§ 1

Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten ist:

Unternehmen	Cedivo UG (haftungsbeschränkt)
Vertreten durch	Geschäftsführer Johannes Heickmann
Anschrift	Domstraße 60, 50668 Köln
E-Mail (allgemein)	kontakt@cedivo.de
E-Mail (Datenschutz)	datenschutz@cedivo.de
Website	www.cedivo.de
Handelsregister	HRB 128067, Amtsgericht Köln

Die Cedivo UG (haftungsbeschränkt) ist seit dem 26. Mai 2026 unter HRB 128067 im Handelsregister des Amtsgerichts Köln eingetragen. Verantwortlicher ist die Cedivo UG (haftungsbeschränkt)

Cedivo hat keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht vorliegen. Für Datenschutzanfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

§ 2

Welche Daten wir verarbeiten

Je nach Art der Interaktion verarbeiten wir folgende Kategorien personenbezogener Daten:

Kategorie	Konkrete Daten	Zweck
Website-Besucher	IP-Adresse, Browsertyp, Aufrufzeit, besuchte Seiten (Server-Logfiles des Hosting-Anbieters)	Technischer Betrieb, Sicherheit, Missbrauchsprävention
Kontaktformular	Name, E-Mail, Telefon (optional), Nachrichteninhalt	Bearbeitung Ihrer Anfrage
Mandanten-Fragebogen	Firmenname, Geschäftsführer-Name, Branche, Mitarbeiterzahl, Umsatz, EBITDA, Standort, Gründungsjahr	Erstellung der Verkaufsdokumentation
Mandanten-Dokumente	Jahresabschlüsse (PDF), BWA, weitere Unternehmensunterlagen	Datenextraktion für Dokumentenerstellung
Kaufinteressenten	Name, Firma, Kontaktdaten, Interessensprofil	Vermittlung im Rahmen des Mandats
Zahlungsdaten	Rechnungsadresse, Zahlungsmethode (via Stripe)	Zahlungsabwicklung und Rechnungsstellung

§ 3

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (insbesondere Erstellung der Verkaufsdokumentation, Mandatsabwicklung).
Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung aufgrund berechtigter Interessen von Cedivo (z. B. Sicherheit der Website, Dokumentation von Transaktionsprozessen, effiziente Dokumentenerstellung).
Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung, sofern im Einzelfall eingeholt.
Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrungspflichten nach §§ 147 AO, 257 HGB).

§ 4

Weitergabe an Dritte und Drittlandtransfer

(1)Personenbezogene Daten von Mandanten (Verkäufern) werden an Kaufinteressenten nur nach ausdrücklicher schriftlicher Freigabe durch den Mandanten und nach Unterzeichnung einer Geheimhaltungsvereinbarung (NDA) durch den Interessenten weitergegeben.

(2)Daten von Kaufinteressenten werden ausschließlich zum Zweck der Transaktionsvermittlung genutzt und nicht ohne gesonderte Einwilligung an weitere Dritte weitergegeben.

(3)Cedivo setzt zur Leistungserbringung externe Dienstleister ein (siehe § 11). Mit jedem Dienstleister wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen oder wird vor erstmaliger Datenübermittlung abgeschlossen.

(4)Drittlandtransfer: Einzelne Dienstleister verarbeiten Daten in den USA (Anthropic, Google, Stripe). Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzenden technischen Maßnahmen (Verschlüsselung, Anonymisierung). Im Fall von Anthropic, OpenAI und Google Gemini werden ausschließlich anonymisierte Finanzkennzahlen übermittelt (siehe § 10).

(5)Eine Weitergabe an Behörden erfolgt nur, soweit Cedivo gesetzlich dazu verpflichtet ist.

§ 5

Speicherdauer und Löschkonzept

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies verlangen:

Datenkategorie	Speicherdauer	Grundlage
Server-Logfiles	7 Tage, automatisch gelöscht	Art. 6 Abs. 1 lit. f DSGVO
Kontaktanfragen	Nach Abschluss der Bearbeitung, max. 6 Monate	Art. 6 Abs. 1 lit. b/f DSGVO
Mandanten-Rohdaten (Jahresabschlüsse, Fragebögen)	6 Monate nach Projektabschluss	Zweckbindung
Fertige Verkaufsdokumentation	10 Jahre nach Abschluss des Mandats	§§ 147 AO, 257 HGB
Rechnungen und Zahlungsdaten	10 Jahre	§§ 147 AO, 257 HGB
CRM-Daten (Mandantenstammdaten)	36 Monate nach letztem Kontakt	Art. 6 Abs. 1 lit. f DSGVO
Kaufinteressenten ohne Abschluss	3 Jahre nach letztem Kontakt	Art. 6 Abs. 1 lit. f DSGVO
Extern verarbeitete Daten (anonymisiert)	Keine dauerhafte Speicherung beim Anbieter (API-Zugang ohne Trainingsnutzung)	AVV mit Dienstleister

Nach Ablauf der jeweiligen Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert. Mandanten können jederzeit die vorzeitige Löschung ihrer Rohdaten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 6

Cookies und Website-Tracking

(1)Die Website www.cedivo.de verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Diese Cookies erfordern keine Einwilligung (Art. 6 Abs. 1 lit. f DSGVO).

(2)Zur Reichweitenmessung setzen wir Matomo Cloud (InnoCraft Ltd., Neuseeland; Hosting in der EU) im cookielosen Modus ein. Matomo erfasst anonymisierte Zugriffsstatistiken (Seitenaufrufe, Verweildauer, Herkunftsland auf Länder-Ebene), jedoch keine Cookies und keine personenbezogenen Kennungen. Die IP-Adresse wird vor der Speicherung gekürzt. Eine Einwilligung ist nicht erforderlich, da nur anonyme Statistikdaten verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der Reichweitenanalyse). Weitere Informationen: matomo.org/privacy.

(3)Ergänzend setzen wir Google Analytics 4 (Google Ireland Ltd.) mit Consent Mode v2 ein. Im Ausgangszustand (ohne Einwilligung) werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben; es werden lediglich cookielose Signale an Google übermittelt. Erst nach ausdrücklicher Einwilligung über den Cookie-Banner werden Analyse-Cookies gesetzt und personenbezogene Nutzungsdaten verarbeitet (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen. Weitere Informationen: Google Datenschutzerklärung.

§ 7

Kontaktformular

(1)Auf unserer Website können Sie über ein Kontaktformular mit uns in Verbindung treten. Die dabei eingegebenen Daten (Name, E-Mail-Adresse, optional Telefonnummer, Nachricht) werden über den Dienst Formspree, Inc. (USA) verarbeitet und per E-Mail an uns weitergeleitet.

(2)Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

(3)Formspree verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Formspree speichert Formulardaten auf seinen Servern temporär, bis sie per E-Mail zugestellt wurden. Weitere Informationen: formspree.io/legal/privacy-policy.

§ 8

Mandanten-Fragebogen (Tally.so)

(1)Zur strukturierten Erfassung von Unternehmensdaten nutzen wir den Online-Formulardienst Tally.so (Tally NV, Belgien). Über das Formular erheben wir Firmendaten, Finanzkennzahlen und Kontaktdaten des Mandanten.

(2)Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die im Formular erhobenen Daten werden ausschließlich zur Erstellung der beauftragten Verkaufsdokumentation verwendet.

(3)Tally.so verarbeitet und speichert Daten ausschließlich in der EU. Ein AVV gemäß Art. 28 DSGVO wurde abgeschlossen. Weitere Informationen: tally.so/privacy-policy.

§ 9

Datensicherheit (Technische und organisatorische Maßnahmen)

(1)Cedivo trifft angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch gemäß Art. 32 DSGVO.

(2)Die Website wird über eine verschlüsselte HTTPS-Verbindung (TLS 1.2+) bereitgestellt.

(3)Vertrauliche Mandantenunterlagen (Jahresabschlüsse, Finanzberichte) werden über Tresorit (Tresorit AG, Schweiz) mit Ende-zu-Ende-Verschlüsselung (Zero-Knowledge-Architektur) übertragen und gespeichert. Der Anbieter hat keinen Zugriff auf die Inhalte der verschlüsselten Dateien.

(4)Fertige Verkaufsdokumentationen werden dem Mandanten über einen passwortgeschützten Zugangslink (Google Drive) bereitgestellt.

(5)Weitere technische und organisatorische Maßnahmen umfassen: Zugangskontrolle durch individuelle Benutzerkonten, regelmäßige Software-Updates, Verschlüsselung gespeicherter Daten, und eine dokumentierte Zugangsmatrix für Mandantendaten.

§ 10

Softwaregestützte Dokumentenerstellung

(1)Cedivo setzt bei der Erstellung von Verkaufsdokumentationen spezialisierte Software-Werkzeuge ein, die bei der Extraktion und Strukturierung von Finanzkennzahlen sowie bei der Erstellung von Textentwürfen unterstützen. Dabei können einzelne Verarbeitungsschritte über externe Schnittstellen (APIs) erfolgen.

(2)Anonymisierung: Sofern Daten an externe Systeme übermittelt werden, werden personenbezogene Daten zuvor systematisch anonymisiert. Firmenname, Geschäftsführer-Name, Adresse und weitere identifizierende Merkmale werden durch Platzhalter ersetzt. Es werden ausschließlich anonymisierte Kennzahlen (Umsatz, EBITDA, Margen, Mitarbeiterzahl, Branchenbezeichnung) übermittelt. Eine Rückführung auf identifizierbare Personen ist mit den übermittelten Daten nicht möglich.

(3)Lokale Verarbeitung: Mandantenunterlagen wie Jahresabschlüsse, die regelmäßig personenbezogene Daten enthalten (z. B. Name des Geschäftsführers, Unterschriften, Privatadresse), werden ausschließlich lokal verarbeitet und zu keinem Zeitpunkt an externe Systeme übermittelt.

(4)Da ausschließlich anonymisierte — und damit keine personenbezogenen — Daten an externe Systeme übermittelt werden, unterliegt dieser Verarbeitungsschritt nicht den Anforderungen der DSGVO an die Verarbeitung personenbezogener Daten. Die Anonymisierung erfolgt vor jeder Übermittlung automatisiert und wird regelmäßig auf Vollständigkeit geprüft.

(5)Sämtliche softwaregestützt erzeugten Arbeitsergebnisse werden von Cedivo persönlich auf inhaltliche Richtigkeit, Vollständigkeit und Plausibilität geprüft, bevor sie an Mandanten ausgeliefert werden. Die Verantwortung für das Endprodukt liegt vollständig bei Cedivo.

§ 11

Eingesetzte Dienstleister (Auftragsverarbeiter)

Bei der Erbringung unserer Leistungen setzen wir folgende externe Dienstleister ein, an die Daten übermittelt werden können:

Dienstleister	Zweck	Sitz / Datenschutz
Tresorit AG	Sicherer, verschlüsselter Datei-Upload der Mandantenunterlagen (Ende-zu-Ende-Verschlüsselung, Zero-Knowledge)	Schweiz / EU; DSGVO-konform; Datenschutzerklärung
Tally NV	Mandanten-Fragebogen (Unternehmensangaben, Finanzkennzahlen, Kontaktdaten)	Belgien / EU; DSGVO-konform; Datenschutzerklärung
Formspree, Inc.	Verarbeitung und Weiterleitung von Kontaktformular-Anfragen; Vormerk-Liste (Doppel-Opt-In)	USA (EU-Standardvertragsklauseln); Datenschutzerklärung
InnoCraft Ltd. (Matomo Cloud)	Cookielose Reichweitenmessung (anonymisierte Zugriffsstatistiken, gekürzte IP)	EU-Hosting; Datenschutzerklärung
Google Ireland Ltd. (Google Analytics 4)	Reichweitenmessung mit Consent Mode v2 (ohne Einwilligung: cookielose Signale; mit Einwilligung: Analyse-Cookies)	Irland / EU (EU-Standardvertragsklauseln für US-Verarbeitung); Datenschutzerklärung
Google Workspace (Google Ireland Ltd.)	E-Mail-Kommunikation; Bereitstellung fertiger Dokumente via passwortgeschütztem Google Drive-Link	Irland / EU (EU-Standardvertragsklauseln für Sub-Prozessoren); Datenschutzerklärung
Stripe Payments Europe Ltd.	Zahlungsabwicklung (Kreditkarte / SEPA-Lastschrift)	Irland / EU (EU-Standardvertragsklauseln für US-Verarbeitung); Datenschutzerklärung
Lexoffice (Haufe-Lexware GmbH)	Rechnungserstellung und Buchhaltung	Deutschland / EU; DSGVO-konform; DATEV-Anbindung; Datenschutzerklärung
Anthropic PBC	Softwaregestützte Verarbeitung anonymisierter Finanzkennzahlen zur Dokumentenerstellung (siehe § 10)	USA (EU-Standardvertragsklauseln); kein Training mit API-Daten; Datenschutzerklärung
OpenAI, L.P.	Softwaregestützte Verarbeitung anonymisierter Finanzkennzahlen zur Dokumentenerstellung — Fallback (siehe § 10)	USA (EU-Standardvertragsklauseln); kein Training mit API-Daten; Datenschutzerklärung
Google LLC (Gemini API)	Softwaregestützte Verarbeitung anonymisierter Finanzkennzahlen zur Dokumentenerstellung — Fallback (siehe § 10)	USA (EU-Standardvertragsklauseln); kein Training mit API-Daten; Datenschutzerklärung

Mit jedem Dienstleister wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen oder wird vor erstmaliger Datenübermittlung abgeschlossen. Die aktuelle Liste der Auftragsverarbeiter kann auf Anfrage eingesehen werden.

§ 12

Ihre Rechte als betroffene Person

Sie haben gegenüber Cedivo folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
Löschungsrecht (Art. 17 DSGVO): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen. Cedivo verarbeitet die Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@cedivo.de

§ 13

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die für Cedivo zuständige Behörde ist:

Behörde	Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Adresse	Kavalleriestraße 2–4, 40213 Düsseldorf
Website	www.ldi.nrw.de

§ 14

Aktualität und Änderungen

Diese Datenschutzerklärung hat den Stand April 2026. Cedivo behält sich vor, diese Erklärung bei Änderungen der Datenlage oder der rechtlichen Anforderungen anzupassen. Die aktuelle Version ist stets unter www.cedivo.de/datenschutz abrufbar.