Zurück

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Ada Commerce GmbH
Lövelinger Str. 40
41472 Neuss
Deutschland

E-Mail: support@adacommerce.de

Vertreten durch den Geschäftsführer Enes Adanur.

2. Gegenstand dieses Dienstes

Wir betreiben unter prosource.adacommerce.de ein webbasiertes Recherche-Tool für den E-Commerce ("Product Sourcing Tool", nachfolgend "der Dienst"). Der Dienst ermöglicht registrierten Nutzern, Recherchen zu Lieferanten, Preisen, Keywords, Trends und Amazon-Nischen durchzuführen. Für die Abfrage der Rohdaten werden Schnittstellen von Drittanbietern verwendet; die Drittanbieter-Zugänge stellt jeder Nutzer mit seinen eigenen API-Schlüsseln bereit (siehe Ziffer 6).

3. Kategorien verarbeiteter Daten

Im Rahmen der Nutzung des Dienstes verarbeiten wir folgende Daten:

  • Account-Daten: Benutzername, Passwort-Hash (PBKDF2-SHA256 mit 310.000 Iterationen, zufälligem Salt — das Passwort im Klartext ist für uns zu keinem Zeitpunkt lesbar), Rolle (Nutzer / Administrator), Status (Trial, Aktiv, Gesperrt), verbleibende Test-Recherchen, Registrierungsdatum.
  • Session-Daten: HttpOnly-Cookie auth_token mit HMAC-SHA256-Signatur (7 Tage Gültigkeit), nur technisch erforderlich.
  • API-Schlüssel Dritter: Wenn du in den Einstellungen eigene API-Keys (z. B. Anthropic, DataForSEO, Apify, Omkar, Elimapi, ImgBB) hinterlegst, speichern wir diese mit AES-256-GCM verschlüsselt in unserer Datenbank. Der Schlüssel zur Entschlüsselung ist serverseitig und nicht Teil der gespeicherten Daten. Wir können die Keys nicht im Klartext einsehen.
  • Nutzungs-/Recherche-Daten: Such-Queries, Zeitstempel, Recherche-ID, Anzahl durchgeführter Recherchen, interne Kostenschätzung pro Recherche.
  • Kommunikations-Daten: Inhalt deiner Support-Anfragen (wenn du uns schreibst).
  • Zahlungs-Daten: Bei Zahlung per SEPA-Banküberweisung erhalten wir über unsere Hausbank deinen Namen, deine IBAN und den angegebenen Verwendungszweck zur Zuordnung der Zahlung zu deinem Account.
  • Server-/Zugriffs-Daten: IP-Adresse, Datum/Uhrzeit, angeforderte Ressource, HTTP-Statuscode, User-Agent. Diese Daten fallen technisch bedingt bei jedem Aufruf an und werden für maximal 14 Tage zur Absicherung des Betriebs aufbewahrt.

4. Zwecke und Rechtsgrundlagen

a) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Dienstes, Registrierung, Authentifizierung, Durchführung und Abrechnung von Recherchen, Kommunikation mit dir im Rahmen deines Nutzungsvertrags.

b) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungs- und Buchungsdaten gemäß § 147 AO und § 14b UStG (bis zu 10 Jahre), sowie handelsrechtliche Aufbewahrungsfristen gemäß § 257 HGB.

c) Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Sicherstellung des Betriebs (Server-Logs, Rate-Limiting), Abwehr von Missbrauch und Angriffen, Missbrauchsprävention bei der Aktivierung kostenpflichtiger Accounts.

d) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Nur soweit wir ausdrücklich nach einer Einwilligung fragen (z. B. bei der Zustimmung zum Verzicht auf das Widerrufsrecht vor Beginn der Ausführung einer digitalen Leistung, vgl. § 356 Abs. 5 BGB).

5. Empfänger / Auftragsverarbeitung

Wir geben personenbezogene Daten nur weiter, wenn es für die Vertragserfüllung erforderlich ist oder eine gesetzliche Pflicht besteht. Eingesetzte Dienstleister:

  • Hosting / Datenbank: Dockup.ai — Hosting und verwaltete PostgreSQL-Datenbank in Rechenzentren innerhalb der Europäischen Union. Die Auftragsverarbeitung erfolgt nach Art. 28 DSGVO.
  • Zahlungsabwicklung: Unsere kontoführende Bank. Eine Weitergabe erfolgt nur im Rahmen des SEPA-Überweisungsverfahrens.
  • Steuerberater und Behörden: Im Rahmen gesetzlicher Aufbewahrungs- und Mitwirkungspflichten.

6. Nutzung eigener API-Schlüssel / Drittanbieter-APIs

Der Dienst arbeitet mit Schnittstellen folgender Drittanbieter (nachfolgend "Drittanbieter-APIs"):

  • Anthropic PBC, San Francisco, USA (KI-Analysen, Bilderkennung)
  • DataForSEO s.r.o., EU (Keywords, Shopping, Trends, Amazon-Daten)
  • Apify Technologies s.r.o., EU (Web-Daten)
  • Omkar Cloud, Indien (Alibaba-Daten)
  • Elimapi (1688, Taobao-Daten)
  • ImgBB (Bild-Upload zur Bilderkennung)

Wichtig: Du verwendest deine eigenen API-Schlüssel für diese Dienste. Das bedeutet: Wenn du eine Recherche startest, übermittelt unser Server deine Such-Query mit deinem API-Key an die jeweilige Schnittstelle. Du stehst selbst in einem Vertragsverhältnis mit dem jeweiligen Drittanbieter und bist für die Einhaltung von dessen Nutzungs- und Datenschutzbedingungen verantwortlich. Wir treten hier technisch als Vermittler auf; es findet keine Übertragung deiner Account-Daten (Benutzername, Passwort) an diese Drittanbieter statt.

Drittlandtransfer: Einige der genannten Anbieter haben ihren Sitz außerhalb der EU (insbesondere Anthropic PBC in den USA). Die Übermittlung erfolgt auf Grundlage deiner aktiven Nutzung und deiner direkten Vertragsbeziehung zum Drittanbieter. Für den Transfer in die USA stützt sich Anthropic auf das EU-US Data Privacy Framework (Adäquanzbeschluss der EU-Kommission vom 10.07.2023) bzw. auf Standardvertragsklauseln nach Art. 46 DSGVO.

7. Cookies

Wir setzen ausschließlich technisch notwendige Cookies zur Authentifizierung ein (auth_token, HttpOnly, SameSite=Lax, Secure in Produktion). Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TTDSG von der Einwilligungspflicht ausgenommen. Es werden keine Tracking-, Analyse- oder Marketing-Cookies gesetzt.

8. Speicherdauer

  • Account-Daten: bis zur Löschung des Accounts durch dich oder uns
  • Verschlüsselte API-Schlüssel: bis zur Löschung durch dich oder Account-Löschung
  • Recherche-Historie: bis zur Löschung des Accounts
  • Rechnungs-/Buchungsdaten: 10 Jahre (§ 147 AO, § 14b UStG)
  • Server-Logs: maximal 14 Tage
  • Audit-Log der Administrations-Aktionen: 12 Monate

9. Deine Rechte als betroffene Person

Nach der DSGVO stehen dir folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO), in unserem Fall in der Regel der/die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Anfragen zu deinen Rechten richte bitte schriftlich oder per E-Mail an support@adacommerce.de. Die Beantwortung ist für dich kostenfrei.

10. Technische und organisatorische Maßnahmen (TOM)

Wir setzen branchenübliche Sicherheitsmaßnahmen ein, um deine Daten vor Verlust, Manipulation und unbefugtem Zugriff zu schützen:

  • Transportverschlüsselung per TLS 1.2+ (HTTPS)
  • Passwort-Hashing mit PBKDF2-SHA256 (310.000 Iterationen)
  • API-Schlüssel mit AES-256-GCM verschlüsselt
  • Session-Tokens mit HMAC-SHA256 signiert, HttpOnly- und Secure-Cookies
  • Rate-Limiting und Brute-Force-Schutz auf Login-/Registrierungs-Endpoints
  • Zugriffskontrolle auf die Datenbank, Rollen-Konzept (User / Admin)
  • Zeitlich begrenzte Aufbewahrung von Server-Logs
  • Regelmäßige Sicherheits-Updates des Applications-Stacks

11. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (einschließlich Profiling) findet nicht statt.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund technischer Änderungen, geänderter Rechtslage oder neuer Dienste erforderlich wird. Die jeweils aktuelle Fassung ist jederzeit unter prosource.adacommerce.de/legal/datenschutz abrufbar.

Stand: April 2026