Datenschutzerklärung

🏢 1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Thomas Brandt
Einzelunternehmer handelnd unter der Marke AX1S

AX1S c/o Clevver
Winterhuder Weg 29, 7. Stock
22085 Hamburg, Germany

E-Mail: thomas.brandt@ax1s.de
Website: www.ax1s.de

Im Folgenden „wir" oder „Anbieter" genannt.

📋 2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Compliance-Schulungsplattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

⚖️ 3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Betroffenen
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (insbesondere EU AI Act Art. 4, NIS2, DORA)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Betrugsprävention)

🌐 4. Hosting und Bereitstellung der Website

🇪🇺 EU-Hosting

Diese Website wird gehostet bei:

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Beim Besuch unserer Website erfasst der Webserver automatisch:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung, ob der Abruf erfolgreich war
• Erkennungsdaten des verwendeten Browsers und Betriebssystems
• Webseite, von der aus der Zugriff erfolgt (Referrer-URL)

Diese Daten werden aus berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung eines störungsfreien Betriebs temporär in Server-Logfiles gespeichert und nach spätestens 7 Tagen gelöscht.

Auftragsverarbeitung: Wir haben mit IONOS einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

🗄️ 5. Backend-Infrastruktur (Supabase)

🇪🇺 EU-Rechenzentrum SOC 2 Type II

Für die Authentifizierung, Datenhaltung und serverseitige Logik nutzen wir:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Unser Supabase-Projekt wird in der AWS-Region eu-west-1 (Irland) gehostet. Alle personenbezogenen Daten verbleiben damit innerhalb der Europäischen Union.

5.1 Verarbeitete Daten in Supabase

• Authentifizierung: E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Login-Zeitstempel, Session-Token
• Profildaten: Vorname, Nachname, E-Mail, Abteilung, Mandanten-Zuordnung (tenant_id)
• Lernfortschritt: Modulfortschritt, Prüfungsergebnisse, Zertifikatsdaten
• Mandantendaten (B2B): Firmenname, Lizenzschlüssel, Abonnement-Status, Einladungen
• Kaufdaten: Modul-ID, Kauf-Status, Referenz zu Stripe-Zahlung

5.2 Sicherheitsmaßnahmen

• Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256)
• Row Level Security (RLS) – Nutzer können nur eigene Daten einsehen
• Regelmäßige Backups innerhalb der EU-Region
• SOC 2 Type II zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gem. EU AI Act).

Auftragsverarbeitung: Die Datenverarbeitung durch Supabase erfolgt auf Grundlage eines Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.

💳 6. Zahlungsabwicklung (Stripe)

🇪🇺 EU-Datenverarbeitung PCI DSS Level 1

Für die Abwicklung kostenpflichtiger Schulungslizenzen nutzen wir:

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Bei einem Kauf werden Sie zur Zahlungsseite von Stripe weitergeleitet (Stripe Payment Links). Folgende Daten werden von Stripe verarbeitet:

• Name und E-Mail-Adresse
• Zahlungsdaten (Kreditkartennummer, Ablaufdatum, etc.)
• Rechnungsadresse
• IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzhinweise Stripe: stripe.com/de/privacy

🎓 7. ACTLI Schulungsplattform (by AX1S)

7.1 Registrierung und Kontoerstellung

Zur Nutzung der ACTLI-Schulungsplattform (betrieben von AX1S) werden folgende Daten verarbeitet:

• Vorname und Nachname
• E-Mail-Adresse
• Abteilung / Organisationseinheit
• Passwort (verschlüsselt gespeichert via bcrypt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Lernfortschritt und Prüfungsergebnisse

Wir speichern den Lernfortschritt der Schulungsmodule, Prüfungsergebnisse und Zertifikatsdaten. Diese Verarbeitung ist erforderlich für den Nachweis der AI Literacy gemäß EU AI Act Artikel 4 sowie weiterer EU-Regulierungen (NIS2, DORA, DSGVO+KI, CSRD, CRA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und rechtliche Verpflichtung).

7.3 Zertifikate

Bei Bestehen einer Prüfung wird ein Zertifikat mit einer eindeutigen Zertifikats-ID erstellt. Dieses enthält Name, Firma, Datum, Regulierung und Prüfungsergebnis. Die öffentliche Verifikation ist unter ax1s.de/verify.html möglich.

Die Speicherung erfolgt zum Nachweis der Compliance gemäß EU AI Act und kann bei Audits vorgelegt werden.

7.4 Einladungssystem (B2B)

Für B2B-Kunden bietet die Plattform ein Einladungssystem. Dabei werden E-Mail-Adressen eingeladener Lerner gespeichert, bis die Einladung angenommen oder widerrufen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung B2B-Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an Compliance-Schulungen).

7.5 Lizenzschlüssel (B2B)

Für B2B-Kunden verarbeiten wir Lizenzschlüssel, Kundennummern und Nutzungsdaten zur Lizenzverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

💾 8. Lokale Datenspeicherung (localStorage)

Ergänzend zur serverseitigen Speicherung nutzt die Anwendung den localStorage Ihres Browsers für:

• Sprachauswahl
• Modulfreischaltungs-Status (Cache)
• Temporäre Sitzungsdaten

Diese Daten verlassen Ihren Computer nicht und werden nicht an unsere Server übertragen. Sie können diese Daten jederzeit über die Browser-Einstellungen löschen.

🍪 9. Cookies & technische Speicher

Diese Website verwendet ausschließlich technisch notwendige Cookies und localStorage-Einträge für:

• Sprachauswahl (Präferenz)
• Sitzungsverwaltung / Login-Status (Supabase Auth Token)
• Modulfreischaltungen (Cache)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb) sowie § 25 Abs. 2 TDDDG (technisch erforderlich).

✉️ 10. E-Mail-Kommunikation

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (inkl. E-Mail-Adresse) zum Zweck der Bearbeitung der Anfrage und für Anschlussfragen gespeichert. Diese Daten werden nicht ohne Ihre Einwilligung weitergegeben.

Systembenachrichtigungen (z.B. Einladungs-E-Mails, Passwort-Reset) werden über Supabase Auth versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

🔄 11. Datenweitergabe an Dritte

Eine Übermittlung personenbezogener Daten an Dritte findet nur statt, wenn:

• dies zur Vertragserfüllung erforderlich ist (z.B. Stripe bei Zahlungen)
• eine gesetzliche Verpflichtung besteht
• Sie ausdrücklich eingewilligt haben

Aktuelle Auftragsverarbeiter:

• IONOS SE (Deutschland) – Webhosting
• Supabase Inc. (EU-Region Irland) – Backend, Datenbank, Authentifizierung
• Stripe Payments Europe, Ltd. (Irland) – Zahlungsabwicklung
• Clevver GmbH (Deutschland) – Virtuelle Geschäftsadresse

🌍 12. Datenübermittlung in Drittländer

Alle personenbezogenen Daten werden innerhalb der Europäischen Union bzw. des EWR verarbeitet:

• IONOS: Deutschland 🇩🇪
• Supabase: AWS eu-west-1, Irland 🇮🇪
• Stripe: Dublin, Irland 🇮🇪

Supabase Inc. hat seinen Hauptsitz in den USA. Die Datenverarbeitung unserer Instanz erfolgt jedoch ausschließlich in der EU-Region (Irland). Für den Fall, dass Supabase-Mitarbeiter aus den USA Zugriff auf Systeme benötigen, erfolgt dies auf Grundlage von Standard Contractual Clauses (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und dem EU-U.S. Data Privacy Framework.

Stripe Payments Europe, Ltd. verarbeitet Zahlungsdaten in der EU. Für die Übermittlung an die Stripe, Inc. (USA) gelten ebenfalls SCCs und das EU-U.S. Data Privacy Framework.

⏱️ 13. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

• Server-Logfiles: max. 7 Tage
• Kontodaten: bis zur Kontolöschung bzw. Vertragsende, zzgl. gesetzlicher Aufbewahrungsfristen
• Rechnungs-/Zahlungsdaten: 10 Jahre (steuerrechtlich, §147 AO)
• Vertragsdaten: 6 Jahre (handelsrechtlich, §257 HGB)
• Zertifikats- und Schulungsnachweise: Für die Dauer der gesetzlichen Nachweispflicht gemäß EU AI Act, NIS2 und weiteren EU-Regulierungen (mindestens 5 Jahre empfohlen)
• Einladungen: bis zur Annahme oder Widerruf, max. 12 Monate

🛡️ 14. Ihre Rechte (DSGVO)

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden"
• Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Daten in einem gängigen Format erhalten
• Widerspruch (Art. 21 DSGVO) – Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
• Widerruf – Erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: thomas.brandt@ax1s.de

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO).

📮 15. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde für unseren Geschäftssitz:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: +49 40 42854-4040
E-Mail: thomas.brandt@ax1s.de
Website: datenschutz-hamburg.de

📝 16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für I