzte Funktionen (OCR-Belegerkennung und Kartendienste) werden Daten punktuell an Auftragsverarbeiter in denUSA übermittelt (siehe Abschnitt 7). Diese Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert bzw. es bestehen EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO.
7. Empfänger und Auftragsverarbeiter
| Dienst | Zweck | Daten | Sitz | Rechtsgrundlage Transfer |
|---|---|---|---|---|
| Hostinger International Ltd. | Hosting (Webserver, Datenbank) | Alle Applikationsdaten | Zypern / Server in Frankfurt (EU) | DSGVO-konform, kein Drittstaaten-Transfer |
| IONOS SE | SMTP / E-Mail-Versand | E-Mail-Adressen, Namen, Mail-Inhalte | Deutschland (EU) | DSGVO-konform, kein Drittstaaten-Transfer |
| OpenStreetMap / Nominatim | Geocoding von Adressen | Adressen, Koordinaten | EU | DSGVO-konform |
| OpenRouteService (HeiGIT gGmbH) | Routen-Fallback | Wegpunkte | Heidelberg, Deutschland (EU) | DSGVO-konform |
| Google LLC (Maps & Directions API) | Kartenanzeige, Adress-Autocomplete, Routenoptimierung | Adressen, Koordinaten, Wegpunkte | USA | Art. 46 DSGVO (SCC) + EU-US Data Privacy Framework |
| Google LLC (Gemini API) | OCR-Erkennung von Rezepten und Etiketten | Hochgeladene Bilder, erkannter Text (Empfängerdaten) | USA | Art. 46 DSGVO (SCC) + EU-US Data Privacy Framework |
| Anthropic, PBC (Claude API) | OCR-Fallback + Sprach-zu-Text-Extraktion | Hochgeladene Bilder, diktierte Texte, erkannter Text | USA | Art. 46 DSGVO (SCC) |
Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO (Auftragsverarbeitungsvereinbarung — AVV). Die genannten US-Anbieter verarbeiten Daten nach eigenen Angaben nicht für eigene Zwecke und trainieren keine KI-Modelle mit den übermittelten Inhalten.
Eine Liste der aktuellen Unterauftragsverarbeiter stellen wir Pilot-Apotheken-Kunden auf Anfrage im Rahmen der AVV zur Verfügung.
8. Cookies und Speichertechnologien
Wir verwenden ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Dauer |
|---|---|---|
| authjs.session-token | Authentifizierung / Session | Sitzung (max. 30 Tage) |
| cookie-consent | Speicherung der Cookie-Einwilligung | 365 Tage |
Analyse- oder Marketing-Cookies werden nicht eingesetzt.
9. Speicherdauer und Löschfristen
| Datenkategorie | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| GPS-Positionsdaten | 90 Tage | Datenminimierung |
| Arbeitszeitdaten | 2 Jahre nach Ausscheiden | ArbZG, Nachweisgesetz |
| Abrechnungsdaten | 10 Jahre | § 147 AO, § 257 HGB |
| Auftragsdaten | 6 Jahre | § 257 HGB |
| Bewerberdaten | 6 Monate nach Absage | AGG |
| Zustellnachweise | 3 Jahre | § 195 BGB (Verjährung) |
Nach Ablauf der Fristen werden die Daten automatisch gelöscht oder anonymisiert.
10. Ihre Rechte als betroffene Person
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO) — Welche Daten wir über Sie speichern
- Berichtigungsrecht (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO) — Löschung Ihrer Daten ("Recht auf Vergessenwerden")
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in maschinenlesbarem Format
- Widerspruchsrecht (Art. 21 DSGVO)
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@e-boten.de
11. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de
12. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:
- TLS-Verschlüsselung (HTTPS) für alle Verbindungen
- Passwörter werden mit bcrypt gehasht (nicht im Klartext gespeichert)
- Rollenbasierte Zugriffskontrolle (RBAC)
- Rate-Limiting zum Schutz vor Brute-Force-Angriffen
- Security-Header (CSP, HSTS, X-Frame-Options)
- Regelmäßige Sicherheitsaudits
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.