SecureOffice
Zur Startseite

Datenschutzerklärung

Stand: 05.02.2026. Entwurf – bitte juristisch prüfen und an eure konkreten Prozesse/Tools anpassen (insb. Stripe/Resend, sofern aktiv).

1. Verantwortlicher
Innovatory GmbH · Tempowerkring 6, 21079 Hamburg · info@innovatory.gmbh
2. Überblick
Diese Datenschutzerklärung informiert darüber, welche personenbezogenen Daten wir bei Nutzung von SecureOffice verarbeiten und zu welchen Zwecken. SecureOffice bewertet Microsoft‑365‑Sicherheitssignale und Konfigurationen. Der Zugriff auf Microsoft‑Daten erfolgt read‑only; Inhalte wie E‑Mails, Dateien oder Chats werden nicht gelesen.
3. Welche Daten wir verarbeiten
  • Account-/Login-Daten (E-Mail, Auth-IDs)
  • Tenant-Metadaten (Name, Plan/Seats, Rechnungsdaten)
  • Microsoft 365 Sicherheits-/Konfigurationssignale (read-only, keine Inhalte; z.B. Policies, Audit-/Login-Signale)
  • Workflow-/Statusdaten zu Findings (Owner, Status, Fälligkeit, Notizen, Audit-Events)
  • Technische Metadaten (Logs, Fehlerdiagnosen, Geräte-/Browserinformationen, IP-Adresse)
4. Zwecke & Rechtsgrundlagen
  • Bereitstellung des Dienstes, Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
  • Sicherheit, Missbrauchs-/Fehlerprävention (Art. 6 Abs. 1 lit. f DSGVO)
  • Kommunikation/Support (Art. 6 Abs. 1 lit. b/f DSGVO)
5. Empfänger / Auftragsverarbeiter
Wir setzen Subprozessoren ein. Typisch (MVP):
  • Supabase (Datenbank/Auth/Storage) – Region EU/Deutschland (projektabhängig)
  • Vercel (Hosting/Functions) – bevorzugte Region Frankfurt (`fra1`)
  • Microsoft Graph / Entra ID (Datenquelle, read-only)
  • Stripe (Zahlungen) – sobald aktiv
  • Resend (E-Mail) – sofern aktiviert
6. Drittlandtransfer
Abhängig von Subprozessoren kann eine Verarbeitung außerhalb der EU stattfinden. In diesem Fall nutzen wir geeignete Garantien (z.B. Standardvertragsklauseln) – Details bitte in der finalen Fassung ergänzen.
7. Speicherdauer
Wir speichern Daten nur solange, wie es für die jeweiligen Zwecke erforderlich ist. Typische Fristen:
  • Produkt-/Tenantdaten (Checks, Findings, Reports, Alerts): bis zur Tenant‑Löschung (oder nach Vertrag/Plan).
  • Technische Logs (Betrieb/Sicherheit): i.d.R. 14–90 Tage.
  • Abrechnungs-/Rechnungsdaten (Stripe/Accounting): nach gesetzlichen Aufbewahrungspflichten, typischerweise bis zu 10 Jahre.
  • Backups: werden nach einer festen Frist überschrieben (z.B. 30 Tage); gelöschte Daten können bis dahin noch in Backups enthalten sein.
8. Deine Rechte
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Beschwerde bei einer Aufsichtsbehörde.
9. Auftragsverarbeitung (B2B)
Soweit wir Daten im Auftrag des Kunden verarbeiten (z.B. Tenant‑Daten), handeln wir als Auftragsverarbeiter. In B2B‑Konstellationen ist regelmäßig der Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) vorgesehen.
10. Export & Löschung (Self‑serve)
Tenant‑Administratoren können in der App einen Export der Tenant‑Daten anstoßen und den Tenant (inkl. Findings/Reports/Alerts) löschen. Abrechnungsdaten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden unabhängig davon entsprechend der gesetzlichen Fristen aufbewahrt.
Du findest diese Funktionen im Portal unter Billing → Datenschutz.
Impressum·AGB·Nutzungsbedingungen