Datenschutzerklärung

§ 2 – Geltungsbereich

2.1. Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Website dpphero.com (nachfolgend „Website“) und der darüber bereitgestellten SaaS-Plattform DPP Hero (nachfolgend „Plattform“).

2.2. Personenbezogene Daten im Sinne dieser Datenschutzerklärung sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Dies umfasst insbesondere Namen, E-Mail-Adressen, Anschriften, IP-Adressen und Nutzungsdaten.

2.3. Die Vertragssprache ist Deutsch. Ergänzend stehen Übersetzungen dieser Datenschutzerklärung in weiteren Sprachen zur Verfügung. Sämtliche Übersetzungen sind unverbindliche Serviceleistungen. Im Falle von Widersprüchen zwischen der deutschen Fassung und einer fremdsprachigen Fassung ist ausschließlich die deutsche Fassung maßgeblich.

§ 3 – Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit der DSGVO. Soweit in dieser Datenschutzerklärung auf Rechtsgrundlagen Bezug genommen wird, gelten folgende Grundlagen:

(a) Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Die betroffene Person hat ihre Einwilligung zu der Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben.

(b) Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.

(c) Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.

(d) Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

§ 4 – Bereitstellung der Website und Server-Logfiles

4.1. Bei jedem Aufruf der Website werden durch den Hosting-Provider automatisch Informationen erfasst, die der Browser des Nutzers übermittelt (sogenannte Server-Logfiles). Diese umfassen:

(a) IP-Adresse des zugreifenden Endgeräts;

(b) Datum und Uhrzeit des Zugriffs;

(c) Name und URL der abgerufenen Seite;

(d) übertragene Datenmenge;

(e) Meldung, ob der Abruf erfolgreich war (HTTP-Statuscode);

(f) Browsertyp und Browserversion;

(g) Betriebssystem des Endgeräts;

(h) Referrer-URL (die zuvor besuchte Seite);

(i) den anfragenden Provider.

4.2. Die Verarbeitung dieser Daten erfolgt zum Zweck der Bereitstellung der Website, der Gewährleistung der Systemsicherheit und -stabilität, der technischen Fehleranalyse sowie zur Erkennung und Abwehr von Missbrauch.

4.3. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der technisch einwandfreien Bereitstellung und Absicherung der Website.

4.4. Die Server-Logfiles werden vom Hosting-Provider Vercel, Inc. (San Francisco, USA) erhoben und nach dessen Aufbewahrungsrichtlinien gespeichert (in der Regel maximal 72 Stunden). Die serverlosen Funktionen (Serverless Functions) werden in der EU-Region Frankfurt (fra1) ausgeführt. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

§ 5 – Bot-Schutz (Cloudflare Turnstile)

5.1. Auf der Website wird der Dienst Cloudflare Turnstile der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) eingesetzt. Cloudflare Turnstile dient dem Schutz vor automatisierten Zugriffen (Bots) und Missbrauch, insbesondere bei der Registrierung und Anmeldeformularen.

5.2. Bei der Nutzung von Cloudflare Turnstile werden technische Daten (u. a. IP-Adresse, Browserinformationen, Interaktionsmuster) an Cloudflare übermittelt und dort verarbeitet, um menschliche Nutzer von automatisierten Zugriffen zu unterscheiden. Cloudflare setzt zu diesem Zweck keine Cookies ein, die eine Einwilligung erfordern.

5.3. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt im Schutz der Plattform vor automatisierten Angriffen und Missbrauch.

5.4. Cloudflare, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://www.cloudflare.com/privacypolicy/

§ 6 – Registrierung und Nutzerkonto

6.1. Zur Nutzung der Plattform ist die Erstellung eines Nutzerkontos erforderlich. Bei der Registrierung werden folgende personenbezogene Daten erhoben:

(a) E-Mail-Adresse;

(b) Passwort (wird ausschließlich als kryptographischer Hash gespeichert; DPP Hero hat keinen Zugriff auf das Klartext-Passwort).

6.2. Nach der Registrierung werden im Rahmen des Onboardings weitere Daten zur Organisation erfasst (vgl. § 8).

6.3. Die Verarbeitung dieser Daten ist zur Vertragserfüllung erforderlich (Bereitstellung des Nutzerkontos und der Plattformfunktionen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

6.4. Die Kontodaten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Kündigung und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die Daten gelöscht (vgl. § 21).

§ 7 – Authentifizierung und Kontosicherheit

7.1. DPP Hero nutzt für die Authentifizierung den Dienst Supabase Auth (Supabase, Inc., San Francisco, USA). Das Supabase-Projekt von DPP Hero wird in der EU-Region eu-central-1 (Frankfurt, Deutschland) auf Servern von Amazon Web Services (AWS) betrieben. Sämtliche Datenbank-, Authentifizierungs- und Dateispeicherungsdaten werden auf Servern innerhalb der Europäischen Union gespeichert und verarbeitet. Bei der Anmeldung werden folgende Daten verarbeitet:

(a) E-Mail-Adresse und Passwort-Hash;

(b) Session-Token (JWT Access Token und Refresh Token);

(c) Authenticator Assurance Level (AAL) zur Unterscheidung zwischen einfacher Authentifizierung und Multi-Faktor-Authentifizierung;

(d) Sprachpräferenz (die vom Nutzer gewählte Sprache).

7.2. Zwei-Faktor-Authentifizierung (2FA). DPP Hero bietet optional eine Zwei-Faktor-Authentifizierung mittels zeitbasierter Einmalpasswörter (TOTP) an. Bei Aktivierung der 2FA werden verschlüsselte TOTP-Geheimnisse serverseitig bei Supabase gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (Sicherheit des Nutzerkontos).

7.3. Passwort-Zurücksetzung. Bei Nutzung der Passwort-Zurücksetzung wird ein einmaliger, zeitlich befristeter Zurücksetzungslink an die registrierte E-Mail-Adresse gesendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

7.4. E-Mail-Bestätigung. Nach der Registrierung wird eine Bestätigungs-E-Mail an die angegebene E-Mail-Adresse gesendet. Die Bestätigung ist zur Verifizierung der E-Mail-Adresse erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

§ 8 – Organisationsdaten

8.1. Im Rahmen der Plattformnutzung erfasst der Nutzer Stammdaten seiner Organisation. Diese umfassen:

(a) Firmenname;

(b) Geschäftsadresse (Straße, PLZ, Stadt, Land);

(c) Name des Ansprechpartners;

(d) Rechnungs-E-Mail-Adresse;

(e) Umsatzsteuer-Identifikationsnummer (USt-IdNr.);

(f) Global Location Number (GLN, optional);

(g) EORI-Nummer (optional).

8.2. Diese Daten werden zur Vertragserfüllung (Abonnementverwaltung, Rechnungsstellung, Identifizierung) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit steuer- und handelsrechtliche Aufbewahrungspflichten bestehen, ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO.

8.3. Der Ansprechpartnername ist ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO. Der Nutzer stellt sicher, dass die betreffende Person über die Datenverarbeitung informiert ist.

§ 9 – Öffentliches Unternehmensprofil

9.1. Zusätzlich zu den internen Organisationsdaten kann der Nutzer ein öffentliches Unternehmensprofil anlegen. Dieses umfasst:

(a) Öffentlicher Firmenname;

(b) Geschäftsadresse;

(c) Website;

(d) Support-E-Mail-Adresse;

(e) Ansprechpartner;

(f) Ersatzteile-E-Mail und -Website.

9.2. Die Daten des öffentlichen Profils werden in veröffentlichten Produktpässen angezeigt und sind somit für jedermann über das Internet abrufbar. Der Nutzer ist sich bewusst, dass die im öffentlichen Profil hinterlegten Daten mit Veröffentlichung eines Produktpasses öffentlich zugänglich werden.

9.3. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, da die Bereitstellung des öffentlichen Profils unmittelbarer Bestandteil der vertraglich vereinbarten Plattformfunktionalität ist. Die Veröffentlichung erfolgt ausschließlich auf ausdrückliche Veranlassung des Nutzers.

9.4. Der Nutzer kann die Daten des öffentlichen Profils jederzeit im Dashboard ändern oder entfernen.

§ 10 – Produktdaten und digitale Produktpässe

10.1. Die Plattform ermöglicht die Erfassung, Verwaltung und Veröffentlichung von Produktdaten in einem mehrstufigen Prozess (Identifikation, Materialien, CO₂-Fußabdruck, Sorgfaltspflichten, Kreislaufwirtschaft, Leistung, Kennzeichnung).

10.2. Die Produktdaten können personenbezogene Daten enthalten, insbesondere:

(a) Name und Adresse der Fertigungsstätte;

(b) Angaben zu Kontaktpersonen;

(c) Ansprechpartner für Ersatzteile.

10.3. DPP Hero verarbeitet die Produktdaten ausschließlich zur Bereitstellung der vertraglich vereinbarten Plattformfunktionen (Eingabe, Speicherung, Vorschau, Veröffentlichung, Export). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

10.4. Veröffentlichte Produktpässe. Mit der Veröffentlichung eines Produktpasses werden die als „öffentlich“ gekennzeichneten Produktdaten über eine öffentlich zugängliche URL bereitgestellt und sind ohne Authentifizierung abrufbar. Die Veröffentlichung erfolgt ausschließlich auf ausdrückliche Veranlassung des Nutzers.

10.5. Produktbilder und Dokumente. Hochgeladene Bilder und Dokumente (PDF, JPEG, PNG, WebP) werden in öffentlich zugänglichen Speicherbereichen abgelegt (vgl. § 16). Der Nutzer stellt sicher, dass hochgeladene Dokumente keine personenbezogenen Daten Dritter enthalten, deren Verarbeitung nicht durch eine geeignete Rechtsgrundlage gedeckt ist.

10.6. Soweit der Nutzer im Rahmen der Produktdaten personenbezogene Daten Dritter eingibt (z. B. Kontaktpersonen, Mitarbeiter an Fertigungsstätten), ist der Nutzer hierfür datenschutzrechtlich verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO und stellt sicher, dass eine geeignete Rechtsgrundlage besteht und die betroffenen Personen gemäß Art. 13/14 DSGVO informiert wurden.

§ 11 – Digitale Signierung und Audit-Trail

11.1. Die Plattform bietet eine HMAC-SHA256-basierte Integritätsprüfung für Produktdaten. Bei der Signierung werden folgende Daten verarbeitet und gespeichert:

(a) Kryptographischer Hash-Wert (SHA-256) der Produktdaten;

(b) HMAC-SHA256-Signatur;

(c) Zeitpunkt der Signierung;

(d) Benutzer-ID des signierenden Nutzers;

(e) Signierungsgrund (z. B. Erstveröffentlichung, erneute Signierung).

11.2. Diese Daten werden in einem Audit-Trail (Signaturhistorie) protokolliert und für die Dauer des Vertragsverhältnisses gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (Nachvollziehbarkeit und Integritätssicherung).

11.3. Die digitale Signierung ist keine qualifizierte elektronische Signatur im Sinne der eIDAS-Verordnung (EU) Nr. 910/2014.

§ 12 – Share-Links (Zulieferer-Datenerfassung)

12.1. Ersteller von Share-Links (Nutzer der Plattform). Der Nutzer kann tokenbasierte Freigabelinks (Share-Links) erstellen, um Dritten (z. B. Zulieferern) die Möglichkeit zu geben, Produktdaten beizutragen. Bei der Erstellung eines Share-Links werden folgende Daten verarbeitet:

(a) Benutzer-ID des Erstellers;

(b) Organisations-ID;

(c) Produkt-ID und Sektionsschlüssel;

(d) optionale Bezeichnung des Share-Links;

(e) Ablaufdatum;

(f) Erstellungszeitpunkt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12.2. Empfänger von Share-Links (externe Dritte ohne Nutzerkonto). Empfänger von Share-Links können die bereitgestellte URL aufrufen und Daten einreichen, ohne ein Nutzerkonto bei DPP Hero zu besitzen. Bei der Nutzung eines Share-Links werden folgende Daten verarbeitet:

(a) Die vom Empfänger eingegebenen Produktdaten;

(b) Zeitpunkt der Einreichung;

(c) Die eingereichten Daten werden vollständig in der Share-Token-Tabelle archiviert.

Es werden bei der Nutzung eines Share-Links keine IP-Adressen, Browser-Fingerprints oder sonstige technische Identifikatoren des Empfängers gespeichert (unbeschadet der Server-Logfiles gemäß § 4).

12.3. Rechtsgrundlage für die Verarbeitung der von Empfängern eingereichten Daten ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Ermöglichung der Zulieferer-Datenerfassung im Rahmen der vertraglich vereinbarten Plattformfunktionen. Die Datenerhebung erfolgt auf Veranlassung des Nutzers (Erstellers), nicht auf Veranlassung von DPP Hero.

12.4. Bei Einreichung von Daten über einen Share-Link wird der Ersteller des Links per E-Mail über den Dateneingang benachrichtigt. Diese E-Mail enthält den Produktnamen, die betreffende Sektion und einen optionalen Kommentar des Einreichers.

12.5. Der Nutzer ist datenschutzrechtlich dafür verantwortlich, die Empfänger von Share-Links über die Datenverarbeitung zu informieren (Art. 13/14 DSGVO). DPP Hero stellt den Empfängern grundlegende Datenschutzinformationen auf der Share-Link-Seite bereit.

§ 13 – Zahlungsabwicklung (Stripe)

13.1. Die Zahlungsabwicklung für kostenpflichtige Abonnements erfolgt über den Zahlungsdienstleister Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) bzw. für europäische Kunden über Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Für Kunden mit Sitz in der Europäischen Union werden Zahlungsdaten durch Stripe Payments Europe, Limited in Irland verarbeitet.

13.2. Im Rahmen der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt:

(a) E-Mail-Adresse des Nutzers;

(b) Organisations-ID und Benutzer-ID (als Metadaten);

(c) gewählter Abonnementplan;

(d) Zahlungsinformationen (Kreditkartendaten, IBAN etc.) – diese werden ausschließlich von Stripe verarbeitet und gespeichert; DPP Hero hat keinen Zugriff auf vollständige Zahlungsdaten.

13.3. Stripe verarbeitet die Zahlungsdaten als eigenverantwortlicher Datenverarbeiter. Soweit Stripe im Rahmen der technischen Abwicklung als Auftragsverarbeiter tätig wird, erfolgt dies auf Grundlage eines Data Processing Agreement (DPA) gemäß Art. 28 DSGVO.

13.4. Stripe, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://stripe.com/de/privacy

13.5. Rechtsgrundlage für die Übermittlung an Stripe ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit die Speicherung von Rechnungsdaten steuer- und handelsrechtlich erforderlich ist, ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO.

13.6. Stripe-Webhooks. DPP Hero empfängt automatisierte Benachrichtigungen (Webhooks) von Stripe über Zahlungsereignisse (z. B. erfolgreiche Zahlungen, Abonnementänderungen, Kündigungen). Diese Webhooks enthalten die Stripe-Kunden-ID, Abonnement-ID und den Ereignistyp. Die Webhook-Daten werden zur Aktualisierung des Abonnementstatus und zur Auslösung von Benachrichtigungs-E-Mails verwendet.

§ 14 – Rechnungsstellung (sevDesk)

14.1. Zur Erstellung und Verwaltung von Rechnungen nutzt DPP Hero den Dienst sevDesk GmbH (Hauptstraße 115, 77652 Offenburg, Deutschland).

14.2. Im Rahmen der Rechnungsstellung werden folgende Daten an sevDesk übermittelt:

(a) Firmenname und Rechnungsadresse des Nutzers (Straße, PLZ, Stadt, Land);

(b) Rechnungs-E-Mail-Adresse;

(c) Umsatzsteuer-Identifikationsnummer (soweit angegeben);

(d) Rechnungsbetrag und Währung;

(e) Abonnementplan und Rechnungsbeschreibung;

(f) Stripe-Rechnungs-ID als Referenz.

14.3. sevDesk verarbeitet die Daten als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag wurde abgeschlossen.

14.4. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Aufbewahrungspflichten gemäß §§ 147 AO, 257 HGB).

§ 15 – E-Mail-Kommunikation (Resend)

15.1. Der Versand von System- und Transaktions-E-Mails erfolgt über den Dienst Resend, Inc. (44 Tehama St, San Francisco, CA 94105, USA). Der E-Mail-Versand erfolgt über die EU-Infrastruktur von Resend (Irland).

15.2. DPP Hero versendet folgende Kategorien von E-Mails:

(a) Authentifizierungs-E-Mails (über Supabase): Registrierungsbestätigung, Passwort-Zurücksetzung, E-Mail-Änderungsbestätigung;

(b) Abonnement-E-Mails (über Resend): Abonnementaktivierung, Plan-Upgrades, Plan-Downgrades, Abonnementverlängerung, Kündigung;

(c) Share-Link-Benachrichtigungen (über Resend): Benachrichtigung über eingereichte Zuliefererdaten;

(d) Löschantrags-E-Mails (über Resend): Interne Benachrichtigung über eingegangene Kontolöschanträge.

15.3. Die E-Mails enthalten jeweils nur die für den Zweck erforderlichen Daten:

(a) Abonnement-E-Mails: E-Mail-Adresse des Empfängers, Plan-Name, Preis, Abrechnungsdatum;

(b) Share-Link-Benachrichtigungen: E-Mail-Adresse des Token-Erstellers, Produktname, Sektionsname, optionaler Kommentar;

(c) Löschantrags-E-Mails: E-Mail-Adresse und Benutzer-ID des Antragstellers.

15.4. Resend verarbeitet die E-Mail-Daten als Auftragsverarbeiter. Resend, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Ein Data Processing Agreement wurde abgeschlossen.

15.5. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (E-Mails, die für die Vertragserfüllung erforderlich sind).

15.6. DPP Hero versendet keine Marketing- oder Newsletter-E-Mails. Sämtliche E-Mails sind transaktionaler oder systembezogener Natur und können nicht abbestellt werden, da sie für den Betrieb der Plattform erforderlich sind.

§ 16 – Dateispeicherung (Supabase Storage)

16.1. Vom Nutzer hochgeladene Dateien (Produktbilder und Dokumente) werden in Speicherbereichen (Buckets) des Datenbankanbieters Supabase, Inc. gespeichert. Die Speicherung erfolgt – wie sämtliche Supabase-Dienste – in der EU-Region eu-central-1 (Frankfurt, Deutschland).

16.2. Es werden zwei Speicherbereiche genutzt:

(a) Produktbilder: Hochgeladene Bilddateien (JPEG, PNG, WebP) werden in optimierter Form gespeichert (Komprimierung, Formatkonvertierung auf JPEG, max. 1600 px). Die Dateipfade enthalten die Benutzer-ID als Verzeichnisname;

(b) Produktdokumente: Hochgeladene PDF-Dateien und Bilder werden gespeichert. Die Dateipfade enthalten die Benutzer-ID als Verzeichnisname.

16.3. Hochgeladene Dateien sind über öffentliche URLs zugänglich. Dies ist technisch erforderlich, damit die Dateien in veröffentlichten Produktpässen und Vorschauen angezeigt werden können. Der Nutzer wird darauf hingewiesen, dass hochgeladene Dateien potenziell von Dritten abgerufen werden können, sofern die URL bekannt ist.

16.4. Bei Löschung eines Produkts werden die zugehörigen Dateien aus dem Speicher entfernt. Bei Beendigung des Vertragsverhältnisses werden alle Dateien gemäß § 21 gelöscht.

16.5. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

§ 17 – Cookies und ähnliche Technologien

17.1. DPP Hero setzt ausschließlich technisch notwendige Cookies ein. Ein Cookie-Banner ist nicht erforderlich, da keine einwilligungspflichtigen Cookies gesetzt werden (§ 25 Abs. 2 TDDDG).

17.2. Folgende Cookies werden verwendet:

(a) Authentifizierungs-Cookies (Supabase Auth): Cookies mit dem Namensschema sb-<Projektkennung>-auth-token speichern verschlüsselte JWT-Sitzungsdaten (Access Token und Refresh Token). Diese Cookies sind für die Aufrechterhaltung der Benutzersitzung technisch erforderlich. Attribute: HttpOnly, Secure (in Produktion), SameSite=Lax, Path=/. Lebensdauer: Access Token ca. 1 Stunde (wird automatisch erneuert), Refresh Token ca. 7 Tage.

(b) Sprachpräferenz-Cookie (NEXT_LOCALE): Speichert die vom Nutzer gewählte Sprache. Dieser Cookie ist technisch notwendig für die korrekte Darstellung der Plattform in der gewählten Sprache.

17.3. DPP Hero setzt keine Tracking-Cookies, Analyse-Cookies, Werbe-Cookies oder Social-Media-Cookies ein. Es findet kein nutzerbezogenes Tracking und kein Profiling statt. Insbesondere werden folgende Dienste nicht eingesetzt: Google Analytics, Google Tag Manager, Facebook Pixel, Meta Pixel, Hotjar, Mixpanel oder vergleichbare Tracking-Dienste.

17.4. DPP Hero nutzt Vercel Web Analytics zur Erhebung anonymisierter, aggregierter Nutzungsstatistiken (Seitenaufrufe, Referrer, Länder, Gerätetypen). Vercel Web Analytics arbeitet vollständig ohne Cookies, ohne localStorage, ohne IP-Adressen-Speicherung und ohne Browser-Fingerprinting. Es werden keine personenbezogenen Daten erhoben, kein Nutzer kann identifiziert oder über Sitzungen hinweg wiedererkannt werden. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung der Websitenutzung). Anbieter: Vercel, Inc., San Francisco, USA. Vercel, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

17.5. DPP Hero nutzt den Offset-Website-Dienst von Tree-Nation (Tree-Nation S.A., Barcelona, Spanien) zur CO₂-Kompensation der Website. Das eingebundene Script zählt ausschließlich aggregierte Seitenaufrufe und erhebt keine personenbezogenen Daten, keine Cookies, kein IP-Tracking und kein Browser-Fingerprinting. Eine Einwilligung nach § 25 TDDDG ist nicht erforderlich.

17.6. Rechtsgrundlage für den Einsatz technisch notwendiger Cookies ist § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Plattform).

17.7. Lokale Speicherung. DPP Hero nutzt weder localStorage noch sessionStorage des Browsers zur Speicherung personenbezogener Daten.

§ 18 – Missbrauchsschutz (Rate-Limiting)

18.1. Zum Schutz vor Missbrauch (insbesondere Brute-Force-Angriffe auf Anmeldeformulare) setzt DPP Hero ein IP-basiertes Rate-Limiting ein. Dabei werden folgende Daten verarbeitet:

(a) IP-Adresse des zugreifenden Endgeräts;

(b) Art der Aktion (z. B. Anmeldung, Registrierung, Passwort-Zurücksetzung);

(c) Anzahl der Versuche und Zeitfenster.

18.2. Die IP-Adressen werden in einer Rate-Limiting-Tabelle gespeichert. Die Einträge werden spätestens nach Ablauf des Zeitfensters (maximal 1 Stunde) logisch als abgelaufen behandelt und in regelmäßigen Abständen bereinigt.

18.3. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt im Schutz der Plattform und der Nutzerkonten vor unbefugten Zugriffen.

§ 19 – Auftragsverarbeiter und Unterauftragsverarbeiter

19.1. Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union. Die zentralen Dienste – Datenbank, Authentifizierung und Dateispeicherung (Supabase, EU-Region Frankfurt), Zahlungsabwicklung (Stripe, Dublin), E-Mail-Versand (Resend, Irland), Serverless Functions (Vercel, Frankfurt) sowie Rechnungsstellung (sevDesk, Deutschland) – werden auf Servern innerhalb der EU betrieben.

19.2. DPP Hero setzt zur Erbringung seiner Leistungen die folgenden Auftragsverarbeiter ein:

19.3. Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 DSGVO abgeschlossen. Der Auftragsverarbeitungsvertrag ist als separates Dokument unter dpphero.com/dpa abrufbar.

19.4. Änderungen bei den Auftragsverarbeitern werden in dieser Datenschutzerklärung aktualisiert. Eine aktuelle Liste der Auftragsverarbeiter wird dem Nutzer auf Anfrage an privacy@dpphero.com zur Verfügung gestellt.

§ 20 – Datenübermittlung in Drittländer

20.1. Einige der in § 19 genannten Auftragsverarbeiter haben ihren Firmensitz in den Vereinigten Staaten von Amerika (USA):

(a) Supabase, Inc.;

(b) Vercel, Inc.;

(c) Stripe, Inc.;

(d) Resend, Inc.;

(e) Cloudflare, Inc.

20.2. Supabase – Datenspeicherung in der EU. Supabase, Inc. hat ihren Firmensitz in den USA. Die Datenverarbeitung (Datenbank, Authentifizierung, Dateispeicherung) erfolgt im Supabase-Projekt von DPP Hero in der EU-Region eu-central-1 (Frankfurt, Deutschland) auf Servern von Amazon Web Services (AWS). Eine Übertragung von Inhaltsdaten in die USA findet nicht statt. Supabase, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend wurde ein Auftragsverarbeitungsvertrag abgeschlossen.

20.3. Stripe – EU-Verarbeitung. Für Kunden mit Sitz in der Europäischen Union werden Zahlungsdaten durch Stripe Payments Europe, Limited (Dublin, Irland) verarbeitet. Stripe, Inc. ist zusätzlich unter dem EU-US Data Privacy Framework zertifiziert.

20.4. Resend – E-Mail-Versand über EU-Infrastruktur. Resend, Inc. hat ihren Firmensitz in den USA. Der E-Mail-Versand erfolgt über die EU-Infrastruktur von Resend (Irland). Resend, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

20.5. Vercel – Hosting und Web Analytics. Vercel, Inc. hat ihren Firmensitz in den USA. Die serverlosen Funktionen (Serverless Functions) werden in der EU-Region Frankfurt (fra1) ausgeführt. Statische Inhalte werden über das globale Edge-Netzwerk von Vercel ausgeliefert. Darüber hinaus wird Vercel Web Analytics eingesetzt, ein cookieloses Analysetool, das ausschließlich anonymisierte, aggregierte Seitenaufrufdaten erhebt. Es werden keine IP-Adressen gespeichert, keine Cookies gesetzt und kein Browser-Fingerprinting durchgeführt. Vercel, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

20.6. Cloudflare. Cloudflare, Inc. verarbeitet Daten im Rahmen des Bot-Schutzes (Turnstile) über sein globales Edge-Netzwerk am jeweils nächstgelegenen Standort. Cloudflare, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

20.7. sevDesk GmbH hat ihren Sitz in Deutschland. Eine Datenübermittlung in Drittländer findet insoweit nicht statt.

§ 21 – Speicherdauer und Löschung

21.1. Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

21.2. Kontodaten (E-Mail, Passwort-Hash, Sitzungsdaten): Werden für die Dauer des Vertragsverhältnisses gespeichert und nach Kontolöschung gelöscht.

21.3. Organisationsdaten und Produktdaten: Werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung des Vertragsverhältnisses werden die Daten 30 Kalendertage zur Datensicherung vorgehalten und anschließend gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

21.4. Rechnungs- und Zahlungsdaten: Werden gemäß §§ 147 AO, 257 HGB für 10 Jahre nach Ende des Kalenderjahres der letzten Buchung aufbewahrt. Rechtsgrundlage für die Aufbewahrung ist Art. 6 Abs. 1 lit. c DSGVO.

21.5. Server-Logfiles: Werden durch den Hosting-Provider maximal 72 Stunden aufbewahrt.

21.6. Rate-Limiting-Daten (IP-Adressen): Werden nach Ablauf des Zeitfensters (maximal 1 Stunde) logisch als abgelaufen behandelt und regelmäßig bereinigt.

21.7. Signaturhistorie (Audit-Trail): Wird für die Dauer des Vertragsverhältnisses gespeichert und bei Kontolöschung anonymisiert (die Referenz zum Benutzer wird entfernt, der Audit-Eintrag bleibt als kryptographischer Nachweis erhalten).

21.8. Share-Token-Daten: Verwendete Share-Tokens und eingereichte Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Bei Löschung des zugehörigen Produkts werden die Token-Daten kaskadierend gelöscht.

21.9. Kontolöschung. Der Nutzer kann die Löschung seines Kontos über die Kontoeinstellungen beantragen. Der Löschantrag wird per E-Mail an privacy@dpphero.com weitergeleitet und innerhalb einer angemessenen Frist bearbeitet. Bei der Kontolöschung werden alle personenbezogenen Daten gelöscht, die keinen gesetzlichen Aufbewahrungspflichten unterliegen. Daten, die gesetzlichen Aufbewahrungsfristen unterliegen, werden gesperrt und nach Ablauf der Frist automatisch gelöscht.

§ 22 – Rechte der betroffenen Personen

22.1. Betroffene Personen haben nach der DSGVO folgende Rechte gegenüber dem Verantwortlichen:

(a) Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Auskunft über diese Daten sowie über die Verarbeitungszwecke, die Datenkategorien, die Empfänger, die Speicherdauer und die Herkunft der Daten zu erhalten.

(b) Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Viele Daten können Sie direkt im Dashboard selbst berichtigen.

(c) Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen. Diesem Recht können gesetzliche Aufbewahrungspflichten entgegenstehen (vgl. § 21).

(d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

(e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die Plattform bietet hierfür Exportfunktionen (PDF, JSON) an.

(f) Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) beruht, Widerspruch einzulegen. DPP Hero wird die Verarbeitung einstellen, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(g) Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Datenverarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

22.2. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@dpphero.com. DPP Hero wird Ihren Antrag unverzüglich, spätestens innerhalb eines Monats nach Eingang, bearbeiten (Art. 12 Abs. 3 DSGVO).

22.3. DPP Hero kann zum Zweck der Identitätsüberprüfung bei der Geltendmachung von Betroffenenrechten die Angabe zusätzlicher Informationen verlangen, um die Identität der anfragenden Person zu bestätigen (Art. 12 Abs. 6 DSGVO).

§ 23 – Datensicherheit

23.1. DPP Hero trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gegen unbefugte Verarbeitung, Verlust, Zerstörung oder Beschädigung (Art. 32 DSGVO). Zu den Maßnahmen gehören insbesondere:

(a) Verschlüsselung der Datenübertragung mittels TLS/SSL;

(b) Passwort-Hashing mittels branchenüblicher Algorithmen (bcrypt);

(c) Optionale Zwei-Faktor-Authentifizierung (TOTP);

(d) Row-Level Security (RLS) zur Zugriffskontrolle auf Datenbankebene;

(e) Strikte Trennung von Nutzer- und Organisationsdaten durch Datenbankrichtlinien;

(f) Webhook-Signaturprüfung bei eingehenden Stripe-Webhooks;

(g) Timing-safe Vergleiche bei kryptographischen Operationen;

(h) IP-basiertes Rate-Limiting zum Schutz vor Brute-Force-Angriffen;

(i) Regelmäßige Überprüfung und Aktualisierung der eingesetzten Sicherheitsmaßnahmen.

23.2. DPP Hero weist darauf hin, dass die Datenübertragung im Internet (insbesondere bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte kann nicht gewährleistet werden.

§ 24 – Keine automatisierte Entscheidungsfindung

DPP Hero setzt keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO ein, die der betroffenen Person gegenüber eine rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

§ 25 – Minderjährige

Die Plattform richtet sich nicht an Personen unter 16 Jahren. DPP Hero erhebt wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass ein Kind unter 16 Jahren uns personenbezogene Daten übermittelt hat, werden wir diese Daten unverzüglich löschen.

§ 26 – Änderungen dieser Datenschutzerklärung

26.1. DPP Hero behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen, technische Änderungen oder neue Verarbeitungstätigkeiten anzupassen. Die jeweils aktuelle Fassung ist unter dpphero.com/privacy abrufbar.

26.2. Wesentliche Änderungen, die die Rechte der Nutzer betreffen, werden den Nutzern per E-Mail oder über das Dashboard mitgeteilt.

§ 27 – Beschwerderecht bei der Aufsichtsbehörde

27.1. Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

27.2. Die für DPP Hero zuständige Aufsichtsbehörde ist:

§ 28 – Kontakt

Für Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder für Anfragen zum Auftragsverarbeitungsvertrag (AVV):