Datenschutz

Datenschutzerklärung

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für die Datenverarbeitung auf dieser Website und in der GearForge-Anwendung ist:

Dennis Fürstner, 31515 Wunstorf - König-Ludwig-Straße 36, media@df-connect.de, +49 179 8294966

Bei Fragen zum Datenschutz können Sie uns jederzeit kontaktieren.

2. Übersicht der Datenverarbeitung

Diese Datenschutzerklärung behandelt zwei Bereiche:

  1. Webseite (gehostet via Squarespace): Website-Hosting und Analytics

  2. SaaS-Anwendung GearForge (gehostet via Vercel/Supabase): Authentifizierungsdaten und Kundendaten Ihrer Nutzer

3. WEBSEITE (SQUARESPACE)

3.1 Hosting und Infrastruktur

Unsere Website wird auf der Squarespace-Plattform gehostet. Squarespace speichert und verarbeitet Website-Inhalte, Besucherdaten und Formulardaten.

Hosting-Anbieter: Squarespace, Inc., USA

Rechtsgrundlage:

  • Art. 45 DSGVO (Angemessenheitsbeschluss): Squarespace ist zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF)

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Notwendigkeit für Website-Hosting und Verfügbarkeit

Datenschutzerklärung von Squarespace: https://www.squarespace.com/privacy Data Processing Addendum (DPA): https://www.squarespace.com/dpa

3.2 Cookies und Analytics bei Squarespace

Bei Ihrem Besuch auf unserer Website setzt Squarespace Cookies und erhebt analytische Daten. Dies umfasst:

  • IP-Adresse des Besuchers

  • Browser- und Geräte-Informationen

  • Besuchte Seiten und Verweilzeiten

  • Analytische Nutzungsdaten

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Bei nicht-notwendigen Cookies erfolgt eine Einwilligung über unser Cookie-Banner

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Für notwendige Session- und Sicherheits-Cookies

Notwendige Cookies: Diese können nicht deaktiviert werden und sind erforderlich für:

  • Session-Management

  • Sicherheitsfunktionen

  • Grundlegende Website-Funktionalität

Optionale Cookies: Weitere Cookies für Analytics und Optimierung erfordern deine Zustimmung via Cookie-Banner.

Speicherdauer: Je nach Cookie-Typ zwischen Sitzungsdauer und mehreren Monaten. Siehe Squarespace Privacy Policy für Details.

Mehr Informationen: https://support.squarespace.com/hc/de/articles/360001264507

3.3 Formulare und Newsletter-Anmeldung (Squarespace)

Wenn Sie sich über unsere Website in unseren Newsletter eintragen oder andere Formulare ausfüllen, speichern wir folgende Daten:

  • E-Mail-Adresse

  • Name (falls angegeben)

  • Zeitpunkt der Anmeldung

  • Weitere freiwillig bereitgestellte Informationen

Rechtsgrundlage: Explizite Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO

Speicherdauer: Ihre Daten werden bis zu Ihrer Abmeldung vom Newsletter gespeichert. Nach Abmeldung werden diese Daten gelöscht.

Widerrufsrecht: Sie können sich jederzeit vom Newsletter abmelden. Jeder Newsletter enthält einen Abmelde-Link. Sie können die Abmeldung auch per E-Mail verlangen.

Auftragsverarbeitung: Die Formulardaten werden von Squarespace (als Auftragsverarbeiter) verarbeitet und gespeichert.

3.4 DPF-Zertifizierung und Datenübertragung

Squarespace, Inc. ist zertifiziert unter dem EU-U.S. Data Privacy Framework und hat sich zur Einhaltung der DPF-Prinzipien verpflichtet. Dies bietet eine rechtsichere Grundlage für die Übertragung von Website-Daten in die USA.

Daten bleiben nicht in der EU: Im Gegensatz zu unserem GearForge-Backend werden Website-Daten von Squarespace in den USA verarbeitet.

Rechtsgrundlage: Art. 45 DSGVO (Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework)

Für weitere Informationen zur Squarespace-Compliance siehe: https://support.squarespace.com/hc/en-us/articles/360000851908-GDPR-and-Squarespace

4. SAAS-ANWENDUNG GEARFORGE

4.1 Umfang der Datenverarbeitung

Die GearForge-Anwendung verarbeitet folgende Kategorien von Daten:

4.1.1 Authentifizierungsdaten (Ihre Nutzerdaten)

  • E-Mail-Adresse (zur Anmeldung und Kontakt)

  • Passwort (verschlüsselt gespeichert)

  • Weitere Profilinformationen, falls von Ihnen angegeben

4.1.2 Kundendaten (Daten von Ihren Kunden, die Sie in GearForge speichern)

  • Namen

  • E-Mail-Adressen

  • Telefonnummern

  • Adressen

  • Weitere textbasierte Informationen

Wichtig: GearForge speichert diese Daten ausschließlich im Auftrag und auf Anweisung des Nutzers. Der Nutzer (Sie bzw. die Unternehmen, die GearForge nutzen) ist hierfür der Verantwortliche. GearForge fungiert als Auftragsverarbeiter.

GearForge speichert keine:

  • Buchungsrelevante Daten

  • Rechnungen oder Dokumente

  • Dateien, PDFs oder andere Dateitypen

  • Nur textbasierte Daten (Namen, E-Mails, Telefonnummern, Adressen)

4.2 Rechtsgrundlagen für die Datenverarbeitung

Authentifizierungsdaten:

  • Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit für die Vertragsdurchführung – Bereitstellung des Dienstes)

Kundendaten:

  • Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit für die Vertragsdurchführung – Verwaltung und Speicherung der vom Nutzer eingegebenen Daten)

4.3 Speicherdauer

Authentifizierungsdaten: Werden solange gespeichert, wie Ihr Benutzerkonto aktiv ist. Nach Löschung des Kontos werden diese Daten innerhalb von 30 Tagen gelöscht.

Kundendaten: Werden solange gespeichert, wie Sie diese in der Anwendung speichern. Sie können diese jederzeit selbst löschen. Bei Löschung Ihres Benutzerkontos werden alle verknüpften Kundendaten gelöscht.

4.4 Speicherort und Hosting

Die GearForge-Anwendung ist auf zwei geografisch getrennte Infrastrukturen verteilt:

Frontend (React-Anwendung) – Vercel, USA

Hosting-Anbieter: Vercel, USA

Datentypen bei Vercel:

  • Nur technisch notwendige Daten zur Auslieferung der Anwendung

  • IP-Adresse des Besuchers

  • Browser- und Geräte-Informationen

  • CDN-Logs und Performance-Daten

  • KEINE sensiblen Daten werden bei Vercel gespeichert (Passwörter, Authentifizierungsdaten, Kundendaten)

Rechtsgrundlage:

  • Art. 45 DSGVO (Angemessenheitsbeschluss): Vercel ist zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF)

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Notwendigkeit für Performance, Verfügbarkeit und globale Skalierbarkeit

Begründung der Rechtskonformität:

Die Vercel-Zertifizierung nach dem EU-U.S. Data Privacy Framework bietet eine rechtsichere Grundlage für die Frontend-Infrastruktur in den USA. Das Gericht der Europäischen Union bestätigte am 3. September 2025 die Geltung des Data Privacy Frameworks und dass Datenübermittlungen an zertifizierte US-Dienstleister zulässig sind.

Der Einsatz von Vercel als Frontend-CDN ist notwendig für:

  • Schnelle, globale Auslieferung der React-Anwendung

  • Hohe Verfügbarkeit und Zuverlässigkeit

  • Automatische Skalierung bei Lastspitzen

  • Sicherheitsfeatures (DDoS-Schutz, WAF)

Die Alternative (Eigenhosting) würde erhebliche technische Komplexität und höhere Kosten mit sich bringen und würde das Sicherheitsniveau der Anwendung reduzieren.

Wichtig: Alle sensiblen Nutzerdaten (E-Mail, Passwort, Kundendaten) werden ausschließlich auf AWS EU-Servern via Supabase gespeichert und verlassen die Europäische Union nicht.

DPF-Zertifizierung: https://www.dataprivacyframework.gov/list (Vercel ist auf der Liste aufgeführt) Datenschutzerklärung von Vercel: https://vercel.com/legal/privacy-policy

Backend (Datenbank und APIs) – Supabase, AWS EU

Hosting-Anbieter: Supabase (als Auftragsverarbeiter), mit Infrastruktur auf Amazon AWS

Server-Standort: Amazon AWS EU (Frankfurt, eu-central-1)

Datentypen:

  • Authentifizierungsdaten (E-Mail, verschlüsseltes Passwort)

  • Kundendaten (Namen, E-Mail-Adressen, Telefonnummern, Adressen, textbasierte Informationen)

Wichtig: Alle diese Daten werden ausschließlich innerhalb der Europäischen Union gespeichert und verlassen die EU nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Notwendigkeit für Vertragsdurchführung)

Supabase als Auftragsverarbeiter:

  • Supabase fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO

  • Ein Vertrag über die Auftragsverarbeitung (DPA – Data Processing Agreement) ist geschlossen

  • Supabase hat sich zur DSGVO-Konformität verpflichtet

  • Alle Unterauftragsverarbeiter (Subprozessoren) werden transparent gemacht

Datenschutzerklärung von Supabase: https://supabase.com/privacy DPA mit Supabase: Erhältlich über das Supabase-Dashboard oder per E-Mail bei Supabase Support

4.5 Auftragsverarbeiter und Subprozessoren

Die folgenden Dienste verarbeiten Ihre Daten als Auftragsverarbeiter oder haben Zugriff darauf:

1. Vercel, USA

  • Rolle: Frontend-Hosting und Content Delivery Network (CDN)

  • Daten: Nur technisch notwendige Daten (IP-Adresse, Browser-Daten, Performance-Metriken)

  • Rechtsgrundlage: Art. 45 DSGVO (DPF-Zertifizierung) + Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

  • Zertifizierungen: EU-U.S. Data Privacy Framework (DPF), ISO 27001, SOC 2 Type 2

  • Datenschutzerklärung: https://vercel.com/legal/privacy-policy

  • Wichtig: Authentifizierungsdaten, Passwörter und Kundendaten werden NICHT bei Vercel gespeichert

2. Supabase Inc., Singapur

  • Rolle: Auftragsverarbeiter für Datenbank-Hosting

  • Daten: Authentifizierungsdaten, Kundendaten (nur auf AWS EU-Servern)

  • Rechtsgrundlage: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit Standardklauseln

  • Sicherheit: Row-Level Security (RLS) Policies schützen Daten, sodass jeder Nutzer nur auf seine eigenen Daten zugreifen kann

  • Datenschutzerklärung: https://supabase.com/privacy

  • DPA: Erhältlich über Supabase-Dashboard oder Support

3. Amazon Web Services (AWS), EU

  • Rolle: Infrastruktur-Provider für Supabase

  • Daten: Werden auf AWS EU-Servern (Frankfurt, eu-central-1) gespeichert – verlassen nicht die EU

  • Rechtsgrundlage: Supabase arbeitet mit AWS unter EU-konformen Bedingungen

  • Zertifizierungen: ISO 27001, SOC 2 Type 2

  • Datenschutzerklärung: https://aws.amazon.com/privacy/

4.6 Sicherheitsmaßnahmen

Die folgenden Sicherheitsmaßnahmen schützen Ihre Daten:

Datenbank- und Authentifizierungssicherheit:

  • Verschlüsselte Passspeicherung: Passwörter werden mit starken Algorithmen (bcrypt) verschlüsselt und können auch von uns nicht einsehen

  • Row-Level Security (RLS) Policies: Jeder Nutzer kann nur auf die Daten zugreifen, die ihm gehören. Eine technische Isolation verhindert unbefugten Datenzugriff zwischen Nutzern

  • HTTPS/TLS-Verschlüsselung: Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern sind verschlüsselt

  • Regelmäßige Backups: Supabase erstellt automatische Backups zur Vermeidung von Datenverlust

  • Zugriffskontrolle: Nur autorisierte Personen haben Zugriff auf unsere Infrastruktur

Frontend- und CDN-Sicherheit:

  • Vercel-Sicherheitsfeatures:

    • Web Application Firewall (WAF)

    • Automatische DDoS-Mitigation

    • Bot-Management

    • ISO 27001 Zertifizierung

    • SOC 2 Type 2 Compliance

    • EU-U.S. Data Privacy Framework (DPF) Zertifizierung

Infrastruktur-Sicherheit:

  • AWS EU-Rechenzentren (Frankfurt) mit ISO 27001 und SOC 2 Zertifizierungen

  • Supabase's Compliance mit DSGVO und Standardvertragsklauseln

4.7 Datenübertragung außerhalb der EU

Die GearForge-Anwendung nutzt zwei verschiedene geografische Regionen, weshalb wir hier transparent über potenzielle Datentransfers informieren:

Frontend (Vercel, USA) – Technisch notwendig:

  • Die React-Anwendung wird von Vercel CDN in den USA gehostet und ausgeliefert

  • Bei der Nutzung der App werden technische Daten (IP-Adresse, Browser-Informationen) an Vercel übertragen

  • Dies ist notwendig für die grundlegende Funktionalität und Performance der Anwendung

Rechtsgrundlage für Vercel-Transfer:

  • Art. 45 DSGVO (Angemessenheitsbeschluss): Vercel ist zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF)

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Technische Notwendigkeit für Verfügbarkeit

Datenschutzniveau: Vercel hat sich durch die DPF-Zertifizierung dazu verpflichtet, ein der DSGVO entsprechendes Datenschutzniveau einzuhalten. Das Gericht der Europäischen Union bestätigte am 3. September 2025 die Geltung des Data Privacy Frameworks.

Wichtiger Hinweis: Die bei Vercel verarbeiteten Daten sind ausschließlich technische Daten zur Auslieferung der Anwendung. Ihre sensiblen Daten (Passwort, Authentifizierungsdaten, Kundendaten) werden NICHT an Vercel übertragen.

Backend (Supabase/AWS EU) – Sensible Daten bleiben in der EU: Die Authentifizierungsdaten und Kundendaten werden ausschließlich auf AWS EU-Servern (Frankfurt) gespeichert und verlassen die Europäische Union zu keinem Zeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Art. 28 DSGVO (Auftragsverarbeitungsvertrag mit Supabase)

Dadurch wird für Ihre sensiblen Daten das höchste Schutzniveau gewährleistet.

5. Ihre Datenschutzrechte

Nach der Datenschutz-Grundverordnung (DSGVO) haben Sie folgende Rechte:

5.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht zu erfahren, ob und welche personenbezogenen Daten wir über Sie speichern, wofür diese verwendet werden und wie lange diese gespeichert werden.

So nehmen Sie das Recht wahr:

  • Sie können in der GearForge-App Ihre Profilinformationen jederzeit einsehen

  • Für eine vollständige Auskunft kontaktieren Sie uns per E-Mail

5.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung fehlerhafter oder unvollständiger Daten verlangen.

So nehmen Sie das Recht wahr:

  • Sie können viele Ihrer Profilinformationen direkt in der GearForge-App korrigieren

  • Für weitere Unterstützung kontaktieren Sie uns

5.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen.

So nehmen Sie das Recht wahr:

  • Sie können Kundendaten jederzeit selbst in der App löschen

  • Sie können Ihr Benutzerkonto über die Kontoeinstellungen löschen, was zur Löschung aller zugeordneten Daten führt

  • Für manuelle Löschung kontaktieren Sie uns per E-Mail

5.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können verlangen, dass wir die Verarbeitung Ihrer Daten einschränken, z.B. während wir eine Berichtigung überprüfen.

So nehmen Sie das Recht wahr:

  • Kontaktieren Sie uns per E-Mail mit Ihrer Anfrage

5.5 Recht auf Datenportabilität (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. JSON) zu erhalten und diese an einen anderen Anbieter zu übertragen.

So nehmen Sie das Recht wahr:

  • Kontaktieren Sie uns per E-Mail; wir werden Ihre Daten in einem standardisierten Format exportieren

5.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können widersprechen, wenn wir Ihre Daten auf Grundlage von berechtigten Interessen verarbeiten.

So nehmen Sie das Recht wahr:

  • Kontaktieren Sie uns per E-Mail mit Ihrer Widerspruch-Anfrage

5.7 Recht auf Beschwerde

Sie haben das Recht, sich bei einer Datenschutzbehörde zu beschweren, wenn Sie der Meinung sind, dass wir gegen datenschutzrechtliche Bestimmungen verstoßen.

Zuständige Behörde für Niedersachsen (Wunstorf): Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5 30159 Hannover Tel.: +49 511 120-4500 E-Mail: poststelle@lfd.niedersachsen.de

6. Cookies und Tracking

6.1 Notwendige Cookies

Die Webseite und die GearForge-Anwendung setzen notwendige Cookies, um:

  • Session-Informationen zu speichern

  • Sie angemeldet zu halten

  • Grundlegende Sicherheitsfunktionen bereitzustellen

Diese Cookies sind essentiell und können nicht deaktiviert werden.

6.2 Optionale Cookies (Website)

Die Squarespace-Website setzt weitere Cookies für Analytics und Optimierung. Eine Einwilligung erfolgt über unser Cookie-Banner. Sie können Ihre Zustimmung jederzeit widerrufen.

6.3 Optionale Cookies (App)

Bei der GearForge-Anwendung können je nach Konfiguration weitere Cookies für Analytik- oder Marketing-Zwecke gesetzt werden. Eine Einwilligung erfolgt über Cookie-Banner in der App.

Verantwortlicher: Squarespace (Website), Supabase (App)

7. Externe Links und Drittanbieter

Diese Website und Anwendung können Links zu externen Websites enthalten. Wir haben keine Kontrolle über die Datenschutzpraktiken dieser Websites. Wir sind nicht verantwortlich für deren Datenschutzerklärungen. Lesen Sie diese bitte eigenständig.

Externe Anbieter, auf die wir hinweisen:

  • Squarespace (Website-Hosting)

  • Vercel (Frontend-Hosting GearForge)

  • Supabase (Backend-Hosting GearForge)

  • AWS (Infrastruktur für Supabase)

8. Kontakt bei Datenschutzfragen

Wenn Sie Fragen zu dieser Datenschutzerklärung oder zur Datenverarbeitung haben, kontaktieren Sie uns:

E-Mail: [Deine E-Mail] Adresse: [Deine Adresse] Telefon: [Deine Telefon]

Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um:

  • Änderungen unserer Datenverarbeitungspraktiken widerzuspiegeln

  • Neue Rechtsvorschriften einzubeziehen

  • Technische Verbesserungen zu berücksichtigen

Bei wesentlichen Änderungen werden wir Sie benachrichtigen.

Letzte Aktualisierung: Oktober 2025