Datenschutzerklärung

Stand: 30. April 2026

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) sowie ergänzender Vorschriften (BDSG-neu, TDDDG) über die Verarbeitung Ihrer personenbezogenen Daten bei Besuch der Website app.dealsystem.io sowie bei Nutzung des darüber bereitgestellten Dienstes „DealSystem" (im Folgenden „Dienst").

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Maximilian Fischer
Am Rotdornbusch 9
27777 Ganderkesee
Deutschland

Telefon: +49 163 8631063
E-Mail: info@maxifischer.de

Ein Datenschutzbeauftragter ist gesetzlich nicht zu bestellen (§ 38 Abs. 1 BDSG). Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte an die o. g. Kontaktdaten.

2. Rolle des Anbieters: Verantwortlicher bzw. Auftragsverarbeiter

Der Anbieter handelt teils als Verantwortlicher, teils als Auftragsverarbeiter:

  • Verantwortlicher ist der Anbieter für sämtliche Daten, die er zum eigenen Zweck verarbeitet — insbesondere Account-, Vertrags-, Abrechnungs- und Logdaten der Nutzer der Plattform sowie für anonymisierte Reichweitenmessung der eigenen Marketing-Website.
  • Auftragsverarbeiter ist der Anbieter für sämtliche Daten, die ein Workspace-/Tenant-Inhaber im Rahmen der Nutzung des Dienstes in das CRM einstellt (z. B. Kontaktdaten von Endkunden, Deal-Inhalte, hochgeladene Dateien, eingehende oder gesendete Nachrichten). Diese Daten werden ausschließlich nach Weisung des jeweiligen Workspace-Inhabers verarbeitet. Es gilt ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, der mit dem Anbieter geschlossen wird.

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt ausschließlich auf Grundlage gesetzlicher Erlaubnistatbestände oder einer ausdrücklichen Einwilligung der betroffenen Person. Es werden keine personenbezogenen Daten an Dritte verkauft.

Sämtliche Datenübertragung erfolgt verschlüsselt über TLS 1.2 oder höher. Daten werden in Rechenzentren innerhalb der Europäischen Union (Hetzner Online GmbH, Deutschland) verarbeitet, soweit nichts anderes ausdrücklich angegeben ist.

4. Kategorien betroffener Personen und verarbeiteter Daten

4.1 Besucher der Website (vor Login)

Beim Aufruf der öffentlich zugänglichen Seiten (z. B. Login-Seite, Datenschutz, Nutzungsbedingungen) werden technisch notwendige Daten durch unseren Server protokolliert:

  • IP-Adresse (gekürzt bzw. nur kurzfristig in Server-Logs)
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL und HTTP-Methode
  • HTTP-Statuscode und übertragene Datenmenge
  • Referrer (sofern vom Browser übermittelt)
  • User-Agent-String (Browser, Betriebssystem)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, fehlerfreien Betrieb sowie an der Abwehr von Angriffen). Server-Logs werden in der Regel nach 14 Tagen gelöscht oder anonymisiert, soweit sie nicht zur Beweissicherung im Falle eines Sicherheitsvorfalls länger benötigt werden.

4.2 Registrierte Nutzer (Account-Inhaber)

Zur Nutzung des Dienstes ist ein Nutzerkonto erforderlich. Wir verarbeiten die folgenden Daten als Verantwortlicher:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (ausschließlich als Argon2-Hash)
  • Workspace-Mitgliedschaften, Rollen und Berechtigungen
  • Authentifizierungs-Metadaten (Sessions, Anmeldezeitpunkte, verwendete IP/Geräte)
  • Bei OAuth-Login zusätzlich: Google-Profil-ID, Profilbild, verifizierte E-Mail-Adresse (siehe Ziffer 6)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb, Missbrauchsabwehr, Audit-Trail).

4.3 Inhalte im CRM (Daten Dritter)

Im Rahmen der Nutzung des Dienstes erfasst der Workspace-Inhaber Daten Dritter — typischerweise Kunden, Interessenten und Geschäftspartner des Workspace-Inhabers. Hierfür ist der Workspace-Inhaber selbst der Verantwortliche; der Anbieter ist insoweit ausschließlich Auftragsverarbeiter (siehe Ziffer 2). Folgende Datenkategorien können dabei verarbeitet werden:

  • Stammdaten von Kontakten (Name, Anschrift, Telefon, E-Mail, Position, Unternehmen)
  • Notizen, Aufgaben, Deals und Pipelines
  • Kommunikationsverläufe (E-Mails, SMS, Anrufe, Audio-Mitschnitte soweit vom Workspace aktiviert)
  • Hochgeladene Dateianhänge und Dokumente
  • benutzerdefinierte Felder, deren Inhalt der Workspace-Inhaber selbst bestimmt

Eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (z. B. Gesundheitsdaten) ist nicht vorgesehen. Soweit ein Workspace-Inhaber solche Daten dennoch eingibt, verantwortet er die hierfür erforderliche Rechtsgrundlage selbst.

4.4 Eingehende und ausgehende Nachrichten

Sofern ein Workspace E-Mail-Konten (Gmail, IMAP/SMTP), Telefonie (Twilio) oder weitere Kanäle anbindet, werden die jeweiligen Kommunikationsinhalte (Header, Bodies, Anhänge, Anrufmetadaten) verarbeitet, um sie dem zugehörigen Kontakt im CRM zuzuordnen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (gegenüber dem Nutzer) sowie Art. 6 Abs. 1 lit. f DSGVO (gegenüber Dritten — ordnungsgemäße Vertragsabwicklung des Workspace-Inhabers).

5. Cookies und ähnliche Technologien

Wir setzen ausschließlich technisch notwendige Cookies bzw. Speichertechnologien ein, die für den Betrieb des Dienstes zwingend erforderlich sind:

  • Session-Cookie („session") — speichert das Authentifizierungs-Token nach erfolgreichem Login. Eigenschaften: HttpOnly, Secure, SameSite=Lax. Lebensdauer: 30 Tage, Ablauf bei Logout.
  • CSRF-Token — schützt vor Cross-Site-Request- Forgery-Angriffen. Lebensdauer: Browser-Session.
  • localStorage — speichert ausschließlich Bedienkomfort-Präferenzen (z. B. Sortierung, gewähltes Theme, eingeklappte Menüs). Kein Tracking.

Eine Einwilligung nach § 25 Abs. 1 TDDDG ist nicht erforderlich, da die Speicherung gemäß § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich ist, um den vom Nutzer ausdrücklich angeforderten Telemediendienst zur Verfügung zu stellen. Tracking- oder Marketing-Cookies setzen wir nicht.

6. Anmeldung mit Google (OAuth) und Google-API-Integrationen

Der Dienst bietet die Möglichkeit, sich mit einem Google-Konto anzumelden, sowie optionale Integrationen für Gmail, Google Calendar und Google Drive. Die Verarbeitung erfolgt ausschließlich nach ausdrücklicher Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO); die Einwilligung kann jederzeit durch Trennung der Verbindung in den App-Einstellungen widerrufen werden.

6.1 Angeforderte Google-Berechtigungen (Scopes)

ScopeZweck
openid, email, profileAnmeldung am Dienst, Anlage des Nutzerkontos
gmail.readonlySynchronisation eingehender E-Mails in das CRM (Zuordnung zum passenden Kontakt)
gmail.sendVersand von E-Mails aus dem CRM heraus
gmail.modifyMarkieren als gelesen, Verschieben in Ordner — ausschließlich zur Konsistenz mit dem Gmail-Konto
calendar.events, calendar.freebusyAnzeige von Terminen, Buchungs-Funktionalität (Slot-Berechnung), Erstellung von Terminen aus dem CRM
drive.fileZugriff nur auf Dateien, die explizit über den Dienst erstellt oder geöffnet wurden — kein Zugriff auf das restliche Google Drive

6.2 Limited-Use: Verwendung von Google-API-Daten

Die Verwendung von über Google APIs erhaltener Informationen entspricht den Anforderungen der Google API Services User Data Policy, insbesondere den Anforderungen an die Limited Use. Das bedeutet:

  • Die abgerufenen Daten werden ausschließlich zur Bereitstellung der vom Nutzer aktivierten Funktionen verwendet (Anzeige im CRM, Versand, Synchronisation, Termin-Buchung).
  • Eine Übertragung an Dritte erfolgt nur, sofern dies zur Bereitstellung dieser Funktionen erforderlich ist (z. B. an unseren Hosting- bzw. Storage-Provider) oder ausdrücklich vom Nutzer veranlasst (z. B. Weiterleitung einer E-Mail).
  • Die Daten werden nicht für Werbung, das Training generischer KI-Modelle, Reichweitenmessung oder Verkauf an Dritte verwendet.
  • Menschen lesen die Daten nur dann, wenn (a) der Nutzer ausdrücklich einwilligt, (b) dies für Sicherheits- oder Missbrauchsuntersuchungen erforderlich ist oder (c) dies zur Erfüllung gesetzlicher Pflichten erforderlich ist.

6.3 Speicherort der Google-Tokens

OAuth-Refresh-Tokens werden symmetrisch verschlüsselt (AES-256-GCM) in unserer Datenbank abgelegt. Bei Verbindungstrennung werden sie unverzüglich gelöscht und der Refresh-Token bei Google revoked.

7. Empfänger und Auftragsverarbeiter

Zum Betrieb des Dienstes setzen wir die folgenden Dienstleister als Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit allen bestehen entsprechende Verträge; bei Anbietern außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgt die Übermittlung ausschließlich auf Grundlage geeigneter Garantien.

DienstleisterZweckSitz / RegionGarantien für Drittlandtransfer
Hetzner Online GmbHServer-Hosting, Datenbank, BackupsDeutschland (EWR)
Google Ireland Ltd. / Google LLCCloud Storage (Anhänge), Gmail-/Calendar-/Drive-APIIrland / USAEU-US Data Privacy Framework, EU-Standardvertragsklauseln
Twilio Inc. / Twilio Ireland Ltd.Telefonie und SMSUSA / IrlandEU-US Data Privacy Framework, EU-Standardvertragsklauseln
Resend, Inc.Versand transaktionaler E-Mails (z. B. Magic-Link)USAEU-US Data Privacy Framework, EU-Standardvertragsklauseln
OpenRouter Inc.Routing zu KI-Sprachmodellen (z. B. zur Datenextraktion, Anrufzusammenfassung)USAEU-Standardvertragsklauseln

Eine aktuelle, vollständige Liste der eingesetzten Unter-Auftragsverarbeiter sowie die jeweils geltenden Garantien stellen wir Workspace-Inhabern auf Anfrage als Anhang zum Auftragsverarbeitungsvertrag zur Verfügung.

8. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten an Empfänger außerhalb des EWR erfolgt nur, soweit sie zur Erbringung der vom Nutzer angeforderten Leistung erforderlich ist und ein angemessenes Datenschutzniveau gewährleistet ist. Wir stützen Übermittlungen in die USA primär auf das EU-US Data Privacy Framework gemäß Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023; bei Anbietern, die nicht zertifiziert sind, ergänzend auf die EU-Standardvertragsklauseln (2021/914) sowie ggf. ergänzende technische und organisatorische Maßnahmen.

9. Verarbeitung durch KI-Dienste

In einzelnen Funktionen (z. B. automatische Anrufzusammenfassung, Datenextraktion aus E-Mails, Marktanalyse) werden Inhalte an Sprachmodelle Dritter übermittelt. Die Übermittlung erfolgt ausschließlich, wenn der Nutzer die jeweilige Funktion bewusst auslöst oder den entsprechenden Workflow aktiviert hat. Die eingesetzten Modell-Anbieter (z. B. OpenAI, Anthropic, Google) haben gegenüber OpenRouter zugesichert, die übermittelten Daten nicht zum Training ihrer Modelle zu verwenden. Eine fortdauernde Speicherung über die Verarbeitungszeit hinaus findet nicht statt.

10. Speicherdauer

DatenSpeicherdauer
Server-Logs14 Tage, dann automatische Löschung/Anonymisierung
Sessions30 Tage nach letzter Nutzung; Löschung bei Logout
Account-DatenDauer des Vertragsverhältnisses; Löschung 30 Tage nach Vertragsende
CRM-Inhaltenach Weisung des Workspace-Inhabers; spätestens 30 Tage nach Vertragsende
Rechnungs-/Buchhaltungsbelege10 Jahre (§ 147 AO, § 257 HGB)
Anonymisierte Tracking-Daten der Marketing-Website13 Monate aggregiert

11. Ihre Rechte

Sie haben uns gegenüber jederzeit folgende Rechte:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Für uns örtlich zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

Bei Daten, für die der Anbieter Auftragsverarbeiter ist (Ziffer 2), bitten wir, Anfragen direkt an den jeweiligen Workspace-Inhaber zu richten. Wir unterstützen den Workspace-Inhaber gemäß Art. 28 Abs. 3 lit. e DSGVO bei der Beantwortung.

12. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen. Hierzu gehören u. a. TLS-Verschlüsselung der gesamten Datenübertragung, verschlüsselte Speicherung von Geheimnissen und OAuth-Tokens (AES-256-GCM), gesalzenes Argon2-Hashing von Passwörtern, rollenbasiertes Berechtigungssystem, Audit-Trail administrativer Aktionen und regelmäßige Sicherheitsupdates.

13. Automatisierte Einzelfallentscheidung

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung gegenüber Ihnen oder vergleichbar erheblicher Beeinträchtigung gemäß Art. 22 DSGVO findet nicht statt.

14. Pflicht zur Bereitstellung der Daten

Die Bereitstellung der unter Ziffer 4.2 genannten Daten ist zur Begründung des Vertragsverhältnisses erforderlich. Ohne diese Daten können wir den Dienst nicht zur Verfügung stellen.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen abbildet. Für Ihren erneuten Besuch gilt dann die neue Fassung. Wesentliche Änderungen, insbesondere solche, die eine bestehende Einwilligung berühren, werden eingeloggten Nutzern zusätzlich aktiv mitgeteilt.