Datenschutz für Kunden

An wen sich diese Erklärung richtet

Diese Erklärung richtet sich an dich als Kunde, potenzieller oder ehemaliger Kunde. Sie deckt alle Datenverarbeitungen rund um Vertragsanbahnung, aktive Vertragsverhältnisse und die Zeit nach Vertragsende ab. Personenbezeichnungen beziehen sich sprachlich auf alle Geschlechter (m/w/d).

Wer wir sind

Verantwortlich für die hier beschriebene Datenverarbeitung sind wir:

Deine Rechte

Mit Blick auf die zu deiner Person gespeicherten Daten hast du folgende Rechte:

• das Recht auf Auskunft,
• das Recht auf Berichtigung unrichtiger Daten,
• das Recht auf Löschung,
• das Recht auf Einschränkung der Verarbeitung,
• das Recht auf Datenübertragbarkeit,
• das Recht, dich bei der für uns zuständigen Aufsichtsbehörde zu beschweren.

Soweit die Verarbeitung auf einer Einwilligung von dir beruht, kannst du sie jederzeit und mit Wirkung für die Zukunft widerrufen — etwa durch eine formlose Nachricht an einen der oben genannten Kontaktkanäle.

Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses beruht (Artikel 6 Absatz 1 Satz 1 lit. f DSGVO), kannst du der Verarbeitung jederzeit widersprechen. Wenn dein Widerspruch begründet ist, beenden wir die Verarbeitung. Sofern das berechtigte Interesse im Direktmarketing liegt, ist dein Widerspruch stets begründet.

Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.

Übermittlung in Länder außerhalb der Europäischen Union

Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, müssen wir dir ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen. Wir berufen uns je nach Empfänger auf:

• Angemessenheitsbeschluss der EU-Kommission (Artikel 45 DSGVO),
• EU-Standardvertragsklauseln (Artikel 46 DSGVO),
• verbindliche, interne Datenschutzvorschriften (Artikel 47 DSGVO),
• oder deine ausdrückliche Einwilligung (Artikel 49 Absatz 1 lit. a DSGVO).

Vorsorgliche Risikohinweise:

Grundsätzlich hat die Europäische Kommission den USA attestiert, dass sie ein sicheres Drittland sind. Daher wird nur vorsorglich und nur für den Fall, dass ausnahmsweise eine Einwilligung für die Datenübermittlung in die USA eingeholt wird, folgendes mitgeteilt: Die rechtsstaatlichen Prinzipien in den USA sind nicht mit denen aus der Europäischen Union vergleichbar. Insbesondere haben die Ermittlungsbehörden und Nachrichtendienste weitreichende Zugriffsrechte, die nicht an das in der Europäischen Union geltende Verhältnismäßigkeitsprinzip geknüpft sind. Ferner kannst du als Betroffene oder Betroffener deine Rechte nur eingeschränkt geltend machen.

Datenverarbeitung — Vertragsanbahnung

In der Anbahnungsphase eines Vertrages mit uns verarbeiten wir folgende Daten:

• Kontaktdaten (Name, E-Mail, Adresse, Telefon)
• Kommunikationsdaten (Gesprächsnotizen, Formulareinträge)

Zweck ist die Anbahnung und/oder Begründung eines Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Videokonferenzen in der Vertragsanbahnungsphase

Wenn wir mit dir eine Videokonferenz durchführen, hast du die Wahl, ob du deine Kamera aktivierst und ob du einer Aufzeichnung zustimmst. Wir verarbeiten:

• Name, Zeitpunkt und Status deiner Einwilligung — zur Dokumentation deiner Einwilligung. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i. V. m. Artikel 7 Absatz 1 DSGVO.
• Tondaten und Zeitpunkt deiner Einwahl, ggf. Bilddaten — während der Konferenz selbst. Bei Kamera/Aufzeichnung: Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Bei sonstigen Daten: Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Soweit hierbei besondere Kategorien personenbezogener Daten i. S. v. Artikel 9 Absatz 1 DSGVO verarbeitet werden, greift die Ausnahme nach Artikel 9 Absatz 2 lit. a DSGVO.

Datenverarbeitung — Aktives Vertragsverhältnis

Kommunikations- und Abrechnungsdaten

Während des aktiven Vertragsverhältnisses verarbeiten wir deine Kommunikations- und Abrechnungsdaten. Zweck ist die Erfüllung des Vertrages. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Weitergabe an die externe Steuerberatungskanzlei

Wir geben deine Daten (Name, Daten aus Rechnungen und Zahlungseingängen) an unsere externe Steuerberatungskanzlei weiter, um diese bei unserer Buchhaltung zu unterstützen. Es handelt sich dabei nicht um eine Auftragsverarbeitung, sondern um eine Datenübermittlung im Rahmen sonstigen Outsourcings. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

Videokonferenzen im aktiven Vertragsverhältnis

Wie in der Vertragsanbahnung verarbeiten wir auch im aktiven Vertragsverhältnis die folgenden Daten, sofern wir mit dir eine Videokonferenz durchführen:

• Name, Zeitpunkt und Status deiner Einwilligung. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i. V. m. Artikel 7 Absatz 1 DSGVO.
• Tondaten und ggf. Bilddaten während der Konferenz. Bei Kamera/Aufzeichnung: Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Bei sonstigen Daten: Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Videotestimoniale

Wenn du uns gegenüber bereit bist, ein Videotestimonial abzugeben, verarbeiten wir deine Daten in zwei Schritten:

• Dokumentation deiner Einwilligung (Name, Zeitpunkt, Status). Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i. V. m. Artikel 7 Absatz 1 DSGVO.
• Anfertigung und Veröffentlichung des Testimonials (Name, Bild- und Tondaten) zum Zweck der öffentlichen Präsentation. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Werbliche Nutzung deiner Kontaktdaten

Wir können deine Kontaktdaten nutzen, um dir per E-Mail oder per Post werbliche Informationen zukommen zu lassen. Das berechtigte Interesse folgt aus deinem Kundenstatus (vgl. Erwägungsgrund 47 DSGVO). Rechtsgrundlage ist jeweils Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Du kannst dieser Nutzung jederzeit formlos widersprechen.

Information bei Verarbeitungsänderungen

Falls sich an dieser Datenschutzerklärung etwas ändert, informieren wir dich per E-Mail über die aktualisierte Fassung. Zweck ist die Erfüllung unserer Transparenzpflichten (Artikel 12–14 DSGVO). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Datenverarbeitung — Nach Ende des Vertragsverhältnisses

Nach Ende des Vertragsverhältnisses speichern wir deine Daten bis zum Ende ihrer jeweiligen Aufbewahrungszeiträume (siehe nächster Abschnitt) und löschen sie anschließend. Zweck der Löschung ist die Erfüllung einer rechtlichen Verpflichtung. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO.

Aufbewahrungszeiträume

1. Steuerrelevante Daten: grundsätzlich sechs Jahre. Gehaltslisten und Informationen über Angestelltenversicherungen zehn Jahre. Fristbeginn ist das Jahr der Dokumentenentstehung. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i. V. m. § 147 AO.
2. Krankenversicherungsstatus und Krankschreibungen: mindestens fünf Jahre. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i. V. m. § 198 SGB V und § 165 SGB VII.
3. Daten auf Grundlage einer Einwilligung: bis zum Widerruf deiner Einwilligung oder bis der Verarbeitungszweck erlischt. Rechtsgrundlage: Artikel 88 DSGVO i. V. m. § 26 Absatz 2 BDSG.
4. Einwilligungsnachweise: drei Jahre, Fristbeginn am 31. Dezember des Jahres, in dem die Einwilligung widerrufen oder die Daten gelöscht werden. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i. V. m. Artikel 7 Absatz 1 DSGVO; Zeitrahmen nach § 31 Absatz 2 Ziffer 1 OWiG i. V. m. Artikel 83 Absätze 4, 5 DSGVO.
5. Datenschutzrechtliche Anspruchsnachweise: drei Jahre, Fristbeginn am 31. Dezember des Jahres, in dem wir reagieren. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus unserem Bedürfnis, uns später gegen zivilrechtliche Ansprüche sowie bußgeld- und strafrechtliche Vorwürfe verteidigen zu können.
6. Sonstige Anspruchsnachweise: drei Jahre, Fristbeginn am 31. Dezember des Jahres, in dem wir reagieren. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Das berechtigte Interesse folgt aus unserem Bedürfnis, uns später gegen zivilrechtliche Ansprüche verteidigen zu können.

Auftragsverarbeiter und Dritte, die Daten erhalten

Wir setzen für unsere Kundenbeziehung verschiedene Tools ein. Diese Liste entspricht dem Stand vom 06.08.2025. Bei Änderungen am Tool-Stack ergänzen wir diese Erklärung rechtzeitig.

Microsoft Corporation (USA)

Wir setzen Microsoft 365 Cloud, Microsoft Teams (für Projektmanagement) sowie Microsoft Teams (für Videokonferenzen) ein. Microsoft haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Die Übermittlung in die USA ist nach Artikel 45 DSGVO gerechtfertigt.

Google Ireland Ltd. (Irland — EU)

Wir setzen Google Maps, Google Drive / Google Workspace sowie Google Bewertungen ein. Google Ireland Ltd. haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Es ist nicht auszuschließen, dass eine Datenübermittlung zur Muttergesellschaft Google LLC (USA) stattfindet. Die Übermittlung ist nach Artikel 45 DSGVO gerechtfertigt.

ZohoOne

Aus dem Zoho-One-Stack setzen wir folgende Tools ein: Zoho Forms, Zoho Calendar, Zoho Campaign / Zoho Marketing Hub, Zoho Books, Zoho Workdrive, Zoho Meeting sowie Zoho Sign.

Zur Identität der Anbieter ist folgendes auszuführen: Es gibt zahlreiche Unternehmen, die unter „Zoho" firmieren (vgl. https://www.zoho.com/de/contactus.html). Da wir ein Unternehmen mit Sitz innerhalb der Europäischen Union sind, sind wir mit zwei Vertragspartnern verbunden:

• Soweit es um die schuldrechtliche Pflicht geht, uns die o. g. Tools zur Verfügung zu stellen, ist unser Vertragspartner die Zoho Corporation B.V. (Niederlande — EU).
• Soweit es darum geht, dass im Rahmen der Nutzung der Tools in unserem Auftrag personenbezogene Daten verarbeitet werden, sind unsere Vertragspartner und Auftragsverarbeiter neben der Zoho B.V. (Niederlande) auch die ZOHO CORPORATION PVT. LTD. (Indien).

Die ZOHO CORPORATION PVT. LTD. (Indien) hat sich gemäß den EU-Standardvertragsklauseln verpflichtet, sodass die Übermittlung nach Artikel 46 DSGVO gerechtfertigt ist.

Proven Expert (Expert Systems AG — Deutschland — EU)

Wir setzen das Bewertungs-Tool „Proven Expert" der Expert Systems AG (Deutschland — EU) ein.

eKomi (eKomi Ltd. — Deutschland — EU)

Wir setzen das Bewertungs-Tool „eKomi" der eKomi Ltd. (Deutschland — EU) ein.

PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg — EU)

Wir nutzen PayPal als Zahlungsdienstleister. PayPal ist nicht unser Auftragsverarbeiter, sondern handelt im Auftrag der Zahlenden. PayPal verarbeitet die folgenden Daten:

• Information über die Nutzung des Dienstes,
• Zahlungsinformationen (Betrag, Zeitpunkt),
• personenbezogene Daten und Kontoinformationen zur Transaktionsdurchführung,
• Daten zur Konfliktklärung und Betrugsprävention.

KlickTipp (KLICK-TIPP LIMITED — Vereinigtes Königreich)

Wir setzen das Automatisierungs-Tool „KlickTipp" zur vertragsbezogenen Kommunikation ein. KLICK-TIPP LIMITED haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Die Übermittlung in das Vereinigte Königreich ist nach Artikel 45 DSGVO gerechtfertigt.

Zapier, Inc. (USA)

Wir setzen Zapier als Schnittstellen-Tool zur vertragsbezogenen Kommunikation ein. Zapier, Inc. haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Bei Nicht-Beschäftigtendaten ist die Übermittlung in die USA nach Artikel 45 DSGVO gerechtfertigt; bei Beschäftigtendaten gilt, dass sich Zapier gemäß den EU-Standardvertragsklauseln verpflichtet hat, sodass die Übermittlung nach Artikel 46 DSGVO gerechtfertigt ist.

Meta Platforms — Facebook

Wir setzen das soziale Netzwerk „Facebook" der Meta Platforms Ireland Limited (Irland — EU) ein. Es ist nicht auszuschließen, dass eine Datenübermittlung zur Muttergesellschaft Meta Platforms Inc. (USA) stattfindet. Soweit wir und Meta gemeinsam verantwortlich sind, ist die Vereinbarung hier nachzulesen. In allen übrigen Fällen ist Meta nach Artikel 28 DSGVO beauftragt. Bei Nicht-Beschäftigtendaten ist die Übermittlung in die USA nach Artikel 45 DSGVO gerechtfertigt; bei Beschäftigtendaten greifen die EU-Standardvertragsklauseln (Artikel 46 DSGVO). Wir unterhalten bei Facebook eine Unternehmensseite, haben ein Plugin auf der Internetseite eingebunden und setzen „Ads" ein.

Meta Platforms — Instagram

Wir setzen das soziale Netzwerk „Instagram" der Meta Platforms Ireland Limited (Irland — EU) ein. Die rechtlichen Rahmenbedingungen sind identisch zu Facebook (siehe oben). Wir unterhalten bei Instagram eine Unternehmensseite, haben ein Plugin eingebunden und setzen „Ads" ein.

LinkedIn (LinkedIn Ireland Unlimited Company — Irland — EU)

Wir setzen das soziale Netzwerk „LinkedIn" ein. Es ist nicht auszuschließen, dass eine Datenübermittlung zur Muttergesellschaft LinkedIn Corporation (USA) stattfindet. LinkedIn hat sich gemäß den EU-Standardvertragsklauseln verpflichtet, sodass die Übermittlung nach Artikel 46 DSGVO gerechtfertigt ist. Wir unterhalten bei LinkedIn eine Unternehmensseite, haben ein Plugin eingebunden und setzen „Ads" ein.

YouTube (Google Ireland Ltd. — Irland — EU)

Wir setzen YouTube ein. Google Ireland Ltd. haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Es ist nicht auszuschließen, dass eine Datenübermittlung zur Muttergesellschaft Google LLC (USA) stattfindet. Die Übermittlung ist nach Artikel 45 DSGVO gerechtfertigt. Wir betreiben einen eigenen Kanal, betten Videos im „erweiterten Datenschutz-Modus" ein — eine Datenübertragung findet erst bei Wiedergabe eines Videos statt.

OpenAI API (OpenAI, LLC — USA)

Wir setzen die OpenAI API als Tool für künstliche Intelligenz ein. OpenAI, LLC haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. OpenAI hat sich gemäß den EU-Standardvertragsklauseln verpflichtet, sodass die Übermittlung in die USA nach Artikel 46 DSGVO gerechtfertigt ist.

Yeastar P-Series Cloud PBX (Kutschenreuter Communications GmbH — Berlin, Deutschland)

Für unsere geschäftliche Telekommunikation (Telefonate, Voicemail, Fax, Chat) setzen wir die Cloud-Telefonanlage Yeastar P-Series ein, betreut durch die Kutschenreuter Communications GmbH (Berlin, Deutschland). Wir haben sie nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Die Server stehen in Frankfurt am Main. Bei seltenen Fernzugriffen aus Drittstaaten zu Support- oder Wartungszwecken greifen EU-Standardvertragsklauseln (Artikel 46 DSGVO).

Verarbeitete Daten: Kommunikations- und Verbindungsdaten (Rufnummern, Zeitpunkt, Gesprächsdauer, IP-Adresse) sowie bei Aktivierung Aufzeichnungsdaten. Speicherdauer: Verbindungsdaten 180 Tage; Aufzeichnungen maximal 30 Tage. Rechtliche Grundlagen: Artikel 6 Absatz 1 Satz 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse). Sicherheit: Verschlüsselung, rollenbasierte Zugriffskontrollen, regelmäßige Pen-Tests; AWS-Infrastruktur ist ISO/IEC 27001-zertifiziert.

Datev (Datev eG — Deutschland — EU)

Wir setzen das Buchhaltungs-Tool Datev der Datev eG (Deutschland — EU) ein. Datev eG haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt.

Externe Steuerberatungskanzlei

Wir übermitteln deine Buchhaltungsdaten an unsere externe Steuerberatungskanzlei. Es handelt sich nicht um eine Auftragsverarbeitung, sondern um eine Datenübermittlung im Rahmen sonstigen Outsourcings. Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

WhatsApp (WhatsApp Ireland Limited — Irland — EU)

Wir setzen den Messengerdienst WhatsApp ein. Mögliche Datenempfänger:

• EU-Unternehmen: Meta Platforms Ireland Limited (Irland), Facebook Germany GmbH (Deutschland), FB Spain S.L. (Spanien).
• Länder mit Angemessenheitsbeschluss (Artikel 45 DSGVO): Facebook Israel Limited (Israel), Facebook UK Limited (Vereinigtes Königreich).
• WhatsApp LLC (USA), Meta Platforms Inc. (USA): Bei Nicht-Beschäftigtendaten Artikel 45 DSGVO; bei Beschäftigtendaten EU-Standardvertragsklauseln (Artikel 46 DSGVO).
• Facebook Singapore Pte Limited (Singapur): EU-Standardvertragsklauseln (Artikel 46 DSGVO).

Details: whatsapp.com/legal/privacy-policy-eea.

Zoom (Zoom Video Communications, Inc. — USA)

Wir setzen das Webinar- und Videokonferenz-Tool Zoom ein. Zoom Video Communications, Inc. haben wir nach Artikel 28 DSGVO als Auftragsverarbeiter beauftragt. Zoom hat sich gemäß den EU-Standardvertragsklauseln verpflichtet, sodass die Übermittlung in die USA nach Artikel 46 DSGVO gerechtfertigt ist.

Glossar

Grundbegriffe

Personenbezogene Daten: Alle Informationen, die mittelbar oder unmittelbar Rückschlüsse auf natürliche Personen zulassen.

Verarbeitung personenbezogener Daten: Jedweder aktive oder passive Umgang mit personenbezogenen Daten, von der Erhebung über die Kernverarbeitung bis zur Löschung.

Einwilligung: Eine nachweisbare Willenserklärung, die du vor einer Verarbeitung deiner personenbezogenen Daten freiwillig abgibst und die uns eine konkrete Verarbeitung gestattet.

Soziale Medien

Unternehmens- und/oder Produktseite: Wir unterhalten bei einem sozialen Medium eine Unternehmens- oder Produktseite, die auf der Internetseite verlinkt ist. Ein Klick auf den Link führt dich zu unserem Profil.

Plugin: Wir haben auf der Internetseite ein Plugin eines Anbieters eines sozialen Netzwerks eingebunden. Wir nutzen die sog. Zwei-Klick-Lösung — das heißt, dass nach dem ersten Klick zunächst keine personenbezogenen Daten an den Anbieter weitergegeben werden. Erst wenn du das Feld aktivierst, erhält der Anbieter die Information, dass du diese Internetseite aufgerufen hast.

Ads: Wir setzen sog. „Ads" in einem sozialen Medium ein, um auf unsere Angebote aufmerksam zu machen und die Effektivität unserer Werbemaßnahmen zu messen. Sofern du über eine Anzeige des Anbieters auf diese Internetseite gelangst, wird ein Cookie mit Analyse-Werten (Unique Cookie-ID, Anzahl Ad Impressions, letzte Impression, Opt-out-Informationen) gespeichert.

Pixel: Wir setzen sog. Pixel ein — Analysetools zur Werbungs-Effektivitäts-Messung. Bei Aufruf der Seite und Ausführung einer Handlung wird der Pixel ausgelöst und an den Anbieter gemeldet.

Upload in Custom Audience: Nach deiner Einwilligung laden wir deine Kontaktdaten (in der Regel die E-Mail-Adresse) beim Anbieter eines sozialen Mediums hoch, damit dir interessenbezogene Werbeanzeigen dargestellt werden können.

Veröffentlichung von Medienaufnahmen: Wir laden Medienaufnahmen (Foto-, Ton- und/oder Filmaufnahmen) in einem sozialen Medium hoch und veröffentlichen sie dort.

Videoeinbettungen

Plugin: Auf der Internetseite sind Plugins eines Videoportals eingebunden. Bei Aufruf einer Seite mit Video wird eine direkte Verbindung zwischen deinem Browser und dem Server des Anbieters hergestellt.

Eigener Kanal: Wir betreiben im Videoportal einen eigenen Kanal.

Veröffentlichung von Medienaufnahmen: Wir laden Medienaufnahmen im Videoportal hoch und veröffentlichen sie dort.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner Daten zu beschweren. Zuständig ist:

Verwandte Hinweise

Für reine Webseiten-Besucher gilt zusätzlich die Datenschutzerklärung für Webseiten-Besucher. Sie deckt Daten ab, die bei der bloßen Nutzung der Webseite anfallen (z. B. Hosting, Kontaktformular).

Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald sich technische oder rechtliche Rahmenbedingungen ändern — etwa wenn wir neue Tools einsetzen oder bestehende ablösen. Den jeweils aktuellen Stand findest du oben am Anfang dieser Seite.