Datenschutzerklärung

1. Wer ist der Verantwortliche

Der Verantwortliche für personenbezogene Daten, die bei einem Besuch von assoluto.eu und beim Betrieb eines Konto auf der gehosteten Dienstleistung verarbeitet werden, ist Václav Mudra, USt-ID (IČO) 09989978, mit Sitz Lidická 2020/2, 405 02 Děčín. Kontakt: team@assoluto.eu.

Für personenbezogene Daten, die Sie (der Kunde) über Ihre eigenen Endkunden in das Portal hochladen — Auftragsdaten, Kontakte, Zeichnungen — handelt der Anbieter als Auftragsverarbeiter nach Art. 28 DSGVO; der Kunde bleibt Verantwortlicher dieser Daten. Eine Standard-AVV erhalten Sie auf Anfrage unter derselben Adresse.

Der Anbieter hat keinen Datenschutzbeauftragten benannt, weil Umfang und Art der Verarbeitung unter der Schwelle des Art. 37 DSGVO liegen. In allen Datenschutzangelegenheiten kontaktieren Sie uns bitte direkt unter der oben angegebenen E-Mail-Adresse.

2. Welche personenbezogenen Daten wir verarbeiten und auf welcher Rechtsgrundlage

Wir verarbeiten folgende Kategorien personenbezogener Daten jeweils auf der angegebenen Rechtsgrundlage:

• Kontoidentifikation (Name, geschäftliche E-Mail, Rolle, Firmenname, IČO, DIČ falls angegeben) — Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung.
• Anmeldedaten (Passwort nur als Argon2id-Hash gespeichert; wir sehen Ihr Klartext-Passwort nie) — Art. 6 Abs. 1 lit. b DSGVO.
• Inhalte, die Sie im Portal erstellen (Aufträge, Anhänge, Kommentare, Kundeneinträge, Produkte) — Art. 6 Abs. 1 lit. b DSGVO. Für personenbezogene Daten Ihrer Endkunden in diesen Inhalten handeln wir als Auftragsverarbeiter nach Ihren Weisungen.
• Rechnungsdaten (Pflichtangaben des tschechischen Steuerbelegs, Zahlungsstatus, Rechnungshistorie) — Art. 6 Abs. 1 lit. b DSGVO für die Vertragserfüllung; Art. 6 Abs. 1 lit. c DSGVO für die gesetzliche Pflicht zur Aufbewahrung von Buchhaltungsunterlagen.
• Technische und Sicherheitslogs (IP-Adresse, User-Agent, Anforderungspfad, erfolgreiche/fehlgeschlagene Anmeldungen, CSRF-Token-Aktivität) — Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse am sicheren Betrieb des Dienstes.
• Audit-Aufzeichnungen administrativer Aktionen in Ihrem Mandanten — Art. 6 Abs. 1 lit. b und f DSGVO.

Wir verarbeiten keine besonderen Kategorien (sensible) personenbezogener Daten und bitten Sie, solche Daten nicht in das Portal hochzuladen.

3. Warum wir die Daten verarbeiten (Zwecke)

• Betrieb des von Ihnen bestellten Dienstes — Anmeldung ermöglichen, Aufträge anzeigen, Benachrichtigungen senden, Rechnungen erstellen.
• Ausstellen von Steuerbelegen und Erfüllen der tschechischen Buchhaltungs- und Steuerpflichten.
• Erkennen und Reagieren auf Missbrauch — Brute-Force-Anmeldeversuche, Spam, Versuche auf Daten anderer Mandanten zuzugreifen.
• Versand betrieblicher E-Mails (Begrüßung, Passwort-Reset, Rechnungszustellung, Abonnement-Benachrichtigungen).
• Verbesserung des Dienstes auf Basis aggregierter Nutzungsstatistiken; wir treffen keine automatisierten Entscheidungen mit Rechtswirkung (kein Profiling, keine algorithmischen Eignungsentscheidungen).

4. Wo die Daten gespeichert sind und unsere Auftragsverarbeiter

Wir setzen folgende Unter-Auftragsverarbeiter ein. Jeder erhält nur die Daten, die für seinen Teil des Dienstes erforderlich sind; keiner darf Ihre Daten für Marketing nutzen oder weitergeben.

Stripe überträgt einen Teil der Verarbeitung an seine US-Schwestergesellschaften auf Basis von Standardvertragsklauseln (SCC), die von der Europäischen Kommission genehmigt wurden. Wir stützen uns auf die von Stripe veröffentlichte Transfer-Impact-Bewertung.

Änderungen der Auftragsverarbeiter werden mindestens 30 Tage im Voraus durch Aktualisierung dieser Seite und per E-Mail an aktive Mandanten-Administratoren bekannt gegeben. Der Kunde kann einem neuen Auftragsverarbeiter widersprechen, indem er das Abonnement vor Wirksamwerden der Änderung kündigt.

5. Wie lange wir die Daten aufbewahren

• Daten aktiver Konten — für die Dauer des aktiven Abonnements.
• Nach Kündigung des Abonnements — voller Zugang besteht bis zum Ende der bezahlten Periode plus 3-tägige Schonfrist zum Datenexport; danach wird das Konto deaktiviert.
• Manuelle Wiederherstellung auf Anfrage — die Daten bleiben nach der Deaktivierung weitere 30 Tage auf schriftliche Anfrage wiederherstellbar. Danach werden sie unwiderruflich gelöscht.
• Datenbank-Backups — 14 Tage rollierend, dann automatisch gelöscht.
• Authentifizierungs- und Sicherheitslogs (Zeitstempel der letzten Anmeldung, fehlgeschlagene Anmeldeversuche, IP) — 90 Tage.
• Audit-Spur administrativer Aktionen im Mandanten — für die Lebensdauer des Mandanten; nach Löschung bis zu 3 Jahre zu Beweiszwecken im Streitfall.
• Rechnungsunterlagen und Steuerbelege — 10 Jahre ab Ende der Abrechnungsperiode, wie es das tschechische Gesetz Nr. 563/1991 Slg. über Buchhaltung vorschreibt.
• Anwendungs-Request- und Error-Logs — 14 Tage.

Wenn das Gesetz eine längere Aufbewahrung vorschreibt (wie bei Rechnungsunterlagen), bewahren wir nur das gesetzlich Geforderte auf und trennen es nach Möglichkeit von den operativen Daten.

6. Empfänger und Weitergabe von Daten

Wir verkaufen oder vermieten Ihre personenbezogenen Daten nicht. Wir geben Daten nur weiter:

• an die in Abschnitt 4 genannten Auftragsverarbeiter, ausschließlich zu den dort genannten Zwecken;
• an Behörden, wenn dies gesetzlich vorgeschrieben ist oder eine vollstreckbare Anordnung vorliegt;
• an unsere Berufsberater (Buchhalter, Steuerberater) unter Vertraulichkeit, ausschließlich zu Abrechnungs- und Buchhaltungszwecken.

7. Ihre Rechte

Nach Art. 15–22 DSGVO haben Sie das Recht: auf Auskunft, Berichtigung unrichtiger Daten, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit (CSV / ZIP über den In-App-Export) und Widerspruch gegen die Verarbeitung auf Basis berechtigten Interesses. Die Aktionen Datenexport und Kontolöschung stehen im Admin-Profil-Bereich der Anwendung selbstbedient zur Verfügung.

Um ein anderes Recht auszuüben, schreiben Sie an team@assoluto.eu. Wir antworten binnen 30 Tagen nach Überprüfung Ihrer Identität. Die Antwort ist kostenfrei, sofern die Anfrage nicht offensichtlich unbegründet oder unverhältnismäßig ist (Art. 12 Abs. 5 DSGVO).

Wenn Sie der Auffassung sind, dass Ihre Rechte verletzt wurden, können Sie eine Beschwerde beim tschechischen Amt für den Schutz personenbezogener Daten einreichen (uoou.gov.cz), Pplk. Sochora 27, 170 00 Prag 7, Tschechische Republik.

8. Cookies und ähnliche Technologien

Das Portal verwendet ausschließlich unbedingt erforderliche Cookies (Anmelde-Session, CSRF-Schutz, Sprache und Designvorliebe). Wir setzen keine Analyse- oder Marketing-Cookies ein und verfolgen Sie nicht über Websites hinweg. Vollständige Liste: Cookie-Richtlinie.

9. Datensicherheit

Wir setzen dem Risiko angemessene technische und organisatorische Maßnahmen ein: TLS 1.2+ für den gesamten Verkehr, Passwort-Hashing mit Argon2id, mandantenspezifische Datenbankisolation auf Zeilenebene (Postgres RLS), verschlüsselte Backups, Zugriff des Anbieters nach dem Prinzip der geringsten Rechte, keine Klartext-Speicherung von Anmeldedaten oder Zahlungskarten. Sicherheitsvorfälle, die Ihre Daten betreffen, melden wir Ihnen und (sofern erforderlich) der Aufsichtsbehörde binnen 72 Stunden nach Art. 33 DSGVO.

10. Änderungen dieser Datenschutzerklärung

Wesentliche Änderungen — neue Auftragsverarbeiter, erweiterte Datenkategorien, längere Aufbewahrung — werden mindestens 30 Tage im Voraus durch Aktualisierung dieser Seite und per E-Mail an aktive Mandanten-Administratoren bekannt gegeben. Versionsnummer und Geltungsdatum am Seitenanfang kennzeichnen die aktuelle Version.