Datenschutzerklärung
1. Verantwortlicher
2. Überblick der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Websites (conever.eu, conever.io) und der darüber angebotenen Leistungen erforderlich ist. Die Verarbeitung erfolgt ausschließlich auf Grundlage gesetzlicher Erlaubnisse.
3. Hosting & Infrastruktur
3.1 Webseite (conever.eu) & Frontend (conever.io)
Webseite und Frontend der Applikation werden über Netlify, Inc. (San Francisco, USA) gehostet. Netlify liefert statische Dateien aus und betreibt Serverless Functions, die als Vermittler für bestimmte API-Aufrufe dienen (z. B. Admin-Funktionen, E-Mail-Versand, KI-Funktionen und Belegerkennung). Dabei werden Auth-Tokens sowie — bei aktivierten KI-Funktionen — die jeweiligen Eingabedaten (siehe Abschnitt 6.4) verarbeitet und an die jeweiligen Ziel-APIs weitergeleitet. Netlify hat keinen direkten Zugriff auf die Anwendungsdatenbank. Beim Aufruf der Webseiten werden automatisch Server-Logdaten erhoben (IP-Adresse, Zeitstempel, aufgerufene Seite, Browsertyp). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb). Die Datenübertragung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.
3.2 Backend & Datenbank (conever.io)
Alle Anwendungsdaten — Datenbank, Authentifizierung und Dateispeicher — werden auf einem eigenen Server bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland betrieben. Die Datenverarbeitung findet ausschließlich in Deutschland statt. Es erfolgt keine Übermittlung personenbezogener Daten in Drittländer über das Hosting. Die Server-Disks sind nicht gesondert verschlüsselt (keine Encryption at Rest). Der physische Zugangsschutz wird durch Hetzner gemäß ISO 27001 gewährleistet; ausgemusterte Datenträger werden vertraglich durch den Anbieter vernichtet. Ergänzend schützen die in Abschnitt 11 genannten technischen und organisatorischen Maßnahmen die Daten im laufenden Betrieb (TLS/HTTPS-Verschlüsselung in der Übertragung, GPG-Verschlüsselung der Backups, mandantenfähige Row-Level Security, rollenbasierte Zugriffskontrolle, Audit-Log).
Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Infrastruktur).4. Erhobene Daten
4.1 Webseite (conever.eu)
- Server-Logdaten (IP-Adresse, Zeitstempel, User-Agent) — automatisch durch Netlify
- E-Mail-Adresse — nur wenn Sie uns über das Kontaktformular oder per E-Mail kontaktieren
- Demo-Buchungsdaten (Name, E-Mail-Adresse, ggf. Telefonnummer und Notizen) — nur bei aktiver Buchung eines Demo-Termins über den „Demo"-Link in der Navigation (siehe Abschnitt 6.7)
Es werden keine Cookies gesetzt und keine Tracking- oder Analysetools eingesetzt.
4.2 Web-Applikation (conever.io)
- Bestandsdaten: Name, E-Mail-Adresse, Rolle (bei Kontoerstellung durch einen Administrator)
- Authentifizierungsdaten: Passwort-Hash (bcrypt), Session-Token, 2FA-Daten (TOTP)
- Nutzungsdaten: Lokale Anzeigeeinstellungen (im Browser-localStorage, nicht auf dem Server)
- Benachrichtigungen: Systeminterne Benachrichtigungen (Benutzer-ID, Aktionsbeschreibung, Zeitstempel) — automatische Löschung nach 90 Tagen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Kein externer Dienst involviert.
- Geschäftsdaten: Projektdaten, Kostenpläne, Buchungen, Cashflow-Daten — diese werden im Auftrag des Kunden verarbeitet (Auftragsverarbeitung)
5. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der Software, E-Mail-Kommunikation)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (KI-gestützte Analyse, siehe Abschnitt 6.4)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (technischer Betrieb, Sicherheit, Server-Monitoring)
- Art. 28 DSGVO — Auftragsverarbeitung (für Geschäftsdaten unserer Kunden)
6. Auftragsverarbeiter & Drittdienste
Wir setzen folgende Auftragsverarbeiter und Drittdienste ein:
6.1 Hetzner Online GmbH (Deutschland)
Hosting von Datenbank, Authentifizierung und Dateispeicher auf einem dedizierten Server in Deutschland. Ein AVV gemäß Art. 28 DSGVO liegt vor.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Kein Drittlandtransfer.6.2 Netlify, Inc. (USA)
Hosting des Frontends (statische Dateien, CDN) sowie Serverless Functions. Die Functions verarbeiten Auth-Tokens und leiten API-Aufrufe an das Backend sowie an die in Abschnitt 6.3–6.4 genannten Auftragsverarbeiter weiter (insbesondere E-Mail-Versand und KI-Funktionen). Netlify hat keinen direkten Zugriff auf die Anwendungsdatenbank. Ein Data Processing Agreement (DPA / AVV gemäß Art. 28 DSGVO) gilt durch Nutzung der Plattform; das DPA bindet zusätzlich die EU-Standardvertragsklauseln (SCCs) Modul 2 als Absicherung für Drittlandtransfers ein.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer USA: EU-US Data Privacy Framework (DPF, Art. 45 DSGVO) sowie ergänzend EU-Standardvertragsklauseln (SCCs) Modul 2 gem. Durchführungsbeschluss (EU) 2021/914 (Art. 46 Abs. 2 lit. c DSGVO). Server-/Function-Logdaten: Aufbewahrung 30 Tage (Standard-Retention des Anbieters).6.3 Resend, Inc. (USA) — E-Mail-Versand und -Empfang
Resend dient als Auftragsverarbeiter sowohl für den ausgehenden transaktionalen E-Mail-Versand (Einladungen, Passwort-Reset über die Absenderadresse noreply@conever.eu) als auch für den eingehenden Empfang von Rechnungsmails an die Domain rechnung.media (DNS-Verwaltung über IONOS SE, Deutschland). Bei ausgehenden Mails werden E-Mail-Adresse und Name des Empfängers an Resend übermittelt. Bei eingehenden Rechnungsmails werden Absender-Adresse, Mail-Inhalt sowie enthaltene Anhänge (Rechnungs-PDFs) durch Resend empfangen und zur Weiterverarbeitung an die Belegerkennung bereitgestellt (siehe Abschnitt 6.4).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandtransfer USA: EU-Standardvertragsklauseln (SCCs) Modul 2 (Controller-to-Processor) gem. Durchführungsbeschluss (EU) 2021/914.6.4 Anthropic PBC (USA) — KI-gestützte Analyse und Belegerkennung
conever nutzt Anthropic für zwei optionale, jeweils opt-in-pflichtige Funktionen:
- KI-gestützte Projekt- und Finanzanalyse: Es werden ausschließlich aggregierte und anonymisierte Finanzkennzahlen (keine personenbezogenen Daten wie Namen oder E-Mail-Adressen) übermittelt.
- KI-gestützte Belegerkennung (Rechnungseingang): Eingehende Rechnungen — auch solche, die Lieferanten an die zentrale Empfangsadresse mandant@rechnung.media senden — werden zur automatisierten Texterkennung an die API von Anthropic übermittelt. Dabei können personenbezogene Daten enthalten sein, soweit sie Teil der Rechnung sind (z. B. Name und Anschrift des Rechnungsstellers, Ansprechpartner, Bankverbindung, Steuernummer). Die Auswertung dient ausschließlich der technischen Datenextraktion. Eine Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt — die Buchung erfolgt durch den Mandanten.
Beide Funktionen sind nur mit expliziter Einwilligung (Opt-in) pro Mandant aktiv. Die Einwilligung wird durch einen Administrator des Mandanten in den Mandanten-Einstellungen erteilt, wobei die Nutzungsbedingungen von Anthropic aktiv bestätigt werden müssen. Sie kann jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO). Anthropic verarbeitet die übermittelten Daten ausschließlich zur Bearbeitung der jeweiligen Anfrage, speichert sie nicht darüber hinaus und nutzt sie nicht zu Trainingszwecken.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b und f DSGVO für die Belegerkennung im Rahmen der Rechnungsverarbeitung. Drittlandtransfer USA: EU-Standardvertragsklauseln (SCCs) Modul 2 (Controller-to-Processor) gem. Durchführungsbeschluss (EU) 2021/914.6.5 UptimeRobot (USA) — Server-Monitoring
Zur Überwachung der Verfügbarkeit unserer API nutzen wir UptimeRobot. Dabei werden keine personenbezogenen Daten verarbeitet — es erfolgen lediglich automatisierte Erreichbarkeitsprüfungen der Server-Endpunkte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer USA: EU-US Data Privacy Framework (DPF).6.6 Error-Monitoring (GlitchTip, eigener Server in Deutschland)
Zur Erkennung und Behebung technischer Fehler in der Anwendung betreiben wir GlitchTip (Open-Source-Software) auf unserem eigenen Server bei Hetzner in Nürnberg, Deutschland. Bei Auftreten eines technischen Fehlers werden automatisch Stack-Traces, Browser-/Geräteinformationen und eine anonymisierte interne Benutzer-ID übermittelt. Es werden keine Klartext-Namen, E-Mail-Adressen oder Geschäftsdaten erfasst (PII-Filter aktiv).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Es erfolgt kein Drittlandtransfer — die Daten verbleiben auf demselben Server in Deutschland. Speicherdauer: 90 Tage, danach automatische Löschung.6.7 Microsoft Corporation (USA) — Terminbuchung (Outlook „Book with me")
Für die Buchung von Demo-Terminen über den „Demo"-Link in der Navigation nutzen wir Microsoft Bookings bzw. Outlook Book with me als Auftragsverarbeiter. Bei aktiver Buchung übermitteln Sie selbst die für den Termin erforderlichen Daten an Microsoft (Name, E-Mail-Adresse, optional Telefonnummer und Anmerkungen). Zusätzlich verarbeitet Microsoft beim Aufruf der Buchungsseite automatisch Server-Logdaten (IP-Adresse, Zeitstempel, User-Agent). Microsoft ist über den Microsoft Online Services Data Protection Addendum (DPA) als Auftragsverarbeiter gemäß Art. 28 DSGVO gebunden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses auf Wunsch der betroffenen Person). Drittlandtransfer USA: EU-US Data Privacy Framework (DPF, Art. 45 DSGVO; Microsoft Corporation ist als DPF-Teilnehmer gelistet) sowie ergänzend EU-Standardvertragsklauseln (SCCs) Modul 2. Soweit konfiguriert, verarbeitet Microsoft die Daten innerhalb der EU Data Boundary.7. Drittlandtransfer
Soweit personenbezogene Daten an Dienstleister in den USA übermittelt werden, erfolgt dies auf folgender Grundlage (Art. 44 ff. DSGVO):
- Netlify, UptimeRobot, Microsoft: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO); bei Netlify und Microsoft ergänzend SCCs Modul 2 über die jeweiligen DPAs
- Resend, Anthropic: EU-Standardvertragsklauseln (SCCs) Modul 2 (Controller-to-Processor) gem. Durchführungsbeschluss (EU) 2021/914 (Art. 46 Abs. 2 lit. c DSGVO)
Die Kerndatenverarbeitung (Datenbank, Authentifizierung, Dateispeicher) erfolgt ausschließlich in Deutschland bei Hetzner. Auch das Error-Monitoring (GlitchTip) wird auf demselben Server in Deutschland betrieben — es findet kein Drittlandtransfer der Anwendungsdaten statt.
8. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Benutzerkonten werden auf Anfrage des Kunden oder bei Vertragsende gelöscht. Geschäftsdaten werden nach Vertragsende innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Systeminterne Benachrichtigungen werden automatisch nach 90 Tagen gelöscht.
9. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
www.ldi.nrw.de
11. Sicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder Zugriff durch unbefugte Personen zu schützen. Dazu gehören:
- Verschlüsselte Datenübertragung (TLS/HTTPS)
- Row-Level Security auf Datenbankebene (mandantenfähig)
- Rollenbasierte Zugriffskontrolle
- Verschlüsselte Passwortspeicherung (bcrypt)
- Verpflichtende Zwei-Faktor-Authentifizierung (TOTP)
- Server-Hosting in Deutschland (kein Drittlandtransfer der Kerndaten)
- Tägliche automatisierte Datenbank-Backups, GPG-verschlüsselt, mit mehrstufiger Aufbewahrung (Server 30 Tage, Off-Site-Speicher 90 Tage)
- Kein Einsatz von Tracking-Cookies oder Drittanbieter-Analytics
12. Einsatz von KI / Transparenz nach EU-KI-Verordnung
Auf dieser Website werden Texte und Bilder teilweise unter Einsatz generativer KI (große Sprach- und Bildmodelle) erstellt oder überarbeitet. Im Produkt conever stehen optionale KI-gestützte Funktionen (insbesondere KI-Analyse, KI-Vorschläge bei Kontierung und Kalkulation) zur Verfügung, die je Mandant aktiv freigeschaltet werden müssen und in der Oberfläche als KI-Funktionen gekennzeichnet sind.
Detaillierte Informationen zum KI-Einsatz, zur Kennzeichnung von Inhalten und zur Umsetzung der Transparenzpflichten nach Art. 50 der Verordnung (EU) 2024/1689 (KI-VO) finden Sie in unserer gesonderten KI-Transparenzerklärung.
13. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.