Datenschutzrichtlinie
1. Einleitung
Godfrey Engineering Ltd (“wir”, “uns”, “unser” oder “Godfrey Engineering”) verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Diese Datenschutzrichtlinie erläutert, wie wir Ihre persönlichen Daten erfassen, nutzen, offenlegen und schützen, wenn Sie unsere Website unter godfreyengineering.com besuchen, unsere Produkte nutzen (einschließlich ChainSolve) oder auf andere Weise mit unseren Diensten interagieren.
Godfrey Engineering Ltd ist ein Unternehmen, das in England und Wales registriert ist. Wir sind der Verantwortliche für die in dieser Richtlinie beschriebenen persönlichen Daten.
Kontaktdetails:
- E-Mail: legal@godfreyengineering.com
- Allgemeine Anfragen: info@godfreyengineering.com
- Website: www.godfreyengineering.com
Diese Richtlinie gilt für alle persönlichen Daten, die über unsere Website, Anwendungen, E-Mail-Kommunikation und alle anderen Dienste verarbeitet werden, die wir betreiben. Durch die Nutzung unserer Dienste bestätigen Sie, dass Sie diese Richtlinie gelesen und verstanden haben.
2. Daten, die wir erfassen
Wir erfassen persönliche Daten in den folgenden Kategorien:
2.1 Informationen, die Sie direkt bereitstellen
- Kontoinformationen: Wenn Sie ein Konto für ChainSolve oder ein anderes Godfrey Engineering-Produkt erstellen, erfassen wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Passwort (gehashed, wir speichern niemals Klartext-Passwörter).
- Kontaktformular-Einreichungen: Wenn Sie ein Kontaktformular einreichen, erfassen wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht.
- Zahlungsinformationen: Wenn Sie einen Kauf tätigen oder sich für einen kostenpflichtigen Dienst anmelden, erfassen wir Rechnungsdaten (Name, Adresse, Zahlungskartendetails). Zahlungskartendetails werden direkt von Stripe verarbeitet und niemals auf unseren Servern gespeichert.
- Support-Anfragen: Wenn Sie uns um Support kontaktieren, erfassen wir die Informationen, die Sie in Ihrer Anfrage bereitstellen, die Ihren Namen, Ihre E-Mail und Details zum Problem enthalten können.
- Newsletter-Abos: Wenn Sie unseren Newsletter abonnieren, erfassen wir Ihre E-Mail-Adresse und optional Ihren Namen und Ihre Vorlieben.
2.2 Automatisch erfasste Informationen
- Nutzungsdaten: Besuchte Seiten, auf Seiten verbrachte Zeit, angeklickte Links, Referrer und Navigationspfade. Diese Daten werden von PostHog erfasst (siehe Abschnitt 5).
- Geräte- und Browserinformationen: Browsertyp und -version, Betriebssystem, Gerätetyp, Bildschirmauflösung und Spracheinstellung.
- IP-Adresse: Wird von unserem Hosting-Provider (Cloudflare) zu Sicherheits- und Leistungszwecken erfasst. PostHog ist so konfiguriert, dass IP-Adressen nach der Geolokalisierung verworfen werden.
- Cookies und ähnliche Technologien: Siehe unsere Cookie-Richtlinie für ausführliche Informationen über die Cookies, die wir verwenden.
2.3 Informationen von Drittanbietern
- Authentifizierungsanbieter: Wenn Sie sich mit einem Drittanbieter anmelden (z. B. Google, GitHub), erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von diesem Anbieter.
- Zahlungsabwickler: Stripe stellt uns Transaktionsbestätigungen, die letzten vier Ziffern Ihrer Zahlungskarte und Ihre Rechnungsadresse zur Verfügung, um unsere vertraglichen Verpflichtungen zu erfüllen.
3. Rechtliche Grundlage für die Verarbeitung
Wir verarbeiten Ihre persönlichen Daten auf Grundlage der folgenden rechtlichen Grundlagen, wie in der UK General Data Protection Regulation (UK GDPR) und dem Data Protection Act 2018 definiert:
| Rechtliche Grundlage | Beispiele |
|---|---|
| Vertragliche Notwendigkeit (Artikel 6(1)(b)) | Verarbeitung Ihrer Kontodaten zur Bereitstellung von ChainSolve-Diensten; Verarbeitung von Zahlungsdaten zur Erfüllung eines Kaufs |
| Berechtigte Interessen (Artikel 6(1)(f)) | Website-Analysen zur Verbesserung unserer Dienste; Fehlerüberwachung zur Aufrechterhaltung der Servicequalität; Sicherheitsmaßnahmen zum Schutz unserer Systeme |
| Zustimmung (Artikel 6(1)(a)) | Newsletter-Abos; nicht wesentliche Cookies (Analysen, Marketing); PostHog-Produktanalysen |
| Rechtliche Verpflichtung (Artikel 6(1)(c)) | Beibehaltung von Transaktionsunterlagen für Steuer- und Buchhaltungszwecke; Beantwortung rechtmäßiger Anfragen von Behörden |
Wo wir uns auf berechtigte Interessen verlassen, haben wir einen Abwägungstest durchgeführt, um sicherzustellen, dass unsere Interessen Ihre Grundrechte und -freiheiten nicht überwiegen. Sie können Details dieser Bewertungen anfordern, indem Sie uns unter legal@godfreyengineering.com kontaktieren.
4. Wie wir Ihre Daten verwenden
Wir verwenden Ihre persönlichen Daten zu den folgenden Zwecken:
- Servicebereitstellung: Um Ihr Konto zu erstellen und zu verwalten, Zugriff auf unsere Produkte (einschließlich ChainSolve) zu ermöglichen, Transaktionen zu verarbeiten und Kundensupport bereitzustellen.
- Kommunikation: Um auf Ihre Anfragen zu antworten, Transaktions-E-Mails zu versenden (Bestellbestätigungen, Passwort-Zurücksetzen, Servicebenachrichtigungen) und mit Ihrer Zustimmung Marketing-Mitteilungen zu versenden.
- Analysen und Verbesserung: Um zu verstehen, wie Besucher unsere Website nutzen, beliebte Inhalte zu identifizieren, technische Probleme zu diagnostizieren und unsere Dienste zu verbessern. Analysedaten werden aggregiert und wo möglich pseudonymisiert.
- Sicherheit und Betrugsprävention: Um unsere Dienste zu schützen, betrügerische Aktivitäten zu erkennen und zu verhindern und unsere Nutzungsbedingungen durchzusetzen.
- Rechtliche Compliance: Um anwendbare Gesetze, Vorschriften und rechtliche Prozesse einzuhalten, einschließlich Steuerverpflichtungen und Datenschutzgesetze.
5. Datenverarbeiter von Drittanbietern
Wir teilen persönliche Daten mit den folgenden Drittanbieter-Service-Providern, von denen jeder Daten in unserem Namen unter einer Datenverarbeitungsvereinbarung (DPA) verarbeitet:
5.1 Cloudflare (Hosting & CDN)
- Anbieter: Cloudflare, Inc.
- Zweck: Website-Hosting über Cloudflare Pages, Content Delivery Network (CDN), DDoS-Schutz, DNS-Auflösung und Web Application Firewall.
- Verarbeitete Daten: IP-Adressen, HTTP-Request-Header, Seiten-URLs und Leistungsmetriken.
- Datenspeicherort: Globales Edge-Netzwerk; primäre Verarbeitung in EU- und US-Rechenzentren. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
- Aufbewahrung: Web-Traffic-Logs werden maximal 72 Stunden aufbewahrt. Aggregierte Analysen werden bis zu 6 Monate aufbewahrt.
- Datenschutzrichtlinie: https://www.cloudflare.com/privacypolicy/
5.2 Supabase (Datenbank & Authentifizierung)
- Anbieter: Supabase, Inc.
- Zweck: Benutzerauthentifizierung, Datenbankspeicher für Benutzerkonten und Anwendungsdaten.
- Verarbeitete Daten: E-Mail-Adressen, gehashte Passwörter, Benutzerprofilddaten und von Benutzern gespeicherte Anwendungsdaten.
- Datenspeicherort: EU-Region (Frankfurt, Deutschland).
- Aufbewahrung: Daten werden für die Lebensdauer des Benutzerkontos aufbewahrt. Gelöschte Kontodaten werden innerhalb von 30 Tagen gelöscht.
- Datenschutzrichtlinie: https://supabase.com/privacy
5.3 Stripe (Zahlungen)
- Anbieter: Stripe, Inc.
- Zweck: Zahlungsabwicklung für Produktkäufe und Abos.
- Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungskartendetails (direkt von Stripe verarbeitet, Kartennummern berühren niemals unsere Server), Transaktionsverlauf.
- Datenspeicherort: EU-Verarbeitungsregion. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert.
- Aufbewahrung: Transaktionsdatensätze werden 7 Jahre aufbewahrt, um UK-Steuer- und Buchhaltungsverpflichtungen einzuhalten. Zahlungskartendetails werden von Stripe in Übereinstimmung mit PCI-DSS-Anforderungen aufbewahrt.
- Datenschutzrichtlinie: https://stripe.com/privacy
5.4 Resend (Transaktions-E-Mail)
- Anbieter: Resend, Inc.
- Zweck: Versand von Transaktions-E-Mails (Kontobestätigung, Passwort-Zurücksetzen, Bestellbestätigungen, Support-Antworten) und Marketing-E-Mails (Newsletter, Produktaktualisierungen, nur mit Zustimmung).
- Verarbeitete Daten: E-Mail-Adressen, Namen, E-Mail-Inhalte und Zustellungs-Metadaten (Open/Click-Tracking für Marketing-E-Mails nur mit Zustimmung).
- Datenspeicherort: US-basierte Verarbeitung. Datentransfer wird durch Standard Contractual Clauses (SCCs) geregelt.
- Aufbewahrung: E-Mail-Zustellungsprotokolle werden 30 Tage aufbewahrt. Marketing-Engagement-Daten werden für die Dauer des Abos aufbewahrt.
- Datenschutzrichtlinie: https://resend.com/legal/privacy-policy
5.5 PostHog (Produktanalysen)
- Anbieter: PostHog, Inc.
- Zweck: Produktanalysen einschließlich Seitenaufrufe-Tracking, Nutzungsanalyse von Features und Benutzerjourneys. Wird verwendet, um unsere Produkte und Website zu verbessern.
- Verarbeitete Daten: Pseudonymisierte Benutzer-IDs, Seiten-URLs, Referrer, Browser- und Geräte-Metadaten, Feature-Interaktionsereignisse. IP-Adressen werden nach der Geolokalisierung verworfen.
- Datenspeicherort: EU-gehostete Instanz (eu.posthog.com, Frankfurt, Deutschland).
- Zustimmung erforderlich: Ja, PostHog wird nur initialisiert, nachdem der Besucher die Analysen-Zustimmung über das Cookie-Banner erteilt.
- Konfiguration: Personenprofile für anonyme Besucher deaktiviert; Session-Recording deaktiviert; IP-Erfassung deaktiviert.
- Aufbewahrung: Ereignisdaten werden 12 Monate aufbewahrt und dann automatisch gelöscht.
- Datenschutzrichtlinie: https://posthog.com/privacy
6. Internationale Datentransfers
Einige unserer Datenverarbeiter von Drittanbietern sind außerhalb des Vereinigten Königreichs und des Europäischen Wirtschaftsraums (EWR) ansässig. Wo Daten international transferiert werden, stellen wir sicher, dass angemessene Schutzmaßnahmen vorhanden sind:
- EU-US Data Privacy Framework: Cloudflare und Stripe sind unter dem EU-US Data Privacy Framework zertifiziert, das eine Angemessenheitsgrundlage für Datentransfers bietet.
- Standard Contractual Clauses (SCCs): Für Verarbeiter, die nicht unter eine Angemessenheitsentscheidung fallen, verlassen wir uns auf die UK-genehmigte International Data Transfer Agreement (IDTA) oder EU Standard Contractual Clauses, soweit anwendbar.
- EU-gehostete Instanzen: Wo möglich wählen wir EU-gehostete Instanzen von Diensten (PostHog EU, Supabase EU), um internationale Datentransfers zu minimieren.
7. Datenspeicherung
Wir speichern persönliche Daten nur so lange, wie es notwendig ist, um die Zwecke zu erfüllen, für die sie erfasst wurden, es sei denn, ein längerer Aufbewahrungszeitraum ist erforderlich.
| Datenkategorie | Aufbewahrungszeitraum | Grund |
|---|---|---|
| Kontodaten | Lebensdauer des Kontos + 30 Tage nach Löschung | Servicebereitstellung |
| Zahlungstransaktionsdatensätze | 7 Jahre nach Transaktionsdatum | UK-Steuer- und Buchhaltungsrecht (HMRC-Anforderungen) |
| Kontaktformular-Einreichungen | 24 Monate nach Einreichung | Berechtigtes Interesse an Antwort auf Anfragen |
| Newsletter-Abos | Bis zum Abmelden + 30 Tage | Zustimmungsbasiert; Daten nach Abmelden gelöscht |
| Analysedaten (PostHog) | 12 Monate | Berechtigtes Interesse an Serviceverbessering |
| Server-Logs (Cloudflare) | 72 Stunden | Sicherheit und Leistung |
| Cookie-Zustimmungseinstellungen | 12 Monate | Einhaltung von Vorschriften |
Wenn persönliche Daten nicht mehr erforderlich sind, werden sie sicher gelöscht oder anonymisiert, damit sie nicht mehr mit Ihnen verbunden werden können.
8. Ihre Rechte unter der UK GDPR
Unter der UK General Data Protection Regulation und dem Data Protection Act 2018 haben Sie die folgenden Rechte bezüglich Ihrer persönlichen Daten:
8.1 Recht auf Zugang (Artikel 15)
Sie haben das Recht, eine Kopie der persönlichen Daten anzufordern, die wir über Sie halten. Wir werden auf Ihre Anfrage innerhalb eines Kalendermonats antworten.
8.2 Recht auf Berichtigung (Artikel 16)
Sie haben das Recht, zu verlangen, dass wir ungenaue oder unvollständige persönliche Daten, die wir über Sie halten, korrigieren.
8.3 Recht auf Löschung (Artikel 17)
Sie haben das Recht, zu verlangen, dass wir Ihre persönlichen Daten löschen, wenn:
- Die Daten für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind
- Sie die Zustimmung zurückziehen (wenn Zustimmung die Grundlage war)
- Sie gegen die Verarbeitung Einspruch erheben und es keine übergeordneten berechtigten Gründe gibt
- Die Daten rechtswidrig verarbeitet wurden
- Löschung erforderlich ist, um eine rechtliche Verpflichtung einzuhalten
Hinweis: Wir können bestimmte Daten behalten, wenn dies vom Gesetz gefordert wird (z. B. finanzielle Transaktionsdatensätze zu Steuerzwecken).
8.4 Recht auf Einschränkung der Verarbeitung (Artikel 18)
Sie haben das Recht, zu verlangen, dass wir die Verarbeitung Ihrer persönlichen Daten in bestimmten Fällen einschränken, z. B. wenn Sie die Genauigkeit der Daten anfechten oder gegen die Verarbeitung auf Grundlage berechtigter Interessen Einspruch erheben.
8.5 Recht auf Datenportabilität (Artikel 20)
Wo die Verarbeitung auf Zustimmung oder vertragliche Notwendigkeit basiert und automatisiert durchgeführt wird, haben Sie das Recht, Ihre persönlichen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format (JSON oder CSV) zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
8.6 Recht auf Widerspruch (Artikel 21)
Sie haben das Recht, gegen die Verarbeitung auf Grundlage berechtigter Interessen Einspruch zu erheben. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende berechtigte Gründe nachweisen, die Ihre Rechte überwiegen.
Sie haben auch das Recht, gegen Direktmarketing jederzeit Einspruch zu erheben. Wenn Sie Einspruch erheben, stellen wir die Verarbeitung Ihrer Daten zu Direktmarketing-Zwecken sofort ein.
8.7 Rechte bezüglich automatisierter Entscheidungsfindung (Artikel 22)
Wir treffen derzeit keine Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung, die rechtliche oder ähnlich bedeutsame Auswirkungen auf Sie haben. Falls sich dies ändert, werden wir diese Richtlinie aktualisieren und Ihnen angemessene Schutzmaßnahmen bieten.
8.8 Recht auf Widerruf der Zustimmung
Wo die Verarbeitung auf Zustimmung basiert, können Sie Ihre Zustimmung jederzeit widerrufen. Der Widerruf der Zustimmung beeinträchtigt nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Verarbeitung.
Um Cookie-Zustimmung zu widerrufen, verwenden Sie den Link “Cookie-Einstellungen” in der Fußzeile unserer Website oder besuchen Sie unsere Cookie-Richtlinie.
9. Ausübung Ihrer Rechte
Um eines der oben beschriebenen Rechte auszuüben, kontaktieren Sie uns bitte:
- E-Mail: legal@godfreyengineering.com
- Betreffzeile: “Datensubjekt-Zugangsanfrage” (oder das spezifische Recht, das Sie ausüben möchten)
Wir werden Ihre Identität überprüfen, bevor wir Ihre Anfrage bearbeiten. Wir können Sie bitten, zusätzliche Informationen bereitzustellen, um Ihre Identität zu bestätigen, besonders wenn die Anfrage per E-Mail eingereicht wird.
Wir werden auf alle gültigen Anfragen innerhalb von einem Kalendermonat antworten. In außergewöhnlichen Umständen (z. B. komplexe oder zahlreiche Anfragen) können wir diesen Zeitraum um weitere zwei Monate verlängern. In diesem Fall informieren wir Sie über die Verlängerung und die Gründe dafür.
Für die Ausübung Ihrer Rechte fällt keine Gebühr an. Wir können jedoch eine angemessene Gebühr verlangen oder eine Anfrage ablehnen, wenn diese offensichtlich unbegründet oder exzessiv ist.
10. Cookies und Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien auf unserer Website. Für ausführliche Informationen über die Cookies, die wir verwenden, ihren Zweck, ihre Dauer und wie Sie Ihre Einstellungen verwalten, konsultieren Sie bitte unsere Cookie-Richtlinie.
Sie können Ihre Cookie-Einstellungen jederzeit verwalten, indem Sie auf den Link “Cookie-Einstellungen” in der Fußzeile der Website klicken.
11. Daten von Kindern
Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Wir erfassen nicht wissentlich persönliche Daten von Kindern unter 16 Jahren. Falls wir feststellen, dass wir persönliche Daten von Kindern unter 16 Jahren erfasst haben, werden wir Schritte ergreifen, um diese Daten so schnell wie möglich zu löschen.
Wenn Sie vermuten, dass wir Daten von Kindern unter 16 Jahren erfasst haben, kontaktieren Sie uns bitte unter legal@godfreyengineering.com.
12. Sicherheitsmaßnahmen
Wir implementieren angemessene technische und organisatorische Maßnahmen, um Ihre persönlichen Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Zerstörung zu schützen. Diese Maßnahmen umfassen:
- Verschlüsselung bei der Übertragung: Alle Daten, die zwischen Ihrem Browser und unseren Servern übertragen werden, werden mit TLS 1.3 (HTTPS) verschlüsselt, durchgesetzt von Cloudflare.
- Verschlüsselung im Ruhezustand: Benutzerdaten, die in Supabase gespeichert sind, werden im Ruhezustand mit AES-256-Verschlüsselung verschlüsselt.
- Zugriffskontrolle: Der Zugriff auf persönliche Daten ist auf autorisierte Mitarbeiter auf Need-to-Know-Basis beschränkt.
- Passwort-Hashing: Benutzerpasswörter werden mit bcrypt mit einem Work Factor von 12 gehashed. Klartext-Passwörter werden niemals gespeichert.
- Regelmäßige Sicherheitsüberprüfungen: Wir führen regelmäßig Sicherheitsüberprüfungen unserer Infrastruktur und Drittanbieter-Integrationen durch.
- Incident Response: Wir unterhalten ein Incident-Response-Verfahren. Im Falle einer persönlichen Datenpanne werden wir das Information Commissioner’s Office (ICO) innerhalb von 72 Stunden benachrichtigen, soweit erforderlich, und betroffene Personen ohne unnötige Verzögerung, wenn die Panne ein hohes Risiko für ihre Rechte und Freiheiten darstellt.
13. Links zu Websites von Drittanbietern
Unsere Website kann Links zu Websites und Diensten von Drittanbietern enthalten. Wir sind nicht verantwortlich für die Datenschutzpraktiken dieser Drittanbieter. Wir empfehlen Ihnen, die Datenschutzrichtlinien aller besuchten Websites von Drittanbietern zu lesen.
14. Änderungen an dieser Datenschutzrichtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen in unseren Praktiken, Diensten oder geltendem Recht widerzuspiegeln. Wenn wir wesentliche Änderungen vornehmen, werden wir:
- Das Datum “Zuletzt aktualisiert” oben auf dieser Seite aktualisieren
- Eine Benachrichtigung auf unserer Website für angemessene Zeit anzeigen
- Sie, soweit rechtlich erforderlich, per E-Mail benachrichtigen
Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen. Ihre weitere Nutzung unserer Dienste nach Änderungen stellt die Annahme der aktualisierten Richtlinie dar.
15. Beschwerden
Wenn Sie mit unserer Reaktion auf ein Datenschutzanliegen unzufrieden sind, haben Sie das Recht, eine Beschwerde bei der britischen Aufsichtsbehörde einzureichen:
Information Commissioner’s Office (ICO)
- Website: https://ico.org.uk/make-a-complaint/
- Telefon: 0303 123 1113
- Adresse: Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, Vereinigtes Königreich
Wir würden es schätzen, die Gelegenheit zu haben, Ihre Bedenken zu klären, bevor Sie das ICO kontaktieren. Kontaktieren Sie uns bitte zuerst unter legal@godfreyengineering.com.
16. Kontaktieren Sie uns
Wenn Sie Fragen zu dieser Datenschutzrichtlinie oder unseren Datenschutzpraktiken haben, kontaktieren Sie uns bitte:
- Datenschutzanfragen: legal@godfreyengineering.com
- Allgemeine Anfragen: info@godfreyengineering.com
- Website: www.godfreyengineering.com
Godfrey Engineering Ltd
Vereinigtes Königreich