Datenschutzerklärung — Boniforce für HubSpot

Ergänzung zur allgemeinen Datenschutzerklärung der Boniforce GmbH zur Nutzung der Boniforce-HubSpot-App.

Stand: 13.05.2026

Inhalt

  1. Übersicht
  2. Welche Daten verarbeitet werden
  3. Datenresidenz
  4. Zweck
  5. Auftragsverarbeiter
  6. Speicherdauer
  7. Rechtsgrundlage
  8. Betroffenenrechte
  9. English

1. Übersicht

Die Boniforce-HubSpot-App („App“) integriert die Boniforce-API zur deutschen B2B-Bonitätsprüfung in HubSpot Company-Datensätze. Sie wird über den HubSpot App Marketplace installiert. Diese Erklärung beschreibt die zusätzlichen Verarbeitungen, die durch die Nutzung der App entstehen. Allgemeine Aussagen unserer Hauptdatenschutzerklärung — insbesondere zu Verantwortlichem, Sicherheitsmaßnahmen, internationalen Datentransfers und Betroffenenrechten — gelten unverändert.

2. Welche Daten verarbeitet werden

  • HubSpot OAuth-Tokens des installierenden Portals (envelope-verschlüsselt mit AWS KMS in eu-central-1).
  • Boniforce-API-Credentials, die der Portal-Admin hinterlegt (envelope-verschlüsselt at rest).
  • HubSpot Company-Daten — Name, Registerkennungen, Adresse — werden an die Boniforce-API zur Auflösung und Berichterstellung übergeben.
  • Boniforce-Score-Daten — Boniscore, Risikoklasse, Finanzindikatoren, Sektor-Benchmarks — werden in die HubSpot-Company-Eigenschaften zurückgeschrieben und in der App-Datenbank persistiert.
  • Audit-Log — HubSpot-User-ID, Aktion, Zeitstempel, Ergebnis — für jede Boniforce-relevante Aktion.

Die App verarbeitet keine Verbraucherkredit-, Kinder- oder besonderen personenbezogenen Daten (Art. 9 DSGVO).

3. Datenresidenz

Alle App-eigenen Daten, Verarbeitung, Logs und Backups liegen ausschließlich in EU-Regionen (Standard: AWS eu-central-1 / Frankfurt). Die App ist so konfiguriert, dass sie in Produktion in einer Nicht-EU-Region nicht startet. Es ist keine regionsübergreifende Replikation konfiguriert.

4. Warum die App Daten verarbeitet

  • HubSpot Company-Datensätze einer eindeutigen Boniforce-Rechtspersönlichkeit zuordnen.
  • Auf Nutzeranfrage kostenpflichtige Boniforce-Berichte generieren.
  • Score, Risikoklasse, Sektor-Benchmarks und Verlauf am HubSpot-Datensatz anzeigen.
  • Kostenpflichtige Aktionen für die Abrechnungsabstimmung des Kunden protokollieren.

5. Empfänger und Auftragsverarbeiter

Sub-AuftragsverarbeiterRolleRegion
Boniforce GmbH (DE)Quelle der Kreditdaten — empfängt Firmenname + Registerkennungen unter dem eigenen Boniforce-Vertrag des KundenDeutschland
Amazon Web Services EMEA SARLHosting (RDS Postgres, ElastiCache Redis, KMS, Fargate, CloudWatch)eu-central-1 (Frankfurt)
HubSpot, Inc.CRM-Plattform, die die Install-Oberfläche bereitstelltKundenseitig gewählt (typ. EU oder US)

6. Speicherdauer

DatenkategorieAufbewahrung
HubSpot OAuth-Tokensbis App-Deinstallation
Boniforce-API-Key (verschlüsselt)bis App-Deinstallation oder Widerruf
Score-Daten + Verlaufbis GDPR-Erasure oder App-Deinstallation
Audit-Logals Compliance-Nachweis dauerhaft
Cache (Sektor-Benchmarks)24 Stunden

7. Rechtsgrundlage

Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrags zwischen dem HubSpot-Portal-Inhaber und Boniforce (Art. 6 Abs. 1 lit. b DSGVO). Eine Verarbeitung zu Trainingszwecken durch Boniforce oder dritte KI-Anbieter findet nicht statt.

8. Betroffenenrechte / Wie Sie Ihre Rechte ausüben

  • Boniforce trennen: Portal-Admins können den Boniforce-API-Key jederzeit über die App-Settings entfernen; der verschlüsselte Schlüssel wird sofort gelöscht.
  • Erasure (Art. 17 DSGVO): Portal-Admins können eine Liste von HubSpot-Company-IDs an den GDPR-Erasure-Endpunkt der App übergeben; alle Boniforce-abgeleiteten Daten für diese Firmen werden gelöscht. Audit-Log-Einträge bleiben als Compliance-Nachweis erhalten.
  • Deinstallation: Beim Uninstall werden die Portal-Datensätze für Housekeeping markiert und der verschlüsselte Boniforce-Schlüssel gelöscht.
Datenschutzanfragen: Für Auskunft, Berichtigung, Löschung oder Widerspruch zur App-bezogenen Datenverarbeitung wenden Sie sich an team@boniforce.de. Datenschutzbeauftragter siehe Hauptdatenschutzerklärung.

English version

The Boniforce HubSpot App processes: HubSpot OAuth tokens (KMS-encrypted at rest in eu-central-1); Boniforce API credentials supplied by the portal admin (envelope-encrypted at rest); HubSpot Company data (name, register identifiers, address — passed to the Boniforce API); Boniforce score data written back to Company custom properties; an audit log of every action.

All App-owned data, processing, logs, and backups reside in EU regions only (AWS eu-central-1, Frankfurt). No special-category personal data, consumer data, or children’s data is processed. Legal basis: Art. 6(1)(b) GDPR.

Rights: portal admins can disconnect the Boniforce credential at any time via App settings (immediate purge); submit a list of HubSpot Company IDs to the App’s GDPR erasure endpoint to purge Boniforce-derived data; uninstall the App to purge the encrypted credential immediately. Contact team@boniforce.de for any request.