Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:

Einen Datenschutzbeauftragten haben wir nicht bestellt; eine gesetzliche Pflicht hierzu besteht nicht.

2. Begriffe

Wir verwenden die Begriffe der DSGVO, insbesondere „personenbezogene Daten" (Art. 4 Nr. 1), „Verarbeitung" (Art. 4 Nr. 2) und „Auftragsverarbeiter" (Art. 4 Nr. 8). Eine ausführliche Definition finden Sie in Artikel 4 DSGVO.

3. Hosting & Infrastruktur

quidly wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Primärregion der App ist Frankfurt am Main. Datenbank, Authentifizierung und Datei-Speicher werden von Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992) bereitgestellt, ebenfalls mit Primärregion Frankfurt (EU). Für DNS und E-Mail-Routing nutzen wir Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA).

Mit allen drei Anbietern haben wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen, sicheren Betrieb).

4. Aufruf der Website

Bei jedem Aufruf einer Seite werden durch unsere Hoster (Vercel, Cloudflare) automatisch technische Informationen verarbeitet:

• IP-Adresse (gekürzt bzw. kurzfristig zur Abwehr von Angriffen)
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge
• Referrer-URL, Browser-Typ und -Version, Betriebssystem

Diese Daten sind technisch notwendig, um die Seite auszuliefern und Missbrauch abzuwehren. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden bei Cloudflare/Vercel nach kurzer Zeit automatisch gelöscht oder anonymisiert. Ein Zusammenführen mit anderen Daten findet nicht statt.

5. Warteliste (Pre-Launch)

Solange sich quidly in der Pre-Launch-Phase befindet, können Sie sich mit Ihrer E-Mail-Adresse auf eine Warteliste eintragen. Wir verwenden ein Double-Opt-In-Verfahren: Nach dem Eintrag erhalten Sie eine Bestätigungs-E-Mail; Ihr Eintrag wird erst nach Klick auf den Bestätigungslink aktiv.

Verarbeitete Daten: E-Mail-Adresse, Zeitpunkt des Eintrags, Zeitpunkt der Bestätigung, Herkunftsseite (Source).

Zweck: Benachrichtigung zum Launch, Kapazitätsplanung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, erteilt durch Eintrag und Bestätigung).

Widerruf: Sie können Ihre Einwilligung jederzeit per E-Mail an datenschutz@quidly.de widerrufen. Wir löschen Ihren Eintrag dann umgehend.

Automatische Löschung offener Einträge: Wenn Sie den Bestätigungslink nicht innerhalb von 14 Tagen anklicken, löschen wir Ihren Eintrag automatisch. Bestätigte Einträge bleiben bis zur Launch-Benachrichtigung und anschließend noch maximal 30 Tage erhalten.

6. Registrierung & Nutzerkonto

Für die Nutzung von quidly legen Sie ein Konto an. Dabei verarbeiten wir mindestens Ihre E-Mail-Adresse und ein von Ihnen gewähltes Passwort (gehasht gespeichert durch Supabase Auth). Bei Bedarf ergänzen Sie Ihren Firmennamen und Nutzernamen.

Zweck: Authentifizierung, Bereitstellung des Dienstes, Zuordnung Ihrer Daten zu Ihrem Betrieb („Mandantentrennung" via Row Level Security).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Bot-Schutz (Cloudflare Turnstile): Auch auf den Seiten zur Anmeldung und Registrierung setzen wir Cloudflare Turnstile ein, um Missbrauch und automatisierte Angriffe abzuwehren. Verarbeitung und Rechtsgrundlage analog zum Kontaktformular (Abschnitt 10).

Anmeldung über Google (Single Sign-On)

Alternativ zur E-Mail-/Passwort-Anmeldung bieten wir die Anmeldung über Ihr Google-Konto an. Wenn Sie diese Funktion wählen, werden Sie zur Anmeldeseite von Google weitergeleitet. Nach erfolgreicher Authentifizierung bei Google erhalten wir von dort Ihre E-Mail-Adresse, Ihren Namen, Ihre Google-Konto-ID und — falls vorhanden — Ihr Profilbild.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EU-Nutzer); Konzernmutter Google LLC, USA.

Zweck: Authentifizierung ohne eigenes Passwort, schnellere Registrierung, Anlegen bzw. Zuordnen des quidly-Kontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Anlage und Verwaltung Ihres Kontos sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für den initialen Zugriff, den Sie mit der Zustimmung im Google-Anmeldedialog erteilen. Sie können die Verknüpfung jederzeit aufheben — in Ihrem Google-Konto unter Sicherheit → Apps und Dienste mit Kontozugriff.

Rolle von Google: Google agiert für diesen Anmeldevorgang als eigenständig Verantwortliche/r (keine Auftragsverarbeitung). Google nutzt die eigenen Daten nach eigener Datenschutzerklärung (policies.google.com/privacy); wir verwenden die übermittelten Kontaktdaten nur zum Anlegen und Pflegen Ihres quidly-Kontos.

Drittlandtransfer: Google kann Daten aus technischen Gründen auch in den USA verarbeiten. Die Übermittlung ist durch Standardvertragsklauseln (SCCs) sowie den EU-US Data Privacy Framework abgesichert.

Speicherdauer: wie bei E-Mail-Registrierung (siehe Abschnitt 13).

Einladung von Teammitgliedern

Administratoren eines Betriebs können weitere Personen per E-Mail-Adresse einladen, dem Betrieb als Bearbeiter:in oder Leser:in beizutreten. Dabei verarbeiten wir die E-Mail-Adresse der eingeladenen Person sowie einen zufälligen, nicht personenbezogenen Einladungs-Token zur Validierung des Links.

Zweck: Versand der Einladungs-E-Mail, Zuordnung der Person zum Betrieb bei Annahme, Schutz vor unbefugter Nutzung des Einladungs-Links.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Teamaufbau des einladenden Betriebs). Als eingeladene Person können Sie der Einladung nicht nachkommen — Ihre E-Mail-Adresse wird dann automatisch nach spätestens 14 Tagen als abgelaufene Einladung markiert und nach weiteren 90 Tagen vollständig gelöscht.

Speicherdauer: offene Einladungen maximal 14 Tage; angenommene, abgelaufene und zurückgezogene Einladungen werden nach 90 Tagen automatisch gelöscht. Sie können vorzeitige Löschung per E-Mail an datenschutz@quidly.de verlangen.

Rollen und Rechte: Der Betriebs-Admin kann Rollen jederzeit ändern oder Mitglieder entfernen. Beim Entfernen wird das Konto der Person gelöscht; ihr zugeordnete Angebote bleiben dem Betrieb erhalten und werden anonymisiert (Art. 4 Nr. 5 DSGVO).

7. Verarbeitung in der App

Innerhalb der App verarbeiten wir die Daten, die Sie selbst eingeben oder hochladen, um Ihre Angebote systematisch nachzuverfolgen:

• Kundendaten (Name, Firma, E-Mail, Telefon, Adresse – soweit von Ihnen erfasst)
• Angebotsdaten (Titel, Betrag, Positionen, Status, Follow-up-Termine, Notizen)
• Hochgeladene Angebots-PDFs
• Vorlagen und Nachrichtenentwürfe

Diese Daten sehen ausschließlich Sie (bzw. Personen, denen Sie künftig Zugriff auf Ihren Betrieb geben). Die Mandantentrennung wird durch Row-Level-Security auf Datenbankebene technisch erzwungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nachverfolgung eigener Angebote) in Verbindung mit Art. 28 DSGVO für Daten Dritter, die Sie als Verantwortlicher in die App einpflegen. Für Daten Ihrer Kunden sind Sie selbst Verantwortlicher; quidly tritt insoweit als Auftragsverarbeiter auf. Einen Auftragsverarbeitungsvertrag zwischen Ihnen und quidly stellen wir auf Anfrage zur Verfügung.

8. KI-Verarbeitung (Google Vertex AI)

Für bestimmte Komfortfunktionen (z. B. Extraktion von Angebotsdaten aus hochgeladenen PDFs, Vorschlag von Nachrichtenvorlagen) nutzen wir Gemini-Modelle über Google Cloud / Vertex AI. Die Verarbeitung erfolgt ausschließlich in der Region europe-west3 (Frankfurt). Eingaben werden von Google nicht zum Training der Modelle verwendet.

Übermittelte Daten: die jeweils relevanten Inhalte, die Sie bewusst zur KI-Verarbeitung freigeben. Bei der PDF-Extraktion ist das der Inhalt des hochgeladenen Dokuments; bei der Nachrichtenvorlage sind es ausschließlich strukturierte Angebotsdaten (Titel, Kundenname, Betrag, Angebots- und Wiedervorlage-Datum, Status, Nachfass-Stufe) sowie ein optionaler Freitext-Hinweis, den Sie selbst eingeben. Interne Notizen, Kollegen-Kommentare oder die tatsächlichen Inhalte vorheriger Nachfass-Nachrichten werden bewusst nicht an die KI übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die aktiv genutzte Funktion; ergänzend Art. 6 Abs. 1 lit. f DSGVO.

Mit Google haben wir einen Auftragsverarbeitungsvertrag geschlossen. Standardvertragsklauseln (SCC) sind Bestandteil.

Löschung der KI-Rohantworten: Die von der KI zurückgelieferten Rohdaten zu einem Upload werden 90 Tage nach dem Upload automatisch aus unserer Datenbank entfernt. Der Upload-Datensatz selbst (Dateiname, Dateigröße, Verknüpfung zu einem Angebot) bleibt bestehen, bis Sie ihn löschen.

9. E-Mail-Versand

Transaktionale E-Mails (Double-Opt-In-Bestätigung der Warteliste, Launch-Benachrichtigung, später auch systembezogene Nachrichten an Nutzer) versenden wir über Resend (Plus Five Five, Inc., 2261 Market Street #4667, San Francisco, CA 94114, USA). Sende-Region ist die EU (Irland).

Verarbeitete Daten: E-Mail-Adresse, E-Mail-Inhalt, Zustellstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, bei Double-Opt-In) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, bei System-Mails).

10. Kontaktformular

Auf der Seite /kontakt bieten wir ein Kontaktformular an. Nachrichten werden uns per E-Mail zugestellt; eine dauerhafte Speicherung der Formulareingaben in einer Datenbank findet nicht statt.

Verarbeitete Daten: Name, E-Mail-Adresse, Betreff, Nachrichtentext; technisch die IP-Adresse zur Bot-Abwehr (nur im Moment der Prüfung, keine dauerhafte Speicherung unsererseits).

Zweck: Beantwortung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Durchführung eines Vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Interessenten). Die Bestätigung der Einwilligungs-Checkbox dokumentiert Ihre Kenntnisnahme dieser Erklärung.

Bot-Schutz (Cloudflare Turnstile): Zur Abwehr automatisierter Spam-Einsendungen setzen wir das Captcha-System Cloudflare Turnstile der Cloudflare, Inc. ein. Dabei verarbeitet Cloudflare technische Signale Ihres Browsers (u. a. IP-Adresse, User-Agent, kurzlebige Cookies ausschließlich für die Challenge) und entscheidet, ob Sie ein Mensch sind. Cloudflare setzt Turnstile ausdrücklich datensparsam ein und verwendet die Daten nicht zu Werbezwecken. Näheres unter cloudflare.com/privacypolicy. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unseres Formulars vor Missbrauch).

Speicherdauer: Die per Kontaktformular übermittelten Nachrichten bleiben in unserem E-Mail-Postfach, bis der Vorgang abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten mehr bestehen (in der Regel bis zu 3 Jahre). Auf Wunsch löschen wir Ihre Anfrage vorher.

11. Empfänger / Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein:

Eine aktuelle Liste der Unter-Auftragsverarbeiter der jeweiligen Anbieter findet sich in deren eigenen Subprocessor-Listen (siehe jeweilige Anbieter-Websites).

12. Übermittlung in Drittländer

Soweit oben genannte Dienstleister ihren Hauptsitz in den USA haben (Vercel, Cloudflare, Resend, Google LLC), kann es im Rahmen von Support, globalem Routing oder zentralem Account-Management zu Übermittlungen personenbezogener Daten in die USA kommen. Als Schutzmaßnahmen sind Standardvertragsklauseln der EU-Kommission (SCC) abgeschlossen; mehrere Anbieter sind zusätzlich unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

13. Speicherdauer

• Warteliste: bis zum Widerruf bzw. bis 30 Tage nach Launch, dann Löschung.
• Nutzerkonto und App-Daten: bis zur Kontolöschung durch Sie oder automatisch nach 180 Tagen ohne Login (siehe nächster Absatz).
• Technische Server-Logs (Vercel, Cloudflare): wenige Tage bis wenige Wochen, abhängig vom Anbieter.
• E-Mail-Versand-Metadaten (Resend): gemäß Aufbewahrungskonfiguration des Anbieters, in der Regel 30 Tage.

Automatische Löschung bei Inaktivität

Zur Umsetzung des Grundsatzes der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) löschen wir Nutzerkonten, die über einen längeren Zeitraum nicht mehr genutzt wurden. Maßgeblich ist der Zeitpunkt des letzten Logins — unabhängig davon, welches Anmeldeverfahren (E-Mail/Passwort, künftig ggf. Google/Apple) genutzt wurde.

• Nach 30 Tagen ohne Login erhalten Sie per E-Mail eine Warnung mit dem geplanten Löschdatum.
• Nach 90 Tagen folgt eine Erinnerung.
• Nach 180 Tagen werden Ihr Konto, Ihr Betriebseintrag, alle hinterlegten Angebote, hochgeladenen PDFs und zugehörigen Aktivitätseinträge endgültig gelöscht.

Ein einziger Login setzt diese Fristen vollständig zurück — eine separate Reaktivierung ist nicht erforderlich. Der Prozess läuft automatisiert einmal täglich und wird in einem internen Audit-Protokoll dokumentiert (Aufbewahrung 90 Tage).

14. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an datenschutz@quidly.de.

Selbst-Löschung über die App (Art. 17 DSGVO): Eingeloggte Nutzerinnen und Nutzer können ihr Konto jederzeit unter „Mein Profil" → „Gefahrenzone" löschen. Dabei wird der Login-Zugang entfernt; Ihr Name in bereits erstellten Angeboten und Aktivitätseinträgen wird zu „Gelöschter Nutzer" anonymisiert (Pseudonymisierung nach Art. 4 Nr. 5 DSGVO), die geschäftlichen Inhalte des Betriebs bleiben erhalten. Admins können zusätzlich den gesamten Betrieb löschen — dabei werden alle Angebote, Uploads (inklusive der Dateien im Speicher), Einladungen, Einstellungen und die Konten aller Mitglieder unwiderruflich entfernt. Betroffene Mitglieder erhalten eine Info-Mail. Der letzte Administrator eines Betriebs kann sein Konto nur dann alleine löschen, wenn vorher eine andere Person zum Administrator ernannt wurde — sonst bleibt nur die Variante „Betrieb komplett löschen".

Beschwerderecht bei der Aufsichtsbehörde: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel.

15. Plattform-Administration durch die Anbieterin

Zum Betrieb und Support des Dienstes greift die Anbieterin („Plattform-Administration") in begrenztem Umfang auf Metadaten der Konten zu – etwa Betriebsname, Admin-E-Mail-Adresse, Anzahl Mitglieder, Angebots- und Upload-Zählung, letzter Login-Zeitstempel, Inaktivitäts-Status sowie Einträge eines internen Audit-Logs (Konto- und Betriebslöschungen, Inaktivitäts-Sweeps).

Keinen Zugriff hat die Plattform-Administration über ihr Admin-Dashboard auf Angebotsinhalte, Kundendaten Dritter, Notizen, Aktivitätshistorien oder KI-Rohantworten einzelner Mandanten. Der Code, der das Dashboard speist, ist ausschließlich aggregierend angelegt; es existiert kein UI-Pfad zu diesen Inhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung einer funktionsfähigen Plattform) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, missbrauchsfreien Plattformbetrieb).

Technische Schutzmaßnahmen: Zugang ausschließlich über einen separaten Login-Pfad mit Zwei-Faktor-Authentifizierung (TOTP) und einem Anmelde-Rate-Limit (5 Versuche pro IP in 15 Minuten). Die Rate-Limit-Zähler werden über einen Dienstleister in der EU-Region Frankfurt geführt (siehe Abschnitt 11) und nach 15 Minuten automatisch gelöscht. Zugriff haben ausschließlich Personen, die in einer internen Whitelist-Tabelle eingetragen sind.

16. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung ändert – etwa bei neuen Funktionen, neuen Dienstleistern oder geänderter Rechtslage. Es gilt jeweils die Fassung zum Zeitpunkt Ihrer Nutzung. Den aktuellen Stand entnehmen Sie dem Datum am Anfang dieser Seite.