Datenschutzerklärung

1. Verantwortlicher

Der für Ihre personenbezogenen Daten Verantwortliche ist:

Die Bestellung eines Datenschutzbeauftragten (DSB) ist gemäß § 38 BDSG nicht erforderlich, da weniger als 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für alle Datenschutzanfragen wenden Sie sich bitte an die oben genannten Kontaktdaten.

2. Welche Daten wir erheben

Wir erheben die folgenden Kategorien personenbezogener Daten:

• Kontodaten: Name, E-Mail-Adresse, Telefonnummer, Passwort (gehasht)
• Geschäftsdaten: Bäckereiname, Standorte, Mitarbeiterinformationen
• Betriebsdaten: Bestellungen, Inventaraufzeichnungen, Rezepte, Kundendaten
• Nutzungsdaten: Anmeldezeitstempel, Funktionsnutzung, Browsertyp
• Technische Daten: IP-Adresse, Geräteinformationen, Sitzungskennungen

Wir erheben keine sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten, biometrische Daten), sofern Sie diese nicht ausdrücklich in Ihren Geschäftsdaten angeben.

Indirekte Datenerhebung (Art. 14 DSGVO): Wenn Sie den Dienst zur Verwaltung Ihrer Bäckerei nutzen, können Sie personenbezogene Daten Ihrer eigenen Kunden, Mitarbeiter und Lieferanten eingeben (z. B. Namen, Kontaktdaten, Lieferadressen). Wir verarbeiten diese Daten in Ihrem Auftrag als Auftragsverarbeiter gemäß dem Auftragsverarbeitungsvertrag (AVV). Sie als Verantwortlicher sind dafür zuständig, diese Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren und gegebenenfalls erforderliche Einwilligungen einzuholen. Wir verwenden diese indirekt erhobenen Daten ausschließlich zur Erbringung des Dienstes für Sie.

Die Angabe Ihrer Kontodaten (Name, E-Mail, Passwort) ist eine vertragliche Voraussetzung für die Erstellung Ihres Kontos und die Bereitstellung des Dienstes. Ohne diese Daten können wir Ihnen keinen Zugang zu BakeWind gewähren. Alle weiteren Daten, die Sie in den Dienst eingeben (Geschäftsdaten, Kundendaten, Bestellungen), werden von Ihnen freiwillig im Rahmen Ihrer Nutzung der Plattform bereitgestellt.

3. Wie wir Ihre Daten verwenden & Rechtsgrundlage (DSGVO)

Wir verarbeiten Ihre personenbezogenen Daten für die nachfolgend aufgeführten Zwecke. Jedem Zweck ist die entsprechende Rechtsgrundlage nach der DSGVO zugeordnet:

• Bereitstellung und Pflege des Dienstes — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
• Abwicklung Ihres Abonnements und der Abrechnung — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
• Versand transaktionaler E-Mails (Kontoverifizierung, Passwortzurücksetzung, Bestellbenachrichtigungen) — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
• Bereitstellung von Kundensupport — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
• Verbesserung des Dienstes und Fehlerbehebung auf Basis aggregierter Nutzungsmuster — Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): unser Interesse an der Pflege und Verbesserung eines zuverlässigen Dienstes
• Sicherstellung der Sicherheit, Betrugsprävention und Erkennung unbefugter Zugriffe — Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): unser Interesse am Schutz des Dienstes und seiner Nutzer
• Aufbewahrung von Abrechnungsunterlagen und Rechnungen — Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): deutsches Steuerrecht (§ 147 AO, § 14b UStG)
• Marketing-Kommunikation (Newsletter, Produktupdates) — Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit widerrufen können. Wir versenden derzeit keine Marketing-E-Mails; sollte dies eingeführt werden, ist Ihre ausdrückliche Einwilligung (Opt-in) erforderlich

4. Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen. Nach Erhalt Ihres Widerspruchs stellen wir die Verarbeitung ein, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Um Ihr Widerspruchsrecht auszuüben, kontaktieren Sie uns unter privacy@bakewind.com.

5. Datenweitergabe

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Daten nur an folgende Stellen weiter:

• Hetzner Online GmbH (Falkenstein, Deutschland) — Infrastruktur-Hosting und Datenspeicherung. Alle Daten werden innerhalb der Europäischen Union gehostet.
• Stripe, Inc. (USA / Europäische Union) — Zahlungsabwicklung und Abonnementverwaltung (PCI DSS-konform). Stripe handelt darüber hinaus als eigenständiger Verantwortlicher für eigene Zwecke der Betrugsprävention und regulatorischen Compliance gemäß seiner eigenen Datenschutzerklärung.
• Mailtrap / Railsware Products, Inc. (USA) — Transaktionaler E-Mail-Versand (Kontoverifizierung, Passwortzurücksetzung, Benachrichtigungen).
• Behörden — Wenn gesetzlich, durch Gerichtsbeschluss oder behördliche Anordnung erforderlich

Alle Drittanbieter-Auftragsverarbeiter sind durch Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO gebunden. Einzelheiten zu Unterauftragsverarbeitern und internationalen Datenübermittlungen entnehmen Sie bitte unserem Auftragsverarbeitungsvertrag.

6. Cookies & Analysen

BakeWind verwendet Umami, ein datenschutzfreundliches, selbst gehostetes Open-Source-Analysetool, das auf unserer eigenen Infrastruktur innerhalb der EU betrieben wird. Umami verwendet keine Cookies, verfolgt keine Nutzer über Websites hinweg und speichert keine personenbezogenen Daten. IP-Adressen werden vorübergehend zur Geolokalisierung verarbeitet, aber nicht gespeichert oder protokolliert.

Wir verwenden ausschließlich technisch notwendige Erstanbieter-Cookies für die Authentifizierung. Diese Cookies sind gemäß § 25 Abs. 2 TTDSG und der ePrivacy-Richtlinie von der Einwilligungspflicht ausgenommen, da sie für die Funktion des Dienstes unbedingt erforderlich sind. Die von uns gesetzten Cookies sind:

• bw_access — Zweck: Authentifizierung (JWT-Zugriffstoken). Dauer: 15 Minuten. Typ: httpOnly, secure, sameSite: lax, Erstanbieter.
• bw_refresh — Zweck: Sitzungsverlängerung (JWT-Refresh-Token). Dauer: 7 Tage bei aktiviertem „Angemeldet bleiben", andernfalls sitzungsbezogen (läuft beim Schließen des Browsers ab). Typ: httpOnly, secure, sameSite: lax, Erstanbieter.

Wir verwenden keine Werbe-Cookies, Tracking-Skripte von Drittanbietern oder sonstige einwilligungspflichtige Cookies.

7. Ihre Rechte (DSGVO)

Gemäß der DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15): Anforderung einer Kopie Ihrer personenbezogenen Daten und Informationen über deren Verarbeitung
• Recht auf Berichtigung (Art. 16): Korrektur ungenauer oder unvollständiger personenbezogener Daten
• Recht auf Löschung (Art. 17): Löschung Ihrer personenbezogenen Daten, wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind
• Recht auf Einschränkung der Verarbeitung (Art. 18): Einschränkung der Verarbeitung unter bestimmten Umständen
• Recht auf Datenübertragbarkeit (Art. 20): Erhalt Ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format und Übermittlung an einen anderen Verantwortlichen
• Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen — siehe Abschnitt 4 oben
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Widerruf Ihrer Einwilligung jederzeit, soweit die Verarbeitung auf Einwilligung beruht, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird
• Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22): Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling, die rechtliche Wirkung oder ähnlich erhebliche Auswirkungen auf Sie hat
• Beschwerderecht (Art. 77): Einreichung einer Beschwerde bei einer Aufsichtsbehörde — siehe Abschnitt 12 unten

Um Ihre Rechte auszuüben, kontaktieren Sie uns unter privacy@bakewind.com. Wir antworten ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang Ihres Antrags, wie von Art. 12 Abs. 3 DSGVO vorgeschrieben. Diese Frist kann um zwei weitere Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anfragen erforderlich ist.

8. Datenaufbewahrung

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie Ihr Konto aktiv ist oder zur Bereitstellung des Dienstes erforderlich. Nach Kontobeendigung:

• Konto- und Geschäftsdaten: Löschung innerhalb von 30 Tagen nach Kontobeendigung
• Abrechnungsunterlagen (Rechnungen, Zahlungsreferenzen): Aufbewahrung für 10 Jahre gemäß deutschem Steuerrecht (§ 147 AO, § 14b UStG). Es werden nur Finanzdaten aufbewahrt; zugehörige personenbezogene Daten werden minimiert.
• Nutzungsdaten (Anmeldezeitstempel, Funktionsnutzung): Aufbewahrung für die Dauer des Kontos. Löschung innerhalb von 30 Tagen nach Kontobeendigung.
• Sicherheitsprotokolle (Authentifizierungsereignisse, Zugriffsprotokolle): Aufbewahrung für 90 Tage zur Betrugsprävention und Sicherheitsüberwachung
• Technische Daten (IP-Adressen, Sitzungskennungen): Aufbewahrung für 90 Tage, danach automatische Löschung
• Backups: Verschlüsselte Backups folgen einem Aufbewahrungszyklus von 7 täglichen, 4 wöchentlichen und 12 monatlichen Sicherungen. Nach der Löschung aus dem Livesystem können Daten in bestehenden Backups verbleiben, bis diese im Rahmen der Rotation gelöscht werden — maximal 12 Monate für das älteste monatliche Backup. Backups sind verschlüsselt und zugriffsbeschränkt.

9. Datensicherheit

Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, darunter:

• AES-256-GCM-Verschlüsselung für sensible Daten im Ruhezustand
• TLS/HTTPS-Verschlüsselung für alle Daten bei der Übertragung
• Gehashte Passwörter mit bcrypt und Salt-Runden
• Rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung
• Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen
• Token-Blacklisting und -Rotation für das Sitzungsmanagement

10. Internationale Datenübermittlung

Ihre Daten werden primär auf Servern innerhalb der Europäischen Union gehostet (Hetzner, Falkenstein, Deutschland). Bestimmte Unterauftragsverarbeiter (Stripe, Mailtrap) können begrenzte Daten für die Zahlungsabwicklung und den E-Mail-Versand in die Vereinigten Staaten übermitteln. Diese Übermittlungen sind durch Standardvertragsklauseln (SVK) und, im Falle von Stripe, durch die Zertifizierung im Rahmen des EU-US-Datenschutzrahmens (Data Privacy Framework) abgesichert. Einzelheiten zu den Übermittlungsmechanismen je Unterauftragsverarbeiter entnehmen Sie bitte unserem Auftragsverarbeitungsvertrag (Abschnitt 8).

11. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir Sie per E-Mail oder durch einen Hinweis innerhalb des Dienstes mindestens 30 Tage vor Inkrafttreten der Änderungen.

Die aktuelle Version dieser Erklärung ist jederzeit auf unserer Website verfügbar.

12. Kontakt & Beschwerden

Bei Fragen, Anliegen oder zur Ausübung Ihrer Datenschutzrechte kontaktieren Sie uns unter:

Wenn Sie der Meinung sind, dass Ihre Datenschutzrechte verletzt wurden, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die zuständige Behörde für Berlin ist: