Quireo.← Zurück

Datenschutzerklärung

Datenschutzerklärung

Stand: [DATUM ergänzen, z.B. 01.06.2026] Version: v0.3 (Draft zur anwaltlichen Prüfung – noch nicht veröffentlichungsfähig)

Änderungen gegenüber v0.2: Strukturelle Aufteilung der Rollen nach DSGVO. Quireo agiert als Verantwortlicher ausschließlich für Account, Webseite, Zahlung und Marketing. Für die vom Kunden über Quireo verarbeiteten Inhalte (Sprach-, Text- und Bildnachrichten und daraus generierte Auswertungen) agiert Quireo als Auftragsverarbeiter im Sinne des Art. 28 DSGVO im Auftrag des Kunden. Diese Rollentrennung wird durch den AVV als verbindlichen Bestandteil jedes Vertragsverhältnisses sichergestellt.

1. Verantwortlicher

Verantwortlich für die in dieser Datenschutzerklärung beschriebenen Verarbeitungen ist:

Felix Brandenburg, handelnd unter “Quireo” Sassenfeld 104 41334 Nettetal Deutschland

Telefon: +49 1578 1652642 E-Mail: datenschutz@quireo.eu Webseite: https://quireo.eu

Es ist kein Datenschutzbeauftragter bestellt, da die gesetzlichen Voraussetzungen hierfür (Art. 37 DSGVO, § 38 BDSG) nicht erfüllt sind.

[ANWALT-PRÜFUNG: § 38 (1) S. 2 BDSG kann bei DSFA-pflichtigen Verarbeitungen eine DSB-Bestellungspflicht auslösen. Bitte abschließend bewerten.]

2. Anwendungsbereich, Nutzerkreis, Rollenklärung

(1) Quireo ist ein Software-as-a-Service-Angebot, das sich ausschließlich an Unternehmer im Sinne des § 14 BGB richtet. Eine Nutzung durch Verbraucher (§ 13 BGB) ist nicht vorgesehen und wird vertraglich ausgeschlossen.

(2) Diese Datenschutzerklärung gilt für die Verarbeitungen, bei denen Quireo eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Das sind insbesondere:

  • Bereitstellung der Webanwendung quireo.eu (Webseiten-Betrieb, Logfiles)
  • Verwaltung des Kundenkontos (Registrierung, Stammdaten, Authentifizierung)
  • Verknüpfung der WhatsApp-Telefonnummer mit dem Kundenkonto
  • Abwicklung kostenpflichtiger Buchungen über Stripe
  • Eigenes Marketing und Kontaktaufnahmen mit Interessenten

(3) Für die Inhalte, die der Kunde oder dessen Mitarbeiter über den Quireo-WhatsApp-Empfangskanal an Quireo übermitteln (Sprach-, Text- und Bildnachrichten), agiert Quireo als Auftragsverarbeiter im Sinne des Art. 28 DSGVO im Auftrag des Kunden. Verantwortlicher für diese Inhalte ist der Kunde. Die Einzelheiten regelt ein gesondert geschlossener Auftragsverarbeitungsvertrag (AVV), der bei jedem Vertragsschluss verbindlicher Bestandteil ist.

(4) Wenn Sie als Mitarbeiter oder Geschäftspartner eines Quireo-Kunden Inhalte über den Quireo-WhatsApp-Kanal übermitteln, ist Ihr Arbeitgeber bzw. Geschäftspartner der Verantwortliche für die Verarbeitung dieser Inhalte. Anfragen zur Auskunft, Berichtigung oder Löschung dieser Inhalte richten Sie bitte an Ihren Arbeitgeber bzw. den jeweiligen Quireo-Kunden. Quireo leitet entsprechende Anfragen an den Kunden weiter, soweit dies erforderlich ist.

3. Allgemeine Hinweise

3.1 Begriffsbestimmungen

Wir verwenden die Begriffe der DSGVO. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auch wenn Quireo sich an Unternehmen richtet, werden zwangsläufig personenbezogene Daten natürlicher Personen verarbeitet (Inhaber, Mitarbeiter, Ansprechpartner).

3.2 Sicherheit der Datenverarbeitung

Wir setzen technische und organisatorische Maßnahmen ein, um Daten gegen unberechtigten Zugriff, Verlust und Manipulation zu schützen. Die Datenübertragung zwischen Ihrem Browser und unseren Servern erfolgt verschlüsselt (TLS). Zugang zu Ihren Daten haben ausschließlich der Verantwortliche sowie die in dieser Erklärung benannten Auftragsverarbeiter im jeweils erforderlichen Umfang.

3.3 Prinzip der einseitigen WhatsApp-Kommunikation

Quireo nutzt die WhatsApp Business Cloud API ausschließlich im Empfangs-Modus. Wir senden über WhatsApp keine inhaltlichen Nachrichten zurück. Alle Ergebnisse Ihrer Nachrichten (Transkripte, Auswertungen, Bilder) sehen Sie ausschließlich in Ihrem Quireo-Dashboard.

Lediglich technische Lesebestätigungen (“blaue Haken”) werden über die API zurückgespiegelt, sobald Ihre Nachricht erfolgreich in unsere Verarbeitungskette aufgenommen wurde. Diese Lesebestätigungen enthalten keine inhaltlichen Daten.

4. Verarbeitungstätigkeiten als Verantwortlicher

Hinweis: Die folgenden Abschnitte beschreiben Verarbeitungen, bei denen Quireo eigenständig Verantwortlicher ist. Verarbeitungen von Inhalten im Auftrag des Kunden sind unter Abschnitt 5 beschrieben.

4.1 Bereitstellung der Webanwendung und Server-Logfiles

Zweck: Bereitstellung und Auslieferung der Webanwendung quireo.eu, Sicherstellung der Funktionsfähigkeit und IT-Sicherheit.

Datenkategorien: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene URL, Referrer-URL, verwendeter Browser und Betriebssystem.

Rechtsgrundlage: Art. 6 (1) f) DSGVO. Berechtigtes Interesse an der technischen Bereitstellung und Absicherung der Webanwendung.

Empfänger / Auftragsverarbeiter: GPTEngineer App AB (Lovable, Schweden), Sub-Infrastruktur ggf. USA.

Drittlandsübermittlung: USA möglich. EU-Standardvertragsklauseln gemäß Art. 46 (2) c) DSGVO.

Speicherdauer: 14 Tage, danach automatische Löschung.

4.2 Registrierung und Verwaltung des Nutzerkontos

Zweck: Bereitstellung des Quireo-Kontos, Authentifizierung, Bestätigung der Unternehmereigenschaft, Vertragsabwicklung, Abschluss des AVV mit dem Kunden, Verknüpfung mit der WhatsApp-Telefonnummer des Kunden.

Datenkategorien: E-Mail-Adresse, gehashtes Passwort, Firmenname, Rechtsform, Geschäftsanschrift, Steuernummer oder USt-IdNr., Branche, Bestätigung der Unternehmereigenschaft (Zeitstempel, Versionsnummer), Bestätigung des AVV (Zeitstempel, Versionsnummer), verknüpfte WhatsApp-Telefonnummer.

Rechtsgrundlage: Art. 6 (1) b) DSGVO. Vertragserfüllung und Durchführung vorvertraglicher Maßnahmen.

Empfänger / Auftragsverarbeiter: Supabase EU GmbH (Frankfurt am Main), Mutter Supabase Inc. (USA).

Drittlandsübermittlung: Speicherung in EU. Potenzieller US-Mutter-Zugriff über EU-Standardvertragsklauseln abgesichert.

Speicherdauer: Bis 30 Tage nach Kontokündigung. Rechnungsrelevante Daten 10 Jahre (§ 147 AO, § 257 HGB).

4.3 Authentifizierung (E-Mail/Passwort, Magic Link)

Zweck: Sichere Anmeldung, passwortlose Anmeldung, Passwort-Reset.

Datenkategorien: E-Mail-Adresse, Authentifizierungs-Tokens, Login-Zeitstempel.

Rechtsgrundlage: Art. 6 (1) b) DSGVO.

Empfänger / Auftragsverarbeiter: Supabase Auth (Supabase EU GmbH).

[ANWALT-PRÜFUNG: Tatsächlicher Mail-Versand-Sub-Processor von Supabase prüfen (AWS SES US-Region möglich) – ggf. zusätzliche Drittlandsübermittlung dokumentieren.]

Speicherdauer: Tokens bis Ablauf/Verbrauch. Anmelde-Logs 30 Tage.

4.4 Optionale Anmeldung über Google-Login

Zweck: Anmeldung über Google-Konto via OAuth 2.0 als Alternative zu E-Mail/Passwort.

Datenkategorien: Google-Nutzer-ID, E-Mail-Adresse, ggf. Name und Profilbild-URL.

Rechtsgrundlage: Art. 6 (1) a) i.V.m. Art. 49 (1) a) DSGVO (ausdrückliche Einwilligung).

Empfänger: Google Ireland Limited (Irland), Google LLC (USA).

Drittlandsübermittlung: USA. Standardvertragsklauseln + ausdrückliche Einwilligung.

Speicherdauer: Bis Kontokündigung oder Widerruf der Einwilligung.

4.5 Verknüpfung der WhatsApp-Telefonnummer mit dem Kundenkonto

Zweck: Eindeutige Zuordnung der eingehenden WhatsApp-Nachrichten zu dem Quireo-Kundenkonto. Die Verarbeitung dieser Nummer als Identifikator des Kunden ist die Voraussetzung dafür, dass eingehende Nachrichten überhaupt einem Auftrag zugeordnet werden können.

Datenkategorien: WhatsApp-Telefonnummer des Kunden, Zeitpunkt der Verknüpfung, Verifikationsstatus.

Rechtsgrundlage: Art. 6 (1) b) DSGVO (Vertragserfüllung).

Empfänger / Auftragsverarbeiter: Supabase EU GmbH (Speicherung), Meta Platforms Ireland Limited (technische Identifikation eingehender Nachrichten).

Drittlandsübermittlung: Meta verarbeitet Daten global. EU-Standardvertragsklauseln und DPF-Zertifizierung.

Speicherdauer: Bis Trennung der Verknüpfung durch den Kunden oder Kontokündigung.

[ANWALT-PRÜFUNG: Aktuelle Meta-DPA-Version anhängen, DPF-Zertifizierungsstatus von Meta Platforms Inc. zum Zeitpunkt der Veröffentlichung verifizieren.]

4.6 Zahlungsabwicklung

Zweck: Abwicklung kostenpflichtiger Buchungen, Rechnungsstellung, Abonnementverwaltung.

Datenkategorien: Name, Rechnungsanschrift, E-Mail, Zahlungsdaten (durch Stripe verwaltet), USt-IdNr.

Rechtsgrundlage: Art. 6 (1) b) DSGVO (Vertragserfüllung) und Art. 6 (1) c) DSGVO (rechtliche Verpflichtung zur Rechnungsstellung).

Empfänger / Auftragsverarbeiter: Stripe Payments Europe Ltd. (Irland), Stripe Inc. (USA).

Drittlandsübermittlung: USA. Standardvertragsklauseln.

Speicherdauer: 10 Jahre für rechnungsrelevante Daten.

4.7 Einbindung von Schriftarten (Google Fonts)

Zweck: Einheitliche Darstellung von Schriften.

Datenkategorien: Keine. Google Fonts werden lokal auf unseren Servern gehostet, keine Verbindung zu Google-Servern.

Rechtsgrundlage: Art. 6 (1) f) DSGVO.

[TECHNISCHE UMSETZUNG: Vor Go-Live verifizieren, dass Google Fonts lokal eingebunden sind und kein Nachladen von fonts.googleapis.com erfolgt.]

5. Verarbeitung von Inhalten im Auftrag des Kunden

Wichtiger Hinweis: Für die in diesem Abschnitt beschriebenen Verarbeitungen ist Quireo nicht Verantwortlicher, sondern Auftragsverarbeiter. Verantwortlicher für diese Verarbeitungen ist der jeweilige Quireo-Kunde. Die rechtlichen Pflichten gegenüber den betroffenen Personen (insbesondere Aufklärung, Einwilligungen, Auskunfts- und Löschanfragen) liegen beim Kunden. Quireo verarbeitet die Inhalte ausschließlich auf dokumentierte Weisung des Kunden gemäß Auftragsverarbeitungsvertrag.

5.1 Empfang, Transkription, KI-Auswertung und Speicherung der Nachrichteninhalte

Verarbeitungszweck: Erbringung der vertraglich vereinbarten Quireo-Leistung gegenüber dem Kunden. Konkret: Empfang eingehender Sprach-, Text- und Bildnachrichten, Transkription der Sprachnachrichten, KI-gestützte inhaltliche Auswertung, Bereitstellung im Kunden-Dashboard.

Datenkategorien: Inhalt der vom Kunden bzw. seinen Mitarbeitern übermittelten Nachrichten (Sprache, Text, Bilder), generierte Transkripte, KI-generierte Auswertungen, Zeitstempel, Message-IDs.

Besondere Datenkategorien (Art. 9 DSGVO): Da Quireo den Inhalt der vom Kunden übermittelten Nachrichten nicht vorab beeinflussen oder filtern kann, können besondere Datenkategorien enthalten sein. Die Verantwortung für eine Rechtsgrundlage zur Verarbeitung dieser Kategorien liegt beim Kunden als Verantwortlichem (z.B. ausdrückliche Einwilligung der betroffenen Personen, gesetzliche Grundlage im Beschäftigtenverhältnis nach § 26 BDSG).

Rolle Quireos: Auftragsverarbeiter nach Art. 28 DSGVO.

Empfänger / Sub-Auftragsverarbeiter:

| Anbieter | Sitz | Funktion | | ------------------------------ | ----------------------------- | ------------------------------------ | | Meta Platforms Ireland Limited | Irland (Mutter US) | Empfang der WhatsApp-Nachrichten | | Hetzner Online GmbH | Deutschland (Server Helsinki) | Whisper-Transkription, n8n-Workflows | | Mistral AI SAS | Frankreich | KI-gestützte Inhaltsauswertung | | Supabase EU GmbH | Deutschland (Mutter US) | Speicherung |

Drittlandsübermittlung: Meta-Verarbeitung schließt USA mit ein. Standardvertragsklauseln und DPF-Zertifizierung. Supabase-EU-Server, US-Mutter über Standardvertragsklauseln abgesichert.

Speicherdauer:

  • Sprach-Originaldateien: unverzüglich nach Transkription, max. 24h Puffer bei Fehler
  • Transkripte und KI-Auswertungen: bis Kontokündigung oder Lösch-Auftrag des Kunden
  • Bilder: bis aktive Löschung durch Kunden oder Kontokündigung
  • n8n-Execution-Logs: 14 Tage (Erfolg), 30 Tage (Fehler)

Weisungsgebundenheit: Quireo verarbeitet die Inhalte ausschließlich auf dokumentierte Weisung des Kunden. Hauptvertrag und AVV gelten als grundlegende Weisung. Quireo nutzt die Inhalte nicht für eigene Zwecke, insbesondere nicht für Modelltraining oder produktbezogene Auswertungen.

[ANWALT-PRÜFUNG: Aktuelle Meta-DPA und Mistral-DPA als Anlagen zum AVV beilegen.]

6. Einwilligungen und deren Widerruf

Folgende Verarbeitungen erfolgen auf Grundlage Ihrer ausdrücklichen Einwilligung:

  • Anmeldung über Google-Login (Art. 6 (1) a) i.V.m. Art. 49 (1) a) DSGVO)

Daneben wird vor der WhatsApp-Verknüpfung eine Bestätigung der Kenntnis über die WhatsApp-Empfangslogik eingeholt (kombinierte Meta-Policy- und Art. 13 DSGVO-Information).

Für die Verarbeitung möglicher besonderer Datenkategorien (Art. 9 DSGVO) in den vom Kunden übermittelten Inhalten ist der Kunde als Verantwortlicher zuständig; entsprechende Einwilligungen oder anderweitige Rechtsgrundlagen sind vom Kunden gegenüber den betroffenen Personen einzuholen.

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Den Widerruf können Sie per E-Mail an datenschutz@quireo.eu oder in den Konto-Einstellungen erklären.

7. Ihre Rechte gegenüber Quireo

Soweit Quireo Verantwortlicher ist (siehe Abschnitt 4), stehen Ihnen die folgenden Rechte zu:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf von Einwilligungen (Art. 7 (3) DSGVO)

Zur Geltendmachung: datenschutz@quireo.eu

Für die im Abschnitt 5 beschriebenen Verarbeitungen (Inhalte) richten Sie Anfragen bitte an Ihren Quireo-Kunden als Verantwortlichen. Quireo unterstützt den Kunden bei der Beantwortung solcher Anfragen gemäß AVV.

Unabhängig davon können Sie sich bei einer Datenschutz-Aufsichtsbehörde beschweren (Art. 77 DSGVO). Für Quireo zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2–4, 40213 Düsseldorf poststelle@ldi.nrw.de

8. Speicherdauer im Überblick

| Datenkategorie | Speicherdauer | Rolle Quireos | | --------------------------- | ------------------------------------- | -------------------------------------- | | Server-Logfiles | 14 Tage | Verantwortlicher | | Nutzerkonto-Stammdaten | bis 30 Tage nach Kontokündigung | Verantwortlicher | | Authentifizierungs-Tokens | bis Ablauf/Verbrauch | Verantwortlicher | | WhatsApp-Verknüpfungsdaten | bis Trennung oder Kontokündigung | Verantwortlicher | | Sprach-Originale | unverzüglich nach Transkription | Auftragsverarbeiter | | Transkripte/KI-Auswertungen | bis Kontokündigung oder Lösch-Auftrag | Auftragsverarbeiter | | Bilder | bis Löschung oder Kontokündigung | Auftragsverarbeiter | | n8n-Logs (Erfolg/Fehler) | 14/30 Tage | Auftragsverarbeiter | | Rechnungsrelevante Daten | 10 Jahre | Verantwortlicher (gesetzliche Pflicht) |

9. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung (Art. 22 DSGVO) findet nicht statt. Die KI-gestützte Auswertung dient ausschließlich der Strukturierung von Inhalten zur Anzeige im Dashboard ohne automatisierte Entscheidungen mit Außenwirkung.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn Änderungen der Verarbeitung, Auftragsverarbeiter oder der Rechtslage dies erforderlich machen. Die aktuelle Fassung ist unter https://quireo.eu/datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir per E-Mail.

11. Übersicht der Auftragsverarbeiter

| Anbieter | Funktion | Drittland | Rechtsgrundlage Übermittlung | | ------------------------------ | ---------------------------- | -------------------- | ---------------------------- | | GPTEngineer App AB (Lovable) | Hosting Webanwendung | USA möglich | SCC | | Supabase EU GmbH | Datenbank, Auth, Storage | indirekt (US-Mutter) | SCC | | Stripe Payments Europe Ltd. | Zahlungsabwicklung | USA | SCC | | Mistral AI SAS | KI-Auswertung | nein | – | | Hetzner Online GmbH | VPS (n8n, Whisper) | nein | – | | Meta Platforms Ireland Limited | WhatsApp Cloud API (Empfang) | USA | SCC + DPF | | Google Ireland Ltd. | Optionaler Login | USA | Art. 49 (1) a + SCC |

Ende der Datenschutzerklärung