← Zurück

Datenschutzerklärung

Der Schutz Ihrer persönlichen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche Daten bei der Nutzung von Pflichtklar verarbeitet werden, zu welchem Zweck und auf welcher rechtlichen Grundlage dies geschieht.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Roman Mihajlov
Kasseler Straße 48, 34613 Schwalmstadt
E-Mail: romanmihajlov187@gmail.com
Telefon (optional):

Pflichtklar wird derzeit als Einzelprojekt (im Aufbau befindliches Einzelunternehmen/Kleingewerbe) betrieben.

2. Übersicht der Datenverarbeitung

Pflichtklar verarbeitet personenbezogene Daten in folgenden Bereichen: Warteliste-Anmeldung, Login/Account, Betroffenheits-Check, Dashboard/To-do-Maßnahmen und Dokumenten-Generator. Details zu jedem Bereich finden Sie nachfolgend.

3. Warteliste-Anmeldung

Wenn Sie sich über das Formular auf der Landing Page für die Warteliste anmelden, erheben wir Ihre E-Mail-Adresse sowie optional Ihre Branche (Sektor) und Ihre Unternehmensgröße. Diese Daten werden in einer Supabase-Datenbank gespeichert. Aktuell wird keine automatische Bestätigungs-E-Mail versendet. Die Daten werden ausschließlich genutzt, um Sie über Produkt-Updates zu Pflichtklar zu informieren – nicht für sonstige Marketingzwecke oder eine Weitergabe an Dritte.

Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie uns über die oben genannte Kontakt-E-Mail kontaktieren.

4. Login und Nutzerkonto

Die Anmeldung erfolgt passwortlos über einen per E-Mail zugesendeten Magic-Link (Einmal-Code/OTP) über Supabase Auth. Es wird kein Passwort bei uns gespeichert. Nach erfolgreicher Anmeldung wird ein Session-Cookie gesetzt (über die Bibliothek @supabase/ssr), um Sie während Ihres Besuchs eingeloggt zu halten.

Dieses Cookie ist technisch notwendig für die Bereitstellung der Login-Funktion und dient keiner Analyse-, Tracking- oder Marketing-Zwecken. Es fällt daher unter die Ausnahme für unbedingt erforderliche Cookies und erfordert keine gesonderte Cookie-Einwilligung – wir weisen es an dieser Stelle dennoch transparent aus.

Rechtsgrundlage: Erfüllung eines Vertrags bzw. vorvertragliche Maßnahmen, Art. 6 Abs. 1 lit. b DSGVO, sowie berechtigtes Interesse an einer funktionsfähigen, sicheren Anmeldung, Art. 6 Abs. 1 lit. f DSGVO.

5. Betroffenheits-Check

Der Betroffenheits-Check kann vollständig anonym genutzt werden: Die Auswertung erfolgt rein clientseitig in Ihrem Browser, es werden dabei keine Daten an unsere Server übermittelt.

Nur wenn Sie als eingeloggter Nutzer aktiv auf „Ergebnis im Account speichern" klicken, werden die Ergebnisdaten (Sektor, Mitarbeiterzahl, Umsatz, Einstufung/Kategorie sowie ggf. der von Ihnen eingegebene Firmenname) in einer Datenbanktabelle gespeichert und Ihrem Account zugeordnet.

Rechtsgrundlage: Erfüllung eines Vertrags bzw. auf Ihren Wunsch hin erbrachte Leistung, Art. 6 Abs. 1 lit. b DSGVO.

6. Dashboard und To-do-Maßnahmen

Im Dashboard erfassbare Daten – etwa Status von Maßnahmen, Fälligkeitsdaten und Freitext-Notizen, die Sie eingeben – werden pro Unternehmen/Account gespeichert, damit Sie Ihren Umsetzungsfortschritt nachvollziehen können.

Rechtsgrundlage: Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO.

7. Dokumenten-Generator

Wenn Sie über den Dokumenten-Generator Vorlagen (z. B. Informationssicherheitsrichtlinie, Incident-Response-Plan) erstellen, werden die generierten Dokumente sowie deren Versionshistorie in Ihrem Account gespeichert.

Für die Text-Generierung wird der von Ihnen eingegebene Unternehmenskontext serverseitig an die Anthropic API (Claude) übermittelt. Anthropic verarbeitet diese Eingaben in diesem Fall als Auftragsverarbeiter bzw. Subprozessor ausschließlich zum Zweck der Textgenerierung für diese Funktion.

Rechtsgrundlage: Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO.

8. Hosting und Auftragsverarbeitung

Wir nutzen für Datenbank (PostgreSQL) und Authentifizierung den Dienst Supabase. Nach Angabe des Betreibers wird das Projekt in einer EU-Region gehostet.

North EU (Stockholm), eu-north-1 — EU-Region bestätigt.

Mit Supabase besteht bzw. wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

9. Rechtsgrundlagen im Überblick

  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z. B. Warteliste)
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung/vorvertragliche Maßnahmen (z. B. Login, Betroffenheits-Check-Speicherung, Dashboard, Dokumenten-Generator)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (z. B. technische Absicherung der Login-Session)

10. Speicherdauer

Ihre Daten werden grundsätzlich so lange gespeichert, wie Ihr Account besteht bzw. bis Sie die Löschung Ihrer Daten beantragen. Daten aus der Warteliste-Anmeldung werden gespeichert, bis Sie Ihre Einwilligung widerrufen oder eine Löschung anfordern. Gesetzliche Aufbewahrungspflichten bleiben hiervon unberührt.

11. Empfänger und Auftragsverarbeiter

  • Supabase (Datenbank/Postgres, Authentifizierung) – EU-Hosting gemäß Angabe des Betreibers, siehe Abschnitt 8.
  • Anthropic (Claude API) – ausschließlich für die Funktion Dokumenten-Generator, siehe Abschnitt 7.

12. Datenübermittlung in Drittländer

Anthropic ist ein US-amerikanisches Unternehmen. Bei Nutzung des Dokumenten-Generators kann es daher zu einer Übermittlung von Daten in ein Land außerhalb der EU/des EWR kommen.

Anthropic (Claude API) verarbeitet Daten für die Dokumenten-Generierung als Subprozessor. Die Data Processing Addendum (DPA) inkl. Standard Contractual Clauses (SCCs) für die Datenübertragung EU–USA ist automatisch Bestandteil der kommerziellen API-Nutzungsbedingungen, kein separater Vertrag nötig. Details: privacy.claude.com, Subprozessoren-Liste: anthropic.com/legal/sub-processors. Daten werden laut Anthropic nicht zum Modelltraining verwendet.

13. Ihre Rechte als betroffene Person

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

14. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

15. Kontakt für Datenschutzanfragen

Für Anfragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

romanmihajlov187@gmail.com

Wichtiger Hinweis

Kein Rechtsrat, Vorlage als Hilfestellung, keine Haftung für rechtliche Vollständigkeit.