Datenschutzerklärung

prokodo Marketplace

17. Februar 2026

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO ist: prokodo (Einzelunternehmen), Inhaber: Christian Salat, Fritz-Erler-Straße 24b, 81737, München, Deutschland. E-Mail: info(at)prokodo.com, Telefon: +49 (0) 89 244 119 790, USt-IdNr.: DE345200489.

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an die oben genannte Adresse.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Plattform „prokodo Marketplace“ unter prokodo.com und angeschlossener Dienste.

Die Plattform steht allen Nutzern offen. Kostenlose Listings und OSS-Inhalte können auch von Verbrauchern genutzt werden. Die Monetarisierungsfunktionen (kostenpflichtige Listings, Seller-Konto) stehen ausschließlich Unternehmern im Sinne des § 14 BGB zur Verfügung. Nähere Einzelheiten regeln die AGB (Ziffer 3).

Diese Datenschutzerklärung ist informatorische Compliance-Dokumentation und kein eigenständiger Vertrag. Maßgeblich für das Vertragsverhältnis bleiben die AGB und die dort einbezogenen Vertragsdokumente.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis einer einschlägigen Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): z. B. bei Einwilligung in Analytics-/Marketing-Cookies, Newsletter-Anmeldung.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): z. B. bei Registrierung, Profilverwaltung, Bestellabwicklung, Zahlungsverarbeitung und Kommunikation zu laufenden Verträgen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): z. B. bei Aufbewahrungspflichten für Buchhaltungsunterlagen (Steuer-/Handelsrecht).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): z. B. bei technischer Fehlerüberwachung (Bugsnag), Sicherheitsprotokollierung, Plattformbetrieb, Betrugsprävention und Missbrauchsschutz. Das berechtigte Interesse ergibt sich aus dem sicheren und zuverlässigen Betrieb der Plattform.

4. Erhobene Datenkategorien

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

  • Identitäts- und Kontodaten: E-Mail-Adresse, Passwort (gehasht, Firebase-verwaltet), Anzeigename, Profilbild, OAuth-Provider-IDs (Google, GitHub), MFA-Registrierungsdaten (TOTP).
  • Unternehmensdaten (Seller): Firmenname, Anschrift, USt-IdNr., Stripe-Connect-Kontoverknüpfungs-ID, Abrechnungsdaten.
  • Nutzungsdaten: Aufgerufene Seiten, Zeitpunkt des Zugriffs, Referrer, Browser-Typ, Geräteinformationen, IP-Adresse (pseudonymisiert bei Analytics).
  • Transaktionsdaten: Bestellungen, Zahlungsstatus, Zahlungsmetadaten (über Stripe), Lizenzinformationen.
  • Kommunikationsdaten: E-Mail-Adresse für transaktionale E-Mails (z. B. OTP zur Kontolöschung), Newsletter-Abonnement-Status.
  • Listing-/Artefaktdaten: Listing-Inhalte, hochgeladene Artefakten (Softwarepakete), Versionshistorie, Verifikationsergebnisse.
  • Sicherheits- und Protokolldaten: Audit-Logs (Admin-Lesezugriffe), Erasure-Logs, Fehlertelemetrie, Session-Metadaten.

5. Hosting und Infrastruktur

Die Plattform wird auf folgender Infrastruktur betrieben:

  • Vercel Inc. (USA): Frontend-Hosting (Next.js) mit konfigurierter Serverless-Region fra1 (Frankfurt). Verarbeitet: Edge-Anfragemetadaten, Funktionsausführungslogs. Vercel ist ein US-basiertes Unternehmen; die Serverless-Region ist auf die EU konfiguriert.
  • Google Cloud Platform / Firebase (Google LLC): Kernplattform für Backend, Datenbank (Firestore), Authentifizierung (Firebase Auth), Cloud Functions, Cloud Storage, Cloud KMS, Secret Manager, Cloud Logging und Cloud Monitoring. Primärregion: europe-west3 (Frankfurt). Secret-Manager-Replikation: europe-west4 (Niederlande).
  • Typesense (selbstgehostet auf Google Compute Engine): Suchindex für Marketplace-Listings in europe-west3 (Frankfurt), betrieben auf Shielded VM mit TLS über Caddy Reverse Proxy.

6. Authentifizierung und Sessions

Zur Authentifizierung wird Firebase Authentication eingesetzt. Unterstützte Methoden sind E-Mail/Passwort, Google-OAuth und GitHub-OAuth. Multi-Faktor-Authentifizierung (TOTP) ist verfügbar.

Nach erfolgreicher Anmeldung wird ein Session-Cookie (__session) gesetzt, das serverseitig verifiziert wird. Dieses Cookie ist technisch notwendig und dient ausschließlich der Authentifizierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zugang zum Nutzerkonto).

7. Zahlungsverarbeitung

Für Zahlungen nutzen wir Stripe, Inc. (USA). Stripe verarbeitet Zahlungsdaten im Namen des Nutzers und ist zertifizierter PCI-DSS-Level-1-Dienstleister.

Für Seller wird Stripe Connect eingesetzt, über das KYC/AML-Prüfungen und Auszahlungen abgewickelt werden. Die Stripe-Kontoverknüpfungs-ID wird in unserem System gespeichert.

Drittlandübermittlung (USA) möglich; Stripe setzt auf EU-SCCs und ergänzende Maßnahmen. Näheres regelt die Datenschutzerklärung von Stripe unter https://stripe.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zahlungsabwicklung).

8. Cookies und Einwilligungsmanagement

Wir setzen Cookies und ähnliche Technologien ein. Beim ersten Besuch wird ein Cookie-Banner angezeigt, über das Sie Ihre Einstellungen verwalten können (Consent Mode v2).

Technisch notwendige Cookies werden ohne Einwilligung gesetzt (Art. 6 Abs. 1 lit. f DSGVO). Analyse- und Marketing-Cookies werden erst nach ausdrücklicher Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO).

  • __session: Authentifizierungs-Session-Token (Firebase). HttpOnly. Technisch notwendig.
  • cookie_settings: Speichert Ihre Cookie-Einwilligungspräferenzen (JSON). HttpOnly. Technisch notwendig.
  • tracking: Tracking-Einwilligung und Attributionsdaten. Funktional.
  • theme_mode: Ihre Präferenz für das UI-Farbschema (Dark/Light). Funktional.

9. Lokaler Speicher (Local Storage)

Zusätzlich zu Cookies nutzen wir den lokalen Speicher des Browsers für folgende Zwecke:

  • core-storage: Persistierter App-Zustand (Zustand-Framework).
  • user-storage: Persistierter nutzerbezogener Zustand.
  • theme: Farbschema-Präferenz.
  • Visitor-ID / Session-ID: Pseudonymisierte Session-Deduplication für Analytics (mit Inaktivitäts-Timeout). Kein Cookie; basiert auf localStorage.

10. Analyse und Tracking

Wir setzen folgende Analyse- und Monitoring-Dienste ein. Google-Consent-Mode-v2-Standard: Alle Einwilligungskategorien (analytics_storage, ad_storage, ad_user_data, ad_personalization) sind standardmäßig auf „denied“ gesetzt und werden erst nach ausdrücklicher Einwilligung aktiviert.

  • Google Tag Manager (GTM): Client-seitiges Tag-Management. Steuert die Ausspielung von Analyse- und Marketing-Tags auf Basis Ihrer Cookie-Einstellungen. Ohne Ihre Einwilligung in die jeweilige Kategorie werden keine Daten über GTM erhoben. Anbieter: Google Ireland Limited. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Google Analytics 4 (via GTM): Webanalyse zur Verbesserung der Plattform. Erhebt pseudonymisierte Nutzungsdaten (Seitenaufrufe, Events, Geräteinformationen). IP-Anonymisierung ist aktiviert. Anbieter: Google Ireland Limited. Drittlandübermittlung möglich (USA); Angemessenheitsbeschluss (EU-US Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Vercel Analytics: Client-seitige Webanalyse (nur im Produktivbetrieb). Erhebt anonymisierte Performance- und Nutzungsmetriken. Anbieter: Vercel Inc. (USA). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Bugsnag (SmartBear Software): Fehlerüberwachung und Performance-Telemetrie. Erfasst Fehlerstapeldaten, Sitzungsmetadaten und nutzerkorrelierende Kontextdaten zur Diagnose technischer Probleme. Drittlandübermittlung möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Betriebssicherheit und Qualitätssicherung).

11. E-Mail-Versand

Wir nutzen E-Mail-Dienste für folgende Zwecke:

  • Amazon Web Services / SES (eu-central-1): Transaktionaler E-Mail-Versand (z. B. OTP-Codes zur Kontolöschung). Kurzlebige Verarbeitung; keine dauerhafte Speicherung beabsichtigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Mailchimp (The Rocket Science Group LLC / Intuit, USA): Newsletter-Verarbeitung. Verarbeitet: E-Mail-Adresse, Abonnement-Metadaten, Opt-in-/Opt-out-Status. Drittlandübermittlung (USA); Mailchimp setzt auf EU-SCCs. Löschung: Subscriber-Entfernung per API (MD5-Hash der E-Mail) im Erasure-Workflow. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – Newsletter-Anmeldung).

12. Externe Inhalte und CDNs

Zur Darstellung der Plattform werden externe Ressourcen eingebunden:

  • Google Fonts (fonts.googleapis.com / fonts.gstatic.com): Schriftarten. Beim Abruf wird Ihre IP-Adresse an Google-Server übermittelt. Anbieter: Google Ireland Limited.
  • jsDelivr CDN / LottieFiles (cdn.jsdelivr.net, lottie.host): Animationsbibliotheken (dotLottie WASM). Beim Abruf wird Ihre IP-Adresse an den CDN-Anbieter übermittelt.
  • Google-/GitHub-Profilbilder (lh3.googleusercontent.com, avatars.githubusercontent.com): Bei OAuth-Anmeldung werden Profilbilder der jeweiligen Anbieter eingebunden.
  • Stripe Connect JS (connect-js.stripe.com): Embedded Stripe-Connect-Komponenten für Seller-Onboarding.

13. Drittlandübermittlungen

Einige der eingesetzten Dienste haben ihren Sitz außerhalb des EWR (insbesondere in den USA). Übermittlungen in Drittländer erfolgen auf Basis folgender Garantien:

  • EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO): sofern der Empfänger zertifiziert ist (z. B. Google, Stripe).
  • EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO): soweit kein Angemessenheitsbeschluss besteht oder als ergänzende Absicherung.
  • Ergänzende technische und organisatorische Maßnahmen (Supplementary Measures): nach den Empfehlungen des EDPB, dokumentiert in unserer DPA/SCC/TIA-Dokumentation.
  • Eine Liste aller aktuell eingesetzten Auftragsverarbeiter finden Sie in der Subprozessoren-Dokumentation.

14. Sicherheitsmaßnahmen

Wir setzen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um, insbesondere:

  • Verschlüsselung: Encryption at Rest für Firestore und Cloud Storage (Google-managed). Cloud KMS für Terraform-Zustandsdaten (europe-west3). TLS für alle externen Verbindungen.
  • Zugriffskontrolle: Firestore und Storage Rules mit Default-Deny. Admin-Zugriffe ausschließlich über server-seitige Cloud Functions (Admin SDK). SSH-Zugang über IAP-Tunnel. OS Login aktiviert. Shielded VMs mit vTPM und Integritätsmonitoring.
  • Schlüsselmanagement: Sensible Credentials im GCP Secret Manager (Replikation europe-west4). AES-256-Verschlüsselung für Registrierungs-Auth-Token.
  • Netzwerksicherheit: Benutzerdefinierte VPC mit privaten Subnetzen und NAT-Gateway. VPC Flow Logs aktiviert. Keine öffentliche IP für Compute-Worker.
  • Protokollierung: Admin-Lesezugriffe in dedizierter Audit-Kollektion (Akteur, Zeitpunkt, Aktion, Zweck). Erasure-Audit-Events mit automatischer Geheimnis-Bereinigung. Näheres unter Admin-Read-Audit.
  • Sicherheitsvorfälle: Standardisierter Reaktionsprozess gemäß Art. 33/34 DSGVO. Näheres unter Incident-&-Breach-Prozess.

15. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Kontodaten: Bis zur Kontolöschung durch den Nutzer. Nach Löschung durchlaufen die Daten den Erasure-Workflow mit sechs Löschzielen: Firestore-Kerndaten, Auth-Identität, Typesense-Index, Storage-Objekte, Stripe-Verknüpfung, Newsletter-Abonnement.
  • Erasure-Jobs: 90 Tage (TTL-durchgesetzt in Firestore).
  • Audit-Events: 180 Tage TTL.
  • Dead-Letters: 180 Tage TTL.
  • Tombstones: 365 Tage TTL.
  • Firestore-Backups: 14 Wochen (keine Einzeldatenlöschung; Entfernung über Backup-Rotation).
  • Temporäre Uploads (GCS): 14 Tage Lifecycle-Regel.
  • Buchhaltungsunterlagen: gemäß gesetzlicher Aufbewahrungspflichten (bis zu 10 Jahre gemäß HGB/AO), soweit erforderlich mit pseudonymisiertem Schlüssel.
  • Cloud Logging: gemäß Log-Senken-Einstellung.
  • Fehlertelemetrie (Bugsnag): gemäß Anbieter-Retention.

16. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte. Bitte wenden Sie sich zur Ausübung per E-Mail an die unter Ziffer 1 genannte Adresse.

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Plattform bietet eine Self-Service-Kontolöschfunktion mit OTP-Bestätigung und automatisiertem Erasure-Workflow.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, z. B. bei Beanstandung der Richtigkeit der Daten.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitstellen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einlegen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung (z. B. für Analytics-Cookies oder Newsletter) kann jederzeit mit Wirkung für die Zukunft über das Cookie-Banner bzw. die Abmeldefunktion im Newsletter widerrufen werden.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

17. Auftragsverarbeiter und Subprozessoren

Wir setzen Auftragsverarbeiter ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Jeder Auftragsverarbeiter wird vertraglich gemäß Art. 28 DSGVO gebunden.

Eine vollständige und aktuelle Liste aller eingesetzten Auftragsverarbeiter mit Zweck, Region, Datenkategorien und DPA/SCC/TIA-Status finden Sie in der Subprozessoren-Dokumentation.

Rahmenbedingungen für Auftragsverarbeitung und internationale Transfers sind in der DPA/SCC/TIA-Dokumentation beschrieben.

18. Sicherheitsvorfälle

Im Falle einer Verletzung des Schutzes personenbezogener Daten handeln wir gemäß Art. 33/34 DSGVO. Der Prozess ist unter Incident-&-Breach-Prozess dokumentiert.

19. Sicherheitsheader und Datenschutzfreundliche Voreinstellungen

Die Plattform setzt datenschutzfreundliche HTTP-Header ein:

  • Referrer-Policy: origin-when-cross-origin — beschränkt die Weitergabe der Referrer-URL an Dritte.
  • Permissions-Policy: Alle sensiblen Browser-APIs (Geolocation, Kamera, Mikrofon, Payment etc.) sind deaktiviert.
  • HSTS (Strict-Transport-Security): erzwingt HTTPS-Verbindungen (inkl. Subdomains, Preload).
  • Content-Security-Policy (CSP): strenge Allowlist für Script-, Style- und Verbindungs-Quellen.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, z. B. bei Änderungen der Verarbeitungstätigkeiten, der Rechtslage oder der eingesetzten Dienste. Die aktuelle Fassung ist jederzeit auf dieser Seite abrufbar.

Stand: 17. Februar 2026.

Zurück zur Legal-Übersicht

prokodo logo

Created with ❤ by prokodo in Munich. Independent marketplace. Not affiliated with n8n GmbH.

©2026 by prokodoImpressumLegalCookie-Einstellungen

  • About prokodo

    • About

More about us

Follow us on social media for the latest updates.

  1. Home
  2. – De
logo

Market

  • Warum

  • Für Entwickler

  • Für Teams

  • Funktionen

  • Ablauf

Warteliste
Deutsch
Englisch
Deutsch