Chroniclear

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[Vollständiger Firmenname]
[Straße und Hausnummer]
[PLZ] [Ort], Deutschland
E-Mail: privacy@chroniclear.com

[Sofern ein Datenschutzbeauftragter bestellt ist: Name und Kontakt hier eintragen. Andernfalls Absatz entfernen.]

2. Allgemeines zur Datenverarbeitung

Wir erheben und verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Webplattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Rechtsgrundlagen für die Verarbeitung sind je nach Zweck:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung des Betroffenen
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen des Verantwortlichen

3. Hosting und technische Infrastruktur

Vercel (Hosting)

Die Plattform wird über die Infrastruktur von Vercel Inc., 340 Pine Street, Suite 701, San Francisco, CA 94104, USA betrieben. Vercel verarbeitet beim Abruf der Website automatisch Verbindungsdaten (IP-Adresse, Browsertyp, aufgerufene Seiten, Zeitstempel). Dies dient dem sicheren und stabilen Betrieb der Plattform. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Mit Vercel besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Für Datenübermittlungen in die USA stützen wir uns auf die Standardvertragsklauseln der EU-Kommission sowie ggf. weitere geeignete Garantien nach Art. 46 DSGVO.

Supabase (Datenbank, Authentifizierung)

Für Nutzerkontenverwaltung, Authentifizierung und Datenspeicherung nutzen wir Supabase, bereitgestellt von Supabase Inc. Supabase verarbeitet personenbezogene Daten im Auftrag von Chroniclear auf Basis eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Zu den verarbeiteten Daten zählen u. a. E-Mail-Adressen, Passwörter (verschlüsselt), Nutzerkonto-Metadaten sowie hochgeladene Dateien und Bericht-Daten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

4. Nutzerkonto und Login

Zur Nutzung der Plattform ist die Anlage eines Nutzerkontos erforderlich. Dabei werden Daten wie E-Mail-Adresse, Passwort (verschlüsselt gespeichert) sowie Profil- und Kontodaten erhoben und verarbeitet. Alternativ ist eine Anmeldung über Google OAuth möglich; in diesem Fall werden Daten (Name, E-Mail-Adresse) von Google LLC übermittelt. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, ist für den OAuth-Dienst verantwortlich. Für Datenübermittlungen in Drittländer gelten die Google-Standardvertragsklauseln. Wir empfehlen, die Datenschutzerklärung von Google unter policies.google.com/privacy zu beachten.

5. Zahlungsabwicklung

Zahlungen werden über Stripe abgewickelt. Anbieter ist Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe verarbeitet Zahlungsdaten (z. B. Kreditkartendaten, Rechnungsadresse) zur Abwicklung von Kaufvorgängen. Die Verarbeitung durch Stripe erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO. Wir erhalten von Stripe keine vollständigen Zahlungsdaten. Die Datenschutzhinweise von Stripe sind abrufbar unter stripe.com/de/privacy.

Hinweis: Stripe und die zugehörige Checkout-Infrastruktur sind eine serverseitige Integration und unterliegen nicht dem Cookie-/Consent-Management für Endnutzer.

6. KI-gestützte Berichterstellung

Zur Erstellung der Prüfberichte werden vom Nutzer bereitgestellte Informationen und Dokumente an die OpenAI-API übermittelt und dort verarbeitet. Anbieter ist OpenAI, LLC, 3180 18th Street, San Francisco, CA 94110, USA. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie unserer berechtigten Interessen an der Erbringung der vereinbarten Leistung. Mit OpenAI besteht ein Auftragsverarbeitungsvertrag. Für Datenübermittlungen in die USA stützen wir uns auf die Standardvertragsklauseln der EU-Kommission gemäß Art. 46 DSGVO.

Hinweis: Die OpenAI-Integration ist eine serverseitige Verarbeitung. Nutzerdaten werden nicht unmittelbar durch den Browser an OpenAI übermittelt.

7. Fehlerüberwachung

Zur Qualitätssicherung und Fehlerbehebung setzen wir Sentry ein, einen Dienst der Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Im Fehlerfall werden technische Protokolldaten (z. B. Stacktraces, Browserinformationen, ggf. Teile der URL) übermittelt. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemstabilität). Für Übermittlungen in die USA gelten Standardvertragsklauseln der EU-Kommission.

8. Datei-Uploads

Nutzer können Bilder und Dokumente (z. B. Fotos einer Uhr, Kaufbelege, Garantiekarten) hochladen. Diese Dateien werden im Rahmen der Leistungserbringung gespeichert und zur Erstellung des Prüfberichts verarbeitet. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO. Dateien werden nach Ablauf der vertraglich vereinbarten Aufbewahrungsfrist [Frist eintragen] gelöscht.

9. Cookies und ähnliche Technologien

Was sind Cookies?

Cookies sind kleine Textdateien, die beim Besuch einer Website im Browser des Nutzers gespeichert werden. Neben klassischen Cookies verwenden wir auch andere Technologien wie den lokalen Speicher (Local Storage) des Browsers, um Einstellungen und sitzungsbezogene Informationen zu speichern.

Essenziell — Technisch notwendig

Diese Speicherungen sind für den Betrieb der Plattform unbedingt erforderlich. Sie ermöglichen grundlegende Funktionen wie die Sitzungsverwaltung, die Anmeldung und den Checkout-Prozess. Ohne diese Speicherungen kann die Plattform nicht bestimmungsgemäß genutzt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 TTDSG (kein Einwilligungserfordernis).

Zu den technisch notwendigen Speicherungen gehören insbesondere:

  • Session-Cookie (Supabase): Speichert Ihre Anmeldesitzung nach dem Login. Wird beim Abmelden oder nach Sitzungsablauf gelöscht.
  • Sicherheitsmechanismen: Technische Tokens zur Absicherung von Formularen und Authentifizierungsabläufen (z. B. CSRF-Schutz).
  • Checkout-Zustand (Stripe): Technische Daten zur Aufrechterhaltung des Bezahlvorgangs während der Transaktion. Diese Daten werden nicht über die Sitzung hinaus gespeichert.
  • Theme-Einstellung: Speicherung Ihrer Darstellungseinstellung (hell/dunkel/system) im lokalen Browser-Speicher. Diese Information verlässt Ihr Gerät nicht.
  • Consent-Speicherung: Sofern Sie Cookie-Einstellungen vorgenommen haben, wird Ihre Auswahl gespeichert, damit sie bei Ihrem nächsten Besuch bekannt ist.

Funktional

Funktionale Speicherungen ermöglichen erweiterte Funktionen der Plattform, die über das technisch Notwendige hinausgehen — zum Beispiel die Speicherung von Nutzereinstellungen über mehrere Sitzungen hinaus. Die Verarbeitung erfolgt auf Basis Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG, sofern diese Speicherungen nicht bereits unter die technisch notwendige Kategorie fallen.

[Hinweis: Aktuell sind keine separaten funktionalen Cookies geplant. Kategorie bei Bedarf aktivieren.]

Statistik / Analyse [optionaler Abschnitt]

Sofern Analyse-Tools eingesetzt werden, dienen diese dazu, die Nutzung der Plattform statistisch auszuwerten und das Angebot zu verbessern. Die Verarbeitung erfolgt nur auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.

[Platzhalter: Dieser Abschnitt ist nur zu aktivieren, wenn tatsächlich clientseitiges Analyse-Tracking eingesetzt wird. Serverseitiges Event-Tracking (z. B. PostHog serverseitig) kann ggf. unter berechtigte Interessen fallen — rechtliche Einordnung vor Aktivierung prüfen.]

Marketing [optionaler Abschnitt]

[Platzhalter: Marketing-Cookies (z. B. Meta Pixel, Google Ads) werden auf Chroniclear aktuell nicht eingesetzt. Dieser Abschnitt ist nur aufzunehmen, wenn entsprechende Tools tatsächlich verwendet werden und eine entsprechende Einwilligung eingeholt wird.]

Cookie-Einstellungen ändern oder Einwilligung widerrufen

Sie können Ihre Cookie-Einstellungen jederzeit anpassen. Klicken Sie dazu auf den Link „Cookie-Einstellungen" in der Fußzeile der Website oder wenden Sie sich per E-Mail an privacy@chroniclear.com.

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Darüber hinaus können Sie Cookies in Ihrem Browser jederzeit deaktivieren oder löschen. Informationen dazu finden Sie in den Einstellungen Ihres Browsers. Bitte beachten Sie, dass die Deaktivierung technisch notwendiger Cookies die Nutzbarkeit der Plattform einschränken kann.

10. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem gewöhnlichen Aufenthaltsort, Ihrem Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@chroniclear.com

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Ablauf der Aufbewahrungsfrist werden die Daten routinemäßig gelöscht. Nutzerkontendaten werden bei aktiver Kündigung des Kontos innerhalb von [Frist, z. B. 30 Tagen] gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. Aktualität dieser Erklärung

Diese Datenschutzerklärung hat den Stand [Datum eintragen]. Wir behalten uns vor, diese Erklärung bei Änderungen der rechtlichen Rahmenbedingungen oder unserer Datenverarbeitungsprozesse anzupassen.