Datenschutzerklärung / Privacy Policy

1. Verantwortliche Stelle

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Johannes Kellenberger
Hans-Warschner-Straße 9
94034 Passau, Germany

2. Kontakt für Datenschutzanfragen

Ein gesetzlich verpflichtender Datenschutzbeauftragter ist derzeit nicht bestellt. Für alle Fragen zum Datenschutz und zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

E-Mail: info@digitalproduktpass.eu
Telefon: +49 160 94 75 52 84

3. Welche Daten wir erheben und verarbeiten

Je nach Nutzung verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

• Kontaktdaten aus B2B-Ansprache (Cold E-Mail): z. B. Name, geschäftliche E-Mail-Adresse, Unternehmen, Position, Telefonnummer sowie Inhalte Ihrer Antworten.
• Konto- und Registrierungsdaten: z. B. Benutzername, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Unternehmenszuordnung, Rollen und Berechtigungen innerhalb der Plattform.
• Lieferketten- und Plattforminhalte: von Nutzern eingegebene Daten zu Lieferanten, Produktionsstandorten, Materialien, Komponenten, Produkten, Transportwegen, CO₂-Angaben und weiteren Nachhaltigkeitsinformationen. Diese können auch personenbezogene Daten Dritter enthalten, sofern Nutzer diese eingeben.
• Technische Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und -version, Betriebssystem, Referrer-URL, aufgerufene Seiten sowie ggf. Geräteinformationen.
• Abrechnungs- und Vertragsdaten: bei kostenpflichtigen Tarifen z. B. Rechnungsinformationen und Zahlungsstatus (Zahlungsabwicklung über Stripe).

4. Zwecke der Datenverarbeitung

• Bereitstellung, Betrieb und Weiterentwicklung der Digital-Product-Passport-Plattform
• Registrierung, Authentifizierung und Verwaltung von Nutzerkonten und Unternehmenszugängen
• Erfüllung vertraglicher Pflichten gegenüber Plattformnutzern (B2B)
• Direkte geschäftliche Ansprache potenzieller B2B-Kunden (Cold E-Mail-Outreach)
• Kommunikation mit Interessenten, Kunden und Partnern
• Abrechnung, Zahlungsabwicklung und Vertragsmanagement
• Nutzung von KI-Funktionen zur Anreicherung von Lieferketten- und Produktdaten
• Berechnung von Transport- und Umweltkennzahlen (z. B. CO₂, Routing)
• Gewährleistung der IT-Sicherheit, Fehleranalyse und Missbrauchsprävention
• Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt auf Grundlage der DSGVO, insbesondere:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Einrichtung und Durchführung des Nutzungsvertrags der Plattform, zur Bereitstellung der vereinbarten Funktionen sowie zur Abrechnung.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): insbesondere für B2B-Cold-E-Mail-Ansprache, IT-Sicherheit, Protokollierung technischer Zugriffe, Plattformverbesserung sowie Abwehr von Missbrauch. Unser berechtigtes Interesse liegt in der gewerblichen Kundenakquise und dem sicheren Betrieb unseres Angebots. Betroffene können dieser Verarbeitung jederzeit widersprechen (siehe Abschnitt 8).
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): soweit wir eine ausdrückliche Einwilligung einholen (z. B. für optionale Cookies oder bestimmte Marketing-Kommunikation).
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): soweit gesetzliche Aufbewahrungs- oder Meldepflichten bestehen.

6. Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies erforderlich ist und eine Rechtsgrundlage besteht. Empfänger können insbesondere sein:

• Hosting- und Infrastruktur-Dienstleister (Server, Datenbanken, Backups) zur Bereitstellung der Plattform
• E-Mail-Dienstleister zum Versand transaktionaler und geschäftlicher E-Mails
• xAI (Grok API) zur Verarbeitung von Eingaben im Rahmen KI-gestützter Funktionen (z. B. Anreicherung von Lieferketteninformationen), sofern diese Funktionen genutzt werden
• Stripe Payments Europe Ltd. zur Abwicklung von Zahlungen und Abonnements
• Google LLC (Google Maps / Directions API), soweit Routing- oder Geokodierungsfunktionen genutzt werden
• OpenStreetMap / Drittanbieter-Kartenmaterial zur Darstellung von Karteninhalten in der Benutzeroberfläche

Mit Auftragsverarbeitern schließen wir – soweit erforderlich – Verträge gemäß Art. 28 DSGVO. Eine Übermittlung in Drittländer außerhalb der EU/des EWR erfolgt nur bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln).

7. Datenaufbewahrungsdauer

• Plattform- und Vertragsdaten: für die Dauer des Nutzungsverhältnisses und darüber hinaus gemäß gesetzlichen Aufbewahrungsfristen (in der Regel bis zu 10 Jahre für handels- und steuerrechtliche Unterlagen).
• B2B-Ansprache und Korrespondenz: bis zum Widerruf des Widerspruchs bzw. solange ein berechtigtes Interesse fortbesteht, längstens jedoch 3 Jahre nach dem letzten Kontakt, sofern keine längere Pflicht besteht.
• Server-Logdaten: in der Regel bis zu 90 Tage, sofern keine längere Aufbewahrung aus Sicherheitsgründen erforderlich ist.
• Session- und Authentifizierungsdaten: bis zur Abmeldung bzw. Ablauf der Session; Kontodaten bis zur Löschung des Kontos.

Nach Wegfall des jeweiligen Zwecks werden Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Ihre Rechte als betroffene Person

Sie haben gegenüber dem Verantwortlichen insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig kann insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder des Ortes des mutmaßlichen Verstoßes sein. Für Bayern:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Deutschland
www.lda.bayern.de

9. Cookies und Tracking

Wir verwenden technisch notwendige Cookies und vergleichbare Technologien, die für den Betrieb der Plattform erforderlich sind, insbesondere:

• Session-Cookie zur Aufrechterhaltung Ihrer Anmeldung
• CSRF-Token zum Schutz vor Cross-Site-Request-Forgery-Angriffen

Diese Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO gesetzt. Optionale Analyse- oder Marketing-Cookies setzen wir derzeit nicht ein. Sollte sich dies ändern, werden wir Sie vorab informieren und – soweit erforderlich – Ihre Einwilligung einholen.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtslage, Plattformfunktionen oder Verarbeitungsprozesse ändern. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.

1. Controller

The controller within the meaning of the General Data Protection Regulation (GDPR) and applicable national data protection laws is:

Johannes Kellenberger
Hans-Warschner-Straße 9
94034 Passau, Germany

2. Contact for privacy enquiries

A statutory data protection officer is not currently appointed. For all privacy-related questions and to exercise your rights, please contact:

Email: info@digitalproduktpass.eu
Phone: +49 160 94 75 52 84

3. Data we collect and process

Depending on how you interact with us, we process the following categories of personal data:

• Contact data from B2B outreach (cold email): e.g. name, business email address, company, job title, phone number, and the content of your replies.
• Account and registration data: e.g. username, email address, password (stored in encrypted form), company affiliation, roles and permissions within the platform.
• Supplier and supply chain data entered by users: information on suppliers, production sites, materials, components, products, transport routes, CO₂ figures and other sustainability data. This may include personal data relating to third parties where users enter such information.
• Technical data: IP address, date and time of access, browser type and version, operating system, referrer URL, pages visited, and device information where applicable.
• Billing and contract data: for paid plans, e.g. billing details and payment status (payment processing via Stripe).

4. Purposes of processing

• Providing, operating and improving the Digital Product Passport platform
• Registration, authentication and management of user accounts and company access
• Performance of contractual obligations towards platform users (B2B)
• Direct business outreach to prospective B2B customers (cold email)
• Communication with prospects, customers and partners
• Billing, payment processing and contract management
• Use of AI features to enrich supply chain and product data
• Calculation of transport and environmental metrics (e.g. CO₂, routing)
• IT security, error analysis and fraud prevention
• Compliance with statutory retention and record-keeping obligations

5. Legal bases for processing

Processing is based on the GDPR, in particular:

• Art. 6(1)(b) GDPR (contract performance): processing necessary to establish and perform the platform usage contract, provide agreed features and handle billing.
• Art. 6(1)(f) GDPR (legitimate interests): in particular for B2B cold email outreach, IT security, logging of technical access, platform improvement and abuse prevention. Our legitimate interests are commercial customer acquisition and secure operation of our services. Data subjects may object at any time (see section 8).
• Art. 6(1)(a) GDPR (consent): where we obtain explicit consent (e.g. optional cookies or certain marketing communications).
• Art. 6(1)(c) GDPR (legal obligation): where statutory retention or reporting duties apply.

6. Data sharing with third parties

Personal data is disclosed only where necessary and a legal basis exists. Recipients may include:

• Hosting and infrastructure providers (servers, databases, backups) for platform operation
• Email service providers for transactional and business correspondence
• xAI (Grok API) for processing inputs in AI-assisted features (e.g. supply chain enrichment) where such features are used
• Stripe Payments Europe Ltd. for payment and subscription processing
• Google LLC (Google Maps / Directions API) where routing or geocoding features are used
• OpenStreetMap / third-party map tile providers for map display in the UI

Where required, we conclude data processing agreements pursuant to Art. 28 GDPR with processors. Transfers to countries outside the EU/EEA occur only where the requirements of Art. 44 et seq. GDPR are met (e.g. standard contractual clauses).

7. Data retention periods

• Platform and contract data: for the duration of the usage relationship and thereafter in accordance with statutory retention periods (typically up to 10 years for commercial and tax records).
• B2B outreach and correspondence: until objection is raised or legitimate interest ceases, but no longer than 3 years after last contact unless a longer duty applies.
• Server log data: generally up to 90 days unless longer retention is required for security reasons.
• Session and authentication data: until logout or session expiry; account data until account deletion.

Once the respective purpose no longer applies, data is deleted or anonymised unless statutory retention obligations require otherwise.

8. Your rights as a data subject

You have the following rights vis-à-vis the controller:

• Right of access (Art. 15 GDPR)
• Right to rectification (Art. 16 GDPR)
• Right to erasure (Art. 17 GDPR)
• Right to restriction of processing (Art. 18 GDPR)
• Right to data portability (Art. 20 GDPR)
• Right to object to processing based on Art. 6(1)(f) GDPR (Art. 21 GDPR)
• Right to withdraw consent with future effect (Art. 7(3) GDPR)

You also have the right to lodge a complaint with a supervisory authority, in particular in the member state of your habitual residence or place of the alleged infringement. For Bavaria, Germany:

Bavarian State Office for Data Protection Supervision (BayLDA)
Promenade 18, 91522 Ansbach, Germany
www.lda.bayern.de

9. Cookies and tracking

We use technically necessary cookies and similar technologies required to operate the platform, in particular:

• Session cookie to maintain your login session
• CSRF token to protect against cross-site request forgery

These cookies are set on the basis of Art. 6(1)(f) GDPR and/or Art. 6(1)(b) GDPR. We do not currently use optional analytics or marketing cookies. Should this change, we will inform you in advance and obtain consent where required.

10. Changes to this Privacy Policy

We may update this Privacy Policy when legal requirements, platform features or processing activities change. The current version is always available on this page.