Datenschutzerklärung

🏢 1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Thomas Brandt
Einzelunternehmer handelnd unter der Marke AX1S

AX1S c/o Clevver
Winterhuder Weg 29, 7. Stock
22085 Hamburg, Germany

E-Mail: hello@ax1s.de
Website: www.actli.app

Im Folgenden „wir" oder „Anbieter" genannt.

📋 2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Compliance-Schulungsplattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

⚖️ 3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Betroffenen
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (insbesondere EU AI Act Art. 4, NIS2, DORA)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Betrugsprävention)

🌐 4. Hosting und Bereitstellung der Website

🇪🇺 EU-Hosting

Diese Website wird gehostet bei:

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Beim Besuch unserer Website erfasst der Webserver automatisch:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung, ob der Abruf erfolgreich war
• Erkennungsdaten des verwendeten Browsers und Betriebssystems
• Webseite, von der aus der Zugriff erfolgt (Referrer-URL)

Diese Daten werden aus berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung eines störungsfreien Betriebs temporär in Server-Logfiles gespeichert und nach spätestens 7 Tagen gelöscht.

Auftragsverarbeitung: Wir haben mit IONOS einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

🗄️ 5. Backend-Infrastruktur (Supabase)

🇪🇺 EU-Rechenzentrum SOC 2 Type II

Für die Authentifizierung, Datenhaltung und serverseitige Logik nutzen wir:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Unser Supabase-Projekt wird in der AWS-Region eu-west-1 (Irland) gehostet. Alle personenbezogenen Daten verbleiben damit innerhalb der Europäischen Union.

5.1 Verarbeitete Daten in Supabase

• Authentifizierung: E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Login-Zeitstempel, Session-Token
• Profildaten: Vorname, Nachname, E-Mail, Abteilung, Mandanten-Zuordnung (tenant_id)
• Lernfortschritt: Modulfortschritt, Prüfungsergebnisse, Zertifikatsdaten
• Mandantendaten (B2B): Firmenname, Lizenzschlüssel, Abonnement-Status, Einladungen
• Kaufdaten: Modul-ID, Kauf-Status, Referenz zu Stripe-Zahlung

5.2 Sicherheitsmaßnahmen

• Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256)
• Row Level Security (RLS) – Nutzer können nur eigene Daten einsehen
• Regelmäßige Backups innerhalb der EU-Region
• SOC 2 Type II zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gem. EU AI Act).

Auftragsverarbeitung: Die Datenverarbeitung durch Supabase erfolgt auf Grundlage eines Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.

💳 6. Zahlungsabwicklung (Stripe)

🇪🇺 EU-Datenverarbeitung PCI DSS Level 1

Für die Abwicklung kostenpflichtiger Schulungslizenzen nutzen wir:

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Bei einem Kauf werden Sie zur Zahlungsseite von Stripe weitergeleitet (Stripe Payment Links). Folgende Daten werden von Stripe verarbeitet:

• Name und E-Mail-Adresse
• Zahlungsdaten (Kreditkartennummer, Ablaufdatum, etc.)
• Rechnungsadresse
• IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzhinweise Stripe: stripe.com/de/privacy

🎓 7. ACTLI Schulungsplattform

7.1 Registrierung und Kontoerstellung

Zur Nutzung der ACTLI-Schulungsplattform werden folgende Daten verarbeitet:

• Vorname und Nachname
• E-Mail-Adresse
• Abteilung / Organisationseinheit
• Passwort (verschlüsselt gespeichert via bcrypt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Lernfortschritt und Prüfungsergebnisse

Wir speichern den Lernfortschritt der Schulungsmodule, Prüfungsergebnisse und Zertifikatsdaten. Diese Verarbeitung ist erforderlich für den Nachweis der AI Literacy gemäß EU AI Act Artikel 4 sowie weiterer EU-Regulierungen (NIS2, DORA, DSGVO+KI, CSRD, CRA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und rechtliche Verpflichtung).

7.3 Zertifikate

Bei Bestehen einer Prüfung wird ein Zertifikat mit einer eindeutigen Zertifikats-ID erstellt. Dieses enthält Name, Firma, Datum, Regulierung und Prüfungsergebnis. Die öffentliche Verifikation ist unter actli.app/verify.html möglich.

Die Speicherung erfolgt zum Nachweis der Compliance gemäß EU AI Act und kann bei Audits vorgelegt werden.

7.4 Einladungssystem (B2B)

Für B2B-Kunden bietet ACTLI ein Einladungssystem. Dabei werden E-Mail-Adressen eingeladener Lerner gespeichert, bis die Einladung angenommen oder widerrufen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung B2B-Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an Compliance-Schulungen).

7.5 Lizenzschlüssel (B2B)

Für B2B-Kunden verarbeiten wir Lizenzschlüssel, Kundennummern und Nutzungsdaten zur Lizenzverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

💾 8. Lokale Datenspeicherung (localStorage)

Ergänzend zur serverseitigen Speicherung nutzt die Anwendung den localStorage Ihres Browsers für:

• Sprachauswahl
• Modulfreischaltungs-Status (Cache)
• Temporäre Sitzungsdaten

Diese Daten verlassen Ihren Computer nicht und werden nicht an unsere Server übertragen. Sie können diese Daten jederzeit über die Browser-Einstellungen löschen.

🍪 9. Cookies & technische Speicher

Diese Website verwendet ausschließlich technisch notwendige Cookies und localStorage-Einträge für:

• Sprachauswahl (Präferenz)
• Sitzungsverwaltung / Login-Status (Supabase Auth Token)
• Modulfreischaltungen (Cache)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb) sowie § 25 Abs. 2 TDDDG (technisch erforderlich).

✉️ 10. E-Mail-Kommunikation

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (inkl. E-Mail-Adresse) zum Zweck der Bearbeitung der Anfrage und für Anschlussfragen gespeichert. Diese Daten werden nicht ohne Ihre Einwilligung weitergegeben.

Systembenachrichtigungen (z.B. Einladungs-E-Mails, Passwort-Reset) werden über Supabase Auth versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

🔄 11. Datenweitergabe an Dritte

Eine Übermittlung personenbezogener Daten an Dritte findet nur statt, wenn:

• dies zur Vertragserfüllung erforderlich ist (z.B. Stripe bei Zahlungen)
• eine gesetzliche Verpflichtung besteht
• Sie ausdrücklich eingewilligt haben

Aktuelle Auftragsverarbeiter:

• IONOS SE (Deutschland) – Webhosting
• Supabase Inc. (EU-Region Irland) – Backend, Datenbank, Authentifizierung
• Stripe Payments Europe, Ltd. (Irland) – Zahlungsabwicklung
• Clevver GmbH (Deutschland) – Virtuelle Geschäftsadresse

🌍 12. Datenübermittlung in Drittländer

Alle personenbezogenen Daten werden innerhalb der Europäischen Union bzw. des EWR verarbeitet:

• IONOS: Deutschland 🇩🇪
• Supabase: AWS eu-west-1, Irland 🇮🇪
• Stripe: Dublin, Irland 🇮🇪

Supabase Inc. hat seinen Hauptsitz in den USA. Die Datenverarbeitung unserer Instanz erfolgt jedoch ausschließlich in der EU-Region (Irland). Für den Fall, dass Supabase-Mitarbeiter aus den USA Zugriff auf Systeme benötigen, erfolgt dies auf Grundlage von Standard Contractual Clauses (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und dem EU-U.S. Data Privacy Framework.

Stripe Payments Europe, Ltd. verarbeitet Zahlungsdaten in der EU. Für die Übermittlung an die Stripe, Inc. (USA) gelten ebenfalls SCCs und das EU-U.S. Data Privacy Framework.

⏱️ 13. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

• Server-Logfiles: max. 7 Tage
• Kontodaten: bis zur Kontolöschung bzw. Vertragsende, zzgl. gesetzlicher Aufbewahrungsfristen
• Rechnungs-/Zahlungsdaten: 10 Jahre (steuerrechtlich, §147 AO)
• Vertragsdaten: 6 Jahre (handelsrechtlich, §257 HGB)
• Zertifikats- und Schulungsnachweise: Für die Dauer der gesetzlichen Nachweispflicht gemäß EU AI Act, NIS2 und weiteren EU-Regulierungen (mindestens 5 Jahre empfohlen)
• Einladungen: bis zur Annahme oder Widerruf, max. 12 Monate

🛡️ 14. Ihre Rechte (DSGVO)

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden"
• Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Daten in einem gängigen Format erhalten
• Widerspruch (Art. 21 DSGVO) – Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
• Widerruf – Erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@ax1s.de

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO).

📮 15. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde für unseren Geschäftssitz:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: +49 40 42854-4040
E-Mail: mailbox@datenschutz.hamburg.de
Website: datenschutz-hamburg.de

📝 16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils neue Datenschutzerklärung.

Letzte Aktualisierung: Februar 2026