1. Kontaktdaten des Verantwortlichen
Creditsafe Deutschland GmbH („Creditsafe“, „wir“, „uns“)
Sonnenallee 221 F
12059 Berlin
E-Mail: [email protected]
Telefon: +4930 - 756 499 000
2. Kontaktdaten des Datenschutzbeauftragten
PROLIANCE GmbH
Leopoldstr. 21
80802 München
www.datenschutzexperte.de
(Bei Kontaktaufnahme mit dem Datenschutzbeauftragten geben Sie bitte an, dass Sie sich auf Creditsafe)
3. Zwecke und Rechtsgrundlagen der Verarbeitung
a) Geschäftsbeziehung und Vertragsdurchführung
Wir verarbeiten personenbezogene Daten, soweit dies für die Anbahnung, Durchführung und Abwicklung von Vertragsbeziehungen erforderlich ist. Dies umfasst insbesondere:
· Anbahnung von Verträgen: Bearbeitung von Anfragen, Angebotserstellung, Terminkoordination
· Durchführung von Verträgen: Verwaltung von Vertragsstammdaten, Abrechnung, Rechnungsstellung, Zahlungsabwicklung,
· Kommunikation im Rahmen der Vertragsbeziehung: Nutzung Ihrer Kontaktdaten für Rückfragen und Abstimmungen im laufenden Vertragsverhältnis, Bearbeitung von Support-Anfragen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).
b) Bonitätsprüfung
Vor Abschluss eines Vertrages führen wir eine Bonitätsprüfung des Unternehmens durch. Hierzu nutzen wir Daten aus unserer eigenen Unternehmensdatenbank. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Vermeidung von Zahlungsausfällen, der Sicherstellung einer ordnungsgemäßen Vertragsdurchführung sowie dem Schutz unseres Unternehmens vor wirtschaftlichen Schäden. Die Verarbeitung betrifft ausschließlich unternehmensbezogene bzw. geschäftlich veranlasste personenbezogene Daten. Aufgrund des geschäftlichen Kontextes und der im Wirtschaftsverkehr allgemein üblichen Praxis von Bonitätsprüfungen vor Vertragsabschlüssen überwiegen keine schutzwürdigen Interessen der betroffenen Personen.
c) Zahlungserfahrungen und DBT-Wert
Wir speichern Zahlungserfahrungen (z. B. pünktlich, verspätet oder nicht bezahlt) in unserer internen Kundendatenbank. Diese fließen in unseren unternehmensbezogenen Zahlungserfahrungspool ein und werden zur Bildung eines „Days Beyond Terms“-Wertes (DBT-Wert) verarbeitet, der Bestandteil unserer Firmenauskünfte ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Bewertung von Zahlungsausfallrisiken sowie der Bereitstellung bonitätsrelevanter Informationen zur Unterstützung wirtschaftlicher Entscheidungen im Geschäftsverkehr. Überwiegende schutzwürdige Interessen der betroffenen Personen stehen dem nicht entgegen, da ausschließlich geschäftsbezogene Informationen verarbeitet werden.
d) Inkassoverfahren
Im Falle von Zahlungsverzug beauftragen wir die Napiorkowski Margaretha Szeja Partnerschaft von Rechtsanwälten mbB, Puschkinallee 3, 14469 Potsdam, mit der Geltendmachung unserer Forderungen. Hierzu übermitteln wir die hierfür erforderlichen Daten (z. B. Name, Kontaktdaten, Forderungshöhe, Vertragsinformationen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Durchsetzung von Forderungen). Die Kanzlei verarbeitet die übermittelten Daten in eigener datenschutzrechtlicher Verantwortung. Weitere Informationen zum Datenschutz finden Sie auf der Website der Kanzlei.
e) Cloud-Kommunikation und Gesprächsprotokolle
Für die Durchführung geschäftlicher Telefonate und Videokonferenzen nutzen wir die Dienste 8x8 und Microsoft Teams. Dabei werden im Rahmen der technischen Bereitstellung der Kommunikation insbesondere Verbindungs- und Nutzungsdaten (z. B. Kontaktdaten, Zeitstempel, Dauer der Verbindung, IP-Adresse) verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der effizienten, sicheren und nachvollziehbaren Durchführung geschäftlicher Kommunikation.
f) Aufzeichnung von Gesprächen
Es ist inzwischen gängige Praxis, Telefongespräche und Online-Meetings (einschließlich MS Teams und Zoom) aufzuzeichnen, insbesondere vor dem Hintergrund der zunehmenden Remote-Arbeit. Telefongespräche und Online-Meetings (z. B. MS Teams, Zoom) werden nur mit vorheriger ausdrücklicher Einwilligung aller Beteiligten aufgezeichnet. Ohne Einwilligung erfolgt keine Aufzeichnung. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden; in diesem Fall wird die Aufzeichnung beendet und gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Die Aufzeichnungen dienen folgenden Zwecken:
· Verbesserung der Qualität des Kundenservice
· Unterstützung von Schulungs- und Weiterbildungsmaßnahmen
· Dokumentation vertraglicher Absprachen
· Untersuchung und Bearbeitung von Beschwerden
· Aufdeckung, Untersuchung und Verhinderung von Straftaten, insbesondere Betrug
Aufzeichnungen von Anrufen und Meetings werden für einen Zeitraum von 6 Monaten gespeichert. Darüber hinaus setzt Creditsafe automatisierte Tools, einschließlich KI, zur Analyse aufgezeichneter Gespräche ein, um diese Zwecke zu unterstützen. Die Ergebnisse werden von unseren Mitarbeitern überprüft; Entscheidungen erfolgen nicht ausschließlich auf Grundlage automatisierter Verarbeitung im Sinne des Art. 22 DSGVO. Die Weiterverarbeitung dient den folgenden Zwecken:
· Erstellung von Transkripten und Zusammenfassungen des Gesprächs, die im CRM-System des Kunden gespeichert und gegebenenfalls dem Kunden zur Verfügung gestellt werden
· Unterstützung von Coaching- und Qualitätssicherungsmaßnahmen für Vertriebsmitarbeiter und Führungskräfte zur Verbesserung von Service und Leistung
· Identifikation von Vertriebschancen sowie Unterstützung bei Forecasting und Pipeline-Management auf Grundlage der im Gespräch gewonnenen Informationen
· Ableitung von Maßnahmen zur Steigerung der Kundenzufriedenheit und Verbesserung der Servicequalität über die gesamte Kundenbeziehung hinweg
g) Technische Weiterentwicklung unserer Dienstleistungen
Soweit personenbezogene Daten zur Verbesserung unserer Systeme (z. B. Nutzeroberfläche, Suchmasken oder andere Funktionalitäten) verarbeitet werden, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Weiterentwicklung unserer Produkte, in der Erhöhung der Benutzerfreundlichkeit sowie in einer effizienten Nutzung unserer Dienstleistungen.
h) Interne Controlling-Maßnahmen
Wir verarbeiten personenbezogene Daten im Rahmen unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO auch zu internen Controlling- und Berichtszwecken. Hierzu setzen wir insbesondere die Systeme Microsoft Dynamics 365 (CRM) sowie Microsoft Power BI ein. Die Verarbeitung dient der betriebswirtschaftlichen Effizienzsteigerung, der Erstellung interner Reports, der Qualitätssicherung unserer Dienstleistungen sowie der Einhaltung gesetzlicher und interner Vorgaben.
i) Direktwerbung
Wir nutzen Ihre Kontaktdaten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO für Direktwerbung im Rahmen unserer bestehenden Geschäftsbeziehung. Dies umfasst insbesondere die Information über ähnliche Produkte oder Dienstleistungen, Kundenzufriedenheitsumfragen oder den Versand von Grußkarten. Sie haben jederzeit das Recht, der Verarbeitung Ihrer Daten zu Zwecken der Direktwerbung zu widersprechen. In jeder E-Mail ist ein Abmeldelink enthalten.
4. Kategorien der Daten
Im Rahmen der Geschäftsbeziehung und der beschriebenen Verarbeitungsvorgänge verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:
· Stammdaten: Name, Unternehmen, Funktion, Anschrift, Kontaktdaten (E-Mail, Telefonnummer)
· Vertrags- und Abrechnungsdaten: Vertragsstammdaten, Rechnungs- und Zahlungsinformationen, Bankverbindungen
· Kommunikationsdaten: Schriftverkehr per E-Mail, Gesprächsnotizen, Support-Anfragen
· Telefonie- und Gesprächsdaten (8x8 / Gong): Telefonnummern, Datum, Uhrzeit, Dauer von Gesprächen, ggf. Gesprächsaufzeichnungen und Transkripte
· Bonitäts- und Zahlungsinformationen: Daten aus Bonitätsprüfungen, interne Zahlungserfahrungen (z. B. offene oder pünktlich beglichene Forderungen)
· Inkassodaten: Forderungshöhe, Mahndaten, relevante Vertragsinformationen (nur im Inkassofall)
· System- und Nutzungsdaten: Nutzungsreports und Systemprotokolle, Support-Anfragen und -Tickets, Rechercheaufträge und Suchanfragen innerhalb der Systeme, Informationen zur Produktnutzung („Usage Data“)
5. Herkunft der Daten
Wir verarbeiten personenbezogene Daten, die wir auf folgenden Wegen erhalten:
· Direkterhebung bei Ihnen
o Im Rahmen von Anfragen, Angeboten, Vertragsabschlüssen oder laufender Kommunikation (z. B. Kontaktdaten, Vertragsdaten, Support-Anfragen, Rechercheaufträge, Suchanfragen, Nutzung unserer Produkte und Dienstleistungen).
· Interne Systeme und Prozesse
o Daten, die während der Nutzung unserer Produkte und Dienstleistungen entstehen (z. B. Nutzungsreports, Systemprotokolle, Produkt-Usage-Daten).
o Daten aus unserem CRM-System
· Konzerninterne Datenquellen
o Zugriff auf Daten aus der Creditsafe-Gruppe, z. B. Wirtschaftsinformationen und Zahlungserfahrungen mit Ihrem Unternehmen.
o Eigene Wirtschaftsdatenbank - Informationen, die in unserer konzernweiten Datenbank für Wirtschaftsinformationen gespeichert sind
· Öffentlich zugängliche Quellen
· Inkassopartner
o Daten aus Forderungsmanagementverfahren, die uns von unserem Inkassodienstleister Napiorkowski Margaretha Szeja Partnerschaft von Rechtsanwälten mbB übermittelt werden.
6. Empfänger der Daten
Wir geben Ihre personenbezogenen Daten innerhalb unseres Unternehmens ausschließlich an die Bereiche und Personen weiter, die diese Daten zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten bzw. zur Wahrung unserer berechtigten Interessen benötigen.
Die im CRM-System von Creditsafe gespeicherten Daten (z. B. Vertragsstammdaten, Kontaktdaten) sind für die mit Creditsafe verbundenen Unternehmen zugänglich.
Ihre personenbezogenen Daten können zudem durch Auftragsverarbeiter nach Art. 28 DSGVO in unserem Auftrag verarbeitet werden. In diesen Fällen stellen wir sicher, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Typische Kategorien von Auftragsverarbeitern sind:
· Anbieter von IT-Dienstleistungen und Rechenzentren (innerhalb der EU und UK)
· Anbieter von CRM- und Business-Intelligence-Systemen
· Anbieter von Kommunikationssystemen
· Versanddienstleister und Internet-Provider
Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit dies gesetzlich zulässig oder erforderlich ist, Sie eingewilligt haben oder dies zur Vertragsdurchführung notwendig ist. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten insbesondere sein:
· Externe Steuerberater und Wirtschaftsprüfer
· Betroffene Personen, die ihr Auskunftsrecht nach Art. 15 DSGVO geltend machen
· Öffentliche Stellen und Institutionen (z. B. Strafverfolgungsbehörden, Finanzämter, Aufsichtsbehörden), wenn eine gesetzliche Verpflichtung besteht
· Unser Inkassopartner Napiorkowski Margaretha Szeja Partnerschaft von Rechtsanwälten mbB, Potsdam, soweit dies für die Geltendmachung von Forderungen erforderlich ist
7. Übermittlung in ein Drittland
Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU/des EWR) erfolgt nur, wenn hierfür eine rechtliche Grundlage besteht. Das ist insbesondere der Fall, wenn die Übermittlung zur Erfüllung vertraglicher Pflichten erforderlich ist, eine gesetzliche Verpflichtung besteht, Sie eingewilligt haben oder die Verarbeitung im Rahmen einer Auftragsverarbeitung erfolgt. Wir stellen sicher, dass für jede Drittlandübermittlung geeignete Garantien im Sinne der DSGVO bestehen, um ein angemessenes Datenschutzniveau sicherzustellen. Folgende Übermittlungen in Drittländer finden statt:
· Creditsafe-Unternehmensgruppe: Bestimmte Daten (z. B. Vertragsstammdaten, Kontaktdaten) sind für verbundene Unternehmen innerhalb der Creditsafe-Gruppe auch in Drittländern (z. B. USA, Kanada, Großbritannien, Japan) zugänglich. Für Großbritannien und Japan bestehen Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DSGVO. Für Übermittlungen in andere Drittländer stellt Creditsafe ein angemessenes Datenschutzniveau insbesondere durch den Abschluss von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO sicher. Ergänzend führen wir – soweit erforderlich – eine Bewertung der jeweiligen Datenübermittlung durch (sogenanntes Transfer Impact Assessment).
· Microsoft: Microsoft Ireland Operations Limited, Dublin, Irland, ist unser Vertragspartner. Eine Übermittlung in die USA kann nicht ausgeschlossen werden.
· 8x8: Zur Abwicklung von Geschäftstelefonie nutzen wir die Dienste von 8x8 Inc., Campbell, CA, USA.
· Gong: Für die Transkription und Analyse von Geschäftsgesprächen nutzen wir Gong.io Inc., San Francisco, CA, USA.
· Freshdesk: Zur Bearbeitung und Nachverfolgung von Support-Anfragen nutzen wir das cloudbasierte Ticketsystem Freshdesk des Anbieters Freshworks Inc., San Mateo, Kalifornien, USA. Eine Übermittlung in die USA kann erfolgen.
8. Speicherdauer und Löschung
· Wir verarbeiten und speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die genannten Zwecke erforderlich ist oder wir rechtlich zur Speicherung verpflichtet sind.
· Vertrags- und Abrechnungsdaten: Speicherung für die Dauer der Geschäftsbeziehung. Darüber hinaus bestehen gesetzliche Aufbewahrungspflichten nach HGB und AO von 6 bis 10 Jahren.
· Kommunikations- und Gesprächsdaten: Gesprächsaufzeichnungen werden im Falle eines Widerrufs der Einwilligung unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten oder zwingenden Gründe für eine weitere Speicherung bestehen (z. B. zur Rechtsverteidigung). Unabhängig davon werden Aufzeichnungen spätestens nach 6 Monaten automatisch gelöscht, sofern sie bis dahin nicht bereits entfernt wurden. Eine darüberhinausgehende Speicherung von Transkripten oder Gesprächsprotokollen erfolgt nur, wenn hierfür eine gesetzliche Grundlage besteht oder dies im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
· Bonitätsinformationen und Zahlungserfahrungen: Speicherung für die Dauer der Geschäftsbeziehung sowie für eine angemessene Zeit danach (in der Regel bis zu 3 Jahre nach Vertragsende, entsprechend gesetzlicher Verjährungsfristen).
· Inkassodaten (Napiorkowski Margaretha Szeja Partnerschaft): Speicherung für die Dauer des Inkassoverfahrens; danach gelten die dortigen gesetzlichen Aufbewahrungspflichten.
· Interne Controlling-Daten (Dynamics, Power BI): Speicherung solange erforderlich, danach Anonymisierung oder Löschung.
· Sobald der jeweilige Zweck entfällt oder gesetzliche Fristen ablaufen, werden die Daten unverzüglich gelöscht oder anonymisiert. Schließlich richtet sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z. B. nach den §§ 195 ff. BGB in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.
9. Ihre Rechte
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Mitteilung nach Art. 19 DSGVO sowie das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Darüber hinaus besteht ein Beschwerderecht bei der jeweils zuständigen Datenschutzaufsichtsbehörde nach Art. 77 DSGVO, wenn der Betroffene der Ansicht ist, dass die Verarbeitung der personenbezogenen Daten nicht rechtmäßig erfolgt ist. Für Creditsafe ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de) zuständig. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Sofern die Verarbeitung von Daten auf Grundlage einer Einwilligung erfolgt ist, sind Betroffene nach Art. 7 DSGVO berechtigt, die Einwilligung in die Verarbeitung der personenbezogenen Daten jederzeit zu widerrufen. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirksam wird. Verarbeitungen, die vor der Erklärung des Widerrufs erfolgt sind, sind davon nicht betroffen.
10. Erforderlichkeit der Bereitstellung der Daten
Die Bereitstellung personenbezogener Daten für die Entscheidung über einen Vertragsabschluss, die Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erfolgt freiwillig. Wir können eine Entscheidung im Rahmen vertraglicher Maßnahmen jedoch nur treffen, sofern Sie solche personenbezogenen Daten angeben, die für den Vertragsschluss, die Vertragserfüllung bzw. vorvertragliche Maßnahmen erforderlich sind.
11. Automatisierte Entscheidungsfindung und Profiling
Zur Begründung, Erfüllung oder Durchführung der Geschäftsbeziehung sowie für vorvertragliche Maßnahmen nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren bzw. Ihre Einwilligung einholen, sofern dies gesetzlich vorgegeben ist.
12. Widerspruchsrecht:
Soweit die Verarbeitung Ihre personenbezogenen Daten nach Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen erfolgt, haben Sie gemäß Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung dieser Daten einzulegen. Wir verarbeiten diese personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen. Diese müssen Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung muss der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen.
Stand: April 2026