Umfassende Informationen zum Schutz Ihrer personenbezogenen Daten
Stand: 12. Februar 2026 · Version 3.0 · Gültig ab: 12.02.2026
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die Websites und Applikationen der SBS Deutschland GmbH (nachfolgend „SBS", „wir" oder „uns") nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können (Art. 4 Nr. 1 DSGVO). Ausführliche Informationen entnehmen Sie den nachfolgenden Abschnitten dieser Datenschutzerklärung.
Wir erheben personenbezogene Daten auf verschiedene Weise: Daten, die Sie uns aktiv mitteilen (z. B. über Kontaktformulare, bei der Registrierung oder beim Hochladen von Dokumenten), sowie Daten, die automatisch bei der Nutzung unserer Dienste erhoben werden (z. B. IP-Adresse, Browsertyp, Zugriffszeiten). Darüber hinaus verarbeiten wir im Rahmen unserer KI-gestützten Dienste die von Ihnen bereitgestellten Dokumente (Rechnungen, Verträge, technische Dokumentationen, Fotos).
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten werden zur Erbringung unserer vertraglich geschuldeten Dienstleistungen verwendet, insbesondere zur KI-gestützten Dokumentenanalyse und -verarbeitung. Wir nutzen Ihre Daten nicht für Werbezwecke Dritter und verkaufen keine personenbezogenen Daten.
SBS Deutschland GmbH
Geschäftsführer: Luis Schenk
In der Dell 19
69469 Weinheim, Deutschland
Telefon: +49 (0) 6201 24469
E-Mail: info@sbsdeutschland.com
Website: www.sbsdeutschland.com
Für Fragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:
Datenschutzbeauftragter der SBS Deutschland GmbH
E-Mail: datenschutz@sbsdeutschland.com
Postadresse: SBS Deutschland GmbH, z. Hd. Datenschutzbeauftragter, In der Dell 19, 69469 Weinheim
Wir verarbeiten personenbezogene Daten unter strikter Einhaltung der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), der EU-Verordnung über Künstliche Intelligenz (KI-VO, Verordnung (EU) 2024/1689) sowie aller weiteren einschlägigen datenschutzrechtlichen Vorschriften.
Dabei beachten wir insbesondere folgende Grundsätze gemäß Art. 5 DSGVO:
Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der folgenden Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO):
| Rechtsgrundlage | Anwendungsfall |
|---|---|
| Art. 6 Abs. 1 lit. a DSGVO Einwilligung | Sofern Sie uns eine ausdrückliche Einwilligung erteilt haben (z. B. für bestimmte Cookie-Kategorien, Newsletter, optionale KI-Analysen). |
| Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung | Soweit die Verarbeitung zur Erfüllung eines Vertrages mit Ihnen erforderlich ist (z. B. Nutzung der SBS-Plattform, KI-Rechnungsverarbeitung, Vertragsanalyse, Zahlungsabwicklung). |
| Art. 6 Abs. 1 lit. c DSGVO Rechtliche Verpflichtung | Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z. B. steuerliche Aufbewahrungspflichten nach AO/HGB, GoBD). |
| Art. 6 Abs. 1 lit. f DSGVO Berechtigtes Interesse | Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist (z. B. IT-Sicherheit, Betrugsprävention, Server-Log-Dateien, Optimierung der Dienste), sofern nicht Ihre Interessen überwiegen. |
Soweit besondere Kategorien personenbezogener Daten verarbeitet werden (Art. 9 Abs. 1 DSGVO), erfolgt dies ausschließlich auf Grundlage von Art. 9 Abs. 2 DSGVO. Soweit wir für Verarbeitungsvorgänge Ihre Einwilligung einholen, dient Art. 7 DSGVO als Rechtsgrundlage für die Einwilligung.
Sie haben gemäß DSGVO die folgenden Rechte hinsichtlich Ihrer personenbezogenen Daten. Zur Ausübung dieser Rechte wenden Sie sich bitte an datenschutz@sbsdeutschland.com. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).
Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden, und auf Auskunft über diese Daten einschließlich der Verarbeitungszwecke, Kategorien der Daten, Empfänger, geplante Speicherdauer und Herkunft der Daten. Sie haben das Recht auf eine kostenlose Kopie Ihrer Daten.
Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der gesetzlich vorgesehenen Gründe vorliegt (z. B. Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung, unrechtmäßige Verarbeitung). Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z. B. steuerliche Aufbewahrungspflichten gemäß § 147 AO, § 257 HGB) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder Sie Widerspruch eingelegt haben.
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, JSON) zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Dies gilt für Verarbeitungen, die auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren durchgeführt werden.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sofern wir personenbezogene Daten für Direktwerbung verarbeiten, haben Sie das Recht, jederzeit ohne Angabe von Gründen Widerspruch gegen diese Verarbeitung einzulegen. In diesem Fall werden Ihre Daten nicht mehr für Direktwerbezwecke verwendet.
Sofern Sie eine Einwilligung in die Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Den Widerruf können Sie formlos per E-Mail an datenschutz@sbsdeutschland.com erklären.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (siehe Abschnitt 26).
Unsere Websites und Applikationen werden auf Servern der DigitalOcean, LLC, 101 Avenue of the Americas, 10th Floor, New York, NY 10013, USA gehostet. Die von uns genutzten Server befinden sich ausschließlich im Rechenzentrum Frankfurt am Main, Deutschland (EU). Sämtliche personenbezogene Daten werden somit innerhalb der Europäischen Union verarbeitet und gespeichert.
DigitalOcean ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Wir haben mit DigitalOcean einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen, sicheren Bereitstellung unserer Online-Angebote).
Einzelne Dienste (insbesondere SBS Nexus und Smart Maintenance Alert) werden zusätzlich über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel nutzt ein globales Edge-Netzwerk; die Datenverarbeitung erfolgt primär über europäische Edge-Server. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Wir haben mit Vercel einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
Beim Aufruf unserer Website erhebt und speichert der Hosting-Provider automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt:
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erhebung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung eines störungsfreien Betriebs, der IT-Sicherheit und der Erkennung und Abwehr von Angriffen. Die Server-Log-Dateien werden nach 30 Tagen automatisch gelöscht, sofern keine darüberhinausgehende Aufbewahrung zu Beweiszwecken bei konkreten Vorfällen erforderlich ist.
Unsere Website verwendet technisch notwendige Cookies, die für den ordnungsgemäßen Betrieb der Website und die Bereitstellung der von Ihnen angefragten Dienste unerlässlich sind (z. B. Session-Cookies für den Login, Sicherheits-Cookies). Die Speicherung dieser Cookies erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.
Soweit wir optionale Cookies oder vergleichbare Technologien einsetzen (z. B. für Webanalyse oder Funktionsverbesserungen), holen wir zuvor Ihre ausdrückliche Einwilligung gemäß § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO ein. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben.
Derzeit setzen wir keine Tracking-, Analyse- oder Marketing-Cookies Dritter ein (kein Google Analytics, kein Facebook Pixel, keine Werbecookies).
Sie können auf unserer Plattform ein Benutzerkonto erstellen. Bei der Registrierung erheben wir folgende Daten:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer der Vertragsbeziehung gespeichert. Nach Kündigung Ihres Kontos werden Ihre personenbezogenen Daten gemäß unserem Löschkonzept (siehe Abschnitt 24) gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Wir implementieren eine strikte Benutzerisolation auf Datenbankebene (User Isolation). Dies bedeutet, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann. Ein Zugriff auf Daten anderer Nutzer ist technisch ausgeschlossen.
Wir bieten Ihnen die Möglichkeit, sich über Google OAuth 2.0 (Single Sign-On) bei unserer Plattform anzumelden. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für Nutzer im EWR).
Bei der Nutzung von Google OAuth werden folgende Daten von Google an uns übermittelt:
Wir verwenden diese Daten ausschließlich zur Authentifizierung und Kontoverwaltung. Es findet kein Zugriff auf weitere Daten Ihres Google-Kontos statt (kein Zugriff auf Gmail, Google Drive, Kalender oder sonstige Dienste). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung durch Login) sowie Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung bei der OAuth-Autorisierung). Google verarbeitet Ihre Daten zusätzlich gemäß der Google Datenschutzerklärung.
Wenn Sie uns per Kontaktformular oder per E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Nachrichtentext und ggf. Telefonnummer) zum Zwecke der Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bearbeitung von Anfragen). Ihre Anfrage wird nach abschließender Bearbeitung und Ablauf etwaiger Aufbewahrungsfristen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Für den Versand von System-E-Mails (Registrierungsbestätigungen, Passwort-Zurücksetzungen, Benachrichtigungen) nutzen wir den Dienst Resend (Resend, Inc., San Francisco, USA). Im Rahmen der Auftragsverarbeitung übermitteln wir Ihre E-Mail-Adresse und den Namen zur Zustellung der E-Mail an Resend. Es werden keine darüber hinausgehenden personenbezogenen Daten übermittelt.
Resend ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich haben wir EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Für die Zahlungsabwicklung nutzen wir Stripe (Stripe Technology Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland). Beim Zahlungsvorgang werden folgende Daten an Stripe übermittelt:
Stripe nimmt eine Doppelrolle ein: als Auftragsverarbeiter (für die Transaktionsabwicklung in unserem Auftrag gemäß Art. 28 DSGVO) und als eigenständig Verantwortlicher (für die Erfüllung regulatorischer Verpflichtungen, z. B. Geldwäscheprävention). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet Ihre Zahlungsdaten PCI DSS Level 1-konform. Weitere Informationen finden Sie in der Stripe Datenschutzerklärung.
SBS Deutschland setzt in mehreren Produkten Systeme der Künstlichen Intelligenz (KI) ein. Wir sind uns der besonderen datenschutzrechtlichen Anforderungen beim KI-Einsatz bewusst und setzen die Vorgaben der DSGVO sowie der EU-Verordnung über Künstliche Intelligenz (KI-VO, Verordnung (EU) 2024/1689) um.
Gemäß den Transparenzpflichten der KI-Verordnung weisen wir Sie darauf hin, dass unsere KI-gestützten Dienste generierte Ergebnisse erzeugen, die auf maschinellem Lernen basieren. Die KI-Systeme unterstützen bei der Datenextraktion, Klassifizierung und Analyse, treffen jedoch keine autonomen Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung für Sie (siehe auch Abschnitt 21). Alle KI-Ergebnisse sind als Vorschläge und Entwürfe zu verstehen, die einer menschlichen Überprüfung bedürfen.
| KI-Modell / Dienst | Anbieter | Sitz / Verarbeitung | Verwendungszweck |
|---|---|---|---|
| GPT-4 / GPT-4o (API) | OpenAI Ireland Ltd., Dublin, Irland | USA (DPF-zertifiziert) + EU-SCC | Textextraktion, Rechnungsanalyse, Kontierungsvorschläge, Finance Copilot, Vertragsanalyse |
| Google Gemini 1.5 Pro (API) | Google Ireland Limited, Dublin, Irland | EU (europäische Rechenzentren) | Multimodale Analyse (Text, Bild, Video), HydraulikDoc AI, Projekt Hephaestus, Smart Maintenance Alert |
Mit allen KI-Anbietern haben wir Auftragsverarbeitungsverträge (DPA/AVV) gemäß Art. 28 DSGVO abgeschlossen. Die API-Nutzung stellt sicher, dass keine von Ihnen übermittelten Daten zum Training der KI-Modelle verwendet werden. Die Verarbeitung erfolgt ausschließlich auf Weisung und im Auftrag von SBS Deutschland.
Für den Einsatz von KI-Systemen zur Verarbeitung personenbezogener Daten haben wir gemäß Art. 35 DSGVO Datenschutz-Folgenabschätzungen (DSFA) durchgeführt. Diese dokumentieren die Risiken für die Rechte und Freiheiten der betroffenen Personen und die ergriffenen Schutzmaßnahmen.
Bei Nutzung unserer KI-Rechnungsverarbeitung (verfügbar unter app.sbsdeutschland.com) werden folgende Daten verarbeitet:
Die Verarbeitung dient der Erfüllung unserer vertraglichen Verpflichtung gegenüber Ihnen zur automatisierten Rechnungsverarbeitung (Art. 6 Abs. 1 lit. b DSGVO). Die extrahierten Daten werden ausschließlich in Ihrem Benutzerkonto gespeichert und sind nur für Sie zugänglich (User Isolation).
Die Rechnungsdokumente werden auf unseren Servern in Frankfurt (Deutschland) empfangen. Zur Datenextraktion werden relevante Textdaten über die OpenAI API verarbeitet. Die originalen Dokumente verbleiben auf unseren EU-Servern. An OpenAI werden nur die zur Analyse notwendigen Textfragmente übermittelt – keine vollständigen Rechnungs-PDFs, sofern dies technisch vermeidbar ist.
Rechnungsdaten werden für die Dauer Ihres Vertragsverhältnisses gespeichert. Nach Kündigung werden die Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO: 10 Jahre für steuerlich relevante Unterlagen) entgegenstehen. Sie können jederzeit die vorzeitige Löschung einzelner Rechnungen beantragen.
Bei Nutzung unserer KI-Vertragsanalyse (verfügbar unter contract.sbsdeutschland.com) werden folgende Daten verarbeitet:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung erfolgt multimodal (Text und Bild) über die OpenAI API und/oder Google Gemini API. Die Originaldokumente verbleiben auf unseren EU-Servern. Besondere Vertraulichkeit: Vertragsdokumente können besonders sensible Geschäftsgeheimnisse enthalten. Wir haben geeignete technische und organisatorische Maßnahmen implementiert, um die Vertraulichkeit zu gewährleisten. Ihre Vertragsdaten sind strikt isoliert und für andere Nutzer nicht zugänglich.
HydraulikDoc AI ermöglicht die KI-gestützte Analyse von Hydraulik-Dokumentationen und industrieller Fachunterlagen. Das integrierte Projekt Hephaestus erweitert dies um Video-Analysefähigkeiten für industrielle Diagnosezwecke.
Die multimodale Analyse erfolgt über die Google Gemini 1.5 Pro API. Video- und Bilddaten werden zur Analyse an Google Ireland Limited (europäische Rechenzentren) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sofern personenbezogene Daten in den technischen Unterlagen enthalten sind (z. B. Namen von Anlagenbetreibern), werden diese im Rahmen der Verarbeitung mitverarbeitet. Die Ergebnisse werden auf unseren EU-Servern gespeichert und sind nur in Ihrem Benutzerkonto zugänglich.
Smart Maintenance Alert ermöglicht die KI-gestützte Erkennung und Identifizierung defekter Bauteile mittels Fotoanalyse.
Die Bildanalyse erfolgt über die Google Gemini 1.5 Pro API (Google Ireland Limited, europäische Rechenzentren). Die Fotos werden zur Analyse übermittelt und nach Abschluss der Analyse nicht bei Google gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
SBS Nexus ist unsere zentrale Enterprise-Plattform, die die verschiedenen SBS-Module verbindet und Automatisierungen bereitstellt.
SBS Nexus versendet ereignisgesteuerte Webhooks an konfigurierte Endpunkte. Im Rahmen dieser Automatisierungen werden Daten an folgende Drittdienste übermittelt:
SBS Nexus implementiert ein rollenbasiertes Zugriffskontrollsystem. Benutzerdaten (Rolle, Berechtigungen) werden in diesem Rahmen verarbeitet, um sicherzustellen, dass Nutzer nur auf die ihnen zugewiesenen Funktionen und Daten zugreifen können. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).
Gemäß Art. 22 DSGVO haben Sie das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Wir setzen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO ein. Unsere KI-Systeme generieren Vorschläge und Analyseergebnisse (z. B. Kontierungsvorschläge, Risikobewertungen, Bauteil-Identifikationen), die als Entscheidungshilfen dienen. Sämtliche KI-Ergebnisse sind ausdrücklich als Vorschläge konzipiert und bedürfen der menschlichen Überprüfung und Bestätigung durch den Nutzer, bevor sie rechtliche oder geschäftliche Wirkung entfalten.
Wir führen kein Profiling im Sinne des Art. 4 Nr. 4 DSGVO durch. Wir erstellen keine Persönlichkeitsprofile unserer Nutzer und nutzen keine KI zur Bewertung persönlicher Aspekte natürlicher Personen.
Wir setzen zur Erbringung unserer Dienste Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern haben wir datenschutzrechtliche Verträge abgeschlossen, die den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen.
| Auftragsverarbeiter | Sitz | Zweck | Garantien Drittlandtransfer |
|---|---|---|---|
| DigitalOcean, LLC | USA (Server: Frankfurt, DE) | Hosting, Infrastruktur | EU-U.S. DPF, SCC, Server in EU |
| Vercel Inc. | USA (Edge: EU) | Hosting (Nexus, Maintenance) | EU-U.S. DPF, SCC |
| OpenAI Ireland Ltd. | Irland (Verarbeitung: USA) | KI-Textanalyse (API) | EU-U.S. DPF, SCC, DPA |
| Google Ireland Limited | Irland (Verarbeitung: EU) | Gemini AI, OAuth, Sheets | SCC, EU-Rechenzentren |
| Stripe Technology Europe, Ltd. | Irland | Zahlungsabwicklung | EU-Verarbeitung, SCC für Unterauftragnehmer |
| Resend, Inc. | USA | E-Mail-Versand | EU-U.S. DPF, SCC |
| Salesforce, Inc. (Slack) | USA | Benachrichtigungen | EU-U.S. DPF, SCC |
Wir überprüfen unsere Auftragsverarbeiter regelmäßig hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen. Unterauftragnehmer werden nur mit unserer Genehmigung eingesetzt.
Soweit wir Daten an Dienstleister in Ländern außerhalb der EU / des EWR übermitteln (Drittlandtransfer), stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dies erfolgt durch:
Sollte der Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework aufgehoben werden, stützen wir die Datenübermittlung auf die vorgenannten EU-Standardvertragsklauseln als alternative Garantie.
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Es gelten folgende Speicherfristen:
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Server-Log-Dateien | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Kontoanfragen | Dauer des Vertragsverhältnisses + 90 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| Kontaktanfragen | 6 Monate nach Abschluss der Bearbeitung | Art. 6 Abs. 1 lit. f DSGVO |
| Rechnungsdaten | Vertragsdauer; danach bis zu 10 Jahre bei steuerlicher Relevanz | § 147 AO, § 257 HGB |
| Vertragsdokumente (Analyse) | Vertragsdauer + 90 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| Technische Dokumentationen (HydraulikDoc) | Vertragsdauer + 90 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| Smart Maintenance Fotos | Vertragsdauer + 90 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungs- und Abrechnungsdaten | 10 Jahre (steuerliche Aufbewahrung) | § 147 AO, § 257 HGB |
| Einwilligungsnachweise | 3 Jahre nach Widerruf | Art. 7 Abs. 1, Art. 5 Abs. 2 DSGVO |
Nach Ablauf der jeweiligen Speicherfrist werden Ihre Daten automatisch und unwiderruflich gelöscht oder anonymisiert. Die Löschung erfolgt technisch durch sicheres Überschreiben der Datenbankinhalte.
Wir setzen umfassende technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: +49 (0) 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Wir bitten Sie jedoch, sich vor einer Beschwerde bei der Aufsichtsbehörde zunächst an uns zu wenden, damit wir Ihr Anliegen direkt klären können.
Im Rahmen unserer Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung der Geschäftsbeziehung und die Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten können wir den Vertrag mit Ihnen in der Regel nicht abschließen, nicht durchführen und nicht beenden.
Die Bereitstellung darüber hinausgehender Daten ist freiwillig und wird entsprechend gekennzeichnet.
Wir behalten uns vor, diese Datenschutzerklärung anlassbezogen anzupassen, um sie an geänderte Rechtslagen, geänderte Dienste oder geänderte Datenverarbeitungen anzupassen. Es gilt stets die zum Zeitpunkt Ihres Besuchs aktuelle Fassung. Wesentliche Änderungen teilen wir registrierten Nutzern per E-Mail mit. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu überprüfen.
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Februar 2026.
Hinweis: Diese Datenschutzerklärung wurde mit größtmöglicher Sorgfalt erstellt. Sie dient der Information gemäß Art. 12–14 DSGVO und erhebt keinen Anspruch auf abschließende rechtliche Beratung. Bei konkreten rechtlichen Fragestellungen empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.