Datenschutzerklärung

Stand: 02. Oktober 2025

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot“).

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Cao Hung Nguyen
Am Kaisersbusch 6
42781 Haan

E-Mail-Adresse: team@boniforce.de

Hinweis – ausschließlich B2B-Angebot:
Unsere Dienstleistungen richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB („B2B“). Wir schließen keine Verträge mit Verbrauchern ab. Sollten Sie als Privatperson (Verbraucher) unsere Website rein informatorisch nutzen, beachten Sie, dass wir keine Vertragsleistungen gegenüber Verbrauchern erbringen.

Rollenklärung (Kunde/Boniforce) und AVV

  • Kunde als Verantwortlicher (Art. 4 Nr. 7 DSGVO): Für Daten über Dritte (z. B. Einzelunternehmer/Freiberufler), die Kunden über unsere Plattform abrufen, zusammenführen, bewerten oder in eigene Prozesse übernehmen (inkl. Scoring/Rating/Risikoklassen/Kreditlimits), ist allein der jeweilige Kunde Verantwortlicher.
  • Boniforce als Auftragsverarbeiter (Art. 28 DSGVO): Soweit wir diese Drittdaten im Auftrag des Kunden verarbeiten (Crawling/Anreicherung/Bereitstellung im Dashboard/Export), handeln wir ausschließlich nach Weisung des Kunden auf Basis eines Auftragsverarbeitungsvertrags (AVV).
  • Informationspflichten (Art. 13/14 DSGVO), Rechtsgrundlagen, Betroffenenrechte, Löschfristen für diese Drittdaten liegen beim Kunden. Der Kunde entscheidet auch über die Nutzung von Ausnahmen nach Art. 14 Abs. 5 DSGVO (z. B. Unverhältnismäßigkeit). Boniforce informiert Betroffene nicht eigenständig, außer der Kunde weist uns dazu an (vgl. AVV).
  • Boniforce als eigener Verantwortlicher: Für eigene Zwecke (z. B. Betrieb/Sicherheit des Onlineangebots, Konto/Vertrag/Abrechnung, Support, Nachweis von Einwilligungen, optionale Analytics/Newsletter) sind wir Verantwortlicher.

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten
Bestandsdaten. Standortdaten. Kontaktdaten. Inhaltsdaten. Nutzungsdaten. Meta-, Kommunikations- und Verfahrensdaten. Protokolldaten.

Kategorien betroffener Personen
Kommunikationspartner. Nutzer.

Zwecke der Verarbeitung
Kommunikation. Sicherheitsmaßnahmen. Direktmarketing. Reichweitenmessung. Organisations- und Verwaltungsverfahren. Feedback. Marketing. Profile mit nutzerbezogenen Informationen. Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit. Informationstechnische Infrastruktur. Öffentlichkeitsarbeit. Absatzförderung.

Maßgebliche Rechtsgrundlagen

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO); Vertragserfüllung/vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO); Rechtspflichten (Art. 6 Abs. 1 S. 1 lit. c DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Nationale Regelungen (DE): BDSG u. a. zu Auskunft, Löschung, Widerspruch, Profiling.
Hinweis DSG/Schweiz: Begriffe der DSGVO werden verwendet; rechtliche Bedeutung nach Schweizer DSG bleibt unberührt.

Sicherheitsmaßnahmen

Wir treffen Maßnahmen gem. Art. 32 DSGVO (u. a. Verschlüsselung in Transport/Ruhe, Rollen-/Rechtekonzept, Protokollierung, Backups/Restore, Härtung, Überwachung, Incident-Response, Privacy by Design/Default). Details zu TOMs sind im AVV-Anhang geregelt.

Übermittlung von personenbezogenen Daten

Einsatz weissungsgebundener Auftragsverarbeiter (Hosting/Cloud, E-Mail, Monitoring, CRM/Support, Newsletter, Consent-Management, optional Analytics).
Es werden entsprechende Verträge nach Art. 28 DSGVO geschlossen.

Internationale Datentransfers

Übermittlungen in Drittländer nur gem. Art. 44 ff. DSGVO (Angemessenheitsbeschluss, EU-SCC inkl. TIA und ergänzende Maßnahmen) oder Einwilligung/gesetzliche Ausnahmen. DPF-Zertifizierungen werden, wo einschlägig, genutzt.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen/anonymisieren Daten, wenn Zweck entfällt, Rechtsgrundlage fehlt oder Fristen ablaufen; Ausnahmen bei gesetzlichen Aufbewahrungen bzw. Geltendmachung/Abwehr von Ansprüchen.
Mehrere Fristen: maßgeblich ist die längste. Jahresfristbeginn wie von dir beschrieben. Verarbeitung aufbewahrter Daten nur zu den Aufbewahrungsgründen.

Konkrete Beispiele (eigene Verantwortlichkeit):

  • Server-/Sicherheitslogs: i. d. R. 30 Tage, längstens bis Vorfallklärung.
  • Konto/Vertrags-/Abrechnungsdaten: Vertragslaufzeit; danach 6/10 Jahre (HGB/AO).
  • Support-/Ticketdaten: Abschluss + 12 Monate, sofern keine Ansprüche offen.

Auftragsdaten im Kundenauftrag (AVV):
Rückgabe/Löschung nach Weisung des Kunden. Standard: Löschung binnen 30 Tagen nach Vertragsende; Backups werden ringförmig 30–60 Tage später überschrieben (technisch bedingt). Abweichungen nur nach Weisung oder gesetzlicher Pflicht.

Rechte der betroffenen Personen

Widerspruch (Art. 21), Widerruf von Einwilligungen (Art. 7 Abs. 3), Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).
Kontakt: team@boniforce.de.
Beschwerderecht bei der zuständigen Aufsichtsbehörde (NRW: LDI NRW).
Wichtig: Für Daten, die wir im Auftrag des Kunden verarbeiten, sind Anfragen an den jeweiligen Kunden zu richten; wir unterstützen gem. AVV.

Bereitstellung des Onlineangebots und Webhosting

Daten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscodes, Login-/Fehlerlogs.
Zwecke: Auslieferung, Stabilität, Sicherheit (inkl. DDoS-Abwehr).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: siehe Logs (30 Tage).

Verarbeitung von Kundenstammdaten

Zweck/Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b), Rechtspflichten (lit. c).
Speicherdauer: Vertragsende + gesetzliche Aufbewahrung.
Weitergabe: nur soweit für Vertrag/Abrechnung oder gesetzlich erforderlich (Bank, Steuerberatung, Behörden).

Einsatz von Cookies

Notwendige Cookies: für Betrieb/Log-in/Consent (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TTDSG).
Nicht notwendige Cookies/Tracker: nur nach Einwilligung über das Consent-Banner (Art. 6 Abs. 1 lit. a; § 25 Abs. 1 TTDSG).
Speicherdauer: Session bis zu permanent (typisch bis 24 Monate); konkrete Dauer im Consent-Banner.
Widerruf/Opt-out: jederzeit im Consent-Banner/Browser.

Consent-Management: Einwilligungen werden protokolliert, verwaltet, widerrufbar; Nachweis bis zu 2 Jahren (pseudonymer Identifikator, Zeitstempel, Umfang).

Blogs und Publikationsmedien

IP-Speicherung bei Kommentaren (Missbrauchsabwehr), Spamerkennung, ggf. Umfrage-Cookies zur Vermeidung von Mehrfachabstimmungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f.
Speicherdauer: bis Widerspruch, soweit keine Pflichten entgegenstehen.

Kontakt- und Anfrageverwaltung

Zwecke: Kommunikation, Ticketbearbeitung, Qualität.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und lit. f.
Speicherdauer: Abschluss + 12 Monate.
Kontaktformular/E-Mail: Nutzung nur zur Bearbeitung des Anliegens.

Newsletter und elektronische Benachrichtigungen (optional)

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a), Double-Opt-In; Widerruf jederzeit.
Protokollierung: Opt-in-Nachweis bis 3 Jahre.
Messung Öffnungen/Klicks: nur mit Einwilligung; Widerruf jederzeit.

Werbliche Kommunikation via E-Mail, Post, Fax oder Telefon

Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a) bzw. berechtigte Interessen (Art. 6 Abs. 1 lit. f) soweit gesetzlich zulässig.
Sperrlisten/Blocklist: Speicherung minimaler Daten, um Widersprüche dauerhaft zu beachten (Art. 6 Abs. 1 lit. f).

Webanalyse, Monitoring und Optimierung (optional)

Grundsatz: nur nach Einwilligung (Art. 6 Abs. 1 lit. a; § 25 Abs. 1 TTDSG).
Google Analytics 4 (GA4): pseudonyme Messung; IP-Kürzung/EU-Server; AVV mit Google; ggf. Drittlandübermittlung mit SCC/DPF. Aufbewahrung der Analytics-IDs i. d. R. 14–24 Monate (konkret im Consent-Banner).
Opt-out: jederzeit im Consent-Banner.

Präsenzen in sozialen Netzwerken (Social Media)

Wir betreiben Profile (PR/Kommunikation). Anbieter verarbeiten Daten eigenverantwortlich auch für Statistik/Marketing.
LinkedIn Page-Insights: gemeinsame Verantwortlichkeit beschränkt auf Erhebung von Statistikdaten; weitergehende Verarbeitung bei LinkedIn. Rechte können gegenüber LinkedIn oder uns geltend gemacht werden.

Plug-ins und eingebettete Funktionen sowie Inhalte

Google Fonts:

  • Lokal eingebunden (empfohlen): Rechtsgrundlage Art. 6 Abs. 1 lit. f (einheitliche Darstellung, Performance).
  • Remote über Google-Server (nur falls wirklich genutzt): nur mit Einwilligung (Art. 6 Abs. 1 lit. a); dabei technische Browserdaten erforderlich.
    Google Maps (falls eingebunden): Einwilligung (Art. 6 Abs. 1 lit. a).
    Konkrete Anbieter/Drittländer/Speicherdauern: Consent-Banner.

Verarbeitung von Daten im Rahmen unserer SaaS-Dienstleistung

Wir bieten registrierten Nutzern („Kunden“) eine SaaS-Plattform zur Analyse/Bewertung der Profitabilität von Unternehmen an. Öffentlich zugängliche Daten (z. B. Handelsregister, Websites, Social Media) können im Auftrag des Kunden crawlt, verarbeitet und zusammengeführt werden und in Einzelfällen personenbezogene Informationen enthalten (z. B. bei Einzelunternehmen/Freiberuflern).

Verantwortungsbereiche

  • Kunde = Verantwortlicher: Zweck/Mittel der Prüfung (z. B. Scoring, Risikoklasse, Kreditlimit, Ampeln) legt der Kunde fest; er trägt die Informations-, Dokumentations-, Lösch- und Widerspruchspflichten sowie die Wahl der Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. f DSGVO; ggf. § 31 BDSG beim Scoring).
  • Boniforce = Auftragsverarbeiter: Verarbeitung nur nach Weisung des Kunden; keine eigene Weiterverwendung; Unterstützung bei Betroffenenersuchen/Löschung/Sicherheitsvorfällen gem. AVV.
  • Benachrichtigung Art. 14 DSGVO: Boniforce führt keine Benachrichtigungen gegenüber betroffenen Dritten durch. Der Kunde entscheidet über die Anwendung von Ausnahmen (Art. 14 Abs. 5, z. B. Unverhältnismäßigkeit) und erfüllt ggf. die Informationspflichten.

Rechtsgrundlagen (Boniforce – eigene Verantwortlichkeit)

  • Art. 6 Abs. 1 lit. b (Konto/Vertrag/Support/Abrechnung),
  • Art. 6 Abs. 1 lit. c (gesetzliche Pflichten),
  • Art. 6 Abs. 1 lit. f (Betrieb/IT-Sicherheit/Fehlerdiagnose).
    Hinweis: Boni­force nutzt keine auftragsverarbeiteten Drittdaten für eigene Zwecke.

Speicherdauer (SaaS)

  • Kundendaten im Auftrag (Drittdaten): Löschung oder Rückgabe binnen 30 Tagen nach Vertragsende gemäß AVV; Backups werden ringförmig 30–60 Tage später überschrieben.
  • Plattform-/Nutzungsprotokolle (eigene Verantwortlichkeit): s. Logs (30 Tage).
  • Vertrags-/Abrechnungsunterlagen: gesetzliche Aufbewahrung.

Betroffenenrechte bei Daten aus öffentlichen Quellen

Werden Daten aus öffentlichen Quellen verarbeitet, die personenbezogen sein können (z. B. bei Einzelunternehmen), ist grundsätzlich der Kunde für Art. 14-Informationen verantwortlich und kann – sofern die Voraussetzungen vorliegen – Art. 14 Abs. 5 DSGVO (z. B. Unverhältnismäßigkeit) anwenden.
Betroffene können sich an den jeweiligen Kunden wenden; wir unterstützen gem. AVV. Anfragen an Boniforce leiten wir an den Kunden weiter.

Fragen? team@boniforce.de