Datenschutzerklärung

Barefoot CMP – Cookie Consent Management Platform. Zuletzt aktualisiert: Februar 2025

1. Verantwortlicher

Barefoot Performance
Verantwortlicher: Colin Kottek
E-Mail: Colin.Kottek@barefoot-creative.com

2. Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie Barefoot CMP (nachfolgend „Plattform") personenbezogene Daten erfasst, verarbeitet und schützt. Sie gilt für:

  • Benutzer, die sich in unserem Dashboard anmelden (Kontoinhaber)
  • Daten, die über unsere API und technische Systeme verarbeitet werden
  • Cookies, die die Barefoot CMP-Plattform selbst verwendet

Hinweis: Diese Datenschutzerklärung betrifft NICHT die personenbezogenen Daten von Website-Besuchern Ihrer Kunden. Barefoot CMP verarbeitet keine personenbezogenen Daten von Endbenutzern. Für die Datenverarbeitung auf Websites Ihrer Kunden sind Sie selbst verantwortlich.

3. Datenkategorien und Verarbeitungszwecke

3.1 Kontodaten (Kontoinhaber)

  • E-Mail-Adresse
  • Name und Kontaktinformationen
  • Passwort-Hash (verschlüsselt)
  • Zahlungsinformationen (verarbeitet durch Stripe)

Zweck: Kontoerstellung, Authentifizierung, Abrechnung, Kommunikation.

3.2 Consent-Protokollierungsdaten

  • Consent-Entscheidungen der Website-Besucher (Akzeptieren/Ablehnen/Granulare Einwilligung)
  • Zeitstempel der Einwilligung
  • IP-Adresse (als SHA-256-Hash, nicht rückverfolgbar)
  • Browser-Fingerprint (anonymisiert)
  • Cookie-Kategorien und deren Status

Zweck: DSGVO-Compliance, Nachweispflicht, Consent-Statistiken, Fraud-Detection.

3.3 Analytik- und Nutzungsdaten

  • Dashboard-Zugriffe und Aktionen
  • Website-URLs der verwalteten Domains
  • Cookie-Scan-Ergebnisse
  • Banner-Impressionen und Klick-Statistiken

Zweck: Produktverbesserung, Sicherheit, Fehlerbehandlung, Service-Optimierung.

3.4 Transaktions- und Rechnungsdaten

  • Rechnungsinformationen
  • Zahlungs-History
  • Subscription-Status

Zweck: Abrechnung, Buchhaltung, Geschäftsbetrieb.

3.5 Kommunikationsdaten

  • E-Mail-Korrespondenz mit Support
  • Feedback und Feature-Anfragen

Zweck: Kundenservice, Produktentwicklung, Kommunikation.

4. Rechtliche Grundlage der Verarbeitung

  • Art. 6 Abs. 1 Buchstabe b DSGVO: Erfüllung eines Vertrags (Kontoerstellung, Service-Bereitstellung)
  • Art. 6 Abs. 1 Buchstabe a DSGVO: Einwilligung (wo ausdrücklich gefordert)
  • Art. 6 Abs. 1 Buchstabe c DSGVO: Erfüllung gesetzlicher Verpflichtungen (Rechnungslegung)
  • Art. 6 Abs. 1 Buchstabe f DSGVO: Berechtigte Interessen (Sicherheit, Betrugsbekämpfung, Service-Verbesserung)

5. Speicherdauer und Aufbewahrung

  • Kontodaten: Solange das Konto aktiv ist, danach 30 Tage (für Kundensupport)
  • Consent-Logs: Bis zu 365 Tage (zur DSGVO-Compliance), exportierbar als CSV/JSON
  • Analytik-Daten: 90 Tage
  • Rechnungen: 7 Jahre (gesetzliche Aufbewahrungspflicht)

6. Speicherort und Infrastruktur

Alle Daten werden ausschließlich in der Europäischen Union gespeichert:

  • Datenbank: Supabase (AWS, Frankfurt, Deutschland)
  • Hosting: Vercel (Edge Locations in EU)
  • Backup: EU-Region (redundant)

Es findet keine Datenübermittlung in Drittländer statt. Bei Datentransfers zwischen EU-Systemen werden Standard-Contractual-Clauses (SCC) angewendet.

7. Third-Party-Services

7.1 Supabase (Datenbanken)

Verarbeitung: Speicherung aller Konten-, Consent- und Nutzungsdaten
Rechtsgrundlage: Auftragsverarbeitung (Data Processing Agreement)
Standort: EU (Deutschland/Frankfurt)

7.2 Resend (E-Mail-Versand)

Verarbeitung: Transaktionale E-Mails (Registrierung, Passwort-Zurücksetzen, Rechnungen)
Rechtsgrundlage: Auftragsverarbeitung
Standort: EU

7.3 Stripe (Zahlungsabwicklung)

Verarbeitung: Zahlungsinformationen, Rechnungen
Rechtsgrundlage: Auftragsverarbeitung
Standort: EU
Hinweis: Wir speichern keine Kreditkartendaten. Stripe handhabt alle Zahlungen PCI-DSS-konform.

7.4 Vercel (Hosting & CDN)

Verarbeitung: Hosting der Plattform, Logdateien
Rechtsgrundlage: Auftragsverarbeitung
Standort: EU Edge Locations

Alle Third-Party-Services haben Data Processing Agreements (DPAs) unterzeichnet und erfüllen DSGVO-Anforderungen.

8. Cookies und Tracking

8.1 Cookies der Barefoot CMP-Plattform

  • Session-Cookies: `sessionId` (notwendig für Login), Gültig bis Logout
  • Authentifizierung: `auth_token` (JWT, verschlüsselt), Gültig 7 Tage
  • Präferenzen: `theme`, `language` (optional), Gültig 1 Jahr

8.2 Tracking auf der Barefoot CMP-Website

Unsere Landing Page (barefoot-performance.com/cmp) nutzt:

  • Google Analytics: Konformität mit Consent Mode v2, nur mit Nutzer-Einwilligung
  • Kein Tracking von Endnutzern: Besucher Ihrer Websites werden von Barefoot CMP nicht getrackt

8.3 Opt-out

Sie können Tracking-Cookies über die Einstellungen der Landing Page ablehnen.

9. Betroffenenrechte (DSGVO Artikel 12-23)

Sie haben das Recht auf:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit eine Auskunft erhalten, welche persönlichen Daten wir über Sie speichern.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können fehlerhafte Daten korrigieren oder ergänzen lassen (z.B. im Dashboard-Profil).

9.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihres Kontos und aller zugehörigen Daten verlangen. Dies geschieht innerhalb von 30 Tagen, außer wo Aufbewahrungspflichten gelten.

9.4 Recht auf Datenportabilität (Art. 20 DSGVO)

Sie erhalten Ihre Daten in strukturiertem, gängigem Format (JSON/CSV) zur Übertragung an andere Systeme.

9.5 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Verarbeitung Ihrer Daten beschränken lassen.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen (z.B. Marketingkommunikation).

9.7 Recht auf Beschwerde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutzbehörde zu beschweren. Zuständige Behörde für Deutschland: Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI).

Antragstellung: Wenden Sie sich zur Ausübung dieser Rechte an: Colin.Kottek@barefoot-creative.com

10. Datensicherheit

  • Verschlüsselung: TLS 1.3 für alle Datenübertragungen, AES-256 für Datenspeicherung
  • Passwörter: Bcrypt-Hashing mit Salt, nicht umkehrbar
  • Authentifizierung: JWT-Tokens, Session-Management mit Rotation
  • Zugriffskontrolle: Role-Based Access Control (RBAC), Audit Logging
  • Regelmäßige Sicherheitsprüfungen: Penetration Testing, Vulnerability Scanning
  • Incident Response: Notfall-Maßnahmen bei Datenverletzungen innerhalb 24 Stunden

11. Datenpanne und Benachrichtigungspflicht

Im Falle einer Datenpanne, die ein Risiko für Ihre Rechte darstellt, werden wir Sie unverzüglich (spätestens 72 Stunden nach Entdeckung) benachrichtigen. Bei Datenpannen mit hohem Risiko erfolgt auch eine Meldung an die Aufsichtsbehörde.

12. Auftragsverarbeitung (AVV)

Für Kunden, die Barefoot CMP zur Verarbeitung personenbezogener Daten ihrer Websites nutzen, bieten wir einen Standard-AVV (Auftragsverarbeitungsvertrag) an. Dieser regelt:

  • Die Art und den Umfang der Datenverarbeitung
  • Weiterverarbeitung durch Subauftragsverarbeiter (Supabase, Vercel, Resend, Stripe)
  • Technische und organisatorische Maßnahmen
  • Rechte des Auftraggebers bei Sicherheitsverstößen

Der AVV ist Teil der Nutzungsbedingungen und kann angefordert werden.

13. Besonderheiten für Consent-Logs

Consent-Logs sind ein wesentlicher Bestandteil der DSGVO-Compliance. Wir speichern:

  • Wann ein Benutzer das Cookie-Banner gesehen hat
  • Welche Entscheidung getroffen wurde (Akzeptieren/Ablehnen/Granular)
  • Welche Kategorien aktiviert/deaktiviert sind
  • Pseudonymisierte Benutzer-ID (kein Name, kein persönlicher Bezug)

Diese Daten sind vollständig exportierbar und werden zur Dokumentation Ihrer Compliance aufbewahrt.

14. Internationale Datenübertragungen

Wir betreiben alle Systeme in der EU. Falls Daten in Länder außerhalb der EU übertragen werden müssen, verwenden wir:

  • Standard-Contractual-Clauses (SCC) der EU-Kommission
  • Adequacy Decisions (falls vorhanden)
  • Binding Corporate Rules (BCR)

15. Datenschutzfolgenabschätzung (DPIA)

Für die Verarbeitung von Consent-Daten wurde eine Datenschutzfolgenabschätzung durchgeführt. Diese ist bei Bedarf anfordbar.

16. Kontakt und Datenschutzbeauftragter

Verantwortlicher:
Barefoot Performance
Colin Kottek
E-Mail: Colin.Kottek@barefoot-creative.com

Datenschutzbeauftragter: (Nach Anmeldung verfügbar)
E-Mail: Colin.Kottek@barefoot-creative.com

17. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit anpassen. Änderungen werden hier veröffentlicht. Bei wesentlichen Änderungen benachrichtigen wir Sie per E-Mail.

Fragen zur Datenschutzerklärung? Kontaktieren Sie uns unter Colin.Kottek@barefoot-creative.com