Wer ist Verantwortlicher.
Contenza K/S (CVR 43349023), Dänemark, ist Verantwortlicher für die im Rahmen dieses Dienstes verarbeiteten personenbezogenen Daten. Für alles Datenschutzrelevante erreichen Sie das Team über das Formular unter /contact.
Was wir erheben.
- Kontodaten — E-Mail-Adresse, Tarif, Authentifizierungs-Zeitstempel.
- Passport-Inhalte — Produkt- und Herstellerangaben, die Sie zur Veröffentlichung eines Digitalen Produktpasses eingeben. Es handelt sich überwiegend um Geschäftsdaten, jedoch einschließlich einer Kontakt-E-Mail-Adresse gemäß Anhang III.
- Nutzungsdaten — Scan-Ereignisse auf öffentlichen Passport-URLs (Geolokalisierung auf Länderebene aus der IP, User-Agent-Kategorie). Roh-IP-Adressen speichern wir nicht über das Anfrage-Log-Fenster hinaus.
- Abrechnungsdaten — Kunden-ID und Abonnementstatus von Stripe. Kartendaten erreichen unsere Server zu keinem Zeitpunkt.
Rechtsgrundlagen.
- Vertrag (Art. 6 Abs. 1 lit. b) für Kontoeinrichtung, Authentifizierung und Erbringung des Dienstes.
- Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c) für Rechnungsstellung und steuerliche Aufzeichnungen.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f) für Sicherheits-Monitoring und aggregierte Scan-Analytik — abgewogen gegen die geringen verarbeiteten personenbezogenen Daten.
Scan-Analyse auf öffentlichen Pässen.
Wenn ein Besucher den QR-Code auf einem veröffentlichten digitalen Produktpass scannt und /p/{code} aufruft, erfassen wir ein grobes Scan-Ereignis. Die pro Ereignis erfassten Daten sind bewusst minimal: ein ISO-3166 Alpha-2-Ländercode, der aus dem Anfrage-Header abgeleitet wird, den unser Edge-Proxy anhängt, eine Geräteklassen-Kategorie (mobil, Tablet, Desktop, Bot), die aus dem User-Agent geparst wird, und der Antwort-Accept-Typ (HTML oder JSON-LD). Wir speichern keine rohen IP-Adressen, vollständigen User-Agent-Strings, Browser-Fingerabdrücke oder Cookies, die mit Scan-Ereignissen verknüpft sind.
Die Rechtsgrundlage für diese Verarbeitung sind berechtigte Interessen nach Artikel 6 Absatz 1 Buchstabe f DSGVO. Unser Interesse besteht darin, den Dienst zu betreiben und zu verbessern, unseren Kunden EU-regulatorische Nachvollziehbarkeit nachzuweisen und Missbrauch zu erkennen. Da die erfassten Daten grob sind und nie mit einer identifizierbaren Person verknüpft werden, haben wir bewertet, dass die Rechte und Freiheiten der Besucher nicht überwiegen. Wir verwenden diese Daten nicht für Werbung, Profilbildung oder Verkauf.
Nach Artikel 21 DSGVO haben Sie das Recht, der Verarbeitung von Scan-Ereignissen jederzeit zu widersprechen. Um Widerspruch einzulegen, kontaktieren Sie uns über /contact und nennen Sie das Land und den ungefähren Zeitraum der Scans, die entfernt werden sollen; wir löschen die übereinstimmenden Datensätze innerhalb von 30 Tagen. Da neben dem Ländercode keine personenbezogenen Daten gespeichert sind, erfolgt die Identifikation per Selbstauskunft, nicht per authentifizierter Suche.
Marketing-Seitenaufruf-Analyse.
Eine kleine Auswahl öffentlicher Compliance-Seiten — aktuell /compliance/faq, /compliance/matrix, /continuity und /security — protokolliert pro Anfrage einen entsprechend grobkörnigen Seitenaufruf. Erfasst werden je Aufruf der Anfragepfad, die aufgelöste Sprache (damit EN / DE / DA / FR / IT / ES / PL-Traffic auf demselben Pfad in Aggregaten unterscheidbar ist), derselbe ISO-3166-Zweistellen-Ländercode aus dem Anfrage-Header unseres Edge-Proxies und dieselbe Geräteklasse (mobile, tablet, desktop, bot). Keine rohe IP, kein vollständiger User-Agent-String, keine Cookies, kein Fingerprinting.
Die Rechtsgrundlage ist dieselbe wie für die Scan-Event-Analyse — Artikel 6(1)(f) der DSGVO, berechtigtes Interesse. Die Daten informieren redaktionelle Pflege der Compliance-Fläche (z. B. wird die Matrix auf DE gelesen, erreichen Beschaffungsteams die Sicherheitsseite), ohne den Besucher zu identifizieren. Dasselbe Widerspruchsrecht aus Artikel 21 gilt; kontaktieren Sie uns über das obige Formular, und wir entfernen die passenden Zeilen innerhalb von 30 Tagen.
Aufbewahrung.
Wir bewahren Daten nur so lange auf, wie es erforderlich ist:
- Kontodaten — solange Ihr Konto aktiv ist, zuzüglich 30 Tage nach Löschung, um versehentliche Lösch-Supportanfragen aufzufangen.
- Rechnungen — 5 Jahre nach Ausstellung gemäß dänischem Buchführungsgesetz.
- Scan-Ereignisse — rollierend 24 Monate, danach Aggregation zu monatlichen Zähldaten und Verwerfung der Rohzeilen.
- Magic-Link-Token — bei Nutzung gelöscht, spätestens jedoch 15 Minuten nach Ausstellung.
- Veröffentlichte Passports — über die regulatorische Lebensdauer des Produkts aufbewahrt (Artikel 10 Absatz 4 der Ökodesign-Verordnung untersagt eine Löschung, solange der Passport im Einsatz ist).
Ihre Rechte.
Nach der DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten. Sie können jedes dieser Rechte durch Kontaktaufnahme mit uns ausüben — kein Konto und keine Anmeldung erforderlich, sofern Sie die betreffenden Daten identifizieren können.
Sind Sie der Auffassung, dass wir Ihre Daten nicht ordnungsgemäß behandelt haben, haben Sie das Recht, Beschwerde bei der dänischen Datenschutzaufsichtsbehörde (Datatilsynet) einzulegen.
Datenresidenz.
Alle personenbezogenen Daten werden auf Infrastruktur mit Standort in der EU gespeichert. Soweit ein Unterauftragsverarbeiter außerhalb der EU tätig ist, stützen sich Übermittlungen auf die Standardvertragsklauseln der Europäischen Kommission. Das vollständige Register finden Sie unter /sub-processors.
Kinder.
Der Dienst richtet sich an Unternehmen und nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine Daten von Kindern.
Änderungen.
Wesentliche Änderungen werden den Kontoinhabern mindestens 30 Tage vor Inkrafttreten per E-Mail angekündigt. Geringfügige Klarstellungen werden hier mit aktualisiertem Datum am Seitenkopf veröffentlicht.
Fragen zu dieser Richtlinie? Bitte das Kontaktformular nutzen — oder erreichen Sie das Team über die Angaben auf der Kontaktseite.