Datenschutzerklärung

1.1 Wir freuen uns über Ihr Interesse an EasyBench. Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten

• beim Besuch der öffentlich zugänglichen Website unter http://localhost:3000 einschließlich der dort bereitgestellten Landingpages und SEO-Seiten,
• bei der Nutzung der Authentifizierungsdienste unter http://localhost:8080/,
• bei der Nutzung der EasyBench-Webanwendung und der zugehörigen Programmierschnittstelle unter http://localhost:8081,
• bei der Registrierung und Verwaltung eines EasyBench-Benutzerkontos,
• bei der Anbahnung, Durchführung und Beendigung eines EasyBench-Abonnements,
• bei der Kontaktaufnahme, dem Support und der Zahlungsabwicklung sowie
• während der Export- und Löschphase nach Beendigung eines Abonnements oder einer Testphase.

Die unter https://minio.easybench.app erreichbare Speicherverwaltung ist ausschließlich für administrative Zugriffe vorgesehen und kein öffentliches Nutzerangebot.

1.2 Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

1.3 EasyBench richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Personenbezogene Daten können gleichwohl insbesondere von Inhabern, Beschäftigten, Ansprechpartnern, eingeladenen Benutzern, Steuerberatern sowie von Kunden und sonstigen Kontakten der EasyBench-Kunden verarbeitet werden.

Verantwortlicher für die in dieser Datenschutzerklärung beschriebenen Verarbeitungen im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Der Verantwortliche ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

3.1 Soweit EasyBench personenbezogene Daten zur Bereitstellung und Verwaltung von Benutzerkonten, zur Vertragsdurchführung, Abrechnung, Kommunikation, Systemsicherheit, Missbrauchsverhinderung oder Erfüllung gesetzlicher Pflichten verarbeitet, erfolgt die Verarbeitung in eigener datenschutzrechtlicher Verantwortlichkeit.

3.2 EasyBench ermöglicht Geschäftskunden, im Rahmen der SaaS-Anwendung eigene Daten zu Kunden, Beschäftigten, Ansprechpartnern, Baustellen, Objekten, Angeboten, Rechnungen, Aufmaßen und sonstigen Geschäftsvorgängen zu verarbeiten. Soweit der jeweilige EasyBench-Kunde dabei über Zwecke und Mittel der Verarbeitung entscheidet, ist der Kunde datenschutzrechtlich Verantwortlicher und EasyBench verarbeitet die Daten in dessen Auftrag gemäß Art. 28 DSGVO.

3.3 Für diese Auftragsverarbeitung wird mit dem Kunden ein gesonderter Vertrag zur Auftragsverarbeitung („AVV") geschlossen. Der AVV wird Bestandteil des SaaS-Vertrages und kann dem Kunden in Textform beziehungsweise als dauerhaft abrufbares Dokument zur Verfügung gestellt werden. Im Fall von Widersprüchen zwischen dieser Datenschutzerklärung und dem AVV gehen hinsichtlich der Verarbeitung im Auftrag die Regelungen des AVV vor.

3.4 Betroffene Personen, deren Daten ein EasyBench-Kunde innerhalb der Anwendung verarbeitet, sollen ihre datenschutzrechtlichen Anfragen grundsätzlich an den jeweiligen EasyBench-Kunden richten. EasyBench unterstützt seine Kunden im Rahmen des AVV bei der Bearbeitung solcher Anfragen.

4.1 Für das Hosting der öffentlichen Website, der Authentifizierungsdienste, der Webanwendung, der API, der Datenbank, der Dokumentenspeicherung, der administrativen Speicherverwaltung sowie für Backups und Snapshots nutzen wir Dienste der:

Die von uns eingesetzte Cloud-Infrastruktur befindet sich im Hetzner-Rechenzentrumsstandort Nürnberg, Deutschland.

4.2 Auf der Hetzner-Infrastruktur werden insbesondere folgende Daten verarbeitet:

• Inhalte der öffentlichen Website und der EasyBench-Webanwendung,
• Benutzer-, Mandanten- und Berechtigungsdaten,
• Authentifizierungs- und Sitzungsdaten,
• Kunden- und Kontaktdaten,
• Angebote, Rechnungen, Rechnungspositionen und Aufmaße,
• Baustellen- und Objektanschriften,
• Bankverbindungen, soweit Kunden diese für ihre eigenen Rechnungsdokumente hinterlegen,
• Logos, Notizen und sonstige vom Kunden eingegebene Inhalte,
• Dokumente und Dateien im objektbasierten Speicher,
• technische Protokoll-, Sicherheits- und Fehlerdaten,
• Exportprotokolle sowie
• Sicherungskopien und Snapshots.

4.3 Die Verarbeitung erfolgt je nach Zusammenhang auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragsdurchführung, Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer sicheren, zuverlässigen und leistungsfähigen Bereitstellung unserer Angebote sowie, bei Verarbeitung im Auftrag unserer Kunden, auf Grundlage von Art. 28 DSGVO in Verbindung mit dem jeweiligen AVV.

4.4 Mit Hetzner wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Hetzner verarbeitet die Daten nach unserer Weisung. Die von uns genutzten Cloud-Ressourcen am Standort Nürnberg werden innerhalb der Europäischen Union betrieben.

4.5 Hetzner-Backups werden täglich erstellt. Es werden bis zu sieben Sicherungsstände vorgehalten, sodass Daten regelmäßig spätestens innerhalb von sieben Tagen aus den rotierenden Sicherungen entfernt beziehungsweise überschrieben werden. Zusätzlich können administrative Snapshots für Rollback-Zwecke verwendet werden. Diese Snapshots werden spätestens mit dem nächsten Deployment beziehungsweise der nächsten veröffentlichten Version gelöscht, sobald der jeweilige Rollback-Zweck entfallen ist.

4.6 Die Datenübertragung zwischen Endgerät und EasyBench erfolgt verschlüsselt mittels HTTPS/TLS. Die eingesetzten Datenbanken und Objektspeicher werden innerhalb der geschützten Serverumgebung betrieben. Eine zusätzliche anwendungsseitige Verschlüsselung sämtlicher gespeicherter Inhaltsdaten erfolgt derzeit nicht. Zugriffe werden durch technische und organisatorische Maßnahmen beschränkt.

5.1 Bei Aufruf der Website, der Authentifizierungsdienste, der Webanwendung oder der API können durch unsere Server, Reverse-Proxys und Sicherheitskomponenten insbesondere folgende Daten verarbeitet werden:

• aufgerufene Adresse und Ressource,
• Datum und Uhrzeit des Zugriffs,
• übertragene Datenmenge,
• Referrer- beziehungsweise Herkunftsadresse,
• Browser und Betriebssystem,
• Geräte- und Zeitzoneninformationen,
• HTTP-Statuscode,
• Sitzungs- und Anfragekennungen,
• technische Fehler- und Sicherheitsinformationen sowie
• IP-Adresse, soweit diese durch die eingesetzten Server-, Proxy- oder Authentifizierungskomponenten protokolliert wird.

5.2 Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Grundlage unseres berechtigten Interesses an der sicheren und stabilen Bereitstellung, der Fehleranalyse, der Abwehr von Angriffen und der Verhinderung missbräuchlicher Nutzung.

5.3 Anwendungs- und Zahlungswebhook-Protokolle werden grundsätzlich für bis zu sieben Tage vorgehalten, sofern nicht ein sicherheitsrelevantes Ereignis, eine Störung oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen eine längere Aufbewahrung erfordert.

5.4 Authentifizierungs- und Sitzungsdaten werden durch die selbst betriebene Identitäts- und Zugangsverwaltung Keycloak verarbeitet. Hierzu gehören insbesondere Benutzerkennung, Sitzungsinformationen und die IP-Adresse der jeweils aktiven Sitzung. Die IP-Adresse wird nur für die Dauer der aktiven Sitzung gespeichert und mit deren Beendigung gelöscht. Eine darüber hinausgehende dauerhafte Speicherung von IP-Adressen für abgeschlossene Sitzungen findet nicht statt.

Unsere Website und Webanwendung nutzen HTTPS/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie insbesondere an „https://" und dem Schloss-Symbol in der Adresszeile Ihres Browsers. Die Verschlüsselung schützt übermittelte Daten vor unbefugter Kenntnisnahme während der Übertragung.

7.1 EasyBench verwendet technisch notwendige Cookies und lokale Speichertechnologien, um die Website und Webanwendung bereitzustellen, Benutzer zu authentifizieren, Sitzungen zu verwalten, Sicherheitsfunktionen umzusetzen und benutzerbezogene Einstellungen zu speichern.

7.2 Hierzu gehören insbesondere:

• Sitzungscookies mit einer regulären Laufzeit von bis zu zehn Stunden,
• kurzlebige Authentifizierungs- beziehungsweise Zugriffstoken mit einer Laufzeit von ungefähr einer Minute,
• Refresh- beziehungsweise Erneuerungstoken zur Aufrechterhaltung einer sicheren Anmeldung,
• eine optionale Funktion „Angemeldet bleiben" mit einer Laufzeit von bis zu 30 Tagen,
• technisch notwendige Login-, Sicherheits- und Statusinformationen,
• Local-Storage-Einträge für Benutzer- und Oberflächeneinstellungen,
• Einstellungen wie Benutzername, Firmenname, Rolle, eingeklappte oder ausgeklappte Seitenleiste sowie
• Vorschläge aus zuvor eingegebenen fachlichen Inhalten, beispielsweise Mitarbeiternamen.

7.3 Die Verarbeitung technisch notwendiger Cookies und Speicherinformationen erfolgt gemäß § 25 Abs. 2 Nr. 2 TDDDG, soweit sie unbedingt erforderlich ist, sowie gemäß Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Nutzungs- oder Vertragsverhältnisses und Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer sicheren und nutzerfreundlichen Bereitstellung.

7.4 Einstellungen und Vorschlagswerte im Local Storage bleiben grundsätzlich so lange auf dem jeweiligen Endgerät gespeichert, bis sie von der Anwendung überschrieben, durch den Benutzer gelöscht oder durch Browserfunktionen entfernt werden. Sie können die lokalen Browserdaten über die Einstellungen Ihres Browsers löschen. Dadurch können gespeicherte Einstellungen verloren gehen oder eine erneute Anmeldung erforderlich werden.

7.5 Für die Verwaltung von Cookie-Einstellungen verwenden wir eine selbst entwickelte Lösung. Auf der öffentlichen Website setzen wir derzeit keine externen Analyse-, Marketing-, Tracking-, Karten-, Video-, Schriftarten- oder Social-Media-Einbettungsdienste ein, die eine Einwilligung erfordern. Sollten künftig zusätzliche einwilligungspflichtige Dienste eingesetzt werden, werden diese Datenschutzerklärung und die Einwilligungsverwaltung entsprechend angepasst.

Sie können Ihre Cookie-Einstellungen jederzeit ändern: Cookie-Einstellungen ändern

8.1 Bei Registrierung und Nutzung eines EasyBench-Kontos verarbeiten wir insbesondere:

• Vor- und Nachname,
• E-Mail-Adresse,
• Firmenname,
• Passwort in Form eines nicht rückrechenbaren Passwort-Hashs,
• Rolle und Berechtigungen,
• Mandanten- beziehungsweise Unternehmenszuordnung,
• Zeitpunkt und Status der Registrierung und E-Mail-Bestätigung,
• Anmeldezeitpunkte und technische Authentifizierungsereignisse,
• Browser-Zeitzone sowie
• benutzerbezogene Einstellungen.

8.2 Passwörter werden nicht im Klartext gespeichert. Die Authentifizierung erfolgt über eine selbst betriebene Keycloak-Instanz. Passwörter werden mit dem von Keycloak konfigurierten Argon2-Verfahren gehasht.

8.3 Zur Bestätigung der E-Mail-Adresse senden wir eine Verifizierungsnachricht. Diese Verarbeitung ist für die sichere Einrichtung des Kontos erforderlich und erfolgt gemäß Art. 6 Abs. 1 lit. b und lit. f DSGVO.

8.4 Die E-Mail-Adresse wird zugleich als Benutzername verwendet. Soweit nach Löschung eines Kontos eine minimale Zuordnung oder Sperrinformation erforderlich bleibt, um Missbrauch, doppelte Zuordnungen, Sicherheitsvorfälle oder rechtliche Nachweispflichten zu bearbeiten, wird diese nur im erforderlichen Umfang und für den jeweiligen Zweck gespeichert.

8.5 Benutzerkonten können durch den Kontoinhaber beziehungsweise einen berechtigten Mandantenadministrator verwaltet werden. Kunden können weitere Benutzer, Beschäftigte oder Steuerberater einladen und diesen Rollen und Berechtigungen zuweisen. Der einladende Kunde ist dafür verantwortlich, dass er zur Übermittlung der jeweiligen Kontaktdaten berechtigt ist.

8.6 Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung des Vertrages oder vorvertraglicher Maßnahmen erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheits-, Missbrauchsschutz- und Verwaltungszwecke.

9.1 EasyBench ist eine cloudbasierte Software für Malerbetriebe. Innerhalb der Anwendung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Stammdaten von Kunden, Interessenten, Beschäftigten, Ansprechpartnern und Steuerberatern,
• Namen, Anschriften, E-Mail-Adressen und Telefonnummern,
• Baustellen- und Objektanschriften,
• Angebots-, Auftrags- und Rechnungsdaten,
• Rechnungspositionen, Leistungsbeschreibungen und Preise,
• Bankverbindungen und Zahlungsangaben,
• Aufmaße und fachliche Projektdaten,
• Firmenlogos,
• Rollen und Mitarbeiterdaten,
• Notizen sowie
• aus diesen Daten erzeugte Dokumente und Exporte.

9.2 EasyBench ist nicht für die planmäßige Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO bestimmt. Kunden sollen keine Gesundheitsdaten, biometrischen Daten, Angaben zur religiösen oder weltanschaulichen Überzeugung, Gewerkschaftszugehörigkeit, sexuellen Orientierung oder vergleichbar sensiblen Informationen eingeben, sofern hierfür keine eindeutige rechtliche Grundlage besteht und die Verarbeitung nicht ausdrücklich mit EasyBench abgestimmt wurde.

9.3 Soweit diese Daten von einem EasyBench-Kunden für eigene Geschäftszwecke eingegeben und verwaltet werden, erfolgt die Verarbeitung durch EasyBench als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlicher bleibt der jeweilige EasyBench-Kunde.

9.4 EasyBench nutzt Kundendaten nicht für eigene Werbung, Profilbildung oder den Verkauf an Dritte. Eine Verarbeitung erfolgt nur zur Bereitstellung, Sicherung, Wartung, Unterstützung, Fehlerbehebung, Exportierung und Löschung des Dienstes sowie im Rahmen dokumentierter Weisungen des Kunden und gesetzlicher Verpflichtungen.

10.1 Mandantenadministratoren können zusätzliche Benutzer, Mitarbeiter oder externe Steuerberater einladen. Hierzu wird insbesondere die E-Mail-Adresse des einzuladenden Benutzers verarbeitet und eine Einladungs- oder Registrierungsnachricht versandt.

10.2 Rollen und Berechtigungen werden innerhalb des jeweiligen Mandanten verwaltet. Zugriffe sind auf die jeweils zugewiesenen Funktionen und Mandantendaten beschränkt.

10.3 Rechtsgrundlage für die Verarbeitung durch EasyBench in eigener Verantwortlichkeit ist Art. 6 Abs. 1 lit. b DSGVO, soweit ein eigenes Nutzungsverhältnis mit dem eingeladenen Benutzer begründet wird, sowie Art. 6 Abs. 1 lit. f DSGVO für sichere Benutzer- und Berechtigungsverwaltung. Soweit der Kunde die Daten seiner Mitarbeiter oder sonstigen Benutzer im Rahmen seines eigenen Verantwortungsbereichs verarbeitet, handelt EasyBench als Auftragsverarbeiter.

11.1 Bei Kontaktaufnahme per E-Mail, Kontaktformular, Telefon oder über sonstige Supportwege verarbeiten wir die mitgeteilten Daten ausschließlich im erforderlichen Umfang zur Bearbeitung und Beantwortung des Anliegens.

11.2 Hierzu können insbesondere Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Vertrags- und Kontoinformationen, Kommunikationsinhalte sowie zur Fehleranalyse erforderliche technische Angaben verarbeitet werden.

11.3 Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer effektiven Bearbeitung von Anfragen. Zielt die Kontaktaufnahme auf die Anbahnung oder Durchführung eines Vertrages, ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.

11.4 Supportanfragen werden grundsätzlich gelöscht, sobald der zugrunde liegende Sachverhalt abschließend geklärt ist und keine gesetzlichen Aufbewahrungspflichten, Sicherheitsgründe oder Rechtsverteidigungsinteressen entgegenstehen.

11.5 Das E-Mail-Postfach für EasyBench wird über Dienste der STRATO GmbH betrieben. STRATO verarbeitet dabei E-Mail-Adressen, Kommunikationsinhalte, Metadaten und gegebenenfalls technische Zustellinformationen. Mit STRATO gilt, soweit erforderlich, eine Vereinbarung zur Auftragsverarbeitung.

11.6 Support-E-Mails können über Brevo versandt werden. Eingehende Antworten werden im EasyBench-E-Mail-Postfach verarbeitet und nicht automatisch einem Kundenkonto zugeordnet.

12.1 Für den Versand transaktionaler und anlassbezogener Nachrichten nutzen wir:

12.2 Über Brevo werden insbesondere Registrierungs- und Bestätigungsnachrichten, Passwort- und Sicherheitsnachrichten, Vertrags- und Zahlungsinformationen, Kündigungsbestätigungen, Mitteilungen über Exportfristen, Löschbestätigungen sowie eine einmalige Information nach Ablauf einer Testphase versandt.

12.3 Dabei werden regelmäßig folgende Daten an Brevo übermittelt:

• E-Mail-Adresse des Empfängers,
• Absenderadresse,
• Betreff und Inhalt der Nachricht sowie
• technisch erforderliche Versand- und Zustellinformationen.

12.4 Brevo verarbeitet technische Versand-, Zustell- und Fehlerdaten, damit wir die ordnungsgemäße Zustellung transaktionaler Nachrichten prüfen und Versandprobleme bearbeiten können. Eine Messung von Öffnungen oder Linkaufrufen ist deaktiviert.

12.5 Der Versand notwendiger Vertrags-, Konto-, Sicherheits-, Export- und Löschmitteilungen sowie die Verarbeitung technischer Zustellinformationen erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO, soweit die Nachricht für die Vertragsdurchführung erforderlich ist, und im Übrigen gemäß Art. 6 Abs. 1 lit. f DSGVO auf Grundlage unseres berechtigten Interesses an einer zuverlässigen, sicheren und nachvollziehbaren E-Mail-Kommunikation.

12.6 Mit Brevo besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

13.1 Zur Anbahnung, Durchführung, Verwaltung und Beendigung des EasyBench-Vertrages verarbeiten wir insbesondere:

• Identitäts- und Kontaktdaten,
• Firmen- und Rechnungsanschrift,
• Tarif, Laufzeit und Vertragsstatus,
• Registrierungs- und Kündigungszeitpunkt,
• Zahlungsstatus,
• Zahlungsdienstleister- und Transaktionskennungen,
• Rechnungen und Zahlungsbelege,
• Support- und Vertragskommunikation sowie
• Informationen über die Export- und Löschphase.

13.2 Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Daten zur Erfüllung handels-, steuer- oder sonstiger gesetzlicher Pflichten gespeichert werden, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. c DSGVO. Die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen kann zudem auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

14.1 Für die Zahlungs-, Abonnement- und Kundenportalabwicklung nutzen wir:

14.2 Über Stripe können insbesondere SEPA-Lastschrift, Kreditkarte, Apple Pay, Google Pay, Link und – soweit im Stripe-Checkout angeboten – PayPal genutzt werden. Die Zahlungsoptionen werden innerhalb des von Stripe bereitgestellten Checkout- beziehungsweise Customer-Portal-Prozesses angezeigt.

14.3 Bei Nutzung von Stripe werden insbesondere folgende Daten verarbeitet beziehungsweise an Stripe übermittelt:

• Name und Kontaktdaten,
• Rechnungsanschrift,
• gewählter Tarif und Zahlungsbetrag,
• Währung,
• Zahlungsart,
• Zahlungs-, Abonnement- und Transaktionsstatus,
• Stripe-Kundennummer,
• Subscription- und Transaktionskennungen,
• technische Geräte-, Browser- und Sicherheitsinformationen sowie
• die zur gewählten Zahlungsart erforderlichen Konto-, Karten- oder Zahlungsdaten.

14.4 Vollständige Karten- und Kontodaten, die ausschließlich für die Bezahlung des EasyBench-Abonnements erforderlich sind, werden grundsätzlich direkt in den von Stripe bereitgestellten Zahlungsoberflächen eingegeben und nicht von EasyBench gespeichert. EasyBench speichert lediglich die für Vertragsverwaltung, Zuordnung, Statusprüfung und Buchhaltung erforderlichen Stripe-Kennungen und Zahlungsinformationen.

14.5 Hiervon zu unterscheiden sind Bankverbindungen, die ein EasyBench-Kunde freiwillig in der SaaS-Anwendung hinterlegt, damit diese auf eigenen Rechnungen an seine Endkunden ausgegeben werden. Diese Bankverbindungen werden als Mandantendaten innerhalb von EasyBench verarbeitet und nicht als Zahlungsdaten für das EasyBench-Abonnement genutzt.

14.6 Rechtsgrundlage für die Übermittlung an Stripe ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Stripe Daten zur Betrugsprävention, regulatorischen Prüfung, Sicherheit oder Erfüllung eigener gesetzlicher Pflichten in eigener Verantwortlichkeit verarbeitet, gelten ergänzend die Datenschutzbestimmungen von Stripe.

14.7 Stripe kann zur Leistungserbringung verbundene Unternehmen und weitere Dienstleister auch in Drittländern einsetzen. Stripe verwendet hierfür nach eigenen Angaben geeignete Garantien, insbesondere Angemessenheitsbeschlüsse, das EU-U.S. Data Privacy Framework und Standardvertragsklauseln, soweit erforderlich.

14.8 Mit Stripe besteht, soweit Stripe personenbezogene Daten in unserem Auftrag verarbeitet, eine Vereinbarung zur Auftragsverarbeitung.

15.1 Sofern Sie innerhalb des Stripe-Checkouts Apple Pay, Google Pay, Link oder PayPal auswählen, werden personenbezogene Daten zusätzlich durch den jeweiligen Zahlungs- oder Wallet-Anbieter verarbeitet.

15.2 Die Auswahl, Authentifizierung und Freigabe der Zahlung erfolgt innerhalb der von Stripe beziehungsweise dem jeweiligen Anbieter bereitgestellten Umgebung. Dabei können Zahlungs-, Geräte-, Konto-, Transaktions- und Sicherheitsdaten verarbeitet werden.

15.3 Die Verarbeitung erfolgt zur Durchführung der von Ihnen gewählten Zahlung gemäß Art. 6 Abs. 1 lit. b DSGVO. Die jeweiligen Anbieter können Daten außerdem in eigener Verantwortlichkeit zur Betrugsprävention, Sicherheit, Erfüllung gesetzlicher Pflichten und Verbesserung ihrer Dienste verarbeiten.

15.4 EasyBench bindet PayPal nicht als eigenständigen Zahlungsdienst außerhalb des Stripe-Checkouts ein. Es werden daher keine PayPal-Zahlungsdaten unmittelbar durch EasyBench erhoben oder gespeichert. PayPal wird nur angeboten, soweit Stripe diese Zahlungsoption im jeweiligen Checkout bereitstellt.

16.1 Für unsere eigene Finanzbuchhaltung nutzen wir:

16.2 In Lexware Office verarbeiten wir die für eine ordnungsgemäße Buchhaltung erforderlichen Daten, insbesondere eigene Ein- und Ausgangsrechnungen, Rechnungsanschriften, Vertrags- und Zahlungsdaten, Zahlungsbelege und gegebenenfalls Bankbewegungen.

16.3 Daten, die EasyBench-Kunden innerhalb der SaaS-Anwendung über ihre eigenen Endkunden, Angebote oder Rechnungen verarbeiten, werden nicht automatisch an unser Lexware-Office-Konto übertragen.

16.4 Die Übertragung an Lexware Office erfolgt derzeit manuell. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung handels- und steuerrechtlicher Pflichten sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer effizienten und ordnungsgemäßen Buchhaltung.

16.5 Mit Haufe-Lexware wurde ein Vertrag zur Auftragsverarbeitung geschlossen.

17.1 Für Domainregistrierung, DNS-Verwaltung, E-Mail-Postfach und Weiterleitung nutzen wir:

17.2 STRATO verarbeitet hierbei insbesondere Domain- und Vertragsdaten, DNS-Anfragen und technische Verbindungsinformationen sowie bei Nutzung des E-Mail-Dienstes Absender- und Empfängeradressen, Kommunikationsmetadaten und E-Mail-Inhalte.

17.3 Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Bereitstellung der vereinbarten Infrastruktur und gemäß Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer zuverlässigen Domain-, DNS- und Kommunikationsinfrastruktur.

17.4 Soweit STRATO Daten in unserem Auftrag verarbeitet, gilt eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

18.1 Wenn eine Supportanfrage dies erfordert, kann nach vorheriger individueller Abstimmung mit dem Kunden eine Fernwartungs- oder Bildschirmfreigabesitzung über TeamViewer durchgeführt werden.

18.2 Anbieter ist:

18.3 Dabei können insbesondere Verbindungsdaten, Geräte- und Sitzungsinformationen, IP-Adressen sowie die während der freigegebenen Sitzung sichtbaren Bildschirminhalte verarbeitet werden. EasyBench zeichnet Fernsupport-Sitzungen nicht auf.

18.4 Eine Fernwartung findet nur nach ausdrücklicher Freigabe durch den jeweiligen Benutzer statt. Der Benutzer kann die Sitzung jederzeit beenden und ist dafür verantwortlich, nicht erforderliche Anwendungen, Daten und Fenster vor Beginn zu schließen.

18.5 Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Fernunterstützung zur Erfüllung des Supportvertrages erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer effizienten technischen Fehlerbehebung. Soweit EasyBench während der Sitzung auf Daten zugreift, die der Kunde als Verantwortlicher verarbeitet, erfolgt dies im Rahmen des AVV und der Weisung des Kunden.

18.6 Soweit TeamViewer personenbezogene Daten in unserem Auftrag verarbeitet, gilt die von TeamViewer bereitgestellte Vereinbarung zur Auftragsverarbeitung.

19.1 Für die Bereitstellung einer kostenlosen Testphase verarbeiten wir die bei Registrierung und Nutzung angegebenen Konto-, Unternehmens- und Nutzungsdaten gemäß Art. 6 Abs. 1 lit. b DSGVO.

19.2 Nach Ablauf der Testphase wird kein kostenpflichtiges Abonnement automatisch abgeschlossen. Der produktive Zugriff endet, sofern der Benutzer keinen kostenpflichtigen Tarif auswählt.

19.3 Die innerhalb der Testphase gespeicherten Mandantendaten bleiben anschließend für 30 Kalendertage im eingeschränkten Exportzugang verfügbar. Während dieser Frist können die Daten exportiert oder durch Abschluss eines kostenpflichtigen Abonnements wieder produktiv genutzt werden.

19.4 Nach Ablauf der 30-tägigen Exportfrist werden die Mandantendaten aus den Produktivsystemen gelöscht. In Sicherungskopien enthaltene Daten werden innerhalb des regulären Sicherungszyklus von höchstens sieben weiteren Tagen überschrieben beziehungsweise entfernt, soweit keine zwingenden gesetzlichen Pflichten oder Sicherheitsgründe entgegenstehen.

20.1 Mit Ende eines kostenpflichtigen EasyBench-Abonnements endet der produktive Zugriff auf die Software. Für 90 Kalendertage ab Vertragsende wird ein eingeschränkter Zugriff auf die vorgesehenen Export- und Datenabruffunktionen bereitgestellt.

20.2 Während dieser Frist werden die Mandantendaten ausschließlich in dem Umfang weiterverarbeitet, der zur sicheren Vorhaltung, Darstellung, Exportierung, Unterstützung eines Anbieterwechsels und anschließenden Löschung erforderlich ist.

20.3 Rechtsgrundlage für eigene Konto-, Vertrags- und Kommunikationsdaten ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Mandantendaten im Auftrag des Kunden verarbeitet werden, erfolgt die weitere Verarbeitung auf Grundlage des AVV, der vertraglichen Vereinbarung über den Datenabruf und Art. 28 DSGVO.

20.4 Der Kunde ist dafür verantwortlich, die von ihm benötigten Daten innerhalb der Exportfrist vollständig abzurufen und zu sichern.

20.5 Verlangt der Kunde im Rahmen der vertraglich vorgesehenen Möglichkeiten eine vorzeitige Löschung und verzichtet damit auf den weiteren Datenabruf, wird die Exportfrist beendet und die Löschung eingeleitet. Eine sofortige Löschung während eines laufenden kostenpflichtigen Abonnements ist grundsätzlich nicht vorgesehen, soweit die Daten noch für die Vertragserfüllung benötigt werden.

21.1 Nach Ablauf der jeweils geltenden Exportfrist werden sämtliche Mandantendaten des betroffenen Unternehmens aus den Produktivsystemen gelöscht. Dies umfasst grundsätzlich auch die Konten und Berechtigungen der zum Mandanten gehörenden eingeladenen Benutzer und Steuerberater.

21.2 Nach Abschluss des Löschvorgangs wird eine Löschbestätigung per E-Mail versandt.

21.3 Daten können nach Löschung aus den Produktivsystemen noch für höchstens sieben Tage in rotierenden Sicherungskopien enthalten sein. Sicherungskopien werden ausschließlich zur Wiederherstellung nach technischen Störungen oder Sicherheitsvorfällen verwendet und nicht für reguläre Produktivzwecke verarbeitet. Bei einer Wiederherstellung werden bereits abgelaufene Löschfristen erneut berücksichtigt und betroffene Daten unverzüglich wieder gelöscht.

21.4 Von der Löschung der Mandantendaten unberührt bleiben Daten, die EasyBench in eigener Verantwortlichkeit aufgrund gesetzlicher Pflichten oder berechtigter Nachweis- und Rechtsverteidigungsinteressen aufbewahren muss. Hierzu können insbesondere gehören:

• Rechnungen von EasyBench an den Kunden,
• Zahlungsbelege und Buchungsunterlagen,
• Vertragsunterlagen und Kündigungsnachweise,
• gesetzlich erforderliche Steuer- und Handelsunterlagen,
• Nachweise über Exporte und Löschvorgänge sowie
• Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden.

21.5 Gesetzlich aufzubewahrende Daten werden nach Möglichkeit für andere Zwecke gesperrt und nach Ablauf der jeweiligen gesetzlichen Frist gelöscht.

22.1 Zum Nachweis durchgeführter Datenexporte und zur Gewährleistung der Integrität des Exportvorgangs speichern wir ein Exportprotokoll. Dieses kann folgende Felder enthalten:

• technische Protokollkennung,
• Mandantenkennung,
• Dateiname des Exports,
• kryptografischer Hashwert,
• Anzahl enthaltener Dateien,
• Anzahl enthaltener Rechnungen,
• Gesamtgröße in Byte sowie
• Erstellungszeitpunkt.

22.2 Das Exportprotokoll enthält grundsätzlich nicht den Inhalt der exportierten Dokumente. Es dient dem Nachweis, der technischen Fehleranalyse, der Integritätsprüfung und der Bearbeitung möglicher Rechtsansprüche.

22.3 Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der Nachweisbarkeit, Integrität und Sicherheit von Exportvorgängen sowie, soweit erforderlich, Art. 6 Abs. 1 lit. b und lit. c DSGVO.

22.4 Exportprotokolle werden für zwei Jahre gespeichert. Die Frist dient dem Nachweis des Exports, der Integritätsprüfung, der technischen Fehleranalyse sowie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Nach Ablauf der Frist werden die Protokolle gelöscht oder, soweit weiterhin statistische Auswertungen erforderlich sind, anonymisiert.

23.1 Zur Sicherung gegen Datenverlust werden tägliche Backups bei Hetzner erstellt. Es werden bis zu sieben Sicherungsstände vorgehalten.

23.2 Backups dienen ausschließlich der Wiederherstellung nach technischen Störungen, Bedienfehlern oder Sicherheitsvorfällen. Sie werden nicht zur Profilbildung, Analyse oder für sonstige eigenständige Zwecke verwendet.

23.3 Zugriffe auf Backups sind auf administrativ berechtigte Personen beschränkt. Wiederherstellungen werden nur bei technischer oder betrieblicher Erforderlichkeit durchgeführt.

23.4 Gelöschte Daten werden durch Rotation regelmäßig innerhalb von höchstens sieben Tagen aus den Backups entfernt. Administrative Snapshots werden ausschließlich für Rollback-Zwecke erstellt und spätestens mit dem nächsten Deployment beziehungsweise der nächsten veröffentlichten Version gelöscht, sobald der Sicherungszweck entfallen ist.

24.1 Soweit EasyBench als Auftragsverarbeiter für seine Kunden handelt, kann EasyBench weitere Auftragsverarbeiter einsetzen. Die Einzelheiten, einschließlich der Genehmigung und Information über Änderungen, werden im AVV geregelt.

24.2 Für die Verarbeitung von Mandantendaten werden derzeit insbesondere folgende Unterauftragnehmer beziehungsweise unterstützende Dienstleister eingesetzt:

• Hetzner Online GmbH: Hosting, Server, Netzwerk, Firewall, Backups und Snapshots in Nürnberg;
• Brevo GmbH: Versand transaktionaler E-Mails, soweit deren Inhalt oder Empfängerdaten Mandantenbenutzer betrifft;
• TeamViewer Germany GmbH: fallweiser Fernsupport nach vorheriger Abstimmung und Freigabe, soweit hierbei auf Mandantendaten zugegriffen werden kann.

24.3 Stripe, PayPal, Lexware Office und STRATO werden grundsätzlich für eigene Vertrags-, Zahlungs-, Buchhaltungs-, Domain- und Kommunikationsprozesse von EasyBench eingesetzt. Sie erhalten nicht regelhaft Zugriff auf die von Kunden in EasyBench gespeicherten Endkunden- und Projektdaten. Soweit in einem Einzelfall dennoch eine Verarbeitung von Mandantendaten im Auftrag erfolgt, wird dies entsprechend dem AVV und der Unterauftragnehmerregelung behandelt.

24.4 EasyBench wird Kunden nach Maßgabe des AVV über beabsichtigte Änderungen bei Unterauftragnehmern informieren. Der AVV kann ein angemessenes Widerspruchsrecht aus wichtigem datenschutzrechtlichem Grund vorsehen.

25.1 EasyBench trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang, Umständen und Zwecken der Verarbeitung angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

25.2 Hierzu gehören insbesondere:

• verschlüsselte Übertragung über HTTPS/TLS,
• Passwort-Hashing über die selbst betriebene Keycloak-Instanz mit Argon2,
• rollenbasierte Zugriffssteuerung,
• logische Mandantentrennung anhand einer Mandantenkennung,
• zusätzliche Datenbankzugriffskontrollen mittels PostgreSQL Row Level Security,
• anwendungsseitige Request- und Mandantenfilter,
• automatisierte Unit- und Integrationstests zur Prüfung der Mandantentrennung,
• Netzwerk- und Server-Firewalls,
• Rate Limiting und Schutzmaßnahmen gegen Brute-Force-Angriffe über Traefik,
• Audit- und Datenbankprotokollierung,
• regelmäßige Datensicherungen,
• manuelle Wiederherstellungstests,
• Sicherheits- und Abhängigkeitsprüfungen im Entwicklungsprozess,
• regelmäßige Aktualisierung der Ubuntu-Server- und Quarkus-Anwendungskomponenten,
• beschränkte administrative Zugriffe,
• dokumentierte Löschabläufe sowie
• regelmäßige Überprüfung eingesetzter Auftragsverarbeiter und Unterauftragnehmer.

25.3 Eine E-Mail-Bestätigung bei Registrierung dient der Verifikation der angegebenen E-Mail-Adresse. Sie stellt keine vollständige Zwei-Faktor-Authentifizierung für spätere Anmeldungen dar. Eine allgemeine Zwei-Faktor-Authentifizierung für Kundenkonten wird derzeit nicht angeboten.

25.4 Die ausführliche Beschreibung der technischen und organisatorischen Maßnahmen für Auftragsverarbeitungen wird als Anlage zum AVV bereitgestellt und regelmäßig überprüft.

26.1 Für die Softwareentwicklung und Quellcodeverwaltung können GitHub sowie lokale Entwicklungswerkzeuge von JetBrains eingesetzt werden. Über Mend.io beziehungsweise in die Entwicklungsumgebung integrierte Prüfwerkzeuge können Abhängigkeiten und Quellcodebestandteile auf bekannte Schwachstellen untersucht werden.

26.2 Produktive Mandanten- oder Endkundendaten werden nicht planmäßig in Quellcode-Repositories, lokale Testumgebungen oder Schwachstellen-Scan-Systeme übertragen. Lokale Tests erfolgen ohne produktive Kundendaten.

26.3 Sollten zur Fehleranalyse ausnahmsweise technische Ausschnitte erforderlich sein, werden diese vor Verwendung soweit möglich anonymisiert oder pseudonymisiert und auf das erforderliche Minimum beschränkt.

27.1 Neben den ausdrücklich genannten Dienstleistern können personenbezogene Daten an folgende Kategorien von Empfängern übermittelt werden, soweit dies erforderlich und rechtlich zulässig ist:

• Banken und Zahlungsdienstleister,
• Buchhaltungs- und Steuerberatungssysteme,
• Steuerberater und sonstige berufliche Berater,
• Rechtsanwälte, Gerichte und Behörden,
• Finanzbehörden sowie
• IT-, Hosting-, Kommunikations- und Supportdienstleister.

27.2 Eine Offenlegung gegenüber Finanzbehörden erfolgt nur, soweit dies zur Erfüllung gesetzlicher Pflichten, im Rahmen einer Prüfung oder aufgrund einer rechtmäßigen behördlichen Anforderung erforderlich ist.

28.1 Die zentrale EasyBench-Produktiv- und Backup-Infrastruktur wird am Hetzner-Standort Nürnberg innerhalb der Europäischen Union betrieben.

28.2 Bei einzelnen Dienstleistern, insbesondere Stripe, Wallet- und Zahlungsanbietern, TeamViewer, GitHub, JetBrains oder Mend.io, kann nicht ausgeschlossen werden, dass personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden oder dort zugänglich sind.

28.3 Eine solche Übermittlung erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage eines Angemessenheitsbeschlusses, einer gültigen Zertifizierung unter dem EU-U.S. Data Privacy Framework, geeigneter Standardvertragsklauseln oder einer gesetzlichen Ausnahme.

28.4 Produktive Mandantendaten werden nicht planmäßig an GitHub, JetBrains oder Mend.io übertragen.

EasyBench trifft keine Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen und die ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling im Sinne des Art. 22 DSGVO beruhen. Zahlungsdienstleister können im Rahmen ihrer eigenen Verantwortung automatisierte Sicherheits-, Betrugs- oder Risikoprüfungen durchführen.

30.1 Das geltende Datenschutzrecht gewährt betroffenen Personen insbesondere folgende Rechte:

• Auskunft gemäß Art. 15 DSGVO,
• Berichtigung gemäß Art. 16 DSGVO,
• Löschung gemäß Art. 17 DSGVO,
• Einschränkung der Verarbeitung gemäß Art. 18 DSGVO,
• Unterrichtung gemäß Art. 19 DSGVO,
• Datenübertragbarkeit gemäß Art. 20 DSGVO,
• Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO,
• Widerspruch gemäß Art. 21 DSGVO sowie
• Beschwerde bei einer Datenschutzaufsichtsbehörde gemäß Art. 77 DSGVO.

30.2 Soweit EasyBench Daten im Auftrag eines Kunden verarbeitet, ist grundsätzlich der jeweilige EasyBench-Kunde Ansprechpartner für die Wahrnehmung der Betroffenenrechte. EasyBench leitet Anfragen, die erkennbar einen Kunden betreffen, an diesen weiter beziehungsweise unterstützt ihn nach Maßgabe des AVV.

32.1 Die Speicherdauer richtet sich nach dem jeweiligen Verarbeitungszweck, der Rechtsgrundlage und bestehenden gesetzlichen Aufbewahrungspflichten.

32.2 Daten auf Grundlage einer Einwilligung werden gespeichert, bis die Einwilligung widerrufen wird, sofern keine andere Rechtsgrundlage die weitere Verarbeitung erlaubt.

32.3 Vertrags- und Kontodaten werden für die Dauer des Vertragsverhältnisses verarbeitet. Mandantendaten aus kostenpflichtigen Abonnements werden nach Vertragsende für 90 Kalendertage zum Export bereitgehalten und anschließend aus den Produktivsystemen gelöscht. Mandantendaten aus Testkonten werden nach Ablauf der Testphase für 30 Kalendertage zum Export bereitgehalten und anschließend gelöscht.

32.4 In rotierenden Backups können gelöschte Daten für höchstens sieben weitere Tage enthalten sein.

32.5 Handels- und steuerrechtlich relevante Unterlagen werden für die jeweils geltenden gesetzlichen Fristen gespeichert. Die Fristen können je nach Dokumentart insbesondere sechs, acht oder zehn Jahre betragen. Maßgeblich ist die im konkreten Zeitpunkt geltende gesetzliche Regelung.

32.6 Supportdaten werden grundsätzlich bis zur abschließenden Klärung des Sachverhalts gespeichert. Eine längere Speicherung erfolgt nur bei gesetzlichen Pflichten, Sicherheitsvorfällen oder Rechtsverteidigungsinteressen.

32.7 Sicherheits-, Server- und Webhook-Protokolle werden grundsätzlich bis zu sieben Tage gespeichert, sofern keine längere Aufbewahrung zur Untersuchung eines konkreten Vorfalls erforderlich ist.

32.8 Exportprotokolle und Löschbestätigungen werden für zwei Jahre gespeichert. Nach Ablauf dieser Frist werden sie gelöscht oder, soweit eine weitere Auswertung erforderlich ist, anonymisiert, sofern keine gesetzlichen Pflichten oder konkreten Rechtsverteidigungsinteressen eine längere Aufbewahrung erfordern.

32.9 Bei Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO werden Daten bis zur Ausübung eines wirksamen Widerspruchs gespeichert, es sei denn, es bestehen zwingende schutzwürdige Gründe für die weitere Verarbeitung oder die Daten werden zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

32.10 Im Übrigen werden personenbezogene Daten gelöscht, sobald sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind.

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Verarbeitungstätigkeiten, die eingesetzten Dienste oder die gesetzlichen Anforderungen ändern. Es gilt die jeweils auf unserer Website veröffentlichte Fassung.