Datenschutz

Stand: 25.05.2026

1. Datenschutz auf einen Blick

Wir informieren Sie nach Art. 13 DSGVO darüber, wie wir personenbezogene Daten verarbeiten, wenn Sie unsere Website besuchen oder unsere Portale (Kunden-/Customer-Bereich) nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

INODIN GmbH
Untere Gänshalde 4, 86381 Krumbach (Schwaben), Deutschland
HRB 21275, Amtsgericht Memmingen
Vertreten durch den Geschäftsführer: Barış Külekci
Telefon: +49 8282 894242-0
E-Mail: info@inodin.de
USt-IdNr.: DE323030525

Datenschutzkontakt: Für alle Datenschutzanfragen: info@inodin.de (Betreff: „Datenschutz")

3. Datenschutzbeauftragter (DSB)

Ein Datenschutzbeauftragter ist derzeit nicht benannt, da für unser Unternehmen nach aktuellem Stand keine gesetzliche Benennungspflicht besteht (Art. 37 DSGVO, § 38 BDSG). Unabhängig davon können Sie sich jederzeit über die oben genannten Kontaktdaten an uns wenden.

4. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3). Außerdem haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Für die INODIN GmbH zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

5. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen) – z. B. Anfragen, Onboarding, Support.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – z. B. handels-/steuerrechtliche Aufbewahrung.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) – z. B. IT-Sicherheit, Stabilität, Missbrauchsprävention.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – z. B. optionale Analytics.

Soweit wir Cookies einsetzen oder auf Informationen auf Ihrem Endgerät zugreifen, gilt zusätzlich § 25 TDDDG (Einwilligungspflicht, Ausnahme für unbedingt erforderliche Vorgänge).

6. Speicherdauer

Sofern in dieser Erklärung keine spezielle Speicherdauer genannt ist, speichern wir Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist. Darüber hinaus speichern wir Daten, wenn gesetzliche Aufbewahrungspflichten bestehen (z. B. Handels- und Steuerrecht).

7. Hosting & Bereitstellung der Website/Portale

Unsere Websites und Portale betreiben wir auf Servern in Deutschland in eigener IT-Verantwortung der INODIN GmbH. Die physische Infrastruktur steht in einem ISO-27001-zertifizierten Rechenzentrum der Wortmann AG (TERRA Cloud, Hüllhorst, Deutschland). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Verschlüsselung (TLS)

Unsere Seiten sind per TLS/HTTPS verschlüsselt. Dadurch werden Daten bei der Übertragung vor unbefugtem Zugriff geschützt.

9. Server-Logfiles

Bei jedem Aufruf werden technisch notwendige Daten verarbeitet (z. B. IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Statuscode, Browser-/Geräteinformationen).
Zweck: Betrieb, Fehleranalyse, IT-Sicherheit/Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Logs werden größenbasiert rotiert (max. 30 MB pro Dienst-Instanz, typischerweise wenige Wochen Vorhaltung); ältere Daten werden automatisch überschrieben.

9a. Sicherheits-/Audit-Log (intern)

Wir protokollieren sicherheitsrelevante Aktionen (Anmeldungen, Datenänderungen) im internen Audit-Log. Erfasst werden u. a. Benutzer-E-Mail, IP-Adresse, Browser-Information, Aktion und Zeitstempel.
Zweck: IT-Sicherheit, Missbrauchsabwehr und Nachvollziehbarkeit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: bis zu 12 Monate, anschließend Löschung.

10. Cookies & Einwilligungsverwaltung

Wir verwenden Cookies/vergleichbare Technologien:

• Essenzielle/technisch notwendige Cookies (z. B. zur Speicherung Ihrer Cookie-Einstellung, Session-Steuerung im Admin-Bereich) – Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, ggf. § 25 Abs. 2 Nr. 2 TDDDG
• Optionale Analytics (nur mit Einwilligung) – Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG

Das Einwilligungs-Banner haben wir selbst entwickelt; es kommen keine Drittanbieter-Consent-Tools (z. B. OneTrust, Cookiebot) zum Einsatz. Sie können Ihre Einwilligung jederzeit über das Cookie-Banner ändern.

11. Reichweitenmessung (Analytics – optional)

Wenn Sie zustimmen, messen wir Seitenaufrufe zur Verbesserung unseres Angebots. Dabei verwenden wir keine Drittanbieter-Trackingdienste (kein Google Analytics etc.). Wir verarbeiten hierbei insbesondere: aufgerufene Seiten/URLs, Zeitstempel, grobe Referrer-Informationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Speicherdauer: Zugriffsdaten i. d. R. bis zu 12 Monate, aggregierte/statistische Werte ggf. länger.

12. Bot-/Missbrauchsschutz (Cloudflare Turnstile)

Zum Schutz vor automatisierten Anfragen (Spam/Bots) nutzen wir einen Bot-Schutzdienst.
Anbieter: Cloudflare, Inc., USA – DPF-zertifiziert (EU-US Data Privacy Framework), ergänzt durch EU-Standardvertragsklauseln.
Verarbeitete Daten: IP-Adresse, Browser-/Gerätemerkmale, Interaktionssignale.
Zweck: Schutz vor automatisierten Anfragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit/Missbrauchsabwehr).

13. Kontaktaufnahme

13.1 Kontaktformular

Bei Kontaktanfragen verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail, Nachricht; optionale Angaben wie Telefon/Firma).
Zweck: Bearbeitung Ihrer Anfrage, ggf. vorvertragliche Maßnahmen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (allgemeine Kommunikation).
Speicherdauer: bis abschließende Bearbeitung; bei anschließender Vertragsbeziehung entsprechend gesetzlicher Pflichten.

13.2 E-Mail/Telefon

Bei Kontakt per E-Mail/Telefon verarbeiten wir die Kommunikationsdaten zur Bearbeitung Ihres Anliegens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

14. Support (Tickets)

Für Supportanfragen verarbeiten wir Kontaktdaten, Ticketinhalte und ggf. hochgeladene Dateien (z. B. Screenshots/Logs), soweit erforderlich.
Zweck: Erbringung von Supportleistungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: i. d. R. 3 Jahre ab Ticketabschluss (Nachweis/Verjährung), danach Löschung oder Anonymisierung.

15. Kundenportal-Account

Für die Nutzung unseres Kundenportals verarbeiten wir: Anmeldedaten (E-Mail-Adresse, Passwort), optional eine Zwei-Faktor-Authentifizierung, Stammdaten der Ansprechpartner sowie Berechtigungs-/Rollenzuordnungen pro Organisation. Ihr Passwort wird zu keinem Zeitpunkt im Klartext gespeichert.
Zweck: Bereitstellung des Portals und Zugriffsschutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: für die Dauer der Geschäftsbeziehung; nach Beendigung Löschung gemäß gesetzlicher Aufbewahrungspflichten.

16. Nutzung der IN.APP (Mobile App)

Für unsere Kundinnen und Kunden bieten wir die mobile Anwendung „IN.APP by INODIN" für iOS und Android an. Die App ist ausschließlich für angemeldete Kunden mit aktiver Produktlizenz bestimmt und ergänzt das Kundenportal (siehe Abschnitt 15). Eine Verarbeitung personenbezogener Daten erfolgt nur, soweit Sie die App nutzen und die jeweilige Funktion aufrufen. Verantwortliche Stelle ist die unter Abschnitt 2 genannte INODIN GmbH.

16.1 Konto und Anmeldung

Zur Anmeldung verarbeiten wir Ihre Anmeldedaten (E-Mail-Adresse und Passwort) sowie – sofern aktiviert – einen Zwei-Faktor-Code. Ihr Passwort wird zu keinem Zeitpunkt im Klartext gespeichert. Nach erfolgreicher Anmeldung bleibt der Zugang über zeitlich befristete, jederzeit widerrufbare Zugangsmerkmale bestehen, die ausschließlich im gesicherten Schlüsselspeicher Ihres Geräts abgelegt werden.
Zweck: Authentifizierung und Zugriffsschutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

16.2 Kamera (Barcode-/Etiketten-Scan und Belegfotos)

In bestimmten Modulen (z. B. zur Etikettenverwaltung) können Sie über die Gerätekamera Barcodes/QR-Codes scannen und Fotos aufnehmen (z. B. zum Verknüpfen von Etiketten oder zum Hochladen von Belegen). Der Kamerazugriff erfolgt nur nach Ihrer ausdrücklichen Freigabe und nur während der aktiven Nutzung der jeweiligen Funktion; ein dauerhafter Zugriff oder ein Zugriff im Hintergrund findet nicht statt. Aufgenommene Bilder werden ausschließlich zur Erbringung der gewählten Funktion an unsere Server in Deutschland übertragen und nicht an Dritte weitergegeben. Hochgeladene Bilder werden nach Erfüllung der jeweiligen Funktion bzw. nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

16.3 Standortdaten

Sofern eine Funktion Standortdaten benötigt, greifen wir – nur nach Ihrer ausdrücklichen Einwilligung – auf den Standort des Geräts zu, und zwar ausschließlich während der Vordergrund-Nutzung der App („nur beim Verwenden der App"). Eine Standorterfassung im Hintergrund findet nicht statt. Sie können die Einwilligung jederzeit in den Geräteeinstellungen mit Wirkung für die Zukunft widerrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

16.4 Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Push-Benachrichtigungen. Hierzu wird ein gerätebezogenes Push-Token verarbeitet. Die technische Zustellung erfolgt über die Push-Dienste der Plattformbetreiber – Apple Push Notification service (APNs) bzw. Firebase Cloud Messaging (FCM) –, die hierbei als Empfänger tätig werden und eine Übermittlung in die USA umfassen können (abgesichert über den EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln). Wir übermitteln keine personenbezogenen Inhalte im Benachrichtigungstext.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Den Versand können Sie jederzeit über die Geräteeinstellungen deaktivieren.

16.5 Lokale Datenspeicherung auf dem Gerät

Zur Funktion der App werden technisch notwendige Daten lokal auf Ihrem Gerät gespeichert; sicherheitsrelevante Daten ausschließlich verschlüsselt im Schlüsselspeicher des Betriebssystems. Beim Abmelden oder beim Löschen des Kontos werden diese lokalen Daten entfernt. Etwaige biometrische Merkmale (z. B. Face ID / Fingerabdruck) werden ausschließlich durch das Betriebssystem auf dem Gerät verarbeitet und verlassen das Gerät zu keinem Zeitpunkt.

16.6 Missbrauchs- und Integritätsschutz

Zum Schutz vor Missbrauch und manipulierten Clients prüfen wir die Integrität der App über die Plattformdienste „App Attest" (Apple) bzw. „Play Integrity" (Google). Dabei wird ausschließlich ein technisches Integritäts-Token verarbeitet; ein Tracking oder eine Profilbildung findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit unserer Systeme).

16.7 App Stores als Empfänger

Der Bezug und die Aktualisierung der App erfolgen über den Apple App Store bzw. Google Play. Die jeweiligen Betreiber – Apple Distribution International Ltd. (Irland) bzw. Google Ireland Ltd. (Irland) – erheben dabei in eigener Verantwortung Daten (z. B. Downloads, Absturz- und Nutzungsstatistiken) nach ihren eigenen Datenschutzbestimmungen.

16.8 Löschung des Kontos in der App

Sie können Ihr Konto direkt in der App löschen lassen. Mit der Löschung werden Ihre Anmeldedaten gesperrt, alle aktiven Zugangsmerkmale widerrufen und die lokal gespeicherten Daten entfernt. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

16.9 Keine Werbung, kein Tracking

Die App nutzt keine Werbenetzwerke und kein geräteübergreifendes Tracking. Es wird kein Werbe-Identifier verarbeitet und keine Tracking-Abfrage (App Tracking Transparency) angezeigt. Es werden nur die zur Vertragserfüllung und Sicherheit erforderlichen Daten verarbeitet (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

16.10 Hosting und in der App eingesetzte Empfänger

Die in der App erfassten Daten werden auf derselben Infrastruktur verarbeitet wie das Kundenportal (siehe Abschnitt 7 und 22: Wortmann AG / TERRA Cloud, Hüllhorst, Deutschland). Ergänzend werden im Rahmen der App folgende Empfänger tätig:

• Apple Inc. (USA, DPF) – Zustellung von Push-Benachrichtigungen (APNs) sowie App-Bereitstellung über den App Store (Apple Distribution International Ltd., Irland)
• Google LLC (USA, DPF) – Zustellung von Push-Benachrichtigungen (Firebase Cloud Messaging) sowie App-Bereitstellung über Google Play (Google Ireland Ltd., Irland)

17. Bewerbungen

Bei Bewerbungen verarbeiten wir Bewerbungsdaten (z. B. Kontaktdaten, Unterlagen).
Zweck: Durchführung des Bewerbungsverfahrens.
Rechtsgrundlage: § 26 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: bei Absage i. d. R. 6 Monate (AGG-Nachweis), danach Löschung; bei Einstellung Übernahme in Personalakte.

18. Onboarding (Kunden)

Für Kundenprojekte können wir Onboarding-Formulare bereitstellen (z. B. Stammdaten, Ansprechpartner, Projekt-/Setup-Parameter, ggf. elektronische Unterschrift). Die elektronische Unterschrift wird ausschließlich als Bilddatei gespeichert; eine biometrische Auswertung (z. B. Druck, Geschwindigkeit, Schreibrhythmus) findet nicht statt.
Zweck: Projekt-/Vertragsanbahnung und -durchführung, Dokumentation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Archivierung ggf. Art. 6 Abs. 1 lit. c DSGVO.
Speicherdauer: abgeschlossene Onboardings/Dokumente nach gesetzlichen Aufbewahrungspflichten (z. B. Handels-/Steuerrecht), sonst zweckgebunden.

19. Dokumentenmanagement / Archivierung

Projekt- und Vertragsdokumente können in einem internen Dokumentenmanagementsystem gespeichert werden. Zugriff erhalten nur berechtigte Personen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und/oder lit. c DSGVO.

20. E-Mail-Versand

Für die geschäftliche Kommunikation (z. B. Willkommens-E-Mails, Onboarding-Links, Support-Antworten) nutzen wir E-Mail-Dienste von Microsoft.
Anbieter: Microsoft Ireland Operations Ltd., Irland – DPF-zertifiziert (EU-US Data Privacy Framework), ergänzt durch EU-Standardvertragsklauseln im Konzern.
Microsoft verarbeitet Daten als Auftragsverarbeiter (Art. 28 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (effiziente, sichere Kommunikation).

21. Soziale Medien (nur Links)

Wir verlinken auf externe Profile (z. B. LinkedIn, Instagram). Es handelt sich um reine Links. Erst beim Anklicken gelten die Datenschutzbestimmungen der jeweiligen Plattform.

22. Empfänger / Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter (Art. 28 DSGVO) ein:

• Wortmann AG / TERRA Cloud (Hüllhorst, Deutschland) – Bereitstellung der Rechenzentrums-/Cloud-Infrastruktur (AVV gemäß Art. 28 DSGVO geschlossen)
• Cloudflare, Inc. (USA, DPF) – Bot-/Missbrauchsschutz
• Microsoft Ireland Operations Ltd. (Irland, DPF) – geschäftliche E-Mail-Kommunikation

Eine vollständige, jeweils aktuelle AVV-Liste stellen wir auf Anfrage zur Verfügung.

23. Bestellungen im Online-Shop (inesl.shop) — Zustimmungs-Nachweis

Bei Bestellungen über unseren B2B-Online-Shop unter inesl.shop verarbeiten wir zusätzlich zu Ihren Stammdaten (Firma, Anschrift, Kontakt) die folgenden Daten zum Nachweis Ihrer Zustimmung zu AGB und Datenschutzerklärung:

• Versions-Kennung der zum Bestellzeitpunkt geltenden AGB- und Datenschutz-Fassung
• Zeitstempel der Zustimmung
• IP-Adresse Ihres Endgeräts zum Bestellzeitpunkt

Zweck: Beweissicherung der Vertragsannahme nach § 312i BGB analog sowie Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung).
Speicherdauer: Diese Daten werden gemeinsam mit dem Bestelldatensatz für die handels- und steuerrechtliche Aufbewahrungsfrist gemäß § 147 AO und § 257 HGB (i. d. R. 10 Jahre) gespeichert und danach gelöscht.
Empfänger: Die Daten verbleiben auf unserer Infrastruktur (siehe Abschnitt 22 Auftragsverarbeiter) und werden Dritten nur auf gesetzliche Anordnung oder im Streitfall zur Beweisführung offengelegt.

24. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage oder Verarbeitung ändern. Die jeweils aktuelle Version finden Sie unter: https://inodin.de/datenschutz/

Löschung von Konto und Daten (Apps IN.APP & IN.ESL Shop)

Für unsere mobilen Apps IN.APP und IN.ESL Shop (Anbieter: Inodin GmbH) können Sie die Löschung Ihres Kontos und der damit verbundenen personenbezogenen Daten jederzeit verlangen.

So fordern Sie die Löschung an

• In der App: Profil → Konto → „Konto löschen". Die Löschung wird unmittelbar ausgelöst.
• Per E-Mail: formlose Anfrage von der im Konto hinterlegten Adresse an info@inodin.de. Wir bearbeiten die Löschung innerhalb von 30 Tagen.

Welche Daten gelöscht werden

Name, E-Mail-Adresse, Telefonnummer, Liefer-/Rechnungsadresse, Anmeldedaten sowie Geräte-/Push-Token werden gelöscht bzw. anonymisiert.

Gesetzliche Aufbewahrung

Belege zu abgeschlossenen Bestellungen und Rechnungen müssen wir aus steuer- und handelsrechtlichen Gründen (§§ 147 AO, 257 HGB) bis zu 10 Jahre aufbewahren. Diese Daten werden für die weitere Nutzung gesperrt und nach Fristablauf gelöscht; nicht aufbewahrungspflichtiger Personenbezug wird sofort entfernt.