Datenschutzerklärung

ROSENBERG – Ein Unternehmen der ICM GmbH | ROSY Platform | Stand: Mai 2025

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Grundsätze der Datenverarbeitung

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln diese ausschließlich entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Unsere Datenverarbeitungsprozesse basieren auf folgenden Grundsätzen:

• Rechtmäßigkeit, Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
• Zweckbindung: Erhebung nur für festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 lit. b DSGVO)
• Datensparsamkeit: Beschränkung auf das notwendige Mindestmaß (Art. 5 Abs. 1 lit. c DSGVO)
• Richtigkeit: Daten sind sachlich richtig und aktuell zu halten (Art. 5 Abs. 1 lit. d DSGVO)
• Speicherbegrenzung: Löschung nach Wegfall des Verarbeitungszwecks (Art. 5 Abs. 1 lit. e DSGVO)
• Integrität und Vertraulichkeit: Schutz durch angemessene technische und organisatorische Maßnahmen (Art. 5 Abs. 1 lit. f DSGVO)

3. Rechtsgrundlagen der Datenverarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für vorvertragliche Maßnahmen.

Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens erforderlich und überwiegen die Interessen des Betroffenen nicht, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4. Bereitstellung der Website und Erstellung von Logfiles

4.1 Beschreibung und Umfang

Bei jedem Aufruf unserer Website erfasst unser System automatisiert folgende Daten des aufrufenden Rechners:

• IP-Adresse des anfragenden Rechners (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgte (Referrer-URL)
• Verwendeter Browser und ggf. Betriebssystem
• HTTP-Statuscode und übertragene Datenmenge

Diese Daten werden nicht mit anderen personenbezogenen Daten des Nutzers zusammengeführt.

4.2 Rechtsgrundlage und Speicherdauer

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung der Systemsicherheit und -stabilität. Logfile-Daten werden nach spätestens 30 Tagen automatisch gelöscht.

5. Hosting und Serverinfrastruktur

5.1 Hetzner Online GmbH

Unser Hosting-Anbieter ist die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hetzner ist ein deutsches Unternehmen, das Rechenzentren ausschließlich in Deutschland und der Europäischen Union betreibt.

Wir nutzen dedizierte Server in deutschen Rechenzentren. Alle Daten verbleiben physisch in Deutschland. Zwischen der ROSENBERG ICM GmbH und der Hetzner Online GmbH besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Hetzner ist zertifiziert gemäß ISO/IEC 27001.

5.2 Technische Infrastrukturkomponenten

Alle Systemkomponenten werden als selbst gehostete (self-hosted) Lösungen auf unserer deutschen Serverinfrastruktur betrieben. Es werden keine Cloud-Dienste amerikanischer oder außereuropäischer Anbieter eingesetzt:

• Betriebssystem: Open-Source Linux-Distribution, selbst verwaltet, keine US-Cloud-Abhängigkeit
• Containerverwaltung: Open-Source-Plattform, selbst gehostet auf deutschen Servern
• Datenbankserver: Open-Source-Datenbanksystem mit Row-Level-Security und Mandantenisolation
• Warteschlangensystem: Open-Source-Message-Broker, selbst gehostet, keine Datenweitergabe an Dritte
• Netzwerkabsicherung: Open-Source-Lösung europäischer Herkunft
• Dokumentenverarbeitung: lokal ausgeführte Verarbeitungsmodelle ohne Datenübertragung an externe Dienste
• CRM-System (RoCRM): eigenentwickeltes, selbst gehostetes CRM-System ohne US-Abhängigkeiten, betrieben auf Hetzner-Infrastruktur in Deutschland

Es werden keine Dienste von Amazon Web Services (AWS), Microsoft Azure, Google Cloud oder vergleichbaren US-amerikanischen Plattformdiensten für die Verarbeitung personenbezogener Daten eingesetzt.

6. Eingesetzte Software und Dienste

Wir setzen ausschließlich Software ein, die entweder als quelloffene Software selbst gehostet wird oder von europäischen, bevorzugt deutschen Anbietern betrieben wird:

Es werden keine Analyse- oder Tracking-Dienste wie Google Analytics, Meta Pixel, Hotjar oder vergleichbare Dienste eingesetzt. Es erfolgt keine Weitergabe von Nutzerdaten an Werbetreibende.

7. Cloudflare Turnstile (Formularvalidierung)

7.1 Welche Daten werden verarbeitet?

Cloudflare Turnstile verarbeitet zur Bot-Validierung ausschließlich technische Signale des aufrufenden Browsers, insbesondere:

• IP-Adresse (anonymisiert gemäß Cloudflare-Datenschutzrichtlinie)
• Browser-Typ und -Version, Betriebssystem
• Zeitstempel der Formularinteraktion
• Technische Browser-Metadaten zur Liveness-Prüfung

Turnstile speichert oder übermittelt zu keinem Zeitpunkt den Inhalt der von Ihnen ausgefüllten Formularfelder (z. B. Name, E-Mail-Adresse, Nachricht). Die Validierung erfolgt rein technisch und dient ausschließlich der Sicherstellung der Formularintegrität.

7.2 Rechtsgrundlage und Drittlandtransfer

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht im Schutz unserer Systeme vor missbräuchlichen automatisierten Anfragen (Spam, Bot-Angriffe). Da Cloudflare Inc. seinen Sitz in den USA hat, findet im Rahmen der Turnstile-Validierung eine Datenübermittlung in ein Drittland statt. Cloudflare hat sich den EU-U.S. Data Privacy Framework Standardvertragsklauseln (SCCs) der Europäischen Kommission unterworfen. Weitere Informationen finden Sie in der Datenschutzrichtlinie von Cloudflare unter: www.cloudflare.com/privacypolicy

7.3 Abgrenzung zum übrigen System

Die Verarbeitung über Cloudflare Turnstile beschränkt sich strikt auf den Validierungsschritt des Formulars. Alle weiteren Datenverarbeitungsvorgänge – insbesondere die Speicherung Ihrer Kontaktdaten nach Formularabsendung – erfolgen ausschließlich auf unserer selbst gehosteten deutschen Infrastruktur (Hetzner) und in unserem eigenentwickelten CRM-System RoCRM, ohne US-Beteiligung.

8. Keine weitere Datenübermittlung in Drittländer

Wir verzichten bewusst auf den Einsatz US-amerikanischer Cloud-Dienste und SaaS-Plattformen (z. B. AWS, Microsoft Azure, Google Cloud, Salesforce, HubSpot), um sicherzustellen, dass Ihre Kern- und Geschäftsdaten nicht dem Zugriff US-amerikanischer Behörden nach dem CLOUD Act ausgesetzt sind.

Alle Auftragsverarbeiter, die wir einsetzen, haben ihren Sitz in der EU und sind vertraglich gemäß Art. 28 DSGVO gebunden. Eine Liste unserer Auftragsverarbeiter stellen wir auf schriftliche Anfrage zur Verfügung.

9. CRM-System und Lead-Verarbeitung

Daten, die über Kontakt- und Lead-Formulare auf unserer Website eingereicht werden, werden ausschließlich in unserem eigenentwickelten CRM-System RoCRM gespeichert und verarbeitet. RoCRM ist vollständig selbst entwickelt, wird selbst gehostet und betrieben auf Hetzner-Servern in Deutschland und weist keinerlei Abhängigkeiten von US-amerikanischen Softwareanbietern oder Cloud-Diensten auf.

Eine Weitergabe von Lead- oder Kontaktdaten an Drittanbieter-CRM-Systeme (z. B. Salesforce, HubSpot, Pipedrive) findet nicht statt. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Geschäftsanfragen).

10. Kontaktaufnahme per E-Mail

Bei Kontaktaufnahme mit uns per E-Mail werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Anfrage zu beantworten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage auf den Abschluss eines Vertrages gerichtet ist. Die Daten werden gelöscht, sobald die Speicherung nicht mehr erforderlich ist.

11. Nutzerkonto und Plattformnutzung (ROSY)

11.1 Registrierung und Kontoverwaltung

Zur Nutzung der ROSY-Plattform ist eine Registrierung erforderlich. Bei der Registrierung erheben wir:

• Name und Vorname des Kontoinhabers
• Unternehmen / Kanzleiname
• Geschäftliche E-Mail-Adresse
• Telefonnummer (optional)
• Rechnungsadresse und Umsatzsteuer-Identifikationsnummer

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung).

11.2 Nutzungsdaten innerhalb der Plattform

Während der Nutzung der Plattform werden zur Sicherstellung des Betriebs technische Nutzungsdaten erfasst (Login-Zeitstempel, Aktionsprotokolle, Fehlerprotokolle). Diese Daten dienen ausschließlich der technischen Administration und werden nicht für Werbezwecke genutzt.

11.3 Verarbeitete Geschäftsdaten

Buchungsbelege, Finanzdaten und sonstige Unternehmensdaten, die Nutzer in die Plattform hochladen, werden ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen verarbeitet. Diese Daten werden nicht für eigene Zwecke verwendet, nicht an Dritte weitergegeben und ausschließlich in Deutschland gespeichert.

12. Auftragsverarbeitung

Soweit Nutzer der ROSY-Plattform (insbesondere Steuerkanzleien) personenbezogene Daten ihrer Mandanten über die Plattform verarbeiten, handelt die ROSENBERG ICM GmbH als Auftragsverarbeiter gemäß Art. 28 DSGVO. Mit diesen Nutzern wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) geschlossen. Kanzleien und Unternehmenskunden sind als Verantwortliche im Sinne der DSGVO selbst für die Rechtmäßigkeit der Verarbeitung verantwortlich.

13. Cookies

Unsere Website verwendet ausschließlich technisch notwendige Session-Cookies, die keine personenbezogenen Daten dauerhaft speichern und beim Schließen des Browsers gelöscht werden. Wir setzen keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern ein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TDDDG.

14. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten zu schützen:

• Verschlüsselte Datenübertragung per TLS 1.3 (HTTPS)
• Verschlüsselung gespeicherter Daten at rest (AES-256)
• Rollenbasiertes Zugriffsrechtekonzept (RBAC) mit Mandantenisolation auf Datenbankebene
• Netzwerksegmentierung und Firewall-Schutz
• Regelmäßige automatisierte Datensicherungen auf deutschen Servern
• Monitoring und automatische Benachrichtigung bei sicherheitsrelevanten Ereignissen
• Zugang zu Produktionssystemen ausschließlich über gesicherte VPN-Verbindungen

15. Aufbewahrungsfristen und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies verlangen (§ 147 AO, § 257 HGB).

• Aktive Nutzerdaten: Löschung 30 Tage nach Vertragsende (Standardkunden) bzw. 60 Tage (Kanzleikunden)
• Logdaten und technische Protokolle: automatische Löschung nach 30 Tagen
• Rechnungs- und Vertragsdaten: 10 Jahre gemäß gesetzlicher Pflicht, danach Löschung
• E-Mail-Korrespondenz: 6 Jahre, danach Löschung
• CRM-Kontaktdaten (RoCRM): Löschung auf Anfrage oder nach Ende der Geschäftsbeziehung, spätestens nach 3 Jahren ohne aktive Interaktion

16. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

16.1 Auskunft (Art. 15 DSGVO)

Sie haben das Recht zu erfahren, ob und welche personenbezogenen Daten wir über Sie verarbeiten sowie weitere Informationen gemäß Art. 15 DSGVO zu erhalten.

16.2 Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

16.3 Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Verarbeitung nicht mehr erforderlich ist oder keine vorrangigen Rechtsgrundlagen bestehen.

16.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

16.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln.

16.6 Widerspruch (Art. 21 DSGVO)

Sie haben das Recht, jederzeit der Verarbeitung Ihrer personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. f DSGVO basiert, aus Gründen Ihrer besonderen Situation zu widersprechen.

16.7 Widerruf einer Einwilligung

Sofern die Verarbeitung auf einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.

16.8 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für die ROSENBERG ICM GmbH zuständig ist:

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@rosenberg-group.de

17. Datenschutzbeauftragter

Das Unternehmen prüft fortlaufend gemäß Art. 37 DSGVO, ob die Benennung eines betrieblichen Datenschutzbeauftragten gesetzlich erforderlich ist. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die Geschäftsführung unter info@rosenberg-group.de.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen oder Änderungen unserer Leistungen zu entsprechen. Die jeweils aktuelle Version ist jederzeit auf unserer Website unter www.rosenberg-group.de abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer der ROSY-Plattform per E-Mail informiert.

ROSENBERG – Ein Unternehmen der ICM GmbH | Zeilweg 44 | 60439 Frankfurt am Main |
HRB 109985 | Registergericht Frankfurt | USt-ID: DE317881210 |
Geschäftsführer: Mansur Scharifi & Swen Wegner