Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

• SSIG-IT GmbH, Zum weißen Jura 3, 89143 Blaubeuren
• Geschäftsführer: Philipp König
• E-Mail: info@galynski.com
• Telefon: +49 7335 163310

2. Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten ist nach § 38 BDSG derzeit nicht gesetzlich erforderlich. Bei Datenschutzanfragen wenden Sie sich bitte an info@galynski.com.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Bereitstellung der Plattform, Benutzerkonto, Synchronisation, Support
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: IT-Sicherheit, Missbrauchsprävention, Fehleranalyse, Audit-Logging
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: nicht-essenzielle Cookies (Statistik, Marketing)
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: steuer- und handelsrechtliche Aufbewahrungspflichten

4. Datenkategorien und Zwecke

Wir verarbeiten ausschließlich Daten, die für Bereitstellung, Sicherheit und Abrechnung erforderlich sind.

• Registrierungsdaten: Name, E-Mail-Adresse, Firmenname — für Kontoverwaltung und Authentifizierung
• Microsoft-365-Daten: Tenant-ID, OAuth-Token, Admin-Consent-Status — für die Anbindung an Microsoft Graph
• Synchronisationsdaten: GAL-Kontakte, Benutzerverzeichnis — für die Kontaktsynchronisation
• Nutzungsprotokolle: Sync-Verläufe, Audit-Log, Fehlermeldungen — für Betrieb, Fehleranalyse und Compliance
• Abrechnungsdaten: Stripe-Kunden-ID, Abonnement-Status — für Zahlungsabwicklung (Zahlungsdaten verbleiben bei Stripe)
• Technische Daten: IP-Adresse, User-Agent, Zeitstempel — für Sicherheit und Missbrauchsprävention

5. Empfänger und Auftragsverarbeiter

Zur Erbringung unserer Leistungen setzen wir folgende Dienstleister ein. Einige Anbieter sind US-Konzerne, betreiben die Datenverarbeitung für uns jedoch in der EU. Soweit ein tatsächlicher Drittlandtransfer (USA) stattfindet, erfolgt dieser auf Grundlage des EU-US Data Privacy Framework (DPF) und/oder Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

• Vercel (Vercel Inc.) — Hosting und Auslieferung der Webanwendung. Serverstandort: fra1 (Frankfurt, Deutschland). Mutterkonzern USA, Absicherung: DPF, SCCs
• Supabase Inc. — Datenbank und Authentifizierung. Serverstandort: eu-central-1 (Frankfurt, Deutschland)
• Stripe Inc. (Irland/USA) — Zahlungsabwicklung und Abonnementverwaltung. Absicherung: DPF, SCCs
• Resend (Resend Inc.) — Versand transaktionaler E-Mails (Sync-Reports, Fehlerbenachrichtigungen). Serverstandort: EU (Dublin, Irland). Mutterkonzern USA, Absicherung: DPF, SCCs
• Sentry (Sentry Inc.) — Fehlererfassung und Performance-Monitoring. Serverstandort: EU (Frankfurt). Mutterkonzern USA, Absicherung: DPF, SCCs
• Cloudflare Inc. (USA) — Bot-Schutz via Turnstile bei Registrierung. Absicherung: DPF, SCCs
• Microsoft Corporation — Zugriff auf die Graph API erfolgt im Auftrag des Kunden unter dessen Microsoft-365-Vertrag

6. Speicherfristen

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist. Technische Aufbewahrungsfristen werden automatisch durch einen wöchentlichen Bereinigungsjob durchgesetzt.

• Detaillierte Sync-Protokolle pro Benutzer: 90 Tage
• Sync-Verlaufseinträge: 365 Tage
• Audit-Protokolle: 365 Tage
• Stripe-Webhook-Ereignisse: 90 Tage
• Kontodaten: bis zur Löschung des Kontos oder auf Anfrage
• Abrechnungsdaten: gemäß steuer- und handelsrechtlichen Aufbewahrungsfristen (i. d. R. 10 Jahre)

7. Cookies und lokale Speicherung

GALYNSKI verwendet ausschließlich technisch notwendige Cookies für den regulären Betrieb. Nicht-essenzielle Cookies werden erst nach ausdrücklicher Einwilligung über den Consent-Banner gesetzt.

• Session-/Auth-Cookie: für die Authentifizierung (Supabase Auth)
• Spracheinstellung: für die gewählte Anzeigesprache (DE/EN)
• Consent-Präferenz: für die Speicherung Ihrer Cookie-Einwilligung

8. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte. Anfragen richten Sie bitte an info@galynski.com.

• Art. 15 — Auskunft: Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen
• Art. 16 — Berichtigung: Sie können die Berichtigung unrichtiger Daten verlangen
• Art. 17 — Löschung: Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen
• Art. 18 — Einschränkung: Sie können die Einschränkung der Verarbeitung verlangen
• Art. 20 — Datenübertragbarkeit: Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten
• Art. 21 — Widerspruch: Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

• Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
• Lautenschlagerstraße 20, 70173 Stuttgart
• https://www.baden-wuerttemberg.datenschutz.de

10. Technische und organisatorische Maßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

• Verschlüsselte Datenübertragung (TLS/HTTPS) für alle Verbindungen
• Row Level Security (RLS) auf Datenbankebene für mandantengetrennte Zugriffskontrolle
• Rate Limiting und Bot-Schutz (Cloudflare Turnstile) gegen Missbrauch
• Content Security Policy (CSP) und Security Headers zum Schutz vor XSS und Injection
• Audit-Logging aller sicherheitsrelevanten Aktionen
• Zod-basierte Eingabevalidierung auf allen API-Endpunkten

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets unter galynski.com/datenschutz abrufbar.