Datenschutzerklärung

Informationen zur Verarbeitung deiner personenbezogenen Daten im Cogswell Kundenportal (portal.cogswell.it).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO:

Cogswell IT — Inhaber: Joshua Cogswell
Georg-Moller-Weg 29
64625 Bensheim
Deutschland

Telefon: +49 6251 9743999
E-Mail: datenschutz@cogswell.de

2. Allgemeines zur Datenverarbeitung

Umfang

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Kundenportal-Plattform sowie unserer vertraglichen Leistungen erforderlich ist.

Rechtsgrundlagen

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person
Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (sicherer Betrieb des Portals, IT-Sicherheit)

Datenlöschung & Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch Gesetzgeber vorgesehen wurde (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen, in der Regel 6 oder 10 Jahre für Geschäftsunterlagen).

3. Hosting & Bereitstellung der Plattform

Frontend (portal.cogswell.it)

Das Kundenportal-Frontend wird über Cloudflare Pages bereitgestellt. Anbieter:

Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA

Beim Aufruf der Seite werden technisch notwendige Logdaten von Cloudflare verarbeitet (IP-Adresse, User-Agent, Request-Zeitpunkt, abgerufene URL). Wir haben mit Cloudflare einen Auftragsverarbeitungsvertrag (DPA) abgeschlossen; Cloudflare bietet darüber hinaus EU-Standardvertragsklauseln (SCC) für Datenübermittlungen in Drittländer an.

Datenschutzinfos: cloudflare.com/de-de/privacypolicy

Backend & API (crm.cogswell.at)

Das zugrundeliegende Customer Relationship Management (CRM) sowie die API werden auf Servern unseres Hosting-Partners in Deutschland betrieben (helloly.host / Cloud10). Hier werden alle Stamm- und Geschäftsdaten gespeichert.

4. Schriften — lokal gehostet

Diese Plattform verwendet die Schriften Inter und JetBrains Mono. Beide Schriften werden ausschließlich von unserem eigenen Server geladen. Es findet keine Verbindung zu Google Fonts oder anderen Drittservern statt.

5. Login & Authentifizierung

Erfasste Daten

E-Mail-Adresse
Passwort (gespeichert ausschließlich als bcrypt-Hash, nicht im Klartext)
Zeitpunkt des letzten Logins / Passwortwechsels

Tokens (Browser-Speicher)

Nach erfolgreicher Anmeldung wird ein JWT-Token in deinem Browser im localStorage abgelegt. Das Token enthält deine Kontakt-ID und ist 30 Tage gültig. Es wird ausschließlich an unsere eigene API (crm.cogswell.at) übermittelt. Es ist kein klassisches Tracking-Cookie und wird nicht an Dritte weitergegeben.

Du kannst das Token jederzeit durch Klick auf Abmelden oder durch Leeren deines Browser-Speichers entfernen.

Rate-Limiting

Zur Verhinderung von Brute-Force-Angriffen werden fehlgeschlagene Login-Versuche pro IP-Adresse für 1 Stunde gezählt. Bei 10 Fehlversuchen wird die IP temporär gesperrt.

6. Im Portal verarbeitete Daten

Innerhalb des Kundenportals werden folgende Daten verarbeitet, die in unserem CRM zu deiner Person bzw. deinem Unternehmen gespeichert sind:

Stammdaten (Name, Firma, Adresse, Telefon, Position)
Rechnungen, Angebote und Verträge inkl. zugehöriger Positionen
Projektdaten (Name, Status, Fortschritt, Meilensteine, Aufgaben)
Support-Tickets und deren Konversationen
Termine

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Passwort-Reset per E-Mail

Beim Anfordern eines neuen Passworts senden wir eine E-Mail mit einem zeitlich begrenzten Reset-Link (1 Stunde gültig) an die hinterlegte E-Mail-Adresse. Versand erfolgt über unseren eigenen SMTP-Server in Deutschland.

8. Cogswell Chatbot

Auf dieser Plattform ist unser eigener KI-Chatbot eingebettet (Skript-Quelle: chatbot-1a689.web.app, gehostet bei Google Firebase). Wenn du das Chatbot-Symbol unten rechts anklickst und Nachrichten verfasst, werden diese an unseren Chatbot-Backend verarbeitet, um deine Anfrage zu beantworten.

Wichtig: Solange du den Chatbot nicht aktiv öffnest und keine Nachricht sendest, wird kein Inhalt an Firebase/Google übermittelt — lediglich das Widget-Skript wird geladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (durch Nutzung des Chatbots).

9. Empfänger der Daten

Eine Übermittlung deiner personenbezogenen Daten an Dritte erfolgt nicht, mit Ausnahme der folgenden Auftragsverarbeiter (Art. 28 DSGVO):

Cloudflare, Inc. (Hosting des Portal-Frontends)
helloly.host / Cloud10 (Server-Hosting des CRM in Deutschland)
Google Firebase / Google LLC (nur bei aktiver Chatbot-Nutzung)

10. Cookies / lokaler Speicher

Diese Plattform verwendet keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies.

Technisch erforderlich ist ausschließlich:

cog_api_token (localStorage) — dein Login-Token, gültig 30 Tage, ausschließlich an unsere API
cog_api_user (localStorage) — Zwischenspeicher deiner Kontaktdaten für schnellere Anzeige
cog-theme (localStorage) — deine Hell/Dunkel-Theme-Präferenz

Diese Daten werden ausschließlich lokal in deinem Browser gespeichert und nicht ungefragt übertragen. Eine Einwilligung nach TTDSG ist nicht erforderlich, da sie unbedingt erforderlich für die Bereitstellung des vom Nutzer ausdrücklich gewünschten Dienstes sind (§ 25 Abs. 2 Nr. 2 TTDSG).

11. Deine Rechte als betroffene Person

Dir stehen folgende Rechte zu:

Auskunft (Art. 15 DSGVO) — welche Daten wir über dich verarbeiten
Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren
Löschung (Art. 17 DSGVO) — Daten löschen lassen, soweit keine Aufbewahrungspflicht besteht
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO) — deine Daten in einem maschinenlesbaren Format erhalten
Widerspruch (Art. 21 DSGVO) gegen Verarbeitung auf Grundlage berechtigter Interessen
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) jederzeit für die Zukunft

Zur Wahrnehmung deiner Rechte genügt eine formlose Nachricht an: datenschutz@cogswell.de

12. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
datenschutz.hessen.de

13. Datensicherheit

Diese Plattform nutzt eine SSL/TLS-Verschlüsselung sowohl für das Frontend (portal.cogswell.it) als auch für die API (crm.cogswell.at). Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Der Zugriff auf das CRM erfolgt nur über autorisierte Mitarbeiter mit Multi-Faktor-Authentifizierung.

14. Aktualität

Stand dieser Datenschutzerklärung: Mai 2026. Wir behalten uns vor, diese Erklärung anzupassen, wenn sich rechtliche oder technische Gegebenheiten ändern.