Rundfunk

Datenschutzerklärung

Serviceportal Verbraucherstelle LLC ·

1. Verantwortlicher und Geltungsbereich

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) ist:

Serviceportal Verbraucherstelle LLC
Newark, Delaware, USA
Datenschutz-Kontakt: support@rundfunkbeitragservices.de

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Besuch unserer Website unter , der Beauftragung unserer Dienstleistungen, der Bearbeitung Ihres Auftrags einschließlich etwaiger Nachreichungen, der Ausübung von Widerrufs- und sonstigen Verbraucherrechten sowie der vollständigen Vertragserfüllung über die formelle Einreichung der Unterlagen an die zuständige Stelle bis zur Ausstellung des Leistungsnachweises.

Wir legen höchsten Wert auf Nachvollziehbarkeit, Transparenz und Beweissicherheit über die gesamte Verarbeitungskette. Diese Datenschutzerklärung soll Sie nicht nur über die formalen Pflichtinhalte nach Art. 13 und Art. 14 DSGVO informieren, sondern Ihnen darüber hinaus ein vollständiges Bild davon vermitteln, welche Daten zu welchem Zeitpunkt, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welcher Speicherdauer verarbeitet werden, und wie Sie die einzelnen Verarbeitungsschritte jederzeit selbst nachvollziehen können. Die hier beschriebenen Grundsätze gelten auch für alle von uns beauftragten Auftragsverarbeiter; sie sind Bestandteil der mit unseren Auftragsverarbeitern geschlossenen Verträge nach Art. 28 DSGVO.

2. Welche Daten wir erheben

Im Rahmen der Nutzung unseres Services und der Website erheben wir folgende Kategorien personenbezogener Daten:

Bestandsdaten (zur Vertragserfüllung):

  • Vor- und Nachname, ggf. Anrede
  • E-Mail-Adresse, Telefonnummer
  • Aktuelle Wohnadresse und ggf. neue Wohnadresse
  • Einzugsdatum, ggf. Auszugsdatum
  • Beitragsnummer (eigene und ggf. Mitbewohner)
  • Geburtsdatum, soweit für die jeweilige Antragsart erforderlich

Inhaltsdaten (zur Vertragserfüllung):

Hochgeladene Nachweisdokumente (z. B. Sterbeurkunde bei der Abmeldung eines verstorbenen Beitragszahlers, Bevollmächtigungsnachweise in Spezialfällen, Einkommens-/Befühigungsnachweise im Rahmen einer Befreiung), Inhalt schriftlicher Korrespondenz mit unserem Kundenservice sowie etwaige Antwortschreiben der zuständigen Stelle.

Technische und forensische Daten (zur Sicherheit und Nachweisbarkeit):

  • IP-Adresse bei jeder rechtsrelevanten Aktion (Beauftragung, Nachreichung, Widerruf)
  • User-Agent (Geräte- und Browserinformation)
  • Zeitstempel mit Millisekundengenauigkeit für jede rechtsrelevante Aktion
  • Kryptografischer Hash (SHA-256) der Vollmachts- und Antragsdokumente sowie der Einreichungsbelege und Leistungsnachweise
  • Aggregierte Browser-Umgebungs-Kennung zur Erkennung wiederkehrender Endgeräte und zur Aufdeckung missbräuchlicher Mehrfach-Bestellungen
  • Pseudonymisierter Identifikator des bearbeitenden Mitarbeiters für jede administrative Aktion

Zahlungsdaten:

Zahlungsdaten (z. B. IBAN, Kreditkartendaten) werden ausschließlich durch einen PCI-DSS-konformen Zahlungsdienstleister verarbeitet und nicht auf unseren Servern gespeichert. Wir erhalten lediglich Zahlungs-Identifikatoren und Statusinformationen (offen, bezahlt, fehlgeschlagen, erstattet).

Nutzungsdaten (nur bei Einwilligung):

Cookies, Seitenaufrufe, Verweildauer und Interaktionsdaten über Web-Analyse- und Online-Werbeanbieter, nur bei erteilter Einwilligung gemäß § 25 Abs. 1 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich für klar definierte Zwecke und auf Grundlage einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen:

a) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):
Durchführung des beauftragten Dienstes über die gesamte Leistungskette: Datenvalidierung und Ausfüllhilfe, Erstellung der digitalen Vollmacht und der Antragsunterlagen, formelle Einreichung beim Beitragsservice oder bei sonstigen zuständigen Stellen, Versand des Einreichungsbelegs, Rechnungsstellung, Bearbeitung von Nachreichungen, Bearbeitung von Widerrufen, Erstellung des Leistungsnachweises sowie Archivierung der digitalen Vollmacht und der zugehörigen Beweis-Metadaten.

b) Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO):
Erfüllung steuerrechtlicher Aufbewahrungspflichten (Aufbewahrung von Rechnungsdaten gemäß § 147 AO, § 257 HGB) sowie Pflichten aus der DSGVO selbst (insbesondere Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, Meldepflichten bei Datenschutzverletzungen gemäß Art. 33 und Art. 34 DSGVO, Bereitstellung der Garantien gemäß Art. 46 DSGVO).

c) Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):
Erhebung und Speicherung forensischer Daten (IP-Adresse, User-Agent, Zeitstempel, Dokument-Hash, aggregierte Browser-Umgebungs-Kennung, pseudonymisierter Bearbeiter-Identifikator) zum Schutz vor Missbrauch, zur Betrugsprävention, zur Nachweisbarkeit der Bevollmächtigung, zur Beweissicherung gegenüber der zuständigen Stelle und im Rahmen etwaiger zivilrechtlicher Auseinandersetzungen (z. B. unberechtigte Chargebacks, Identitätsmissbrauch zu Lasten der betroffenen Person). Unser berechtigtes Interesse liegt in der Sicherung der Integrität der gesamten Verarbeitungskette und dem Schutz vor unberechtigten Aufträgen sowie nachträglichen Streitigkeiten über die Authentizität der Beauftragung. Die nach Art. 6 Abs. 1 lit. f DSGVO erforderliche Interessenabwägung ergibt, dass das berechtigte Interesse an der Beweissicherung der Beauftragung sowie der Vermeidung von Identitätsmissbrauch im konkreten Fall die schutzwürdigen Interessen der betroffenen Person nicht überwiegt, weil die Verarbeitung auf das technisch erforderliche Minimum beschränkt bleibt, keine Profilbildung stattfindet und die forensischen Daten nicht zu anderen Zwecken weiterverwendet werden.

d) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG):
Einsatz von Analyse- und Werbe-Cookies ausschließlich nach ausdrücklicher Einwilligung über das Cookie-Banner. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO).

e) Erfüllung von Verbraucherrechten (Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 12 ff. DSGVO):
Bearbeitung von Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

4. Kategorien von Empfängern

Wir geben personenbezogene Daten nur weiter, soweit dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Grundlage besteht oder die betroffene Person ausdrücklich eingewilligt hat. Wir nennen nachfolgend die Kategorien von Empfängern im Sinne des Art. 13 Abs. 1 lit. e DSGVO. Auf eine darüber hinausgehende namentliche Nennung einzelner Auftragsverarbeiter wird aus Gründen der Informationssicherheit verzichtet; eine vollständige Auflistung mit Namen, Anschrift und Sitzland sämtlicher beauftragter Auftragsverarbeiter sowie der jeweils vereinbarten technisch-organisatorischen Maßnahmen wird Ihnen auf Anfrage gemäß Art. 15 DSGVO unverzüglich zur Verfügung gestellt.

a) Zuständige öffentliche Stellen:
Insbesondere der ARD ZDF Deutschlandradio Beitragsservice sowie gegebenenfalls weitere zuständige öffentliche Stellen, an die Ihr Antrag im Rahmen der erteilten Vollmacht formell weitergereicht wird. Übermittelt werden ausschließlich die für die jeweilige Antragsart erforderlichen Daten (Name, Adresse, Beitragsnummer, ggf. Einzugs- oder Auszugsdatum, Antragsart). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

b) Zahlungsdienstleister:
Marktüblicher, PCI-DSS-konformer Zahlungsdienstleister mit Sitz in einem nach EU-US Data Privacy Framework anerkannten Drittland, der für die Verarbeitung von Zahlungen in der EU lizenziert ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

c) Transaktionaler E-Mail-Versand:
Spezialisierter Auftragsverarbeiter für den Versand vertragsrelevanter E-Mails (Auftragsbestätigung, Rechnung, Vollmacht, Einreichungsbeleg, Status-Updates, Antworten unseres Kundenservice). Übermittelt werden Empfängeradresse, Betreff, Sendezeitpunkt, Zustellstatus sowie der Inhalt der jeweiligen E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

d) Anwendungs- und Edge-Hosting:
Hosting der Website über das Edge-Netzwerk eines Cloud-Hosting-Anbieters. Bei jedem Seitenaufruf werden technische Verbindungsdaten (IP-Adresse, Zeitpunkt, angeforderte URL, User-Agent) verarbeitet, die für die Auslieferung und Sicherheit der Website technisch erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

e) Datenbank-Auftragsverarbeiter:
Verwaltete relationale Datenbank-Infrastruktur eines spezialisierten Auftragsverarbeiters. Sicherung des Zugriffs über TLS mit erzwungenem Channel-Binding sowie Verschlüsselung at-rest der Datenbank-Volumes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

f) Dokumentenspeicher (EU-Region):
Spezialisierter Objekt-Speicher-Anbieter mit Verarbeitung in der EU für die Ablage der erzeugten PDF-Dokumente sowie der hochgeladenen Nachweisdokumente. Der Zugriff erfolgt ausschließlich über zeitlich begrenzte, signierte URLs. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

g) Geräte-Telemetrie-Anbieter (EU-Verarbeitung):
Spezialisierter Anbieter zur Erkennung wiederkehrender Browser-Umgebungen anhand öffentlicher Browser-Merkmale. Die Verarbeitung erfolgt ausschließlich in der EU-Region. Zweck: Aufdeckung und Verhinderung missbräuchlicher Mehrfach-Bestellungen sowie Beweissicherung in Streitfällen über die Authentizität der Beauftragung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention und Beweissicherung).

h) Web-Analyse- und Werbeanbieter (nur bei Einwilligung):
Bei erteilter Einwilligung werden Nutzungsdaten an einen Web-Analyse- und Online-Werbeanbieter mit Sitz in einem nach EU-US Data Privacy Framework anerkannten Drittland übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG.

i) Rechtsberatung, Steuerberatung, Inkasso:
Soweit im Einzelfall erforderlich (z. B. Mahnverfahren, gerichtliche Auseinandersetzung, steuerliche Prüfung), übermitteln wir Daten an die jeweils beauftragten externen Berater oder Inkassodienstleister. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Eine Weitergabe an sonstige Dritte findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet oder die betroffene Person hat ausdrücklich eingewilligt. Insbesondere findet kein Verkauf und keine Vermietung personenbezogener Daten an Dritte statt.

5. Datenübermittlung in Drittländer

Im Rahmen der unter Ziffer 4 genannten Datenverarbeitungen werden personenbezogene Daten teilweise an Empfänger in Drittländern (insbesondere USA) übermittelt. Die Übermittlung erfolgt ausschließlich auf Grundlage einer der in Kapitel V DSGVO vorgesehenen Garantien:

  • Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO, insbesondere auf Grundlage des EU-US Data Privacy Framework, soweit der jeweilige Empfänger zertifiziert ist.
  • Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO für Empfänger ohne Angemessenheitsbeschluss.
  • Ergänzende technische und organisatorische Maßnahmen (insbesondere Transportverschlüsselung mittels aktueller TLS-Versionen, Verschlüsselung at-rest, Pseudonymisierung, Beschränkung des Zugriffs auf das technisch erforderliche Minimum), soweit erforderlich.

Eine Kopie der relevanten Garantien (insbesondere der Standardvertragsklauseln und der ergänzenden Maßnahmen) wird Ihnen auf Anfrage gemäß Art. 15 Abs. 2 i. V. m. Art. 46 Abs. 1 DSGVO unverzüglich zur Verfügung gestellt.

6. Speicherorte der Daten

Personenbezogene Daten unserer Kundinnen und Kunden werden auf folgenden Infrastrukturen gespeichert und verarbeitet. Die Auswahl unserer Auftragsverarbeiter erfolgt unter besonderer Berücksichtigung des Datenschutzniveaus, der nachgewiesenen technisch-organisatorischen Maßnahmen sowie der DSGVO-Konformität der gewählten Region:

a) Anwendungs-Hosting (Edge-Netzwerk eines Cloud-Hosting-Anbieters):
Die Auslieferung der Website erfolgt über das Edge-Netzwerk unseres Hosting-Anbieters. Anfragen aus dem EU-Raum werden bevorzugt aus europäischen Knotenpunkten beantwortet. Technische Verbindungsdaten (IP-Adresse, Zeitpunkt, angeforderte URL) können bei der Edge-Auslieferung kurzzeitig auch außerhalb der EU verarbeitet werden, soweit dies für die Verfügbarkeit und Sicherheit der Website erforderlich ist.

b) Primärdatenbank:
Auftragsdaten, Rechnungsdaten, forensische Daten und Vollmachts-Metadaten werden in einer verwalteten relationalen Datenbank eines spezialisierten Auftragsverarbeiters mit Sitz in einem Drittland gespeichert. Die Datenbank-Volumes sind verschlüsselt at-rest, sämtliche Verbindungen erfolgen ausschließlich verschlüsselt über aktuelle TLS-Versionen mit erzwungenem Channel-Binding. Die Übermittlung in das Drittland erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission sowie ergänzender technischer Maßnahmen.

c) Dokumentenspeicher (EU-Region):
Erzeugte PDF-Dokumente (Vollmachten, Rechnungen, Einreichungsbelege, Leistungsnachweise) sowie hochgeladene Nachweisdokumente werden in einem Objekt-Speicher in der EU-Region eines spezialisierten Auftragsverarbeiters abgelegt. Der Zugriff erfolgt ausschließlich über zeitlich begrenzte, signierte URLs.

d) Geräte-Telemetrie:
Verarbeitung ausschließlich in der EU-Region.

e) Zahlungsdaten:
Vollständig in der Infrastruktur des Zahlungsdienstleisters. Diese Daten gelangen technisch nicht in unsere Datenbank; wir erhalten lediglich Zahlungs-Identifikatoren und Statusinformationen.

f) E-Mail-Zustelldaten:
Empfängeradresse, Betreff, Sendezeitpunkt und Zustellstatus werden temporär in der Infrastruktur des E-Mail-Versanddienstleisters verarbeitet.

Backups: Sicherungskopien der Primärdatenbank werden täglich verschlüsselt angefertigt und in derselben Region des Datenbank-Auftragsverarbeiters für 30 Tage vorgehalten. Eine zusätzliche, ebenfalls verschlüsselte Off-Site-Sicherung wird sieben Tage in unserem EU-Dokumentenspeicher aufbewahrt. Die Wiederherstellungsfähigkeit der Sicherungen wird regelmäßig getestet (Art. 32 Abs. 1 lit. c DSGVO).

7. Nachvollziehbarkeit der Verarbeitungskette

Wir legen höchsten Wert auf die Nachvollziehbarkeit und Transparenz aller Verarbeitungsschritte über die gesamte Lebensdauer Ihres Vorgangs, von der Beauftragung über etwaige Nachreichungen und einen möglichen Widerruf bis zur vollständigen Vertragserfüllung und dem Versand des Leistungsnachweises. Diese Nachvollziehbarkeit ist nicht nur ein Element unserer Rechenschaftspflicht im Sinne des Art. 5 Abs. 2 DSGVO, sondern ein bewusstes Gestaltungsprinzip unserer Verarbeitung: jede rechtsrelevante Aktion an Ihren Daten wird mit einem unveränderlichen, kryptografisch gesicherten Audit-Eintrag dokumentiert. Sie können die zentralen Audit-Daten jederzeit über Ihr Kundenportal selbst einsehen oder bei uns anfordern.

a) Beauftragungs-Kette

Mit der Übermittlung des Bestellformulars erfassen wir die für die spätere Nachvollziehbarkeit der Beauftragung erforderlichen Beweis-Metadaten: den exakten Zeitpunkt des Vertragsschlusses millisekundengenau, die IP-Adresse, aus der die Bestellung abgesandt wurde, das User-Agent-Profil des verwendeten Browsers, den Zeitpunkt und die Inhalte der erteilten Einwilligungen (AGB-Zustimmung, Vollmachts-Erteilung, ausdrückliche Zustimmung zum Sofortbeginn der Leistungserbringung), den kryptografischen Hash (SHA-256) der erzeugten Vollmachts- und Antragsdokumente sowie einen pseudonymisierten Identifikator der Browser-Umgebung. Diese Beweis-Metadaten dienen ausschließlich dem Zweck, die Authentizität der Beauftragung im Streitfall belegen zu können, etwa gegenüber dem Beitragsservice, im Rahmen eines Zahlungsstreits oder bei einem Identitätsmissbrauch zu Lasten der betroffenen Person.

b) Nachreichungs-Kette

Sofern für die vollständige Bearbeitung Ihres Auftrags weitere Angaben oder Nachweise erforderlich werden (z. B. eine Sterbeurkunde bei der Abmeldung eines verstorbenen Beitragszahlers, eine fehlende Beitragsnummer, eine ergänzende Adresse), fordern wir diese in einer eindeutig gekennzeichneten Nachreichungs-Mail an. Jede gesendete Erinnerungs-Mail wird mit Zeitstempel, Inhaltsversion und Zustellstatus dokumentiert. Jede Ihrer Antworten (sei es über das Antwort-Portal, per E-Mail oder durch Upload eines Dokuments) wird ebenfalls mit Zeitstempel, IP-Adresse, User-Agent und (bei Dateien) kryptografischem Hash erfasst. Die so erzeugte Kette erlaubt zu jedem Zeitpunkt die vollständige Rekonstruktion: wann wurde welche Information angefordert, wann wurde sie geliefert, in welcher Form, und in welche Antragsstellung ist sie eingeflossen.

c) Widerrufs-Kette

Erklären Sie den Widerruf des Vertrags, dokumentieren wir den exakten Zeitpunkt des Eingangs Ihrer Widerrufserklärung millisekundengenau, die Quelle (Kundenportal, E-Mail, Brief), die IP-Adresse bei elektronischer Erklärung, die Form der erteilten Bestätigung, den Inhalt der versendeten Widerrufsbestätigung sowie die Nummern und Beträge der Stornorechnungen. Dadurch ist auch bei Widerruf jederzeit nachvollziehbar, wann und in welcher Weise Sie Ihren Vertrag widerrufen haben. Den genauen Zeitpunkt der Auftragsbestätigung, der zugleich den Zeitpunkt markiert, zu dem die in den AGB beschriebene wertbildende Hauptleistung erbracht wurde, können Sie in Ihrem Kundenportal millisekundengenau einsehen.

d) Erfüllungs-Kette

Die formelle Einreichung Ihrer Antragsunterlagen bei der zuständigen Stelle wird mit dem exakten Zeitpunkt der Versendung, einem pseudonymisierten Identifikator des bearbeitenden Mitarbeiters, dem kryptografischen Hash der eingereichten Unterlagen sowie dem Zeitstempel und Inhalt des erzeugten Einreichungsbelegs erfasst. Etwaige Rückläufe oder Antwortschreiben der zuständigen Stelle werden mit Zeitstempel des Eingangs sowie einer Klassifizierung der Nachricht dokumentiert. Auf dieser Grundlage erstellen wir den Leistungsnachweis, der ebenfalls mit Zeitstempel und kryptografischem Hash versehen ist.

e) Eigenständige Prüfung durch Sie

Über unsere öffentliche Hash-Prüfseite können Sie die Echtheit jedes von uns ausgestellten Dokuments jederzeit selbst überprüfen. Geben Sie dazu den auf dem jeweiligen Dokument abgedruckten SHA-256-Hash auf der Seite /verify ein. Wenn der eingegebene Hash mit dem von uns gespeicherten Hash übereinstimmt, ist sichergestellt, dass das Dokument unverändert ist und tatsächlich von uns ausgestellt wurde.

f) Zweckbindung der Beweis-Metadaten

Sämtliche Beweis-Metadaten werden ausschließlich zur Beweissicherung der jeweiligen Verarbeitungsschritte verwendet. Eine Verwendung der Daten zu anderen Zwecken (insbesondere zur Profilbildung, zur Bewertung der Bonität oder Kreditwürdigkeit oder zur Übermittlung an Dritte zu Werbe- oder Bewertungszwecken) findet ausdrücklich nicht statt.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Die Speicherdauer richtet sich nach folgenden Kriterien:

  • Auftragsdaten (Name, Adresse, Beitragsnummer): Löschung 90 Tage nach vollständigem Abschluss des Auftrags und vollständigem Zahlungseingang, sofern keine gesetzlichen Aufbewahrungspflichten oder offenen Forderungen entgegenstehen.
  • Rechnungsdaten: Aufbewahrung für 10 Jahre gemäß § 147 AO, § 257 HGB.
  • Vollmachtsdokumente und forensische Beweis-Metadaten: Aufbewahrung für 3 Jahre ab Auftragsabschluss (Regelverjährung gemäß §§ 195, 199 BGB) als Nachweis der Bevollmächtigung gegenüber der zuständigen Stelle, der eingereichten Dokumente und der Authentizität der Beauftragung.
  • Korrespondenz mit dem Kundenservice: Aufbewahrung für 3 Jahre ab letztem Kontakt; danach Löschung, sofern nicht in einem konkreten Vorgang eine längere Aufbewahrung gerechtfertigt ist.
  • Audit-Logs der Verarbeitungskette: Aufbewahrung für 3 Jahre ab Auftragsabschluss als Nachweis der DSGVO-konformen Verarbeitung im Sinne der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
  • Analyse-Cookies: Gemäß den Aufbewahrungsfristen des jeweiligen Analyse-Dienstes (standardmäßig 14 Monate), gerechnet ab dem letzten Besuch der Website.

Sonderregelung bei offenen Forderungen:
Solange eine Forderung gegenüber dem Kunden offen ist (insbesondere im Rahmen eines Mahn- oder Inkassoverfahrens), werden sämtliche mit dem Auftrag und der Forderung zusammenhängenden personenbezogenen Daten über die oben genannten Fristen hinaus gespeichert, bis die Forderung vollständig beglichen, rechtskräftig festgestellt oder verjährt ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung offener Forderungen) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen).

Löschverfahren: Nach Ablauf der jeweiligen Aufbewahrungsfrist werden personenbezogene Daten in regelmäßigen Löschläufen unwiderruflich aus unserer Primärdatenbank entfernt. In den Datenbank-Backups verbleiben die Daten bis zum Ablauf der jeweiligen Backup-Aufbewahrungsfrist (vgl. Ziffer 6); innerhalb dieses Zeitfensters werden die Daten nicht aktiv verarbeitet und sind nur im Falle einer Wiederherstellung des Backups zugänglich.

9. Cookies und Tracking

(1) Technisch notwendige Cookies: Unsere Website setzt technisch notwendige Cookies ein, die für den Betrieb der Website erforderlich sind (z. B. Session-Cookies, Admin-Authentifizierung, Speicherung Ihrer Cookie-Auswahl). Diese Cookies werden auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung gesetzt; ergänzende Verarbeitungen erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

(2) Analyse- und Werbe-Cookies: Nach ausdrücklicher Einwilligung über das Cookie-Banner setzen wir Cookies eines Web-Analyse- und Online-Werbeanbieters ein. Die Einwilligung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

(3) Consent-Mechanismus: Wir setzen einen standardisierten Consent-Mechanismus ein. Bei Ablehnung der Einwilligung werden keine Analyse- oder Werbe-Cookies gesetzt; in diesem Fall werden allenfalls anonymisierte, nicht personenbezogene Modell-Daten verarbeitet, aus denen kein Rückschluss auf eine konkrete Person möglich ist.

(4) Widerruf der Einwilligung: Sie können Ihre Cookie-Einstellungen jederzeit über das Cookie-Banner oder über die Datenschutz-Einstellungen auf unserer Website ändern. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO).

(5) Versand- und Empfangsdokumentation von E-Mails: Wenn wir Ihnen eine vertragsbezogene E-Mail senden (z. B. Bestellbestätigung, Einreichungsbeleg, Rechnung, Mahnung, Support-Antwort), betten wir ein technisches Element ein, mit dem wir den Eingang und das Öffnen dieser E-Mail dokumentieren können. Konkret werden erfasst: die IP-Adresse Ihres Mail-Clients oder Mail-Providers (volle Adresse für 90 Tage, danach Anonymisierung auf das /24-Subnet bei Erhalt der Subnet-Information für weitere 275 Tage), die technische Kennzeichnung Ihres Mail-Clients (User-Agent-String), der Zeitstempel des Empfangs/Öffnens, bei Klicks auf einen Link in der E-Mail zusätzlich die geklickte Ziel-URL, sowie eine eindeutige Cloudflare-Request-ID zur unabhängigen Verifizierbarkeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Dokumentation der Vertragserfüllung, der Vermeidung von Missbrauch (insbesondere unberechtigter Behauptungen, eine E-Mail nicht erhalten zu haben) sowie der Beweissicherung in zivilrechtlichen, mahn- und vollstreckungsrechtlichen Verfahren. Widerspruch: Sie können das Laden externer Inhalte in Ihrem Mail-Client deaktivieren („Externe Bilder nicht laden“ oder ähnliche Funktion); dadurch unterbleibt die Erhebung dieser Daten ohne Auswirkung auf die Inanspruchnahme unserer Dienstleistung. Eine Forward-Erkennung erfolgt ausschließlich pseudonym auf Token-Basis (kein direkter Personenbezug). Die in diesem Rahmen erhobenen Daten werden nicht an Dritte zu Werbezwecken weitergegeben.

10. Ihre Rechte

Sie haben uns gegenüber folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft über Ihre gespeicherten Daten einschließlich Verarbeitungszweck, Datenkategorien, Empfänger und Speicherdauer (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO; siehe Ziffer 13)

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte per E-Mail an support@rundfunkbeitragservices.de. Wir werden Ihr Anliegen unverzüglich, spätestens innerhalb der gesetzlichen Monatsfrist (Art. 12 Abs. 3 DSGVO), bearbeiten. Bei komplexen oder umfangreichen Anfragen kann die Frist einmalig um zwei Monate verlängert werden; in diesem Fall werden wir Sie innerhalb der ursprünglichen Monatsfrist hierauf hinweisen. Zur Bearbeitung der Anfrage benötigen wir geeignete Identitätsnachweise; in der Regel genügt die Anfrage von der bei uns hinterlegten E-Mail-Adresse.

11. Automatisierte Entscheidungsfindung

Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Soweit im Rahmen der Betrugsprävention automatisierte Risiko-Indikatoren erhoben werden, dienen diese lediglich der Vorbereitung und Unterstützung einer abschließenden Entscheidung durch einen menschlichen Bearbeiter; eine Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung Ihnen gegenüber wird nicht ausschließlich automatisiert getroffen.

12. Verbindliche Richtlinien zur Einhaltung der DSGVO

Wir haben verbindliche technische und organisatorische Maßnahmen sowie interne Richtlinien implementiert, um die Anforderungen der DSGVO und des deutschen Datenschutzrechts dauerhaft einzuhalten. Diese Richtlinien sind für alle internen Bearbeiter sowie für unsere externen Auftragsverarbeiter verbindlich und werden regelmäßig überprüft und fortgeschrieben.

a) Auftragsverarbeitungsverträge (Art. 28 DSGVO):
Mit allen externen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, bestehen schriftliche Auftragsverarbeitungsverträge, die Weisungsbindung, Vertraulichkeit, technisch-organisatorische Mindeststandards, Sub-Unterauftragsverhältnisse, Lösch- und Rückgabepflichten am Vertragsende sowie Unterstützungspflichten bei Betroffenenanfragen und Datenpannen regeln. Die Auswahl eines Auftragsverarbeiters erfolgt erst nach Prüfung seiner technischen und organisatorischen Eignung zur Einhaltung der gesetzlichen Anforderungen.

b) Technische und organisatorische Maßnahmen (Art. 32 DSGVO):
Transportverschlüsselung mittels aktueller TLS-Versionen für alle externen Verbindungen, Verschlüsselung at-rest sämtlicher persistenter Speicher (Datenbank, Dokumentenspeicher, Backups), rollenbasierte Zugriffskontrolle mit Mehr-Faktor-Authentifizierung für sämtliche administrativen Zugänge, kryptografisch signierte Audit-Logs aller administrativen Aktionen, automatisierte Backups mit definierter Aufbewahrungsfrist und regelmäßiger Wiederherstellungsprüfung, getrennte Test- und Produktionsumgebungen, regelmäßige Sicherheitsupdates aller eingesetzten Komponenten, regelmäßige Überprüfung der Wirksamkeit der TOM (Art. 32 Abs. 1 lit. d DSGVO).

c) Datenminimierung und Zweckbindung (Art. 5 Abs. 1 lit. b und c DSGVO):
Wir erheben ausschließlich diejenigen Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind. Felder, die nicht zur Vertragsdurchführung benötigt werden, sind optional. Eine zweckfremde Weiterverarbeitung findet nicht statt. Wenn der Verarbeitungszweck einer Datenkategorie entfallen ist, wird diese Datenkategorie gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

d) Privacy by Design und Privacy by Default (Art. 25 DSGVO):
Bei der Konzeption neuer Funktionen wird der Datenschutz von Beginn an als Gestaltungskriterium berücksichtigt. Voreinstellungen werden so gewählt, dass standardmäßig nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden.

e) Drittland-Garantien (Art. 44 ff. DSGVO):
Übermittlungen in Drittländer erfolgen ausschließlich auf Grundlage eines Angemessenheitsbeschlusses, der Standardvertragsklauseln der EU-Kommission oder anderer in Kapitel V DSGVO vorgesehener Garantien, jeweils in Verbindung mit ergänzenden technischen und organisatorischen Maßnahmen.

f) Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO):
Wir führen ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten einschließlich Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Speicherdauer und TOM-Verweis. Das Verzeichnis wird auf Anfrage einer zuständigen Aufsichtsbehörde unverzüglich vorgelegt (Art. 30 Abs. 4 DSGVO).

g) Meldepflicht bei Datenschutzverletzungen (Art. 33 und 34 DSGVO):
Wir verfügen über einen dokumentierten internen Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen innerhalb von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde sowie zur Benachrichtigung betroffener Personen, sofern ein voraussichtlich hohes Risiko für deren Rechte und Freiheiten besteht. Jede Verletzung wird intern dokumentiert und ausgewertet (Art. 33 Abs. 5 DSGVO).

h) Betroffenenrechte-Workflow (Art. 12 ff. DSGVO):
Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch werden über eine dedizierte E-Mail-Adresse entgegengenommen, identitätsgeprüft und innerhalb der gesetzlichen Monatsfrist bearbeitet. Die Frist kann bei komplexen Anfragen einmalig um zwei Monate verlängert werden (Art. 12 Abs. 3 DSGVO).

i) Verpflichtung auf das Datengeheimnis (Art. 29, 32 Abs. 4 DSGVO, § 53 BDSG):
Alle Personen, die auf personenbezogene Daten zugreifen können, sind schriftlich auf das Datengeheimnis verpflichtet und werden regelmäßig zu Datenschutz und Informationssicherheit geschult.

j) Datenschutz-Folgenabschätzung (Art. 35 DSGVO):
Vor Einführung neuer Verarbeitungstätigkeiten mit potenziell hohem Risiko für die Rechte und Freiheiten natürlicher Personen führen wir eine Datenschutz-Folgenabschätzung durch und dokumentieren das Ergebnis. Soweit erforderlich, konsultieren wir die zuständige Aufsichtsbehörde gemäß Art. 36 DSGVO.

k) Regelmäßige Überprüfung und Fortschreibung:
Die hier beschriebenen Richtlinien werden mindestens jährlich sowie anlassbezogen überprüft und an geänderte rechtliche Rahmenbedingungen, neue Verarbeitungstätigkeiten und neue technische Möglichkeiten angepasst.

Für Datenschutz-Anliegen sowie zur Ausübung Ihrer Betroffenenrechte können Sie uns jederzeit unter support@rundfunkbeitragservices.de erreichen.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Sie können sich insbesondere an die Aufsichtsbehörde Ihres Wohnsitzes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden. Eine Übersicht der zuständigen deutschen Datenschutz-Aufsichtsbehörden ist beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (www.bfdi.bund.de) abrufbar.

Unabhängig vom Beschwerderecht steht Ihnen jederzeit der ordentliche Rechtsweg vor den staatlichen Gerichten offen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Leistungen anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar. Wesentliche Änderungen werden wir, soweit erforderlich, durch einen geeigneten Hinweis auf der Website oder per E-Mail an die bei uns hinterlegte Adresse bekannt geben.

Stand: Mai 2026