Verzeichnis der Verarbeitungstätigkeiten
Gemäß Art. 30 DSGVO. Stand: März 2026
1. Verantwortlicher
Halit Caner Ertürk, handelnd unter „Aficial“
c/o IP-Management #9417, Ludwig-Erhard-Str. 18, 20459 Hamburg
E-Mail: support@aficial.ai
2. Verarbeitungstätigkeiten
| Verarbeitung | Zweck | Rechtsgrundlage | Löschfrist |
|---|---|---|---|
| Kontodaten (Name, E-Mail, Passwort) | Authentifizierung, Kontoverwaltung | Art. 6(1)(b) Vertrag | Kontolöschung + 30 Tage |
| E-Mail-Inhalte (Kunden-E-Mails) | KI-gestützte Antwortgenerierung | Art. 6(1)(b) Vertrag | Löschung durch Nutzer oder Kontolöschung |
| Wissensdatenbank (PDFs, FAQs, Texte) | Kontextanreicherung für KI-Antworten | Art. 6(1)(b) Vertrag | Löschung durch Nutzer |
| Nutzungsdaten (Seitenaufrufe, IP) | Sicherheit, Missbrauchsprävention | Art. 6(1)(f) Berechtigtes Interesse | 90 Tage |
| Zahlungsdaten (Stripe) | Abrechnung, Rechnungsstellung | Art. 6(1)(b) Vertrag | 10 Jahre (Aufbewahrungspflicht) |
| KI-Verarbeitung (an Anthropic) | E-Mail-Analyse und Antwortgenerierung | Art. 6(1)(b) Vertrag, Art. 46 SCCs | Keine dauerhafte Speicherung bei Anthropic |
| Embedding-Generierung (Google Gemini) | Semantische Suche in Wissensdatenbank | Art. 6(1)(b) Vertrag | Keine dauerhafte Speicherung bei Google |
3. Empfänger / Auftragsverarbeiter
| Auftragsverarbeiter | Zweck | Standort | AVV/DPA |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) | DPA |
| Vercel Inc. | Hosting, CDN | Global (Edge) | DPA |
| Anthropic PBC | KI-Verarbeitung (Claude) | USA | SCCs + Commercial Terms |
| Google LLC | OAuth, Gmail API, Embeddings | USA/EU | DPA |
| Resend Inc. | Transaktions-E-Mails | EU (Ireland) | DPA |
| Stripe Inc. | Zahlungsabwicklung | USA/EU | DPA |
4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- TLS-Verschlüsselung aller Datenübertragungen (HTTPS erzwungen)
- Verschlüsselung der Daten at rest (Supabase Postgres, AES-256)
- Authentifizierung über Supabase Auth (bcrypt-gehashte Passwörter)
- Row-Level Security in der Datenbank (kein Cross-Org Zugriff möglich)
- Rate Limiting auf allen API-Endpunkten
- Prompt Injection Detection auf allen KI-Eingaben
- Output Validation auf allen KI-Ausgaben
- Automatische Eskalation bei verdächtigen Inhalten
- Regelmäßige Sicherheitsaudits des Quellcodes
- Minimale Berechtigungen (Principle of Least Privilege)
5. Betroffene Personen
- Registrierte Nutzer (Unternehmen, die Aficial nutzen)
- Endkunden der Nutzer (Personen, deren E-Mails verarbeitet werden)
- Website-Besucher (Nutzungsdaten, technische Cookies)
Dieses Verzeichnis wird regelmäßig aktualisiert. Letzte Änderung: März 2026.