Stand: Mai 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
MakeProcess GbR
Abdullah Baser & Kerem Isik
Waltjenstraße 158
28237 Bremen
Deutschland
E-Mail: info@makeprocess.de
Web: makeprocess.de
Wir verarbeiten folgende personenbezogene Daten:
Die Daten werden ausschließlich verarbeitet für:
Rechtsgrundlagen:
MakeProcess GbR ist gegenüber seinen Kunden selbst Auftragsverarbeiter (Art. 28 DSGVO). Mit jedem Kunden wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) geschlossen.
Für den Betrieb der Plattform setzen wir folgende Unterauftragsverarbeiter ein:
Supabase (Datenbank & Authentifizierung)
Supabase Inc., 970 Toa Payoh North, Singapur. Unsere Datenbank wird ausschließlich in der Region EU West 1 (Frankfurt, Deutschland) gehostet – alle Daten bleiben innerhalb der EU. Für die Übermittlung personenbezogener Daten in die USA (Unternehmenssitz) gelten die EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: supabase.com/privacy · DPA: supabase.com/legal/dpa
Vercel (Hosting & Serverless Functions)
Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Die Next.js-Anwendung und API-Funktionen werden über Vercel gehostet. Serverless-Funktionen laufen in der Region Frankfurt (fra1). Für Drittlandübermittlungen in die USA gelten EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie der EU-US Data Privacy Framework-Angemessenheitsbeschluss (Art. 45 DSGVO).
Datenschutz: vercel.com/legal/privacy-policy · DPA: vercel.com/legal/dpa
Brevo (E-Mail-Versand)
Sendinblue GmbH (Brevo), Köpenicker Str. 126, 10179 Berlin, Deutschland. Über Brevo-SMTP werden bestimmte E-Mails (u. a. Rechnungsversand) verschickt; dabei werden die Empfänger-E-Mail-Adresse und der E-Mail-Inhalt übermittelt. Brevo ist ein in der EU ansässiger Anbieter – keine Drittlandübermittlung.
Datenschutz: brevo.com/de/legal/privacypolicy
Anthropic (KI-gestützte Funktionen)
Anthropic PBC, San Francisco, CA, USA. Für KI-gestützte Funktionen (u. a. Analyse und Formulierung von E-Mails, Briefen und Belegen sowie Mahnungen) werden die jeweils relevanten Inhalte an Anthropic übermittelt. Diese können personenbezogene Daten enthalten. Die über die API übermittelten Inhalte werden nach den vertraglichen Vorgaben von Anthropic nicht zum Training von KI-Modellen verwendet und nur für einen begrenzten Zeitraum gespeichert. Für die Übermittlung in die USA gelten die EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: anthropic.com/legal/privacy
Google / Gmail (optionale E-Mail-Anbindung)
Google Ireland Ltd. / Google LLC, USA. Sofern ein Nutzer sein Gmail-Postfach freiwillig verbindet, werden zum Anzeigen, Senden und Verwalten von E-Mails Daten über die Gmail-/Google-APIs verarbeitet. Dies geschieht ausschließlich auf ausdrückliche Verbindung durch den jeweiligen Nutzer. Für Übermittlungen in die USA gelten die EU-Standardvertragsklauseln (SCCs) sowie der EU-US Data Privacy Framework-Angemessenheitsbeschluss (Art. 45 DSGVO).
Datenschutz: policies.google.com/privacy
Microsoft / Outlook (optionale E-Mail-Anbindung)
Microsoft Ireland Operations Ltd. / Microsoft Corporation, USA. Sofern ein Nutzer sein Outlook-/Microsoft-365-Postfach freiwillig verbindet, werden E-Mail-Daten über die Microsoft-Graph-API verarbeitet. Dies geschieht ausschließlich auf ausdrückliche Verbindung durch den jeweiligen Nutzer. Für Übermittlungen in die USA gelten die EU-Standardvertragsklauseln (SCCs) sowie das EU-US Data Privacy Framework (Art. 45 DSGVO).
Datenschutz: privacy.microsoft.com
Upstash (Schutz vor Missbrauch)
Upstash, Inc., USA. Zur Absicherung der Plattform gegen Missbrauch (Rate-Limiting) werden technische Daten, insbesondere die IP-Adresse, kurzzeitig verarbeitet. Für Übermittlungen in die USA gelten die EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: upstash.com – Privacy
Backblaze B2 (verschlüsseltes Off-Site-Backup)
Backblaze, Inc., San Mateo, CA, USA. Zur täglichen, verschlüsselten Datensicherung werden Datenbank- und Dateiinhalte (die personenbezogene Daten enthalten können) in einem privaten Bucket gespeichert. Die Speicherung erfolgt in der Region EU-Central (Amsterdam, EU). Für die Übermittlung in die USA (Unternehmenssitz) gelten die EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: backblaze.com/company/privacy
GitHub (Ausführung des Backup-Workflows)
GitHub, Inc. (Microsoft), San Francisco, CA, USA. Das automatisierte tägliche Backup wird über einen GitHub-Actions-Workflow ausgeführt; dabei wird das verschlüsselte Backup zusätzlich für bis zu sieben (7) Tage als GitHub-Artefakt vorgehalten. Für Übermittlungen in die USA gelten die EU-Standardvertragsklauseln (SCCs) sowie das EU-US Data Privacy Framework (Art. 45 DSGVO).
Datenschutz: github.com – Privacy Statement
Wir speichern personenbezogene Daten nur so lange wie notwendig:
Kontodaten (Name, E-Mail): Für die Dauer des aktiven Nutzerkontos; Löschung innerhalb von 30 Tagen nach Kündigung oder Löschungsanfrage.
Zeiterfassungsdaten: 3 Jahre ab Ende des jeweiligen Kalenderjahres (Verjährungsfrist arbeitsrechtlicher Ansprüche, § 195 BGB).
Urlaubsdaten: 3 Jahre ab Ende des jeweiligen Kalenderjahres (Verjährung von Urlaubsansprüchen).
Technische Logs / Zugriffsdaten: Maximal 90 Tage.
Nach Ablauf der jeweiligen Frist werden die Daten automatisch gelöscht.
Die Bereitstellung von Name und E-Mail-Adresse ist für die Nutzung der Plattform vertraglich erforderlich. Ohne diese Daten kann kein Nutzerkonto erstellt und die Dienstleistung nicht erbracht werden. Die Erfassung von Arbeitszeitdaten ist im Beschäftigungsverhältnis gesetzlich vorgeschrieben (§ 16 ArbZG). Die Nichtbereitstellung führt dazu, dass die Nutzung der Plattform nicht möglich ist.
Wir führen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO durch, die rechtliche oder ähnlich bedeutsame Auswirkungen auf betroffene Personen hat.
Sie haben folgende Rechte gegenüber uns:
Zur Ausübung Ihrer Rechte: info@makeprocess.de
Sie haben außerdem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde Ihres Bundeslandes zu beschweren (Art. 77 DSGVO). Eine Liste aller Aufsichtsbehörden finden Sie unter: bfdi.bund.de
Alle Daten werden verschlüsselt übertragen (HTTPS/TLS 1.3). Datenbankzugriffe sind durch Row-Level Security (RLS) in Supabase abgesichert – Nutzer sehen ausschließlich Daten ihrer eigenen Organisation. Authentifizierung erfolgt über Supabase Auth mit signierten JWT-Token (kurzlebig). API-Endpunkte sind durch Bearer-Token-Authentifizierung und serverseitige Rollenprüfung (Admin/Mitarbeiter) abgesichert. Passwörter werden nie gespeichert; die Authentifizierung erfolgt ausschließlich über Supabase Auth.
Wir verwenden keine Tracking- oder Analyse-Cookies. Supabase Auth speichert einen Session-Token im lokalen Speicher des Browsers (localStorage), der für die Funktion der Anwendung technisch notwendig ist und keiner gesonderten Einwilligung bedarf (§ 25 Abs. 2 Nr. 2 TDDDG). Es werden keine Daten an Werbenetzwerke oder Dritte zu Analysezwecken übermittelt.
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren. Die jeweils aktuelle Version ist unter app.makeprocess.de/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
© 2026 MakeProcess GbR · makeprocess.de