Datenschutzrichtlinie
1. Einleitung
Godfrey Engineering Ltd (“wir”, “uns”, “unser” oder “Godfrey Engineering”) verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Diese Datenschutzrichtlinie erläutert, wie wir Ihre persönlichen Daten erfassen, nutzen, weitergeben und schützen, wenn Sie unsere Website unter godfreyengineering.com besuchen, unsere Produkte (einschließlich ChainSolve) nutzen oder auf andere Weise mit unseren Diensten interagieren.
Godfrey Engineering Ltd ist ein in England und Wales registriertes Unternehmen. Wir sind die verantwortliche Stelle für die in dieser Richtlinie beschriebenen persönlichen Daten.
Kontaktdaten:
- E-Mail: legal@godfreyengineering.com
- Allgemeine Anfragen: info@godfreyengineering.com
- Website: www.godfreyengineering.com
Diese Richtlinie gilt für alle persönlichen Daten, die über unsere Website, Anwendungen, E-Mail-Mitteilungen und alle anderen von uns betriebenen Dienste verarbeitet werden. Durch die Nutzung unserer Dienste bestätigen Sie, dass Sie diese Richtlinie gelesen und verstanden haben.
2. Daten, die wir erfassen
Wir erfassen persönliche Daten in den folgenden Kategorien:
2.1 Informationen, die Sie uns direkt bereitstellen
- Kontoinformationen: Wenn Sie ein Konto für ChainSolve oder ein anderes Godfrey Engineering-Produkt erstellen, erfassen wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Passwort (gehashed — wir speichern niemals Passwörter im Klartext).
- Kontaktformular-Einreichungen: Wenn Sie ein Kontaktformular einreichen, erfassen wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht.
- Zahlungsinformationen: Wenn Sie einen Kauf tätigen oder ein bezahltes Abonnement abschließen, erfassen wir Rechnungsdetails (Name, Adresse, Zahlungskartendaten). Zahlungskartendaten werden direkt von Stripe verarbeitet und niemals auf unseren Servern gespeichert.
- Support-Anfragen: Wenn Sie uns um Unterstützung kontaktieren, erfassen wir die Informationen, die Sie in Ihrer Anfrage bereitstellen, die Ihren Namen, Ihre E-Mail und Details zum Problem enthalten können.
- Newsletter-Abonnements: Wenn Sie sich für unseren Newsletter anmelden, erfassen wir Ihre E-Mail-Adresse und optional Ihren Namen und Ihre Voreinstellungen.
2.2 Automatisch erfasste Informationen
- Nutzungsdaten: Besuchte Seiten, auf Seiten verbrachte Zeit, angeklickte Links, Verweis auf Quelle und Navigationspfade. Diese Daten werden von PostHog erfasst (siehe Abschnitt 5).
- Geräte- und Browserinformationen: Browsertyp und -version, Betriebssystem, Gerätetyp, Bildschirmauflösung und Spracheinstellung.
- IP-Adresse: Erfasst von unserem Hosting-Anbieter (Cloudflare) zu Sicherheits- und Leistungszwecken. PostHog ist so konfiguriert, dass IP-Adressen nach der Geolokalisierung verworfen werden.
- Cookies und ähnliche Technologien: Weitere Informationen zu den Cookies, die wir verwenden, finden Sie in unserer Cookie-Richtlinie.
2.3 Informationen von Drittanbietern
- Authentifizierungsanbieter: Wenn Sie sich mit einem Drittanbieter anmelden (z. B. Google, GitHub), erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von diesem Anbieter.
- Zahlungsabwickler: Stripe stellt uns Transaktionsbestätigung, die letzten vier Ziffern Ihrer Zahlungskarte und Ihre Rechnungsadresse zur Erfüllung unserer vertraglichen Verpflichtungen zur Verfügung.
3. Rechtsgrundlage für die Verarbeitung
Wir verarbeiten Ihre persönlichen Daten auf der Grundlage der folgenden Rechtsgrundlagen, wie in der UK General Data Protection Regulation (UK GDPR) und dem Data Protection Act 2018 definiert:
| Rechtsgrundlage | Beispiele |
|---|---|
| Vertragliche Erforderlichkeit (Art. 6(1)(b)) | Verarbeitung Ihrer Kontodaten zur Bereitstellung von ChainSolve-Diensten; Verarbeitung von Zahlungsdaten zur Erfüllung eines Kaufs |
| Berechtigte Interessen (Art. 6(1)(f)) | Website-Analytik zur Verbesserung unserer Dienste; Fehlerüberwachung zur Aufrechterhaltung der Servicequalität; Sicherheitsmaßnahmen zum Schutz unserer Systeme |
| Zustimmung (Art. 6(1)(a)) | Newsletter-Abonnements; nicht wesentliche Cookies (Analytik, Marketing); PostHog-Produktanalytik |
| Rechtliche Verpflichtung (Art. 6(1)(c)) | Aufbewahrung von Transaktionsdatensätzen für Steuer- und Buchhaltungszwecke; Beantwortung rechtmäßiger Anfragen von Behörden |
Wenn wir uns auf berechtigte Interessen stützen, haben wir einen Abwägungstest durchgeführt, um sicherzustellen, dass unsere Interessen Ihre Grundrechte und -freiheiten nicht überwiegen. Sie können Details dieser Bewertungen anfordern, indem Sie sich unter legal@godfreyengineering.com an uns wenden.
4. Wie wir Ihre Daten nutzen
Wir nutzen Ihre persönlichen Daten für die folgenden Zwecke:
- Service-Bereitstellung: Um Ihr Konto zu erstellen und zu verwalten, Zugang zu unseren Produkten (einschließlich ChainSolve) zu bieten, Transaktionen zu verarbeiten und Kundenunterstützung bereitzustellen.
- Kommunikation: Um auf Ihre Anfragen zu antworten, transaktionale E-Mails zu senden (Bestellbestätigungen, Passwort-Zurücksetzen, Service-Benachrichtigungen) und, falls Sie zugestimmt haben, Marketing-Mitteilungen zu senden.
- Analytik und Verbesserung: Um zu verstehen, wie Besucher unsere Website nutzen, beliebte Inhalte zu identifizieren, technische Probleme zu diagnostizieren und unsere Dienste zu verbessern. Analysedaten werden aggregiert und wo möglich pseudonymisiert.
- Sicherheit und Betrugsprävention: Um unsere Dienste zu schützen, betrügerische Aktivitäten zu erkennen und zu verhindern sowie unsere Nutzungsbedingungen durchzusetzen.
- Rechtliche Compliance: Um anwendbare Gesetze, Vorschriften und rechtliche Verfahren einzuhalten, einschließlich Steuerverpflichtungen und Datenschutzrecht.
5. Drittanbieter-Datenverarbeiter
Wir teilen persönliche Daten mit den folgenden Drittanbieter-Dienstleistern, die jeweils Daten in unserem Auftrag gemäß einer Datenverarbeitungsvereinbarung (DPA) verarbeiten:
5.1 Cloudflare (Hosting & CDN)
- Anbieter: Cloudflare, Inc.
- Zweck: Website-Hosting über Cloudflare Pages, Content Delivery Network (CDN), DDoS-Schutz, DNS-Auflösung und Web Application Firewall.
- Verarbeitete Daten: IP-Adressen, HTTP-Request-Header, Seiten-URLs und Leistungsmetriken.
- Datenspeicherort: Globales Edge-Netzwerk; primäre Verarbeitung in EU- und US-Rechenzentren. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
- Aufbewahrung: Web-Traffic-Protokolle werden maximal 72 Stunden aufbewahrt. Aggregierte Analytik wird bis zu 6 Monate aufbewahrt.
- Datenschutzrichtlinie: https://www.cloudflare.com/privacypolicy/
5.2 Supabase (Datenbank & Authentifizierung)
- Anbieter: Supabase, Inc.
- Zweck: Benutzerauthentifizierung, Datenbankspeicherung für Benutzerkonten und Anwendungsdaten.
- Verarbeitete Daten: E-Mail-Adressen, gehashte Passwörter, Benutzerprofildata und von Benutzern gespeicherte Anwendungsdaten.
- Datenspeicherort: EU-Region (Frankfurt, Deutschland).
- Aufbewahrung: Daten werden für die Lebensdauer des Benutzerkontos aufbewahrt. Gelöschte Kontodaten werden innerhalb von 30 Tagen gelöscht.
- Datenschutzrichtlinie: https://supabase.com/privacy
5.3 Stripe (Zahlungen)
- Anbieter: Stripe, Inc.
- Zweck: Zahlungsabwicklung für Produktkäufe und Abonnements.
- Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungskartendaten (direkt von Stripe verarbeitet — Kartennummern erreichen niemals unsere Server), Transaktionsverlauf.
- Datenspeicherort: EU-Verarbeitungsregion. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert.
- Aufbewahrung: Transaktionsdatensätze werden 7 Jahre lang aufbewahrt, um UK-Steuer- und Buchhaltungsverpflichtungen zu erfüllen. Zahlungskartendaten werden von Stripe gemäß PCI-DSS-Anforderungen aufbewahrt.
- Datenschutzrichtlinie: https://stripe.com/privacy
5.4 Resend (Transaktionale E-Mail)
- Anbieter: Resend, Inc.
- Zweck: Versand transaktionaler E-Mails (Kontobestätigung, Passwort-Zurücksetzen, Bestellbestätigungen, Support-Antworten) und Marketing-E-Mails (Newsletter, Produktaktualisierungen — nur mit Zustimmung).
- Verarbeitete Daten: E-Mail-Adressen, Namen, E-Mail-Inhalt und Zustellungsmetadaten (Open/Click-Tracking nur für Marketing-E-Mails, mit Zustimmung).
- Datenspeicherort: US-basierte Verarbeitung. Datentransfer wird durch Standard Contractual Clauses (SCCs) geregelt.
- Aufbewahrung: E-Mail-Zustellungsprotokolle werden 30 Tage lang aufbewahrt. Marketing-Engagement-Daten werden für die Dauer des Abonnements aufbewahrt.
- Datenschutzrichtlinie: https://resend.com/legal/privacy-policy
5.5 PostHog (Produktanalytik)
- Anbieter: PostHog, Inc.
- Zweck: Produktanalytik einschließlich Seitenaufrufverfolgung, Funktionsnutzungsanalyse und Benutzer-Journey-Mapping. Wird verwendet, um unsere Produkte und Website zu verbessern.
- Verarbeitete Daten: Pseudonymisierte Benutzeridentifizierer, Seiten-URLs, Verweis auf Quellen, Browser- und Geräte-Metadaten, Funktionsinteraktionsereignisse. IP-Adressen werden nach Geolokalisierungssuche verworfen.
- Datenspeicherort: EU-gehostete Instanz (eu.posthog.com, Frankfurt, Deutschland).
- Zustimmung erforderlich: Ja — PostHog wird nur initialisiert, nachdem der Besucher Analytik-Zustimmung über das Cookie-Banner erteilt hat.
- Konfiguration: Personenprofile für anonyme Besucher deaktiviert; Sitzungsaufzeichnung deaktiviert; IP-Erfassung deaktiviert.
- Aufbewahrung: Ereignisdaten werden 12 Monate lang aufbewahrt und dann automatisch gelöscht.
- Datenschutzrichtlinie: https://posthog.com/privacy
6. Internationale Datentransfers
Einige unserer Drittanbieter-Verarbeiter haben ihren Sitz außerhalb des Vereinigten Königreichs und des Europäischen Wirtschaftsraums (EWR). Wenn Daten international übertragen werden, stellen wir sicher, dass angemessene Schutzmaßnahmen vorhanden sind:
- EU-US Data Privacy Framework: Cloudflare und Stripe sind unter dem EU-US Data Privacy Framework zertifiziert und bieten eine Adäquanzgrundlage für Datentransfers.
- Standard Contractual Clauses (SCCs): Für Verarbeiter, die nicht unter eine Adäquanzentscheidung fallen, stützen wir uns auf die von UK genehmigten International Data Transfer Agreement (IDTA) oder EU-Standard-Vertragsbedingungen, je nachdem.
- EU-gehostete Instanzen: Wo möglich wählen wir EU-gehostete Instanzen von Diensten (PostHog EU, Supabase EU), um internationale Datentransfers zu minimieren.
7. Datenspeicherung
Wir speichern persönliche Daten nur solange wie erforderlich, um die Zwecke zu erfüllen, für die sie erfasst wurden, es sei denn, ein längerer Aufbewahrungszeitraum ist per Gesetz erforderlich.
| Datenkategorie | Aufbewahrungszeitraum | Grund |
|---|---|---|
| Kontodaten | Lebensdauer des Kontos + 30 Tage nach Löschung | Service-Bereitstellung |
| Zahlungstransaktionsdatensätze | 7 Jahre ab Transaktionsdatum | UK-Steuer- und Buchhaltungsrecht (HMRC-Anforderungen) |
| Kontaktformular-Einreichungen | 24 Monate ab Einreichung | Berechtigtes Interesse an Beantwortung von Anfragen |
| Newsletter-Abonnements | Bis Abmeldung + 30 Tage | Zustimmungsbasiert; Daten werden nach Abmeldung gelöscht |
| Analysedaten (PostHog) | 12 Monate | Berechtigtes Interesse an Service-Verbesserung |
| Server-Protokolle (Cloudflare) | 72 Stunden | Sicherheit und Leistung |
| Cookie-Zustimmungspräferenzen | 12 Monate | Einhaltung von Vorschriften |
Wenn persönliche Daten nicht mehr erforderlich sind, werden sie sicher gelöscht oder anonymisiert, sodass sie nicht mehr mit Ihnen verbunden werden können.
8. Ihre Rechte unter der UK GDPR
Unter der UK General Data Protection Regulation und dem Data Protection Act 2018 haben Sie folgende Rechte bezüglich Ihrer persönlichen Daten:
8.1 Recht auf Auskunft (Art. 15)
Sie haben das Recht, eine Kopie der persönlichen Daten anzufordern, die wir über Sie speichern. Wir werden auf Ihre Anfrage innerhalb eines Kalendermonats antworten.
8.2 Recht auf Berichtigung (Art. 16)
Sie haben das Recht, uns zu ersuchen, alle ungenauen oder unvollständigen persönlichen Daten zu berichtigen, die wir über Sie speichern.
8.3 Recht auf Löschung (Art. 17)
Sie haben das Recht, uns zu ersuchen, Ihre persönlichen Daten zu löschen, wenn:
- Die Daten für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind
- Sie Ihre Zustimmung zurückziehen (wenn Zustimmung die Rechtsgrundlage war)
- Sie der Verarbeitung widersprechen und es keine übergeordneten berechtigten Gründe gibt
- Die Daten rechtswidrig verarbeitet wurden
- Löschung erforderlich ist, um einer rechtlichen Verpflichtung nachzukommen
Hinweis: Wir können bestimmte Daten aufbewahren, wenn dies per Gesetz erforderlich ist (z. B. Finanzierungstransaktionsdatensätze für Steuerzwecke).
8.4 Recht auf Einschränkung der Verarbeitung (Art. 18)
Sie haben das Recht, uns zu ersuchen, die Verarbeitung Ihrer persönlichen Daten unter bestimmten Umständen einzuschränken, z. B. wenn Sie die Genauigkeit der Daten anfechten oder der Verarbeitung basierend auf berechtigten Interessen widersprechen.
8.5 Recht auf Datenportabilität (Art. 20)
Wenn die Verarbeitung auf Zustimmung oder vertraglicher Erforderlichkeit basiert und durch automatisierte Mittel durchgeführt wird, haben Sie das Recht, Ihre persönlichen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV) zu erhalten und diese an einen anderen Controller zu übermitteln.
8.6 Widerspruchsrecht (Art. 21)
Sie haben das Recht, der Verarbeitung basierend auf berechtigten Interessen zu widersprechen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende berechtigte Gründe nachweisen, die Ihre Rechte überwiegen.
Sie haben auch das Recht, Direktmarketing jederzeit abzulehnen. Wenn Sie Einspruch erheben, werden wir die Verarbeitung Ihrer Daten für Direktmarketing-Zwecke sofort beenden.
8.7 Rechte im Zusammenhang mit automatisierter Entscheidungsfindung (Art. 22)
Wir treffen derzeit keine Entscheidungen basierend ausschließlich auf automatisierter Verarbeitung, die rechtliche oder ähnlich bedeutsame Auswirkungen auf Sie haben. Falls sich dies ändert, werden wir diese Richtlinie aktualisieren und Ihnen angemessene Schutzmaßnahmen bieten.
8.8 Recht zum Widerruf der Zustimmung
Wenn die Verarbeitung auf Zustimmung basiert, können Sie Ihre Zustimmung jederzeit widerrufen. Der Widerruf der Zustimmung beeinträchtigt nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Verarbeitung.
Um Ihre Cookie-Zustimmung zu widerrufen, verwenden Sie den Link “Cookie-Einstellungen” in der Fußzeile unserer Website oder besuchen Sie unsere Cookie-Richtlinie.
9. Ausübung Ihrer Rechte
Um eines der oben beschriebenen Rechte auszuüben, kontaktieren Sie bitte uns:
- E-Mail: legal@godfreyengineering.com
- Betreffzeile: “Data Subject Access Request” (oder das spezifische Recht, das Sie ausüben möchten)
Wir werden Ihre Identität verifizieren, bevor wir Ihre Anfrage bearbeiten. Wir können Sie auffordern, zusätzliche Informationen zur Bestätigung Ihrer Identität bereitzustellen, besonders wenn die Anfrage per E-Mail gestellt wird.
Wir werden auf alle gültigen Anfragen innerhalb von einem Kalendermonat antworten. In Ausnahmefällen (z. B. komplexe oder zahlreiche Anfragen) können wir diesen Zeitraum um zwei weitere Monate verlängern. In diesem Fall teilen wir Ihnen die Verlängerung und die Gründe dafür mit.
Es gibt keine Gebühr für die Ausübung Ihrer Rechte. Wir können jedoch eine angemessene Gebühr verlangen oder eine Anfrage ablehnen, wenn sie offensichtlich unbegründet oder exzessiv ist.
10. Cookies und Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien auf unserer Website. Detaillierte Informationen zu den Cookies, die wir verwenden, deren Zweck, Dauer und wie Sie Ihre Präferenzen verwalten, finden Sie in unserer Cookie-Richtlinie.
Sie können Ihre Cookie-Präferenzen jederzeit verwalten, indem Sie auf den Link “Cookie-Einstellungen” in der Website-Fußzeile klicken.
11. Daten von Kindern
Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Wir erfassen bewusst keine persönlichen Daten von Kindern unter 16 Jahren. Falls wir feststellen, dass wir persönliche Daten von einem Kind unter 16 Jahren erfasst haben, werden wir sofort Maßnahmen ergreifen, um diese Daten zu löschen.
Wenn Sie glauben, dass wir möglicherweise Daten von einem Kind unter 16 Jahren erfasst haben, kontaktieren Sie uns unter legal@godfreyengineering.com.
12. Sicherheitsmaßnahmen
Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer persönlichen Daten vor unbefugtem Zugriff, Änderung, Weitergabe oder Zerstörung. Diese Maßnahmen umfassen:
- Verschlüsselung bei der Übertragung: Alle zwischen Ihrem Browser und unseren Servern übertragenen Daten werden mit TLS 1.3 (HTTPS) verschlüsselt, erzwungen durch Cloudflare.
- Verschlüsselung im Ruhezustand: Benutzerdaten, die in Supabase gespeichert sind, werden im Ruhezustand mit AES-256-Verschlüsselung verschlüsselt.
- Zugriffskontrolle: Der Zugriff auf persönliche Daten ist auf autorisierte Mitarbeiter auf Basis des Need-to-Know beschränkt.
- Passwort-Hashing: Benutzerpasswörter werden mit bcrypt mit einem Work Factor von 12 gehashed. Passwörter im Klartext werden niemals gespeichert.
- Regelmäßige Sicherheitsüberprüfungen: Wir führen regelmäßige Sicherheitsüberprüfungen unserer Infrastruktur und Drittanbieter-Integrationen durch.
- Incident Response: Wir verfügen über ein Incident-Response-Verfahren. Im Falle eines Datenschutzverletzung benachrichtigen wir das Information Commissioner’s Office (ICO) innerhalb von 72 Stunden, falls erforderlich, und betroffene Personen ohne unangemessene Verzögerung, falls die Verletzung wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt.
13. Links zu Websites Dritter
Unsere Website kann Links zu Websites und Diensten Dritter enthalten. Wir sind nicht verantwortlich für die Datenschutzpraktiken dieser Drittanbieter. Wir ermutigen Sie, die Datenschutzrichtlinien der von Ihnen besuchten Websites Dritter zu lesen.
14. Änderungen an dieser Datenschutzrichtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen in unseren Praktiken, Diensten oder geltenden Gesetzen widerzuspiegeln. Wenn wir wesentliche Änderungen vornehmen, werden wir:
- Das Datum “Zuletzt aktualisiert” oben auf dieser Seite aktualisieren
- Eine Benachrichtigung auf unserer Website für angemessene Zeit veröffentlichen
- Falls gesetzlich erforderlich, Sie per E-Mail benachrichtigen
Wir ermutigen Sie, diese Richtlinie regelmäßig zu überprüfen. Ihre fortgesetzte Nutzung unserer Dienste nach Änderungen stellt Ihre Akzeptanz der aktualisierten Richtlinie dar.
15. Beschwerden
Wenn Sie mit unserer Reaktion auf ein Datenschutzanliegen unzufrieden sind, haben Sie das Recht, eine Beschwerde bei der UK-Aufsichtsbehörde einzureichen:
Information Commissioner’s Office (ICO)
- Website: https://ico.org.uk/make-a-complaint/
- Telefon: 0303 123 1113
- Adresse: Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, Vereinigtes Königreich
Wir würden die Gelegenheit schätzen, Ihre Bedenken zu beheben, bevor Sie das ICO kontaktieren. Kontaktieren Sie uns bitte zunächst unter legal@godfreyengineering.com.
16. Kontaktieren Sie uns
Wenn Sie Fragen zu dieser Datenschutzrichtlinie oder unseren Datenschutzpraktiken haben, kontaktieren Sie uns:
- Datenschutzfragen: legal@godfreyengineering.com
- Allgemeine Anfragen: info@godfreyengineering.com
- Website: www.godfreyengineering.com
Godfrey Engineering Ltd
Vereinigtes Königreich