PG Day

Datenschutzerkl\u00e4rung

Zuletzt aktualisiert: 10. Juni 2026

Inhaltsverzeichnis

1. Verantwortlicher

2. Erhebung personenbezogener Daten

3. Zweck der Datenverarbeitung

4. Rechtsgrundlagen der Verarbeitung

5. Auftragsverarbeiter & Datenweitergabe

6. Datenübermittlung in Drittländer

7. Cookies & lokale Speicherung

8. Speicherdauer & automatische Löschung

9. Ihre Rechte (DSGVO)

10. Zuständige Aufsichtsbehörde

11. Datensicherheit

12. Datenschutzverletzungen

13. Kontakt

1. Verantwortlicher

Kuckein Consulting

Kai Kuckein

Lutherstr. 9

65203 Wiesbaden

Deutschland

E-Mail: legal@pgday.app

2. Erhebung personenbezogener Daten

Wir erheben folgende Kategorien personenbezogener Daten:

1

Registrierungsdaten

E-Mail-Adresse, Anzeigename, Passwort-Hash (bei E-Mail-Login) bzw. OAuth-Token (bei Google Login)

2

Lead-Daten (durch Nutzer erfasst)

Name, E-Mail, Telefonnummer, Unternehmen, Notizen und weitere Kontaktinformationen von Messebesuchern

3

Nutzungsdaten

Punktestände, Aktivitäten, Gamification-Fortschritt, Challenge-Teilnahmen

4

Technische Daten

IP-Adresse, Browser-Typ, Geräteinformationen, Zugriffszeiten, Referrer-URLs

3. Zweck der Datenverarbeitung

  • Bereitstellung und Verbesserung unserer SaaS-Plattform
  • Benutzerauthentifizierung und Kontoverwaltung
  • Erfassung und Verwaltung von Lead-Kontaktdaten auf Messen und Events
  • KI-gestützte Verkaufsanalyse und Empfehlungen
  • Anzeige von Leaderboards, Rankings und Gamification-Statistiken
  • Zahlungsabwicklung und Abonnementverwaltung über Stripe
  • Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen)
  • Gewährleistung der IT-Sicherheit und Missbrauchserkennung

4. Rechtsgrundlagen der Verarbeitung

Registrierung & Kontoverwaltung (inkl. Google Login)

Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung

Erforderlich zur Bereitstellung des SaaS-Dienstes. Bei Google Login werden Name, E-Mail und Profilbild übermittelt.

Lead-Daten (Erfassung durch Nutzer)

Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung

Speicherung und Verwaltung von Lead-Kontaktdaten im Auftrag des Event-Veranstalters als Kernfunktion der Plattform.

Zahlungsabwicklung über Stripe

Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung

Notwendig zur Abwicklung Ihres Abonnements und der Rechnungsstellung.

KI-Verkaufsassistent (Anthropic Claude)

Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung

Bestandteil des vertraglich vereinbarten Funktionsumfangs. Zero Data Retention beim KI-Anbieter.

Technisch notwendige Cookies & localStorage

Art. 6 Abs. 1 lit. f DSGVO Berechtigtes Interesse

Erforderlich für die technische Funktionsfähigkeit (Authentifizierung, Sitzungsverwaltung).

Leaderboards & Gamification

Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung

Kernfunktion des SaaS-Dienstes zur Anzeige von Rankings und Statistiken.

Transaktionale E-Mails (Resend)

Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung

Versand von Einladungen, Passwortzurücksetzungen und Benachrichtigungen.

5. Auftragsverarbeiter & Datenweitergabe

Ihre Daten werden nicht verkauft. Wir setzen folgende Auftragsverarbeiter ein (Art. 28 DSGVO):

Vercel Inc.

Zweck: Hosting der Webanwendung (Edge Network, Serverless Functions) sowie cookielose Web-Analyse (Vercel Analytics: aggregierte Seitenstatistiken, keine Cookies, kein seitenübergreifendes Tracking, keine Personenprofile)

Standort: EU/USA (Edge Network)

Datenschutzerkl\u00e4rung →

Supabase Inc.

Zweck: Datenbank (PostgreSQL), Authentifizierung, Dateispeicherung, Echtzeit-Subscriptions

Standort: EU (Frankfurt, aws-eu-central-1)

Datenschutzerkl\u00e4rung →

Stripe Inc.

Zweck: Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung

Standort: USA/EU — SCCs gemäß Art. 46 DSGVO

Datenschutzerkl\u00e4rung →

Haufe-Lexware GmbH & Co. KG (lexoffice)

Zweck: Buchhaltung und Rechnungswesen (aus Stripe importierte Rechnungs- und Zahlungsdaten)

Standort: Deutschland (EU)

Datenschutzerkl\u00e4rung →

Anthropic PBC

Zweck: KI-Verkaufsassistent (Claude API, Zero Data Retention)

Standort: USA — SCCs / EU-US Data Privacy Framework

Datenschutzerkl\u00e4rung →

Resend Inc.

Zweck: Transaktionale E-Mails (Einladungen, Benachrichtigungen)

Standort: USA — SCCs

Datenschutzerkl\u00e4rung →

Hinweis zu Schriftarten: Alle verwendeten Schriftarten werden lokal bereitgestellt (Self-Hosting). Es findet keine Verbindung zu Google-Servern statt.

Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Geschäftskunden können unseren Standard-AVV unter pgday.app/dpa einsehen und abschließen.

6. Daten\u00fcbermittlung in Drittl\u00e4nder

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder erfolgt ausschlie\u00dflich auf Basis geeigneter Garantien gem\u00e4\u00df Art. 44–49 DSGVO:

  • EU-US Data Privacy Framework (DPF) für zertifizierte Unternehmen
  • EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Ergänzende technische und organisatorische Maßnahmen

7. Cookies & lokale Speicherung

Wir verwenden ausschlie\u00dflich technisch notwendige Cookies, localStorage und sessionStorage f\u00fcr Authentifizierung, Sitzungsverwaltung sowie den CSV-Lead-Import (Entwurf nur lokal im Browser). Es werden keine Tracking- oder Marketing-Cookies eingesetzt (§ 25 Abs. 2 Nr. 2 TTDSG). Eine detaillierte \u00dcbersicht findest du in unserer Cookie-Richtlinie.

Zur Reichweitenmessung setzen wir Vercel Analytics ein \u2014 einen cookielosen, datenschutzfreundlichen Analysedienst: Er speichert keine Cookies, setzt keine seiten\u00fcbergreifenden Kennungen und erzeugt ausschlie\u00dflich aggregierte Seitenstatistiken ohne Personenprofile. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aggregierter Nutzungsstatistik).

8. Speicherdauer & automatische L\u00f6schung

Event-bezogene Kontaktdaten werden in unserer EU-Datenbank (Supabase, Frankfurt) verarbeitet. Nach Ende eines Events (Status \u201ebeendet\u201c oder \u201earchiviert\u201c) l\u00f6schen wir zugeh\u00f6rige personenbezogene Lead- und Anmeldedaten automatisch nach 30 Tagen. Aggregierte Auswertungen ohne Personenbezug k\u00f6nnen l\u00e4nger verbleiben.

DatenSpeicherortZweckL\u00f6schung
Lead-Pool (CSV-Import)Supabase PostgreSQL (EU, Frankfurt)Kontaktlisten für ein EventAutomatische Löschung 30 Tage nach Event-Ende (Status beendet/archiviert)
Erfasste Leads (Aktivitäten)Supabase PostgreSQL (EU, Frankfurt)Gamification, Auswertung, LeaderboardWie Lead-Pool — 30 Tage nach Event-Ende
Öffentliche Event-AnmeldungenSupabase PostgreSQL (EU, Frankfurt)Registrierung über Event-SeiteWie Lead-Pool — 30 Tage nach Event-Ende
CSV-Import-EntwurfsessionStorage im BrowserZwischenspeicher während des ImportsNach erfolgreichem Import, beim Abmelden oder beim Schließen des Tabs; keine Server-Speicherung

Kontodaten (E-Mail, Profil)

Vertragsdauer

Löschung innerhalb von 30 Tagen nach Kontolöschung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Event-Lead-Daten (Pool, Aktivitäten, Anmeldungen)

30 Tage nach Event-Ende

Automatische Löschung 30 Kalendertage, nachdem ein Event auf „beendet“ oder „archiviert“ gesetzt wurde. Der Veranstalter bleibt Verantwortlicher für die von ihm importierten Kontaktdaten.

Lead-Daten ohne Event-Bezug

Vertragsdauer

Manuelle Löschung oder Löschung mit dem Konto des Veranstalters, sofern kein Event zugeordnet ist.

Zahlungsdaten (Stripe)

10 Jahre

Gesetzliche Aufbewahrungspflicht gemäß § 147 AO und § 257 HGB.

Server-Logfiles

30 Tage

Zur Sicherstellung des Betriebs und Erkennung von Missbrauch.

KI-Assistenten-Anfragen

Keine dauerhafte Speicherung

Zero Data Retention beim KI-Anbieter (Anthropic). Anfragen werden nicht für Training verwendet.

9. Ihre Rechte (DSGVO)

Sie haben gem\u00e4\u00df der DSGVO folgende Rechte bez\u00fcglich Ihrer personenbezogenen Daten:

Auskunft (Art. 15)

Information über gespeicherte Daten

Berichtigung (Art. 16)

Korrektur unrichtiger Daten

Löschung (Art. 17)

Löschung Ihrer Daten („Recht auf Vergessenwerden“)

Einschränkung (Art. 18)

Einschränkung der Verarbeitung

Übertragbarkeit (Art. 20)

Daten in maschinenlesbarem Format erhalten

Widerspruch (Art. 21)

Widerspruch gegen Verarbeitung

Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbeh\u00f6rde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verst\u00f6\u00dft.

Zur Aus\u00fcbung Ihrer Rechte wenden Sie sich bitte an legal@pgday.app.

10. Zust\u00e4ndige Aufsichtsbeh\u00f6rde

Der Hessische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

Telefon: +49 611 1408-0

datenschutz.hessen.de

11. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Ma\u00dfnahmen gem\u00e4\u00df Art. 32 DSGVO ein:

  • Strikte Multi-Tenant-Architektur mit vollständiger Mandantentrennung
  • Verschlüsselte Übertragung aller Daten (HTTPS/TLS)
  • Rollenbasierte Zugriffskontrolle (RBAC) mit 4-Stufen-Hierarchie
  • Row Level Security (RLS) auf Datenbankebene
  • Sichere Authentifizierung mit Supabase Auth
  • Regelmäßige Sicherheitsüberprüfungen

12. Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten melden wir diese gem\u00e4\u00df Art. 33 DSGVO unverz\u00fcglich (innerhalb von 72 Stunden) an die zust\u00e4ndige Aufsichtsbeh\u00f6rde. Betroffene Personen werden gem\u00e4\u00df Art. 34 DSGVO benachrichtigt, sofern ein hohes Risiko f\u00fcr ihre Rechte und Freiheiten besteht.

13. Kontakt

Bei Fragen zum Datenschutz oder zur Aus\u00fcbung Ihrer Rechte wenden Sie sich bitte an:

Kuckein Consulting

Kai Kuckein

Lutherstr. 9, 65203 Wiesbaden

E-Mail: legal@pgday.app