Datenschutzerklärung – Guventa

Version 1.1 | Stand 2026

Die aktuellste Version ist jederzeit abrufbar unter https://guventa.de/company/dsgvo

1. Verantwortlicher

(1) Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für diese Website sowie für die in dieser Datenschutzerklärung beschriebenen Verarbeitungsvorgänge ist: Haydar Güven, Guventa, Spiekeroogweg 4, 45149 Essen, E-Mail: [email protected]

2. Rollenverteilung: Verantwortlicher und Auftragsverarbeiter

(1) Für die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung der Plattformdienstleistung gegenüber registrierten Kunden handelt Guventa als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines gesondert geschlossenen Auftragsverarbeitungsvertrags (AVV). Deutschland: Bundesdatenschutzgesetz (DE) §62 BDSG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 28 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 9 DSG Vereinigtes Königreich: UK GDPR (UK) Article 28
(2) Für die Verarbeitung personenbezogener Daten im Rahmen des Website-Besuchs, der Kontaktaufnahme, der Terminvereinbarung sowie der eigenen geschäftlichen Kommunikation handelt Guventa als Verantwortlicher gemäß Art. 4 Nummer 7 DSGVO. Deutschland: Bundesdatenschutzgesetz (DE) §4 BDSG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 4 Nummer 7 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 5 Buchstabe j DSG Vereinigtes Königreich: UK GDPR (UK) Article 4(7)
(3) Das Kundenportal unter cs.guventa.de wird als White-Label-Lösung über die Infrastruktur von HighLevel (LeadConnector LLC) bereitgestellt. Die datenschutzrechtliche Einordnung richtet sich nach dem jeweils geschlossenen AVV sowie den dort benannten Unterauftragsverarbeitern.
(4) Grundsatz: Daten, die Kunden über die Plattform für eigene Endkunden verarbeiten, unterliegen der Auftragsverarbeitung; Daten, die Guventa selbst erhebt, um eigene Dienstleistungen zu erbringen, Verträge anzubahnen oder eigene Pflichten zu erfüllen, unterliegen der eigenen Verantwortlichkeit.

3. Besuch der Website

3.1 Server-Logfiles

(1) Beim Besuch der Website werden automatisch Daten verarbeitet, die Ihr Browser übermittelt, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und -version, Betriebssystem, Referrer-URL sowie Statuscodes. Zweck ist die Auslieferung der Website, Sicherstellung der Stabilität, Fehleranalyse, Abwehr von Angriffen und Missbrauchsprävention.
(2) Rechtsgrundlage ist das berechtigte Interesse an IT-Sicherheit, Stabilität und Missbrauchsprävention. Deutschland: Bundesdatenschutzgesetz (DE) §4 BDSG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe f DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(f)

3.2 Cookie-Consent-System

(1) Tracking-, Analyse- und Marketing-Tools werden ausschließlich nach ausdrücklicher Einwilligung aktiviert, soweit Guventa diese Tools technisch aktiviert. Die Einwilligung wird protokolliert; ein Widerruf oder eine Änderung ist jederzeit über den dauerhaft im Footer jeder Seite eingebundenen Link „Cookie-Einstellungen“ möglich.
(2) Rechtsgrundlage ist die Einwilligung. Deutschland: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (DE) §25 Absatz 1 TDDDG und Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (grundsatzbasiert; einwilligungsbasiert soweit nach Ausgestaltung erforderlich) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(a) sowie Privacy and Electronic Communications Regulations 2003 (UK) Regulation 6

3.3 Microsoft Clarity (optional)

(1) Microsoft Clarity kann zur Analyse des Nutzerverhaltens (z. B. Scroll- und Klickverhalten) eingesetzt werden. Die Aktivierung erfolgt ausschließlich nach Einwilligung und nur dann, wenn Guventa Clarity technisch aktiviert. Guventa konfiguriert Clarity – sofern eingesetzt – so, dass keine sensitiven Formulareingaben aufgezeichnet werden (z. B. Maskierung).
(2) Drittlandübermittlungen können erfolgen und werden auf Grundlage der jeweils gültigen Mechanismen abgesichert (z. B. DPF, soweit zertifiziert, andernfalls SCC sowie zusätzliche technische und organisatorische Maßnahmen).
(3) Rechtsgrundlage ist die Einwilligung. Deutschland: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (DE) §25 Absatz 1 TDDDG und Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (grundsatzbasiert; einwilligungsbasiert soweit nach Ausgestaltung erforderlich) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(a) sowie Privacy and Electronic Communications Regulations 2003 (UK) Regulation 6

3.4 Google Analytics (GA4) (optional)

(1) Google Analytics (GA4) kann zur statistischen Auswertung der Website-Nutzung eingesetzt werden. Die Verarbeitung erfolgt ausschließlich nach Einwilligung und nur dann, wenn Guventa Google Analytics technisch aktiviert. Soweit technisch vorgesehen, wird eine IP-Kürzung/Anonymisierung genutzt und die Datenverarbeitung auf Datenminimierung ausgerichtet.
(2) Drittlandübermittlungen können erfolgen und werden auf Grundlage der jeweils gültigen Mechanismen abgesichert (z. B. DPF, soweit zertifiziert, andernfalls SCC sowie zusätzliche technische und organisatorische Maßnahmen).
(3) Rechtsgrundlage ist die Einwilligung. Deutschland: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (DE) §25 Absatz 1 TDDDG und Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (grundsatzbasiert; einwilligungsbasiert soweit nach Ausgestaltung erforderlich) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(a) sowie Privacy and Electronic Communications Regulations 2003 (UK) Regulation 6

4. Kontaktaufnahme und Anfragen

(1) Bei Kontaktaufnahme verarbeitet Guventa insbesondere Name, E-Mail-Adresse, Telefonnummer (sofern angegeben) und den Inhalt der Anfrage. Zweck ist die Bearbeitung der Anfrage, Kommunikation sowie die Anbahnung und Durchführung vertraglicher Beziehungen.
(2) Rechtsgrundlage ist die Durchführung vorvertraglicher Maßnahmen oder Vertragserfüllung. Deutschland: Bürgerliches Gesetzbuch (DE) §311 Absatz 2 BGB Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe b DSGVO Schweiz: Obligationenrecht (CH) Artikel 1 OR i. V. m. DSG Artikel 6 Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(b)
(3) Speicherdauer: Anfragen werden maximal sechs Monate gespeichert und anschließend gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht oder eine Zusammenarbeit beginnt.

5. Terminbuchung

(1) Bei Terminbuchungen werden die für die Organisation und Durchführung notwendigen Daten verarbeitet (insbesondere Name, Kontaktinformationen, Terminparameter sowie ggf. Nachrichtentexte). Zweck ist die Terminorganisation und Durchführung vorvertraglicher Maßnahmen oder bestehender Vertragsbeziehungen.
(2) Rechtsgrundlage ist die Durchführung vorvertraglicher Maßnahmen oder Vertragserfüllung. Deutschland: Bürgerliches Gesetzbuch (DE) §311 Absatz 2 BGB Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe b DSGVO Schweiz: Obligationenrecht (CH) Artikel 1 OR i. V. m. DSG Artikel 6 Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(b)
(3) Soweit eine Terminbuchung ohne zuvor erteilte Einwilligungen für optionale Technologien erfolgt, werden diese Technologien nicht aktiviert; eine etwaige Bestätigungs- oder Informationsmail kann aus organisatorischen Gründen versendet werden.

6. Kundenportal (cs.guventa.de) und Plattformbetrieb

(1) Das Kundenportal wird als White-Label-Lösung über die Infrastruktur von HighLevel (LeadConnector LLC) bereitgestellt. Die Verarbeitung von Daten, die Kunden über die Plattform für eigene Endkunden verarbeiten, erfolgt im Rahmen der Auftragsverarbeitung auf Grundlage des AVV.
(2) Verarbeitet werden insbesondere Vertrags- und Stammdaten, Angebots- und Rechnungsdaten, Projektdokumente, Kommunikationsdaten sowie – sofern im Rahmen der Zusammenarbeit eingesetzt – Meeting-Transkripte, Auswertungen und operative Notizen.
(3) Speicherdauer und Löschung innerhalb der Plattform richten sich vorrangig nach den vertraglichen Regelungen und den jeweiligen Projekt- bzw. Account-Lifecycle-Regeln (insbesondere Sperr-, Aufbewahrungs- und Löschfristen bei Vertragsende oder Zahlungsverzug). Ergänzend gilt: Nach erfolgreichem Projektabschluss oder wenn kein Projekt zustande kommt, werden projektbezogene Daten regelmäßig nach drei Monaten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder eine längere Speicherung zur Durchsetzung oder Abwehr von Ansprüchen erforderlich ist.
(4) Die Speicherung und Übertragung erfolgt nach den jeweils vorgesehenen technischen und organisatorischen Maßnahmen, einschließlich Verschlüsselung und Zugriffsschutz, soweit technisch umgesetzt.

7. Telefon- und Meetingaufzeichnungen

(1) Telefonate über die Hauptrufnummer sowie digitale Meetings können aufgezeichnet werden, insbesondere zur Dokumentation, Qualitätssicherung und zur Nachvollziehbarkeit von Projektabsprachen. Vor Beginn der Aufzeichnung erfolgt ein ausdrücklicher Hinweis.
(2) Der Gesprächspartner kann der Aufzeichnung zu Beginn oder jederzeit während des Gesprächs widersprechen. In diesem Fall wird die Aufzeichnung beendet und – soweit organisatorisch möglich – das Gespräch über einen alternativen Kommunikationsweg ohne Aufzeichnung fortgeführt; andernfalls kann das Gespräch beendet werden.
(3) Rechtsgrundlage ist die Einwilligung, soweit eine Aufzeichnung erfolgt, sowie ergänzend die Vertragserfüllung, soweit die Dokumentation für die projektbezogene Durchführung erforderlich ist. Deutschland: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (DE) §25 Absatz 1 TDDDG und Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO sowie Artikel 6 Absatz 1 Buchstabe b DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO sowie Artikel 6 Absatz 1 Buchstabe b DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (grundsatzbasiert; einwilligungsbasiert soweit erforderlich) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(a) und Article 6(1)(b)
(4) Speicherdauer: Aufzeichnungen werden mindestens für die Dauer der Projektumsetzung gespeichert. Nach erfolgreichem Abschluss werden Aufzeichnungen regelmäßig nach drei Monaten gelöscht; bei Nichtzustandekommen eines Projekts erfolgt die Löschung regelmäßig nach drei Monaten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder eine längere Speicherung zur Durchsetzung oder Abwehr von Ansprüchen erforderlich ist.

8. KI-gestützte Verarbeitung (No-Train, Retention, EU AI Act-orientierte Governance)

(1) Guventa kann KI-gestützte Systeme zur Unterstützung operativer Prozesse einsetzen, insbesondere zur Transkription von Gesprächen, zur automatisierten Zusammenfassung von Meetings, zur Analyse eingehender Kommunikationsinhalte, zur Priorisierung von Supportanfragen sowie zur Unterstützung eingehender und ausgehender Kommunikation. Der Einsatz erfolgt unterstützend; rechtlich relevante Entscheidungen werden nicht allein automatisiert durch KI getroffen.
(2) Zweckbindung: Die Verarbeitung erfolgt ausschließlich zur Effizienzsteigerung, Dokumentationsunterstützung, Qualitätsverbesserung, internen Analyse sowie zur Verbesserung der Service- und Supportprozesse.
(3) No-Train: Guventa verfolgt das Prinzip, KI-Verarbeitungen so zu gestalten, dass Eingaben und Ausgaben nicht zum Training allgemeiner Modelle der KI-Anbieter verwendet werden, soweit dies vom jeweiligen Anbieter vertraglich und technisch angeboten wird.
(4) Retention/Zero Data Retention: Soweit KI-Funktionen nativ über die HighLevel-/LeadConnector-Plattform genutzt werden, erfolgt die Aktivierung ausschließlich unter einer Zero-Data-Retention-Logik bzw. einer vertraglich gleichwertigen Retention-freien oder Retention-minimierten Konfiguration, soweit dies für die jeweilige Funktion verfügbar ist. Marketplace-Add-ons und Drittanbieter-Integrationen sind hiervon ausgenommen und können eigene Retention- und Trainingslogiken haben; solche Funktionen werden nur bei entsprechender Aktivierung und mit den dann geltenden Hinweisen eingesetzt.
(5) Keine Hochrisiko-KI: Die eingesetzten KI-Systeme dienen ausschließlich unterstützenden Zwecken. Es erfolgt insbesondere keine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung, keine automatisierte Kreditwürdigkeitsprüfung, keine biometrische Identifizierung und keine Bewertung persönlicher Eigenschaften im Sinne eines Profilings mit Rechtswirkung.
(6) Menschliche Kontrolle: Sämtliche KI-generierten Inhalte unterliegen einer nachgelagerten menschlichen Kontrolle. Verbindliche, rechtlich oder wirtschaftlich erhebliche Entscheidungen werden ausschließlich durch natürliche Personen getroffen.
(7) Transparenz: Sofern eine Interaktion ganz oder teilweise KI-gestützt geführt wird, erfolgt vor Beginn ein ausdrücklicher Hinweis, soweit dies organisatorisch und technisch möglich ist. Ein alternativer Kommunikationsweg ohne KI-gestützte Verarbeitung wird angeboten, soweit organisatorisch möglich.
(8) Datenminimierung: Die KI-Verarbeitung beschränkt sich auf die für den jeweiligen Zweck erforderlichen Daten. Eine dauerhafte Speicherung von Rohdaten in KI-Systemen erfolgt nicht außerhalb der vertraglich vorgesehenen Infrastruktur, soweit dies technisch und vertraglich durchsetzbar ist.
(9) Risikobewertung und Governance: Guventa führt interne Bewertungen der eingesetzten KI-Systeme durch und dokumentiert Zweck, Einsatzbereich, potenzielle Risiken sowie technische und organisatorische Schutzmaßnahmen. Die KI-Nutzung ist in das interne Informationssicherheits-Managementsystem (ISMS) integriert.

9. Marketingkommunikation

(1) Marketingmaßnahmen (z. B. Newsletter, Aktionen) erfolgen ausschließlich auf Grundlage ausdrücklicher Einwilligung. Newsletter und Aktionsinformationen sind getrennt abwählbar.
(2) Widerrufe werden unverzüglich technisch umgesetzt, regelmäßig spätestens innerhalb von 72 Stunden. Ein Widerruf ist möglich über [email protected]
(3) Rechtsgrundlage ist die Einwilligung. Deutschland: Gesetz gegen den unlauteren Wettbewerb (DE) §7 UWG und Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Schweiz: Bundesgesetz gegen den unlauteren Wettbewerb (CH) Artikel 3 UWG (grundsatzbasiert; opt-in je nach Ausgestaltung) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(a) sowie Privacy and Electronic Communications Regulations 2003 (UK) Regulation 22

10. Betroffenenrechte

(1) Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit (soweit anwendbar), Widerspruch sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
(2) Anfragen sind an [email protected] zu richten. Zur Identitätsprüfung kann Guventa geeignete Nachweise verlangen, insbesondere eine Anfrage von der hinterlegten E-Mail-Adresse, vertragliche Abrechnungsnachweise oder projektbezogene Identifikationsmerkmale.
(3) Rechtsgrundlagen der Betroffenenrechte: Deutschland: Bundesdatenschutzgesetz (DE) §34 BDSG (ergänzend) Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 12 bis Artikel 22 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 25 bis Artikel 29 DSG Vereinigtes Königreich: UK GDPR (UK) Articles 12–22

11. Speicherdauer allgemein

(1) Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck erforderlich ist, gesetzliche Aufbewahrungspflichten bestehen oder eine Speicherung zur Durchsetzung oder Abwehr von Ansprüchen erforderlich ist.

12. Empfänger, Auftragsverarbeitung und Subprocessor-Register

(1) Guventa setzt zur Leistungserbringung Dienstleister ein. Soweit Dienstleister personenbezogene Daten im Auftrag verarbeiten, schließt Guventa Auftragsverarbeitungsverträge ab und verpflichtet Dienstleister auf angemessene Sicherheitsmaßnahmen. Deutschland: Bundesdatenschutzgesetz (DE) §62 BDSG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 28 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 9 DSG Vereinigtes Königreich: UK GDPR (UK) Article 28
(2) Guventa führt ein gesondertes Subprocessor-Register („Liste der Unterauftragsverarbeiter“), in dem die jeweils eingesetzten Dienstleister mit Zweck/Funktion, Sitz/Land, Kategorien der Verarbeitung sowie ggf. Drittlandtransfer-Mechanismus dokumentiert sind. Das Subprocessor-Register ist Bestandteil der Datenschutzdokumentation und jederzeit abrufbar unter https://guventa.de/security/subprocess
(3) Maßgeblich ist stets die im Subprocessor-Register ausgewiesene aktuelle Version. Guventa ist berechtigt, Dienstleister zu ergänzen, zu ersetzen oder zu entfernen, sofern dies aus technischen, organisatorischen oder rechtlichen Gründen erforderlich ist oder eine gleichwertige Leistungserbringung sicherstellt. Wesentliche Änderungen werden in geeigneter Weise angekündigt.

13. Drittlandübermittlung

(1) Sofern personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies ausschließlich auf Grundlage der jeweils gültigen gesetzlichen Mechanismen.
(2) Als Mechanismen kommen insbesondere in Betracht: EU-U.S. Data Privacy Framework (DPF), jedoch nur sofern der Anbieter zertifiziert ist, EU-Standardvertragsklauseln (SCC) sowie zusätzliche technische und organisatorische Maßnahmen (TOM). Sofern DPF nicht anwendbar ist oder ein Anbieter nicht (mehr) zertifiziert ist, stützt sich Guventa auf SCC und ergänzende TOM. Deutschland: Bundesdatenschutzgesetz (DE) §1 BDSG (Rahmen) Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 44 bis Artikel 49 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 16 bis Artikel 18 DSG Vereinigtes Königreich: UK GDPR (UK) Chapter V

14. Technische und organisatorische Maßnahmen

(1) Guventa setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Hierzu zählen insbesondere Verschlüsselung der Datenübertragung, Zugriffsschutz mittels MFA und SSO (soweit eingesetzt), rollenbasierte Zugriffskontrolle, Protokollierung sicherheitsrelevanter Vorgänge sowie regelmäßige Überprüfung der Sicherheitsmaßnahmen. Deutschland: Bundesdatenschutzgesetz (DE) §64 BDSG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 32 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 8 DSG Vereinigtes Königreich: UK GDPR (UK) Article 32

15. Beschwerderecht bei Aufsichtsbehörden

(1) Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Deutschland: Datenschutz-Grundverordnung (EU) Artikel 77 DSGVO (in DE anwendbar) Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 77 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 49 DSG Vereinigtes Königreich: UK GDPR (UK) Article 77

16. Änderungen dieser Datenschutzerklärung

(1) Guventa behält sich vor, diese Datenschutzerklärung bei rechtlichen, technischen oder organisatorischen Änderungen anzupassen.
(2) Maßgeblich ist die jeweils aktuelle Version. Wesentliche Änderungen werden in geeigneter Weise kenntlich gemacht (z. B. Hinweis auf der Website, in der Plattform oder im Consent-Banner).