NorelvioNorelvio
Registrieren
AnmeldenRegistrieren

Datenschutzerklärung

Informationen gemäß Art. 13 und 14 DSGVO

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und der anzuwendenden nationalen Datenschutzgesetze ist:

AstaBg Ltd, Sava Toshev 3, 5400 Sevlievo, Bulgarien

E-Mail: datenschutz@norelvio.de | Telefon: +49 152 27452539

Bei datenschutzrechtlichen Anfragen oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannte Kontaktadresse.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform und unserer Leistungen erforderlich ist oder eine gesetzliche Erlaubnis vorliegt.

Rechtsgrundlagen sind insbesondere: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) sowie ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die jeweils maßgebliche Rechtsgrundlage ist den einzelnen Abschnitten dieser Erklärung zu entnehmen.

3. Hosting und Server-Protokollierung

Die Plattform wird auf Servern des Hosting-Anbieters Hetzner Online GmbH betrieben. Beim Aufruf der Plattform werden automatisch technische Verbindungsdaten in Server-Log-Dateien gespeichert. Hierzu gehören: IP-Adresse des anfragenden Geräts, Datum und Uhrzeit des Zugriffs, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge sowie Informationen über Browser und Betriebssystem.

Diese Daten werden ausschließlich zur Sicherstellung des technischen Betriebs, zur Fehlerbehebung und zur Abwehr unberechtigter Zugriffe verarbeitet. Eine Zusammenführung mit anderen Datenquellen oder eine Nutzung zur Profilbildung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und störungsfreien Betrieb der Plattform).

4. Technisch notwendige Cookies und Sitzungsdaten

Für den authentifizierten Betrieb der Plattform setzen wir ein technisch notwendiges Sitzungs-Cookie ein. Nach erfolgreicher Anmeldung wird ein verschlüsseltes, kurzlebiges Sitzungstoken in einem HTTP-Only-Cookie gespeichert. Dieses Cookie dient ausschließlich der Aufrechterhaltung der angemeldeten Sitzung und wird beim Abmelden oder Schließen des Browsers ungültig.

Die Plattform bietet ein Cookie-Banner und eine Präferenzverwaltung. Standardmäßig sind nur die technisch notwendigen Funktionen aktiviert. Optionales Statistik-Tracking wird nur mit Ihrer Zustimmung aktiviert.

Optionales Statistik-Tracking verwendet Google Analytics 4 und wird erst nach Ihrer Einwilligung in die Kategorie Statistik geladen. Die Einwilligung für Statistik kann in den Cookie-Einstellungen jederzeit geändert werden.

Google Tag Manager wird ebenfalls erst nach Ihrer Einwilligung in die Kategorie Statistik geladen und derzeit nur zur Verwaltung zukünftiger Tags eingesetzt. Google Consent Mode ist derzeit nicht aktiv und wird nicht als aktiver Dienst eingesetzt.

Marketing, Externe Medien und Funktional sind derzeit reservierte Kategorien für zukünftige Funktionen. In dieser Phase werden keine Werbe-, Retargeting-, Medien-Einbettungs- oder zusätzlichen Komfortdienste geladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderliche Speicherung).

5. Kontoregistrierung und Anmeldung

Für die Nutzung der Plattform ist eine Registrierung erforderlich. Dabei erheben wir: Vorname und Nachname des Hauptnutzers, E-Mail-Adresse, Firmenname sowie ein selbst gewähltes Passwort. Das Passwort wird ausschließlich in verschlüsselter Form gespeichert und ist für uns nicht einsehbar.

Im Rahmen des Anmeldevorgangs protokollieren wir Zeitstempel sowie – zum Schutz vor automatisierten Angriffen – Informationen über fehlgeschlagene Anmeldeversuche (Rate-Limiting). Diese Daten werden nach kurzer Frist automatisch gelöscht.

Für die Funktion zur Passwortzurücksetzung versenden wir auf Anforderung einen zeitlich befristeten Einmallink an die registrierte E-Mail-Adresse. Das zugehörige Token wird nach Nutzung oder Ablauf der Gültigkeitsdauer gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Kontaktanfragen

Wenn Sie das Kontaktformular auf unserer Website nutzen, werden die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage verarbeitet und in unserem System gespeichert. Die Daten werden nicht ohne Ihre Einwilligung an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Kontaktanfragen).

7. Angebots-, Kunden- und Unternehmensdaten

Im Rahmen der Plattformnutzung speichern Nutzer Daten zu ihren eigenen Kunden (z. B. Firmenname, Ansprechpartner, E-Mail-Adresse, Anschrift, Umsatzsteuer-Identifikationsnummer), Angebote, Rechnungen, Ausgaben, Belege, Vorlagen, Texte, Preisangaben und interne Notizen.

Diese Daten werden im jeweiligen Unternehmenskonto gespeichert und nicht mit anderen Unternehmenskonten geteilt.

Zu den verarbeiteten Daten gehören auch E-Rechnungsdaten, Bankimportdaten, Kassenbucheinträge, Monatsabschlussdaten und DATEV-Exportinformationen. Diese Funktionen dienen der betrieblichen Vorbereitung und ersetzen keine fachliche Prüfung durch den Nutzer oder einen Steuerberater.

Soweit diese Daten personenbezogene Daten Dritter enthalten, verarbeitet der Plattform-Nutzer diese Daten als eigenverantwortlicher Verantwortlicher gemäß DSGVO. Der Anbieter agiert insoweit als Auftragsverarbeiter und verarbeitet diese Daten ausschließlich im Auftrag und nach Weisung des Nutzers.

Rechtsgrundlage für den Anbieter: Art. 28 DSGVO (Auftragsverarbeitung).

8. Team-Konten und Einladungen

Nutzer mit Administratorrolle können weitere Personen per E-Mail-Einladung zu ihrem Unternehmenskonto hinzufügen. Hierfür wird die E-Mail-Adresse der einzuladenden Person zum Versand eines zeitlich befristeten Einladungslinks verarbeitet. Das Einladungstoken wird nach Annahme oder Ablauf der Gültigkeitsdauer gelöscht.

Mit Annahme der Einladung legt die eingeladene Person ein eigenes Nutzerprofil innerhalb des bestehenden Unternehmenskontos an. Die Verarbeitung ihrer Kontodaten folgt den Ausführungen in Abschnitt 5.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des Nutzungsvertrages).

9. Benachrichtigungen und Audit-Protokoll

Die Plattform erzeugt interne Benachrichtigungen für Nutzer, z. B. bei Angebotsannahme oder -ablehnung. Diese Benachrichtigungen werden nutzerbezogen gespeichert und können in der Anwendung eingesehen und gelöscht werden.

Für sicherheits- und nachvollziehbarkeitsrelevante Aktionen (z. B. Statusänderungen von Angeboten, Änderungen an Unternehmenseinstellungen, Änderungen an Nutzerzugängen) werden Audit-Log-Einträge mit Zeitstempel, Nutzer-ID und Aktionsbeschreibung angelegt. Diese Protokolleinträge sind für Kontoadministratoren einsehbar und dienen ausschließlich der nachvollziehbaren Dokumentation von Änderungen innerhalb des Unternehmenskontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Nachvollziehbarkeit).

10. Zahlungsabwicklung und Abonnements

Die Abrechnung kostenpflichtiger Tarifstufen erfolgt über Lemon Squeezy, sofern dieser Dienst in der aktuellen Produktkonfiguration aktiv ist. Lemon Squeezy kann als Zahlungs- und Abonnementdienstleister eingebunden sein, abhängig von der konkreten Konfiguration.

Optionale Online-Zahlungen für ausgestellte Rechnungen können über Stripe Connect abgewickelt werden, wenn der Nutzer ein Stripe-Auszahlungskonto eingerichtet und verifiziert hat. Banküberweisung bleibt unabhängig davon weiterhin möglich.

Stripe verarbeitet die hierfür benötigten Zahlungsdaten eigenverantwortlich gemäß seinen eigenen Datenschutzbestimmungen. Wir selbst speichern keine vollständigen Zahlungsdaten; lediglich eine interne Referenzkennung kann in unserem System hinterlegt werden.

Weitere Informationen finden Sie in den Datenschutzinformationen der jeweiligen Anbieter, beispielsweise unter https://stripe.com/de/privacy und den aktuellen Informationen von Lemon Squeezy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. E-Mail-Zustellung

Für den Versand systemgenerierter E-Mails (z. B. Einladungen zu Unternehmenskonten, Passwortzurücksetzung, Angebotsversand) nutzt die Plattform den externen E-Mail-Versanddienst Resend Inc..

Beim E-Mail-Versand werden die Empfängeradresse sowie der Inhalt der jeweiligen E-Mail an diesen Dienst übermittelt. Zwischen dem Anbieter und Resend Inc. besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen Betrieb der Kommunikationsfunktionen).

12. KI-gestützte Funktionen

Die Plattform bietet optional KI-gestützte Funktionen zur Unterstützung bei der Angebotserstellung an. Diese Funktionen sind an bestimmte Tarifstufen gebunden und können nur auf ausdrückliche Anforderung durch den Nutzer aktiviert werden.

Für KI-gestützte Entwürfe, OCR- oder Vorschlagsfunktionen können je nach Systemkonfiguration externe KI- oder Dokumentverarbeitungsdienste eingesetzt werden, z. B. DeepSeek, OpenAI oder andere Anbieter.

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der jeweiligen Funktion. Nutzer sollten keine schützenswerten personenbezogenen Daten Dritter in frei formulierte KI-Eingaben eingeben.

KI-generierte Vorschläge sind als Assistenz zu verstehen und müssen vom Nutzer geprüft und bei Bedarf angepasst werden, bevor sie in Angebote oder andere Dokumente übernommen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des gebuchten Tarifs).

13. Öffentliche Angebotslinks und digitale Angebotsannahme

Nutzer können für Angebote sichere, zeitlich befristete Freigabelinks generieren. Über diesen Link können Angebotsempfänger das Angebot einsehen, ohne sich bei der Plattform registrieren zu müssen.

Beim Aufruf des Freigabelinks werden technische Zugriffsdaten im Rahmen der üblichen Server-Protokollierung verarbeitet (vgl. Abschnitt 3).

Entscheidet sich ein Angebotsempfänger zur digitalen Angebotsannahme, werden zur Dokumentation des Vorgangs folgende Daten gespeichert: der eingegebene Name des Annehmenden, der genaue Zeitpunkt der Handlung sowie ein technischer Nachweis (kryptografischer Hash des Angebotsinhalts zum Zeitpunkt der Annahme und ein Hash der IP-Adresse des Empfängers). Diese Nachweise sind Bestandteil des Angebotsdatensatzes des Nutzers.

Die digitale Angebotsannahme stellt eine dokumentierte digitale Erklärung dar. Sie ist keine qualifizierte elektronische Signatur im Sinne der eIDAS-Verordnung (EU) Nr. 910/2014.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Plattform-Nutzers an einer nachvollziehbaren Dokumentation der Angebotsannahme).

14. Empfänger und Auftragsverarbeitung

Personenbezogene Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zur Vertragserfüllung erforderlich, gesetzlich vorgeschrieben oder eine Einwilligung liegt vor.

Im Rahmen des Plattformbetriebs setzen wir folgende Kategorien von Dienstleistern als Auftragsverarbeiter ein:

  • Hosting-Dienstleister (Hetzner Online GmbH) für den Betrieb der Serverinfrastruktur und Datenspeicherung
  • Zahlungsdienstleister (z. B. Lemon Squeezy, Stripe Connect) für Abonnement- und Rechnungszahlungen
  • E-Mail-Versanddienst (Resend Inc.) für den Versand systemgenerierter E-Mails
  • KI- und Dokumentenverarbeitungsdienste (z. B. DeepSeek, OpenAI oder ähnliche) für optionale Assistenzfunktionen

15. Speicherdauer

Wir speichern personenbezogene Daten nur solange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies verlangen.

Kontodaten werden für die Dauer der aktiven Vertragsbeziehung gespeichert. Nach Vertragsende und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden personenbezogene Daten gelöscht. Einladungstokens und Passwortzurücksetzungstokens werden kurzfristig und nach Nutzung oder Ablauf gelöscht. Buchungs- und Rechnungsdaten können handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu zehn Jahren unterliegen.

16. Rechte betroffener Personen

Als betroffene Person stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu, sofern die gesetzlichen Voraussetzungen jeweils vorliegen:

  • Auskunftsrecht über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen auf berechtigte Interessen gestützte Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

17. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich jederzeit bei der zuständigen Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat: Kommission für den Schutz personenbezogener Daten (KPDL/CPDP), Prof. Tsvetan Lazarov Blvd. 2, 1592 Sofia, Bulgarien, www.cpdp.bg.

18. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Wir behalten uns vor, sie anzupassen, wenn sich rechtliche Anforderungen, die genutzten Dienste oder die Funktionen der Plattform ändern. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer informiert.