Datenschutzerklärung

1. Informationen zum Datenverantwortlichen

RalphNex OÜ, ein in Estland unter Registrierungscode 16932562 registriertes Unternehmen, fungiert als Datenverantwortlicher für personenbezogene Daten, die über die Pushary-Plattform und Website gesammelt werden. Für Anfragen zur Datenverarbeitung kontaktieren Sie uns unter business@ralphnex.com.

Wenn Sie Pushary verwenden, um Benachrichtigungen an Ihre Endbenutzer zu senden, fungieren Sie als Datenverantwortlicher für Ihre Abonnentendaten, und wir fungieren als Datenverarbeiter in Ihrem Auftrag.

2. Informationen, die wir sammeln

2.1 Kontoinformationen (Daten, die wir kontrollieren)

Wenn Sie sich für ein Pushary-Konto registrieren, sammeln wir:

• Identitätsdaten: Vorname, Nachname, E-Mail-Adresse und Profilbild (bereitgestellt durch Clerk-Authentifizierung)
• Kontodaten: Benutzer-ID, Authentifizierungstoken, Kontoeinstellungen und Zeitzoneneinstellungen
• Workspace-Daten: Workspace-Namen, Slugs, Teammitglieder-Beziehungen und Rollenzuweisungen (Owner, Admin, Member, Viewer)
• Abrechnungsdaten: Stripe-Kunden-ID, Abonnementplan, Zahlungsstatus und Abrechnungsverlauf (verarbeitet durch Stripe; wir speichern keine Kreditkartennummern)

2.2 Site-Konfigurationsdaten

Für jede Site, die Sie in Ihrem Workspace erstellen, speichern wir:

• Site-Name, Domain und Konfigurationseinstellungen
• VAPID-Schlüsselpaare (öffentliche und private Schlüssel), die eindeutig pro Site für kryptografische Push-Benachrichtigungs-Authentifizierung generiert werden
• API-Schlüssel-Hashes und -Präfixe (vollständige API-Schlüssel werden nur einmal bei der Generierung angezeigt)
• Site-Icons, Logos und Branding-Assets, die Sie hochladen

2.3 Abonnentendaten (Daten, die wir in Ihrem Auftrag verarbeiten)

Wenn Endbenutzer Benachrichtigungen über Ihre Site abonnieren, sammeln und verarbeiten wir:

• Push-Abonnementdaten: Endpoint-URL, P256DH-Schlüssel und Authentifizierungsschlüssel, die für die Web-Push-Protokoll-Zustellung erforderlich sind
• Geräteinformationen: Browser-Typ, Betriebssystem, Gerätetyp (Desktop/Mobile/Tablet) und User-Agent-String
• Geografische Daten: Land, Stadt und Zeitzone, abgeleitet aus IP-Adressen-Geolokalisierung (falls aktiviert)
• Benutzerdefinierte Attribute: Tags, externe IDs und benutzerdefinierte Metadaten, die Sie Abonnenten über unser SDK oder API zuweisen
• Engagement-Daten: Abonnementdatum, letztes aktives Datum, Anzahl der Benachrichtigungszustellungen, Klickanzahl und Abonnementstatus

2.4 Analytik- und Event-Daten

Wir sammeln Analytik-Daten, um Berichte bereitzustellen und den Service zu verbessern:

• Benachrichtigungsereignisse: Impressionen, Klicks, Ablehnungen, Zustellungserfolge und -fehler
• Kampagnen-Performance-Metriken: Gesamt anvisiert, gesendet, zugestellt, geklickt und fehlgeschlagen
• Täglich aggregierte Statistiken pro Site
• Action-Button-Interaktionen mit zugehörigen Action-IDs

2.5 Technische und Log-Daten

Wir sammeln automatisch technische Informationen, wenn Sie auf unsere Plattform zugreifen:

• IP-Adressen und Request-Metadaten
• Browser-Typ, Version und Spracheinstellungen
• Zugriffszeiten, besuchte Seiten und Referrer-URLs
• API-Request-Logs einschließlich Endpoints, Zeitstempel und Response-Codes
• Fehlerprotokolle und Diagnoseinformationen zur Fehlerbehebung

3. Rechtsgrundlage für die Verarbeitung (DSGVO Artikel 6)

Wir verarbeiten personenbezogene Daten auf den folgenden Rechtsgrundlagen:

• Vertragserfüllung (Art. 6(1)(b)): Verarbeitung, die zur Bereitstellung des von Ihnen abonnierten Services erforderlich ist, einschließlich Kontoverwaltung, Benachrichtigungszustellung und Abrechnung
• Berechtigte Interessen (Art. 6(1)(f)): Verarbeitung für Plattformsicherheit, Betrugsprävention, Service-Verbesserung und Analytik, bei denen unsere Interessen Ihre Rechte nicht überwiegen
• Rechtliche Verpflichtung (Art. 6(1)(c)): Verarbeitung, die zur Einhaltung geltender Gesetze erforderlich ist, einschließlich Steuervorschriften, Gerichtsbeschlüsse und regulatorischer Anforderungen
• Einwilligung (Art. 6(1)(a)): Gegebenenfalls Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung, die Sie jederzeit widerrufen können

Für Abonnentendaten, die Sie über unsere Plattform sammeln, sind Sie der Datenverantwortliche und müssen sicherstellen, dass Sie angemessene Einwilligung oder Rechtsgrundlage von Ihren Endbenutzern erhalten haben.

4. Wie wir Ihre Informationen verwenden

Wir verarbeiten gesammelte Informationen für die folgenden Zwecke:

• Service-Bereitstellung: Betrieb und Wartung unserer event-driven Benachrichtigungsplattform, Verarbeitung der Benachrichtigungszustellung durch unsere Kafka-basierte Message Queue und Bereitstellung von Echtzeit-Analytik
• Kontoverwaltung: Erstellen und Verwalten Ihres Kontos, Authentifizierung des Zugriffs, Verarbeitung von Workspace- und Team-Management-Operationen
• Abrechnungsoperationen: Verarbeitung von Abonnementzahlungen über Stripe, Verwaltung von Planänderungen und Führung von Abrechnungsaufzeichnungen
• Plattformsicherheit: Erkennung und Verhinderung von Betrug, unbefugtem Zugriff und Missbrauch durch Row-Level Security Policies und Zugangskontrollen
• Kundensupport: Beantwortung von Anfragen, Fehlerbehebung und Bereitstellung technischer Unterstützung
• Service-Verbesserung: Analyse von Nutzungsmustern, Identifizierung von Leistungsproblemen und Entwicklung neuer Funktionen
• Kommunikation: Versand von Service-Updates, Sicherheitswarnungen und wichtigen Mitteilungen zu Ihrem Konto
• Gesetzliche Compliance: Erfüllung rechtlicher Verpflichtungen, Beantwortung rechtmäßiger Anfragen und Schutz unserer rechtlichen Rechte

5. Datenweitergabe und Offenlegung

Wir verkaufen, vermieten oder handeln Ihre personenbezogenen Daten nicht. Wir können Daten unter den folgenden begrenzten Umständen weitergeben:

5.1 Dienstleister (Unterauftragsverarbeiter)

Wir beauftragen vertrauenswürdige Drittanbieter, die Daten in unserem Auftrag unter strengen vertraglichen Verpflichtungen verarbeiten:

• Clerk (Authentifizierung): Benutzerauthentifizierung und Identitätsverwaltung - verarbeitet Kontoanmeldedaten und Sitzungsdaten
• Neon (Datenbank): PostgreSQL-Datenbank-Hosting - speichert alle Plattformdaten mit Verschlüsselung im Ruhezustand
• Vercel (Hosting): Anwendungs-Hosting und CDN - verarbeitet Request-Daten und stellt die Dashboard-Anwendung bereit
• Stripe (Zahlungen): Zahlungsabwicklung - verarbeitet Abrechnungsdaten und Zahlungstransaktionen
• Upstash/Kafka Provider (Message Queue): Event-Streaming - verarbeitet Benachrichtigungszustellungs-Events
• Push-Dienstanbieter (Google FCM, Mozilla, Apple APNs): Benachrichtigungszustellung - empfängt Push-Abonnement-Endpoints und verschlüsselte Benachrichtigungs-Payloads

5.2 Rechtliche Anforderungen

Wir können Informationen offenlegen, wenn dies gesetzlich vorgeschrieben ist, einschließlich:

• Antwort auf gültige rechtliche Verfahren (Vorladungen, Gerichtsbeschlüsse, Haftbefehle)
• Einhaltung geltender Gesetze, Vorschriften oder behördlicher Anfragen
• Schutz unserer rechtlichen Rechte, unseres Eigentums oder unserer Sicherheit
• Verhinderung oder Untersuchung möglicher Fehlverhalten

5.3 Geschäftsübertragungen

Im Falle einer Fusion, Übernahme, Reorganisation oder eines Verkaufs von Vermögenswerten können Ihre Informationen als Teil der Transaktion übertragen werden. Wir werden Sie über eine solche Übertragung und eventuelle Änderungen der geltenden Datenschutzbestimmungen informieren.

6. Datenspeicherung

Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist:

• Kontodaten: Gespeichert, während Ihr Konto aktiv ist, und 30 Tage nach einer Löschanfrage, um Kontowiederherstellung zu ermöglichen
• Abonnentendaten: Gespeichert gemäß Ihrem Abonnementplan (7 Tage für Free, 30 Tage für Starter, 90 Tage für Growth, individuell für Enterprise)
• Analytik-Daten: Aggregierte tägliche Statistiken gespeichert gemäß den Datenspeicherungslimits Ihres Plans
• Benachrichtigungs-Event-Logs: Gespeichert gemäß Ihren Plan-Limits; einzelne Benachrichtigungsdatensätze können nach Zustellungsbestätigung gelöscht werden
• Abrechnungsunterlagen: 7 Jahre lang gespeichert, wie vom estnischen Steuerrecht und geltenden Rechnungslegungsstandards verlangt
• Sicherheitsprotokolle: 90 Tage lang zur Sicherheitsüberwachung und Vorfalluntersuchung gespeichert

Nach Kontolöschung werden wir Ihre personenbezogenen Daten innerhalb von 30 Tagen löschen oder anonymisieren, außer wenn die Aufbewahrung gesetzlich vorgeschrieben oder zum Schutz unserer berechtigten Interessen erforderlich ist.

7. Datensicherheit

Wir implementieren umfassende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

7.1 Technische Schutzmaßnahmen

• Verschlüsselung während der Übertragung: Alle Daten, die zu und von unserer Plattform übertragen werden, sind mit TLS 1.2 oder höher verschlüsselt
• Verschlüsselung im Ruhezustand: Datenbankspeicher verschlüsselt mit AES-256-Verschlüsselung auf Infrastrukturebene
• Row-Level Security (RLS): PostgreSQL RLS Policies erzwingen Multi-Tenant-Datenisolation auf Datenbankebene
• VAPID-Authentifizierung: Einzigartige kryptografische Schlüsselpaare pro Site für sichere Push-Benachrichtigungszustellung
• API-Schlüssel-Sicherheit: API-Schlüssel als sichere Hashes gespeichert; vollständige Schlüssel nur einmal bei Generierung angezeigt
• Sichere Authentifizierung: Authentifizierung von Clerk mit Unterstützung für MFA und sichere Sitzungsverwaltung

7.2 Betriebliche Schutzmaßnahmen

• Zugangskontrollen, die den Datenzugriff auf autorisiertes Personal beschränken
• Regelmäßige Sicherheitsbewertungen und Schwachstellenüberwachung
• Incident-Response-Verfahren für Sicherheitsereignisse
• Sichere Entwicklungspraktiken und Code-Review-Prozesse

7.3 Infrastruktursicherheit

• Hosting auf SOC 2 Type II zertifizierter Infrastruktur (Vercel, Neon)
• Geografische Redundanz und automatisierte Backups
• DDoS-Schutz und Rate-Limiting
• Isolierte Worker-Prozesse für Benachrichtigungszustellung

Während wir branchenübliche Sicherheitsmaßnahmen implementieren, ist kein System vollständig sicher. Wir können die absolute Sicherheit Ihrer Daten nicht garantieren.

8. Ihre Datenschutzrechte

Wir respektieren Ihre Rechte in Bezug auf Ihre personenbezogenen Daten. Abhängig von Ihrem Standort und den geltenden Gesetzen können Sie die folgenden Rechte haben:

• Auskunftsrecht: Fordern Sie eine Kopie der personenbezogenen Daten an, die wir über Sie speichern
• Recht auf Berichtigung: Fordern Sie die Korrektur unrichtiger oder unvollständiger personenbezogener Daten an
• Recht auf Löschung: Fordern Sie die Löschung Ihrer personenbezogenen Daten an, wenn kein zwingender Grund für die weitere Verarbeitung besteht
• Recht auf Einschränkung der Verarbeitung: Fordern Sie die Einschränkung der Verarbeitung an, während wir die Richtigkeit überprüfen oder Einwände prüfen
• Recht auf Datenübertragbarkeit: Erhalten Sie Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format
• Widerspruchsrecht: Widersprechen Sie der Verarbeitung auf Grundlage berechtigter Interessen
• Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf Einwilligung basiert, widerrufen Sie diese Einwilligung jederzeit

Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter business@ralphnex.com. Wir werden innerhalb von 30 Tagen antworten. Wir können die Überprüfung Ihrer Identität vor der Bearbeitung Ihrer Anfrage verlangen. business@ralphnex.com.

9. Datenstandort und Übermittlungen

Unsere primäre Infrastruktur ist in Deutschland innerhalb der Europäischen Union gehostet. Ihre Daten können an folgenden Standorten verarbeitet werden:

• Primäre Datenbank: Deutschland (EU) - PostgreSQL-Datenbank-Hosting
• Anwendungs-Hosting: Globales CDN mit Edge-Processing
• Authentifizierung: Clerk verarbeitet Authentifizierungsdaten
• Zahlungen: Stripe verarbeitet Abrechnungsdaten

Einige unserer Dienstleister operieren international. Wenn Ihre Daten außerhalb der Europäischen Union übermittelt werden, arbeiten wir mit Anbietern zusammen, die angemessene Datenschutzmaßnahmen implementieren.

10. Cookies und Tracking-Technologien

Wir verwenden Cookies und ähnliche Technologien, um unsere Plattform zu betreiben und zu verbessern:

10.1 Essenzielle Cookies

Erforderlich für die Plattformfunktionalität. Diese können nicht deaktiviert werden:

• Authentifizierungs-Session-Cookies (verwaltet von Clerk)
• CSRF-Schutz-Token
• Load-Balancer-Session-Persistenz

10.2 Funktionale Cookies

Verbessern Ihre Erfahrung durch Merken von Einstellungen:

• Theme-Einstellungen (Light/Dark-Modus)
• Dashboard-Layout-Einstellungen
• Spracheinstellungen

10.3 Analytik-Cookies

Helfen uns, die Plattformnutzung zu verstehen:

• Seitenaufrufe-Tracking
• Feature-Nutzungsanalytik
• Fehler-Tracking und Diagnostik

Sie können Cookie-Einstellungen über Ihre Browser-Einstellungen steuern. Das Deaktivieren bestimmter Cookies kann die Plattformfunktionalität beeinträchtigen.

11. Datenverarbeitungsbeziehung

Wenn Sie Pushary verwenden, um Benachrichtigungen an Ihre Endbenutzer zu senden, verarbeiten wir Abonnentendaten in Ihrem Auftrag. Unsere Verpflichtungen umfassen:

• Verarbeitung von Daten gemäß Ihren Anweisungen für die Benachrichtigungszustellung
• Wahrung der Vertraulichkeit von Abonnenteninformationen
• Implementierung technischer und organisatorischer Sicherheitsmaßnahmen
• Unterstützung bei Anfragen betroffener Personen auf Ihre Anweisung
• Löschung oder Rückgabe von Daten bei Kontobeendigung

Enterprise-Kunden, die formelle Datenverarbeitungsvereinbarungen benötigen, sollten uns unter business@ralphnex.com kontaktieren.

12. Datenschutz für Kinder

Die Pushary-Plattform ist für geschäftliche Nutzung konzipiert und richtet sich nicht an Kinder unter 16 Jahren. Wir sammeln wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie erfahren, dass ein Kind uns ohne elterliche Zustimmung personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie uns bitte unter business@ralphnex.com, und wir werden Schritte unternehmen, um solche Informationen zu löschen.

Wenn Sie Pushary zum Versenden von Benachrichtigungen verwenden, sind Sie dafür verantwortlich, sicherzustellen, dass Ihr Service für Ihr Publikum geeignet ist und dass Sie geltende Gesetze zum Datenschutz von Kindern einhalten (einschließlich COPPA in den Vereinigten Staaten).

13. California Datenschutzrechte (CCPA)

Wenn Sie in Kalifornien ansässig sind, haben Sie zusätzliche Rechte gemäß dem California Consumer Privacy Act (CCPA):

• Recht auf Kenntnis: Fordern Sie die Offenlegung von Kategorien und bestimmten Teilen der gesammelten personenbezogenen Daten an
• Recht auf Löschung: Fordern Sie die Löschung personenbezogener Daten an, die wir gesammelt haben
• Recht auf Nichtdiskriminierung: Üben Sie Datenschutzrechte ohne diskriminierende Behandlung aus
• Recht auf Opt-out: Wir verkaufen keine personenbezogenen Daten; daher gibt es keinen Verkauf, von dem man sich abmelden kann

Um CCPA-Rechte auszuüben, kontaktieren Sie uns unter business@ralphnex.com. Wir werden Ihre Identität vor der Bearbeitung von Anfragen überprüfen.

14. Änderungen an dieser Richtlinie

Wir können diese Datenschutzerklärung periodisch aktualisieren, um Änderungen in unseren Praktiken, Technologien, rechtlichen Anforderungen oder aus anderen betrieblichen Gründen widerzuspiegeln. Wir werden Sie über wesentliche Änderungen informieren durch:

• Veröffentlichung der aktualisierten Richtlinie auf unserer Website mit neuem Gültigkeitsdatum
• E-Mail-Benachrichtigung an registrierte Kontoinhaber bei wesentlichen Änderungen
• Anzeige einer Mitteilung in der Dashboard-Oberfläche

Wir ermutigen Sie, diese Richtlinie regelmäßig zu überprüfen. Ihre fortgesetzte Nutzung des Services nach Inkrafttreten von Änderungen stellt die Akzeptanz der aktualisierten Richtlinie dar.

15. Kontaktieren Sie uns

Für Fragen, Bedenken oder Anfragen bezüglich dieser Datenschutzerklärung oder unserer Datenpraktiken kontaktieren Sie bitte unser Datenschutz-Team: