Datenschutz
Datenschutzhinweise
Stand: 23. Mai 2026
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist der Betreiber der Sicht-Plattform. Konkrete Kontaktdaten findest du im Impressum.
2. Datenkategorien
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Konto-Daten (E-Mail-Adresse, Anzeigename, Organisations-Zugehörigkeit, Rolle, Locale)
- Authentifizierungs-Daten (Magic-Link-Tokens, Session-Tokens, Login-Zeitstempel, IP-Adresse beim Login)
- Geschäftsdaten (Kunden, Buchungen, Verträge, Rechnungen — soweit du sie eingibst)
- Kommunikations-Daten (E-Mail-Versand-Logs, Audit-Trail für DSGVO-Anfragen)
- Zahlungsdaten (über Stripe Connect — wir speichern nur die Stripe-Customer-ID, keine Kartendaten)
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der SaaS-Funktionalität)
- Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Verpflichtungen (Buchhaltungs-Aufbewahrung gem. HGB § 257)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Betrieb, Sicherheit, Missbrauchsschutz)
4. Auftragsverarbeiter
Folgende Auftragsverarbeiter sind im Einsatz, jeweils mit DSGVO-konformen Verträgen (Art.28 DSGVO, EU-Standard-Vertrags- klauseln 2021/914):
- Supabase — Datenbank + Auth, primäre Region Frankfurt (EU-FRA, eu-central-1)
- Vercel — Hosting + Edge-Compute, EU-Edge-Network
- Resend — Transactional Email (Magic-Link-, Benachrichtigungs-Versand)
- Stripe — Zahlungs-Abwicklung (nur wenn du die Stripe-Integration aktivierst; wir speichern nur die Stripe-Customer-ID, keine Kartendaten)
- Sentry — Fehler-Tracking; personenbezogene Daten werden vor dem Versand pseudonymisiert (Email- und IP-Felder werden serverseitig redacted; Identity-IDs werden mit HMAC-SHA256 unter einem gerotteten Pepper transformiert)
5. Aufbewahrung
Persönliche Konto-Daten werden bis zur Löschung des Accounts gespeichert. Geschäftsdaten (Rechnungen, Verträge) unterliegen der HGB-Aufbewahrungspflicht von 10 Jahren — sie bleiben archiviert, persönliche Felder werden bei einer DSGVO-Anfrage durch [GELÖSCHT] ersetzt.
6. Deine Rechte (Art. 15–22 DSGVO)
- Auskunft (Art. 15) — welche Daten zu dir gespeichert sind
- Berichtigung (Art. 16) — falsche Daten korrigieren lassen
- Löschung (Art. 17) — siehe Portal unter „Profil → Daten löschen“
- Einschränkung (Art. 18) — Verarbeitung vorübergehend einschränken
- Datenübertragbarkeit (Art. 20) — Datenexport im JSON-Format
- Widerspruch (Art. 21) — der Verarbeitung widersprechen
Anfragen richtest du an den im Impressum angegebenen Kontakt oder direkt im Portal-Profil.
7. Beschwerde-Recht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — typischerweise die Behörde deines Wohnsitz- Bundeslandes (Deutschland) oder eines beliebigen EU-Mitglied- staates.
8. Operator-Eingriffe & Audit-Trail
Plattform-Administratoren können in zwei seltenen Fällen Daten direkt einsehen:
- DSGVO-Aufsichts-Anfragen (Art.15 Auskunft, Art.17 Löschung): Beim Auflösen einer Lösch-Anfrage wird eine Pseudonym-Ankerung mit Identity-HMAC erstellt; die Klartext-Email wird nur explizit über einen Type-to-Confirm- Workflow enthüllt.
- Operative Recovery bei fehlgeschlagenen Lösch-Cron-Jobs: Administrator-Force-Retry mit atomarem Cancel-Window-Check.
Jede Operator-Aktion wird in einem append-only Audit-Trail festgehalten (Datum, Operator-E-Mail, Aktion, Identity-HMAC). Anomalie-Detection läuft täglich.
9. Cookie-Einwilligung widerrufen
Du kannst deine Cookie-Einwilligung jederzeit über den Link unten erneut aufrufen und einzelne Anbieter (Vercel Analytics, Sentry, Speed Insights) granular aktivieren oder ablehnen — auch ohne dich einzuloggen (Art. 7 Abs. 3 DSGVO). Im eingeloggten Zustand findest du dieselben Optionen unter „Datenschutz“ in den Einstellungen.
10. Technische + Organisatorische Maßnahmen
Die nach Art.32 DSGVO umgesetzten Maßnahmen umfassen u.a. TLS 1.3 erzwingen (HSTS-Preload), Content-Security-Policy mit Per-Request-Nonce, Row-Level-Security auf allen Tenant- Tabellen, append-only Audit-Trail mit Postgres-Trigger, Pseudonymisierung bei Fehler-Captures (Sentry), tägliche Daten-Backups (Supabase).
Vollständige TOM-Doku auf Anfrage über den Kontakt im Impressum.