Verzeichnis der Verarbeitungstätigkeiten
Gemäß Art. 30 DSGVO. Stand: Mai 2026
1. Verantwortlicher
Aficial UG (haftungsbeschränkt)
Hauptstraße 28, 15806 Zossen
E-Mail: info@aficial.ai
2. Verarbeitungstätigkeiten
| Verarbeitung | Zweck | Rechtsgrundlage | Löschfrist |
|---|---|---|---|
| Kontodaten (Name, E-Mail, Passwort) | Authentifizierung, Kontoverwaltung | Art. 6(1)(b) Vertrag | Kontolöschung + 30 Tage |
| E-Mail-Inhalte (Kunden-E-Mails) | KI-gestützte Antwortgenerierung | Art. 6(1)(b) Vertrag | Löschung durch Nutzer oder Kontolöschung |
| Wissensdatenbank (PDFs, FAQs, Texte) | Kontextanreicherung für KI-Antworten | Art. 6(1)(b) Vertrag | Löschung durch Nutzer |
| JTL-/DHL-Integration (Bestellungen, Kunden, Versand) | Shop-Support-E-Mails zuordnen und JTL-/DHL-Kontext read-only für Antwortentwürfe nutzen | Art. 6(1)(b) Vertrag, dokumentierte Weisung/Freigabe | Zugangsdaten bis Trennung der Verbindung; Kontext bis Löschung der E-Mail/des Entwurfs |
| Nutzungsdaten (Seitenaufrufe, IP) | Sicherheit, Missbrauchsprävention | Art. 6(1)(f) Berechtigtes Interesse | 90 Tage |
| Zahlungsdaten (Stripe) | Abrechnung, Rechnungsstellung | Art. 6(1)(b) Vertrag | 10 Jahre (Aufbewahrungspflicht) |
| KI-Verarbeitung (an Anthropic) | E-Mail-Analyse und Antwortgenerierung | Art. 6(1)(b) Vertrag, Art. 46 SCCs | Keine Nutzung für Modelltraining laut Anbieterbedingungen; konkrete Retention nach DPA/Providervertrag |
| Embedding-Generierung (Google Gemini) | Semantische Suche in Wissensdatenbank | Art. 6(1)(b) Vertrag | Embeddings bis zur Löschung des Wissensdokuments |
| Fehler- und Crash-Reporting (Sentry) | Stabilität, Incident-Erkennung, Missbrauchsprävention | Art. 6(1)(f) Berechtigtes Interesse | 90 Tage oder früher nach Projektkonfiguration |
3. Empfänger / Auftragsverarbeiter
| Auftragsverarbeiter | Zweck | Standort | AVV/DPA |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | West EU (Ireland), eu-west-1 | DPA |
| Vercel Inc. | Hosting, CDN | Global (Edge) | DPA |
| Anthropic PBC | KI-Verarbeitung (Claude) | USA | SCCs + Commercial Terms |
| Google LLC | OAuth-/Gmail-Anbindung nach Einwilligung | USA/EU | DPA |
| Google LLC - Google Generative AI | Embedding-Erzeugung für semantische Suche | USA/EU | DPA |
| JTL / DHL | Vom Nutzer freigegebene Kundensysteme für read-only Bestell-, Kunden- und Versandabfragen | Deutschland/EU, je nach Anbieterleistung | Vertrags- und Nutzungsbeziehung des Auftraggebers mit dem jeweiligen Anbieter |
| Resend Inc. | Transaktions-E-Mails | USA/EU | DPA |
| Upstash Inc. | Redis Cache, Rate Limiting | EU (Frankfurt) | DPA |
| Functional Software, Inc. (Sentry) | Fehler- und Crash-Reporting | USA | DPA |
| Stripe Inc. | Zahlungsabwicklung | USA/EU | DPA |
4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- TLS-Verschlüsselung aller Datenübertragungen (HTTPS erzwungen)
- Verschlüsselung der Daten at rest (Supabase Postgres, AES-256)
- Authentifizierung über Supabase Auth (bcrypt-gehashte Passwörter)
- Row-Level Security in der Datenbank (kein Cross-Org Zugriff möglich)
- Rate Limiting auf allen API-Endpunkten
- Prompt Injection Detection auf allen KI-Eingaben
- Output Validation auf allen KI-Ausgaben
- JTL-/DHL-Zugangsdaten werden verschlüsselt gespeichert und nicht in Logs, Prompts oder Fehlermeldungen geschrieben
- Automatische Eskalation bei verdächtigen Inhalten
- Regelmäßige Sicherheitsaudits des Quellcodes
- Minimale Berechtigungen (Principle of Least Privilege)
5. Betroffene Personen
- Registrierte Nutzer (Unternehmen, die Aficial nutzen)
- Endkunden der Nutzer (Personen, deren E-Mails verarbeitet werden)
- Kunden und Ansprechpartner der Nutzer, soweit deren Daten in E-Mail-, JTL- oder DHL-Kontexten verarbeitet werden
- Website-Besucher (Nutzungsdaten, technische Cookies)
Dieses Verzeichnis wird regelmäßig aktualisiert. Letzte Änderung: Mai 2026.