Datenschutzerklärung

Stand: 23.03.2026

1. Verantwortlicher

Doppelklick – Agentur für "NEUE" Medien Kevin Kellermann
Wiemelhauser Straße 381
44799 Bochum
Deutschland

E-Mail: info@vergabescanner.de

Weitere Pflichtangaben siehe Impressum.

1a. Datenschutzbeauftragter

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht, da die Voraussetzungen (insbesondere mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) nicht vorliegen.

Für datenschutzrechtliche Anfragen wenden Sie sich bitte an info@vergabescanner.de.

2. Rollen der Verarbeitung

2.1 Eigene Verarbeitung als Verantwortlicher

Soweit wir personenbezogene Daten zur Bereitstellung unseres Angebots, zur Vertragsdurchführung, Abrechnung, Kommunikation, IT-Sicherheit, Missbrauchsabwehr oder zum Versand eigener Newsletter verarbeiten, handeln wir als datenschutzrechtlich Verantwortlicher.

2.2 Verarbeitung im Auftrag unserer Kunden

Soweit Kunden über Vergabescanner Ausschreibungsunterlagen, Dokumente, Texte oder sonstige Inhaltsdaten hochladen und darin personenbezogene Daten enthalten sind, verarbeiten wir diese Daten grundsätzlich als Auftragsverarbeiter im Auftrag des jeweiligen Kunden. In diesem Fall ist der jeweilige Kunde für die datenschutzrechtliche Zulässigkeit der Verarbeitung verantwortlich.

Die Upload- und Produktverarbeitung ist technisch an die vorherige Annahme der jeweils aktuellen Auftragsverarbeitungsvereinbarung (AVV) im Kundenkonto gekoppelt.

3. Zwecke und Rechtsgrundlagen unserer eigenen Verarbeitung

• Kontoanlage, Anmeldung, Nutzerverwaltung und Bereitstellung des Kundenkontos (Art. 6 Abs. 1 lit. b DSGVO)
• Vertragsverwaltung, Bereitstellung der gebuchten Leistungen und Kommunikation im Rahmen des Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO)
• Abrechnung und Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO)
• Support, Bearbeitung von Anfragen und Störungsmeldungen (Art. 6 Abs. 1 lit. b DSGVO; soweit erforderlich Art. 6 Abs. 1 lit. f DSGVO)
• Bearbeitung von Kontaktanfragen über das Kontaktformular im Impressum (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der Beantwortung von Anfragen; bei Kunden Art. 6 Abs. 1 lit. b DSGVO)
• Betriebssicherheit, Missbrauchsabwehr, Logging, Fehleranalyse und Schutz unserer Systeme (Art. 6 Abs. 1 lit. f DSGVO)
• Versand unseres Newsletters sowie Informationen über Vergabescanner, unsere Leistungen, neue Funktionen, Angebote und auch andere eigene Projekte (Art. 6 Abs. 1 lit. a DSGVO)
• Erfüllung gesetzlicher Aufbewahrungs-, Nachweis- und steuerrechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO)

4. Kategorien verarbeiteter Daten

4.1 Daten, die wir als Verantwortlicher verarbeiten

• Stammdaten (z. B. Name, E-Mail-Adresse, Firmendaten)
• Vertrags- und Abrechnungsdaten
• Nutzungs- und Protokolldaten (z. B. IP-Adresse, Zugriffszeitpunkte, technische Logs, Zustimmungs- und Vertragsprotokolle)
• Support- und Kommunikationsdaten (z. B. Kontaktformular: Name, E-Mail, Betreff, Nachricht). Bei Kontaktanfragen werden IP-Adresse und Browser-Kennung (User-Agent) zum Zweck der Missbrauchserkennung und Nachvollziehbarkeit auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr missbräuchlicher Nutzung) gespeichert. Kontaktanfragen werden nach maximal 180 Tagen automatisch gelöscht.
• Newsletterdaten (z. B. E-Mail-Adresse, Anmeldezeitpunkt, Nachweisdaten zur Einwilligung und Widerrufszeitpunkt)

4.2 Daten, die wir im Auftrag unserer Kunden verarbeiten

• Inhaltsdaten aus hochgeladenen Ausschreibungsunterlagen und sonstigen Dokumenten
• Analyseergebnisse, Checklisten, Zusammenfassungen und vergleichbare systemseitig erzeugte Arbeitsergebnisse
• Darin enthaltene personenbezogene Daten, soweit diese vom jeweiligen Kunden hochgeladen oder veranlasst verarbeitet werden

5. Empfänger, Dienstleister und Verarbeitungskontext

Wir setzen technische und organisatorische Dienstleister ein. Je nach Verarbeitungskontext handeln diese als Auftragsverarbeiter oder als eigenständig datenschutzrechtlich Verantwortliche.

• IONOS SE, Deutschland – Hosting, Serverbetrieb, Datenbank, E-Mail-Versand und Backup-Infrastruktur
• OpenAI, LP (USA) – KI-gestützte Analyse von aus hochgeladenen Dokumenten extrahierten Text- und Bildinhalten (z. B. Pläne, Grundrisse, gescannte Dokumente werden als Bilddaten übermittelt). Vor der Übermittlung werden erkennbare personenbezogene Daten in Textinhalten automatisch entfernt (E-Mail-Adressen, Telefonnummern, IBAN); in Bilddaten ist eine automatische Schwärzung technisch nicht möglich. Mit OpenAI besteht eine Auftragsverarbeitungsvereinbarung (Data Processing Addendum). OpenAI verarbeitet API-Daten nicht für eigene Zwecke und nutzt sie nicht zum Training von Modellen.
• Stripe – Zahlungsabwicklung
• Google Ireland Limited (Irland) – Webanalyse via Google Analytics 4 und Conversion-Tracking via Google Ads, jeweils nur nach ausdrücklicher Einwilligung über den Cookie-Banner. Ohne Einwilligung werden keine Cookies gesetzt und keine Daten an Google übermittelt.

Soweit erforderlich, schließen wir mit Dienstleistern Verträge zur Auftragsverarbeitung und treffen weitere datenschutzrechtlich erforderliche Maßnahmen.

Aktive Auftragsverarbeiter werden in dieser Datenschutzerklärung aufgeführt und bei Änderungen aktualisiert.

Bedingte Unterauftragsverarbeiter: Bei Nutzung der Enterprise-SSO-Funktion (SAML/OIDC) können kryptografische Zertifikate und Secrets über AWS Secrets Manager (Amazon Web Services EMEA SARL, Luxemburg) gespeichert werden. In diesem Fall gilt AWS als Unterauftragsverarbeiter. Auf der aktuellen Hosting-Infrastruktur (IONOS, Deutschland) wird AWS Secrets Manager nicht verwendet; SSO-Secrets werden verschlüsselt in der Datenbank gespeichert.

6. Drittlandübermittlung

Einige unserer Dienstleister haben ihren Sitz außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) – insbesondere in den USA. Wenn Daten an diese Dienstleister übermittelt werden, gelten dort nicht automatisch die gleichen Datenschutzregeln wie in der EU. Deshalb treffen wir zusätzliche Schutzmaßnahmen:

6.1 Welche Dienstleister betrifft das?

• OpenAI, LP (USA) – Verarbeitet Text- und Bildinhalte aus hochgeladenen Dokumenten für die KI-Analyse (derzeit eingesetztes Modell: GPT-4.1). Bilddateien (z. B. Pläne, Scans) werden als Bilddaten übermittelt. Je nach Dokumentinhalt können dabei auch personenbezogene Daten betroffen sein (z. B. Namen oder Adressen in Ausschreibungsunterlagen).
• Stripe, Inc. (USA) – Wickelt Zahlungen ab. Dabei werden Zahlungsdaten (z. B. Kreditkartennummer, Rechnungsadresse) verarbeitet.

6.2 Wie schützen wir Ihre Daten dabei?

Für die Übermittlung in die USA nutzen wir folgende Schutzmechanismen:

• EU-Standardvertragsklauseln (SCCs) – Das sind von der EU-Kommission vorgegebene Vertragsmuster (Durchführungsbeschluss (EU) 2021/914), die den Dienstleister verpflichten, Ihre Daten nach europäischem Standard zu schützen – auch wenn er in einem Land mit geringerem Datenschutzniveau sitzt. Sowohl OpenAI als auch Stripe verwenden diese Klauseln.
• EU-US Data Privacy Framework – Stripe ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Das bedeutet, dass die EU-Kommission für zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau festgestellt hat.
• Auftragsverarbeitungsvereinbarungen (AVV / DPA) – Mit beiden Dienstleistern bestehen Auftragsverarbeitungsvereinbarungen, die Pflichten zu Datensicherheit, Zweckbindung, Löschung und Vertraulichkeit regeln.
• Technische Schutzmaßnahmen – Die Datenübertragung erfolgt verschlüsselt (TLS). OpenAI speichert API-Daten nicht dauerhaft und nutzt sie nicht zum Training von KI-Modellen.

6.3 Transfer Impact Assessment

Wir haben für die genannten Drittlandübermittlungen eine Bewertung der Auswirkungen auf den Datenschutz (Transfer Impact Assessment, TIA) durchgeführt. Dabei wurden die Rechtslage im Zielland, die Art der übermittelten Daten und die getroffenen Schutzmaßnahmen berücksichtigt. Eine Kopie der eingesetzten Standardvertragsklauseln und des TIA stellen wir auf Anfrage unter info@vergabescanner.de zur Verfügung.

7. Newsletter

Wenn Sie sich für unseren Newsletter anmelden, verarbeiten wir Ihre E-Mail-Adresse und die mit der Anmeldung verbundenen Nachweisdaten, um Ihnen den Newsletter zuzusenden und Ihre Anmeldung dokumentieren zu können.

Der Newsletter wird nicht über einen externen Newsletter-Dienstleister, sondern durch uns selbst versendet.

Der Newsletter kann Informationen über Vergabescanner, unsere Leistungen, neue Funktionen, Angebote sowie Werbung für weitere eigene Projekte enthalten.

Bei der Newsletter-Anmeldung werden IP-Adresse und Browser-Kennung (User-Agent) ausschließlich zum Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO gespeichert.

Eine Öffnungs- oder Klickmessung findet nicht statt.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, z. B. über den Abmeldelink im Newsletter oder per E-Mail an info@vergabescanner.de.

Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

8. Cookies, lokale Speicherung und technisch notwendige Endgerätezugriffe

Auf unserer Website bzw. in unserer Anwendung verwenden wir ausschließlich technisch notwendige Cookies oder vergleichbare Technologien, soweit diese für die Bereitstellung des ausdrücklich gewünschten digitalen Dienstes erforderlich sind, etwa für Login, Sitzungsverwaltung, Sicherheit oder ähnliche technisch notwendige Funktionen.

Soweit dabei Informationen in Ihrer Endeinrichtung gespeichert werden oder auf solche Informationen zugegriffen wird, erfolgt dies auf Grundlage von § 25 Abs. 2 TDDDG, soweit der Vorgang unbedingt erforderlich ist.

Soweit im Zusammenhang mit solchen technisch notwendigen Funktionen auch personenbezogene Daten verarbeitet werden, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

Webanalyse-Cookies (Google Analytics) werden nur nach ausdrücklicher Einwilligung über den Cookie-Banner gesetzt. Ohne Ihre Zustimmung findet kein Tracking statt.

Google Analytics 4

Wir verwenden Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GA4 verwendet Cookies und ähnliche Technologien, um Ihre Nutzung unserer Website zu analysieren.

• Anbieter: Google Ireland Limited
• Measurement-ID: G-KP6ZDEDFGS
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
• Zweck: Analyse der Website-Nutzung (Besucherquellen, Seitenaufrufe, Verweildauer, Geräte)
• IP-Anonymisierung: GA4 anonymisiert IP-Adressen standardmäßig (kein vollständiges IP-Logging)
• Speicherdauer: 14 Monate (Google-Standard für GA4-Ereignisdaten)
• Datenweitergabe: Weitergabe an weitere Google-Dienste ist in unseren Kontoeinstellungen deaktiviert
• Drittlandübermittlung: Daten können in die USA übermittelt werden. Grundlage: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023)
• Widerruf: Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. Bereits erhobene Daten bleiben davon unberührt.

Ohne Ihre aktive Einwilligung im Cookie-Banner werden keine Google-Analytics- oder Google-Ads-Cookies gesetzt und keine Daten an Google übermittelt. Es findet kein Tracking statt.

Google Ads (Conversion-Tracking)

Wir verwenden Google Ads Conversion-Tracking, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Damit messen wir, ob Nutzer nach dem Klick auf eine Google-Anzeige eine Aktion auf unserer Website durchführen (z. B. Registrierung).

• Anbieter: Google Ireland Limited
• Conversion-ID: AW-18032624698
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
• Zweck: Messung der Wirksamkeit von Werbekampagnen (Conversion-Tracking)
• Erhobene Daten: Anonymisierte Informationen darüber, ob ein Nutzer eine bestimmte Aktion ausgeführt hat. Es werden keine personenbezogenen Daten wie Name oder E-Mail an Google Ads übermittelt.
• Speicherdauer: 90 Tage (Google-Standard für Conversion-Daten)
• Drittlandübermittlung: Daten können in die USA übermittelt werden. Grundlage: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023)
• Remarketing: Wir verwenden kein Google Ads Remarketing. Es werden keine Nutzerprofile für personalisierte Werbung erstellt.
• Widerruf: Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Wir verwenden den Google Consent Mode v2. Ohne Ihre Einwilligung werden die Signale ad_storage, ad_user_data, ad_personalization und analytics_storage auf denied gesetzt. Google erhält in diesem Fall keine personenbezogenen Daten und setzt keine Cookies.

Serverseitige Protokollierung von Cookie-Entscheidungen

Unabhängig von Ihrer Cookie-Wahl protokollieren wir Ihre Entscheidung (Annahme aller Cookies oder nur notwendiger Cookies) serverseitig in einem Cookie-Consent-Log. Dabei werden folgende Daten erfasst:

• Entscheidung: „Alle akzeptieren“ oder „Nur notwendige“
• IP-Adresse und Browser-Kennung (User-Agent) zum Zeitpunkt der Entscheidung
• Nutzer-ID: falls Sie zu diesem Zeitpunkt eingeloggt sind (andernfalls anonym)
• Zeitstempel: Datum und Uhrzeit der Entscheidung

Zweck: Nachweis der erteilten oder verweigerten Einwilligung gemäß Art. 7 Abs. 1 DSGVO (Rechenschaftspflicht des Verantwortlichen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation der Einwilligungsentscheidung für den Fall einer aufsichtsbehördlichen Prüfung).

Speicherdauer: Bis zu 3 Jahre, danach automatische Löschung (siehe Abschnitt 10.7).

Speicherort: Serverseitig in unserer Datenbank (IONOS, Deutschland). Die Protokollierung erfolgt unabhängig davon, ob Sie Analyse-Cookies akzeptieren oder ablehnen.

8a. Kontosicherheit: Zwei-Faktor-Authentifizierung, Passkeys und Single Sign-On

Vergabescanner bietet mehrere zusätzliche Anmeldemethoden, die Sie freiwillig aktivieren können:

• Zwei-Faktor-Authentifizierung (2FA/TOTP): Bei Aktivierung wird ein kryptografisches Geheimnis (OTP-Secret) in Ihrem Konto gespeichert. Bei jeder Anmeldung wird ein zeitbasierter Einmalcode abgefragt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kontosicherheit als Teil der Vertragsleistung).
• Passkeys (WebAuthn/FIDO2): Bei Registrierung eines Passkeys werden ein öffentlicher Schlüssel und eine Credential-ID serverseitig gespeichert. Der private Schlüssel verbleibt ausschließlich auf Ihrem Gerät. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Single Sign-On (SSO/SAML/OIDC): Wenn Ihre Organisation SSO konfiguriert hat, werden bei der Anmeldung Identitätsdaten (z. B. E-Mail, Name) von Ihrem Identity-Provider (z. B. Microsoft Entra ID, Okta, Google Workspace) übermittelt. Die Datenübermittlung erfolgt direkt zwischen Ihrem Browser und dem Identity-Provider Ihrer Organisation; wir erhalten nur die für die Anmeldung erforderlichen Attribute. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Diese Funktionen sind optional und werden nur bei ausdrücklicher Aktivierung durch Sie oder Ihre Organisation genutzt. Die dabei verarbeiteten Daten dienen ausschließlich der Authentifizierung und Kontosicherheit.

8a.1 SCIM-Provisionierung

Wenn Ihre Organisation die automatische Nutzerverwaltung über SCIM (System for Cross-domain Identity Management) aktiviert hat, werden Nutzerkonten und Gruppenzugehörigkeiten automatisch aus Ihrem Identity-Provider synchronisiert. Dabei verarbeiten wir:

• Nutzerdaten: E-Mail-Adresse, Vor- und Nachname, externe Nutzer-ID
• Gruppenzugehörigkeiten: IdP-Gruppennamen und deren Zuordnung zu Rollen in Vergabescanner
• SCIM-Token-Nutzung: IP-Adresse und Zeitpunkt jedes SCIM-API-Aufrufs (zur Missbrauchserkennung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Kontoverwaltung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die Protokollierung der Token-Nutzung.

8a.2 IdP-Gruppenmapping und automatische Rollenzuweisung

Bei SSO- und SCIM-Anmeldungen können Gruppenzugehörigkeiten aus dem Identity-Provider automatisch auf Rollen und Berechtigungen in Vergabescanner abgebildet werden. Dabei werden IdP-Gruppennamen, Mapping-Regeln und die zugewiesenen Plattformrollen gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8a.3 SSO-Auditprotokoll

Für jede SSO-Anmeldung, -Abmeldung und -Fehlermeldung wird ein Auditprotokoll-Eintrag erstellt, der folgende Daten enthält: Ereignistyp, Zeitpunkt, betroffener Nutzer (E-Mail), IP-Adresse, SSO-Verbindung und Fehlerbeschreibung (falls zutreffend). Diese Protokolle dienen der Sicherheitsüberwachung und Nachvollziehbarkeit von Authentifizierungsvorgängen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Missbrauchserkennung). Aufbewahrungsfrist: 3 Jahre (analog zu allgemeinen Audit-Logs, §§ 195, 199 BGB), danach automatische Löschung.

8b. Aktive Sitzungen, Geräteinformationen und Standortdaten

In Ihrem Profil können Sie aktive Anmeldesitzungen einsehen und einzelne Sitzungen beenden. Dabei werden folgende Daten erhoben und angezeigt:

• Geräteinformationen: User-Agent (Browsertyp, Betriebssystem), Gerätekennung
• IP-Adresse: wird bei jeder Anmeldung und Sitzungsaktivität erfasst
• Ungefährer Standort: wird aus der IP-Adresse abgeleitet (Stadt/Region, keine GPS-Daten)
• Zeitstempel: Zeitpunkt der Anmeldung und letzten Aktivität
• Anmeldemethode: Passwort, SSO, Passkey oder 2FA

Administratoren können Sitzungen anderer Nutzer innerhalb ihrer Organisation einsehen und beenden. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit, Erkennung unbefugter Zugriffe und Geräteverwaltung). Sitzungsdaten werden nach Ablauf oder Widerruf der Sitzung für maximal 90 Tage aufbewahrt und danach gelöscht. Gerätedatensätze bleiben grundsätzlich bis zur Kontolöschung erhalten; untrusted/unblocked Geräte werden jedoch nach 365 Tagen ohne Aktivität automatisch gelöscht.

9. Server-Logs und technische Protokolle

Beim Betrieb unserer Website und Anwendung können serverseitige technische Protokolle und Logdaten anfallen, insbesondere durch den Hosting-Provider. Dies kann etwa IP-Adressen, Zeitpunkte von Zugriffen, technische Fehlerdaten, Sicherheitsereignisse oder ähnliche Protokolldaten betreffen.

Die Verarbeitung erfolgt zum Zweck des sicheren Betriebs, der Fehleranalyse, Missbrauchsabwehr und Systemsicherheit auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

9a. Aktivitätsprotokoll (Action Logging)

Innerhalb einer Organisation können sicherheits- und administrationsrelevante Aktionen automatisch protokolliert werden, insbesondere Mitgliederänderungen, Rollenänderungen und Einstellungsänderungen.

Dabei verarbeiten wir je nach Aktion insbesondere Aktionstyp, Zeitpunkt, ausführenden Nutzer (E-Mail-Adresse), betroffenes Objekt (Typ, ID, Name) sowie Änderungsdetails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit, Missbrauchserkennung und interner Sicherheitsaufklärung).

Speicherdauer: 3 Jahre (§§ 195, 199 BGB), danach automatische Löschung. Bei Kontolöschung werden Nutzerreferenzen anonymisiert.

Zugriff: Nur berechtigte Organisationsmitglieder mit entsprechender Sicherheitsberechtigung. Diese Protokolle sind nicht Teil des Self-Service-Datenexports, können aber auf Anfrage bereitgestellt werden.

10. Speicherdauer und Löschung

10.1 Produkt- und Inhaltsdaten

Hochgeladene Dokumente, Analyseergebnisse, Checklisten und vergleichbare Produktdaten löschen oder anonymisieren wir grundsätzlich spätestens 30 Tage nach dokumentiertem Vertragsende in unseren Systemen, vorbehaltlich gesetzlicher Aufbewahrungspflichten und technischer Backup-Zyklen.

10.2 Zugänge und Accountdaten

Der Zugang zum Kundenkonto endet mit Vertragsende. Nutzer können die Löschung ihres Kontos jederzeit über den Kundensupport, per E-Mail an info@vergabescanner.de oder über die Löschfunktion der API beantragen. Bei Kontolöschung werden direkt zugeordnete personenbezogene Daten sofort anonymisiert oder gelöscht. Mandantenweite Abrechnungs-, Vertrags-, Nachweis- und Auditdaten bleiben nur, soweit gesetzliche oder vertragliche Pflichten dies erfordern, insbesondere: Abrechnungsdaten (10 Jahre gem. §147 AO / §257 HGB), Audit-Logs (3 Jahre gem. §195 BGB, anonymisiert) und AVV-Nachweise (Vertragsdauer zuzüglich 3 Jahre gem. §§ 195, 199 BGB; Nutzerbezug bei Kontolöschung entfernt). Diese Fristen laufen automatisch ab.

10.3 Vertrags-, Nachweis- und Kommunikationsdaten

Vertragsunterlagen, Zustimmungs- und Nachweisprotokolle sowie geschäftsrelevante Kommunikation speichern wir für die Dauer gesetzlicher Aufbewahrungsfristen (in der Regel 6 Jahre nach § 257 HGB bzw. 10 Jahre nach § 147 AO) oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (regelmäßig bis zu 3 Jahre nach §§ 195, 199 BGB).

10.4 Abrechnungs- und Buchhaltungsdaten

Rechnungen und steuerrelevante Unterlagen speichern wir für 10 Jahre (§ 147 Abs. 1 AO, § 257 Abs. 1 HGB). Handelsbriefe und Geschäftskorrespondenz speichern wir für 6 Jahre (§ 257 Abs. 1 Nr. 2 HGB).

10.5 SSO-, SCIM- und Sitzungsdaten

SSO-Auditprotokolle und SCIM-Token-Nutzungsprotokolle werden für 3 Jahre aufbewahrt (§§ 195, 199 BGB) und danach automatisch gelöscht. Sitzungsdaten (Gerät, IP, Standort) werden nach Ablauf oder Widerruf der Sitzung für maximal 90 Tage vorgehalten. Gerätedatensätze bleiben bis zur Kontolöschung erhalten; untrusted/unblocked Geräte werden zusätzlich nach 365 Tagen ohne Aktivität automatisch gelöscht. Bei Kontolöschung werden SSO-Verknüpfungen, Passkey-Credentials, Sitzungen und Geräte sofort gelöscht; Auditprotokolle werden anonymisiert (Nutzerbezug entfernt).

10.6 Newsletterdaten

Daten im Zusammenhang mit der Newsletter-Anmeldung speichern wir, solange die Anmeldung besteht, und darüber hinaus, soweit dies zum Nachweis einer erteilten Einwilligung oder eines Widerrufs erforderlich ist.

10.7 Cookie-Einwilligungsprotokolle

Serverseitige Protokolle über Cookie-Einwilligungsentscheidungen (Entscheidung, IP-Adresse, User-Agent, Zeitstempel; siehe Abschnitt 8 „Serverseitige Protokollierung“) speichern wir für bis zu 3 Jahre zur Dokumentation gemäß Art. 7 Abs. 1 DSGVO (Rechenschaftspflicht). Danach erfolgt automatische Löschung.

10.8 Backup-Daten

Sicherungskopien und Backup-Bestände können mit zeitlicher Verzögerung im Rahmen üblicher Backup- und Löschzyklen gelöscht werden.

11. Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO) informieren wir die zuständige Aufsichtsbehörde unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden. Sofern die Verletzung voraussichtlich ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten zur Folge hat, benachrichtigen wir auch die betroffenen Personen unverzüglich. Meldungen können an info@vergabescanner.de gerichtet werden.

12. Betroffenenrechte

Soweit wir personenbezogene Daten als Verantwortlicher verarbeiten, haben betroffene Personen nach den gesetzlichen Voraussetzungen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch.

Datenexport (Art. 20 DSGVO): Sie können eine Kopie Ihrer bei uns gespeicherten personenbezogenen Daten jederzeit über die Exportfunktion in Ihrem Profil als maschinenlesbaren JSON-Download herunterladen. Der Self-Service-Export umfasst Accountdaten, Firmenzugehörigkeiten, Analysen (inkl. BOM-Positionen, Kalkulationsergebnisse, Dateinamen), Preisprofile, Kontingentnutzung, Sicherheitsdaten (SSO-Verknüpfungen, Passkeys, aktive Sitzungen, Geräte), Newsletter-Status inkl. Versandhistorie, Kontaktnachrichten und AVV-Akzeptanzen. SSO-Audit-Logs und Cookie-Consent-Logs können auf Anfrage bereitgestellt werden. Interne Action-Logs sowie mandantenweite Abrechnungs- und Buchhaltungsdaten sind nicht Teil dieses Self-Service-Exports.

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie außerdem das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

Anfragen richten Sie bitte an info@vergabescanner.de.

Zudem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44, 40102 Düsseldorf
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: 0211 / 38424-0
E-Mail: poststelle@ldi.nrw.de

Soweit wir personenbezogene Daten ausschließlich als Auftragsverarbeiter im Auftrag unserer Kunden verarbeiten, ist für datenschutzrechtliche Anfragen zu diesen Inhaltsdaten grundsätzlich der jeweilige Kunde zuständig. Unbeschadet dessen können Sie sich an uns wenden; wir leiten die Anfrage, soweit möglich und rechtlich zulässig, an den zuständigen Kunden weiter.

12. Auftragsverarbeitung (AVV)

Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, stellen wir eine Auftragsverarbeitungsvereinbarung (AVV) zur Verfügung. Die jeweils aktuelle AVV kann im Kundenkonto eingesehen und akzeptiert werden; alternativ ist eine Anforderung unter info@vergabescanner.de möglich.

Für Uploads und die Verarbeitung von Ausschreibungsunterlagen ist die vorherige Akzeptanz der aktuellen AVV-Version technisch erforderlich.

Bei der AVV-Akzeptanz werden IP-Adresse und Browser-Kennung (User-Agent) zum Nachweis des Vertragsschlusses gemäß Art. 28 Abs. 9 DSGVO und zur Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO gespeichert. Die AVV-Akzeptanz ist keine Einwilligung im Sinne von Art. 7 DSGVO, sondern ein vertraglicher Compliance-Nachweis.

13. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Verlust, Missbrauch, unbefugtem Zugriff, unbefugter Offenlegung, Veränderung oder Zerstörung.