Datenschutzerklärung

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

NordPrax GmbH
Rudower Chaussee 29
12489 Berlin
Deutschland

Geschäftsführer: Frank Mahlich
Telefon: auf Anfrage
E-Mail: info@custodio-compliance.de
Website: custodio-compliance.de

Der Datenschutzbeauftragte des Verantwortlichen ist:

David Stegmann
NordPrax GmbH
Rudower Chaussee 29
12489 Berlin

E-Mail: datenschutz@custodio-compliance.de

Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.

Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219
10969 Berlin
Deutschland

Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Website: www.datenschutz-berlin.de

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Custodio ist ein DSGVO-Compliance-SaaS-Tool. Im Rahmen der Nutzung unseres Dienstes können auch besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO betroffen sein, sofern unsere Kunden solche Daten im Rahmen ihrer Compliance-Dokumentation in das System eingeben. Die Verantwortung für die Rechtmäßigkeit dieser Verarbeitung liegt beim jeweiligen Kunden als Verantwortlichem. Wir verarbeiten diese Daten ausschließlich im Auftrag und nach Weisung des Kunden gemäß Art. 28 DSGVO.

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Die wesentlichen Rechtsgrundlagen im Überblick:

1. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
2. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Dies betrifft insbesondere die Registrierung, Kontoerstellung und Nutzung von Custodio.
3. Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Dies betrifft beispielsweise handels- und steuerrechtliche Aufbewahrungspflichten gemäß §§ 147 AO, 257 HGB.
4. Art. 6 Abs. 1 lit. d DSGVO (Lebenswichtige Interessen): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Diese Rechtsgrundlage kommt bei Custodio in der Praxis nicht zur Anwendung.
5. Art. 6 Abs. 1 lit. e DSGVO (Öffentliches Interesse): Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Diese Rechtsgrundlage kommt bei Custodio nicht zur Anwendung.
6. Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Dies betrifft insbesondere die Protokollierung von Server-Logfiles zur Gewährleistung der IT-Sicherheit.

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde.

Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Gesetzliche Aufbewahrungspflichten, die eine längere Speicherung erfordern können:

• Handelsrechtliche Aufbewahrungspflicht (§ 257 HGB): 6 bzw. 10 Jahre
• Steuerrechtliche Aufbewahrungspflicht (§ 147 AO): 6 bzw. 10 Jahre
• Aufbewahrung von Rechnungen (§ 14b UStG): 10 Jahre

Soweit wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenlegen, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies ausschließlich auf Grundlage einer gesetzlichen Erlaubnis, einer Einwilligung der betroffenen Person oder aufgrund einer rechtlichen Verpflichtung.

Sofern wir Dritte mit der Verarbeitung von Daten auf Grundlage eines sogenannten Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO beauftragen, stellen wir durch geeignete technische und organisatorische Maßnahmen sicher, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. Eine Übersicht unserer Auftragsverarbeiter finden Sie in Abschnitt XIII dieser Datenschutzerklärung.

Sofern wir Daten in einem Drittland (d. h. außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums) verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter geschieht, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben der Art. 44–49 DSGVO.

Die Übermittlung erfolgt vorbehaltlich gesetzlicher Erlaubnis auf Grundlage von:

• Angemessenheitsbeschlüssen der Europäischen Kommission gemäß Art. 45 DSGVO (z. B. EU-U.S. Data Privacy Framework),
• Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit dem Durchführungsbeschluss (EU) 2021/914, oder
• ausdrücklicher Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 lit. a DSGVO.

Aktuell betrifft die Drittlandübermittlung ausschließlich die Zahlungsabwicklung über Stripe Inc. (USA). Näheres hierzu finden Sie in Abschnitt XII.

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie betroffene Person im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@custodio-compliance.de

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:

1. die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
2. die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
3. die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
4. die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
7. alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Wir stellen Ihnen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die Sie beantragen, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.

Sie haben das Recht, von dem Verantwortlichen unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten unter den folgenden Voraussetzungen verlangen:

1. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen Daten bestreiten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
2. die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen; oder
4. wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung eingeschränkt, dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

1. Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
3. Sie legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
4. Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
6. Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Ausnahmen: Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern:

1. die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und
2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Custodio bietet einen Datenexport im JSON- und CSV-Format an, um die Ausübung dieses Rechts zu erleichtern.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruch gegen Direktwerbung: Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Hinweis: Custodio betreibt keine Direktwerbung an betroffene Personen der Kunden.

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Den Widerruf können Sie jederzeit formlos an datenschutz@custodio-compliance.de richten oder direkt in Ihrem Custodio-Nutzerkonto unter den Datenschutzeinstellungen vornehmen.

Jede betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Custodio nutzt keine automatisierte Entscheidungsfindung und kein Profiling im Sinne des Art. 22 DSGVO. Der in Custodio integrierte KI-Assistent dient ausschließlich als Unterstützungswerkzeug und trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung. Alle Bewertungen und Entscheidungen obliegen dem jeweiligen Nutzer.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Website: www.datenschutz-berlin.de

Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

• IP-Adresse des anfragenden Rechners (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
• Name des Access-Providers
• übertragene Datenmenge
• HTTP-Statuscode

Rechtsgrundlage

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Gewährleistung der IT-Sicherheit, der Stabilität und Funktionsfähigkeit unserer Website sowie der Erkennung und Abwehr von Angriffen.

Speicherdauer

Die Daten werden nach spätestens 7 Tagen gelöscht. Eine weitergehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer anonymisiert, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

Beschreibung und Umfang der Datenverarbeitung

Unsere Website verwendet ausschließlich technisch notwendige Cookies. Es werden keine Analyse-Cookies, Tracking-Cookies oder Werbe-Cookies eingesetzt.

Folgende technisch notwendige Cookies werden gesetzt:

• Session-Cookie: Enthält die Session-ID für die Dauer Ihrer Sitzung. Wird nach Schließen des Browsers gelöscht.
• CSRF-Token: Dient dem Schutz vor Cross-Site-Request-Forgery-Angriffen. Wird nach Schließen des Browsers gelöscht.

Rechtsgrundlage

Die Rechtsgrundlage für die Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website) in Verbindung mit § 25 Abs. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Technisch notwendige Cookies sind gemäß § 25 Abs. 2 TDDDG von der Einwilligungspflicht ausgenommen, da sie für die Bereitstellung des vom Nutzer ausdrücklich angefragten Dienstes unbedingt erforderlich sind.

Widerspruchs- und Beseitigungsmöglichkeit

Sie können Ihren Browser so konfigurieren, dass keine Cookies gespeichert werden oder bereits gespeicherte Cookies gelöscht werden. Bitte beachten Sie, dass die Deaktivierung technisch notwendiger Cookies die Funktionalität unserer Website einschränken kann. Anleitungen hierzu finden Sie in der Hilfe-Funktion Ihres Browsers.

Hinweis: Da wir ausschließlich technisch notwendige Cookies verwenden, ist kein Cookie-Consent-Banner erforderlich.

Beschreibung und Umfang der Datenverarbeitung

Für die Nutzung von Custodio ist eine Registrierung erforderlich. Im Rahmen der Registrierung erheben wir folgende personenbezogene Daten:

• E-Mail-Adresse
• Firmenname / Name der Organisation
• Passwort (wird ausschließlich als bcrypt-Hash gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)

Zusätzlich werden im Rahmen der Kontonutzung folgende Daten erhoben:

• Zeitpunkt der Registrierung und des letzten Logins
• Gewählter Tarif und Abrechnungsinformationen

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung der bei der Registrierung erhobenen Daten ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. Durchführung vorvertraglicher Maßnahmen).

Zweck der Datenverarbeitung

Die Registrierung ist für die Bereitstellung des SaaS-Dienstes Custodio und die Erfüllung des Nutzungsvertrags erforderlich. Die Daten dienen der Identifikation, Authentifizierung und Verwaltung des Nutzerkontos.

Speicherdauer

Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung des Vertragsverhältnisses werden die Daten gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) einer Löschung entgegenstehen. In diesem Fall erfolgt die Löschung nach Ablauf der jeweiligen Aufbewahrungsfrist.

Beschreibung und Umfang der Datenverarbeitung

Im Rahmen der Nutzung von Custodio geben Kunden Compliance-relevante Daten in das System ein. Dies können unter anderem sein:

• Verzeichnisse von Verarbeitungstätigkeiten (VVT)
• Technische und organisatorische Maßnahmen (TOM)
• Datenschutz-Folgenabschätzungen (DSFA)
• Verträge zur Auftragsverarbeitung (AVV)
• Dokumentation von Datenschutzvorfällen
• Mitarbeiterschulungen und Nachweise

Mandantentrennung

Sämtliche Kundendaten werden ausschließlich innerhalb des jeweiligen Kunden-Tenants gespeichert. Eine strikte logische Mandantentrennung stellt sicher, dass kein Zugriff auf Daten anderer Kunden möglich ist. Die Daten werden zu keinem anderen Zweck als der Bereitstellung des vertraglich vereinbarten Dienstes verwendet.

Hosting und Verschlüsselung

• Hosting-Standort: Deutschland (Strato AG / Hetzner Online GmbH)
• Verschlüsselung bei Übertragung: TLS 1.3
• Verschlüsselung im Ruhezustand: AES-256 (at rest)

Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 28 DSGVO (Auftragsverarbeitung), soweit Custodio Daten im Auftrag des Kunden verarbeitet.

Beschreibung und Umfang der Datenverarbeitung

Custodio enthält einen KI-gestützten Assistenten, der Nutzern bei DSGVO-relevanten Fragestellungen unterstützt. Der KI-Assistent basiert auf folgender Technologie:

• Modell: Qwen 2.5 (Open-Source-Modell)
• Betrieb: Vollständig auf eigenem Server in Deutschland (Hetzner Online GmbH)
• Inferenz: Lokal auf unserem Server mittels Ollama

Keine Datenweitergabe an Dritte

Es erfolgt keine Weitergabe von Daten an externe KI-Anbieter. Insbesondere werden keine Daten an OpenAI, Google, Microsoft, Meta oder sonstige Drittanbieter übermittelt. Sämtliche Anfragen werden lokal auf unserem eigenen Server verarbeitet.

Kein Training mit Kundendaten

Die Eingaben der Nutzer werden nicht zum Training oder zur Verbesserung des KI-Modells verwendet. Das Modell wird ausschließlich in seiner vortrainierten Form eingesetzt.

Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da der KI-Assistent Bestandteil des vertraglich vereinbarten Dienstes ist.

Beschreibung und Umfang der Datenverarbeitung

Wir versenden Systembenachrichtigungen (z. B. Registrierungsbestätigung, Fristenerinnerungen, Berichtsbenachrichtigungen) per E-Mail über unseren SMTP-Server. Der E-Mail-Versand erfolgt über Server in Deutschland.

Kein Tracking

Unsere E-Mails enthalten keine Tracking-Pixel und keine Öffnungsraten-Messung. Es werden keine Klick-Trackings oder vergleichbare Analysemethoden eingesetzt.

Rechtsgrundlage

Rechtsgrundlage für den Versand transaktionaler E-Mails ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die E-Mails dienen der ordnungsgemäßen Durchführung des Nutzungsvertrags.

Widerspruchsmöglichkeit

Optionale Benachrichtigungen (z. B. Fristenerinnerungen) können in den Kontoeinstellungen deaktiviert werden. Systemkritische E-Mails (z. B. Sicherheitswarnungen, Passwortzurücksetzung) können nicht deaktiviert werden, da sie für die Sicherheit des Kontos erforderlich sind.

Beschreibung und Umfang der Datenverarbeitung

Für die Zahlungsabwicklung nutzen wir den Dienst des folgenden Anbieters:

Stripe Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA
Datenschutzerklärung: https://stripe.com/de/privacy

Verarbeitete Daten

Im Rahmen der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt bzw. dort verarbeitet:

• Zahlungskarteninformationen (Kartennummer, Ablaufdatum, CVC)
• E-Mail-Adresse für Zahlungsbestätigungen
• Rechnungsadresse
• Transaktionsbetrag und Währung

Wichtiger Hinweis: Kartendaten werden ausschließlich bei Stripe gespeichert und zu keinem Zeitpunkt an unsere Server übermittelt oder dort gespeichert. Stripe ist PCI DSS Level 1 zertifiziert.

Datenschutzvertrag

Mit Stripe besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO. Für die Übermittlung personenbezogener Daten in die USA stützen wir uns auf:

• das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie
• zusätzlich vereinbarte Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Zahlungsabwicklung ist für die Erfüllung des Nutzungsvertrags erforderlich.

Wir setzen zur Erbringung unserer Dienste die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem Auftragsverarbeiter wurde ein Auftragsverarbeitungsvertrag (AVV) bzw. Data Processing Agreement (DPA) abgeschlossen:

1. Strato AG

• Leistung: Webhosting, Datenbankhosting, E-Mail-Server
• Anschrift: Pascalstraße 10, 10587 Berlin, Deutschland
• Serverstandort: Deutschland
• AVV: vorhanden

2. Hetzner Online GmbH

• Leistung: KI-Server (Ollama/Qwen 2.5), Backup-Server
• Anschrift: Industriestraße 25, 91710 Gunzenhausen, Deutschland
• Serverstandort: Deutschland
• AVV: vorhanden

3. Stripe Inc.

• Leistung: Zahlungsabwicklung
• Anschrift: 354 Oyster Point Blvd, South San Francisco, CA 94080, USA
• Serverstandort: USA / EU
• DPA: vorhanden
• SCC: vorhanden (gemäß Art. 46 Abs. 2 lit. c DSGVO)
• EU-U.S. Data Privacy Framework: Stripe ist zertifiziert

Weitere Auftragsverarbeiter werden nicht eingesetzt. Bei Änderungen wird diese Liste aktualisiert.

Diese Website nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Wir verwenden für die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern HTTPS mit aktuellen TLS-Zertifikaten von Let’s Encrypt. Die Konfiguration unserer Server unterstützt ausschließlich moderne Cipher-Suiten und Protokollversionen (TLS 1.2 und TLS 1.3).

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026.

Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Website unter custodio-compliance.de/datenschutz von Ihnen abgerufen und ausgedruckt werden.