CertifylizeCertifylize

Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten hat für uns einen hohen Stellenwert. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO). Diese Erklärung beschreibt, welche Daten wir verarbeiten, zu welchen Zwecken und welche Rechte Ihnen zustehen.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Certifylize
Inhaber: Fatmir Hasani
Hauptstraße 32a
79540 Lörrach
Deutschland
E-Mail: support@certifylize.com
Telefon: +49 176 21667673
USt-IdNr. (gemäß §27a UStG): DE330116839
Weitere rechtliche Angaben findest du im Impressum.

2. Gegenstand & Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, um eine funktionsfähige Website sowie unsere digitalen Dienstleistungen bereitzustellen. Typische Zwecke sind:

  • Bereitstellung der Website und Plattformfunktionen (inkl. Verifikationsseiten/Verifikationslinks)
  • Authentifizierung, Autorisierung und Verwaltung von Nutzerkonten (inkl. Rollen/Berechtigungen innerhalb von Organisationen)
  • Verarbeitung von Zertifikats- und Nachweisdaten im Auftrag bzw. auf Veranlassung der Nutzer/Aussteller (inkl. Uploads von Dokumenten, Metadaten, Gültigkeiten)
  • Sicherheits- und Missbrauchsprävention (z. B. Abwehr von Angriffen, Rate-Limits, Fraud/Abuse-Signale)
  • Audit-Trail/Protokollierung relevanter Aktionen (z. B. Erstellung, Statuswechsel, Importe, Integrationen) zur Nachvollziehbarkeit
  • Kommunikation (z. B. Kontaktformular oder E-Mail-Anfragen, Support)
  • Technische Auswertung zur Stabilität und Verbesserung (z. B. Performance, Fehlerdiagnose)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage von Art. 6 Abs. 1 DSGVO, insbesondere:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) – z. B. Konto, Nutzung der Plattform, Support, Abrechnung
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – z. B. IT-Sicherheit, Stabilität, Missbrauchsprävention, Betrugs-/Angriffserkennung
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – z. B. handels-/steuerrechtliche Aufbewahrungspflichten
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – sofern wir für bestimmte Funktionen eine Einwilligung einholen (z. B. optionale Cookies)

Welche Rechtsgrundlage im Einzelfall einschlägig ist, hängt vom konkreten Verarbeitungsvorgang ab. Bei B2B-Nutzung können zusätzliche vertragliche Regelungen (z. B. AVV) relevant sein.

4. Hosting, Zugriffsdaten & Server-Logfiles

Beim Aufruf unserer Website werden durch den Browser und/oder die zugrundeliegende Hosting-Infrastruktur automatisch Informationen verarbeitet, die zur Auslieferung der Seite und zur IT-Sicherheit erforderlich sind. Dabei können insbesondere folgende Daten anfallen:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • angefragte Seite/URL und Statuscode
  • übertragene Datenmenge
  • Referrer-URL (z. B. vorherige Seite)
  • Browsertyp, Betriebssystem, Spracheinstellungen

Die Verarbeitung dient der Bereitstellung der Website, der Systemsicherheit, der Abwehr von Angriffen (z. B. DDoS), der Missbrauchserkennung sowie der Fehleranalyse und Stabilität.

5. Cookies, Local Storage & technische Einwilligungen

Je nach Nutzung und Funktionsumfang können wir technische Speichermethoden einsetzen (z. B. Cookies, Session-Storage oder Local-Storage), um grundlegende Funktionen bereitzustellen. Dazu zählen insbesondere:

  • Session-Cookies / Session-Tokens (z. B. Login-Sitzung)
  • Sicherheitsrelevante Tokens (z. B. CSRF-Schutz)
  • Technische Präferenzen (z. B. Sprache/Locale), sofern implementiert
  • Temporäre UI-/Workflow-Zustände (z. B. sichere Formulare, Stepper), sofern technisch erforderlich

Sofern optionale Cookies/Tracking eingesetzt werden, holen wir – soweit erforderlich – eine Einwilligung ein. Derzeit liegt der Fokus auf funktionalen, technisch notwendigen Komponenten.

6. Kontaktaufnahme

Wenn Sie uns kontaktieren (z. B. per Kontaktformular oder E-Mail), verarbeiten wir die von Ihnen übermittelten Daten, um Ihre Anfrage zu bearbeiten.

  • Name
  • E-Mail-Adresse
  • Unternehmen (optional)
  • Nachricht/Anliegen
  • ggf. technische Metadaten (z. B. Zeitpunkt der Anfrage)

Zweck der Verarbeitung ist die Kommunikation und Bearbeitung Ihrer Anfrage (inkl. Rückfragen).

Wir speichern Kontaktdaten grundsätzlich nur so lange, wie dies für die Bearbeitung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

7. Nutzerkonten, Authentifizierung, Rollen & Plattformbetrieb

Bei der Nutzung geschützter Bereiche der Plattform verarbeiten wir Daten, die für Authentifizierung, Autorisierung und den Betrieb von Nutzerkonten erforderlich sind. Bei organisationsbasierten Konten werden zudem Rollen/Berechtigungen verarbeitet.

  • Login-Daten (z. B. E-Mail-Adresse)
  • Rollen-/Berechtigungsinformationen (z. B. Owner/Admin/Member)
  • Organisation-/Teamzuordnung
  • Session-Informationen (z. B. Session-ID, Ablaufzeiten)
  • Technische Protokolle zur Sicherheit (z. B. Login-Events, Fehlerereignisse)
  • Audit-Logs relevanter Aktionen (z. B. Erstellung/Änderung/Löschung, Statuswechsel), soweit in der Konfiguration vorgesehen

Zweck ist die sichere Bereitstellung der Plattform, die Verwaltung von Konten und Berechtigungen, die Nachvollziehbarkeit kritischer Aktionen sowie die Missbrauchsprävention.

Zertifikats-/Nachweisdaten werden nur im Rahmen der jeweiligen Nutzung verarbeitet. Kunden/Aussteller sind verantwortlich dafür, dass sie nur erforderliche Daten verarbeiten und die Inhalte rechtlich zulässig sind (insb. bei personenbezogenen Daten).

8. API, Webhooks & technische Protokolle

Sofern Sie API- und/oder Webhook-Funktionen nutzen (z. B. Ausstellung von Zertifikaten per API-Key oder Event-Zustellung per Webhook), verarbeiten wir zur Ausführung und Absicherung der Requests technische Daten.

  • API-Key-/Secret-Zuordnung (z. B. zu Aussteller/Konto/Organisation) – Keys/Secrets sind geheim zu halten
  • Request- und Zustellungs-Metadaten (z. B. Zeitpunkt, Endpunkt/Ereignis, Statuscode, Wiederholungs-Informationen)
  • Sicherheits-/Missbrauchssignale (z. B. Rate-Limit-Ereignisse, Signatur-/Auth-Fehler)
  • Protokolle zur Fehleranalyse und Stabilität (z. B. Fehlermeldungen, Trace-IDs), soweit erforderlich

Bitte übermitteln Sie über API/Webhooks nur Daten, die für den jeweiligen Zweck erforderlich sind. Vermeiden Sie insbesondere unnötige personenbezogene Daten. Für Webhooks empfehlen wir den Einsatz von Signaturen/Secrets sowie eine sichere Endpunkt-Konfiguration.

9. Blockchain-Referenzen (Hashes), Off-chain-Speicherung & Verifikation

Certifylize kann Blockchain-Technologie zur technischen Verankerung von Prüfsummen (Hashes) und Referenzen einsetzen, um Konsistenzprüfungen und Manipulationserkennung zu unterstützen. Zusätzlich können Zertifikate und Dokumente off-chain gespeichert und über Referenzen verknüpft werden.

  • Auf der Blockchain werden grundsätzlich keine Klartext-Personendaten gespeichert.
  • Verarbeitet werden technische Referenzen (z. B. Hashwerte) als Integritätsindikatoren; je nach Konfiguration kann auch ein Transaktions-/Ankerverweis gespeichert werden.
  • Dokumente (z. B. PDFs, Anhänge) werden typischerweise off-chain gespeichert; die Blockchain dient dann nur als Nachweis-/Referenzschicht.
  • Verifikationsseiten/Verifikationslinks können technische Statusinformationen anzeigen (z. B. gültig, widerrufen, abgelaufen), abhängig von der Aussteller-Konfiguration.

Ein Hash kann – abhängig vom Kontext und den zugrundeliegenden Daten – theoretisch als personenbezogen einzustufen sein. Deshalb gilt: Datensparsamkeit, Zweckbindung und keine unnötigen Personendaten in Zertifikatsinhalten. Bitte beachten Sie außerdem: Blockchain-Einträge sind in der Regel nicht löschbar; dies kann Betroffenenrechte (z. B. Löschung) technisch begrenzen.

10. Empfänger, Auftragsverarbeiter & Weitergabe

Wir geben personenbezogene Daten nur weiter, wenn dies erforderlich ist oder eine Rechtsgrundlage besteht. Kategorien von Empfängern können sein:

  • IT-/Hosting-Dienstleister (Auftragsverarbeiter) zur Bereitstellung der Website/Plattform
  • E-Mail-/Support-Infrastruktur (z. B. zur Bearbeitung von Anfragen und Zustellung von System-E-Mails)
  • Speicher-/Upload-Infrastruktur für Dokumente (off-chain), soweit genutzt
  • Zahlungsdienstleister, sofern Sie kostenpflichtige Leistungen nutzen (z. B. für Abrechnung und Zahlung)
  • Blockchain-Infrastruktur/Provider (z. B. Nodes/Explorer), soweit technische Referenzen verarbeitet werden
  • Behörden/öffentliche Stellen, soweit eine rechtliche Verpflichtung besteht

Sofern Dienstleister als Auftragsverarbeiter tätig sind, erfolgt dies auf Basis von Auftragsverarbeitungsverträgen (Art. 28 DSGVO), soweit erforderlich.

11. Datenübermittlung in Drittländer

Je nach eingesetzten Dienstleistern kann eine Verarbeitung in Drittländern (z. B. USA) nicht ausgeschlossen sein. In solchen Fällen stellen wir geeignete Garantien sicher (z. B. Standardvertragsklauseln), soweit erforderlich, und berücksichtigen zusätzliche Schutzmaßnahmen nach Stand der Technik.

12. Speicherdauer & Löschung

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Typische Orientierungen sind:

  • Server-Logdaten: kurzzeitig zur Sicherstellung des Betriebs und zur Angriffserkennung (ggf. verlängert bei Sicherheitsvorfällen)
  • API-/Webhook-Protokolle: so kurz wie möglich; ggf. verlängert zur Fehleranalyse, Abrechnung, Sicherheits- und Missbrauchsuntersuchungen
  • Kontaktanfragen: bis zur abschließenden Bearbeitung; danach nur, sofern Aufbewahrungspflichten bestehen
  • Kontodaten: für die Dauer des Nutzungsverhältnisses; danach nach Maßgabe gesetzlicher Pflichten und berechtigter Interessen
  • Zertifikats-/Nachweisdaten & Uploads: nach Vorgaben des Ausstellers/Prozesses; Löschungen können durch technische/gesetzliche Pflichten oder Unveränderlichkeit bestimmter Referenzen (z. B. Blockchain) begrenzt sein
  • Abrechnungs-/Zahlungsdaten (falls genutzt): entsprechend steuer-/handelsrechtlicher Aufbewahrungsfristen

Konkrete Fristen können je nach Fall variieren (z. B. Support-Verläufe, Sicherheitsereignisse, gesetzliche Pflichten, vertragliche Vereinbarungen mit Organisationen).

13. Rechte der betroffenen Personen

Sie haben als betroffene Person – je nach Voraussetzungen – folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO), sofern eine Verarbeitung auf Einwilligung beruht

Zur Wahrnehmung Ihrer Rechte genügt eine E-Mail an support@certifylize.com. Bitte beachten Sie, dass wir zur Identitätsprüfung Rückfragen stellen können, um Missbrauch zu verhindern. In bestimmten Fällen können Rechte (z. B. Löschung) durch gesetzliche Pflichten oder technische Unveränderlichkeit (z. B. Blockchain-Referenzen) eingeschränkt sein.

14. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Für Baden-Württemberg ist dies insbesondere der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW).

15. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Daten gegen Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen. Dazu können u. a. Zugriffskontrollen, Rollen-/Berechtigungskonzepte, Transportverschlüsselung (TLS), Protokollierung/Audit-Trail sowie Sicherheitsmechanismen zur Missbrauchsprävention gehören. Details zu Sicherheitsprinzipien findest du auch auf der Seite Sicherheit & Datenschutz.

16. Aktualität dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, unsere Dienste oder Datenverarbeitungen ändern.

Stand: Januar 2026