Datenschutzerklärung
Stand: 10.7.2026
Pilot-Phase — vorläufige Fassung
Diese Datenschutzerklärung ist die vorläufige Pilot-Fassung. Eine anwaltliche Endprüfung durch eine spezialisierte Kanzlei steht vor dem produktiven Roll-out aus. Während der Pilot-Phase werden ausschließlich Demo- und Testdaten verarbeitet; eine Verarbeitung echter Sterbefall-Daten erfolgt nur im Rahmen einzelner Pilot- Verträge mit explizitem Side-Letter.
1. Verantwortliche Stelle
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Botan Barwary, Einzelunternehmer, handelnd unter der Marke „Skalator", Wilhelmstraße 17, 76275 Ettlingen. Sie erreichen uns unter bb@skalator.de sowie telefonisch unter +49 176 75992849. Die vollständigen Kontaktdaten finden Sie im Impressum.
2. Allgemeines zur Datenverarbeitung
Wir erheben und verwenden personenbezogene Daten unserer Nutzerinnen und Nutzer grundsaetzlich nur, soweit dies zur Bereitstellung einer funktionsfaehigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten erfolgt regelmäßig auf Grundlage eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) mit dem jeweiligen Bestattungshaus, das Mettare einsetzt. Innerhalb dieses Vertrages handelt Botan Barwary als Auftragsverarbeiter; der jeweilige Bestattungsdienstleister ist verantwortliche Stelle im Sinne der DSGVO für die in seinem Mandanten verarbeiteten Daten der Verstorbenen, Angehörigen, Behörden und Dienstleister.
3. Rechtsgrundlagen
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unsere Gesellschaft unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unserer Gesellschaft oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
4. Hosting und Server-Standort
Mettare wird auf Servern in Deutschland betrieben (derzeit Hetzner Online GmbH, Gunzenhausen). Es findet keine Übermittlung personenbezogener Daten in Drittstaaten außerhalb des Europäischen Wirtschaftsraums statt, soweit die Anwendung im Standard-Modus betrieben wird. Sollte für einzelne Mandanten die Option zur Anbindung externer Dienstleister (z. B. Resend für E-Mail-Versand, Stripe für Abrechnung) aktiviert werden, schließen wir mit diesen Anbietern Auftragsverarbeitungsverträge ab und informieren über den Drittstaatentransfer im jeweiligen Modul.
Wir verarbeiten Server-Logfiles (IP-Adresse, Datum, abgerufene Ressource, Status-Code, User-Agent), die für den sicheren Betrieb unserer Plattform notwendig sind. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden nach 30 Tagen automatisch gelöscht oder anonymisiert.
5. Cookies und vergleichbare Technologien
Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Anwendung erforderlich sind (Session-Cookies, CSRF-Token, NextAuth-Anmeldecookies). Diese Cookies enthalten keine Tracking-Identifikatoren und werden nicht an Dritte weitergegeben. Rechtsgrundlage ist § 25 Abs. 2 TTDSG sowie Art. 6 Abs. 1 lit. f DSGVO.
Wir setzen keine Analyse-, Werbe- oder Tracking-Cookies ein. Es findet keine Profilbildung statt; es werden keine Daten an Drittanbieter wie Google, Facebook oder vergleichbare Dienste übermittelt.
Die folgende Übersicht dokumentiert die aktuell eingesetzten Cookies sowie vergleichbare Technologien (z. B. localStorage). Eine interaktive Verwaltung Ihrer Auswahl ist unter /cookies möglich.
| Name | Zweck | Speicherdauer | Anbieter | Rechtsgrundlage |
|---|---|---|---|---|
| next-auth.session-token / __Secure-next-auth.session-token | Aufrechterhaltung der angemeldeten Sitzung im Bestatter-Backend. | 30 Tage (rollend), endet beim Logout | Mettare (Botan Barwary) | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG |
| next-auth.csrf-token / __Host-next-auth.csrf-token | Schutz vor Cross-Site-Request-Forgery bei der Anmeldung. | Sitzung | Mettare (Botan Barwary) | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG |
| next-auth.callback-url | Speichert das Ziel nach erfolgreicher Anmeldung (OAuth-Redirect). | Sitzung | Mettare (Botan Barwary) | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG |
| mettare-cookie-consent-v1 (localStorage) | Speichert die Auswahl der Besucherin im Cookie-Hinweis-Banner. Lokal im Browser-Speicher, keine Übertragung an den Server. | Bis zur Löschung durch die Nutzerin | Mettare (Botan Barwary) | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG |
6. Verarbeitung von Falldaten (Auftragsverarbeitung)
Innerhalb von Mettare verarbeiten Bestattungshäuser personenbezogene Daten von Verstorbenen, deren Angehörigen, Behörden, Friedhoefen und externen Dienstleistern, um Bestattungsauftraege auszufuehren. Diese Daten werden in einem je Mandanten isolierten Bereich gespeichert und sind weder für andere Bestattungshäuser noch für Mitarbeitende des Anbieters ohne Auftrag einsehbar.
Die Verarbeitung erfolgt im Rahmen eines Auftragsverarbeitungs- vertrages nach Art. 28 DSGVO zwischen dem jeweiligen Bestattungshaus und dem Anbieter (Botan Barwary). Der Vertrag regelt Zweckbindung, Sicherheitsmassnahmen, Subunternehmer und Lösch- fristen.
Löschfristen orientieren sich an den gesetzlichen Aufbewahrungs- fristen für Geschäftsunterlagen (handels- und steuerrechtlich regelmäßig zehn Jahre) sowie an den für Bestattungsunterlagen geltenden landesrechtlichen Vorgaben.
7. Anmeldung und Magic-Link
Die Anmeldung an Mettare erfolgt über einen einmaligen, zeitlich begrenzten Anmeldelink (Magic-Link). Dafür verarbeiten wir die angegebene E-Mail-Adresse, einen Token und das Ablaufdatum des Tokens. Die Daten dienen ausschließlich der Authentifizierung und werden nach Ablauf des Tokens automatisch gelöscht.
8. Versand von E-Mails (Resend)
Für den Versand transaktionaler E-Mails (Anmeldelinks, Benachrichtigungen an Angehörige) setzen wir den Dienst der Resend Inc., 2261 Market Street #4061, San Francisco, CA 94114, USA, ein. Mit Resend besteht ein Auftragsverarbeitungsvertrag inklusive EU-Standardvertragsklauseln. Verarbeitet werden die E-Mail-Adresse der Empfängerin sowie der Inhalt der Nachricht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.
9. Abrechnung (Stripe)
Für die Abrechnung des Mandanten setzen wir die Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin, Irland, ein. Verarbeitet werden Name, E-Mail, Rechnungsadresse, Steuer-ID und die Stripe-Customer- und Subscription-Identifikatoren. Stripe erhebt zusätzlich Zahlungsmittel-Daten direkt vom Inhaber des Mandanten; diese Daten werden nicht an uns übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
10. Rechte der betroffenen Personen
Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Sie haben ferner das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Anfragen zu Ihren Rechten richten Sie bitte schriftlich an die im Impressum genannte Adresse oder per E-Mail an datenschutz@skalator.de.
11. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung und unberechtigten Zugriff zu sichern: TLS-Verschlüsselung, separate Mandanten-Datenbanken auf Tabellen-Ebene, mehrstufige Berechtigungen, Audit-Logs mit Hashketten, regelmäßige Backups und dokumentierte Rollback-Verfahren. Wir verbessern unsere Sicherheitsmassnahmen entsprechend der technologischen Entwicklung fortlaufend.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.