Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:
Ugur Creative Labs UG (haftungsbeschränkt) i.G.
Vertreten durch: Ugur Koc
E-Mail: legal@entradocumentation.com
Verantwortlich i.S.d. § 18 Abs. 2 MStV: Ugur Koc
Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten zu den folgenden Zwecken:
- Bereitstellung des Dienstes (Authentifizierung, Abruf der Entra-ID-Konfiguration im Browser, Generierung der PDF) — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
- Abwicklung kostenpflichtiger Readiness Checks(Kaufvertrag, Rechnungsstellung, Lizenzverwaltung) — Art. 6 Abs. 1 lit. b DSGVO, sowie Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten).
- Sicherheit und Missbrauchsprävention(Rate-Limiting, Log-Auswertung) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Infrastruktur).
- Reichweitenmessung mit Plausible — Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TTDSG.
- Warteliste für noch nicht verfügbare Compliance Packs — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Verarbeitete Daten
- Stammdaten: E-Mail-Adresse (Microsoft-Konto).
- Abrechnungsdaten: über Stripe (Rechnungsadresse, USt-IdNr. sofern angegeben, Zahlungsmittel — wir erhalten nur den Transaktionsstatus und eine Customer-ID).
- Nutzungsdaten: anonymisierte Seitenaufrufe (Plausible, nur nach Einwilligung).
- Technische Daten: IP-Adresse (nur kurzzeitig zur Rate-Limitierung), Browser-Identifikation (User-Agent) durch die Hosting-Infrastruktur.
- Keine Verarbeitung von Tenant-Konfigurationsdaten auf unseren Servern — diese werden ausschließlich im Browser des Nutzers über Microsoft Graph gelesen.
Empfänger und Auftragsverarbeiter
Mit folgenden Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO:
- Stripe Payments Europe, Ltd. (Irland) — Abwicklung von Zahlungen.
- Supabase Inc. (EU-Region) — Speicherung von Lizenz- und Wartelisten-Datensätzen.
- Vercel Inc. (EU-Region "Frankfurt") — Hosting der Anwendung und der API-Endpunkte.
- Plausible Insights OÜ (Estland) — cookielose Reichweitenmessung (nur nach Einwilligung).
- Microsoft Ireland Operations Ltd. — bereitgestellte Authentifizierung über Microsoft Entra ID / MSAL (kein klassischer Auftragsverarbeiter, sondern Drittanbieter auf Basis Ihres eigenen Entra-ID-Tenants).
Übermittlung in Drittländer
Eine Übermittlung in Drittländer (z.B. USA) findet nur statt, soweit unsere Auftragsverarbeiter dorthin übermitteln. Stripe und Vercel sind an den EU-U.S. Data Privacy Framework zertifiziert bzw. nutzen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Supabase und Plausible hosten Daten in der EU.
Reichweitenmessung (Plausible)
Wir setzen Plausible Analytics (Plausible Insights OÜ, Estland) zur anonymen Reichweitenmessung ein. Plausible verwendet keine Cookies und erhebt keine personenbezogenen Daten. Dennoch binden wir Plausible erst nach Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG ein.
Details zur Verarbeitung durch Plausible finden Sie unter plausible.io/data-policy.
Microsoft Entra ID / MSAL
Für die Anmeldung nutzen wir die Microsoft Authentication Library (MSAL) gegen Ihren eigenen Microsoft-Entra-ID-Tenant. Es werden ausschließlich Read-only-Berechtigungen (Microsoft Graph) angefragt. Access- und ID-Tokens werden im Session-Storage Ihres Browsers gespeichert und nicht an unsere Server übermittelt; wir erhalten lediglich die E-Mail-Adresse Ihres Kontos, um eine erworbene Lizenz daran zu binden.
Zahlungsabwicklung (Stripe)
Kostenpflichtige Readiness Checks werden über Stripe abgewickelt. Bei Klick auf "Kaufen" werden Sie zur Stripe-Checkout-Seite weitergeleitet; dort geben Sie Ihre Zahlungsdaten direkt bei Stripe ein. Wir erhalten von Stripe lediglich den Status der Transaktion, eine Kunden-ID sowie die E-Mail-Adresse Ihres Microsoft-Kontos, um die Lizenz zuzuordnen.
Datenschutzhinweise von Stripe: stripe.com/de/privacy.
Hosting und Infrastruktur
Die Website wird auf Vercel (EU-Region Frankfurt) betrieben. Vercel verarbeitet beim Abruf technische Daten (IP-Adresse, Zeitpunkt, Request-Pfad, User-Agent) in Server-Logs. Diese Daten werden zur Gewährleistung der IT-Sicherheit und des stabilen Betriebs ausgewertet und nach maximal 30 Tagen gelöscht.
Speicherdauer
- Lizenzdatensätze (E-Mail + Stufe): bis zum Ablauf der Lizenzlaufzeit zuzüglich 10 Jahre handels- und steuerrechtlicher Aufbewahrungspflicht (§ 147 AO, § 257 HGB).
- Wartelisten-Anmeldungen: bis zum Widerruf bzw. maximal 24 Monate, wenn der entsprechende Pack bis dahin nicht veröffentlicht wurde.
- Server- und Rate-Limit-Logs: max. 30 Tage.
- Tenant-Konfigurationsdaten: nicht persistiert (Browser-only). Temporäre Blob-Stagings für große Exports werden unmittelbar nach der Generierung gelöscht.
Ihre Rechte
Sie haben nach den Art. 15 bis 21 DSGVO folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerrufsrecht für erteilte Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung genügt eine formlose Nachricht an legal@entradocumentation.com.
Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde am Sitz des Verantwortlichen bzw. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Änderungen
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Verarbeitungen ändern. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Die englische Zusammenfassung finden Sie unter /privacy-policy.