Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Marketing-Website company-phone.de sowie das geschützte Mitarbeiterportal app.company-phone.de (im Folgenden „Portal"). Sie informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO.

3. Hosting & technische Bereitstellung

Frontend-Hosting: Vercel

Marketing-Website und Portal werden über das Edge-Netzwerk von Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) ausgeliefert. Bei Aufruf werden HTTP-Anfragen verarbeitet (siehe Server-Logs unten). Anwendungsdaten werden bei Vercel nicht dauerhaft gespeichert. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist abgeschlossen.

DNS & Sicherheit: Cloudflare

Die DNS-Auflösung erfolgt über Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Cloudflare wirkt als Resolver, die Inhalte selbst werden nicht über den Cloudflare-Proxy ausgeliefert.

Backend & Datenbank: Supabase

Authentifizierung, Datenbank und Datei-Speicher des Portals werden über Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992) bereitgestellt. Die Supabase-Instanz für Company Phone läuft in der AWS-Region eu-central-1 (Frankfurt am Main). Sämtliche Anwendungsdaten werden ausschließlich in der EU verarbeitet und gespeichert. Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist abgeschlossen.

4. Server-Logfiles beim Website-Besuch

Beim Aufruf unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server gesendet. Diese werden temporär in einem Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

• IP-Adresse des anfragenden Rechners (anonymisiert/gekürzt)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Referrer-URL
• Browser, Betriebssystem und Sprache

Die Daten werden zur Sicherstellung des Verbindungsaufbaus, zur Abwehr von Missbrauch und zur Stabilitätsanalyse verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer sicheren und stabilen Website).

5. Kontaktaufnahme

Bei einer Kontaktaufnahme per E-Mail werden die von Ihnen übermittelten Daten (E-Mail-Adresse, Name, ggf. Telefonnummer und Inhalt der Nachricht) gespeichert, um Ihre Anfrage zu beantworten. Die Daten werden gelöscht, sobald die Speicherung zur Beantwortung nicht mehr erforderlich ist; gesetzliche Aufbewahrungspflichten bleiben unberührt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).

6. Mitarbeitervorteilsprogramm im Portal

Das Portal app.company-phone.de ermöglicht Mitarbeitenden teilnehmender Unternehmen die Bestellung von Endgeräten und Tarifen über Bruttoentgeltumwandlung. Die Verarbeitung umfasst folgende Datenkategorien:

Stammdaten und Authentifizierung

• E-Mail-Adresse (geschäftlich)
• Vor- und Nachname
• Passwort (bcrypt-gehasht, niemals im Klartext)
• Zugehörigkeit zur Tenant-Firma (Company-ID)
• Rolle (employee / manager / admin / superadmin)
• Zeitstempel und Versionsnummer der erteilten Datenschutz-/AGB-Einwilligung

Berechnungsdaten für die Bruttoentgeltumwandlung

• Monatliches Bruttogehalt
• Steuerklasse
• Bundesland
• Kirchensteuerpflicht

Diese Angaben sind erforderlich, um die individuelle Netto-Belastung pro gewähltem Endgerät korrekt zu berechnen. Sie werden ausschließlich für die Berechnung im Portal verwendet und nicht an die Tenant-Firma weitergegeben, soweit dies nicht zur Lohnabrechnung der konkreten Bestellung erforderlich ist.

Bestelldaten

• Auswahl des Endgeräts/Tarifs, Variante (Speicher/Farbe), Laufzeit
• Berechnete monatliche Bruttoumwandlung
• Status der Bestellung und Lifecycle-Ereignisse

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Registrierungsprozess) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Mitarbeitervorteilsprogramm). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.

7. Auftragsverarbeitung

Comms Connect verarbeitet personenbezogene Daten für teilnehmende Tenant-Firmen im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO. Folgende Unterauftragsverarbeiter werden eingesetzt:

Ein Auftragsverarbeitungsvertrag zwischen Comms Connect und der jeweiligen Tenant-Firma wird im Rahmen des Onboarding-Prozesses geschlossen. Auf Anfrage stellen wir Ihnen unsere Standard-AVV-Vorlage zur Verfügung.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es zur Erreichung des jeweiligen Zwecks erforderlich ist:

• Stammdaten und Berechnungsdaten: Für die Dauer der Nutzung des Portals.
• Bestellungen: Aufgrund handels- und steuerrechtlicher Aufbewahrungsfristen 6 Jahre (§ 257 HGB) bzw. 10 Jahre (§ 147 AO) ab Ende des Kalenderjahrs.
• Server-Logfiles: Maximal 30 Tage, soweit nicht für Sicherheitsuntersuchungen länger erforderlich.
• Kontaktanfragen: Bis zur abschließenden Beantwortung, danach gemäß den genannten Aufbewahrungsfristen, soweit anwendbar.

Bei Konto-Löschung über das Portal (Self-Service via Profil → Konto löschen) werden Ihre Stammdaten und Berechnungsdaten unverzüglich anonymisiert und Ihr Auth-Konto entfernt. Bestellungen bleiben in anonymisierter Form aufgrund der genannten gesetzlichen Aufbewahrungspflichten bestehen.

9. Cookies

Auf company-phone.de und im Portal werden ausschließlich technisch notwendige Cookies eingesetzt, die für den Betrieb der Plattform erforderlich sind (z. B. Authentifizierungs-Sessions, Tenant-Auswahl). Es werden keine Tracking-, Analyse- oder Werbe-Cookies und keine Cookies von Drittanbietern eingesetzt.

Da keine einwilligungsbedürftigen Cookies eingesetzt werden, ist nach § 25 Abs. 2 Nr. 2 TTDSG kein Cookie-Banner erforderlich.

10. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO)
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
• Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Self-Service im Portal: Auskunft (Datenexport als JSON) und Löschung können Sie unter Profil → Datenschutz bzw. Profil → Konto löschen direkt ausüben.

Alternativ wenden Sie sich an: datenschutz@comms-connect.de. Wir bearbeiten Anfragen innerhalb der gesetzlich vorgesehenen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

Beschwerderecht: Es steht Ihnen ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig für die Comms Connect GmbH:

11. Datensicherheit

Die Plattform nutzt durchgängig TLS-Verschlüsselung (HTTPS). Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Authentifizierung erfolgt über Supabase Auth mit kurzlebigen Access-Tokens und automatischer Token-Rotation. Daten werden in der EU (Frankfurt) verarbeitet und gespeichert.

12. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026 (Version 2026-04). Durch die Weiterentwicklung des Portals oder gesetzliche Änderungen kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist über diese Seite abrufbar. Bei wesentlichen Änderungen, die eine erneute Einwilligung erfordern, werden Sie aktiv informiert.