Datenschutzerklärung

Wie wir Ihre personenbezogenen Daten erfassen, verwenden und schützen

Datenschutzerklärung

Zuletzt aktualisiert: 27. November 2025

Diese Datenschutzerklärung erläutert, wie Cleero ("Cleero", "wir", "uns", "unser") personenbezogene Daten verarbeitet, wenn Sie unsere Website [object Object], unsere Webanwendung unter [object Object] (zusammen: die "Plattform") nutzen und wenn Sie auf andere Weise mit uns interagieren. Wir verpflichten uns, Ihre Privatsphäre zu schützen und personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO") und den anwendbaren belgischen Datenschutzgesetzen zu verarbeiten.

Wer Wir Sind (Verantwortlicher)

Die Cleero-Anwendung und -Website werden von Peakdesigns CommV betrieben, die unter dem Markennamen Cleero handelt. Für die in dieser Datenschutzerklärung beschriebenen Zwecke handelt Peakdesigns CommV als Verantwortlicher für die personenbezogenen Daten der Nutzer der Plattform und Website-Besucher.

Peakdesigns CommV ("Cleero")
Voortstraat 72
3580 Beringen
Belgien
USt-IdNr.: BE 0759.767.742
E-Mail: [email protected]

Abhängig davon, wie Sie unsere Dienste nutzen, können Sie auch als unabhängiger Verantwortlicher handeln, beispielsweise wenn Sie personenbezogene Daten Ihrer eigenen Kunden, Lieferanten oder Mitarbeiter in die Plattform hochladen oder eingeben. In diesen Fällen sind Sie dafür verantwortlich, sicherzustellen, dass eine solche Verarbeitung der DSGVO entspricht (beispielsweise durch Bereitstellung Ihrer eigenen Datenschutzerklärung an diese betroffenen Personen).

Geltungsbereich Dieser Richtlinie

Diese Datenschutzerklärung gilt, wenn wir personenbezogene Daten verarbeiten von:

  • Besuchern unserer Website cleero.be;
  • Nutzern unserer Plattform (app.cleero.be) wie Unternehmer, Unternehmen, Buchhalter und deren Mitarbeiter;
  • Personen, deren Daten in Dokumenten und Daten enthalten sind, die über die Plattform verarbeitet werden (z. B. Kunden, Lieferanten, Kontaktpersonen, Mitarbeiter);
  • Personen, die uns per E-Mail, Support-Kanäle oder soziale Medien kontaktieren;
  • Potenzielle Kunden und Newsletter-Abonnenten.

Wenn Sie Informationen darüber wünschen, wie wir Cookies und ähnliche Technologien verwenden, lesen Sie bitte unsere separate Cookie-Richtlinie.

Kategorien Personenbezogener Daten

Wir verarbeiten die folgenden Kategorien personenbezogener Daten, abhängig von Ihrer Beziehung zu uns und der Art und Weise, wie Sie die Plattform nutzen:

Konto- und Profildaten

  • Identifikationsdaten: Vorname, Nachname, Titel;
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer;
  • Kontodaten: Benutzername, Passwort (in gehashter Form gespeichert), Authentifizierungsprotokolle;
  • Spracheinstellungen und Kommunikationspräferenzen;
  • Unternehmensinformationen: Firmenname, USt-IdNr., Geschäftsadresse, Branche, Rolle/Funktion.

Daten in der Plattform (Geschäfts- und Finanzdaten)

Der Kern unseres Dienstes besteht darin, Geschäfts- und Finanzdaten zu verarbeiten und zu speichern. Diese Daten können personenbezogene Daten von Ihnen und von Dritten (wie Ihren Kunden, Lieferanten und Mitarbeitern) enthalten. Beispiele hierfür sind:

  • Rechnungen, Gutschriften, Angebote, Mahnungen und andere Dokumente;
  • Kunden- und Lieferantendaten (Namen, Kontaktdaten, USt-IdNr., Bankdaten sofern relevant);
  • Ausgaben- und Einkaufsaufzeichnungen (einschließlich hochgeladener Quittungen, Rechnungen und ähnlicher Dokumente);
  • Banktransaktionsdaten, die über verbundene Bank-Feeds oder importierte Kontoauszüge erhalten werden;
  • Buchhaltungs- und Berichtsdaten, die aus den oben genannten abgeleitet werden.

Sie sind für die Richtigkeit, Rechtmäßigkeit und Aktualität der personenbezogenen Daten verantwortlich, die Sie in die Plattform hochladen oder eingeben. Wenn Sie personenbezogene Daten von Dritten eingeben (z. B. Ihre Kunden), müssen Sie sicherstellen, dass Sie eine gültige Rechtsgrundlage dafür haben und dass diese Personen angemessen informiert wurden. Unsere Plattform ist nicht für die systematische Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO (wie Daten über Gesundheit, religiöse Überzeugungen oder Gewerkschaftszugehörigkeit) konzipiert. Sie sollten es vermeiden, solche sensiblen Daten in Dokumente oder Felder aufzunehmen, die über die Plattform verarbeitet werden, es sei denn, dies ist unbedingt erforderlich, rechtmäßig und im Einklang mit Ihren eigenen Verpflichtungen als Verantwortlicher.

Technische und Nutzungsdaten

  • IP-Adresse, Browsertyp und -version, Betriebssystem, Geräteinformationen;
  • Datum und Uhrzeit des Zugriffs, besuchte Seiten, innerhalb der Anwendung durchgeführte Aktionen (Audit-Protokolle), ungefährer Standort (basierend auf IP-Adresse);
  • Cookie-Identifikatoren und ähnliche Tracking-Identifikatoren (wie in unserer Cookie-Richtlinie beschrieben);
  • Protokolldaten in Bezug auf Leistung, Fehler und Sicherheitsereignisse.

Kommunikations- und Support-Daten

  • Inhalt von E-Mails und Nachrichten, die Sie uns senden (z. B. Support-Anfragen, Feedback, Beschwerden);
  • Support-Ticket-Metadaten (Zeitstempel, interne Notizen zu Ihrer Anfrage);
  • Gesprächsnotizen (wenn Sie uns telefonisch kontaktieren), soweit dies zur Bearbeitung Ihrer Anfrage erforderlich ist.

Marketing- und Interessentendaten

  • Newsletter-Abonnementdetails (Name, E-Mail, Sprache und Interessen, falls angegeben);
  • Informationen, die Sie bei Veranstaltungen oder über Formulare bereitstellen (z. B. Lead-Formulare, Demo-Anfragen);
  • Präferenzen bezüglich des Empfangs von Marketing-Kommunikation.

Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten für die nachstehend aufgeführten Zwecke und stützen uns auf die folgenden Rechtsgrundlagen gemäß der DSGVO:

Bereitstellung und Betrieb der Plattform

Wir verarbeiten personenbezogene Daten, um:

  • Benutzerkonten und Organisationen zu erstellen und zu verwalten;
  • Rechnungsstellung, Ausgabenverwaltung und zugehörige Buchhaltungsfunktionen bereitzustellen;
  • Dokumente (z. B. Rechnungen, Mahnungen, Angebote) per E-Mail oder über Peppol zu versenden;
  • Verbindungen zu Bankpartnern herzustellen, um Transaktionen zu synchronisieren (nur mit Ihrer ausdrücklichen Einrichtung und Autorisierung);
  • Kontoauszüge und Buchhaltungsdokumente von Drittanbietern zu importieren und abzugleichen, wenn Sie diese Integrationen aktivieren;
  • Zusammenarbeit mit Buchhaltern oder anderen autorisierten Benutzern zu ermöglichen;
  • Kundensupport und Incident-Management bereitzustellen.

Rechtsgrundlage: Artikel 6(1)(b) DSGVO (Erfüllung eines Vertrags) und, wenn Sie als Vertreter eines Unternehmens handeln, unser berechtigtes Interesse an der Kommunikation mit unseren Kunden und Nutzern (Artikel 6(1)(f) DSGVO).

Einhaltung Gesetzlicher Verpflichtungen

Wir verarbeiten personenbezogene Daten, um gesetzliche Verpflichtungen zu erfüllen, insbesondere gemäß den belgischen Buchhaltungs-, Steuer- und Geldwäschegesetzen. Dies umfasst:

  • Aufbewahrung von Buchhaltungsdokumenten und -aufzeichnungen für die gesetzlich vorgeschriebene Frist (in der Regel 7–10 Jahre, abhängig von der spezifischen Verpflichtung);
  • Bereitstellung von Informationen an zuständige Behörden, wenn wir gesetzlich dazu verpflichtet sind;
  • Umsetzung von Maßnahmen zur Verhinderung von Betrug, Missbrauch und Geldwäsche, soweit zutreffend.

Rechtsgrundlage: Artikel 6(1)(c) DSGVO (Erfüllung einer rechtlichen Verpflichtung).

KYC und Risikoprüfungen

Für bestimmte Organisationen und Anwendungsfälle (z. B. im Zusammenhang mit Peppol-Konnektivität, Bankintegrationen oder Abonnementabrechnung) können wir Know Your Customer (KYC) und damit verbundene Risikoprüfungen unter Verwendung spezialisierter Drittanbieter durchführen. Dies umfasst in der Regel die Überprüfung von Organisationsdetails und gegebenenfalls Informationen über Vertreter oder Kontaktpersonen.

Wenn Sie einen KYC-Prozess starten, werden Sie zu einer sicheren Überprüfungsumgebung weitergeleitet, die von einem solchen Anbieter betrieben wird. In dieser Umgebung können sie Sie auffordern, Identitätsinformationen bereitzustellen, einschließlich Bilder Ihres Ausweisdokuments (z. B. Personalausweis oder Reisepass), Selfie-Fotos oder kurze Videos für Lebensechtheitsüberprüfungen sowie andere Daten, die zur Bestätigung Ihrer Identität und Rolle erforderlich sind. Diese Nachweise (die biometrische Daten wie Gesichtsvorlagen oder Lebendigkeitssignale enthalten können) werden auf der Infrastruktur dieses Überprüfungsanbieters unter seinen eigenen Bedingungen und Datenschutzhinweisen gesammelt und gespeichert. Wir erhalten das Ergebnis und relevante Statusinformationen (z. B. ob die Überprüfung erfolgreich war, zusätzliche Informationen benötigt oder abgelehnt wurde), zusammen mit begrenzten Metadaten, die erforderlich sind, um das Ergebnis mit Ihrer Organisation und Ihrem Konto zu verknüpfen, aber wir speichern die Roh-Ausweisdokumente oder Selfie-Bilder nicht systematisch in unseren eigenen Systemen.

Wenn Sie Personen als unabhängiger Verantwortlicher KYC-Prüfungen unterziehen (z. B. Ihre eigenen Direktoren oder Vertreter), sind Sie dafür verantwortlich sicherzustellen, dass eine angemessene Rechtsgrundlage für die Verarbeitung vorliegt (einschließlich ausdrücklicher Einwilligung für biometrische Daten, wenn gesetzlich vorgeschrieben) und dass diese Personen angemessene Informationen über die Nutzung von KYC-Anbietern und die mögliche Verarbeitung biometrischer Identifikatoren erhalten.

Rechtsgrundlage: Unser berechtigtes Interesse am Schutz unserer Dienste und an der Einhaltung vertraglicher und regulatorischer Anforderungen (Artikel 6(1)(f) DSGVO) und, wenn Prüfungen gesetzlich oder von unseren Finanzpartnern vorgeschrieben sind, Artikel 6(1)(c) DSGVO (rechtliche Verpflichtung).

Sicherheit, Betrugsprävention und Serviceverbesserung

Wir verarbeiten technische und Nutzungsdaten, um:

  • Die Plattform und die zugrunde liegende Infrastruktur zu sichern (z. B. Überwachung, Zugriffsprotokolle, Anomalieerkennung);
  • (Versuchten) Missbrauch, Betrug oder Sicherheitsvorfälle zu verhindern, zu erkennen und zu untersuchen;
  • Leistung und Zuverlässigkeit der Plattform zu überwachen;
  • Vorhandene Funktionen zu verbessern und zu optimieren und neue zu entwickeln (z. B. durch Analyse anonymisierter oder aggregierter Nutzungsdaten).

Rechtsgrundlage: Unser berechtigtes Interesse daran, unsere Dienste sicher, zuverlässig und kontinuierlich zu verbessern (Artikel 6(1)(f) DSGVO).

Marketing und Kommunikation

Wir können Ihre Kontaktdaten verwenden, um:

  • Dienstbezogene Kommunikation zu senden (z. B. Änderungen an der Plattform, Sicherheitswarnungen, wichtige Updates);
  • Newsletter und Marketing-Kommunikation über Cleero, neue Funktionen und Angebote zu senden;
  • Sie zu Umfragen, Webinaren oder Veranstaltungen einzuladen.

Rechtsgrundlage:

  • Für dienstbezogene und transaktionale Kommunikation: unser berechtigtes Interesse und/oder Vertragserfüllung (Artikel 6(1)(b) und (f) DSGVO);
  • Für elektronisches Direktmarketing an Nicht-Kunden: Ihre vorherige Einwilligung (Artikel 6(1)(a) DSGVO und geltende E-Privacy-Regeln);
  • Für Marketing an bestehende Kunden über ähnliche Dienstleistungen: unser berechtigtes Interesse, mit einfacher Abmeldemöglichkeit in jeder Nachricht (Artikel 6(1)(f) DSGVO).

Bearbeitung von Anfragen, Fragen und Beschwerden

Wenn Sie uns kontaktieren (z. B. über [email protected] oder über den In-App-Support), verarbeiten wir die von Ihnen bereitgestellten Informationen, um zu antworten und Ihre Anfrage zu verfolgen.

Rechtsgrundlage: Unser berechtigtes Interesse daran, Ihre Fragen zu beantworten und Support zu leisten (Artikel 6(1)(f) DSGVO) und, falls zutreffend, Erfüllung eines Vertrags (Artikel 6(1)(b) DSGVO).

Einwilligungsbasierte Verarbeitung

Wenn wir uns auf Ihre Einwilligung stützen (z. B. für bestimmte Cookies, für spezifische Marketing-Kommunikation oder wenn ausnahmsweise sensible Daten verarbeitet würden), können Sie diese Einwilligung jederzeit widerrufen.

Rechtsgrundlage: Artikel 6(1)(a) DSGVO (Einwilligung). Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.

Peppol- und Bankintegrationen

Peppol E-Rechnungsstellung

Cleero unterstützt das Senden und Empfangen von E-Rechnungen über das Peppol-Netzwerk. Wenn Sie Peppol in Ihren Organisationseinstellungen aktivieren, verarbeiten wir personenbezogene Daten, die in Ihren Rechnungen und Registrierungsdetails erscheinen, um Dokumente über die Peppol-Infrastruktur zu liefern und zu empfangen.

Dies umfasst:

  • Weitergabe von Rechnungsdaten (einschließlich möglicher personenbezogener Daten von Kontaktpersonen) an unseren Peppol-Zugangspunktanbieter und den Peppol-Endpunkt des Empfängers;
  • Verarbeitung von Identifikatoren wie Ihrer Peppol-ID, USt-IdNr. und Organisationsdetails;
  • Empfang von Statusaktualisierungen und Lieferberichten vom Peppol-Netzwerk.

Rechtsgrundlage: Erfüllung des Vertrags (Artikel 6(1)(b) DSGVO) und Einhaltung gesetzlicher Verpflichtungen in Bezug auf E-Rechnungsstellung.

Bankverbindungen

Wenn Sie Ihr Bankkonto verbinden oder Bank-Feeds aktivieren, erhalten wir Transaktionsdaten von den ausgewählten Konten über sichere Bank-APIs oder von Ihnen hochgeladene Dateien. Diese Daten können Transaktionsbeschreibungen mit personenbezogenen Daten enthalten.

Wir verwenden diese Daten, um:

  • Banktransaktionen mit Ihren Rechnungen und Ausgaben zu synchronisieren und abzugleichen;
  • Kontoauszüge und zugehörige Buchhaltungsdokumente von Anbietern wie Codabox zu importieren und zu verarbeiten, wenn Sie diese Verbindungen aktivieren;
  • Finanzübersichten und Berichte innerhalb der Plattform zu generieren;
  • Sie bei Ihrer Buchhaltung und Zusammenarbeit mit Ihrem Buchhalter zu unterstützen.

Rechtsgrundlage: Erfüllung des Vertrags (Artikel 6(1)(b) DSGVO) und Einhaltung geltender Finanz- und Buchhaltungsverpflichtungen (Artikel 6(1)(c) DSGVO).

Datenweitergabe und Empfänger

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Daten nur in den folgenden Situationen weiter:

Auftragsverarbeiter (Dienstleister)

Wir arbeiten mit sorgfältig ausgewählten Dienstleistern zusammen, die personenbezogene Daten in unserem Auftrag verarbeiten ("Auftragsverarbeiter"), beispielsweise für:

  • Cloud-Hosting und Infrastruktur;
  • Datenbank-Backup und Überwachung;
  • E-Mail-Zustellung und -Tracking für transaktionale und Benachrichtigungs-E-Mails (z. B. über Anbieter wie Postmark, die Zustellung, Öffnung, Bounce und Beschwerden verarbeiten);
  • Zahlungsabwicklung für Abonnements (z. B. über Anbieter wie Mollie);
  • Analytics, Fehler-Tracking und Protokollierung;
  • Kundensupport-Tools;
  • OCR- und Dokumentenverarbeitungsanbieter, die zum Extrahieren von Daten aus Rechnungen und Quittungen verwendet werden (z. B. Google Cloud Document AI und Google Cloud Storage in EU-Regionen);
  • Peppol-Zugangspunktanbieter und zugehörige E-Rechnungsinfrastruktur;
  • Bankkonnektivitätsanbieter (z. B. Ponto) und Kontoauszugs-/Dokumentenanbieter (z. B. Codabox), wenn Sie diese Integrationen aktivieren;
  • Identitätsverifizierungs-, KYC- und Compliance-Anbieter, die wir zur Überprüfung von Organisationen und gegebenenfalls deren Vertretern in bestimmten Fällen verwenden. In diesen Abläufen können diese Anbieter Ausweisdokumente und biometrische Nachweise (wie ID-Karten-Scans und Selfies) in ihren eigenen Umgebungen sammeln und hosten, während sie Verifizierungsergebnisse und begrenzte Metadaten mit uns teilen.

Diese Auftragsverarbeiter dürfen personenbezogene Daten nur gemäß unseren dokumentierten Anweisungen im Rahmen einer Auftragsverarbeitungsvereinbarung gemäß Artikel 28 DSGVO verarbeiten. Sie dürfen die Daten nicht für ihre eigenen Zwecke verwenden.

Buchhalter und Andere Autorisierte Benutzer

Sie können Buchhalter, Kollegen oder andere Dritte zu Ihrer Organisation einladen oder bestimmte Dokumente über die Plattform mit ihnen teilen. In diesem Fall kontrollieren Sie, welche Daten weitergegeben werden und an wen. Sie sind dafür verantwortlich sicherzustellen, dass eine solche Weitergabe rechtmäßig ist und gegebenenfalls durch eine angemessene Vereinbarung zwischen Ihnen und dieser dritten Partei abgedeckt wird.

Von Ihnen Konfigurierte Integrationen und Webhooks

Sie können Cleero mit anderen Software-Tools (z. B. Buchhaltungs-, CRM- oder Zahlungsanwendungen) verbinden oder ausgehende Webhooks konfigurieren, die Ereignisse von Cleero an von Ihnen kontrollierte URLs senden. Wenn Sie diese Integrationen aktivieren, übertragen wir die von Ihnen ausgewählten Daten (wie Dokument-, Kunden- oder Transaktionsdaten) in Ihrem Namen an diese Dritten. Diese Dritten verarbeiten die Daten gemäß ihren eigenen Bedingungen und Datenschutzrichtlinien, und Sie sind für die DSGVO-konforme Konfiguration und Wartung dieser Integrationen verantwortlich. Für einige Integrationen (z. B. Codabox "Sales Invoice – Copy to Accountant") können Sie separate Bedingungen direkt mit dem Integrationsanbieter akzeptieren. In diesen Fällen kann dieser Anbieter als unabhängiger Verantwortlicher für die Verarbeitung handeln, die er unter seinen eigenen Bedingungen durchführt, und ist für seine eigene Einhaltung der Datenschutzgesetze verantwortlich.

Behörden und Gesetzliche Verpflichtungen

Wir können personenbezogene Daten an Behörden, Aufsichtsbehörden, Strafverfolgungsbehörden oder Gerichte offenlegen, wenn dies gesetzlich vorgeschrieben ist oder wenn wir in gutem Glauben der Ansicht sind, dass eine solche Offenlegung vernünftigerweise erforderlich ist, um rechtlichen Verfahren nachzukommen, auf Ansprüche zu reagieren oder unsere Rechte, Nutzer oder die Öffentlichkeit zu schützen.

Geschäftsübertragungen

Im Zusammenhang mit einer Unternehmenstransaktion (z. B. Fusion, Übernahme, Umstrukturierung) können personenbezogene Daten an die relevanten an der Transaktion beteiligten Dritten offengelegt werden, vorbehaltlich angemessener Vertraulichkeitsgarantien.

Internationale Übermittlungen

Grundsätzlich streben wir an, personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums (EWR) zu speichern und zu verarbeiten. Wenn personenbezogene Daten in Länder außerhalb des EWR übermittelt werden, die kein angemessenes Schutzniveau bieten, stellen wir sicher, dass geeignete Garantien vorhanden sind, wie die Standardvertragsklauseln der Europäischen Kommission oder ein anderer von der DSGVO anerkannter Mechanismus.

Datenspeicherung

Wir bewahren personenbezogene Daten nicht länger auf als für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben oder zulässig. Insbesondere:

  • Buchhaltungs- und Finanzdaten (einschließlich Rechnungen, Belege und Banktransaktionen): aufbewahrt für den durch belgisches Buchhaltungs- und Steuerrecht vorgeschriebenen Zeitraum (in der Regel 7–10 Jahre nach Ende des Geschäftsjahres);
  • Kontodaten: aufbewahrt, solange Ihr Konto aktiv ist. Nach der Schließung bewahren wir begrenzte Informationen für einen angemessenen Zeitraum (z. B. bis zu 3 Jahre) für rechtliche Ansprüche und Aufzeichnungen auf, und so lange wie durch gesetzliche Aufbewahrungspflichten erforderlich;
  • Support- und Korrespondenzdaten: aufbewahrt für die Dauer, die zur Bearbeitung Ihrer Anfrage erforderlich ist, und für einen angemessenen Zeitraum danach für Nachweise und Qualitätssicherung (z. B. bis zu 3 Jahre, es sei denn, ein Streitfall erfordert eine längere Aufbewahrung);
  • Marketing-Daten: aufbewahrt, bis Sie Ihre Einwilligung widerrufen oder der Verarbeitung widersprechen, oder bis wir feststellen, dass die Daten nicht mehr korrekt oder relevant sind;
  • Technische Protokolle: aufbewahrt für Sicherheits- und Betriebszwecke, in der Regel zwischen einigen Wochen und maximal 12 Monaten, es sei denn, ein längerer Zeitraum ist im Zusammenhang mit einem Vorfall oder einer gesetzlichen Verpflichtung erforderlich.

Nach Ablauf der geltenden Aufbewahrungsfristen werden personenbezogene Daten gelöscht oder unwiderruflich anonymisiert, sodass Personen nicht mehr identifizierbar sind.

Ihre Rechte Gemäß der DSGVO

Vorbehaltlich der Bedingungen und Einschränkungen gemäß der DSGVO haben Sie die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Auskunftsrecht: Sie können Bestätigung darüber verlangen, ob wir Ihre personenbezogenen Daten verarbeiten, und eine Kopie dieser Daten erhalten;
  • Recht auf Berichtigung: Sie können die Korrektur unrichtiger oder unvollständiger personenbezogener Daten verlangen;
  • Recht auf Löschung: Sie können die Löschung Ihrer personenbezogenen Daten unter bestimmten Umständen verlangen (z. B. wenn die Daten nicht mehr benötigt werden, wenn Sie die Einwilligung widerrufen und es keine andere Rechtsgrundlage gibt, oder wenn die Verarbeitung unrechtmäßig ist);
  • Recht auf Einschränkung: Sie können verlangen, dass wir die Verarbeitung in bestimmten Situationen einschränken (z. B. während wir einen Widerspruch prüfen oder die Richtigkeit überprüfen);
  • Recht auf Datenübertragbarkeit: Für Daten, die Sie uns zur Verfügung gestellt haben und die wir mit automatisierten Mitteln auf der Grundlage von Einwilligung oder Vertrag verarbeiten, können Sie eine strukturierte, gängige und maschinenlesbare Kopie anfordern oder uns bitten, sie an einen anderen Verantwortlichen zu übermitteln, soweit dies technisch machbar ist;
  • Widerspruchsrecht: Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, der Verarbeitung auf der Grundlage unserer berechtigten Interessen widersprechen. Sie können der Verarbeitung für Direktmarketing-Zwecke jederzeit ohne Angabe von Gründen widersprechen;
  • Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Sie können diese Rechte ausüben, indem Sie uns unter [email protected] kontaktieren. Wir können Sie bei Bedarf um zusätzliche Informationen zur Bestätigung Ihrer Identität bitten. Wir bemühen uns, innerhalb eines Monats nach Erhalt Ihrer Anfrage zu antworten, in Übereinstimmung mit Artikel 12 DSGVO.

Rechte Betroffener Personen in Bezug auf Von Ihnen Kontrollierte Daten

Wenn Sie ein Kunde von Cleero sind und personenbezogene Daten von Dritten in der Plattform speichern (z. B. Ihre eigenen Kunden, Lieferanten oder Mitarbeiter), handeln Sie als unabhängiger Verantwortlicher für diese Daten. Alle Anfragen betroffener Personen, die diese Personen an uns bezüglich solcher Daten richten, werden gegebenenfalls an Sie weitergeleitet. Sie sind für die Bearbeitung dieser Anfragen in Übereinstimmung mit der DSGVO verantwortlich.

Sicherheit Personenbezogener Daten

Wir treffen geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen umfassen unter anderem:

  • Verschlüsselte Verbindungen (HTTPS/TLS) zwischen Ihrem Browser und unserer Plattform;
  • Verschlüsselung ruhender Daten für die Kerninfrastruktur, soweit zutreffend;
  • Zugriffskontrollen und Authentifizierungsmechanismen, einschließlich Unterstützung für starke Passwörter und zusätzliche Sicherheitsmaßnahmen;
  • Rollenbasierter Zugriff innerhalb unserer Organisation, sodass nur autorisiertes Personal auf Need-to-know-Basis Zugriff auf Daten hat;
  • Regelmäßige Backups und Mechanismen zur Notfallwiederherstellung;
  • Überwachung, Protokollierung und Warnmeldungen zur Erkennung ungewöhnlicher Aktivitäten;
  • Interne Richtlinien und Mitarbeiterschulungen zum Datenschutz und zur Vertraulichkeit.

Wir wenden auch automatisierte Routinen und geplante Jobs an, um unsere Aufbewahrungsregeln durchzusetzen und Soft-Deletion und Verschleierung gegebenenfalls umzusetzen, in Übereinstimmung mit unseren gesetzlichen Verpflichtungen.

Trotz dieser Maßnahmen kann kein System vollständig sicher sein. Wenn Sie Missbrauch, Verlust oder unbefugten Zugriff auf Ihre personenbezogenen Daten vermuten, kontaktieren Sie uns bitte umgehend unter [email protected].

Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die potenziellen Risiken für Personen bewerten und, falls gesetzlich vorgeschrieben, die Belgische Datenschutzbehörde und gegebenenfalls die betroffenen Personen benachrichtigen, in Übereinstimmung mit den Artikeln 33 und 34 DSGVO.

Kinder

Die Plattform ist nicht für die Nutzung durch Kinder unter 18 Jahren bestimmt. Wir erfassen nicht wissentlich personenbezogene Daten von Kindern unter 18 Jahren. Wenn uns bekannt wird, dass wir solche Daten erfasst haben, werden wir Schritte unternehmen, um sie zu löschen.

Änderungen an Dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit ändern, beispielsweise um Änderungen im Gesetz oder in unseren Diensten widerzuspiegeln. Die aktuellste Version ist immer auf https://www.cleero.be und innerhalb der Plattform verfügbar. Bei wesentlichen Änderungen werden wir eine deutliche Benachrichtigung geben (z. B. per E-Mail oder In-App-Benachrichtigung).

Fragen und Beschwerden

Wenn Sie Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung personenbezogener Daten haben oder wenn Sie Ihre Rechte ausüben möchten, können Sie uns kontaktieren unter:

E-Mail: [email protected]

Sie haben auch das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. In Belgien ist dies die Belgische Datenschutzbehörde:

Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD)
Drukpersstraat 35, 1000 Brüssel, Belgien
Website: www.gegevensbeschermingsautoriteit.be

Anhang – Datenverarbeitungsbedingungen (Verantwortlicher–Auftragsverarbeiter)

Dieser Anhang gilt, wenn wir im Rahmen der Bereitstellung der Plattform personenbezogene Daten als Auftragsverarbeiter in Ihrem Auftrag als Verantwortlicher im Sinne der DSGVO verarbeiten. Er ist Bestandteil der Vereinbarung zwischen Ihnen und Cleero und wird durch Verweis in unsere Nutzungsbedingungen und diese Datenschutzerklärung einbezogen.

Gegenstand, Dauer und Art der Verarbeitung

  • Gegenstand: Verarbeitung personenbezogener Daten, die in Kundendaten enthalten sind, die Sie in die Plattform hochladen oder generieren (wie Rechnungen, Ausgaben, Banktransaktionen und Kontaktdaten), zum Zweck der Bereitstellung und Unterstützung der Cleero-Dienste.
  • Dauer: für die Dauer Ihres Abonnements oder vertraglichen Verhältnisses mit uns, zuzüglich einer durch Gesetz oder Vertrag erforderlichen Aufbewahrungsfrist, wie in dieser Datenschutzerklärung und unseren Nutzungsbedingungen beschrieben.
  • Art und Zweck: Hosting, Speicherung, Organisation, Anzeige, Nutzung, Übermittlung und andere Vorgänge mit personenbezogenen Daten, die zur Bereitstellung, Wartung, Sicherung und Verbesserung der Plattform, zur Bereitstellung von Support und zur Einhaltung geltender gesetzlicher Verpflichtungen erforderlich sind.
  • Arten personenbezogener Daten: wie in den Abschnitten 3 und 5 dieser Datenschutzerklärung beschrieben (z. B. Identifikations- und Kontaktdaten, Finanz- und Transaktionsdaten, in Dokumenten enthaltene Daten, technische und Nutzungsdaten, sofern relevant).
  • Kategorien betroffener Personen: Ihre Vertreter und Mitarbeiter, Ihre Kunden und Lieferanten sowie andere Personen, deren Daten in den Kundendaten enthalten sind, die Sie über die Plattform verarbeiten.

Rollen und Anweisungen

  • Sie handeln als Verantwortlicher in Bezug auf Kundendaten, die in der Plattform für Ihre eigenen geschäftlichen Zwecke verarbeitet werden.
  • Cleero handelt als Auftragsverarbeiter für solche Kundendaten und wird diese nur auf Ihre dokumentierten Anweisungen hin verarbeiten, die hauptsächlich in unseren Nutzungsbedingungen, dieser Datenschutzerklärung, Ihrer Konfiguration der Plattform und allen schriftlichen Anweisungen festgelegt sind, die Sie uns von Zeit zu Zeit vernünftigerweise erteilen (soweit sie mit dem Vertrag und den technischen Möglichkeiten vereinbar sind).
  • Wenn wir aufgrund von EU- oder Mitgliedstaatenrecht verpflichtet sind, personenbezogene Daten über Ihre Anweisungen hinaus zu verarbeiten, werden wir Sie vor der Verarbeitung über diese rechtliche Anforderung informieren (es sei denn, dieses Recht verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses).

Vertraulichkeit und Sicherheit

  • Wir stellen sicher, dass Personen, die zur Verarbeitung personenbezogener Daten in unserem Auftrag befugt sind, durch eine angemessene Vertraulichkeitspflicht (vertraglich oder gesetzlich) gebunden sind.
  • Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um, wie in Abschnitt 11 (Sicherheit Personenbezogener Daten) dieser Datenschutzerklärung beschrieben, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung.

Unterauftragsverarbeiter

  • Wir können Unterauftragsverarbeiter (andere Auftragsverarbeiter) beauftragen, personenbezogene Daten in unserem Auftrag für die in dieser Datenschutzerklärung beschriebenen Zwecke zu verarbeiten (z. B. Hosting-Anbieter, E-Mail-Zustellung, Zahlungsabwickler, Bankkonnektivitätsanbieter, OCR-/Dokumentenverarbeitungsanbieter, Peppol-Zugangspunkte und KYC-Anbieter).
  • Wir werden mit solchen Unterauftragsverarbeitern schriftliche Vereinbarungen abschließen, die Datenschutzverpflichtungen auferlegen, die mindestens so schützend sind wie die in diesem Anhang festgelegten, wie in Artikel 28(4) DSGVO vorgeschrieben.
  • Wir bleiben Ihnen gegenüber für die Leistung unserer Unterauftragsverarbeiter in Bezug auf die Verpflichtungen aus diesem Anhang verantwortlich.

Unterstützung und Anfragen Betroffener Personen

  • Unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen werden wir Sie auf Anfrage angemessen dabei unterstützen, Ihre Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zu erfüllen, die ihre Rechte gemäß der DSGVO ausüben (z. B. Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch).
  • Wenn eine betroffene Person uns direkt bezüglich Daten kontaktiert, die Sie kontrollieren, werden wir sie gegebenenfalls an Sie verweisen oder Sie benachrichtigen, damit Sie die Anfrage bearbeiten können, es sei denn, wir sind gesetzlich verpflichtet, direkt zu antworten.

Unterstützung bei Sicherheit, Verletzungen und DSFAs

  • Unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen werden wir Sie angemessen dabei unterstützen, die Einhaltung Ihrer Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Benachrichtigung über Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation) sicherzustellen, soweit sich diese Verpflichtungen auf die Verarbeitung beziehen, die wir in Ihrem Auftrag durchführen.
  • Wir werden Sie unverzüglich benachrichtigen, nachdem wir Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhalten haben, die Kundendaten betrifft, in Übereinstimmung mit Abschnitt 12 dieser Datenschutzerklärung, und Ihnen die Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um Ihre gesetzlichen Verpflichtungen zu erfüllen.

Löschung oder Rückgabe von Daten

  • Nach Beendigung oder Ablauf Ihres Abonnements oder auf Ihre schriftliche Anfrage hin werden wir die in Ihrem Auftrag verarbeiteten personenbezogenen Daten löschen oder an Sie zurückgeben, in Übereinstimmung mit unseren in Abschnitt 8 dieser Datenschutzerklärung und unseren Nutzungsbedingungen beschriebenen Datenaufbewahrungspraktiken, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben.
  • Wir können Kopien personenbezogener Daten aufbewahren, soweit dies zur Einhaltung gesetzlicher Verpflichtungen, als Nachweis im Falle rechtlicher Ansprüche oder wie anderweitig nach geltendem Recht zulässig erforderlich ist, wobei solche Daten in Übereinstimmung mit dieser Datenschutzerklärung behandelt werden.

Internationale Übermittlungen

Wenn wir oder unsere Unterauftragsverarbeiter personenbezogene Daten in ein Land außerhalb des EWR übermitteln, das kein angemessenes Schutzniveau bietet, stellen wir sicher, dass eine solche Übermittlung durch geeignete Garantien gemäß Kapitel V DSGVO abgedeckt ist, wie die Standardvertragsklauseln der Europäischen Kommission oder einen anderen von der Europäischen Kommission anerkannten Übermittlungsmechanismus.

Audits und Informationen

  • Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der in Artikel 28 DSGVO und diesem Anhang festgelegten Verpflichtungen nachzuweisen, beispielsweise durch Bereitstellung von Dokumentation oder Sicherheitszusammenfassungen und gegebenenfalls Antworten auf angemessene Fragebögen.
  • Wenn gesetzlich vorgeschrieben und vorbehaltlich angemessener Vorankündigung, Vertraulichkeits- und Sicherheitsanforderungen können Sie (oder ein von Ihnen beauftragter unabhängiger Prüfer) Audits oder Inspektionen unserer relevanten Verarbeitungsaktivitäten durchführen, beschränkt auf das zur Überprüfung der Einhaltung dieses Anhangs und Artikel 28 DSGVO Erforderliche. Umfang, Zeitplan und praktische Modalitäten solcher Audits werden im Voraus vereinbart, und Audits werden so durchgeführt, dass die Störung unserer Abläufe minimiert wird.