Zum Kurzüberblick

Datenschutzerklärung

Hanper GmbH · TaktFlo · Stand: Juni 2026

1. Anwendungsbereich

Diese Datenschutzerklärung gilt für alle von der Hanper GmbH bereitgestellten Online-Angebote, insbesondere:

• die Informationswebsite hanper.de (Unternehmensauftritt),
• den Kundenbereich unter hanper.de/taktflo (Registrierung, Login, Konto, Abo, Kontaktformular),
• die TaktFlo-Web-App für Dirigenten, Musiker und Vereinsverwaltung (browserbasiert; Zugang über die Hanper-Login-Seite und die jeweilige Vereins-URL, z. B. taktflo.hanper.de),
• zugehörige Module (u. a. Notenverwaltung, Stimmen zuordnen, Scan-Handy, Stück-Informationen) sowie Abo- und Zahlungsprozesse über Stripe.

Die Erklärung gilt auch für künftig eingeführte Module, sofern sie auf dieselben Datenverarbeitungsprozesse zurückgreifen. Wesentliche Änderungen werden gemäß Abschnitt 9 angekündigt.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Für optionale Verarbeitungen (z. B. Marketing-Newsletter) holen wir eine ausdrücklich freiwillige, jederzeit widerrufbare Einwilligung ein. Die Grundfunktionen von TaktFlo können ohne eine solche Einwilligung genutzt werden.

2. Verantwortlicher

Hanper GmbH
Hauptstraße 18
97517 Rannungen
Deutschland

E-Mail (allgemein und Datenschutz): info@hanper.de (Betreff „Datenschutz")

Datenschutzbeauftragter: Derzeit nicht bestellt, da keine gesetzliche Pflicht nach Art. 37 DSGVO besteht.

Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Wagmüllerstraße 18, 80538 München, www.lda.bayern.de

3. Datenverarbeitung durch Hanper

3.1 Allgemeine Kontaktaufnahme

Bei Kontakt per E-Mail verarbeiten wir die von Ihnen mitgeteilten Angaben (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachrichteninhalt), um Ihre Anfrage zu bearbeiten.

Kontaktformular unter hanper.de/taktflo/kontakt: Wir verarbeiten Ihre E-Mail-Adresse und den Nachrichtentext. Zum Schutz vor Missbrauch setzen wir ein serverseitiges Rechen-Captcha (ohne Drittanbieter wie Google reCAPTCHA), ein Honeypot-Feld sowie IP-basiertes Rate-Limiting ein. E-Mail-Adressen bestimmter Wegwerf-Domains lehnen wir ab.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation).

Speicherfrist: 24 Monate nach Abschluss des Vorgangs, sofern keine längeren gesetzlichen Aufbewahrungspflichten oder Rechtsansprüche entgegenstehen.

3.2 Nutzung der Websites und des Kundenbereichs

3.2.1 Informationswebsite hanper.de

Beim Aufruf von hanper.de (ohne Login) verarbeitet unser Webserver technisch erforderliche Zugriffsdaten. Die Seite ist überwiegend statisch. Wir setzen derzeit keine Analyse- oder Marketing-Cookies auf der Informationswebsite ein.

Zur einheitlichen Darstellung können Schriftarten von Google Fonts geladen werden (Google Ireland Limited / Google LLC, USA). Dabei kann Ihre IP-Adresse an Google übermittelt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an konsistenter, lesbarer Darstellung). Weitere Informationen: Google-Datenschutzhinweise.

3.2.2 Kundenbereich hanper.de/taktflo

Unter hanper.de/taktflo können Sie sich registrieren, ein Kundenkonto führen, eine kostenlose Testphase starten, ein kostenpflichtiges Abo abschließen und uns kontaktieren.

Verarbeitete Daten können insbesondere sein:

• E-Mail, Vor- und Nachname, Vereins-/Organisationsname,
• Passwort ausschließlich als kryptografischer Hash (bcrypt),
• Verifikations- und Passwort-Reset-Token (gehasht in der Datenbank),
• Abo-, Bestell- und Stripe-Kundenreferenzen, Testphasen-Zeitstempel,
• technische Zugriffs- und Protokolldaten.

Login: Technisch notwendige Session-Cookies über NextAuth (JWT-basierte Sitzung, max. 30 Tage), z. B. next-auth.session-token bzw. __Secure-next-auth.session-token bei HTTPS.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit erforderlich Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Missbrauchsprävention, z. B. Rate-Limiting nach IP-Adresse bei Login, Registrierung und Kontakt).

3.2.3 Server-Logfiles (alle Webangebote)

Zwecke: Bereitstellung der Website und Apps (Art. 6 Abs. 1 lit. b DSGVO); Stabilität, Sicherheit, Abwehr von Angriffen und Fehlerdiagnose (Art. 6 Abs. 1 lit. f DSGVO).

Server-Logfiles können u. a. enthalten:

• aufgerufene URL, Referrer-URL,
• Datum und Uhrzeit,
• IP-Adresse,
• Browser- und Betriebssysteminformationen,
• Hostname des zugreifenden Rechners.

Speicherfrist Logfiles: 14 Tage, danach automatisierte Löschung bzw. Überschreibung.

Statistik- und Marketing-Tracking: In der TaktFlo-Web-App setzen wir derzeit kein Google Analytics, Firebase oder vergleichbares Nutzer-Tracking ein. Auf der Marketing-Website können sich künftige Tools ändern; dann informieren wir gesondert und holen erforderliche Einwilligungen ein.

3.3 Cookies und lokale Speicher

3.3.1 Hanper-Kundenbereich (hanper.de/taktflo)

Wir verwenden technisch erforderliche First-Party-Cookies für die Anmeldung und Sitzungsverwaltung (NextAuth, siehe 3.2.2). Analyse-, Marketing- oder Tracking-Cookies werden hier ohne Ihre Einwilligung nicht gesetzt.

3.3.2 TaktFlo-Vereins-App (PHP)

In der TaktFlo-Vereins-Anwendung können u. a. folgende technisch erforderliche Speicher genutzt werden:

• PHP-Session-Cookie (z. B. PHPSESSID) — Anmeldung, Mandantenzuordnung, Sitzungssicherheit; Dauer bis zu 7 Tage; Kategorie: notwendig
• Session-Daten in der Datenbank (php_sessions) — Lastverteilung, sessionfähiger Betrieb; Dauer entsprechend Sitzungslebensdauer; Kategorie: notwendig

Sofern auf einzelnen Seiten optional Skripte von Content-Delivery-Netzen geladen werden (z. B. für PDF-Export), kann dabei eine Verbindung zu Servern des CDN-Anbieters entstehen; wir setzen hierauf, wo möglich, selbst gehostete Bibliotheken.

3.4 Registrierung, Login und Nutzung von TaktFlo

Zweck: Bereitstellung der Web-App, Benutzerverwaltung, Rechtevergabe, Vertragserfüllung, technische Administration, gleichzeitige Nutzung (Seat-Limit), Synchronisation zwischen Dirigent und Musikern.

Verarbeitete Daten können insbesondere sein:

• Vereins-/Mandantendaten (Name, Slug, Einstellungen),
• Administrator- und Mitgliedskonten: E-Mail, Vor- und Nachname, interne Nutzer-ID (Slug), Rollen und Berechtigungen,
• Passwort ausschließlich als bcrypt-Hash,
• hochgeladene PDFs und Noteninhalte, Stück-Metadaten,
• Setlisten, PDF-Annotationen, Synchronisations- und Anzeigestatus,
• Online-Präsenz: Session-ID, Nutzer-ID, Stimme, Zeitstempel; bei der Dirigent-Musiker-Synchronisation kann die IP-Adresse kurzzeitig in der Datenbank gespeichert werden (TTL ca. 30 Sekunden),
• Seat-Verwaltung: periodische Heartbeats (ca. alle 45 Sekunden) zur Einhaltung lizenzierter Zugänge,
• technische Protokolldaten zur Fehleranalyse und Systemsicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit erforderlich Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Missbrauchsprävention).

Speicherfrist: Für die Dauer des Vertragsverhältnisses. Nach Vertragsende kann der Account bis zu 3 Monate gesperrt vorgehalten werden (Reaktivierung). Erfolgt keine Reaktivierung, werden zugehörige Daten und hochgeladene PDFs gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Aus verschlüsselten Backups können Daten noch für einen begrenzten Zeitraum fortbestehen und werden im Rahmen der Backup-Rotation überschrieben oder gelöscht.

Hinweis zu Inhalten in PDFs: Hochgeladene Noten können Namen oder sonstige Angaben Dritter enthalten. Der jeweilige Verein ist für die Rechtmäßigkeit dieser Inhalte verantwortlich (siehe Abschnitt 4).

3.5 Scan-Handy und Kamera

Bei Nutzung der Scan-Funktion im Browser kann der Zugriff auf die Gerätekamera angefordert werden. Die Kameraverarbeitung erfolgt lokal auf Ihrem Endgerät; die Übertragung an unsere Server erfolgt erst, wenn Sie ein erfasstes Dokument aktiv hochladen oder speichern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.6 Feedback während der Testphase

In der Testphase können berechtigte Vereinsadministratoren Fehlermeldungen und Wünsche übermitteln (Text, ggf. Screenshots). Dies dient der Produktverbesserung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.

Speicherfrist: bis zur Bearbeitung und Archivierung im Supportprozess, längstens im Rahmen der Vertragslaufzeit.

3.7 Entgeltliche Funktionen und Zahlungsabwicklung (Stripe)

Für Abonnements und Zahlungen nutzen wir Stripe Payments Europe Ltd. / Stripe Inc. (Zahlungsdienstleister). Zahlungen erfolgen über Stripe Checkout (Weiterleitung auf die von Stripe bereitgestellte Zahlungsseite).

Verarbeitete Daten können insbesondere sein:

• Name, Rechnungs- und Kontaktdaten, E-Mail, Vertrags- und Transaktionsdaten, ggf. USt-IdNr.,
• in unserer Datenbank: Stripe-Kunden-ID, Abonnement- und Bestellstatus, Checkout-Session-Referenzen,
• Kartendaten verbleiben bei Stripe (PCI-DSS); Hanper erhält in der Regel nur Zahlungsmittel-Typ, Token und die letzten vier Ziffern der Karte.

Die Abwicklung wird über Stripe-Webhooks mit unserem System synchronisiert (z. B. Bestätigung von Checkout und Abonnement-Status).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; buchungsrelevante Daten zusätzlich Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Aufbewahrung, in Deutschland typischerweise bis zu 10 Jahre).

Datenschutzinformationen von Stripe: stripe.com/de/privacy. Für Zahlungsdaten kann Stripe als eigenverantwortlicher Verantwortlicher auftreten.

3.8 E-Mail-Kommunikation

Wir versenden System- und Benachrichtigungs-E-Mails (z. B. Willkommensmail, E-Mail-Änderung, Passwortprozesse, Abo-Hinweise) über unsere SMTP-Infrastruktur (Absender u. a. taktflo@hanper.de).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit erforderlich Art. 6 Abs. 1 lit. f DSGVO (zuverlässiger Betrieb).

3.9 Newsletter

Sofern wir einen Newsletter anbieten: Wir verarbeiten Ihre E-Mail-Adresse und ggf. freiwillige Angaben zum Versand. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 7 UWG). Wir empfehlen das Double-Opt-In-Verfahren; Anmelde- und Bestätigungszeitpunkt können protokolliert werden. Sie können die Einwilligung jederzeit widerrufen (z. B. per E-Mail an info@hanper.de oder über einen Abmeldelink).

Derzeit ist kein produktiver Newsletter-Versand eingerichtet.

3.10 Hosting, Backups und technische Infrastruktur

Website, Kundenbereich und TaktFlo werden überwiegend auf Servern der Hetzner Online GmbH in Deutschland betrieben. Die Hanper-Kunden- und Aboverwaltung nutzt eine eigene Datenbank; die TaktFlo-Mandantenverwaltung (tenant_management) und Vereinsdaten werden in separaten Datenbankstrukturen geführt. Backups dienen der Wiederherstellbarkeit und dem sicheren Betrieb.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

3.11 Datenübermittlung in Drittstaaten

Eine Übermittlung in Staaten außerhalb des Europäischen Wirtschaftsraums erfolgt nur, wenn dies für einzelne Dienste erforderlich ist und die datenschutzrechtlichen Voraussetzungen erfüllt sind (insbesondere Angemessenheitsbeschluss, Standardvertragsklauseln gemäß Art. 46 DSGVO oder – in Ausnahmefällen – Art. 49 DSGVO).

USA-Empfänger (typisch): Stripe Inc., ggf. Google LLC (Google Fonts) — abgesichert durch Verträge des Anbieters (z. B. DPA), EU-Standardvertragsklauseln und ggf. EU-US Data Privacy Framework, soweit anwendbar.

Hosting bei Hetzner erfolgt überwiegend in Deutschland/EU.

4. Datenverarbeitung durch Vereine (Auftragsverarbeitung)

Der bzw. die Account-Administratorin bestätigt mit der Registrierung, vom jeweiligen Verein bzw. der Organisation zur Datenverarbeitung im vereinbarten Umfang bevollmächtigt zu sein. Der Verein bleibt Verantwortlicher im Sinne der DSGVO für die von ihm veranlasste Verarbeitung personenbezogener Daten seiner Mitglieder, Musiker und weiterer Nutzer. Hanper verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV). Es besteht keine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO.

4.1 Verarbeitete Kategorien (durch den Verein veranlasst)

• Nutzerstammdaten (Name, E-Mail, Rollen, Berechtigungen, Instrument/Stimme),
• Vereins- und Gruppenzugehörigkeit,
• Noten-PDFs und Stück-Metadaten,
• Setlisten, Proben- und Auftrittsbezug, Synchronisationsdaten,
• Annotationen und Nutzungsstatus,
• ggf. Anwesenheits- oder Organisationsdaten, soweit im Produkt genutzt.

Speicherfrist im Vereinskontext: entsprechend Abschnitt 3.4, sofern der Verein keine abweichende interne Löschung vornimmt.

Vereine müssen ihre Mitglieder und Musiker über die Datenverarbeitung in TaktFlo in eigener Verantwortung informieren.

5. Empfänger und Auftragsverarbeiter

• Hetzner Online GmbH — Hosting, Serverbetrieb, Backups — Deutschland/EU — AV-Vertrag
• Stripe Inc. / Stripe Payments Europe — Zahlungsabwicklung (für Kartendaten ggf. eigenverantwortlich) — USA/EU — DPA, SCC, PCI-DSS; Datenschutz bei Stripe
• Eigene / beauftragte SMTP-Infrastruktur — System- und Transaktions-E-Mails — EU (angestrebt) — AV-Vertrag soweit extern
• Google Ireland Limited / Google LLC — Google Fonts auf hanper.de — USA/EU — SCC/DPF soweit anwendbar; Google-Datenschutz
• CDN-Anbieter (nur bei Bedarf) — optionale JavaScript-Bibliotheken — ggf. USA — SCC / Einwilligung, wo erforderlich

Weitere technische Dienstleister werden nur eingesetzt, wenn dies erforderlich ist und vertraglich abgesichert wird.

6. Ihre Rechte

Sie haben im Rahmen der gesetzlichen Voraussetzungen insbesondere:

• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht auf Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO),
• Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
• Recht auf Beschwerde bei einer Aufsichtsbehörde (insbesondere BayLDA).

Anfragen beantworten wir unverzüglich, spätestens innerhalb eines Monats. Offenkundig unbegründete oder exzessive Anträge können gemäß Art. 12 Abs. 5 DSGVO abgelehnt oder berechnet werden.

Pflicht zur Bereitstellung: Soweit Daten für Vertragsschluss oder -durchführung erforderlich sind, ist ihre Bereitstellung notwendig; ohne diese Daten kann der Vertrag ggf. nicht geschlossen oder durchgeführt werden.

7. Technische und organisatorische Maßnahmen (TOMs)

Wir treffen angemessene Maßnahmen zum Schutz Ihrer Daten, insbesondere:

• verschlüsselte Übertragung (TLS) bei Zugriff über HTTPS,
• Passwortspeicherung als bcrypt-Hash,
• rollenbasiertes Berechtigungskonzept und Mandantentrennung,
• regelmäßige Datensicherungen und Wiederherstellungskonzepte,
• Zugriffsbeschränkung auf Systeme und administrative Protokollierung.

Einzelheiten zu TOMs im Auftragsverarbeitungsverhältnis sind im AVV mit Vereinskunden geregelt.

8. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

9. Versionierung und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund rechtlicher, technischer oder organisatorischer Änderungen erforderlich wird. Es gilt die zum Zeitpunkt des Abrufs veröffentlichte Fassung. Wesentliche Änderungen teilen wir registrierten Kunden, soweit zumutbar, vorab mit (z. B. per E-Mail oder Hinweis in der App). Wenn neue Einwilligungen erforderlich werden, holen wir diese gesondert ein.

Hinweis: Diese Erklärung ersetzt keine individuelle Rechtsberatung. Hanper GmbH empfiehlt Vereinen, eine auf sie zugeschnittene Datenschutzinformation für ihre Mitglieder zu veröffentlichen.