Rechtliches

Datenschutzerklärung

Diese Datenschutzerklärung basiert auf der aktuell im Code erkennbaren Verarbeitung. Unbekannte Angaben sind als Platzhalter markiert und vor Live-Betrieb zu vervollständigen.

1. Verantwortliche Stelle

[PLATZHALTER: Unternehmensname inkl. Rechtsform]
[PLATZHALTER: Anschrift]
E-Mail: [PLATZHALTER: Datenschutz-Kontakt]

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Bereitstellung der Web-App und Nutzerkonten (Art. 6 Abs. 1 lit. b DSGVO).
Zugriffsschutz, Rollen- und Berechtigungsprüfungen (Art. 6 Abs. 1 lit. f DSGVO).
Verarbeitung im Rahmen gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO), soweit einschlägig.
Kommunikation und Support (Art. 6 Abs. 1 lit. b und f DSGVO).

3. Verarbeitete Datenkategorien

Kontodaten (z. B. E-Mail-Adresse, Auth-Status, ggf. Nutzer-Metadaten wie Name).
Nutzungs- und Inhaltsdaten innerhalb der Plattform (z. B. Analyse-, Verwaltungs- und Supportdaten).
Technische Daten (z. B. Session-/Cookie-Informationen, Request-Kontext, Sicherheitsdaten).
Abmeldeinformationen für Newsletter (tokenisierte Abmeldelinks).

4. Empfänger und Auftragsverarbeiter

Für Authentifizierung, Datenhaltung und API-Zugriffe wird Supabase eingesetzt.
Anbieter: [PLATZHALTER: Supabase-Vertragsdaten / DPA-Link intern dokumentieren]
Weitere Dienstleister: [PLATZHALTER: Hosting, E-Mail, Monitoring falls vorhanden]

5. Cookies, Sessions und Authentifizierung (codebasiert)

Die Anwendung nutzt serverseitige Supabase-Session-Verarbeitung über Cookies (z. B. in Proxy/Middleware und API-Routen mit createServerClient und Cookie-Weitergabe).
Geschützte Bereiche werden über Benutzerstatus geprüft; bei fehlender Authentifizierung erfolgt Weiterleitung auf /login.
In einzelnen Bereichen werden Access Tokens serverseitig zur Autorisierung interner API-Aufrufe genutzt.

6. Tracking und Events (codebasiert)

Für SEO-bezogene Interaktionen wird ein technisches Browser-Event seo:tracking ausgelöst.
Falls vorhanden, wird ein vorhandenes dataLayer-Array mit Eventdaten befüllt.
In der aktuell geprüften Codebasis wurden keine direkten Einbindungen von Google Analytics, Matomo oder ähnlichen externen Tracking-Skripten gefunden.

7. Newsletter-Abmeldung (codebasiert)

Abmeldelinks enthalten ein signiertes Token (HMAC-SHA256), das Verifikation und Ablaufzeit enthält. Tokens werden serverseitig geprüft; ungültige oder abgelaufene Tokens werden abgewiesen.

8. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Vertragserfüllung, für Sicherheitszwecke oder zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. Konkrete Fristen: [PLATZHALTER: Fristenmatrix]

9. Rechte betroffener Personen

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde.

10. Datenübermittlungen in Drittländer

Ob und in welchem Umfang Daten in Drittländer übermittelt werden, hängt von den eingesetzten Dienstleistern ab. Bitte ergänzen: [PLATZHALTER: konkrete Drittlandtransfers, Garantien nach Art. 44 ff. DSGVO]

11. Stand und Änderungen

Stand: [PLATZHALTER: Datum]. Wir aktualisieren diese Datenschutzerklärung bei Änderungen der Verarbeitung oder Rechtslage.

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Bereitstellung der Web-App und Nutzerkonten (Art. 6 Abs. 1 lit. b DSGVO).

Zugriffsschutz, Rollen- und Berechtigungsprüfungen (Art. 6 Abs. 1 lit. f DSGVO).

Verarbeitung im Rahmen gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO), soweit einschlägig.

Kommunikation und Support (Art. 6 Abs. 1 lit. b und f DSGVO).

3. Verarbeitete Datenkategorien

Kontodaten (z. B. E-Mail-Adresse, Auth-Status, ggf. Nutzer-Metadaten wie Name).

Nutzungs- und Inhaltsdaten innerhalb der Plattform (z. B. Analyse-, Verwaltungs- und Supportdaten).

Technische Daten (z. B. Session-/Cookie-Informationen, Request-Kontext, Sicherheitsdaten).

Abmeldeinformationen für Newsletter (tokenisierte Abmeldelinks).

5. Cookies, Sessions und Authentifizierung (codebasiert)

Die Anwendung nutzt serverseitige Supabase-Session-Verarbeitung über Cookies (z. B. in Proxy/Middleware und API-Routen mit createServerClient und Cookie-Weitergabe).

Geschützte Bereiche werden über Benutzerstatus geprüft; bei fehlender Authentifizierung erfolgt Weiterleitung auf /login.

In einzelnen Bereichen werden Access Tokens serverseitig zur Autorisierung interner API-Aufrufe genutzt.

6. Tracking und Events (codebasiert)

Für SEO-bezogene Interaktionen wird ein technisches Browser-Event seo:tracking ausgelöst.

Falls vorhanden, wird ein vorhandenes dataLayer-Array mit Eventdaten befüllt.

In der aktuell geprüften Codebasis wurden keine direkten Einbindungen von Google Analytics, Matomo oder ähnlichen externen Tracking-Skripten gefunden.