Datenschutzerklärung

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten Vergavo verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange.

1. Verantwortlicher

Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist:

CH Distribution
Christoph Holldack
Langwedeler Straße 82
28307 Bremen
Deutschland
Telefon: +49 160 4430444
E-Mail: hallo@vergavo.de

E-Mail in Datenschutzfragen: datenschutz@vergavo.de

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach § 38 BDSG nicht vorliegen (Einzelunternehmen ohne Mitarbeiter mit ständiger automatisierter Datenverarbeitung).

2. Verarbeitete Daten und Zwecke

2.1 Onboarding (Bereitstellung des Alert-Dienstes)

Beim Anlegen eines Suchprofils verarbeiten wir folgende Daten, die Sie selbst angeben:

• Firmenname, Ansprechpartner
• E-Mail-Adresse, optional Telefonnummer
• Gewerk, Postleitzahl, Bundesland, Suchradius
• positive und negative Suchbegriffe
• Sprache der Alert-Mails, gewünschte Frequenz
• Zeitpunkt der Einwilligung in Datenverarbeitung und Mailversand

Zweck: Bereitstellung des Alert-Dienstes (Vertragserfüllung bzw. vorvertragliche Maßnahme).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.2 Versand von Alert-Mails (Double-Opt-in)

Vor dem ersten Mailversand bestätigen Sie Ihre E-Mail-Adresse über einen Link, den wir an die angegebene Adresse senden (Double-Opt-in). Wir speichern Bestätigungszeitpunkt und Token-Status, um den Nachweis der Einwilligung führen zu können. Jede Alert-Mail enthält einen Abmeldelink (One-Click-Unsubscribe).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 7 UWG.

2.3 Server-Logs und Hosting

Beim Aufruf der Website werden serverseitig technische Daten (IP- Adresse, Zeitstempel, User-Agent, aufgerufene URL) verarbeitet. Diese Daten dienen ausschließlich der Sicherheit und Stabilität des Dienstes und werden für maximal 14 Tage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb).

2.4 Feedback im Kundenbereich

Wenn Sie aus einer Alert-Mail oder im Kundenbereich zu einem Treffer Feedback geben („Passt“, „Nicht passend“, „Zu groß“, etc.), speichern wir diese Rückmeldung zusammen mit der Match-ID, der Lead-ID und dem Zeitstempel. Es wird kein freier Kommentar und keine zusätzliche IP-Information erfasst.

Zweck: Schärfung der Treffer-Qualität für Ihr Suchprofil und Verbesserung der Matching-Logik.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da Bestandteil des Alert-Dienstes).
Speicherdauer: Feedback-Datensätze werden gemeinsam mit dem zugehörigen Lead bei Abmeldung gelöscht. Anonymisierte Aggregat-Statistiken (ohne Personenbezug) bleiben für maximal 12 Monate zur Qualitätsauswertung erhalten.

2.5 Cookies und vergleichbare Technologien

Vergavo setzt zwei Kategorien von Cookies bzw. localStorage-Einträgen ein:

• Technisch notwendig: signiertes Session-Cookie für den Login-Status im Admin- und Kundenbereich (HttpOnly, SameSite=Lax) sowie ein localStorage-Eintrag vergavo-consent-v1, der Ihre Cookie-Einstellung speichert. Diese Speicherungen sind für den Betrieb der Website und die Bereitstellung der Auswahlmöglichkeit erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO) und benötigen keine Einwilligung.
• Mit Einwilligung — Reichweitenmessung: Google Analytics 4 (siehe Abschnitt 2.6). Diese Cookies werden ausschließlich gesetzt, wenn Sie über das Cookie-Banner ausdrücklich zugestimmt haben. Ohne Einwilligung wird das Analyse-Skript nicht geladen.

Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern oder widerrufen. Der Widerruf wirkt für die Zukunft und löscht die gesetzten Analyse-Cookies.

2.6 Google Analytics 4

Auf Grundlage Ihrer Einwilligung nutzen wir Google Analytics 4 (GA4), einen Reichweitenmessungs-Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland; nachfolgend „Google“). GA4 hilft uns zu verstehen, wie Vergavo genutzt wird, welche Inhalte gefragt sind und an welchen Stellen Nutzer abspringen. Auf dieser Grundlage verbessern wir Inhalte und Bedienbarkeit.

Property-ID: G-1V25JZPXCV.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG.

Verarbeitete Daten: pseudonyme Client-ID, IP-Adresse (zur Geo-Lokalisierung auf Stadt-/Regionsebene; GA4 protokolliert die vollständige IP-Adresse nicht und speichert sie nicht), aufgerufene URL, Verweis-URL (Referrer), Zeitstempel, Browser, Betriebssystem, Sprache, Bildschirmauflösung, ungefährer Standort (Land/Region/Stadt) sowie Interaktions-Events (z. B. Scrolltiefe, Klicks).

Cookies: GA4 setzt clientseitige Cookies, insbesondere _ga (Client-ID, Standardlaufzeit 2 Jahre) und _ga_G-1V25JZPXCV (Sitzungs-/Aktivitätsstatus, Standardlaufzeit 2 Jahre). Die Cookies werden ausschließlich nach Einwilligung gesetzt.

Speicherdauer der GA4-Daten bei Google: 14 Monate. Nach Ablauf werden ereignisbezogene Nutzerdaten automatisch gelöscht.

Keine Werbung, keine Personalisierung: Wir nutzen GA4 ausschließlich zur Reichweitenmessung. Funktionen für personalisierte Werbung (Google Ads, Google Signals, Demografie-Berichte mit gerätegruppenübergreifender Zuordnung) sind in der Property deaktiviert. Die Consent-Signale für ad_storage, ad_user_data und ad_personalization bleiben dauerhaft auf denied.

Drittlandtransfer: Vertragspartner ist Google Ireland Limited (EU). Eine Übermittlung an Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) als technischer Sub-Auftragsverarbeiter kann nicht ausgeschlossen werden. Grundlage sind das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023, Art. 45 DSGVO) sowie ergänzend EU-Standardvertrags- klauseln (Art. 46 Abs. 2 lit. c DSGVO).

Widerruf: Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen. Der Widerruf wirkt für die Zukunft. Bereits durch GA4 gesetzte Cookies werden beim Widerruf in Ihrem Browser gelöscht. Alternativ können Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren: tools.google.com/dlpage/gaoptout.

3. Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten nur weiter, soweit dies zur Erbringung des Dienstes erforderlich ist. Eingesetzte Auftragsverarbeiter:

• Hosting & Bereitstellung der Web-App: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Verarbeitung überwiegend in EU-Region (Frankfurt). AVV abgeschlossen.
• Datenbank & Speicherung: Supabase Inc., 970 Toa Payoh North, #07-04, Singapur 318992. Datenbank-Region: Frankfurt (EU). AVV abgeschlossen.
• Mailversand (Alert- und System-Mails): Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. AVV abgeschlossen.
• Eingehender Mail-Empfang (Postfach hallo@vergavo.de): IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Auftragsverarbeitung gemäß IONOS-AGB / AVV.
• Reichweitenmessung (nur bei Einwilligung): Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Sub-Auftragsverarbeiter: Google LLC, USA. AVV abgeschlossen. Details siehe Abschnitt 2.6.

Mit allen genannten Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Eine KI-basierte Zusammenfassung oder Übersetzung von Ausschreibungstexten findet derzeit nicht statt; Zusammenfassungen werden deterministisch innerhalb von Vergavo erzeugt.

3.1 Drittlandtransfer

Vercel Inc., Supabase Inc. und Resend, Inc. haben ihren Hauptsitz in den USA. Auch wenn die genutzten Verarbeitungs- und Speicherregionen innerhalb der EU liegen (Frankfurt), kann ein Zugriff aus den USA nicht vollständig ausgeschlossen werden. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, Art. 45 DSGVO) sowie ergänzend auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Bei eingewilligter Reichweitenmessung über Google Analytics 4 kann zusätzlich eine Übermittlung an Google LLC (USA) als technischer Sub-Auftragsverarbeiter erfolgen — Details und Rechtsgrundlagen siehe Abschnitt 2.6.

4. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• Aktive Alert-Abos: bis zur Abmeldung über den Unsubscribe-Link.
• Nach Abmeldung: Personenbezogene Daten (Name, E-Mail, Telefon, Suchprofil) werden 30 Tage nach Abmeldung automatisch anonymisiert. Ein Audit-Eintrag (interne ID, Status, Abmeldezeitpunkt — ohne Name, E-Mail oder Inhaltsdaten) bleibt für 3 Jahre erhalten, um Nachweispflichten aus § 7 UWG bezüglich der erteilten Werbeeinwilligung erfüllen zu können.
• Server-Logs: siehe Abschnitt 2.3.

5. Ihre Rechte

Sie haben gegenüber Vergavo folgende Rechte:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht besteht
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) — ohne Folgen für die Rechtmäßigkeit vorheriger Verarbeitung

Anfragen richten Sie bitte an datenschutz@vergavo.de.

6. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für den Verantwortlichen mit Sitz in Bremen ist zuständig:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Arndtstraße 1
27570 Bremerhaven
E-Mail: office@datenschutz.bremen.de
Web: www.datenschutz.bremen.de

7. Datenquellen für Ausschreibungen

Vergavo aggregiert öffentlich publizierte Vergabe-Bekanntmachungen aus amtlichen Quellen. Aktuell genutzt:

• Datenservice Öffentlicher Einkauf (DÖE) — offizielle Bundesinfrastruktur unter EU-Verordnung 2019/1780, betrieben vom Beschaffungsamt des Bundes (oeffentlichevergabe.de). Lizenz: Creative Commons CC0. Aggregiert deutsche Vergabe-Plattformen inklusive Sub-Schwellen-Aufträge.
• Tenders Electronic Daily (TED) — EU-Vergabeportal, Daten unter EU-Open-Data-Lizenz frei nutzbar.

Die in diesen Quellen veröffentlichten Bekanntmachungen sind amtliche öffentliche Daten (Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 3 BDSG). Sollte eine Bekanntmachung personenbezogene Daten natürlicher Personen enthalten (z. B. einzelne Auftraggeber), speichern wir diese als Teil der amtlichen Veröffentlichung. Betroffene Personen können sich für Auskunft, Berichtigung oder Löschung an uns wenden (Kontakt siehe Punkt 1) — bei Konflikt mit der amtlichen Veröffentlichungspflicht verweisen wir an die jeweilige öffentliche Stelle weiter.

8. Automatisierte Entscheidungsfindung

Vergavo nutzt einen deterministischen Score-Algorithmus, um aus veröffentlichten Ausschreibungen passende Treffer für Ihr Suchprofil auszuwählen. Diese Auswahl ist kein automatisierter Einzelentscheid im Sinne von Art. 22 DSGVO — sie hat keine rechtliche Wirkung Ihnen gegenüber, sondern dient ausschließlich der Vorsortierung von Informationen, die Sie selbst weiter prüfen.

Zusammenfassungen und Übersetzungen sind Verständnishilfen. Verbindlich sind ausschließlich die Originalunterlagen des Auftraggebers.

9. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungs- zwecke, Anbieter oder rechtliche Rahmenbedingungen ändern. Maßgeblich ist die jeweils zum Zeitpunkt Ihrer Nutzung veröffentlichte Fassung — siehe oben angegebener Stand.