Datenschutzerklärung

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder die Plattform SiFa Flow nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie den nachfolgenden Abschnitten.

Verantwortlicher für die Datenverarbeitung ist die Firma Daniel Bauer (Kontakt siehe Abschnitt 02). Die Datenverarbeitung erfolgt auf Basis der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Rolle der Firma Daniel Bauer: Für die in dieser Erklärung beschriebenen eigenen Verarbeitungsvorgänge (Website-Besuch, Registrierung, Vertragsabwicklung) sind wir Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Für Daten, die unsere Kunden (Unternehmen) im Rahmen ihrer Nutzung der Plattform über ihre Mitarbeiter verarbeiten, handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO (siehe Abschnitt 19).

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze:

Firma Daniel Bauer
Inhaber: Daniel Bauer
Eschenstraße 11
84061 Ergoldsbach
Deutschland

Telefon: +49 162 6949374
E-Mail: kontakt@sifaflow.de

Für datenschutzrechtliche Anfragen, Auskunftsersuchen oder die Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte ebenfalls an die oben genannten Kontaktdaten.

Aufgrund der Unternehmensgröße (Einzelunternehmen, keine regelmäßige Beschäftigung von mehr als 20 Personen mit automatisierter Datenverarbeitung) besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten gemäß § 38 BDSG. Anfragen zum Datenschutz richten Sie bitte direkt an den unter Abschnitt 02 genannten Verantwortlichen.

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVOEinwilligung: z. B. Newsletter (aktuell nicht im Einsatz)
• Art. 6 Abs. 1 lit. b DSGVOVertragserfüllung: Registrierung, Account-Verwaltung, Abonnement-Abwicklung
• Art. 6 Abs. 1 lit. c DSGVORechtliche Verpflichtung: Buchhaltung, steuerliche Aufbewahrung (§ 147 AO, § 257 HGB)
• Art. 6 Abs. 1 lit. f DSGVOBerechtigtes Interesse: IT-Sicherheit, Missbrauchsprävention, Server-Logs
• Art. 9 Abs. 2 lit. b DSGVOArbeits- und Sozialrecht: Gesundheitsdaten im Verbandbuch, Mutterschutz (siehe Abschnitt 18)
• Art. 9 Abs. 2 lit. h DSGVOArbeitsmedizin: Arbeitsmedizinische Vorsorge
• Art. 28 DSGVOAuftragsverarbeitung: Verarbeitung von Mitarbeiterdaten im Auftrag unserer Kunden
• Art. 46 DSGVOStandardvertragsklauseln: Übertragung in Drittländer (USA)

Wir hosten unsere Website und Plattform bei folgenden Dienstleistern. Mit allen wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Supabase (Datenbank, Authentifizierung, Datei-Speicher)

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Die Datenverarbeitung erfolgt ausschließlich in der AWS-Region eu-central-1 (Frankfurt am Main, Deutschland). Betroffen sind alle Nutzerdaten einschließlich Authentifizierungsdaten, Anwendungsdaten und hochgeladene Dateien (Sicherheitsdatenblätter, Zertifikate).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, performanten Infrastruktur). Details: supabase.com/privacy.

Vercel (Frontend-Auslieferung, CDN)

Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel stellt die öffentliche Website sowie statische Assets bereit. Bei Ihrem Website-Besuch werden technische Daten (IP-Adresse, Browser, Zeitstempel) an Vercel übermittelt.

Da Vercel seinen Sitz in den USA hat, erfolgt eine Datenübertragung in ein Drittland. Die Übertragung ist durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Bereitstellung). Details: vercel.com/legal/privacy-policy.

In den in dieser Erklärung beschriebenen Fällen findet eine Verarbeitung personenbezogener Daten in den USA statt (Vercel, Google LLC, Resend Inc.). Für die USA besteht aktuell kein Angemessenheitsbeschluss der EU-Kommission im Sinne von Art. 45 DSGVO, jedoch hat die EU-Kommission das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023) in Kraft gesetzt.

Mit Anbietern, die unter dem Data Privacy Framework zertifiziert sind, stützt sich die Übertragung auf den Angemessenheitsbeschluss. Mit nicht zertifizierten Anbietern schließen wir EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914/EU der EU-Kommission) gemäß Art. 46 Abs. 2 lit. c DSGVO und führen — sofern erforderlich — ergänzende Schutzmaßnahmen durch (z. B. Verschlüsselung, Pseudonymisierung).

Inhaltsdaten der Plattform (Gefahrstoffdaten, Mitarbeiterdaten, Verbandbuch, Gesundheitsdaten) werden ausschließlich innerhalb der EU (Frankfurt am Main) gespeichert. Eine Übermittlung in Drittländer findet im Produktivbetrieb der Plattform nicht statt (Ausnahme: KI-Analyse hochgeladener SDB-PDFs, siehe Abschnitt 13).

Beim Besuch unserer Website erhebt der Hosting-Provider automatisch Informationen, die Ihr Browser übermittelt, in sogenannten Server-Log-Dateien:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• Uhrzeit und Datum der Serveranfrage
• IP-Adresse (gekürzt)
• HTTP-Statuscode und übertragene Datenmenge

Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung der Website). Die Speicherdauer beträgt maximal 30 Tage. Danach werden die Daten automatisiert gelöscht, sofern keine konkreten Anhaltspunkte für eine missbräuchliche Nutzung vorliegen.

Unsere Website und Plattform verwenden Cookies sowie den Browser-Local-Storage. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

Wir setzen ausschließlich unbedingt erforderliche Cookies und Speichermechanismen ein, die für den technischen Betrieb der Plattform notwendig sind (§ 25 Abs. 2 Nr. 2 TDDDG). Eine Einwilligung ist hierfür nicht erforderlich. Konkret setzen wir folgende Kategorien ein:

• Authentifizierungs-Cookies: Aufrechterhaltung der Login-Sitzung (Supabase Auth, session-Dauer max. 30 Tage)
• CSRF-Token: Schutz vor Cross-Site-Request-Forgery bei Formular-Übermittlungen
• Theme-Präferenz: Speicherung Ihrer Auswahl zwischen Light- und Dark-Mode (localStorage)
• UI-Zustand: Zuletzt ausgewählter Mandant, Sidebar-Zustand, geöffnete Abteilungen (localStorage)

Wir setzen keine Cookies oder Speichermechanismen zu Analyse-, Tracking-, Marketing- oder Werbezwecken ein. Es werden keine Daten an Dritte zu diesen Zwecken weitergegeben. Ein Cookie-Consent-Banner ist daher gesetzlich nicht erforderlich.

Sie können Cookies jederzeit über Ihre Browser-Einstellungen löschen. Bitte beachten Sie, dass dadurch die Funktionalität unserer Plattform eingeschränkt sein kann (z. B. Abmeldung aus Ihrem Konto).

Zur Nutzung der SiFa-Flow-Plattform ist die Anlage eines Nutzerkontos erforderlich. Bei der Registrierung verarbeiten wir die folgenden personenbezogenen Daten:

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (ausschließlich als kryptographischer Hash gespeichert, Verfahren: bcrypt)
• Unternehmensinformationen (Firmenname, Rechtsform, Branche, Anschrift)
• Optional: Telefonnummer, Position, Abteilung

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen). Die Daten werden für die gesamte Vertragslaufzeit gespeichert und nach Vertragsbeendigung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Abschnitt 18).

Zum Schutz Ihres Kontos bieten wir eine Zwei-Faktor-Authentifizierung (MFA) an. Neben E-Mail und Passwort können Sie optional zusätzliche Sicherheitsfaktoren aktivieren:

• TOTP (Authenticator-App): Zeitbasierter Einmalcode über Apps wie Google Authenticator, Microsoft Authenticator oder Authy
• E-Mail-Code: Versand eines Einmal-Codes an Ihre registrierte E-Mail-Adresse

MFA-Secrets werden verschlüsselt gespeichert. Bei Administratoren und Sicherheitsfachkräften (SiFa-Rolle) wird eine aktivierte MFA empfohlen und kann vom Verantwortlichen verpflichtend vorgeschrieben werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Informationssicherheit) und Art. 32 DSGVO (Sicherheit der Verarbeitung).

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Anfrage einschließlich aller daraus hervorgehenden personenbezogenen Daten (Name, E-Mail-Adresse, Inhalt der Nachricht) zum Zwecke der Bearbeitung Ihres Anliegens gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO). Anfragen werden nach Erledigung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Für den Versand transaktionaler E-Mails (Bestätigungs-, Einladungs-, Erinnerungs-, Fristablauf-, Passwort-Reset- und Rechnungs-E-Mails) setzen wir folgende Dienstleister ein:

Strato SMTP (Deutschland)

Anbieter: Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Der Versand erfolgt über einen in Deutschland gehosteten SMTP-Server. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Resend (USA)

Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Resend wird als ergänzender Dienst für transaktionale E-Mails eingesetzt (Zustellbarkeits-Optimierung). Übertragen werden nur die Empfänger-Adresse sowie Betreff und Inhalt der E-Mail.

Die Datenübertragung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Resend wurde ein Auftragsverarbeitungsvertrag geschlossen. Details: resend.com/legal/privacy-policy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

SiFa Flow nutzt das generative KI-System Google Gemini (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Verarbeitung technisch bei Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) zur automatisierten Analyse von Sicherheitsdatenblättern (SDBs) und zur Unterstützung bei der Erstellung von Betriebsanweisungen nach TRGS 555.

Umfang und Zweck

Wenn Sie ein Sicherheitsdatenblatt hochladen, wird das PDF-Dokument an die Gemini-API übermittelt, dort analysiert und in strukturierte Daten (H-/P-Sätze, CAS-Nummer, GHS-Piktogramme, WGK, Lagerklasse) zurückübersetzt. Es werden ausschließlich die Inhalte der hochgeladenen Dokumente an Google übermittelt. Personenbezogene Daten von Nutzern oder Mitarbeitern werden nicht zur KI-Analyse übermittelt.

Drittland-Übertragung

Die Übertragung in die USA erfolgt auf Basis des EU-US Data Privacy Framework. Google LLC ist unter dem DPF zertifiziert. Ergänzend gelten EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. Google verwendet gemäß Vertragsvereinbarung die übermittelten Daten nicht zum Training seiner Modelle.

Transparenz gemäß EU-KI-Verordnung (EU AI Act)

Wir informieren Sie hiermit ausdrücklich gemäß Art. 50 EU-KI-VO über den Einsatz eines KI-Systems: Der SDB-Scanner ist ein generatives KI-System zur Texterkennung und Strukturierung. Es handelt sich um ein System mit begrenztem Risiko (kein Hochrisiko-KI-System im Sinne von Anhang III EU-KI-VO). Die Ergebnisse der KI-Analyse werden Ihnen transparent angezeigt und können von Ihnen vollumfänglich geprüft und bearbeitet werden. Eine vollautomatisierte Entscheidungsfindung findet nicht statt (siehe Abschnitt 22).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Datenverarbeitung). Details: policies.google.com/privacy.

Die Plattform SiFa Flow unterstützt Arbeitgeber bei der Dokumentation gesetzlich geforderter Arbeitsschutzprozesse. In diesem Rahmen werden besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, insbesondere Gesundheitsdaten. Für diese Verarbeitungen gelten erhöhte Schutzanforderungen.

Digitales Verbandbuch (§ 24 DGUV Vorschrift 1)

Das digitale Verbandbuch dokumentiert Erste-Hilfe-Leistungen und Arbeitsunfälle. Verarbeitet werden: Datum, Uhrzeit, betroffene Person, Art der Verletzung, Körperregion, geleistete Erste Hilfe, Ersthelfer, ggf. Zeugen.

Rechtsgrundlage ist Art. 9 Abs. 2 lit. b DSGVO (erforderlich zur Erfüllung rechtlicher Pflichten aus dem Arbeits- und Sozialrecht) i. V. m. § 24 DGUV Vorschrift 1 und § 193 SGB VII. Die Daten werden gemäß DGUV-Vorgabe für mindestens 5 Jahre aufbewahrt.

Mutterschutz

Zur Umsetzung der Pflichten aus dem Mutterschutzgesetz (MuSchG) können Sie Schwangerschafts-Meldungen und anlassbezogene Gefährdungsbeurteilungen nach § 10 MuSchG dokumentieren. Rechtsgrundlage: Art. 9 Abs. 2 lit. b DSGVO i. V. m. MuSchG.

Arbeitsmedizinische Vorsorge

Die Dokumentation von Vorsorgeterminen nach ArbMedVV (Pflicht-, Angebots- und Wunschvorsorge) erfolgt ohne Offenlegung des medizinischen Befundes. Gespeichert werden lediglich der Termin-Status, die Art der Vorsorge und das nächste Vorsorge-Datum. Rechtsgrundlage: Art. 9 Abs. 2 lit. b und lit. h DSGVO i. V. m. ArbMedVV und DGUV V2.

Schutzmaßnahmen

Für den Zugriff auf Daten nach Art. 9 DSGVO gelten verschärfte Schutzmaßnahmen:

• Step-Up-Authentifizierung: Erneute Identitätsprüfung innerhalb der letzten 15 Minuten erforderlich
• Rollenbasiertes Berechtigungsmodell (RBAC): Zugriff nur für berechtigte Rollen (Admin, SiFa, HR)
• Row-Level-Security auf Datenbank-Ebene
• Protokollierung jedes Zugriffs im Audit-Log
• Verschlüsselte Speicherung (AES-256) und Übertragung (TLS 1.3)

Soweit Sie SiFa Flow als Unternehmen nutzen und dabei personenbezogene Daten Ihrer Mitarbeiter oder Dritter (z. B. Besucher, Fremdfirmen) in die Plattform einbringen, sind Sie der Verantwortliche im datenschutzrechtlichen Sinne. Wir handeln diesbezüglich als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir stellen Ihnen einen Muster-Auftragsverarbeitungsvertrag (AVV) zur Verfügung, der alle gemäß Art. 28 Abs. 3 DSGVO erforderlichen Regelungen enthält (Gegenstand, Dauer, Art, Zweck der Verarbeitung, technisch-organisatorische Maßnahmen, Unterauftragsverarbeiter-Liste, Betroffenenrechte-Unterstützung, Löschkonzept). Den AVV erhalten Sie auf Anfrage unter kontakt@sifaflow.de oder er kann direkt im Kundenbereich abgerufen werden.

Unterauftragsverarbeiter: Supabase (EU-Hosting), Vercel (USA, SCC), Google LLC (USA, DPF + SCC), Resend (USA, SCC), Sentry (EU-Hosting, DPA + SCC), Strato (Deutschland), sevDesk (Deutschland), Qonto (Frankreich). Die vollständige Liste und deren Datenschutzinformationen stellen wir Ihnen zusammen mit dem AVV zur Verfügung.

Bei kostenpflichtigen Abonnements verarbeiten wir Rechnungs- und Zahlungsdaten. Die Zahlung erfolgt per SEPA-Basislastschrift oder Rechnung (Überweisung). Kreditkartendaten werden von uns nicht erhoben und nicht gespeichert.

sevDesk (Rechnungsstellung und Buchhaltung)

Anbieter: sevDesk GmbH, Hauptstraße 115, 77652 Offenburg, Deutschland. sevDesk wird zur Erstellung und Archivierung revisionssicherer Rechnungen eingesetzt. Übertragen werden: Firmenname, Rechnungsanschrift, E-Mail-Adresse, Umsatzsteuer-IdNr., Leistungsbeschreibung, Betrag.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflicht). Speicherdauer: 10 Jahre gemäß § 147 AO und § 257 HGB. sevdesk.de/datenschutz.

Qonto (Geschäftskonto)

Anbieter: Olinda SAS (Qonto), 20 bis rue de la Ville l’Évêque, 75008 Paris, Frankreich. Qonto stellt unser Geschäftskonto und die SEPA-Lastschrift-Infrastruktur bereit. Bei Zahlungen werden IBAN, Verwendungszweck und Betragsinformationen verarbeitet. Wir rufen Konto-Daten ausschließlich indirekt über sevDesk per PSD2-Schnittstelle ab — eine direkte API-Anbindung an Qonto besteht nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. qonto.com/de/legal/privacy-policy.

Wir treffen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

• Transportverschlüsselung: TLS 1.3 für alle Verbindungen zwischen Browser und Server
• Ruhende Verschlüsselung: AES-256-Verschlüsselung für gespeicherte Daten
• Pseudonymisierung: Passwörter als bcrypt-Hash, keine Klartext-Speicherung
• Zugriffskontrolle: Rollenbasierte Berechtigungen (RBAC), Row-Level-Security
• Mandantentrennung: Multi-Tenant-Architektur mit strikter Datentrennung
• Audit-Log: Protokollierung sicherheitsrelevanter Zugriffe und Änderungen (Business-Tier)
• Step-Up-Authentifizierung: Erneute Authentifizierung vor Zugriff auf Art. 9 DSGVO-Daten
• Backups: Tägliche verschlüsselte Backups, Point-in-Time-Recovery, 30 Tage Retention
• Belastbarkeit: Redundante Infrastruktur, automatisches Failover
• Wiederherstellbarkeit: Regelmäßige Recovery-Tests (quartalsweise)

Zur Erkennung, Diagnose und Behebung technischer Fehler setzen wir Sentry ein (Anbieter: Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA; Verarbeitung für EU-Kunden auf Servern in Frankfurt/Deutschland).

Sentry zeichnet bei serverseitigen oder im Browser auftretenden Fehlern minimale technische Metadaten auf: Stack-Trace, betroffene URL (um Parameter bereinigt), Browser- und Betriebssystem-Version, HTTP-Statuscode sowie eine pseudonymisierte Benutzer-Kennung, anhand derer wir mehrere Fehler desselben Nutzers zusammenführen können, ohne ihn zu identifizieren.

Nicht übertragen werden: E-Mail-Adressen, Klarnamen, IP-Adressen, Passwörter/Session-Tokens, Inhalte von Formularen, Rechnungsdaten, Gefahrstoff-Daten, IBAN, hochgeladene Dokumente oder PDF-Inhalte. Sämtliche Request-Payloads und Cookie-/Authorization-Header werden vor dem Versand durch einen technischen Scrubber mit [redacted] ersetzt. Session-Replay und Feedback-Widget sind ausdrücklich deaktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität, Sicherheit und Fehlerbehebung; keine zu erwartenden überwiegenden entgegenstehenden Interessen aufgrund der weitgehenden Pseudonymisierung).

Drittlandtransfer: Sentry lagert EU-Daten in Frankfurt, unterhält aber als US-Mutter-Gesellschaft potenziellen Zugriff durch US-Personal. Mit Sentry wurde ein Auftragsverarbeitungsvertrag (DPA) geschlossen, der EU-Standardvertragsklauseln (Art. 46 DSGVO) enthält. sentry.io/privacy, sentry.io/legal/dpa.

Speicherdauer: Fehlerereignisse werden nach 90 Tagen automatisch gelöscht (Sentry-Standard-Retention). Sie können dem Tracking jederzeit widersprechen unter kontakt@sifaflow.de.

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung der jeweiligen Zweckbestimmung erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten vorgeben:

• Account- und Stammdaten: Bis Vertragsbeendigung + 3 Jahre (§ 195 BGB)
• Rechnungs- und Buchhaltungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
• Verbandbuch-Einträge: mindestens 5 Jahre (DGUV V1 § 24)
• Unterweisungs-Nachweise: 3 Jahre empfohlen, Kunde kann individuell festlegen
• Gefährdungsbeurteilungen: Bis Widerruf durch Kunde, empfohlene Überprüfung jährlich
• Server-Logs: maximal 30 Tage
• E-Mail-Kommunikation: Bis zum Abschluss des Anliegens + 6 Monate

Nach Ablauf der Speicherfrist werden die Daten automatisiert gelöscht oder — bei Pflicht zur Aufbewahrung — zugriffsbeschränkt gesperrt.

Sie haben gegenüber uns als Verantwortlichem folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Art. 15 DSGVOAuskunftsrecht: Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
• Art. 16 DSGVOBerichtigungsrecht: Sie können die Berichtigung unrichtiger Daten verlangen.
• Art. 17 DSGVOLöschungsrecht: Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Art. 18 DSGVOEinschränkungsrecht: Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Art. 20 DSGVODatenportabilität: Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten (CSV, Excel, PDF).
• Art. 21 DSGVOWiderspruchsrecht: Sie können der Verarbeitung aus besonderen Gründen widersprechen.
• Art. 7 Abs. 3 DSGVOWiderrufsrecht: Sie können erteilte Einwilligungen jederzeit für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an kontakt@sifaflow.de. Wir reagieren innerhalb der gesetzlich vorgesehenen Frist (in der Regel innerhalb eines Monats gemäß Art. 12 Abs. 3 DSGVO).

Verarbeitungsverzeichnis nach Art. 30 DSGVO: Wir führen ein internes Verzeichnis aller Verarbeitungstätigkeiten (Zwecke, Datenkategorien, Empfänger, Speicherdauer, Sicherheitsmaßnahmen). Auf Anfrage im Rahmen eines AVV-Audits stellen wir den für Sie relevanten Auszug zur Verfügung. Bitte wenden Sie sich an kontakt@sifaflow.de.

Möchten Sie als Verbraucher (§ 13 BGB) einen Vertrag widerrufen, gilt die Widerrufsbelehrung.

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfolgt, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Wir verarbeiten Ihre personenbezogenen Daten nach einem Widerspruch nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

Der auf der Plattform angezeigte Compliance-Score ist eine reine Entscheidungsunterstützung aus aggregierten Betriebsdaten (Unterweisungsquoten, Gefahrstoff-Status, GBU-Fristen). Er trifft keine Entscheidung über eine natürliche Person, sondern bewertet den organisatorischen Zustand des Arbeitsschutzes.

Die KI-gestützte Analyse hochgeladener Sicherheitsdatenblätter (siehe Abschnitt 13) stellt ebenfalls keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO dar, da sie sich auf die strukturierte Extraktion von Dokument-Inhalten beschränkt und keine Entscheidungen mit rechtlicher Wirkung über natürliche Personen trifft.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde für unser Unternehmen:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

Diese Website und die gesamte Plattform-Kommunikation sind ausschließlich über eine TLS-1.3-Verschlüsselung erreichbar (HTTPS). Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile Ihres Browsers mit „https://“ beginnt und ein Schloss-Symbol angezeigt wird. HTTP-Anfragen werden automatisch auf HTTPS umgeleitet (HSTS-Header gesetzt).

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, melden wir dies gemäß Art. 33 DSGVO unverzüglich — möglichst binnen 72 Stunden — nach Kenntniserlangung der zuständigen Aufsichtsbehörde. Bei hohem Risiko für die Rechte und Freiheiten informieren wir die betroffenen Personen zusätzlich direkt gemäß Art. 34 DSGVO.

Sofern wir als Auftragsverarbeiter für einen Kunden tätig sind, informieren wir diesen Verantwortlichen unverzüglich gemäß Art. 33 Abs. 2 DSGVO.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Funktionen oder Drittdienste. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Version vom April 2026