Datenschutzerklärung Website & Cookies
Initialer Seed v0.1 — Website-Tracking, Cookies, Consent-Management.
Kontorio – Datenschutzerklärung Website & Cookie-/Consent-Hinweise
Entwurf v0.1 – Stand: 21.05.2026
Dokumenttyp: Rechtstext-Entwurf / Arbeitsfassung für öffentliche Website
Geltungsbereich: Öffentliche Website kontorio.de, www.kontorio.de, Landingpages, Kontakt-/Demo-/Newsletter-Formulare, öffentliche Hilfeseiten und Marketingseiten
Nicht umfasst: Kontorio App/Portal, Adminbereich, produktive Belegverarbeitung, Mandantenbuchhaltung, AVV/TOM, Vertrags-AGB. Diese Themen werden in eigenen Dokumenten geregelt.
0. Wichtiger Arbeitsstand
Dieses Dokument ist ein sachlicher, ausführlicher Entwurf für die Datenschutzerklärung der öffentlichen Kontorio-Website. Es ist auf den geplanten Kontorio-Stack bezogen, ersetzt aber keine anwaltliche Prüfung. Vor Veröffentlichung müssen insbesondere folgende Punkte final geprüft und konkretisiert werden:
- vollständiger Betreibername, Rechtsform, Anschrift und Kontaktdaten;
- ob ein Datenschutzbeauftragter benannt werden muss;
- tatsächlich eingesetzte Website-Tools;
- Cookie-/Consent-Banner-Konfiguration;
- konkrete Anbieter, Speicherorte und Unterauftragsverarbeiter;
- Analytics-/Marketing-/Retargeting-Tools;
- Newsletter-Tool und Double-Opt-in-Prozess;
- Bewerbungsformular oder Karriereseiten;
- Social-Media-Plugins oder reine Profilverlinkungen;
- eventuelle Drittlandübermittlungen;
- finale Speicherfristen.
Kurz gesagt: Das hier ist schon deutlich mehr als Generator-Blabla. Aber vor Go-live muss es gegen die echte Website-Konfiguration gehalten werden. Sonst steht im Text „wir machen X nicht“, während irgendein Script im Footer fröhlich das Gegenteil tut. Klassiker. Nicht machen.
Teil A – Veröffentlichungsfähiger Entwurf
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist:
[Kontorio Betreiber / Rechtsform eintragen]
[Anschrift eintragen]
[PLZ Ort eintragen]
Deutschland
E-Mail: [datenschutz@kontorio.de oder info@kontorio.de eintragen]
Telefon: [optional eintragen]
Website: https://kontorio.de
Vertreten durch: [Geschäftsführer/Inhaber eintragen]
Sofern ein Datenschutzbeauftragter benannt wurde, erreichen Sie diesen unter:
Datenschutzbeauftragter
[Name / Unternehmen eintragen]
E-Mail: [datenschutzbeauftragter@kontorio.de oder externe Adresse eintragen]
Postanschrift: [optional eintragen]
Falls kein Datenschutzbeauftragter benannt ist, sind Datenschutzanfragen an die oben genannten Kontaktdaten des Verantwortlichen zu richten.
2. Geltungsbereich dieser Datenschutzerklärung
Diese Datenschutzerklärung gilt für die Nutzung unserer öffentlichen Website, insbesondere für:
- Aufruf von
kontorio.deundwww.kontorio.de; - öffentliche Landingpages, Produktseiten und Informationsseiten;
- Kontaktformulare;
- Demo-Anfragen;
- Newsletter-Anmeldungen, sofern angeboten;
- Download- und Lead-Formulare, sofern angeboten;
- öffentliche Hilfe-, Wissens- und Ratgeberseiten;
- technische Sicherheits- und Serverlog-Verarbeitung beim Besuch der Website.
Für die Nutzung der Kontorio-Software, insbesondere Portal, Adminbereich, Nutzerkonto, Belegverarbeitung, Buchhaltungsdaten, Bankdaten, KI-/OCR-Funktionen und E-Mail-Belegimport, gilt eine separate Datenschutzerklärung für die App/Software.
Für Geschäftskunden, die Kontorio als SaaS zur Verarbeitung von Buchhaltungs-, Beleg-, Bank- oder Unternehmensdaten einsetzen, gilt zusätzlich eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO.
3. Grundsätze der Verarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies für den jeweiligen Zweck erforderlich ist. Maßgeblich sind insbesondere die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Die öffentliche Website dient der Information über Kontorio, der Kontaktaufnahme, der Vertragsanbahnung und gegebenenfalls der Bereitstellung von Ratgeber-, Download- und Newsletter-Angeboten. Eine produktive Buchhaltungs- oder Belegverarbeitung findet auf der öffentlichen Website nicht statt.
4. Rechtsgrundlagen
Je nach Verarbeitung stützen wir uns auf folgende Rechtsgrundlagen:
| Rechtsgrundlage | Bedeutung |
|---|---|
| Art. 6 Abs. 1 lit. a DSGVO | Einwilligung, z. B. Newsletter, nicht notwendige Cookies, Tracking oder Marketingtools |
| Art. 6 Abs. 1 lit. b DSGVO | Vertragsanbahnung oder Vertragsdurchführung, z. B. Demo-Anfrage, Kontakt zur Angebotserstellung |
| Art. 6 Abs. 1 lit. c DSGVO | Erfüllung gesetzlicher Pflichten |
| Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse, z. B. Website-Sicherheit, technische Protokolle, Missbrauchsabwehr, B2B-Kommunikation |
| § 25 Abs. 1 TDDDG | Einwilligung für Speicherung von Informationen auf Endgeräten oder Zugriff auf solche Informationen, soweit keine Ausnahme greift |
| § 25 Abs. 2 TDDDG | Ausnahme für technisch erforderliche Speicherungen/Zugriffe, etwa für zwingend notwendige Website-Funktionen |
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
5. Aufruf der Website und Server-Logfiles
Beim Aufruf unserer Website werden technisch notwendige Daten verarbeitet, damit die Website ausgeliefert, stabil betrieben und vor Angriffen geschützt werden kann.
Dabei können insbesondere folgende Daten verarbeitet werden:
- IP-Adresse;
- Datum und Uhrzeit des Zugriffs;
- aufgerufene Seite oder Datei;
- Referrer-URL;
- Browsertyp und Browserversion;
- Betriebssystem;
- Endgerätetyp;
- übertragene Datenmenge;
- HTTP-Statuscode;
- technische Fehler- und Sicherheitsereignisse.
Zwecke der Verarbeitung:
- Bereitstellung der Website;
- Gewährleistung von Stabilität und Sicherheit;
- Fehleranalyse;
- Missbrauchs- und Angriffserkennung;
- technische Administration.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und funktionsfähigen Betrieb der Website.
Speicherdauer: Server-Logdaten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist. Eine konkrete Frist ist vor Veröffentlichung festzulegen, z. B. 7 bis 30 Tage, sofern keine längere Aufbewahrung wegen Sicherheitsvorfällen erforderlich ist.
Interne Festlegung noch erforderlich:[konkrete Log-Speicherfrist eintragen, z. B. 14 Tage]
6. Hosting und technische Bereitstellung
Die öffentliche Website wird nach aktuellem technischen Konzept über ein Frontend-Hosting ausgeliefert. Portal und Admin bleiben getrennte Frontend-Projekte. Das Backend der Kontorio-App läuft getrennt auf api.kontorio.de.
Für die öffentliche Website können insbesondere folgende Dienstleister eingesetzt werden:
| Dienstleister | Zweck | Status |
|---|---|---|
| Vercel Inc. / Vercel-Gruppe | Hosting und Auslieferung der öffentlichen Website bzw. Frontend-Anwendung | geplant / prüfen |
| Hetzner Online GmbH | Backend-Infrastruktur für API-Dienste, sofern Website-Formulare an das Backend übergeben werden | geplant |
| Resend / E-Mail-Dienstleister | Versand von System-, Kontakt-, Demo- oder Bestätigungsmails | geplant |
| Sentry oder vergleichbarer Dienst | Fehlerdiagnose und Stabilitätsüberwachung | optional / prüfen |
| Consent-Management-Anbieter | Verwaltung von Cookie- und Tracking-Einwilligungen | noch festzulegen |
| Analytics-Anbieter | Reichweitenmessung und Produkt-/Marketinganalyse | nur nach finaler Entscheidung |
Die konkrete Dienstleisterliste wird vor Veröffentlichung finalisiert.
7. Cookies, lokale Speichertechnologien und ähnliche Technologien
Unsere Website kann Cookies, Local Storage, Session Storage oder vergleichbare Technologien verwenden. Solche Technologien können Informationen auf Ihrem Endgerät speichern oder auslesen.
Wir unterscheiden zwischen:
7.1 Technisch notwendige Technologien
Diese sind erforderlich, damit die Website funktioniert. Dazu können gehören:
- Spracheinstellungen;
- Consent-Einstellungen;
- Sicherheitsfunktionen;
- Sitzungs- oder Formularschutz;
- Lastverteilung;
- Schutz vor Missbrauch;
- Login-bezogene Technologien, sofern ein Loginbereich über die Website erreichbar ist.
Rechtsgrundlage für Zugriff/Speicherung auf dem Endgerät: § 25 Abs. 2 TDDDG.
Rechtsgrundlage für anschließende personenbezogene Verarbeitung: Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.
7.2 Statistik- und Analyse-Technologien
Diese helfen uns zu verstehen, wie die Website genutzt wird, welche Inhalte hilfreich sind und wo technische oder inhaltliche Verbesserungen erforderlich sind.
Beispiele:
- Seitenaufrufe;
- Verweildauer;
- Klickpfade;
- Kampagnenparameter;
- technische Performance;
- wiederkehrende Besuche.
Solche Technologien setzen wir nur ein, wenn sie entweder rechtlich ohne Einwilligung zulässig sind oder Sie zuvor eingewilligt haben. Bei Analyse-Cookies oder vergleichbaren Zugriffen auf Endgeräte ist regelmäßig eine Einwilligung erforderlich, sofern keine gesetzliche Ausnahme greift.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit einwilligungspflichtig.
7.3 Marketing- und Retargeting-Technologien
Marketing- oder Retargeting-Technologien dienen dazu, Werbung messbar zu machen oder Nutzer auf anderen Plattformen wiederzuerkennen. Der Einsatz solcher Technologien erfolgt nur nach ausdrücklicher Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
7.4 Externe Medien und eingebettete Inhalte
Sofern wir externe Inhalte einbinden, z. B. Videos, Karten, Kalenderbuchungen oder Social-Media-Inhalte, können beim Laden dieser Inhalte personenbezogene Daten an den jeweiligen Anbieter übertragen werden. Solche Inhalte werden nach Möglichkeit erst nach Ihrer Einwilligung geladen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit einwilligungspflichtig.
8. Consent-Management
Wir können ein Consent-Management-Tool einsetzen, um Einwilligungen für nicht notwendige Cookies und ähnliche Technologien einzuholen, zu dokumentieren und widerrufbar zu machen.
Dabei können verarbeitet werden:
- Consent-ID;
- gewählte Einwilligungen;
- Zeitpunkt der Einwilligung oder Ablehnung;
- verwendete Website-Version;
- Browser-/Geräteinformationen;
- gekürzte oder pseudonymisierte IP-Adresse, soweit technisch erforderlich.
Zwecke:
- Einholung und Verwaltung von Einwilligungen;
- Nachweis der Einwilligung;
- Umsetzung von Widerrufen;
- rechtssichere Steuerung von Cookies und Drittanbietertools.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO, soweit eine Nachweispflicht besteht, sowie Art. 6 Abs. 1 lit. f DSGVO für die rechtssichere Verwaltung der Website. Für die eigentlichen nicht notwendigen Tools gilt zusätzlich Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Noch festzulegen:[Consent-Tool eintragen, z. B. Usercentrics, Cookiebot, Klaro, ConsentManager oder eigene Lösung]
9. Kontaktaufnahme
Wenn Sie uns per Kontaktformular, E-Mail, Telefon oder über sonstige Kommunikationswege kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten.
Dies können insbesondere sein:
- Name;
- Unternehmen;
- E-Mail-Adresse;
- Telefonnummer;
- Nachricht;
- gewünschtes Produkt oder Anliegen;
- Zeitpunkt der Anfrage;
- technische Metadaten der Übermittlung;
- Kommunikationsverlauf.
Zwecke:
- Bearbeitung Ihrer Anfrage;
- Kommunikation mit Ihnen;
- Vertragsanbahnung;
- Dokumentation der Kommunikation;
- Missbrauchsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, wenn die Anfrage auf Vertragsanbahnung oder Vertragsdurchführung gerichtet ist; ansonsten Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sachgerechten Bearbeitung und Dokumentation von Anfragen.
Speicherdauer: Kontaktanfragen werden gelöscht, sobald sie für den jeweiligen Zweck nicht mehr erforderlich sind, sofern keine gesetzlichen Aufbewahrungsfristen oder berechtigten Dokumentationsinteressen entgegenstehen.
10. Demo-Anfragen, Testzugänge und Vertragsanbahnung
Wenn Sie eine Demo, einen Testzugang oder ein Angebot anfragen, verarbeiten wir die hierfür erforderlichen Daten.
Dies können sein:
- Name und Kontaktdaten;
- Unternehmen und Branche;
- Rolle im Unternehmen;
- gewünschte Module oder Funktionen;
- technische Anforderungen;
- gewünschter Termin;
- Kommunikationsverlauf;
- Status der Anfrage.
Zwecke:
- Prüfung und Bearbeitung der Anfrage;
- Vorbereitung einer Demo oder Beratung;
- Einrichtung eines Testzugangs;
- Angebotserstellung;
- B2B-Vertriebsprozess.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Maßnahmen sowie Art. 6 Abs. 1 lit. f DSGVO für organisatorische Dokumentation und B2B-Vertriebssteuerung.
Hinweis: Die tatsächliche Nutzung eines Testzugangs oder der Kontorio-App unterliegt zusätzlich der separaten App-Datenschutzerklärung und den SaaS-Nutzungsbedingungen.
11. Newsletter und Produktinformationen
Sofern wir einen Newsletter anbieten, verarbeiten wir Ihre E-Mail-Adresse und gegebenenfalls weitere freiwillige Angaben, um Ihnen Informationen zu Kontorio, Produktupdates, Ratgeberinhalten oder Einladungen zu Webinaren zu senden.
Für die Newsletter-Anmeldung verwenden wir grundsätzlich ein Double-Opt-in-Verfahren. Dabei erhalten Sie nach der Anmeldung eine Bestätigungs-E-Mail. Erst nach Bestätigung wird die Anmeldung abgeschlossen.
Verarbeitet werden können:
- E-Mail-Adresse;
- Name, sofern angegeben;
- Unternehmen, sofern angegeben;
- Zeitpunkt der Anmeldung;
- IP-Adresse bei Anmeldung und Bestätigung;
- Einwilligungsstatus;
- Öffnungs- und Klickraten, sofern einwilligungs- oder zulässigerweise eingesetzt;
- Abmeldestatus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Für die Dokumentation der Einwilligung zusätzlich Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
Sie können Ihre Einwilligung jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter.
Noch festzulegen:
- Newsletter-Anbieter;
- Tracking in Newslettern ja/nein;
- Double-Opt-in-Prozess;
- Speicherdauer für Einwilligungsnachweise;
- Abmeldelogik.
12. Downloads, Whitepaper und Lead-Formulare
Wenn wir Downloads, Checklisten, Whitepaper oder ähnliche Inhalte bereitstellen, können wir hierfür personenbezogene Daten abfragen.
Dies können sein:
- Name;
- E-Mail-Adresse;
- Unternehmen;
- Rolle;
- gewünschter Inhalt;
- Zeitpunkt der Anfrage;
- Einwilligungen für weitere Kommunikation.
Zwecke:
- Bereitstellung des gewünschten Inhalts;
- Nachweis der Anfrage;
- vertriebliche Kontaktaufnahme, sofern zulässig oder eingewilligt;
- Verbesserung unserer Inhalte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit der Download auf Anfrage bereitgestellt wird; Art. 6 Abs. 1 lit. f DSGVO für B2B-Kommunikation im angemessenen Rahmen; Art. 6 Abs. 1 lit. a DSGVO für Newsletter oder werbliche Folgekommunikation, soweit eine Einwilligung erforderlich ist.
13. Terminbuchung
Wenn wir eine Online-Terminbuchung anbieten, können hierbei personenbezogene Daten verarbeitet werden.
Dies können sein:
- Name;
- E-Mail-Adresse;
- Telefonnummer;
- Unternehmen;
- gewünschter Termin;
- Anliegen;
- Zeitzone;
- technische Metadaten.
Zwecke:
- Terminvereinbarung;
- Durchführung von Demo- oder Beratungsgesprächen;
- Kalenderorganisation;
- Erinnerung an Termine.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Kommunikation sowie Art. 6 Abs. 1 lit. f DSGVO für effiziente Terminorganisation.
Noch festzulegen:[Tool eintragen, z. B. Cal.com, Calendly, Google Calendar Appointment Scheduling oder eigene Lösung]
14. Bewerbungen und Karrierebereich
Sofern wir auf der Website Bewerbungsformulare oder Karriereseiten bereitstellen, verarbeiten wir Bewerbungsdaten ausschließlich zum Zweck der Durchführung des Bewerbungsverfahrens.
Dies können sein:
- Name;
- Kontaktdaten;
- Lebenslauf;
- Anschreiben;
- Zeugnisse;
- Qualifikationen;
- Kommunikationsverlauf;
- gewünschte Position;
- Gehaltsvorstellung;
- Verfügbarkeit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG sowie Art. 6 Abs. 1 lit. f DSGVO, soweit erforderlich. Bei Einwilligung in eine längere Speicherung, z. B. Bewerberpool, Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: Bewerbungsdaten werden nach Abschluss des Bewerbungsverfahrens gelöscht, sofern keine Aufbewahrungsgründe entgegenstehen. Eine konkrete Löschfrist ist festzulegen.
Noch festzulegen:[Bewerbungen über Website ja/nein][Bewerbermanagement-Tool eintragen, falls vorhanden]
15. Social Media und externe Profile
Auf unserer Website können Links zu unseren Profilen auf externen Plattformen eingebunden sein, z. B. LinkedIn, GitHub, YouTube oder vergleichbare Dienste.
Wenn Sie nur einen Link anklicken, verlassen Sie unsere Website. Für die anschließende Verarbeitung personenbezogener Daten ist grundsätzlich der jeweilige Plattformanbieter verantwortlich. Sofern wir dort eigene Unternehmensprofile betreiben, können wir Daten verarbeiten, die Sie uns über diese Plattformen übermitteln, z. B. Nachrichten, Kommentare oder Profilinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Außendarstellung, Kommunikation und Information über Kontorio.
Wichtig: Social-Media-Plugins, die bereits beim Seitenaufruf Daten an Plattformen übertragen, sollten auf der Kontorio-Website nicht ohne Einwilligung eingebunden werden. Besser: einfache Links oder datenschutzfreundliche Zwei-Klick-Lösungen.
16. Webanalyse
Wir können Webanalyse einsetzen, um die Nutzung unserer Website zu verstehen und zu verbessern.
Je nach eingesetztem Tool können insbesondere folgende Daten verarbeitet werden:
- Seitenaufrufe;
- Klicks;
- Referrer;
- Kampagnenparameter;
- Browser- und Geräteinformationen;
- gekürzte IP-Adresse;
- Nutzungsdauer;
- Ereignisse wie Formularstart oder Downloadklick.
Zwecke:
- Reichweitenmessung;
- Verbesserung von Inhalten und Nutzerführung;
- technische Optimierung;
- Bewertung von Marketingmaßnahmen.
Rechtsgrundlage: Soweit einwilligungspflichtige Cookies oder vergleichbare Technologien eingesetzt werden, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Noch festzulegen:[kein Analytics / Plausible / Matomo / Google Analytics / PostHog / Vercel Analytics / anderes Tool]
Empfehlung für Kontorio: Für den Start sollte eine datenschutzfreundliche, möglichst cookielose Analyse bevorzugt werden. Retargeting und aggressive Marketing-Pixel sind für ein Buchhaltungsprodukt mit Vertrauensanspruch kein guter erster Eindruck. Buchhaltung ist schon trocken genug; da muss nicht noch ein Tracking-Zirkus oben drauf.
17. Marketing, Retargeting und Conversion-Messung
Sofern wir Marketing-, Retargeting- oder Conversion-Tools einsetzen, erfolgt dies nur nach Ihrer Einwilligung.
Dabei können insbesondere verarbeitet werden:
- Cookie-IDs;
- Gerätekennungen;
- IP-Adresse;
- Seitenaufrufe;
- Klicks;
- Kampagneninformationen;
- Conversion-Ereignisse;
- pseudonyme Nutzerprofile.
Zwecke:
- Messung von Werbekampagnen;
- Optimierung von Anzeigen;
- Zielgruppenbildung;
- Wiederansprache auf Drittplattformen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Noch festzulegen:[Marketingtools ja/nein][Google Ads, Meta Pixel, LinkedIn Insight Tag etc. nur aufnehmen, wenn tatsächlich aktiv]
18. Fehlerdiagnose und technische Überwachung
Zur Stabilisierung und Fehlerbehebung können wir technische Monitoring- und Fehlerdiagnosedienste einsetzen.
Dabei können verarbeitet werden:
- Fehlermeldungen;
- technische Stacktraces;
- Browser- und Geräteinformationen;
- IP-Adresse oder gekürzte IP-Adresse;
- betroffene URL;
- Zeitpunkt des Fehlers;
- technische Nutzer- oder Sitzungskennung, soweit erforderlich.
Zwecke:
- Erkennung und Behebung technischer Fehler;
- Stabilitätsverbesserung;
- Sicherheit der Website;
- Missbrauchserkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb der Website.
Wichtig für Kontorio: Fehlerdiagnose darf keine eingegebenen Beleginhalte, Zugangsdaten, Zahlungsinformationen oder vollständigen Formularinhalte erfassen. Für die öffentliche Website gilt: keine unnötigen personenbezogenen Payloads ins Monitoring.
Noch festzulegen:[Sentry ja/nein][andere Monitoring-Tools]
19. E-Mail-Kommunikation über Resend oder vergleichbare Anbieter
Für den Versand von E-Mails können wir einen E-Mail-Dienstleister einsetzen. Dies betrifft insbesondere:
- Bestätigung von Kontakt- oder Demo-Anfragen;
- Newsletter-Bestätigungen;
- Produktinformationen;
- transaktionale E-Mails;
- System- und Sicherheitsinformationen, soweit ein Nutzerkonto betroffen ist.
Für die öffentliche Website kann der Versand insbesondere über die Domain mail.kontorio.de erfolgen. Die normale Firmenkommunikation über info@kontorio.de oder andere Firmenpostfächer bleibt hiervon getrennt.
Verarbeitet werden können:
- E-Mail-Adresse;
- Name;
- Betreff;
- Inhalt der E-Mail;
- Versandzeitpunkt;
- Zustellstatus;
- technische Versandmetadaten;
- Bounce- und Fehlermeldungen.
Zwecke:
- Versand und Zustellung von E-Mails;
- Nachweis der Zustellung;
- Fehlerbehebung;
- Schutz vor Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO sowie bei Newslettern Art. 6 Abs. 1 lit. a DSGVO.
20. Registrierung und Übergang zur Kontorio-App
Wenn Sie sich über die Website registrieren oder einen Zugang zur Kontorio-App anfordern, werden Sie in die App- bzw. Portalumgebung weitergeleitet. Die dortige Verarbeitung, insbesondere Nutzerkonto, Mandant/Firma, Belege, Bankdaten, OCR/KI, Supportzugriff, Rollen und Audit-Logs, wird in der separaten Datenschutzerklärung für die Kontorio-App beschrieben.
Die öffentliche Website sollte keine produktiven Belege, Bankunterlagen oder Buchhaltungsdaten entgegennehmen. Solche Daten gehören ausschließlich in die App/Portalumgebung mit Authentifizierung, Mandantentrennung, Berechtigungssystem und Audit.
21. Keine Steuer- oder Buchhaltungsprüfung über die öffentliche Website
Die öffentliche Website dient der Information, Kommunikation und Vertragsanbahnung. Über die Website findet keine steuerliche Prüfung, keine Buchführung, keine Belegarchivierung, keine Bankdatenverarbeitung und keine verbindliche steuerliche Beratung statt.
Sofern Inhalte auf der Website steuerliche oder buchhalterische Themen erläutern, handelt es sich um allgemeine Informationen. Diese ersetzen keine Steuerberatung und keine Prüfung durch qualifizierte Berater.
22. Empfänger und Kategorien von Empfängern
Personenbezogene Daten können an folgende Kategorien von Empfängern übermittelt werden:
- Hosting- und Infrastrukturprovider;
- E-Mail-Dienstleister;
- CRM- oder Kontaktmanagementsysteme, sofern eingesetzt;
- Newsletter-Dienstleister, sofern eingesetzt;
- Terminbuchungsanbieter, sofern eingesetzt;
- Consent-Management-Anbieter;
- Analytics- oder Marketinganbieter, sofern eingesetzt und eingewilligt;
- Fehlerdiagnose- und Monitoringanbieter;
- IT-Dienstleister und technische Supportanbieter;
- Rechts-, Steuer- oder Datenschutzberater;
- Behörden, soweit gesetzlich erforderlich.
Eine Weitergabe zu Werbezwecken an Dritte erfolgt nicht ohne Rechtsgrundlage oder Einwilligung.
23. Drittlandübermittlungen
Einige Dienstleister können personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten, insbesondere in den USA.
Eine solche Übermittlung erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere durch:
- Angemessenheitsbeschluss der Europäischen Kommission, soweit anwendbar;
- Zertifizierung unter dem EU-U.S. Data Privacy Framework, soweit anwendbar;
- Standardvertragsklauseln der Europäischen Kommission;
- zusätzliche technische und organisatorische Schutzmaßnahmen;
- Einwilligung, soweit erforderlich.
Die konkrete Bewertung hängt vom tatsächlich eingesetzten Dienstleister und dessen Vertragslage ab. Vor Veröffentlichung ist die Dienstleisterliste final zu prüfen.
24. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
Beispiele:
| Datenart | Mögliche Speicherdauer |
|---|---|
| Serverlogs | z. B. 7–30 Tage, sofern kein Sicherheitsvorfall vorliegt |
| Kontaktanfragen | bis zur abschließenden Bearbeitung plus angemessene Dokumentationsfrist |
| Demo-/Vertriebsanfragen | Dauer der Vertragsanbahnung plus angemessene Nachweisfrist |
| Newsletter-Einwilligungen | bis zum Widerruf plus Nachweisfrist |
| Consent-Logs | solange Nachweispflichten bestehen |
| Bewerbungsdaten | nach Abschluss des Verfahrens, Frist final festlegen |
| Vertragsrelevante Kommunikation | entsprechend gesetzlicher Aufbewahrungsfristen |
Konkrete Fristen werden vor Veröffentlichung intern festgelegt und im Löschkonzept dokumentiert.
25. Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung personenbezogener Daten ist grundsätzlich freiwillig. Ohne bestimmte Angaben können wir jedoch einzelne Funktionen nicht bereitstellen. Beispielsweise benötigen wir eine E-Mail-Adresse, um eine Kontaktanfrage zu beantworten, einen Newsletter zu versenden oder einen Demo-Termin zu vereinbaren.
26. Automatisierte Entscheidungen
Auf der öffentlichen Website findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.
Sofern später KI-gestützte Websitefunktionen wie ein Chatbot oder ein interaktiver Produktassistent eingesetzt werden, wird dies vor Aktivierung gesondert geprüft und in dieser Datenschutzerklärung beschrieben.
27. Sicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Veränderung oder Offenlegung zu schützen. Dazu gehören je nach Verarbeitung insbesondere:
- TLS-Verschlüsselung;
- Zugriffsbeschränkungen;
- rollenbasierte Berechtigungen;
- sichere Konfiguration von Hosting und Backend;
- Protokollierung sicherheitsrelevanter Ereignisse;
- regelmäßige Updates;
- Trennung von öffentlicher Website und produktiver App;
- keine Speicherung produktiver Belege auf der öffentlichen Website;
- keine Secrets im Frontend;
- keine unnötigen personenbezogenen Inhalte in Logs.
28. Ihre Rechte
Sie haben nach Maßgabe der gesetzlichen Vorschriften folgende Rechte:
- Recht auf Auskunft;
- Recht auf Berichtigung;
- Recht auf Löschung;
- Recht auf Einschränkung der Verarbeitung;
- Recht auf Datenübertragbarkeit;
- Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen;
- Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft;
- Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
Zur Ausübung Ihrer Rechte können Sie sich an die oben genannten Kontaktdaten wenden.
29. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen Verarbeitungen Widerspruch einzulegen, die auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruhen.
Wenn wir personenbezogene Daten für Direktwerbung verarbeiten, haben Sie jederzeit das Recht, Widerspruch gegen diese Verarbeitung einzulegen. Dies gilt auch für Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
30. Widerruf von Einwilligungen
Wenn Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Einwilligungen zu Cookies und vergleichbaren Technologien können Sie über die Cookie-/Privatsphäre-Einstellungen der Website widerrufen oder ändern.
31. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt.
Zuständig kann insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes sein.
Noch zu ergänzen:[zuständige Landesdatenschutzbehörde des Unternehmenssitzes eintragen]
32. Aktualisierung dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Website, die eingesetzten Dienste, die Rechtslage oder unsere internen Prozesse ändern. Es gilt die jeweils auf der Website veröffentlichte Fassung.
Stand: 21.05.2026
Teil B – Cookie-/Consent-Konzept für die Umsetzung
Dieser Teil ist nicht zwingend vollständig öffentlich als Datenschutzerklärung zu veröffentlichen, sondern dient als Umsetzungs- und Prüfgrundlage für Website, Frontend und Consent-Banner.
1. Cookie-Kategorien
Kategorie 1: Notwendig
Zweck: Technischer Betrieb, Sicherheit, Sprache, Consent-Speicherung, Formularschutz.
Einwilligung erforderlich: grundsätzlich nein, wenn wirklich erforderlich.
Rechtsgrundlage Endgerät: § 25 Abs. 2 TDDDG.
Rechtsgrundlage Verarbeitung: Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.
Beispiele:
| Name | Anbieter | Zweck | Laufzeit | Status |
|---|---|---|---|---|
kontorio_consent |
Kontorio / Consent-Tool | Speicherung der Consent-Auswahl | z. B. 6–12 Monate | noch festlegen |
csrf_token |
Kontorio | Formular-/Sicherheitszweck | Session / kurz | nur falls Website-Formulare |
locale |
Kontorio | Spracheinstellung | z. B. 12 Monate | optional |
Kategorie 2: Statistik
Zweck: Reichweitenmessung, Performance, Verbesserung der Website.
Einwilligung erforderlich: regelmäßig ja, wenn Cookies/Endgerätezugriff nicht notwendig sind.
Beispiele:
| Tool | Zweck | Empfehlung |
|---|---|---|
| Plausible / Simple Analytics | cookielose, reduzierte Webanalyse | guter Start, wenn sauber konfiguriert |
| Matomo | Webanalyse, ggf. self-hosted | möglich, aber Konfiguration prüfen |
| Google Analytics | Webanalyse und Kampagnenmessung | nur mit sauberem Consent |
| Vercel Analytics | technische/produktnahe Analyse | Datenschutzprüfung erforderlich |
Kategorie 3: Marketing
Zweck: Anzeigenmessung, Retargeting, Kampagnenoptimierung.
Einwilligung erforderlich: ja.
Beispiele:
| Tool | Zweck | Empfehlung |
|---|---|---|
| LinkedIn Insight Tag | B2B-Kampagnenmessung | erst später, mit Consent |
| Google Ads Conversion | Anzeigenmessung | nur mit Consent |
| Meta Pixel | Retargeting | für Kontorio-Start eher nicht empfehlenswert |
Kategorie 4: Externe Medien
Zweck: Videos, Karten, Terminbuchung, eingebettete Inhalte.
Einwilligung erforderlich: regelmäßig ja, wenn Drittanbieter direkt Daten erhalten.
Beispiele:
| Tool | Zweck | Empfehlung |
|---|---|---|
| YouTube/Vimeo | Produktvideos | Zwei-Klick-Lösung oder lokale Alternative |
| Calendly/Cal.com | Terminbuchung | Datenschutzprüfung |
| Google Maps | Karten | möglichst vermeiden oder nur nach Einwilligung |
2. Consent-Banner-Anforderungen
Der Consent-Banner sollte:
- nicht notwendige Tools vor Einwilligung blockieren;
- „Ablehnen“ und „Akzeptieren“ gleichwertig anbieten;
- eine granulare Auswahl ermöglichen;
- Zwecke, Anbieter und Laufzeiten transparent darstellen;
- Einwilligungen dokumentieren;
- Widerruf jederzeit über Footer-Link ermöglichen;
- keine vorausgewählten optionalen Kategorien verwenden;
- keine Dark Patterns einsetzen;
- mobile sauber funktionieren;
- versioniert werden.
Empfohlene Footer-Links:
- Impressum;
- Datenschutz;
- Cookie-Einstellungen;
- AGB;
- AVV / Datenschutz für Kunden;
- Status / Sicherheit, falls vorhanden.
3. Umsetzungsempfehlung für Kontorio
Für den ersten Kontorio-Launch ist die sauberste Linie:
- Website möglichst schlank starten.
- Keine Marketing-Pixel im MVP.
- Webanalyse entweder cookielos oder erst nach Einwilligung.
- Externe Videos nicht automatisch laden.
- Kontakt-/Demo-Formulare über Backend mit sauberem Rate Limit.
- Keine Belege, Steuerunterlagen oder Bankdaten über öffentliche Formulare.
- Cookie-Einstellungen jederzeit erreichbar machen.
- Consent-Logs versionieren.
- Datenschutzerklärung und Consent-Konfiguration bei jedem neuen Tool aktualisieren.
Das ist nicht maximal fancy, aber solide. Und solide schlägt bei Datenschutz fast immer „wir bauen mal schnell noch fünf Growth-Hacks rein“. Altmodisch? Ja. Genau deshalb gut.
Teil C – Dienstleister- und Tool-Matrix
Diese Matrix muss vor Go-live anhand der echten Website geprüft werden.
| Bereich | Anbieter | Personenbezogene Daten | Rechtsgrundlage | Drittland? | Status |
|---|---|---|---|---|---|
| Website-Hosting | Vercel | IP, technische Logs, Requests | Art. 6 Abs. 1 lit. f DSGVO | möglich | prüfen/finalisieren |
| Backend für Formulare | Hetzner / Kontorio API | Kontakt-/Demo-Daten, Logs | Art. 6 Abs. 1 lit. b/f DSGVO | EU | geplant |
| E-Mail-Versand | Resend | E-Mail, Name, Inhalte, Versandstatus | Art. 6 Abs. 1 lit. b/f/a DSGVO | möglich | geplant |
| Datenbank für Website-Leads | Neon/PostgreSQL oder CRM | Kontakt-/Lead-Daten | Art. 6 Abs. 1 lit. b/f/a DSGVO | möglich | prüfen |
| Fehlerdiagnose | Sentry | Fehlerdaten, technische Metadaten | Art. 6 Abs. 1 lit. f DSGVO | möglich | optional |
| Consent | TBD | Consent-ID, Auswahl, Metadaten | Art. 6 Abs. 1 lit. c/f DSGVO | abhängig | offen |
| Analytics | TBD | Nutzungsdaten | Art. 6 Abs. 1 lit. a DSGVO, ggf. f | abhängig | offen |
| Marketing | TBD | Kampagnen-/Trackingdaten | Art. 6 Abs. 1 lit. a DSGVO | abhängig | offen |
| Terminbuchung | TBD | Name, E-Mail, Termin, Anliegen | Art. 6 Abs. 1 lit. b/f DSGVO | abhängig | offen |
| Newsletter | TBD | E-Mail, Einwilligung, ggf. Tracking | Art. 6 Abs. 1 lit. a DSGVO | abhängig | offen |
Teil D – Go-live-Checkliste
Vor Veröffentlichung der Datenschutzerklärung müssen folgende Punkte abgehakt werden:
Betreiberangaben
- Vollständiger Betreibername eingetragen.
- Rechtsform eingetragen.
- Anschrift eingetragen.
- Vertretungsberechtigter eingetragen.
- Datenschutzkontakt festgelegt.
- Datenschutzbeauftragter geprüft.
- Zuständige Aufsichtsbehörde eingetragen.
Website-Technik
- Hosting final bestätigt.
- Serverlog-Speicherfrist festgelegt.
- Website-Formulare dokumentiert.
- Keine Beleg-/Bank-/Steuerdaten über öffentliche Formulare.
- API-Endpunkte für Kontakt/Demo abgesichert.
- Rate Limits / Spam-Schutz vorhanden.
- Monitoring ohne sensible Payloads konfiguriert.
Cookies & Consent
- Alle Cookies und Endgerätezugriffe inventarisiert.
- Notwendige und optionale Tools getrennt.
- Consent-Banner eingebaut.
- Optionale Tools vor Consent blockiert.
- Ablehnen und Akzeptieren gleichwertig.
- Cookie-Einstellungen im Footer erreichbar.
- Consent-Logs versioniert.
- Datenschutzerklärung mit echten Tools abgeglichen.
Dienstleister
- Vercel Datenschutzunterlagen geprüft.
- Hetzner AVV/DPA geprüft.
- Resend DPA/Subprocessor geprüft.
- Sentry DPA geprüft, falls genutzt.
- Analytics-Anbieter geprüft.
- Consent-Anbieter geprüft.
- Newsletter-Anbieter geprüft.
- Terminbuchungsanbieter geprüft.
- Drittlandtransfer bewertet.
- Unterauftragsverarbeiterliste aktualisiert.
Rechtstexte
- Impressum fertig.
- Datenschutzerklärung Website fertig.
- Datenschutzerklärung App fertig.
- AGB fertig.
- AVV/TOM fertig.
- Cookie-/Consent-Hinweise fertig.
- Haftungs-/Steuer-/KI-Hinweise abgestimmt.
- Anwaltliche Prüfung durchgeführt.
Teil E – Recherche- und Rechtsbasis
Diese Quellen wurden als Arbeitsgrundlage berücksichtigt und sollten vor finaler Veröffentlichung erneut gegen den aktuellen Stand geprüft werden:
- DSGVO Art. 13 – Informationspflichten bei Direkterhebung personenbezogener Daten.
- DSGVO Art. 14 – Informationspflichten bei Dritterhebung.
- DSGVO Art. 6 – Rechtsgrundlagen der Verarbeitung.
- DSGVO Art. 12 – transparente Information.
- DSGVO Art. 15–22 – Betroffenenrechte.
- DSGVO Art. 44 ff. – Drittlandübermittlungen.
- TDDDG § 25 – Schutz der Privatsphäre bei Endeinrichtungen, Cookies und ähnliche Technologien.
- DDG § 5 – Anbieterkennzeichnung / Impressumspflichten für geschäftsmäßige digitale Dienste.
- DSK-Orientierungshilfe für Anbieter digitaler Dienste, insbesondere zur Abgrenzung von Einwilligung und technisch erforderlicher Speicherung.
- EU-U.S. Data Privacy Framework / Angemessenheitsbeschlüsse der Europäischen Kommission.
- Projektquellen Kontorio: Server-Masterplan, V4-Infrastrukturplan, Resend-Masterplan, App-Datenschutz- und AVV-Entwürfe.
Teil F – Empfohlene nächste Dokumente
Nach dieser Website-Datenschutzerklärung sollten noch erstellt werden:
- Impressum / Anbieterkennzeichnung nach DDG
- Haftungsausschluss / Steuer-, KI- und Buchhaltungshinweise
- Unterauftragsverarbeiterliste als separates Kundendokument
- Cookie-Richtlinie / Cookie-Tabelle final nach Toolauswahl
- Sicherheitsseite / Trust Center Kurzfassung
Reihenfolge aus praktischer Sicht: Als nächstes Impressum + Haftungsausschluss. Das Impressum ist schnell, der Haftungsausschluss ist wichtig, weil wir bei Buchhaltung, Steuer, KI und OCR klare Grenzen setzen müssen.