Datenschutzerklärungder Intoconvo GmbH
Informationen über die Verarbeitung Ihrer personenbezogenen Daten nach Art. 13 DSGVO.
Einleitung und Übersicht
Wenn Sie unsere Website besuchen, verarbeiten wir Ihre personenbezogenen Daten. Der Schutz dieser Daten ist uns wichtig. Wir halten uns an alle einschlägigen Gesetze, insbesondere die Datenschutz-Grundverordnung (DSGVO). In dieser Datenschutzinformation erhalten Sie alle wichtigen Informationen darüber, auf welchen Grundlagen, zu welchen Zwecken und wie lange wir Ihre Daten verarbeiten.
Name und Kontaktdaten des Verantwortlichen
Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:
Intoconvo GmbH
Christophorusweg 13, 14476 Potsdam
E-Mail: info@intoconvo.com
Unseren Datenschutzbeauftragten erreichen Sie unter: datenschutz@intoconvo.com
Verarbeitung im Rahmen des Clara-Dienstes (Web-App & Outlook Add-in)
Clara ist ein KI-gestützter Assistent für Steuerkanzleien. Über die Clara Web-App sowie das Outlook Add-in „Clara für Outlook“ unterstützt Clara die Bearbeitung von E-Mails – insbesondere die Klassifizierung eingehender Nachrichten, die Ablage in Ordnern, die Verschlagwortung, die Erstellung von Antwortentwürfen sowie die Ablage in das Dokumentenmanagementsystem (DMS).
Verarbeitung von Kanzlei- und Mandantendaten (Auftragsverarbeitung): Im Rahmen dieser Funktionen verarbeitet Clara Inhalte und Metadaten von E-Mails sowie deren Anhänge aus den verbundenen Postfächern der Kanzlei; diese können personenbezogene Daten der Mandanten enthalten. Insoweit handelt die Intoconvo GmbH als Auftragsverarbeiter (Art. 28 DSGVO) im Auftrag und nach Weisung der jeweiligen Kanzlei, die Verantwortliche im Sinne der DSGVO ist. Grundlage ist ein mit der Kanzlei geschlossener Auftragsverarbeitungsvertrag. Die Verarbeitung erfolgt auf Servern in der EU; eine Nutzung der Daten zum Training von KI-Modellen findet nicht statt (Zero Data Retention). Eine Übersicht der eingesetzten Unterauftragsverarbeiter sowie den AV-Vertrag finden Sie in unserem Trust Center.
Verarbeitung von Konto- und Nutzungsdaten (Verantwortlichkeit der Intoconvo GmbH): Für den Betrieb des Dienstes verarbeiten wir in eigener Verantwortung:
- Authentifizierung: Zur Anmeldung im Outlook Add-in nutzen Sie Ihr Microsoft-/Office-Konto (Single Sign-On) oder Ihre E-Mail-Adresse und ein Passwort. Verarbeitet werden Konto-Identifikatoren (z. B. Office-Objekt- und Mandanten-ID), Name und E-Mail-Adresse.
- Add-in-Kontext: Beim Öffnen des Add-ins zu einer E-Mail werden Kennungen der jeweils geöffneten Nachricht an Clara übermittelt, um den zugehörigen Kontext anzuzeigen.
- Produkt- und Fehleranalyse: Zur Analyse der Nutzung und zur Fehlererkennung setzen wir PostHog (Serverstandort EU/Frankfurt) ein. Dabei werden Ereignis- und Nutzungsdaten sowie Fehlerprotokolle der Bedienoberfläche erfasst.
Rechtsgrundlage der Verarbeitung in eigener Verantwortung ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung des Dienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität und Produktverbesserung).
Anbindung von Google Kalender (Google-API-Dienste)
Auf deine Veranlassung kann Clara deinen Google Kalender anbinden, um in Antwortentwürfen passende freie Termine vorzuschlagen. Die Verbindung erfolgt über OAuth 2.0; ein Passwort wird dabei nicht an Clara übermittelt oder gespeichert.
Angeforderte Berechtigungen (OAuth-Scopes):
- openid, email – zur Identifikation des verbundenen Google-Kontos.
- https://www.googleapis.com/auth/calendar – zum Lesen freier Zeitfenster sowie zum Erstellen und Verwalten von Terminen.
Zugriff und Nutzung: Clara liest die Verfügbarkeiten aus deinem Kalender, um freie Slots in Antwortentwürfe einzufügen, und legt Termine ausschließlich auf deine Veranlassung an. Eine Nutzung der Kalenderdaten zu anderen Zwecken, insbesondere für Werbung, findet nicht statt.
Speicherung: Die OAuth-Tokens werden verschlüsselt auf Servern in der EU gespeichert. Kalenderdaten werden nicht zum Training von KI-Modellen verwendet (Zero Data Retention). Eine Übersicht der eingesetzten Unterauftragsverarbeiter findest du in unserem Trust Center.
Weitergabe: Wir geben über Google-APIs empfangene Daten nicht weiter und verkaufen sie nicht. Eine Übermittlung erfolgt nur an offengelegte Unterauftragsverarbeiter, soweit dies zur Erbringung des Dienstes erforderlich ist, auf deine Weisung erfolgt oder aus rechtlichen Gründen geboten ist.
Limited Use (eingeschränkte Nutzung): Claras Nutzung und Weitergabe von Daten, die über Google-APIs empfangen werden, entspricht der Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen.
Hinweis: Gmail- und sonstige Postfächer werden direkt per IMAP (bzw. bei Microsoft 365 über Microsoft OAuth) angebunden – nicht über Google-APIs. Die hier beschriebenen Google-API-Berechtigungen betreffen ausschließlich Google Kalender.
Hosting (Google Cloud)
Wir hosten unsere Website bei der Google Cloud EMEA Limited, Dublin, Irland (nachfolgend: „Google Cloud"). Die Auslieferung der Inhalte erfolgt aus einem Rechenzentrum in der Europäischen Union (Region Frankfurt am Main, Deutschland); eine Verarbeitung außerhalb der Europäischen Union findet im Rahmen des Hostings nicht statt.
Wenn Sie unsere Website besuchen, werden personenbezogene Daten (z. B. IP-Adressen, Zeitstempel, aufgerufene URL, User-Agent) im Rahmen von Zugriffsprotokollen (Logfiles) bei Google Cloud verarbeitet. Diese Daten sind technisch erforderlich, um die Website ausliefern und vor Missbrauch (z. B. DDoS-Angriffen) schützen zu können.
Zweck: Sichere, schnelle und performante Bereitstellung unseres Online-Angebots.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen und sicheren Auslieferung unserer Website).
Drittstaatentransfer: Das Hosting erfolgt innerhalb der Europäischen Union (Region Frankfurt am Main); Vertragspartner ist die Google Cloud EMEA Limited mit Sitz in Irland. Mit Google haben wir einen Auftragsverarbeitungsvertrag (Data Processing Agreement) inklusive der EU-Standardvertragsklauseln geschlossen, der etwaige Zugriffe aus Drittstaaten absichert. Die Google LLC mit Sitz in den USA ist zudem nach dem „EU-US Data Privacy Framework" (DPF) zertifiziert.
Erfassung von Zugriffsdaten (Logfiles)
Bei der bloßen informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Dazu zählen:
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus/HTTP-Statuscode
- Jeweils übertragene Datenmenge
- Website, von der die Anforderung kommt (Referrer-URL)
- Browser, Betriebssystem und dessen Oberfläche
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der technisch fehlerfreien Darstellung und der Optimierung der Stabilität und Sicherheit unserer Website.
Speicherdauer: Zugriffslogfiles werden maximal 30 Tage aufbewahrt und anschließend automatisch gelöscht.
Cookies
Unsere Website verwendet technisch notwendige Cookies sowie (mit Ihrer Einwilligung) Cookies zu Analysezwecken. Technisch notwendige Cookies sind für den Betrieb der Website erforderlich (z. B. Speicherung Ihrer Cookie-Einstellungen, Sicherheitsfunktionen) und werden ohne Einwilligung gesetzt.
Analyse-Cookies werden nur gesetzt, wenn Sie über unseren Consent-Banner aktiv einwilligen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Auswahl im Cookie-Banner anpassen (Link „Cookie-Einstellungen ändern" im Footer).
Rechtsgrundlage: Für technisch notwendige Cookies Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG. Für Analyse-Cookies Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung).
Sie können das Setzen von Cookies zusätzlich in Ihren Browser-Einstellungen deaktivieren oder bereits gesetzte Cookies löschen. Bei vollständiger Deaktivierung kann es zu Funktionseinschränkungen kommen.
Einwilligungsverwaltung mit Cookiebot
Zur Einholung, Verwaltung und Dokumentation Ihrer Einwilligungen in das Setzen von Cookies und den Einsatz von Tracking-Technologien setzen wir das Consent-Management-Tool Cookiebot der Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark, ein.
Verarbeitete Daten: Cookiebot speichert in Ihrem Browser das Cookie „CookieConsent" mit einer anonymen User-ID, Ihrem Einwilligungsstatus und dem Zeitstempel. Zusätzlich werden Ihre anonymisierte IP-Adresse, die abgegebene Einwilligung sowie Daten zum Endgerät bei Cybot A/S gespeichert.
Zweck: Nachweis und Dokumentation Ihrer Einwilligung gemäß Art. 7 Abs. 1 DSGVO und § 25 Abs. 1 TDDDG.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zum Nachweis der Einwilligung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer rechtskonformen Einholung von Einwilligungen).
Speicherdauer: 12 Monate ab Erteilung oder erneuter Bestätigung der Einwilligung.
Serverstandort: EU (Dänemark).
Details zum Datenschutz bei Cookiebot: www.cookiebot.com/de/privacy-policy.
Webanalyse mit Google Analytics 4
Auf unserer Website setzen wir (ausschließlich mit Ihrer Einwilligung) Google Analytics 4 (GA4) ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Verarbeitete Daten: Zur Analyse des Nutzungsverhaltens verwendet GA4 Cookies und ähnliche Technologien sowie Identifier wie die gekürzte IP-Adresse, Browser- und Geräteinformationen, Zeitstempel, aufgerufene Seiten und Interaktionen. Die IP-Adresse wird vor der Speicherung automatisch anonymisiert (IP-Anonymisierung ist in GA4 standardmäßig aktiv).
Zweck: Statistische Auswertung der Websitenutzung, Identifikation von Nutzerströmen und Optimierung unseres Angebots. Wir nutzen GA4 ausschließlich zu Analyse-, nicht zu Marketing-Zwecken.
Drittstaatentransfer: Eine Übermittlung Ihrer Daten an Server der Google LLC in den USA findet statt. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend haben wir mit Google Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Die Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Auswahl im Cookie-Banner anpassen.
Speicherdauer: Nutzerbezogene Analysedaten werden bei Google standardmäßig 14 Monate gespeichert und anschließend automatisch gelöscht. Die gesetzten Cookies haben je nach Typ eine Lebensdauer zwischen wenigen Minuten und maximal 2 Jahren.
Weitere Informationen: policies.google.com/privacy.
Kontakt (Formular & E-Mail) via Google Workspace
Wenn Sie uns per Kontaktformular oder E-Mail Anfragen zukommen lassen, werden Ihre Angaben inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.
Empfänger (Google Workspace): Für den Empfang, Versand und die Speicherung von E-Mails nutzen wir den Dienst Google Workspace der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Drittstaatentransfer: Google Workspace ist ein cloudbasierter Dienst. Ihre Daten können dabei auch an Server der Muttergesellschaft Google LLC in den USA übertragen werden. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert, wodurch ein angemessenes Datenschutzniveau sichergestellt ist.
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt) oder auf Grundlage unseres berechtigten Interesses an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: Wir speichern Ihre Daten, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Aufbewahrungsbestimmungen bleiben unberührt.
Terminvereinbarung mit Google Meet
Auf unserer Website verlinken wir zur Terminvereinbarung auf Google Meet. Es findet keine direkte Einbindung (Embedding) von Google Kalendern auf unserer Website statt. Wenn Sie auf den entsprechenden Link klicken, verlassen Sie unsere Website und werden zu Google weitergeleitet. Ab diesem Zeitpunkt gelten die Datenschutzbestimmungen von Google.
Drittstaatentransfer
Im Zusammenhang mit der Datenverarbeitung kann es zu einer Datenübermittlung in Drittstaaten, d. h. an Empfänger außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR), kommen. Soweit in Bezug auf den Drittstaat ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) vorliegt, sind für die Datenübermittlung keine zusätzlichen Maßnahmen erforderlich.
Im Falle einer Datenweitergabe an Empfänger mit Sitz in den USA erfolgt diese auf Grundlage des sog. Transatlantic Data Privacy Framework (DPF) vom 10.07.2023, sofern der Empfänger über eine entsprechende Zertifizierung verfügt.
In anderen Fällen sowie bei Datenweitergaben in andere sog. nicht-sichere Drittstaaten findet eine Datenweitergabe nur statt, wenn die Voraussetzung der Art. 46 ff. DSGVO gegeben sind. Konkret bedeutet das, dass eine Übermittlung in Drittstaaten nur erfolgt, wenn:
- durch den Empfänger ausreichende sogenannte Garantien nach Art. 46 DSGVO für den Schutz der personenbezogenen Daten geboten werden,
- Sie in die Übermittlung, nachdem wir Sie über die Risiken informiert haben, nach Art. 49 Abs. 1 lit. a DSGVO ausdrücklich eingewilligt haben,
- die Übermittlung erforderlich ist, für die Erfüllung vertraglicher Verpflichtungen zwischen Ihnen und uns oder
- eine andere Ausnahme gemäß Art. 49 DSGVO greift.
Betroffenenrechte
Ihnen stehen als betroffene Person nach der DSGVO verschiedene Rechte zu. Diese sind:
- Recht auf Auskunft (Art. 15 DSGVO): Sie haben jederzeit das Recht, von uns Auskunft über alle Daten zu verlangen, die wir über Sie speichern. Das beinhaltet insbesondere die Auskunft über die Verarbeitungszwecke, die Kategorie der Daten, die Empfänger, die Speicherdauer und die Herkunft der Daten.
- Recht auf Berichtigung (Art. 16 DSGVO): Sollten Ihre Daten bei uns unrichtig oder unvollständig sein, können Sie jederzeit deren Berichtigung oder Vervollständigung verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, wenn z. B. der Zweck der Verarbeitung entfallen ist, Sie Ihre Einwilligung widerrufen haben oder die Verarbeitung unrechtmäßig war.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, wenn Sie die Richtigkeit der Daten bestreiten oder wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen brauchen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern wir Daten auf Basis Ihrer Einwilligung verarbeiten, können Sie diese jederzeit für die Zukunft widerrufen.
- Widerspruchsrecht (Art. 21 DSGVO): Sofern wir Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Richtet sich Ihr Widerspruch gegen Direktwerbung, haben Sie ein generelles Widerspruchsrecht; wir werden die Verarbeitung dann ohne Angabe einer besonderen Situation umgehend einstellen.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an: datenschutz@intoconvo.com
Beschwerderecht (Art. 77 DSGVO): Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.