Datenschutzerklärung
Michel Solution UG · Stand: April 2026
§ 1 Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Michel Solution UG (haftungsbeschränkt)
Untere Seefeld Str. 4, 82234 Weßling
HRB 295743, Amtsgericht München
E-Mail: info@zertifikatetogo.com
Fachliche Verantwortung §43 IfSG: Dr. med. Werner Michel, Herzog-Wilhelm-Str. 17, 80331 München.
Ein Datenschutzbeauftragter ist gemäß § 38 BDSG i.V.m. Art. 37 DSGVO nicht bestellungspflichtig. Datenschutzanfragen richten Sie bitte an: info@zertifikatetogo.com
§ 2 Verarbeitete Datenkategorien
- Stammdaten: Name, E-Mail-Adresse
- Kontodaten: Passwort (bcrypt-gehasht, niemals im Klartext gespeichert)
- Zahlungsdaten: Transaktions-ID (via Stripe; keine vollständigen Kreditkartendaten beim Anbieter)
- Kursdaten: gebuchte Kurse, Testergebnis, Abschlussdatum, Gültigkeitsdatum
- Zertifikatsdaten: Name, Kurs, Ausstellungsdatum, Gültigkeitsdatum, cert_id
- Technische Daten: IP-Adresse, Browser-Kennung, Zugriffszeitpunkt (Server-Logs)
§ 3 Zwecke und Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
Kontoerstellung, Freischaltung des Kurszugangs, Zertifikatsausstellung, Zahlungsabwicklung, Versand der Auftragsbestätigung per E-Mail.
Art. 6 Abs. 1 lit. c DSGVO — Gesetzliche Pflicht
Aufbewahrung von Rechnungen und Buchungsbelegen (§ 147 AO, 10 Jahre), Dokumentation der §43 IfSG Belehrungen.
Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse
Betrieb und Sicherheit der Plattform, Erkennung und Abwehr von Missbrauch, Schutz der Integrität ausgestellter Zertifikate.
§ 4 Öffentliche Zertifikatsdaten
Name, Kurs, Ausstellungsdatum und Gültigkeitsdatum sind über zertifikatetogo.com/verify.html für jeden abrufbar, dem die cert_id (Zertifikatsnummer) bekannt ist. Zweck dieser öffentlichen Abrufbarkeit ist die Verifikation durch Arbeitgeber und Behörden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da Verifizierbarkeit Vertragsbestandteil ist) sowie lit. f (berechtigtes Interesse des Zertifikatsinhabers und der prüfenden Stellen). Ein Widerspruch nach Art. 21 DSGVO führt zur Sperrung des öffentlichen Abrufs (§ 7 Abs. 6 dieser Erklärung).
§ 5 Drittanbieter
Supabase — Datenbank und Authentifizierung
Supabase Inc. · Serverstandort: Frankfurt/Main (EU)
Zweck: Speicherung von Nutzerkonten, Kursdaten, Zertifikaten; Authentifizierung.
Drittlandtransfer: keiner — EU-Region ausschließlich.
AVV gemäß Art. 28 DSGVO: geschlossen.
supabase.com/privacy
Stripe — Zahlungsabwicklung
Stripe Payments Europe Ltd., Dublin (Irland)
Zweck: Zahlungsabwicklung, Ausstellung von Zahlungsbelegen.
Drittlandtransfer: teilweise USA über Standardvertragsklauseln (SCCs) und EU-US Data Privacy Framework.
AVV: geschlossen (Stripe Services Agreement, Data Processing Addendum).
stripe.com/de/privacy
Netlify — Hosting und Backend-Funktionen
Netlify Inc., San Francisco, USA
Zweck: Hosting der Website, Ausführung der Backend-Funktionen (Checkout, Zertifikatsgenerierung, Verifikation).
Drittlandtransfer: USA über Standardvertragsklauseln (SCCs).
AVV: geschlossen (Netlify Data Processing Agreement).
netlify.com/privacy
Schriftarten (DM Sans, Playfair Display)
Die verwendeten Schriftarten werden lokal aus dem Verzeichnis /fonts/ dieser Website geladen. Es erfolgt kein Datentransfer an Dritte (insbesondere nicht an Google-Server).
§ 6 Cookies und lokale Speicherung
Diese Website verwendet ausschließlich technisch notwendige Speicherung:
- Supabase Auth-Token im localStorage des Browsers — für die Login-Funktion erforderlich. Keine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO notwendig, da technisch notwendig (Rechtsgrundlage: lit. b).
- Session-Daten im sessionStorage — temporär, werden beim Schließen des Browser-Tabs automatisch gelöscht.
- Cookie-Hinweis-Status (Schlüssel:
zrt-cookie-ok) im localStorage — speichert, ob der Hinweis bestätigt wurde.
Keine Analyse-Cookies. Keine Marketing-Cookies. Keine Tracking-Pixel. Kein Cookie-Consent-Banner erforderlich.
§ 7 Ihre Rechte
Sie haben gegenüber dem Anbieter folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) — insbesondere gegen die öffentliche Abrufbarkeit von Zertifikatsdaten (§ 4 dieser Erklärung)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Anfragen richten Sie bitte an info@zertifikatetogo.com. Die Frist zur Beantwortung beträgt einen Monat (Art. 12 Abs. 3 DSGVO).
Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, poststelle@lda.bayern.de, lda.bayern.de
§ 8 Speicherdauer
| Datenkategorie |
Speicherdauer |
Grundlage |
| Nutzerkontodaten |
Bis zur Kontolöschung + 30 Tage |
Art. 6 lit. b DSGVO |
| Zertifikatsdaten |
10 Jahre |
§ 147 AO, §43 IfSG-Dokumentationspflicht |
| Rechnungen und Zahlungsbelege |
10 Jahre |
§ 147 AO |
| Server-Logs (Netlify) |
30 Tage |
Art. 6 lit. f DSGVO |
| E-Mail-Korrespondenz |
3 Jahre |
§ 195 BGB (allg. Verjährungsfrist) |
§ 9 Datensicherheit
- Alle Verbindungen werden über HTTPS/TLS verschlüsselt übertragen.
- Passwörter werden ausschließlich als bcrypt-Hash gespeichert (Supabase Auth). Klartextzugriff ist technisch ausgeschlossen.
- Row Level Security (RLS) in der Datenbank stellt sicher, dass Nutzer ausschließlich auf ihre eigenen Daten zugreifen können.
- Stripe Webhook-Signaturen werden serverseitig geprüft, bevor Zahlungsereignisse verarbeitet werden.
- API-Schlüssel und Dienstgeheimnisse sind ausschließlich in Netlify-Umgebungsvariablen hinterlegt und nicht im Quellcode enthalten.
§ 10 Änderungen dieser Erklärung
Diese Datenschutzerklärung wird bei Bedarf aktualisiert. Die jeweils aktuelle Version ist abrufbar unter zertifikatetogo.com/datenschutz.html. Bei wesentlichen Änderungen, die Rechte der betroffenen Personen berühren, werden registrierte Nutzer per E-Mail informiert.
Michel Solution UG (haftungsbeschränkt) · HRB 295743 · USt-IdNr.: DE369907568 · info@zertifikatetogo.com