FrankfurtErstgespräch
§Rechtliches

Datenschutzerklärung

1. Verantwortlicher

occto GbR, Wesley Oliveira & Giuliano, Frankfurt am Main. Kontakt: hallo@occto.io. Vollständige Anschrift siehe Impressum.

2. Allgemeines

Wir verarbeiten personenbezogene Daten nur, wenn dies gesetzlich erlaubt ist oder Du ausdrücklich eingewilligt hast. Diese Erklärung beschreibt, welche Daten wir erheben, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange wir sie speichern. Deine Wahl zu optionalen Cookies kannst Du jederzeit über den Cookie-Banner anpassen.

3. Hosting (Vercel)

Diese Webseite wird auf Servern von Vercel Inc. (USA) gehostet. Vercel verarbeitet dabei IP-Adresse, Datum, Uhrzeit, Browser-Typ und aufgerufene Seiten als Server-Logfiles, üblicherweise nicht länger als 30 Tage.

Es besteht ein Auftragsverarbeitungsvertrag (DPA), die Übermittlung in die USA ist durch EU-Standardvertragsklauseln (SCCs) abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Betrieb).

4. Vercel Speed Insights

Wir nutzen Vercel Speed Insights, um anonyme Performance-Metriken (Core Web Vitals, Ladezeiten) zu erheben. Es werden keine personenbezogenen Daten verarbeitet, kein Cross-Site-Tracking betrieben und keine Cookies gesetzt. Die Daten dienen ausschließlich der technischen Optimierung dieser Webseite.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5. Plausible Analytics

Sobald aktiviert, nutzen wir Plausible Analytics (gehostet in der EU). Plausible arbeitet ohne Cookies, anonymisiert IP-Adressen, erstellt keine Profile und teilt keine Daten mit Dritten. Erfasst werden ausschließlich aggregierte Besucherzahlen, Verweisquellen und Geräteklassen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Du kannst der Erfassung jederzeit widersprechen, indem Du Tracking-Schutz in Deinem Browser aktivierst.

6. Kontaktformular (Supabase)

Wenn Du uns über das Kontaktformular eine Nachricht schickst, speichern wir Deine Angaben (E-Mail, optional Name, Telefon, Unternehmen, Nachricht) in unserer Datenbank bei Supabase. Speicherort: Frankfurt am Main, EU. Wir nutzen diese Daten ausschließlich, um Deine Anfrage zu beantworten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) und lit. f DSGVO (berechtigtes Interesse an Bearbeitung Deiner Anfrage). Speicherdauer: bis zur abschließenden Bearbeitung Deiner Anfrage, längstens jedoch 12 Monate, sofern keine Geschäftsbeziehung entsteht.

7. Newsletter (Resend, mit Tracking)

Wenn Du Dich für unseren Newsletter anmeldest, gehen wir nach dem Double-Opt-In-Verfahren vor: Du erhältst zunächst eine Bestätigungsmail mit einem Link, erst nach Klick auf den Link wird Deine Anmeldung aktiv. Versendet werden die Mails über Resend Inc. (Delaware, USA), abgesichert durch EU-Standardvertragsklauseln und Auftragsverarbeitungsvertrag.

Tracking: Wir messen, ob Empfänger eine Mail öffnen (Tracking-Pixel) und ob enthaltene Links angeklickt werden (Redirect-Links). Dies hilft uns, die Relevanz unserer Inhalte einzuschätzen. Erfasst werden Zeitpunkt des Öffnens, Klicks auf Links sowie technische Metadaten (User-Agent, IP). Speicherort: Supabase (Frankfurt, EU) in der Tabelle newsletter_events.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Deine Einwilligung beim Anmeldeprozess) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung).

Widerruf: In jeder Newsletter-Mail findest Du einen Abmelde-Link. Ein Klick reicht — wir speichern Dein Datum der Abmeldung und anonymisieren Deinen Eintrag anschließend, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

8. Transaktionale E-Mails (Resend)

Für transaktionale E-Mails (Bestätigung von Kontaktanfragen, Vertragsversand, Rechnungen) nutzen wir ebenfalls Resend. Es besteht ein Auftragsverarbeitungsvertrag, EU-Standardvertragsklauseln sind vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Vertragsabschluss und elektronische Signatur

Wenn Du ein Angebot über unsere Kunden-Pages elektronisch signierst, speichern wir Deinen Namen, Deine E-Mail-Adresse, das Signaturbild, IP-Adresse, User-Agent sowie Datum und Uhrzeit der Signatur. Diese Beweismittel werden in einem PDF-Dokument zusammengefasst und in Supabase Storage (Frankfurt, EU) abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. c DSGVO (gesetzliche Aufbewahrungspflicht).

Aufbewahrungsdauer: 10 Jahre gemäß § 257 HGB / § 147 AO und GoBD-Vorgaben.

10. Activity-Log

Im Hintergrund führen wir ein internes Audit-Protokoll (Activity-Log) über sicherheitsrelevante Aktionen: Lead-Eingang, Statusänderungen, Vertragsereignisse, Newsletter-Versand. Erfasst werden Zeitpunkt, Aktionstyp, betroffene Entität, IP und User-Agent.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit, Sicherheit und Compliance). Speicherdauer: 12 Monate für allgemeine Vorgänge, 10 Jahre für vertragsrelevante Ereignisse (siehe Punkt 9).

11. Magic-Link-Authentifizierung (Admin)

Der Admin-Bereich (admin.occto.io) ist ausschließlich für Wesley und Giuliano zugänglich und nutzt Supabase Auth mit Magic-Link-Verfahren. Es werden keine Passwörter gespeichert; stattdessen wird ein Einmal-Token per Mail versandt. Diese Sektion betrifft Dich als Webseitenbesucher nicht direkt, wird aber aus Transparenzgründen aufgeführt.

12. Cookies

Wir setzen ausschließlich technisch notwendige Cookies, die für den Betrieb der Seite unverzichtbar sind (z. B. Session, Cookie-Consent-Status). Optionale Cookies werden erst nach Deiner ausdrücklichen Einwilligung über den Cookie-Banner geladen. Deine Wahl speichern wir lokal in Deinem Browser.

13. Deine Rechte

  • Auskunft über Deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde für Occto ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden.

14. Speicherdauer im Überblick

  • Server-Logfiles (Vercel): bis zu 30 Tage
  • Lead-Anfragen aus Kontaktformular: bis zu 12 Monate
  • Newsletter-Subscribers: bis zur Abmeldung, danach Anonymisierung
  • Newsletter-Tracking-Events: bis zur Abmeldung
  • Verträge, Signaturen, Rechnungen: 10 Jahre (§ 257 HGB, GoBD)
  • Activity-Log: 12 Monate, vertragsrelevante Einträge 10 Jahre

Stand: TODO_FILL_RELEASE_DATE.

Hinweis: Diese Datenschutzerklärung ist ein Entwurf mit Platzhalter (TODO_FILL_RELEASE_DATE). Vor Live-Schaltung muss das Stand-Datum eingetragen und dieser Hinweisblock entfernt werden. Sektionen zu Plausible (5) und Vercel Speed Insights (4) bitte entfernen, falls die jeweiligen Tools nicht aktiviert werden.