Datenschutzerklärung

Stand: [Datum der Veröffentlichung einfügen]

Präambel

Mit der folgenden Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang verarbeiten. Diese Datenschutzerklärung gilt sowohl für unsere Website www.boniforce.de als auch für die Nutzung unserer SaaS-Plattform zur B2B-Bonitätsprüfung.

Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Boniforce GmbH Kasernenstr. 67, 40213 Düsseldorf Amtsgericht Düsseldorf, HRB 110768 Vertretungsberechtigter Geschäftsführer: Cao Hung Nguyen Telefon: +49 211 54257758 E-Mail: team@boniforce.de

Datenschutzkontakt (intern) Cao Hung Nguyen, Am Kaisersbusch 6, 42781 Haan E-Mail: team@boniforce.de

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt.

Hinweis – ausschließlich B2B-Angebot

Unsere Dienstleistungen richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Wir schließen keine Verträge mit Verbrauchern ab.

Leistungsschwerpunkt und Anwendungsbereich der DSGVO

Unsere SaaS-Plattform richtet sich auf die Prüfung von Unternehmen als Geschäftspartner. In der überwiegenden Mehrzahl der Fälle betrifft die Prüfung juristische Personen (z. B. GmbH, AG, UG, KG, OHG). Auf diese Verarbeitungen findet die DSGVO keine Anwendung, da sie ausschließlich dem Schutz natürlicher Personen dient (Art. 1 Abs. 1 DSGVO).

Ein Personenbezug – und damit die Anwendbarkeit der DSGVO – entsteht nur in folgenden Fällen:

  • Prüfung von Einzelunternehmern, Freiberuflern und eingetragenen Kaufleuten (e. K.),
  • Anzeige personenbezogener Informationen zu gesetzlichen Vertretern (z. B. Name, Geburtsdatum, Anschrift eines Geschäftsführers) im Rahmen der Unternehmensauskunft,
  • Verarbeitung von Kontakt- und Kommunikationsdaten der Ansprechpartner unserer Kunden.

Die nachfolgenden Ausführungen zu Auftragsverarbeitung, Profiling, Betroffenenrechten und Informationspflichten beziehen sich auf diese Fälle.

Rollenverteilung: Boniforce und Kunde

Diese Datenschutzerklärung deckt zwei unterschiedliche Datenschutz-Rollen ab:

1. Boniforce als eigener Verantwortlicher. Für die Verarbeitung im Rahmen des Betriebs unserer Website (z. B. Server-Logs, Cookies, Webanalyse) und zur Durchführung vorvertraglicher und vertraglicher Beziehungen (Account-Verwaltung, Abrechnung, Support) sind wir Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO.

2. Boniforce als Auftragsverarbeiter. Soweit personenbezogene Daten natürlicher Personen durch die SaaS-Plattform verarbeitet werden (siehe oben „Leistungsschwerpunkt“), ist der jeweilige Kunde Verantwortlicher und Boniforce ausschließlich Auftragsverarbeiter i. S. d. Art. 28 DSGVO. Grundlage ist der mit dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV).

Bei Bonitätsabfragen werden Informationen aus öffentlich zugänglichen Quellen ad hoc für den jeweiligen Kunden erhoben, zusammengeführt und bewertet. Personenbezogene Bonitätsdaten werden nicht über den Zeitpunkt der Abfrage hinaus gespeichert. Betroffenenbenachrichtigungen nach Art. 14 DSGVO – soweit personenbezogene Daten Dritter im Rahmen der Kundenprüfung betroffen sein können – liegen in der Verantwortung des Kunden. Boniforce unterstützt den Kunden hierbei nach Maßgabe des AVV.

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der DSGVO, insbesondere:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO),
  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO),
  • rechtliche Verpflichtungen (Art. 6 Abs. 1 S. 1 lit. c DSGVO),
  • berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Ergänzend gelten die nationalen Regelungen des BDSG sowie des TDDDG (insbesondere für den Einsatz von Cookies).

Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (u. a. Transport- und Speicherverschlüsselung, Rollen- und Rechtekonzept, Protokollierung sicherheitsrelevanter Ereignisse, Privacy by Design / by Default). Details zu den Maßnahmen im Rahmen der Auftragsverarbeitung sind in der TOM-Anlage zum AVV beschrieben.

Eingesetzte Auftragsverarbeiter und Dienstleister

Im Rahmen der SaaS-Plattform

  • STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin – Hosting der Boniforce-API und zugehöriger Anwendungs- und Datenbankkomponenten. Verarbeitung in Deutschland. Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO besteht.
  • OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland – KI-Verarbeitung zur Erbringung der Bonitätsanalyse. Verarbeitung innerhalb der Europäischen Union (Dublin) über den EU-Endpoint mit aktivierter Zero-Data-Retention-Konfiguration und vertraglichem Ausschluss der Nutzung für Modelltraining.

Die jeweils aktuelle Liste ist abrufbar unter: https://www.boniforce.de/sub-prozessoren

Im Rahmen der Website

  • STRATO GmbH – Webhosting.
  • Complianz (Complianz B.V., Niederlande) – WordPress-Plugin zur Verwaltung von Cookie-Einwilligungen. Das Plugin wird lokal in unserem WordPress-System betrieben; es findet keine Übermittlung der Consent-Daten an Complianz B.V. statt.
  • Google Ireland Ltd. (Google Analytics 4) – Webanalyse, ausschließlich nach Einwilligung durch den Nutzer über den Cookie-Banner. Näheres siehe Abschnitt „Google Analytics“.

Internationale Datentransfers

Die Verarbeitung im Rahmen unserer SaaS-Plattform (Hosting, KI) findet ausschließlich innerhalb der Europäischen Union statt. Ein Drittlandtransfer findet im Rahmen der Leistungserbringung nicht statt.

Im Rahmen der Website-Analyse über Google Analytics kann eine Übermittlung personenbezogener Daten an Google LLC (USA) stattfinden. Diese Übermittlung erfolgt auf Basis der Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) sowie der Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914 und ggf. der Zertifizierung von Google LLC unter dem EU-US Data Privacy Framework.

Speicherdauer und Löschung

Wir löschen oder anonymisieren personenbezogene Daten, sobald der Zweck der Verarbeitung entfallen ist, die Rechtsgrundlage entfällt oder gesetzliche Fristen ablaufen. Ausnahmen bestehen bei gesetzlichen Aufbewahrungspflichten (z. B. HGB, AO) oder zur Geltendmachung bzw. Abwehr von Ansprüchen.

Konkrete Fristen (eigene Verantwortlichkeit):

  • Server- und Sicherheitslogs: in der Regel 30 Tage, längstens bis zur Klärung eines Sicherheitsvorfalls.
  • Konto-, Vertrags- und Abrechnungsdaten: Laufzeit des Vertrags zzgl. gesetzliche Aufbewahrungsfristen (6 bzw. 10 Jahre nach HGB/AO).
  • Support- und Ticketdaten: Abschluss des Vorgangs zzgl. 12 Monate, sofern keine Ansprüche offen sind.
  • Einwilligungsprotokolle (Cookie-Banner): bis zu 3 Jahre als Nachweis (pseudonymisierter Identifikator).

Auftragsdaten im Rahmen des AVV: Rückgabe oder Löschung binnen 30 Tagen nach Vertragsende gemäß AVV; Backups werden ringförmig 30–60 Tage später überschrieben.

Bonitätsabfragen: Keine Speicherung personenbezogener Bonitätsdaten über den Abfragezeitpunkt hinaus.

Rechte der betroffenen Personen

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – das Recht auf:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Die Ausübung dieser Rechte ist unter team@boniforce.de möglich.

Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für Boniforce ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2–4, 40213 Düsseldorf

Wichtig zur Rollenzuordnung: Für Daten, die wir im Auftrag eines Kunden verarbeiten (Auftragsdaten), sind Betroffenenanfragen an den jeweiligen Kunden zu richten. Wir unterstützen den Kunden nach Maßgabe des AVV. Gehen Betroffenenanfragen irrtümlich bei uns ein, obwohl sie Auftragsdaten eines Kunden betreffen, leiten wir sie an den zuständigen Kunden weiter.

Verarbeitungen im Rahmen der Website

Webhosting und Server-Logs

Verantwortlicher: Boniforce GmbH Daten: IP-Adresse, Zeitstempel des Zugriffs, aufgerufene URL, Referrer, User-Agent des Browsers, HTTP-Statuscodes. Zweck: Auslieferung der Website, Gewährleistung von Stabilität und Sicherheit (einschließlich Abwehr von Angriffen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb). Speicherdauer: in der Regel 30 Tage. Auftragsverarbeiter: STRATO GmbH.

Die Server-Logs werden nicht zur Erstellung personenbezogener Bonitätsprofile verwendet.

Kundenstammdaten und Vertragsdaten

Daten: Firmenname, Anschrift, Ansprechpartner, geschäftliche Kontaktdaten, Registernummer, USt-IdNr., Abrechnungsdaten. Zweck: Vertragsanbahnung, Vertragsdurchführung, Abrechnung, Erfüllung gesetzlicher Pflichten (z. B. handels- und steuerrechtliche Aufbewahrung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen). Speicherdauer: Laufzeit des Vertrags zzgl. gesetzlicher Aufbewahrungsfristen. Empfänger: Bank, Steuerberatung, Behörden – nur soweit für Vertrag, Abrechnung oder gesetzlich erforderlich.

Cookies und Consent-Management

Wir setzen auf unserer Website Cookies und vergleichbare Technologien ein. Einwilligungen werden über das Tool Complianz verwaltet.

Technisch notwendige Cookies (z. B. für Log-in und Speicherung der Cookie-Einwilligung) werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 TDDDG gesetzt.

Nicht notwendige Cookies und Tracker (insbesondere für Statistik und Marketing) werden ausschließlich nach vorheriger Einwilligung im Cookie-Banner gesetzt (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Einstellungen im Cookie-Banner anpassen.

Die Speicherdauer der einzelnen Cookies entnehmen Sie den Detailangaben im Cookie-Banner (Session-Cookies bis zu dauerhaften Cookies mit typischerweise bis zu 24 Monaten Gültigkeit). Einwilligungen werden zum Nachweis nach Art. 7 Abs. 1 DSGVO bis zu drei Jahre in pseudonymer Form gespeichert.

Google Analytics (nur nach Einwilligung)

Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland.

Daten: pseudonyme Nutzungskennungen, gekürzte IP-Adresse, Informationen zum Browser und Endgerät, Interaktionen mit der Website. Zweck: statistische Auswertung der Websitenutzung zur Optimierung unseres Angebots. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Cookie-Banner) sowie § 25 Abs. 1 TDDDG. Widerruf: jederzeit über die Einstellungen im Cookie-Banner. Speicherdauer der Analytics-IDs: in der Regel 14 Monate, konkret im Cookie-Banner angegeben.

Mit Google Ireland Ltd. besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Eine Übermittlung personenbezogener Daten an die Google LLC in den USA kann erfolgen. Diese Übermittlung ist durch die Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie ggf. durch die Zertifizierung von Google LLC unter dem EU-US Data Privacy Framework abgesichert.

Kontaktaufnahme

Bei Kontaktaufnahme (z. B. per E-Mail oder Kontaktformular) verarbeiten wir die übermittelten Angaben zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei vorvertraglichen Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (bei sonstigen Anfragen). Speicherdauer: Abschluss der Bearbeitung zzgl. 12 Monate.

Verarbeitungen im Rahmen der SaaS-Plattform

Leistungsbeschreibung

Unsere SaaS-Plattform unterstützt registrierte Geschäftskunden bei der Bonitäts- und Risikoprüfung von Unternehmen. Schwerpunkt ist die Prüfung juristischer Personen, auf die die DSGVO keine Anwendung findet.

Verarbeitet werden Daten aus öffentlich zugänglichen Quellen (z. B. Handelsregister, amtliche Bekanntmachungen, Unternehmenswebsites, Presse). In einem geringeren Anteil der Fälle – insbesondere bei der Prüfung von Einzelunternehmern, Freiberuflern oder eingetragenen Kaufleuten – können personenbezogene Informationen natürlicher Personen betroffen sein. Die folgenden Ausführungen betreffen ausschließlich diese DSGVO-relevanten Fälle.

Bonitätsabfragen – ad hoc, keine dauerhafte Speicherung

Bei Bonitätsabfragen werden Informationen aus öffentlich zugänglichen Quellen ad hoc für den jeweils anfragenden Kunden erhoben, zusammengeführt und bewertet. Eine Übermittlung erfolgt ausschließlich an den jeweils anfragenden Kunden zum konkreten Prüfzweck.

Boniforce speichert dabei keine personenbezogenen Bonitätsdaten über den Zeitpunkt der Abfrage hinaus. Ausgenommen sind ausschließlich kurzzeitige, zweckgebundene technische Protokolle (z. B. Sicherheits- und Zugriffslogs), die gemäß Löschkonzept fristgerecht gelöscht werden.

Einordnung als Profiling: Soweit im Einzelfall natürliche Personen betroffen sind (insbesondere Einzelunternehmer, Freiberufler und eingetragene Kaufleute), stellt der bereitgestellte Score Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar. Bei der Prüfung juristischer Personen findet die DSGVO keine Anwendung; ein Profiling im Rechtssinne liegt in diesen Fällen nicht vor. Boniforce trifft in keinem Fall ausschließlich automatisierte Entscheidungen im Sinne von Art. 22 DSGVO. Die Entscheidung über die Verwendung eines Scores trifft ausschließlich der Kunde unter Einbeziehung einer menschlichen Einzelfallprüfung.

Boniforce führt keine Negativ-, Warn- oder „schwarzen“ Listen zur Kreditwürdigkeit.

Vom Kunden aktiv angelegte Snapshots

Soweit ein Kunde Prüfergebnisse aktiv in seinem Account speichert (z. B. als Report oder Snapshot), handelt es sich um Auftragsdaten im Sinne des AVV. Die Standard-Löschfrist beträgt 360 Tage ab Erstellung, sofern der Kunde keine abweichende Weisung erteilt.

Verantwortungsbereiche

Kunde als Verantwortlicher: Der Kunde bestimmt Zweck und Mittel der Prüfung. Er trägt die Informations-, Dokumentations-, Lösch- und Widerspruchspflichten gegenüber betroffenen Personen und wählt die Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. f DSGVO; ggf. unter Beachtung des § 31 BDSG beim Scoring).

Boniforce als Auftragsverarbeiter: Verarbeitung ausschließlich nach dokumentierter Weisung des Kunden. Keine Verwendung der Auftragsdaten für eigene Zwecke, insbesondere nicht für das Training, die Weiterentwicklung oder die Evaluation von Modellen des maschinellen Lernens.

Benachrichtigung nach Art. 14 DSGVO: Boniforce nimmt keine eigenen Benachrichtigungen gegenüber betroffenen Dritten vor. Der Kunde entscheidet über die Anwendung gesetzlicher Ausnahmen (Art. 14 Abs. 5 DSGVO) und erfüllt ggf. die Informationspflichten selbst.

Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich Änderungen bei den beschriebenen Verarbeitungen ergeben oder rechtliche Anpassungen erforderlich werden. Maßgeblich ist stets die auf unserer Website veröffentlichte Fassung.

Kontakt

Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten richten Sie bitte an: team@boniforce.de