Datenverarbeitung
Diese Seite beschreibt, welche personenbezogenen Daten ConsentForge in Ihrem Auftrag verarbeitet.
Von Ihren Website-Besuchern erhobene Daten
Wenn ein Besucher mit dem ConsentForge-Banner interagiert, werden folgende Daten erhoben:
| Daten | Speicherart | Aufbewahrungsdauer |
|---|---|---|
| Consent-Entscheidungen (akzeptiert/abgelehnt pro Kategorie) | Gehasht, im Consent-Beleg | 7 Jahre |
| Zeitstempel der Entscheidung | UTC, im Consent-Beleg | 7 Jahre |
| IP-Adresse | Nur SHA-256-Hash — die rohe IP wird niemals gespeichert | 7 Jahre |
| User Agent | Nur SHA-256-Hash — der rohe UA wird niemals gespeichert | 7 Jahre |
| Richtlinienversion zum Zeitpunkt der Entscheidung | Im Consent-Beleg | 7 Jahre |
| Banner-Version zum Zeitpunkt der Entscheidung | Im Consent-Beleg | 7 Jahre |
Es werden keine rohen personenbezogenen Daten gespeichert. IP-Adressen und User Agents werden vor der Speicherung als Einweghashs verarbeitet.
Rechtsgrundlage für die eigene Datenerhebung von ConsentForge
ConsentForge verarbeitet Besucherdaten auf Basis berechtigter Interessen (Art. 6(1)(f) GDPR): Die Aufzeichnung von Consent-Entscheidungen ist notwendig, um Ihnen den Nachweis der Compliance zu ermöglichen. Diese Verarbeitung ist dem Dienst inhärent.
Datenspeicherort
Die gesamte ConsentForge-Infrastruktur wird in der Europäischen Union (Frankfurt, Deutschland) gehostet. Daten verlassen die EU nicht.
Datenverarbeitungsvertrag (DPA)
ConsentForge agiert als Auftragsverarbeiter gemäß GDPR Art. 28. Sie (der Website-Betreiber) sind der Verantwortliche.
Ein vorgezeichneter DPA ist unter Dashboard → Konto → Rechtliches → Datenverarbeitungsvertrag verfügbar.
Aufbewahrung von Consent-Belegen
Consent-Belege werden 7 Jahre lang aufbewahrt, um GDPR-Prüfungspflichten zu unterstützen. Sie können Belege jederzeit exportieren über:
- Dashboard → Nachweise → Exportieren
- API:
GET /api/v1/receipts
Recht auf Löschung (Art. 17 GDPR)
Da Consent-Belege ausschließlich als gehashte Bezeichner gespeichert werden (keine rohen personenbezogenen Daten), ist es nicht möglich, Datensätze einer bestimmten Person zu identifizieren oder zu löschen — der Hash ist nicht umkehrbar. Dieses Design ist beabsichtigt und reduziert Ihre GDPR-Löschungspflichten für Consent-Datensätze.
Meldung von Datenschutzverletzungen
Im Falle einer Datenschutzverletzung, die die Daten Ihres Tenants betrifft, benachrichtigt ConsentForge Sie innerhalb von 72 Stunden gemäß GDPR Art. 33. Die Benachrichtigung wird an die primäre E-Mail-Adresse Ihres Kontos gesendet.