Datenschutzerklärung
Stand: Juni 2026
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung von a1-office (erreichbar unter https://app.n3urala1.com) sowie unserer Website https://n3urala1.com.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Robert Heine — N3URAL.A1, Wekeln 24, 47877 Willich, Deutschland · E-Mail: robert@n3urala1.com
Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen des Art. 37 DSGVO / § 38 BDSG derzeit nicht vorliegen.
2. Zwei Rollen — wichtige Vorab-Erläuterung
a1-office ist ein Multi-Tenant-SaaS-CRM für Geschäftskunden. Datenschutzrechtlich haben wir zwei verschiedene Rollen:
a) Verantwortlicher (für unsere eigenen Daten): Für die Daten, die wir zur Erbringung und Abrechnung unseres Dienstes selbst erheben — z. B. Account- und Vertragsdaten unserer Geschäftskunden, Zugriffs-Logs, Website-Daten — sind wir Verantwortlicher. Diese Datenschutzerklärung beschreibt primär diese Verarbeitung.
b) Auftragsverarbeiter (für die Inhaltsdaten unserer Kunden): Die Inhalte, die unsere Geschäftskunden (Tenants) in a1-office speichern — insbesondere ihre Leads, Kontakte, Deals, Rechnungen, Projekte und Kommunikationsinhalte — verarbeiten wir ausschließlich im Auftrag und nach Weisung des jeweiligen Kunden. Für diese Daten ist der jeweilige Kunde Verantwortlicher; wir sind Auftragsverarbeiter (Art. 28 DSGVO). Grundlage hierfür ist ein gesonderter Auftragsverarbeitungsvertrag (AVV), den wir mit jedem Geschäftskunden schließen. Endbetroffene wenden sich für Auskunfts- und Löschanfragen primär an den jeweiligen Kunden als Verantwortlichen.
3. Zwecke und Rechtsgrundlagen der Verarbeitung
- Bereitstellung und Betrieb von a1-office, Vertragserfüllung — Account-, Vertrags-, Nutzungsdaten — Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
- Authentifizierung / Login — E-Mail, Name, Provider-ID, Passwort-Hash — Art. 6 Abs. 1 lit. b DSGVO
- Rechnungsstellung und steuerliche Aufbewahrung — Rechnungs-, Zahlungsdaten — Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht)
- Sicherheit, Missbrauchs- und Fehlerabwehr, Logs — IP-Adresse, Zeitstempel, Aktions-Logs — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
- Stabiler Betrieb durch Dienstleister (Hosting, Mail, KI) — Art. 6 Abs. 1 lit. b und lit. f DSGVO
- Technisch notwendige Cookies / Session — Session-Cookie — Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TDDDG (technisch erforderlich)
4. Welche Daten wir verarbeiten
- Account- und Profildaten: Name, E-Mail-Adresse, Organisations-/Tenant-Zugehörigkeit, Rolle, Passwort-Hash bzw. OAuth-Kennung.
- CRM-Inhaltsdaten (im Auftrag des Kunden): Leads, Kontakte, Deals, Rechnungen, Projekte, Zeiterfassung, Notizen, Kommunikationsinhalte.
- Nutzungs- und Protokolldaten: IP-Adresse, Zeitstempel, aufgerufene Funktionen, Audit-Log-Einträge.
- Abrechnungsdaten: Rechnungs- und ggf. Zahlungsinformationen.
- Cookies / Session: technisch notwendiges Session-Cookie zur Aufrechterhaltung des Logins.
5. Authentifizierung über Drittanbieter (Google / Microsoft)
Für die Anmeldung bieten wir neben E-Mail/Passwort die Anmeldung über Google (Google Ireland Limited) und Microsoft (Microsoft Ireland Operations Ltd.) an. Bei Nutzung dieser Option erhalten wir von dem jeweiligen Anbieter die für die Authentifizierung erforderlichen Daten (insbesondere Name, E-Mail-Adresse und eine Nutzerkennung). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Es gelten zusätzlich die Datenschutzbestimmungen des jeweiligen Anbieters.
6. Empfänger / Auftragsverarbeiter (Sub-Prozessoren)
Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein. Mit allen Dienstleistern bestehen entsprechende Verträge; bei Drittlandbezug werden die EU-Standardvertragsklauseln (SCC, 2021/914) zugrunde gelegt.
- Vercel Inc. — Frontend-Hosting, Serverless-Functions — USA (mit EU-Edge) — DPA + SCC + ergänzende Maßnahmen
- Google Cloud / Cloud SQL — Datenbank-Hosting (a1-office Kerndaten) — EU, Frankfurt (europe-west3) — Verarbeitung in der EU; DPA
- Resend — Transaktions-E-Mail-Versand — EU, Irland — Verarbeitung in der EU; DPA
- Requesty (EU-Router, router.eu.requesty.ai) — KI-Inferenz für den Assistenten „Klaus" — EU (Modell-Hosting über EU-Provider) — EU-only-Routing; DPA; No-Training- und Zero-Retention-Zusage
- Cloudflare — DNS-Auflösung — global (Anycast) — DPA + SCC
Eine aktuelle Liste der eingesetzten Sub-Prozessoren stellen wir unseren Geschäftskunden im Rahmen des Auftragsverarbeitungsvertrags zur Verfügung und informieren über Änderungen.
7. Drittlandtransfer
Soweit Daten außerhalb der EU/des EWR verarbeitet werden (insbesondere bei Vercel/USA), erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) sowie ergänzender technischer und organisatorischer Maßnahmen. Die Kerndatenbank (Cloud SQL) liegt in Frankfurt (EU); der KI-Pfad ist auf EU-Verarbeitung beschränkt.
8. KI-gestützte Verarbeitung (Assistent „Klaus")
a1-office enthält einen KI-gestützten Assistenten („Klaus"), der auf Anfrage CRM-Daten verarbeitet, um Antworten und Vorschläge zu erzeugen. Die KI-Inferenz erfolgt ausschließlich über einen EU-Router (Requesty, router.eu.requesty.ai) mit EU-seitigem Modell-Hosting. Es bestehen vertragliche Zusagen zu Zero Data Retention und No Training. Eine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt; die menschliche Letztentscheidung bleibt erhalten. Im Sinne der EU-KI-Verordnung (Reg. 2024/1689) wird die KI-Funktion als KI-System gekennzeichnet (Art. 50 Transparenz).
9. Speicherdauer
- Account-/Vertragsdaten: für die Dauer des Vertragsverhältnisses, danach Löschung vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Rechnungs- und buchhaltungsrelevante Daten: 10 Jahre gemäß § 147 Abgabenordnung (AO) / GoBD.
- Protokoll-/Log-Daten: in der Regel kurzfristig, danach Löschung oder Anonymisierung.
- CRM-Inhaltsdaten unserer Kunden: nach Weisung des jeweiligen Kunden bzw. nach Maßgabe des AVV (Löschung/Rückgabe bei Vertragsende).
10. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21) sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3).
Zur Ausübung genügt eine Nachricht an robert@n3urala1.com. Betrifft Ihre Anfrage Daten, die wir im Auftrag eines unserer Geschäftskunden verarbeiten (CRM-Inhalte), leiten wir Sie an den jeweils verantwortlichen Kunden weiter bzw. handeln nur auf dessen Weisung.
11. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, https://www.ldi.nrw.de
12. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen (Art. 32 DSGVO), insbesondere Transportverschlüsselung (TLS), Zugriffskontrolle und mandantengetrennte Datenhaltung (Multi-Tenant-Isolation), um Ihre Daten zu schützen.
13. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Verarbeitung ändert. Es gilt jeweils die hier veröffentlichte aktuelle Fassung.
Stand: Juni 2026