Datenschutzrichtlinie

Zuletzt aktualisiert: April 2026

1. Verantwortlicher

Attentico ist verantwortlich für die Verarbeitung personenbezogener Daten wie in dieser Richtlinie beschrieben. Kontakt: privacy@attentico.nl.

2. Welche Daten wir verarbeiten

Wir verarbeiten nur Daten, die für die Erbringung des Dienstes erforderlich sind:

  • Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht via Supabase Auth)
  • Kontaktdaten: Namen, Geburtstage, besondere Anlässe, persönliche Vorlieben und Wunschlisten der Personen, an die du Geschenke sendest
  • Bestelldaten: Lieferadressen und Geschenkhistorie
  • Zahlungsdaten: verarbeitet über Stripe — wir speichern keine vollständigen Kartendaten
  • Kommunikationsprotokolle: KI-generierte Kartennachrichten und Geschenkvorschläge
  • Google Kontakte (optional): Wenn du den Google-Import verwendest, fordert Attentico Lesezugriff auf deine Google Kontakte an. Wir importieren nur Name, E-Mail, Telefonnummer und Geburtstag. Wir speichern keine Google-Kontodaten und teilen importierte Daten nicht mit Dritten.
  • Sitzungsdaten: Authentifizierungscookies (nur funktional, kein Tracking)

3. Google Kontakte — Nutzung von API-Daten

Attentico nutzt die Google People API ausschließlich, um deine Kontakte in die Attentico-App zu importieren. Wir fordern den Scope contacts.readonly an. Das bedeutet, wir können deine Kontakte nur lesen, nicht ändern oder löschen.

  • Importierte Daten werden ausschließlich verwendet, um Kontakte in deinem Attentico-Konto zu erstellen.
  • Wir speichern Google OAuth-Token nicht nach Abschluss des Imports.
  • Deine Google-Daten werden niemals für Werbung, Profiling oder Verkauf genutzt.
  • Google-Daten werden nicht an KI-Modelle, Analysetools oder andere interne Systeme weitergeleitet.
  • Kein Mitarbeiter oder Dritter kann deine Google-Daten einsehen, es sei denn, du gibst ausdrückliche Zustimmung, es ist für eine Sicherheitsuntersuchung erforderlich oder gesetzlich vorgeschrieben.
  • Du kannst importierte Kontakte jederzeit über Attentico Einstellungen → Daten löschen.
  • Du kannst den Zugriff von Attentico jederzeit über deine Google-Kontoeinstellungen widerrufen: myaccount.google.com/permissions.

Die Nutzung und Übertragung von Informationen aus Google APIs durch Attentico an andere Apps entspricht der Google API Services User Data Policy, einschließlich der Limited Use-Anforderungen.

4. Datenschutz & Sicherheit

Attentico nimmt den Schutz deiner personenbezogenen Daten ernst. Wir haben folgende technische und organisatorische Maßnahmen zum Schutz deiner Daten getroffen:

  • Verschlüsselung bei der Übertragung: Die gesamte Kommunikation zwischen deinem Browser und unseren Servern erfolgt über HTTPS/TLS 1.3. Wir erzwingen HTTP Strict Transport Security (HSTS).
  • Verschlüsselung im Ruhezustand: Alle Daten in unserer Datenbank (Supabase/PostgreSQL) werden verschlüsselt gespeichert (AES-256). Passwörter werden mit bcrypt gehasht.
  • Zugangskontrolle: Wir erzwingen Row Level Security (RLS) auf allen Datenbanktabellen, sodass Benutzer nur auf ihre eigenen Daten zugreifen können. API-Routen sind mit Authentifizierungstoken gesichert.
  • Minimaler Datenzugriff: Drittanbieter erhalten nur die minimal notwendigen Daten. Google API-Daten werden nicht mit anderen Verarbeitern geteilt oder für andere Zwecke als den Kontakt-Import verwendet.
  • Sicherheitsheader: Wir implementieren Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options und Referrer-Policy Header zur Angriffsabwehr.
  • Rate Limiting: API-Endpunkte sind durch Rate Limiting geschützt, um Missbrauch zu verhindern.
  • Kein KI-Training: Deine Daten werden niemals für das Training von KI-Modellen verwendet. KI-Verarbeitung (Anthropic Claude) erfolgt über API-Aufrufe, die vom Anbieter nicht für Trainingszwecke gespeichert werden.
  • Incident Response: Im Falle einer Datenpanne benachrichtigen wir die zuständige Datenschutzbehörde und betroffene Benutzer innerhalb von 72 Stunden, gemäß DSGVO Art. 33 und 34.

5. Rechtsgrundlagen (DSGVO Art. 6)

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Kontodaten, Kontaktdaten, Lieferadressen und Zahlungen — notwendig zur Erbringung des Dienstes.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Google Kontakte-Import und optionale Marketingkommunikation — du kannst diese Einwilligung jederzeit widerrufen.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Betrugsprävention, Sicherheit und Serviceverbesserung.

6. Auftragsverarbeiter & Dritte

Wir nutzen folgende Unterauftragsverarbeiter. Mit allen Verarbeitern sind Auftragsverarbeitungsverträge abgeschlossen.

VerarbeiterZweckStandort
SupabaseDatenbank & AuthentifizierungEU (Frankfurt)
StripeZahlungsabwicklungEU / VS*
Anthropic (Claude)KI-Geschenkvorschläge & KartennachrichtenVS*
BrevoTransaktionale E-MailEU (Parijs)
Google LLCKontakt-Import (nur Lesen, optional)VS*
VercelHosting & Edge FunctionsEU / VS*
PartnerwebshopsGeschenkbestellungNL
Greetz.nlKarten (physisch & digital)NL

* Übertragungen in die USA erfolgen auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Europäischer Kommission.

7. Aufbewahrungsfristen

  • Kontodaten: gespeichert solange dein Konto aktiv ist. Nach Löschung werden die Daten innerhalb von 30 Tagen endgültig gelöscht.
  • Google Kontakte-Import: OAuth-Token werden nach dem Import nicht aufbewahrt. Importierte Kontaktdaten werden gespeichert, solange dein Konto aktiv ist oder bis du sie löschst.
  • Zahlungsaufzeichnungen: 7 Jahre gemäß steuerlicher Aufbewahrungspflicht.
  • KI-Protokolle: nach 90 Tagen anonymisiert.
  • Lieferadressen: nach Auftragserfüllung gelöscht, es sei denn, sie werden in deinem Profil gespeichert.

8. Cookies

Attentico verwendet ausschließlich funktionale Cookies, die für den Betrieb des Dienstes technisch notwendig sind (Sitzungsverwaltung und Authentifizierung). Wir verwenden keine Analyse-, Marketing- oder Tracking-Cookies. Keine Cookie-Wall oder Bezahlschranke ist mit der Cookie-Einwilligung verknüpft.

9. Deine Rechte (DSGVO)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunft (Art. 15): Anfrage, welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): Löschung deines Kontos und aller zugehörigen Daten — direkt über Einstellungen → Daten
  • Einschränkung (Art. 18): vorübergehende Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Daten als CSV herunterladen über Einstellungen → Daten
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Google-Einwilligung widerrufen: über myaccount.google.com/permissions

Sende deine Anfrage an privacy@attentico.nl. Wir antworten innerhalb eines Monats.

10. Work-Kunden: Auftragsverarbeitungsvertrag

Organisationen, die Attentico Work nutzen, verarbeiten personenbezogene Daten ihrer Mitarbeiter über unsere Plattform. Attentico fungiert dabei als Auftragsverarbeiter im Sinne der DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist auf Anfrage über legal@attentico.nl erhältlich.

11. Beschwerde einreichen

Wenn du eine Beschwerde über die Art und Weise hast, wie wir deine Daten verarbeiten, kannst du eine Beschwerde bei der zuständigen Datenschutzbehörde einreichen.

12. Änderungen

Wir können diese Datenschutzrichtlinie aktualisieren. Bei wesentlichen Änderungen benachrichtigen wir dich per E-Mail. Das Datum oben in diesem Dokument zeigt an, wann es zuletzt aktualisiert wurde.

13. Kontakt

privacy@attentico.nl

    Datenschutzrichtlinie | Attentico