Datenschutzerklärung
Stand: Version 1.0.0
1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Growster Solutions UG (haftungsbeschränkt)Scheidtweilerstr. 46
50933 Köln
Deutschland
Vertreten durch: Karsten Ketelsen, Geschäftsführer
Eintragung im Handelsregister:
Amtsgericht Köln, HRB 123537
Umsatzsteuer-Identifikationsnummer:
DE454977095 (gemäß § 27a UStG)
Kontakt:
Allgemeine Anfragen: kontakt@partiras.de
Datenschutz-Anfragen: dsgvo@growster-solutions.com
Hinweis zur Plattform-Betreiber-Struktur: Die Plattform Partiras (partiras.de) wird von der Growster Solutions UG (haftungsbeschränkt) betrieben. Weitere Pflichtangaben gemäß § 5 DDG finden Sie im Impressum.
2. Datenarten und Verarbeitungszwecke
Wir verarbeiten personenbezogene Daten in folgenden Vorgängen. Eine vollständige Auflistung jedes Vorgangs (Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Drittland-Übermittlung, Löschfristen, technische und organisatorische Maßnahmen) finden Sie in unserem Verarbeitungsverzeichnis nach Art. 30 DSGVO (07-13 — 02_Doku/06_DSGVO/01_Verarbeitungsverzeichnis.md).
| Vorgang | Datenart | Tabelle (intern) |
|---|---|---|
| Lead-Intake | Anfrage-Metadaten (Dringlichkeit, PLZ, Service-Art) | leads |
| Stage-3-Übergabe | Kontaktdaten (Name, Telefon, Email, Adresse) | lead_contact |
| Einwilligung | Zeitstempel, gehashte IP, Privacy-Policy-Version | consents |
| Audit-Trail | Zustandsübergänge, Akteur-IDs, Zeitstempel | audit_log |
| B2B-Servicegebuehr-Inkasso | Bestatter-Geschaeftsname, IBAN, USt-IdNr. (keine Angehoerigen-Daten) | provider_billing |
| Bestatter-Verifikation | KYB-Dokumente, Gewerbe-Nachweise | provider_documents |
| Family-Cluster-Verarbeitung | sha256-Hashes (keine Klartext-PII; siehe Abschnitt 8) | family_clusters |
B2B-Servicegebuehr-Inkasso (Bestatter ↔ Plattform)
Fuer die monatliche B2B-Servicegebuehr-Abrechnung mit unseren Bestatter-Partnern nutzen wir GoCardless SAS (Paris, Frankreich) als SEPA-Direct-Debit-Inkassodienstleister. Dabei werden ausschliesslich Daten des Bestatters (Geschaeftsname, IBAN, USt-IdNr.) verarbeitet — niemals Daten von Angehoerigen.
Datenschutz-DPA von GoCardless SAS: gocardless.com/legal/data-processing-agreement
Inhalt in Abstimmung mit Rechtsberatung — wir aktualisieren diesen Abschnitt vor Pilot-Cutover.
3. Rechtsgrundlagen der Verarbeitung
Die Rechtsgrundlagen unserer Verarbeitungen leiten sich aus Art. 6 Abs. 1 DSGVO ab und unterscheiden sich je nach Vorgang:
- Lead-Intake und Vermittlung an Bestatter: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung).
- Anonymisierte Bestatter-Vermittlung (Pre-Stage-3): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — faire, neutrale Vermittlung).
- Buchungsbeleg-Aufbewahrung: Art. 6 Abs. 1 lit. c DSGVO i.V.m. §147 AO und §257 HGB (gesetzliche Aufbewahrungspflicht 7 bzw. 10 Jahre).
- Einwilligungspflichtige Cookies und Marketing: Art. 6 Abs. 1 lit. a DSGVO i.V.m. §25 TTDSG. In der Pilot-Version werden keine Marketing- oder Analytics-Cookies eingesetzt (siehe Abschnitt 7).
- Family-Cluster-Verarbeitung: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Vertragserfüllung + berechtigtes Interesse an fairer Provisionsberechnung). Detaillierte Begründung in Abschnitt 8.
Inhalt in Abstimmung mit Rechtsberatung — wir aktualisieren diesen Abschnitt vor Pilot-Cutover.
4. Empfänger und Drittland-Übermittlung
Wir setzen die folgenden Auftragsverarbeiter ein. Die primäre Daten-Verarbeitung erfolgt in der Europäischen Union; einzelne Verarbeitungen werden bei in der EU ansässigen Tochtergesellschaften oder unter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln) durchgeführt.
| Auftragsverarbeiter | Sitz / Region | Datenkategorie | Sicherheitsmaßnahme |
|---|---|---|---|
| Vercel Inc. | EU-Frankfurt (fra1); Mutterkonzern USA | Hosting der Webanwendung, Edge-Cache | SCC + EU-Region |
| Supabase Inc. | EU-Frankfurt (eu-central-1) | Datenbank, Authentifizierung, File-Storage | EU-Region; AVV nach Art. 28 DSGVO |
| GoCardless SAS | Paris, Frankreich (EU-Inland) | B2B-Servicegebuehr-SEPA-Direct-Debit (Bestatter-Daten) | EU-Inland; AVV nach Art. 28 DSGVO |
| Resend Inc. | EU/USA (transaktional) | Versand transaktionaler Emails | SCC + AVV nach Art. 28 DSGVO |
| Trigger.dev Inc. | EU-Frankfurt (Scheduler-Region) | Asynchrone Hintergrund-Tasks (Erinnerungen, Exporte) | EU-Region; AVV nach Art. 28 DSGVO |
EU-Inland-Auftragsverarbeitung (kein Drittland)
Unser Inkassodienstleister fuer B2B-Servicegebuehren ist GoCardless SAS, ansaessig in Paris, Frankreich. Es handelt sich um eine EU-Inland-Verarbeitung — kein Drittland-Transfer.
Standard-Datenbank- und Hosting-Infrastruktur: Supabase (eu-central-1, Frankfurt) und Vercel (fra1, Frankfurt). Keine Drittland-Transfers im Standard-Setup.
Sub-Processors von GoCardless werden quartalsweise re-checked (gocardless.com/legal/sub-processors). Etwaige Drittland-Sub-Processors werden ueber Standard-Vertragsklauseln (SCCs) bzw. Adequacy-Decisions abgesichert.
Inhalt in Abstimmung mit Rechtsberatung — wir aktualisieren diesen Abschnitt vor Pilot-Cutover.
5. Speicherdauer und Löschfristen
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht. Nach Ablauf der Aufbewahrungsfrist werden die Daten gelöscht oder pseudonymisiert (Spalten-Überschreibung in unveränderlichen Audit-Tabellen, siehe Abschnitt 6 Löschungsrecht).
| Datenkategorie | Aufbewahrung | Rechtsgrundlage |
|---|---|---|
| Lead-Metadaten (Status, Dringlichkeit, PLZ, anonymisiert) | 7 Jahre | §147 AO (rechnungsrelevant) |
| Stage-3-Kontaktdaten | 6 Monate post-Auftragsende, dann Spalten-Überschreibung | Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) |
| Audit-Log (unveränderlich) | 7 Jahre | §147 AO + interne Compliance-Vorgabe |
| Service-Einwilligungs-Records (Anfrage-Submit u.Ä.) | 7 Jahre | Nachweispflicht Art. 7 Abs. 1 DSGVO |
| Cookie-Einwilligungs-Records | 3 Jahre | BfDI-„Orientierungshilfe Telemedien" 2021 |
| Family-Cluster-Hashes | 5 Jahre (automatische Cluster-Erkennung) | ADR-003 §5-Jahres-Window |
| Zahlungs-Belege (Setup-Intent + Charge) | 10 Jahre | §257 HGB (Buchungsbelege) |
| KYB-Dokumente Bestatter | 10 Jahre | §147 AO + Geldwäschegesetz-Gegenprüfung |
| Benachrichtigungs-Log (Push, SMS, Email) | 90 Tage | Operativ; nicht audit-relevant |
| Magic-Link-Tokens | 30 Tage post-Ablauf | Operativ |
Inhalt in Abstimmung mit Rechtsberatung — wir aktualisieren diesen Abschnitt vor Pilot-Cutover.
6. Ihre Rechte als betroffene Person
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können eine maschinen- und menschenlesbare Kopie aller Sie betreffenden Daten anfordern. Daten-Auskunft anfordern
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Wegen gesetzlicher Aufbewahrungspflichten (§147 AO, §257 HGB) erfolgt die Löschung überwiegend als Pseudonymisierung. Aus Schutz vor versehentlicher Datenvernichtung in Trauerphasen gilt eine 30-tägige Widerrufs- Frist. Löschung anfordern
- Einschränkungsrecht (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinen- lesbaren Format erhalten (JSON-Export im Auskunfts-Paket).
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf einer Interessenabwägung beruht.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen. Der Widerruf wirkt für die Zukunft. Cookie-Einstellungen können Sie jederzeit über den Cookie-Banner (am unteren Seitenrand sichtbar beim ersten Besuch oder erneut aufrufbar) ändern.
- Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (siehe Abschnitt 10).
8. Family-Cluster-Verarbeitung
Wenn mehrere Anfragen über einen Zeitraum hinweg derselben Familie zugeordnet werden können (z.B. Folge-Bestattungen oder gemeinsame Vorsorge-Anfragen), führen wir diese als Family-Cluster zusammen. Diese Verarbeitung dient der fairen Provisionsberechnung im Hybrid-Post-Pilot-Modus sowie der optionalen Hausbestatter- Wahlmöglichkeit für Sie als anfragende Person.
Zweck der Verarbeitung
Faire Provisionsberechnung im Hybrid-Post-Pilot-Modus (Erst-Auftrag pro Cluster mit Provision, Folge-Aufträge ohne) sowie die optionale Hausbestatter-Wahlmöglichkeit beim Anfrage-Submit (Sie können einen Bestatter, der bei früheren Bestattungen in Ihrer Familie tätig war, priorisieren oder ausschließen).
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — faire Provisionsberechnung). Diese Verarbeitung fällt ausdrücklich nicht unter Art. 9 DSGVO (besondere Datenkategorien), da Cluster-Zugehörigkeit ausschließlich eine wirtschaftliche Beziehungs-Information ist und keine Information über Gesundheit, Religion, ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, biometrische Daten oder sexuelle Orientierung enthält.
Aufbewahrungsfrist und Erkennungs-Window
Family-Cluster-Daten werden gemäß der Lead-Aufbewahrungsfrist von 7 Jahren (§147 AO) gespeichert. Das Window für die automatische Cluster-Erkennung beträgt 5 Jahre: Anfragen, die mehr als 5 Jahre auseinander liegen, werden nicht mehr als gleiches Cluster erkannt.
Datenminimierung
Die Cluster-Identifikation erfolgt ausschließlich über sha256-Hashes der Kontaktdaten (Name + PLZ + ggf. Geburtsdatum). In der Cluster-Tabelle werden keine Klartext-Personendaten gespeichert. Die Verbindung zwischen einer Anfrage und einem Cluster läuft über eine nicht-rekonstruierbare UUID. Cluster-Identität ist daher pseudonymisiert und ohne Original-Eingabe-Tupel nicht reversibel.
Ihre Rechte bei Family-Cluster-Verarbeitung
Auskunft (Art. 15 DSGVO): Auf Anfrage erhalten Sie die Cluster-ID Ihres aktuellen Vorgangs, die Liste der Sie selbst betreffenden Lead-Vorgänge im gleichen Cluster sowie den Hash-Wert zur eigenen Verifizierung. Aus Gründen der Datenminimierung werden die Hashes anderer Familienmitglieder nicht ausgeliefert (würden sonst deren personenbezogene Daten teilweise rekonstruierbar machen).
Löschung (Art. 17 DSGVO): Bei einer Löschungs- Anfrage wird die Cluster-Mitgliedschaft des betroffenen Vorgangs entfernt. Der Cluster selbst bleibt erhalten, wenn andere Lead- Vorgänge ihn referenzieren, deren betroffene Personen keine Löschung beantragt haben. Wenn der gelöschte Vorgang der letzte verknüpfte Vorgang war, wird der Cluster nach 30 Tagen automatisch gelöscht.
Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung in Family-Cluster-Form mit Wirkung für die Zukunft widersprechen. Wir entfernen in diesem Fall die Cluster- Verknüpfung für Ihren Vorgang.
9. Email-Versand
Für den Versand transaktionaler Emails (z.B. Anfrage-Bestätigung, Auftrags-Annahme-Bestätigung, Zahlungs-Bestätigung, Daten-Auskunfts-Bereitstellung, Löschungs-Bestätigung) setzen wir Resend Inc. als Auftragsverarbeiter nach Art. 28 DSGVO ein.
Folgende Email-Typen werden versendet:
- Anfrage-Bestätigungen und Status-Updates (vertragsrelevant).
- Erinnerungen vor und nach Auftrags-Annahme (Beendigung des Vermittlungsprozesses).
- Zahlungs-Kommunikation (Setup-Intent, Charge-Bestätigung, Refund- Bestätigung).
- DSGVO-Kommunikation (Auskunfts-Bereitstellung, Löschungs- Bestätigung, Cooldown-Information bei Löschung).
- Bestatter-Kommunikation (Lead-Benachrichtigung, Anonymisierungs- Hinweise — ohne Customer-PII).
Marketing- oder Newsletter-Emails werden in der Pilot-Version nicht versendet.
Inhalt in Abstimmung mit Rechtsberatung — wir aktualisieren diesen Abschnitt vor Pilot-Cutover.
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Sie können sich dabei an die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden.
Die für unseren Sitz zuständige Aufsichtsbehörde ist:
Inhalt in Abstimmung mit Rechtsberatung — wir aktualisieren diesen Abschnitt vor Pilot-Cutover.