Datenschutzrichtlinie

Entstehung und Herkunft der Informationen

Informationen gelangen auf unterschiedlichen Wegen zu uns. Manche übermitteln Sie direkt, andere entstehen im laufenden Betrieb. Der Zeitpunkt der Entstehung variiert: während des Erstkontakts, beim Vertragsabschluss, während der aktiven Zusammenarbeit oder bei Serviceanfragen. Jede Phase bringt spezifische Informationstypen mit sich.

Erfassungsmechanismen im Detail

Die Übermittlung erfolgt über verschiedene Kanäle. Formulare auf unserer Webpräsenz zeichnen das auf, was Sie eingeben. E-Mail-Kommunikation wird in unserem Ticket-System archiviert. Telefonische Gespräche werden protokolliert – allerdings nur in Textform, nicht als Aufzeichnung. Bei persönlichen Treffen entstehen Gesprächsnotizen. Verträge bringen ihre eigenen Datenflüsse mit sich.

Automatische Erfassung geschieht, wenn Sie unsere digitalen Systeme verwenden. Server registrieren Zugriffe. Plattformen dokumentieren Aktivitäten. Diese technischen Protokolle dienen primär der Systemstabilität und Fehleranalyse, weniger der Verhaltensauswertung. Wir unterscheiden bewusst zwischen operativer Notwendigkeit und analytischer Neugier.

Verwendungszwecke und betriebliche Notwendigkeiten

Jede Information erfüllt einen Zweck. Manche sind unverzichtbar für die Vertragserfüllung, andere optimieren die Servicequalität. Wieder andere entstehen aus rechtlichen Verpflichtungen. Die Zuordnung ist nicht immer eindeutig – ein Datenpunkt kann mehrere Funktionen gleichzeitig erfüllen.

Vertragliche Grundfunktionen

Ohne bestimmte Angaben können wir unsere Leistung schlichtweg nicht erbringen. Kontaktdaten ermöglichen Kommunikation. Abrechnungsinformationen erlauben korrekte Rechnungsstellung. Projektvorgaben definieren den Leistungsumfang. Diese Daten sind nicht optional – sie bilden das operative Fundament.

• Vertragsanbahnung und Angebotserstellung basieren auf Unternehmensinformationen und Anforderungsprofilen
• Leistungserbringung erfordert technische Zugangsdaten und Projektspezifikationen
• Rechnungsstellung benötigt vollständige Firmendaten und Zahlungsinformationen
• Support-Anfragen setzen Kontaktmöglichkeiten und Problemschilderungen voraus

Qualitätssicherung und Optimierung

Manche Informationen nutzen wir, um besser zu werden. Feedback zu Leistungen fließt in Verbesserungsprozesse ein. Dokumentierte Probleme helfen, wiederkehrende Fehler zu erkennen. Präferenzen erlauben individuellere Betreuung. Hier bewegen wir uns im Bereich des berechtigten Interesses – nützlich für beide Seiten, aber nicht zwingend erforderlich.

Rechtliche und regulatorische Anforderungen

Bestimmte Aufbewahrungspflichten entstehen aus Steuerrecht und Handelsgesetzen. Vertragsunterlagen müssen für definierte Zeiträume archiviert werden. Finanzbehörden verlangen Nachweisbarkeit von Geschäftsvorgängen. Hier haben wir wenig Ermessensspielraum – die Aufbewahrung folgt gesetzlichen Vorgaben, nicht unserem Ermessen.

Informationsflüsse nach außen

Nicht alle Prozesse laufen intern ab. Bestimmte Funktionen erfordern Einbindung externer Dienstleister. Manche rechtlichen Verpflichtungen erzwingen Datenweitergabe. Jeder Informationsfluss folgt spezifischen Regeln und Schutzmaßnahmen.

Kategorien externer Empfänger

• Technische Infrastruktur-Anbieter, die Hosting, Datenspeicherung oder Serverkapazitäten bereitstellen
• Zahlungsabwickler für Transaktionen, sofern nicht direkt per Überweisung abgewickelt
• Buchhaltungs- und Steuerberatungspartner im Rahmen gesetzlicher Dokumentationspflichten
• Rechtsbeistand bei vertraglichen Auseinandersetzungen oder Compliance-Fragen
• Behörden und Aufsichtsstellen bei gesetzlich vorgeschriebenen Meldungen

Die Weitergabe erfolgt grundsätzlich auf Grundlage von Auftragsverarbeitungsverträgen. Diese Vereinbarungen verpflichten externe Partner zu denselben Schutzstandards, die wir intern anwenden. Subunternehmer dürfen Informationen nur im Rahmen unserer Weisungen verarbeiten, nicht für eigene Zwecke verwenden.

Grenzüberschreitende Datenflüsse

Manche Dienstleister operieren außerhalb des europäischen Wirtschaftsraums. In diesen Fällen stellen wir sicher, dass angemessene Garantien existieren: Standardvertragsklauseln der EU-Kommission, Angemessenheitsbeschlüsse oder vergleichbare Mechanismen. Wir vermeiden jedoch nach Möglichkeit unnötige Drittstaatentransfers.

Schutzmaßnahmen und Restrisiken

Absolute Sicherheit existiert nicht. Wir können Risiken minimieren, nicht eliminieren. Unsere Schutzstrategie kombiniert technische Maßnahmen, organisatorische Prozesse und menschliche Sorgfalt. Trotzdem bleiben Restrisiken bestehen – das zu verschweigen wäre unehrlich.

Technische Absicherung

Verschlüsselung während der Übertragung verhindert Abfangen von Daten im Transit. Verschlüsselte Speicherung schützt ruhende Informationen. Zugangskontrollen beschränken internen Zugriff auf Personen mit nachweisbarem Bedarf. Regelmäßige Sicherheitsupdates schließen bekannte Schwachstellen. Firewalls und Intrusion-Detection-Systeme überwachen verdächtige Aktivitäten.

Backup-Systeme sichern gegen Datenverlust durch technisches Versagen. Diese Sicherungen werden geografisch getrennt aufbewahrt und unterliegen denselben Schutzmaßnahmen wie Produktivsysteme. Wiederherstellungsprozesse werden regelmäßig getestet, um im Ernstfall funktionsfähig zu sein.

Organisatorische Kontrollen

Mitarbeiterschulungen sensibilisieren für Datenschutzrisiken. Klare Zuständigkeiten regeln, wer welche Informationen verarbeiten darf. Vertraulichkeitsverpflichtungen sind vertraglich festgeschrieben. Incident-Response-Pläne definieren Reaktionen auf Sicherheitsvorfälle. Regelmäßige Audits überprüfen Einhaltung interner Standards.

Verbleibende Risiken trotz Schutzmaßnahmen

Gezielte Angriffe durch versierte Akteure können auch gut gesicherte Systeme kompromittieren. Menschliche Fehler – trotz Schulung – bleiben eine Schwachstelle. Schwachstellen in Software von Drittanbietern können Sicherheitslücken öffnen. Naturkatastrophen oder Infrastrukturausfälle könnten temporäre Datenverfügbarkeitsprobleme verursachen.

Bei einem Sicherheitsvorfall mit potenziellen Auswirkungen auf Ihre Rechte informieren wir unverzüglich. Die Meldung erfolgt sowohl an Sie als betroffenen Partner als auch an die zuständige Aufsichtsbehörde, sofern gesetzlich vorgeschrieben. Transparenz im Krisenfall ist Teil unserer Verantwortung.

Ihre Einflussmöglichkeiten und Rechte

Informationen über Sie gehören nicht uns – Sie haben weitreichende Kontrollrechte. Diese Rechte sind nicht nur theoretisch, sondern praktisch umsetzbar. Wir haben Prozesse etabliert, um Anfragen zeitnah zu bearbeiten.

Auskunft und Transparenz

Sie können jederzeit erfragen, welche Informationen wir über Ihre Organisation und Ihre Kontaktpersonen gespeichert haben. Die Auskunft umfasst die Datenkategorien, Verarbeitungszwecke, Empfängerkategorien und geplante Speicherdauer. Wir stellen diese Information in strukturierter, gängiger Form bereit – typischerweise als PDF-Dokument.

Berichtigung und Aktualisierung

Veraltete oder fehlerhafte Angaben können korrigiert werden. Teilen Sie uns Änderungen mit – Adressänderungen, neue Ansprechpartner, geänderte Rechnungsadressen. Wir aktualisieren unsere Systeme entsprechend. Die Berichtigung erfolgt ohne unangemessene Verzögerung, normalerweise innerhalb weniger Werktage.

Einschränkung der Verarbeitung

In bestimmten Situationen können Sie verlangen, dass wir Daten zwar aufbewahren, aber nicht aktiv verwenden. Das gilt etwa, wenn Sie die Richtigkeit bestreiten und wir diese überprüfen müssen. Während dieser Zeit ruhen die Daten gewissermaßen – gespeichert, aber nicht verarbeitet.

Löschung und das Recht auf Vergessenwerden

Nach Ende der Geschäftsbeziehung und Ablauf gesetzlicher Aufbewahrungsfristen löschen wir Informationen. Sie können Löschung auch früher beantragen, sofern keine rechtlichen Aufbewahrungspflichten entgegenstehen. Vertragliche Dokumentationspflichten und steuerrechtliche Vorgaben setzen hier allerdings Grenzen.

Bestimmte Daten müssen wir aufgrund von Handelsrecht, Steuerrecht oder Vertragsnachweispflichten über Jahre hinweg aufbewahren. In diesen Fällen können wir trotz Löschantrag nicht sofort löschen, sondern erst nach Ablauf der jeweiligen Aufbewahrungsfrist. Wir dokumentieren solche Fälle transparent und teilen Ihnen die Gründe mit.

Datenübertragbarkeit

Daten, die Sie uns bereitgestellt haben und die wir automatisiert verarbeiten, können Sie in einem strukturierten, maschinenlesbaren Format erhalten. Das erleichtert einen möglichen Wechsel zu einem anderen Dienstleister. Das Recht gilt allerdings nur für Daten, die auf Einwilligung oder Vertrag basieren, nicht für alle gespeicherten Informationen.

Widerspruch gegen berechtigte Interessen

Bei Verarbeitungen, die auf unserem berechtigten Interesse basieren, können Sie Widerspruch einlegen. Wir müssen dann prüfen, ob unsere berechtigten Gründe Ihre Interessen überwiegen. Können wir das nicht nachweisen, stellen wir die Verarbeitung ein. Das betrifft typischerweise optionale Analysen oder Marketing-Aktivitäten, nicht aber vertragliche Kernfunktionen.

Aufbewahrungslogik und Löschkonzept

Informationen verschwinden nicht automatisch – Löschung folgt definierten Regeln. Diese Regeln orientieren sich an rechtlichen Vorgaben, vertraglichen Erfordernissen und operativen Notwendigkeiten. Nicht jede Information hat dieselbe Lebensdauer.

Kategorienspezifische Aufbewahrung

Vertragsunterlagen unterliegen handelsrechtlichen Aufbewahrungsfristen von bis zu zehn Jahren. Rechnungen, Buchungsbelege und Geschäftskorrespondenz fallen unter diese Kategorie. Die Frist beginnt mit dem Ende des Kalenderjahres, in dem der Vorgang abgeschlossen wurde.

Kommunikationsprotokolle bewahren wir auf, solange die Geschäftsbeziehung aktiv ist. Nach Vertragsende und Abschluss aller offenen Vorgänge werden diese Informationen gelöscht, sofern keine rechtlichen Aufbewahrungspflichten greifen. Das geschieht typischerweise innerhalb von drei Monaten nach Beziehungsende.

Technische Protokolle haben kürzere Lebenszyklen. Server-Logs werden nach 90 Tagen automatisch überschrieben. Fehlerprotokolle bleiben so lange erhalten, wie sie für die Systemstabilität relevant sind, maximal aber ein Jahr.

Löschprozesse und Auslöser

Automatisierte Löschroutinen prüfen regelmäßig, welche Daten ihre Aufbewahrungsfrist überschritten haben. Manuelle Überprüfungen erfolgen vierteljährlich für komplexere Fälle. Bei Vertragsende wird ein Löschkonzept aktiviert, das gestaffelt verschiedene Datenkategorien behandelt.

Unmittelbar nach Vertragsende: Zugangsdaten werden deaktiviert. Innerhalb von drei Monaten: Operative Daten ohne Aufbewahrungspflicht werden gelöscht. Nach Ablauf gesetzlicher Fristen: Auch rechtlich verpflichtend aufbewahrte Unterlagen werden entfernt. Dieser gestaffelte Ansatz balanciert rechtliche Pflichten mit Datensparsamkeit.

Rechtsgrundlagen und regulatorischer Rahmen

Jede Datenverarbeitung benötigt eine rechtliche Basis. Die Datenschutz-Grundverordnung definiert mehrere mögliche Grundlagen. Wir nutzen je nach Verarbeitungszweck unterschiedliche Rechtsgrundlagen.

Vertragliche Notwendigkeit

Die meisten Verarbeitungen basieren auf der Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Ohne die Verarbeitung bestimmter Informationen können wir unsere vertraglichen Pflichten nicht erfüllen. Das betrifft Kontaktdaten für die Kommunikation, Projektinformationen für die Leistungserbringung, Abrechnungsdaten für die Rechnungsstellung.

Berechtigte Interessen

Manche Verarbeitungen stützen sich auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Das gilt für Qualitätssicherung, Betrugsprävention, IT-Sicherheit und interne Verwaltungszwecke. Hier haben wir die Interessenabwägung durchgeführt und dokumentiert – unsere Interessen überwiegen nur, wenn Ihre Rechte nicht unverhältnismäßig beeinträchtigt werden.

Gesetzliche Verpflichtungen

Bestimmte Verarbeitungen sind gesetzlich vorgeschrieben gemäß Art. 6 Abs. 1 lit. c DSGVO. Steuerrechtliche Aufbewahrungspflichten, handelsrechtliche Dokumentationspflichten, behördliche Auskunftsverpflichtungen – in diesen Fällen haben wir keinen Ermessensspielraum.

Geografischer Anwendungsbereich

Als in Deutschland ansässiges Unternehmen unterliegen wir deutschem Datenschutzrecht und der DSGVO. Diese Regelungen gelten unabhängig davon, wo unsere Partner ansässig sind. Bei internationalen Geschäftsbeziehungen beachten wir zusätzlich die Datenschutzvorgaben der jeweiligen Länder, sofern diese strengere Anforderungen stellen.

Spezielle Aspekte der B2B-Verarbeitung

Geschäftspartnerschaften unterscheiden sich fundamental von Verbraucherbeziehungen. Die Informationen beziehen sich primär auf Organisationen, nicht auf Privatpersonen. Trotzdem verarbeiten wir auch personenbezogene Daten von Ansprechpartnern – diese genießen dieselben Rechte wie Verbraucher.

Ansprechpersonen in Organisationen

Namen, Positionen, berufliche Kontaktdaten von Mitarbeitern unserer Geschäftspartner verarbeiten wir im Rahmen der Geschäftsbeziehung. Diese Personen agieren in ihrer beruflichen Rolle, nicht als Privatpersonen. Dennoch gelten die DSGVO-Rechte auch für sie. Wir trennen strikt zwischen berufsbezogenen und privaten Informationen.

Unternehmensprofile und Marktinformationen

Informationen über Organisationen als solche – Größe, Branche, Struktur, öffentliche Geschäftsberichte – fallen oft nicht unter Personenbezug. Wir nutzen solche Informationen zur Einschätzung von Geschäftsbeziehungen und Risikobewertung. Sobald allerdings Rückschlüsse auf Einzelpersonen möglich werden, greifen wieder Datenschutzregeln.

Änderungen dieser Richtlinie

Datenschutzpraktiken entwickeln sich. Gesetzliche Vorgaben ändern sich. Neue Technologien erfordern Anpassungen. Wir behalten uns vor, diese Richtlinie bei Bedarf zu aktualisieren. Wesentliche Änderungen kommunizieren wir proaktiv an unsere Geschäftspartner.

Die aktuelle Fassung ist stets auf unserer Website abrufbar. Das Datum der letzten Aktualisierung finden Sie am Ende dieses Dokuments. Bei fortlaufender Geschäftsbeziehung empfehlen wir gelegentliche Überprüfung, ob sich relevante Änderungen ergeben haben.