Datenschutzerklärung

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von OrgSphere und unseren Diensten.

1. Verantwortlicher

2. Erhobene Daten

Wir erheben und verarbeiten folgende personenbezogene Daten:

2.1 Registrierung und Authentifizierung

• E-Mail-Adresse – für Konto-Erstellung und Login
• Passwort – verschlüsselt gespeichert (Supabase Auth)
• OAuth-Daten – bei Login via Google (Name, E-Mail, Profilbild)
• Authentifizierungstokens – für Sitzungsverwaltung

2.2 Unternehmensdaten

• Firmenname – für personalisierte Darstellung
• Organisationsstruktur – Abteilungen, Teams, Mitarbeiterrollen (anonymisiert möglich)
• Hochgeladene Dateien – Organigramme, Prozessdokumente

2.3 Nutzungsdaten

• IP-Adresse – für Sicherheit und technische Bereitstellung
• Browser und Geräteinformationen – für Kompatibilität
• Nutzungsstatistiken – besuchte Seiten, Klicks, Verweildauer (pseudonymisiert)
• Fehlerlogs – zur Fehleranalyse und Verbesserung

2.4 Zahlungsdaten

• Rechnungsdaten – Name, Adresse, USt-IdNr. (falls geschäftlich)
• Zahlungsinformationen – werden ausschließlich über Stripe verarbeitet (PCI-DSS-konform), wir speichern keine Kreditkartendaten

3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre Daten für folgende Zwecke:

• Vertragserfüllung – Bereitstellung des OrgSphere-Dienstes (Art. 6 Abs. 1 lit. b DSGVO)
• Authentifizierung – Zugriff auf Ihren Account (Art. 6 Abs. 1 lit. b DSGVO)
• Abrechnung – Rechnungsstellung und Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO)
• Verbesserung des Dienstes – Analyse und Optimierung (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)
• Kommunikation – Support, Updates, wichtige Änderungen (Art. 6 Abs. 1 lit. b, f DSGVO)
• Sicherheit – Schutz vor Missbrauch und Betrug (Art. 6 Abs. 1 lit. f DSGVO)

4. Eingesetzte Dienste und Drittanbieter

4.1 Supabase (Datenbank und Authentifizierung)

Wir nutzen Supabase (Supabase Inc., USA) für Datenbankverwaltung und Authentifizierung. Supabase hostet Daten in der EU (Region Frankfurt) und ist DSGVO-konform. Es gelten Standardvertragsklauseln für internationale Datentransfers.

Datenschutzerklärung Supabase →

4.2 Stripe (Zahlungsabwicklung)

Zahlungen werden über Stripe (Stripe Inc., USA/Irland) abgewickelt. Stripe ist PCI-DSS Level 1 zertifiziert und DSGVO-konform. Wir erhalten keine sensiblen Zahlungsdaten (Kreditkartennummern).

Datenschutzerklärung Stripe →

4.3 Google OAuth (optionaler Login)

Bei Login via Google OAuth übermittelt Google Ihren Namen, E-Mail und Profilbild. Es gelten die Google Datenschutzbestimmungen.

4.4 GitHub Pages (Hosting)

OrgSphere wird auf GitHub Pages (GitHub Inc., USA) gehostet. GitHub speichert temporär IP-Adressen für technische Zwecke. GitHub Privacy Statement →

5. Cookies und Tracking

Wir setzen folgende technisch notwendige Cookies ein:

• Supabase Auth Token – für Login-Status (Session-Cookie, läuft automatisch ab)
• LocalStorage – für Benutzereinstellungen (z.B. gewählte Sprache, Theme)

Wir verwenden keine Marketing-Cookies oder Analyse-Tools von Drittanbietern ohne Ihre Zustimmung. Sie können Cookies in Ihren Browser-Einstellungen deaktivieren, dies kann jedoch die Funktionalität einschränken.

6. Speicherdauer

• Account-Daten: Bis zur Löschung Ihres Accounts
• Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht)
• Nutzungsdaten: 12 Monate (pseudonymisiert)
• Logs und Fehlerdaten: 90 Tage

7. Ihre Rechte

Sie haben folgende Rechte gemäß DSGVO:

• Auskunft (Art. 15 DSGVO) – Sie können eine Kopie Ihrer gespeicherten Daten anfordern
• Berichtigung (Art. 16 DSGVO) – Korrektur falscher Daten
• Löschung (Art. 17 DSGVO) – Löschung Ihres Accounts und Daten (außer gesetzliche Aufbewahrungspflichten)
• Einschränkung (Art. 18 DSGVO) – Sperrung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten in maschinenlesbarem Format (JSON)
• Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung aus berechtigtem Interesse
• Beschwerde (Art. 77 DSGVO) – Sie können sich an die estnische Datenschutzbehörde wenden (www.aki.ee)

Für die Ausübung Ihrer Rechte kontaktieren Sie uns unter bodo.buschick@exasync.ai.

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

• SSL/TLS-Verschlüsselung für alle Übertragungen
• Verschlüsselte Speicherung von Passwörtern (bcrypt)
• Zugriffsbeschränkungen und Authentifizierung
• Regelmäßige Sicherheitsupdates und Monitoring
• EU-basiertes Hosting (Supabase Frankfurt)

9. Internationale Datentransfers

Einige unserer Dienstleister (Stripe, GitHub) sind in den USA ansässig. Wir verwenden Standardvertragsklauseln der EU-Kommission und stellen sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Dienste anzupassen. Die aktuelle Version ist stets unter https://orgsphere.exasync.ai/legal_privacy.html abrufbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.

11. Kontakt