Rechtliches
Datenschutzerklärung
Stand: 23.03.2026
1. Verantwortlicher
BeyondWega UG (haftungsbeschränkt)
Auf dem Kamp 74
28865 Lilienthal
Deutschland
E-Mail: datenschutz@faktor400.com
Telefon: +49 163 2580889
Website: faktor400.com | app.faktor400.com
Ein Datenschutzbeauftragter ist aufgrund der Unternehmensgröße (weniger als 20 Personen ständig mit automatisierter Verarbeitung beschäftigt) nach § 38 Abs. 1 BDSG derzeit nicht gesetzlich erforderlich und nicht bestellt.
2. Überblick der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform "Faktor400" und der zugehörigen Website erforderlich ist.
| Datenkategorie | Betroffene | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|---|
| Server-Logfiles | Website-Besucher | Betrieb, Sicherheit | Art. 6 Abs. 1 lit. f | 30 Tage (IP nach 7 Tagen anonymisiert) |
| Account-Daten | Registrierte Nutzer | Vertragserfüllung | Art. 6 Abs. 1 lit. b | Kontolaufzeit + 30 Tage |
| Seller-Geschäftsdaten | Registrierte Nutzer | Analyseleistung | Art. 6 Abs. 1 lit. b | Kontolaufzeit + 30 Tage |
| Amazon-Endkunden-PII (Name, Adresse, ggf. Telefon) | Käufer der Seller | Auftragsverarbeitung | Art. 28 DSGVO (Rechtsgrundlage beim Seller) | PII: 30 Tage nach Versand (automatisiert anonymisiert); aggregierte Geschäftsdaten: Kontolaufzeit + 30 Tage |
| Abrechnungsdaten | Zahlende Nutzer | Abrechnung, Buchhaltung | Art. 6 Abs. 1 lit. b + c | 10 Jahre (§ 147 AO, § 257 HGB) |
| Cookies / Local Storage | Website-Besucher | Funktion | Art. 6 Abs. 1 lit. f / a | Siehe Cookie-Richtlinie |
3. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO. Es kommen folgende Rechtsgrundlagen in Betracht:
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — z. B. für optionale Analyse-Cookies.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — z. B. für die Bereitstellung des Nutzeraccounts, der Analysefunktionen und der Abrechnungsdaten.
- Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO) — z. B. für steuer- und handelsrechtliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB: 6–10 Jahre für Rechnungs- und Buchungsdaten).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — z. B. für den Betrieb der Website, Sicherheitsmaßnahmen und Missbrauchsprävention.
4. Erhobene Daten bei Nutzung der Website
4.1 SSL-/TLS-Verschlüsselung
Die Kommunikation zwischen Deinem Browser und unseren Servern erfolgt über HTTPS (TLS-Verschlüsselung). Dies schützt die übertragenen Daten vor dem Zugriff Dritter.
4.2 Server-Logfiles
Bei jedem Aufruf unserer Website erfasst der Webserver automatisch:
- IP-Adresse (anonymisiert nach 7 Tagen durch Kürzung des letzten Oktetts: IPv4 letzte 8 Bits genullt, IPv6 letzte 80 Bits genullt)
- Datum und Uhrzeit der Anfrage
- Aufgerufene Seite / URL
- Referrer-URL
- Browser-Typ und Version
- Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden zur Sicherstellung des Betriebs und zur Abwehr von Angriffen genutzt. Logfiles werden nach 30 Tagen gelöscht.
4.3 Hosting
Unsere Website wird gehostet bei:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen, Deutschland
Rechenzentrum: Falkenstein/Vogtl. (Deutschland, EU).
AV-Vereinbarung: hetzner.com/rechtliches/auftragsdatenverarbeitung
Es liegt ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) vor. Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet. Ein CDN oder WAF (z. B. Cloudflare) wird aktuell nicht eingesetzt; der Reverse-Proxy (Nginx) wird auf demselben Server betrieben.
5. Nutzerkonto & Plattform
5.1 Registrierung und Login
Bei der Registrierung für Faktor400 verarbeiten wir:
- E-Mail-Adresse
- Passwort (nach aktuellem Stand der Technik gehasht gespeichert, nie im Klartext)
- Name (optional)
- Zeitpunkt der Registrierung
Die Authentifizierung erfolgt über Supabase Auth (Supabase, Inc., USA). Supabase verantwortet das Passwort-Hashing (bcrypt, serverseitig), die E-Mail-Verifizierung und den Passwort-Reset-Flow. Authentifizierungs-Tokens werden im Local Storage Deines Browsers gespeichert (PKCE-basierter OAuth-Flow).
Weitere Informationen: supabase.com/privacy
Login über Google (OAuth 2.0): Alternativ kannst Du Dich über Deinen Google-Account registrieren und anmelden. Dabei werden folgende Daten übermittelt (OAuth-Scopes: email, profile):
- E-Mail-Adresse
- Profilname (Vor- und Nachname)
- Profilbild-URL
- Google-User-ID
Für Googles eigene Datenverarbeitung gilt deren Datenschutzerklärung: policies.google.com/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5.2 Amazon-Verkäuferdaten
Im Rahmen der Nutzung von Faktor400 verbinden Nutzer ihren Amazon Seller-Account über die Amazon SP-API und/oder Amazon Ads API. Dabei verarbeiten wir Geschäftsdaten wie Produktdaten, Inventardaten, Gebühren, Werbekampagnen-Daten und aggregierte Umsatz-/Bestellkennzahlen. Für diese Daten ist BeyondWega Verantwortlicher i. S. d. DSGVO.
5.3 Amazon-Endkunden-Daten (Auftragsverarbeitung)
Hinweis: Diese Datenschutzerklärung richtet sich primär an Website-Besucher und registrierte Faktor400-Nutzer. Die nachfolgende Erläuterung zur Verarbeitung von Amazon-Käuferdaten dient der Transparenz über unsere Rolle als Auftragsverarbeiter; die primäre datenschutzrechtliche Information der Käufer obliegt dem jeweiligen Seller als Verantwortlichem.
Die über die Amazon SP-API abgerufenen Bestelldaten können personenbezogene Daten von Amazon-Käufern enthalten (Käufername, Lieferadresse, ggf. Telefonnummer). Für diese Daten ist der Seller der Verantwortliche (Controller); BeyondWega agiert als Auftragsverarbeiter (Processor) i. S. d. Art. 28 DSGVO.
Zwischen BeyondWega und dem Seller wird bei Anbindung der SP-API ein Auftragsverarbeitungsvertrag (AVV) geschlossen. Siehe AVV
Verarbeitete Endkunden-PII: Käufername, Lieferadresse und (soweit von Amazon nicht maskiert) E-Mail-Adresse. Zahlungsinformationen der Käufer werden von Faktor400 nicht gespeichert.
Amazon Data Protection Policy (DPP): Unabhängig von der DSGVO unterliegen SP-API-Daten der Amazon Data Protection Policy. Personenbezogene Käuferdaten (PII) dürfen nur für Zwecke der Bestellabwicklung verwendet werden und werden innerhalb von 30 Tagen nach Versand automatisiert anonymisiert (Käufernamen und -adressen). Aggregierte Geschäftsdaten (Umsatz, ASIN-Kennzahlen) sind nicht betroffen.
Speicherdauer: Amazon-Daten werden so lange gespeichert, wie das Nutzerkonto aktiv ist. Nach Kontolöschung werden alle Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei Testphase-Nutzern ohne Abonnement: 30 Tage nach Ende der Testphase (vgl. AGB § 3 Abs. 5).
5.4 Abrechnungsdaten
Wir speichern Rechnungsadresse, Firmenname, USt-IdNr., Rechnungshistorie, Zahlungsstatus und gewählten Tarif. Diese Daten unterliegen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) und werden bis zu 10 Jahre nach Vertragsende aufbewahrt.
5.5 Zahlungsabwicklung
Stripe Payments Europe, Limited (SPEL)
1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland
Stripe ist für die Verarbeitung von Kreditkarten- und Zahlungsdaten eigenständig Verantwortlicher. Wir speichern selbst keine Kreditkarten- oder Bankverbindungsdaten.
5.6 Transaktionale E-Mails
Für den Versand transaktionaler E-Mails nutzen wir Resend, Inc. (San Francisco, CA, USA). Die Datenübermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6. Cookies und Tracking
6.1 Technisch notwendige Cookies
Wir setzen Cookies ein, die für den Betrieb der Website und der Plattform technisch erforderlich sind (z. B. Session-Token, Spracheinstellung). Diese Cookies werden ohne Einwilligung gesetzt.
Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderlich), Art. 6 Abs. 1 lit. f DSGVO.
Supabase-Authentifizierungs-Tokens werden im Local Storage des Browsers gespeichert (Schlüssel: sb-auth-token). Während des OAuth-Flows wird zusätzlich ein PKCE-Verifier im Session Storage abgelegt. Serverseitig werden über @supabase/ssr zusätzlich SSR-Cookies gesetzt. Die Spracheinstellung wird als Cookie (faktor400-language) gespeichert. All diese Speicherungen sind technisch notwendig und fallen unter § 25 Abs. 2 TDDDG.
6.2 Analyse und Marketing
In der Faktor400-App setzen wir PostHog als Analyse-Tool ein. PostHog wird über die EU-Instanz (eu.posthog.com) betrieben, sodass Analyse-Daten ausschließlich auf Servern in der EU verarbeitet werden.
Erhobene Daten: Explizit definierte Events (z. B. Seitenaufrufe, Feature-Nutzung). Autocapture ist deaktiviert; es werden nur bewusst instrumentierte Events erfasst. Session-Recording ist deaktiviert. Die Do-Not-Track-Einstellung des Browsers wird respektiert (respect_dnt: true). Der Nutzer wird anhand seiner App-Nutzer-ID identifiziert (keine Supabase-UID).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Analyse-Cookies werden nur nach ausdrücklicher Einwilligung (über Cookie-Banner) gesetzt. Du kannst Deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Anbieter: PostHog, Inc., San Francisco, CA, USA — EU-Instanz (Datenverarbeitung in der EU).
Auf der Landing Page (faktor400.com) werden aktuell keine Analyse- oder Marketing-Cookies eingesetzt.
7. Drittanbieter und Auftragsverarbeiter
| Anbieter | Zweck | Standort | Rolle | AV-Vertrag |
|---|---|---|---|---|
| Hetzner Online GmbH | Webhosting, Server-Infrastruktur | Falkenstein, Deutschland (EU) | Auftragsverarbeiter | Ja |
| Supabase, Inc. | Authentifizierung, Datenbank | USA (DPF-zertifiziert) | Auftragsverarbeiter | Ja |
| Stripe Payments Europe, Limited | Zahlungsabwicklung | Dublin, Irland (EU) | Eigenständig verantwortlich (Kartendaten) / Auftragsverarbeiter (Metadaten) | Ja |
| Resend, Inc. | Transaktionale E-Mails | USA (DPF-zertifiziert) | Auftragsverarbeiter | Ja |
| PostHog, Inc. | Produktanalyse (EU-Instanz) | USA (EU-Datenverarbeitung) | Auftragsverarbeiter | Ja |
Alle Auftragsverarbeiter wurden sorgfältig ausgewählt. Es bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit die Anbieter als Auftragsverarbeiter und nicht als eigenständig Verantwortliche handeln.
8. Datenübermittlung in Drittstaaten
Einige unserer Dienstleister haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Basis folgender Rechtsgrundlagen:
| Anbieter | Transfergrundlage | Ergänzende Maßnahmen |
|---|---|---|
| Supabase, Inc. | EU-US Data Privacy Framework (Art. 45 DSGVO, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) | Verschlüsselung in Transit (TLS) und at Rest |
| Resend, Inc. | EU-US Data Privacy Framework (Art. 45 DSGVO) | Verschlüsselung in Transit (TLS) |
PostHog, Inc. hat seinen Sitz in den USA; die Datenverarbeitung erfolgt jedoch über die EU-Instanz (eu.posthog.com), sodass Analyse-Daten ausschließlich auf Servern in der EU verarbeitet und gespeichert werden. Ein Transfer personenbezogener Daten in die USA findet nicht statt.
Stripe Payments Europe, Ltd. hat seinen Sitz in Irland (EU); Kartendaten werden innerhalb des EWR verarbeitet. Ein Drittstaaten-Transfer findet insoweit nicht statt.
Hetzner Online GmbH betreibt alle Server in Deutschland. Ein Drittstaaten-Transfer findet nicht statt.
Hinweis: Die DPF-Zertifizierung der genannten US-Anbieter wurde auf dataprivacyframework.gov verifiziert (Stand: März 2026). Sollte ein Anbieter künftig nicht (mehr) zertifiziert sein, stützen wir den Transfer auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in Verbindung mit einem Transfer Impact Assessment (TIA) und technischen Ergänzungsmaßnahmen.
9. Automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO ein.
10. Deine Rechte
- Recht auf Auskunft (Art. 15 DSGVO) — Welche Daten wir über Dich gespeichert haben.
- Recht auf Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten.
- Recht auf Löschung (Art. 17 DSGVO) — Löschung Deiner Daten, sofern keine Aufbewahrungspflichten bestehen.
- Recht auf Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Deiner Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht (Art. 21 DSGVO) — Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Deiner Rechte wende Dich an: datenschutz@faktor400.com
Du hast das Recht, aus Gründen, die sich aus Deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung Deiner personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen.
Recht auf Beschwerde
Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Die/Der Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
www.lfd.niedersachsen.de
Du kannst Dich auch an die Aufsichtsbehörde Deines Wohn- oder Arbeitsortes wenden.
11. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung bei Bedarf, insbesondere bei Änderungen unserer Datenverarbeitungen oder gesetzlicher Vorgaben. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
12. Sprachversionen
Im Falle von Abweichungen zwischen der deutschen und einer etwaigen englischen Fassung dieser Datenschutzerklärung ist die deutsche Fassung maßgeblich.