Corlis LogoCORLIS
PreiseÜber unsKontakt
AnmeldenKostenlos starten

Datenschutzerklärung

Stand: 20. März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

P&S UG (haftungsbeschränkt)
Pavel Sidorin
Havelweg 19
49479 Püsslbüren

Telefon: 0157 54073191
E-Mail: info@hapato.de

Impressum: /legal/impressum

2. Übersicht der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Einkaufsplattform sowie unserer Inhalte und Leistungen erforderlich ist.

Arten der verarbeiteten Daten

  • Bestandsdaten (Name, Firma, Adresse)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer)
  • Zugangsdaten (Benutzername, Passwort-Hash)
  • Nutzungsdaten (aufgerufene Seiten, Zugriffszeiten, IP-Adressen)
  • Vertragsdaten (Bedarfsmeldungen, Ausschreibungen, Angebote, Bestellungen)
  • Kommunikationsdaten (Nachrichten über die Plattform)

Kategorien betroffener Personen

  • Einkäufer und Bedarfsmelder
  • Lieferanten
  • Administratoren und Organisationsmitglieder
  • Besucher der Website

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z.B. für optionale Benachrichtigungen.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Verarbeitung zur Erfüllung unseres Vertrages mit Ihnen, insbesondere die Bereitstellung der Einkaufsplattform und Managed-Einkauf-Leistungen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Soweit wir einer rechtlichen Verpflichtung unterliegen, z.B. steuerliche Aufbewahrungspflichten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Verarbeitung auf Grundlage unserer berechtigten Interessen, z.B. zur Sicherheit und Verbesserung der Plattform.

4. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS/SSL
  • Row Level Security (RLS) auf Datenbankebene – Nutzer sehen ausschließlich Daten, die ihrer Organisation und Rolle zugeordnet sind
  • Rollenbasierte Zugriffskontrollen (Einkäufer, Lieferant, Admin)
  • Verschlüsselte Speicherung von Passwörtern (Hashing)
  • Regelmäßige Sicherheitsupdates der eingesetzten Software

5. Hosting und Infrastruktur

Vercel

Unsere Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Besuch unserer Website werden automatisch Informationen (z.B. IP-Adresse, Browsertyp, Zugriffszeit) in Server-Logfiles erfasst. Die Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen an einer effizienten und sicheren Bereitstellung (Art. 6 Abs. 1 lit. f DSGVO). Ein Auftragsverarbeitungsvertrag (AVV) mit Vercel wurde abgeschlossen. Der Datentransfer in die USA wird durch die EU-Standardvertragsklauseln abgesichert.

Supabase

Für Datenbank, Authentifizierung und Dateispeicherung nutzen wir Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Alle Nutzerdaten, Einkaufsdaten und Dateien werden in einer PostgreSQL-Datenbank bei Supabase gespeichert. Die Verarbeitung erfolgt auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Ein Auftragsverarbeitungsvertrag wurde abgeschlossen.

6. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform erforderlich sind:

  • Session-Cookies – Zur Authentifizierung und Aufrechterhaltung Ihrer Anmeldesitzung. Diese Cookies werden nach dem Schließen des Browsers oder nach Ablauf der Sitzung gelöscht.
  • Auth-Token-Cookies – Zur sicheren Identifikation Ihres Nutzerkontos über Supabase Auth.

Wir setzen keine Marketing- oder Tracking-Cookies ein. Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich (§ 25 Abs. 2 TDDDG).

7. Registrierung und Nutzerkonto

Bei der Registrierung auf unserer Plattform werden folgende Daten erhoben:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (wird nur als Hash gespeichert)
  • Organisationsname und -daten (bei Neuregistrierung)
  • Rolle (Einkäufer, Lieferant, Admin)

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gespeichert, solange Ihr Nutzerkonto besteht. Nach Löschung des Kontos werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

8. Einkaufsprozess-Daten

Im Rahmen der Nutzung der Einkaufsplattform verarbeiten wir folgende Daten:

  • Bedarfsmeldungen (Artikelbezeichnungen, Mengen, Budgets)
  • Ausschreibungen und Vergabegruppen (Positionen, Kriterien, Fristen)
  • Angebote von Lieferanten (Preise, Konditionen, Lieferzeiten)
  • Bestellungen und Vereinbarungen (Zuschläge, Aufträge)
  • Freigabe- und Genehmigungsprozesse (Genehmiger, Entscheidungen, Zeitstempel)

Diese Daten werden zur Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). Innerhalb der Plattform sind Einkaufsdaten nur für berechtigte Mitglieder der jeweiligen Organisation sichtbar. Lieferanten sehen ausschließlich Ausschreibungen und Positionen, zu denen sie eingeladen wurden.

9. Kontaktaufnahme

Wenn Sie uns über das Kontaktformular oder per E-Mail kontaktieren, werden die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage verarbeitet. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Beantwortung Ihrer Anfrage (Art. 6 Abs. 1 lit. f DSGVO) bzw. zur vorvertraglichen Maßnahme (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten bestehen.

10. E-Mail-Benachrichtigungen

Im Rahmen der Plattformnutzung versenden wir transaktionale E-Mails, insbesondere:

  • Registrierungsbestätigung und E-Mail-Verifizierung
  • Einladungen zu Organisationen und Ausschreibungen
  • Statusupdates zu Ausschreibungen, Angeboten und Bestellungen
  • Genehmigungsanfragen und -entscheidungen
  • Passwortzurücksetzung

Diese E-Mails sind für den Betrieb der Plattform notwendig und erfolgen auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Der Versand erfolgt über Supabase Auth bzw. unseren E-Mail-Dienstleister.

11. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte in Bezug auf Ihre personenbezogenen Daten zu:

  • Auskunftsrecht (Art. 15 DSGVO) – Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie haben das Recht, Ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen jederzeit widersprechen.
  • Widerruf der Einwilligung – Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@hapato.de.

12. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere die Aufsichtsbehörde des Bundeslandes, in dem Sie Ihren Wohnsitz haben, oder die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

13. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

  • Nutzerkontodaten – Bis zur Löschung des Kontos
  • Einkaufsdaten – 10 Jahre nach Abschluss des Vorgangs (handels- und steuerrechtliche Aufbewahrungspflichten gemäß §§ 147 AO, 257 HGB)
  • Kontaktanfragen – 6 Monate nach abschließender Bearbeitung
  • Server-Logfiles – 30 Tage

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert.

14. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen unserer Plattform anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

CORLIS

Die Einkaufsplattform für den Mittelstand. Vom Bedarf bis zur Bestellung.

Produkt

Preise

Unternehmen

Über unsKontakt

Rechtliches

ImpressumDatenschutzAGB
© 2026 Corlis. Alle Rechte vorbehalten.