Datenschutzerklärung

1. Verantwortlicher

Assetflow
Kaiserslauterer Straße 325
67098 Bad Dürkheim
Deutschland

Telefon: +49 176 63872438
E-Mail: info@profitkonsole.de

2. Arten von Daten und Zwecke

Datenarten

• Account- und Bestandsdaten (E-Mail, Name, optional Unternehmensdaten/Team-Mitglieder)
• Geschäftsdaten aus dem Otto-Konto (Produkte, Umsätze, Kosten, Bestellungen/Gebühren – keine Endkundendaten)
• Nutzungs- und Metadaten (Log-/IP-Daten, technische Ereignisse)

Zwecke

• Bereitstellung und Betrieb der SaaS-Plattform
• Synchronisation/Auswertung von Mandanten-Geschäftsdaten
• Sicherheit, Fehlermanagement, Support

3. Rechtsgrundlagen

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für Konto, Plattformnutzung, Otto-Sync
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheit, Logs, Fehleranalyse
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für optionale Waitlist/Newsletter

4. Empfänger / Auftragsverarbeiter

Wir setzen folgende Dienstleister (Subprozessoren) ein:

Eine Übermittlung in Drittländer erfolgt auf Basis des EU-US Data Privacy Frameworks (DPF) oder Standardvertragsklauseln (SCC). Die primäre Datenhaltung erfolgt in EU-Rechenzentren.

5. Sicherheitsmaßnahmen (TOMs)

Gemäß Art. 32 DSGVO treffen wir folgende technische und organisatorische Maßnahmen:

Vertraulichkeit

• Verschlüsselung: TLS 1.2+ (Transport), AES-256 (Encryption at Rest)
• Mandanten-Trennung: Separate PostgreSQL-Schemas pro Kunde (tenant_xxxxx)
• Zugriffssteuerung: Row-Level Security (RLS), JWT-basierte Authentifizierung
• Rollenkonzept: Owner/Admin/Moderator mit Least-Privilege-Prinzip
• MFA: Für alle Admin-Zugänge (Vercel, Supabase, GitHub) verpflichtend
• Secrets: Umgebungsvariablen, keine Hardcodierung im Code

Verfügbarkeit & Wiederherstellung

• Hosting: Vercel Serverless mit Auto-Scaling und DDoS-Schutz (Edge Network)
• Datenbank: Supabase PostgreSQL mit automatischen täglichen Backups
• Point-in-Time Recovery innerhalb der Backup-Retention möglich
• Code-Versionierung via Git; Deployment-Rollback jederzeit möglich

Regelmäßige Überprüfung

• Schwachstellenscans: Alle 180 Tage (OWASP ZAP Baseline gegen Staging)
• Penetrationstests: Mindestens jährlich oder nach Major Releases
• Dependency-Checks: Automatisiert via npm audit und Dependabot
• Security-Updates: Regelmäßige Aktualisierung aller Abhängigkeiten

6. Speicherdauer und Löschung

Daten werden gelöscht, wenn der Zweck entfällt oder nach Vertragsende: Mandanten-Daten innerhalb von 30 Tagen nach Kündigung; Backups verfallen nach Ablauf der Backup-Retention.

Gesetzliche Aufbewahrungsfristen (z.B. Handels- und Steuerrecht) bleiben unberührt.

7. Betroffenenrechte

Sie haben gegenüber uns folgende Rechte:

• Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung
• Datenübertragbarkeit
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
• Widerruf erteilter Einwilligungen
• Beschwerderecht bei einer Aufsichtsbehörde (z.B. LfDI Rheinland-Pfalz)

Kontakt: info@profitkonsole.de

8. Bereitstellung der Website

Beim Aufruf unserer Website werden serverseitig IP-Adresse, Datum/Uhrzeit, URL, Referrer, Browser/OS zu Sicherheits- und Betriebszwecken verarbeitet (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO). Vercel Analytics wird cookielos und ohne personenbezogene Profile genutzt.

Demo-Nutzungsanalyse

Bei Nutzung der Demo-Funktion erfassen wir zusätzlich die Anzahl der aufgerufenen Seiten sowie ob eine Registrierung erfolgt ist. IP-Adressen werden dabei anonymisiert (letztes Segment auf 0 gesetzt), sodass keine Rückschlüsse auf einzelne Personen möglich sind. Diese Daten dienen ausschließlich der Verbesserung unseres Angebots und werden nach 30 Tagen automatisch gelöscht. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

9. Fehleranalyse und Session Replay

Zur Analyse von technischen Fehlern und zur Verbesserung der Benutzerfreundlichkeit nutzen wir Sentry Session Replay. Bei technischen Problemen oder Fehlern wird eine anonymisierte Aufzeichnung der Nutzerinteraktion erstellt, um Fehlerursachen schneller identifizieren und beheben zu können.

Erfasste Daten

• Mausbewegungen und Klicks
• Scroll-Verhalten
• Formular-Interaktionen (Texteingaben werden maskiert)
• Technische Fehlermeldungen und Stack Traces

Datenschutzmaßnahmen

• Sensible Texteingaben (Passwörter, persönliche Daten) werden automatisch maskiert
• Session Replays werden nur bei Fehlern oder stichprobenartig (10%) erstellt
• Aufzeichnungen werden nach 90 Tagen automatisch gelöscht
• Zugriff nur für autorisierte Entwickler zur Fehlerbehebung

Rechtsgrundlage: Berechtigtes Interesse an der Fehlerbehebung und Qualitätssicherung (Art. 6 Abs. 1 lit. f DSGVO). Mit der Nutzung der Plattform und Akzeptanz dieser Datenschutzerklärung bei der Registrierung stimmen Sie dieser Verarbeitung zu.

10. Otto-Verbindung und Plattformnutzung

Die Verbindung zum Otto-Account erfolgt per OAuth. Es werden keine Otto-API-Credentials gespeichert; wir erhalten eine Verbindungs-ID, um in Ihrem Auftrag Daten abzurufen. Endkundendaten aus Otto (Name, Adresse etc.) werden nicht gespeichert; verarbeitet werden nur die vom Händler freigegebenen Geschäftsdaten.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

11. Transaktionale E-Mails

Wir versenden systembedingte E-Mails (Registrierung, Passwort-Reset, Team-Einladungen, Systemhinweise) über Resend. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).