Datenschutzerklärung
ENTRONYX Deutschland GmbH – Stand: April 2026
1. Verantwortliche Stelle und Datenschutzbeauftragter
Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TTDSG) und sonstiger datenschutzrechtlicher Bestimmungen ist: ENTRONYX Deutschland GmbH, Robert-Perthel-Straße 71-73, 50739 Köln, Deutschland. Handelsregister: Amtsgericht Köln, HRB 98908. Geschäftsführer: Salih Kerey. Telefon: +49 (0) 221 / Kontakt über info@entronyx.com. E-Mail: info@entronyx.com. Website: https://entronyx.com.
Als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO entscheiden wir allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Wir sind verpflichtet, die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen und können dies auf Anfrage jederzeit nachweisen (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO).
Für alle Fragen und Anliegen rund um den Datenschutz steht Ihnen unser Datenschutzbeauftragter zur Verfügung. Sie erreichen diesen unter folgender E-Mail-Adresse: datenschutz@entronyx.com. Postalisch können Sie sich an die oben genannte Anschrift der ENTRONYX Deutschland GmbH wenden, mit dem Zusatz 'z. Hd. Datenschutzbeauftragter'. Wir empfehlen, datenschutzrelevante Anfragen stets schriftlich oder per E-Mail zu richten, damit eine ordnungsgemäße Bearbeitung und Dokumentation gewährleistet werden kann.
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln Ihre Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Die Nutzung unserer Plattform ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten erhoben werden, erfolgt dies stets auf freiwilliger Basis oder im Rahmen der Vertragserfüllung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) trotz umfangreicher Schutzmaßnahmen Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für sämtliche Angebote und Dienste der ENTRONYX Deutschland GmbH, die über die Plattform entronyx.com und zugehörige Subdomains bereitgestellt werden. Sie umfasst die Hauptwebsite, den B2B-Colocation-Marktplatz, das Kundenkonto (Dashboard), sämtliche API-Schnittstellen sowie alle weiteren digitalen Dienste, die wir unter der Marke ENTRONYX anbieten.
Die Datenschutzerklärung richtet sich an alle natürlichen Personen, die unsere Plattform nutzen, unabhängig davon, ob sie als registrierte Nutzer, als Vertreter eines Unternehmenskunden, als Interessent oder als bloßer Besucher auf unsere Website zugreifen. Soweit wir im Rahmen unserer B2B-Geschäftstätigkeit personenbezogene Daten von Kontaktpersonen, Mitarbeitern oder Bevollmächtigten unserer Geschäftskunden verarbeiten, gilt diese Datenschutzerklärung entsprechend.
Unsere Plattform kann Links zu Websites Dritter enthalten (z. B. Colocation-Anbieter, Zahlungsdienstleister, soziale Netzwerke). Für diese externen Websites übernehmen wir keine Verantwortung hinsichtlich der Einhaltung datenschutzrechtlicher Bestimmungen. Wir empfehlen Ihnen, sich über die jeweiligen Datenschutzpraktiken der Drittanbieter gesondert zu informieren.
Diese Datenschutzerklärung ergänzt unsere Allgemeinen Geschäftsbedingungen (AGB) und das Impressum. Im Falle von Widersprüchen zwischen dieser Datenschutzerklärung und anderen Dokumenten hat diese Datenschutzerklärung in Bezug auf datenschutzrechtliche Belange Vorrang.
3. Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten im Einklang mit den in Art. 5 DSGVO niedergelegten Grundsätzen. Der Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Art. 5 Abs. 1 lit. a DSGVO) verpflichtet uns, Ihre Daten nur auf einer gültigen Rechtsgrundlage, in nachvollziehbarer Weise und in einer für Sie verständlichen Form zu verarbeiten.
Gemäß dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) erheben wir personenbezogene Daten ausschließlich für festgelegte, eindeutige und legitime Zwecke. Eine Weiterverarbeitung in einer mit diesen Zwecken nicht zu vereinbarenden Weise findet nicht statt. Jede Verarbeitung ist an einen konkreten, dokumentierten Verarbeitungszweck gebunden.
Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) stellt sicher, dass wir nur solche personenbezogenen Daten erheben und verarbeiten, die für den jeweiligen Verarbeitungszweck angemessen, erheblich und auf das notwendige Maß beschränkt sind. Wir überprüfen regelmäßig, ob und inwieweit die Verarbeitung personenbezogener Daten erforderlich ist, und reduzieren den Datenbestand auf das Notwendige.
Wir gewährleisten die Richtigkeit der verarbeiteten Daten gemäß Art. 5 Abs. 1 lit. d DSGVO und treffen alle angemessenen Maßnahmen, damit unrichtige Daten unverzüglich berichtigt oder gelöscht werden. Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) stellt sicher, dass personenbezogene Daten nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Verarbeitungszwecke erforderlich ist.
Durch geeignete technische und organisatorische Maßnahmen stellen wir die Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) Ihrer Daten sicher, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Gemäß dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sind wir in der Lage, die Einhaltung aller vorgenannten Grundsätze nachzuweisen.
4. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten durch ENTRONYX erfolgt stets auf einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen. Nachfolgend erläutern wir die einzelnen Rechtsgrundlagen und deren Anwendung im Kontext unserer Plattform im Detail.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit wir Ihre Einwilligung zur Verarbeitung personenbezogener Daten einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Dies betrifft insbesondere den Einsatz von Analyse-Cookies (z. B. Google Analytics), den Versand von Marketing-E-Mails und Newslettern sowie die Verarbeitung besonderer Datenkategorien, sofern anwendbar. Ihre Einwilligung ist stets freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Dies umfasst bei ENTRONYX insbesondere: die Erstellung und Verwaltung Ihres Benutzerkontos, die Durchführung von Buchungen und Bestellungen für Colocation-Dienste, die Abwicklung von Zahlungen über Stripe, die Bereitstellung von Kundensupport im Rahmen bestehender Vertragsverhältnisse sowie die Kommunikation im Zusammenhang mit Ihren Bestellungen und Verträgen.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Wir verarbeiten personenbezogene Daten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen. Hierzu zählen insbesondere die Erfüllung steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB), die Einhaltung handelsrechtlicher Dokumentationspflichten, die Beantwortung behördlicher Anfragen und gerichtlicher Anordnungen sowie die Einhaltung von Geldwäschevorschriften (GwG) im Rahmen der Zahlungsabwicklung.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist ferner rechtmäßig, wenn sie zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Zu unseren berechtigten Interessen zählen: die Gewährleistung der IT-Sicherheit und des Betriebs unserer Plattform, die Erkennung und Verhinderung von Betrug und Missbrauch, die Verbesserung und Weiterentwicklung unserer Dienste, die statistische Auswertung der Plattformnutzung (auf Grundlage anonymisierter oder pseudonymisierter Daten), die Durchsetzung rechtlicher Ansprüche sowie die interne Verwaltung und Geschäftssteuerung. Bei jeder Verarbeitung auf Grundlage berechtigter Interessen führen wir eine sorgfältige Interessenabwägung durch und dokumentieren diese.
5. Erhebung und Verarbeitung personenbezogener Daten
Im Rahmen der Nutzung unserer Plattform erheben und verarbeiten wir verschiedene Kategorien personenbezogener Daten. Der Umfang der Datenerhebung richtet sich nach der Art Ihrer Interaktion mit unserer Plattform und den von Ihnen in Anspruch genommenen Diensten.
Bestandsdaten: Bei der Registrierung und Nutzung unserer Plattform erheben wir Bestandsdaten wie Vor- und Nachname, Firmenname und Rechtsform, Geschäftsadresse (Straße, Hausnummer, PLZ, Ort, Land), E-Mail-Adresse, Telefonnummer, Umsatzsteuer-Identifikationsnummer (USt-IdNr.) sowie ggf. die Position/Funktion des Ansprechpartners im Unternehmen. Diese Daten sind für die Begründung und Durchführung des Vertragsverhältnisses erforderlich.
Nutzungsdaten: Bei jedem Zugriff auf unsere Plattform werden automatisch technische Informationen erhoben, darunter die IP-Adresse des zugreifenden Rechners, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Seite, die Website, von der aus der Zugriff erfolgt (Referrer-URL), der verwendete Browser und das Betriebssystem, die Bildschirmauflösung und der Gerätetyp, der Spracheinstellung des Browsers sowie die übertragene Datenmenge und der HTTP-Statuscode. Die Erhebung dieser Daten ist technisch erforderlich, um die Plattform auszuliefern und die Sicherheit zu gewährleisten.
Vertragsdaten: Im Rahmen der Nutzung unseres B2B-Colocation-Marktplatzes verarbeiten wir vertragsbezogene Daten wie Buchungsdetails (gewählter Standort, Rack-Typ, Leistungsumfang), SLA-Auswahl (Service Level Agreement), Vertragslaufzeit und -konditionen, Bestellhistorie und Buchungsstatus sowie Korrespondenz im Zusammenhang mit Vertragsangelegenheiten.
Zahlungsdaten: Für die Zahlungsabwicklung werden über unseren Zahlungsdienstleister Stripe folgende Daten verarbeitet: gewählte Zahlungsmethode, Transaktionsreferenznummern, Rechnungsbeträge und Währung, Zahlungsstatus und -verlauf, Rechnungs- und Gutschriftdaten. Wir selbst speichern keine vollständigen Kreditkartennummern oder Bankverbindungen; diese werden ausschließlich durch Stripe verarbeitet und gespeichert.
Kommunikationsdaten: Wenn Sie mit uns in Kontakt treten, verarbeiten wir den Inhalt und die Metadaten Ihrer Kommunikation, einschließlich E-Mail-Nachrichten und deren Anhänge, Support-Tickets und Anfragen, Kontaktformulareingaben sowie Telefon- und Videokonferenznotizen (soweit zutreffend). Protokolldaten (Server Logs): Unsere Server protokollieren automatisch Zugriffe auf die Plattform in sogenannten Server-Logfiles, die Informationen wie die angeforderte Ressource, Zeitstempel, HTTP-Methode, Antwortcode und die anonymisierte IP-Adresse enthalten.
6. Zwecke der Datenverarbeitung
Vertragserfüllung und Erbringung unserer Dienste: Der Hauptzweck der Datenverarbeitung ist die Bereitstellung unserer B2B-Colocation-Marktplatz-Dienste. Dies umfasst die Erstellung und Verwaltung Ihres Benutzerkontos, die Vermittlung von Colocation-Diensten zwischen Ihnen und den Anbietern, die Abwicklung Ihrer Buchungen und Bestellungen, die Bereitstellung personalisierter Suchergebnisse und Empfehlungen sowie die Rechnungsstellung und Vertragsverwaltung.
Zahlungsabwicklung: Die Verarbeitung von Zahlungsdaten dient der ordnungsgemäßen Abwicklung der über unsere Plattform getätigten Transaktionen, der Betrugsprävention im Zahlungsverkehr, der Erstellung und Zustellung von Rechnungen sowie der Einhaltung steuerrechtlicher und buchhalterischer Pflichten. Die Zahlungsabwicklung erfolgt über unseren zertifizierten Zahlungsdienstleister Stripe.
Betrieb und Sicherheit der Plattform: Wir verarbeiten Daten zum Zwecke des sicheren und störungsfreien Betriebs unserer IT-Infrastruktur, der Erkennung, Verhinderung und Untersuchung von Sicherheitsvorfällen, der Abwehr von Cyberangriffen und unbefugten Zugriffen, der Fehleranalyse und -behebung sowie der Kapazitätsplanung und Performance-Optimierung.
Kundensupport und Kommunikation: Ihre Daten werden verarbeitet, um Ihre Anfragen zu beantworten und Support zu leisten, Sie über Änderungen an unseren Diensten oder Verträgen zu informieren, technische Benachrichtigungen und Systemwarnungen zu übermitteln sowie Sie über für Sie relevante Wartungsfenster oder Störungen zu unterrichten.
Einhaltung rechtlicher Verpflichtungen: Die Datenverarbeitung dient ferner der Erfüllung gesetzlicher Aufbewahrungspflichten (insbesondere gemäß HGB und AO), der Mitwirkung bei behördlichen Prüfungen und Anfragen, der Einhaltung handels- und steuerrechtlicher Vorschriften sowie der Dokumentation von Einwilligungen und Widerrufen.
Verbesserung und Weiterentwicklung der Plattform: Auf Grundlage anonymisierter oder pseudonymisierter Nutzungsdaten analysieren wir die Nutzung unserer Plattform, um unsere Dienste zu verbessern, Nutzertrends zu erkennen, die Benutzerfreundlichkeit zu optimieren und neue Funktionen zu entwickeln. Marketing und Werbung erfolgen ausschließlich mit Ihrer vorherigen ausdrücklichen Einwilligung und umfassen den Versand von Informationen über neue Dienste, Funktionen oder Angebote.
7. Cookies und Tracking-Technologien
Unsere Plattform verwendet Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die von Ihrem Browser auf Ihrem Endgerät gespeichert werden und die es uns ermöglichen, bestimmte Informationen zu speichern. Im Folgenden erläutern wir, welche Arten von Cookies wir einsetzen und wie Sie deren Verwendung steuern können.
Technisch notwendige Cookies: Diese Cookies sind für den Betrieb unserer Plattform zwingend erforderlich und können in unseren Systemen nicht deaktiviert werden. Sie werden in der Regel nur als Reaktion auf von Ihnen vorgenommene Aktionen gesetzt, die einer Anforderung von Diensten gleichkommen, z. B. das Festlegen Ihrer Datenschutzeinstellungen, das Anmelden oder das Ausfüllen von Formularen. Hierzu gehören Session-Cookies zur Aufrechterhaltung Ihrer Sitzung, CSRF-Tokens zum Schutz vor Cross-Site-Request-Forgery-Angriffen, Authentifizierungs-Cookies (NextAuth.js Session-Token) sowie Cookies für die Cookie-Einwilligungsverwaltung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TTDSG (technische Erforderlichkeit).
Funktionale Cookies: Diese Cookies ermöglichen es uns, erweiterte Funktionen und eine Personalisierung der Plattform bereitzustellen, z. B. die Speicherung Ihrer Sprachpräferenz, die Anzeige zuletzt besuchter Angebote oder die Vorbelegung von Formularen. Diese Cookies können von uns oder von Drittanbietern gesetzt werden, deren Dienste wir auf unseren Seiten eingebunden haben. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TTDSG.
Analyse-Cookies: Mit Ihrer ausdrücklichen Einwilligung setzen wir Analyse-Cookies ein, insbesondere von Google Analytics, um die Nutzung unserer Plattform statistisch zu erfassen und auszuwerten. Diese Cookies ermöglichen es uns, Besucherzahlen zu ermitteln, die Navigation der Nutzer nachzuvollziehen und die Effektivität unserer Inhalte zu messen. Die durch Analyse-Cookies erzeugten Informationen werden in der Regel an einen Server von Google in der EU übertragen und dort gespeichert. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TTDSG.
Cookie-Banner und Einwilligungsmanagement: Beim erstmaligen Besuch unserer Plattform werden Sie über ein Cookie-Banner über den Einsatz von Cookies informiert und um Ihre Einwilligung für nicht-technisch-notwendige Cookies gebeten. Die Einwilligung erfolgt gemäß § 25 Abs. 1 TTDSG auf informierter und freiwilliger Basis. Sie können Ihre Cookie-Einstellungen jederzeit über die Cookie-Einstellungen im Footer unserer Website anpassen oder Ihre Einwilligung widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Verwaltung und Löschung von Cookies: Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden, Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen und das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bitte beachten Sie, dass bei der Deaktivierung technisch notwendiger Cookies die Funktionalität unserer Plattform eingeschränkt sein kann. Neben Cookies nutzen wir LocalStorage und SessionStorage Ihres Browsers zur Speicherung technisch notwendiger Informationen wie Sitzungszustände und Benutzereinstellungen. Diese Speichermechanismen unterliegen denselben Schutzmaßnahmen wie Cookies.
8. Google Analytics
Unsere Plattform nutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (nachfolgend 'Google'). Google Analytics verwendet Cookies, die eine Analyse Ihrer Benutzung unserer Plattform ermöglichen. Die durch die Cookies erzeugten Informationen über Ihre Benutzung werden in der Regel an einen Server von Google in der EU übertragen und dort gespeichert.
Wir setzen Google Analytics ausschließlich mit aktivierter IP-Anonymisierung (Funktion 'anonymizeIp' bzw. automatische IP-Maskierung in GA4) ein. Das bedeutet, dass die IP-Adresse der Nutzer von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt wird. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Im Auftrag des Betreibers dieser Plattform wird Google diese Informationen benutzen, um die Nutzung der Plattform auszuwerten, um Reports über die Plattformaktivitäten zusammenzustellen und um weitere mit der Plattformnutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Plattformbetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Die Nutzung von Google Analytics erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen anpassen. Darüber hinaus können Sie die Erfassung durch Google Analytics verhindern, indem Sie das Browser-Add-on zur Deaktivierung von Google Analytics herunterladen und installieren (verfügbar unter https://tools.google.com/dlpage/gaoptout).
Wir haben mit Google einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen. Die Speicherdauer der von uns gesendeten und mit Cookies verknüpften Nutzerdaten beträgt 14 Monate. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat. Weitere Informationen zu Nutzungsbedingungen und Datenschutz von Google Analytics finden Sie unter https://policies.google.com/privacy und unter https://marketingplatform.google.com/about/analytics/terms/de/.
Google ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, sodass für Datenübermittlungen in die USA ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt. Ergänzend haben wir mit Google die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) vereinbart, um ein zusätzliches Schutzniveau sicherzustellen.
9. Zahlungsabwicklung durch Stripe
Für die Abwicklung von Zahlungstransaktionen auf unserer Plattform nutzen wir den Zahlungsdienstleister Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA, über deren Tochtergesellschaft Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Stripe ist als Auftragsverarbeiter gemäß Art. 28 DSGVO für uns tätig.
Im Rahmen der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt: Vor- und Nachname des Zahlungspflichtigen, E-Mail-Adresse, Rechnungsadresse, Zahlungsmethode und zugehörige Zahlungsdaten, Transaktionsbetrag und -währung, Transaktionsbeschreibung und Rechnungsnummer sowie IP-Adresse und Geräteinformationen (zur Betrugsprävention). Die Verarbeitung dieser Daten ist zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Erfüllung unserer rechtlichen Pflichten (Art. 6 Abs. 1 lit. c DSGVO) erforderlich.
Stripe ist nach dem Payment Card Industry Data Security Standard (PCI DSS) Level 1 zertifiziert, dem höchsten Sicherheitsstandard der Zahlungskartenindustrie. Die gesamte Kommunikation zwischen unserer Plattform und den Stripe-Servern erfolgt über SSL/TLS-verschlüsselte Verbindungen. Stripe speichert sensible Zahlungsdaten (wie Kreditkartennummern) in verschlüsselter Form und verwendet tokenbasierte Verfahren, sodass zu keinem Zeitpunkt vollständige Zahlungsdaten auf unseren Servern gespeichert werden.
Stripe, Inc. ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023 gemäß Art. 45 DSGVO ist die Übermittlung personenbezogener Daten an Stripe in die USA zulässig. Ergänzend haben wir mit Stripe die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Die von Stripe verarbeiteten Zahlungsdaten werden gemäß den anwendbaren gesetzlichen Aufbewahrungsfristen und den regulatorischen Anforderungen der Finanzbranche gespeichert. Stripe bewahrt Transaktionsdaten in der Regel für die Dauer von sieben Jahren auf, um regulatorischen Anforderungen gerecht zu werden. Weitere Informationen zum Datenschutz bei Stripe finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.
10. Hosting und Cloud-Infrastruktur (Google Cloud Platform)
Unsere Plattform wird auf der Google Cloud Platform (GCP) gehostet, einem Cloud-Computing-Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (bzw. der Google Cloud EMEA Limited). Die Datenverarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union, konkret in der Region europe-west3 (Frankfurt am Main, Deutschland).
Durch die Wahl des Standorts Frankfurt am Main stellen wir sicher, dass Ihre personenbezogenen Daten innerhalb der EU bzw. des EWR verarbeitet und gespeichert werden. Eine Übermittlung in Drittländer im Rahmen des Hostings findet grundsätzlich nicht statt. Im Rahmen von Support- und Wartungsleistungen kann es jedoch vorkommen, dass Google-Mitarbeiter aus Drittländern auf die Infrastruktur zugreifen; in diesen Fällen sind geeignete Schutzmaßnahmen (SCCs, technische Zugriffsbeschränkungen) implementiert.
Mit Google Cloud besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Cloud Data Processing Addendum, CDPA). Google gewährleistet in diesem Rahmen die Umsetzung umfangreicher technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Die Rechenzentren von Google Cloud sind nach ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 und SOC 3 zertifiziert und erfüllen damit höchste Sicherheitsstandards.
Im Rahmen des Cloud-Hostings nutzen wir verschiedene GCP-Dienste, darunter Cloud Run und Cloud SQL (PostgreSQL) zur Datenspeicherung und Anwendungsausführung, Cloud Storage für die Speicherung von Dateien und Dokumenten, Cloud CDN für die optimierte Inhaltsauslieferung sowie Cloud Monitoring und Cloud Logging für die Überwachung und Protokollierung. Google setzt zur Erbringung der Cloud-Dienste Unterauftragsverarbeiter ein, deren aktuelle Liste unter https://cloud.google.com/terms/subprocessors einsehbar ist. Wir haben ein Recht auf Benachrichtigung bei Änderungen der Unterauftragsverarbeiter und ein Einspruchsrecht vereinbart.
Google Cloud verschlüsselt alle Daten sowohl bei der Übertragung (in Transit) mittels TLS 1.3 als auch im Ruhezustand (at Rest) mittels AES-256. Darüber hinaus implementiert Google physische Sicherheitsmaßnahmen (Zugangskontrollen, Videoüberwachung, Sicherheitspersonal) sowie logische Sicherheitsmaßnahmen (Netzwerksegmentierung, Firewalls, Intrusion-Detection-Systeme) zum Schutz der Infrastruktur.
11. Authentifizierung (NextAuth.js)
Für die Authentifizierung und Sitzungsverwaltung auf unserer Plattform setzen wir NextAuth.js ein, eine Open-Source-Authentifizierungslösung für Next.js-Anwendungen. Die Verarbeitung der damit verbundenen Daten ist zur Bereitstellung und Absicherung Ihres Benutzerkontos erforderlich und erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).
Bei der Anmeldung auf unserer Plattform werden Ihre Anmeldeinformationen (E-Mail-Adresse und gehashtes Passwort) verarbeitet, um Ihre Identität zu verifizieren. Passwörter werden zu keinem Zeitpunkt im Klartext gespeichert; wir verwenden moderne, sichere Hashing-Algorithmen (bcrypt) mit Salt, um Passwörter irreversibel zu verschlüsseln. Die Authentifizierung kann zusätzlich über OAuth-Anbieter (z. B. Google) erfolgen, wobei ausschließlich die vom jeweiligen Anbieter freigegebenen Profildaten (Name, E-Mail-Adresse, Profilbild) übermittelt werden.
Nach erfolgreicher Anmeldung wird ein verschlüsselter Session-Token (JSON Web Token, JWT) erstellt, der in einem sicheren HTTP-only-Cookie gespeichert wird. Dieses Cookie ist mit den Flags 'Secure' (nur HTTPS), 'HttpOnly' (kein JavaScript-Zugriff) und 'SameSite=Lax' (Schutz vor CSRF) konfiguriert. Der JWT enthält lediglich eine Session-ID und grundlegende Benutzerinformationen, die zur Aufrechterhaltung der Sitzung erforderlich sind.
Session-Daten werden serverseitig in unserer Datenbank gespeichert und nach Ablauf der Sitzungsdauer automatisch gelöscht. Die Sitzungsdauer beträgt standardmäßig 30 Tage bei 'Angemeldet bleiben' und wird bei jeder aktiven Nutzung verlängert. Bei Sicherheitsvorfällen (z. B. Verdacht auf unbefugten Zugriff) können wir alle aktiven Sitzungen eines Benutzerkontos zentral invalidieren. Wir protokollieren Anmeldevorgänge (Zeitstempel, IP-Adresse, Geräteinformationen) zum Zwecke der Sicherheitsüberwachung und Missbrauchserkennung.
12. E-Mail-Kommunikation
Im Rahmen der Nutzung unserer Plattform versenden wir verschiedene Arten von E-Mails an Sie. Transaktionale E-Mails sind E-Mails, die im Zusammenhang mit Ihrer Nutzung unserer Dienste stehen und für die Vertragserfüllung oder die Sicherheit Ihres Kontos erforderlich sind. Hierzu gehören Registrierungsbestätigungen und E-Mail-Verifizierung, Buchungsbestätigungen und Auftragsbestätigungen, Rechnungen und Zahlungsbelege, Passwort-Zurücksetzungslinks, Sicherheitsbenachrichtigungen (z. B. bei ungewöhnlichen Anmeldevorgängen) sowie Benachrichtigungen über Änderungen an Ihrem Konto oder Ihren Verträgen. Rechtsgrundlage für den Versand transaktionaler E-Mails ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Für den Versand von E-Mails nutzen wir einen professionellen E-Mail-Dienstleister, mit dem ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen wurde. Der Dienstleister verarbeitet Ihre E-Mail-Adresse und die Inhalte der E-Mails ausschließlich in unserem Auftrag und nach unserer Weisung. Die Datenverarbeitung erfolgt auf Servern innerhalb der EU.
Marketing-E-Mails und Newsletter versenden wir ausschließlich mit Ihrer vorherigen ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 Nr. 3 UWG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Abmeldelink am Ende jeder Marketing-E-Mail nutzen, sich an datenschutz@entronyx.com wenden oder die entsprechende Einstellung in Ihrem Benutzerkonto anpassen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Wir nutzen in unseren E-Mails in der Regel keine Tracking-Pixel oder individuelle Link-Tracking-Mechanismen. Soweit wir in Zukunft solche Technologien einsetzen sollten, werden wir Sie hierüber gesondert informieren und ggf. Ihre Einwilligung einholen. Bei der Kommunikation per E-Mail weisen wir darauf hin, dass die Übertragung unverschlüsselter E-Mails über das Internet Sicherheitsrisiken birgt. Wir unterstützen TLS-verschlüsselte E-Mail-Übertragung und empfehlen Ihnen, vertrauliche Informationen über den geschützten Bereich Ihres Benutzerkontos oder verschlüsselt per E-Mail zu übermitteln.
13. Datenweitergabe an Dritte
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in den nachfolgend beschriebenen Fällen und stets unter Einhaltung der geltenden datenschutzrechtlichen Bestimmungen. Wir verkaufen Ihre personenbezogenen Daten zu keinem Zeitpunkt an Dritte. Eine kommerzielle Verwertung Ihrer Daten durch Weitergabe an Werbetreibende, Datenbroker oder sonstige Dritte findet ausdrücklich nicht statt.
Colocation-Anbieter: Zur Erfüllung Ihrer Buchungen übermitteln wir die für die Leistungserbringung erforderlichen Daten an den jeweiligen Colocation-Anbieter. Dies umfasst in der Regel den Firmennamen und die Kontaktdaten des Ansprechpartners, die technischen Anforderungen gemäß Ihrer Buchung sowie die relevanten Vertragsdetails. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Colocation-Anbieter verarbeiten Ihre Daten als eigenständige Verantwortliche und unterliegen eigenen Datenschutzverpflichtungen.
Auftragsverarbeiter: Wir setzen externe Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein, die Daten in unserem Auftrag und nach unserer Weisung verarbeiten. Hierzu gehören insbesondere Stripe (Zahlungsabwicklung), Google Cloud Platform (Hosting und Infrastruktur), Google Analytics (Webanalyse) sowie unser E-Mail-Dienstleister (Versand transaktionaler E-Mails). Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen, die die ordnungsgemäße Verarbeitung Ihrer Daten sicherstellen.
Behörden und Gerichte: Wir können verpflichtet sein, personenbezogene Daten an Behörden oder Gerichte weiterzugeben, wenn wir hierzu gesetzlich verpflichtet sind oder eine rechtskräftige gerichtliche oder behördliche Anordnung vorliegt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Wir werden Sie über eine solche Weitergabe informieren, soweit dies rechtlich zulässig ist.
Unternehmenstransaktionen: Im Falle einer Fusion, Übernahme, Umstrukturierung, eines Verkaufs von Unternehmensteilen oder einer Insolvenz kann es erforderlich sein, personenbezogene Daten im Rahmen der Due Diligence oder der Übertragung von Geschäftsbereichen an den Erwerber oder potenziellen Erwerber weiterzugeben. In einem solchen Fall stellen wir sicher, dass die datenschutzrechtlichen Anforderungen gewahrt bleiben und informieren Sie über die Änderung der verantwortlichen Stelle. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
14. Internationale Datenübermittlungen
Grundsätzlich verarbeiten und speichern wir Ihre personenbezogenen Daten auf Servern innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR). In bestimmten Fällen kann es jedoch erforderlich sein, personenbezogene Daten an Empfänger in Drittländern (Länder außerhalb des EWR) zu übermitteln, insbesondere an unsere Dienstleister in den USA (Stripe, Inc. und Google LLC).
Datenübermittlungen in die Vereinigten Staaten von Amerika erfolgen auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023 gemäß Art. 45 DSGVO im Rahmen des EU-U.S. Data Privacy Framework (DPF). Die von uns eingesetzten US-Dienstleister (Stripe, Google) sind unter dem DPF zertifiziert und haben sich zur Einhaltung der DPF-Grundsätze verpflichtet. Die Zertifizierung kann unter https://www.dataprivacyframework.gov überprüft werden.
Ergänzend zum DPF-Angemessenheitsbeschluss haben wir mit unseren US-Dienstleistern die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart (Durchführungsbeschluss (EU) 2021/914). Die SCCs stellen ein zusätzliches Sicherheitsnetz dar, falls der Angemessenheitsbeschluss zum DPF künftig aufgehoben oder für ungültig erklärt werden sollte.
Zusätzlich zu den rechtlichen Garantien haben wir mit unseren Dienstleistern ergänzende technische und organisatorische Maßnahmen (Supplementary Measures) vereinbart, um den Schutz Ihrer Daten bei internationalen Übermittlungen weiter zu stärken. Diese umfassen die Verschlüsselung der Daten bei der Übertragung und im Ruhezustand, Zugriffsbeschränkungen und Zugriffsprotokollierung, vertragliche Verpflichtungen zur Benachrichtigung bei behördlichen Zugangsanfragen sowie die Verpflichtung zur Anfechtung unverhältnismäßiger Überwachungsanordnungen. Vor jeder neuen Datenübermittlung in ein Drittland führen wir ein Transfer Impact Assessment (TIA) gemäß den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) durch, um das Schutzniveau im Empfängerland zu bewerten und ggf. zusätzliche Schutzmaßnahmen zu ergreifen.
15. Speicherdauer und Löschfristen
Wir speichern Ihre personenbezogenen Daten grundsätzlich nur so lange, wie es für die Erfüllung der jeweiligen Verarbeitungszwecke erforderlich ist oder wie es die gesetzlich vorgeschriebenen Aufbewahrungsfristen verlangen. Nach Ablauf der jeweiligen Frist werden die Daten routinemäßig gelöscht oder anonymisiert, sofern sie nicht mehr für die Vertragserfüllung oder die Erfüllung gesetzlicher Pflichten benötigt werden.
Kontodaten (Bestandsdaten): Ihre Kontodaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Beendigung des Vertrags für weitere drei (3) Jahre aufbewahrt, um etwaige nachvertragliche Ansprüche (reguläre Verjährungsfrist gemäß §§ 195, 199 BGB) abwickeln zu können. Nach Ablauf der Aufbewahrungsfrist werden die Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
Zahlungs- und Rechnungsdaten: Buchungsbelege, Rechnungen, Kontoauszüge und sonstige steuerlich relevante Unterlagen werden gemäß § 147 Abs. 1 AO und § 257 Abs. 1 HGB für zehn (10) Jahre aufbewahrt. Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung in das Handelsbuch gemacht, der Buchungsbeleg entstanden oder die Rechnung erstellt wurde.
Server-Logfiles: Protokolldaten (Server Logs) werden für einen Zeitraum von neunzig (90) Tagen gespeichert und anschließend automatisch gelöscht. Diese Aufbewahrungsdauer ist erforderlich, um Sicherheitsvorfälle nachträglich analysieren, technische Fehler beheben und die Integrität der Plattform gewährleisten zu können.
Google-Analytics-Daten: Die über Google Analytics erhobenen Nutzungsdaten werden nach vierzehn (14) Monaten automatisch gelöscht. Die automatische Löschung erfolgt monatlich für Daten, deren Aufbewahrungsdauer abgelaufen ist. Kommunikationsdaten: E-Mails, Support-Tickets und sonstige Kommunikation werden für die Dauer der Bearbeitung sowie für weitere drei (3) Jahre nach Abschluss des jeweiligen Vorgangs aufbewahrt, um Nachfragen bearbeiten und Ansprüche abwehren zu können.
Bei der Festlegung der Speicherdauer berücksichtigen wir folgende Kriterien: die gesetzlichen Aufbewahrungspflichten (insbesondere aus HGB, AO und GwG), die Erforderlichkeit der Daten für die Vertragserfüllung, die Verjährungsfristen für mögliche Rechtsansprüche, die technische Notwendigkeit der Daten für den Betrieb der Plattform sowie die berechtigten Interessen der ENTRONYX Deutschland GmbH und Ihrer Nutzer. Wir überprüfen die Erforderlichkeit der Datenspeicherung regelmäßig und löschen Daten, die nicht mehr benötigt werden.
16. Rechte der betroffenen Personen
Als betroffene Person stehen Ihnen nach der DSGVO umfangreiche Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten zu. Im Folgenden informieren wir Sie ausführlich über Ihre Rechte und deren Ausübung.
Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese Daten und auf folgende Informationen: die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen von Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechten, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, die Herkunft der Daten (sofern nicht direkt bei Ihnen erhoben) sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling. Wir stellen Ihnen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Die Auskunft erfolgt in der Regel innerhalb eines Monats nach Eingang Ihres Antrags und in einem gängigen elektronischen Format.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie ferner das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Wir werden die Berichtigung unverzüglich vornehmen und ggf. Empfänger, denen die Daten offengelegt wurden, über die Berichtigung informieren (Art. 19 DSGVO).
Recht auf Löschung / 'Recht auf Vergessenwerden' (Art. 17 DSGVO): Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der folgenden Gründe zutrifft: die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig; Sie widerrufen Ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage; Sie legen Widerspruch gemäß Art. 21 DSGVO ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor; die Daten wurden unrechtmäßig verarbeitet; die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn Sie die Richtigkeit der Daten bestreiten (für die Dauer der Überprüfung), die Verarbeitung unrechtmäßig ist und Sie die Löschung ablehnen, wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen, oder Sie Widerspruch gemäß Art. 21 DSGVO eingelegt haben (für die Dauer der Prüfung). Bei eingeschränkter Verarbeitung dürfen die Daten nur mit Ihrer Einwilligung oder zur Geltendmachung von Rechtsansprüchen verarbeitet werden.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, CSV) zu erhalten. Sie haben ferner das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit und ohne Angabe von Gründen Widerspruch gegen die Verarbeitung zum Zwecke der Direktwerbung einzulegen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unseren Datenschutzbeauftragten unter datenschutz@entronyx.com oder postalisch an ENTRONYX Deutschland GmbH, z. Hd. Datenschutzbeauftragter, Robert-Perthel-Straße 71-73, 50739 Köln. Wir werden Ihren Antrag unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang, bearbeiten. In besonders komplexen Fällen oder bei einer Vielzahl von Anträgen kann diese Frist um weitere zwei Monate verlängert werden; in diesem Fall werden wir Sie innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren. Zur Verifizierung Ihrer Identität können wir Sie bitten, sich auszuweisen oder weitere Informationen zur Bestätigung Ihrer Identität bereitzustellen. Die Ausübung Ihrer Rechte ist grundsätzlich kostenlos. Nur bei offenkundig unbegründeten oder exzessiven Anträgen (insbesondere im Fall von Wiederholungen) können wir ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern (Art. 12 Abs. 5 DSGVO).
17. Automatisierte Entscheidungsfindung und Profiling
Gemäß Art. 22 DSGVO haben Sie das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Wir setzen derzeit keine Verfahren zur automatisierten Entscheidungsfindung im Sinne von Art. 22 DSGVO ein. Es werden keine Entscheidungen getroffen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.
Im Rahmen der Betrugsprävention und Zahlungsabwicklung können automatisierte Risikoprüfungen durch unseren Zahlungsdienstleister Stripe stattfinden. Diese dienen der Sicherheit im Zahlungsverkehr und basieren auf Risikoindikatoren wie Transaktionsmuster, Geräte- und Standortdaten. Sofern eine Zahlung abgelehnt wird, erfolgt dies auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zur Verhinderung von Zahlungsbetrug. Sie haben in jedem Fall die Möglichkeit, eine manuelle Überprüfung der Entscheidung zu verlangen und Ihren Standpunkt darzulegen.
Sollten wir in Zukunft Verfahren der automatisierten Entscheidungsfindung oder des Profiling einführen, werden wir Sie hierüber in einer aktualisierten Fassung dieser Datenschutzerklärung umfassend informieren und sicherstellen, dass die Anforderungen des Art. 22 DSGVO, einschließlich des Rechts auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung, vollumfänglich erfüllt werden.
18. Datensicherheit (Technische und organisatorische Maßnahmen)
Wir treffen umfassende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Diese Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für Ihre Rechte und Freiheiten.
Verschlüsselung: Sämtliche Datenübertragungen zwischen Ihrem Browser und unserer Plattform werden mittels TLS 1.3 (Transport Layer Security) verschlüsselt. Daten im Ruhezustand (at Rest) werden mittels AES-256-Verschlüsselung geschützt. Backups werden ebenfalls verschlüsselt gespeichert. Passwörter werden mittels bcrypt mit Salt gehasht und sind nicht im Klartext wiederherstellbar.
Zugangs- und Zugriffskontrolle: Der Zugang zu unseren Systemen und Servern ist auf autorisiertes Personal beschränkt und durch mehrstufige Authentifizierung (Multi-Faktor-Authentifizierung, MFA) gesichert. Zugriffsrechte werden nach dem Prinzip der geringsten Berechtigung (Least Privilege) vergeben und regelmäßig überprüft. Zugriffe auf personenbezogene Daten werden protokolliert und überwacht. Administrativer Zugriff auf Produktionssysteme ist ausschließlich über gesicherte VPN-Verbindungen möglich.
Eingabe- und Weitergabekontrolle: Wir stellen durch technische Maßnahmen sicher, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Die Übermittlung personenbezogener Daten erfolgt ausschließlich über verschlüsselte Kanäle. Datenträger, die personenbezogene Daten enthalten, werden bei Transport und Entsorgung durch geeignete Maßnahmen geschützt.
Verfügbarkeits- und Trennungskontrolle: Wir schützen personenbezogene Daten gegen zufällige Zerstörung oder Verlust durch redundante Speicherung, regelmäßige Backups, unterbrechungsfreie Stromversorgung und Klimatisierung der Serverräume. Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden logisch getrennt verarbeitet (Mandantentrennung). Produktions-, Staging- und Entwicklungsumgebungen sind strikt voneinander getrennt.
Wir führen regelmäßige Sicherheitsaudits und Penetrationstests durch, um potenzielle Schwachstellen zu identifizieren und zu beheben. Für den Fall eines Sicherheitsvorfalls (Data Breach) haben wir ein dokumentiertes Incident-Response-Verfahren etabliert, das die schnelle Erkennung, Eindämmung, Analyse und Meldung (gemäß Art. 33 und 34 DSGVO) von Sicherheitsvorfällen gewährleistet. Sicherheitsvorfälle werden innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Alle Mitarbeiter und Auftragnehmer, die Zugang zu personenbezogenen Daten haben, sind auf die Vertraulichkeit verpflichtet und werden regelmäßig in Datenschutz- und Informationssicherheitsthemen geschult.
19. Datenschutz-Folgenabschätzung
Gemäß Art. 35 DSGVO führen wir eine Datenschutz-Folgenabschätzung (DSFA) durch, wenn eine Form der Verarbeitung, insbesondere unter Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Wir prüfen regelmäßig, ob Verarbeitungsvorgänge auf unserer Plattform die Schwellenwerte für die Durchführung einer DSFA gemäß den Leitlinien der Artikel-29-Datenschutzgruppe (WP 248 rev.01) und der Positivliste der zuständigen Aufsichtsbehörde erreichen. Insbesondere bei der Einführung neuer Funktionen, der Verarbeitung umfangreicher Datensätze oder der Zusammenarbeit mit neuen Dienstleistern evaluieren wir die Erforderlichkeit einer DSFA.
Die Ergebnisse durchgeführter Datenschutz-Folgenabschätzungen werden dokumentiert und enthalten eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die vorgesehenen Abhilfemaßnahmen zur Bewältigung der Risiken. Sofern aus der DSFA hervorgeht, dass die Verarbeitung trotz Abhilfemaßnahmen ein hohes Restrisiko zur Folge hätte, konsultieren wir vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde gemäß Art. 36 DSGVO.
20. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Das Beschwerderecht besteht insbesondere bei der Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Da der Sitz der ENTRONYX Deutschland GmbH in Köln, Nordrhein-Westfalen, liegt, ist die für uns zuständige Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, Kavalleriestraße 2-4, 40213 Düsseldorf, Telefon: +49 (0) 211 / 38424-0, Fax: +49 (0) 211 / 38424-999, E-Mail: poststelle@ldi.nrw.de, Website: https://www.ldi.nrw.de.
Wir bitten Sie, sich bei Fragen, Bedenken oder Beschwerden zunächst an unseren Datenschutzbeauftragten (datenschutz@entronyx.com) zu wenden, damit wir Ihr Anliegen prüfen und eine einvernehmliche Lösung finden können. Unabhängig davon steht Ihnen das Recht auf Beschwerde bei der Aufsichtsbehörde jederzeit und ohne vorherige Kontaktaufnahme mit uns zu.
Neben dem Beschwerderecht bei der Aufsichtsbehörde haben Sie gemäß Art. 79 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn Sie der Ansicht sind, dass Ihre Rechte infolge einer nicht DSGVO-konformen Verarbeitung Ihrer personenbezogenen Daten verletzt wurden. Gerichtsstand ist der Sitz des Verantwortlichen oder der Aufenthaltsort der betroffenen Person.
21. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern und anzupassen. Änderungen können insbesondere aufgrund gesetzlicher Neuregelungen, der Einführung neuer Dienste oder Funktionen, geänderter Verarbeitungsprozesse, der Empfehlung von Aufsichtsbehörden oder Rechtsprechung oder technischer Weiterentwicklungen erforderlich werden.
Es gilt stets die zum Zeitpunkt Ihres Besuchs auf unserer Website abrufbare, aktuelle Fassung dieser Datenschutzerklärung. Die aktuelle Version ist jederzeit unter https://entronyx.com/privacy abrufbar. Wir versionieren diese Datenschutzerklärung mit dem Angabe des Datums der letzten Aktualisierung (siehe 'Stand' im Kopfbereich dieser Erklärung).
Über wesentliche Änderungen dieser Datenschutzerklärung, die Ihre Rechte oder die Art der Datenverarbeitung betreffen, werden wir Sie rechtzeitig und in geeigneter Form informieren. Die Information kann per E-Mail an die in Ihrem Benutzerkonto hinterlegte E-Mail-Adresse, durch einen gut sichtbaren Hinweis auf unserer Plattform (z. B. Banner oder Pop-up) oder durch eine Benachrichtigung in Ihrem Benutzerkonto erfolgen. Soweit die Änderungen eine Verarbeitung betreffen, die auf Ihrer Einwilligung beruht, werden wir ggf. eine erneute Einwilligung einholen.
Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu überprüfen, um über den aktuellen Stand des Datenschutzes auf unserer Plattform informiert zu sein. Durch die fortgesetzte Nutzung unserer Plattform nach Veröffentlichung einer aktualisierten Datenschutzerklärung erklären Sie sich mit den Änderungen einverstanden, soweit keine erneute Einwilligung erforderlich ist.