Rechtliches

Datenschutzerklärung

Auf dieser Seite
  1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
  2. Datenschutzbeauftragter
  3. Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)
  4. Verarbeitete Datenkategorien
  5. Verarbeitungszwecke
  6. Auftragsverarbeiter und Dienstleister (Art. 28 DSGVO)
  7. Drittlandtransfer (Art. 44 ff. DSGVO)
  8. Double-Opt-In-Verfahren
  9. Speicherdauer
  10. Betroffenenrechte
  11. Cookies und ähnliche Technologien
  12. Sicherheit der Verarbeitung (Art. 32 DSGVO)
  13. Aktualisierung dieser Erklärung

Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlicher im Sinne der Datenschutz-Grundverordnung und sonstiger nationaler Datenschutzgesetze der Mitgliedstaaten ist:

Korsawe Consulting GmbH

Maximilianstraße 2, 80539 München

Geschäftsführerin: Lea Marie Korsawe

E-Mail: info@korsaweconsulting.com

Die vollständige Anbieterkennzeichnung steht im Impressum.

Datenschutzbeauftragter

Eine Pflicht zur Bestellung einer/eines Datenschutzbeauftragten nach § 38 BDSG besteht für die Korsawe Consulting GmbH nicht. Anfragen zum Datenschutz richten Sie bitte unmittelbar an die im Impressum genannte Kontaktadresse.

Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten im Rahmen des Bewertungsrechners stützt sich auf die folgenden Rechtsgrundlagen:

lit. a (Einwilligung): Versand des vollständigen Berichts nach erfolgreichem Double-Opt-In sowie, separat und nur bei aktiver Auswahl, Versand des quartalsweisen Newsletters.
lit. b (Vertrag bzw. vorvertragliche Maßnahmen): Bereitstellung der angefragten Bewertungsergebnisse und des vollständigen Berichts.
lit. f (berechtigtes Interesse): Betrieb der Anwendung, Server-Logs, Abwehr missbräuchlicher Nutzung und Gewährleistung der IT-Sicherheit. Ebenfalls auf das berechtigte Interesse gestützt sind die Beantwortung und Einordnung einer Anfrage sowie der Hinweis auf dazu passende Beratungsleistungen des Anbieters gegenüber Unternehmern. Das berechtigte Interesse wird im Einzelfall gegen die Interessen und Grundrechte der betroffenen Personen abgewogen. Gegen eine Verarbeitung zu Zwecken der Direktwerbung kann jederzeit mit Wirkung für die Zukunft Widerspruch eingelegt werden (Art. 21 DSGVO).

Eine Verarbeitung auf Grundlage von lit. c (gesetzliche Verpflichtung) oder lit. d (lebenswichtige Interessen) findet im Rahmen des Bewertungsrechners nicht statt.

Verarbeitete Datenkategorien

Im Rahmen des Bewertungsrechners werden folgende Datenkategorien verarbeitet:

Rechnereingaben: Umsatz, EBITDA, Nettoverschuldung, Branche, Sub-Segment, Land, EBITDA-Trend, Inhaberabhängigkeit und Anteil wiederkehrender Umsätze. Diese Eingaben werden zunächst ausschließlich im Browser verarbeitet; eine Speicherung erfolgt erst nach ausdrücklicher Anforderung des vollständigen Berichts per E-Mail.
Lead-Daten: E-Mail-Adresse, Name, Firma, Double-Opt-In-Status, Berichtsanfrage-Status, Newsletter-Status, akzeptierte Fassung der Nutzungsbedingungen und Zeitpunkte der jeweiligen Zustimmung.
Consent-Nachweise: genaue Einwilligungstexte, Versionen, Zwecke, Sprache, Quelle des Formulars, Zeitstempel, gekürzter User-Agent und gehashte IP-Adresse.
Technische Daten: IP-Adresse, User-Agent, Zeitstempel, Referrer; erfasst in den Server-Logs der Hosting-Plattform Vercel. Zur Abwehr missbräuchlicher Nutzung wird beim Absenden einer Berichtsanfrage zusätzlich ein gehashter IP-Wert mit Zeitstempel kurzzeitig in der Datenbank gespeichert und automatisch spätestens am Folgetag gelöscht (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

Verarbeitungszwecke

Die Kategorien werden zu folgenden Zwecken verarbeitet:

Rechnereingaben: Berechnung der indikativen Eigenkapitalwert-Spanne im Browser sowie Speicherung eines minimalen Berechnungs-Snapshots nach Anforderung des vollständigen Berichts.
Lead-Daten: Versand der Bestätigungs-E-Mail, Zuordnung der bestätigten Anfrage, Versand des vollständigen Berichts, Beantwortung der Anfrage und Hinweis auf dazu passende Beratungsleistungen sowie Verwaltung der optionalen Newsletter-Einwilligung.
Consent-Nachweise: Nachweis der erteilten Einwilligungen und der akzeptierten Nutzungsbedingungen.
Technische Daten: Betrieb der Anwendung, Sicherheit, Missbrauchsabwehr, Fehleranalyse.

Auftragsverarbeiter und Dienstleister (Art. 28 DSGVO)

Für den Betrieb des Bewertungsrechners werden die folgenden Dienstleister eingesetzt. Mit den genannten Dienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit personenbezogene Daten betroffen sind.

6.1 Supabase

Zweck: Datenbank-Backend für Lead-Daten, Consent-Nachweise und Berechnungs-Snapshots sowie für kurzzeitig gespeicherte gehashte IP-Werte zur Missbrauchsabwehr.
Anbieter: Supabase, Inc. (USA).
Verarbeitungsort: Deutschland (Amazon Web Services, Region eu-central-1, Frankfurt am Main).
Drittlandtransfer: Die Daten werden in Frankfurt gespeichert. Soweit für Betrieb oder Support ein Zugriff aus den USA möglich ist, ist dieser über den Auftragsverarbeitungsvertrag und EU-Standardvertragsklauseln abgesichert.

6.2 Resend

Zweck: Transaktionsmail für Double-Opt-In, Berichtsversand und optionale Newsletter-Kommunikation.
Anbieter: Plus Five Five, Inc. (Resend), San Francisco, USA.
Versandadresse: notifications.mittelstandswert.de (dedizierte Subdomain).
Verarbeitungsort: Irland (Region eu-west-1).
Drittlandtransfer: Der E-Mail-Versand wird in Irland verarbeitet. Soweit ein Zugriff aus den USA erfolgt, ist dieser über das EU-US Data Privacy Framework, unter dem Resend zertifiziert ist, sowie ergänzend über EU-Standardvertragsklauseln abgesichert.

6.3 Vercel

Zweck: Hosting der Anwendung, Edge-Auslieferung, Server-Logs.
Anbieter: Vercel Inc., Covina, Kalifornien, USA.
Verarbeitungsort: Deutschland (Region Frankfurt, fra1). Vercel Inc. ist ein US-Unternehmen.
Drittlandtransfer: Die Funktionsausführung und die Auslieferung erfolgen in Frankfurt. Soweit ein Zugriff aus den USA erfolgt, ist dieser über das EU-US Data Privacy Framework, unter dem Vercel zertifiziert ist, sowie ergänzend über EU-Standardvertragsklauseln abgesichert.

6.4 Sanity

Zweck: Headless-CMS für redaktionelle Inhalte wie Multiplikatoren, Texte und Disclaimer.
Anbieter: Sanity Inc. (USA).
Verarbeitungsort: Belgien (Google Cloud Platform, Region europe-west1).
Hinweis: Es werden hier keine personenbezogenen Mandantendaten gespeichert; ausschließlich öffentliche Inhalte und redaktionelle Stammdaten.

Drittlandtransfer (Art. 44 ff. DSGVO)

Die Verarbeitung findet durchgängig in der EU statt: Supabase und Vercel in Frankfurt, Resend in Irland, Sanity in Belgien. Die Anbieter Supabase, Vercel und Resend sind US-Unternehmen. Soweit deren US-Muttergesellschaften im Betriebs- oder Supportfall auf Daten zugreifen können, beruht dies auf geeigneten Garantien, insbesondere dem EU-US Data Privacy Framework und EU-Standardvertragsklauseln samt ergänzenden technischen und organisatorischen Maßnahmen.

Double-Opt-In-Verfahren

E-Mail-Adressen werden erhoben, wenn die betroffene Person nach Abschluss der Eingaben aktiv den vollständigen Bericht per E-Mail anfordert. Die Erfassung erfolgt in zwei Schritten:

1. Eingabe der E-Mail-Adresse im Formular.
2. Bestätigung der Adresse über einen Verifikationslink in einer separat zugestellten Bestätigungs-E-Mail.

Erst nach diesem zweiten Schritt wird die Anfrage als bestätigt geführt und der vollständige Bericht versendet. Der Bestätigungslink ist 72 Stunden gültig. Vor der Bestätigung gespeicherte Daten werden spätestens 21 Tage nach der Erhebung automatisch gelöscht, sofern keine Bestätigung erfolgt. Die optionale Newsletter-Einwilligung ist getrennt vom Bericht und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben.

Unbestätigte Leads: bis zur Bestätigung, längstens 21 Tage ab der Erhebung; danach automatische Löschung.
Bestätigte Berichtsanfragen: bis zum Widerruf oder zur Löschung, längstens 24 Monate ab dem letzten Kontakt.
Newsletter-Status: bis zum Widerruf; ein minimaler Sperr- oder Nachweisdatensatz kann zur Beachtung des Widerrufs fortbestehen.
Server-Logs (Vercel): tarifabhängig, längstens 30 Tage.
Missbrauchsabwehr (gehashte IP-Werte, Supabase): automatische Löschung spätestens am Folgetag.
Berechnungs-Snapshots (Supabase): solange sie für den angeforderten Bericht erforderlich sind, längstens für dieselbe Dauer wie der zugehörige bestätigte Lead.

Betroffenenrechte

Jede betroffene Person hat im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Die Geltendmachung dieser Rechte erfolgt formlos an die im Impressum genannte Kontaktadresse.

Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, formlos an die im Impressum genannte Kontaktadresse. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO): Soweit personenbezogene Daten zu Zwecken der Direktwerbung verarbeitet werden, kann jederzeit und ohne Angabe von Gründen Widerspruch eingelegt werden. Danach werden die Daten nicht mehr zu diesen Zwecken verarbeitet.

Beschwerderecht (Art. 77 DSGVO): Betroffene Personen können sich bei einer Aufsichtsbehörde beschweren. Zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.

Cookies und ähnliche Technologien

Der Bewertungsrechner setzt im aktuellen Stand ausschließlich technisch notwendige Cookies, etwa Session-Identifikatoren und Locale-Präferenzen. Eine Einwilligung gemäß § 25 Abs. 1 TDDDG ist hierfür nicht erforderlich; die Verarbeitung beruht auf § 25 Abs. 2 TDDDG. Keine Drittanbieter-Tracker, keine Marketing-Cookies, keine reichweitenmessenden Cookies.

Sicherheit der Verarbeitung (Art. 32 DSGVO)

Die Verantwortliche trifft technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen TLS-Transportverschlüsselung, Zugriffsbeschränkungen, rollenbasierte Berechtigungen, Datenminimierung, Trennung produktiver und redaktioneller Systeme sowie regelmäßige Überprüfung der Auftragsverarbeitungsverträge.

Aktualisierung dieser Erklärung

Diese Datenschutzerklärung wird angepasst, sobald sich die Verarbeitung, die eingesetzten Dienste oder die rechtlichen Rahmenbedingungen ändern. Maßgeblich ist die zum Zeitpunkt der Erhebung gültige Fassung.