Datenschutzerklärung
Stand: 13. Juli 2026
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du diese Website besuchst und Adfire OS nutzt. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst. Ausführliche Informationen zum Thema Datenschutz entnimmst du den weiteren Abschnitten dieser Erklärung.
Datenerfassung auf dieser Website
Wer ist verantwortlich für die Datenerfassung?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber (Adfire Consulting GmbH). Dessen Kontaktdaten findest du im Abschnitt "Hinweis zur verantwortlichen Stelle" sowie im Impressum.
Wie erfassen wir deine Daten?
- Daten, die du uns aktiv mitteilst – etwa bei der Anmeldung, Profil-Pflege oder beim Versenden einer Nachricht.
- Daten, die beim Besuch automatisch von unseren IT-Systemen erfasst werden (z. B. IP-Adresse, Browser-Typ, Zeitpunkt des Aufrufs).
- Daten, die wir bei deiner Nutzung der Plattform speichern (z. B. dein Lernfortschritt, Video-Wiedergabeposition, abgeschlossene Lektionen).
Wofür nutzen wir deine Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten benötigen wir, um dir zugewiesene Kurse zu zeigen, deinen Lernfortschritt zu speichern und Lernende zu authentifizieren.
Welche Rechte hast du bezüglich deiner Daten?
Du hast jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck deiner gespeicherten personenbezogenen Daten zu erhalten. Du hast außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Im Profil unter /profile kannst du deine Daten als JSON exportieren (Recht auf Datenübertragbarkeit, Art. 20 DSGVO). Bei Fragen wende dich jederzeit an info@adfire-consulting.de. Außerdem steht dir ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
2. Hosting
Wir hosten die Inhalte unserer Website bei folgenden Anbietern:
Vercel (Inc.)
Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Website: https://vercel.com.
Vercel ist der Hosting-Anbieter unserer Anwendung. Wenn du Adfire OS besuchst, werden Verbindungsdaten (IP-Adresse, Datum/Uhrzeit, abgerufene URL, User-Agent, ggf. Referrer) in Server-Logs verarbeitet. Vercel betreibt Edge-Server weltweit; der Vertrag mit Vercel ist auf EU-Datenverarbeitung ausgelegt, ein Server-Standort außerhalb der EU kann jedoch im Einzelfall vorkommen (Standardvertragsklauseln, EU-US Data Privacy Framework).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Bereitstellung der Website) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber registrierten Nutzern). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO.
Supabase (Datenbank, Authentifizierung, Storage)
Anbieter: Supabase Pte. Ltd., 970 Toa Payoh North #07-04, Singapore 318992 (vertragliche Entität für Kunden außerhalb der USA); Mutterkonzern: Supabase, Inc., Delaware, USA. Server-Standort unserer Instanz: EU (Frankfurt a. M., Deutschland) auf Infrastruktur von AWS.
Supabase betreibt für uns die PostgreSQL-Datenbank, das Benutzer-Authentifizierungssystem und den File-Storage (Cover-Bilder, Lektions-Anhänge). Verarbeitet werden: deine E-Mail-Adresse, Passwort-Hash, Anmelde-Zeitpunkte sowie alle Lern- und Profildaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). AVV gem. Art. 28 DSGVO abgeschlossen. Datenstandort: EU (Frankfurt).
Bunny.net (Video-Streaming)
Anbieter: BunnyWay d.o.o., Dunajska cesta 165, 1000 Ljubljana, Slowenien (EU).
Bunny.net hostet und streamt unsere Kurs-Videos. Beim Abspielen werden Verbindungsdaten (IP, User-Agent, Zeitpunkt) zur Auslieferung verarbeitet. Bunny.net betreibt CDN-Knoten in der EU und weltweit; Auslieferung erfolgt vom nächstgelegenen Standort.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. AVV gem. Art. 28 DSGVO.
Resend (Transaktionale E-Mails)
Anbieter: Resend, Inc., 2261 Market Street #4818, San Francisco, CA 94114, USA.
Resend versendet automatisierte E-Mails (z. B. Einladungs- und Passwort-Reset-Mails) in unserem Auftrag. Verarbeitet werden: E-Mail-Adresse und Inhalt der Mail.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. AVV abgeschlossen, Übermittlung auf Basis EU-Standardvertragsklauseln + EU-US Data Privacy Framework.
n8n (Automatisierung) und Hostinger als Hosting-Sub-Prozessor
n8n läuft als von uns selbst betriebene Instanz auf einem VPS der Hostinger International Ltd., 61 Lordou Vironos str., 6023 Larnaca, Zypern (EU). Datenstandort: EU.
Wir nutzen n8n für interne Automatisierungen (z. B. Benachrichtigungen bei Kurs-Zuweisung oder -Abschluss). An n8n werden ausschließlich anonymisierte oder pseudonymisierte Event-Daten gesendet (Event-Typ, Organisations-ID, Lektion-ID, Zeitstempel). Die Datenverarbeitung erfolgt innerhalb der EU.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Betriebsablauf).
Firebase Cloud Messaging (FCM, native Android-App)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Konzernmutter Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Für die native Android-Version von Adfire OS (Google Play Store, Package de.adfire.os) nutzen wir Firebase Cloud Messaging, um Push-Benachrichtigungen (z. B. „Neuer Bewerber", „Redaktionsplan freigegeben") an dein Gerät zu senden. Verarbeitet werden dabei ausschließlich: dein FCM-Registrierungs-Token (identifiziert dein Gerät, nicht dich persönlich), Zeitpunkt der Zustellung und der Inhalt der jeweiligen Nachricht. Google Analytics für Firebase ist deaktiviert. Im Web-Browser nutzen wir stattdessen W3C-Web-Push (VAPID) ohne Firebase — dieselben Nachrichten, anderer Zustellkanal.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung durch das Betriebssystem-Berechtigungs-Popup beim ersten App-Start). Du kannst Push-Benachrichtigungen jederzeit in den Android-System-Einstellungen unter „Adfire OS > Benachrichtigungen" oder in den App-Einstellungen deaktivieren. AVV nach Art. 28 DSGVO mit Google elektronisch geschlossen; Übermittlung in Drittländer auf Basis EU-Standardvertragsklauseln + EU-US Data Privacy Framework.
3. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Website nehmen den Schutz deiner persönlichen Daten sehr ernst. Wir behandeln deine personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wenn du diese Website benutzt, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen du persönlich identifiziert werden kannst. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Adfire Consulting GmbH
Kiem-Pauli-Straße 12
84036 Landshut
Deutschland
Telefon: +49 (0) 8707 7893995
E-Mail: info@adfire-consulting.de
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.
Speicherdauer
Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben deine personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn du ein berechtigtes Löschersuchen geltend machst oder eine Einwilligung zur Datenverarbeitung widerrufst, werden deine Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung deiner personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letzteren Fall erfolgt die Löschung nach Fortfall dieser Gründe.
Allgemeine Hinweise zu den Rechtsgrundlagen der Datenverarbeitung
Sofern du in die Datenverarbeitung eingewilligt hast, verarbeiten wir deine personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Soweit deine Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, verarbeiten wir deine Daten auf Basis des Art. 6 Abs. 1 lit. b DSGVO. Sofern deine Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, verarbeiten wir sie auf Basis von Art. 6 Abs. 1 lit. c DSGVO. Des Weiteren kann die Verarbeitung auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen. Über die jeweils im Einzelfall einschlägigen Rechtsgrundlagen wird in den folgenden Absätzen dieser Datenschutzerklärung informiert.
Empfänger von personenbezogenen Daten
Im Rahmen unserer Geschäftstätigkeit arbeiten wir mit verschiedenen externen Stellen zusammen. Dabei ist teilweise auch eine Übermittlung von personenbezogenen Daten an diese externen Stellen erforderlich. Wir geben personenbezogene Daten nur dann an externe Stellen weiter, wenn dies im Rahmen einer Vertragserfüllung erforderlich ist, wenn wir gesetzlich hierzu verpflichtet sind (z. B. Weitergabe an Steuerbehörden), wenn wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Weitergabe haben oder wenn eine sonstige Rechtsgrundlage die Datenweitergabe erlaubt. Beim Einsatz von Auftragsverarbeitern geben wir personenbezogene Daten unserer Kund:innen nur auf Grundlage eines gültigen Vertrags über Auftragsverarbeitung weiter. Im Fall einer gemeinsamen Verarbeitung wird ein Vertrag über gemeinsame Verarbeitung geschlossen.
Widerruf deiner Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit deiner ausdrücklichen Einwilligung möglich. Du kannst eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)
Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, hast du jederzeit das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, gegen die Verarbeitung deiner personenbezogenen Daten Widerspruch einzulegen.
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Zuständig ist u. a. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.
Recht auf Datenübertragbarkeit
Du hast das Recht, Daten, die wir auf Grundlage deiner Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an dich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Wir bieten dir hierfür einen Selbstbedienungs-Datenexport in deinem Profil unter /profile. Sofern du die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangst, erfolgt dies nur, soweit es technisch machbar ist.
Auskunft, Berichtigung und Löschung
Du hast im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über deine gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Wende dich hierzu jederzeit an info@adfire-consulting.de.
Recht auf Einschränkung der Verarbeitung
Du hast das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen. Hierzu kannst du dich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:
- Wenn du die Richtigkeit deiner gespeicherten personenbezogenen Daten bestreitest.
- Wenn die Verarbeitung unrechtmäßig geschah/geschieht, du aber statt der Löschung die Einschränkung der Datenverarbeitung verlangst.
- Wenn wir die Daten nicht mehr benötigen, du sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen brauchst.
- Wenn du nach Art. 21 Abs. 1 DSGVO Widerspruch eingelegt hast und noch nicht feststeht, wessen Interessen überwiegen.
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte – wie z. B. deiner Anmeldedaten – eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du an dem Schloss-Symbol in der Adresszeile deines Browsers und daran, dass die Adresse mit https:// beginnt.
4. Datenerfassung auf dieser Website
Cookies
Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform unerlässlich sind (Authentifizierungs-Session, Theme-Einstellung Light/Dark). Diese Cookies setzen wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Anmelde-System). Es kommen keine Analytics-, Marketing- oder Tracking-Cookies zum Einsatz, die einer separaten Einwilligung bedürften.
Server-Log-Dateien
Unser Hosting-Anbieter (Vercel) erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die dein Browser automatisch übermittelt. Dies sind:
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Dateien erfasst werden. Diese Daten werden für maximal 30 Tage gespeichert.
Registrierung auf dieser Website
Du kannst dich auf dieser Website registrieren, um zugewiesene Kurse, Lektionen und deinen Lernfortschritt zu nutzen. Die zu diesem Zweck eingegebenen Daten (E-Mail-Adresse, Name, Passwort als Hash) verwenden wir ausschließlich für die Bereitstellung des jeweiligen Angebots oder Dienstes. Die bei der Registrierung abgefragten Pflichtangaben müssen vollständig angegeben werden. Andernfalls werden wir die Registrierung ablehnen.
Die Verarbeitung der bei der Registrierung eingegebenen Daten erfolgt zum Zwecke der Durchführung des durch die Registrierung begründeten Nutzungsverhältnisses und ggf. zur Anbahnung weiterer Verträge (Art. 6 Abs. 1 lit. b DSGVO).
Die bei der Registrierung erfassten Daten werden von uns gespeichert, solange du auf unserer Website registriert bist, und werden sodann gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.
Anfrage per E-Mail oder Telefon
Wenn du uns per E-Mail oder Telefon kontaktierst, wird deine Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage) zum Zwecke der Bearbeitung deines Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne deine Einwilligung weiter.
Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern deine Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO).
5. Lernfortschritt und Audit-Daten
Bei der Nutzung von Adfire OS speichern wir zusätzlich folgende nutzungsbezogene Daten:
- Lernfortschritt: abgeschlossene Lektionen, Video-Wiedergabeposition, Zeitpunkt der letzten Aktivität pro Lektion. Zweck: dir Fortschrittsanzeigen zu liefern und das Fortsetzen unterbrochener Lektionen zu ermöglichen (Art. 6 Abs. 1 lit. b DSGVO).
- Audit-Log: sicherheitsrelevante administrative Aktionen innerhalb deiner Organisation (z. B. Kurs erstellt, Mitglied eingeladen, Rolle geändert) inklusive Zeitstempel und handelndem Nutzer. Zweck: Nachvollziehbarkeit und Plattform-Integrität (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
- Webhook-Events: bei bestimmten Ereignissen (z. B. „Lektion abgeschlossen") wird ein interner Event in unsere Outbox-Tabelle geschrieben und automatisiert an unsere n8n-Instanz (selbst gehostet in Deutschland) übermittelt. Der Event enthält ausschließlich technische Kennungen (Lektion-ID, Nutzer-ID, Zeitstempel), keine Klarnamen.
6. Speicherdauer / Account-Löschung
Deine Kontodaten speichern wir, solange dein Konto aktiv ist. Nach Beendigung des Nutzungsverhältnisses (Kontolöschung oder Entfernung durch deinen Administrator) werden personenbezogene Daten innerhalb von 30 Tagen anonymisiert oder gelöscht. Ausgenommen sind Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (HGB/AO).
Lerndaten (Fortschrittseinträge, abgeschlossene Lektionen) werden beim Löschen des Accounts mitgelöscht (Cascade-Delete in unserer Datenbank).
7. Übermittlung in Drittländer
Einige unserer Auftragsverarbeiter haben ihren Hauptsitz außerhalb der EU (Vercel, Resend, Supabase). Die Verarbeitung erfolgt jedoch primär auf EU-Servern. Sollte im Einzelfall eine Übermittlung in Drittländer (insb. USA) erfolgen, geschieht dies auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) und – soweit anwendbar – des EU-US Data Privacy Framework.
8. Verzeichnis unserer Auftragsverarbeiter
Mit allen nachfolgend genannten Dienstleistern besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die signierten bzw. angenommenen AVV-Dokumente werden bei uns intern archiviert und können auf Anfrage von Aufsichtsbehörden oder Kunden in zumutbarem Umfang nachgewiesen werden.
Supabase (Datenbank, Authentifizierung, Storage)
- Vertragspartner: Supabase Pte. Ltd., Singapore; Konzernmutter Supabase, Inc., Delaware (USA)
- Verarbeitete Daten: Konto-Stammdaten (E-Mail, Passwort-Hash, Name), Lern- und Profildaten, Audit-Log-Einträge, Session-Daten
- Verarbeitungs-Standort: EU – Frankfurt am Main (AWS eu-central-1)
- Drittlandstransfer: grundsätzlich nicht; im Supportfall ggf. Zugriff aus den USA auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
- AVV: elektronisch unterzeichnet via PandaDoc am 12.05.2026
Vercel (Hosting der Anwendung)
- Vertragspartner: Vercel, Inc., 340 S Lemon Ave #4133, Walnut, CA 91789 (USA)
- Verarbeitete Daten: Verbindungs-/Log-Daten (IP-Adresse, User-Agent, Zeitpunkt, abgerufene URL), Function-Ausführungen mit den jeweils übermittelten Payloads
- Verarbeitungs-Standort: Funktionen sind explizit auf die Region
fra1(Frankfurt am Main) konfiguriert; Edge-/CDN-Auslieferung erfolgt vom geografisch nächstgelegenen Standort - Drittlandstransfer: möglich (US-Mutterkonzern); abgesichert durch EU-Standardvertragsklauseln (im DPA enthalten) und – soweit anwendbar – das EU-US Data Privacy Framework
- AVV: Vercel stellt einen vorab unterzeichneten DPA bereit (Annahme durch Vertragsbestätigung; Kundenseite gegengezeichnet am 12.05.2026)
Bunny.net (Video-Streaming und CDN)
- Vertragspartner: BunnyWay d.o.o., Dunajska cesta 165, 1000 Ljubljana, Slowenien (EU)
- Verarbeitete Daten: Verbindungsdaten beim Video-Abruf (IP-Adresse, User-Agent, Zeitpunkt), Video-Inhalte
- Verarbeitungs-Standort: EU; CDN-Auslieferung weltweit, gesteuert durch Nähe zum abrufenden Endgerät
- Drittlandstransfer: nicht erforderlich, Anbieter unterliegt direkt der DSGVO
- AVV: elektronisch angenommen über das Bunny.net Dashboard am 12.05.2026
Resend (transaktionale E-Mails)
- Vertragspartner: Resend, Inc., 2261 Market Street #4818, San Francisco, CA 94114 (USA)
- Verarbeitete Daten: E-Mail-Adressen der Empfänger, E-Mail-Betreff und -Inhalt (z. B. Bestätigungs-, Einladungs- und Passwort-Reset-Mails)
- Verarbeitungs-Standort: EU – Versand erfolgt technisch über Amazon SES in Irland (eu-west-1)
- Sub-Prozessor: Amazon Web Services, Inc. (Amazon SES, eu-west-1, Irland)
- Drittlandstransfer: möglich (US-Mutterkonzern); abgesichert durch EU-Standardvertragsklauseln; Anbieter ist SOC 2 Type II zertifiziert und führt jährliche Penetrationstests durch
- AVV: vorab unterzeichneter DPA, bereitgestellt im Resend-Dashboard, gültig ab Vertragsbeginn (durch Kunden dokumentiert am 12.05.2026)
Google / Firebase Cloud Messaging (Push-Nachrichten in der Android-App)
- Vertragspartner: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Konzernmutter Google LLC (USA)
- Verarbeitete Daten: FCM-Registrierungs-Token (Geräte-Identifier, nicht personenbezogen), Push-Payload (Titel/Text der Notification), Zustellzeitpunkt
- Verarbeitungs-Standort: Google-Rechenzentren global; die Verträge mit Google Ireland sind auf primäre EU/EEA- Verarbeitung ausgelegt
- Drittlandstransfer: möglich (US-Mutterkonzern); abgesichert durch EU-Standardvertragsklauseln (im Google Data Processing Amendment enthalten) und das EU-US Data Privacy Framework
- AVV: Google Data Processing Amendment als vorab unterzeichneter Vertrag, angenommen mit der Firebase-Nutzung
Hostinger (Hosting der n8n-Instanz)
- Vertragspartner: Hostinger International Ltd., 61 Lordou Vironos str., 6023 Larnaca, Zypern (EU)
- Verarbeitete Daten: Inhalte der an n8n übermittelten Webhook-Events (technische Kennungen wie Lektion-ID, Nutzer-ID, Organisations-ID, Zeitstempel)
- Verarbeitungs-Standort: EU
- Drittlandstransfer: nicht erforderlich, Anbieter unterliegt direkt der DSGVO
- AVV: per Anfrage über den Hostinger-Support angefordert und am 12.05.2026 angenommen
Änderungen am Subprozessoren-Verzeichnis teilen wir registrierten Nutzern mindestens 30 Tage vor Wirksamwerden in zumutbarer Weise mit (z. B. per E-Mail oder durch einen Hinweis in der Plattform), sofern die Änderung eine wesentliche Auswirkung auf die Verarbeitung personenbezogener Daten hat.
9. Technisch-organisatorische Maßnahmen (TOMs)
Wir setzen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, um deine Daten zu schützen. Hierzu zählen insbesondere:
- Transportverschlüsselung: TLS 1.2+ für sämtliche Verbindungen (HTTPS, SMTPS, DB-Verbindungen)
- Verschlüsselung im Ruhezustand: Datenbank- und Speicher-Inhalte sind bei unseren Anbietern (Supabase, Bunny.net, Hostinger) standardmäßig verschlüsselt (AES-256)
- Passwort-Sicherheit: Passwörter werden ausschließlich als kryptographische Hashes (bcrypt) gespeichert – Klartextpasswörter sind uns zu keinem Zeitpunkt zugänglich
- Zwei-Faktor-Authentifizierung: sämtliche administrativen Zugänge zu den eingesetzten Diensten sind mit Zwei-Faktor-Authentifizierung gesichert
- Berechtigungskonzept: Mehrstufiges Rollensystem (Owner / Admin / Manager / Member); Row-Level-Security auf Datenbankebene verhindert Cross-Tenant-Zugriffe
- Webhook-Integrität: Alle ausgehenden Webhooks werden mit HMAC-SHA-256 signiert und gegen Replay-Angriffe abgesichert (Nonces, Timestamps)
- Audit-Log: Sicherheitsrelevante administrative Aktionen werden mit Zeitstempel und handelndem Nutzer protokolliert
- Datensparsamkeit: An nachgelagerte Dienste (z. B. n8n) übermitteln wir ausschließlich die für den jeweiligen Verarbeitungszweck notwendigen technischen Kennungen, keine Klarnamen oder Bestandsdaten
- Anbieter-Compliance: Wir setzen ausschließlich Anbieter mit nachgewiesenen Sicherheitsstandards ein (Supabase und Resend sind SOC 2 Type II zertifiziert; Vercel unterhält ein dokumentiertes Information Security Program; Bunny.net und Hostinger unterliegen direkt der DSGVO)
10. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den oben angegebenen Stand. Durch die Weiterentwicklung unserer Website und Angebote darüber oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Version ist immer unter https://adfire-os.de/datenschutz abrufbar.