Tentamus Group

Datenschutzerklärung

Stand: 2026-05-07

1. Datenschutz auf einen Blick

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der EU-Datenschutz-Grundverordnung (DSGVO) über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen unseres Auftragsportals.

2. Verantwortliche Stelle

Tentamus Pharma & Med Deutschland GmbH
Columbiastraße 14
97688 Bad Kissingen, Deutschland
Telefon: +49 971 78558-0
E-Mail: info-tpmd@tentamus.com

Datenschutzbeauftragter: Gunther Kohn
E-Mail: dataprivacy@tentamus.com

3. Welche Daten werden verarbeitet, wofür und auf welcher Rechtsgrundlage?

a) Kontoregistrierung

Daten: Name, E-Mail, Passwort-Hash, optional Telefonnummer

Zweck: Bereitstellung eines persönlichen Zugangs zum Auftragsportal.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / -erfüllung)

Speicherdauer: Speicherung solange das Konto aktiv ist + 30 Tage nach Konto-Löschung (Soft-Delete); danach physische Löschung.

b) Auftragsdaten / Probendaten

Daten: Firma, Ansprechpartner, Anschrift, Telefon, E-Mail, Probendetails, Untersuchungsparameter, Anhänge (z.B. Prüfvorschriften, Sicherheitsdatenblätter), Kostenstelle, Angebotsnummer

Zweck: Durchführung der beauftragten Laborprüfung und vertragsbezogene Kommunikation (Auftragsbestätigung, Status, Endbericht, Rechnungsstellung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für GxP-Dokumentation zusätzlich Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

Speicherdauer: Mindestens 10 Jahre gemäß GMP / Arzneimittelgesetz / GxP-Dokumentationspflichten. Anschließend werden personenbezogene Felder anonymisiert; technische Mess- und Prüfdaten können länger aufbewahrt werden, soweit Aufbewahrungspflichten dies vorsehen.

c) Einwilligungs-Log

Daten: Zeitpunkt der Einwilligung, Versionsnummer des Dokuments, gehashter IP-Wert (SHA-256, nicht rückführbar), User-Agent

Zweck: Nachweis erteilter Einwilligungen gemäß Art. 7 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisbarkeit).

Speicherdauer: Solange das zugrundeliegende Rechtsverhältnis besteht + 3 Jahre nach dessen Ende (regelmäßige Verjährungsfrist).

d) Audit-/Sicherheits-Logs

Daten: Aktion (z.B. Anmeldung, Statusänderung, Datei-Download), Akteur (User-ID), Zeit, gehashter IP-Wert, User-Agent

Zweck: IT-Sicherheit, Missbrauchserkennung, Nachweis von Datenzugriffen (Art. 32 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Integrität).

Speicherdauer: 12 Monate, danach automatische Löschung.

e) Server-Logfiles

Daten: Anonymisierte IP-Adresse, Datum/Uhrzeit, abgerufene URL, Referrer, Browser/OS

Zweck: Bereitstellung der Website, Erkennung technischer Fehler, Abwehr von Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen Betrieb).

Speicherdauer: Werden vom Hosting-Provider verwaltet und üblicherweise nach max. 30 Tagen rotiert.

f) E-Mail-Versand

Daten: E-Mail-Adresse, Inhalt der Transaktionsmail (z.B. Auftragsbestätigung, Statusänderung, Passwort-Reset)

Zweck: Vertragsbezogene Kommunikation. Es findet kein Marketing-Versand statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Versandprotokolle werden 30 Tage aufbewahrt; der Mailinhalt wird im Auftragsdatensatz nach dessen Aufbewahrungsfrist behandelt.

4. Cookies und LocalStorage

Wir verwenden ausschließlich technisch notwendige Cookies und LocalStorage-Einträge:

  • Authentifizierungs-Cookies von Supabase (Session, Refresh-Token) — Lebensdauer max. 7 Tage, werden bei Abmeldung sofort gelöscht.
  • Sprach-Einstellung (LocalStorage „tv.lang“) und Cookie-Hinweis-Bestätigung („tv.cookies.ack“).

Es werden keine Tracking-, Analyse-, Werbe- oder Drittanbieter-Cookies gesetzt. Eine Einwilligung ist daher gemäß § 25 Abs. 2 TTDSG / ePrivacy-Richtlinie nicht erforderlich.

5. Auftragsverarbeiter und Empfänger der Daten

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen. Eine Verarbeitung erfolgt grundsätzlich innerhalb der EU/EWR:

  • Supabase (Datenbank, Authentifizierung, Datei-Speicher): Hosting in eu-central-1 (Frankfurt am Main). Anbieter: Supabase Inc., 970 Toa Payoh North, #07-04, Singapur — die Datenhaltung selbst erfolgt im EU-Rechenzentrum.
  • Vercel (Webhosting / Edge-Runtime): Auslieferung über Frankfurt-Region (fra1). Anbieter: Vercel Inc., USA. Übermittlungen in die USA sind durch Standardvertragsklauseln (SCC) und das EU-US Data Privacy Framework abgesichert.
  • Microsoft 365 (SMTP-Mailversand): Versand transaktionaler E-Mails über das Microsoft-365-Postfach von Tentamus. Microsoft Ireland Operations Ltd., Dublin; teilweise Datenverarbeitung in den USA, abgesichert durch SCC und Data Privacy Framework.

Eine Weitergabe an weitere Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Verpflichtung besteht.

6. Übermittlung in Drittländer

Der Kerndatenbestand verbleibt in der EU. Soweit Auftragsverarbeiter (z.B. Vercel, Microsoft) Daten in den USA verarbeiten können, basiert die Übermittlung auf den EU-Standardvertragsklauseln (2021) sowie der Selbst-Zertifizierung des Empfängers unter dem EU-US Data Privacy Framework gemäß Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023.

7. Ihre Rechte

Sie haben jederzeit folgende Rechte uns gegenüber:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Auskunfts-, Lösch- und Datenexport-Anfragen können Sie direkt im Dashboard unter „Mein Konto → Daten & Datenschutz“ stellen oder per E-Mail an unseren Datenschutzbeauftragten richten.

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Deutschlandwww.lda.bayern.de

9. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Auftragsbearbeitung und Statusänderungen erfolgen ausschließlich durch unsere Mitarbeitenden.

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein: TLS-Transportverschlüsselung, Row-Level-Security in der Datenbank, salt-gehashte IP-Werte im Audit-Log, kurz gültige signierte Download-URLs, Rate-Limiting, Magic-Byte-Prüfung bei Datei-Uploads, optionale Zwei-Faktor-Authentifizierung sowie eine vollständige Auditierung administrativer Vorgänge.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung anzupassen, etwa bei Änderungen der Rechtslage oder unserer Verarbeitungstätigkeiten. Die jeweils aktuelle Version ist hier abrufbar und wird zusammen mit dem Datum der letzten Aktualisierung oben rechts angezeigt.