Außendienstapp

Datenschutzerklärung

1. Verantwortlicher

Benedikt Bimmerle
Merowingerstraße 6
40223 Düsseldorf
E-Mail: info@aussendienstapp.de
Telefon: +49 160 71 33249

Ein Datenschutzbeauftragter ist gemäß § 38 BDSG derzeit nicht bestellt, da die Voraussetzungen nicht vorliegen.

2. Erhebung und Speicherung personenbezogener Daten

Diese Datenschutzerklärung gilt für die Nutzung der Webanwendung Außendienstapp unter aussendienstapp.de sowie der zugehörigen nativen iOS- und Android-Apps, die über den Apple App Store und Google Play Store verfügbar sind. Die nativen Apps laden die Webanwendung in einem eingebetteten Browser (WebView) und nutzen zusätzlich native Gerätefunktionen (Kamera, Standort, haptisches Feedback).

Bei der Nutzung von Außendienstapp erheben wir folgende Daten:

  • Registrierungsdaten: Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert via bcrypt)
  • Nutzungsdaten: Besuchsberichte, Fotos, Kundenstammdaten, GPS-Positionen (nur mit ausdrücklicher Genehmigung)
  • Bestelldaten: Bestellungen, Produktdaten und Bestellpositionen im Rahmen der Außendienstbesuche
  • Zahlungsdaten: Bei kostenpflichtiger Nutzung werden Zahlungsdaten (Kreditkarte oder SEPA) ausschließlich von unserem Zahlungsdienstleister Stripe verarbeitet. Wir speichern selbst keine Kreditkarten- oder Bankdaten.
  • Technische Daten: IP-Adresse, Browsertyp, Zugriffszeiten (Server-Logs)

Die Bereitstellung der Registrierungsdaten (Name, E-Mail, Passwort, Firmenname) ist für den Vertragsabschluss erforderlich. Ohne diese Daten kann kein Account erstellt und der Dienst nicht genutzt werden. Die Bereitstellung von GPS-Daten und die Newsletter-Einwilligung sind freiwillig und für die Nutzung des Dienstes nicht erforderlich.

Minderjährige: Der Dienst richtet sich ausschließlich an Unternehmen (B2B) und ist nicht für die Nutzung durch Personen bestimmt, die das 16. Lebensjahr noch nicht vollendet haben.

3. Rechtsgrundlage

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Grundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Bereitstellung der Software, Registrierung, Account-Verwaltung, transaktionale E-Mails)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Sicherheit, Missbrauchsprävention, Fehlerüberwachung, produktbezogene Hinweis-E-Mails während der Testphase)
  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (GPS-Erfassung, Newsletter, optionale Features)

4. Hosting und Infrastruktur

Hosting: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Unsere Anwendung wird in der EU-Region (Frankfurt, Deutschland) gehostet. Vercel ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Datenbank: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Die PostgreSQL-Datenbank wird in der EU-Region gehostet (AWS eu-central-1, Frankfurt). Supabase verarbeitet Daten ausschließlich innerhalb der EU. Es besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO.

Dateispeicherung: Fotos und Dokumente werden in Supabase Storage gespeichert (EU-Region, S3-kompatibel, AWS eu-central-1).

5. Zahlungsabwicklung

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Stripe (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei der Buchung eines kostenpflichtigen Tarifs werden Sie auf eine sichere Stripe-Checkout-Seite weitergeleitet. Stripe verarbeitet dabei Ihre Zahlungsdaten (Kreditkarte oder SEPA-Lastschrift), E-Mail-Adresse und Firmenname. Wir selbst speichern keine Kreditkarten- oder Bankdaten — diese werden ausschließlich von Stripe verarbeitet und gespeichert.

Stripe ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert und PCI DSS Level 1 konform (höchste Sicherheitsstufe für Zahlungsdaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: stripe.com/de/privacy

6. Kartendarstellung und Geocoding

Für die Kartendarstellung verwenden wir Kartenkacheln von CARTO (CARTO, Inc., 307 5th Ave, New York, NY 10016, USA), basierend auf OpenStreetMap-Daten. Beim Laden der Kartenkacheln wird Ihre IP-Adresse an CARTO-Server übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: https://carto.com/privacy

Geocoding (Adresssuche): Für die Umwandlung von Kundenadressen in Geo-Koordinaten (Geocoding) nutzen wir den Dienst Photon der Komoot GmbH, Am Köllnischen Park 1, 10179 Berlin, Deutschland (photon.komoot.io), basierend auf OpenStreetMap-Daten. Die Geocoding-Anfragen werden ausschließlich server-seitig von unseren Servern an Komoot gestellt — es findet keine direkte Übertragung Ihrer IP-Adresse an Komoot statt. Übermittelt wird dabei lediglich der Adressstring (Straße, PLZ, Ort) der jeweiligen Kundenadresse. Da Komoot seinen Sitz in Deutschland hat, findet kein Drittlandtransfer statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kernfunktion der Karten- und Routenplanung).

7. Cookies und lokale Speicherung

Außendienstapp verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookies von Supabase Auth). Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Die Verwendung dieser Cookies ist gemäß § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ohne Einwilligung zulässig, da sie für die Erbringung des Dienstes unbedingt erforderlich sind. Ein Cookie-Banner ist daher nicht erforderlich.

Zusätzlich speichern wir einen funktionalen Cookie (view_mode) zur Steuerung der Ansicht für Manager-Accounts (technisch notwendig, kein Consent erforderlich).

Progressive Web App (PWA): Außendienstapp ist als PWA nutzbar. Dabei werden über einen Service Worker statische Ressourcen (HTML, CSS, JavaScript, Bilder) lokal auf Ihrem Endgerät zwischengespeichert, um die Ladezeiten zu verbessern und eine eingeschränkte Offline-Nutzung zu ermöglichen. Zusätzlich kann die App mittels IndexedDB Daten temporär lokal speichern (z.B. noch nicht synchronisierte Besuchsberichte bei fehlender Internetverbindung). Diese Daten werden bei nächster Verbindung automatisch mit dem Server synchronisiert und anschließend lokal gelöscht. Es werden dabei keine personenbezogenen Daten dauerhaft auf Ihrem Endgerät gespeichert. Sie können den lokalen Speicher jederzeit über die Browser-Einstellungen löschen.

Native iOS- und Android-App: Bei Nutzung der nativen App über den App Store oder Google Play werden Daten innerhalb des eingebetteten WebViews in vergleichbarer Weise zwischengespeichert. Die nativen Apps verwenden keine Cookies im klassischen Sinne, sondern speichern Authentifizierungs-Token und Offline-Daten im app-internen Speicher, der beim Deinstallieren der App vollständig entfernt wird.

8. Webanalyse

Wir verwenden Vercel Analytics und Vercel Speed Insights für anonyme Nutzungsstatistiken und Performance-Messungen. Beide Dienste sind cookieless — es werden keine personenbezogenen Daten erhoben und keine Cookies gesetzt. Die Auswertung erfolgt ausschließlich auf aggregierter Ebene (Seitenaufrufe, Ladezeiten, Web Vitals). Ein Cookie-Banner ist daher nicht erforderlich. Anbieter: Vercel Inc. (siehe Abschnitt 4).

8a. Privacy Manifest (iOS)

Die iOS-App enthält ein Privacy Manifest (PrivacyInfo.xcprivacy), das gemäß den Apple-Richtlinien deklariert, welche APIs und Datentypen die App verwendet. NSPrivacyTracking ist auf „false“ gesetzt — es findet kein App-Tracking im Sinne des App Tracking Transparency Frameworks statt. Die App verwendet keine Werbe-Identifier (IDFA) und fordert keinen Tracking-Dialog an.

Die App nutzt folgende System-APIs gemäß Apples „Required Reason API“-Richtlinie:

  • UserDefaults — Speicherung von App-Einstellungen und Tour-Dismissal-Status (lokal auf dem Gerät, keine Übermittlung).
  • Disk Space — Anzeige des verfügbaren Offline-Speichers für den Nutzer.
  • File Timestamp — Anzeige des letzten Synchronisationszeitpunkts im Offline-Indikator.

Aus diesen System-APIs werden keine personenbezogenen Daten extrahiert oder an Dritte übermittelt.

9. Schriftarten

Wir verwenden die Schriftart „Outfit“ ausschließlich lokal eingebunden (self-hosted via next/font). Es findet kein Datentransfer an Google-Server statt. Ihre IP-Adresse wird nicht an Google übermittelt.

10. Fehlerüberwachung

Wir verwenden Sentry (Functional Software Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur automatischen Erkennung von Anwendungsfehlern. Sentry erfasst technische Fehlerdaten (Fehlermeldung, Stack Trace, Browser-Typ, Betriebssystem). Texteingaben, Medieninhalte und Formulardaten werden durch clientseitiges PII-Masking automatisch anonymisiert (maskAllText, maskAllInputs, blockAllMedia). Die Datenverarbeitung erfolgt in der EU-Region (de.sentry.io). Fehlerberichte werden nach 90 Tagen automatisch gelöscht. Sentry ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Sicherheit der Anwendung).

Session Replay: Zusätzlich zur Fehlerprotokollierung ist die Session-Replay-Funktion von Sentry aktiviert. Dabei werden Mausbewegungen, Klicks und Formularinteraktionen (nicht deren Inhalte) aufgezeichnet, um Fehler reproduzieren und analysieren zu können. Das Sampling erfolgt selektiv: Bei 5 % der eingeloggten Nutzer-Sessions wird eine normale Aufzeichnung erstellt; bei Sessions, in denen ein Fehler auftritt, beträgt die Aufzeichnungsrate 100 %. Alle sichtbaren Texte, Eingaben und Medieninhalte werden durch die oben genannten Masking-Einstellungen (maskAllText, maskAllInputs, blockAllMedia) automatisch unkenntlich gemacht — Sentry erhält keine personenbezogenen Inhalte aus Formularen oder der Benutzeroberfläche. Die Übertragung an Sentry erfolgt nicht direkt aus dem Browser, sondern ausschließlich über unsere eigene Server-Route /monitoring (Tunnel-Modus), sodass kein direkter Third-Party-Request aus Ihrem Browser an Sentry-Server erfolgt. Speicherdauer: 90 Tage, danach automatische Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehleranalyse und Produktstabilität).

11. E-Mail-Kommunikation

Für transaktionale E-Mails (Einladungen, Passwort-Reset) nutzen wir Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA) als E-Mail-Dienstleister. Resend verarbeitet Ihre E-Mail-Adresse ausschließlich zum Zweck des E-Mail-Versands. Resend ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Während der kostenlosen Testphase erhalten Sie außerdem produktbezogene Hinweis-E-Mails, die Ihnen den Einstieg erleichtern (z.B. Tipps zur Nutzung, Hinweise auf Funktionen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bestmöglichen Nutzung des Testangebots). Diese E-Mails enthalten keine Werbung für Drittanbieter-Produkte. Sie können dem Erhalt dieser E-Mails jederzeit widersprechen, indem Sie auf den Abmeldelink in der jeweiligen E-Mail klicken oder uns unter info@aussendienstapp.de kontaktieren.

Newsletter (Produktneuheiten & Tipps): Bei der Registrierung können Sie optional einwilligen, gelegentlich Produktneuheiten und Praxis-Tipps per E-Mail zu erhalten. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Aktivierung der Checkbox bei der Registrierung erhalten Sie eine Bestätigungsmail mit einem Bestätigungslink. Erst nach Klick auf diesen Link wird Ihre Einwilligung wirksam. Der Bestätigungslink ist 72 Stunden gültig. Wir protokollieren den Zeitpunkt der Einwilligung, die Bestätigung und einen etwaigen Widerruf zu Nachweiszwecken (Art. 7 Abs. 1 DSGVO).

Rechtsgrundlage für den Newsletter-Versand: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Verarbeitet werden: E-Mail-Adresse, Name (für die persönliche Anrede), Zeitpunkt der Einwilligung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — entweder über den Abmeldelink in jeder Newsletter-Mail oder über den Schalter in Ihren Profileinstellungen unter „E-Mail-Einstellungen“. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

12. GPS-Daten und Standorterfassung

Bei der Erstellung von Besuchsberichten kann optional die GPS-Position erfasst werden. Dies geschieht nur mit ausdrücklicher Genehmigung des Nutzers über die Browser-Berechtigungsabfrage. Die GPS-Daten dienen der Dokumentation des Besuchsorts und werden zusammen mit dem Besuchsbericht in der EU-Region gespeichert. Sie können die Standorterfassung jederzeit in Ihren Browser- bzw. Geräte-Einstellungen deaktivieren.

Kamera und Fotobibliothek (native App): Bei Nutzung der nativen iOS- oder Android-App wird für Foto-Aufnahmen in Besuchsberichten die Kamera-Berechtigung des Geräts angefragt. Fotos werden vor dem Upload auf maximal 1920 Pixel komprimiert (JPEG, 80 % Qualität) und über eine verschlüsselte Verbindung (TLS) an unseren EU-Server übertragen. Zusätzlich kann die App auf die Fotobibliothek zugreifen, um bestehende Fotos an Besuchsberichte anzuhängen oder um aufgenommene Fotos lokal zu sichern. Beide Berechtigungen sind optional und können jederzeit in den Geräte-Einstellungen widerrufen werden.

13. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO. Sie können Ihre gespeicherten Daten jederzeit in Ihrem Benutzerkonto unter „Einstellungen“ als JSON-Datei exportieren.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft. Sie können Ihr Benutzerkonto jederzeit selbstständig in den Einstellungen löschen. Dabei werden alle mit Ihrem Konto verknüpften Daten unwiderruflich entfernt.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zu erhalten. Sie können diesen Export jederzeit über „Einstellungen“ → „Meine Daten exportieren“ herunterladen. Sie haben ferner das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln. Darüber hinaus können Administratoren gemäß Art. 25 EU Data Act (Verordnung (EU) 2023/2854) alle Organisationsdaten — einschließlich Kundenstammdaten, Besuchsberichte, Bestellungen, Produkte, Aufgaben und Berichtsvorlagen — als vollständigen Export (ZIP) herunterladen. Dieser Export ist kostenlos und dient der Datenportierung bei einem Anbieterwechsel.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen. Insbesondere können Sie der Verarbeitung zum Zwecke der produktbezogenen E-Mails jederzeit widersprechen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z.B. GPS-Standorterfassung, Newsletter), haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf können Sie wie folgt erklären:

  • GPS: Über die Browser-Einstellungen
  • Newsletter: Über den Abmeldelink in jeder E-Mail oder den Schalter in den Profileinstellungen unter „E-Mail-Einstellungen“
  • Oder per E-Mail an info@aussendienstapp.de
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@aussendienstapp.de

14. Datenlöschung und Aufbewahrungsfristen

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

  • Account-Daten: Bei Kündigung oder auf Wunsch des Nutzers. Nach Kündigung bleiben die Daten 30 Tage zum Export verfügbar, danach unwiderrufliche Löschung.
  • Testphasen-Daten: 30 Tage nach Ende der Testphase, sofern kein Upgrade erfolgt
  • Inaktive Konten: Konten ohne aktives Abonnement, bei denen 90 Tage lang kein Login erfolgt, werden nach vorheriger Benachrichtigung (30 und 7 Tage vor Löschung) automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Datensparsamkeit) und Art. 17 Abs. 1 lit. a DSGVO (Zweckentfall).
  • Besuchsberichte und Kundenstammdaten: Für die Dauer des Vertragsverhältnisses, danach gemäß den Löschfristen für Account-Daten
  • Fotos und Bilddaten: Automatische Löschung nach 24 Monaten. Fotos, die im Rahmen von Besuchsberichten hochgeladen werden, werden maximal 2 Jahre aufbewahrt und anschließend automatisch aus dem Speicher entfernt. Eine vorzeitige Löschung ist jederzeit über die App oder per E-Mail möglich.
  • GPS-Daten: Werden zusammen mit dem zugehörigen Besuchsbericht gespeichert und unterliegen denselben Löschfristen
  • Server-Logs (Vercel): Nach 3 Tagen automatisch
  • Fehlerberichte (Sentry): Nach 90 Tagen automatisch

Darüber hinaus können gesetzliche Aufbewahrungspflichten eine längere Speicherung erfordern, insbesondere nach § 257 HGB (Handelsbücher, Inventare, Bilanzen: 10 Jahre) und § 147 AO (steuerlich relevante Unterlagen: 6 bzw. 10 Jahre). Soweit solche Pflichten bestehen, wird die Verarbeitung für die Dauer der Aufbewahrungsfrist eingeschränkt.

Nutzer können ihre Daten jederzeit über die Kontoeinstellungen oder per E-Mail an info@aussendienstapp.de löschen lassen.

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Passwort-Hashing mit bcrypt (Cost Factor 10)
  • Row Level Security (RLS) auf Datenbankebene
  • EU-Hosting für alle Dienste
  • Tägliche automatische Backups der Datenbank
  • Zugriffskontrolle über rollenbasiertes Berechtigungssystem

Passwort-Sicherheitsprüfung (Have I Been Pwned): Bei der Registrierung, beim Login und bei Passwortänderungen prüfen wir, ob das gewählte Passwort in bekannten Datenlecks kompromittiert wurde. Dafür nutzen wir den Dienst Have I Been Pwned (Betreiber: Troy Hunt, Australien; api.pwnedpasswords.com).

Es werden dabei weder Ihr Passwort noch personenbezogene Daten übertragen. Die Prüfung basiert auf dem k-Anonymity-Verfahren: Es werden lediglich die ersten 5 Zeichen des SHA-1-Hashes Ihres Passworts server-seitig an den Dienst übermittelt; der eigentliche Abgleich mit bekannten Datenlecks erfolgt ausschließlich auf unseren Servern. Da keine personenbezogenen Daten übertragen werden, liegt im datenschutzrechtlichen Sinne kein Drittlandtransfer (Art. 44 ff. DSGVO) vor. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit unserer Nutzer).

16. Auftragsverarbeitung

Soweit wir im Rahmen der Bereitstellung des Dienstes personenbezogene Daten im Auftrag unserer Kunden verarbeiten, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Der AVV kann unter aussendienstapp.de/avv eingesehen werden.

17. Unterauftragnehmer (Sub-Processors)

Zur Erbringung des Dienstes setzen wir folgende Unterauftragnehmer ein:

AnbieterZweckStandortTransfergrundlage
Vercel Inc.Hosting, Webanalyse, Speed InsightsUSA (Daten: EU Frankfurt)EU-US DPF
Supabase Inc.Datenbank, Auth, DateispeicherungSingapur (Daten: EU Frankfurt)AVV, Daten in EU
Stripe, Inc.Zahlungsabwicklung, AbonnementverwaltungUSAEU-US DPF, PCI DSS
Resend Inc.Transaktionale E-MailsUSAEU-US DPF
Functional Software Inc. (Sentry)FehlerüberwachungUSA (Daten: EU de.sentry.io)EU-US DPF
CARTO, Inc.KartenkachelnUSAEU-US DPF
Komoot GmbHGeocoding (Adresssuche, server-seitig)Deutschland / EUKein Drittlandtransfer
Have I Been Pwned (Troy Hunt)Passwort-Sicherheitsprüfung (k-Anonymity, keine personenbezogenen Daten)AustralienKein Drittlandtransfer (keine PII übertragen)

Änderungen an der Liste der Unterauftragnehmer werden auf dieser Seite veröffentlicht. Kunden mit aktivem AVV werden vorab per E-Mail informiert und haben ein Widerspruchsrecht gemäß dem AVV.

18. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt. Alle Entscheidungen, die Sie oder Ihr Unternehmen betreffen, werden von natürlichen Personen getroffen.

19. Datenübermittlung in Drittländer

Soweit wir Unterauftragnehmer mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) einsetzen, stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

  • USA: Vercel, Stripe, Resend und Sentry sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Das DPF basiert auf dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. Zusätzlich sind Standardvertragsklauseln (SCCs) als ergänzende Schutzmaßnahme vereinbart.
  • USA (CARTO): CARTO, Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
  • Singapur: Supabase Inc. hat seinen Sitz in Singapur. Alle Kundendaten werden jedoch ausschließlich in der EU-Region (Frankfurt) gespeichert und verarbeitet. Es findet kein Transfer personenbezogener Kundendaten nach Singapur statt.
  • Australien (Have I Been Pwned): Der Betreiber des Passwort-Prüfdienstes Have I Been Pwned hat seinen Sitz in Australien. Da bei der Prüfung ausschließlich die ersten 5 Zeichen eines anonymisierten Hashes übermittelt werden und dabei keinerlei personenbezogene Daten nach Australien gelangen, liegt im Sinne von Art. 44 ff. DSGVO kein Drittlandtransfer vor.

20. Haftpflichtsiegel der exali AG

20.1 Beschreibung und Umfang der Datenverarbeitung

Diese Seite nutzt eine Einbindung des Haftpflichtsiegels der exali AG. Das grafische Element des Siegels wird von den Servern der exali AG nachgeladen. Hierzu wird auf Grund der technischen Gestaltung des Internets Ihre IP-Adresse verarbeitet, um die Grafik an Ihren Browser zu übertragen.

Wenn Sie dieses Siegel anklicken, verlassen Sie unsere Seite und werden auf die Server der exali AG weitergeleitet.

Mehr Informationen finden Sie in der Datenschutzerklärung von exali.

20.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f) DS-GVO (berechtigtes Interesse).

20.3 Zweck der Datenverarbeitung

Die Datenverarbeitung dient dem Zweck den Nachweis der gesetzlich vorgegebenen Pflichtangaben zur Berufshaftpflicht nach § 2 Abs. 11 DL-InfoV optisch ansprechend zu erbringen.

20.4 Berechtigtes Interesse

Unser berechtigtes Interesse für die Datenverarbeitung ergibt sich aus dem Zweck ein ansprechendes Onlineangebot zu bieten und unseren Informationspflichten in gestalterisch ansprechender Weise nachzukommen.

Stand: 16. April 2026