Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
W+W Consulting GmbH, Pforzheimer Str. 75, 76275 Ettlingen, Deutschland.
Kontakt in Datenschutzangelegenheiten: info@ww-cs.de

2. Welche Daten wir verarbeiten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Bestands- und Kontaktdaten: Name, geschäftliche E-Mail-Adresse, Unternehmenszugehörigkeit, ggf. Umsatzsteuer-Identifikationsnummer.
• Inhaltsdaten: die von Ihnen eingegebenen Projekt- und Anforderungsdaten, Prozesse und sonstige im Dienst erfassten Inhalte.
• Nutzungs- und Metadaten: Login-Zeitpunkte, Aktivitäts- und Audit-Logs sowie die IP-Adresse zu Sicherheits- und Missbrauchsabwehrzwecken (z. B. Rate-Limiting).

Alle Daten werden ausschließlich in Rechenzentren innerhalb der Europäischen Union gespeichert.

3. Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung des Anforderungsmanagement-Dienstes, zur KI-gestützten Klassifikation und Qualifizierung von Anforderungen, zur Authentifizierung und Zugriffskontrolle, zum Audit-Logging, zum Versand transaktionaler E-Mails (z. B. Verifizierung, Passwort-Zurücksetzung, Einladungen) sowie zur Vertrags- und Rechnungsabwicklung.

4. Rechtsgrundlagen

Rechtsgrundlage der Verarbeitung ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Für Sicherheits-Logging, Missbrauchsabwehr und Fehler-Monitoring stützen wir uns auf unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. für Rechnungsdaten), erfolgt die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

5. Hosting

Der Anwendungsserver wird betrieben bei der Hostinger International Ltd., Kaunas, Litauen. Der Server-Standort liegt innerhalb der Europäischen Union. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

6. KI-Verarbeitung

Zur Analyse von Anforderungstexten werden Inhalte an Azure OpenAI (Microsoft) übermittelt und ausschließlich in EU-Rechenzentren (Frankfurt/Amsterdam) verarbeitet. Es findet kein Transfer in die USA statt. Microsoft verwendet die übermittelten Daten nicht für eigene Trainingszwecke.

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin, Irland. Dabei werden die für die Zahlung erforderlichen Daten (u. a. Name, E-Mail, Rechnungsanschrift, USt-ID sowie Zahlungs- und Abonnementdaten) an Stripe übermittelt. Stripe verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung; es gilt ergänzend die Datenschutzerklärung von Stripe. Eine etwaige Übermittlung an die Stripe, Inc. (USA) erfolgt auf Grundlage geeigneter Garantien (EU-Standardvertragsklauseln bzw. EU-US Data Privacy Framework).

8. Auftragsverarbeiter (Sub-Prozessoren)

Wir setzen die folgenden Dienstleister ein. Mit allen bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO:

• Hostinger International Ltd. — Hosting des Anwendungsservers, Server-Standort Litauen (EU).
• Neon (Databricks Inc.) — PostgreSQL-Datenbank-Hosting, Region Frankfurt (eu-central-1). Speichert die Anwendungsdaten.
• Microsoft Azure OpenAI — KI-Verarbeitung von Anforderungstexten, EU-Rechenzentren Frankfurt/Amsterdam. Kein US-Transfer, keine Verwendung für Modell-Training.
• Stripe Payments Europe Ltd. — Zahlungsabwicklung und Abonnement-Verwaltung, EU-Sitz Dublin (nur bei kostenpflichtigen Abonnements).
• Resend (Dresscode Inc.) — Versand transaktionaler E-Mails (Verifizierung, Passwort-Reset, Einladungen), EU-Region.
• Sentry (Functional Software, Inc.) — Fehler- und Performance-Monitoring, EU-Region. PII-Scrubbing für Passwörter und Tokens ist aktiv.
• Microsoft Azure Computer Vision (OCR) — Texterkennung in hochgeladenen Dokumenten (z. B. PDFs, die personenbezogene Daten enthalten können); Verarbeitung in Microsoft-Azure-Rechenzentren der EU-Region.
• Microsoft Azure AD / Entra ID — Single-Sign-On-Authentifizierung (sofern vom Kunden aktiviert); übermittelt werden Identitäts- und E-Mail-Daten an Microsoft (Microsoft Ireland Operations Ltd.).

Eine vollständige, aktuelle Liste der Sub-Prozessoren stellen wir auf Anfrage per E-Mail an info@ww-cs.de bereit.

9. Cookies

Wir verwenden ausschließlich ein technisch notwendiges Session-Cookie zur Authentifizierung angemeldeter Nutzer. Dieses Cookie ist für den Betrieb des Dienstes unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); eine Einwilligung ist hierfür nicht erforderlich. Es werden keine Tracking-, Analyse- oder Marketing-Cookies und keine Drittanbieter-Analysetools eingesetzt.

10. Aufbewahrungsfristen

Personenbezogene Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung des Vertrags werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Rechnungs- und buchhaltungsrelevante Daten werden gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen (6 bzw. 10 Jahre, §§ 257 HGB, 147 AO) aufbewahrt und anschließend gelöscht. Audit- und Sicherheits-Logs werden nur für einen begrenzten Zeitraum vorgehalten.

11. Auftragsverarbeitung für Kundendaten

Soweit Sie als Kunde personenbezogene Daten Dritter (z. B. Ihrer Mitarbeitenden oder Ihrer Endkunden) in den Dienst einstellen, verarbeiten wir diese ausschließlich weisungsgebunden in Ihrem Auftrag als Auftragsverarbeiter gemäß Art. 28 DSGVO. Sie bleiben hinsichtlich dieser Daten Verantwortlicher. Einen entsprechenden Auftragsverarbeitungsvertrag (AVV) stellen wir Ihnen mit Vertragsschluss bzw. auf Anfrage zur Verfügung.

12. Ihre Rechte

Sie haben im Rahmen der gesetzlichen Vorgaben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie das Recht auf Widerspruch (Art. 21 DSGVO). Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Zur Ausübung Ihrer Rechte nutzen Sie die Funktionen in Ihrem Nutzerkonto oder kontaktieren Sie uns unter info@ww-cs.de.

13. Datensicherheit

Wir schützen Ihre Daten durch dem Stand der Technik entsprechende Maßnahmen: Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), strikte mandantenbezogene Datentrennung auf Datenbankebene (Row-Level Security), rollenbasierte Zugriffskontrolle (RBAC) sowie ein lückenloses Audit-Log.