Datenschutzinformation für Mandanten (B2B)

Stand: 01/2026

1. Verantwortlicher / Rollenverteilung

Vertriebskraftwerk GmbH & Co. KG

Drögeholt 9, 21365 Adendorf

E-Mail: service@vertriebskraftwerk.eu

(1) Verarbeitung als Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Wir verarbeiten personenbezogene Daten unserer Mandanten (insb. Admin-/Nutzerkonten, Vertrags- und Abrechnungsdaten, Support-Kommunikation, Sicherheits-/Protokolldaten) als Verantwortlicher, soweit dies zur Bereitstellung, Administration, Sicherheit und Abrechnung unseres SaaS erforderlich ist.

(2) Verarbeitung als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)

Soweit Mandanten über unsere Plattform eigene Formulare erstellen, teilen und Antworten von Endkund:innen/Interessent:innen erheben, verarbeiten wir diese Endkundendaten ausschließlich als Auftragsverarbeiter im Auftrag des jeweiligen Mandanten (Art. 28 DSGVO). Details ergeben sich aus dem Auftragsverarbeitungsvertrag (AVV) und dessen Anlagen.

2. Grundsatz: Keine besonderen Kategorien (Art. 9 DSGVO) im Standardumfang

Die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z. B. Gesundheitsdaten, biometrische Daten, religiöse/politische Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben/sexuelle Orientierung) ist im Standardumfang der Plattform ausgeschlossen.

Mandanten sind verpflichtet, solche Daten nicht über die Plattform zu erheben oder verarbeiten zu lassen.

Abweichungen sind nur nach gesonderter schriftlicher Vereinbarung, nach Durchführung einer Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) sowie – soweit erforderlich – nach Festlegung einer geeigneten Rechtsgrundlage (Art. 9 Abs. 2 DSGVO) zulässig.

3. Zwecke der Verarbeitung (Mandantendaten als Verantwortlicher)

- Bereitstellung des SaaS („Vertriebskraftwerk“) inkl. Authentifizierung/Account-Management

- Administration, Betrieb, Fehleranalyse sowie IT-Sicherheit/Missbrauchsprävention (z. B. Logfiles, Rate Limiting)

- Support- und Servicekommunikation

- Vertragsdurchführung, Abrechnung und Zahlungsabwicklung (Self-Service), ggf. Forderungsmanagement

4. Rechtsgrundlagen (Mandantendaten)

- Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragliche Maßnahmen)

- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, Stabilität, Missbrauchsprävention)

- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, z. B. handels-/steuerrechtliche Aufbewahrung), soweit einschlägig

5. Kategorien verarbeiteter Daten (Mandantendaten)

- Stammdaten (Firma, Name, Rolle/Funktion)

- Kontaktdaten (E-Mail, Telefon)

- Account-/Login-Daten (Benutzerkennung, Rollen/Berechtigungen, ggf. 2FA-Informationen)

- Vertrags- und Abrechnungsdaten (inkl. Rechnungs-/Zahlungsstatus)

- Nutzungs-/Protokolldaten (z. B. Zeitstempel, IP-Adresse, Geräte-/Browserdaten, Ereignislogs)

Hinweis: Passwörter werden nicht im Klartext gespeichert.

6. Empfänger / Kategorien von Empfängern

Wir setzen weisungsgebundene Dienstleister (Unterauftragsverarbeiter) ein, soweit dies für Betrieb und Bereitstellung erforderlich ist (z. B. Cloud-Infrastruktur/Hosting, E-Mail-/SMS-Versand, Signaturdienst, Zahlungsabwicklung, Sicherheits-/Performance-Dienste).

Die jeweils genehmigten Unterauftragsverarbeiter sind in Anlage 3 zum AVV aufgeführt.

7. Internationale Datenübermittlungen (Drittländer)

Die wesentliche Verarbeitung erfolgt in der EU (u. a. Region Frankfurt, soweit konfiguriert).

Je nach eingesetzten Dienstleistern und deren Betriebsmodellen (z. B. globales Netzwerk/konzernbedingte Administrationszugriffe) können Zugriffe/Verarbeitungen außerhalb des EWR nicht in jedem Fall technisch vollständig ausgeschlossen werden.

Soweit eine Drittlandverarbeitung relevant ist, erfolgt diese nur unter Einhaltung der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln und ergänzende Maßnahmen oder Angemessenheitsbeschluss, soweit anwendbar).

8. KI-Funktionen (optional; nur bei Aktivierung durch Mandant)

Sofern Mandanten KI-Funktionen aktivieren, gilt:

- Es werden keine Klartext-Identifikatoren natürlicher Personen (insb. Name, Vorname, Anschrift sowie spezifische Kontaktdaten) an den KI-Anbieter übermittelt.

- Stattdessen werden diese Identifikatoren vor der Übermittlung durch eine kryptografische Referenz-ID ersetzt.

- Die Zuordnung Referenz-ID ↔ Person erfolgt ausschließlich in unserem System; der KI-Anbieter erhält keine Zuordnungsinformationen.

- Mandanten sind verpflichtet, keine besonderen Kategorien (Art. 9 DSGVO) in KI-Eingaben zu übermitteln.

9. Zahlungsabwicklung (Stripe) – nur Mandantenabrechnung

Sofern Mandanten Lizenzen im Self-Service buchen, erfolgt die Zahlungsabwicklung über einen Zahlungsdienstleister (z. B. Stripe). Dabei werden ausschließlich Abrechnungs-/Zahlungsdaten des Mandanten verarbeitet (z. B. Rechnungsadresse, Zahlungsstatus, Transaktionsdaten). Enduser-/Kund:innendaten werden nicht zu Zahlungszwecken an Stripe übermittelt.

10. Speicherdauer / Löschung

Mandantendaten werden grundsätzlich für die Dauer des Vertragsverhältnisses gespeichert. Nach Vertragsende löschen wir Mandantendaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Endkundendaten (Auftragsverarbeitung) werden nach Weisung des Mandanten bzw. gemäß vereinbarter Löschkonzepte gelöscht.

11. Sicherheit (TOM)

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO um (u. a. Zugriffskontrolle, Protokollierung, Verschlüsselung, Berechtigungskonzepte, Backup/Restore, Mandantentrennung). Details sind in Anlage 2 (TOM) zum AVV beschrieben.

12. Betroffenenrechte / Kontakt

Betroffenenrechte gelten, soweit wir als Verantwortlicher verarbeiten (Art. 15–22 DSGVO).

Kontakt: service@vertriebskraftwerk.eu