Privacy
Diese Datenschutzerklärung erklärt, wie Sebastian Spohr Media personenbezogene Daten im Zusammenhang mit Quolly verarbeitet. Quolly ist ein webbasiertes SaaS-Angebot, mit dem Nutzer aus Notizen, Entwürfen, bestehenden Dokumenten oder Support-Antworten strukturierte How-to-Guides und ähnliche Hilfeseiten erstellen, bearbeiten, veröffentlichen und per Link teilen können.
1. Verantwortlicher und Kontakt
Verantwortlich im Sinne der DSGVO ist:
Sebastian Spohr Media
Haydnstraße 17a
93053 Regensburg
Deutschland
Nachfolgend „Quolly“, „wir“ oder „uns“.
Für Datenschutzanfragen, Betroffenenrechte und Widersprüche erreichen Sie uns unter:
privacy@quolly.io
Für allgemeine Anfragen:
contact@quolly.io
Für Supportanfragen:
support@quolly.io
2. Für wen diese Datenschutzerklärung gilt
Diese Datenschutzerklärung gilt für die Nutzung von Quolly, insbesondere für:
- Besucher der Website und öffentlich abrufbarer Guides,
- Kunden, Accountinhaber, Administratoren und eingeladene Nutzer,
- Personen, die in Kundeninhalten genannt werden,
- Personen, die uns kontaktieren oder Support nutzen,
- Personen, die Inhalte, Rechtsverstöße oder Sicherheitsprobleme melden,
- Newsletter-Abonnenten,
- Zahlungspflichtige und Rechnungsempfänger.
Quolly richtet sich vor allem an Nutzer und Kunden in Deutschland und der EU, kann technisch aber weltweit abgerufen werden.
3. Unsere Rolle und die Rolle unserer Kunden
3.1 Quolly als Verantwortlicher
Wir verarbeiten personenbezogene Daten in eigener Verantwortung, wenn wir selbst über Zwecke und Mittel der Verarbeitung entscheiden. Das betrifft insbesondere:
- Betrieb, Sicherheit und technische Bereitstellung von Quolly,
- Website, Registrierung, Login und Accountverwaltung,
- Vertragsdurchführung, Support und Kommunikation,
- Zahlungsabwicklung, Rechnungen und Buchhaltung,
- Newsletter und Einwilligungsverwaltung,
- datensparsame Reichweitenmessung,
- Missbrauchsbekämpfung, Rechtsdurchsetzung und Rechtsverteidigung,
- Erfüllung gesetzlicher Pflichten.
3.2 Quolly als Auftragsverarbeiter für Kunden
Wenn Kunden personenbezogene Daten in Guides, Notizen, Dokumenten, Screenshots, Anhängen, Prompts oder sonstigen Nutzerinhalten verarbeiten, entscheidet grundsätzlich der jeweilige Kunde über Inhalt, Zweck, Rechtsgrundlage, Sichtbarkeit, Löschung und Betroffenenrechte.
In diesen Fällen verarbeitet Quolly die Daten regelmäßig als Auftragsverarbeiter des Kunden nach Art. 28 DSGVO. Dafür gilt ergänzend unsere AVV unter:
https://quolly.io/dpa
Kunden sind selbst dafür verantwortlich, betroffenen Personen eigene Datenschutzinformationen bereitzustellen, wenn sie personenbezogene Daten über Quolly verarbeiten oder veröffentlichen.
3.3 Öffentliche Guides
Kunden entscheiden, ob und wie ein Guide veröffentlicht oder geteilt wird. Öffentlich erreichbare oder per Link geteilte Guides sind nicht vertraulich. Sie können von Besuchern abgerufen, kopiert, weitergegeben, ausgedruckt, technisch zwischengespeichert oder von Suchmaschinen erfasst werden, soweit dies technisch und rechtlich möglich ist.
Wenn Kunden personenbezogene Daten öffentlich zugänglich machen, sind sie für die Rechtmäßigkeit dieser Veröffentlichung verantwortlich.
4. Welche Daten wir bei Website, App und öffentlichen Guides verarbeiten
Beim Aufruf unserer Website, der App, öffentlicher Guides oder sonstiger Quolly-Seiten verarbeiten wir technisch notwendige Zugriffsdaten. Dazu können gehören:
- IP-Adresse,
- Datum und Uhrzeit des Zugriffs,
- aufgerufene URL, Pfad und übertragene Datenmenge,
- HTTP-Statuscode,
- Referrer-URL, soweit vom Browser übermittelt,
- Browsertyp, Browserversion, Betriebssystem und User-Agent,
- technische Fehler-, Sicherheits- und Verbindungsinformationen.
Zwecke: Auslieferung der Website und App, Darstellung öffentlicher Guides, Sicherheit, Fehleranalyse, Missbrauchserkennung, Angriffserkennung, Systemstabilität und Nachweisbarkeit.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung eines angefragten Dienstes oder zur Vertragserfüllung erforderlich ist; Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Fehleranalyse und Missbrauchsprävention; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen.
5. Account, Registrierung und Nutzung von Quolly
Für Registrierung, Login, Accountverwaltung und Nutzung der Plattform verarbeiten wir insbesondere:
- Name und geschäftliche Kontaktdaten,
- E-Mail-Adresse,
- Unternehmen, Organisation, Rolle oder Funktion, soweit angegeben oder erforderlich,
- Login- und Authentifizierungsdaten,
- Passwort nur in gehashter Form, nicht im Klartext,
- Accountstatus, Tarif, Berechtigungen, Rollen und Einstellungen,
- Zeitpunkte von Registrierung, Login, Änderungen und sicherheitsrelevanten Vorgängen,
- technische Nutzungs-, Sitzungs- und Sicherheitsdaten.
Zwecke: Einrichtung und Verwaltung des Accounts, Authentifizierung, Bereitstellung der Plattform, Vertragsdurchführung, Zugriffsschutz, Team- und Rollenverwaltung, Support, Sicherheit und Missbrauchsprävention.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für Vertragsschluss und Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Nachweisbarkeit, Missbrauchsprävention und effiziente Accountverwaltung; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen.
Wenn ein Kunde weitere Nutzer in seine Organisation einlädt, kann der Kunde beziehungsweise dessen Administrator bestimmte Account- und Nutzungsdaten dieser Nutzer sehen und verwalten, soweit dies für die Nutzung von Quolly vorgesehen ist.
6. Guides, Nutzerinhalte und Veröffentlichungen
Wenn Kunden oder Nutzer Guides erstellen, importieren, speichern, bearbeiten, veröffentlichen oder teilen, verarbeiten wir die dafür erforderlichen Inhalte und Metadaten. Dazu können gehören:
- Titel, Beschreibungen, Texte, Schritte, Notizen und Entwürfe,
- Bilder, Screenshots, Dateien, Links und Anhänge,
- Tags, Sprache, Kategorien und sonstige Metadaten,
- Veröffentlichungs-, Freigabe- und Sichtbarkeitseinstellungen,
- Ersteller, Bearbeiter, Änderungszeitpunkte und Versionen,
- Abruf-, Export- und Verwaltungsinformationen.
Nutzerinhalte können personenbezogene Daten enthalten, wenn Kunden oder Nutzer solche Daten einstellen. Quolly prüft Inhalte nicht generell vorab auf personenbezogene Daten, Vertraulichkeit oder rechtliche Zulässigkeit.
Zwecke: Speicherung, Strukturierung, Darstellung, Veröffentlichung, Teilen, Export, Sicherung, technische Konvertierung, Support, Fehlerbehebung, Missbrauchsprüfung und Rechtsverteidigung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Plattform; Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Support, technische Integrität, Missbrauchsprävention und Rechtsverteidigung; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen. Soweit wir ausschließlich weisungsgebunden für den Kunden handeln, erfolgt die Verarbeitung auf Grundlage der AVV nach Art. 28 DSGVO.
Besondere Kategorien personenbezogener Daten
Quolly ist nicht dafür bestimmt, besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO oder vergleichbar sensible Daten zu verarbeiten oder öffentlich zu verbreiten.
Kunden und Nutzer sollen solche Daten nur einstellen, wenn dies rechtmäßig, erforderlich und angemessen abgesichert ist. Wenn solche Daten dennoch in Quolly eingestellt werden, verarbeiten wir sie nur, soweit dies zur technischen Bereitstellung, Sicherheit, Missbrauchsbearbeitung, Löschung, Erfüllung gesetzlicher Pflichten oder Rechtsverteidigung erforderlich und zulässig ist.
7. Optionale KI-Funktionen
Soweit Quolly KI-gestützte Funktionen anbietet und der Kunde oder Nutzer diese nutzt, können Eingaben, Prompts, Ausgangstexte, Guide-Inhalte, Notizen, Support-Antworten, Entwürfe, Instruktionen, technische Metadaten und generierte Ausgaben verarbeitet werden.
Zwecke: Erstellung, Strukturierung, Verbesserung, Umformulierung, Zusammenfassung oder sonstige Bearbeitung von Guides und ähnlichen Inhalten.
Wichtig:
- Wir verwenden Kundeninhalte, Prompts und KI-Ausgaben nicht zum Training, Fine-Tuning oder zur Verbesserung eigener oder fremder KI-Grundmodelle.
- Nach aktuellem Einsatzkonzept nutzen wir für KI-Funktionen nur Anbieter beziehungsweise Konfigurationen mit Verarbeitung in Europa beziehungsweise im EU-/EWR-Raum.
- KI-Anfragen werden nur verarbeitet, soweit dies für die vom Nutzer ausgelöste Funktion erforderlich ist.
- KI-Ausgaben können als Teil eines Guides gespeichert werden, wenn der Nutzer sie übernimmt oder speichert.
- Besonders sensible Daten, Geheimnisse, Passwörter, API-Schlüssel, Gesundheitsdaten, strafrechtliche Daten oder vergleichbar kritische Informationen sollen nicht in KI-Funktionen eingegeben werden.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, soweit die KI-Funktion zur Bereitstellung der gewählten Produktfunktion erforderlich ist; Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Fehleranalyse und Produktstabilität; Art. 28 DSGVO, soweit wir Kundeninhalte ausschließlich im Auftrag des Kunden verarbeiten.
Details zu Unterauftragsverarbeitern für Kundeninhalte finden Kunden in unserer AVV unter:
https://quolly.io/dpa
8. Kommunikation, Support und Meldungen
Wenn Sie uns per E-Mail, Supportweg, Formular oder auf anderem Weg kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten. Dazu können gehören:
- Name und Kontaktdaten,
- Unternehmen oder Organisation,
- Inhalt der Anfrage,
- übermittelte Dateien, Screenshots oder Nachweise,
- Datum, Uhrzeit und Kommunikationsverlauf,
- technische Metadaten der Kommunikation.
Zwecke: Bearbeitung der Anfrage, Support, Kommunikation, Vertragsanbahnung, Vertragsdurchführung, Dokumentation, Qualitätssicherung, Missbrauchsprävention und Rechtsverteidigung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage mit einem Vertrag oder vorvertraglichen Maßnahmen zusammenhängt; Art. 6 Abs. 1 lit. f DSGVO für die Beantwortung sonstiger Anfragen, Support, Dokumentation, Sicherheit und Rechtsverteidigung; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen.
Meldungen zu Inhalten, Missbrauch oder Sicherheit
Bei Meldungen zu rechtswidrigen, vertragswidrigen oder sicherheitsrelevanten Inhalten verarbeiten wir die Angaben, die für Prüfung und Bearbeitung erforderlich sind. Dazu können gehören:
- Angaben zur meldenden Person, soweit angegeben,
- Kontaktmöglichkeit für Rückfragen,
- betroffene URL, Guide, Datei, Account oder sonstige Fundstelle,
- Beschreibung des gemeldeten Inhalts oder Verhaltens,
- Nachweise, Screenshots und Anlagen,
- Bearbeitungsstatus, Entscheidung, Maßnahmen und Kommunikationsverlauf,
- technische Sicherheits- und Protokolldaten.
Wir können Informationen aus einer Meldung an betroffene Kunden, beteiligte Personen, Dienstleister, Rechtsberater, Behörden oder Gerichte weitergeben, soweit dies zur Prüfung, Abhilfe, Rechtsbefolgung oder Rechtsverteidigung erforderlich und zulässig ist.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsprävention, Plattformintegrität, Schutz Dritter und Rechtsverteidigung; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen; Art. 6 Abs. 1 lit. b DSGVO, soweit die Bearbeitung zur Durchführung eines Vertrags erforderlich ist.
9. Newsletter und E-Mail-Kommunikation
9.1 Newsletter
Für Newsletter verwenden wir Listmonk als selbst gehostete Open-Source-Software auf unserer STRATO-Serverinfrastruktur. Es wird kein externer Newsletter-SaaS-Dienst für Marketinglisten eingesetzt, an den Newsletter-Abonnentendaten übertragen werden.
Bei Anmeldung und Verwaltung des Newsletters verarbeiten wir insbesondere:
- E-Mail-Adresse,
- Zeitpunkt der Anmeldung,
- Zeitpunkt und Nachweis der Bestätigung,
- verwendete Liste oder Themenauswahl,
- Status von Anmeldung, Abmeldung oder Sperrung,
- technische Zustell- und Fehlerinformationen,
- gegebenenfalls IP-Adresse und technische Metadaten des Anmelde- oder Bestätigungsvorgangs.
Die Newsletter-Anmeldung erfolgt grundsätzlich per Double-Opt-in. Sie können eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, insbesondere über den Abmeldelink im Newsletter oder per Nachricht an privacy@quolly.io.
Nach Abmeldung löschen wir Newsletterdaten, soweit sie nicht mehr erforderlich sind. Eine E-Mail-Adresse kann in einer Sperr- oder Abmeldeliste gespeichert bleiben, soweit dies erforderlich ist, um den Widerruf dauerhaft umzusetzen und keine weiteren Newsletter zu senden.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO für den Newsletter-Versand auf Grundlage einer Einwilligung; Art. 6 Abs. 1 lit. f DSGVO für Nachweis, Missbrauchsprävention, Zustellbarkeit und Verwaltung von Abmeldungen; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Nachweispflichten bestehen.
9.2 Produkt-, Sicherheits- und Vertrags-E-Mails
Wir können Kunden und Nutzer per E-Mail kontaktieren, soweit dies für Account, Sicherheit, Vertrag, Support, Rechnungen, Produktfunktionen oder wichtige Änderungen erforderlich ist.
Außerdem können wir Bestandskunden im gesetzlich zulässigen Rahmen über ähnliche eigene Produkte oder Funktionen informieren. Dem kann jederzeit widersprochen werden.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für vertragsbezogene Kommunikation; Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Produktinformationen an Bestandskunden, Dokumentation und effiziente Kommunikation; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen.
10. Zahlungen, Rechnungen und Buchhaltung
Für kostenpflichtige Leistungen verarbeiten wir Zahlungs-, Rechnungs- und Buchhaltungsdaten. Dazu können gehören:
- Name, Unternehmen und Rechnungsanschrift,
- E-Mail-Adresse,
- Tarif, Preis, Währung, Steuerinformationen und Rechnungsdaten,
- Zahlungsstatus, Transaktionskennungen und Zahlungsreferenzen,
- begrenzte Informationen zur Zahlungsmethode,
- Informationen zur Betrugsprävention, Zahlungsprüfung und regulatorischen Compliance.
Stripe
Für Zahlungsabwicklung setzen wir Stripe ein. Vollständige Zahlungsdaten wie vollständige Kreditkartennummern speichern wir nicht in unseren eigenen Systemen. Die Zahlungsabwicklung erfolgt über Stripe.
Stripe kann Daten je nach Verarbeitungsvorgang als Auftragsverarbeiter oder eigenständig Verantwortlicher verarbeiten, insbesondere bei Zahlungsinfrastruktur, Betrugsprävention, Risikobewertung, regulatorischen Pflichten und Geldwäscheprävention.
sevDesk
Für Buchhaltung, Rechnungen und steuerliche Dokumentation verwenden wir sevDesk. Dabei können insbesondere Rechnungs-, Kunden-, Zahlungs-, Steuer- und Buchhaltungsdaten verarbeitet werden.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllung und kostenpflichtige Leistungen; Art. 6 Abs. 1 lit. c DSGVO für steuerliche, handelsrechtliche und regulatorische Pflichten; Art. 6 Abs. 1 lit. f DSGVO für Zahlungssicherheit, Betrugsprävention, Forderungsmanagement und Rechtsverteidigung.
11. Cookies, lokale Speicherung, Analyse und Schriftarten
11.1 Technisch notwendige Cookies und ähnliche Technologien
Wir verwenden keine aktiven Marketing- oder Werbe-Cookies. Wir verwenden nur technisch notwendige Cookies oder ähnliche Speicher- und Zugriffstechnologien, soweit sie für Betrieb, Sicherheit, Login, Sitzungsverwaltung, Authentifizierung, Formularschutz, CSRF-Schutz oder ausdrücklich gewünschte Funktionen erforderlich sind.
Rechtsgrundlagen: § 25 Abs. 2 Nr. 2 TDDDG für technisch unbedingt erforderliche Speicherung oder Zugriffe auf Endgeräte; Art. 6 Abs. 1 lit. b DSGVO für vertraglich erforderliche Funktionen; Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Stabilität und Missbrauchsprävention.
11.2 Plausible Analytics selbst gehostet
Zur datensparsamen Reichweitenmessung verwenden wir Plausible Analytics Community Edition in selbst gehosteter Standardkonfiguration auf unserer STRATO-Serverinfrastruktur. Es werden keine Daten an Plausible Insights OÜ oder einen externen Plausible-Cloud-Dienst übertragen.
Plausible wird ohne Cookies, ohne Local Storage, ohne geräteübergreifendes Tracking und ohne persistente Besucherprofile eingesetzt. Roh-IP-Adressen und vollständige User-Agent-Daten werden nach der Plausible-Standardlogik nicht dauerhaft gespeichert. Aus IP-Adresse, User-Agent, Domain und einem täglich wechselnden Salt kann ein kurzlebiger Tageswert gebildet werden, um Besuche aggregiert zu zählen. Der Salt wird regelmäßig erneuert und gelöscht.
Verarbeitet werden insbesondere aggregierte oder reduzierte Informationen wie:
- aufgerufene Seiten und Pfade,
- Referrer und Kampagnenparameter, soweit vorhanden,
- Browser, Betriebssystem und Gerätetyp in gekürzter Form,
- ungefähre geografische Zuordnung,
- Zeitpunkt und aggregierte Besuchsstatistiken.
Zwecke: Reichweitenmessung, Produktverbesserung, Fehlererkennung, Kapazitätsplanung und Verständnis der Nutzung ohne personenbezogene Werbeprofile.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der datensparsamen Analyse und Verbesserung von Quolly. Soweit für einzelne Analysefunktionen eine Einwilligung erforderlich wäre, würden wir diese vorab einholen oder die Funktion nicht einsetzen.
11.3 Lokale Schriftarten
Schriftarten werden lokal über unsere eigene Infrastruktur bereitgestellt. Beim Laden der Schriftarten wird keine Verbindung zu Google-Servern hergestellt.
12. Empfänger und Dienstleister
Wir geben personenbezogene Daten nur weiter, wenn dies für die genannten Zwecke erforderlich ist, eine gesetzliche Pflicht besteht, eine Einwilligung vorliegt, ein berechtigtes Interesse besteht oder die Weitergabe im Rahmen einer Auftragsverarbeitung rechtlich abgesichert ist.
Aktuell setzen wir insbesondere folgende Dienstleister ein:
| Dienstleister | Zweck | Typische Daten | Sitz / Verarbeitung | Hinweis |
|---|---|---|---|---|
| Scaleway SAS | Primäres Hosting der Quolly-Plattform, Serverbetrieb, Managed-MySQL-Datenbank, Speicher, Backups, Netzwerk- und Infrastrukturleistungen | Website-, Account-, Nutzungs-, Inhalts-, Log-, Sicherheits- und Backupdaten | EU nach gewählter Scaleway-Region | Auftragsverarbeitung, soweit erforderlich |
| STRATO GmbH | Hosting selbst gehosteter Zusatzkomponenten, insbesondere Listmonk und Plausible Analytics Community Edition | Newsletterdaten, technische Analyse-, Zugriffs-, Nutzungs-, Protokoll- und Sicherheitsdaten, soweit über diese Komponenten verarbeitet | Deutschland / EU | Auftragsverarbeitung, soweit erforderlich |
| IONOS SE | Domains, DNS, Mailserver und E-Mail-Infrastruktur | E-Mail-Adressen, Kommunikationsinhalte, technische Mail-Metadaten | Deutschland / EU | Auftragsverarbeitung, soweit erforderlich |
| Stripe | Zahlungsabwicklung, Zahlungsstatus, Betrugsprävention, regulatorische Pflichten | Zahlungs-, Rechnungs-, Kontakt- und Transaktionsdaten | EU / USA / weitere Länder möglich | Stripe handelt je nach Vorgang als Auftragsverarbeiter oder eigener Verantwortlicher |
| sevDesk GmbH | Buchhaltung, Rechnungen, steuerliche Dokumentation | Rechnungs-, Kunden-, Zahlungs-, Steuer- und Buchhaltungsdaten | Deutschland / EU, soweit nach Anbieterleistung | Verarbeitung für Buchhaltung und gesetzliche Pflichten |
| EUrouter B.V. | Optionale KI-/LLM-Routing-Funktionen | Prompts, Eingaben, Ausgaben, technische API-Metadaten | EU / EWR nach aktuellem Einsatzkonzept | Kein Training mit Kundendaten nach Anbieterangaben |
| TensorX Ltd. | Optionale KI-/LLM-Inferenz | Prompts, Eingaben, Ausgaben, technische API-Metadaten | EU nach aktuellem Einsatzkonzept | Zero-Data-Retention und kein Training mit Kundendaten nach Anbieterangaben |
Zusätzlich können Daten an Behörden, Gerichte, Rechtsberater, Steuerberater, Wirtschaftsprüfer, Banken, Zahlungsnetzwerke, Inkassodienstleister oder sonstige Empfänger weitergegeben werden, wenn dies gesetzlich vorgeschrieben, zur Rechtsdurchsetzung, Rechtsverteidigung, Strafverfolgung, Gefahrenabwehr, Steuer- oder Buchhaltungspflicht erforderlich oder sonst rechtlich zulässig ist.
Innerhalb einer Kundenorganisation können Daten für Administratoren und berechtigte Nutzer sichtbar sein, soweit dies für die Verwaltung des Accounts, der Guides, Rollen, Berechtigungen oder Inhalte vorgesehen ist.
13. Drittlandübermittlungen
Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, wenn eine geeignete Grundlage besteht. Das kann insbesondere ein Angemessenheitsbeschluss, das EU-U.S. Data Privacy Framework, EU-Standardvertragsklauseln oder eine gesetzliche Ausnahme sein.
Nach aktuellem Einsatzkonzept befinden sich unsere primäre Plattform und die hierfür genutzten lokalen Schriftarten auf Scaleway-Infrastruktur in der EU. Selbst gehostetes Listmonk und selbst gehostetes Plausible werden auf STRATO-Infrastruktur in Deutschland beziehungsweise der EU betrieben.
Bei Stripe kann es zu Übermittlungen in Drittländer, insbesondere in die USA, kommen. Stripe nutzt hierfür nach eigenen Angaben unter anderem Angemessenheitsbeschlüsse, das EU-U.S. Data Privacy Framework, EU-Standardvertragsklauseln und weitere gesetzlich vorgesehene Transfermechanismen.
Bei optionalen KI-Funktionen setzen wir nach aktuellem Einsatzkonzept auf europäische beziehungsweise EU-/EWR-Konfigurationen. Einzelne KI-Dienstleister können für Support-, Kommunikations-, Sicherheits- oder Betriebszwecke weitere Unterauftragnehmer einsetzen. Soweit hierbei Drittlandbezüge entstehen, müssen geeignete Garantien wie EU-Standardvertragsklauseln bestehen.
Öffentlich veröffentlichte Guides können weltweit abgerufen werden. Wenn ein Kunde personenbezogene Daten in einem öffentlich erreichbaren Guide veröffentlicht, kann dies faktisch zu einer weltweiten Zugänglichmachung führen. Für die Rechtmäßigkeit solcher Veröffentlichungen ist grundsätzlich der veröffentlichende Kunde verantwortlich.
14. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist, gesetzliche Aufbewahrungsfristen bestehen, Einwilligungen fortbestehen, berechtigte Interessen eine Speicherung rechtfertigen oder die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden.
Regelfristen:
| Datenkategorie | Regelfrist / Kriterium |
|---|---|
| Server-Logfiles | regelmäßig bis zu 30 Tage; länger nur bei Sicherheitsvorfällen, Missbrauchsverdacht oder rechtlicher Erforderlichkeit |
| Account- und Vertragsdaten | während der Vertragslaufzeit; danach Löschung oder Einschränkung, soweit keine Aufbewahrungspflichten oder Rechtsverteidigungsinteressen bestehen |
| Guide- und Nutzerinhalte | bis zur Löschung durch den Kunden oder nach Vertragsende nach Maßgabe der AGB, AVV und gesetzlichen Pflichten |
| KI-Eingaben und KI-Ausgaben | während der Verarbeitung der KI-Funktion; gespeicherte Ausgaben bleiben als Nutzerinhalt erhalten, wenn der Nutzer sie übernimmt oder speichert |
| Rechnungs- und Buchhaltungsdaten | regelmäßig bis zu 10 Jahre nach handels- und steuerrechtlichen Vorgaben |
| Geschäfts- und Handelsbriefe | regelmäßig bis zu 6 Jahre, soweit gesetzlich erforderlich |
| Kontakt- und Supportanfragen | bis zur abschließenden Bearbeitung; länger soweit für Nachweis, Vertrag, Aufbewahrung oder Rechtsverteidigung erforderlich |
| Missbrauchs-, Rechts- und Sicherheitsmeldungen | solange für Prüfung, Maßnahmen, Nachweis, Sicherheit, Rechtsverteidigung oder gesetzliche Pflichten erforderlich |
| Newsletterdaten | bis zum Widerruf oder zur Abmeldung; Nachweis- und Sperrdaten soweit erforderlich zur Umsetzung des Widerrufs |
| Plausible-Rohdaten | nach Standardkonfiguration keine dauerhafte Speicherung von Roh-IP-Adressen; aggregierte Statistiken nach betrieblichen Erfordernissen |
| Sicherheits- und Auditdaten | solange für Sicherheit, Nachweisbarkeit, Missbrauchsabwehr oder Rechtsverteidigung erforderlich |
Gelöschte Daten können in Sicherungskopien, Caches oder technischen Restbeständen für begrenzte Zeit fortbestehen, bis diese routinemäßig überschrieben oder gelöscht werden. Während dieser Zeit werden sie grundsätzlich nicht produktiv genutzt, außer soweit Wiederherstellung, Sicherheit, Rechtsbefolgung oder Rechtsverteidigung dies erforderlich machen.
Soweit Daten anonymisiert oder so aggregiert werden, dass einzelne Personen nicht mehr identifiziert werden können, handelt es sich nicht mehr um personenbezogene Daten. Solche anonymen oder hinreichend aggregierten Statistiken können wir für Sicherheit, Produktverbesserung, Kapazitätsplanung und Geschäftsauswertung weiterverwenden.
15. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten gegen Verlust, Zerstörung, Veränderung, unbefugte Offenlegung und unbefugten Zugriff zu schützen.
Dazu gehören insbesondere:
- verschlüsselte Übertragung über HTTPS/TLS,
- Verschlüsselung ruhender Daten der produktiven Managed-MySQL-Datenbank bei Scaleway, soweit hierfür Encryption at Rest aktiviert ist,
- Zugriffsbeschränkungen und rollenbasierte Berechtigungen,
- Passwort-Hashing statt Klartextspeicherung,
- Protokollierung sicherheitsrelevanter Ereignisse,
- logische Trennung von Kundendaten,
- regelmäßige Sicherheitsupdates,
- Backups und Wiederherstellungsmaßnahmen,
- Missbrauchs- und Angriffserkennung,
- vertragliche Absicherung eingesetzter Dienstleister.
Kunden und Nutzer müssen Zugangsdaten vertraulich behandeln, starke Passwörter verwenden, Berechtigungen sorgfältig vergeben, eigene Endgeräte schützen und uns informieren, wenn sie einen unbefugten Zugriff oder eine Sicherheitsverletzung vermuten.
Ein absoluter Schutz gegen sämtliche Risiken kann bei internetbasierten Diensten nicht gewährleistet werden.
16. Bereitstellung von Daten
Die Bereitstellung bestimmter Daten ist erforderlich, wenn Sie Quolly nutzen, einen Account erstellen, einen Vertrag abschließen, Support anfragen, kostenpflichtige Leistungen buchen oder gesetzlich erforderliche Angaben machen. Ohne diese Daten können wir die jeweilige Leistung möglicherweise nicht oder nur eingeschränkt bereitstellen.
Die Eingabe personenbezogener Daten in Guides, Prompts, Notizen, Dokumente, Screenshots oder andere Nutzerinhalte liegt in der Verantwortung des jeweiligen Kunden beziehungsweise Nutzers. Quolly ist nicht dafür bestimmt, besondere Kategorien personenbezogener Daten oder sonstige besonders schutzbedürftige Daten ohne Erforderlichkeit und geeignete Rechtsgrundlage zu verarbeiten.
17. Keine automatisierte Entscheidung mit Rechtswirkung
Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Automatisierte technische Signale können zur Sicherheit, Spam- und Missbrauchserkennung, Fehleranalyse, Priorisierung von Meldungen oder Systemstabilität eingesetzt werden. Soweit eine Maßnahme erhebliche Auswirkungen auf einen Account, einen Guide oder eine Nutzungsmöglichkeit haben kann, erfolgt eine menschliche Prüfung, soweit dies nach Art, Umfang und Dringlichkeit der Maßnahme angemessen oder gesetzlich erforderlich ist.
18. Rechte betroffener Personen
Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere folgende Rechte:
- Auskunft über verarbeitete personenbezogene Daten nach Art. 15 DSGVO,
- Berichtigung unrichtiger Daten nach Art. 16 DSGVO,
- Löschung nach Art. 17 DSGVO,
- Einschränkung der Verarbeitung nach Art. 18 DSGVO,
- Datenübertragbarkeit nach Art. 20 DSGVO,
- Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO nach Art. 21 DSGVO,
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft nach Art. 7 Abs. 3 DSGVO,
- Beschwerde bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
privacy@quolly.io
Betroffenenrechte können unabhängig von etwaigen Selbstbedienungsfunktionen im Dienst über diese E-Mail-Adresse geltend gemacht werden. Soweit ein Recht auf Datenübertragbarkeit besteht, stellen wir die betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren elektronischen Format bereit.
Zum Schutz personenbezogener Daten können wir eine angemessene Identitätsprüfung verlangen, wenn dies erforderlich ist.
Wenn Ihre Daten durch einen Kunden in einem Guide, Dokument, Prompt, Screenshot oder sonstigen Nutzerinhalt verarbeitet werden, ist häufig der Kunde datenschutzrechtlich verantwortlich. In solchen Fällen leiten wir Ihre Anfrage, soweit zulässig und erforderlich, an den Kunden weiter oder verweisen Sie an den Kunden. Wir unterstützen den Kunden nach Maßgabe der AVV.
Wir beantworten Betroffenenanfragen grundsätzlich innerhalb eines Monats. Bei komplexen oder zahlreichen Anfragen kann diese Frist nach Art. 12 Abs. 3 DSGVO um bis zu zwei weitere Monate verlängert werden.
19. Widerspruch gegen berechtigte Interessen und Direktwerbung
Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können betroffene Personen aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einlegen.
Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wenn wir personenbezogene Daten zum Zweck der Direktwerbung verarbeiten, können betroffene Personen jederzeit Widerspruch gegen diese Verarbeitung einlegen. Newsletter-Einwilligungen können außerdem jederzeit widerrufen werden.
Widersprüche können gerichtet werden an:
privacy@quolly.io
20. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Datenschutzverstoßes.
Für Quolly ist regelmäßig folgende Aufsichtsbehörde zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Website: https://www.lda.bayern.de
21. Verhältnis zu AGB und AVV
Für die Nutzung von Quolly gelten ergänzend unsere AGB unter:
https://quolly.io/terms
Soweit Quolly personenbezogene Daten im Auftrag eines Kunden verarbeitet, gilt ergänzend unsere AVV unter:
https://quolly.io/dpa
Bei Widersprüchen zwischen dieser Datenschutzerklärung und der AVV geht die AVV für die Verarbeitung im Auftrag des Kunden vor.
22. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich Quolly, technische Abläufe, eingesetzte Dienstleister, rechtliche Anforderungen oder unsere Datenverarbeitung ändern.
Die jeweils aktuelle Fassung wird auf unserer Website bereitgestellt. Bei wesentlichen Änderungen, die registrierte Kunden oder Accountnutzer erheblich betreffen, informieren wir nach Möglichkeit zusätzlich im Account oder per E-Mail.