Datenschutzerklärung
Zuletzt aktualisiert: Mai 2026
Wir freuen uns über Ihr Interesse an Opspect. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13, 14 DSGVO über die Verarbeitung Ihrer Daten im Zusammenhang mit der Nutzung unserer Plattform.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
ITONE
Inhaber: Sascha Gebhardt
Friedenstraße 23, 52080 Aachen, Deutschland
E-Mail: info@itone.de
Telefon: +49 176 56193164
USt-ID: DE368334498
2. Datenschutzbeauftragter
Wir sind gemäß Art. 37 DSGVO nicht verpflichtet, einen Datenschutzbeauftragten zu benennen, da wir als kleineres Unternehmen die gesetzlichen Schwellenwerte (weniger als 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten befasst sind) nicht überschreiten. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an: info@itone.de
3. Erhobene Datenkategorien und Verarbeitungszwecke
3.1 Registrierung und Kontoverwaltung
Beim Anlegen eines Kontos verarbeiten wir: Name, E-Mail-Adresse, Unternehmensname und -größe, Rolle im Unternehmen, Passwort (gespeichert als sicherer Hash).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.2 Plattformbetrieb und Leistungserbringung
Zur Bereitstellung der Opspect-Funktionen (Asset-Management, Wartung, Inspektionen, ISMS-Module) verarbeiten wir die von Ihnen eingegebenen Betriebsdaten, Dokumentationen und Auditprotokolle Ihrer Organisation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.3 Authentifizierung und Sicherheit
Zum Schutz Ihres Kontos setzen wir Zwei-Faktor-Authentifizierung (TOTP, Passkeys) ein und verarbeiten Zugriffsdaten (IP-Adressen, Zeitstempel, Gerät-ID) für Sicherheitszwecke.
Speicherdauer: Plattform-Auth-Logs 12 Monate, fehlgeschlagene Anmeldeversuche 90 Tage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)
3.4 Abrechnung und Zahlungsabwicklung
Zur Abwicklung von Zahlungen übermitteln wir Rechnungsdaten an unseren Zahlungsdienstleister Stripe. Kreditkarten- oder Bankdaten speichern wir selbst nicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.5 KI-gestützter Navigationsdienst
Opspect stellt optional einen KI-Assistenten zur Plattformnavigation bereit, der auf der Anthropic API (Claude) basiert. Dieser Dienst verarbeitet ausschließlich Ihre Navigationseingaben (z. B. 'Wo finde ich Lieferantenbewertungen?'). Ein Zugriff auf Mandantendaten (Assets, ISMS-Daten, Personaldaten) findet nicht statt. Konversationen werden nicht dauerhaft gespeichert und nicht für das Training verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. Art. 6 Abs. 1 lit. f DSGVO
3.6 Datensicherung (Backup)
Zur Datensicherheit erstellen wir regelmäßige verschlüsselte Backups Ihrer Daten. Diese werden 30 Tage verschlüsselt in Deutschland gespeichert: primär über Supabase (Frankfurt / eu-central-1) und zusätzlich als verschlüsseltes Offsite-Backup bei IONOS (Berlin / eu-central-2, Object-Lock/WORM 30 Tage).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 32 DSGVO
4. Cookies und Speichertechnologien
Opspect verwendet ausschließlich technisch notwendige Cookies. Tracking-, Marketing- oder Analyse-Cookies werden nicht eingesetzt. Eine Einwilligungspflicht gemäß § 25 TDDDG besteht daher nicht.
| Cookie / Speicher | Zweck | Speicherdauer |
|---|---|---|
| sb-access-token | Session-Authentifizierung (Supabase JWT) | Sitzung |
| sb-refresh-token | Erneuerung des Zugriffstokens | Sitzung |
| step-up-cookie | Step-Up-Authentifizierung (sensible Aktionen) | Sitzung |
| opspect-active-tenant-id | Aktiver Mandantenkontext | Sitzung |
| sessionStorage (KI-Navigationschat) | Konversationsverlauf der Sitzung, nur im Browser | Sitzung |
5. Auftragsverarbeitung und Datenweitergabe
Wir setzen folgende Dienstleister als Auftragsverarbeiter ein (vollständige Liste gemäß Auftragsverarbeitungsvertrag):
| Dienstleister | Zweck | Sitz / Datenspeicherort | Garantie |
|---|---|---|---|
| Supabase, Inc. | Datenbankbetrieb (PostgreSQL) | San Francisco, USA / Frankfurt EU | SCCs + AVV |
| Vercel, Inc. | Hosting / CDN | San Francisco, USA / EU Edge | SCCs + DPA |
| Stripe, Inc. | Zahlungsabwicklung | San Francisco, USA / EU | SCCs + DPA |
| Letterhead B.V. (Lettermint) | Transaktions-E-Mails | Amsterdam, Niederlande | AVV |
| Anthropic, PBC | KI-Navigationsdienst (Navigation-Queries) | San Francisco, USA | SCCs + DPA |
| Sentry (Functional Software Inc.) | Fehlermonitoring | San Francisco, USA / EU (ingest.de.sentry.io) | SCCs + DPA |
| IONOS SE | Verschlüsseltes Offsite-Backup | Berlin, Deutschland (EU) | EU-intern (kein Drittlandtransfer) |
SCCs = EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO steht auf Anfrage zur Verfügung.
Eine Datenweitergabe an Dritte außerhalb der oben genannten Auftragsverarbeiter findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. behördliche Auskunftsersuchen).
6. Ihre Rechte
Sie haben als betroffene Person folgende Rechte gemäß DSGVO:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@itone.de
Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, www.ldi.nrw.de.
7. Daten-Export und Account-Löschung (Self-Service)
Als registrierter Nutzer können Sie jederzeit in Ihren Kontoeinstellungen:
- Einen vollständigen Export Ihrer personenbezogenen Daten im maschinenlesbaren Format (ZIP) anfordern (DSGVO Art. 20),
- Ihr Konto eigenständig löschen. Nach Bestätigung werden Ihre Daten nach einer 30-tagigen Frist endgültig gelöscht. Mandanten-Administratoren können Plattformdaten gemäß AVV und Nutzungsvertrag anfordern.
8. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten zu schützen:
- Verschlüsselung der Datenübertragung (TLS 1.2/1.3)
- Verschlüsselung der gespeicherten Daten (AES-256 at rest)
- Mandantentrennung durch Row Level Security (RLS) auf Datenbankebene
- Mehrfaktor-Authentifizierung (TOTP, Passkeys)
- Regelmäßige Sicherheitsüberprüfungen und Dependency-Updates
- Verschlüsselte Backups in der EU (Frankfurt, 30-Tage-Aufbewahrung)
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder bei Änderungen unserer Leistungen zu aktualisieren. Wesentliche Änderungen teilen wir Ihnen per E-Mail mit. Die jeweils aktuelle Version ist unter opspect.de/datenschutz abrufbar.
10. Kontakt
Bei Fragen zum Datenschutz wenden Sie sich an:
ITONE | Sascha Gebhardt | Friedenstraße 23 | 52080 Aachen
E-Mail: info@itone.de | Tel: +49 176 56193164
Stand: Mai 2026 | Opspect ist eine Marke der ITONE (Inhaber: Sascha Gebhardt)