← Zurück zur Startseite

Datenschutzerklärung

Wir freuen uns über dein Interesse an Vendari. Der Schutz deiner Daten ist uns wichtig. Nachfolgend informieren wir dich darüber, welche personenbezogenen Daten wir beim Besuch dieser Webseite und bei der Nutzung der Vendari-Anwendung verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
MS Holding GmbH
Frauenstraße 26
48143 Münster
Deutschland
Geschäftsführer: Mario Scheurer
Telefon: +49 (0) 251 59 6868 01
E-Mail: m.scheurer@tirio.digital

2. Begriffe und Rollen

Vendari ist ein CRM für Vertriebsfirmen. Nutzt eine Firma Vendari als Werkzeug für ihre eigene Kundenverwaltung, ist diese Firma datenschutzrechtlich Verantwortliche für die von ihr eingegebenen Kundendaten; wir werden insoweit als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags tätig. Für den Betrieb der Webseite, die Bereitstellung der Plattform sowie die in dieser Erklärung genannten eigenen Zwecke sind wir Verantwortlicher.

3. Hosting und Bereitstellung

Webseite, Anwendung und Server-Funktionen werden bei Netlify gehostet (Build- und Function-Region Frankfurt). Datenbank und Authentifizierung betreiben wir über Supabase in einem EU-Rechenzentrum (eu-central-1, Frankfurt). Beide Anbieter sind als Auftragsverarbeiter eingebunden. Soweit dabei eine Übermittlung in Drittländer (z. B. USA) erfolgt, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (Abschnitt 12). Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und effizienten Betrieb (Art. 6 Abs. 1 lit. f DSGVO) bzw. die Vertragserfüllung (lit. b).

4. Server-Logfiles

Beim Aufruf der Webseite und der Anwendung werden automatisch technische Daten verarbeitet: IP-Adresse, Datum und Uhrzeit, angeforderte Ressource, Statuscode, übertragene Datenmenge, Referrer sowie Browser- und Betriebssystemangaben. Diese Daten sind technisch erforderlich, um die Seite auszuliefern, die Stabilität und Sicherheit zu gewährleisten und Missbrauch abzuwehren (Art. 6 Abs. 1 lit. f DSGVO). Sie werden nur so lange gespeichert, wie es für diese Zwecke erforderlich ist, und anschließend gelöscht.

5. Cookies und lokale Speicherung

Die öffentliche Webseite kommt ohne Tracking-Cookies und ohne Web-Analyse aus. In der Anwendung verwenden wir ausschließlich technisch notwendige Cookies bzw. lokale Speicherung, insbesondere zur Aufrechterhaltung der angemeldeten Sitzung und zum Speichern persönlicher Oberflächen-Einstellungen (z. B. Hell-/Dunkel-Design). Diese sind für den Betrieb erforderlich; eine Einwilligung ist hierfür nicht nötig (Art. 6 Abs. 1 lit. b und lit. f DSGVO).

6. Kontaktaufnahme

Wenn du uns per E-Mail kontaktierst, verarbeiten wir deine Angaben zur Bearbeitung der Anfrage und für mögliche Anschlussfragen (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Die Daten werden gelöscht, sobald sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Konto und Nutzung der Anwendung

Für die Nutzung von Vendari legen Nutzer ein Konto an. Wir verarbeiten dabei Bestands- und Anmeldedaten (Name, E-Mail-Adresse, Firmenzugehörigkeit, Rolle) sowie die Daten, die Nutzer in der Anwendung selbst eingeben oder erzeugen (z. B. Leads, Kontakte, Aufgaben, Termine, Notizen, Angebote). Die Anmeldung erfolgt per Magic-Link (Anmeldelink per E-Mail). Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Die strikte Trennung der Daten verschiedener Firmen ist technisch durchgesetzt.

8. Anbindung externer E-Mail-Postfächer (Gmail, Microsoft 365, IMAP)

Nutzer können ihr eigenes E-Mail-Postfach mit Vendari verbinden, um aus der Anwendung heraus E-Mails an ihre Kontakte zu senden und eingehende Antworten automatisch dem passenden Kontakt zuzuordnen. Der Zugriff erfolgt ausschließlich auf Veranlassung und im Namen des jeweiligen Nutzers; Inhalte und Metadaten der so verarbeiteten E-Mails werden nur zur Bereitstellung dieser Funktion genutzt.

  • Google (Gmail): Wir verwenden die Berechtigungen gmail.send (Senden) und gmail.readonly (Lesen eingehender Nachrichten). Die Nutzung und Weitergabe der von Google-APIs empfangenen Informationen durch Vendari an andere Anwendungen erfüllt die Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Im Einzelnen werden diese Daten ausschließlich zur Bereitstellung der oben genannten Funktionen verwendet, nicht für Werbung, nicht zum Training verallgemeinerter KI-/Machine-Learning-Modelle und nicht an Dritte verkauft. Eine Weitergabe erfolgt nur, soweit dies für die Bereitstellung des Dienstes zwingend erforderlich ist, zur Einhaltung geltenden Rechts, im Rahmen einer Unternehmensübertragung mit Zustimmung bzw. gesetzlicher Pflicht oder zur Gefahrenabwehr/Sicherheit. Der menschliche Zugriff auf diese Daten ist ausgeschlossen, außer mit Einwilligung des Nutzers, zu Sicherheitszwecken, zur Einhaltung geltenden Rechts oder soweit die Daten aggregiert und anonymisiert sind.
  • Microsoft 365 / Outlook: Über Microsoft Graph nutzen wir die Berechtigungen Mail.Send und Mail.Read. Es gelten dieselben Zweckbindungen wie oben.
  • IMAP/SMTP (eigener Mailserver): Hier hinterlegt der Nutzer die Zugangsdaten seines Postfachs. Diese werden ausschließlich verschlüsselt gespeichert und nur zum Senden und Abrufen seiner E-Mails verwendet.

Zugangsdaten und Zugriffstoken werden mit AES-256-GCM verschlüsselt in der EU gespeichert, ausschließlich serverseitig entschlüsselt und bei Trennung des Postfachs umgehend gelöscht. Die Verbindung zu den Mailservern erfolgt TLS-verschlüsselt. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

9. E-Mail-Versand und Öffnungs-Tracking

Versendet ein Nutzer über Vendari eine E-Mail, gelangt diese an die von ihm angegebenen Empfänger und durchläuft den von ihm gewählten Mail-Anbieter. Zur Erfolgsmessung kann jede ausgehende E-Mail einen kleinen, unsichtbaren Zählpixel enthalten. Wird die E-Mail geöffnet und das Pixel geladen, erfassen wir Zeitpunkt, Anzahl der Öffnungen sowie technische Angaben des abrufenden Geräts (IP-Adresse, User-Agent). Diese Verarbeitung dient dem berechtigten Interesse des versendenden Nutzers an der Erfolgskontrolle seiner Kommunikation (Art. 6 Abs. 1 lit. f DSGVO). Empfänger können dem Tracking widersprechen, etwa indem sie das automatische Laden externer Bilder in ihrem E-Mail-Programm deaktivieren.

10. Telefonie, Anrufaufzeichnung und Transkription

Soweit die Telefonie-Funktion für eine Firma aktiviert ist, werden Anrufe über den Dienstleister Twilio abgewickelt; dabei fallen Verbindungsdaten (Rufnummern, Zeitpunkt, Dauer) an. Optional können Gespräche aufgezeichnet und zur Nachbereitung automatisiert transkribiert werden (Transkription über OpenAI). Aufzeichnungen erfolgen nur im gesetzlich zulässigen Rahmen; für die Einhaltung etwaiger Hinweis- und Einwilligungspflichten gegenüber den Gesprächsteilnehmern ist die jeweils nutzende Firma verantwortlich. Rechtsgrundlage ist die Vertragserfüllung bzw. das berechtigte Interesse an der Dokumentation und Qualitätssicherung (Art. 6 Abs. 1 lit. b und lit. f DSGVO), bei Aufzeichnungen ggf. die Einwilligung (lit. a).

11. Zahlungsabwicklung

Für kostenpflichtige Abonnements nutzen wir den Zahlungsdienstleister Stripe. Die Zahlungsdaten werden direkt von Stripe verarbeitet; wir erhalten lediglich die zur Vertrags- und Rechnungsabwicklung erforderlichen Informationen. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie die Erfüllung gesetzlicher (insbesondere steuer- und handelsrechtlicher) Pflichten (lit. c).

12. KI-gestützte Funktionen

Soweit aktiviert, erstellt Vendari mithilfe des Dienstleisters Anthropic KI-gestützte Zusammenfassungen zu Leads. Hierfür werden die jeweils relevanten, in der Anwendung gespeicherten Daten verarbeitet. Die genutzten Dienstleister verwenden die übermittelten Daten nicht zum Training ihrer allgemeinen Modelle. Rechtsgrundlage ist das berechtigte Interesse an einer effizienten Vertriebsunterstützung (Art. 6 Abs. 1 lit. f DSGVO) bzw. die Vertragserfüllung (lit. b).

13. Empfänger und Auftragsverarbeiter

Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen:

  • Supabase – Datenbank und Authentifizierung (EU-Region Frankfurt).
  • Netlify – Hosting der Webseite, der Anwendung und der Server-Funktionen.
  • Resend – Versand der System- und Anmelde-E-Mails der Plattform.
  • Stripe – Zahlungsabwicklung der Abonnements.
  • Twilio – Telefonie (soweit aktiviert).
  • OpenAI – Transkription von Telefonaten (soweit aktiviert).
  • Anthropic – KI-gestützte Zusammenfassungen (soweit aktiviert).
  • Google bzw. Microsoft – nur, wenn ein Nutzer sein Gmail- bzw. Microsoft-365-Postfach per OAuth verbindet (siehe Abschnitt 8).

Einige dieser Dienstleister haben ihren Sitz bzw. verarbeiten Daten in den USA. Eine Übermittlung erfolgt in diesen Fällen auf Grundlage geeigneter Garantien, insbesondere der EU-Standardvertragsklauseln (Art. 46 DSGVO), bzw. – soweit zertifiziert – auf Basis eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework).

14. Speicherdauer

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konto- und Inhaltsdaten werden nach Beendigung des Nutzungsverhältnisses gelöscht, soweit keine gesetzlichen Pflichten (z. B. handels- und steuerrechtliche Aufbewahrungsfristen) entgegenstehen.

15. Datensicherheit

Die Übertragung erfolgt durchgängig TLS-verschlüsselt. Sensible Zugangsdaten (insbesondere Mail-Zugangsdaten und Zugriffstoken) werden zusätzlich verschlüsselt gespeichert. Der Zugriff ist auf das technisch notwendige Maß beschränkt.

16. Deine Rechte

Du hast nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie ein Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21). Beruht eine Verarbeitung auf deiner Einwilligung, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Zur Ausübung deiner Rechte genügt eine Nachricht an m.scheurer@tirio.digital.

Sind die in der Anwendung gespeicherten Daten von einer nutzenden Firma als Verantwortliche eingegeben worden, wende dich bitte zur Wahrnehmung deiner Rechte an diese Firma; wir unterstützen die Bearbeitung als Auftragsverarbeiter.

17. Beschwerderecht bei der Aufsichtsbehörde

Dir steht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Für uns zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf

18. Aktualität und Änderungen

Wir passen diese Datenschutzerklärung an, sobald sich die Datenverarbeitung oder die Rechtslage ändert. Es gilt jeweils die hier veröffentlichte aktuelle Fassung.

Stand: Juni 2026