Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
AfterCost – Firat Günenc
Herzogenauracherstr. 38, 90431 Nürnberg
Deutschland
E-Mail: datenschutz@aftercost.de
2. Arten der verarbeiteten Daten und Zwecke
Account-Daten
- E-Mail-Adresse, Name, Unternehmensdaten (Firma, USt-ID)
- Zweck: Vertragserfüllung, Kontoerstellung, Kommunikation
Geschäftsdaten aus dem Kaufland-Konto
- Produkte, Umsätze, Kosten, Bestellungen, Retouren
- Keine Endkundendaten (Namen, Adressen von Käufern werden nicht gespeichert)
- Zweck: Berechnung von Deckungsbeiträgen, Profit-Analyse
Nutzungs- und Metadaten
- Server-Logs, IP-Adressen, Browser-Typ, Zeitstempel
- Zweck: Sicherheit, Fehleranalyse, Missbrauchsprävention
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Kontoerstellung, Datenverarbeitung im Rahmen der Nutzung)
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Server-Logs, Sicherheit, Fehleranalyse)
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Newsletter, optionale Analysen)
4. Empfänger / Auftragsverarbeiter
Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:
| Dienstleister | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) | DPA, EU-Rechenzentrum |
| Vercel Inc. | Hosting, CDN | EU (Frankfurt) | DPA, EU-Rechenzentrum |
| Stripe Inc. | Zahlungsabwicklung | Irland/USA | DPA, EU-US DPF |
| Resend | Transaktionale E-Mails | USA (Verarbeitung: EU-Region Irland) | EU-US DPF, SCC |
| Sentry | Error Monitoring | USA/EU | EU-US DPF, SCC |
| Hetzner Online GmbH | API-Server (VPS) | DE (Nürnberg) | AVV, ISO 27001 |
| Cloudflare Inc. | DNS, CDN, E-Mail-Routing, Bot-Schutz (Turnstile) | USA/EU | DPA, EU-US DPF, SCC |
| Axiom Inc. | Log-Aggregation | USA | DPA, EU-US DPF |
Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO). Ergänzend wurden Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Sie können eine Kopie der Garantien bei uns anfordern: datenschutz@aftercost.de
5. Sicherheitsmaßnahmen
- TLS 1.2+ für alle Verbindungen, AES-256 Verschlüsselung at rest
- Row-Level Security (RLS) auf Datenbankebene, JWT-basierte Authentifizierung
- Multi-Faktor-Authentifizierung (MFA) für Admin-Zugänge
- Automatische tägliche Backups mit Point-in-Time Recovery
6. Speicherdauer und Löschung
- Kaufland-Geschäftsdaten: 30 Tage nach Kündigung vollständig gelöscht
- Sync-Protokolle: Automatische Löschung nach 90 Tagen
- Kontolöschung: 14-Tage Widerrufsfrist, danach unwiderrufliche Löschung
- Gesetzliche Aufbewahrung: Rechnungsdaten 8 Jahre (AO/UStG), Buchführungsdaten 10 Jahre (HGB)
- Feedback-Nachrichten und -Screenshots: Automatische Löschung nach 24 Monaten, spätestens mit der Kontolöschung (siehe Abschnitt 16)
7. Betroffenenrechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft über gespeicherte Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@aftercost.de
Haben Sie in eine Verarbeitung eingewilligt, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
8. Widerspruchsrecht (Art. 21 DSGVO)
Sofern wir Ihre Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.
Widerspruch per E-Mail an: datenschutz@aftercost.de
9. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de
10. Website und Web-Analyse
Unsere Website erhebt bei jedem Aufruf automatisch Server-Logs (IP-Adresse, Zeitpunkt, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, Browser-Typ).
Wir verwenden kein Google Analytics und setzen keine Tracking-Cookies. Es werden ausschließlich technisch notwendige Cookies für die Authentifizierung (Supabase Auth-Session) gesetzt.
Zur Reichweitenmessung nutzen wir Vercel Web Analytics (Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA). Vercel Web Analytics arbeitet ohne Cookies und ohne geräteübergreifende Identifikatoren: Erfasst werden Seitenaufrufe, Referrer-Quelle, Land sowie Browser- und Gerätetyp in aggregierter Form. Zur Unterscheidung von Aufrufen innerhalb eines Besuchs wird ein nicht rückrechenbarer, täglich wechselnder Hash verwendet; die IP-Adresse wird nicht gespeichert. Mit Vercel besteht ein Auftragsverarbeitungsvertrag mit EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenmessung und Verbesserung unseres Angebots).
Zusätzlich erfassen wir eigene Nutzungsereignisse (First-Party-Analytics) auf unseren eigenen Servern in der EU (Supabase, Frankfurt): aufgerufene Seite, Referrer-Domain, ggf. UTM-Kampagnenparameter, grobe Geräteklasse (Mobil/Tablet/Desktop), Browser-Spracheinstellung, das ungefähre Herkunftsland (von unserem Hosting-Anbieter Vercel aus der IP-Adresse abgeleitet — die IP-Adresse selbst wird von uns weder gespeichert noch an die Analytik weitergegeben, nur der zweistellige Ländercode) sowie produktbezogene Ereignisse (z. B. Start der Demo, Absenden einer Founding-Bewerbung). Dabei werden keine Cookies gesetzt, keine IP-Adressen gespeichert und keine geräteübergreifenden Profile gebildet; Ereignisse von nicht eingeloggten Besuchern sind keiner Person zuordenbar. Bei eingeloggten Nutzern wird das Ereignis dem Konto zugeordnet (Vertragserfüllung und Produktverbesserung). In der unverbindlichen Live-Demo verketten wir Ereignisse derselben Demo-Sitzung über eine flüchtige Sitzungskennung (Prüfsumme der ohnehin technisch erforderlichen Anmelde-Sitzung), um Klickwege innerhalb der Demo auszuwerten — eine Wiedererkennung über Sitzungen hinweg oder ein Bezug zu einer Person ist damit nicht möglich. Rohdaten werden nach 13 Monaten automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Messung und Verbesserung unseres Angebots) bzw. Art. 6 Abs. 1 lit. b DSGVO für eingeloggte Nutzer.
11. Fehleranalyse (Sentry)
Zur Erkennung und Behebung technischer Fehler setzen wir Sentry ein. Dabei werden folgende Daten erfasst:
- Stack Traces (technische Fehlermeldungen)
- Browser und Betriebssystem
- Aufgerufene URL zum Zeitpunkt des Fehlers
Es werden keine Cookies durch Sentry gesetzt. Fehlerberichte werden nach 90 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlerbehebung).
12. Kaufland-Verbindung
Die Anbindung an Kaufland erfolgt über eine API-Key-basierte Schnittstelle. AfterCost ruft ausschließlich Geschäftsdaten (Produkte, Bestellungen, Umsätze) aus Ihrem Seller-Konto ab.
Es werden keine Endkundendaten gespeichert. Namen, Adressen und Kontaktdaten der Käufer werden weder abgerufen noch in unserer Datenbank persistiert.
13. Cookie-Übersicht
| Name | Anbieter | Zweck | Dauer | Einwilligung |
|---|---|---|---|---|
| sb-* | Supabase | Authentifizierung | Session | Nicht erforderlich |
| aftercost-demo-* | AfterCost | Demo-Modus | Session | Nicht erforderlich |
Alle eingesetzten Cookies sind technisch notwendig und erfordern keine Einwilligung gemäß § 25 Abs. 2 TDDDG.
14. Automatisierte Entscheidungsfindung
Es findet kein Profiling und keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Alle berechneten Kennzahlen (Deckungsbeiträge, Margen) dienen ausschließlich der Information und haben keine rechtliche Wirkung gegenüber Dritten.
15. Founding-Member-Bewerbung
Auf aftercost.de/founding kannst du dich für unser Founding-Member-Programm bewerben. Dabei verarbeiten wir die von dir angegebenen Daten: Name, E-Mail-Adresse sowie optional deine Kaufland-Marktplätze, einen Freitext zu deiner aktuellen Profit-Übersicht und — sofern vorhanden — Herkunftsparameter deines Besuchs (UTM-Parameter).
Zwecke: Verwaltung deiner Bewerbung, persönliche Kontaktaufnahme für das Intro-Gespräch sowie — nach deiner Aufnahme — Kommunikation rund um das Founding-Programm (Produkt-Updates, Feedback-Anfragen, Terminabsprachen). Keine Weitergabe an Dritte, kein Werbe-Spam.
Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die du über die Checkbox im Formular erteilst, sowie vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Zur Verifizierung deiner E-Mail-Adresse setzen wir ein Double-Opt-in-Verfahren ein: Du erhältst einen Bestätigungslink (48 Stunden gültig); Zeitpunkt der Einwilligung und die Version des Einwilligungstextes werden als Nachweis protokolliert.
Einladung und Konto-Erstellung: Nehmen wir dich in das Founding-Programm auf, senden wir dir eine persönliche Einladungs-E-Mail mit einem Einmal-Link (7 Tage gültig), über den du dein Nutzerkonto erstellst und dein Passwort selbst festlegst (Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung bzw. -erfüllung). Das Konto wird fest auf die E-Mail-Adresse deiner Bewerbung angelegt; der Zeitpunkt deiner Registrierung wird zu deiner Bewerbung gespeichert. Ab der Konto-Erstellung gelten ergänzend die Abschnitte dieser Erklärung zur Nutzung des Dashboards.
Dienstleister: Der E-Mail-Versand erfolgt über Resend (EU-Region Irland, siehe Abschnitt 4). Zum Schutz vor automatisierten Bot-Anfragen setzen wir Cloudflare Turnstile ein; dabei wird deine IP-Adresse an Cloudflare übertragen (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Missbrauchsvermeidung).
Speicherdauer und Widerruf: Wir speichern deine Bewerbungsdaten für die Dauer des Founding-Programms. Du kannst deine Einwilligung jederzeit formlos widerrufen (E-Mail an info@aftercost.de genügt) — wir löschen deine Bewerbung dann umgehend. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
16. In-App-Feedback
Im Dashboard (app.aftercost.de) kannst du uns über den Feedback-Button Anliegen, Fehlermeldungen und Verbesserungsvorschläge schicken. Dabei verarbeiten wir: deinen Nachrichtentext, die Dashboard-Seite, auf der das Feedback entstand, deine Konto-Zuordnung (für den Antwort-Verlauf) sowie — nur wenn du ihn selbst anhängst — einen Screenshot deiner aktuellen Dashboard-Ansicht. Der Screenshot kann deine eigenen Geschäftsdaten (z. B. Umsätze) zeigen; vor dem Senden siehst du in einer Vorschau exakt, was übertragen wird, und kannst den Bildausschnitt selbst wählen oder das Bild entfernen.
Zwecke und Rechtsgrundlage: Bearbeitung deines Anliegens und Produktverbesserung (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung bzw. vorvertragliche Maßnahmen — sowie lit. f — berechtigtes Interesse an der Verbesserung des Dienstes). Antworten wir auf dein Feedback, benachrichtigen wir dich per E-Mail (Versand über Resend, EU-Region Irland, siehe Abschnitt 4).
Speicherung und Löschung: Feedback-Nachrichten und Screenshots werden verschlüsselt übertragen und ausschließlich in der EU gespeichert (Supabase, Region Frankfurt; Screenshots in einem privaten, nicht öffentlich zugänglichen Speicherbereich). Sie werden nach 24 Monaten automatisch gelöscht, bei einer Kontolöschung sofort. Über die Selbstauskunft (Abschnitt 7) erhältst du auch deine Feedback-Daten.