This Privacy Policy informs you about the processing of personal data in connection with the marketing website decidly.io and the use of Decidly (the “Service”), available at app.decidly.io.
1. Controller
Controller within the meaning of Art. 4 (7) GDPR:
DBBC Ventures GmbH
Platanenstr. 45, 13156 Berlin, Germany
Phone: +49 176 20908066
Email: privacy@decidly.io
Registered at Local Court Berlin (Charlottenburg), HRB 256898.
2. Data Protection Officer
We have not appointed a data protection officer because the statutory requirements for such an appointment (§ 38 BDSG) are not currently met. For any data protection questions, please contact privacy@decidly.io.
3. Roles under the GDPR
With respect to personal data that you (or your organisation) enter when using the Service – e.g. names of employees, decision content, comments – your organisation acts as the controller and we act as the processor. Processing is governed by a Data Processing Agreement (see Data Processing Agreement).
For the processing of your account data, billing data and technical logs, as well as for visits to the marketing website, we act as the controller. This Privacy Policy covers that processing.
4. Categories of Data Processed
- Account and profile data: email address, name, avatar, organisation, role, language setting.
- Authentication data: hash of email, OAuth provider IDs (Google, Microsoft), session tokens, magic-link tokens.
- Usage data: decision content you create, comments, file attachments, timestamps.
- Acceptance logs: document version, IP hash, user agent, timestamp – to document acceptance of Terms, Privacy Policy and DPA.
- Technical logs: IP address, HTTP status code, requested path, timestamp, user agent – for error analysis and abuse prevention.
- Communication data: content you send us via email or support channels.
5. Purposes and Legal Bases
| Purpose |
Legal basis |
| Providing the Service, account management | Art. 6(1)(b) GDPR (contract) |
| Authentication (OAuth, Magic Link) | Art. 6(1)(b) GDPR |
| Security, abuse prevention, log files | Art. 6(1)(f) GDPR (legitimate interests) |
| Evidence of acceptance of Terms / Privacy / DPA | Art. 6(1)(f) GDPR (documentation and legal defence); Art. 6(1)(c) where retention is legally required |
| Support communication | Art. 6(1)(b)/(f) GDPR |
| Statutory retention (e.g. invoices) | Art. 6(1)(c) GDPR, § 257 HGB, § 147 AO |
| AI assistance (Clarify / Ideate / Decide) | Art. 6(1)(b) GDPR (contract performance) |
6. Hosting
6.1 Marketing site (decidly.io)
The marketing site is hosted by ALL-INKL.COM – Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf, Germany. When the site is accessed, the following data is automatically logged in server log files:
- IP address of the requesting device (anonymised)
- Date and time of access
- Name and URL of the requested file
- Volume of data transferred
- HTTP status code
- Browser type and operating system
- Referrer URL
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in technically sound and secure operation). Logs are deleted within 14 days, unless a security incident requires longer retention. A data processing agreement pursuant to Art. 28 GDPR is in place with ALL-INKL.COM.
6.2 Application (app.decidly.io)
The application database, authentication and file storage are operated by Supabase in the EU (AWS region eu-west-1, Ireland). A data processing agreement pursuant to Art. 28 GDPR is in place. A complete list of all sub-processors can be found at Subprocessors.
6.3 Application-Hosting (Vercel)
The application frontend, server-side routes and the internal admin dashboard are hosted and executed on Vercel. Depending on the request, Vercel processes HTTP request metadata, technical logs and content transiently required to serve the respective request. A data processing agreement pursuant to Art. 28 GDPR and EU Standard Contractual Clauses are in place.
6a. Email Delivery (Resend)
For service emails (password reset, invitations, notifications about pending decisions, weekly digests) we use Resend, operated by Resend.com, Inc., hosted in the EU (AWS region eu-west-1, Ireland). A data processing agreement pursuant to Art. 28 GDPR is in place.
- Content: email address, name, content of the respective notification, and delivery metadata (e.g. bounces).
- Opt-out: Product notifications (reminders, digests, mentions) can be disabled at any time in the notification settings. Security and contract-related emails (password reset, invitation confirmation) are excluded.
6b. Payment Processing (Stripe)
For paid tiers, AI-credit top-ups and payment status synchronisation we use Stripe Payments Europe, Limited. Stripe processes billing contact data, payment and subscription identifiers, invoice and payment metadata and payment-method details. Decidly does not store full card numbers. A data processing agreement pursuant to Art. 28 GDPR and EU Standard Contractual Clauses are in place.
7. AI-Assisted Features (Anthropic / Claude)
For features supporting clarification, ideation and decision-making, we use the Claude language model operated by Anthropic PBC (USA). When you actively trigger an AI feature, the input necessary for the request (e.g. your question, relevant text excerpts) is transmitted to Anthropic.
- No training: According to Anthropic, API inputs and outputs are not used for model training by default. Standard retention is up to 30 days for safety and abuse monitoring unless a separate zero-data-retention agreement applies.
- Third-country transfer: Transfers to the USA are safeguarded by EU Standard Contractual Clauses and Anthropic's certification under the EU-U.S. Data Privacy Framework.
- Minimisation: Only content strictly necessary for the request is transmitted. Account data is not transmitted.
8. OAuth Sign-In (Google, Microsoft)
When you sign in via an OAuth provider, the authentication data (email address, possibly name, provider ID) is exchanged between the provider and us. The legal basis is Art. 6(1)(b) GDPR. Details on processing by the providers are available in their respective privacy policies.
9. Cookies, Local Storage and Fonts
On the marketing website (decidly.io) we set no cookies. We use local storage only to remember your language preference; this is not used for analytics or marketing.
In the application (app.decidly.io) we use only strictly necessary cookies and localStorage entries (session tokens, theme setting). These are exempt from consent under § 25(2)(2) TDDDG. We do not use marketing or analytics cookies.
Both sites use the fonts Inter and JetBrains Mono as well as Tailwind CSS. All resources are served locally from our own servers. There is no connection to Google servers or any content delivery network and no transmission of your IP address to third parties.
10. Contact Form
When you submit the contact form on this site or inside the application (Settings → Help & Feedback), the following data is processed: the email address you provide and, optionally, your name; subject and message; the category you select (bug, feature, question, other); the language of the form; and a non-reversible hash of your IP address — used solely for rate-limiting and abuse protection. The original IP address is not stored. Submissions from the logged-in application additionally include the current URL, your browser's user agent and viewport, and the browser language, to help us reproduce reported issues.
Legal bases: our legitimate interest in receiving and responding to user enquiries (Art. 6(1)(f) GDPR); for contract-related queries from existing customers, the performance of a contract (Art. 6(1)(b) GDPR); for the IP hash, our legitimate interest in protecting the form against spam and automated abuse (Art. 6(1)(f) GDPR). Submission of the form requires acknowledgement of this privacy notice.
Submissions are stored in our Supabase database in the EU region (see § 6.2). They are visible only to authorised internal staff of the controller via an admin interface. We do not automatically forward contact-form submissions by email, and there is no transfer to third parties beyond the hosting providers listed in our Subprocessor list.
Contact-form messages are deleted automatically 90 days after we have marked them as resolved or closed. You can request earlier deletion at any time by writing to privacy@decidly.io.
11. Retention Periods
- Account data: until deletion of the account by you or your organisation.
- Usage data (decisions etc.): until deletion by your organisation's controller or as per DPA.
- Technical logs (application): max. 30 days, then deletion or aggregation.
- Server logs (marketing site): max. 14 days.
- Acceptance logs: duration of the business relationship + 3 years (evidence).
- Contact-form messages: 90 days after we have marked the message as resolved or closed (then automatically deleted).
- Invoices / tax-relevant data: 10 years (§ 147 AO).
12. Recipients and Third-Country Transfers
We disclose personal data only to the processors listed in the Subprocessor list and to public authorities where legally required. Third-country transfers may occur in particular for Anthropic, Google Workspace, Stripe, Vercel and GitHub where relevant; they are safeguarded by Standard Contractual Clauses and, where applicable, the EU-U.S. Data Privacy Framework.
13. Source Code Deployment
The source code of both sites is versioned and automatically deployed via GitHub (GitHub, Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA). For visitors to these sites, this deployment process involves no data processing by GitHub; no GitHub resources are loaded in the visitor's browser.
14. Automated Decision-Making
There is no automated decision-making, including profiling, within the meaning of Art. 22 GDPR. AI suggestions are suggestions; decisions are always made by a human.
15. Your Rights
- Right of access (Art. 15 GDPR)
- Right to rectification (Art. 16 GDPR)
- Right to erasure (Art. 17 GDPR)
- Right to restriction of processing (Art. 18 GDPR)
- Right to data portability (Art. 20 GDPR)
- Right to object (Art. 21 GDPR)
- Right to withdraw consent with effect for the future where processing is based on consent (Art. 7(3) GDPR)
To exercise your rights, an informal message to privacy@decidly.io is sufficient.
16. Right to Lodge a Complaint
Without prejudice to any other remedy, you have the right to lodge a complaint with a supervisory authority. The authority competent for us is:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61
10555 Berlin
www.datenschutz-berlin.de
17. Security
We implement technical and organisational measures to protect your data against unauthorised access, loss or alteration. These include in particular: TLS encryption, row-level security at the database layer (tenant-isolated visibility), encrypted storage of authentication data, need-to-know access controls and regular reviews. Details are set out in the TOMs annex to the DPA.
18. Changes to this Policy
We adapt this Privacy Policy if features, legal requirements or the services we use change. The current version is always available at this URL. For material changes, we additionally notify active users by email or in-app.
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Marketing-Website decidly.io und der Nutzung von Decidly (nachfolgend „Dienst“), erreichbar unter app.decidly.io.
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
DBBC Ventures GmbH
Platanenstr. 45, 13156 Berlin, Deutschland
Telefon: +49 176 20908066
E-Mail: privacy@decidly.io
Eingetragen beim Amtsgericht Berlin (Charlottenburg) unter HRB 256898.
2. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür derzeit nicht vorliegen (§ 38 BDSG). Bei Fragen zum Datenschutz erreichen Sie uns unter privacy@decidly.io.
3. Rollen nach der DSGVO
Bei personenbezogenen Daten, die Sie (oder Ihre Organisation) im Rahmen der Nutzung des Dienstes einstellen – z. B. Namen von Mitarbeitenden, Entscheidungsinhalte, Kommentare –, handelt Ihre Organisation als Verantwortlicher und wir als Auftragsverarbeiter. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV), siehe Auftragsverarbeitungsvertrag.
Für die Verarbeitung Ihrer Kontodaten, Abrechnungsdaten und technischen Logs sowie für den Besuch der Marketing-Website sind wir selbst Verantwortlicher. Diese Erklärung betrifft diese Verarbeitung.
4. Kategorien verarbeiteter Daten
- Konto- und Profildaten: E-Mail-Adresse, Name, Avatar, Organisation, Rolle, Spracheinstellung.
- Authentifizierungsdaten: Hash der E-Mail, OAuth-Provider-IDs (Google, Microsoft), Session-Token, Magic-Link-Token.
- Nutzungsdaten: Von Ihnen erstellte Entscheidungsinhalte, Kommentare, Dateianhänge, Zeitstempel.
- Bestätigungs-Protokolle: Dokumentenversion, IP-Hash, User-Agent, Zeitstempel – zum Nachweis der Bestätigung von AGB, Datenschutzerklärung und AVV.
- Technische Logs: IP-Adresse, HTTP-Statuscode, aufgerufener Pfad, Zeitstempel, User-Agent – für Fehleranalyse und Missbrauchsabwehr.
- Kommunikationsdaten: Inhalte, die Sie per E-Mail oder Support-Kanal an uns senden.
5. Zwecke und Rechtsgrundlagen
| Zweck |
Rechtsgrundlage |
| Bereitstellung des Dienstes, Account-Verwaltung | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Authentifizierung (OAuth, Magic Link) | Art. 6 Abs. 1 lit. b DSGVO |
| Sicherheit, Missbrauchsabwehr, Log-Dateien | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Nachweis der AGB/Datenschutz/AVV-Bestätigung | Art. 6 Abs. 1 lit. f DSGVO (Dokumentation und Rechtsverteidigung); Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungspflichten bestehen |
| Support-Kommunikation | Art. 6 Abs. 1 lit. b/f DSGVO |
| Gesetzliche Aufbewahrungspflichten (z. B. Rechnungen) | Art. 6 Abs. 1 lit. c DSGVO, § 257 HGB, § 147 AO |
| KI-Unterstützung (Clarify / Ideate / Decide) | Art. 6 Abs. 1 lit. b DSGVO (Vertragsleistung) |
6. Hosting
6.1 Marketing-Site (decidly.io)
Die Marketing-Site wird bei der ALL-INKL.COM – Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf gehostet. Beim Aufruf der Website werden automatisch folgende Daten in sogenannten Server-Logfiles gespeichert:
- IP-Adresse des anfragenden Geräts (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- übertragene Datenmenge
- Meldung über erfolgreichen Abruf (HTTP-Statuscode)
- verwendeter Browsertyp und ggf. das Betriebssystem
- Referrer-URL (die zuvor besuchte Seite)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem technisch einwandfreien und sicheren Betrieb). Die Daten werden nach spätestens 14 Tagen gelöscht, sofern keine sicherheitsrelevanten Vorfälle eine längere Speicherung erfordern. Mit ALL-INKL.COM besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
6.2 Anwendung (app.decidly.io)
Die Anwendungsdatenbank, Authentifizierung und der Dateispeicher werden von Supabase in der EU (AWS Region eu-west-1, Irland) betrieben. Mit Supabase besteht ein AVV nach Art. 28 DSGVO. Eine vollständige Liste aller eingesetzten Unterauftragsverarbeiter finden Sie unter Subprocessors.
6.3 Application Hosting (Vercel)
Das Anwendungs-Frontend, serverseitige Routen und das interne Admin-Dashboard werden bei Vercel gehostet und ausgeführt. Je nach Request verarbeitet Vercel HTTP-Request-Metadaten, technische Logs und Inhalte, die zur Bearbeitung des jeweiligen Requests transient erforderlich sind. Mit Vercel besteht ein AVV nach Art. 28 DSGVO einschließlich EU-Standardvertragsklauseln.
6a. E-Mail-Versand (Resend)
Für den Versand von Service-E-Mails (Passwort-Reset, Einladungen, Benachrichtigungen über offene Entscheidungen, wöchentliche Zusammenfassungen) setzen wir den Dienst Resend der Resend.com, Inc. ein, betrieben in der EU (AWS Region eu-west-1, Irland). Mit Resend besteht ein AVV nach Art. 28 DSGVO.
- Inhalte: E-Mail-Adresse, Name, Inhalt der jeweiligen Benachrichtigung sowie Zustellungs-Metadaten (z. B. Bounces).
- Opt-out: Produkt-Benachrichtigungen (Erinnerungen, Digests, Erwähnungen) können in den Benachrichtigungs-Einstellungen jederzeit deaktiviert werden. Sicherheits- und Vertrags-E-Mails (Passwort-Reset, Einladungs-Bestätigung) sind davon ausgenommen.
6b. Zahlungsabwicklung (Stripe)
Für kostenpflichtige Tarife, KI-Guthaben-Aufladungen und die Synchronisierung des Zahlungsstatus nutzen wir Stripe Payments Europe, Limited. Stripe verarbeitet Billing-Kontaktdaten, Zahlungs- und Subscription-IDs, Rechnungs- und Zahlungsmetadaten sowie Zahlungsmittel-Daten. Decidly speichert keine vollständigen Kartennummern. Mit Stripe besteht ein AVV nach Art. 28 DSGVO einschließlich EU-Standardvertragsklauseln.
7. KI-gestützte Funktionen (Anthropic / Claude)
Für Funktionen zur Klärung, Ideenfindung und Entscheidungsunterstützung setzen wir das Sprachmodell Claude der Anbieterin Anthropic PBC (USA) ein. Wenn Sie eine KI-Funktion aktiv auslösen, werden die hierfür erforderlichen Eingaben (z. B. Ihre Fragestellung, relevante Textausschnitte) an Anthropic übermittelt.
- Kein Training: API-Eingaben und -Ausgaben werden nach Angaben von Anthropic standardmäßig nicht zum Modelltraining verwendet. Die Standard-Retention beträgt bis zu 30 Tage für Sicherheits- und Missbrauchsüberwachung, sofern keine separate Zero-Data-Retention-Vereinbarung greift.
- Drittlandtransfer: Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (EU-SCC) sowie der Zertifizierung nach dem EU-U.S. Data Privacy Framework.
- Minimierung: Übermittelt wird nur der Inhalt, der für die Anfrage zwingend nötig ist. Account-Daten werden nicht übermittelt.
8. OAuth-Login (Google, Microsoft)
Wenn Sie sich mit einem OAuth-Anbieter anmelden, werden die zur Authentifizierung erforderlichen Daten (E-Mail-Adresse, ggf. Name, Provider-ID) zwischen dem Anbieter und uns ausgetauscht. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Details zur Datenverarbeitung durch die Anbieter finden Sie in deren Datenschutzerklärungen.
9. Cookies, lokale Speicherung und Schriftarten
Auf der Marketing-Website (decidly.io) setzen wir keine Cookies. Local Storage nutzen wir nur, um Ihre Spracheinstellung zu speichern; dies wird nicht für Analyse- oder Marketingzwecke verwendet.
In der Anwendung (app.decidly.io) verwenden wir nur technisch notwendige Cookies und localStorage-Einträge (Session-Token, Theme-Einstellung). Diese sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Wir setzen keine Marketing- oder Analyse-Cookies ein.
Beide Sites verwenden die Schriftarten Inter und JetBrains Mono sowie das CSS-Framework Tailwind CSS. Sämtliche Ressourcen werden lokal vom eigenen Server ausgeliefert. Es erfolgt keine Verbindung zu Google-Servern oder einem Content Delivery Network und keine Übertragung Ihrer IP-Adresse an Dritte.
10. Kontaktformular
Wenn Sie das Kontaktformular auf dieser Website oder in der Anwendung (Einstellungen → Hilfe & Feedback) absenden, werden folgende Daten verarbeitet: die von Ihnen angegebene E-Mail-Adresse und – sofern angegeben – Ihr Name; Betreff und Nachricht; die von Ihnen gewählte Kategorie (Fehler, Feature, Frage, Sonstiges); die Sprache des Formulars; sowie ein nicht umkehrbarer Hash-Wert Ihrer IP-Adresse, der ausschließlich zur Begrenzung der Sendefrequenz und zum Missbrauchsschutz dient. Die ursprüngliche IP-Adresse wird nicht gespeichert. Bei Absendungen aus der eingeloggten Anwendung werden zusätzlich die aktuelle URL, Browser-User-Agent und Viewport-Größe sowie die Browser-Sprache übermittelt, damit wir gemeldete Fehler nachvollziehen können.
Rechtsgrundlagen: unser berechtigtes Interesse an der Entgegennahme und Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO); bei vertragsbezogenen Anfragen bestehender Kundinnen die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); für den IP-Hash unser berechtigtes Interesse am Schutz des Formulars vor Spam und automatisiertem Missbrauch (Art. 6 Abs. 1 lit. f DSGVO). Das Absenden des Formulars setzt die Kenntnisnahme dieses Datenschutzhinweises voraus.
Die Einsendungen werden in unserer Supabase-Datenbank in der EU-Region gespeichert (siehe § 6.2). Sie sind ausschließlich für autorisierte interne Mitarbeitende des Verantwortlichen über ein Admin-Interface einsehbar. Eine automatische Weiterleitung der Einsendungen per E-Mail erfolgt nicht; eine Weitergabe an Dritte über die in unserer Liste der Auftragsverarbeiter aufgeführten Hosting-Anbieter hinaus findet nicht statt.
Nachrichten aus dem Kontaktformular werden automatisch 90 Tage nach dem Zeitpunkt gelöscht, an dem wir sie als erledigt oder geschlossen markiert haben. Eine frühere Löschung können Sie jederzeit formlos unter privacy@decidly.io verlangen.
11. Speicherdauer
- Kontodaten: bis zur Löschung des Kontos durch Sie oder Ihre Organisation.
- Nutzungsdaten (Entscheidungen etc.): bis zur Löschung durch den Verantwortlichen Ihrer Organisation bzw. gemäß AVV.
- Technische Logs (Anwendung): max. 30 Tage, danach Löschung oder Aggregation.
- Server-Logs (Marketing-Site): max. 14 Tage.
- Bestätigungs-Protokolle: für die Dauer der Geschäftsbeziehung + 3 Jahre (Nachweis).
- Kontaktformular-Nachrichten: 90 Tage nachdem die Nachricht als erledigt oder geschlossen markiert wurde (danach automatische Löschung).
- Rechnungen / steuerrelevante Daten: 10 Jahre (§ 147 AO).
12. Empfänger und Drittlandtransfer
Wir geben personenbezogene Daten nur an die in der Subprocessor-Liste genannten Auftragsverarbeiter weiter, und an staatliche Stellen, soweit wir gesetzlich dazu verpflichtet sind. Drittlandübermittlungen können insbesondere bei Anthropic, Google Workspace, Stripe, Vercel und GitHub stattfinden, soweit dies für den jeweiligen Dienst relevant ist; sie erfolgen auf Grundlage von Standardvertragsklauseln und, soweit anwendbar, des EU-U.S. Data Privacy Framework.
13. Deployment / Quellcode
Der Quellcode beider Sites wird über GitHub (GitHub, Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA) versioniert und automatisiert auf den Server übertragen. Für Besucher dieser Sites ergibt sich aus diesem Prozess keine Datenverarbeitung durch GitHub; es werden keine GitHub-Ressourcen im Browser des Besuchers geladen.
14. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. KI-Vorschläge sind Vorschläge; die Entscheidung trifft stets ein Mensch.
15. Ihre Rechte
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft, soweit eine Verarbeitung auf Einwilligung beruht (Art. 7 Abs. 3 DSGVO)
Zur Ausübung genügt eine formlose Nachricht an privacy@decidly.io.
16. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Für uns zuständig ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61
10555 Berlin
www.datenschutz-berlin.de
17. Sicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Veränderung zu schützen. Dazu zählen insbesondere: TLS-Verschlüsselung, Row-Level-Security auf Datenbank-Ebene (mandantengetrennte Sichtbarkeit), verschlüsselte Speicherung von Authentifizierungsdaten, Zugriffsbeschränkungen nach Need-to-know und regelmäßige Reviews. Details siehe Anlage TOMs zum AVV.
18. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn Funktionen, Rechtslage oder eingesetzte Dienste sich ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir aktive Nutzer zusätzlich per E-Mail oder in der Anwendung.