Datenschutzerklaerung

1. Verantwortlicher

Unternehmen: Fenyx GmbH

Adresse: Oranienstrasse 183, 10999 Berlin

Telefon: +49 176 23820424

E-Mail (Datenschutz): datenschutz@fenyx-office.com

Geschaeftsfuehrer: Artus Assmann, Carl Lennart Corleissen, Vincent Jahn

Registergericht: Amtsgericht Berlin-Charlottenburg | HRB 243747 B

Umsatzsteuer-ID: DE356653066

2. Datenschutzbeauftragter

Die Fenyx GmbH hat derzeit keinen bestellten Datenschutzbeauftragten. Eine Bestellung ist nach Art. 37 DSGVO fuer unser Unternehmen derzeit nicht verpflichtend. Bei Fragen zum Datenschutz wenden Sie sich direkt an:

datenschutz@fenyx-office.com

3. Geltungsbereich

Diese Datenschutzerklaerung gilt fuer folgende Produkte der Fenyx GmbH:

• Fenyx Customer Platform - platform.fenyx-office.com (Web-Anwendung fuer Kunden)
• Fenyx Employee Sale - shop.fenyx-office.com (Web-Anwendung fuer Mitarbeiterverkauf)
• Fenyx App - fenyx-app.web.app (iOS, Android, Web - fuer Reseller und Inventarisierung)

4. Grundsaetze

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Leistungserbringung, Vertragserfuellung oder aufgrund berechtigter Interessen erforderlich ist. Daten werden nicht verkauft oder zu Werbezwecken an Dritte weitergegeben.

5. Cookies und Session-Management

5.1 Technisch notwendige Session-Cookies

Auf unseren Plattformen setzen wir ausschliesslich technisch notwendige Cookies ein. Diese sind fuer den Betrieb der Plattform zwingend erforderlich und koennen nicht deaktiviert werden.

Cookie-Typ: Session-Cookie (Authentifizierung)

Anbieter: Supabase Inc. (Authentifizierungsdienst)

Zweck: Aufrechterhaltung der Anmeldesitzung nach Login

Speicherdauer: Dauer der Sitzung; bei "Angemeldet bleiben" max. 7 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)

Da ausschliesslich technisch notwendige Cookies eingesetzt werden, ist keine Cookie-Einwilligung (Consent-Banner) erforderlich.

5.2 Hinweis: Zukuenftige Analysedienste

Sollten kuenftig Analyse- oder Tracking-Dienste eingesetzt werden (z. B. Web-Analytics), werden wir diese Datenschutzerklaerung entsprechend aktualisieren und, soweit erforderlich, eine Einwilligung einholen.

6. Hosting und Infrastruktur

6.1 Supabase (Datenbank & Authentifizierung)
Unsere zentrale Datenbank und das Authentifizierungssystem basieren auf Supabase (Supabase Inc., USA). Die Daten werden ausschliesslich auf Servern in Frankfurt am Main, Deutschland gespeichert. Der Zugriff ist durch Row Level Security (RLS) auf Datenbankebene abgesichert. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO. Die Uebermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO.

6.2 Netlify (Hosting Customer Platform & Employee Sale)
Die Customer Platform und der Employee Sale werden ueber Netlify (Netlify, Inc., USA) bereitgestellt. Netlify verarbeitet dabei Verbindungsdaten (IP-Adressen, Zeitstempel) im Rahmen des Hostings. Der AVV ist in den Netlify-Nutzungsbedingungen integriert (netlify.com/legal/netlify-dpa). Die Uebermittlung erfolgt auf Basis von Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO.

6.3 Firebase / Google Cloud (Hosting interne Plattform & App)
Teile der Fenyx App und die interne Plattform werden ueber Firebase (Google Ireland Limited, Dublin, Irland) betrieben. Dies umfasst Firebase Hosting, Cloud Functions und Firestore. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergaenzend bestehen Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO. Die Datenspeicherung erfolgt in Europa (Region europe-west), soweit technisch konfiguriert.

6.4 Hostinger (VPS / Medienverarbeitung)
Auf einem VPS bei Hostinger International Ltd. betreiben wir technische Hilfsdienste zur Bildverarbeitung (z. B. Entfernung von Bildhintergruenden, PNG-Generierung). Uebermittelte Bilddateien werden unmittelbar nach der Verarbeitung geloescht. Verbindungsdaten (IP-Adressen) werden als Zugriffsprotokolle fuer max. 30 Tage gespeichert. Es besteht ein Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO.

7. Registrierung und Nutzerkonto

Betroffene Produkte: Alle drei Produkte

Verarbeitete Daten: E-Mail-Adresse, Name, Telefonnummer (optional), Organisationszugehoerigkeit, Rolle innerhalb der Organisation

Zweck: Bereitstellung des Plattformzugangs, Authentifizierung, rollenbasierte Zugriffssteuerung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

Speicherdauer: Dauer der aktiven Nutzung. Nach Kuendigung oder Loeschung des Kontos innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In der App ueber Funktion "Account loeschen" direkt moeglich.

Passwoerter werden ausschliesslich als Hashwerte gespeichert und sind fuer uns nicht einsehbar.

8. Nutzereinladungen (Information gemaess Art. 14 DSGVO)

Nutzer koennen auf unsere Plattformen eingeladen werden, ohne sich zuvor selbst registriert zu haben. In diesem Fall werden Daten (E-Mail-Adresse, Name, Rolle) nicht direkt beim Betroffenen, sondern durch einen Administrator erhoben. Einladungen koennen von folgenden Stellen ausgeloest werden:

• Fenyx-Administratoren oder Key Account Manager
• Kunden-Administratoren innerhalb der jeweiligen Organisation

Die einladende Person ist verpflichtet sicherzustellen, dass die eingeladene Person berechtigt ist, die Einladung zu erhalten. Die eingeladene Person wird nicht gesondert per Einladungs-E-Mail ueber die Datenverarbeitung informiert. Stattdessen ist die Zustimmung zu dieser Datenschutzerklaerung sowie den Allgemeinen Geschaeftsbedingungen fester Bestandteil des Registrierungsprozesses: Eine Registrierung ist nur moeglich, wenn die betroffene Person die Datenschutzerklaerung und die AGB aktiv bestaetigt (Opt-in im Registrierungsflow).

Verarbeitete Daten: E-Mail-Adresse, Name, Rolle (durch einladenden Administrator eingegeben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) bzw. lit. f (berechtigtes Interesse an der Nutzeradministration)

Informationspflicht: Erfuellt durch aktive Zustimmung zu dieser Datenschutzerklaerung im Registrierungsflow (Art. 13 DSGVO). Fuer von Dritten eingeladene Personen gilt Art. 14 DSGVO; die Informationspflicht wird durch die Datenschutzerklaerung erfuellt, die bei der Registrierung zwingend zu bestaetigen ist.

9. Organisations- und Inventardaten

Betroffene Produkte: Customer Platform, Fenyx App

Verarbeitete Daten: Firmenname, Adresse, Logo, Standortdaten (Gebaeude, Etagen, Raeume), Inventardaten (Moebel, Fotos, Zustandsbeschreibungen, Platzierungen), Preise, Projektdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

10. Bestelldaten und Shops

Betroffene Produkte: Customer Platform, Employee Sale

Verarbeitete Daten: Bestellpositionen, Mengen, Preise, Bestellstatus, zugeordnete Nutzer und Organisationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

Speicherdauer: Bestelldaten unterliegen handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu 10 Jahren (Paragraph 257 HGB, Paragraph 147 AO)

11. Mitarbeiterverkauf (Employee Sale) - Privatpersonen

Im Rahmen des Mitarbeiterverkaufs koennen sich externe Privatpersonen registrieren. Der Zugang zum Shop erfolgt ueber eine geteilte URL; einzelne Shops koennen zusaetzlich durch organisationsspezifische Zugangskontrollen geschuetzt sein.

Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse; ggf. zukuenftig Zahlungsdaten (siehe Ziffer 12)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

Speicherdauer: Kontodaten fuer die Dauer der Nutzung; Bestelldaten bis zu 10 Jahre (gesetzliche Aufbewahrungspflicht)

12. Zahlungsabwicklung (SumUp)

Fuer die Zahlungsabwicklung setzen wir SumUp (SumUp Payments Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland) ein. SumUp ist in diesem Zusammenhang eigenstaendiger Verantwortlicher fuer die Zahlungsdaten.

• Zahlungsdaten werden direkt an SumUp uebermittelt und dort verarbeitet.
• Fenyx selbst speichert keine vollstaendigen Zahlungskartendaten.
• SumUp ist PCI-DSS-zertifiziert.
• Es gelten die Datenschutzbestimmungen von SumUp: sumup.com/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung).

13. E-Mail-Versand (Resend)

Anbieter: Resend, Inc., USA

Zweck: Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen, Bestellbestaetigungen)

Verarbeitete Daten: E-Mail-Adresse der Empfaenger, Zeitstempel des Versands

Speicherdauer (bei Resend): Versandlogs max. 30 Tage; danach automatische Loeschung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

Uebermittlung USA: Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO

14. Newsletter und Marketing-E-Mails

Bei jeder Registrierung auf unseren Plattformen sowie beim Check-in besteht die Moeglichkeit, sich freiwillig fuer unseren Newsletter anzumelden. Die Anmeldung erfolgt durch aktives Setzen einer Checkbox (Opt-in) und ist unabhaengig davon, ueber welches Produkt oder welchen Kanal die Registrierung erfolgt.

Verarbeitete Daten: E-Mail-Adresse, Name

Zweck: Zusendung von Angeboten, Aktionen und Informationen zu unseren Produkten und Dienstleistungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Widerruf: Jederzeit per E-Mail an datenschutz@fenyx-office.com oder ueber den Abmeldelink in jeder E-Mail. Die Einwilligung kann mit Wirkung fuer die Zukunft widerrufen werden.

Nachweis der Einwilligung: Wird fuer 3 Jahre nach Widerruf gespeichert (berechtigtes Interesse an Nachweisfuehrung)

15. Terminbuchung (Calendly)

Anbieter: Calendly LLC, USA

Zweck: Koordination von Beratungs- und Projektgespraechen

Verarbeitete Daten: Name, E-Mail-Adresse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Terminkoordination)

Uebermittlung USA: Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO

16. Prozessautomatisierung (Make.com / n8n)

Anbieter: Make (betrieben von Celonis SE, EU); n8n (n8n GmbH, Deutschland)

Zweck: Interne Automatisierungen und Workflows

Verarbeitete Daten: Im Einzelfall Daten abhaengig vom jeweiligen Workflow

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Datenspeicherung: Innerhalb der EU; AVV gemaess Art. 28 DSGVO

17. Zugriffsprotokolle und Sicherheit

Zur Sicherstellung des Betriebs werden Zugriffsprotokolle erhoben (IP-Adresse, Zeitstempel, aufgerufene Endpunkte). Diese werden nach spaetestens 30 Tagen automatisch geloescht.

Technische Schutzmassnahmen:

• Verschluesselung aller Uebertragungen via TLS/HTTPS
• Datenhaltung ausschliesslich in der EU (Supabase, Frankfurt)
• Row Level Security (RLS) auf Datenbankebene
• Rollenbasierte Zugriffssteuerung (RBAC) mit Custom JWT Claims
• Passwort-Hashing durch Supabase Auth

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

18. Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschliesslich:

• an die unter Ziffern 6-16 genannten Auftragsverarbeiter und eigenstaendig Verantwortlichen (SumUp),
• zur Erfuellung gesetzlicher Verpflichtungen,
• mit ausdruecklicher Einwilligung der betroffenen Person.

Ein Verkauf von Daten findet nicht statt.

19. Speicherdauer (Uebersicht)

Nutzerkonto: Dauer der Nutzung + 30 Tage nach Loeschung

Bestelldaten: 10 Jahre (HGB/AO)

Zugriffsprotokolle: 30 Tage

Newsletter-Einwilligung: Bis Widerruf + 3 Jahre Nachweis

Resend-Versandlogs: 30 Tage

Bilddaten (Hostinger): Sofortige Loeschung nach Verarbeitung

20. Betroffenenrechte

Sie haben gegenueber uns folgende Rechte:

• Auskunft - Art. 15 DSGVO
• Berichtigung - Art. 16 DSGVO
• Loeschung - Art. 17 DSGVO (App: direkt ueber Account-loeschen-Funktion)
• Einschraenkung der Verarbeitung - Art. 18 DSGVO
• Datenuebertragbarkeit - Art. 20 DSGVO
• Widerspruch - Art. 21 DSGVO
• Widerruf einer Einwilligung - Art. 7 Abs. 3 DSGVO, jederzeit mit Wirkung fuer die Zukunft

Anfragen richten Sie an: datenschutz@fenyx-office.com
Zustaendige Aufsichtsbehoerde: Berliner Beauftragte fuer Datenschutz und Informationsfreiheit
Friedrichstrasse 219, 10969 Berlin
https://www.datenschutz-berlin.de

21. Aenderungen dieser Datenschutzerklaerung

Wir behalten uns vor, diese Erklaerung bei Aenderungen der Plattform oder der Rechtslage anzupassen. Das Datum des letzten Stands ist oben angegeben. Bei wesentlichen Aenderungen informieren wir registrierte Nutzer per E-Mail.

Aktuelle Version jederzeit abrufbar unter: https://platform.fenyx-office.com/datenschutz

FENYX GMBH