Datenschutzerklärung

Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO:
nous ventures GmbH
Im Horben 38
71560 Sulzbach an der Murr
Germany
E-Mail: kontakt@afterbon.de

Datenschutzbeauftragter (falls benannt/pflichtig):
nous ventures GmbH

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

1) Bereitstellung der Plattform und ihrer Funktionen (Login, Rollen/Zugriffe, Portalfunktionen, technische Administration)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragliche Maßnahmen), ergänzend Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Missbrauchsverhinderung)

2) Technisch notwendige Ereignisverarbeitung bei Scan-/Funnel-Nutzung (z. B. SCAN/VIEW/OUT zur Auslieferung und Messung der Funktionskette, Sicherheits- und Bot-Erkennung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb, Sicherheit, Missbrauchsprävention, Fehleranalyse), ggf. Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Erbringung angeforderter Funktionen erforderlich ist

3) Kommunikation und Support (Anfragen, Vertragskommunikation)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO

4) E-Mail-Opt-in für Endkunden (Double-Opt-in) (sofern angeboten und von Ihnen gewählt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Widerruf jederzeit möglich (siehe Ziffer 10)

5) Nachweis- und Sicherheitszwecke (Audit-Log)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Nachvollziehbarkeit, Integrität, IT-Sicherheit); ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten), sofern einschlägig

3.1 Scan-/Eventdaten (Tracking/Ereignisse)
Bei der Nutzung des Customer-Frontends bzw. Scan-Funktionen können folgende Daten verarbeitet werden:

• IP-Adresse: Es wird keine Klartext-IP gespeichert. Stattdessen wird nur ein Hash (SHA-256) als ip_hash verarbeitet/gespeichert.
• User-Agent: Speicherung in events.user_agent (gekürzt) und automatische Löschung nach 30 Tagen (Setzen auf NULL durch Hintergrundprozess).
• Scan-Token: UUID events.scan_token (technisch erforderlich zur Zuordnung innerhalb des Funnels)
• Bot-Kennzeichnung: events.is_bot (Sicherheits-/Qualitätszwecke, keine personenbezogene Einzelauswertung beabsichtigt)
• Zeitpunkt: events.created_at (Zeitstempel)

Zwecke: technische Bereitstellung, Stabilität, Fehleranalyse, Missbrauchs- und Bot-Erkennung, statistische Auswertung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.2 Admin-/Advertiser-/Retailer-Konten (Portalnutzer)
Für Portalzugänge verarbeiten wir typischerweise: E-Mail-Adresse (users_admin.email), Passwort ausschließlich als Hash (Argon2) (users_admin.password_hash) – keine Klartextspeicherung, Rolle und Zugehörigkeiten (z. B. users_admin.role, retailer_id, advertiser_id) zur Zugriffsteuerung, Passwort-Reset-Daten (z. B. password_reset_token, password_reset_expires_at).
Zwecke: Authentifizierung, Berechtigungsverwaltung, Betrieb des Portals, Support, Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzend Art. 6 Abs. 1 lit. f DSGVO.

3.3 Endkunden (nur bei Opt-in)
Sofern im Customer-Frontend eine freiwillige Registrierung/Einwilligung vorgesehen ist: E-Mail-Adresse (users_customer.email) nur nach Einwilligung (Double-Opt-in), Opt-in-Status und Tokens (double_opt_in, opt_in_token, opt_in_expires_at) zur Nachweisführung und Abwicklung.
Zwecke: Versand der von Ihnen gewünschten Informationen/Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

3.4 Audit-Log, System- und Sicherheitsdaten
Audit-Log (Änderungsprotokolle: wer/wann/was), zur Nachvollziehbarkeit und Sicherheit; keine Klartext-Passwörter. Redis/Cache (z. B. Kampagnen-Cache, Rate-Limits): kurzlebige technische Speicherung. Logs: keine Speicherung von IP/PII in Anwendungslogs nach derzeitiger technischer Vorgabe (technische Kennungen/Hashes).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Stabilität).

Wir setzen technisch notwendige Cookies ein, insbesondere für:
• Session-/Login-Funktionen (Portal)
• Sicherheit (z. B. Schutz vor Missbrauch)

Optionale Cookies/Technologien (z. B. Komfort-/Analysefunktionen) werden – sofern eingesetzt – nur nach Einwilligung verwendet.

Rechtsgrundlagen:
• Notwendig: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit) bzw. Art. 6 Abs. 1 lit. b DSGVO
• Optional: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Personenbezogene Daten können – soweit erforderlich – übermittelt werden an:

• Hosting-/Infrastruktur-Dienstleister (Serverbetrieb, Datenbankbetrieb)
• E-Mail-Dienstleister (nur falls E-Mail-Kommunikation/Opt-in-Versand genutzt wird)
• IT-/Support-Dienstleister (Wartung, Fehlerbehebung)
• Interne Empfänger (Mitarbeitende/Beauftragte) nach Rollen- und Berechtigungskonzept

Sofern Dienstleister als Auftragsverarbeiter tätig sind, erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

Sofern Dienstleister außerhalb der EU/des EWR eingesetzt werden oder ein Zugriff aus Drittländern nicht ausgeschlossen werden kann, erfolgt eine Übermittlung nur bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss oder EU-Standardvertragsklauseln sowie ggf. zusätzliche Schutzmaßnahmen).

Hinweis: Konkrete Anbieter, Länder und Garantien sollten hier nach tatsächlichem Setup ergänzt werden.

Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Konkret (derzeitiger technischer Stand):
• User-Agent in Events: automatische Löschung nach 30 Tagen (Setzen auf NULL).
• Scan-/Eventdaten (übrige Felder): nach internem Löschkonzept bzw. solange erforderlich für Betrieb/Sicherheit/Nachweise
• Portalnutzer-Konten: für die Dauer der Vertragsbeziehung bzw. bis zur Kontolöschung; anschließend Löschung/Anonymisierung, soweit keine Pflichten entgegenstehen
• Opt-in-Daten: bis Widerruf der Einwilligung bzw. solange der Versand erfolgt; Nachweise über Einwilligungen können länger gespeichert werden, soweit erforderlich, um den Nachweis zu führen (Art. 6 Abs. 1 lit. f DSGVO)

• Für die Portalnutzung sind bestimmte Daten (insb. Login-E-Mail und Authentifizierungsdaten) erforderlich; ohne diese ist eine Nutzung nicht möglich.
• Für Opt-in-Funktionen ist die Angabe der E-Mail freiwillig; ohne Einwilligung/Angabe erfolgt kein Opt-in-Versand.

Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO findet nicht statt. Eine technische Bot-Klassifizierung (is_bot) dient Sicherheits- und Qualitätszwecken und ist nicht auf eine rechtliche Wirkung oder vergleichbar erhebliche Beeinträchtigung ausgerichtet.

Sie haben nach Maßgabe der DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Widerruf von Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte kontaktieren Sie bitte: kontakt@afterbon.de

Beschwerderecht: Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Wir treffen angemessene technische und organisatorische Maßnahmen zur Sicherung Ihrer Daten (z. B. rollenbasierte Zugriffskontrolle, Protokollierung sicherheitsrelevanter Änderungen, sichere Passwortspeicherung mittels Argon2, Schutz vor Missbrauch/Rate-Limiting).

Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienste oder Datenverarbeitungen ändern. Die jeweils aktuelle Version wird innerhalb der Plattform bereitgestellt.