Datenschutzerklärung
Stand: März 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):
Nico Zachert
Bahnhofstraße 21b
15299 Müllrose
E-Mail: vertrieb@zusecrm.de
2. Grundsatz der Datenverarbeitung
ZuseCRM befindet sich derzeit in einer geschlossenen Beta-Phase. Es werden keine kommerziellen Umsätze generiert. Der Dienst wird ausschließlich mit eingeladenen Testkunden betrieben. Angebote, Preise und Funktionen können sich jederzeit ändern.
Der Anbieter übernimmt keine Gewähr für die dauerhafte Speicherung oder Verfügbarkeit der eingegebenen Daten. Dem Nutzer wird dringend empfohlen, Backups seiner Daten außerhalb der Plattform zu führen.
Während der Beta-Phase wird keine Verfügbarkeit (SLA) garantiert. Der Dienst kann jederzeit ohne Vorankündigung für Wartungsarbeiten unterbrochen werden.
Die nachfolgenden Datenschutzbestimmungen gelten uneingeschränkt auch während der Beta-Phase.
ZuseCRM ist eine B2B-Plattform. Wir verarbeiten personenbezogene Daten unserer Kunden (Nutzer der Software) als Verantwortliche (Art. 4 Nr. 7 DSGVO). Soweit unsere Kunden Daten ihrer eigenen Kontakte im CRM speichern, agieren wir als Auftragsverarbeiter (Art. 28 DSGVO). Hierzu schließen die Parteien einen Auftragsverarbeitungsvertrag (AVV) ab.
3. Hosting und Infrastruktur
Unsere Anwendung wird auf Google Cloud Run (Google Cloud Platform) gehostet. Bei jedem Zugriff auf unsere Website werden automatisch Informationen vom Server-Provider erfasst (sog. Server-Logfiles):
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Angefragte URL und HTTP-Methode
- Übertragene Datenmenge
- Browser-Typ und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der
Sicherheit und Stabilität unseres Angebots).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Datenbank
Unsere Anwendungsdaten werden in einer Supabase-Datenbank (PostgreSQL) gespeichert.
Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992.
Serverstandort: Frankfurt, Deutschland (AWS Region eu-central-1).
Datenverarbeitung erfolgt auf Basis eines Auftragsverarbeitungsvertrags (AVV/DPA)
inkl. Standardvertragsklauseln sowie Hosting innerhalb der EU.
4. Registrierung und Nutzerkonto
Bei der Registrierung erheben wir folgende Daten:
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| Firmenname | Mandanten-Zuordnung | Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Adresse | Login, Kontakt, Benachrichtigungen | Art. 6 Abs. 1 lit. b DSGVO |
| Passwort (gehasht) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO |
Passwörter werden ausschließlich als kryptografischer Hash (PBKDF2-SHA256) gespeichert. Wir haben keinen Zugriff auf Klartext-Passwörter. Nach der Registrierung kann der Account-Inhaber weitere Teammitglieder einladen (Name, E-Mail, Rolle).
Speicherdauer: Bis zur Löschung des Accounts durch den Nutzer.
5. Authentifizierung und Session-Management
Wir verwenden JSON Web Tokens (JWT) für die Authentifizierung:
- Access Token: Gültig für 1 Stunde, enthält User-ID, Client-ID und Rolle.
- Refresh Token: Gültig für 30 Tage, UUID-basiert, serverseitig gespeichert.
Tokens werden im localStorage Ihres Browsers gespeichert. Dies ist technisch
notwendig für den Betrieb der Anwendung (kein Consent erforderlich nach TTDSG § 25 Abs. 2 Nr. 2).
6. CRM-Datenverarbeitung
Im Rahmen der CRM-Nutzung verarbeiten unsere Kunden personenbezogene Daten ihrer Geschäftskontakte. ZuseCRM fungiert hierbei als Auftragsverarbeiter nach Art. 28 DSGVO.
Verarbeitete Datenkategorien
| Bereich | Daten |
|---|---|
| Leads | Name, Vorname, E-Mail, Telefon, Firma, Branche, Zusammenfassung, Notizen |
| Kontakte | Name, E-Mail, Telefon, Position, Abteilung, Anrede, LinkedIn, Adresse |
| Firmen | Firmenname, E-Mail, Telefon, Website, Adresse, Branche, Mitarbeiterzahl |
| Deals | Kontaktname, E-Mail, Telefon, Notizen, Stakeholder-Informationen |
Mandanten-Isolation: Jeder Kunde hat einen eigenen, vollständig isolierten
Datenbereich. Ein Zugriff auf Daten anderer Kunden ist technisch ausgeschlossen (Isolation
über client_id in jeder Datenbankabfrage).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
7. KI-Verarbeitung (Konrad)
ZuseCRM nutzt KI-Modelle der Firma OpenAI (GPT-4o, GPT-4o-mini) für den KI-Assistenten "Konrad". Bei der Nutzung des KI-Chats werden folgende Daten an OpenAI übermittelt:
- Ihre Chat-Nachrichten und der Gesprächsverlauf der aktuellen Session
- CRM-Kontext (z.B. Lead-/Deal-Informationen), sofern für die Beantwortung relevant
Wichtig: OpenAI verarbeitet diese Daten ausschließlich zur Erbringung des Dienstes und verwendet sie nicht zum Training eigener Modelle (API-Nutzung mit Data Processing Agreement).
Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
OpenAI ist unter dem EU-US Data Privacy Framework zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung —
KI-Funktionalität ist Kernbestandteil des Dienstes).
Keine automatisierte Entscheidung (Art. 22 DSGVO): Es findet keine automatisierte Entscheidungsfindung im Einzelfall gemäß Art. 22 DSGVO statt. Der KI-Assistent „Konrad" liefert lediglich Vorschläge und Analysen; die Entscheidungsgewalt liegt stets beim Nutzer.
8. Sprachverarbeitung
ZuseCRM bietet eine Spracheingabe-Funktion. Dabei wird Ihre Stimme über die Browser-API
(getUserMedia) aufgezeichnet und an den ZuseCRM-Server gesendet. Dort wird
die Audiodatei an den OpenAI Whisper-Dienst zur Transkription weitergeleitet.
- Die Audiodatei wird nicht dauerhaft gespeichert — sie wird nur für die Dauer der Transkription verarbeitet und anschließend gelöscht.
- Spracheingabe erfordert Ihre aktive Zustimmung über die Browser-Berechtigungsabfrage.
- Spracheingabe funktioniert ausschließlich über HTTPS-Verbindungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Freigabe des Mikrofons).
9. Website-Leadbot (Chat-Widget)
ZuseCRM bietet seinen Kunden ein Chat-Widget an, das auf deren Websites eingebunden werden kann. Bei der Nutzung des Leadbots agiert ZuseCRM als Auftragsverarbeiter im Auftrag des jeweiligen Kunden (Website-Betreiber). Wenn ein Website-Besucher dieses Chat-Widget nutzt, werden folgende Daten verarbeitet:
- Chat-Nachrichten: Der Gesprächsverlauf wird in unserer Datenbank gespeichert.
- Lead-Daten: Sofern der Besucher im Gespräch persönliche Daten mitteilt (Name, E-Mail, Telefon), können diese als Lead im CRM des Kunden erfasst werden.
- Session-ID: Eine zufällig generierte Kennung zur Zuordnung des Gesprächs.
Wir erfassen keine IP-Adressen, keine Cookies und keine Browser-Fingerprints über das Widget.
Speicherdauer: Chat-Nachrichten werden nach 90 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des
Website-Betreibers an der Kommunikation mit Besuchern).
10. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung nutzen wir den Dienst Stripe. Bei einem Kaufvorgang werden folgende Daten an Stripe übermittelt:
- E-Mail-Adresse
- Gewählte Module/Produkte
- Zahlungsinformationen (werden direkt von Stripe verarbeitet — wir speichern keine Kreditkarten- oder Bankdaten)
Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower,
Grand Canal Dock, Dublin, D02 H210, Irland.
Datenschutzerklärung: stripe.com/de/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
11. E-Mail-Versand
ZuseCRM versendet und empfängt E-Mails über den Dienst Mailgun:
- Transaktions-E-Mails: E-Mail-Verifizierung bei Registrierung, Passwort-Reset, Lead-Benachrichtigungen bei neuen Leads über den Website-Leadbot.
- E-Mail KI-Weiterleitung (Inbound): Nutzer können E-Mails an ihre mandantenspezifische Inbox-Adresse (z. B. firmenname@inbox.zusecrm.de) weiterleiten. Die E-Mail wird über Mailgun empfangen, per KI analysiert (Sentiment, Intent, Priorität) und dem passenden CRM-Kontakt zugeordnet.
- Support-Anfragen: Über das In-App-Kontaktformular werden Nachrichten an vertrieb@zusecrm.de übermittelt.
Anbieter: Mailgun Technologies, Inc. (Sinch), 112 E Pecan St #1135,
San Antonio, TX 78205, USA.
Datenschutzerklärung: mailgun.com/legal/privacy-policy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
11a. E-Mail- und Kalender-Integration (OAuth)
ZuseCRM bietet eine optionale Integration mit externen E-Mail- und Kalender-Diensten. Die Verbindung wird ausschließlich durch den Nutzer initiiert und kann jederzeit in den Profileinstellungen getrennt werden.
Unterstützte Anbieter:
- Microsoft 365 (Outlook + Kalender) via Microsoft Graph API
- Google Workspace (Gmail + Kalender) via Gmail API + Google Calendar API
Umfang der Zugriffsrechte:
- E-Mails lesen und senden (in Ihrem Namen, nur auf explizite Aufforderung)
- Kalendereinträge lesen und erstellen
- Profil-Informationen (Name, E-Mail-Adresse) zur Account-Zuordnung
Zweck der Datenverarbeitung:
- Automatische Zuordnung von E-Mails zu CRM-Kontakten, Leads und Deals
- KI-gestützte Analyse eingehender E-Mails (Sentiment, Intent, Priorität)
- Kalender-Synchronisation für Meeting-Vorbereitung und Terminplanung
- Kontextbezogene E-Mail-Entwürfe durch den KI-Assistenten
Datenspeicherung und Sicherheit:
- OAuth-Zugangstoken werden AES-256-GCM-verschlüsselt in unserer Datenbank gespeichert. Wir haben keinen Zugriff auf Ihr E-Mail-Passwort.
- E-Mail-Inhalte werden ausschließlich innerhalb Ihres Mandanten verarbeitet und sind für andere Mandanten nicht zugänglich (Mandantentrennung).
- Bei Trennung der Verbindung werden alle gespeicherten Tokens unwiderruflich gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung erfolgt durch den OAuth-Consent-Dialog des jeweiligen Anbieters. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Verbindung in den Profileinstellungen trennen oder den Zugriff direkt in Ihrem Google-Konto bzw. Microsoft-Konto entziehen.
12. Lokale Speicherung (localStorage / sessionStorage)
ZuseCRM verwendet keine Cookies. Stattdessen nutzen wir den
localStorage und sessionStorage Ihres Browsers für technisch
notwendige Daten:
| Speicher | Daten | Zweck |
|---|---|---|
| localStorage | Access Token, Refresh Token | Authentifizierung |
| localStorage | Client-ID, User-ID, Rolle, Name | Session-Zuordnung |
| localStorage | Onboarding-Flags (ob_*) | UI-Steuerung |
| sessionStorage | UTM-Parameter (Campaign, Source) | Kampagnen-Attribution |
Alle lokalen Speicherungen sind technisch notwendig für den Betrieb der
Anwendung. Ein Consent ist nach TTDSG § 25 Abs. 2 Nr. 2 nicht erforderlich.
Bei Logout werden alle gespeicherten Daten gelöscht.
13. Webanalyse und Tracking
ZuseCRM setzt keine Webanalyse-Tools, Tracking-Pixel oder Marketing-Cookies ein. Wir verwenden kein Google Analytics, kein Facebook Pixel, kein Hotjar und keine vergleichbaren Dienste.
14. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. In der App können Sie Ihren Account selbst löschen (Profil → Account löschen).
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können einen Export Ihrer Daten im JSON-Format anfordern (Profil → Daten exportieren).
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis berechtigter Interessen widersprechen.
- Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: vertrieb@zusecrm.de
15. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
www.lda.brandenburg.de
16. Datenübermittlung in Drittländer
Wir übermitteln personenbezogene Daten an folgende Empfänger in Drittländern (USA):
| Empfänger | Daten | Garantie |
|---|---|---|
| OpenAI (USA) | Chat-Nachrichten, CRM-Kontext | EU-US Data Privacy Framework + DPA |
| Supabase (Frankfurt, EU) | Alle Anwendungsdaten | Hosting in Frankfurt (EU) / SCCs |
| Stripe (Irland/USA) | E-Mail, Zahlungsdaten | EU-US Data Privacy Framework |
| Google Cloud (EU) | Hosting-Daten | EU-Rechenzentrum + DPA |
| Mailgun / Sinch (USA) | E-Mail-Inhalte, Absender/Empfänger | EU-US Data Privacy Framework + DPA |
| Microsoft Corporation (EU/USA) | E-Mail-Inhalte, Kalender (bei OAuth-Verbindung) | EU-US Data Privacy Framework + DPA |
| Google Ireland Limited (EU) | E-Mail-Inhalte, Kalender (bei OAuth-Verbindung) | EU-US Data Privacy Framework + DPA |
17. Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein:
- Google Cloud Platform — Hosting der Anwendung
- Supabase Inc. — Datenbank-Hosting
- OpenAI, L.L.C. — KI-Verarbeitung (Chat, Sprache, Analyse)
- Stripe Payments Europe, Ltd. — Zahlungsabwicklung
- Mailgun Technologies, Inc. (Sinch) — E-Mail-Versand und -Empfang
- Microsoft Corporation — E-Mail- und Kalender-Synchronisation (bei OAuth-Verbindung durch den Nutzer)
- Google Ireland Limited — E-Mail- und Kalender-Synchronisation (bei OAuth-Verbindung durch den Nutzer)
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.
18. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Datenverarbeitung oder der gesetzlichen Grundlagen anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.