Datenschutzerklärung (DSGVO)

Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO:

Firmendata UG (haftungsbeschränkt)
c/o Ersin Bayraktar
Pistoriusstraße 102A
13086 Berlin
Deutschland

Geschäftsführer: Julian Lenz, Ersin Bayraktar

Allgemeiner Kontakt: [email protected]

Derzeit sind wir gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei allen Fragen zum Datenschutz wenden Sie sich bitte an die oben genannten Kontaktdaten.

Abhängig davon, wie Sie unsere Website und Dienste nutzen, verarbeiten wir folgende Kategorien personenbezogener Daten zu Ihrer Person (Besucher oder registrierter Nutzer):

• Nutzungsdaten: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, Referrer-URL, Geräteinformationen, Browserinformationen.
• Kontodaten: Name, E-Mail-Adresse, Datum und Uhrzeit der Registrierung, Datum und Uhrzeit des letzten Logins.
• Kontaktdaten: E-Mail-Adresse sowie der Inhalt Ihrer Nachricht, wenn Sie uns kontaktieren.
• Sicherheits- und Missbrauchssignale: technische Signale zum Schutz unseres Kontaktformulars und unserer Plattform vor automatisiertem Missbrauch.
• Abrechnungs- und Abonnementdaten: Name, Rechnungsanschrift, Land, gewähltes Tarifmodell, Abonnementstatus, Stripe-Kundenkennung, Rechnungssätze. Kartendaten selbst werden ausschließlich durch Stripe verarbeitet und nicht auf unseren Systemen gespeichert.
• Entwickler-/API-Zugriffsdaten: ausgestellte API-Schlüssel, Request-Zähler pro Schlüssel, Credit-Verbrauch und Rate-Limit-Fenster. Erforderlich für den Betrieb der öffentlichen REST-API und des MCP-Servers sowie zur Anzeige der Nutzung in Ihrem Konto.
• Merklisten-Daten: die Unternehmen, die Sie Ihrer Merkliste hinzugefügt haben, sowie die Ihnen zugestellten Benachrichtigungen. Diese Daten lassen Rückschlüsse auf die von Ihnen beobachteten Entitäten zu.
• Abonnement-/Webhook-Konfigurationsdaten: von Ihnen konfigurierte Webhook-Ziel-URLs für die Funktion „Subscriptions & Events“ sowie Zustelllogs der an diese URLs gesendeten Payloads.
• Suchanfragedaten: die von Ihnen übermittelten Suchbegriffe und Filterparameter (die je nach Suchanfrage personenbezogene Identifikatoren enthalten können, etwa den Namen eines gesuchten Vorstandsmitglieds oder Gesellschafters). Suchanfragen werden mit Ihrem Konto verknüpft zu Analyse-, Rate-Limit- und Missbrauchsabwehrzwecken gespeichert; ihre Speicherdauer richtet sich nach der Server-Log-Speicherdauer in Abschnitt 17.

Wir verarbeiten zu Ihrer Person nicht absichtlich besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO.

Unser Kerndienst stellt öffentlich eingereichte deutsche Registerdaten unseren Nutzern zur Verfügung. Ein Teil dieser Daten identifiziert zwangsläufig natürliche Personen. Diese Daten verarbeiten wir als Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO.

Betroffene Personen sind in öffentlichen Registern im Zusammenhang mit einem deutschen Unternehmen genannte natürliche Personen, insbesondere:

• Geschäftsführer, Vorstandsmitglieder, Aufsichtsratsmitglieder, Prokuristen, Liquidatoren.
• Gesellschafter von GmbHs und UGs, die in der Liste der Gesellschafter (Gesellschafterliste) genannt werden.
• Wirtschaftlich Berechtigte, die wir selbst durch Berechnung der Beteiligungskette aus öffentlich eingereichten Gesellschafterlisten und weiteren Registerunterlagen nach §3 GwG ermitteln. Wir greifen derzeit nicht auf das Transparenzregister zurück.
• In veröffentlichten Insolvenzbekanntmachungen genannte Personen.
• Personen, die in vergebenen EU-Vergabebekanntmachungen als Ansprechpartner oder Zeichnungsberechtigte genannt sind.

Je nach zugrunde liegender öffentlicher Quelle umfassen die Daten:

• Vor- und Nachname; teilweise auch historische Namensvarianten.
• Funktion im Unternehmen sowie der Zeitraum der Funktionsausübung.
• Wohnort ausschließlich auf Gemeindeebene. Wir speichern oder veröffentlichen keine vollständigen Straßenanschriften natürlicher Personen.
• Geburtsdatum, soweit es in öffentlich eingereichten Gesellschafterlisten (vgl. §40 GmbHG) für Gesellschafter von GmbHs und UGs enthalten ist.
• Anteilszahl, Anteilsprozentsatz und Anteilsklasse (bei Gesellschaftern).

Wir beziehen diese Daten ausschließlich aus öffentlich zugänglichen, gesetzlich bereitgestellten Quellen. Die wesentlichen Quellen sind:

• Unternehmensregister und Handelsregister (HRA / HRB / GnR / PR / VR / GsR) einschließlich eingereichter Dokumente (Aktueller Abdruck, Chronologischer Abdruck, Gesellschaftsvertrag/Satzung, Anmeldung, Musterprotokoll, Liste der Gesellschafter).
• Bundesanzeiger (veröffentlichte Jahresabschlüsse / Konzernabschlüsse).
• GLEIF-Datenbank der Legal Entity Identifier (LEI).
• TED (Tenders Electronic Daily) — EU-Vergabebekanntmachungen.
• Insolvenzbekanntmachungen (das offizielle Insolvenzbekanntmachungen-Portal).

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht darin, Business-Intelligence-Dienste zu deutschen Unternehmen anzubieten, um Due-Diligence-, Geldwäscheprävention- (KYC/AML-), Bonitäts-, M&A- und journalistische Recherchen sowie weitere rechtmäßige geschäftliche Zwecke zu ermöglichen. Wir haben eine Interessenabwägung durchgeführt; die einschlägigen Daten wurden vom deutschen Gesetzgeber in Registern veröffentlicht, die ausdrücklich für die Einsichtnahme durch interessierte Dritte vorgesehen sind.

Zwecke: Suche, Anzeige, Analyse und Download deutscher Unternehmensdaten durch unsere Nutzer; Erstellung aggregierter Branchen- und Regionalstatistiken; Berechnung von Beteiligungsgraphen und Berichten zu wirtschaftlich Berechtigten für KYC-Zwecke; Erzeugung von KI-Zusammenfassungen (siehe Abschnitt 13).

Information nach Art. 14 DSGVO: Da wir diese Daten nicht direkt bei der betroffenen Person, sondern aus öffentlichen Registern erheben, kommen wir mit dieser Datenschutzerklärung unserer Informationspflicht nach Art. 14 DSGVO nach. Soweit eine individuelle Benachrichtigung jeder betroffenen Person angesichts der Vielzahl an Registereinträgen unmöglich wäre oder einen unverhältnismäßigen Aufwand bedeuten würde, stützen wir uns auf die Ausnahme nach Art. 14 Abs. 5 lit. b DSGVO und stellen die erforderlichen Informationen hier bereit.

Ihre Rechte als in unseren Datenbeständen genannte betroffene Person: Sie können die in Abschnitt 21 beschriebenen Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch) bezüglich der Sie betreffenden Daten uns gegenüber ausüben. Bitte nutzen Sie hierfür die Kontaktdaten aus Abschnitt 1 und benennen Sie den betroffenen Unternehmenseintrag.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, der Verarbeitung Sie betreffender personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zu widersprechen. Im Falle eines Widerspruchs verarbeiten wir die Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Hinweis zur Berichtigung: Wird das zugrunde liegende öffentliche Register korrigiert, übernehmen wir die Korrektur bei der nächsten geplanten erneuten Erfassung des Eintrags, auf Wunsch auch früher.

Über die in Abschnitt 4 beschriebene Verarbeitung von Registerdaten hinaus verarbeiten wir personenbezogene Daten zu Ihrer Person zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

• Bereitstellung der Website sowie Gewährleistung von Sicherheit und Stabilität (Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse).
• Bereitstellung unserer Dienste und Authentifizierung (Art. 6 Abs. 1 lit. b DSGVO; Vertrag oder vorvertragliche Maßnahmen).
• Verwaltung kostenpflichtiger Tarife, Abonnementabrechnung, Rechnungsstellung und Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO; Vertrag).
• Betrieb der öffentlichen REST-API und des MCP-Servers, einschließlich Rate-Limiting, Credit-Abrechnung und Missbrauchsabwehr (Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung sowie Art. 6 Abs. 1 lit. f DSGVO für die Sicherheit).
• Beantwortung von Anfragen (Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichem Bezug, ansonsten Art. 6 Abs. 1 lit. f DSGVO).
• Webanalyse (Art. 6 Abs. 1 lit. a DSGVO; Einwilligung, sofern Cookies oder ähnliche Technologien eingesetzt werden).
• Erfüllung gesetzlicher Verpflichtungen, einschließlich gesetzlicher Aufbewahrungspflichten nach HGB und AO (Art. 6 Abs. 1 lit. c DSGVO).

Soweit wir uns auf eine Einwilligung stützen, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Wir verwenden Klaro (ein quelloffenes Einwilligungsmanagement-Tool, https://klaro.org), um Ihre Auswahl hinsichtlich optionaler Technologien (zum Beispiel Webanalyse) zu erfassen und zu verwalten. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf unserer Website ändern oder widerrufen.

Technologien, die zwingend erforderlich sind, können ohne Einwilligung eingesetzt werden, soweit dies nach den geltenden gesetzlichen Vorschriften zulässig ist.

Unsere Website, Anwendungsserver, primäre Datenbank sowie der Objektspeicher für Registerdokumente (z. B. PDF-Dokumente von Registerauszügen und Gesellschafterlisten) werden auf Infrastruktur der Hetzner Online GmbH (Deutschland) betrieben. Im Rahmen des Hostings kann Hetzner personenbezogene Daten (z. B. IP-Adressen in Server-Logs sowie die Inhalte der Datenbank und der gespeicherten Dokumente) in unserem Auftrag verarbeiten.

• Zweck: zuverlässiger und sicherer Betrieb unserer Website, Dienste und des Dokumentenspeichers.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Auftragsverarbeitung: Mit Hetzner wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

Wir nutzen Cloudflare als Reverse-Proxy und Caching-Schicht, um die Performance zu verbessern und unsere Website vor gängigen Netzwerkangriffen zu schützen. Beim Zugriff auf unsere Website erhält Cloudflare technische Verbindungsdaten, einschließlich IP-Adresse und Request-Metadaten.

• Zweck: Performanceoptimierung, Zuverlässigkeit und Sicherheit.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Auftragsverarbeitung: Mit Cloudflare wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.
• Internationale Datenübermittlungen: Cloudflare hat seinen Hauptsitz in den USA. Je nach Ausgestaltung der Dienstleistung können personenbezogene Daten in die USA oder andere Drittstaaten übermittelt werden. Wir stützen uns hierbei auf geeignete Garantien, insbesondere Standardvertragsklauseln, sowie gegebenenfalls anerkannte Angemessenheitsbeschlüsse.

Zum Schutz unseres Kontaktformulars vor automatisiertem Missbrauch setzen wir Cloudflare Turnstile ein. Turnstile verarbeitet technische Signale (zum Beispiel IP-Adresse, Browsermerkmale und Interaktionszeiten), um zwischen menschlichen Nutzern und Bots zu unterscheiden. Abhängig von der Konfiguration können dabei auch zwingend erforderliche Cookies oder Sicherheitstokens verwendet werden.

• Zweck: Verhinderung von Spam und Missbrauch, Schutz unserer Infrastruktur.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Gerätespeicherung / Cookies: Soweit zwingend erforderliche Sicherheitstokens eingesetzt werden, erfolgt dies auf Grundlage der einschlägigen gesetzlichen Regelungen für technisch notwendige Technologien.
• Internationale Datenübermittlungen: siehe Abschnitt 8.

Für Authentifizierung und Benutzerverwaltung nutzen wir Auth0. Auth0 speichert und verarbeitet die für Login und Kontoverwaltung erforderlichen Daten. Nach unserer aktuellen Konfiguration werden folgende Kontodaten verarbeitet:

• Name
• E-Mail-Adresse
• Datum und Uhrzeit der Registrierung
• Datum und Uhrzeit des letzten Logins

• Zweck: Authentifizierung, Kontosicherheit und Zugriffskontrolle.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.
• Auftragsverarbeitung: Auth0 wird auf Grundlage eines Vertrags zur Auftragsverarbeitung eingesetzt.
• Internationale Datenübermittlungen: Wir nutzen einen Auth0-EU-Tenant; die Verarbeitung der Nutzer-Authentifizierungsdaten erfolgt daher primär in der Europäischen Union. Im Rahmen der zugrunde liegenden Support- und Engineering-Tätigkeiten kann es zu einem inzidenten Datenzugriff durch die Okta, Inc. (US-Muttergesellschaft von Auth0) kommen. Ein solcher Zugriff ist durch Standardvertragsklauseln und, soweit anwendbar, anerkannte Angemessenheitsbeschlüsse abgedeckt.

Für kostenpflichtige Tarife wird die Zahlungsabwicklung durch Stripe Payments Europe Limited (Irland) ausgeführt, mit Unter-Auftragsverarbeitern innerhalb der Stripe-Gruppe einschließlich Stripe, Inc. (USA). Stripe handelt für Teile der Zahlungsabwicklung als eigener Verantwortlicher (insbesondere für Betrugsprävention und regulatorische Pflichten) und für andere Teile als unser Auftragsverarbeiter.

An Stripe übermittelte Daten: Name, Rechnungs-E-Mail-Adresse, Rechnungsanschrift, Land, Zahlungsmethodendaten (Kartendaten selbst werden ausschließlich von Stripe gespeichert; wir erhalten lediglich ein Token, die letzten 4 Stellen und die Kartenmarke zur Anzeige auf Rechnungen), Transaktionsbetrag, Währung und Abonnementkennungen.

• Zweck: Abwicklung von Abonnementzahlungen und Erstattungen, Verhinderung von Zahlungsbetrug, Erstellung von Rechnungen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, einschließlich Steuer- und Geldwäschevorschriften).
• Auftragsverarbeitung: Wir nutzen Stripe auf Grundlage des Stripe-Vertrags zur Auftragsverarbeitung (Art. 28 DSGVO) für die Teile, in denen Stripe als unser Auftragsverarbeiter handelt.
• Internationale Datenübermittlungen: Während Stripe Payments Europe Limited in Irland ansässig ist, befinden sich Unter-Auftragsverarbeiter der Gruppe in den USA und anderen Drittstaaten. Wir stützen uns auf geeignete Garantien (Standardvertragsklauseln) sowie gegebenenfalls anerkannte Angemessenheitsbeschlüsse.

Für die Verarbeitung durch Stripe als eigener Verantwortlicher gilt die Datenschutzerklärung von Stripe unter stripe.com.

Stripe Tax: Soweit für Ihre Transaktion einschlägig (insbesondere bei umsatzsteuerpflichtigen grenzüberschreitenden EU-Verkäufen), erhebt und führt Stripe die Umsatzsteuer ab und kann steuerrelevante Transaktionsdaten zur Erfüllung gesetzlicher Steuerpflichten an die zuständigen Steuerbehörden weitergeben (Art. 6 Abs. 1 lit. c DSGVO).

Für den Versand von Transaktions-E-Mails nutzen wir Zoho Mail (Zoho Corporation B.V., Niederlande, mit verbundenen Unternehmen in Indien und den USA).

Kategorien der über Zoho versendeten E-Mails:

• Kontobezogene Nachrichten (Willkommen, E-Mail-Verifizierung, Passwort-Reset, Sicherheitswarnungen).
• Abonnement- und Abrechnungsbenachrichtigungen (Verlängerungserinnerungen, Rechnungen, Zahlungsfehler-Hinweise).
• Benachrichtigungen zur Merkliste über von Ihnen beobachtete Unternehmen.
• Abonnement-/Event-Benachrichtigungen aus der Funktion „Subscriptions & Events“, sofern Sie diese statt per Webhook per E-Mail empfangen möchten.

• Zweck: Zustellung von Transaktions-E-Mails, die für den Betrieb des Dienstes und der von Ihnen konfigurierten Abonnements erforderlich sind.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheitsbenachrichtigungen).
• Auftragsverarbeitung: Mit Zoho wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.
• Internationale Datenübermittlungen: Wir nutzen einen Zoho-EU-Tenant. Die Konzernstruktur von Zoho umfasst Unternehmen außerhalb der EU/EWR (insbesondere in Indien und den USA), die zu technischen Betriebs- und Supportzwecken auf Daten zugreifen können. Wir stützen uns auf geeignete Garantien (Standardvertragsklauseln) sowie gegebenenfalls anerkannte Angemessenheitsbeschlüsse.

Einige Tool-Antworten (insbesondere in der Unternehmens-Detailansicht) enthalten kurze, KI-generierte Zusammenfassungen öffentlich verfügbarer Informationen zum Unternehmen. Diese Zusammenfassungen können in geringem Umfang personenbezogene Daten zu in den zugrunde liegenden öffentlichen Registern genannten Personen enthalten (siehe Abschnitt 4).

Diese Insights sind informativ und stellen keine automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO dar. Sie werden nicht für Kreditentscheidungen, Beschäftigungsentscheidungen oder andere automatisierte Entscheidungen genutzt, die die betroffene Person unmittelbar betreffen würden.

Anbieter: Zur Erzeugung der Zusammenfassungen nutzen wir APIs großer Sprachmodelle dritter Anbieter (derzeit unter anderem Anthropic und OpenAI). Der relevante Teil der Unternehmensdaten wird an die API des Modellanbieters gesendet; die vertraglichen Bedingungen der Anbieter untersagen, derartige API-Inhalte für das Training ihrer Modelle zu verwenden. Jeder Anbieter handelt insoweit auf Grundlage des jeweiligen Vertrags zur Auftragsverarbeitung als unser Auftragsverarbeiter.

Internationale Datenübermittlungen: Diese Anbieter können die API-Anfragen in den USA oder in anderen Drittstaaten verarbeiten. Wir stützen uns auf geeignete Garantien (Standardvertragsklauseln) sowie gegebenenfalls anerkannte Angemessenheitsbeschlüsse.

Sofern Sie als betroffene Person eines bestimmten Eintrags keine KI-Insights wünschen, kontaktieren Sie uns bitte über die Angaben in Abschnitt 1.

Wir bieten einen optionalen Connector nach dem Model Context Protocol (MCP) an, mit dem Sie FirmenData-Tools direkt aus dem Produkt Claude von Anthropic nutzen können. Der Connector ist opt-in: Er ist nur aktiv, wenn Sie ihn als registrierter FirmenData-Nutzer in Ihren Claude-Einstellungen hinzufügen.

Funktionsweise: Ist der Connector aktiv und entscheidet Claude, eine Ihrer Anfragen mithilfe eines FirmenData-Tools zu beantworten, sendet Claude einen Tool-Aufruf an unseren MCP-Server. Der Tool-Aufruf (und die von uns zurückgegebene Antwort, die Claude erhält) laufen dabei über die Infrastruktur von Anthropic.

Mit Anthropic geteilte Daten: die Inhalte Ihrer Claude-Konversationen (die Kennungen wie Unternehmensnamen oder eu_ids enthalten können, die Sie eingegeben haben), die Tool-Aufrufe, die Claude an FirmenData richtet, und die von uns zurückgegebenen Antworten — Anthropic verarbeitet dies als eigener Verantwortlicher zur Bereitstellung des Produkts Claude.

Ihre Wahl: Sie können den FirmenData-Connector in Claude jederzeit deaktivieren oder entfernen. Die Deaktivierung stoppt jeglichen weiteren Datenfluss zwischen Claude und FirmenData.

Für die Verarbeitung durch Anthropic als eigener Verantwortlicher gilt die Datenschutzerklärung von Anthropic unter anthropic.com. Wir haben keinen Einfluss darauf, wie Anthropic die Inhalte Ihrer Claude-Konversationen speichert oder verwendet.

Wir verwenden Google Analytics, um grundlegende Besucherstatistiken zu erfassen und die Nutzung unserer Website zu analysieren (zum Beispiel Seitenaufrufe, Sitzungsinformationen, grobe Standortinformationen und Geräteinformationen).

Google Analytics wird nicht für Werbefunktionen, Remarketing oder Marketingprofilbildung eingesetzt.

• Zweck: aggregierte Analyse der Website-Nutzung und Verbesserung unseres Angebots.
• Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sofern Cookies oder ähnliche Technologien eingesetzt werden, ist zusätzlich eine Einwilligung nach den einschlägigen gesetzlichen Vorschriften erforderlich.
• Einwilligungssteuerung: Google Analytics wird nur aktiviert, wenn Sie über unsere Cookie-Einstellungen eingewilligt haben.
• Internationale Datenübermittlungen: Google kann Daten in den USA oder anderen Drittstaaten verarbeiten. Wir stützen uns auf geeignete Garantien, insbesondere Standardvertragsklauseln, sowie gegebenenfalls anerkannte Angemessenheitsbeschlüsse.

Wenn Sie uns kontaktieren (zum Beispiel über das Kontaktformular oder per E-Mail), verarbeiten wir die von Ihnen mitgeteilten Daten, um Ihre Anfrage zu bearbeiten.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen oder vorvertraglichen Anfragen, ansonsten Art. 6 Abs. 1 lit. f DSGVO.
• Speicherdauer: Wir speichern Anfragedaten nur so lange, wie dies zur Bearbeitung Ihrer Anfrage und zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist (siehe Abschnitt 18).

Server- und Anwendungsprotokolle, die auch IP-Adressen enthalten können, speichern wir grundsätzlich für nicht länger als 14 Tage, es sei denn, eine längere Speicherung ist im Einzelfall erforderlich (zum Beispiel zur Untersuchung von Sicherheitsvorfällen) oder gesetzlich vorgeschrieben.

Bitte beachten Sie, dass unsere Dienstleister (zum Beispiel Cloudflare, Auth0, Stripe, Zoho, Google) eigene Speicherfristen gemäß ihren vertraglichen und dokumentierten Regelungen anwenden können.

Über die in Abschnitt 17 genannte 14-tägige Speicherfrist für Server-Logs hinaus gelten folgende Speicherdauern:

• Kontodaten (Name, E-Mail, Registrierungs- und Login-Zeitstempel): solange Ihr Konto besteht; nach Löschung des Kontos behalten wir minimale Datensätze, soweit zur Erfüllung gesetzlicher Pflichten erforderlich.
• Abrechnungs- und Rechnungsdaten: 10 Jahre nach Ende des Geschäftsjahres gemäß §147 AO und §257 HGB.
• Abonnementstatus (Tarif, Verlängerungsdaten, Kündigung): solange das Abonnement aktiv ist und im Anschluss für die Dauer der vorgenannten Aufbewahrungsfrist für Abrechnungsdaten.
• Merklisteneinträge: bis zur Entfernung durch Sie oder Löschung Ihres Kontos.
• API-Schlüssel: bis zum Widerruf durch Sie oder Löschung Ihres Kontos.
• API-Nutzungszähler (Request-Zähler pro Schlüssel und Credit-Verbrauch): bis zu 90 Tage tagesgenau, anschließend automatische Löschung.
• Webhook-Konfiguration und Zustelllogs: Webhook-Ziele bleiben gespeichert, bis Sie diese entfernen; Zustelllogs maximal 30 Tage, sofern nicht länger zur Diagnose von Fehlern erforderlich.
• Kontaktanfragen: solange zur Bearbeitung der Anfrage erforderlich und im Anschluss im Rahmen der üblichen geschäftlichen Korrespondenz-Aufbewahrung (typischerweise bis zu 6 Jahre nach HGB / AO, soweit anwendbar).
• Personenbezogene Daten aus öffentlichen Registern (siehe Abschnitt 4): solange die Entität in unserem Index geführt wird und die zugrunde liegenden Daten weiterhin öffentlich verfügbar sind. Wir aktualisieren Registerdaten regelmäßig; Korrekturen in der Quelle werden bei der nächsten erneuten Erfassung in unseren Index übernommen.

Wir können personenbezogene Daten weitergeben an:

• Auftragsverarbeiter, die uns bei der Bereitstellung des Dienstes unterstützen (Hosting, CDN/Proxy, Sicherheit, Authentifizierung, Zahlungsabwicklung, E-Mail-Zustellung, Webanalyse, KI-Zusammenfassungen, MCP-Transport).
• Behörden, sofern wir gesetzlich zur Offenlegung verpflichtet sind.
• Andere FirmenData-Nutzer hinsichtlich Daten zu Personen, die in den von unserem Dienst abgedeckten öffentlichen Registern genannt sind (siehe Abschnitt 4) — dies ist der Kernzweck des Dienstes.

Ein Verkauf personenbezogener Daten findet nicht statt.

Einige unserer Dienstleister haben ihren Sitz außerhalb der EU oder des EWR, insbesondere in den USA. In solchen Fällen verwenden wir geeignete Garantien gemäß Art. 44 ff. DSGVO, insbesondere:

• Standardvertragsklauseln (SCC)
• Zusätzliche technische und organisatorische Maßnahmen, soweit erforderlich
• Angemessenheitsbeschlüsse oder anerkannte Rahmenwerke, soweit anwendbar

Nach der DSGVO stehen Ihnen folgende Rechte zu, vorbehaltlich der gesetzlichen Voraussetzungen:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die in Abschnitt 1 genannten Kontaktdaten. Wenn Sie eine in unserem Registerdaten-Index genannte betroffene Person sind (siehe Abschnitt 4), nennen Sie bitte den betreffenden Unternehmenseintrag.

Bearbeitungsfrist: Wir bearbeiten Anträge nach der DSGVO unverzüglich und spätestens innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). In besonders komplexen oder umfangreichen Fällen kann die Frist um zwei weitere Monate verlängert werden; wir informieren Sie in diesem Fall innerhalb eines Monats nach Eingang über die Verlängerung und deren Gründe.

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Für Berlin kann dies die Berliner Beauftragte für Datenschutz und Informationsfreiheit sein.

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.

Wir behalten uns vor, diese Datenschutzerklärung von Zeit zu Zeit anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website verfügbar. Sollten Änderungen Sie wesentlich betreffen, werden wir Sie in geeigneter Weise informieren.

Unsere Dienste richten sich an gewerbliche Nutzer (B2B). Wir vermarkten unsere Dienste nicht an Kinder. Wir erheben wissentlich keine personenbezogenen Daten zu Personen unter 16 Jahren. Sollten Sie Kenntnis davon erhalten, dass uns ein Kind personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte über die Angaben in Abschnitt 1; wir werden geeignete Schritte zur Löschung einleiten.

Diese Erklärung betrifft Daten zu Ihrer Person als Besucher oder registrierter Nutzer. Sie ändert nichts an der Verarbeitung öffentlich eingereichter Registerdaten, bei denen das Alter der genannten Personen durch das Register selbst bestimmt wird.