Datenschutzerklärung — Plattform

Verantwortlicher im Sinne der DSGVO für die Plattform „Recom FUEL" ist:

Adrian Astheimer, Hauptstr 19, 23948 Damshagen

E-Mail: info@recomfuel.com

Diese Datenschutzerklärung bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten der Workspace-Inhaber (Kunden der Plattform). Für die Verarbeitung der Endkunden-Daten innerhalb eines Workspaces ist der jeweilige Workspace-Inhaber eigenständig Verantwortlicher.

(1) Wir verarbeiten die bei Registrierung und Nutzung der Plattform anfallenden Account-Daten (Name, E-Mail, Passwort-Hash, Workspace-Zuordnung) zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

(2) Bei Aufruf der Plattform fallen technische Zugriffsdaten an (IP-Adresse, User-Agent, Zeitstempel), die zur Sicherstellung des Betriebs und Abwehr von Missbrauch auf Basis unseres berechtigten Interesses verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO).

(3) Zur Abrechnung verarbeiten wir Rechnungs- und Steuerdaten auf Basis gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO, §§ 147 AO, 257 HGB).

Zum Betrieb der Plattform nutzen wir folgende Auftragsverarbeiter:

• Hetzner Online GmbH (Falkenstein, Deutschland) — Server-Infrastruktur, Container-Hosting

• Neon Inc. (Managed PostgreSQL, EU-Frankfurt) — Datenbank-Betrieb

• Cloudflare Inc. — DNS-Auflösung; es findet keine Proxy-/CDN-Verarbeitung von Nutzdaten statt

• Resend Inc. (EU-Region) — Versand und Empfang transaktionaler E-Mails sowie Käufer-Support-Nachrichten

• Anthropic PBC (USA) — KI-gestützte Verarbeitung von Marktplatz-Käufer-Nachrichten, ausschließlich für Workspace-Inhaber die das Feature „KI-Support" in ihren Einstellungen aktiviert haben (siehe Abschnitt 4). Drittland-Transfer abgesichert durch EU-Standardvertragsklauseln (SCC) und das EU-U.S. Data Privacy Framework. Anthropic-API-Schlüssel werden pro Workspace separat hinterlegt (BYOK); der Vertrag mit Anthropic liegt formal beim Workspace-Inhaber.

Mit allen EU-ansässigen Auftragsverarbeitern bestehen AV-Verträge gemäß Art. 28 DSGVO. Für Anthropic gilt die Sub-Auftragsverarbeitungs-Kette wie in Abschnitt 4 beschrieben.

Soweit wir im Rahmen der Plattform personenbezogene Daten der Endkunden eines Workspace-Inhabers verarbeiten (z.B. Ankauf-Anfragen, Zahlungsdaten), tun wir dies ausschließlich weisungsgebunden als Auftragsverarbeiter nach Art. 28 DSGVO. Hierfür besteht ein separater AVV zwischen uns und dem Workspace-Inhaber.

Sub-Auftragsverarbeitung „KI-Support" (Marktplatz-Käufer-Nachrichten): Workspace-Inhaber können in den Einstellungen das optionale Feature „KI-Support" aktivieren. Ist es aktiv, werden eingehende Käufer-Nachrichten aus den Marktplätzen (Amazon, eBay, Kaufland) zusammen mit einem System-Prompt an Anthropic PBC (USA) übermittelt, um einen Antwort-Entwurf zu generieren. Standardmäßig ist das Feature deaktiviert; ohne Aktivierung findet kein Datentransfer an Anthropic statt. Der Workspace-Inhaber ist verpflichtet, die eigenen Käufer (= Datensubjekte der Marktplatz-Käufer) entsprechend zu informieren, bevor er das Feature einschaltet. Eine ausführliche Beschreibung der Datenflüsse, gespeicherten Felder und Sicherheits-Kontrollen findet sich im internen Sicherheits-Snapshot (docs/security/README.md im Repository).

Drittland-Transfer-Mechanismus: Anthropic PBC ist im EU-U.S. Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914. Übermittelt werden ausschließlich der Käufer-Nachrichten-Text plus relevanter Bestell-Kontext; keine Zahlungsdaten, keine IBAN, keine vollständigen Lieferadressen.

Account- und Vertragsdaten werden für die Dauer des Vertrages und darüber hinaus entsprechend den gesetzlichen Aufbewahrungsfristen gespeichert (bis zu 10 Jahre nach § 147 AO für abrechnungsrelevante Unterlagen).

Technische Zugriffsdaten (Logs) werden nach 90 Tagen anonymisiert oder gelöscht.

Als betroffene Person hast du folgende Rechte nach der DSGVO:

• Auskunft (Art. 15 DSGVO)

• Berichtigung (Art. 16 DSGVO)

• Löschung (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen

• Einschränkung der Verarbeitung (Art. 18 DSGVO)

• Datenübertragbarkeit (Art. 20 DSGVO)

• Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses (Art. 21 DSGVO)

• Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde

Zur Ausübung genügt eine formlose E-Mail an info@recomfuel.com.

Die Datenübertragung erfolgt TLS-verschlüsselt. Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Der Zugriff auf administrative Funktionen ist durch Rollen-basierte Berechtigungen geschützt.