Datenschutzerklärung

1. Verantwortlicher

Unternehmen: Fenyx GmbH

Adresse: Oranienstraße 183, 10999 Berlin

Telefon: +49 176 23820424

E-Mail (Datenschutz): datenschutz@fenyx-office.com

Geschäftsführer: Artus Assmann, Carl Lennart Corleissen, Vincent Jahn

Registergericht: Amtsgericht Berlin-Charlottenburg | HRB 243747 B

Umsatzsteuer-ID: DE356653066

2. Datenschutzbeauftragter

Die Fenyx GmbH hat derzeit keinen bestellten Datenschutzbeauftragten. Eine Bestellung ist nach Art. 37 DSGVO für unser Unternehmen derzeit nicht verpflichtend. Bei Fragen zum Datenschutz wenden Sie sich direkt an:

datenschutz@fenyx-office.com

3. Geltungsbereich

Diese Datenschutzerklärung gilt für folgende Produkte der Fenyx GmbH:

• Fenyx Customer Platform - platform.fenyx-office.com (Web-Anwendung für Kunden)
• Fenyx Shop – shop.fenyx-office.com (Web-Anwendung für Gebrauchtmöbelverkauf)
• Fenyx App - fenyx-app.web.app (iOS, Android, Web - für Reseller und Inventarisierung)

4. Grundsätze

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Leistungserbringung, Vertragserfüllung oder aufgrund berechtigter Interessen erforderlich ist. Daten werden nicht verkauft oder zu Werbezwecken an Dritte weitergegeben.

5. Cookies und Session-Management

5.1 Technisch notwendige Session-Cookies

Auf unseren Plattformen setzen wir ausschließlich technisch notwendige Cookies ein. Diese sind für den Betrieb der Plattform zwingend erforderlich und können nicht deaktiviert werden.

Cookie-Typ: Session-Cookie (Authentifizierung)

Anbieter: Supabase Inc. (Authentifizierungsdienst)

Zweck: Aufrechterhaltung der Anmeldesitzung nach Login

Speicherdauer: Dauer der Sitzung; bei „Angemeldet bleiben“ max. 7 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)

Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist keine Cookie-Einwilligung (Consent-Banner) erforderlich.

5.2 Hinweis: Zukünftige Analysedienste

Sollten künftig Analyse- oder Tracking-Dienste eingesetzt werden (z. B. Web-Analytics), werden wir diese Datenschutzerklärung entsprechend aktualisieren und, soweit erforderlich, eine Einwilligung einholen.

6. Hosting und Infrastruktur

6.1 Supabase (Datenbank & Authentifizierung)
Unsere zentrale Datenbank und das Authentifizierungssystem basieren auf Supabase (Supabase Inc., USA). Die Daten werden ausschließlich auf Servern in Frankfurt am Main, Deutschland gespeichert. Der Zugriff ist durch Row Level Security (RLS) auf Datenbankebene abgesichert. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Übermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

6.2 Netlify (Hosting Customer Platform & Fenyx Shop)
Die Customer Platform und der Fenyx Shop werden über Netlify (Netlify, Inc., USA) bereitgestellt. Netlify verarbeitet dabei Verbindungsdaten (IP-Adressen, Zeitstempel) im Rahmen des Hostings. Der AVV ist in den Netlify-Nutzungsbedingungen integriert (netlify.com/legal/netlify-dpa). Die Übermittlung erfolgt auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

6.3 Firebase / Google Cloud (Hosting interne Plattform & App)
Teile der Fenyx App und die interne Plattform werden über Firebase (Google Ireland Limited, Dublin, Irland) betrieben. Dies umfasst Firebase Hosting, Cloud Functions und Firestore. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Datenspeicherung erfolgt in Europa (Region europe-west), soweit technisch konfiguriert.

6.4 Hostinger (VPS / Medienverarbeitung)
Auf einem VPS bei Hostinger International Ltd. betreiben wir technische Hilfsdienste zur Bildverarbeitung (z. B. Entfernung von Bildhintergründen, PNG-Generierung). Übermittelte Bilddateien werden unmittelbar nach der Verarbeitung gelöscht. Verbindungsdaten (IP-Adressen) werden als Zugriffsprotokolle für max. 30 Tage gespeichert. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

7. Registrierung und Nutzerkonto

Betroffene Produkte: Alle drei Produkte

Verarbeitete Daten: E-Mail-Adresse, Name, Telefonnummer (optional), Organisationszugehörigkeit, Rolle innerhalb der Organisation

Zweck: Bereitstellung des Plattformzugangs, Authentifizierung, rollenbasierte Zugriffssteuerung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Dauer der aktiven Nutzung. Sie können die Löschung Ihres Kontos jederzeit per E-Mail an datenschutz@fenyx-office.com beantragen. Wir bearbeiten Löschanträge innerhalb von 30 Tagen. Bestelldaten und Rechnungen, die gesetzlichen Aufbewahrungspflichten unterliegen (§ 257 HGB, § 147 AO), werden für die vorgeschriebene Frist aufbewahrt und danach gelöscht bzw. anonymisiert. In der Fenyx App ist eine direkte Account-Löschung möglich.

Passwörter werden ausschließlich als Hashwerte gespeichert und sind für uns nicht einsehbar.

8. Nutzereinladungen (Information gemäß Art. 14 DSGVO)

Nutzer können auf unsere Plattformen eingeladen werden, ohne sich zuvor selbst registriert zu haben. In diesem Fall werden Daten (E-Mail-Adresse, Name, Rolle) nicht direkt beim Betroffenen, sondern durch einen Administrator erhoben.

Verarbeitete Daten: E-Mail-Adresse, Name, Rolle (durch einladenden Administrator eingegeben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f (berechtigtes Interesse an der Nutzeradministration)

9. Organisations- und Inventardaten

Betroffene Produkte: Customer Platform, Fenyx App

Verarbeitete Daten: Firmenname, Adresse, Logo, Standortdaten (Gebäude, Etagen, Räume), Inventardaten (Möbel, Fotos, Zustandsbeschreibungen, Platzierungen), Preise, Projektdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

10. Bestelldaten und Shops

Betroffene Produkte: Customer Platform, Fenyx Shop

Verarbeitete Daten: Bestellpositionen, Mengen, Preise, Bestellstatus, zugeordnete Nutzer und Organisationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bestelldaten unterliegen handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu 10 Jahren (§ 257 HGB, § 147 AO)

11. Fenyx Shop (Gebrauchtmöbelverkauf) – Privatpersonen

Im Fenyx Shop können sich externe Privatpersonen registrieren. Der Zugang zum Shop erfolgt über eine geteilte URL; einzelne Shops können zusätzlich durch organisationsspezifische Zugangskontrollen geschützt sein.

Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, optional Telefonnummer; Abholtermin; Reservierungsstatus

Hinweis: Reservierungen über den Fenyx Shop sind keine verbindlichen Käufe. Bei der Abholung informiert Sie unser Team vor Ort (Belehrung vor Ort); Kauf- entscheidung und Bezahlung erfolgen erst nach Besichtigung der Artikel. Details in den AGB (Gebrauchtmöbelverkauf §2). Für Geschäftskunden gelten abweichende Regelungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

12. Zahlungsabwicklung (SumUp)

Für die Zahlungsabwicklung im Fenyx Shop erfolgt die Bezahlung in der Regel vor Ort bei der Abholung. Soweit in einzelnen Shops technisch SumUp (SumUp Payments Limited, Dublin, Irland) eingesetzt wird, gelten ergänzend die Datenschutzbestimmungen von SumUp. Fenyx speichert keine vollständigen Zahlungskartendaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

13. E-Mail-Versand (Resend)

Anbieter: Resend, Inc., USA

Zweck: Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen, Bestellbestätigungen)

Verarbeitete Daten: E-Mail-Adresse der Empfänger, Zeitstempel des Versands

Speicherdauer (bei Resend): Versandlogs max. 30 Tage; danach automatische Löschung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Übermittlung USA: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

14. Newsletter und Marketing-E-Mails

Bei jeder Registrierung auf unseren Plattformen sowie beim Check-in besteht die Möglichkeit, sich freiwillig für unseren Newsletter anzumelden. Die Anmeldung erfolgt durch aktives Setzen einer Checkbox (Opt-in).

Verarbeitete Daten: E-Mail-Adresse, Name

Zweck: Zusendung von Angeboten, Aktionen und Informationen zu unseren Produkten und Dienstleistungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Widerruf: Jederzeit per E-Mail an datenschutz@fenyx-office.com oder über den Abmeldelink in jeder E-Mail.

15. Prozessautomatisierung (Make.com / n8n)

Anbieter: Make (betrieben von Celonis SE, EU); n8n (n8n GmbH, Deutschland)

Zweck: Interne Automatisierungen und Workflows

Verarbeitete Daten: Im Einzelfall Daten abhängig vom jeweiligen Workflow

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Datenspeicherung: Innerhalb der EU; AVV gemäß Art. 28 DSGVO

16. Zugriffsprotokolle und Sicherheit

Zur Sicherstellung des Betriebs werden Zugriffsprotokolle erhoben (IP-Adresse, Zeitstempel, aufgerufene Endpunkte). Diese werden nach spätestens 30 Tagen automatisch gelöscht.

Technische Schutzmaßnahmen:

• Verschlüsselung aller Übertragungen via TLS/HTTPS
• Datenhaltung ausschließlich in der EU (Supabase, Frankfurt)
• Row Level Security (RLS) auf Datenbankebene
• Rollenbasierte Zugriffssteuerung (RBAC) mit Custom JWT Claims
• Passwort-Hashing durch Supabase Auth

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

17. Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich:

• an die unter Ziffern 6–15 genannten Auftragsverarbeiter und eigenständig Verantwortlichen (SumUp),
• zur Erfüllung gesetzlicher Verpflichtungen,
• mit ausdrücklicher Einwilligung der betroffenen Person.

Ein Verkauf von Daten findet nicht statt.

18. Speicherdauer (Übersicht)

Nutzerkonto: Dauer der Nutzung; nach Löschantrag innerhalb von 30 Tagen, soweit keine Aufbewahrungspflichten entgegenstehen

Bestelldaten: 10 Jahre (HGB/AO)

Zugriffsprotokolle: 30 Tage

Newsletter-Einwilligung: Bis Widerruf + 3 Jahre Nachweis

Resend-Versandlogs: 30 Tage

Bilddaten (Hostinger): Sofortige Löschung nach Verarbeitung

19. Betroffenenrechte

Sie haben gegenüber uns folgende Rechte:

• Auskunft - Art. 15 DSGVO
• Berichtigung - Art. 16 DSGVO
• Löschung - Art. 17 DSGVO
• Einschränkung der Verarbeitung - Art. 18 DSGVO
• Datenübertragbarkeit - Art. 20 DSGVO
• Widerspruch - Art. 21 DSGVO
• Widerruf einer Einwilligung - Art. 7 Abs. 3 DSGVO

Anfragen richten Sie an: datenschutz@fenyx-office.com
Zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin
https://www.datenschutz-berlin.de

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung bei Änderungen der Plattform oder der Rechtslage anzupassen. Das Datum des letzten Stands ist oben angegeben. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Aktuelle Version jederzeit abrufbar unter: https://platform.fenyx-office.com/datenschutz

FENYX GMBH