Datenschutzerklärung
Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir Sie über die Verarbeitung Ihrer Daten im Zusammenhang mit Harbinger Explorer.
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO ist Marc Cherier, Massower Straße 13, 10315 Berlin, Deutschland, info@harbingerexplorer.com.
2. Datenverarbeitung
Im Rahmen der Registrierung und Nutzung von Harbinger Explorer verarbeiten wir die für die Vertragsanbahnung und -durchführung erforderlichen Daten (z. B. Kontodaten, technische Nutzungsdataten). API-Schlüssel, die Sie hinterlegen, werden serverseitig mit AES-256-GCM verschlüsselt gespeichert und nur zur Ausführung Ihrer Anfragen verwendet. Darüber hinaus können wir aggregierte Nutzungsstatistiken erheben, um das Angebot zu verbessern.
3. Cookies
Für Webanalyse setzen wir nach Ihrer Einwilligung Cookies ein: Google Analytics 4 mit Consent Mode v2 sowie Microsoft Clarity für Heatmaps und Sitzungsaufzeichnungen. Beide Dienste werden nur aktiviert, wenn Sie der entsprechenden Kategorie im Cookie-Banner zustimmen.
4. Rechtsgrundlage
Soweit wir in vorvertragliche oder vertragliche Maßnahmen einwilligen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Die Verwendung von Analyse-Cookies und ähnlichen Technologien, die nicht unbedingt erforderlich sind, erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern Sie zugestimmt haben.
5. Hosting
Die Anwendung wird über Vercel bereitgestellt; Server können sich in den USA und der EU befinden. Für die Authentifizierung nutzen wir Firebase Authentication (Google). Es gelten die Datenschutzhinweise der jeweiligen Anbieter.
5a. Google Drive & Sheets (optional)
Wenn Sie Ihren Google-Account verbinden, fordern wir ausschließlich die Scopes drive.file (Zugriff nur auf die Dateien, die Sie über den Google Picker aktiv auswählen oder die Harbinger für Sie erstellt) und spreadsheets (Lesen/Schreiben dieser Sheets) an. Vollständigen Drive-Zugriff fragen wir bewusst nicht an. Access- und Refresh-Token werden mit AES-256-GCM verschlüsselt in Firestore unter Ihrem User-Datensatz gespeichert; jede Verwendung rotiert das Refresh-Token. Sie können die Verbindung jederzeit unter Einstellungen → Verbundene Apps trennen — wir rufen dann Googles Revoke-Endpoint auf und löschen den lokalen Token-Datensatz unkonditional. Datei-Inhalte fließen über unseren Server (Proxy), damit der Access-Token den Browser nie verlässt; sie werden nicht persistiert. Beim Sheets-Export werden Ihre Governance-Regeln aus C6 serverseitig durchgesetzt: als sensibel markierte Spalten werden weggelassen, als personal_data markierte Spalten werden mit HMAC-SHA256 gehasht; ein „Legend"-Tab im Ziel-Sheet dokumentiert beide Transformationen.
5b. Sub-Processors (Art. 28 DSGVO)
Die folgende Liste enthält alle Auftragsverarbeiter, denen wir zur Erbringung des Dienstes personenbezogene Daten weitergeben können. Sie ist die maßgebliche, technisch durchgesetzte Quelle: dieselben Einträge speisen unsere öffentliche Sub-Processor-Seite, den RSS-Feed für Änderungen sowie das DSGVO Art. 30 Verzeichnis. Änderungen kündigen wir mindestens 30 Tage im Voraus über den RSS-Feed an; Sie haben in diesem Zeitraum Widerspruchsrecht.
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Vercel Inc. | Edge- und Serverless-Hosting der Next.js-Anwendung. | EU | SCC 2021/914 + DPF | Nein |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Google LLC (Firebase Auth + Firestore) | Authentifizierung (E-Mail/Passwort + Google OAuth) und Firestore-Speicher für Konto-, Projekt- und Audit-Daten. | EU | SCC 2021/914 + DPF | Nein |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Google Cloud (Vertex AI) | LLM-Inferenz für den Agent. Es werden ausschließlich pseudonymisierte Schema- und aggregierte Kontextdaten übertragen; hochgeladene Rohdaten verlassen den Browser nicht. | EU | SCC 2021/914 + DPF | Nein |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Abonnement-Abrechnung, Zahlungsabwicklung und Steuerberechnung für kostenpflichtige Pläne. | EU | SCC 2021/914 + DPF | Nein |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Functional Software Inc. (Sentry) | Client- und Server-seitiges Fehler-Monitoring. PII werden vor der Übertragung im SDK und auf unserem Log-Sink entfernt. | EU | SCC 2021/914 + DPF | Nein |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Loops So, Inc. | Lifecycle- und Transaktions-Mails (Welcome, Wiederherstellung, Abrechnungs-Benachrichtigungen). | USA | SCC 2021/914 + DPF | Nein |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Canny Inc. | Öffentliches Feedback-Board für Feature-Wünsche und Roadmap-Voting. | USA | SCC 2021/914 + DPF | Ja (consent-gated) |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| Google LLC (Google Analytics 4) | Aggregierte Reichweitenmessung der Marketing-Seiten. IP-Anonymisierung ist aktiviert. Wird nur nach ausdrücklicher Cookie-Einwilligung geladen. | USA | SCC 2021/914 + DPF | Ja (consent-gated) |
| Microsoft Corporation (Clarity) | Anonymisierte Session-Replays und Heatmaps zur UX-Forschung auf der Marketing-Seite. Wird nur nach ausdrücklicher Cookie-Einwilligung geladen. | USA | SCC 2021/914 + DPF | Ja (consent-gated) |
| Anbieter | Zweck | Region | Mechanismus | Opt-out |
|---|---|---|---|---|
| TikTok Information Technologies UK Ltd. | Conversion-Messung für bezahlte TikTok-Kampagnen. Wird nur nach ausdrücklicher Cookie-Einwilligung geladen. | Weltweit | SCC 2021/914 | Ja (consent-gated) |
| Meta Platforms Ireland Ltd. | Conversion-Messung für bezahlte Meta-Kampagnen (Facebook/Instagram). Wird nur nach ausdrücklicher Cookie-Einwilligung geladen. | EU | EU/EEA | Ja (consent-gated) |
| Google Ireland Ltd. (Google Ads) | Conversion-Messung für bezahlte Google-Search- und Display-Kampagnen. Wird nur nach ausdrücklicher Cookie-Einwilligung geladen. | EU | EU/EEA | Ja (consent-gated) |
6. Speicherdauer
Kontodaten speichern wir, solange Ihr Nutzerkonto besteht, und löschen sie nach Weisung oder Kontolöschung, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Analysedaten (z. B. GA4) werden in der Regel bis zu 26 Monate aufbewahrt, sofern der Anbieter nichts anderes vorgibt.
7. Betroffenenrechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen bestimmte Verarbeitungen sowie auf Datenübertragbarkeit, jeweils unter den gesetzlichen Voraussetzungen. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
8. Kontakt
Fragen zum Datenschutz richten Sie bitte an info@harbingerexplorer.com.