Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und der UAE PDPL ist die Foundster Corporate Services FZCO, IFZA Business Park – DDP, Building A1, Dubai Silicon Oasis, Vereinigte Arabische Emirate. Lizenznummer 41494, ausgestellt durch die Dubai Integrated Economic Zones Authority (DIEZ). Kontakt: support@foundster.com.

2. Kategorien der verarbeiteten Daten

• Identifikations- und Kontaktdaten: Name, E-Mail, Telefonnummer, Staatsangehörigkeit, Wohnsitzland — bei Registrierung, Kontaktaufnahme oder Bestellung.
• Onboarding- und KYC-Daten: Reisepass-Scan, Emirates ID (sofern relevant), Adressnachweis, Unterschriftenmuster, Angaben zu wirtschaftlich Berechtigten — gesetzlich erforderlich nach UAE-AML/KYC.
• Konto- und Nutzungsdaten: Login-Daten (gehasht), Geräte- und Browser-Metadaten, IP-Adresse, besuchte Seiten, Aktionen im CompanyCockpit.
• Zahlungsdaten: verarbeitet von Stripe Payments Europe Ltd. (bzw. Stripe, Inc.). Foundster speichert keine vollständigen Kartennummern.
• Affiliate-/Tracking-Daten: Klick-IDs, Attribution-Cookies, Conversion-Events — Partnerprogramm.
• Freiwillige Inhalte: Informationen, die Sie in Chats mit Foundster AI, Support-Mails oder Kontaktformularen übermitteln.

3. Zwecke und Rechtsgrundlagen

• Bereitstellung der Dienste – Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO; Art. 5 Abs. 2 PDPL).
• Erfüllung gesetzlicher Pflichten (UAE-AML/CFT, Steuer, Handelsregister) – rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO; Art. 5 Abs. 4 PDPL).
• Verbesserung, Betrugsprävention, Sicherheit – berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO; Art. 5 Abs. 7 PDPL).
• Transaktionale und – mit Einwilligung – Marketing-Kommunikation – Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 4 Abs. 1 PDPL).
• Betrieb des Partnerprogramms – Vertragserfüllung mit Affiliates und berechtigtes Interesse an fairer Attribution.

3a. Tax Check Tool (foundster.com/tax-check)

Der Tax Check ist ein kostenloses, anonymes Self-Service-Tool, das eine personalisierte UAE-Steuer-Voranalyse erstellt. Der Datenfluss unterscheidet sich vom Rest der Services und wir wollen das transparent erklären:

• Form-Antworten (Steueransässigkeit, Beschäftigung, Beteiligungen, Geschäftsräume, Geschäftsleitung, Geschäftsmodell): werden in-memory verarbeitet, um die Rules-Engine und den AI-Narrator zu betreiben. Nicht persistent gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO / PDPL Art. 5(2) – Vertragserfüllung der angeforderten Dienstleistung.
• Optional eingegebener "Kontext-Freitext": wird gegen Prompt-Injection gefiltert, an Google's Gemini AI (in Belgien / EU) für die Dauer der Report-Erstellung gesendet und danach mit den restlichen Form-Daten verworfen.
• Der erzeugte Report: wird unter einem server-generierten, HMAC-signierten Token für maximal 30 Minuten gespeichert, damit Sie ihn nach dem Teaser per E-Mail entsperren können. Nach Entsperren oder Ablauf wird der Report binnen 60 Minuten aus unserem Pending-Store gelöscht.
• E-Mail + Name (nur nach expliziter Lead-Form-Übermittlung): werden gespeichert, um den Report per E-Mail zu liefern und – bei aktivem optionalem Marketing-Häkchen – für gelegentliche Foundster-Updates. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / PDPL Art. 4(1)).
• Anonymer IP-Hash: ein SHA-256-Hash Ihrer IP-Adresse wird 24h in-memory gehalten zur Durchsetzung des Tagesschwelle (max. 3 Tax Checks pro IP). Roh-IP wird nie gespeichert. Berechtigtes Interesse an Service-Verfügbarkeit (Art. 6 Abs. 1 lit. f DSGVO / PDPL Art. 5(7)).
• Marketing-Follow-up: ausschließlich bei Opt-in. Maximal drei Follow-up-E-Mails (Report-Feedback Tag +2, Specialist-Call-Einladung Tag +14). One-Click-Abmeldung in jeder Mail.
• Recht auf Löschung: schreiben Sie an support@foundster.com – wir löschen Ihren Tax-Check-Lead binnen 30 Tagen, auf Anfrage schneller.

4. Cookies, Local Storage und Tracking

Wir setzen technisch notwendige Cookies für Authentifizierung, Sprachpräferenz, Partner-Attribution und die Order-Wizard-Session ein. Diese sind nach Art. 5 Abs. 3 Satz 2 ePrivacy-RL bzw. § 25 Abs. 2 Nr. 2 TDDDG und Erwägungsgrund 30 DSGVO einwilligungsfrei, weil die Website ohne sie nicht funktionieren kann.

Mit Ihrer ausdrücklichen Einwilligung laden wir zusätzlich Google Analytics 4 (Betrieb durch Google Ireland Ltd. als gemeinsam Verantwortliche / Google LLC), um aggregierte Nutzung von foundster.com zu verstehen. Wir betreiben Analytics im Google Consent Mode v2 mit Default-Status `denied` – solange Sie nicht im Cookie-Banner auf "Akzeptieren" klicken, verlässt kein einziger Analytics-Request Ihren Browser. IP-Anonymisierung (`anonymize_ip`) ist aktiv, Google Signals und Werbe-Personalisierung sind deaktiviert. Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 4 Abs. 1 PDPL; § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit über Cookie-Einstellungen im Footer widerrufen oder Cookies in Ihrem Browser löschen.

• `foundster_consent_v2` (notwendig, von uns gesetzt) – speichert Ihre Cookie-Wahl (`granted` / `denied`); Laufzeit 12 Monate.
• `_ga` (Analyse, nur nach Einwilligung) – unterscheidet Nutzer für Google Analytics; Laufzeit 24 Monate.
• `_ga_<Container-ID>` (Analyse, nur nach Einwilligung) – Session-State für Google Analytics; Laufzeit 24 Monate.
• Local Storage – Sprachpräferenz, Partner-Attribution (365 Tage), Order-Wizard-Draft. Kein Drittanbieter liest diesen Speicher aus.

5. Empfänger und Auftragsverarbeiter

• Stripe – Zahlungsabwicklung (Irland / USA).
• Google Cloud / Google AI (Gemini API) – KI-Assistent, Tax-Check-Narrator und Infrastruktur (Belgien / USA).
• Google Ireland Ltd. / Google LLC – Google Analytics 4 (Irland / USA), ausschließlich nach Ihrer Analytics-Einwilligung.
• Mailgun (Sinch) – transaktionaler E-Mail-Versand (Irland / USA) für Tax-Check-Reports, Bestellbestätigungen und interne Notifications.
• Replit, Inc. – Hosting und Deployment (USA).
• Support-Tools unter Auftragsverarbeitungs-Verträgen.
• Wir verkaufen Ihre personenbezogenen Daten nicht.

6. Internationale Datenübermittlung

Personenbezogene Daten können außerhalb der VAE verarbeitet werden (insbesondere EU/EWR und USA). Bei Drittland-Transfers stützen wir uns auf EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse oder – nach Art. 22 PDPL – gleichwertige Garantien. Eine Kopie der Schutzmaßnahmen ist auf Anfrage erhältlich.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke und zur Erfüllung gesetzlicher Aufbewahrungsfristen (UAE Corporate Law, AML, Steuerrecht) erforderlich ist – in der Regel bis zu 5 Jahre nach Ende der Geschäftsbeziehung, sofern keine längere Frist gilt.

8. Ihre Rechte

Nach UAE PDPL und – soweit anwendbar – DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Widerruf der Einwilligung sowie Datenübertragbarkeit. Sie können sich auch beim UAE Data Office oder Ihrer lokalen Aufsichtsbehörde beschweren. Anträge bitte an support@foundster.com.

9. Sicherheit

Wir treffen risikoangemessene technische und organisatorische Maßnahmen: TLS 1.3 in der Übertragung, AES-256 in der Speicherung, rollenbasierte Zugriffe, Audit-Logs und Least-Privilege-Prinzipien.

10. Änderungen dieser Erklärung

Wir aktualisieren diese Erklärung, wenn sich unsere Verarbeitungspraktiken ändern. Wesentliche Änderungen werden per E-Mail oder In-App-Hinweis kommuniziert.