Datenschutzerklärung

Stand: 7. Juli 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist:

AVEC CHALEUR Mahmoud El-Dassouki
Höfstraße 2
72119 Ammerbuch
Deutschland

Vertreten durch: Mahmoud El-Dassouki
Telefon: +49 176 977 37 894
E-Mail: contact@avec-chaleur.de
USt-IdNr.: DE326903497

2. Allgemeine Hinweise

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, Bundesdatenschutzgesetz – BDSG, Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG). In dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13 und 14 DSGVO über die wichtigsten Aspekte der Datenverarbeitung im Rahmen dieses Kunden-Hubs.

Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Eine Nutzung dieses Portals ist in der Regel nur nach vorheriger Registrierung bzw. Einladung und Anmeldung möglich; es handelt sich um einen zugangsgeschützten Bereich.

3. Hosting

Diese Anwendung wird auf der Infrastruktur von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Die Anwendung ist mit dem Framework Next.js umgesetzt und wird über das globale Edge-Netzwerk von Vercel ausgeliefert, das Standorte innerhalb der Europäischen Union umfasst.

Wenn Sie das Portal aufrufen, verarbeitet Vercel als unser Auftragsverarbeiter technisch notwendige Daten (z. B. IP-Adresse, Anfragezeitpunkt, aufgerufene Ressource), um die Auslieferung der Inhalte zu ermöglichen. Da Vercel ein US-Unternehmen ist, kann eine Übermittlung personenbezogener Daten in die USA bzw. ein Zugriff aus den USA nicht vollständig ausgeschlossen werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung des Portals). Mit Vercel besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum). Für Datenübermittlungen in Drittländer werden die Standardvertragsklauseln der EU-Kommission herangezogen.

4. Server-Logfiles

Der Hosting-Anbieter erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch an uns übermittelt. Dies sind insbesondere:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer-URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Betreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Sicherheit seines Systems – hierzu müssen die Server-Logfiles erfasst werden. Die Server-Logfiles werden nur für einen kurzen Zeitraum von wenigen Tagen gespeichert und danach automatisch gelöscht.

5. Cookies und lokale Speicherung (Anmelde-Session)

Dieses Portal verwendet technisch notwendige Cookies sowie vergleichbare Speichertechnologien (Local Storage). Diese sind für den Betrieb des zugangsgeschützten Bereichs erforderlich – insbesondere zur Verwaltung Ihrer Anmelde-Session (Authentifizierung), zur Aufrechterhaltung des Anmeldestatus und zur Auswahl des aktiven Standorts. Ohne diese Daten ist eine Anmeldung und Nutzung des Portals nicht möglich.

Technisch notwendige Cookies und lokale Speicherungen werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TDDDG gespeichert; der Betreiber hat ein berechtigtes Interesse an der sicheren und funktionsfähigen Bereitstellung des Portals. Eine Einwilligung ist für diese unbedingt erforderlichen Technologien nicht erforderlich.

Darüber hinaus werden derzeit keine nicht zwingend erforderlichen Cookies und keine Tracking- oder Analyse-Technologien eingesetzt. Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG ist daher nicht erforderlich. Sollten künftig solche Technologien eingesetzt werden, erfolgt dies erst nach vorheriger Einwilligung über einen entsprechenden Einwilligungsmechanismus.

6. Auftragsverarbeitung und eingesetzte Dienste

Zur Bereitstellung des Portals setzen wir externe Dienstleister ein, die personenbezogene Daten in unserem Auftrag und nach unserer Weisung verarbeiten (Auftragsverarbeitung gemäß Art. 28 DSGVO). Mit diesen Dienstleistern bestehen entsprechende Auftragsverarbeitungsverträge.

Authentifizierung und Datenbank – Supabase

Für die Benutzerverwaltung, Anmeldung (Authentifizierung), die Mandantentrennung (Tenancy) sowie die Speicherung der Anwendungsdaten nutzen wir Supabase (Supabase, Inc.). Die Datenverarbeitung und -speicherung erfolgt in der EU-Region Frankfurt (Deutschland). Der Zugriff auf Daten ist durch zeilenbasierte Sicherheitsregeln (Row-Level Security) auf den jeweiligen Mandanten beschränkt. Verarbeitet werden insbesondere Anmeldedaten (z. B. E-Mail-Adresse), Session-Informationen und die im Portal gepflegten Inhalte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Bereitstellung des Nutzerkontos) sowie Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).

Content-Management-System – Sanity

Die im Portal gepflegten Inhalte (Content) werden über das Content-Management-System Sanity (Sanity AS) verwaltet und gespeichert. Für jeden Kunden wird ein eigenes Sanity-Projekt betrieben. Verarbeitet werden die von Ihnen im Portal eingegebenen Inhaltsdaten sowie technische Metadaten der Bearbeitung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Die Verarbeitung erfolgt gemäß der jeweiligen Projektkonfiguration; für etwaige Übermittlungen in Drittländer werden die Standardvertragsklauseln der EU-Kommission herangezogen.

Zahlungsabwicklung – Stripe

Für die Abwicklung von Zahlungen und die Verwaltung von Abonnements nutzen wir Stripe (Stripe Payments Europe, Ltd. bzw. Stripe, Inc.). Stripe stellt das Kundenportal zur Verwaltung der Abonnements bereit und verarbeitet die hierfür erforderlichen Zahlungs- und Vertragsdaten. Die Kommunikation über Zahlungsereignisse erfolgt unter anderem über signierte Webhooks. Vollständige Zahlungsdaten (z. B. Kreditkartendaten) werden von Stripe verarbeitet und uns nicht im Klartext zur Verfügung gestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungs- und Nachweispflichten). Weitere Informationen: Datenschutzhinweise von Stripe.

Transaktions-E-Mails – Resend

Für den Versand von Transaktions- und Benachrichtigungs-E-Mails (z. B. Einladungen, Hinweise zu Anfragen/Tickets) nutzen wir den E-Mail-Dienst Resend. Verarbeitet werden hierbei Ihre E-Mail-Adresse sowie der Inhalt und die Metadaten der jeweiligen Nachricht. Der Versand erfolgt über eine Infrastruktur innerhalb der EU.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation zum Portalbetrieb).

7. Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

Konkrete Löschfristen der wichtigsten Datenkategorien:

  • Konto- und Vertragsdaten: für die Dauer des Vertragsverhältnisses; anschließende Löschung vorbehaltlich gesetzlicher Aufbewahrungsfristen.
  • Erledigte Support-Anfragen (inklusive Anhänge): 180 Tage nach Abschluss.
  • Änderungs-/Bearbeitungsprotokoll der Inhalte: 12 Monate.
  • Technische Zähler zum Missbrauchsschutz (siehe Abschnitt 10): maximal 24 Stunden.
  • Technische Verarbeitungsnachweise zu Zahlungsereignissen: 90 Tage. Die Rechnungs- und Zahlungsdaten selbst verwaltet der Zahlungsdienstleister nach dessen gesetzlichen Fristen.

8. Ihre Rechte als betroffene Person

Ihnen stehen im Rahmen der gesetzlichen Vorgaben die folgenden Rechte zu:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), insbesondere bei Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an den unter Abschnitt 1 genannten Verantwortlichen.

Unabhängig davon haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: 0711/615541-0 · E-Mail: poststelle@lfdi.bwl.de · www.baden-wuerttemberg.datenschutz.de

9. SSL- bzw. TLS-Verschlüsselung

Dieses Portal nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und am Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

10. Schutz der Anmeldung vor Missbrauch

Zum Schutz vor automatisierten Angriffen (z. B. Brute-Force auf die Anmeldung oder das Zurücksetzen des Passworts) begrenzen wir die Anzahl der Versuche pro Zeitfenster. Hierzu wird bei Anmelde- und Passwort-Reset-Vorgängen die IP-Adresse sowie die eingegebene E-Mail-Adresse ausschließlich in pseudonymisierter Form (kryptografischer HMAC-Hash) als kurzlebiger Zähler gespeichert. Die Klartext-Werte werden hierfür nicht gespeichert; die Zählerdaten werden automatisch spätestens nach 24 Stunden gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Portals und der Abwehr von Missbrauch).