FormboteZurück

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher, Geltungsbereich und EU-Vertreter

Verantwortlicher im Sinne der DSGVO, des BDSG sowie des TTDSG ist:

Formbote LLC

30 North Gould Street, Sheridan, WY 82801, USA

E-Mail: support-rundfunk-abmelden@formbote.de

Diese Datenschutzerklärung gilt für alle Verarbeitungen personenbezogener Daten im Zusammenhang mit dem Besuch der Website, der Auftragserteilung, der vollständigen Vertragsabwicklung sowie der Ausübung von Verbraucher- und Widerrufsrechten.

Da der Anbieter seinen Sitz außerhalb der EU hat, ist gemäß Art. 27 DSGVO ein EU-Vertreter benannt:

Finn Samer

Ehrenbergstr. 16a, 10245 Berlin, Deutschland

E-Mail: rundfunkbeitrag-datenschutz@formbote.de

2. Erhobene Datenkategorien

Stamm- und Auftragsdaten (Vertragserfüllung)

  • Vor- und Nachname, ggf. Anrede
  • E-Mail-Adresse
  • Aktuelle Wohnadresse, ggf. neue Wohnadresse
  • Einzugsdatum, ggf. Auszugsdatum
  • Beitragsnummer (eigene und ggf. Mitbewohner)
  • Geburtsdatum, soweit für die jeweilige Antragsart erforderlich

Forensische und technische Nachweisdaten

  • IP-Adresse bei jeder rechtsrelevanten Aktion (Auftragserteilung, Widerruf, Nachreichung)
  • User-Agent (Geräte- und Browserinformation)
  • Zeitstempel für jede rechtsrelevante Aktion
  • Kryptografischer Hash (SHA-256) der Vollmachts- und Antragsdokumente sowie der Einreichungsbelege
  • Aggregierte Browser-Umgebungskennung zur Erkennung missbräuchlicher Mehrfachbestellungen

Zahlungsdaten

Zahlungsdaten werden ausschließlich durch Stripe Inc. als PCI-DSS-konformen Zahlungsdienstleister verarbeitet. Wir speichern keine Roh-Zahlungsdaten; wir erhalten lediglich Zahlungsidentifikatoren und Statusinformationen.

Nutzungsdaten (nur bei Einwilligung)

Cookies, Seitenaufrufe und Interaktionsdaten über Web-Analyse- und Werbeanbieter — ausschließlich nach ausdrücklicher Einwilligung gemäß § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen:

a) Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO

Durchführung des beauftragten Workflows über die gesamte Leistungskette: Aufbereitung der Antragsunterlagen, Erstellung der digitalen Vollmacht, Datenübermittlung an die zuständige Stelle, Rechnungsstellung, Bearbeitung von Widerrufen und Nachreichungen sowie Erstellung des Leistungsnachweises.

b) Rechtliche Verpflichtungen — Art. 6 Abs. 1 lit. c DSGVO

Erfüllung steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB), Pflichten aus der DSGVO (Art. 30 VVT, Art. 33/34 Meldepflichten) sowie Bearbeitung von Betroffenenanfragen (Art. 12 ff. DSGVO).

c) Berechtigte Interessen — Art. 6 Abs. 1 lit. f DSGVO

Erhebung forensischer Nachweisdaten (IP-Adresse, Zeitstempel, Dokument-Hash) zum Schutz vor Missbrauch, zur Betrugsprävention und zur Nachweisbarkeit der Bevollmächtigung in Streitfällen. Die Interessenabwägung ergibt, dass das berechtigte Interesse an der Beweissicherung die schutzwürdigen Interessen der Betroffenen nicht überwiegt, da die Verarbeitung auf das technisch erforderliche Minimum beschränkt bleibt und keine Profilbildung stattfindet.

d) Einwilligung — Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG

Einsatz von Analyse- und Werbe-Cookies ausschließlich nach ausdrücklicher Einwilligung. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

e) Betroffenenrechte — Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 12 ff. DSGVO

Bearbeitung von Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

4. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Grundlage besteht. Mit allen externen Dienstleistern bestehen AVV gemäß Art. 28 DSGVO.

  • Zuständige öffentliche Stellen (insb. ARD ZDF Deutschlandradio Beitragsservice) — Art. 6 Abs. 1 lit. b DSGVO
  • Stripe Inc. (USA) — Zahlungsabwicklung, PCI-DSS-konform — Art. 6 Abs. 1 lit. b DSGVO
  • Resend Inc. (USA) — Versand vertragsrelevanter E-Mails — Art. 6 Abs. 1 lit. b DSGVO
  • Lovable Inc. (USA) — Anwendungs-Hosting — Art. 6 Abs. 1 lit. f DSGVO
  • Supabase Inc. (USA, EU-Region Frankfurt) — Datenbankinfrastruktur — Art. 6 Abs. 1 lit. b DSGVO
  • Google LLC (USA) — Reichweitenmessung und Werbung (ausschließlich nach Einwilligung) — Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG
  • Cookiebot (Cybot A/S, Dänemark) — Cookie-Consent-Management — Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG
  • Railway Corp. (USA) — Workflow-Hosting — Art. 6 Abs. 1 lit. f DSGVO
  • Inkasso- und Rechtsdienstleister (soweit im Einzelfall erforderlich) — Art. 6 Abs. 1 lit. f DSGVO

Eine Weitergabe an sonstige Dritte findet nicht statt. Kein Verkauf und keine Vermietung personenbezogener Daten.

5. Datenübermittlung in Drittländer

Personenbezogene Daten werden teilweise an Empfänger in Drittländern (insbesondere USA) übermittelt. Die Übermittlung erfolgt ausschließlich auf Grundlage geeigneter Garantien:

  • Angemessenheitsbeschluss gemäß Art. 45 DSGVO (EU-US Data Privacy Framework), soweit der Empfänger zertifiziert ist
  • Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Ergänzende TOM: Transportverschlüsselung (TLS), Verschlüsselung at-rest, Pseudonymisierung, Zugangsbeschränkung

6. Speicherorte der Daten

  • Anwendungs-Hosting: Lovable Edge-Netzwerk. Anfragen bevorzugt aus EU-Knoten.
  • Primärdatenbank: Supabase — verschlüsselt at-rest, Verbindungen über aktuelle TLS-Versionen.
  • Dokumentenspeicher: PDF-Dokumente abgelegt in Objektspeicher, Zugriff über zeitlich begrenzte signierte URLs.
  • Zahlungsdaten: Vollständig in Stripe-Infrastruktur. Wir erhalten nur Zahlungsidentifikatoren.
  • E-Mail-Zustelldaten: Temporäre Verarbeitung bei Resend.
  • Backups: Datenbankdaten werden täglich automatisch gesichert. Backups verbleiben innerhalb der EU (Region Frankfurt) und werden für 7 Tage aufbewahrt (Supabase Pro Plan).

7. Nachvollziehbarkeit der Verarbeitungskette

Jede rechtsrelevante Aktion wird mit einem unveränderlichen Audit-Eintrag erfasst. Zentrale Audit-Daten sind über das Kundenportal einsehbar oder auf Anfrage erhältlich.

a) Beauftragungs-Dokumentation

Mit Absenden des Auftragsformulars werden erfasst: Zeitpunkt des Vertragsschlusses, IP-Adresse, User-Agent, Zeitpunkt und Inhalt der erteilten Einwilligungen (AGB-Zustimmung, Vollmachtserteilung, Zustimmung zum Sofortbeginn der Leistungserbringung) sowie SHA-256-Hash der Vollmachts- und Antragsdokumente.

b) Widerrufs-Dokumentation

Bei Widerruf: Eingangszeitpunkt, Übermittlungsweg, IP-Adresse, Inhalt der Widerrufsbestätigung, Stornorechnungs-Referenzen. Den Zeitpunkt der Auftragsbestätigung können Sie im Kundenportal einsehen.

c) Erfüllungs-Dokumentation

Übermittlung der Unterlagen: Zeitpunkt, SHA-256-Hash der eingereichten Dokumente, Zeitstempel und Inhalt des Einreichungsbelegs sowie etwaiger Rückläufe.

d) Zweckbindung der Beweis-Metadaten

Alle forensischen Nachweisdaten werden ausschließlich zur Beweissicherung verwendet. Keine Profilbildung, keine Bonitätsbewertung, keine Weitergabe zu Werbe- oder Bewertungszwecken.

8. Speicherdauer

  • Auftragsdaten: 90 Tage nach Auftragsabschluss und Zahlungseingang, sofern keine Pflichten oder offene Forderungen entgegenstehen
  • Rechnungs- und Zahlungsdaten: 10 Jahre (§§ 147 AO, 257 HGB)
  • Vollmachtsdokumente und forensische Nachweise: 3 Jahre (§§ 195, 199 BGB), bei Streitigkeiten länger
  • Kundenservice-Korrespondenz: 3 Jahre ab letztem Kontakt
  • Audit-Logs der Verarbeitungskette: 3 Jahre ab Auftragsabschluss (Art. 5 Abs. 2 DSGVO)
  • Analyse-Cookies: Gemäß Aufbewahrungsfristen des jeweiligen Dienstes, standardmäßig 14 Monate

Sonderregelung bei offenen Forderungen

Solange eine Forderung offen ist (Mahn- oder Inkassoverfahren), werden alle zugehörigen Daten über die oben genannten Fristen hinaus gespeichert, bis die Forderung beglichen, rechtskräftig festgestellt oder verjährt ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f und lit. c DSGVO.

Löschverfahren

Nach Ablauf der Aufbewahrungsfristen werden Daten in regelmäßigen Löschläufen unwiderruflich aus der Primärdatenbank entfernt. In Backups verbleiben Daten bis Ablauf der Backup-Frist; innerhalb dieses Zeitfensters werden sie nicht aktiv verarbeitet.

9. Cookies, Tracking und E-Mail-Dokumentation

(1) Technisch notwendige Cookies: Für den Betrieb der Plattform erforderlich (Session-Cookies, Speicherung Ihrer Cookie-Auswahl). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

(2) Analyse- und Werbe-Cookies: Nur nach ausdrücklicher Einwilligung. Jederzeit widerrufbar ohne Auswirkung auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Wir verwenden Cookiebot als Consent-Management-Plattform und Google Consent Mode v2. Bei Ablehnung werden keine Analyse- oder Werbe-Cookies gesetzt.

(3) E-Mail-Zustelldokumentation: Bei Versand vertragsrelevanter E-Mails dokumentieren wir den Eingang und das Öffnen. Erfasst werden: IP-Adresse des Mail-Clients (volle Adresse 90 Tage, danach Anonymisierung auf Subnetz-Ebene), User-Agent des Mail-Clients, Zeitstempel, bei Linkklicks die Ziel-URL. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Widerspruch: Deaktivierung externer Bilder im Mail-Client verhindert diese Erhebung.

10. Ihre Rechte als betroffene Person

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung, soweit keine Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen richten Sie an: support-rundfunk-abmelden@formbote.de oder an den EU-Vertreter. Bearbeitung innerhalb der gesetzlichen Monatsfrist (Art. 12 Abs. 3 DSGVO). Verlängerung um zwei Monate bei komplexen Anfragen möglich.

11. Automatisierte Entscheidungsfindung

Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Soweit automatisierte Risikoindikatoren zur Missbrauchsprävention erhoben werden, dienen diese ausschließlich der Unterstützung einer abschließenden menschlichen Entscheidung.

12. Verbindliche Compliance-Richtlinien

a) Auftragsverarbeitungsverträge (Art. 28 DSGVO)

Mit allen externen Dienstleistern, die personenbezogene Daten verarbeiten, bestehen schriftliche AVV mit Weisungsbindung, Vertraulichkeit, TOM-Mindeststandards, Lösch- und Rückgabepflichten.

b) Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Transportverschlüsselung (aktuelle TLS-Versionen) für alle externen Verbindungen
  • Verschlüsselung at-rest aller persistenten Speicher
  • Rollenbasierte Zugriffskontrolle mit Mehr-Faktor-Authentifizierung
  • Automatisierte Backups mit Wiederherstellungsprüfung
  • Getrennte Test- und Produktionsumgebungen

c) Privacy by Design und Privacy by Default (Art. 25 DSGVO)

Datenschutz wird bei der Konzeption neuer Funktionen von Beginn an als Gestaltungskriterium berücksichtigt. Standardeinstellungen werden auf das datenschutzfreundlichste Niveau gesetzt.

d) Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Wir führen ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten und legen es auf Anfrage einer zuständigen Aufsichtsbehörde unverzüglich vor.

e) Meldepflicht bei Datenschutzverletzungen (Art. 33/34 DSGVO)

Dokumentierter interner Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen innerhalb von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde.

f) Regelmäßige Überprüfung

Alle Richtlinien werden mindestens jährlich sowie anlassbezogen überprüft und an geänderte rechtliche Rahmenbedingungen angepasst.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Eine Übersicht der deutschen Aufsichtsbehörden: www.bfdi.bund.de

Unabhängig vom Beschwerderecht steht Ihnen jederzeit der ordentliche Rechtsweg offen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei geänderten rechtlichen oder technischen Rahmenbedingungen anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer soweit möglich per E-Mail.