Datenschutzerklärung

Datenschutzerklärung Stand: 17. Mai 2026 1. Verantwortlicher Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist: Pascal Hans IT Solutions Inhaber: Pascal Hans Steppeswiesenstraße 2 67434 Neustadt an der Weinstraße Deutschland E-Mail: support@crewio.co Die vollständigen Anbieterangaben stehen im Impressum. Ein Datenschutzbeauftragter ist derzeit nicht benannt. Falls künftig ein Datenschutzbeauftragter benannt wird, werden dessen Kontaktdaten hier ergänzt. 2. Rollen von CREWIO und Organisationen Für Datenverarbeitungen, die Organisationen eigenständig innerhalb von CREWIO veranlassen, insbesondere Helferlisten, Events, Schichten, Nachrichten, Bewertungen, Check-ins, White-Label-Portale und eigene Domains, ist regelmäßig die jeweilige Organisation Verantwortliche im Sinne der DSGVO. CREWIO verarbeitet solche Daten regelmäßig als Auftragsverarbeiter nach Art. 28 DSGVO. Für eigene Website-, Account-, Abrechnungs-, Support-, Sicherheits-, Produktanalyse- und Vertragsprozesse ist Pascal Hans IT Solutions selbst Verantwortlicher. 3. Kategorien personenbezogener Daten Je nach Nutzung verarbeiten wir insbesondere: - Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Vereins- oder Organisationszuordnung, Rolle, Berechtigungen, Profilangaben und Kontaktpräferenzen. - Account- und Authentifizierungsdaten: Login-Daten, Sessiondaten, OTP- und E-Mail-Verifizierungsstatus, Passwort-Reset-Daten, OAuth-Daten und Sicherheitsereignisse. - Event-, Schicht- und Helferdaten: Verfügbarkeiten, Rollen, Schichten, Check-ins, No-Shows, Notizen, Einladungen, QR-Daten, Kalenderdaten, Nachrichten, Bewertungs- und Aktivitätsdaten. - Abrechnungsdaten: gebuchte Pläne, Add-ons, Event-Pässe, Rechnungsdaten, Zahlungsstatus, Checkout-Referenzen, Rabattcodes, Steuerhinweise und buchhaltungsrelevante Daten. - Kommunikationsdaten: Support-Anfragen, E-Mails, Newsletter-Anmeldungen, Double-Opt-in-Daten, SMS, WhatsApp-Nachrichten, Push-Tokens, Zustellstatus und Benachrichtigungspräferenzen. - Technische Daten: IP-Adresse, User-Agent, Geräte- und Browserdaten, Logdaten, Request-IDs, Sicherheitslogs, Cookie- und Consent-Status, Rate-Limit-Metadaten und Fehlerberichte. - Analyse- und Nutzungsdaten: Seitenaufrufe, Feature-Nutzung, Conversion-, Funnel-, Performance- und Produktmetriken, soweit erforderlich nur mit Einwilligung. - Integrationsdaten: API-Keys, Webhook-Konfigurationen, Delivery-Logs, externe IDs, Scopes, technische Metadaten verbundener Dienste und Import-/Exportprotokolle. - White-Label- und Domain-Daten: Hostnamen, DNS-Status, Branding, Logo-URLs, Portaltexte, eigene Rechtstext-Links und Supportkontakte. 4. Quellen der Daten Wir erhalten Daten direkt von Nutzer:innen, von Organisationen, die Nutzer:innen einladen oder verwalten, aus Zahlungs- und Identitätsdiensten, aus technischen Systemen der Plattform, aus verbundenen Integrationen sowie aus Support- und Kommunikationskanälen. 5. Zwecke und Rechtsgrundlagen Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken: - Bereitstellung der Plattform, Nutzerkonten, Authentifizierung, Autorisierung und Mandantentrennung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. - Event-, Schicht- und Helfermanagement im Auftrag der jeweiligen Organisation auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO der Organisation sowie Art. 28 DSGVO. - Zahlungsabwicklung, Abrechnung, Buchhaltung und Nachweispflichten auf Grundlage von Art. 6 Abs. 1 lit. b und lit. c DSGVO. - Benachrichtigungen per E-Mail, SMS, WhatsApp, Push und In-App-Mitteilung auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO; bei werblicher Kommunikation regelmäßig Art. 6 Abs. 1 lit. a DSGVO und Double-Opt-in. - Sicherheit, Missbrauchserkennung, Rate-Limiting, CSRF-Schutz, Audit-Logs, Fehleranalyse und Plattformintegrität auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. - Support, Kundenkommunikation, Admin-Operationen, Abwehr und Durchsetzung von Ansprüchen auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO. - Optionale Analyse, Marketing-, Produkt- und Conversion-Messung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG, soweit eine Einwilligung erforderlich ist. - Newsletter und Produktinformationen auf Grundlage von Einwilligung oder Bestandskundenkommunikation, soweit gesetzlich zulässig. - Erfüllung gesetzlicher Pflichten, insbesondere handels-, steuer-, datenschutz- und sicherheitsrechtlicher Aufbewahrungs- und Nachweispflichten, auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. 6. Berechtigte Interessen Unsere berechtigten Interessen liegen insbesondere in sicherem Plattformbetrieb, Mandantentrennung, Missbrauchsabwehr, Fehleranalyse, Produktverbesserung, wirtschaftlicher Abrechnung, Supportqualität, Durchsetzung von Vertragsansprüchen, Schutz vor unzulässigen Massennachrichten und Sicherung von Nachweisen. 7. Hosting, Infrastruktur und Sicherheit CREWIO wird als cloudbasierte Anwendung betrieben. Zur Bereitstellung, Skalierung, Auslieferung, Protokollierung und Absicherung setzen wir technische Dienstleister ein. Dabei können IP-Adressen, Request-Metadaten, Protokolldaten, Fehlerdaten und sicherheitsrelevante Ereignisse verarbeitet werden. Sicherheitsmaßnahmen umfassen Zugriffskontrollen, rollenbasierte Berechtigungen, Row-Level-Security, Verschlüsselung, Audit-Logs, Rate-Limiting, CSRF-Schutz, Webhook-Signaturen, sichere Session-Verarbeitung, Backups, Monitoring und technische Überwachung. 8. Eingesetzte Dienste und Partner Folgende Dienste setzen wir ein oder halten sie für aktivierbare Funktionen bereit. Der konkrete Einsatz hängt von gebuchtem Plan, Konfiguration, Einwilligung und tatsächlicher Nutzung ab: - Supabase: Datenbank, Authentifizierung, Storage, Realtime und Backend-Zugriffe. Verarbeitet werden können Account-, Event-, Helfer-, Rollen-, Session-, Datei- und Logdaten. - Vercel: Hosting, CDN, Edge-Funktionen, Domains, Deployment und Logs. Verarbeitet werden können IP-Adresse, Requestdaten, Geräte-/Browserdaten und technische Logs. - SumUp: Checkout, Zahlungsabwicklung insbesondere für Kreditkartenzahlungen, Zahlungsstatus und Webhooks. Verarbeitet werden können Zahlungsdaten, Checkout-Referenzen, Rechnungs- und Transaktionsdaten. - Stripe: Zahlungsabwicklung für zusätzliche gängige Zahlungsarten, Betrugsprävention, Checkout, Webhooks und technische Zahlungsabwicklung. Verarbeitet werden können Name, E-Mail-Adresse, Rechnungsdaten, Zahlungsart, Zahlungsstatus, Transaktionsbetrag, Transaktionsreferenzen, IP-Adresse, Geräte-/Browserdaten und weitere erforderliche Zahlungsdaten. - Stripe Climate: Verwaltung unseres Beitrags von 1 % des über Stripe abgewickelten Zahlungsvolumens zur Unterstützung von Projekten zur dauerhaften CO2-Entfernung. Verarbeitet werden können aggregierte Zahlungsvolumina, Beitragsbeträge und technische Abrechnungsdaten. - Apple Pay, Google Pay und weitere im Checkout auswählbare Zahlungsmethoden: optionale Zahlungsabwicklung nach aktiver Auswahl durch Nutzer:innen; je nach Zahlungsart können zusätzliche Zahlungsdienstleister und Banken beteiligt sein. - Resend: Transaktions-E-Mails, Einladungen, OTP, Benachrichtigungen, Support- und Newsletter-Kommunikation. Verarbeitet werden können E-Mail-Adresse, Name, Nachrichtendaten, Template-Daten und Zustellstatus. - Twilio / WhatsApp: SMS, WhatsApp-Nachrichten und Status-Callbacks. Verarbeitet werden können Telefonnummer, Nachrichtentext, Zustellstatus und technische Metadaten. - Upstash / Redis: Rate-Limiting, Missbrauchsschutz und technische Zwischenspeicherung. Verarbeitet werden können IP-bezogene Schlüssel, Request-Zähler und technische Metadaten. - Google Tag Manager / Google Analytics 4: optionale Analyse, Consent Mode, Conversion- und Funnel-Messung. Verarbeitet werden können Nutzungsereignisse, Geräte-/Browserdaten, pseudonyme IDs und gekürzte oder anonymisierte IP-Adressen. - Plausible: optionale datenschutzfreundliche Webanalyse. Verarbeitet werden können Seitenaufrufe, Referrer und Geräte-/Browserdaten in aggregierter Form. - Open-Meteo: Wetterprognosen und Handlungsempfehlungen für Events. Verarbeitet werden können Ort oder Koordinaten des Events sowie technische Requestdaten. - OpenStreetMap / Nominatim: Karten, Geocoding, Orts- und Adresssuche. Verarbeitet werden können Adresse, Ort, Koordinaten, IP-Adresse und technische Abrufdaten. - Leaflet und Karten-Assets: Kartendarstellung und Marker. Verarbeitet werden können IP-Adresse und Browserdaten beim Asset-Abruf. - GitHub: optionaler Changelog-Import und Entwickler-Workflows im Adminbereich. Verarbeitet werden können Repository-Metadaten, Commit-Daten und technische API-Daten. - Apple- und Google-Plattformdienste: optionale native App-Funktionen, Push-Benachrichtigungen, Wallet- und Gerätefunktionen. Verarbeitet werden können Gerätekennungen, Push-Tokens und Plattform-Metadaten. 9. Drittlandübermittlungen Soweit personenbezogene Daten außerhalb der EU oder des EWR verarbeitet werden, stützen wir Übermittlungen auf geeignete Garantien, insbesondere Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln, zusätzliche technische und organisatorische Maßnahmen oder Einwilligungen, soweit erforderlich. 10. Cookies, Local Storage und Consent CREWIO nutzt technisch erforderliche Cookies und vergleichbare Speicherungen für Login, Session, CSRF-Schutz, Sicherheit, Consent-Status, Theme, Spracheinstellungen, Redirects, App-Funktionen, Offline-Check-in, Warenkorb/Checkout und Missbrauchsschutz. Diese Speicherungen sind erforderlich, um den ausdrücklich gewünschten digitalen Dienst bereitzustellen. Optionale Analyse-, Produkt- oder Marketingdienste werden für Nutzer:innen aus der EU, dem EWR, der Schweiz und dem Vereinigten Königreich nur nach Einwilligung aktiviert, soweit eine Einwilligung erforderlich ist. Einwilligungen können jederzeit über die Cookie-Einstellungen im Footer geändert oder widerrufen werden. 11. Kommunikation per E-Mail, SMS, WhatsApp und Push CREWIO kann Nachrichten im Namen der jeweiligen Organisation versenden, insbesondere Einladungen, OTP-Codes, Schichtinformationen, Erinnerungen, Ausfallmeldungen, Broadcasts, Support-Kommunikation und Newsletter. Organisationen sind verantwortlich, dass Empfänger:innen rechtmäßig kontaktiert werden dürfen und erforderliche Einwilligungen oder andere Rechtsgrundlagen vorliegen. Empfänger:innen können Benachrichtigungspräferenzen im Rahmen der verfügbaren Funktionen verwalten. 12. Zahlungsabwicklung CREWIO speichert keine vollständigen Kreditkarten- oder Kontozugangsdaten. Zahlungsdaten werden durch SumUp, Stripe und gegebenenfalls beteiligte Zahlungsnetzwerke, Banken oder Wallet-Anbieter verarbeitet. Wir verarbeiten Zahlungsstatus, Checkout-Referenzen, Produktinformationen, Rechnungsdaten, Transaktionsereignisse, Rückbuchungsdaten und Webhook-Daten zur Vertragserfüllung, Betrugsprävention, Support, Buchhaltung und Nachweisführung. 13. White-Label-Portale und eigene Domains Organisationen können eigene Domains, Logos, Farben, Rechtstexte, Support-Kontakte und Portaltexte hinterlegen. Für diese Inhalte und deren Rechtmäßigkeit ist die jeweilige Organisation verantwortlich. Zur Domain-Bereitstellung können Vercel und Supabase Management APIs genutzt werden. Dabei werden Hostnamen, DNS-Status, Redirect-URLs und technische Konfigurationsdaten verarbeitet. 14. Developer-API, Webhooks und Integrationen Bei Nutzung der Developer-API und Webhooks verarbeiten wir API-Keys, Scopes, Webhook-Endpunkte, Signaturdaten, Delivery-Logs, Payload-Metadaten, Fehlercodes, IP-Adressen, Zeitpunkte und technische Statusinformationen. Diese Verarbeitung dient Authentifizierung, Autorisierung, Missbrauchsprävention, Zustellbarkeit, Fehlersuche, Abrechnung und Nachvollziehbarkeit technischer Integrationen. 15. Support, Adminzugriffe und Impersonation Support-Tickets, Fehlermeldungen, Admin-Operationen und berechtigte Supportzugriffe können personenbezogene Daten enthalten. Zugriffe werden auf berechtigte Personen beschränkt und, soweit technisch vorgesehen, protokolliert. Impersonation- oder Admin-Support-Funktionen dienen Fehleranalyse, Missbrauchsabwehr und Kundenunterstützung. 16. Speicherdauer und Löschung Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Vertrags-, Rechnungs- und Buchhaltungsdaten können nach handels- und steuerrechtlichen Vorgaben regelmäßig bis zu zehn Jahre gespeichert werden. Account-, Event- und Helferdaten werden grundsätzlich gelöscht oder anonymisiert, wenn sie für die Vertragsdurchführung nicht mehr erforderlich sind, eine Organisation sie löscht oder gesetzliche Pflichten einer Löschung nicht entgegenstehen. Sicherheits-, Audit- und Missbrauchslogs werden risikobasiert und zweckgebunden aufbewahrt. Backups werden nach technischen Zyklen überschrieben. 17. Empfänger und Auftragsverarbeitung Zugriff auf personenbezogene Daten erhalten nur Personen und Dienstleister, die diese Daten zur Erfüllung ihrer Aufgaben benötigen. Mit Auftragsverarbeitern schließen wir Vereinbarungen nach Art. 28 DSGVO, soweit erforderlich. Eine Weitergabe an Behörden, Gerichte oder sonstige Dritte erfolgt nur, wenn wir rechtlich dazu verpflichtet sind, berechtigte Ansprüche geltend machen oder verteidigen müssen oder eine wirksame Einwilligung vorliegt. 18. Automatisierte Entscheidungen CREWIO trifft derzeit keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Produktmetriken, Health Scores, Empfehlungen und Automationen dienen organisatorischer Unterstützung und ersetzen keine Entscheidung der jeweils verantwortlichen Organisation. 19. Betroffenenrechte Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte: - Auskunft über verarbeitete personenbezogene Daten, Art. 15 DSGVO. - Berichtigung unrichtiger oder unvollständiger Daten, Art. 16 DSGVO. - Löschung personenbezogener Daten, Art. 17 DSGVO. - Einschränkung der Verarbeitung, Art. 18 DSGVO. - Datenübertragbarkeit, Art. 20 DSGVO. - Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen, Art. 21 DSGVO. - Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft, Art. 7 Abs. 3 DSGVO. - Beschwerde bei einer Datenschutzaufsichtsbehörde, Art. 77 DSGVO. Die für uns örtlich naheliegende Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Betroffene Personen können sich auch an jede andere zuständige Datenschutzaufsichtsbehörde wenden. 20. Datenabfrage und Account-Löschung Nutzer:innen können eine Datenabfrage nach Art. 15 DSGVO stellen. Wir bündeln die bei CREWIO gespeicherten personenbezogenen Daten und senden sie nach Prüfung der Berechtigung per E-Mail zu. Die Datenabfrage ist unter /datenschutz/datenabfrage erreichbar. Account-Löschungen, Löschanfragen und Einschränkungen werden nach Maßgabe gesetzlicher Pflichten, vertraglicher Nachweise, Sicherheitsinteressen und organisatorischer Verantwortlichkeiten geprüft. 21. Aktualisierung dieser Datenschutzerklärung Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, eingesetzte Dienste, Rechtsgrundlagen oder technische Abläufe ändern. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.