Datenschutzerklärung

Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Raoul Déry (1.Commercialist)
Loristraße 26
80335 München
E-Mail: raoul.dery@commercialist.de

Welche Daten wir verarbeiten

• Stamm- und Kontaktdaten von Publishern und Kunden (Name, E-Mail, Telefon)
• Organisationsdaten (Name, Website, USt-IdNr.)
• Inhalte aus Bewerbungen und Briefings (Konzepte, Zielgruppen, Garantien, Assets)
• Acceptance-Log: versionierte Zustimmungen zu AGB, Datenschutz, NDA, Campaign-Terms
• Audit-Trail: technische Ereignisse zur Nachvollziehbarkeit der Procurement-Prozesse (siehe Sektion „Audit-Trail)

Rechtsgrundlagen

Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem revisionssicheren Procurement-System).

Hosting (App-Layer)

Die Anwendung (App-Layer) wird unter allocation-os.commercialist.de bei der Vercel Inc. (USA) betrieben. Als US-Anbieter erfolgt die Verarbeitung auf Grundlage der EU-Standardvertragsklauseln (SCC); ein Auftragsverarbeitungsvertrag bzw. Data Processing Addendum gemäß Art. 28 DSGVO besteht. Die Server-Region der serverseitigen Funktionen wird über die Projekt-Konfiguration gesetzt. Es werden keine Anwendungsdaten dauerhaft bei Vercel gespeichert — persistente Daten liegen ausschließlich beim Datenbank-Subprozessor (siehe unten).

Hosting (DNS + Marketing-Site)

DNS-Zone und Marketing-Site werden bei SiteGround Spain S.L. (Calle de Aragó, 264, 2-1, 08007 Barcelona, Spanien) gehostet. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht.

Auth- und Datenbank-Subprozessor

Authentifizierung, Datenbank und Datei-Speicher laufen über Supabase (Region Frankfurt, EU). Verschlüsselung erfolgt at-rest sowie bei Übertragung via SSL/TLS. Es besteht ein AVV gem. Art. 28 DSGVO. Für die Multi-Faktor-Authentifizierung kommt Supabase Auth (TOTP) zum Einsatz; ein zweiter Faktor ist für alle Rollen optional aktivierbar, für die Admin-Rolle nach Operator-Setting verpflichtbar.

Mail-Subprozessor

Transactional-E-Mails (Einladungen, Briefing-Updates, Auth-Mails, Admin-Benachrichtigungen) versenden wir über Resend Inc. (251 Little Falls Drive, Wilmington, Delaware 19808, USA). Mit Resend besteht ein AVV inkl. EU-Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO als Garantie für die Übermittlung in ein Drittland.

Audit-Trail

Zur Sicherstellung eines revisionssicheren Procurement-Prozesses protokollieren wir technische Ereignisse (z. B. Versand einer Einladung, Annahme/Ablehnung einer Bewerbung, Öffnung eines Review-Links). Jeder Eintrag enthält Akteur, Zeitstempel und einen pseudonymisierten Payload — keine vollständigen E-Mail-Adressen oder sonstigen Klartext-Personendaten in der Payload-Spalte. Die Aufbewahrungsdauer beträgt 10 Jahre (handels- und steuerrechtliche Aufbewahrungsfristen).

Datei-Speicher

Hochgeladene Assets (z. B. Konzepte, Screenshots) werden in privaten Supabase-Storage-Buckets gespeichert. Der Zugriff erfolgt ausschließlich über kurzlebige Signed URLs; ein öffentlicher Zugriff ist ausgeschlossen.

Token-basierter Kunden-Zugang

Kunden können über zeitlich befristete Review-Links auf das System zugreifen. Diese Tokens werden mit kryptografisch sicheren 128-Bit-Zufallswerten erzeugt, enthalten keine personenbezogenen Daten und können jederzeit durch die Agentur widerrufen werden. Die Token-View ist in Suchmaschinen nicht auffindbar (no-index, no-archive, no-cache).

Cookies

Wir setzen ausschließlich technisch notwendige funktionale Cookies (Auth-Session-Cookies von Supabase). Analyse-, Tracking- oder Marketing-Cookies kommen aktuell nicht zum Einsatz; ein Consent- Banner ist daher nicht erforderlich.

Betroffenenrechte

Sie haben gem. Art. 15–21 DSGVO jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Anfragen senden Sie bitte an die im Impressum genannten Kontaktdaten.

Hinweis: Ein vollständiges Auskunfts-/Export-/Löschsystem ist in Vorbereitung (Roadmap-Foundations).

Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach

Aufbewahrung

Wir speichern Daten so lange, wie es für die Bearbeitung der Procurement-Prozesse, die Vertragsabwicklung und die Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. Audit-Trail- Einträge werden für 10 Jahre aufbewahrt.