Datenschutzerklärung für die Nutzung von „Shelfmate“

1. Präambel

Wir, die Blackgear IT UG (haftungsbeschränkt) & Co. KG (nachfolgend „Blackgear IT“, „wir“ oder „uns“), betreiben die Ressourcen- und Warenmanagementplattform „Shelfmate“ („Plattform“). Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten im Rahmen der Webanwendung sowie der mobilen Anwendungen ( Android / iOS).

Wir verarbeiten personenbezogene Daten stets im Einklang mit der EU-Datenschutzgrundverordnung (DSGVO) und den nationalen Datenschutzgesetzen. Der Schutz Ihrer Daten hat für uns höchste Priorität.

2. Verantwortlicher im Sinne der DSGVO

Blackgear IT UG (haftungsbeschränkt) & Co. KG Lindauer Straße 3 87480 Weitnau-Wengen Deutschland

E-Mail: info@shelfmate.app

Ein Datenschutzbeauftragter ist nicht bestellt, da hierfür keine gesetzliche Pflicht besteht.

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten, wenn dies:

  • zur Bereitstellung der Plattform erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
  • zur Gewährleistung der Sicherheit und Funktionsfähigkeit erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)
  • gesetzlich vorgeschrieben ist (Art. 6 Abs. 1 lit. c DSGVO)
  • auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO)

Wir verfolgen das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

4. Kategorien verarbeiteter personenbezogener Daten

4.1 Konto- und Identifikationsdaten

  • E-Mail-Adresse
  • Passwort (gehasht; niemals im Klartext)
  • Zugehörigkeit zu Organisation / Unternehmen
  • Rollen- und Berechtigungsinformationen
  • Profil- und Kontoeinstellungen

4.2 Nutzungs-, Funktions- und Auditdaten

Shelfmate protokolliert technische Ereignisse und Benutzeraktionen, z. B.:

  • Logins, Sessions, Token-Status
  • Bearbeitung von Beständen, Artikeln, Lagerorten
  • Erfassung, Änderung und Löschung von Warenbewegungen
  • API-Zugriffe und Systeminteraktionen
  • Zeitstempel aller sicherheitsrelevanten Aktionen
  • Fehler- und Crash-Logs

Diese Protokollierung dient der Nachvollziehbarkeit, Sicherheit und Stabilität.

4.3 Geräte- und Systemdaten (Web)

  • Browsertyp/-version
  • Betriebssystem
  • Referrer URL
  • IP-Adresse
  • Datum/Zeit der Serveranfrage
  • Bildschirmauflösung / Spracheinstellungen
  • technische Session-Daten

4.4 Daten der mobilen Apps (Android / iOS)

Technologien / Berechtigungen:

  • Kamera (Barcode-Scanning)
  • Netzwerkkommunikation (API-Zugriff)
  • Lokaler Speicher / App-Cache
  • Geräte- und OS-Daten (modellabhängig)

Erfasste Daten:

  • App-Version (zur Fehleranalyse)
  • Geräteinformationen (Modell, OS-Version)
  • Installationsquelle (App Store / Play Store)
  • Diagnosedaten (sofern durch Nutzer freigegeben)
  • Push-Token (nur wenn aktiviert)

Wir erfassen keine GPS/Standortdaten, keine biometrischen Daten, keine Telefonie- oder Kontaktinformationen.

5. Zwecke der Verarbeitung

5.1 Bereitstellung der Plattformfunktionen

  • Benutzerverwaltung und Authentifizierung
  • Waren- und Bestandsmanagement
  • Dokumentation von Lagerprozessen
  • Rollen- und Rechteverwaltung
  • Datenkonsistenz und Änderungsverfolgung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

5.2 Betriebssicherheit & Fehlerdiagnose

  • Schutz der Plattform vor Angriffen
  • Auswertung und Behebung von Störungen
  • Sicherstellung von Verfügbarkeit und Integrität
  • Protokollierung sicherheitsrelevanter Vorgänge

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

5.3 Verarbeitung im Rahmen von Supportanfragen

  • technische Problemanalyse
  • Benutzerunterstützung
  • ggf. Einsicht in Logdaten

Rechtsgrundlage:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
  • berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

5.4 App-Store-Diagnosedaten

App Stores (Apple / Google) können nach Zustimmung Diagnosedaten erheben.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

6. Berechtigungen der mobilen Apps

6.1 Android

Die App kann folgende Berechtigungen nutzen:

  • Kamera
  • Netzwerkzugriff
  • Vibrationsfeedback
  • lokaler Speicher

6.2 iOS

  • Kamera
  • Netzwerkkommunikation
  • lokaler Speicher
  • Apple-Diagnosedaten (nur bei Zustimmung)

7. Cookies und lokale Speicherung in der Webanwendung

Shelfmate nutzt ausschließlich technisch notwendige Cookies:

CookieZweckRechtsgrundlageDauer
Session-IDLogin/Session-VerwaltungArt. 6 Abs. 1 lit. bbis Browser geschlossen
CSRF-TokenSchutz vor AngriffenArt. 6 Abs. 1 lit. fbis Browser geschlossen

Es werden keine Tracking-Cookies, keine Marketing-Cookies, keine Drittanbieter-Cookies gesetzt.

8. Verarbeitung durch Drittanbieter / Unterauftragsverarbeiter

8.1 Hosting via Microsoft Azure (Region: EU)

Shelfmate wird vollständig in Microsoft Azure gehostet.

Empfänger: Microsoft Ireland Operations Limited Datenarten: Nutzerkonten, Bestandsdaten, Logs, Backups Ort: ausschließlich EU Rechtsgrundlage: Art. 6 Abs. 1 lit. b & f DSGVO

8.2 App Stores (Google / Apple)

App Stores verarbeiten ggf. Diagnosedaten und Installationsinformationen.

8.3 Optional: Analyse- und Telemetriedienste

Nur nach Einwilligung oder anonymisiert. Aktuell nicht aktiv eingesetzt.

8.4 Interne Empfänger

Zugriff erfolgt ausschließlich durch autorisierte Mitarbeiter von Blackgear IT zur:

  • Wartung
  • Fehleranalyse
  • Kundenbetreuung
  • Betriebssicherheit

8.5 Unterauftragsverarbeiter: Spinnler Logistics Consulting

Spinnler Logistics Consulting Inhaber: Benjamin W. Spinnler Bärenstr. 65 DE-86156 Augsburg Deutschland Telefon: +49 (0) 155 625 248 44 E-Mail: info@spinnler-lc.com

Spinnler Logistics Consulting unterstützt Blackgear IT im Rahmen der Kundenimplementierung und des laufenden Betriebs. Die Tätigkeiten umfassen:

  • technisches und organisatorisches Onboarding
  • Einrichtung und Konfiguration von Shelfmate-Instanzen
  • Datenmigration / Initialimporte
  • Implementierungs- und Prozessberatung
  • Support- und Troubleshooting
  • Schulungen (remote und vor Ort)

Verarbeitete Datenarten:

  • Kontaktdaten der Nutzer
  • organisatorische und betriebliche Kundendaten
  • Rollen- und Berechtigungsstrukturen
  • technische Konfigurationsdaten
  • audit- und systemrelevante Nutzungsdaten
  • Daten aus Import- und Migrationsprozessen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO

Zwischen Blackgear IT und Spinnler Logistics Consulting besteht ein Unterauftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

9. API- und Integrationsdaten

Nutzen Kunden die API, können je nach Konfiguration folgende Daten verarbeitet werden:

  • Bestands- und Artikelbewegungen
  • Benutzeridentifikatoren
  • technische Anfragen (Request/Response)
  • API-Keys / Tokens
  • Audit-Logs

Sicherheit:

  • TLS-Verschlüsselung
  • Token-basierte Authentifizierung
  • IP-Rate-Limiting
  • zentrale Protokollierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

10. App-Store-spezifische Datenschutzinformationen (Apple / Google)

10.1 Apple iOS (App Store)

Die iOS-App von Shelfmate nutzt keine App-übergreifenden Trackingmechanismen und keine Werbetracker. Im Rahmen der App wird keine Apple App Tracking Transparency (ATT) abgefragt, da kein Tracking im Sinne von Art. 5 Abs. 3 ePrivacy-Richtlinie bzw. Apples ATT-Richtlinien stattfindet.

Apple kann – sofern Sie dem in den iOS-Systemeinstellungen zustimmen – folgende Daten erheben und uns in anonymisierter Form zur Verfügung stellen:

  • Diagnosedaten (z. B. Crash-Reports)
  • App-Performance-Daten (z. B. Ladezeiten, Fehlermeldungen)
  • Geräteinformationen (z. B. Modell, OS-Version)

Diese Datenerhebung erfolgt unabhängig von Blackgear IT und basiert allein auf Ihrer Zustimmung gegenüber Apple. Wir haben keinen Einfluss auf Art und Umfang dieser Datenverarbeitung.

10.2 Google Android (Google Play Store)

Die Android-App nutzt ausschließlich technisch notwendige Berechtigungen zur Funktionsgewährleistung:

  • Kamera (für Barcode-Scanning; es werden keine Bilddaten gespeichert)
  • Netzwerkzugriff (für Kommunikation mit der Shelfmate-API)
  • Vibration/Haptik (Benutzerfeedback beim Scannen)
  • Lokaler Speicher/Cache (temporäre App-Daten)

Die App liest keine personenbezogenen Inhalte aus, insbesondere nicht:

  • Kontakte
  • Fotos, Medien oder Dateien (außer temporäre Nutzung der Kamera)
  • Anruflisten
  • Kalender
  • SMS
  • Gerätespezifische IDs oder Werbe-IDs

Google Play kann zur Verbesserung der Systemstabilität anonymisierte Diagnosedaten sammeln, z. B.:

  • Crash-Reports
  • Performance-Daten
  • Geräteinformationen
  • Installationsquellen

Diese Daten sind nicht personenbezogen und werden ausschließlich zur Fehleranalyse verwendet.

11. Datenkategorien gemäß Google Play „Data Safety Section“

Shelfmate verarbeitet im Rahmen der Android-App die folgenden Datenkategorien, entsprechend den Vorgaben der Google Play Data Safety Section:

KategorieBeispieleZweck der VerarbeitungOpt-out möglich
App-PerformanceApp-Version, LaufzeitdatenStabilität, OptimierungNein
DiagnosedatenCrash-Logs, FehlercodesFehleranalyse, QualitätssicherungJa (über Betriebssystemeinstellungen)
GeräteinformationenOS-Version, GerätemodellKompatibilitäts- und SupportzweckeNein
KontodatenE-Mail-Adresse (Login)Authentifizierung, ZugriffskontrolleNein

Nicht verarbeitet werden:

  • Werbedaten
  • Tracking-Daten
  • Standortdaten
  • Finanzdaten
  • Gesundheitsdaten
  • Kontakte oder Kommunikationsinhalte
  • Sensible persönliche Informationen

Es findet keine Weitergabe dieser Daten an Dritte zu Werbe- oder Trackingzwecken statt. Personenbezogene Daten werden ausschließlich für den Betrieb und die Sicherheit der App genutzt.

12. Speicher- und Löschfristen

DatenkategorieSpeicherfrist
Benutzerkontenbis Konto gelöscht wird
Funktions- und Auditlogs90–180 Tage
Sicherheitslogsbis zu 1 Jahr
Vertrags- und Rechnungsdaten6–10 Jahre
Backups14–30 Tage (rotierend)

Backups werden verschlüsselt gespeichert und automatisch überschrieben.

Einschränkung des Löschrechts bei Audit- und Nachweispflichten

Shelfmate ist ein revisions- und nachweispflichtiges System, in dem sicherheitsrelevante Vorgänge, Warenbewegungen und Benutzeraktionen protokolliert werden. Diese Audit- und Protokolldaten sind für Compliance-, Sicherheits- und Nachweiserfordernisse erforderlich und dürfen aus gesetzlichen sowie betrieblichen Gründen nicht gelöscht werden (Art. 17 Abs. 3 lit. b und e DSGVO).

Aus diesem Grund können Benutzerkonten nicht vollständig physisch gelöscht werden, solange Auditdaten oder systemrelevante Protokolle mit diesen Konten verknüpft sind.

Statt einer Löschung erfolgt ein datenschutzkonformer Ersatz in Form einer Anonymisierung:

  • Entfernung personenbezogener Identifikationsdaten
  • Erhalt der revisionspflichtigen Audit-Logs (ohne Personenbezug)
  • Umwandlung des Accounts in eine nicht zurückführbare Systemidentität
  • Sperrung des Zugangs zum Konto

Damit wird das Löschbegehren gemäß Art. 17 DSGVO erfüllt, ohne die Integrität der Audit-Nachweise oder die Funktionsfähigkeit des Systems zu gefährden.

Ein Zugriff auf das anonymisierte Konto oder seine früheren personenbezogenen Daten ist nach dieser Maßnahme nicht mehr möglich.

Die Anonymisierung personenbezogener Daten bei fortbestehenden Audit-Logs wird als gleichwertige Form der Löschung gemäß Erwägungsgrund 26 DSGVO behandelt.

13. Übermittlungen in Drittländer

Eine Übermittlung in Drittstaaten findet nicht statt, es sei denn:

  • Nutzer aktivieren Diagnosedatenübermittlung an Apple/Google
  • API-Integrationen weisen Daten an externe Systeme aus

In diesen Fällen erfolgt eine Übermittlung nur nach Art. 44 ff. DSGVO.

14. Ihre Rechte als betroffene Person

Sie haben gemäß Art. 15–21 DSGVO folgende Rechte:

  • Auskunft über verarbeitete Daten
  • Berichtigung fehlerhafter Daten
  • Löschung („Recht auf Vergessenwerden“)
  • Einschränkung der Verarbeitung
  • Widerspruch gegen bestimmte Verarbeitungen
  • Datenübertragbarkeit

Anfragen an: datenschutz@shelfmate.app

15. Beschwerderecht

Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 27, 91522 Ansbach https://www.lda.bayern.de

16. Technische und organisatorische Maßnahmen (TOMs)

Blackgear IT setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Die konkreten Maßnahmen orientieren sich an dem jeweils aktuellen Stand der Technik und werden regelmäßig überprüft, weiterentwickelt und angepasst.

Zu den allgemeinen Maßnahmen gehören insbesondere:

  • Zugriffsbeschränkung und Berechtigungskonzepte Sicherstellung, dass nur autorisierte Personen Zugriff auf personenbezogene Daten und Systeme erhalten.
  • Vertraulichkeit und Integrität der Systeme Schutz vor unbefugter Nutzung, Veränderung oder Offenlegung durch geeignete Sicherheitsmechanismen.
  • Sicherstellung der Verfügbarkeit der Systeme Maßnahmen zur Reduzierung von Ausfallrisiken, zur Absicherung des Betriebs sowie zur Wiederherstellung im Falle von Störungen oder Datenverlust.
  • Protokollierung sicherheitsrelevanter Vorgänge Dokumentation technischer Ereignisse zur Fehleranalyse, Nachvollziehbarkeit und Sicherheitsüberwachung.
  • Regelmäßige Überprüfung und Verbesserung der Sicherheitsmaßnahmen Laufende technische und organisatorische Optimierung zur Gewährleistung eines aktuellen und angemessenen Sicherheitsniveaus.
  • Verpflichtung von Mitarbeitenden auf Vertraulichkeit Schulungen, interne Richtlinien und organisatorische Vorgaben zum ordnungsgemäßen Umgang mit Daten.

Eine detaillierte Beschreibung einzelner TOMs kann – sofern erforderlich – im Rahmen eines separaten Auftragsverarbeitungsvertrags (Art. 28 DSGVO) bereitgestellt werden.

17. Keine automatisierte Entscheidungsfindung

Shelfmate nutzt keine automatisierten Entscheidungen oder Profiling gemäß Art. 22 DSGVO.

18. Auftragsverarbeitung

Für die Nutzung von Shelfmate im Unternehmenskontext wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO angeboten.

Anfrage: info@shelfmate.app

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um geänderte gesetzliche Vorgaben oder technische Entwicklungen abzubilden.

Die jeweils aktuelle Version finden Sie unter:

https://shelfmate.app/privacy

Stand: 26.11.2025