Gefahrstoff-QR

Datenschutzerklärung

Gemäß Art. 13, 14 DSGVO · Stand: April 2026

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Gefahrstoff-QR UG (haftungsbeschränkt)
Musterstraße 1
60311 Frankfurt am Main
Deutschland
E-Mail (Datenschutz): datenschutz@gefahrstoff-qr.de
Telefon: +49 69 000000

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach derzeitigem Stand nicht (Art. 37 DSGVO). Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte an oben genannte E-Mail-Adresse.

2. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung zur Erbringung der vertraglich geschuldeten SaaS-Leistung.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungsdaten (§ 147 AO, § 257 HGB).
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: IT-Sicherheit, Missbrauchsprävention und technischer Betrieb der Plattform.

3. Erhobene Daten und Verarbeitungszwecke

3.1 Registrierung und Kontoverwaltung

Bei der Registrierung erheben wir: E-Mail-Adresse, Firmenname, optionaler Name der registrierenden Person. Diese Daten werden gespeichert, um das Benutzerkonto zu verwalten, die vertraglich vereinbarten Leistungen zu erbringen und den Support zu ermöglichen.

3.2 Gefahrstoffdaten (Betriebsdaten)

Alle im System erfassten Gefahrstoffeinträge (Name, Hersteller, GHS-Einstufung, SDB-URLs, Betriebsanweisungen, Lagerorte) sind betriebliche Daten des Kunden. Diese enthalten in der Regel keine personenbezogenen Daten natürlicher Personen. Der Anbieter verarbeitet diese Daten ausschließlich weisungsgebunden als Auftragsverarbeiter gemäß Art. 28 DSGVO (vgl. Ziffer 4).

3.3 Serverprotokolle (technisch)

Bei jedem Zugriffsvorgang werden technische Daten protokolliert (IP-Adresse, Browsertyp, aufgerufene URL, Zeitstempel, HTTP-Statuscode). Diese Daten werden zur Sicherstellung des Betriebs und zur Missbrauchsprävention verarbeitet und nach 30 Tage automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.4 Authentifizierungs-Cookies

Nach der Anmeldung wird ein technisch notwendiges Session-Cookie gesetzt, das die authentifizierte Sitzung aufrechthält. Dieses Cookie ist kein Tracking-Cookie und enthält keine personenbezogenen Inhalte außer einem verschlüsselten Session-Bezeichner. Es wird beim Abmelden oder nach Ablauf der Sitzungsdauer gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Es werden keine Tracking-Cookies, keine Analyse-Cookies und kein Web-Analytics (Google Analytics o.ä.) eingesetzt.

4. Auftragsverarbeiter (Art. 28 DSGVO)

Zur Erbringung der Leistungen setzt der Anbieter folgende Subunternehmer als Auftragsverarbeiter ein. Mit jedem Auftragsverarbeiter wurde ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen.
Alle Daten werden ausschließlich in der Europäischen Union (EU) verarbeitet und gespeichert.

Vercel Inc.

440 N Barranca Ave #4133, Covina, CA 91723, USA

Datenbankstandort
EU (Frankfurt, Deutschland)
Zweck
Hosting der Web-Applikation und Ausführung serverseitiger Logik (Edge/Serverless Functions)

AVV / DPA ansehen →

Supabase Inc.

970 Toa Payoh North #07-04, Singapur 318992

Datenbankstandort
AWS eu-central-1 (Frankfurt, Deutschland)
Zweck
Betrieb der PostgreSQL-Datenbank, Authentifizierung und Speicherung aller Anwendungsdaten

AVV / DPA ansehen →

5. Datenspeicherung in der EU

Alle personenbezogenen Daten und Betriebsdaten werden ausschließlich auf Servern in der Europäischen Union gespeichert und verarbeitet. Der konkrete Datenbankstandort ist AWS eu-central-1 (Frankfurt, Deutschland). Das Hosting der Webanwendung erfolgt in EU (Frankfurt, Deutschland). Eine Übermittlung in Drittländer außerhalb des EWR findet nicht statt.

6. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen:

  • Kontodaten: Beim Löschen des Kundenkontos. Nach Vertragsende werden Daten für 30 Tage (Backup-Aufbewahrungsfrist) in Backups vorgehalten, danach unwiederbringlich gelöscht.
  • Rechnungs- und Vertragsdaten: 10 Jahre gemäß § 147 AO, § 257 HGB.
  • Audit-Logs / Revisionsdaten: 10 Jahre (gesetzliche Nachweispflichten nach GefStoffV).
  • Server-Zugriffsprotokolle: 30 Tage (automatische Löschung).

7. Datensicherheit

Der Anbieter trifft geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der verarbeiteten Daten:

  • Verschlüsselter Transport über TLS/HTTPS
  • Datenbankzugriff ausschließlich über Row Level Security (RLS) in Supabase — jeder Mandant sieht ausschließlich seine eigenen Daten
  • Authentifizierung über Supabase Auth mit JWT-basierten Session-Tokens
  • Keine Service-Role-Schlüssel im Frontend-Bundle
  • Regelmäßige automatisierte Backups (Supabase Point-in-Time-Recovery)
  • Vertraglich gesicherte AVV mit allen Auftragsverarbeitern

8. Rechte der betroffenen Personen

Betroffene Personen haben gegenüber dem Anbieter folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über gespeicherte Daten.
  • Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Löschung unter den gesetzlichen Voraussetzungen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO): Herausgabe der Daten in maschinenlesbarem Format.
  • Widerspruchsrecht (Art. 21 DSGVO): Bei Verarbeitungen auf Basis berechtigter Interessen.

Anfragen richten Sie bitte an: datenschutz@gefahrstoff-qr.de

9. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe steht jeder betroffenen Person das Recht zu, Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzulegen. Die für den Anbieter zuständige Behörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
datenschutz.hessen.de