Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für die in dieser Erklärung beschriebenen Verarbeitungen ist:

Weitere Pflichtangaben stellen wir zusätzlich im Impressum bereit. Wenn in der Konfiguration abweichende Unternehmens- oder Kontaktdaten hinterlegt sind, gelten diese veröffentlichten Angaben.

2. Rollenverständnis: Verantwortlicher und Auftragsverarbeiter

Für den Betrieb der Homepage, Kontaktanfragen, Testzugänge, Nutzerkonten, Verträge, Rechnungen, Zahlungen, technische Sicherheit, Produktkommunikation und die Verwaltung von Integrationen handeln wir grundsätzlich als Verantwortlicher.

Soweit unsere Kunden in InsideCRM eigene Leads, Kontakte, Deals, Tickets, Dokumente, Kommunikationsinhalte, Kalenderdaten oder andere Geschäftsdaten verwalten, verarbeiten wir diese Daten in der Regel als Auftragsverarbeiter nach Weisung des jeweiligen Kunden. In diesem Fall richtet sich die datenschutzrechtliche Zulässigkeit der fachlichen Verarbeitung primär nach dem Kundenverhältnis und den dort vereinbarten Verträgen, insbesondere einer AVV.

3. Kategorien personenbezogener Daten

• Website- und Kontaktdaten, etwa Name, E-Mail-Adresse, Team/Bereich, Nachrichteninhalt, IP-Adresse, Zeitstempel und technische Metadaten.
• Account- und Registrierungsdaten, etwa Anmeldename, E-Mail-Adresse, Rollen, Login-Status, Zwei-Faktor-Status und Verifikationsdaten.
• Vertrags- und Billing-Daten, etwa Firma, Rechnungsadresse, USt-IdNr., Vertragsstatus, Lizenzdaten, Zahlungsstatus und abrechnungsrelevante Metadaten.
• Integrationsdaten, etwa OAuth-Kennungen, Scopes, Refresh- und Access-Token, Postfach- oder Kalenderreferenzen sowie Synchronisationsmetadaten.
• Plattform- und CRM-Inhaltsdaten, soweit Kunden diese in InsideCRM verarbeiten, etwa Kontakt-, Deal-, Ticket-, Notiz-, Datei-, E-Mail-, Kalender- oder Messaging-Inhalte.
• Audio-, Sprach- und KI-bezogene Daten, wenn Nutzer entsprechende Funktionen aktiv verwenden, etwa Audioanhänge, Transkripte, Prompts, Zusammenfassungen oder KI-Ausgaben.
• Sicherheits- und Protokolldaten, etwa IP-Adressen, Geräteinformationen, Session-IDs, Fehlerlogs, Audit-Logs und Missbrauchsindikatoren.

4. Zwecke und Rechtsgrundlagen

• Bereitstellung der Website und Beantwortung von Anfragen auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.
• Registrierung, Bereitstellung von Testzugängen, Nutzerkonten, Authentifizierung und Support auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
• Vertragsmanagement, Billing, Zahlungsabwicklung und Rechnungsstellung auf Grundlage von Art. 6 Abs. 1 lit. b und lit. c DSGVO.
• Missbrauchsprävention, IT-Sicherheit, Protokollierung, Fehleranalyse und Betriebsstabilität auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
• Einsatz optionaler Integrationen wie Google- oder Microsoft-Login, Mail- oder Kalender-Sync auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und, soweit erforderlich, Art. 6 Abs. 1 lit. a DSGVO.
• Optionale KI- und Transkriptionsfunktionen zur nutzerseitig angeforderten Verarbeitung von Inhalten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO beziehungsweise Art. 6 Abs. 1 lit. a DSGVO, soweit eine gesonderte Einwilligung oder Aktivierung erforderlich ist.

5. Kontaktformular und Website-Kommunikation

Wenn du uns über das Kontaktformular kontaktierst, verarbeiten wir deinen Namen, deine E-Mail-Adresse, dein Team beziehungsweise deinen Bereich, deine Nachricht, technische Verbindungsdaten und den CAPTCHA-Nachweis, um deine Anfrage zu prüfen, zu beantworten und Missbrauch zu verhindern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, wenn sich deine Anfrage auf eine Vertragsanbahnung oder einen bestehenden Vertrag bezieht, ansonsten Art. 6 Abs. 1 lit. f DSGVO. Kontaktanfragen speichern wir grundsätzlich bis zur abschließenden Bearbeitung und danach noch bis zu 12 Monate, sofern keine gesetzliche Aufbewahrungspflicht oder ein Anschlussvertrag eine längere Speicherung erfordert.

6. Login, SSO und OAuth-Integrationen

Wenn du Single-Sign-on oder OAuth-Integrationen mit Google oder Microsoft nutzt, verarbeiten wir die für Anmeldung, Autorisierung, Token-Verwaltung und Synchronisation erforderlichen Daten. Dazu können insbesondere Benutzerkennung, E-Mail-Adresse, angeforderte Berechtigungen, Tenant- oder Domainbezug, Refresh- und Access-Token sowie technische Ereignis- und Fehlerdaten gehören.

Wir verwenden diese Daten ausschließlich, um die von dir oder deinem Unternehmen aktivierte Funktion bereitzustellen, Zugriffe zu authentifizieren, Postfächer oder Kalender zu verbinden, Synchronisationen auszuführen und sicherheitsrelevante Ereignisse nachzuvollziehen. Wir nutzen Google-Workspace- oder Microsoft-365-Daten nicht für Werbung, verkaufen diese Daten nicht und verwenden sie nicht zum Training allgemeiner KI-Modelle, soweit wir solche Daten aus diesen Diensten erhalten.

7. Google- und Microsoft-Daten

Bei aktivierter Integration können wir je nach Funktionsumfang Profildaten, E-Mail-Metadaten, Inhalte aus verbundenen Postfächern, Kalenderinformationen oder zugehörige Synchronisationsdaten verarbeiten. Welche Daten konkret verarbeitet werden, hängt von den im Consent freigegebenen Berechtigungen und der aktivierten Funktion ab.

Diese Daten verwenden wir ausschließlich zur Bereitstellung der angeforderten Funktionen innerhalb von InsideCRM, etwa für Anmeldung, Postfachanbindung, Terminabgleich, Kommunikation, Suchfunktionen, Automationen oder nutzerseitig ausgelöste CRM-Prozesse. Eine Weitergabe erfolgt nur an technisch erforderliche Dienstleister oder, wenn dies rechtlich geboten ist. Nicht mehr benötigte Token, Verknüpfungen und Synchronisationsdaten löschen oder anonymisieren wir nach Deaktivierung der Integration grundsätzlich innerhalb von 30 Tagen, sofern keine gesetzlichen Pflichten oder laufenden Sicherheitsuntersuchungen entgegenstehen.

8. KI-Funktionen und Audio-Transkription

Wenn KI- oder Transkriptionsfunktionen in InsideCRM aktiviert sind, können Eingaben, Dateien, Audioanhänge, Transkripte, Systemhinweise, generierte Inhalte und technische Nutzungsmetadaten verarbeitet werden, soweit dies für die angeforderte Funktion erforderlich ist.

Wir setzen solche Verarbeitungen ausschließlich ein, um die vom Nutzer ausgelöste Funktion auszuführen, etwa Zusammenfassungen, Textentwürfe, Extraktionen oder Transkripte. Inhalte aus Google- oder Microsoft-Workspace-Integrationen werden dabei nicht zum Training allgemeiner KI-Modelle verwendet. Audio-Dateien und Transkripte löschen wir grundsätzlich mit dem zugrunde liegenden Datensatz oder nach manueller Entfernung; technisch bedingte Zwischenstände werden regelmäßig innerhalb von 30 Tagen bereinigt, sofern keine längere Speicherung durch den Kunden veranlasst ist.

9. Empfänger, Dienstleister und Subprocessor-Kategorien

Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung, zur Bereitstellung aktivierter Funktionen, zur Erfüllung rechtlicher Pflichten oder auf Basis berechtigter Interessen erforderlich ist. Dabei können insbesondere folgende Empfänger oder Kategorien eingebunden sein:

• Hosting und Infrastruktur, etwa Server-, Datenbank-, Storage-, Backup- und Netzwerkdienstleister.
• Zahlungsdienstleister, insbesondere Stripe, für Zahlungsabwicklung, Betrugsprävention und Abrechnung.
• Kommunikations- und Produktivitätsdienste, etwa Microsoft 365, Microsoft Graph, Google Workspace, Teams oder Zoom, sofern Kunden diese Funktionen aktiv verbinden.
• KI- und Transkriptionsdienste, etwa OpenAI, wenn entsprechende Funktionen aktiv eingesetzt werden.
• E-Mail- und Support-Dienste für Systemnachrichten, Rechnungen und Supportkommunikation.

Eine aktuelle Übersicht der konkret eingesetzten Dienstleister, Rollen und Transfermechanismen stellen wir auf Anfrage oder im Rahmen vertraglicher Unterlagen wie AVV, TOMs oder Security-Fragebögen bereit. Soweit Dienstleister als Auftragsverarbeiter eingesetzt werden, schließen wir die erforderlichen Verträge ab.

10. Drittlandtransfers

Soweit wir Dienstleister oder Integrationen mit Sitz außerhalb der EU beziehungsweise des EWR einsetzen oder ein Zugriff aus Drittländern nicht ausgeschlossen werden kann, achten wir auf geeignete Garantien nach Art. 44 ff. DSGVO. Dazu können insbesondere Angemessenheitsbeschlüsse, Standardvertragsklauseln, ergänzende technische und organisatorische Maßnahmen oder andere gesetzlich anerkannte Transfermechanismen gehören.

11. Cookies, Sessions und technische Sicherheit

Wir verwenden auf den öffentlichen Seiten und in der Anwendung technisch erforderliche Cookies, Session-Mechanismen und Sicherheitsfunktionen, insbesondere für Login, Session-Handling, CSRF-Schutz, Lastverteilung, Spracheinstellungen und Missbrauchsprävention. Ohne diese Mechanismen ist ein sicherer Betrieb nicht möglich.

Zum Schutz personenbezogener Daten setzen wir abhängig von der jeweiligen Funktion insbesondere Transportverschlüsselung, rollenbasierte Zugriffe, Protokollierung sicherheitsrelevanter Ereignisse, Zugriffsbeschränkungen, Backup- und Wiederherstellungsverfahren sowie Maßnahmen zur Token- und Geheimnisverwaltung ein.

12. Speicherdauer und Löschung

• Kontaktanfragen: bis zur Erledigung und anschließend in der Regel bis zu 12 Monate.
• Account-, Login- und Sicherheitslogs: in der Regel bis zu 90 Tage, bei sicherheitsrelevanten Vorfällen bis zum Abschluss der Prüfung.
• OAuth-Tokens und Integrationsverknüpfungen: bis zur Trennung der Integration und anschließend in der Regel bis zu 30 Tage für technische Bereinigung.
• Rechnungs-, Zahlungs- und steuerrelevante Unterlagen: nach den gesetzlichen Aufbewahrungsfristen, regelmäßig 6 bis 10 Jahre.
• Backups: rotierend für Disaster-Recovery-Zwecke; Wiederherstellungspunkte werden regelmäßig überschrieben.
• Kundendaten in der Plattform: grundsätzlich nach Weisung des Kunden beziehungsweise nach Vertragsende und Ablauf vereinbarter Export- oder Übergabefristen.

13. Rechte betroffener Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Soweit wir Daten als Auftragsverarbeiter für einen Kunden verarbeiten, solltest du dich mit deinem Anliegen vorrangig an den jeweiligen Kunden als Verantwortlichen wenden. Wir unterstützen unsere Kunden bei der Erfüllung entsprechender Anfragen im Rahmen unserer vertraglichen Pflichten.

14. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen Datenschutzrecht verstößt.