Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO darüber, wie wir Ihre personenbezogenen Daten verarbeiten, wenn Sie unsere Website besuchen oder unsere Dienste nutzen.

1. Verantwortlicher

VULUS UG (haftungsbeschränkt)

[Vollständige Adresse — vor Launch ausfüllen]

Datenschutz-Kontakt: datenschutz@vulus.de

2. Erhebung und Verarbeitung personenbezogener Daten

2.1 Registrierung und Konto

Bei der Registrierung erheben wir folgende Daten:

  • E-Mail-Adresse (Pflichtfeld)
  • Passwort (wird ausschließlich als bcrypt-Hash gespeichert — niemals im Klartext)
  • Unternehmensdaten im Rahmen des Onboardings (Firmenname, Rechtsform, Adresse nach DIN 5008, Steuernummer, IBAN)
  • Branche / Tätigkeitsfeld

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Besonders sensible Daten

IBAN und Steuernummer werden auf Anwendungsebene mit AES-256 verschlüsselt, bevor sie in der Datenbank gespeichert werden. Der Verschlüsselungsschlüssel wird separat von den Daten aufbewahrt. Wir haben keinen Klartextzugriff auf diese Felder.

2.3 Hochgeladene Dokumente

Dokumente (gescannte Briefe, Rechnungen, Baustellenfotos, Mitarbeiterdokumente) werden in Google Cloud Storage (GCS) in der Region europe-west3 (Frankfurt) gespeichert.

Aufbewahrungsdauer: Gemäß GoBD und §147 AO 10 Jahre. Eine vorzeitige Löschung dieser Dokumente ist aus rechtlichen Gründen nicht möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — GoBD, §147 AO).

2.4 Kommunikation (E-Mail)

Wenn Sie uns per E-Mail kontaktieren, speichern wir Ihre E-Mail-Adresse und den Inhalt der Nachricht zur Bearbeitung und Beantwortung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation).

2.5 Server-Logfiles

Beim Besuch unserer Website werden automatisch folgende Daten erfasst:

  • IP-Adresse (anonymisiert nach 24 Stunden)
  • Browser-Typ und -Version
  • Betriebssystem
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode

Diese Daten dienen ausschließlich der Sicherheit und technischen Fehlerdiagnose. Vollständige Logs werden nach 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

3. Einsatz von Drittanbietern

3.1 Hosting — Google Cloud Platform (GCP)

Alle Daten werden ausschließlich in der Region europe-west3 (Frankfurt am Main, Deutschland) gespeichert und verarbeitet. Eine Übermittlung in Drittländer außerhalb der EU findet nicht statt.

GCP ist nach ISO/IEC 27001, 27017, 27018 zertifiziert und hat mit uns einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Datenschutzinformationen Google: cloud.google.com/privacy

3.2 Google Cloud Vision OCR & Vertex AI (Gemini)

Für den Mail Analyzer werden hochgeladene Dokumente an Google Cloud Vision (Texterkennung / OCR) und Gemini AI (Vertex AI) zur Analyse und Übersetzung gesendet. Die Verarbeitung erfolgt innerhalb der GCP europe-west-Region. Google verwendet diese Daten nicht für das Training von KI-Modellen (Enterprise API Terms).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Firebase / Firestore (Google)

Firebase Firestore wird für Echtzeit-Statusaktualisierungen verwendet (z.B. Fortschritt der Briefanalyse, Push-Benachrichtigungen). Es werden nur minimale Daten (Prozessstatus, Benachrichtigungs-IDs) in Firestore gespeichert. Firestore ist Teil der GCP-Infrastruktur und unterliegt demselben AVV.

3.4 Stripe (Zahlungsabwicklung)

Die Abwicklung von Zahlungen erfolgt über Stripe Payments Europe, Ltd. (Dublin, Irland). Kartendaten werden ausschließlich bei Stripe verarbeitet und niemals auf unseren Servern gespeichert. Stripe ist PCI DSS Level 1 zertifiziert.

Datenschutzrichtlinie Stripe: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Abonnementzahlung).

3.5 Google Fonts

Die Landing Page lädt die Schriftarten Barlow Condensed und Inter von Google Fonts (fonts.googleapis.com). Dabei wird Ihre IP-Adresse an Google-Server übertragen. Die Nutzung von Google Fonts erfolgt im Interesse einer einheitlichen Darstellung.

Datenschutzinformationen Google: policies.google.com/privacy. Sofern Sie Google Fonts ablehnen möchten, können Sie die Schriftarten in Ihrem Browser blockieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung).

3.6 Firebase Cloud Messaging (Push-Benachrichtigungen)

Für Push-Benachrichtigungen (z.B. Ablauf von Mitarbeitervisa) wird Firebase Cloud Messaging (FCM) verwendet. FCM überträgt lediglich den Benachrichtigungs-Token an Firebase-Server. Sie können Push-Benachrichtigungen jederzeit in Ihren Browser-/Geräteeinstellungen deaktivieren.

4. Cookies

VULUS verwendet ausschließlich technisch notwendige Cookies. Wir setzen keine Werbe-, Analyse- oder Tracking-Cookies ein.

  • access_token — HttpOnly-Session-Cookie mit JWT. Laufzeit: 7 Tage. Nicht über JavaScript zugänglich. Wird beim Ausloggen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (notwendig zur Vertragserfüllung / Sitzungsverwaltung). Eine Einwilligung nach §25 TTDSG ist für technisch notwendige Cookies nicht erforderlich.

5. Datenspeicherung und Löschfristen

  • Kontodaten (E-Mail, Profil): bis zur Kontolöschung + 30 Tage Backup-Vorhaltung
  • Rechnungen, Angebote, Mahnungen: 10 Jahre (§147 AO, GoBD)
  • Bautagebuch-Einträge und Mitarbeiterdokumente: 10 Jahre (GoBD)
  • Server-Logs: 30 Tage
  • Zahlungsdaten (Stripe): gemäß Stripe-Richtlinie (i.d.R. 7 Jahre)
  • Passwort-Reset-Token: 1 Stunde (automatischer Ablauf)

Hinweis zu GoBD-Dokumenten: Steuerlich relevante Dokumente können aufgrund der gesetzlichen Aufbewahrungspflicht (§147 AO) nicht vor Ablauf der 10-jährigen Frist gelöscht werden, auch wenn Sie eine Löschung beantragen.

6. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte, die Sie durch Kontaktaufnahme unter datenschutz@vulus.de ausüben können:

  • Auskunft — Art. 15 DSGVO: Auskunft über Ihre gespeicherten personenbezogenen Daten
  • Berichtigung — Art. 16 DSGVO: Korrektur unrichtiger oder unvollständiger Daten
  • Löschung — Art. 17 DSGVO: Löschung Ihrer Daten (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen)
  • Einschränkung — Art. 18 DSGVO: Einschränkung der Verarbeitung Ihrer Daten
  • Datenübertragbarkeit — Art. 20 DSGVO: Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
  • Widerspruch — Art. 21 DSGVO: Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung — Art. 7 Abs. 3 DSGVO: (soweit eine Einwilligung die Rechtsgrundlage bildet)

7. Recht auf Beschwerde bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen. Die zuständige Aufsichtsbehörde richtet sich nach dem Bundesland des Unternehmenssitzes.

Eine Übersicht aller deutschen Aufsichtsbehörden finden Sie auf: bfdi.bund.de

8. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen (TOM) ein:

  • TLS 1.2+ (HTTPS) für alle Datenübertragungen
  • bcrypt (Kostenfaktor 10) für Passwort-Hashing
  • AES-256-Verschlüsselung für IBAN und Steuernummer (Anwendungsebene)
  • HttpOnly + Secure Cookies (kein JavaScript-Zugriff auf Tokens)
  • Serverstandort ausschließlich in Deutschland (DSGVO-konform)
  • Unveränderliche Audit-Logs (GoBD-konforme Prüfspur)
  • 10 Jahre Aufbewahrung mit GCS Object Retention Lock

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der rechtlichen Lage oder unserer Dienste anzupassen. Die aktuelle Version ist stets unter vulus.de/de/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

Stand: Mai 2026