Datenschutzerklärung
Stand: Mai 2026
1. Verantwortlicher
Fodoni GmbH Karl-Broel-Str. 13 53604 Bad Honnef Deutschland E-Mail: info@fodoni.com
Vertreten durch: David Rein (Geschäftsführer)
2. Übersicht der Verarbeitung
Fodoni Network ist eine B2B-SaaS-Plattform für den Lebensmittel- und Agrarsektor. Die Plattform richtet sich ausschließlich an Unternehmen (keine Verbraucher). Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Bereitstellung unserer Dienste und der gesetzlichen Verpflichtungen.
3. Datenkategorien
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht), Rolle, Kontoerstellungsdatum
- Unternehmensdaten: Firmenname, Adresse, Land, Branche, Beschreibung, Logo, Verifizierungsstatus
- Unternehmenskennungen: USt-IdNr., Handelsregisterdaten
- Abrechnungsdaten: Stripe Customer-/Subscription-ID, Lizenzplan, Zahlungsstatus (Zahlungsmitteldetails werden ausschließlich bei Stripe gespeichert)
- Nutzungsdaten: IP-Adresse, Browser-/Gerätetyp, Zugriffszeiten, aufgerufene Seiten
- Kommunikationsdaten: Nachrichten in Antwort-Threads, Benachrichtigungen, Kontaktformulareingaben
- Dokumente: Hochgeladene Unternehmensdokumente und Listing-Bilder
- Analysedaten: Seitenaufrufe, Suchanfragen, Conversion-Events (nur bei erteilter Einwilligung)
4. Rechtsgrundlagen (Art. 6 DSGVO)
Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Plattform, Kontoverwaltung, Abonnement-Verwaltung, Transaktionsmails
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Statistik-Cookies, Marketing-Cookies, Marketing-/Tracking-Dienste (Google Analytics, Google Tag Manager, Meta Pixel, LinkedIn Insight Tag)
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Betrugsprävention, Systemsicherheit, Fehlerbehebung, CRM-Pflege für Bestandskunden (Pipedrive)
- Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Steuerliche Aufbewahrungspflichten, Handelsrecht
5. Cookies & Einwilligung
Wir verwenden Cookies und ähnliche Technologien in drei Kategorien:
Notwendige Cookies (ohne Einwilligung)
- Sitzungscookie (Authentifizierung, CSRF-Schutz)
- Sprachpräferenz
- Cookie-Einwilligungsstatus (fodoni_tracking_consent)
Statistik-Cookies (nur mit Einwilligung)
- Google Analytics 4 (_ga, _ga_*) – Website-Analyse und Nutzungsstatistiken
Marketing-Cookies (nur mit Einwilligung)
- Google Tag Manager – Tag-Orchestrierung
- Meta Pixel (_fbp, _fbc) – Conversion-Tracking und Zielgruppenbildung
- LinkedIn Insight Tag (li_*, ln_*) – B2B-Conversion-Tracking
Wir implementieren Google Consent Mode v2. Ohne Einwilligung werden alle Tracking-Signale unterdrückt (analytics_storage, ad_storage, ad_user_data, ad_personalization auf \"denied\"). Die Einwilligungspräferenz kann jederzeit über das Cookie-Banner geändert werden.
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie in der Fußzeile auf \"Cookie-Einstellungen\" klicken.
6. Empfänger & Auftragsverarbeiter
Wir übermitteln personenbezogene Daten an folgende Dritte:
- Amazon Web Services EMEA SARL (Luxemburg) – Hosting, Datenbank, CDN (CloudFront), Dateispeicher (S3). Verarbeitung in eu-central-1 (Frankfurt). Auftragsverarbeitungsvertrag auf Basis des AWS Data Processing Addendum.
- Stripe Technology Europe Ltd. (Irland) – Zahlungsabwicklung, Abonnementverwaltung, Steuerberechnung (Stripe Tax). Stripe verarbeitet Zahlungsmitteldetails als eigenständiger Verantwortlicher.
- Microsoft Ireland Operations Ltd. – Versand transaktionaler E-Mails über Microsoft Graph Mail API (Microsoft 365).
- Pipedrive OÜ (Estland) – Customer-Relationship-Management für Kontaktanfragen und Bestandskundenpflege.
- Zendesk Inc. (USA, EU-Datenverarbeitung) – Kundensupport (Ticketing, Help Center, Chat-Widget). Übermittlung in die USA auf Basis von Standardvertragsklauseln (SCC) und ergänzenden Maßnahmen.
- Google Ireland Ltd. – Google Analytics 4, Google Tag Manager (nur bei Einwilligung). Datenverarbeitung in der EU. Google Ads Data Processing Terms.
- Meta Platforms Ireland Ltd. – Meta Pixel für Conversion-Tracking (nur bei Einwilligung).
- LinkedIn Ireland Unlimited Company – LinkedIn Insight Tag für B2B-Conversion-Tracking (nur bei Einwilligung).
- Klaviyo Inc. (USA, EU-Datenverarbeitung) – E-Mail-Marketing und Newsletter (geplant). Übermittlung auf Basis von Standardvertragsklauseln.
7. Internationale Datenübermittlungen
Primärer Datenverarbeitungsstandort ist die EU (AWS eu-central-1, Frankfurt am Main). Soweit Daten in Drittländer übermittelt werden (insbesondere USA), geschieht dies auf Basis von:
- EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
- Angemessenheitsbeschlüssen (soweit vorhanden)
- Ergänzenden technischen und organisatorischen Maßnahmen
8. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
- Kontodaten: Solange das Konto aktiv ist, zuzüglich der Aufbewahrungsfristen nach Löschung
- Abrechnungsdaten: 10 Jahre nach Ende des Geschäftsjahres (§ 147 AO, § 257 HGB)
- Server-Logs und Nutzungsdaten: 90 Tage
- Analysedaten: 14 Monate (Google Analytics Standard)
- Kommunikationsdaten: Bis zur Kontolöschung
- Nach Löschungsantrag: Unverzüglich, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
9. Ihre Rechte (Art. 15–21 DSGVO)
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können eine Kopie Ihrer gespeicherten Daten anfordern.
- Berichtigung (Art. 16 DSGVO): Unrichtige Daten werden auf Ihren Hinweis korrigiert.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflicht besteht.
- Einschränkung (Art. 18 DSGVO): Sie können die Verarbeitung einschränken lassen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@fodoni.com. Wir bearbeiten Anfragen innerhalb von 30 Tagen.
Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
10. Technische und organisatorische Maßnahmen
Wir implementieren folgende Schutzmaßnahmen:
- Durchgehende TLS-Verschlüsselung aller Datenübertragungen
- Passwörter werden mit bcrypt gehasht – Klartextspeicherung ist ausgeschlossen
- Rollenbasierte Zugriffskontrolle mit fähigkeitsbasierter Autorisierung
- Zwei-Faktor-Authentifizierung (E-Mail-basiert, zeitlich begrenzt)
- Single-Session-Enforcement mit Session-Versionierung
- Strukturiertes Audit-Logging kritischer Operationen
- Verschlüsselung ruhender Daten (AWS RDS, S3)
- Proaktives Monitoring und Alerting bei Anomalien
- Regelmäßige verschlüsselte Backups mit dokumentiertem Wiederherstellungsverfahren
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen – insbesondere bei technischen Änderungen, neuen Funktionen oder geänderten Rechtslagen. Die jeweils aktuelle Version ist stets auf dieser Seite verfügbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

