Datenverarbeitung
Diese Seite beschreibt, welche personenbezogenen Daten ConsentForge in Ihrem Auftrag verarbeitet.
Daten, die von Ihren Website-Besuchern erhoben werden
Wenn ein Besucher mit dem ConsentForge-Banner interagiert, werden folgende Daten erhoben:
| Daten | Speicherung | Aufbewahrung |
|---|---|---|
| Einwilligungsentscheidungen (akzeptiert/abgelehnt pro Kategorie) | Gehasht, im Einwilligungsbeleg | 7 Jahre |
| Zeitstempel der Entscheidung | UTC, im Einwilligungsbeleg | 7 Jahre |
| IP-Adresse | Nur SHA-256-Hash — rohe IP wird nie gespeichert | 7 Jahre |
| User Agent | Nur SHA-256-Hash — roher UA wird nie gespeichert | 7 Jahre |
| Richtlinienversion zum Zeitpunkt der Entscheidung | Im Einwilligungsbeleg | 7 Jahre |
| Banner-Version zum Zeitpunkt der Entscheidung | Im Einwilligungsbeleg | 7 Jahre |
Es werden keine rohen personenbezogenen Daten gespeichert. IP-Adressen und User Agents werden vor der Speicherung per Einweg-Hash verschlüsselt.
Rechtsgrundlage für ConsentForges eigene Datenerhebung
ConsentForge verarbeitet Besucherdaten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Aufzeichnung von Einwilligungsentscheidungen ist notwendig, um Ihnen die Nachweisbarkeit der Compliance zu ermöglichen. Diese Verarbeitung ist dem Dienst inhärent.
Datenspeicherort
Alle ConsentForge-Infrastruktur wird in der Europäischen Union (Frankfurt, Deutschland) gehostet. Daten verlassen die EU nicht.
Auftragsverarbeitungsvertrag
ConsentForge handelt als Auftragsverarbeiter gemäß DSGVO Art. 28. Sie (der Website-Betreiber) sind der Verantwortliche.
Ein vorunterschriebener AVV ist unter Dashboard → Konto → Rechtliches → Auftragsverarbeitungsvertrag verfügbar.
Aufbewahrung von Einwilligungsbelegen
Einwilligungsbelege werden 7 Jahre aufbewahrt, um DSGVO-Audit-Pflichten zu unterstützen. Sie können Belege jederzeit exportieren über:
- Dashboard → Nachweis → Exportieren
- API:
GET /api/v1/receipts
Recht auf Löschung (Art. 17 DSGVO)
Da Einwilligungsbelege nur als gehashte Identifikatoren gespeichert werden (keine rohen personenbezogenen Daten), ist es nicht möglich, Datensätze einer bestimmten Person zu identifizieren oder zu löschen — der Hash ist irreversibel. Dieses Design ist beabsichtigt und reduziert Ihre DSGVO-Löschpflichten für Einwilligungsaufzeichnungen.
Benachrichtigung bei Datenpannen
Im Falle einer Datenpanne, die die Daten Ihres Mandanten betrifft, wird ConsentForge Sie innerhalb von 72 Stunden gemäß DSGVO Art. 33 benachrichtigen. Die Benachrichtigung wird an die primäre E-Mail-Adresse Ihres Kontos gesendet.