DATENSCHUTZ.

1. Verantwortlicher

Ein Datenschutzbeauftragter ist gesetzlich nicht vorgeschrieben. Für Datenschutz-Anfragen wende dich bitte an die oben genannte E-Mail-Adresse.

2. Verarbeitung im Überblick

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website, unserer Produkte und unserer Dienstleistungen erforderlich ist. Diese Datenschutzerklärung gilt für die Website startandconnect.de sowie für alle unter der Marke „Start & Connect“ angebotenen Produkte und Services.

Welche Daten verarbeiten wir?

• Bestandsdaten: Name, Firma, Anschrift (bei Vertragsschluss)
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Vertragsdaten: Vertragsgegenstand, Laufzeit, Kundenkategorie
• Zahlungsdaten: Zahlungsmethode, Rechnungen (keine Kreditkartennummern auf unseren Servern)
• Nutzungsdaten: Aufgerufene Seiten, Zugriffszeiten, Klickverhalten
• Geräte- und Zugriffsdaten: IP-Adresse, Browsertyp, Betriebssystem, Gerätetyp
• Inhaltsdaten: Vom Kunden gespeicherte Inhalte, Formulareingaben, Nachrichten, Dateien
• Standortdaten: Land und Stadt (abgeleitet aus der IP-Adresse, keine GPS-Ortung)

Wer ist betroffen?

• Besucher der Website startandconnect.de
• Kunden und Geschäftspartner
• Kontaktpersonen (Anfragen per E-Mail oder Formular)
• Nutzer unserer SaaS-Plattformen (NEXUS, SPOTLIGHT)
• Endnutzer der von unseren Kunden betriebenen Plattformen (Auftragsverarbeitung)

Zu welchen Zwecken?

• Bereitstellung und Betrieb der Website und unserer Dienste
• Vertragsanbahnung, Vertragsschluss und Vertragserfüllung
• Beantwortung von Anfragen und Kundenkommunikation
• Abrechnung und Zahlungsabwicklung
• Webanalyse und Optimierung unserer Produkte
• Gewährleistung der IT-Sicherheit und des Serverbetriebs
• Erfüllung gesetzlicher Pflichten (z.B. Aufbewahrungsfristen)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Wenn du uns aktiv Daten übermittelst, z.B. über ein Kontaktformular, oder der Nutzung bestimmter Cookies zustimmst.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Wenn die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, z.B. bei der Bereitstellung unserer SaaS-Produkte oder der Bearbeitung deiner Bestellung.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Wenn wir gesetzlich zur Verarbeitung verpflichtet sind, z.B. durch steuerrechtliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, z.B. für die technische Bereitstellung der Website, die IT-Sicherheit oder die Optimierung unserer Dienste. Unser berechtigtes Interesse überwiegt dabei nicht deine Grundrechte und Grundfreiheiten.

Soweit wir eine Einwilligung eingeholt haben, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

4. Bereitstellung der Website

Server-Logfiles

Beim Aufruf unserer Website werden automatisch Informationen in Server-Logfiles gespeichert, die dein Browser an unseren Server übermittelt:

• Aufgerufene Seite (URL)
• Datum und Uhrzeit des Zugriffs
• Übertragene Datenmenge
• Browsertyp und Browserversion
• Betriebssystem
• Referrer URL (zuvor besuchte Seite)
• IP-Adresse

Diese Daten dienen ausschließlich der technischen Bereitstellung und Sicherheit unserer Website. Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Die Server-Logfiles werden nach 14 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website).

Content Delivery und DNS

Für die DNS-Verwaltung und die Ausstellung von SSL-Zertifikaten nutzen wir den Dienst Cloudflare. Beim Aufruf unserer Website wird deine DNS-Anfrage über die Server von Cloudflare aufgelöst. Dabei kann deine IP-Adresse an Cloudflare übermittelt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und performanten Bereitstellung der Website sowie dem Schutz vor DDoS-Angriffen).

SSL/TLS-Verschlüsselung

Unsere Website und alle unsere Dienste nutzen eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du an dem „https://“ in der Adresszeile deines Browsers. Wenn die SSL/TLS-Verschlüsselung aktiviert ist, können die Daten, die du an uns übermittelst, nicht von Dritten mitgelesen werden.

5. Kontaktaufnahme und Formulare

Auf unserer Website stehen dir verschiedene Kontakt- und Anfrageformulare zur Verfügung. Wenn du ein Formular ausfüllst, werden die von dir eingegebenen Daten an unseren Server übermittelt und gespeichert.

Kontaktformular

Erfasste Daten: Betreff und Nachrichtentext.

Workshop-Anfrage

Erfasste Daten: Name, Firmenname, gewünschtes Thema, Format, Teamgröße, Zeitraum und Nachricht.

Automation-Anfrage

Erfasste Daten: Name, Firmenname, Bereich, gewünschte Leistung und Nachricht.

Alle Formulardaten werden verschlüsselt über HTTPS an unseren Server übermittelt. Eine Weitergabe an Dritte findet nicht statt, sofern dies nicht zur Bearbeitung deiner Anfrage erforderlich ist.

Die Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr erforderlich sind, spätestens nach 6 Monaten, sofern kein Vertragsverhältnis zustande kommt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Kontaktaufnahme per E-Mail

Wenn du uns per E-Mail kontaktierst, werden deine E-Mail-Adresse, dein Name (sofern angegeben) und der Inhalt deiner Nachricht gespeichert. Diese Daten werden ausschließlich zur Bearbeitung deiner Anfrage verwendet. Es gelten die gleichen Löschfristen wie bei Formulardaten.

6. Kundenkonto und Vertragsabwicklung

Wenn du eines unserer Produkte oder Dienstleistungen buchst, verarbeiten wir die folgenden Daten:

Registrierung und Kontoverwaltung

• E-Mail-Adresse (als eindeutige Kennung und für die Kommunikation)
• Passwort (gespeichert als kryptografischer Hash, nicht im Klartext)
• Vor- und Nachname (optional)
• Telefonnummer (optional)
• Profilbild (optional)
• Sprache (Standard: Deutsch)

Bestandsdaten und Vertragsdaten

• Firmenname und USt-IdNr. (für die Rechnungsstellung)
• Vertragsgegenstand, Tarif und Laufzeit
• Bestellhistorie und Rechnungen
• Kundenstatus und Kundenkategorie

Sicherheit

• Zwei-Faktor-Authentifizierung (TOTP-Geheimnis, verschlüsselt gespeichert)
• Sicherheits- und Audit-Protokolle (Login-Zeitpunkte, Rollenänderungen, Passwortänderungen)
• API-Schlüssel (verschlüsselt gespeichert, mit Berechtigungen und Ablaufdatum)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für die Sicherheitsprotokolle: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

7. SaaS-Plattformen (NEXUS, SPOTLIGHT)

Unsere SaaS-Plattformen NEXUS und SPOTLIGHT ermöglichen es Kunden, eigene Websites, Online-Shops und Kundenportale zu betreiben. In diesem Rahmen verarbeiten wir personenbezogene Daten in zwei Rollen:

Wir als Verantwortlicher

Für die Daten unserer direkten Kunden (Kontodaten, Vertragsdaten, Zahlungsdaten) sind wir Verantwortlicher im Sinne der DSGVO. Diese Verarbeitung ist in den Abschnitten 6, 8, 9, 10 und 11 dieser Datenschutzerklärung beschrieben.

Wir als Auftragsverarbeiter

Für die Daten der Endnutzer unserer Kunden (Besucher und Nutzer der vom Kunden betriebenen Plattformen) sind wir Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung sind in der Vereinbarung zur Auftragsverarbeitung (AVV) geregelt, die Bestandteil unserer AGB ist (Anlage 1).

Im Rahmen der Auftragsverarbeitung können folgende Daten der Endnutzer verarbeitet werden:

• Stammdaten (Name, Firma, Anschrift)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Nutzungsdaten (Login-Daten, Aktivitätsprotokolle, IP-Adressen)
• Inhaltsdaten (vom Endnutzer gespeicherte Inhalte, Nachrichten, Dateien)
• Kommunikationsdaten (Chat-Nachrichten, E-Mail-Inhalte)
• Vertragsdaten (Bestellungen, Abonnements, Transaktionshistorie)

Jede Kundeninstanz verfügt über eine eigene, isolierte Datenbank und einen eigenen Docker-Container. Eine mandantenübergreifende Datenverarbeitung findet nicht statt.

8. Webanalyse

Website (startandconnect.de)

Auf unserer Marketing-Website setzen wir keine Analyse-Tools, Tracking-Cookies oder Werbe-Pixel ein. Es findet kein Tracking von Besuchern statt.

SaaS-Plattformen (NEXUS)

Unsere SaaS-Plattform NEXUS verfügt über eine integrierte Webanalyse, die vom jeweiligen Kunden für seine Plattform aktiviert werden kann. Dabei werden folgende Daten erhoben:

• Seitenaufrufe: Aufgerufene URL, Verweildauer, Referrer
• Besucher-ID: Pseudonyme Kennung in einem Cookie (_nxid, Gültigkeit: 1 Jahr)
• Session-ID: Temporäre Kennung pro Browser-Sitzung (sessionStorage)
• Geräteinformationen: Gerätetyp (Desktop, Mobil, Tablet), Browser, Betriebssystem
• Standort: Land und Stadt (abgeleitet aus der IP-Adresse per GeoIP-Datenbank)
• Kampagnenparameter: UTM-Parameter (utm_source, utm_medium, utm_campaign, utm_term, utm_content)
• Conversion-Events: Registrierungen, Bestellabschlüsse und benutzerdefinierte Events

Die IP-Adresse wird ausschließlich zur Standortermittlung verwendet und nicht dauerhaft gespeichert. Die Analyse-Daten werden regelmäßig automatisch bereinigt (konfigurierbare Aufbewahrungsdauer).

Die Webanalyse respektiert die Do-Not-Track-Einstellung (DNT) des Browsers und kann über den Cookie-Banner der jeweiligen Plattform deaktiviert werden.

Diese Datenverarbeitung erfolgt im Rahmen der Auftragsverarbeitung für unsere Kunden. Der jeweilige Kunde ist als Verantwortlicher für die Rechtmäßigkeit der Webanalyse auf seiner Plattform verantwortlich.

Rechtsgrundlage (aus Sicht des Kunden): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse des Nutzerverhaltens) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner).

9. Newsletter und E-Mail-Marketing

Newsletter unserer Kunden (Auftragsverarbeitung)

Unsere SaaS-Plattform NEXUS enthält eine Newsletter-Funktion, die unsere Kunden für den Versand von Marketing-E-Mails an ihre eigenen Kontakte nutzen können. Im Rahmen dieser Funktion können folgende Daten verarbeitet werden:

• E-Mail-Adressen und Namen der Empfänger
• Kontaktlisten und Segmentierungen
• Öffnungs- und Klickverhalten (sofern vom Kunden aktiviert)
• Abmeldungen und Beschwerden
• Kampagnenstatistiken (Zustellrate, Öffnungsrate, Klickrate)

Die Öffnungsmessung erfolgt über ein Zählpixel in der E-Mail. Die Klickmessung erfolgt über Weiterleitungslinks. Beide Funktionen sind vom Kunden konfigurierbar und können deaktiviert werden.

Diese Verarbeitung erfolgt im Auftrag unserer Kunden. Der jeweilige Kunde ist für die Einholung der erforderlichen Einwilligung seiner Empfänger verantwortlich.

Eigener Newsletter (Start & Connect)

Sofern wir einen eigenen Newsletter anbieten, erfolgt der Versand nur mit deiner ausdrücklichen Einwilligung (Double-Opt-In). Du kannst dich jederzeit über den Abmeldelink in jeder E-Mail vom Newsletter abmelden.

Zur Optimierung unserer Newsletter-Inhalte werten wir pseudonym aus, ob E-Mails geöffnet und welche Links geklickt werden. Diese Auswertung erfolgt auf unserer eigenen Infrastruktur und wird nicht an Dritte weitergegeben. Du kannst der Auswertung jederzeit widersprechen, indem du dich vom Newsletter abmeldest.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

10. Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe. Bei einer Zahlung werden deine Zahlungsdaten (z.B. Kreditkartennummer, IBAN) direkt an Stripe übermittelt und dort verarbeitet.

Wir speichern keine vollständigen Zahlungsdaten auf unseren Servern. Auf unseren Systemen werden lediglich gespeichert:

• Stripe-Kunden-ID (Zuordnung zu deinem Kundenkonto)
• Zahlungsstatus (erfolgreich, ausstehend, fehlgeschlagen)
• Letzte vier Ziffern der Kreditkarte bzw. IBAN (zur Anzeige in deinem Konto)
• Zahlungsmethode (Kreditkarte, SEPA-Lastschrift etc.)
• Beträge und Währung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. E-Mail-Versand

Für den Versand von Transaktions-E-Mails (z.B. Registrierungsbestätigungen, Passwortzurücksetzungen, Bestellbestätigungen, Rechnungen) nutzen wir den Dienst Mailgun.

Beim Versand einer E-Mail werden folgende Daten an Mailgun übermittelt:

• E-Mail-Adresse des Empfängers
• Name des Empfängers (sofern vorhanden)
• Betreff und Inhalt der E-Mail
• Absenderadresse

Auf unseren Servern protokollieren wir den E-Mail-Versand (Empfänger, Betreff, Status, Zeitpunkt), um die Zustellbarkeit sicherzustellen und Probleme zu diagnostizieren.

Sofern ein Kunde in NEXUS oder SPOTLIGHT einen eigenen E-Mail-Dienst (SMTP) konfiguriert, erfolgt der Versand über den vom Kunden gewählten Dienst. In diesem Fall hat der Kunde seine eigene Datenschutzvereinbarung mit dem jeweiligen Anbieter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. KI-gestützte Funktionen

Unsere SaaS-Plattform NEXUS bietet KI-gestützte Funktionen (z.B. Chatbot-Plugin, Textgenerierung). Alle KI-Anfragen werden über den AI Gateway des Anbieters geleitet. Der Anbieter verwaltet die API-Schlüssel zentral. Kunden können keine eigenen API-Schlüssel hinterlegen.

Bei der Nutzung von KI-Funktionen werden folgende Daten an den jeweiligen KI-Dienstleister übermittelt:

• Die Eingabe des Nutzers (Prompt, Nachricht, zu verarbeitender Text)
• Kontextdaten (z.B. frühere Nachrichten im Chat-Verlauf)

Es werden keine personenbezogenen Kundendaten, Kontoinformationen oder Zahlungsdaten an KI-Dienstleister übermittelt. Der Umfang der übermittelten Daten hängt davon ab, welche Inhalte der Nutzer in die KI-Funktion eingibt.

Der Kunde wählt den gewünschten KI-Anbieter für seine Instanz aus. Folgende Anbieter stehen zur Verfügung:

Wir protokollieren den KI-Verbrauch (Anbieter, Modell, Tokenanzahl, Kosten) zu Abrechnungszwecken. Der Inhalt der Anfragen und Antworten wird nicht von uns gespeichert.

Für US-amerikanische Anbieter gelten EU-Standardvertragsklauseln (siehe Abschnitt 18). Mistral AI hat seinen Sitz in Frankreich (EU) und unterliegt unmittelbar der DSGVO.

Diese Datenverarbeitung erfolgt im Rahmen der Auftragsverarbeitung für unsere Kunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

13. Hosting-Dienste

Wir bieten Managed-Hosting-Dienste für Open-Source-Software an (z.B. n8n, WordPress, Plausible Analytics). Dabei richten wir dedizierte Server-Instanzen auf unserer Infrastruktur bei Hetzner ein und betreiben diese im Auftrag des Kunden.

Im Rahmen der Hosting-Dienste verarbeiten wir personenbezogene Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO. Jede Kundeninstanz läuft in einem eigenen Docker-Container mit eigener Datenbank. Eine Vermischung von Daten verschiedener Kunden findet nicht statt.

Die auf den Hosting-Instanzen gespeicherten Daten werden vom Kunden bestimmt und verantwortet. Wir haben keinen Zugriff auf die Inhalte, außer im Rahmen von Wartungsarbeiten oder auf ausdrücklichen Wunsch des Kunden.

Der Kunde ist als Verantwortlicher für die Einhaltung der datenschutzrechtlichen Anforderungen auf seiner Hosting-Instanz verantwortlich (z.B. eigene Datenschutzerklärung, Cookie-Banner, Einwilligungen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung).

14. Eingebettete YouTube-Videos

Auf einigen Seiten unserer Website binden wir YouTube-Videos ein. Wir verwenden dabei den erweiterten Datenschutzmodus (youtube-nocookie.com). In diesem Modus setzt YouTube keine Tracking-Cookies, solange du das Video nicht abspielst.

Beim Abspielen eines Videos wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei werden folgende Daten an YouTube übermittelt:

• Deine IP-Adresse
• Die aufgerufene Seite mit dem eingebetteten Video
• Geräte- und Browserinformationen

Wenn du in einem Google-Konto eingeloggt bist, kann YouTube den Videoaufruf deinem Konto zuordnen. Wir empfehlen, dich vor dem Abspielen bei Google abzumelden, wenn du dies vermeiden möchtest.

Wir verwenden ein Lazy-Load-Verfahren: Vor dem Klick wird nur ein Vorschaubild geladen, kein YouTube-iframe. Erst beim Klick auf das Video wird die Verbindung zu YouTube hergestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ansprechenden Darstellung unserer Inhalte).

15. Webschriftarten (Google Fonts)

Diese Website nutzt die Schriftarten „Inter“ und „JetBrains Mono“ von Google Fonts. Die Schriftarten werden derzeit über die Server von Google geladen (dynamische Einbindung). Dabei wird deine IP-Adresse an Google übermittelt.

Hinweis: Wir arbeiten an einer Umstellung auf lokales Hosting der Schriftarten, um die Übermittlung deiner IP-Adresse an Google vollständig zu vermeiden. Bis zur Umstellung erfolgt die Einbindung über die Google-Server.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen typografischen Darstellung). Wir weisen darauf hin, dass das LG München I (Az. 3 O 17493/20, 20.01.2022) die dynamische Einbindung von Google Fonts ohne Einwilligung als datenschutzwidrig eingestuft hat. Die Umstellung auf lokales Hosting ist daher geplant.

16. Cookies und lokale Speicherung

Website (startandconnect.de)

Unsere Marketing-Website verwendet keine Cookies. Wir nutzen ausschließlich den lokalen Speicher (localStorage) des Browsers für eine einzige Einstellung:

• theme - Speichert deine Präferenz für Dark Mode oder Light Mode. Wird nur lokal in deinem Browser gespeichert und nie an unseren Server übermittelt.

Wir setzen keine Tracking-Cookies, Analyse-Tools, Werbe-Cookies oder Social-Media-Plugins ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der nutzerfreundlichen Darstellung). Eine Einwilligung ist nicht erforderlich, da es sich um eine technisch notwendige Funktionalität handelt (vgl. § 25 Abs. 2 Nr. 2 TDDDG).

SaaS-Plattformen (NEXUS, SPOTLIGHT)

Auf den von unseren Kunden betriebenen NEXUS- und SPOTLIGHT-Plattformen können folgende Cookies und Speichertechnologien zum Einsatz kommen:

Unsere NEXUS-Plattform bietet einen konfigurierbaren Cookie-Banner, über den Endnutzer granular über die Nutzung von Analyse- und Marketing-Cookies entscheiden können. Die Einstellung wird respektiert.

17. Empfänger und Dienstleister

Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung erforderlich ist, du eingewilligt hast oder wir gesetzlich dazu verpflichtet sind. Folgende Kategorien von Empfängern können Daten erhalten:

Auftragsverarbeiter (Art. 28 DSGVO)

Mit allen Auftragsverarbeitern haben wir Verträge gemäß Art. 28 DSGVO geschlossen.

Sonstige Empfänger

• Subunternehmer und Freelancer: Im Rahmen von Dienstleistungsprojekten können Dritte beteiligt werden. Diese sind vertraglich zur Vertraulichkeit verpflichtet.
• Behörden: Nur bei gesetzlicher Verpflichtung (z.B. Steuerprüfung, richterliche Anordnung).

18. Datenweitergabe in Drittländer

Einige unserer Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. Bei der Übermittlung personenbezogener Daten in Drittländer stellen wir durch geeignete Garantien sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

EU-Standardvertragsklauseln (SCC)

Mit allen US-amerikanischen Dienstleistern haben wir EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Diese Klauseln verpflichten die Empfänger, die personenbezogenen Daten auf einem der DSGVO vergleichbaren Niveau zu schützen.

EU-US Data Privacy Framework

Soweit US-Dienstleister unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, besteht zusätzlich ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO.

Betroffene Dienste

Mistral AI (Paris, Frankreich) unterliegt als EU-Unternehmen unmittelbar der DSGVO. Eine Drittlandübermittlung findet nicht statt.

19. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Nach Ablauf der Speicherdauer werden die Daten gelöscht oder anonymisiert. Die Löschung umfasst auch sämtliche Backups nach deren regulierer Überschreibung.

20. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um deine Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen:

• Verschlüsselung: Alle Datenübertragungen erfolgen über SSL/TLS (HTTPS). Sensible Daten (API-Schlüssel, TOTP-Geheimnisse, Zugangsdaten) werden in der Datenbank verschlüsselt gespeichert.
• Zugangskontrolle: SSH-Schlüssel-Authentifizierung für Server, individuelle Administratorkonten, rollenbasiertes Berechtigungskonzept.
• Mandantentrennung: Jeder Kunde erhält eine eigene Datenbank und einen eigenen Docker-Container. Eine logische und physische Trennung der Kundendaten ist gewährleistet.
• Passwort-Hashing: Passwörter werden ausschließlich als kryptografische Hashes (bcrypt) gespeichert und können nicht im Klartext ausgelesen werden.
• Datensicherung: Regelmäßige automatische Backups aller Systeme. Monitoring und automatische Neustarts bei Ausfällen.
• Serverstandort: Alle primären Server befinden sich in deutschen Rechenzentren der Hetzner Online GmbH mit physischen Sicherheitsmaßnahmen (Zutrittskontrolle, Überwachung).

21. Deine Rechte

Du hast jederzeit folgende Rechte gegenüber uns:

• Auskunft (Art. 15 DSGVO): Du kannst Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir von dir verarbeiten, sowie eine Kopie dieser Daten erhalten.
• Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen, z.B. wenn die Richtigkeit der Daten bestritten wird.
• Datenübertragbarkeit (Art. 20 DSGVO): Du kannst verlangen, dass wir dir deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen oder an einen anderen Verantwortlichen übermitteln.
• Widerspruch (Art. 21 DSGVO): Du kannst aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einlegen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO)

Soweit wir deine personenbezogenen Daten zum Zwecke der Direktwerbung verarbeiten, hast du das Recht, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Wenn du widersprichst, werden deine Daten nicht mehr für Direktwerbung verwendet. Den Widerspruch kannst du formlos per E-Mail oder über den Abmeldelink in jeder Marketing-E-Mail einlegen.

Zur Ausübung deiner Rechte wende dich bitte an: datenschutz@startandconnect.de

Wir werden dein Anliegen unverzüglich, spätestens innerhalb eines Monats, bearbeiten (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann die Frist um weitere zwei Monate verlängert werden, worüber wir dich informieren.

22. Automatisierte Entscheidungsfindung

Wir treffen keine automatisierten Entscheidungen gemäß Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen. Alle geschäftsrelevanten Entscheidungen (z.B. Vertragszulassung, Kontoänderungen, Rechnungsstellung) werden von natürlichen Personen getroffen oder zumindest überprüft.

Die in Abschnitt 12 beschriebenen KI-Funktionen (Chatbot, Textgenerierung) dienen ausschließlich als Hilfsmittel und treffen keine eigenständigen Entscheidungen über Vertragsverhältnisse oder Rechte von Betroffenen.

23. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Du bist nicht verpflichtet, uns personenbezogene Daten zur Verfügung zu stellen.

Allerdings ist die Bereitstellung bestimmter Daten für den Vertragsschluss und die Nutzung unserer Dienste erforderlich. Ohne diese Daten können wir den Vertrag nicht erfüllen:

• E-Mail-Adresse: Erforderlich für die Registrierung, die Kommunikation und den Versand von Rechnungen.
• Zahlungsdaten: Erforderlich für die Abwicklung kostenpflichtiger Dienste.
• Firmenname und USt-IdNr.: Erforderlich für die korrekte Rechnungsstellung an Unternehmen.

Wenn du ein Kontaktformular nutzt, ist die Bereitstellung der abgefragten Daten freiwillig. Ohne die Daten können wir deine Anfrage jedoch nicht bearbeiten.

24. Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

25. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen, neue Technologien oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung findest du immer auf dieser Seite.

Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir dich gesondert (z.B. per E-Mail oder durch einen Hinweis auf unserer Website).