Datenschutzerklärung

1. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Greyt GmbH
Am Wissenschaftspark 9
54296 Trier
Deutschland
E-Mail: impressum@business-os.de

2. Art, Zweck und Rechtsgrundlage der Datenverarbeitung

a) Beim Besuch unserer Webseite

Wenn Sie unsere Webseite aufrufen, erheben wir Server-Logfiles. Zudem nutzen wir Google Analytics, um die Nutzung unserer Webseite zu analysieren.

Daten: IP-Adresse (anonymisiert), Datum und Uhrzeit des Zugriffs, Browsertyp, aufgerufene Seiten.

Zweck: Sicherstellung eines reibungslosen Betriebs der Webseite, statistische Auswertung zur Verbesserung unseres Angebots.

Rechtsgrundlage:Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Google Analytics, die Sie über unser Cookie-Banner erteilen. Unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Stabilität und Sicherheit unserer Systeme für die Server-Logfiles.

b) Bei Registrierung und Vertragsdurchführung (SaaS-Dienst & Dienstleistungen)

Zur Nutzung unserer Dienste und zur Vertragsabwicklung erheben und verarbeiten wir folgende Daten:

Daten:Name, E-Mail-Adresse, Passwort (verschlüsselt), Unternehmensdaten, Anschrift und Zahlungsdaten (verarbeitet über Stripe).

Zweck:Anlegen und Verwalten Ihres Nutzerkontos, Durchführung des Vertragsverhältnisses, Rechnungsstellung und Zahlungsabwicklung für SaaS-Abonnements und gebuchte Dienstleistungen.

Rechtsgrundlage:Die Verarbeitung ist für die Erfüllung eines Vertrags mit Ihnen erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

c) Bei Nutzung des API-Dienstes (Auftragsverarbeitung)

Wenn Sie unseren API-Dienst aktiv nutzen, um Daten mit den Systemen von Drittanbietern auszutauschen, verarbeiten wir diese Daten in Ihrem Auftrag.

Datenkategorien:Die spezifischen Daten, die Sie über die API senden oder empfangen. Je nach angebundener Schnittstelle können dies z.B. Finanz- und Buchhaltungsdaten (wie Belege, Buchungen, Stammdaten), Kundendaten (CRM), Projektdaten oder andere Geschäftsdaten sein.

Wichtiger Hinweis:In diesem Kontext sind Sie der Verantwortliche für die Verarbeitung dieser Daten im Sinne der DSGVO. Wir, die Greyt GmbH, agieren als Ihr Auftragsverarbeiter gemäß Art. 28 DSGVO. Die technische Plattform wird durch die Synergetic GmbH als Unterauftragsverarbeiter betrieben.

Zweck: Ausschließlich zur Erbringung der vertraglich vereinbarten Leistung, d.h. zur technischen Übermittlung der Daten an die bzw. von der Schnittstelle des jeweiligen Drittanbieters.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage des zwischen Ihnen und uns geschlossenen Vertrags zur Auftragsverarbeitung (AVV).

3. Empfänger von Daten

Wir geben Ihre Daten nur dann an Dritte weiter, wenn dies zur Vertragserfüllung notwendig ist, wir gesetzlich dazu verpflichtet sind oder Sie eingewilligt haben.

Zahlungsdienstleister: Für die Abwicklung von Zahlungen nutzen wir Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Technische Dienstleister (Unterauftragsverarbeiter): Für die technische Realisierung der Schnittstellen-Anbindungen setzen wir spezialisierte Dienstleister wie die Maesn GmbH (Deutschland) ein. Diese verarbeiten die über die API übertragenen Daten in unserem Auftrag und speichern diese ebenfalls in Deutschland. Wir haben mit diesen Dienstleistern Verträge zur Auftragsverarbeitung geschlossen.

Banking-Dienstleister (Kontoinformationsdienst): Für die Bereitstellung der Banking-Funktionalität (Kontoanbindung, Kontoinformationen, Zahlungsinitiierung) nutzen wir die Dienste der fino run GmbH (Kassel, Deutschland), einem von der BaFin zugelassenen Kontoinformationsdienstleister, sowie deren technischem Partner Salt Edge Limited (Harrow, Vereinigtes Königreich). Wenn Sie eine Bankverbindung herstellen, stimmen Sie den Nutzungsbedingungen von fino sowie der Datenschutzerklärung von fino und der Datenschutzerklärung von Salt Edge zu. Weitere Informationen zu den Nutzungsbedingungen finden Sie unter Salt Edge Terms of Service.

Hosting und Infrastruktur: Unsere Webanwendung wird über Vercel Inc. (EU-Server, Frankfurt) gehostet. Nutzerdaten und Authentifizierung werden über Supabase Inc. (EU-Server, Frankfurt/AWS) verarbeitet und gespeichert. Das Backend läuft auf Google Cloud Run (EU, Belgien). Mit allen Anbietern bestehen Auftragsverarbeitungsverträge.

ÖPNV-Ticketing: Für das ÖPNV-Ticketing-Modul nutzen wir die Dienste der Mobility Box (moovel Group GmbH, Deutschland). Dabei werden Kundennamen, E-Mail-Adressen und Ticketdaten verarbeitet.

E-Mail-Versand: Für den Versand von Benachrichtigungen (z.B. ablaufende Bankverbindungen) nutzen wir Resend als E-Mail-Dienstleister. Dabei werden Name und E-Mail-Adresse der Empfänger übermittelt.

Analyse-Tools: Im Rahmen Ihrer Einwilligung nutzen wir den Google Tag Manager (Google Ireland Limited) zur Einbindung von Analyse-Tools. Zusätzlich nutzen wir Vercel Analytics für anonyme Performance-Messungen.

3b. Datenübermittlung in Drittländer

Im Rahmen der Banking-Integration werden Daten an Salt Edge Limited (Harrow, Vereinigtes Königreich) übermittelt. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (Beschluss vom 28. Juni 2021). Alle weiteren Dienstleister verarbeiten Daten innerhalb der Europäischen Union.

4. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erreichung der jeweiligen Zwecke erforderlich ist oder wie es die gesetzlichen Aufbewahrungsfristen vorschreiben. Im Einzelnen:

Nutzerkonto-Daten: Für die Dauer des Vertragsverhältnisses und bis zu 30 Tage nach Löschung des Accounts.

Rechnungsdaten: 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (§ 257 HGB, § 147 AO).

Im Auftrag verarbeitete Daten: Werden nach den Vorgaben im AVV innerhalb von 30 Tagen nach Vertragsende gelöscht bzw. auf Wunsch herausgegeben.

Banking-Verbindungsdaten: Für die Dauer der aktiven Bankverbindung. Nach Löschung der Verbindung durch den Nutzer werden die Daten unverzüglich entfernt.

Cookies und Tracking: Session-Cookies werden beim Schließen des Browsers gelöscht. Analyse-Cookies werden maximal 26 Monate gespeichert (sofern Einwilligung erteilt).

5. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch bezüglich Ihrer personenbezogenen Daten. Zudem können Sie eine erteilte Einwilligung jederzeit widerrufen und sich bei einer Aufsichtsbehörde beschweren.

Zur Ausübung Ihrer Rechte können Sie uns jederzeit unter den oben genannten Kontaktdaten kontaktieren.

6. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen abzubilden. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.