Entstehung von Dateninhalten

Informationen gelangen auf verschiedenen Wegen in unsere Systeme. Die Art der Erfassung hängt davon ab, an welchem Punkt Sie mit uns interagieren.

Bei Registrierung und Kontoeinrichtung

Wenn Sie ein Benutzerkonto anlegen, werden grundlegende Identifikationsmerkmale erforderlich. Dazu gehören Ihr vollständiger Name, eine funktionierende E-Mail-Adresse sowie ein selbst gewähltes Passwort. Diese Angaben ermöglichen es uns, Ihr Profil zu erstellen und Ihnen Zugang zu unseren Finanzplanungs-Tools zu verschaffen.

Zusätzlich können Sie optionale Informationen bereitstellen – etwa Telefonnummern oder Unternehmensbezeichnungen. Diese erweiterten Angaben verbessern die Kommunikationsmöglichkeiten, sind aber nicht zwingend erforderlich.

Während der Nutzung unserer Plattform

Im laufenden Betrieb dokumentieren unsere Systeme technische Aktivitätsmuster. Jede Interaktion mit der Plattform hinterlässt Spuren in Form von Protokolleinträgen: Zeitstempel der Anmeldungen, aufgerufene Funktionsbereiche, verwendete Gerätetypen und IP-Adressen.

Diese automatisch generierten Einträge entstehen ohne Ihr aktives Zutun. Sie dienen der Systemstabilität und helfen uns, ungewöhnliche Zugriffsmuster zu erkennen.

Bei direkter Kommunikation

Sobald Sie uns per E-Mail kontaktieren, Support-Anfragen stellen oder an Umfragen teilnehmen, erfassen wir den Inhalt Ihrer Mitteilungen. Das umfasst nicht nur Ihre Worte, sondern auch Metadaten wie Absenderadressen und Zeitstempel.

Bei Telefonaten mit unserem Kundendienst zeichnen wir Gesprächsnotizen auf. In bestimmten Fällen können Anrufe zur Qualitätssicherung gespeichert werden – darauf weisen wir Sie jedoch vor Gesprächsbeginn ausdrücklich hin.

Operative Verwendung erfasster Angaben

Jede Kategorie von Informationen erfüllt spezifische Funktionen innerhalb unseres Betriebs. Die Verwendung erfolgt zweckgebunden und orientiert sich an den ursprünglichen Erhebungsgründen.

Vertragsabwicklung und Leistungserbringung

Ihre Kontoinformationen ermöglichen uns die Bereitstellung unserer Kernfunktionen. Ohne Namen und E-Mail-Adresse könnten wir Ihnen keinen Zugang gewähren. Ihre Unternehmensdaten helfen uns, maßgeschneiderte Finanzanalysen zu erstellen, die auf Ihre Branche abgestimmt sind.

Zahlungsinformationen – sofern Sie kostenpflichtige Dienste nutzen – werden zur Abrechnung herangezogen. Dabei arbeiten wir mit externen Zahlungsdienstleistern zusammen, die eigene Sicherheitsstandards einhalten.

Technische Systemverwaltung

Protokolldaten aus Ihren Sitzungen analysieren wir, um Fehler zu identifizieren und Leistungsengpässe aufzuspüren. Wenn beispielsweise bestimmte Funktionen bei einzelnen Browserversionen nicht korrekt arbeiten, können wir das durch Auswertung technischer Logs erkennen und beheben.

IP-Adressen und Gerätekennungen nutzen wir zur Erkennung von Sicherheitsbedrohungen. Mehrfache Anmeldeversuche von wechselnden Standorten innerhalb kurzer Zeit lösen automatische Schutzmaßnahmen aus.

Kommunikation und Support

Ihre Kontaktangaben verwenden wir, um auf Anfragen zu antworten, Updates zu versenden oder Sie über Änderungen an Ihrem Konto zu informieren. Transaktionale Nachrichten – etwa Passwort-Zurücksetzungen oder Zahlungsbestätigungen – erhalten Sie unabhängig von Marketing-Einstellungen.

Für Newsletter oder Produktankündigungen holen wir separate Zustimmung ein. Diese können Sie jederzeit widerrufen, ohne dass dadurch Ihre Nutzung der Hauptdienste beeinträchtigt wird.

Bewegung von Informationen außerhalb unserer Organisation

In bestimmten Situationen müssen wir Angaben an Dritte weitergeben. Diese Transfers unterliegen strikten Bedingungen und finden nur statt, wenn eine der folgenden Voraussetzungen erfüllt ist.

Empfängerkategorie	Zweck der Übermittlung	Rechtsgrundlage
Zahlungsabwickler	Verarbeitung von Transaktionen und Abbuchungen für kostenpflichtige Dienste	Vertragserfüllung
Cloud-Infrastruktur-Anbieter	Bereitstellung von Serverkapazitäten und Datenspeicherung	Berechtigtes Interesse
IT-Sicherheitsdienstleister	Abwehr von Cyberangriffen und Schutz vor unbefugtem Zugriff	Berechtigtes Interesse
Behörden und Gerichte	Erfüllung rechtlicher Auskunftspflichten bei behördlichen Anfragen	Gesetzliche Verpflichtung
Wirtschaftsprüfer	Durchführung gesetzlich vorgeschriebener Jahresabschlussprüfungen	Gesetzliche Verpflichtung

Mit allen externen Dienstleistern schließen wir Verträge ab, die deren Umgang mit Ihren Angaben regeln. Diese Vereinbarungen entsprechen den Anforderungen der DSGVO an Auftragsverarbeitung und legen fest, welche Sicherheitsmaßnahmen einzuhalten sind.

Geografisch befinden sich die meisten unserer Partner innerhalb der Europäischen Union. Sollten Daten in Drittländer übertragen werden, erfolgt dies ausschließlich auf Basis von Standardvertragsklauseln oder gleichwertigen Schutzmechanismen.

Schutzkonzept und verbleibende Risiken

Unsere Sicherheitsarchitektur basiert auf mehrschichtigen Verteidigungslinien. Anstatt uns auf einzelne Maßnahmen zu verlassen, kombinieren wir verschiedene technische und organisatorische Vorkehrungen.

Technische Sicherungselemente

• Verschlüsselung sensibler Datenfelder sowohl während der Übertragung (TLS 1.3) als auch im Ruhezustand (AES-256)
• Mehrstufige Authentifizierungssysteme mit optionaler Zwei-Faktor-Verifizierung für privilegierte Konten
• Regelmäßige Sicherheitsupdates und zeitnahe Behebung bekannter Schwachstellen in verwendeter Software
• Netzwerksegmentierung zur Isolation kritischer Systembereiche von öffentlich zugänglichen Komponenten
• Automatisierte Überwachung auf Anomalien im Datenverkehr und verdächtige Zugriffsmuster

Organisatorische Absicherungen

• Strikte Zugriffskontrollen – Mitarbeiter erhalten nur Berechtigungen für Bereiche, die sie für ihre Arbeit benötigen
• Verpflichtung aller Beschäftigten auf Vertraulichkeit durch vertragliche Vereinbarungen
• Regelmäßige Schulungen zum Datenschutz und zur Erkennung von Phishing-Versuchen
• Dokumentierte Notfallpläne für potenzielle Sicherheitsvorfälle mit klaren Verantwortlichkeiten
• Periodische externe Audits durch unabhängige IT-Sicherheitsexperten

Ihre Einfluss- und Kontrollmöglichkeiten

Sie besitzen weitreichende Rechte bezüglich der von uns gehaltenen Informationen. Diese Befugnisse sind nicht bloß theoretischer Natur – wir haben praktikable Mechanismen implementiert, um deren Ausübung zu ermöglichen.

Einsicht und Transparenz

Sie können jederzeit Auskunft darüber verlangen, welche Ihrer Angaben wir speichern. Innerhalb von 30 Tagen nach Eingang einer solchen Anfrage erhalten Sie eine strukturierte Übersicht aller gespeicherten Datensätze, die sich auf Ihre Person beziehen.

Diese Auskunft umfasst nicht nur die Rohdaten selbst, sondern auch Informationen über deren Herkunft, Verwendungszwecke und eventuelle Empfänger. Das Format ist maschinenlesbar – Sie erhalten die Angaben üblicherweise als CSV- oder JSON-Datei.

Korrektur fehlerhafter Angaben

Sollten gespeicherte Informationen unrichtig oder veraltet sein, haben Sie das Recht auf Berichtigung. In vielen Fällen können Sie Änderungen direkt über Ihr Benutzerkonto vornehmen – etwa bei Adressaktualisierungen oder Namensänderungen.

Für Korrekturen, die nicht selbst durchführbar sind, kontaktieren Sie unseren Datenschutzbeauftragten. Wir prüfen die Richtigkeit Ihrer Angaben und nehmen erforderliche Anpassungen binnen fünf Werktagen vor.

Einschränkung und Widerspruch

In bestimmten Situationen können Sie die Verarbeitung Ihrer Angaben einschränken lassen, ohne diese vollständig löschen zu müssen. Das ist beispielsweise sinnvoll, wenn Sie die Richtigkeit bestreiten und wir Zeit zur Prüfung benötigen.

Bei Verarbeitungen, die auf berechtigtem Interesse basieren, steht Ihnen ein Widerspruchsrecht zu. Wir müssen dann nachweisen, dass zwingende Gründe für die Fortsetzung bestehen – andernfalls stellen wir die Verarbeitung ein.

Vollständige Löschung

Sie können die Entfernung all Ihrer Angaben aus unseren Systemen verlangen. Dieses „Recht auf Vergessenwerden" greift besonders dann, wenn die ursprünglichen Erhebungszwecke entfallen sind oder Sie eine zuvor erteilte Einwilligung zurückziehen.

Wir sind jedoch nicht zur Löschung verpflichtet, wenn gesetzliche Aufbewahrungspflichten bestehen. Steuerrechtliche Vorschriften können uns etwa zwingen, bestimmte Geschäftsunterlagen zehn Jahre lang vorzuhalten. In solchen Fällen sperren wir die Angaben für andere Zwecke und löschen sie nach Ablauf der Frist.

Datenübertragbarkeit

Für Informationen, die Sie uns selbst bereitgestellt haben und die wir automatisiert verarbeiten, können Sie eine Kopie in strukturiertem Format anfordern. Diese Daten können Sie dann an einen anderen Anbieter übermitteln.

Technisch unterstützen wir gängige Austauschformate. Bei komplexen Datenstrukturen kann die Übertragung allerdings einige Tage in Anspruch nehmen.

Zeitliche Dimension der Datenhaltung

Unterschiedliche Informationskategorien unterliegen verschiedenen Aufbewahrungslogiken. Wir speichern Angaben nicht unbegrenzt, sondern nur so lange, wie es für definierte Zwecke erforderlich ist.

Kontobezogene Informationen

Solange Ihr Konto aktiv bleibt, bewahren wir die damit verbundenen Angaben auf. Das erscheint selbstverständlich – ohne diese Basisdaten könnten Sie unsere Dienste nicht nutzen.

Nach Kontolöschung halten wir bestimmte Elemente noch 90 Tage in einem Quarantänebereich vor. Das ermöglicht eine Wiederherstellung bei versehentlichen Löschungen. Danach erfolgt die endgültige Entfernung aus produktiven Systemen.

Transaktionsdaten

Abrechnungsrelevante Informationen müssen wir aufgrund steuerrechtlicher Vorgaben zehn Jahre lang aufbewahren. Diese Frist beginnt mit dem Ende des Kalenderjahres, in dem die Transaktion stattfand.

Während dieser Phase bleiben die Angaben zwar gespeichert, werden aber ausschließlich für Prüfungszwecke vorgehalten. Eine operative Nutzung findet nicht mehr statt.

Kommunikationsverläufe

E-Mail-Korrespondenzen und Support-Tickets bewahren wir drei Jahre lang auf. Das erlaubt uns, bei erneuten Anfragen auf frühere Konversationen zurückzugreifen und konsistente Antworten zu geben.

Telefonmitschnitte – sofern erstellt – löschen wir nach sechs Monaten automatisch. Nur in Ausnahmefällen, etwa bei laufenden Rechtsstreitigkeiten, kann eine längere Aufbewahrung notwendig werden.

Technische Protokolle

Server-Logs mit IP-Adressen und Zugriffszeiten speichern wir normalerweise 60 Tage. Diese Zeitspanne genügt zur Fehleranalyse und Sicherheitsüberwachung.

Aggregierte, anonymisierte Statistiken können wir unbegrenzt aufbewahren, da sie keinen Personenbezug mehr aufweisen. Diese Auswertungen helfen uns, langfristige Trends zu erkennen.

Rechtliche Fundamente unserer Datenverarbeitung

Die DSGVO verlangt für jede Verarbeitung eine eindeutige Rechtsgrundlage. Je nach Art der Informationen und Verwendungszweck stützen wir uns auf unterschiedliche Legitimationen.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Bereitstellung unserer Hauptdienste erfordert zwangsläufig die Verarbeitung bestimmter Angaben. Ohne Ihren Namen und E-Mail-Adresse könnten wir keinen Nutzerzugang einrichten. Diese Verarbeitung ist notwendig, um den zwischen uns geschlossenen Vertrag zu erfüllen.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Für Sicherheitsmaßnahmen und Betrugsprävention berufen wir uns auf unser berechtigtes Interesse. Die Abwehr von Cyberangriffen dient nicht nur unserem Schutz, sondern auch dem Ihrer Angaben – eine Interessenabwägung fällt hier deutlich zugunsten der Verarbeitung aus.

Auch bei der Produktverbesserung durch Analyse von Nutzungsmustern stützen wir uns auf berechtigtes Interesse. Wir anonymisieren diese Auswertungen weitgehend, sodass Ihre Privatsphäre kaum beeinträchtigt wird.

Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Bestimmte Aufbewahrungspflichten ergeben sich direkt aus Gesetzen. Steuerrechtliche Vorschriften zwingen uns zur Speicherung von Rechnungsdaten. Auch bei behördlichen Auskunftsersuchen müssen wir unter definierten Voraussetzungen kooperieren.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Für Marketing-Kommunikation oder optionale Zusatzfunktionen holen wir Ihre ausdrückliche Zustimmung ein. Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne Nachteile bei der Nutzung unserer Grunddienste befürchten zu müssen.

Geografischer Geltungsbereich und grenzüberschreitende Aspekte

Unser Hauptsitz befindet sich in Deutschland, und wir unterliegen primär deutschem sowie europäischem Datenschutzrecht. Diese Erklärung gilt für alle Nutzer, unabhängig von deren Standort.

Serverinfrastruktur betreiben wir hauptsächlich in Rechenzentren innerhalb der EU. Sollten technische Gründe eine Nutzung außereuropäischer Dienstleister erfordern, treffen wir angemessene Schutzmaßnahmen gemäß Kapitel V der DSGVO.