Datenschutzerklärung

Stand: 27. März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Kapther GmbH i.G.
Musterstraße 1, 80331 München
E-Mail: admin@kapther.de

2. Übersicht der Verarbeitungen

Die folgenden Übersichten fassen die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweisen auf die betroffenen Personen.

2.1 Arten der verarbeiteten Daten

• Bestandsdaten (Name, Firma, Adresse)
• Kontaktdaten (E-Mail-Adresse)
• Nutzungsdaten (besuchte Seiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (IP-Adresse, Geräteinformationen)
• Vertragsdaten (Vertragsgegenstand, Laufzeit, Tarif)
• Zahlungsdaten (werden ausschließlich durch Stripe verarbeitet)
• Gefahrstoff-Fachdaten (Stoffdaten, H-/P-Sätze, SDS-Dokumente)
• Mitarbeiterdaten im Kontext des Gefahrstoffmanagements (Name, Unterweisungsnachweise, CMR-Expositionsdaten)

2.2 Besondere Kategorie: CMR-Expositionsdaten

Im Rahmen des CMR-Expositionsverzeichnisses (GefStoffV §14 Abs. 3) werden personenbezogene Daten zu Mitarbeitern verarbeitet, die krebserzeugenden, keimzellmutagenen oder reproduktionstoxischen Stoffen ausgesetzt sind. Diese Daten unterliegen einer gesetzlichen Aufbewahrungspflicht von 40 Jahren nach der letzten Exposition.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. GefStoffV §14 Abs. 3 Nr. 3 (gesetzliche Verpflichtung).

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Bereitstellung der Software und Erbringung der vertraglichen Leistungen.
• Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO): Verarbeitung zur Erfüllung gesetzlicher Aufbewahrungspflichten (u.a. CMR-Verzeichnis, Unterweisungsnachweise).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Analyse und Verbesserung der Software, Betrugsprävention, IT-Sicherheit.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit wir Einwilligungen einholen, bilden diese die Rechtsgrundlage.

4. Hosting und Infrastruktur

Die Anwendung wird auf folgenden Diensten betrieben:

• Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) – Hosting der Webanwendung. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
• Neon Inc. – PostgreSQL-Datenbank (serverless). Datenspeicherung in der EU (Frankfurt/Main).
• Vercel Blob Storage – Speicherung hochgeladener Sicherheitsdatenblätter (PDF-Dateien).

5. Drittanbieter und Auftragsverarbeiter

5.1 Supabase (Authentifizierung)

Fuer die Benutzeranmeldung nutzen wir Supabase (Supabase Inc., USA). Supabase verarbeitet E-Mail-Adresse und Authentifizierungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) liegt vor.

5.2 Stripe (Zahlungsabwicklung)

Zahlungen werden über Stripe (Stripe Inc., USA) abgewickelt. Stripe verarbeitet Zahlungsdaten eigenverantwortlich. Wir speichern keine Kreditkartennummern. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.3 Datenverarbeitung (intelligente Analyse)

Für die automatisierte Datenextraktion aus Sicherheitsdatenblättern und die Erstellung von Betriebsanweisungen nutzen wir Drittanbieter-APIs zur Textverarbeitung. Dabei werden ausschließlich die Inhalte der hochgeladenen SDS-Dokumente und Stoffdaten übermittelt – keine personenbezogenen Nutzerdaten.

Die Daten werden gemäß den API-Nutzungsbedingungen des Anbieters nicht zu Trainingszwecken verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Datenextraktion).

6. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookies via Supabase). Es werden keine Tracking-Cookies oder Analyse-Tools von Drittanbietern eingesetzt, die einer Einwilligung bedürfen.

7. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein:

• TLS/SSL-Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Datenspeicherung in der Datenbank
• Rollenbasiertes Zugriffskonzept (Admin, LabManager, Editor, Viewer)
• Audit-Trail für alle Datenänderungen
• Regelmäßige automatische Datensicherungen
• SHA-256 Signatur-Hashing für Unterweisungsnachweise

8. Aufbewahrungsfristen

• Nutzerdaten: Werden nach Vertragsende und Ablauf einer 30-tägigen Exportfrist gelöscht.
• Gefahrstoffdaten: Werden mit den Nutzerdaten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• CMR-Expositionsdaten: 40 Jahre nach der letzten dokumentierten Exposition (GefStoffV §14 Abs. 3 Nr. 3).
• Unterweisungsnachweise: Mindestens 2 Jahre nach der Unterweisung (DGUV Vorschrift 1).
• Rechnungsdaten: 10 Jahre (steuerrechtliche Aufbewahrungspflicht, §147 AO).

9. Rechte der betroffenen Personen

Sie haben folgende Rechte gemäß DSGVO:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO) – eingeschränkt bei gesetzlichen Aufbewahrungspflichten (z.B. CMR-Verzeichnis)
• Recht auf Einschränkung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@gefahrstoff.app

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Anbieters.

11. Datenübermittlung in Drittländer

Soweit Daten in die USA übermittelt werden (Vercel, Supabase, Stripe), erfolgt dies auf Grundlage des EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

12. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.