Einleitung

Der Schutz Ihrer personenbezogenen Daten hat für uns, die cuvalu, einen hohen Stellenwert. Wir möchten, dass Sie jederzeit nachvollziehen können, wann wir welche Daten verarbeiten, zu welchen Zwecken dies geschieht und auf welcher Rechtsgrundlage. Ebenso informieren wir Sie darüber, welche Rechte Ihnen als betroffene Person zustehen.

Diese Datenschutzerklärung gilt für sämtliche Verarbeitungen personenbezogener Daten, die im Zusammenhang stehen mit:

• dem Besuch unserer Website unter https://cuvalu.de,
• der Nutzung unserer Softwarelösungen im Bereich der Lohn- und Gehaltsabrechnung,
• der geschäftlichen Zusammenarbeit, z.  als Interessent, Mandant oder Kooperationspartner,
• sowie im Rahmen von Bewerbungsverfahren.

Unsere Softwarelösungen richten sich insbesondere an Arbeitgeber, Steuerkanzleien und Lohnbüros. Sie ermöglichen eine rechtskonforme Erstellung und elektronische Übermittlung von Lohnabrechnungen, u. a. über eine DATEV-kompatible Schnittstelle. Dabei legen wir besonderen Wert auf Datensicherheit, Transparenz und datensparsame Verarbeitung.

Die Verarbeitung personenbezogener Daten erfolgt durch uns stets unter Beachtung der geltenden gesetzlichen Vorgaben, insbesondere:

• der Datenschutz-Grundverordnung (DSGVO),
• des Bundesdatenschutzgesetzes (BDSG),
• sowie weiterer anwendbarer datenschutzrechtlicher Bestimmungen.

Im Folgenden erläutern wir,

• welche Datenkategorien wir verarbeiten,
• zu welchen Zwecken und auf welcher Rechtsgrundlage die Verarbeitung erfolgt,
• und welche Rechte Sie in Bezug auf Ihre personenbezogenen Daten geltend machen können.

Bitte lesen Sie sich diese Datenschutzerklärung sorgfältig durch.

Bei datenschutzrechtlichen Fragen oder Anliegen können Sie sich jederzeit an uns oder an unseren Datenschutzbeauftragten wenden (siehe Ziffer 2).

1. Verantwortlicher für die Datenerhebung

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sonstiger anwendbarer datenschutzrechtlicher Vorschriften ist:

cuvalu eine Marke der:

cuvalu GmbH

Seeholzenstr. 2

82166 Gräfelfing

 

Vertreten durch die Geschäftsführung:

Nicola Leeb und Lorenz Leeb

 

Kontakt:

Tel +49 89 744 844 74

info@cuvalu.de

Website: https://cuvalu.de

 

1.1. Datenschutzrechtliche Rollenverteilung

Die cuvalu ist Anbieter einer webbasierten Softwarelösung zur Erstellung, Verarbeitung und Übermittlung von Lohn- und Gehaltsabrechnungen. Dabei ist sie je nach Verarbeitungszweck entweder selbst Verantwortlicher oder handelt im Auftrag ihrer Kunden als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

1. a) cuvalu als Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Die cuvalu verarbeitet personenbezogene Daten eigenverantwortlich, soweit sie:

• ihre eigene Website betreibt,
• mit Interessenten, Geschäftskontakten, Kunden oder Bewerbenden kommuniziert,
• Verträge verwaltet und Leistungen dokumentiert,
• oder Supportleistungen und sonstige Services anbietet.

 

In diesen Fällen erfolgt die Verarbeitung auf eigene Verantwortung, insbesondere im Rahmen der Kunden- und Nutzerbetreuung, der Vertragserfüllung und der Außendarstellung.

1. b) cuvalu als Auftragsverarbeiter (Art. 28 DSGVO)

Sofern Kunden (z. B. Arbeitgeber, Steuerkanzleien oder Lohnbüros) unsere Softwarelösung zur Durchführung der Lohnabrechnung nutzen, verarbeiten wir personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden und im Rahmen eines Auftragsverarbeitungsvertrags (AVV).

Dies betrifft insbesondere:

• die Verarbeitung lohnrelevanter Daten von Mitarbeitenden der Kunden,
• die Übermittlung der Abrechnungsdaten an Drittsysteme wie z.  DATEV,
• sowie die technische Bereitstellung und Wartung der Plattform.

Die datenschutzrechtliche Verantwortung verbleibt in diesen Fällen vollständig beim jeweiligen Kunden, welcher die Software zur Erfüllung seiner arbeits-, steuer- oder sozialversicherungsrechtlichen Verpflichtungen einsetzt.

1.2. Klare vertragliche Regelung der Zuständigkeit

Die jeweilige Rollenverteilung (Verantwortlicher / Auftragsverarbeiter) wird vertraglich eindeutig festgelegt, insbesondere bei der Nutzung der Plattform durch gewerbliche Kunden im Rahmen einer Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO.

1.3. Gemeinsame Verantwortlichkeit

Sofern personenbezogene Daten im Rahmen gemeinsamer Projekte mit Partnern oder Drittanbietern verarbeitet werden, prüfen wir, ob eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO vorliegt. In einem solchen Fall erfolgt eine transparente vertragliche Festlegung, über deren Inhalt betroffene Personen auf Wunsch informiert werden können.

2. Datenschutzbeauftragter

Die cuvalu hat gemäß Art. 37 DSGVO i. V. m. § 38 BDSG einen Datenschutzbeauftragten benannt. Dieser überwacht die Einhaltung aller datenschutzrechtlichen Vorschriften innerhalb des Unternehmens, berät die Geschäftsführung und Fachabteilungen und fungiert als Ansprechpartner für betroffene Personen sowie Aufsichtsbehörden.

2.1. Kontakt zum Datenschutzbeauftragten

Sie können sich jederzeit mit Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zur Wahrnehmung Ihrer Rechte als betroffene Person (z. B. Auskunft, Berichtigung, Löschung, Widerspruch) oder mit sonstigen datenschutzrechtlichen Anliegen an unseren Datenschutzbeauftragten wenden.

Kontaktdaten des Datenschutzbeauftragten:

cuvalu – Datenschutzbeauftragter

Laura Schaller

E-Mail: datenschutz@cuvalu.de

Bitte geben Sie bei Anfragen – soweit möglich – an, in welchem Zusammenhang Sie mit der cuvalu in Kontakt stehen (z. B. Kunde, Website-Nutzer, Bewerber), um eine strukturierte und zügige Bearbeitung zu ermöglichen.

2.2. Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte nimmt innerhalb der cuvalu die in Art. 39 DSGVO vorgesehenen Aufgaben wahr. Hierzu zählen insbesondere:

• Beratung der Geschäftsleitung und der Mitarbeitenden zu datenschutzrechtlichen Pflichten,
• Überwachung der Einhaltung der DSGVO, des BDSG sowie interner Datenschutzrichtlinien,
• Mitwirkung bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO,
• Zusammenarbeit mit Datenschutzaufsichtsbehörden,
• Ansprechperson für betroffene Personen bei datenschutzrechtlichen Anfragen.

Der Datenschutzbeauftragte ist unabhängig, handelt weisungsfrei und unterliegt der gesetzlichen Verschwiegenheitspflicht gemäß Art. 38 Abs. 5 DSGVO. Sämtliche Anfragen werden vertraulich behandelt.

2.3. Zuständige Datenschutzaufsichtsbehörde

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch die cuvalu gegen Datenschutzrecht verstößt.

 

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

Telefon: +49 (0) 981 180093-0

Website: https://www.lda.bayern.de/de/index.html

3. Erhebung und Verarbeitung persönlicher Daten beim Besuch der cuvalu-Website

Beim Besuch der Website der cuvalu unter www.cuvalu.de werden – wie bei jedem Webangebot – automatisiert bestimmte Daten verarbeitet, die zur technischen Bereitstellung, Stabilität, Sicherheit und Optimierung der Website erforderlich sind. In einzelnen Fällen werden auch personenbezogene Daten im Rahmen von Anfragen, Kontaktaufnahmen oder der Nutzung geschützter Bereiche verarbeitet.

3.1. Zugriff auf die öffentlich zugänglichen Seiten

Beim Aufruf unserer Website erfasst das Websystem automatisch folgende Informationen und speichert diese in sogenannten Logfiles:

• IP-Adresse des anfragenden Endgeräts (ggf. gekürzt oder pseudonymisiert)
• Datum und Uhrzeit des Zugriffs
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite bzw. Datei)
• Zugriffsstatus / HTTP-Statuscode
• jeweils übertragene Datenmenge
• Referrer-URL (Herkunftsseite)
• verwendeter Browsertyp, Version und Sprache
• Betriebssystem und dessen Oberfläche
• Bildschirmauflösung und Gerätekategorie

Diese Daten werden ausschließlich zur technischen Administration, Sicherstellung der Funktionsfähigkeit und Stabilität des Webauftritts sowie zur Erkennung und Abwehr technischer Angriffe verarbeitet.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an IT-Sicherheit, funktionsfähiger Bereitstellung der Website und Störungsanalyse

• 25 Abs. 2 Nr. 2 TDDDG – technisch notwendiger Zugriff auf Endgeräte

Speicherdauer:

Die Logfiles werden in der Regel nach spätestens 30 Tagen automatisiert gelöscht. In sicherheitsrelevanten Einzelfällen (z. B. Cyberangriffe) kann eine längere Speicherung erfolgen.

Hinweis:

Eine Zusammenführung dieser Daten mit anderen personenbezogenen Informationen erfolgt nicht. Es findet keine personalisierte Profilbildung statt.

3.2. Nutzung geschützter Bereiche (Kundenportal)

Sofern Sie als registrierter Nutzer unser Kundenportal (z. B. zur Nutzung der webbasierten Lohnabrechnungssoftware) aufrufen, verarbeiten wir zusätzlich:

• Benutzername / E-Mail-Adresse
• verschlüsseltes Passwort
• Zeitpunkt und IP-Adresse beim Login
• verwendeter Browser
• Dauer der Sitzung
• aufgerufene Funktionen (z.  Datenexporte, Übermittlungen an Drittsysteme wie DATEV)
• Fehlermeldungen oder Protokolle zu nicht erfolgreichen Anmeldungen

Zwecke:

• Authentifizierung und Zugriffskontrolle
• Nachvollziehbarkeit (Audit Trail)
• technische Wartung und Fehlerbehebung
• Schutz vor unbefugten Zugriffen

Rechtsgrundlagen:

• 6 Abs. 1 lit. b DSGVO – Erfüllung vertraglicher Pflichten
• 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an Sicherheit und Systemintegrität
• 6 Abs. 1 lit. c DSGVO – gesetzliche Nachweispflichten, z. B. § 147 AO

Speicherdauer:

Zugriffs- und Nutzungsprotokolle werden bis zu 48 Monate gespeichert. Gesetzliche Aufbewahrungspflichten können längere Speicherfristen erfordern.

3.3. Kontaktformulare, Demo-Anfragen und sonstige Interaktionen

Wenn Sie über unsere Website Kontakt mit uns aufnehmen (z. B. per Formular, Anfrage zu einer Software-Demo, Terminvereinbarung), können wir folgende Daten erfassen:

• Name, Vorname
• E-Mail-Adresse
• Firma / Organisation
• Telefonnummer (optional)
• Betreff und Nachrichtentext
• Zeitpunkt der Anfrage
• IP-Adresse (zur Missbrauchsprävention)
• Zwecke der Verarbeitung:
• Bearbeitung Ihrer Anfrage
• Kontaktaufnahme bei Rückfragen
• interne Dokumentation und Nachverfolgung

Rechtsgrundlagen:

• 6 Abs. 1 lit. a DSGVO – freiwillige Einwilligung (z. B. bei Newslettern)
• 6 Abs. 1 lit. b DSGVO – Durchführung vorvertraglicher Maßnahmen
• 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an Kommunikation und Dokumentation

Speicherdauer:

Kommunikationsdaten werden zehn Jahre gespeichert. Regelmäßige Löschroutinen sind implementiert.

3.4. Schutz vor automatisierten Zugriffen

Zum Schutz vor Missbrauch, Brute-Force-Angriffen und automatisierten Abfragen (z. B. durch Bots) können wir Schutztechnologien wie CAPTCHA-Lösungen einsetzen. Dabei können folgende Daten verarbeitet werden:

• gehashte IP-Adresse
• technische Header-Daten (z.  User Agent)
• Zeitstempel
• CAPTCHA-Interaktion (z.  Lösung einer Rechenaufgabe)

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse am Schutz der IT-Infrastruktur

3.5. Keine Verarbeitung zu Analyse- oder Marketingzwecken ohne Einwilligung

Wir verwenden keine Tracking- oder Analyseverfahren ohne Ihre ausdrückliche Einwilligung. Derartige Dienste werden – sofern überhaupt eingesetzt – ausschließlich nach Zustimmung über den Cookie-Banner aktiviert (siehe Abschnitt 5).

4. Einsatz von Cookies und vergleichbaren Technologien

Unsere Website sowie die von uns bereitgestellten Webanwendungen (z. B. Kundenportal, Demo-Zugänge) können Cookies und vergleichbare Technologien verwendet werden, um eine nutzerfreundliche, sichere und technisch funktionierende Bereitstellung unserer Dienste zu ermöglichen. Darüber hinaus könnten wir – nur mit Ihrer ausdrücklichen Einwilligung – Analyse- und Marketingtechnologien einsetzen, um die Reichweite zu messen, unsere Inhalte zu optimieren und Ihnen relevante Informationen bereitzustellen.

4.1. Allgemeine Informationen zu Cookies

Cookies sind kleine Textdateien, die von Ihrem Browser auf Ihrem Endgerät gespeichert werden, um bestimmte Informationen zu erfassen. Technisch vergleichbare Technologien sind z. B. Local Storage, Session Storage oder Pixel.

Eine unmittelbare Identifizierung Ihrer Person erfolgt dadurch nicht.

Wir unterscheiden folgende Kategorien:

• Technisch notwendige Cookies
  • Zweck: Betriebssicherheit, Zugriffskontrolle, Einwilligungssteuerung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG
• Funktionale Cookies
  • Zweck: Komfortfunktionen, z.  Sprachauswahl, vorausgefüllte Formulare
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, 25 Abs. 1 TDDDG (Einwilligung erforderlich)
• Analytische Cookies
  • Zweck: Statistische Nutzungsauswertung, Optimierung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG (Einwilligung erforderlich)

4.2. Technisch notwendige Cookies

Diese Cookies sind für die Nutzung unserer Website zwingend erforderlich. Ohne sie ist ein sicherer und stabiler Betrieb nicht gewährleistet. Sie dienen z. B. folgenden Zwecken:

• Verwaltung von Login-Sessions (z.  im Kundenportal)
• Speicherung Ihrer Cookie-Präferenzen (Consent Management)
• Schutz vor Angriffen (z.  CSRF-Tokens, Bot-Erkennung)
• fehlerfreie Darstellung dynamischer Inhalte

Speicherdauer:

In der Regel Session-bezogen, automatische Löschung beim Schließen des Browsers.

Rechtsgrundlagen:

• 25 Abs. 2 Nr. 2 TDDDG (Speicherung/Verarbeitung auf dem Endgerät)
• 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Funktionsfähigkeit)

4.3. Funktionale Cookies

Funktionale Cookies ermöglichen erweiterte Nutzungsmöglichkeiten der Website, wie z. B.:

• Speicherung der Spracheinstellungen
• Vorbefüllung von Formularfeldern
• Benutzerdefinierte Darstellungseinstellungen

Diese Cookies werden ausschließlich mit Ihrer Einwilligung gesetzt.

Rechtsgrundlagen:

• 25 Abs. 1 TDDDG
• 6 Abs. 1 lit. a DSGVO (Einwilligung)

4.4. Marketing- und Tracking-Cookies

Es werden keine Marketing- und Tracking-Cookies eingesetzt.

4.5. Verwaltung Ihrer Cookie-Einstellungen

Beim ersten Besuch unserer Website erhalten Sie über ein Cookie-Banner die Möglichkeit, Ihre Einwilligung differenziert zu erteilen oder abzulehnen. Dabei können Sie:

• alle Cookies akzeptieren
• nur erforderliche Cookies zulassen
• einzelne Kategorien individuell aktivieren/deaktivieren
• Ihre Einwilligung wird dokumentiert und kann jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen oder angepasst werden.

Hinweis:

Bereits gesetzte Cookies können Sie auch über die Einstellungen Ihres Browsers löschen. Eine Deaktivierung technisch notwendiger Cookies kann jedoch zu Funktionseinschränkungen führen.

5. Erhebung und Verarbeitung persönlicher Daten von Interessenten

Wenn Sie sich für unsere Produkte oder Dienstleistungen interessieren und mit uns in Kontakt treten – etwa über unsere Website, per E-Mail, telefonisch oder bei Veranstaltungen – verarbeiten wir Ihre personenbezogenen Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und weiteren einschlägigen Vorschriften.

5.1. Anlässe der Kontaktaufnahme

Die Erhebung Ihrer Daten erfolgt insbesondere in folgenden Fällen:

• Nutzung des Kontaktformulars auf unserer Website
• Anfragen per E-Mail oder Telefon
• Anmeldung zu Produktpräsentationen, Webinaren oder Beratungsgesprächen
• Bestellung von Whitepapers oder Testzugängen
• Austausch auf Messen, Netzwerkplattformen oder über Social Media (z.  LinkedIn, XING)
• Übermittlung durch Kooperationspartner oder öffentliche Quellen (z.  Firmenwebsites)

5.2. Verarbeitete Datenkategorien

Je nach Kommunikationsweg und Anlass können folgende Kategorien personenbezogener Daten verarbeitet werden:

• Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer, Position
• Unternehmensdaten: Firmenname, Branche, Mitarbeiterzahl, Standort, USt-ID
• Kommunikationsinhalte: Ihre Nachrichten, Notizen aus Gesprächen, Anliegen
• Nutzungs- und Gerätedaten: IP-Adresse, Browser, Endgerät (bei Onlineformularen)
• Teilnahmedaten: Anmeldungen zu Demos, Veranstaltungen, Newsletter

5.3. Zwecke der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur:

• Bearbeitung Ihrer Anfrage und Kontaktaufnahme
• Vereinbarung und Durchführung von Präsentationen, Webinaren oder Rückrufen
• Bereitstellung angeforderter Unterlagen, Informationen oder Testzugänge
• Vorbereitung und Durchführung von Vertragsverhandlungen
• Dokumentation und Nachverfolgung von Kommunikation
• Pflege der Geschäftsbeziehung und Interessentenverwaltung (CRM)
• Einladung zu Events oder Zufriedenheitsumfragen (sofern berechtigt)
• Marketingkommunikation, falls Sie eingewilligt haben

5.4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten durch cuvalu erfolgt auf Basis der folgenden Rechtsgrundlagen gemäß Art. 6 und Art. 9 DSGVO:

•  6 Abs. 1 lit. b DSGVO – Vertragserfüllung

Die Verarbeitung ist erforderlich zur Durchführung vorvertraglicher Maßnahmen sowie zur Erfüllung von Verträgen mit unseren Kunden, Steuerberatungskanzleien und deren Mandanten. Hierzu zählt insbesondere die Bereitstellung und Nutzung unserer Plattform zur digitalen Abbildung lohnbezogener Prozesse.

•  6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung

Soweit cuvalu zur Einhaltung gesetzlicher Pflichten verpflichtet ist – etwa im Rahmen handels- oder steuerrechtlicher Aufbewahrungspflichten oder bei der Unterstützung gesetzlich vorgeschriebener Meldeprozesse –, stützt sich die Datenverarbeitung auf diese Rechtsgrundlage.

•  6 Abs. 1 lit. a DSGVO – Einwilligung

Für bestimmte Verarbeitungen – insbesondere im Bereich Marketing, Kommunikation oder dem Versand von produktbezogenen Informationen – holen wir zuvor die ausdrückliche Einwilligung der betroffenen Person ein. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

•  6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse

In bestimmten Fällen verarbeiten wir Daten zur Wahrung unserer berechtigten Interessen, insbesondere zur:

• IT-Sicherheit und Systemintegrität,
• Weiterentwicklung unserer Software,
• internen Schulung und Qualitätssicherung (z.  durch Nutzung anonymisierter Daten),
• Verteidigung gegen Rechtsansprüche oder
• Optimierung der Nutzererfahrung.

Eine Abwägung der Interessen erfolgt im Einzelfall und unter Berücksichtigung der Rechte der betroffenen Personen.

•  9 Abs. 2 lit. b und h DSGVO – Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Angaben zur Religionszugehörigkeit, Gesundheitsdaten im Rahmen von eAU oder Schwerbehindertenangaben) erfolgt ausschließlich, soweit sie für die Abwicklung der Lohnabrechnung gesetzlich vorgeschrieben oder arbeits- bzw. sozialrechtlich erforderlich ist. Die technische Verarbeitung erfolgt dabei auf dokumentierte Weisung des Verantwortlichen und unter Anwendung angemessener Schutzmaßnahmen.

5.5. Speicherdauer

Ihre Daten werden nur so lange gespeichert, wie dies zur Bearbeitung Ihrer Anfrage oder zur Pflege der Interessentenbeziehung erforderlich ist. Erfolgt keine weiterführende Kommunikation, löschen wir die Daten in der Regel nach 10 Jahren. Kommt es zu einem Vertragsverhältnis, überführen wir Ihre Daten in unsere Kundendatenbank. Falls Sie uns eine Einwilligung zur werblichen Ansprache erteilt haben, speichern wir Ihre Kontaktdaten bis zum Widerruf, maximal jedoch für zehn Jahre nach dem letzten relevanten Kontakt.

5.6. Weitergabe an Dritte

Eine Weitergabe Ihrer Daten an Dritte erfolgt grundsätzlich nicht, es sei denn, Sie haben hierzu ausdrücklich eingewilligt, es besteht eine gesetzliche Verpflichtung oder die Weitergabe ist im Rahmen einer Auftragsverarbeitung technisch erforderlich – etwa an IT-Dienstleister oder Softwareanbieter, die uns beim Hosting, bei der Pflege von CRM-Systemen oder beim E-Mail-Versand unterstützen. In diesen Fällen schließen wir mit den Dienstleistern entsprechende Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

6. Erhebung und Verarbeitung persönlicher Daten von Kunden

Wenn Sie uns über Social Media-Plattformen wie LinkedIn oder XING kontaktieren, beachten Sie bitte, dass diese Anbieter eigene Datenschutzregelungen haben. Eine Kontrolle über die dortige Verarbeitung personenbezogener Daten durch die Plattformbetreiber ist uns nicht möglich. Für vertrauliche oder sensible Anliegen empfehlen wir die Kontaktaufnahme per E-Mail oder über unser Kontaktformular.

7. Erhebung und Verarbeitung persönlicher Daten von Lieferanten oder Partnern

Die cuvalu arbeitet mit einer Vielzahl externer Partner zusammen – darunter Softwareanbieter, IT-Dienstleister, Cloud-Hosting-Provider, Steuerberater und Steuerkanzleien. Diese treten entweder als Lieferanten, Dienstleister, Kooperationspartner oder Mandanten unserer Softwarelösung auf. In diesem Rahmen verarbeiten wir personenbezogene Daten von Ansprechpartnern und verantwortlichen Personen in den jeweiligen Unternehmen, sofern dies für die Zusammenarbeit erforderlich ist.

7.1. Betroffene Personengruppen

Die Verarbeitung betrifft insbesondere:

• Ansprechpartner bei Steuerkanzleien, z.  Berater, Sachbearbeiter oder IT-Administratoren
• Mitarbeiter von Dienstleistern, Entwicklungspartnern oder Fachvermittlern
• Ansprechpartner in Vertriebspartnerschaften, bei Referenzpartnern oder Softwareintegrationen
• Personen, die Zugriff auf unsere Plattform erhalten, z.  zur Mandatsbearbeitung oder zum Support

7.2. Verarbeitete Datenkategorien

Je nach Art der Kooperation werden insbesondere folgende personenbezogene Daten verarbeitet:

• Kontakt- und Identifikationsdaten (Name, E-Mail-Adresse, Telefonnummer, Position, Anschrift)
• Organisations- und Mandatsbezug (z.  Kanzleiname, Funktion, Ansprechpartnerrolle)
• System- und Zugriffsdaten (Benutzernamen, Logins, IP-Adressen, Zugriffszeitpunkte)
• Kommunikationsinhalte (Supportanfragen, Protokolle, E-Mails, Gesprächsnotizen)
• Vertrags- und Abrechnungsdaten (Bankverbindung, Rechnungsstellung, Vergütungsmodelle)
• Qualifikationsnachweise (z.  Steuerberaternummer, Fortbildungen, Schulungsteilnahmen)

7.3. Zwecke der Verarbeitung

Die Datenverarbeitung erfolgt ausschließlich zu folgenden Zwecken:

• Anbahnung, Durchführung und Abwicklung der Zusammenarbeit
• Koordination und Kommunikation in Projekten, Mandatsbearbeitungen oder Supportfällen
• Verwaltung von Zugängen und Nutzerkonten
• Durchführung von Veranstaltungen, Schulungen oder Webinaren
• Prüfung technischer und rechtlicher Anforderungen (Compliance, Datenschutz)
• Dokumentation, Qualitätssicherung und Erfüllung gesetzlicher Aufbewahrungspflichten

7.4. Rechtsgrundlagen

Je nach Konstellation stützen wir die Datenverarbeitung auf folgende Rechtsgrundlagen:

• 6 Abs. 1 lit. b DSGVO – zur Durchführung (vor-)vertraglicher Maßnahmen mit Partnern
• 6 Abs. 1 lit. f DSGVO – bei berechtigtem Interesse an strukturierter Kommunikation, Dokumentation und Projektabwicklung
• 6 Abs. 1 lit. c DSGVO – soweit gesetzliche Aufbewahrungspflichten bestehen
• 6 Abs. 1 lit. a DSGVO – wenn Sie ausdrücklich in bestimmte Verarbeitungen eingewilligt haben
• 28 DSGVO – sofern wir als Auftragsverarbeiter im Rahmen einer Mandatsverarbeitung tätig werden

In Fällen gemeinsamer Verantwortung – etwa bei Webinaren oder Fachkooperationen – schließen wir mit dem Partner eine Vereinbarung nach Art. 26 DSGVO. Bei bloßer Auftragsverarbeitung erfolgt die Zusammenarbeit auf Basis eines AVV nach Art. 28 DSGVO.

7.5. Weitergabe und Empfänger

Innerhalb unseres Unternehmens werden Ihre Daten ausschließlich an befugte Stellen weitergegeben, insbesondere an Partnermanagement, IT, Produktentwicklung, Support und Geschäftsführung. Eine Weitergabe an externe Dritte erfolgt nur:

• an Auftragsverarbeiter (z.  Hosting-Anbieter, E-Mail-Systeme), jeweils auf Basis eines AVV
• an Steuerbehörden, Wirtschaftsprüfer oder Rechtsberater, wenn dies gesetzlich erforderlich ist
• an Projektpartner (z.  bei gemeinsamen Veranstaltungen) – in diesem Fall erfolgt eine zweckgebundene, transparente und datenschutzkonforme Datenübermittlung

7.6. Drittlandübermittlung

Sofern externe Dienstleister oder Technologiepartner außerhalb des Europäischen Wirtschaftsraums eingebunden sind, erfolgt eine Übermittlung nur, wenn geeignete Garantien vorliegen. Dazu zählen insbesondere:

• Angemessenheitsbeschluss der EU-Kommission (z.  für die Schweiz oder das Vereinigte Königreich)
• Abschluss von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO
• zusätzliche technische und organisatorische Schutzmaßnahmen (z.  Verschlüsselung, Zugriffsbeschränkungen)
• Teilnahme am EU-US Data Privacy Framework (bei US-Anbietern)

7.7. Speicherdauer

Wir speichern personenbezogene Daten von Kooperationspartnern grundsätzlich nur so lange, wie sie zur Erfüllung des jeweiligen Zwecks erforderlich sind. Danach werden sie gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Typische Speicherfristen:

• Kommunikations- und Ansprechpartnerdaten: bis zu 10 Jahre nach Ende der Zusammenarbeit
• Vertrags- und Abrechnungsunterlagen: bis zu 10 Jahre gemäß HGB und AO
• Zugriffsdaten und technische Protokolle: bis zu 48 Monate, sofern kein Supportbezug besteht

Daten ohne laufende Relevanz (z. B. bei inaktiven Kontakten) werden regelmäßig überprüft und ggf. gelöscht.

7.8. Besondere Hinweise für Steuerberater

Steuerkanzleien können bei der Nutzung unserer Software in unterschiedlichen Rollen auftreten:

• Als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, wenn sie eigenständig Mandantendaten verwalten. In diesem Fall agieren wir als Auftragsverarbeiter.
• Als Kooperationspartner in fachlicher oder beratender Funktion – dann liegt eine eigenständige Verantwortlichkeit für eigene Datenverarbeitungstätigkeiten vor.
• Als gleichberechtigter Partner im Rahmen gemeinsamer Angebote oder Veranstaltungen – dann kann eine gemeinsame Verantwortlichkeit bestehen. Diese wird vertraglich geregelt und dokumentiert.

In jedem Fall verpflichten wir uns zur Einhaltung höchster datenschutzrechtlicher Standards und zur Vertraulichkeit im Umgang mit personenbezogenen Daten – insbesondere bei sensiblen Daten aus dem Steuerberatungsumfeld (vgl. § 203 StGB).

7.9. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Es erfolgt keine Profilbildung oder algorithmische Bewertung mit rechtlicher Wirkung.

8. Verarbeitung personenbezogener Daten von Bewerbern

Die cuvalu verarbeitet personenbezogene Daten von Bewerberinnen und Bewerbern ausschließlich im Rahmen des Bewerbungsverfahrens sowie ggf. zur Vorbereitung eines Beschäftigungsverhältnisses. Die Verarbeitung erfolgt in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie weiteren arbeitsrechtlichen Vorschriften.

8.1. Zweck der Datenverarbeitung

Die Verarbeitung erfolgt insbesondere zur:

• Durchführung des Bewerbungsverfahrens
• Beurteilung der Eignung, Qualifikation und fachlichen Fähigkeiten der Bewerber
• Kontaktaufnahme im Verlauf des Bewerbungsprozesses
• Organisation von Vorstellungsgesprächen
• Vorbereitung eines Arbeitsvertrags im Falle einer erfolgreichen Bewerbung

8.2. Verarbeitete Datenkategorien

Im Rahmen des Bewerbungsverfahrens sowie ggf. weiterer Kommunikations- oder Kontaktprozesse verarbeiten wir – je nach Art der Interaktion – insbesondere folgende Kategorien personenbezogener Daten:

• Stammdaten

z. B. Vorname, Nachname, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Geschlecht (sofern angegeben)

• Kontaktdaten

z. B. Anschrift, Telefonnummer(n), E-Mail-Adresse(n), ggf. Social-Media-Profile (sofern im Lebenslauf enthalten)

• Bewerbungs- und Qualifikationsdaten

z. B. Lebenslauf, Anschreiben, Zeugnisse, Studien- oder Ausbildungsnachweise, Fortbildungszertifikate, Referenzen, Portfolio, ggf. Foto

• Kommunikations- und Bewerbungsprozessdaten

z. B. Schriftverkehr (E-Mail, Online-Formular, Brief), interne Gesprächsnotizen, Bewertungsvermerke, Interviewprotokolle

• Freiwillige Angaben

z. B. Gehaltsvorstellungen, frühestmöglicher Eintrittstermin, berufliche Interessen, Motivation, Mobilitätsbereitschaft

• Technische Zugriffsdaten

z. B. IP-Adresse, Zeitstempel, verwendetes Endgerät, Browsertyp, Metadaten, sofern die Bewerbung über digitale Kanäle (z. B. Online-Formular, Bewerbungsplattform, E-Mail) erfolgt

• Besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO

z. B. Angaben zur Schwerbehinderung oder zu gesundheitlichen Einschränkungen, soweit diese von Ihnen freiwillig mitgeteilt werden. Diese Daten verarbeiten wir ausschließlich zum Zwecke der rechtmäßigen Berücksichtigung im Bewerbungsverfahren gemäß Art. 9 Abs. 2 lit. b DSGVO und unter Anwendung angemessener Schutzmaßnahmen (z. B. Zugriffsbeschränkung, Protokollierung, Verschlüsselung).

8.3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

• 26 Abs. 1 Satz 1 BDSG – zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses
• 6 Abs. 1 lit. b DSGVO – zur Durchführung vorvertraglicher Maßnahmen (z. B. Prüfung Ihrer Eignung)
• 6 Abs. 1 lit. f DSGVO – zur Wahrung berechtigter Interessen (z. B. Beweispflicht bei rechtlichen Auseinandersetzungen)
• 9 Abs. 2 lit. b DSGVO – bei Verarbeitung besonderer Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten

8.4. Empfänger der Daten

Innerhalb der cuvalu haben nur die Stellen Zugriff auf Ihre Daten, die in den Bewerbungsprozess eingebunden sind, wie:

• Geschäftsführung
• Personalverantwortliche
• Fachabteilungen
• IT-Support im Rahmen technischer Abläufe
• Wir geben Ihre Daten nicht an externe Dritte weiter, es sei denn:
• Sie haben ausdrücklich eingewilligt
• Es besteht eine gesetzliche Verpflichtung
• Es wird ein Dienstleister im Rahmen einer Auftragsverarbeitung (z.  Bewerbermanagement-Plattform) eingesetzt

8.5. Dauer der Speicherung

Bewerbungsunterlagen werden spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht, sofern keine weitergehende Einwilligung vorliegt oder keine berechtigten Interessen (z. B. zur Abwehr von Ansprüchen nach dem AGG) bestehen. Wenn ein Beschäftigungsverhältnis zustande kommt, werden Ihre Daten in die Personalakte überführt und gemäß den gesetzlichen Aufbewahrungsfristen weiter verarbeitet.

8.6. Aufnahme in Bewerberpool

Mit Ihrer ausdrücklichen Einwilligung können wir Ihre Bewerbung für zukünftige Stellenausschreibungen vormerken. In diesem Fall speichern wir Ihre Unterlagen bis zu 12 Monate. Diese Einwilligung können Sie jederzeit widerrufen.

8.7. Folgen einer Nichtbereitstellung

Die Bereitstellung Ihrer personenbezogenen Daten ist freiwillig. Ohne die Bereitstellung wesentlicher Informationen (z. B. Lebenslauf, Kontaktdaten) können wir Ihre Bewerbung jedoch nicht berücksichtigen.

8.8. Betroffenenrechte

Bewerber haben jederzeit das Recht auf:

• Auskunft über gespeicherte Daten (Art. 15 DSGVO)
• Berichtigung unzutreffender Daten (Art. 16 DSGVO)
• Löschung personenbezogener Daten, soweit keine Aufbewahrungspflicht besteht (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)

8.9. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die Auswahlentscheidung wird immer durch natürliche Personen getroffen.

9. Weitere Verarbeitungszwecke

Über die zuvor beschriebenen Hauptverarbeitungen hinaus verarbeitet die cuvalu personenbezogene Daten auch zu weiteren, unterstützenden oder gesetzlich erforderlichen Zwecken. Diese Verarbeitungen erfolgen stets auf einer gesetzlichen Grundlage und unter Beachtung der Prinzipien aus Art. 5 DSGVO (insbesondere Datenminimierung, Zweckbindung, Transparenz).

9.1. Erfüllung gesetzlicher Pflichten

Wir verarbeiten personenbezogene Daten, wenn dies zur Erfüllung gesetzlicher Verpflichtungen notwendig ist. Dies betrifft insbesondere:

• handels- und steuerrechtliche Aufbewahrungspflichten nach §§ 147 AO und 257 HGB,
• sozialversicherungs- und lohnsteuerrechtliche Vorgaben (z. Übermittlung an Sozialversicherungsträger, Finanzbehörden),
• arbeitsrechtliche Anforderungen (z.  Nachweisgesetz, Dokumentationspflichten bei der Lohnabrechnung),
• datenschutzrechtliche Nachweispflichten gegenüber Aufsichtsbehörden nach Art. 31, 30 und 5 Abs. 2 DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO. Die Speicherdauer richtet sich nach den jeweiligen gesetzlichen Vorgaben und beträgt regelmäßig 6 bis 10 Jahre.

9.2. Wahrung berechtigter Interessen

In bestimmten Fällen verarbeiten wir personenbezogene Daten auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Unsere berechtigten Interessen bestehen insbesondere in:

• der Gewährleistung der IT-Sicherheit und Systemintegrität (z.  Logging, Firewalls, Zugriffsschutz),
• der Aufklärung und Verhinderung von Straftaten oder Missbrauch (z.  bei Verdacht auf Manipulation oder IT-Angriffe),
• der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche (z.  in Vertragsstreitigkeiten, Forderungsausfällen),
• der Optimierung interner Abläufe (z.  durch statistische Auswertungen, Fehleranalysen),
• der Dokumentation von Abrechnungs- und Zugriffsvorgängen (z.  im Zusammenhang mit der Lohnabrechnung oder der Nutzung unserer Plattform).

Diese Verarbeitungen erfolgen nur, wenn keine überwiegenden Grundrechte oder Freiheiten der betroffenen Personen entgegenstehen.

9.3. IT-Sicherheit, Systemüberwachung und Support

Zur Sicherstellung eines sicheren, stabilen und datenschutzkonformen Betriebs unserer Systeme verarbeiten wir personenbezogene Daten auch zu folgenden Zwecken:

• Protokollierung von Logins, Fehlern, Zugriffen und Systemereignissen,
• Verwaltung technischer Nutzerrechte und Authentifizierungsverfahren,
• Durchführung von Backups und Notfallmaßnahmen,
• Fehleranalyse, Support und Wartung unserer Systeme.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. f DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 32 DSGVO.

9.4. Interne Verwaltung, Organisation und Compliance

Personenbezogene Daten können außerdem im Rahmen interner Verwaltungsabläufe verarbeitet werden, insbesondere für:

• Vertragsmanagement und interne Projektkoordination,
• Schulungsorganisation und Dokumentation von Teilnahmen,
• Budgetierung, Finanzbuchhaltung und Controlling,
• interne Audits, Datenschutz-Folgenabschätzungen und technische Sicherheitsmaßnahmen,
• Protokollierung von Einwilligungen, Widersprüchen oder AV-Verträgen zur Nachweispflicht.

Diese Verarbeitungen erfolgen zur effizienten Unternehmenssteuerung und auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO oder – im Falle gesetzlicher Vorgaben – Art. 6 Abs. 1 lit. c DSGVO.

9.5. Statistische Auswertungen und Weiterentwicklung

Zur Weiterentwicklung unserer Softwarelösung und zur Qualitätssicherung führen wir anonymisierte oder pseudonymisierte Analysen durch, z. B.:

• zur Nutzung bestimmter Funktionen (z.  DATEV-Export, API-Zugriffe),
• zur Verbesserung von Benutzerführung, Performance oder Ladezeiten,
• zur Erkennung wiederkehrender technischer Problemstellungen.

Dabei erfolgt keine personenbezogene Profilbildung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

9.6. Marketing und Öffentlichkeitsarbeit

Eine Nutzung personenbezogener Daten zu Marketingzwecken (z. B. Versand von Newslettern, Veranstaltungseinladungen, Whitepaper oder Updates zu Produkten) erfolgt ausschließlich mit Ihrer ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder im Rahmen der Ausnahmeregelung für Bestandskunden nach § 7 Abs. 3 UWG.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

9.7. Bewerber- oder Referenzdaten für Öffentlichkeitsarbeit

Nur mit ausdrücklicher Zustimmung veröffentlichen wir personenbezogene Daten (z. B. Name, Position, Unternehmensbezug) im Rahmen von Referenzen, Webinaren oder Beiträgen zu gemeinsamen Projekten.

9.8. Verarbeitung im Rahmen gemeinsamer Projekte oder Veranstaltungen

Im Rahmen gemeinsamer Veranstaltungen, Partnerformate oder Kundenprojekte kann eine Verarbeitung personenbezogener Daten auch unter gemeinsamem Verantwortlichkeitsmodell nach Art. 26 DSGVO erfolgen. In diesen Fällen regeln wir vertraglich, wer welche datenschutzrechtlichen Pflichten übernimmt.

9.9. Keine automatisierte Entscheidungsfindung

Wir führen kein Profiling durch und treffen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die eine rechtliche Wirkung entfalten oder Sie in vergleichbarer Weise erheblich beeinträchtigen.

9.10. Weiterverarbeitung zu neuen Zwecken

Sollten wir Ihre Daten zu einem anderen Zweck weiterverarbeiten als dem, zu dem sie ursprünglich erhoben wurden, informieren wir Sie im Vorfeld gemäß Art. 13 Abs. 3 bzw. Art. 14 Abs. 4 DSGVO über diesen neuen Zweck sowie Ihre diesbezüglichen Rechte.

10. Dauer der Speicherung

Die cuvalu speichert personenbezogene Daten grundsätzlich nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten eine Speicherung vorschreiben. Die konkrete Speicherdauer hängt vom jeweiligen Kontext, der rechtlichen Grundlage und etwaigen handels-, steuer- oder sozialversicherungsrechtlichen Vorgaben ab. Nach Wegfall des Speicherzwecks und Ablauf einschlägiger Fristen erfolgt die datenschutzkonforme Löschung, Sperrung oder Anonymisierung der Daten.

10.1. Gesetzliche Aufbewahrungspflichten

Für bestimmte Datenkategorien gelten gesetzlich normierte Aufbewahrungsfristen, insbesondere nach der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB), dem Einkommensteuergesetz (EStG) und dem Sozialgesetzbuch (SGB IV). Dazu zählen insbesondere:

• Rechnungen, Buchungsbelege, Lohn- und Gehaltsabrechnungen: 10 Jahre (§ 147 AO,  257 HGB)
• Verträge, Geschäftskorrespondenz, E-Mails mit relevanten Inhalten: 6 Jahre (§ 257 Abs. 1 HGB)
• Sozialversicherungsdaten und lohnsteuerlich relevante Unterlagen: in der Regel 6 Jahre (§ 28f SGB IV,  41 EStG)
• Einwilligungen (z.  Newsletter, Cookies): Bis zum Widerruf zzgl. 3 Jahre Nachweisfrist (Art. 7 Abs. 1 DSGVO)

Die Frist beginnt jeweils mit dem Schluss des Kalenderjahres, in dem der letzte relevante Vorgang erfolgt ist.

10.2. Vertragliche und operative Daten

Kunden-, Lieferanten- und Partnerdaten werden während des Bestehens der vertraglichen Beziehung gespeichert und anschließend für die Dauer gesetzlicher Aufbewahrungspflichten vorgehalten. Ansprechpartnerdaten oder Kommunikationsverläufe werden grundsätzlich drei Jahre nach Vertragsbeendigung gelöscht, sofern kein fortbestehendes berechtigtes Interesse besteht.

Zugriffsprotokolle in geschützten Bereichen (z. B. Kundenportal, Partnerportal) werden für maximal 48 Monate gespeichert, soweit sie für Support-, Sicherheits- oder Nachweispflichten erforderlich sind.

10.3. Bewerberdaten

Bewerberdaten werden bei Absage grundsätzlich sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht (§ 61b Abs. 1 ArbGG i. V. m. § 15 AGG). Sofern eine Einwilligung zur Aufnahme in einen Bewerberpool vorliegt, erfolgt eine Speicherung für maximal zwölf Monate oder bis zum Widerruf. Im Falle einer Einstellung werden die Bewerbungsunterlagen in die Personalakte überführt und dort gemäß arbeitsrechtlichen Vorschriften weiterverarbeitet.

10.4. Daten von Interessenten und Kontaktanfragen

Angaben aus Kontaktformularen, E-Mails oder telefonischen Anfragen speichern wir grundsätzlich für die Dauer der Bearbeitung sowie für bis zu 10 Jahre nach dem letzten Kontakt, sofern sich daraus kein Vertrag ergibt. Bei Angebotsunterlagen ohne Vertragsschluss kann je nach Relevanz eine Speicherung von ein bis drei Jahren erfolgen.

10.5. Datenverarbeitung auf Grundlage von Einwilligungen oder berechtigten Interessen

Daten, die auf Grundlage einer Einwilligung verarbeitet werden, speichern wir bis zum Widerruf der Einwilligung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei Verarbeitung auf Grundlage berechtigter Interessen erfolgt die Speicherung nur solange, wie das Interesse besteht und keine überwiegenden Rechte der betroffenen Person entgegenstehen.

10.6. Technische Protokolldaten und IT-Sicherheitsdaten

Server- und System-Logs, Sessiondaten, API-Zugriffe und sicherheitsrelevante Ereignisprotokolle speichern wir in der Regel 4 Jahre. In sicherheitsrelevanten Fällen (z. B. Angriff, Missbrauch, Forensik) kann eine längere Aufbewahrung notwendig sein. Sitzungstokens werden unmittelbar nach Ablauf der Session, spätestens jedoch nach 24 Stunden, gelöscht.

10.7. Daten im Rahmen der Auftragsverarbeitung

Im Rahmen der Lohnabrechnung für Kunden agiert die cuvalu als Auftragsverarbeiter nach Art. 28 DSGVO. Die Speicherdauer dieser Daten richtet sich nach den vertraglichen Weisungen des jeweiligen Kunden (z. B. Arbeitgeber oder Steuerkanzlei). Nach Vertragsbeendigung erfolgt eine Löschung automatisiert oder auf Anweisung des Kunden, sofern keine anderslautende Regelung getroffen wurde.

10.8. Daten zu Marketing- und Kommunikationszwecken

Kontaktdaten zu werblichen Zwecken (z. B. Newsletter-Anmeldung) speichern wir bis zum Widerruf der Einwilligung oder längstens drei Jahre nach der letzten Aktivität. Die Einwilligung selbst (inkl. Protokollierung des Double-Opt-In) wird aus Nachweisgründen ebenfalls für bis zu drei Jahre gespeichert.

10.9. Daten zur Rechtswahrung

Personenbezogene Daten, die im Rahmen von Rechtsstreitigkeiten, Forderungsausfällen oder zur Verteidigung gegen rechtliche Ansprüche benötigt werden, können bis zur endgültigen Klärung des Sachverhalts und Ablauf relevanter Verjährungsfristen gespeichert werden. Bei zivilrechtlichen Streitigkeiten sind dies regelmäßig drei bis zehn Jahre, in Ausnahmefällen bis zu 30 Jahre (§§ 195, 199 BGB).

10.10. Löschungskonzept und Nachbearbeitungsfristen

Die cuvalu verfolgt ein verbindliches Löschkonzept mit turnusmäßigen Löschläufen, differenzierten Berechtigungskonzepten und dokumentierten technischen sowie organisatorischen Maßnahmen zur revisionssicheren Datenlöschung. Nach Ablauf von Aufbewahrungsfristen kann eine Nachbearbeitungsfrist von bis zu zwölf Monaten zur geordneten Archivierung, Datenlöschung oder Backup-Rotation vorgesehen sein.

10.11. Löschung nach Wegfall des Zwecks

Sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungsfristen mehr bestehen, werden personenbezogene Daten vollständig gelöscht, anonymisiert oder für die weitere Verarbeitung gesperrt. Eine Einschränkung der Verarbeitung erfolgt insbesondere, wenn eine Löschung technisch nicht unmittelbar möglich oder rechtlich (z. B. im Rahmen von Prüfverfahren) nicht zulässig ist.

11. Empfänger personenbezogener Daten

Die cuvalu übermittelt personenbezogene Daten grundsätzlich nur dann an Dritte, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht, ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO vorliegt oder Sie in die Datenweitergabe ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO). Sämtliche Datenweitergaben erfolgen unter Beachtung der datenschutzrechtlichen Grundsätze und unter Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Zweckbindung der Datenverarbeitung.

11.1. Interne Empfänger

Innerhalb der cuvalu erhalten nur diejenigen Mitarbeitenden Zugriff auf personenbezogene Daten, die diese zur Erfüllung ihrer Aufgaben benötigen („Need-to-know“-Prinzip). Dazu zählen insbesondere:

• Geschäftsführung und Datenschutzkoordination
• Kundenservice, Support und Projektmanagement
• Vertrieb, Partnermanagement und Produktberatung
• IT-Administration und Technik
• Buchhaltung und Abrechnung

Alle internen Mitarbeiterinnen und Mitarbeiter sind zur Vertraulichkeit verpflichtet und unterliegen regelmäßigen Datenschutzschulungen gemäß Art. 29 DSGVO und § 53 BDSG.

11.2. Auftragsverarbeiter im Sinne von Art. 28 DSGVO

Für bestimmte Verarbeitungstätigkeiten bedienen wir uns externer Dienstleister, die personenbezogene Daten in unserem Auftrag verarbeiten. Diese Dienstleister sind vertraglich durch einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO gebunden und agieren ausschließlich auf unsere Weisung. Eine Weitergabe durch die Auftragsverarbeiter an Dritte erfolgt nicht. Typische Kategorien solcher Dienstleister sind:

• Hosting- und Rechenzentrumsbetreiber (innerhalb der EU)
• IT-Wartung, Softwareentwicklung und Systemadministration
• Anbieter von E-Mail- und Newsletter-Plattformen
• CRM- und Supportsysteme (z.  Helpdesk- oder Ticketinglösungen)
• Anbieter von Online-Meeting- und Webinar-Plattformen
• Zahlungs- und Abrechnungssysteme

Auf Anfrage stellen wir Ihnen eine vollständige Liste der eingesetzten Auftragsverarbeiter im Rahmen Ihres Auskunftsanspruchs nach Art. 15 DSGVO zur Verfügung.

11.3. Eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO

In bestimmten Fällen geben wir Daten an Empfänger weiter, die selbst datenschutzrechtlich Verantwortliche sind. Die Empfänger sind in diesen Fällen eigenständig für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Dies betrifft insbesondere:

• Steuerberater, Steuerkanzleien und Lohnbüros, die cuvalu im Rahmen ihrer Mandatstätigkeit nutzen
• Arbeitgeber, die als Kunden unsere Softwarelösung einsetzen
• Banken, Zahlungsdienstleister und Versicherer, soweit dies für wirtschaftliche Transaktionen erforderlich ist
• Gerichte, Rechtsanwälte oder Wirtschaftsprüfer im Zusammenhang mit der Wahrnehmung rechtlicher Interessen
• Finanzbehörden, Sozialversicherungsträger, Aufsichtsbehörden im Rahmen gesetzlicher Meldepflichten

Die Weitergabe erfolgt in diesen Fällen auf Grundlage gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO), zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

11.4. Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

In bestimmten Konstellationen kann es zur gemeinsamen Verarbeitung personenbezogener Daten mit Partnern kommen, etwa bei:

• gemeinsamer Durchführung von Webinaren oder Veranstaltungen
• fachlicher Kooperation mit Steuerkanzleien oder anderen Partnern im Rahmen der Lohnabrechnung

In solchen Fällen wird eine Vereinbarung zur gemeinsamen Verantwortlichkeit abgeschlossen, in der insbesondere geregelt ist, wer welche Pflichten hinsichtlich Transparenz, Betroffenenrechte und Dokumentation übernimmt. Betroffene Personen können sich in diesen Fällen an beide Verantwortliche wenden.

11.5. Empfänger im Rahmen von Marketing oder Veranstaltungen (nur bei Einwilligung)

Sofern Sie uns im Rahmen einer Einwilligung Ihre Daten zur Verfügung stellen (z. B. bei der Anmeldung zu einem Event, Webinar oder für den Erhalt von Informationen), kann in Einzelfällen eine Weitergabe an Dritte erfolgen, z. B.:

• Kooperationspartner oder Mitveranstalter
• externe Referentinnen und Referenten
• Eventagenturen oder Marketingdienstleister

Diese Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

11.6. Empfänger auf Grundlage gesetzlicher Verpflichtung

Eine Weitergabe personenbezogener Daten an Behörden erfolgt nur dann, wenn wir rechtlich dazu verpflichtet sind. Dies betrifft insbesondere:

• Finanzämter (z.  gemäß § 93 AO)
• Sozialversicherungsträger (z.  nach § 28a SGB IV)
• Ermittlungsbehörden und Gerichte im Rahmen von Strafverfahren
• Datenschutzaufsichtsbehörden im Rahmen von Auskunfts- oder Prüfpflichten

Die Weitergabe erfolgt dabei ausschließlich im gesetzlich vorgeschriebenen Umfang.

11.7. Datenübermittlungen in Drittländer

Sofern im Rahmen der Verarbeitung personenbezogener Daten eine Übermittlung in Staaten außerhalb der EU oder des EWR erforderlich ist, stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet wird. Dies erfolgt insbesondere durch:

• Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DSGVO
• Abschluss von EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO
• Teilnahme am EU-US Data Privacy Framework (bei Anbietern mit Sitz in den USA)
• zusätzliche technische und organisatorische Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung

Eine Drittlandübermittlung kann insbesondere bei der Nutzung internationaler Cloud-Infrastrukturen oder SaaS-Anwendungen erforderlich sein. Über konkrete Datenübermittlungen in Drittstaaten informieren wir Sie auf Anfrage gemäß Art. 13 Abs. 1 lit. f DSGVO.

11.8. Keine Datenweitergabe zur Profilbildung oder Werbung Dritter

cuvalu übermittelt keine personenbezogenen Daten an Dritte zum Zwecke der werblichen Nutzung, der Profilbildung oder des Datenhandels. Ausnahmen hiervon bestehen nur bei vorheriger ausdrücklicher Einwilligung.

12. Übermittlung in Drittländer

Die cuvalu verarbeitet personenbezogene Daten grundsätzlich innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Eine Übermittlung in ein Drittland – also ein Land außerhalb von EU/EWR – erfolgt ausschließlich unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO und nur dann, wenn ein angemessenes Schutzniveau gewährleistet ist.

12.1. Voraussetzungen für eine Drittlandübermittlung

Eine Drittlandübermittlung ist nur zulässig, wenn:

• ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vorliegt (z.  Vereinigtes Königreich, Schweiz, Japan, Südkorea, USA unter dem Data Privacy Framework),
• geeignete Garantien nach Art. 46 DSGVO bestehen, insbesondere in Form von EU-Standardvertragsklauseln (SCCs) mit zusätzlichen technischen und organisatorischen Maßnahmen (z.  Verschlüsselung, Pseudonymisierung),
• eine gesetzlich vorgesehene Ausnahme nach Art. 49 DSGVO greift (z.  ausdrückliche Einwilligung, Erfüllung eines Vertrags mit der betroffenen Person).

Vor einer Übermittlung wird im Einzelfall ein Transfer Impact Assessment (TIA) durchgeführt, um etwaige Risiken für die Rechte und Freiheiten betroffener Personen zu identifizieren und zu minimieren.

12.2. Aktuelle Praxis bei cuvalu

Zum aktuellen Zeitpunkt erfolgt bei cuvalu keine eigenständige Datenverarbeitung in Drittländern. Insbesondere:

• werden keine Server außerhalb der EU/EWR genutzt,
• werden ausschließlich europäische Hosting- und Infrastrukturpartner beauftragt,
• erfolgt der Einsatz externer Dienste mit potenziellen Drittlandbezügen (z.  Microsoft 365, Google Workspace, Zoom, Meta, LinkedIn) ausschließlich auf Grundlage geeigneter Garantien und unter Beachtung datenschutzrechtlicher Vorgaben.

Dienstleister in den USA werden nur eingesetzt, wenn sie gemäß EU-US Data Privacy Framework (DPF) zertifiziert sind oder über wirksame SCCs verfügen. Die aktuelle Liste DPF-zertifizierter Unternehmen kann unter www.dataprivacyframework.gov eingesehen werden.

12.3. Mögliche Verarbeitungsszenarien mit Drittlandbezug

Eine Datenübermittlung in Drittländer kann z. B. erfolgen:

• bei Nutzung internationaler Cloud-Dienste und Softwareplattformen (E-Mail, Videokonferenzen, Backup, CRM, Support),
• bei Remote-Support durch Anbieter mit Sitz außerhalb der EU,
• im Rahmen von Analyse- oder Marketingtools mit Drittlandbezug (z.  Google Analytics, Meta Pixel – nur bei Einwilligung),
• bei Schulung oder Testung von KI-basierten Tools mit Cloud-Anbindung.

In jedem Fall erfolgt eine transparente Information im Rahmen der Datenschutzinformationen (z. B. Abschnitte zu „Empfängern“ oder „Cookies“).

12.4. Schutzmaßnahmen bei Drittlandübermittlungen

Sofern eine Drittlandübermittlung erforderlich ist, stellt cuvalu sicher, dass:

• ein gültiger Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen wurde,
• EU-Standardvertragsklauseln mit ergänzenden Maßnahmen zum Schutz der Daten bestehen,
• nur solche Anbieter eingesetzt werden, die ein nachgewiesen hohes Datenschutzniveau bieten,
• die Verarbeitung auf das erforderliche Maß beschränkt bleibt und regelmäßig überprüft wird.

Technische Schutzmaßnahmen umfassen insbesondere:

• Ende-zu-Ende-Verschlüsselung,
• Zugriffsbeschränkungen,
• Protokollierung von Zugriffen,
• Geofencing oder serverseitige Datenlokalisierung innerhalb der EU.

12.5. Verantwortung bei Partnerunternehmen

Sofern Steuerberater, Kanzleien oder sonstige Partnerunternehmen – in ihrer Rolle als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO – selbst eine Drittlandübermittlung vornehmen (z. B. durch eigene Software oder Cloudsysteme), liegt die datenschutzrechtliche Verantwortung allein bei diesen. Wir empfehlen allen Kooperationspartnern die ausschließliche Nutzung datenschutzkonformer Anbieter mit Sitz im EU-/EWR-Raum oder mit geeigneten Garantien.

12.6. Ihre Rechte im Zusammenhang mit Drittlandübermittlungen

Auch bei einer Drittlandübermittlung stehen Ihnen sämtliche Betroffenenrechte gemäß Art. 15 bis 21 DSGVO zu. Sie können insbesondere Auskunft darüber verlangen:

• ob eine Drittlandübermittlung erfolgt,
• an welche Empfänger die Daten übermittelt werden,
• welche Schutzmechanismen zum Einsatz kommen,
• und auf welcher Rechtsgrundlage die Übermittlung erfolgt.

Bitte richten Sie Anfragen hierzu an: datenschutz@cuvalu.de

12.7. Kein automatisierter Zugriff oder unkontrollierte Offenlegung

cuvalu stellt durch organisatorische und technische Maßnahmen sicher, dass kein unkontrollierter oder rechtswidriger Zugriff auf personenbezogene Daten aus dem Drittland erfolgt. Insbesondere gilt:

Es findet keine automatisierte Offenlegung gegenüber Drittstaatenbehörden statt.

Unsere Cloud-Anbieter dürfen keine eigenen Zwecke verfolgen oder auf Daten zugreifen, soweit dies nicht vertraglich ausdrücklich geregelt und technisch kontrolliert ist.

Eine Drittlandverarbeitung ohne vorherige Prüfung und Dokumentation ist ausgeschlossen.

13. Automatisierte Entscheidungsfindung

Die cuvalu trifft derzeit keine Entscheidungen ausschließlich auf Basis automatisierter Verarbeitungen im Sinne des Art. 22 Abs. 1 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Alle wesentlichen Entscheidungen erfolgen mit menschlicher Beteiligung und Kontrolle („Human-in-the-Loop“-Prinzip).

13.1. Begriff und Abgrenzung

Eine automatisierte Entscheidungsfindung im datenschutzrechtlichen Sinn liegt vor, wenn:

• eine Entscheidung vollständig ohne menschliches Zutun getroffen wird,
• die Entscheidung ausschließlich auf automatisierter Verarbeitung personenbezogener Daten basiert,
• und diese Entscheidung rechtliche Wirkung entfaltet (z.  Vertragsannahme oder -ablehnung) oder die betroffene Person in ähnlich erheblicher Weise beeinträchtigt (z. B. Ausschluss von Leistungen, Scoring, automatische Kündigungen).

Solche Verfahren kommen bei cuvalu nicht zum Einsatz. Es erfolgen keine algorithmischen Bewertungen zur Bonität, keine vollautomatisierten Bewerbungsentscheidungen und keine Profilbildungen mit Relevanz für Vertragsverhältnisse.

13.2. Technische Unterstützung durch automatisierte Prozesse

Zur Effizienzsteigerung und Qualitätssicherung können technische Verfahren eingesetzt werden, die jedoch keine rechtliche Bindung entfalten und ausschließlich der Unterstützung menschlicher Entscheidungen dienen. Beispiele sind:

• automatische Validierungen oder Plausibilitätsprüfungen bei der Eingabe von Lohnabrechnungsdaten,
• technische Prüfalgorithmen zur Sicherstellung der Datenkonsistenz bei Schnittstellen (z.  zu Sozialversicherungsträgern oder DATEV),
• Systemhinweise bei fehlerhaften oder fehlenden Eingaben,
• interne Kategorisierungen von Supportanfragen zur besseren Bearbeitung (ohne Entscheidung über Ergebnis oder Priorität).

In allen Fällen erfolgt eine abschließende Prüfung durch autorisierte Personen (z. B. Support, Kundenbetreuung, Produktverantwortliche).

13.3. Kein Profiling im Sinne von Art. 4 Nr. 4 DSGVO

Die cuvalu führt keine Profilbildung im Sinne der DSGVO durch. Das bedeutet insbesondere:

• Es erfolgt keine automatisierte Bewertung persönlicher Merkmale wie Verhalten, Interessen, wirtschaftliche Situation oder Standort.
• Es werden keine personalisierten Entscheidungen aus solchen Auswertungen abgeleitet oder vorbereitet.
• Es besteht kein automatisiertes Nutzer-Scoring und keine Ableitung individueller Maßnahmen aus statistischen Nutzungsdaten.

13.4. Zukünftiger Einsatz algorithmischer Verfahren (Transparenzhinweis)

Die cuvalu beobachtet technische Entwicklungen (z. B. im Bereich maschinelles Lernen oder KI), die zur Verbesserung von Funktionalitäten beitragen können. Denkbare Szenarien sind:

• unterstützende Ausfüllhilfen bei Abrechnungsprozessen,
• KI-gestützte Vorschläge zur Optimierung von Abrechnungsabläufen,
• regelbasierte Prüfverfahren zur Einhaltung formaler Anforderungen.

Solche Systeme werden ausschließlich als Assistenzsysteme eingesetzt und ersetzen keine individuelle Entscheidung durch Menschen. Sollte sich dies ändern, erfolgt eine transparente Information gemäß Art. 13 Abs. 2 lit. f DSGVO.

13.5. Rechte betroffener Personen bei automatisierten Entscheidungen

Falls cuvalu zukünftig Verfahren einführt, bei denen automatisierte Entscheidungen mit rechtlicher Wirkung getroffen werden, haben betroffene Personen insbesondere folgende Rechte:

• das Recht auf menschliches Eingreifen in die Entscheidung,
• das Recht auf Darlegung des eigenen Standpunkts,
• das Recht, die Entscheidung anzufechten (Art. 22 Abs. 3 DSGVO),
• das Recht auf Auskunft über die zugrunde liegende Logik, Tragweite und beabsichtigten Auswirkungen der Verarbeitung (Art. 15 Abs. 1 lit. h DSGVO).

Anfragen hierzu richten Sie bitte an datenschutz@cuvalu.de.

Fazit

Aktuell trifft cuvalu keine ausschließlich automatisierten Entscheidungen im Sinne des Art. 22 DSGVO. Es finden weder Profilbildungen noch automatisierte Bewertungen mit rechtlicher oder vergleichbarer Wirkung statt. Entscheidungen, die Sie als betroffene Person wesentlich betreffen, werden stets durch natürliche Personen getroffen.

14. Rechte der betroffenen Personen

Betroffene Personen im Sinne der Datenschutz-Grundverordnung (DSGVO) haben gegenüber der cuvalu eine Vielzahl an Rechten im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten. Diese Rechte dienen der Transparenz, Kontrolle und Rechtssicherheit im Umgang mit personenbezogenen Informationen. Die cuvalu gewährleistet die fristgerechte und datenschutzkonforme Bearbeitung entsprechender Anfragen.

14.1. Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten über Sie verarbeitet werden. Sofern dies der Fall ist, können Sie insbesondere folgende Informationen anfordern:

• Verarbeitungszwecke,
• Kategorien der verarbeiteten Daten,
• Empfänger bzw. Kategorien von Empfängern,
• Drittlandübermittlungen und geeignete Schutzmaßnahmen,
• Speicherdauer bzw. Kriterien für deren Festlegung,
• Herkunft der Daten (sofern nicht bei Ihnen erhoben),
• das Bestehen automatisierter Entscheidungsverfahren (vgl. Abschnitt 13),
• Ihre weiteren Betroffenenrechte.

Sie erhalten auf Wunsch eine Kopie Ihrer personenbezogenen Daten. Bei übermäßigen oder offenkundig unbegründeten Anfragen behalten wir uns vor, gemäß Art. 12 Abs. 5 DSGVO einen angemessenen Verwaltungsaufwand in Rechnung zu stellen.

14.2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unrichtige oder unvollständige personenbezogene Daten unverzüglich berichtigen bzw. ergänzen zu lassen. Beispiel: Aktualisierung von Kontaktdaten oder Rollenbezeichnungen.

14.3. Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn:

• diese für den ursprünglichen Zweck nicht mehr erforderlich sind,
• Sie eine zuvor erteilte Einwilligung widerrufen haben,
• Sie der Verarbeitung widersprochen haben (siehe 14.6),
• die Daten unrechtmäßig verarbeitet wurden,
• eine rechtliche Verpflichtung zur Löschung besteht.

Ausgenommen sind Fälle, in denen eine weitere Speicherung zur Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungspflichten nach HGB, AO) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

14.4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter bestimmten Voraussetzungen können Sie verlangen, dass Ihre personenbezogenen Daten nur noch gespeichert, jedoch nicht weiterverarbeitet werden:

• wenn die Richtigkeit der Daten bestritten wird (für die Dauer der Überprüfung),
• wenn die Verarbeitung unrechtmäßig ist und keine Löschung gewünscht wird,
• wenn die Daten für Zwecke der cuvalu nicht mehr benötigt werden, Sie diese aber für Rechtsansprüche benötigen,
• wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben und eine Abwägung erfolgt.

14.5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder – sofern technisch möglich – an einen anderen Verantwortlichen übermitteln zu lassen. Dieses Recht gilt nur für Daten, die auf Grundlage von Einwilligung oder Vertrag automatisiert verarbeitet werden.

14.6. Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht (z. B. öffentliches oder berechtigtes Interesse). Dies gilt auch für etwaiges darauf gestütztes Profiling.

Im Fall eines Widerspruchs verarbeiten wir die betreffenden Daten nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe oder Rechtsansprüche vor.

Direktwerbung: Sie können der Nutzung Ihrer Daten für Zwecke der Direktwerbung jederzeit widersprechen – ohne Begründung. Eine weitere Verarbeitung zu Werbezwecken findet dann nicht mehr statt.

Widerspruchsadresse: datenschutz@cuvalu.de

14.7. Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht (z. B. Newsletter, Cookies, Webinar-Anmeldung), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig.

Widerrufsmöglichkeiten bestehen z. B. über entsprechende Links in E-Mails, über Cookie-Einstellungen auf der Website oder per Nachricht an: datenschutz@cuvalu.de

14.8. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unabhängig von anderen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

Zuständige Behörde für cuvalu:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Telefon: +49 (0) 981 180093-0

https://www.lda.bayern.de/de/index.html

Sie können sich auch an die für Ihren Wohnsitz, Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes zuständige Aufsichtsbehörde wenden.

14.9. Ausübung Ihrer Rechte

Bitte richten Sie Ihr Anliegen unter Angabe des gewünschten Rechts an:

datenschutz@cuvalu.de

cuvalu

eine Marke der:

cuvalu GmbH

Seeholzenstr. 2

82166 Gräfelfing

Wir bearbeiten Ihr Anliegen innerhalb eines Monats nach Eingang gemäß Art. 12 DSGVO. In Einzelfällen kann es zur Identitätsprüfung erforderlich sein, zusätzliche Angaben oder Dokumente (z. B. Ausweiskopie) zu verlangen, um unbefugte Zugriffe auszuschließen.

15. Pflicht zur Bereitstellung von Daten

Im Rahmen unserer Geschäftsbeziehungen, der Nutzung unserer Softwarelösungen, der Durchführung gesetzlicher Verpflichtungen sowie im Bewerbungsverfahren kann die Bereitstellung bestimmter personenbezogener Daten erforderlich sein. In einigen Fällen ergibt sich diese Pflicht aus gesetzlichen Vorgaben, in anderen aus vertraglichen Erfordernissen oder im Kontext vorvertraglicher Maßnahmen. Darüber hinaus erheben wir auch freiwillige Angaben, auf die wir gesondert hinweisen.

15.1. Vertragliche Pflichten (Art. 6 Abs. 1 lit. b DSGVO)

Für den Abschluss und die Durchführung eines Vertragsverhältnisses mit der cuvalu ist die Bereitstellung bestimmter personenbezogener Daten zwingend erforderlich. Dies betrifft insbesondere:

• Identifikations- und Kontaktdaten (z.  Name, E-Mail-Adresse, Telefonnummer)
• Angaben zum Unternehmen (z.  Rechnungsanschrift, USt-ID, Ansprechpartner)
• Zugangsdaten zur Plattform (z.  Benutzername, Rollenvergabe)
• Zahlungsinformationen (z.  Bankverbindung)
• im Rahmen von Kundenverträgen: abrechnungsrelevante Personaldaten, systemseitige Nutzungsinformationen
• bei Steuerkanzleien oder Partnern: fachlich verantwortliche Personen, AVV-relevante Daten

Folge bei Nichtbereitstellung: Ohne diese Angaben ist die Vertragserfüllung nicht möglich. Ein Zugang zur Plattform oder die Nutzung der angebotenen Leistungen kann in diesem Fall nicht erfolgen.

15.2. Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO)

In bestimmten Fällen ist cuvalu gesetzlich verpflichtet, personenbezogene Daten zu verarbeiten oder aufzubewahren. Dies betrifft u. a.:

• steuerliche Pflichten nach der Abgabenordnung (AO) und dem Einkommensteuergesetz (EStG)
• sozialversicherungsrechtliche Meldepflichten gemäß § 28a SGB IV
• handelsrechtliche Vorgaben (§§ 238 ff. HGB, § 257 HGB)
• geldwäscherechtliche Sorgfaltspflichten (sofern einschlägig)
• Dokumentation von Einwilligungen, Widerrufen und Datenschutzmaßnahmen

Folge bei Nichtbereitstellung: Ohne diese Daten kann cuvalu gesetzliche Anforderungen nicht erfüllen. Dies kann zu einer rechtswidrigen Verarbeitung oder zum Ausschluss einer geschäftlichen Zusammenarbeit führen.

15.3. Nutzung unserer Website, Formulare und Webanwendungen

Für die rein informatorische Nutzung der Website besteht keine Pflicht zur Bereitstellung personenbezogener Daten. Werden jedoch Funktionen genutzt, die eine Kommunikation oder Registrierung erfordern (z. B. Kontaktformulare, Newsletteranmeldung, Testzugänge), sind bestimmte Angaben erforderlich:

• Name, E-Mail-Adresse und ggf. weitere Kontaktdaten
• Angaben zum Anliegen (z.  Nachrichtentext, Auswahlfelder)

Folge bei Nichtbereitstellung: Ohne diese Angaben ist eine Bearbeitung Ihrer Anfrage oder die Bereitstellung gewünschter Inhalte nicht möglich.

15.4. Bewerbungsverfahren

Im Rahmen von Bewerbungen erhebt cuvalu personenbezogene Daten, um das Auswahlverfahren durchzuführen und ggf. ein Beschäftigungsverhältnis zu begründen. Erforderlich sind insbesondere:

• Stammdaten (Name, Geburtsdatum, Kontaktdaten)
• Bewerbungsunterlagen (Lebenslauf, Zeugnisse, Qualifikationen)
• freiwillig: Gehaltsvorstellungen, Eintrittstermine

Folge bei Nichtbereitstellung: Ohne diese Informationen kann eine Bewerbung nicht berücksichtigt werden.

15.5. Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)

In einzelnen Fällen bitten wir Sie um freiwillige Angaben, etwa im Rahmen von:

• Feedback und Supportanfragen
• Nutzererfahrungen und Fehleranalysen
• Kommunikation im Rahmen von Projekten
• Unterstützung bei Tests, Qualitätssicherung oder Produktoptimierung

Folge bei Nichtbereitstellung: Es entstehen keine rechtlichen Nachteile, jedoch kann die Funktionalität eingeschränkt sein oder eine individuelle Betreuung entfallen.

15.6. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Einige Datenverarbeitungen erfolgen nur mit Ihrer ausdrücklichen Einwilligung, z. B.:

• Versand von Newslettern
• Teilnahme an Webinaren oder Events
• Setzen von Cookies zu Analyse- oder Marketingzwecken

Folge bei Nichtbereitstellung oder Widerruf: Die jeweiligen Services können nicht genutzt werden. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 14).

15.7. Besondere Konstellationen: Steuerkanzleien und Mandanten

Sofern Steuerberater oder Kooperationspartner personenbezogene Daten Dritter (z. B. Arbeitnehmerdaten, Mandantendaten) über die cuvalu-Plattform verarbeiten, liegt die datenschutzrechtliche Verantwortlichkeit für die Erhebung und Information der betroffenen Personen bei diesen Partnern. Die cuvalu agiert in diesem Kontext als Auftragsverarbeiter nach Art. 28 DSGVO.

15.8. Folgen der Nichtbereitstellung

Die Nichtbereitstellung erforderlicher personenbezogener Daten kann im Einzelfall dazu führen, dass:

• vertragliche Leistungen nicht erbracht werden können,
• gesetzliche Pflichten verletzt werden,
• die Software oder bestimmte Funktionen nicht nutzbar sind,
• eine Zusammenarbeit ausgeschlossen wird,
• Bewerbungen nicht berücksichtigt werden.

cuvalu informiert im Rahmen der Datenerhebung transparent darüber, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben ist oder zur Durchführung eines Vertrags erforderlich ist, und welche Folgen bei Nichtbereitstellung eintreten können.

16. Sicherheit der Verarbeitung

Die cuvalu misst dem Schutz personenbezogener Daten höchste Priorität bei. Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO sicherzustellen. Ziel ist es, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Nachvollziehbarkeit der Verarbeitung zu gewährleisten.

16.1. Technische Schutzmaßnahmen

Unsere technischen Sicherheitsvorkehrungen werden nach dem Stand der Technik und unter Berücksichtigung der Eintrittswahrscheinlichkeit sowie der Schwere möglicher Risiken ausgewählt und umfassen u. a.:

• TLS/SSL-Verschlüsselung sämtlicher Datenübertragungen (z.  Webzugriffe, Schnittstellen)
• Ende-zu-Ende-Verschlüsselung besonders sensibler Datenströme, z.  im Rahmen der Lohnabrechnung
• Verschlüsselung ruhender Daten („Data at Rest“) mit AES-256
• Hosting ausschließlich in zertifizierten Rechenzentren innerhalb der EU, z.  ISO 27001
• Zutrittskontrolle zu Serverstandorten durch biometrische Verfahren, Logging und Zugriffsbeschränkung
• Zugriffsmanagement mit Zwei-Faktor-Authentifizierung, rollenbasierten Berechtigungen und strikten Passwortvorgaben
• Firewall-Systeme, Netzwerksegmentierung sowie Intrusion Detection / Prevention Systeme (IDS/IPS)
• Protokollierung und Monitoring sicherheitsrelevanter Systemereignisse, z.  Login-Versuche, Systemänderungen, Datenexporte
• Regelmäßige Backups, Wiederherstellungstests sowie Notfall- und Wiederanlaufpläne
• Penetrationstests und Schwachstellenanalysen durch interne oder externe Sicherheitsexperten

16.2. Organisatorische Schutzmaßnahmen

Ergänzend zu den technischen Vorkehrungen implementieren wir strukturierte organisatorische Maßnahmen zur Sicherstellung datenschutzkonformer Prozesse:

• Verpflichtung aller Mitarbeitenden auf Vertraulichkeit gem. Art. 29 DSGVO und § 53 BDSG
• Verbindliche Datenschutz- und IT-Sicherheitsrichtlinien sowie ein unternehmensweites Datenschutz- und Sicherheitskonzept
• Regelmäßige Schulungen und Awareness-Maßnahmen (z.  zu Phishing, Passwortsicherheit, Datenpannen)
• Umsetzung der Grundsätze „Privacy by Design“ und „Privacy by Default“ (Art. 25 DSGVO)
• Rollenkonzepte mit Zugriffsbeschränkungen nach dem Need-to-know-Prinzip
• Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
• Verträge zur Auftragsverarbeitung mit allen externen Dienstleistern nach Art. 28 DSGVO inkl. Prüfung technischer und organisatorischer Maßnahmen

16.3. Systemspezifische Schutzmaßnahmen bei cuvalu

Aufgrund der Verarbeitung besonders sensibler Daten im Rahmen der Lohn- und Gehaltsabrechnung gelten bei cuvalu erhöhte Sicherheitsanforderungen:

• Mandantentrennung und Nutzerisolierung auf der Plattform
• Serverseitige Verschlüsselung von Lohn- und Abrechnungsdaten
• Protokollierung aller Datenexporte, insbesondere bei integrationsbezogenen Übermittlungen (z.  an DATEV)
• Eingeschränkte Sichtbarkeit personenbezogener Daten gemäß Benutzerrolle
• Datenschutzfreundliche Standardeinstellungen bei neuen Nutzerkonten
• Sicherheitsprüfungen bei Änderungen an der Softwarearchitektur oder Integration neuer Schnittstellen

16.4. Kontrolle, Bewertung und Weiterentwicklung

Alle technischen und organisatorischen Schutzmaßnahmen werden regelmäßig überprüft, dokumentiert und bei Bedarf angepasst. Die Überprüfung erfolgt insbesondere:

• bei wesentlichen Änderungen der IT-Infrastruktur oder Verarbeitungsprozesse
• im Rahmen von Audits, internen Kontrollen oder aufsichtsbehördlichen Anfragen
• vor Einführung neuer Produkte, Schnittstellen oder Technologien (z.  KI-gestützte Module)
• nach Datenschutzvorfällen oder neuen Bedrohungslagen
• Maßstab ist stets der Stand der Technik, die wirtschaftliche Zumutbarkeit und das konkrete Risiko für die Rechte und Freiheiten betroffener Personen.

16.5. Datenschutzvorfälle und Incident Response

Im Falle eines sicherheitsrelevanten Vorfalls (z. B. Datenverlust, unberechtigter Zugriff) gelten folgende Verfahren:

• Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, sofern ein Risiko für Betroffene besteht (Art. 33 DSGVO)
• Unverzügliche Information betroffener Personen, sofern ein hohes Risiko anzunehmen ist (Art. 34 DSGVO)
• Aktivierung eines verbindlichen Notfall- und Reaktionsplans zur Begrenzung des Schadens, Analyse des Vorfalls und Umsetzung von Korrekturmaßnahmen
• Alle Vorfälle werden dokumentiert und fließen in die laufende Verbesserung unserer Sicherheitsarchitektur ein.

16.6. Zuständigkeiten

Die Zuständigkeiten für Datenschutz und IT-Sicherheit sind bei cuvalu klar geregelt:

• Gesamtverantwortung: Geschäftsführung
• Technische Umsetzung: IT-Leitung / Entwicklungsteam
• Datenschutzkoordination: Datenschutzbeauftragter
• Operative Umsetzung: jeweils zuständige Fachabteilung nach definierten Rollen

Alle Mitarbeitenden sind ausdrücklich verpflichtet, personenbezogene Daten ausschließlich auf dokumentierte Weisung und im Rahmen ihrer Zugriffsrechte zu verarbeiten.

17. Social Media

Die cuvalu nutzt verschiedene Social-Media-Plattformen zur digitalen Kommunikation, Unternehmenspräsentation, Fachinformation und Kundenbindung. Ziel ist die gezielte Außendarstellung im Bereich HR-Tech, Lohnabrechnung und Digitalisierung sowie die Interaktion mit Interessierten, Kunden, Bewerbenden und Kooperationspartnern. Die Datenverarbeitung im Zusammenhang mit diesen Präsenzen erfolgt entweder eigenständig oder in gemeinsamer datenschutzrechtlicher Verantwortung mit den jeweiligen Plattformbetreibern (Art. 26 DSGVO).

17.1. Rechtsgrundlagen der Datenverarbeitung

Personenbezogene Daten verarbeiten wir im Zusammenhang mit unseren Social-Media-Präsenzen auf Grundlage folgender Rechtsgrundlagen:

• 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), z. B. für Unternehmenskommunikation, Reichweitenanalyse, Außendarstellung;
• 6 Abs. 1 lit. b DSGVO, sofern es um die Kommunikation im Vorfeld eines Vertrags oder die Betreuung von Kunden/Bewerbern geht;
• 6 Abs. 1 lit. a DSGVO, wenn Sie uns gegenüber oder gegenüber dem Plattformbetreiber eine Einwilligung erteilt haben (z. B. bei Kommentaren, Likes, Teilnahme an Umfragen, Nutzung von Messaging-Funktionen).

17.2. Gemeinsame Verantwortlichkeit mit Plattformbetreibern (Art. 26 DSGVO)

Für bestimmte Datenverarbeitungen – insbesondere bei der Nutzung von „Seiten-Insights“ auf Facebook, Instagram oder LinkedIn – besteht eine gemeinsame Verantwortlichkeit zwischen cuvalu und dem jeweiligen Anbieter. Die Plattformbetreiber stellen aggregierte Nutzungsdaten (z. B. Reichweite, Interaktionen, demografische Merkmale) bereit, ohne dass cuvalu Zugriff auf personenbezogene Nutzerdaten erhält, sofern keine direkte Interaktion erfolgt.

Die jeweiligen Vereinbarungen zur gemeinsamen Verantwortung sind öffentlich zugänglich (z. B. Meta „Seiten-Insights-Ergänzung“, LinkedIn „Joint Controller Addendum“).

Betroffene Personen können ihre Rechte sowohl gegenüber cuvalu als auch gegenüber dem jeweiligen Plattformbetreiber geltend machen.

17.3. Datenverarbeitung durch die Plattformbetreiber

Die Plattformbetreiber verarbeiten Daten regelmäßig zu eigenen Zwecken, u. a.:

• Profilerstellung über Nutzungs- und Interaktionsverhalten,
• Ausspielung personalisierter Werbung,
• Markt- und Meinungsforschung,
• plattformübergreifende Verknüpfung von Profilen,
• Datenübermittlung in Drittländer (z.  USA).

Diese Verarbeitungen erfolgen in alleiniger Verantwortung des jeweiligen Plattformbetreibers. cuvalu hat darauf keinen Einfluss. Weitere Informationen zur Datenverarbeitung und zum Datenschutz finden Sie in den Datenschutzerklärungen der jeweiligen Anbieter.

17.4. Interaktionen mit cuvalu auf Social Media

Wenn Sie mit unseren Social-Media-Profilen interagieren (z. B. durch Kommentare, Nachrichten, Likes oder geteilte Inhalte), verarbeiten wir folgende Informationen:

• öffentlich sichtbare Profildaten (z.  Name, Arbeitgeber, Position),
• Ihre Nachricht bzw. den konkreten Kommunikationsinhalt,
• Kontext der Anfrage (z.  Support, Bewerbung, Fachfeedback).

Die Verarbeitung erfolgt ausschließlich zur Kommunikation mit Ihnen, zur Bearbeitung Ihrer Anfrage oder – sofern relevant – zur statistischen Auswertung. Daten werden gelöscht, sobald der Zweck entfällt, es sei denn, gesetzliche Aufbewahrungspflichten bestehen.

Vertrauliche Anfragen sollten nicht über Social Media, sondern über unsere offiziellen Kommunikationswege gestellt werden (z. B. datenschutz@cuvalu.de).

17.5. Social-Media-Werbung und gezielte Ansprache

cuvalu nutzt in Einzelfällen bezahlte Werbekampagnen (z. B. LinkedIn Ads, Meta Ads), um Reichweite zu erzielen oder zielgruppengerechte Inhalte zu platzieren. Dabei erfolgt ggf. eine Zielgruppensegmentierung auf Basis allgemeiner Kriterien (z. B. Berufsfeld, Region, Unternehmensgröße), ohne dass cuvalu selbst Zugriff auf personenbezogene Profildaten erhält.

Eine datengestützte Zielgruppenerstellung auf Basis eigener Kundendaten („Custom Audiences“) erfolgt ausschließlich bei Vorliegen einer ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG und kann jederzeit widerrufen werden.

17.6. Datenübermittlung in Drittländer

Viele Social-Media-Anbieter (z. B. Meta, Google, LinkedIn) betreiben Serverinfrastrukturen außerhalb der EU. Eine Übermittlung personenbezogener Daten in Drittländer – insbesondere die USA – kann daher nicht ausgeschlossen werden.

Diese Übermittlungen erfolgen auf Grundlage von:

• einem Angemessenheitsbeschluss der EU-Kommission (z.  EU-US Data Privacy Framework),
• Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO,
• ergänzenden Schutzmaßnahmen (z.  Verschlüsselung, Transparenzberichte).

Trotzdem kann insbesondere in Bezug auf den Zugriff durch US-Behörden ein datenschutzrechtliches Restrisiko bestehen.

17.7. Hinweise zur Nutzung durch Betroffene

Bitte beachten Sie:

Ihre Interaktionen (Likes, Kommentare, geteilte Inhalte) sind öffentlich einsehbar.

Plattformbetreiber analysieren Ihr Verhalten plattformintern.

Wenn Sie nicht möchten, dass Social-Media-Plattformen Ihre Interaktionen mit unseren Inhalten Ihrem persönlichen Profil zuordnen, empfehlen wir:

• sich vor dem Besuch unserer Seiten bei der Plattform abzumelden,
• Ihre Cookies zu löschen,
• den Privatmodus Ihres Browsers zu nutzen.

17.8. Ihre Rechte im Social-Media-Kontext

Auch im Kontext von Social Media stehen Ihnen alle Betroffenenrechte gemäß Art. 15–21 DSGVO zu – insbesondere das Recht auf:

• Auskunft,
• Berichtigung,
• Löschung,
• Einschränkung der Verarbeitung,
• Datenübertragbarkeit,
• Widerspruch gegen die Verarbeitung,
• Widerruf einer Einwilligung.

Da cuvalu nur eingeschränkten Zugriff auf personenbezogene Daten innerhalb der Plattformen hat, empfehlen wir, Ihre Rechte primär gegenüber dem jeweiligen Plattformbetreiber geltend zu machen. Selbstverständlich unterstützen wir Sie auf Wunsch bei der Durchsetzung Ihrer Rechte.

17.9. Aktuelle Präsenzen und zuständige Plattformen

cuvalu ist derzeit aktiv auf folgenden Plattformen (Stand: März 2025):

• LinkedIn – LinkedIn Ireland Unlimited Company, Datenschutzrichtlinie
• Facebook & Instagram – Meta Platforms Ireland Ltd., Datenschutzrichtlinie
• XING – New Work SE, Datenschutzerklärung

17.10. Externe Links

Unsere Profile oder Beiträge können auf Inhalte Dritter verlinken (z. B. Partnerkanäle, Veranstaltungstools). Bitte beachten Sie, dass für die dortige Datenverarbeitung ausschließlich die jeweiligen Anbieter verantwortlich sind. Es gelten deren eigene Datenschutzhinweise.

18. Links zu anderen Websites

Die Website der cuvalu (https://cuvalu.de/) enthält an verschiedenen Stellen Hyperlinks zu externen Websites und Online-Angeboten Dritter, die außerhalb unseres Verantwortungsbereichs betrieben werden. Diese Verlinkungen dienen ausschließlich der Benutzerfreundlichkeit und sollen den Zugriff auf weiterführende Informationen, Fachportale, externe Dienstleister oder Partnerangebote erleichtern.

Mit dem Anklicken eines externen Links verlassen Sie den Geltungsbereich dieser Datenschutzerklärung. Ab diesem Zeitpunkt gelten ausschließlich die Datenschutz- und Nutzungsbedingungen der jeweiligen Drittanbieter.

18.1. Keine Verantwortung für externe Inhalte oder Datenverarbeitung

Die cuvalu übernimmt keine Verantwortung für die Gestaltung, die Inhalte oder die datenschutzrechtliche Konformität verlinkter externer Webseiten. Dies betrifft insbesondere:

• die Art und den Umfang der Datenerhebung und -verarbeitung durch den jeweiligen Anbieter,
• den Einsatz von Cookies, Trackern oder anderen Technologien,
• etwaige Datenübermittlungen in Drittländer (z.  USA),
• die Sicherheit und Aktualität der bereitgestellten Inhalte,
• sowie die Einhaltung der DSGVO oder nationaler Datenschutzgesetze durch Dritte.
• Die datenschutzrechtliche Verantwortung für die über extern verlinkte Websites erhobenen und verarbeiteten personenbezogenen Daten liegt ausschließlich beim Betreiber der jeweiligen Seite (Art. 4 Nr. 7 DSGVO).

18.2. Technischer Ablauf bei externen Links

Solange Sie einen Link nicht aktiv anklicken, erfolgt keine automatische Datenübertragung an Dritte. Erst durch das Anklicken eines externen Links wird eine Verbindung zu den Servern des jeweiligen Anbieters hergestellt. Dabei können folgende Daten übermittelt werden:

• Ihre IP-Adresse,
• Referrer-URL (also unsere Website),
• Datum und Uhrzeit des Aufrufs,
• technische Informationen über Ihr Gerät und Ihren Browser.

Diese Übermittlungen unterliegen nicht der Kontrolle oder dem Einfluss der cuvalu.

18.3. Typische Verlinkungsziele auf unserer Website

Unsere Website kann Verweise auf externe Zielseiten enthalten, z. B.:

• Fachportale und Gesetzesquellen: z.  DATEV, ELSTER, BMF, Lohnsteuer-Richtlinien, beck-online
• Behörden und Aufsichtsstellen: z.  BayLDA, Bundesagentur für Arbeit, BSI
• Social Media: LinkedIn, XING, YouTube (siehe auch Abschnitt 17)
• Drittanbieter-Plattformen: für Veranstaltungen, Webinare oder Kundenservices (z.  Zoom, edudip, GoToWebinar)

18.4. Keine aktive Einbindung externer Inhalte

Die cuvalu bettet keine Inhalte externer Anbieter aktiv ein (z. B. über iFrames, JavaScript-Widgets oder externe Skripte), die bereits beim Aufrufen unserer Seite eine Verbindung zu Dritten herstellen würden. Alle externen Verlinkungen sind technisch so ausgestaltet, dass sie erst beim bewussten Anklicken aktiv werden.

Dies minimiert die unbeabsichtigte Datenübertragung an Dritte und schützt Ihre Privatsphäre beim Besuch unserer Website.

18.5. Hinweise zur sicheren Nutzung verlinkter Seiten

Wir empfehlen, bei Nutzung externer Angebote die jeweiligen Datenschutzhinweise sorgfältig zu prüfen – insbesondere im Hinblick auf:

• die Rechtsgrundlage der Verarbeitung,
• den Einsatz von Webanalyse- oder Werbediensten (z.  Google Analytics, Meta Pixel),
• mögliche Datenübermittlungen in Drittländer,
• Ihre Widerspruchs- und Widerrufsrechte,
• die Gültigkeit vorhandener Einwilligungen (z.  bei Cookie-Bannern).

Zur Reduzierung des Trackings durch Dritte können Sie zusätzlich folgende Maßnahmen ergreifen:

• Nutzung eines Trackingblockers oder restriktiver Browsereinstellungen („Do Not Track“, Inkognito-Modus),
• gezieltes Ablehnen nicht erforderlicher Cookies auf der Zielseite,
• Zurückhaltung bei der Eingabe personenbezogener Daten auf unbekannten Seiten.

18.6. Verlinkung zu Social-Media-Plattformen

Links zu unseren Social-Media-Profilen (z. B. LinkedIn oder XING) führen lediglich durch einen externen Link zur Plattform – es erfolgt keine automatische Datenübertragung. Erst beim aktiven Aufruf wird eine Verbindung zum jeweiligen Anbieter hergestellt. Bitte beachten Sie die gesonderten Hinweise im Abschnitt 17 („Social Media“).

cuvalu verwendet keine aktiven Plugins wie „Like“- oder „Share“-Buttons, die bereits beim Laden der Seite Daten übertragen würden.

18.7. Haftungsausschluss und rechtliche Hinweise

Die cuvalu prüft zum Zeitpunkt der Verlinkung alle externen Seiten auf offensichtliche Rechtsverstöße. Eine permanente inhaltliche Kontrolle ohne konkreten Anlass ist jedoch nicht zumutbar. Sollten wir Kenntnis von rechtswidrigen Inhalten oder datenschutzrechtlichen Verstößen erhalten, wird die betreffende Verlinkung unverzüglich entfernt.

Diese Datenschutzerklärung gilt ausschließlich für Inhalte unter der Domain https://cuvalu.de/. Für externe Seiten gelten deren eigene datenschutzrechtliche Vorgaben.

19. Änderungen dieser Datenschutzerklärung

Die cuvalu behält sich vor, diese Datenschutzerklärung jederzeit unter Beachtung der geltenden datenschutzrechtlichen Vorgaben anzupassen, zu erweitern oder zu aktualisieren. Eine Anpassung kann insbesondere erforderlich werden, wenn:

• neue gesetzliche oder aufsichtsbehördliche Anforderungen in Kraft treten (z.  durch DSGVO-Reformen, TDDDG, ePrivacy-Verordnung oder Rechtsprechung des EuGH/BGH),
• sich unsere Geschäftsprozesse, IT-Infrastrukturen oder eingesetzten Systeme ändern (z.  Einführung neuer Tools, Schnittstellen, Hostingpartner),
• wir neue Services, Funktionalitäten oder Verarbeitungstätigkeiten einführen (z.  Mandantenfunktionen, Automatisierungen, KI-Module),
• sich die Kreise der Empfänger oder die Datenübermittlung in Drittländer erweitern,
• organisatorische Veränderungen erfolgen (z.  Umstrukturierung, Kooperationswechsel, Unternehmensübernahmen).

19.1. Anlass zur Änderung

Eine Aktualisierung kann insbesondere ausgelöst werden durch:

• neue technische Entwicklungen (z.  Sicherheitsfunktionen, MFA, Datenschutz-Tools),
• Änderungen in der Plattformstruktur (z.  neue Kundensegmente, Supportangebote, digitale Formulare),
• Erweiterung der Datenverarbeitungszwecke oder Rechtsgrundlagen,
• Änderungen in der Rollenverteilung mit Auftragsverarbeitern oder in der internationalen Datenübermittlung.

19.2. Form der Veröffentlichung

Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist dauerhaft unter folgender URL abrufbar:

www.cuvalu.de/datenschutz

Das Datum der letzten Aktualisierung ist am Ende dieser Erklärung vermerkt. Sofern Sie die Website regelmäßig nutzen oder mit cuvalu in einer laufenden Geschäftsbeziehung stehen, empfehlen wir, die Datenschutzerklärung in angemessenen Abständen erneut zur Kenntnis zu nehmen.

19.3. Information über wesentliche Änderungen

Bei wesentlichen Änderungen – insbesondere solchen, die sich auf Umfang, Zweck oder Rechtsgrundlage der Verarbeitung auswirken – informieren wir betroffene Personen aktiv, z. B. durch:

• Hinweise beim Login oder in unserem Kundenportal,
• Pop-up-Banner oder Hinweisfelder auf der Website,
• E-Mail-Kommunikation (sofern zulässig),
• aktualisierte Einwilligungsabfragen (bei neuen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. a DSGVO / 25 TDDDG).

Dies gilt insbesondere bei Änderungen, die eine neue Einwilligung oder einen geänderten Verarbeitungszweck betreffen.

19.4. Ihre Rechte im Änderungsfall

Wenn sich durch eine Aktualisierung dieser Datenschutzerklärung neue Verarbeitungsgrundlagen ergeben, können Sie:

• erteilte Einwilligungen mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO),
• der Verarbeitung Ihrer Daten widersprechen (Art. 21 DSGVO),
• Ihre Rechte auf Auskunft, Löschung oder Einschränkung geltend machen (Art. 15 ff. DSGVO).

Nähere Hinweise hierzu finden Sie im Abschnitt „Rechte der betroffenen Personen“ dieser Datenschutzerklärung.

19.5. Archivierung und Rechenschaftspflicht

Zur Erfüllung der datenschutzrechtlichen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) dokumentieren wir intern sämtliche relevanten Änderungen dieser Datenschutzerklärung, einschließlich:

• Datum und Inhalt der jeweiligen Änderungen,
• Anlass und rechtlicher Hintergrund (z.  Gesetzesänderung, Tooleinführung),
• Erfordernis zur Einwilligungseinholung oder ergänzenden Information,
• sowie betroffene Abschnitte dieser Erklärung.

Auf Anfrage stellen wir frühere Versionen der Datenschutzerklärung zur Verfügung. Wenden Sie sich hierfür bitte an:

datenschutz@cuvalu.de

20. Stand

Die cuvalu hat diese Datenschutzerklärung zuletzt im März 2025 überarbeitet, um den aktuellen rechtlichen und technischen Anforderungen sowie der Praxis der Datenverarbeitung im Unternehmen zu entsprechen. Die vorliegende Fassung ersetzt alle früheren Versionen und stellt die verbindliche Grundlage für die Verarbeitung personenbezogener Daten durch unser Unternehmen dar.

20.1. Aktualität und Nachvollziehbarkeit

Die Datenschutzerklärung gibt den aktuellen Stand der datenschutzrechtlichen Maßnahmen, Verfahren und rechtlichen Grundlagen bei der cuvalu (cuvalu.de) wieder und entspricht den Anforderungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie relevanter europäischer und nationaler Vorschriften in ihrer jeweils gültigen Fassung.

20.2. Dokumentationspflicht und Archivierung

Aus Gründen der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO dokumentieren wir alle Änderungen an dieser Erklärung intern. Diese Dokumentation umfasst den Änderungsvermerk, den Versionsstand und das Stichtagsdatum der jeweiligen Anpassung. Frühere Versionen der Datenschutzerklärung werden archiviert und sind bei berechtigtem Interesse einsehbar, z. B. zur Prüfung des Stands bei Einwilligungserteilung oder bei Datenverarbeitungen zu einem bestimmten Zeitpunkt.

20.3. Regelmäßige Überprüfung

Wir überprüfen diese Datenschutzerklärung regelmäßig, mindestens jedoch einmal jährlich, oder anlassbezogen. Änderungen werden vorgenommen, wenn:

• sich gesetzliche oder regulatorische Vorgaben ändern (z.  neue Verordnungen, Urteile oder behördliche Anweisungen),
• neue Technologien oder externe Dienstleister eingeführt werden,
• sich unsere Dienstleistungen oder Unternehmensstrukturen ändern (z.  neue Partner oder Veränderungen im Geschäftsmodell).

20.4. Hinweis für Nutzer

Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen, um über mögliche Änderungen informiert zu bleiben. Die jeweils aktuelle Version ist jederzeit unter:

https://cuvalu.de/datenschutz

abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir Sie aktiv – zum Beispiel durch Pop-up-Hinweise, E-Mail-Benachrichtigungen oder eine erneute Einwilligungsabfrage bei Änderungen der Datenverarbeitung.

20.5. Gültigkeit der Erklärung

Die aktuelle Fassung der Datenschutzerklärung gilt ab dem 27. März 2025 und ersetzt alle vorherigen Versionen. Sollten sich gesetzliche, organisatorische oder technische Änderungen ergeben, die eine Anpassung dieser Erklärung erforderlich machen, wird cuvalu diese Änderungen transparent umsetzen. In einem solchen Fall wird die jeweils neue Version unter:

www.cuvalu.de/datenschutz

veröffentlicht und bleibt bis zu einer neuen Aktualisierung gültig. Bei grundlegend notwendigen Änderungen werden Sie gesondert informiert.

20.6. Fragen zur Datenschutzerklärung

Wenn Sie Fragen, Anmerkungen oder Hinweise zu dieser Datenschutzerklärung haben oder Ihre Rechte als betroffene Person geltend machen möchten, können Sie sich jederzeit an uns wenden:

cuvalu

cuvalu GmbH

Seeholzenstr. 2

82166 Gräfelfing