Datenschutzerklärung
1. Verantwortlicher
Cakglo Ltd t/a Blackcarrot Tech
71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, UK
E-Mail: info@blackcarrot.tech
2. Welche Daten wir verarbeiten
- Kontodaten: E-Mail-Adresse, Passwort-Hash (bcrypt), Edition, Trial-Endedatum, Stripe-Kunden-ID, Anmelde-IP, letzte Anmeldung.
- Sitzungsdaten: Session-IDs, technische Logs (in `user_sessions`).
- Kauf-Daten: Stripe-Session-IDs, Lizenzkeys, Zahlungsstatus, Rechnungsbeträge.
- Sicherheitsdaten: Rate-Limit-Counter, Audit-Log-Einträge, Passwort-Reset-Tokens.
- Nutzungsdaten: Inhalte, die du selbst in KaratIQ einträgst (Kontakte, Sequenzen, Templates).
3. Rechtsgrundlagen
- Art. 6 (1) (b) DSGVO — Vertragserfüllung (Kontoanlage, Zahlung, Lizenz-Aktivierung)
- Art. 6 (1) (f) DSGVO — Berechtigtes Interesse (Sicherheits-Logs, Rate-Limits, Missbrauchs-Prävention)
- Art. 6 (1) (a) DSGVO — Einwilligung (Newsletter, sofern angeboten)
4. Empfänger / Auftragsverarbeiter
- Hostinger International Ltd (Server in Frankfurt am Main, DE) — Hosting der App + Datenbank.
- Stripe Payments Europe Ltd (Dublin, IE) — Zahlungsabwicklung. Stripe verarbeitet Karten-Daten direkt (PCI-DSS), wir speichern nur die Stripe-Customer-ID.
5. Speicherdauer
- Konto-Daten: bis zur Löschung des Kontos durch den Nutzer.
- Audit-Logs: 12 Monate.
- Rate-Limits: 24 Stunden.
- Rechnungs-Daten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht).
6. Deine Rechte
Du hast nach DSGVO Art. 15-22 Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Anfragen bitte an info@blackcarrot.tech. Beschwerderecht bei der zuständigen Datenschutzaufsicht.
7. Cookies
Wir setzen ein technisch notwendiges Session-Cookie (`karatiq_sid`, HttpOnly, SameSite=Lax), ohne das die Anmeldung nicht funktioniert. Keine Tracking- oder Werbe-Cookies.
8. Datensicherheit
TLS-Verschlüsselung, bcrypt-Passwort-Hashing, CSRF-Schutz, Prepared Statements gegen SQL-Injection, getrennte Datenbanken pro Mandant nicht — alle Kunden teilen sich eine MySQL-DB, Datenisolation erfolgt per `user_id` in jedem Datensatz.
Stand: 07.07.2026