Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen und den unter chirpnode.de betriebenen ChirpNode-Dienst nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen – etwa Ihre E-Mail-Adresse bei der Anforderung eines Magic Links oder Ihren Namen bei der Profilvervollständigung. Weitere Daten entstehen bei der Nutzung des LoRaWAN®-Netzwerks durch die von Ihnen registrierten Gateways und Geräte (z. B. Geräte-IDs, Empfangsmetadaten, Standortangaben). Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (technische Daten wie Browser, Betriebssystem, Zugriffszeit).

2. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)

Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO besteht aufgrund der Art und des Umfangs der Verarbeitung derzeit nicht. Die Pflicht wird regelmäßig überprüft. Für Datenschutzanfragen wenden Sie sich bitte an: datenschutz@chirpnode.de.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften (insbesondere DSGVO und TTDSG) sowie dieser Datenschutzerklärung. Eine vollständig sichere Übertragung im Internet ist technisch nicht möglich.

Rolle bei der Verarbeitung über Tenants

Innerhalb des Dienstes können Sie als Tenant-Betreiber eigene Anwendungen, Gateways und Geräte verwalten und damit selbst personenbezogene Daten verarbeiten (z. B. Standortdaten von Endgeräten weiterer Personen). In diesem Fall sind Sie der Verantwortliche im Sinne der DSGVO für die in Ihrem Tenant verarbeiteten Daten. Wir handeln insoweit als Auftragsverarbeiter nach Art. 28 DSGVO. Vor produktivem Einsatz schließen Sie bitte einen Auftragsverarbeitungsvertrag mit uns ab. Eine Vorlage stellen wir auf Anfrage unter datenschutz@chirpnode.de bereit.

4. Hosting und E-Mail-Versand

Diese Website, der ChirpStack-Dienst und der Versand von System-E-Mails (z. B. Magic Links zur Anmeldung) erfolgen bei:

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der die vertragsgemäße Verarbeitung der personenbezogenen Daten sicherstellt.

Zertifizierungen und Testierungen des Hosting-Anbieters

Hetzner unterhält ein dokumentiertes Informations­sicherheits-Management­system und ist nach ISO/IEC 27001:2022 zertifiziert (ausgestellt durch SOCOTEC Certification Deutschland, gültig vom 27.09.2025 bis 26.09.2028). Der Geltungsbereich umfasst Infrastruktur, Betrieb und Kundensupport der Rechenzentrums­standorte in Nürnberg, Falkenstein/Vogtland und Tuusula (Finnland).

Ergänzend liegen für Hetzner eine BSI C5-Testierung (Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik) sowie eine Zertifizierung nach dem nationalen KRITIS-Regelwerk gemäß § 8a BSIG vor. Diese Nachweise belegen technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO. Das aktuelle Zertifikat ist abrufbar unter: hetzner.com/assets/downloads/ISO-Certificate.pdf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber unseren Nutzern) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, schneller und effizienter Bereitstellung des Dienstes).

5. Datenerfassung auf dieser Website

5.1 Cookies und lokaler Browser-Speicher

Wir setzen ausschließlich technisch notwendige Speicher-Mechanismen ein. Eine Übertragung an unsere Server findet nur beim Session-Cookie statt; die übrigen Werte werden ausschließlich lokal im Browser gehalten (HTML5 localStorage) und niemals an uns übertragen.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich für den vom Nutzer ausdrücklich gewünschten Telemediendienst). Eine Einwilligung ist hierfür nicht erforderlich. Die nachgelagerte Verarbeitung der personenbezogenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionsfähigkeit und IT-Sicherheit). Tracking-, Analyse- oder Marketing-Cookies setzen wir nicht ein.

5.2 Server-Log-Dateien

Beim Aufruf der Website werden automatisch folgende Informationen erfasst und in Log-Dateien gespeichert:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer-URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse
• HTTP-Statuscode und übertragene Datenmenge

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreiem Betrieb und IT-Sicherheit).
Speicherdauer: 7 Tage, danach automatische Löschung. Im Fall sicherheitsrelevanter Vorfälle kann eine längere Aufbewahrung erforderlich sein.

5.3 Registrierung und Anmeldung via Magic Link

Für die Registrierung und Anmeldung verwenden wir ein Magic-Link-Verfahren. Dabei erfassen wir:

• Ihre E-Mail-Adresse, um Ihnen den Anmelde-/Registrierungslink zuzustellen
• Ihren Nick-Namen zur Profilvervollständigung (Pflichtfeld bei der Registrierung)

Aus technischen Gründen werden Ihre Zugangsdaten im internen System in Kleinbuchstaben normalisiert. Diese Normalisierung dient ausschließlich der Konsistenz der Datenhaltung und hat keine Auswirkung auf die Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsverhältnisses und vorvertragliche Maßnahmen).
Speicherdauer: Bis zur Löschung des Nutzerkontos (siehe Abschnitt 8). Magic-Link-Tokens werden nach Einlösung, spätestens jedoch 15 Minuten nach Versand entwertet.

5.4 Daten im Rahmen der ChirpStack-Nutzung

Account- und Berechtigungsdaten:

• UUIDs der Ihnen zugeordneten Tenants, Anwendungen und Gateways
• Rollen- und Berechtigungszuweisungen

Gateway-Daten (sofern Sie Gateways betreiben):

• Gateway-EUI (eindeutige Hardware-Kennung)
• Bezeichnung, Beschreibung
• Geografische Koordinaten (Standort)
• Statusinformationen (Online-/Offline-Zustand, letzte gesehene Uplinks)

Geräte- und Anwendungsdaten (sofern Sie Devices registrieren):

• DevEUI, JoinEUI, Device-Adressen
• Anwendungs-Schlüssel und Session-Schlüssel
• Empfangsmetadaten (RSSI, SNR, Frequenz, Spreading Factor, Zeitstempel)
• Frame-Counter und Uplink-/Downlink-Payloads

Hinweis zu Payload-Daten: Inhalte der von Ihren Geräten übertragenen Nutzdaten verarbeiten wir ausschließlich im Auftrag des jeweiligen Tenant-Betreibers. Welche Daten dort enthalten sind, entscheidet allein der Tenant. Soweit es sich um personenbezogene Daten handelt (z. B. Standorte von Personen), ist der Tenant-Betreiber Verantwortlicher (siehe Abschnitt 3).

Hinweis zu Standortdaten von Gateways: Bei privat betriebenen Gateways können die Standortkoordinaten Rückschlüsse auf die betreibende Person erlauben. Sie haben die Möglichkeit, Gateway-Standorte ungenauer anzugeben oder zu verschleiern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb des Netzwerks).
Speicherdauer: Bis zur Löschung des Tenants/Accounts. Empfangsmetadaten werden nach 7 Tagen automatisch aggregiert oder gelöscht. Uplink-Payloads werden 7 Tage zur Fehleranalyse vorgehalten, sofern Sie keine längere Speicherung konfiguriert haben.

5.5 Öffentliche Gateway-Karte

Auf unserer Website kann eine Karte der bekannten Gateways angezeigt werden. Ein Gateway wird nur dann auf der öffentlichen Karte angezeigt, wenn der Gateway-Owner dies in den Gateway-Einstellungen ausdrücklich freigegeben hat. Die Einwilligung kann jederzeit widerrufen werden, indem der Owner die Freigabe in den Einstellungen deaktiviert. Auf der Karte werden angezeigt: Bezeichnung, geografische Koordinaten, Status.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Widerruf wirkt mit sofortiger Wirkung, berührt aber nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

6. Auftragsverarbeiter (Art. 28 DSGVO)

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

7. Datenübertragung in Drittländer

Eine Übertragung personenbezogener Daten in Länder außerhalb der EU/des EWR findet nicht statt. Alle eingesetzten Dienstleister haben ihren Sitz und ihre Server in Deutschland.

8. Recht auf Löschung und Selbstverwaltung

Sie können die Löschung Ihres Accounts und aller zugehörigen Daten jederzeit selbst über Ihr Profil einleiten. Der Ablauf:

1. Sie stellen den Löschantrag im Profil.
2. Sie erhalten eine E-Mail mit einem Bestätigungslink (15 Minuten gültig).
3. Nach Bestätigung werden Ihr lokaler Benutzeraccount und Ihr zugehöriges ChirpStack-Konto unwiderruflich gelöscht.

Was gelöscht wird: Profildaten, Authentifizierungsdaten, persönliche Tenant-Zuordnungen.

Was bestehen bleiben kann:

• Daten in Tenants, in denen weitere Nutzer Verantwortliche oder Mitberechtigte sind, sofern dort keine separate Löschung erfolgt
• Aggregierte und vollständig anonymisierte Statistiken (kein Personenbezug mehr)
• Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten)

9. Ihre Rechte als betroffene Person

Sie haben jederzeit folgende Rechte:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO, siehe auch Abschnitt 8)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@chirpnode.de

Zuständige Aufsichtsbehörde

10. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.

11. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und am Schloss-Symbol in Ihrer Browserzeile.

12. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• TLS-Verschlüsselung für alle Verbindungen
• Passwortlose Authentifizierung über kurzlebige, einmalig nutzbare Magic-Link-Tokens
• Session-Schutz, CSRF-Schutz, sichere Cookie-Flags
• Rollen- und Rechtekonzept auf Anwendungs- und Datenbankebene
• Regelmäßige Sicherheits- und Software-Updates
• Verschlüsselte Backups
• Trennung von Produktions-, Test- und Entwicklungsumgebungen
• Zugriffsbeschränkungen auf Server- und Infrastrukturebene
• Betrieb in Rechenzentren, die nach ISO/IEC 27001:2022 zertifiziert und nach BSI C5 testiert sind (KRITIS-konform gemäß § 8a BSIG)

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir aktiv registrierte Nutzer per E-Mail.