Verzeichnis der Verarbeitungstätigkeiten
Gemäß Art. 30 DSGVO. Stand: Mai 2026
1. Verantwortlicher
Aficial UG (haftungsbeschränkt)
Vertreten durch: Halit Caner Ertürk, Geschäftsführer
c/o IP-Management #9417, Ludwig-Erhard-Str. 18, 20459 Hamburg
E-Mail: aficial@aficial.ai
2. Verarbeitungstätigkeiten
| Verarbeitung | Zweck | Rechtsgrundlage | Löschfrist |
|---|---|---|---|
| Kontodaten (Name, E-Mail, Passwort) | Authentifizierung, Kontoverwaltung | Art. 6(1)(b) Vertrag | Kontolöschung + 30 Tage |
| E-Mail-Inhalte (Kunden-E-Mails) | KI-gestützte Antwortgenerierung | Art. 6(1)(b) Vertrag | Löschung durch Nutzer oder Kontolöschung |
| Wissensdatenbank (PDFs, FAQs, Texte) | Kontextanreicherung für KI-Antworten | Art. 6(1)(b) Vertrag | Löschung durch Nutzer |
| Nutzungsdaten (Seitenaufrufe, IP) | Sicherheit, Missbrauchsprävention | Art. 6(1)(f) Berechtigtes Interesse | 90 Tage |
| Zahlungsdaten (Stripe) | Abrechnung, Rechnungsstellung | Art. 6(1)(b) Vertrag | 10 Jahre (Aufbewahrungspflicht) |
| KI-Verarbeitung (an Anthropic) | E-Mail-Analyse und Antwortgenerierung | Art. 6(1)(b) Vertrag, Art. 46 SCCs | Keine Nutzung für Modelltraining laut Anbieterbedingungen; konkrete Retention nach DPA/Providervertrag |
| Embedding-Generierung (Google Gemini) | Semantische Suche in Wissensdatenbank | Art. 6(1)(b) Vertrag | Embeddings bis zur Löschung des Wissensdokuments |
| Fehler- und Crash-Reporting (Sentry) | Stabilität, Incident-Erkennung, Missbrauchsprävention | Art. 6(1)(f) Berechtigtes Interesse | 90 Tage oder früher nach Projektkonfiguration |
3. Empfänger / Auftragsverarbeiter
| Auftragsverarbeiter | Zweck | Standort | AVV/DPA |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | West EU (Ireland), eu-west-1 | DPA |
| Vercel Inc. | Hosting, CDN | Global (Edge) | DPA |
| Anthropic PBC | KI-Verarbeitung (Claude) | USA | SCCs + Commercial Terms |
| Google LLC | OAuth-/Gmail-Anbindung nach Einwilligung | USA/EU | DPA |
| Google LLC - Google Generative AI | Embedding-Erzeugung für semantische Suche | USA/EU | DPA |
| Resend Inc. | Transaktions-E-Mails | USA/EU | DPA |
| Upstash Inc. | Redis Cache, Rate Limiting | EU (Frankfurt) | DPA |
| Functional Software, Inc. (Sentry) | Fehler- und Crash-Reporting | USA | DPA |
| Stripe Inc. | Zahlungsabwicklung | USA/EU | DPA |
4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- TLS-Verschlüsselung aller Datenübertragungen (HTTPS erzwungen)
- Verschlüsselung der Daten at rest (Supabase Postgres, AES-256)
- Authentifizierung über Supabase Auth (bcrypt-gehashte Passwörter)
- Row-Level Security in der Datenbank (kein Cross-Org Zugriff möglich)
- Rate Limiting auf allen API-Endpunkten
- Prompt Injection Detection auf allen KI-Eingaben
- Output Validation auf allen KI-Ausgaben
- Automatische Eskalation bei verdächtigen Inhalten
- Regelmäßige Sicherheitsaudits des Quellcodes
- Minimale Berechtigungen (Principle of Least Privilege)
5. Betroffene Personen
- Registrierte Nutzer (Unternehmen, die Aficial nutzen)
- Endkunden der Nutzer (Personen, deren E-Mails verarbeitet werden)
- Website-Besucher (Nutzungsdaten, technische Cookies)
Dieses Verzeichnis wird regelmäßig aktualisiert. Letzte Änderung: Mai 2026.