Datenschutzerklärung
der EZ Invest GmbH, Kurfürstenplatz 1a, 80796 München — für die Nutzung der Website, des Client Portals und der API-Schnittstellen gemäß Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG).
1. Datenschutz auf einen Blick
Die folgenden Hinweise geben einen detaillierten Überblick darüber, wie die EZ Invest GmbH (nachfolgend "EZ Invest", "wir", "uns") personenbezogene Daten verarbeitet, wenn Sie unsere Website besuchen, unser Client Portal nutzen, unsere API-Schnittstellen in Anspruch nehmen oder auf sonstige Weise mit uns in Kontakt treten.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Hierunter fallen insbesondere Name, E-Mail-Adresse, IP-Adresse, aber auch Nutzungsdaten und technische Kennungen.
Die Verarbeitung Ihrer Daten erfolgt ausschließlich auf Grundlage der geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
2. Verantwortliche Stelle
EZ Invest GmbH
Kurfürstenplatz 1a
80796 München
Deutschland
Vertreten durch: Ernst-B. Zauner (Geschäftsführer)
Handelsregister: Amtsgericht München, HRB 227456
Kontakt:
Telefon: +49 (0) 89 12306911
E-Mail: info@ez-invest.de
Web: https://ez-invest.de
3. Datenschutzbeauftragter
Wir haben einen externen Datenschutzbeauftragten bestellt. Dieser erreichen Sie unter:
E-Mail: datenschutz@ez-invest.de
Post: EZ Invest GmbH – Datenschutzbeauftragter, Kurfürstenplatz 1a, 80796 München
Sie können sich jederzeit bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Geltendmachung Ihrer Rechte an unseren Datenschutzbeauftragten wenden.
4. Ihre Rechte (Betroffenenrechte)
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO aufgeführten Informationen (insbesondere Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger, Speicherdauer, Herkunft der Daten, Bestehen einer automatisierten Entscheidungsfindung).
Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt (z.B. Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung, unrechtmäßige Verarbeitung). Dies gilt nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z.B. gesetzliche Aufbewahrungsfristen) erforderlich ist.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen, Sie sie jedoch zur Geltendmachung von Rechtsansprüchen benötigen, oder wenn Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mittels automatisierter Verfahren erfolgt.
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sofern die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Deutschland.
Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: datenschutz@ez-invest.de oder postalisch an die oben genannte Anschrift (Stichwort: "Datenschutz").
5. Verarbeitungstätigkeiten im Einzelnen
Im Folgenden erläutern wir, welche personenbezogenen Daten wir zu welchen Zwecken, auf welcher Rechtsgrundlage und für welche Dauer verarbeiten.
5.1 Bereitstellung der Website und Server-Logfiles
Bei jedem Aufruf unserer Website erfasst unser System automatisiert technische Daten, die Ihr Browser an unseren Server übermittelt. Diese Informationen werden temporär in den Server-Logfiles des Hosting-Providers gespeichert.
- Verarbeitete Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, Zeitzonendifferenz zur GMT, aufgerufene Seite/Datei, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, Browserkennung und Betriebssystem des Nutzers, Sprache und Version des Browsers.
- Zweck der Verarbeitung: Sicherstellung eines reibungslosen Verbindungsaufbaus, Gewährleistung der Systemsicherheit und -stabilität, technische Administration der Netzinfrastruktur, Optimierung des Angebots, Erfüllung gesetzlicher Nachweis- und Archivierungspflichten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Sicherstellung des Betriebs, der Sicherheit und der Stabilität unserer IT-Systeme.
- Speicherdauer: Die Logfiles werden für maximal 14 Tage direkt gespeichert und anschließend anonymisiert oder gelöscht. Eine darüber hinausgehende Speicherung erfolgt ausschließlich zu Nachweiszwecken bei konkreten Sicherheitsvorfällen und wird nach Beendigung des Vorfalls gelöscht.
- Empfänger: Unser Hosting-Provider (siehe Abschnitt 6), der im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO für uns tätig ist.
5.2 Cookies
Unsere Website verwendet Cookies und vergleichbare Technologien. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die bestimmte Einstellungen und Daten zum Austausch mit unserem System über Ihren Browser ermöglichen.
- Technisch notwendige Cookies: Diese Cookies sind für den Betrieb der Website unbedingt erforderlich. Sie ermöglichen grundlegende Funktionen wie die Navigation, die Sitzungsverwaltung und die Speicherung von Consent-Einstellungen. Rechtsgrundlage: § 25 Abs. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
- Analyse- und Marketing-Cookies: Diese Cookies ermöglichen es uns, das Nutzerverhalten zu analysieren und unser Angebot zu optimieren. Rechtsgrundlage: § 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung wird über unseren Consent-Manager eingeholt und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
- Sie können Ihre Cookie-Einstellungen jederzeit über die Cookie-Einstellungen (Consent-Banner) auf unserer Website anpassen. Die erteilte Einwilligung können Sie dort ebenfalls jederzeit widerrufen.
- Speicherdauer: Die meisten Cookies sind Session-Cookies, die mit dem Schließen des Browsers automatisch gelöscht werden. Persistente Cookies werden nach spätestens 12 Monaten automatisch gelöscht, sofern keine kürzere Speicherdauer festgelegt wurde.
5.3 Google Fonts
Diese Website verwendet zur einheitlichen Darstellung von Schriftarten sogenannte Web Fonts, die von Google LLC (Google Fonts) bereitgestellt werden. Die Einbindung erfolgt server-seitig, sodass beim Besuch unserer Website keine direkte Verbindung zu den Servern von Google hergestellt wird.
- Wir haben die Google Fonts lokal auf unserem eigenen Server installiert (Self-Hosting). Die Schriftarten werden von unserer eigenen Domain geladen, nicht von externen Google-Servern.
- Durch diese Architekturentscheidung wird sichergestellt, dass bei Aufruf unserer Website keine personenbezogenen Daten (insbesondere Ihre IP-Adresse) an Google übermittelt werden. Es erfolgt kein Drittlandtransfer in die USA im Zusammenhang mit Google Fonts.
- Sollte sich diese technische Umsetzung in Zukunft ändern, werden wir Sie an dieser Stelle gesondert informieren und gegebenenfalls Ihre Einwilligung einholen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer konsistenten und barrierefreien Darstellung der Website).
5.4 Client Portal und API-Nutzung
Für registrierte Kunden, die unser Client Portal nutzen oder auf unsere API-Schnittstellen zugreifen, verarbeiten wir die folgenden personenbezogenen Daten:
- Verarbeitete Daten: Registrierungsdaten (Name, Vorname, E-Mail-Adresse, Unternehmen, Telefonnummer), Authentifizierungsdaten (Benutzername, gehashte Passwörter, API-Keys), Nutzungsdaten (API-Anfragen, IP-Adresse, Zeitstempel, aufgerufene Endpunkte), Konfigurationsdaten (individuelle Parameter, Preferences, Limits).
- Zweck der Verarbeitung: Bereitstellung und Betrieb des Client Portals und der API-Schnittstellen, Authentifizierung und Autorisierung, Abrechnung, technischer Support, Sicherheitsüberwachung (inkl. Erkennung von Missbrauch und unautorisierten Zugriffen).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsprävention).
- Speicherdauer: Für die Dauer des Vertragsverhältnisses zuzüglich gesetzlicher Aufbewahrungsfristen (insb. 6 Jahre nach § 257 HGB, 10 Jahre nach § 147 AO). API-Keys werden bei Vertragsende oder auf Antrag unverzüglich gelöscht oder gesperrt.
5.5 Zahlungsabwicklung
Zur Abwicklung der monatlichen Lizenzgebühren verarbeiten wir Rechnungs- und Zahlungsdaten der Kunden.
- Verarbeitete Daten: Firmenname, Rechnungsadresse, Umsatzsteuer-Identifikationsnummer (USt-IdNr.), Bankverbindung (IBAN, BIC), Zahlungshistorie, Transaktionsdaten.
- Zweck der Verarbeitung: Rechnungsstellung, Zahlungsabwicklung, Debitorenmanagement, Buchhaltung, Erfüllung gesetzlicher Aufbewahrungs- und Mitteilungspflichten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO (Vertragserfüllung und rechtliche Verpflichtung).
- Speicherdauer: 10 Jahre gemäß § 147 Abs. 1 AO i.V.m. § 257 HGB.
5.6 Kontaktaufnahme und Korrespondenz
Wenn Sie mit uns per E-Mail, Telefon oder über das Kontaktformular auf unserer Website in Verbindung treten, verarbeiten wir die von Ihnen mitgeteilten Daten.
- Verarbeitete Daten: Name, Kontaktdaten (E-Mail, Telefon), Inhalt der Nachricht/Korrespondenz, Zeitpunkt der Kontaktaufnahme.
- Zweck der Verarbeitung: Bearbeitung Ihrer Anfrage, Kundenbetreuung, technischer Support, Dokumentation der geschäftlichen Korrespondenz.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragliche oder vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation).
- Speicherdauer: Ihre Daten werden gelöscht, sobald der Zweck der Anfrage erfüllt ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei vertraglichen Beziehungen gelten die handels- und steuerrechtlichen Aufbewahrungsfristen.
6. Hosting und Infrastruktur
Unsere Website, das Client Portal und die API-Infrastruktur werden bei einem professionellen Hosting-Anbieter in Deutschland und der Europäischen Union betrieben.
Der Hosting-Anbieter verarbeitet personenbezogene Daten in unserem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO). Mit dem Hosting-Anbieter wurde ein Auftragsverarbeitungsvertrag (AVV) geschlossen, der die Einhaltung aller datenschutzrechtlichen Anforderungen sicherstellt.
Sicherheitsmaßnahmen: TLS-Verschlüsselung (Transport Layer Security) für die gesamte Datenübertragung, Firewalls und Intrusion-Detection-Systeme, regelmäßige Sicherheitsupdates und Patch-Management, Zugangskontrollen, redundante Systemarchitektur, tägliche verschlüsselte Backups.
7. Auftragsverarbeitung (Art. 28 DSGVO)
Soweit wir im Rahmen der Nutzung unserer API-Schnittstellen oder des Client Portals personenbezogene Daten in unserem Auftrag für unsere Kunden verarbeiten (z.B. wenn ein Kunde über die API Aufträge mit personenbezogenen Daten übermittelt), schließen wir eine gesonderte Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit dem Kunden ab.
Diese Vereinbarung regelt insbesondere: den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen, die Pflichten und Rechte des Verantwortlichen (Kunde) und des Auftragsverarbeiters (EZ Invest), die technisch-organisatorischen Maßnahmen (TOMs) sowie die Weisungsbefugnisse und Kontrollrechte des Kunden.
8. Drittlandtransfers
Eine Übermittlung Ihrer personenbezogenen Daten an Länder außerhalb des Europäischen Wirtschaftsraums (EWR) findet nur statt, soweit dies gesetzlich vorgesehen ist oder Sie uns hierzu Ihre ausdrückliche Einwilligung erteilt haben.
Wir hosten sämtliche Systeme und Daten ausschließlich in Rechenzentren in Deutschland und der Europäischen Union. Ein Drittlandtransfer findet bei der Nutzung unserer Website, des Client Portals und der API-Schnittstellen nicht statt.
Sollten wir in Zukunft Dienstleister außerhalb des EWR einsetzen, werden wir sicherstellen, dass angemessene Garantien gemäß Art. 44 ff. DSGVO bestehen (insb. EU-Standardvertragsklauseln oder Angemessenheitsbeschluss der EU-Kommission) und Sie an dieser Stelle gesondert informieren.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.
Die von unseren algorithmischen Systemen generierten Signale und Analysen sind ausschließlich als technische Werkzeuge zur Datenanalyse konzipiert. Sie stellen keine automatisierten Entscheidungen über Personen dar, die rechtliche Wirkung entfalten oder sie in ähnlicher Weise beeinträchtigen.
10. Dauer der Speicherung personenbezogener Daten
Die Speicherdauer Ihrer personenbezogenen Daten richtet sich nach den jeweils geltenden gesetzlichen Aufbewahrungsfristen sowie nach den für die Verarbeitung maßgeblichen Zwecken.
Nach Wegfall des Verarbeitungszwecks oder Ablauf der gesetzlichen Aufbewahrungsfristen werden Ihre Daten routinemäßig gelöscht oder anonymisiert, es sei denn, eine weitere Verarbeitung ist zur Vertragserfüllung, zur Rechtsverfolgung oder zur Erfüllung gesetzlicher Pflichten erforderlich.
11. Empfänger personenbezogener Daten
Innerhalb der EZ Invest GmbH erhalten nur diejenigen Stellen Zugriff auf Ihre personenbezogenen Daten, die diese zur Erfüllung ihrer Aufgaben benötigen (Need-to-Know-Prinzip).
Eine Weitergabe an externe Empfänger erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist, Sie eingewilligt haben, wir gesetzlich dazu verpflichtet sind oder ein berechtigtes Interesse besteht. Zu den Empfängern können gehören:
Hosting-Provider (im Rahmen der Auftragsverarbeitung), Zahlungsdienstleister, Steuerberater und Wirtschaftsprüfer, Rechtsberater, Aufsichts- und Regulierungsbehörden (im Rahmen gesetzlicher Auskunftspflichten).
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte zu Werbezwecken erfolgt nicht.
12. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um Ihre personenbezogenen Daten gegen unbeabsichtigte oder unrechtmäßige Löschung, Veränderung, Verlust, unbefugte Offenlegung oder unbefugten Zugriff zu schützen.
Zu unseren Sicherheitsmaßnahmen gehören unter anderem: TLS-Verschlüsselung (mindestens TLS 1.2), Mehr-Faktor-Authentifizierung (MFA) für administrative Zugänge, regelmäßige Penetrationstests und Sicherheitsaudits, Zugriffsberechtigungskonzepte, verschlüsselte Datenspeicherung, pseudonymisierte API-Keys, regelmäßige Mitarbeiterschulungen zum Datenschutz.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, um sie an geänderte Rechtslagen, veränderte Datenverarbeitungsprozesse oder technische Neuerungen anzupassen.
Die jeweils aktuelle Fassung ist unter https://ez-invest.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden wir unsere Kunden und registrierte Nutzer per E-Mail informieren.