Datenschutzerklärung

Stand: Juli 2026

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir Sie über die Verarbeitung personenbezogener Daten bei der Nutzung der Software Unternehmio sowie der unter unternehmio.de erreichbaren Anwendung gemäß Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:

H&F Trading GmbH

Bahnhofstraße 1, 92706 Luhe-Wildenau (Oberwildenau)

Geschäftsführer: Dominik Holl

E-Mail: info@holl.immo

Weitere Angaben finden Sie im Impressum.

2. Rolle: eigene Verarbeitung und Auftragsverarbeitung

Unternehmio ist eine Software, mit der Unternehmerinnen und Unternehmer ihr Unternehmen steuern (u. a. Aufgaben, Kundenverwaltung/CRM, Team-, Zeit- und Abwesenheitserfassung, Dokumente und E-Signatur, Formulare, Buchhaltungs-Unterstützung). Dabei verarbeiten wir personenbezogene Daten in zwei unterschiedlichen Rollen:

  • Als Verantwortliche für die Daten unserer Vertragskunden (z. B. Konto-, Anmelde- und Abrechnungsdaten der Nutzer) sowie für den Betrieb der Anwendung.
  • Als Auftragsverarbeiter (Art. 28 DSGVO) für alle Inhalts- und Nutzungsdaten, die unsere Kunden in der Software erfassen – insbesondere Daten von Kontakten/Kunden, Mitarbeitenden, Vorgängen, Dokumenten und Zahlungen. Für diese Verarbeitung ist der jeweilige Kunde Verantwortlicher; Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) zwischen ihm und uns.

3. Bereitstellung der Anwendung und Server-Logfiles

Bei jedem Aufruf der Anwendung werden automatisch Informationen an unseren Hosting-Dienstleister übermittelt und in Server-Logfiles gespeichert (u. a. IP-Adresse, Datum und Uhrzeit, abgerufene Ressource, übertragene Datenmenge, Browsertyp und Betriebssystem). Dies ist technisch erforderlich, um die Anwendung auszuliefern und ihre Stabilität und Sicherheit zu gewährleisten. Rechtsgrundlage ist unser berechtigtes Interesse am sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

4. Nutzerkonto und Anmeldung

Für die Nutzung der Anwendung ist ein persönliches Konto erforderlich. Wir verarbeiten hierfür Name, E-Mail-Adresse, ein verschlüsselt gespeichertes Passwort sowie Protokolldaten zur An- und Abmeldung. Optional können Sie sich über einen externen Anbieter anmelden (Google bzw. Microsoft, siehe Ziffer 10); dabei erhalten wir Ihre dort hinterlegte E-Mail-Adresse und Ihren Namen zur Kontozuordnung. Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der Sicherheit der Zugänge (Art. 6 Abs. 1 lit. f DSGVO). Zur Aufrechterhaltung der Anmeldung setzen wir ein technisch notwendiges Sitzungs-Cookie ein; es dient ausschließlich der Authentifizierung und erfordert keine Einwilligung.

5. Inhalts- und Nutzungsdaten in der Software

Im Rahmen der Funktionen werden – im Auftrag unserer Kunden (siehe Ziffer 2) – u. a. folgende Daten verarbeitet: Kontakt-/Kundendaten und Leads (CRM), Daten von Mitarbeitenden (Anzeigename, Funktion, Eintrittsdatum, Zeiterfassung, Abwesenheiten/Urlaub, Anwesenheit), Aufgaben und Vorgänge, Dokumente und elektronische Signaturen, Formular-Antworten sowie Korrespondenz. Verantwortlicher und Rechtsgrundlage richten sich nach dem jeweiligen Kunden.

6. KI-gestützte Funktionen

Einzelne Funktionen nutzen große Sprach- bzw. Transkriptionsmodelle, um Eingaben zu strukturieren, Fragen zu beantworten, Texte zusammenzufassen oder Sprache in Text umzuwandeln. Hierbei werden die jeweils betroffenen Inhalte (z. B. der Text einer Aufgabe, eine Sprachnachricht, ein Abfrage-Kontext) an folgende Anbieter übermittelt:

  • Anthropic PBC (USA) – Verarbeitung von Text durch das Sprachmodell „Claude“.
  • OpenAI, L.L.C. (USA) – Umwandlung von Sprachnachrichten in Text (Transkription).

Vor der Übermittlung an KI-Anbieter werden personenbezogene Angaben, soweit technisch möglich, maskiert/entfernt (u. a. IBAN, E-Mail-Adressen, Telefonnummern). Die Anbieter verarbeiten die Daten als Auftragsverarbeiter und verwenden sie nicht zum Training ihrer Modelle. Rechtsgrundlage ist die Vertragserfüllung bzw. unser berechtigtes Interesse an nützlichen Assistenzfunktionen (Art. 6 Abs. 1 lit. b und f DSGVO); für die Übermittlung in die USA werden die EU-Standardvertragsklauseln zugrunde gelegt.

7. Telegram-Bot (optional)

Optional können Sie Aufgaben und Notizen über einen Telegram-Bot erfassen und abrufen. Wenn Sie diese Funktion aktiv verknüpfen, werden die von Ihnen gesendeten Nachrichten (Text, Sprachnachrichten, Bilder) über die Infrastruktur der Telegram FZ-LLC (Vereinigte Arabische Emirate) übermittelt und von uns zur Ausführung Ihrer Anweisung verarbeitet (ggf. unter Einsatz der KI-Funktionen nach Ziffer 6). Rechtsgrundlage ist Ihre Einwilligung durch die aktive Verknüpfung sowie die Vertragserfüllung (Art. 6 Abs. 1 lit. a und b DSGVO). Es gelten zusätzlich die Datenschutzbestimmungen von Telegram. Sie können die Verknüpfung jederzeit wieder aufheben.

8. Kontoinformationen / Bankdaten (PSD2, optional)

Sofern ein Nutzer den Abgleich von Zahlungen aktiviert, kann er auf freiwilliger Basis ein Bankkonto über einen lizenzierten Kontoinformationsdienst (PSD2) anbinden. Kontoumsätze werden ausschließlich nach ausdrücklicher Einwilligung und für die gesetzlich vorgesehene Dauer (i. d. R. 90 Tage je Einwilligung) abgerufen, um sie mit offenen Forderungen abzugleichen. Die Anbindung erfolgt über Enable Banking Oy (Helsinki, Finnland) als von der finnischen FIN-FSA lizenzierten Kontoinformationsdienst (AISP), ausschließlich lesend – es werden keine Zahlungen ausgelöst, und wir erhalten zu keinem Zeitpunkt Ihre Online-Banking-Zugangsdaten. Die Verarbeitung erfolgt innerhalb der EU. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), jederzeit mit Wirkung für die Zukunft widerruflich.

9. E-Mail-Versand

Für den Versand von System- und Benachrichtigungs-E-Mails (z. B. Einladungen, Erinnerungen, Signatur-Anfragen) nutzen wir den Dienst Resend (Resend, Inc., USA). Hierbei werden die Empfängeradresse und der Inhalt der jeweiligen Nachricht verarbeitet. Rechtsgrundlage ist die Vertragserfüllung bzw. unser berechtigtes Interesse an einer zuverlässigen Zustellung (Art. 6 Abs. 1 lit. b und f DSGVO). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag; für die Übermittlung in die USA werden die EU-Standardvertragsklauseln verwendet.

10. Kalender-Anbindung (Google, Microsoft – optional)

Optional können Sie Ihren Google- oder Microsoft-Kalender verbinden, um Aufgaben mit Fälligkeitsdatum als Termine zu spiegeln bzw. Termine anzuzeigen. Nach Ihrer ausdrücklichen Freigabe (OAuth) werden hierfür die betroffenen Aufgaben-/Termindaten mit Google Ireland Limited (Irland) bzw. Microsoft Ireland Operations Ltd. (Irland) ausgetauscht; eine Verarbeitung in Drittländern ist dabei möglich, wofür die EU-Standardvertragsklauseln zugrunde gelegt werden. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); Sie können die Verbindung jederzeit in den Einstellungen trennen.

11. Aufnahme- und Meeting-Funktion (Companion – optional)

Die optionale Companion-Funktion ermöglicht es, Bildschirm- bzw. Besprechungsinhalte aufzuzeichnen, zu transkribieren (siehe Ziffer 6) und zusammenzufassen. Aufnahmen erfolgen ausschließlich auf Ihre aktive Veranlassung; verdeckte Aufnahmen sind ausgeschlossen. Sie sind selbst dafür verantwortlich, die nach geltendem Recht erforderlichen Einwilligungen der Gesprächsteilnehmer einzuholen. Aufnahmen und daraus erzeugte Transkripte/Zusammenfassungen werden verschlüsselt gespeichert, unterliegen einer begrenzten Aufbewahrungsdauer und können jederzeit gelöscht werden. Rechtsgrundlage ist Ihre Einwilligung bzw. die von Ihnen verantwortete Verarbeitung (Art. 6 Abs. 1 lit. a und f DSGVO).

12. Hosting, Datenbank und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag besteht:

  • Vercel, Inc. (USA) – Hosting und Auslieferung der Anwendung. Übermittlung auf Grundlage der EU-Standardvertragsklauseln.
  • Supabase, Inc. – Datenbank- und Speicherdienste. Die Daten werden in einem Rechenzentrum innerhalb der EU (Region Frankfurt am Main, Deutschland) gespeichert.
  • Anthropic PBC (USA) und OpenAI, L.L.C. (USA) – KI-Text- und Transkriptionsdienste, siehe Ziffer 6 (EU-Standardvertragsklauseln).
  • Telegram FZ-LLC (VAE) – Nachrichten-Infrastruktur des optionalen Bots, siehe Ziffer 7.
  • Google Ireland Ltd. / Microsoft Ireland Operations Ltd. – Kalender-Anbindung und optionale Anmeldung, siehe Ziffer 10.
  • Resend, Inc. (USA) – Versand transaktionaler E-Mails, siehe Ziffer 9.
  • Enable Banking Oy (Finnland) – Kontoinformationsdienst (PSD2), siehe Ziffer 8.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. handels- und steuerrechtlich) bestehen. Daten, die wir im Auftrag verarbeiten, werden nach den Weisungen des jeweiligen Kunden bzw. nach Beendigung des Auftragsverhältnisses gelöscht oder zurückgegeben.

14. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft über die zu Ihnen verarbeiteten Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Betreffen Ihre Daten eine Verarbeitung im Auftrag eines unserer Kunden, leiten wir Ihr Anliegen an den jeweils Verantwortlichen weiter bzw. unterstützen diesen bei der Beantwortung.

15. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

16. Datensicherheit

Die Übertragung erfolgt verschlüsselt über TLS. Der Zugriff auf Daten ist rollenbasiert beschränkt; mandantenübergreifende Zugriffe werden technisch unterbunden (Row-Level-Security). Vor der Übermittlung an KI-Dienste werden personenbezogene Angaben soweit möglich maskiert. Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten gegen unbefugten Zugriff und Verlust zu schützen.

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen an der Anwendung oder der Rechtslage dies erforderlich machen. Es gilt jeweils die hier veröffentlichte aktuelle Fassung.