Rechtliches
Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13/14 DSGVO
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Emre Sakalli
sakalli.ai (Einzelunternehmen)
c/o POSTFLEX PFX-452-938
Emsdettener Straße 10
48268 Greven
Deutschland
E-Mail: info@sakalli.ai
Telefon: +49 15679674169
Ein:e Datenschutzbeauftragte:r ist gesetzlich nicht erforderlich. Bei datenschutzrechtlichen Anfragen wende dich direkt an die oben genannte E-Mail-Adresse.
2. Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du diese Website besuchst oder die DemandHub-Webanwendung (app.demandhub.de) nutzt. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.
Du hast jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie auf Beschwerde bei einer Aufsichtsbehörde. Details findest du unten unter „Betroffenenrechte".
3. Datenerfassung auf dieser Website
3.1 Hosting (Netlify)
Diese Website (demandhub.de) sowie die Webanwendung (app.demandhub.de) werden über die Plattform der Netlify, Inc., 44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA, gehostet. Beim Aufruf der Seiten erhebt Netlify automatisch technische Daten in sogenannten Server-Logfiles:
- IP-Adresse des aufrufenden Geräts
- Datum und Uhrzeit des Aufrufs
- Aufgerufene URL bzw. Datei
- Übertragene Datenmenge
- Browsertyp und -version, Betriebssystem
- Referrer-URL (zuvor besuchte Seite, falls übermittelt)
Diese Daten sind zur Auslieferung der Website technisch erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Darstellung und der Sicherheit der Systeme). Netlify ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen Standardvertragsklauseln (SCC) der EU-Kommission. Weitere Informationen findest du in der Datenschutzerklärung von Netlify.
3.2 SSL/TLS-Verschlüsselung
Sämtliche Verbindungen zu unserer Website und zur Webanwendung erfolgen verschlüsselt über HTTPS (TLS). Dadurch sind die Daten, die du an uns übermittelst, für Dritte auf dem Übertragungsweg nicht einsehbar.
4. Daten, die wir im Zusammenhang mit deinem Nutzerkonto verarbeiten
4.1 Registrierung und Anmeldung
Wenn du ein Konto auf app.demandhub.de erstellst, verarbeiten wir:
- E-Mail-Adresse
- Passwort (ausschließlich als gesalzener Hash gespeichert, wir sehen niemals dein Klartext-Passwort)
- Zeitstempel der Registrierung und der E-Mail-Bestätigung
- Optional: Zeitpunkt der letzten Anmeldung, IP-Adresse zur Missbrauchserkennung
Die Speicherung erfolgt bei unserem Auftragsverarbeiter Supabase (siehe Abschnitt 5). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung; ohne Konto ist die Nutzung der App nicht möglich).
4.2 Geschäftsdaten in der App
Innerhalb der App speicherst du selbst Daten, um deine Geschäftsabwicklung zu betreiben:
- Eigene Firmen-Stammdaten (Firmenname, Anschrift, Steuernummer, IBAN, Logo)
- Kundendaten (Name, Anschrift, E-Mail, Telefon) deiner Auftraggeber*innen
- Projekte, Angebote, Rechnungen, Folgerechnungen und zugehörige Positionen
- Optional: Feature-Wünsche und Votes im integrierten Feedback-Bereich
Diese Daten verarbeiten wir ausschließlich, um dir die App-Funktionen bereitzustellen. Sie sind durch Row Level Security auf Datenbankebene so geschützt, dass jede:r Nutzer:in nur die eigenen Daten sehen kann. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis zu Kundendaten: Soweit du innerhalb der App personenbezogene Daten deiner eigenen Kund*innen verarbeitest, bist du diesbezüglich datenschutzrechtlich Verantwortliche:r. Wir sind dann dein Auftragsverarbeiter. Auf Anforderung stellen wir einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO bereit.
5. Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Bei Anbietern mit Sitz in den USA stützen wir die Übermittlung auf das EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie ergänzend auf Standardvertragsklauseln (SCC).
| Anbieter | Zweck | Sitz / Datenstandort | Datenschutz |
|---|---|---|---|
| Supabase Inc. | Authentifizierung, Postgres-Datenbank, Edge Functions, Datei-Storage | USA (DPF-zertifiziert); EU-Subprozessoren in eu-central-1 / Frankfurt am Main, soweit verfügbar | supabase.com/privacy |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Stripe Checkout) inkl. Betrugsprävention | Irland (EU/EWR) | stripe.com/de/privacy |
| Resend Inc. | Versand transaktionaler E-Mails (Bestätigungen, Passwort-Reset, Lizenzcodes, Kunden-E-Mails) | USA (DPF-zertifiziert) | resend.com/legal/privacy-policy |
| Netlify, Inc. | Static-Hosting von demandhub.de und app.demandhub.de, CDN, DDoS-Schutz | USA (DPF-zertifiziert); globales CDN inkl. EU-Endpunkte | netlify.com/privacy |
| IONOS SE | Domain- und Mail-Domain-Hosting (MX/DNS für hallo@demandhub.de) | Deutschland | ionos.de/datenschutz |
6. Zahlungsdienstleister (Stripe)
Für die Bezahlung des einmaligen Lifetime-Kaufpreises setzen wir Stripe Checkout ein. Wenn du den Kaufprozess startest, wirst du auf eine von Stripe gehostete Seite weitergeleitet. Du gibst dort deine Zahlungsdaten (z. B. Kreditkartennummer, IBAN, PayPal-Daten) direkt bei Stripe ein. Wir selbst erhalten keine Zahlungsmittel-Daten.
Stripe übermittelt uns nach erfolgreicher Zahlung ausschließlich folgende Informationen:
- E-Mail-Adresse der zahlenden Person
- Optional: Name (falls von dir bei Stripe angegeben)
- Stripe-Order-ID (interne Referenz für unsere Buchhaltung)
- Bestätigung, dass die Zahlung erfolgreich war (Webhook-Event)
Rechtsgrundlage für die Verarbeitung über Stripe ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe Payments Europe Ltd. ist eine Gesellschaft mit Sitz in Irland (EU/EWR). Details unter stripe.com/de/privacy.
7. E-Mail-Versand (Resend)
Wir versenden zwei Arten von E-Mails über den Dienstleister Resend Inc., USA:
- System-E-Mails (Auftragsverarbeitung in unserem Auftrag): Registrierungsbestätigung, Passwort-Zurücksetzen, Hinweis bei Passwortänderung, E-Mail-Adresswechsel, Lizenzcode nach Kauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Nutzer-getriebene E-Mails: Wenn du ein Angebot oder eine Rechnung direkt aus der App heraus an deine Kund*innen sendest, werden diese E-Mails ebenfalls über Resend versendet. Du bleibst dabei Verantwortliche:r im Sinne der DSGVO für die Inhalte; wir agieren als technischer Auftragsverarbeiter.
Resend ist DPF-zertifiziert. Logs (Empfängeradresse, Versandzeitpunkt, Zustellstatus) werden bei Resend für ca. 30 Tage gespeichert, anschließend gelöscht oder pseudonymisiert.
8. Cookies und lokaler Speicher (Local Storage)
Wir verwenden keine Analyse-Cookies, kein Tracking, keine Werbe-Cookies, keine Social-Media-Pixel und keine Marketing-Tools. Es findet kein Profiling und keine Reichweitenmessung statt.
Wir nutzen ausschließlich technisch notwendige Einträge im Browser-Speicher (LocalStorage und ein Auth-Token-Cookie), damit die App funktioniert:
| Name | Zweck | Speicherort | Dauer |
|---|---|---|---|
demandhub-theme |
Dunkel-/Hell-Modus-Einstellung | LocalStorage | persistent, bis du es selbst löschst |
dh_onboarding_dismissed_v1 |
Merkt sich, dass du die Setup-Checkliste geschlossen hast | LocalStorage | persistent |
customer-view-mode |
Letzte gewählte Ansicht (Karten / Liste) in der Kundenliste | LocalStorage | persistent |
sb-...-auth-token |
Supabase-Authentifizierungstoken (hält dich angemeldet) | LocalStorage | bis zum Abmelden bzw. Sitzungsablauf |
Da diese Speichereinträge unbedingt erforderlich sind, um den von dir ausdrücklich gewünschten Dienst (Anmeldung, Themen-Auswahl, App-Funktionen) bereitzustellen, ist eine Einwilligung nach § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG) nicht erforderlich. Es kommt kein Consent-Banner zum Einsatz.
9. Speicherdauer
Deine Konto- und App-Daten werden gespeichert, solange dein Konto besteht. Du kannst dein Konto jederzeit über die App löschen (Einstellungen → Konto → „Konto endgültig löschen"). Mit der Löschung werden sämtliche personenbezogenen Daten in unserer Datenbank unverzüglich entfernt. Ausnahme: Daten, die wir aufgrund gesetzlicher Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB für Rechnungs- und Buchhaltungsbelege) bis zu 10 Jahre lang aufbewahren müssen.
Lizenzcodes und Order-IDs bleiben in pseudonymisierter Form zur Erfüllung steuerlicher Pflichten und zur Missbrauchsprävention erhalten, sind nach Kontolöschung jedoch keiner natürlichen Person mehr zuordenbar.
10. Betroffenenrechte
Du hast jederzeit folgende Rechte uns gegenüber:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung deiner Daten (Art. 17 DSGVO), direkt in der App über die Funktion „Konto löschen" möglich
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit: Erhalt deiner Daten in einem strukturierten, gängigen Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung aus Gründen, die sich aus deiner besonderen Situation ergeben (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richtest du bitte an info@sakalli.ai.
Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts. Für uns örtlich zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: ldi.nrw.de
11. Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen, um deine Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen. Dazu gehören insbesondere:
- Verschlüsselte Übertragung sämtlicher Daten via HTTPS/TLS 1.2+
- Verschlüsselung der Daten at rest bei unseren Auftragsverarbeitern
- Passwort-Speicherung ausschließlich als gesalzener Hash (bcrypt-basiert über Supabase Auth)
- Row Level Security auf Datenbank-Ebene: jede Tabellenzeile ist über
auth.uid()an die jeweilige nutzende Person gebunden - Edge Functions verifizieren die Identität via Auth-Token vor jeder Operation
- Regelmäßige Backups durch Supabase (Point-in-Time-Recovery)
- Stripe-Webhook-Signaturen werden serverseitig kryptographisch verifiziert
12. Aktualität und Änderung dieser Erklärung
Diese Datenschutzerklärung ist aktuell gültig. Durch Weiterentwicklung unseres Angebots oder geänderte gesetzliche oder behördliche Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung ist jederzeit unter demandhub.de/datenschutz.html abrufbar.
Stand: 24. Mai 2026