Außendienstapp

Datenschutzerklärung

1. Verantwortlicher

Benedikt Bimmerle
Merowingerstraße 6
40223 Düsseldorf
E-Mail: info@aussendienstapp.de
Telefon: +49 160 71 33249

Ein Datenschutzbeauftragter ist gemäß § 38 BDSG derzeit nicht bestellt, da die Voraussetzungen nicht vorliegen.

2. Erhebung und Speicherung personenbezogener Daten

Bei der Nutzung von Außendienstapp erheben wir folgende Daten:

  • Registrierungsdaten: Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert via bcrypt)
  • Nutzungsdaten: Besuchsberichte, Fotos, Kundenstammdaten, GPS-Positionen (nur mit ausdrücklicher Genehmigung)
  • Bestelldaten: Bestellungen, Produktdaten und Bestellpositionen im Rahmen der Außendienstbesuche
  • Zahlungsdaten: Bei kostenpflichtiger Nutzung werden Zahlungsdaten (Kreditkarte oder SEPA) ausschließlich von unserem Zahlungsdienstleister Stripe verarbeitet. Wir speichern selbst keine Kreditkarten- oder Bankdaten.
  • Technische Daten: IP-Adresse, Browsertyp, Zugriffszeiten (Server-Logs)

Die Bereitstellung der Registrierungsdaten (Name, E-Mail, Passwort, Firmenname) ist für den Vertragsabschluss erforderlich. Ohne diese Daten kann kein Account erstellt und der Dienst nicht genutzt werden. Die Bereitstellung von GPS-Daten und die Newsletter-Einwilligung sind freiwillig und für die Nutzung des Dienstes nicht erforderlich.

Minderjährige: Der Dienst richtet sich ausschließlich an Unternehmen (B2B) und ist nicht für die Nutzung durch Personen bestimmt, die das 16. Lebensjahr noch nicht vollendet haben.

3. Rechtsgrundlage

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Grundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Bereitstellung der Software, Registrierung, Account-Verwaltung, transaktionale E-Mails)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Sicherheit, Missbrauchsprävention, Fehlerüberwachung, produktbezogene Hinweis-E-Mails während der Testphase)
  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (GPS-Erfassung, Newsletter, optionale Features)

4. Hosting und Infrastruktur

Hosting: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Unsere Anwendung wird in der EU-Region (Frankfurt, Deutschland) gehostet. Vercel ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Datenbank: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Die PostgreSQL-Datenbank wird in der EU-Region gehostet (AWS eu-central-1, Frankfurt). Supabase verarbeitet Daten ausschließlich innerhalb der EU. Es besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO.

Dateispeicherung: Fotos und Dokumente werden in Supabase Storage gespeichert (EU-Region, S3-kompatibel, AWS eu-central-1).

5. Zahlungsabwicklung

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Stripe (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei der Buchung eines kostenpflichtigen Tarifs werden Sie auf eine sichere Stripe-Checkout-Seite weitergeleitet. Stripe verarbeitet dabei Ihre Zahlungsdaten (Kreditkarte oder SEPA-Lastschrift), E-Mail-Adresse und Firmenname. Wir selbst speichern keine Kreditkarten- oder Bankdaten — diese werden ausschließlich von Stripe verarbeitet und gespeichert.

Stripe ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert und PCI DSS Level 1 konform (höchste Sicherheitsstufe für Zahlungsdaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: stripe.com/de/privacy

6. Kartendarstellung und Geocoding

Für die Kartendarstellung verwenden wir Kartenkacheln von CARTO (CARTO, Inc., 307 5th Ave, New York, NY 10016, USA), basierend auf OpenStreetMap-Daten. Beim Laden der Kartenkacheln wird Ihre IP-Adresse an CARTO-Server übermittelt. Für die Umwandlung von Adressen in Koordinaten (Geocoding) nutzen wir den Photon-Dienst von Komoot (basierend auf OpenStreetMap-Daten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: https://carto.com/privacy

7. Cookies und lokale Speicherung

Außendienstapp verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookies von Supabase Auth). Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Die Verwendung dieser Cookies ist gemäß § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ohne Einwilligung zulässig, da sie für die Erbringung des Dienstes unbedingt erforderlich sind. Ein Cookie-Banner ist daher nicht erforderlich.

Zusätzlich speichern wir einen funktionalen Cookie (view_mode) zur Steuerung der Ansicht für Manager-Accounts (technisch notwendig, kein Consent erforderlich).

Progressive Web App (PWA): Außendienstapp ist als PWA nutzbar. Dabei werden über einen Service Worker statische Ressourcen (HTML, CSS, JavaScript, Bilder) lokal auf Ihrem Endgerät zwischengespeichert, um die Ladezeiten zu verbessern und eine eingeschränkte Offline-Nutzung zu ermöglichen. Zusätzlich kann die App mittels IndexedDB Daten temporär lokal speichern (z.B. noch nicht synchronisierte Besuchsberichte bei fehlender Internetverbindung). Diese Daten werden bei nächster Verbindung automatisch mit dem Server synchronisiert und anschließend lokal gelöscht. Es werden dabei keine personenbezogenen Daten dauerhaft auf Ihrem Endgerät gespeichert. Sie können den lokalen Speicher jederzeit über die Browser-Einstellungen löschen.

8. Webanalyse

Wir verwenden Vercel Analytics und Vercel Speed Insights für anonyme Nutzungsstatistiken und Performance-Messungen. Beide Dienste sind cookieless — es werden keine personenbezogenen Daten erhoben und keine Cookies gesetzt. Die Auswertung erfolgt ausschließlich auf aggregierter Ebene (Seitenaufrufe, Ladezeiten, Web Vitals). Ein Cookie-Banner ist daher nicht erforderlich. Anbieter: Vercel Inc. (siehe Abschnitt 4).

9. Schriftarten

Wir verwenden die Schriftart „Outfit“ ausschließlich lokal eingebunden (self-hosted via next/font). Es findet kein Datentransfer an Google-Server statt. Ihre IP-Adresse wird nicht an Google übermittelt.

10. Fehlerüberwachung

Wir verwenden Sentry (Functional Software Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur automatischen Erkennung von Anwendungsfehlern. Sentry erfasst technische Fehlerdaten (Fehlermeldung, Stack Trace, Browser-Typ, Betriebssystem) — keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Passwörter. Die Datenverarbeitung erfolgt in der EU-Region (de.sentry.io). Sentry ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Sicherheit der Anwendung).

11. E-Mail-Kommunikation

Für transaktionale E-Mails (Einladungen, Passwort-Reset) nutzen wir Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA) als E-Mail-Dienstleister. Resend verarbeitet Ihre E-Mail-Adresse ausschließlich zum Zweck des E-Mail-Versands. Resend ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Während der kostenlosen Testphase erhalten Sie außerdem produktbezogene Hinweis-E-Mails, die Ihnen den Einstieg erleichtern (z.B. Tipps zur Nutzung, Hinweise auf Funktionen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bestmöglichen Nutzung des Testangebots). Diese E-Mails enthalten keine Werbung für Drittanbieter-Produkte. Sie können dem Erhalt dieser E-Mails jederzeit widersprechen, indem Sie auf den Abmeldelink in der jeweiligen E-Mail klicken oder uns unter info@aussendienstapp.de kontaktieren.

Newsletter (Produktneuheiten & Tipps): Bei der Registrierung können Sie optional einwilligen, gelegentlich Produktneuheiten und Praxis-Tipps per E-Mail zu erhalten. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Aktivierung der Checkbox bei der Registrierung erhalten Sie eine Bestätigungsmail mit einem Bestätigungslink. Erst nach Klick auf diesen Link wird Ihre Einwilligung wirksam. Der Bestätigungslink ist 72 Stunden gültig. Wir protokollieren den Zeitpunkt der Einwilligung, die Bestätigung und einen etwaigen Widerruf zu Nachweiszwecken (Art. 7 Abs. 1 DSGVO).

Rechtsgrundlage für den Newsletter-Versand: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Verarbeitet werden: E-Mail-Adresse, Name (für die persönliche Anrede), Zeitpunkt der Einwilligung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — entweder über den Abmeldelink in jeder Newsletter-Mail oder über den Schalter in Ihren Profileinstellungen unter „E-Mail-Einstellungen“. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

12. GPS-Daten und Standorterfassung

Bei der Erstellung von Besuchsberichten kann optional die GPS-Position erfasst werden. Dies geschieht nur mit ausdrücklicher Genehmigung des Nutzers über die Browser-Berechtigungsabfrage. Die GPS-Daten dienen der Dokumentation des Besuchsorts und werden zusammen mit dem Besuchsbericht in der EU-Region gespeichert. Sie können die Standorterfassung jederzeit in Ihren Browser-Einstellungen deaktivieren.

13. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO. Sie können Ihre gespeicherten Daten jederzeit in Ihrem Benutzerkonto unter „Einstellungen“ als JSON-Datei exportieren.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft. Sie können Ihr Benutzerkonto jederzeit selbstständig in den Einstellungen löschen. Dabei werden alle mit Ihrem Konto verknüpften Daten unwiderruflich entfernt.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zu erhalten. Sie können diesen Export jederzeit über „Einstellungen“ → „Meine Daten exportieren“ herunterladen. Sie haben ferner das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen. Insbesondere können Sie der Verarbeitung zum Zwecke der produktbezogenen E-Mails jederzeit widersprechen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z.B. GPS-Standorterfassung, Newsletter), haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf können Sie wie folgt erklären:

  • GPS: Über die Browser-Einstellungen
  • Newsletter: Über den Abmeldelink in jeder E-Mail oder den Schalter in den Profileinstellungen unter „E-Mail-Einstellungen“
  • Oder per E-Mail an info@aussendienstapp.de
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@aussendienstapp.de

14. Datenlöschung und Aufbewahrungsfristen

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

  • Account-Daten: Bei Kündigung oder auf Wunsch des Nutzers. Nach Kündigung bleiben die Daten 30 Tage zum Export verfügbar, danach unwiderrufliche Löschung.
  • Testphasen-Daten: 30 Tage nach Ende der Testphase, sofern kein Upgrade erfolgt
  • Besuchsberichte und Kundenstammdaten: Für die Dauer des Vertragsverhältnisses, danach gemäß den Löschfristen für Account-Daten
  • Fotos und Bilddaten: Automatische Löschung nach 24 Monaten. Fotos, die im Rahmen von Besuchsberichten hochgeladen werden, werden maximal 2 Jahre aufbewahrt und anschließend automatisch aus dem Speicher entfernt. Eine vorzeitige Löschung ist jederzeit über die App oder per E-Mail möglich.
  • GPS-Daten: Werden zusammen mit dem zugehörigen Besuchsbericht gespeichert und unterliegen denselben Löschfristen
  • Server-Logs: Nach 30 Tagen automatisch
  • Fehlerberichte (Sentry): Nach 90 Tagen automatisch

Darüber hinaus können gesetzliche Aufbewahrungspflichten eine längere Speicherung erfordern, insbesondere nach § 257 HGB (Handelsbücher, Inventare, Bilanzen: 10 Jahre) und § 147 AO (steuerlich relevante Unterlagen: 6 bzw. 10 Jahre). Soweit solche Pflichten bestehen, wird die Verarbeitung für die Dauer der Aufbewahrungsfrist eingeschränkt.

Nutzer können ihre Daten jederzeit über die Kontoeinstellungen oder per E-Mail an info@aussendienstapp.de löschen lassen.

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Passwort-Hashing mit bcrypt (Cost Factor 10)
  • Row Level Security (RLS) auf Datenbankebene
  • EU-Hosting für alle Dienste
  • Tägliche automatische Backups der Datenbank
  • Zugriffskontrolle über rollenbasiertes Berechtigungssystem

16. Auftragsverarbeitung

Soweit wir im Rahmen der Bereitstellung des Dienstes personenbezogene Daten im Auftrag unserer Kunden verarbeiten, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Der AVV kann unter aussendienstapp.de/avv eingesehen werden.

17. Unterauftragnehmer (Sub-Processors)

Zur Erbringung des Dienstes setzen wir folgende Unterauftragnehmer ein:

AnbieterZweckStandortTransfergrundlage
Vercel Inc.Hosting, Webanalyse, Speed InsightsUSA (Daten: EU Frankfurt)EU-US DPF
Supabase Inc.Datenbank, Auth, DateispeicherungSingapur (Daten: EU Frankfurt)AVV, Daten in EU
Stripe, Inc.Zahlungsabwicklung, AbonnementverwaltungUSAEU-US DPF, PCI DSS
Resend Inc.Transaktionale E-MailsUSAEU-US DPF
Functional Software Inc. (Sentry)FehlerüberwachungUSA (Daten: EU de.sentry.io)EU-US DPF
CARTO, Inc.KartenkachelnUSAEU-US DPF

Änderungen an der Liste der Unterauftragnehmer werden auf dieser Seite veröffentlicht. Kunden mit aktivem AVV werden vorab per E-Mail informiert und haben ein Widerspruchsrecht gemäß dem AVV.

18. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt. Alle Entscheidungen, die Sie oder Ihr Unternehmen betreffen, werden von natürlichen Personen getroffen.

19. Datenübermittlung in Drittländer

Soweit wir Unterauftragnehmer mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) einsetzen, stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

  • USA: Vercel, Stripe, Resend und Sentry sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Das DPF basiert auf dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. Zusätzlich sind Standardvertragsklauseln (SCCs) als ergänzende Schutzmaßnahme vereinbart.
  • USA (CARTO): CARTO, Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
  • Singapur: Supabase Inc. hat seinen Sitz in Singapur. Alle Kundendaten werden jedoch ausschließlich in der EU-Region (Frankfurt) gespeichert und verarbeitet. Es findet kein Transfer personenbezogener Kundendaten nach Singapur statt.

Stand: 5. April 2026