Datenschutzrechtlicher Erhebungsbogen

Datenschutz

Verfahrensstand: 16. Juli 2026

Die nachstehende Erklärung protokolliert, welche personenbezogenen Daten beim Ansehen, Bezahlen, Drücken und freiwilligen Verewigen verarbeitet werden. Trotz des dienststellenähnlichen Vokabulars findet keine Datenübermittlung an eine deutsche Knopfoberbehörde statt, weil eine solche erfreulicherweise nicht besteht.

DSGVO-Vorgang ohne Stempelpflicht

Art. 01

Verantwortliche Stelle

Only a Button
Inhaber: Patrick Brockhaus
Ladungsfähige Geschäftsanschrift folgt
E-Mail: hello@onlyabutton.com

Ein Datenschutzbeauftragter ist nicht bestellt, weil die gesetzlichen Bestellvoraussetzungen nach gegenwärtigem Verfahrensumfang nicht vorliegen. Datenschutzanliegen erreichen unmittelbar die vorstehende Stelle.

Art. 02

Rechtsgrundlagenverzeichnis

  • Art. 6 Abs. 1 Buchst. b DSGVO für Vertragsanbahnung, Zahlung, Bereitstellung und Support.
  • Art. 6 Abs. 1 Buchst. c DSGVO für steuer-, handels- und sonstige gesetzliche Aufbewahrungspflichten.
  • Art. 6 Abs. 1 Buchst. f DSGVO für Betriebssicherheit, Missbrauchsabwehr, Fehleranalyse und Verteidigung von Rechtsansprüchen.
  • Art. 6 Abs. 1 Buchst. a DSGVO für ausdrücklich freiwillige Veröffentlichungen und das gezielte Laden externer Videoinhalte.

Soweit eine Verarbeitung auf berechtigten Interessen beruht, bestehen diese in einem sicheren, funktionsfähigen und gegen Mehrfachmissbrauch geschützten Angebot. Die Interessen wurden gegen die Rechte der betroffenen Personen abgewogen.

Art. 03

Aufruf der Website und Hostingprotokolle

Die Anwendung wird bei Hostinger betrieben. Beim Abruf können technisch erforderliche Protokolldaten verarbeitet werden: IP-Adresse, Datum und Uhrzeit, aufgerufene Adresse, übertragene Datenmenge, Statuscode, Referrer, Browser- und Betriebssystemangaben. Dies ist erforderlich, um Inhalte auszuliefern, Angriffe abzuwehren und Störungen nachzuvollziehen.

Empfänger ist Hostinger International Ltd. mit verbundenen Hosting- und Infrastrukturunternehmen. Protokolle werden gelöscht, sobald sie für Betrieb und Sicherheit nicht mehr benötigt werden; längere Aufbewahrung erfolgt nur bei einem konkreten Sicherheitsvorfall oder gesetzlicher Pflicht.

Datenschutzhinweise von Hostinger

Art. 04

Kurzfristige IP-Sperrvermerke

Zum Schutz von Checkout und Aktenänderung wird die IP-Adresse kurzfristig für Sperrzähler verwendet. Beim Schloss-Prüfantrag wird daraus mit einem geheimen Schlüssel ein HMAC-Prüfwert gebildet; die Klartext-IP wird nicht in der Vorgangsdatenbank gespeichert. Der Prüfwert begrenzt automatisierte Massenanfragen innerhalb eines 60-Sekunden-Fensters und wird nach Ablauf nicht weiter zur Wiedererkennung genutzt. Rechtsgrundlage ist Art. 6 Abs. 1 Buchst. f DSGVO.

Art. 05

Zahlungsabwicklung durch Stripe

Nach Betätigung des Knopfes oder Beantragung eines Schloss-Prüfversuchs wird zum Stripe Checkout weitergeleitet. Dort verarbeitet Stripe insbesondere E-Mail-Adresse, Zahlungs- und Rechnungsdaten, Betrag, Währung, Zeitpunkt, Geräte-, Netzwerk- und Betrugspräventionsdaten. Only a Button erhält keine vollständigen Karten- oder Kontodaten, sondern Zahlungsstatus, Transaktionskennung, E-Mail-Adresse beziehungsweise deren Abrufmöglichkeit und abrechnungsrelevante Angaben.

Stripe handelt je nach Verarbeitung als Auftragsverarbeiter und für bestimmte regulierte Zahlungs-, Sicherheits- und Compliance-Zwecke als eigener Verantwortlicher. Beteiligte Gesellschaften sind insbesondere Stripe Payments Europe, Limited und Stripe Technology Company, Limited in Irland sowie Zahlungsnetzwerke und die gewählte Bank beziehungsweise Zahlart.

Nach erfolgreicher Zahlung erstellt Stripe eine elektronische Rechnung beziehungsweise Zahlungs- und Vertragsbestätigung und stellt sie an die im Checkout angegebene E-Mail-Adresse zu. Hierfür werden die bereits für die Zahlungsabwicklung erhobenen Kontakt-, Transaktions-, Steuer- und Rechnungsangaben verwendet.

Datenschutzerklärung von Stripe

Art. 06

Urkunden- und Vorgangsdatenbank

Nach bestätigter Zahlung werden in einer bei Supabase betriebenen Datenbank die für Bereitstellung und Nachweis erforderlichen Vorgangsdaten gespeichert: laufende Drucknummer, Stripe-Sitzungskennung, öffentliches Aktenzeichen, Sprache, Betrag, Währung, Zeitpunkt, technische Zuordnungs- und Integritätswerte sowie gegebenenfalls freiwillige Profilangaben und Einstellungen.

Für Schloss-Prüfversuche werden gesondert eine interne Vorgangskennung, Stripe-Sitzungskennung, Sprache, Betrag, Währung, Zahlungszeitpunkt, ein HMAC-Prüfwert der eingegebenen Kombination und das interne Prüfergebnis gespeichert. Die zwölfstellige Kombination selbst wird weder im Klartext noch in Stripe-Metadaten gespeichert. Das Prüfergebnis wird erst nach bestätigter Zahlung an denselben Browser ausgegeben. Ein Schloss-Prüfversuch erzeugt keine öffentliche Urkundenadresse.

Supabase, Inc. verarbeitet diese Daten als Auftragsverarbeiter auf Grundlage eines Datenverarbeitungsvertrags. Je nach gewählter Infrastruktur können Unterauftragnehmer beteiligt sein.

Datenschutzhinweise von Supabase

Art. 07

Pseudonymisierter E-Mail-Abgleich

Für die Erkennung wiederholter Knopfbetätigungen wird die von Stripe übermittelte normalisierte E-Mail-Adresse mit SHA-256 in einen Hashwert umgewandelt. In der Urkunden-Datenbank wird nur dieser Hashwert, nicht die Klartextadresse, gespeichert. Der Hash ist eine Pseudonymisierung und keine Anonymisierung; er wird daher weiterhin als personenbezogenes Datum behandelt.

Zweck sind Vorgangskonsistenz, Missbrauchsabwehr und die technische Zuordnung des digitalen Ergebnisses. Rechtsgrundlagen sind Art. 6 Abs. 1 Buchst. b und f DSGVO.

Art. 08

Öffentliche Urkunde und freiwillige Registerangaben

Für jeden bezahlten Vorgang wird eine öffentlich aufrufbare Urkundenadresse erzeugt. Öffentlich sichtbar sind Aktenzeichen, laufende Nummer, Zeitpunkt und die daraus erzeugte Urkunde. Ohne freiwillige Eingabe wird ein neutraler Platzhaltername verwendet.

Anzeigename und Stadt werden nur veröffentlicht, wenn sie nach der Zahlung eigenständig eingetragen werden. Die Veröffentlichung ist freiwillig und für die Vertragserfüllung nicht erforderlich. Es sollte ein Pseudonym verwendet und auf unnötige personenbezogene Angaben verzichtet werden. Die öffentliche Adresse kann geteilt, von Suchmaschinen erfasst, in Vorschauen zwischengespeichert und durch Dritte kopiert werden.

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft an hello@onlyabutton.com widerrufen werden. Der eigene öffentliche Eintrag wird dann entfernt oder pseudonymisiert, soweit keine vorrangige Pflicht entgegensteht. Bereits von Dritten erstellte Kopien können nicht vollständig zurückgeholt werden.

Art. 09

Cookies, Endgerätespeicher und Reichweitenmessung

Only a Button setzt auf den eigenen Seiten keine Analyse-, Werbe- oder Profiling-Cookies ein und speichert keine Besuchszähler im Local Storage oder Session Storage des Endgeräts. Nach einem bezahlten Schloss-Prüfversuch wird für höchstens eine Stunde ein technisch erforderliches, HttpOnly-geschütztes Ergebnis-Cookie gesetzt. Es dient ausschließlich dazu, das bezahlte Prüfergebnis nach der Rückkehr von Stripe demselben Browser anzuzeigen.

Beim freiwilligen Wechsel zu Stripe Checkout oder beim nachfolgend beschriebenen Laden eines YouTube-Inhalts gelten zusätzlich die Speicher- und Cookie-Verfahren des jeweiligen Drittanbieters.

Art. 10

Optionaler externer Medieninhalt

Soweit ein externer Medieninhalt angeboten wird, wird eine Verbindung zu YouTube erst hergestellt, wenn die Schaltfläche zum Laden des Fremdinhalts ausdrücklich betätigt wird. Bis dahin werden keine Daten für diesen Inhalt an Google beziehungsweise YouTube übermittelt.

Nach Einwilligung können insbesondere IP-Adresse, Geräte- und Browserdaten sowie Nutzungsinformationen an Google Ireland Limited und verbundene Unternehmen übermittelt werden; bei angemeldeten Google-Konten kann eine Zuordnung zum Konto erfolgen. Verwendet wird die datenschutzfreundlichere youtube-nocookie-Domain, ohne dass hierdurch jede Datenübermittlung ausgeschlossen wird. Rechtsgrundlage ist Art. 6 Abs. 1 Buchst. a DSGVO in Verbindung mit § 25 TDDDG.

Datenschutzhinweise von Google

Art. 11

Speicher- und Aussonderungsfristen

  • Buchungsbelege und steuerlich relevante Zahlungsunterlagen werden regelmäßig acht Jahre ab Ende des Entstehungsjahres aufbewahrt (§ 147 AO, § 14b UStG).
  • Vertrags-, Urkunden- und Integritätsdaten werden für Bereitstellung, Support und Rechtsverteidigung bis zum Ablauf der regelmäßigen zivilrechtlichen Verjährung gespeichert; soweit sie Bestandteil aufbewahrungspflichtiger Unterlagen sind, gilt die längere gesetzliche Frist.
  • Nicht bezahlte Schloss-Prüfanträge werden nach Ablauf ihrer technischen Gültigkeit bei nachfolgenden Bereinigungsläufen entfernt. Bezahlte Schloss-Vorgangs- und Integritätsdaten unterliegen den für Vertragsnachweis, Support, Rechtsverteidigung und Buchhaltung jeweils erforderlichen Fristen.
  • Der pseudonymisierte E-Mail-Hash wird grundsätzlich bis zum Ablauf der regelmäßigen Verjährungsfrist nach dem letzten Vorgang gespeichert und danach gelöscht, sofern kein offener Streit- oder Missbrauchsfall besteht.
  • Freiwillige öffentliche Angaben bleiben bis zum Widerruf der Einwilligung, einer berechtigten Löschanfrage oder der Einstellung des öffentlichen Registers sichtbar.
  • Supportnachrichten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungs- oder Nachweisinteressen mehr bestehen.

An die Stelle einer Löschung tritt eine Sperrung, soweit gesetzliche Pflichten die weitere Aufbewahrung verlangen. Backups können bis zum turnusmäßigen Überschreiben Restkopien enthalten.

Art. 12

Drittlandübermittlungsvermerk

Einzelne Dienstleister oder deren Unterauftragnehmer können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. Übermittlungen erfolgen nur auf einer nach Kapitel V DSGVO zulässigen Grundlage, insbesondere einem Angemessenheitsbeschluss, dem EU-US Data Privacy Framework für zertifizierte Empfänger oder EU-Standardvertragsklauseln nebst erforderlichen ergänzenden Maßnahmen.

Art. 13

Pflichtangaben und Entscheidungsautomatik

Für den Vertrag sind die von Stripe verlangten Zahlungs- und Kontaktdaten erforderlich; ohne sie kann kein bezahlter Vorgang angelegt werden. Zusätzliche Profilangaben und das Laden externer Medien sind freiwillig.

Es findet keine automatisierte Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO statt. Profiling zu Werbezwecken findet ebenfalls nicht statt.

Art. 14

Betroffenenrechte und Beschwerdeweg

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Außerdem besteht das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz Niedersachsen

Anträge an den Verantwortlichen: hello@onlyabutton.com

Zur Vermeidung einer Herausgabe an unzuständige Dritte kann ein geeigneter Nachweis verlangt werden, dass sich der Antrag tatsächlich auf die antragstellende Person bezieht. Ein förmlicher Passierschein A38 wird nicht verlangt.

Art. 15

Änderungsvermerk

Diese Erklärung wird angepasst, wenn sich Datenverarbeitung, Dienstleister oder Rechtslage ändern. Die jeweils aktuelle Fassung ist auf dieser Seite mit Bearbeitungsstand veröffentlicht. Wesentliche rückwirkende Zweckänderungen erfolgen nicht durch stilles Umheften.