Datenschutzerklärung

Stand: 26. Mai 2026.

Dieses Dokument erklärt, wie wir — die Betreiber von utm-rescue.org — mit personenbezogenen Daten umgehen. Wir unterscheiden dabei zwei Rollen:

  • Besucher dieser Webseite (utm-rescue.org, demo.utm-rescue.org)
  • Konsumenten des Client-Skripts auf teilnehmenden Shop-Seiten

1. Verantwortliche Stelle

Siehe Impressum.

2. Besuch dieser Webseite (utm-rescue.org)

Beim Aufruf dieser Seite verarbeitet unser Webserver (nginx auf srv01.mind63.com) folgende technische Daten, die jeder Browser automatisch übermittelt:

  • aufgerufene URL
  • Datum und Uhrzeit der Anfrage
  • HTTP-Statuscode und Antwortgröße
  • Referrer-URL (falls vom Browser gesendet)
  • User-Agent-String

Wir loggen ausdrücklich keine IP-Adressen. Unser nginx-Logformat ist so konfiguriert, dass die Quell-IP $remote_addr nicht im Access-Log erscheint. Rechtsgrundlage für das Server-Logging ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Logs werden nach 14 Tagen automatisch rotiert.

Cookies werden auf dieser Webseite nicht gesetzt. Tracking-Tools (Google Analytics, Meta-Pixel usw.) sind ebenfalls nicht eingebunden.

3. Demo-Webseite (demo.utm-rescue.org)

Die Demo-Seite lädt das öffentlich auditierbare Client-Skript und demonstriert dessen Verhalten gegen unseren produktiven Ingest-Endpoint. Wenn Du die Demo durchklickst, sendet Dein Browser einen Conversion-Ping an api.utm-rescue.org. Dieser Ping enthält:

  • einen statischen Demo-API-Key (kein Personenbezug)
  • eine zufällig generierte Order-ID
  • die UTM-Parameter aus der URL
  • einen Zeitstempel

Keine IP, kein Identifier, keine User-Agent-Daten werden persistiert.

4. Client-Skript auf teilnehmenden Shops

Wenn Du eine Shop-Seite besuchst, die utm-rescue.js einbindet, läuft das Skript ausschließlich in Deinem Browser und macht folgendes:

  • liest UTM-Parameter aus der URL und (falls dort nicht vorhanden) aus document.referrer
  • ergänzt UTM-Parameter an internen <a>- und <form>-Targets auf gleicher eTLD+1
  • sendet bei einer Conversion (z. B. Bestellbestätigung) einen Ping mit utm_*, order_id und ggf. Bestellwert an api.utm-rescue.org/v1/collect

Das Skript setzt keine Cookies und schreibt nicht in localStorage/sessionStorage/IndexedDB. Damit greift § 25 TTDSG nicht und es ist keine Einwilligung erforderlich.

Der gesendete Ping enthält keinen User-Identifier: keine Client-ID, keinen Fingerprint, keinen IP-Hash. Auf unserem Server (api.utm-rescue.org) wird die IP der Anfrage in der Nginx-/PHP-Konfiguration aktiv unterdrückt, bevor die Applikationsschicht sie sehen würde.

Respekt vor "Do Not Track": Browser mit navigator.doNotTrack === '1' deaktivieren das Skript vollständig — es werden keine UTMs propagiert und keine Pings gesendet.

Rechtsgrundlage für die Verarbeitung der UTM-Daten ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Attribution-Messung), in Verbindung mit unserer technischen Garantie, dass kein Personenbezug hergestellt wird.

5. Dashboard (dashboard.utm-rescue.org)

Das Dashboard ist nur für angemeldete Shop-Betreiber zugänglich. Login erfolgt über einen Magic-Link, der an die hinterlegte Kontakt-E-Mail-Adresse versendet wird. Für die Session setzen wir einen Session-Cookie (Laravel-Standard); dieser ist HttpOnly, Secure, SameSite=Lax, und enthält keinen Personenbezug außer der Session-ID. Der Cookie wird beim Logout sofort invalidiert.

6. Hosting

Sämtliche Dienste laufen auf einem dedizierten Hetzner-Server in Deutschland (srv01.mind63.com). Auftragsverarbeitung mit Hetzner Online GmbH gemäß Art. 28 DSGVO.

7. Fehler-Monitoring (Glitchtip)

Anwendungsfehler werden über eine selbst-gehostete Glitchtip-Instanz (monitor.mind63.com) erfasst. Übermittelt werden Stack-Traces und Request-Kontext, jedoch keine Inhalte des Conversion-Pings (UTM-Werte etc. sind durch die Fehler-Pfade ausgeschlossen). Glitchtip läuft ebenfalls auf Servern in Deutschland.

8. Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) gemäß DSGVO. Da wir keinerlei personenbeziehbare Daten zu Webseitenbesuchern speichern, sind diese Rechte faktisch nicht anwendbar — aber Du kannst uns trotzdem jederzeit unter hello@utm-rescue.org erreichen.

Beschwerderecht bei der Aufsichtsbehörde: zuständig ist die für den Wohnsitz des Anbieters zuständige Landesdatenschutzbehörde.