ColdLog

Datenschutzerklärung

Stand: 27. Februar 2026

1. Verantwortlicher

ColdLog GbR
vertreten durch Hirad Sardashti und Oscar Streif
Ludwig-Erhard-Allee 8
76131 Karlsruhe
Deutschland
E-Mail: datenschutz@coldlog.de

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Personenbezogene Daten werden zu folgenden Zwecken verarbeitet:

a) Bereitstellung der Plattform

  • Kontoverwaltung
  • Authentifizierung
  • Organisations- und Gerätemanagement
  • Anzeige und Export von Mess- und Compliance-Daten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

b) IT-Sicherheit und Missbrauchsprävention

  • Login-Schutz
  • Rate Limiting
  • Session-Verwaltung
  • Sicherheitsprotokollierung
  • Fehleranalyse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an sicherem Betrieb der Plattform)

c) Versand systembezogener E-Mails

  • Passwort-Reset
  • Sicherheitsbenachrichtigungen
  • Systemmeldungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

d) Einsatz optionaler KI-Funktionen

Soweit KI-gestützte Funktionen genutzt werden, können hierfür relevante Nutzungs- oder Messdaten verarbeitet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO oder lit. a DSGVO (je nach Funktion).

4. Kategorien verarbeiteter Daten

  • Kontodaten (E-Mail-Adresse, verschlüsselt gespeichertes Passwort)
  • Organisationsdaten (Unternehmensname, Geschäftsadresse, Standortangaben)
  • Nutzungsdaten (IP-Adresse, Zeitstempel, Logdaten, Browserinformationen)
  • Geräte- und Messdaten (Sensor-ID, DevEUI, Temperatur- und Luftfeuchtigkeitsdaten)
  • Kommunikationsdaten (Support-Anfragen)

Passwörter werden mittels bcrypt-Hashing gespeichert.

5. Cookies und Authentifizierung

Folgende technisch notwendige Cookies werden eingesetzt:

  • token (Access-JWT, Laufzeit ca. 15 Minuten)
  • refresh_token (Laufzeit ca. 30 Tage)
  • staff_org_ctx (ca. 24 Stunden)
  • csrf_secret / csrf_token (Session-basiert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Optionale Cookies werden ausschließlich nach Einwilligung gesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Einwilligungen können jederzeit über die Cookie-Einstellungen widerrufen werden.

6. Empfänger und Auftragsverarbeiter

Zur Bereitstellung der Plattform werden folgende Dienstleister eingesetzt:

Hosting

Hetzner Online GmbH, Deutschland
Verarbeitung in Rechenzentren innerhalb der Europäischen Union.

E-Mail-Versand

Resend, Inc., USA

Bot- und Spam-Schutz

Cloudflare Turnstile (Cloudflare, Inc., USA)

Content Delivery Network

jsDelivr (EU/International)

Webfonts

Google Fonts (Google Ireland Ltd.)

IoT-Infrastruktur

The Things Network (TTN), EU-Region

Mit sämtlichen Auftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO geschlossen, sofern erforderlich.

7. Drittlandübermittlung

Soweit personenbezogene Daten in Drittländer (insbesondere USA) übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere:

  • EU-US Data Privacy Framework
  • Standardvertragsklauseln der EU-Kommission

Weitere Informationen können auf Anfrage bereitgestellt werden.

8. Speicherdauer

  • Kontodaten: bis zur Löschung des Nutzerkontos
  • Messdaten: bis zur Löschung des jeweiligen Kontos oder Assets
  • Passwort-Reset-Tokens: 30 Minuten
  • Server-Logfiles: maximal 14 Tage
  • AI-Audit-Logs: maximal 30 Tage
  • Datenbank-Backups: regelmäßige Sicherungen mit begrenzter Aufbewahrungsdauer

Gesetzliche Aufbewahrungspflichten bleiben unberührt.

9. Löschung und Archivierung

Konten können deaktiviert oder gelöscht werden.
Archivierte Daten werden innerhalb technischer und gesetzlicher Grenzen gelöscht.
Backups werden im Rahmen regulärer Rotationszyklen überschrieben.

10. Technische und organisatorische Maßnahmen

Es werden angemessene technische und organisatorische Maßnahmen eingesetzt, insbesondere:

  • Verschlüsselte Datenübertragung (TLS)
  • Passwort-Hashing (bcrypt)
  • Zugriffsbeschränkung (RBAC)
  • Multi-Faktor-Authentifizierung
  • Rate Limiting und Login-Schutz
  • Regelmäßige Datensicherungen

11. Rechte der betroffenen Personen

Betroffene Personen haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen

12. Beschwerderecht

Es besteht das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere bei:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
E-Mail: poststelle@lfdi.bwl.de

13. Pflicht zur Bereitstellung

Die Bereitstellung der als Pflichtfelder gekennzeichneten Daten ist für die Nutzung der Plattform erforderlich. Ohne diese Daten ist die Bereitstellung der Leistungen nicht möglich.

14. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.

Privacy Policy

Last updated: February 27, 2026

1. Controller

ColdLog GbR
represented by Hirad Sardashti and Oscar Streif
Ludwig-Erhard-Allee 8
76131 Karlsruhe
Germany
Email: datenschutz@coldlog.de

2. Data Protection Officer

A data protection officer has currently not been appointed, as the statutory requirements for this are not met.

3. Purposes and legal bases of processing

Personal data is processed for the following purposes:

a) Provision of the platform

  • Account management
  • Authentication
  • Organization and device management
  • Display and export of measurement and compliance data

Legal basis: Art. 6 (1) lit. b GDPR.

b) IT security and abuse prevention

  • Login protection
  • Rate limiting
  • Session management
  • Security logging
  • Error analysis

Legal basis: Art. 6 (1) lit. f GDPR (legitimate interest in secure operation of the platform)

c) Sending system-related emails

  • Password reset
  • Security notifications
  • System messages

Legal basis: Art. 6 (1) lit. b GDPR.

d) Use of optional AI features

If AI-supported features are used, relevant usage or measurement data may be processed for this purpose.

Legal basis: Art. 6 (1) lit. b GDPR or lit. a GDPR (depending on the feature).

4. Categories of processed data

  • Account data (email address, encrypted stored password)
  • Organization data (company name, business address, location details)
  • Usage data (IP address, timestamps, log data, browser information)
  • Device and measurement data (sensor ID, DevEUI, temperature and humidity data)
  • Communication data (support inquiries)

Passwords are stored using bcrypt hashing.

5. Cookies and authentication

The following technically necessary cookies are used:

  • token (access JWT, duration approx. 15 minutes)
  • refresh_token (duration approx. 30 days)
  • staff_org_ctx (approx. 24 hours)
  • csrf_secret / csrf_token (session-based)

Legal basis: Art. 6 (1) lit. f GDPR.

Optional cookies are only set based on consent.
Legal basis: Art. 6 (1) lit. a GDPR.

Consents can be revoked at any time via the cookie settings.

6. Recipients and processors

The following service providers are used to provide the platform:

Hosting

Hetzner Online GmbH, Germany
Processing in data centers within the European Union.

Email delivery

Resend, Inc., USA

Bot and spam protection

Cloudflare Turnstile (Cloudflare, Inc., USA)

Content delivery network

jsDelivr (EU/international)

Web fonts

Google Fonts (Google Ireland Ltd.)

IoT infrastructure

The Things Network (TTN), EU region

Contracts pursuant to Art. 28 GDPR have been concluded with all processors, where required.

7. Third-country transfers

Where personal data is transferred to third countries (in particular the USA), this is done on the basis of appropriate safeguards pursuant to Art. 44 et seq. GDPR, in particular:

  • EU-U.S. Data Privacy Framework
  • Standard contractual clauses of the European Commission

Further information can be provided upon request.

8. Retention periods

  • Account data: until deletion of the user account
  • Measurement data: until deletion of the respective account or asset
  • Password reset tokens: 30 minutes
  • Server log files: maximum 14 days
  • AI audit logs: maximum 30 days
  • Database backups: regular backups with limited retention periods

Statutory retention obligations remain unaffected.

9. Deletion and archiving

Accounts can be deactivated or deleted.
Archived data is deleted within technical and legal limits.
Backups are overwritten in regular rotation cycles.

10. Technical and organizational measures

Appropriate technical and organizational measures are implemented, in particular:

  • Encrypted data transmission (TLS)
  • Password hashing (bcrypt)
  • Access restriction (RBAC)
  • Multi-factor authentication
  • Rate limiting and login protection
  • Regular data backups

11. Rights of data subjects

Data subjects have the right to:

  • Access (Art. 15 GDPR)
  • Rectification (Art. 16 GDPR)
  • Erasure (Art. 17 GDPR)
  • Restriction of processing (Art. 18 GDPR)
  • Data portability (Art. 20 GDPR)
  • Objection (Art. 21 GDPR)
  • Withdrawal of granted consents

12. Right to lodge a complaint

You have the right to lodge a complaint with a data protection supervisory authority, in particular with:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Email: poststelle@lfdi.bwl.de

13. Obligation to provide data

The provision of data marked as mandatory is required to use the platform. Without this data, provision of the services is not possible.

14. Automated decision-making

No automated decision-making within the meaning of Art. 22 GDPR takes place.