Triple C Labs GmbH
Campus Starterzentrum, Geb. A1 2
66123 Saarbrücken, Germany
Stand: 11. Juni 2026

Platform Privacy Notice

Platform Privacy Notice

CoCoCo Platform (SaaS/iPaaS)

Letzte Aktualisierung: 11. Juni 2026

Geltungsbereich: Dieser Datenschutzhinweis betrifft die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der CoCoCo-Plattform (SaaS/iPaaS). Informationen zur Verarbeitung auf unserer Website finden Sie in der Website-Datenschutzerklärung. Die Verarbeitung von Kundeninhalten in unserer Rolle als Auftragsverarbeiter regelt der Auftragsverarbeitungsvertrag (AVV).

1. Verantwortlicher

Verantwortlicher für die nachfolgend beschriebenen Verarbeitungen ist, soweit wir als Verantwortlicher handeln:

Verantwortlicher

Triple C Labs GmbH
Campus Starterzentrum Geb. A1 2
66123 Saarbrücken, Deutschland
E-Mail: privacy@wearecococo.com
Handelsregister: HRB 111967, Amtsgericht Saarbrücken
USt-IdNr.: DE460380630

2. Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Bei der Bereitstellung der CoCoCo-Plattform verarbeiten wir personenbezogene Daten in zwei unterschiedlichen Rollen:

  • Als Verantwortlicher – für Daten, die zur Begründung, Durchführung und Abrechnung des Vertragsverhältnisses mit Ihnen als Kunde sowie zum sicheren Betrieb der Plattform erforderlich sind (Ziffern 3.1 und 3.2).
  • Als Auftragsverarbeiter – für die Inhalte und personenbezogenen Daten, die Sie als Kunde über die Plattform verarbeiten (z. B. Daten Ihrer Mitarbeiter, Endkunden oder Produktionssysteme). Insoweit bleiben Sie Verantwortlicher; wir verarbeiten diese Daten ausschließlich nach Ihren Weisungen auf Grundlage unseres AVV (Ziffern 3.3 und 4).

3. Verarbeitete Daten und Zwecke

3.1 Vertrags- und Stammdaten (als Verantwortlicher)

Im Rahmen der Registrierung, Vertragsabwicklung und Nutzung der Plattform verarbeiten wir die uns von Ihnen bereitgestellten Daten:

  • Vor- und Nachname
  • Unternehmen / Organisation
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Rechnungsadresse
  • Zahlungsinformationen (Abwicklung über Stripe, siehe Ziffer 4)

Zweck: Registrierung, Account-Verwaltung, Vertragsabwicklung, Rechnungsstellung und Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Rechnungsstellung gem. § 14 UStG).

3.2 Technische und Nutzungsdaten (als Verantwortlicher)

Zur Sicherstellung der Systemstabilität, Optimierung der Plattform und Fehlerbehebung verarbeiten wir:

  • Login-Zeitstempel und Session-Daten
  • Nutzungsstatistiken (z. B. Anzahl der Aufrufe, verwendete Features)
  • IP-Adressen (anonymisiert nach 7 Tagen)
  • Technische Geräteinformationen (Browser, Betriebssystem, Bildschirmauflösung)
  • Fehler- und Diagnosedaten (Error-Monitoring, siehe Ziffer 4)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität und Verbesserung der Plattform) bzw. Art. 6 Abs. 1 lit. b DSGVO, soweit zur Leistungserbringung erforderlich.

3.3 Produktions- und Geschäftsprozessdaten / iPaaS (als Auftragsverarbeiter)

Sofern Sie unser iPaaS-Modul (Integration Platform as a Service) nutzen, verarbeiten wir in Ihrem Auftrag insbesondere:

  • Daten aus verbundenen Drittsystemen (z. B. ERP, CRM, MES)
  • Produktionsdaten, Prozessparameter, Maschinendaten
  • Geschäftsdokumente (z. B. Bestellungen, Lieferscheine, Rechnungen)
Auftragsverarbeitung (AVV): Für diese Daten handeln wir ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO. Sie bleiben Verantwortlicher und bestimmen Zwecke und Mittel; wir verarbeiten die Daten nur nach Ihren Weisungen. Einzelheiten regelt unser Auftragsverarbeitungsvertrag.

4. Unterauftragsverarbeiter

Zur Bereitstellung der Plattform setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Verträge gemäß Art. 28 DSGVO bestehen:

  • Hosting & Infrastruktur: Hetzner Online GmbH, UpCloud und Google Cloud (Google) – Server und Cloud-Infrastruktur. Der konkrete Anbieter bzw. die Region richtet sich nach der vom Kunden gewählten Datenregion (siehe Ziffer 5).
  • Stripe (USA/Irland) – Zahlungsabwicklung
  • Sentry (USA) – Fehler- und Performance-Monitoring
  • Postmark (ActiveCampaign, USA) – Versand von Transaktions-E-Mails
  • Mailgun (Sinch, USA) – Versand von Transaktions-/Massen-E-Mails

Drittlandübermittlung: Soweit Daten in Drittländer (z. B. USA) übermittelt werden, sichern wir diese über das EU-US Data Privacy Framework (DPF, sofern der Empfänger zertifiziert ist) bzw. EU-Standardvertragsklauseln (SCC) ab.

Eine jeweils aktuelle Liste der Unterauftragsverarbeiter stellen wir Kunden im Rahmen des AVV bzw. auf Anfrage zur Verfügung.

5. Speicherort und Datenresidenz

Den Speicherort der Plattformdaten richten wir nach der vom Kunden gewählten Datenregion aus. Je nach Auswahl (EU, Nordamerika oder Asien) wählen wir einen Hosting-Anbieter mit Rechenzentren in der entsprechenden Region (siehe Ziffer 4).

  • Kundenstammdaten: Speicherung innerhalb der Europäischen Union (EU).
  • Plattformdaten: Speicherung in der vom Kunden gewählten Region (EU, Nordamerika oder Asien).
Internationale Datenübermittlung: Wählt der Kunde eine Region außerhalb der EU (Nordamerika oder Asien), werden personenbezogene Daten dort verarbeitet. In diesem Fall gewährleisten wir ein angemessenes Datenschutzniveau über das EU-US Data Privacy Framework (DPF) bzw. EU-Standardvertragsklauseln (SCC).

6. Speicherdauer

  • Vertrags- und Rechnungsdaten: bis zur Vertragsbeendigung + gesetzliche Aufbewahrungsfristen (i. d. R. 10 Jahre gem. § 147 AO, § 257 HGB)
  • Allgemeine Account-Daten: 3 Monate nach Vertragsende (Reaktivierung/Datenexport), danach Löschung oder Anonymisierung
  • Technische/Nutzungsdaten: IP-Adressen anonymisiert nach 7 Tagen
  • iPaaS-/Kundeninhalte: gemäß AVV – Löschung oder Rückgabe nach Vertragsende

7. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOMs) ein, um Ihre Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen – u. a. SSL/TLS-Verschlüsselung, Zugriffsbeschränkungen und ‑protokolle, Secrets-Management, Backup-Systeme sowie Error-Monitoring. Die für die Auftragsverarbeitung geltenden TOMs sind in Anlage 1 des AVV beschrieben.

8. Ihre Rechte

Ihnen stehen die Betroffenenrechte nach Art. 15–21 DSGVO zu (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) sowie das Beschwerderecht nach Art. 77 DSGVO.

Wichtig bei Auftragsverarbeitung: Soweit wir Daten im Auftrag eines Kunden verarbeiten (Ziffer 3.3), richten Sie Ihr Anliegen bitte an den jeweiligen Verantwortlichen (unseren Kunden). Wir unterstützen diesen vertragsgemäß. Für Daten, für die wir Verantwortlicher sind, wenden Sie sich direkt an uns.
Zuständige Aufsichtsbehörde für das Saarland:
Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
E-Mail: poststelle@datenschutz.saarland.de

9. Kontakt

Für Fragen zum Datenschutz oder zur Geltendmachung Ihrer Rechte:

Datenschutzteam
Triple C Labs GmbH
Campus Starterzentrum Geb. A1 2
66123 Saarbrücken, Deutschland
E-Mail: privacy@wearecococo.com

Last Updated: June 11, 2026

Scope: This privacy notice covers the processing of personal data in connection with the use of the CoCoCo Platform (SaaS/iPaaS). For processing on our website, please see the Website Privacy Policy. The processing of customer content in our role as processor is governed by the Data Processing Agreement (DPA).

1. Controller

The controller for the processing described below, where we act as controller, is:

Controller

Triple C Labs GmbH
Campus Starterzentrum Geb. A1 2
66123 Saarbrücken, Germany
Email: privacy@wearecococo.com
Commercial Register: HRB 111967, Amtsgericht Saarbrücken
VAT ID: DE460380630

2. Our Role: Controller and Processor

When providing the CoCoCo Platform, we process personal data in two distinct roles:

  • As controller – for data required to establish, perform and bill the contractual relationship with you as a customer and to securely operate the platform (sections 3.1 and 3.2).
  • As processor – for the content and personal data that you, as a customer, process via the platform (e.g. data of your employees, end customers or production systems). In this respect you remain the controller; we process such data solely on your instructions under our DPA (sections 3.3 and 4).

3. Data Processed and Purposes

3.1. Contract and Master Data (as controller)

As part of registration, contract handling and platform use, we process the data you provide:

  • First and last name
  • Company / organization
  • Email address
  • Phone number (optional)
  • Billing address
  • Payment information (processed via Stripe, see section 4)

Purpose: registration, account management, contract handling, invoicing and communication.

Legal Basis: Art. 6 (1) (b) GDPR (performance of contract) and Art. 6 (1) (c) GDPR (legal obligations, e.g. invoicing under § 14 UStG).

3.2. Technical and Usage Data (as controller)

To ensure system stability, optimize the platform and resolve errors, we process:

  • Login timestamps and session data
  • Usage statistics (e.g. number of visits, features used)
  • IP addresses (anonymized after 7 days)
  • Technical device information (browser, operating system, screen resolution)
  • Error and diagnostic data (error monitoring, see section 4)

Legal Basis: Art. 6 (1) (f) GDPR (legitimate interest in security, stability and improvement of the platform) or Art. 6 (1) (b) GDPR where necessary to provide the service.

3.3. Production and Business Process Data / iPaaS (as processor)

If you use our iPaaS module (Integration Platform as a Service), we process on your behalf in particular:

  • Data from connected third-party systems (e.g. ERP, CRM, MES)
  • Production data, process parameters, machine data
  • Business documents (e.g. orders, delivery notes, invoices)
Data Processing Agreement (DPA): For this data we act solely as a processor under Art. 28 GDPR. You remain the controller and determine the purposes and means; we process the data only on your instructions. Details are governed by our Data Processing Agreement.

4. Sub-processors

To provide the platform we use carefully selected service providers with whom agreements under Art. 28 GDPR are in place:

  • Hosting & infrastructure: Hetzner Online GmbH, UpCloud and Google Cloud (Google) – servers and cloud infrastructure. The specific provider and region depend on the data region selected by the customer (see section 5).
  • Stripe (USA/Ireland) – payment processing
  • Sentry (USA) – error and performance monitoring
  • Postmark (ActiveCampaign, USA) – transactional email delivery
  • Mailgun (Sinch, USA) – transactional/bulk email delivery

Third-country transfers: where data is transferred to third countries (e.g. the USA), we safeguard it via the EU-US Data Privacy Framework (DPF, where the recipient is certified) or EU Standard Contractual Clauses (SCCs).

A current list of sub-processors is made available to customers under the DPA or on request.

5. Storage Location and Data Residency

We align the storage location of platform data with the data region selected by the customer. Depending on the choice (EU, North America or Asia), we select a hosting provider with data centers in the corresponding region (see section 4).

  • Customer Master Data: stored within the European Union (EU).
  • Platform Data: stored in the region selected by the customer (EU, North America or Asia).
International Data Transfers: If the customer selects a region outside the EU (North America or Asia), personal data is processed there. In that case we ensure an adequate level of data protection via the EU-US Data Privacy Framework (DPF) or Standard Contractual Clauses (SCCs).

6. Storage Duration

  • Contract and invoicing data: until contract termination + statutory retention periods (typically 10 years under § 147 AO, § 257 HGB)
  • General account data: 3 months after contract termination (reactivation/data export), then deleted or anonymized
  • Technical/usage data: IP addresses anonymized after 7 days
  • iPaaS/customer content: per the DPA – deleted or returned after contract termination

7. Data Security

We implement technical and organizational measures (TOMs) to protect your data against loss, manipulation and unauthorized access – including SSL/TLS encryption, access restrictions and logs, secrets management, backup systems and error monitoring. The TOMs applicable to processing on your behalf are described in Annex 1 of the DPA.

8. Your Rights

You have the data subject rights under Art. 15–21 GDPR (access, rectification, erasure, restriction, data portability, objection) and the right to lodge a complaint under Art. 77 GDPR.

Important for processor-role data: Where we process data on behalf of a customer (section 3.3), please direct your request to the respective controller (our customer). We support them as contractually agreed. For data for which we are the controller, please contact us directly.
Competent supervisory authority (Saarland):
Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12, 66111 Saarbrücken, Germany
Email: poststelle@datenschutz.saarland.de

9. Contact

For privacy-related inquiries or to exercise your rights:

Privacy Team
Triple C Labs GmbH
Campus Starterzentrum Geb. A1 2
66123 Saarbrücken, Germany
Email: privacy@wearecococo.com