Datenschutzerklärung

Stand: 10. November 2025

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen (z. B. Social-Media-Profile; zusammen „Onlineangebot“).

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Cao Hung Nguyen
Am Kaisersbusch 6
42781 Haan
Deutschland

E-Mail: team@boniforce.de

Hinweis – ausschließlich B2B-Angebot

Unsere Dienstleistungen richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB („B2B“). Wir schließen keine Verträge mit Verbrauchern ab. Sollten Sie als Privatperson (Verbraucher) unsere Website rein informatorisch nutzen, beachten Sie, dass wir keine Vertragsleistungen gegenüber Verbrauchern erbringen.

Rollenklärung (Kunde/Boniforce) und AVV

Kunde als Verantwortlicher (Art. 4 Nr. 7 DSGVO): Für Daten über Dritte (z. B. Einzelunternehmer/Freiberufler), die Kunden über unsere Plattform abrufen, zusammenführen, bewerten oder in eigene Prozesse übernehmen (inkl. Scoring/Rating/Risikoklassen/Kreditlimits), ist allein der jeweilige Kunde Verantwortlicher.

Boniforce als Auftragsverarbeiter (Art. 28 DSGVO): Soweit wir diese Drittdaten im Auftrag des Kunden verarbeiten (Crawling/Anreicherung/Bereitstellung im Dashboard/Export), handeln wir ausschließlich nach Weisung des Kunden auf Basis eines Auftragsverarbeitungsvertrags (AVV).

Klarstellung Bonitätsabfragen: Bonitätsinformationen werden für den jeweiligen Kunden situativ ermittelt und dem Kunden bereitgestellt; Boniforce speichert dabei keine personenbezogenen Bonitätsdaten über den Abfragezeitpunkt hinaus. Betroffenenbenachrichtigungen nach Art. 14 DSGVO liegen – soweit personenbezogene Daten Dritter im Rahmen der Kundenprüfung betroffen sein können (z. B. Einzelunternehmer) – in der Verantwortlichkeit des Kunden.

Boniforce als eigener Verantwortlicher: Für eigene Zwecke (z. B. Betrieb/Sicherheit des Onlineangebots, Konto/Vertrag/Abrechnung, Support, Nachweis von Einwilligungen, optionale Analytics/Newsletter) sind wir Verantwortlicher.

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

Bestandsdaten, Standortdaten, Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikations-/Verfahrensdaten, Protokolldaten.

Kategorien betroffener Personen

Kommunikationspartner, Nutzer.

Zwecke der Verarbeitung

Kommunikation, Sicherheitsmaßnahmen, Direktmarketing, Reichweitenmessung, Organisations- und Verwaltungsverfahren, Feedback, Marketing, Profile mit nutzerbezogenen Informationen, Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, informationstechnische Infrastruktur, Öffentlichkeitsarbeit, Absatzförderung.

Maßgebliche Rechtsgrundlagen

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO); Vertragserfüllung/vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO); Rechtspflichten (Art. 6 Abs. 1 S. 1 lit. c DSGVO); berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Nationale Regelungen (DE): BDSG u. a. zu Auskunft, Löschung, Widerspruch, Profiling. Hinweis DSG/Schweiz: Begriffe der DSGVO werden verwendet; rechtliche Bedeutung nach Schweizer DSG bleibt unberührt.

Sicherheitsmaßnahmen

Wir treffen Maßnahmen gem. Art. 32 DSGVO (u. a. Verschlüsselung in Transport/Ruhe, Rollen-/Rechtekonzept, Protokollierung, Backups/Restore, Härtung, Überwachung, Incident-Response, Privacy by Design/Default). Details zu TOMs sind im AVV-Anhang geregelt.

Übermittlung von personenbezogenen Daten

Einsatz weisungsgebundener Auftragsverarbeiter (Hosting/Cloud, E-Mail, Monitoring, CRM/Support, Newsletter, Consent-Management, optional Analytics). Es werden entsprechende Verträge nach Art. 28 DSGVO geschlossen. Eine Offenlegung personenbezogener Bonitätsinformationen erfolgt ausschließlich an den jeweils anfragenden Kunden und nur zum konkreten Prüfzweck.

Internationale Datentransfers

Übermittlungen in Drittländer nur gem. Art. 44 ff. DSGVO (Angemessenheitsbeschluss, EU-SCC inkl. TIA und ergänzende Maßnahmen) oder Einwilligung/gesetzliche Ausnahmen. DPF-Zertifizierungen werden, wo einschlägig, genutzt.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen/anonymisieren Daten, wenn Zweck entfällt, Rechtsgrundlage fehlt oder Fristen ablaufen; Ausnahmen bei gesetzlichen Aufbewahrungen bzw. Geltendmachung/Abwehr von Ansprüchen. Bestehen mehrere Fristen, ist die längste maßgeblich. Verarbeitung aufbewahrter Daten erfolgt nur zu den Aufbewahrungsgründen.

Konkrete Beispiele (eigene Verantwortlichkeit)

  • Server-/Sicherheitslogs: i. d. R. 30 Tage, längstens bis Vorfallklärung.
  • Konto/Vertrags-/Abrechnungsdaten: Vertragslaufzeit; danach 6/10 Jahre (HGB/AO).
  • Support-/Ticketdaten: Abschluss + 12 Monate, sofern keine Ansprüche offen.

Auftragsdaten im Kundenauftrag (AVV)

Rückgabe/Löschung nach Weisung des Kunden. Standard: Löschung binnen 30 Tagen nach Vertragsende; Backups werden ringförmig 30–60 Tage später überschrieben (technisch bedingt). Abweichungen nur nach Weisung oder gesetzlicher Pflicht.

Bonitätsabfragen (ad hoc, keine dauerhafte Speicherung)

Bei Bonitätsabfragen werden Informationen aus öffentlich zugänglichen Quellen (z. B. Register, amtliche Bekanntmachungen, Unternehmenswebsites, Presse) ad hoc für den jeweiligen Kunden erhoben, zusammengeführt und bewertet. Boniforce speichert hierbei keine personenbezogenen Bonitätsdaten über den Zeitpunkt der Abfrage hinaus. Der bereitgestellte Score stellt Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar; Boniforce trifft jedoch keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO. Unabhängig hiervon bestehen lediglich kurzzeitige, zweckgebundene technische Protokolle (z. B. Server-/Sicherheitslogs), die gemäß Löschkonzept fristgerecht gelöscht werden. Boniforce führt keine Warn-, Mahn- oder „schwarzen“ Listen zur Kreditwürdigkeit.

Rechte der betroffenen Personen

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – das Recht auf Widerspruch (Art. 21), Widerruf von Einwilligungen (Art. 7 Abs. 3), Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20). Kontakt: team@boniforce.de.

Beschwerderecht bei einer Datenschutzaufsichtsbehörde, z. B. LDI NRW (Deutschland). Sie können sich zudem an die für Ihren Wohnsitz zuständige Behörde wenden, z. B. an die Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien.

Wichtig: Für Daten, die wir im Auftrag des Kunden verarbeiten, sind Anfragen an den jeweiligen Kunden zu richten; wir unterstützen gem. AVV. Gehen Betroffenenanfragen irrtümlich bei Boniforce ein, obwohl sie Auftragsdaten des Kunden betreffen, leiten wir diese an den zuständigen Kunden weiter.

Bereitstellung des Onlineangebots und Webhosting

Daten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscodes, Login-/Fehlerlogs.
Zwecke: Auslieferung, Stabilität, Sicherheit (inkl. DDoS-Abwehr).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: i. d. R. 30 Tage.

Die Protokolldaten werden nicht zur Erstellung personenbezogener Bonitätsprofile verwendet.

Verarbeitung von Kundenstammdaten

Zweck/Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b), Rechtspflichten (lit. c).
Speicherdauer: Vertragsende + gesetzliche Aufbewahrung.
Weitergabe: nur soweit für Vertrag/Abrechnung oder gesetzlich erforderlich (Bank, Steuerberatung, Behörden).

Einsatz von Cookies

Notwendige Cookies: für Betrieb/Log-in/Consent (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TTDSG).
Nicht notwendige Cookies/Tracker: nur nach Einwilligung über das Consent-Banner (Art. 6 Abs. 1 lit. a; § 25 Abs. 1 TTDSG).
Speicherdauer: Session bis permanent (typisch bis 24 Monate); konkret im Consent-Banner. Widerruf/Opt-out jederzeit im Consent-Banner/Browser.

Consent-Management: Einwilligungen werden protokolliert, verwaltet, widerrufbar; Nachweis bis zu 2 Jahren (pseudonymer Identifikator, Zeitstempel, Umfang).

Blogs und Publikationsmedien

IP-Speicherung bei Kommentaren (Missbrauchsabwehr), Spamerkennung, ggf. Umfrage-Cookies zur Vermeidung von Mehrfachabstimmungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f. Speicherdauer: bis Widerspruch, soweit keine Pflichten entgegenstehen.

Kontakt- und Anfrageverwaltung

Zwecke: Kommunikation, Ticketbearbeitung, Qualität.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und lit. f.
Speicherdauer: Abschluss + 12 Monate. Kontaktformular/E-Mail: Nutzung nur zur Bearbeitung des Anliegens.

Newsletter und elektronische Benachrichtigungen (optional)

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a), Double-Opt-In; Widerruf jederzeit. Protokollierung: Opt-in-Nachweis bis 3 Jahre. Messung Öffnungen/Klicks: nur mit Einwilligung; Widerruf jederzeit.

Werbliche Kommunikation via E-Mail, Post, Fax oder Telefon

Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a) bzw. berechtigte Interessen (Art. 6 Abs. 1 lit. f) soweit gesetzlich zulässig.

Sperrlisten/Blocklist: Speicherung minimaler Daten, um Widersprüche dauerhaft zu beachten (Art. 6 Abs. 1 lit. f). Hinweis: Diese Sperrlisten dienen ausschließlich der Beachtung von Widersprüchen gegen Werbeansprache und stehen in keinem Zusammenhang mit Bonitätsbeurteilungen oder Negativverzeichnissen („schwarzen Listen“).

Webanalyse, Monitoring und Optimierung (optional)

Grundsatz: nur nach Einwilligung (Art. 6 Abs. 1 lit. a; § 25 Abs. 1 TTDSG).

Google Analytics 4 (GA4): pseudonyme Messung; IP-Kürzung/EU-Server; AVV mit Google; ggf. Drittlandübermittlung mit SCC/DPF. Aufbewahrung der Analytics-IDs i. d. R. 14–24 Monate (konkret im Consent-Banner). Opt-out jederzeit im Consent-Banner.

Präsenzen in sozialen Netzwerken (Social Media)

Wir betreiben Profile (PR/Kommunikation). Anbieter verarbeiten Daten eigenverantwortlich auch für Statistik/Marketing. LinkedIn Page-Insights: gemeinsame Verantwortlichkeit beschränkt auf Erhebung von Statistikdaten; weitergehende Verarbeitung bei LinkedIn. Rechte können gegenüber LinkedIn oder uns geltend gemacht werden.

Plug-ins und eingebettete Funktionen sowie Inhalte

Google Fonts: lokal eingebunden (empfohlen) – Rechtsgrundlage Art. 6 Abs. 1 lit. f (einheitliche Darstellung, Performance). Remote über Google-Server (nur falls genutzt): nur mit Einwilligung (Art. 6 Abs. 1 lit. a); dabei technische Browserdaten erforderlich.

Google Maps (falls eingebunden): Einwilligung (Art. 6 Abs. 1 lit. a). Konkrete Anbieter/Drittländer/Speicherdauern: Consent-Banner.

Verarbeitung von Daten im Rahmen unserer SaaS-Dienstleistung

Wir bieten registrierten Nutzern („Kunden“) eine SaaS-Plattform zur Bonitäts- und Risikoprüfung von Unternehmen an. Öffentlich zugängliche Daten (z. B. Handelsregister, Websites, amtliche Bekanntmachungen, Presse, Social Media) können im Auftrag des Kunden gecrawlt, verarbeitet und zusammengeführt werden und in Einzelfällen personenbezogene Informationen enthalten (z. B. bei Einzelunternehmern/Freiberuflern).

Bonitätsabfragen (ad hoc, keine dauerhafte Speicherung)

Bei Bonitätsabfragen werden Informationen aus öffentlich zugänglichen Quellen ad hoc für den jeweiligen Kunden erhoben, zusammengeführt und bewertet. Boniforce speichert hierbei keine personenbezogenen Bonitätsdaten über den Zeitpunkt der Abfrage hinaus. Eine Übermittlung erfolgt ausschließlich an den jeweils anfragenden Kunden zum konkreten Prüfzweck. Der bereitgestellte Score stellt Profiling i. S. v. Art. 4 Nr. 4 DSGVO dar; Boniforce trifft jedoch keine ausschließlich automatisierten Entscheidungen i. S. v. Art. 22 DSGVO. Unabhängig hiervon bestehen lediglich kurzzeitige, zweckgebundene technische Protokolle (z. B. Server-/Sicherheitslogs), die gemäß Löschkonzept fristgerecht gelöscht werden. Boniforce führt keine Negativ-/„schwarzen“ Listen zur Kreditwürdigkeit.

Verantwortungsbereiche

Kunde = Verantwortlicher: Zweck/Mittel der Prüfung (z. B. Scoring, Risikoklasse, Kreditlimit, Ampeln) legt der Kunde fest; er trägt die Informations-, Dokumentations-, Lösch- und Widerspruchspflichten sowie die Wahl der Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. f DSGVO; ggf. § 31 BDSG beim Scoring).

Boniforce = Auftragsverarbeiter: Verarbeitung nur nach Weisung des Kunden; keine eigene Weiterverwendung; Unterstützung bei Betroffenenersuchen/Löschung/Sicherheitsvorfällen gem. AVV.

Benachrichtigung Art. 14 DSGVO: Boniforce führt keine Benachrichtigungen gegenüber betroffenen Dritten durch. Der Kunde entscheidet über die Anwendung von Ausnahmen (Art. 14 Abs. 5, z. B. Unverhältnismäßigkeit) und erfüllt ggf. die Informationspflichten.

Rechtsgrundlagen (Boniforce – eigene Verantwortlichkeit)

Art. 6 Abs. 1 lit. b (Konto/Vertrag/Support/Abrechnung), Art. 6 Abs. 1 lit. c (gesetzliche Pflichten), Art. 6 Abs. 1 lit. f (Betrieb/IT-Sicherheit/Fehlerdiagnose).
Hinweis: Boniforce nutzt keine auftragsverarbeiteten Drittdaten für eigene Zwecke.

Speicherdauer (SaaS)

  • Kundendaten im Auftrag (Drittdaten): Löschung oder Rückgabe binnen 30 Tagen nach Vertragsende gemäß AVV; Backups werden ringförmig 30–60 Tage später überschrieben.
  • Plattform-/Nutzungsprotokolle (eigene Verantwortlichkeit): i. d. R. 30 Tage.
  • Vertrags-/Abrechnungsunterlagen: gesetzliche Aufbewahrung.

Hinweis: Für Bonitätsabfragen speichert Boniforce keine personenbezogenen Bonitätsdaten über den Abfragezeitpunkt hinaus (siehe Abschnitt „Bonitätsabfragen (ad hoc, keine dauerhafte Speicherung)“).

Betroffenenrechte bei Daten aus öffentlichen Quellen

Werden Daten aus öffentlichen Quellen verarbeitet, die personenbezogen sein können (z. B. bei Einzelunternehmern), ist grundsätzlich der Kunde für Art. 14-Informationen verantwortlich und kann – sofern die Voraussetzungen vorliegen – Art. 14 Abs. 5 DSGVO (z. B. Unverhältnismäßigkeit) anwenden. Betroffene können sich an den jeweiligen Kunden wenden; wir unterstützen gem. AVV. Anfragen an Boniforce leiten wir an den Kunden weiter.

Fragen?

Kontakt: team@boniforce.de