Diese Datenschutzhinweise informieren über die Verarbeitung personenbezogener Daten beim Besuch der Website www.cedivo.de sowie bei der Inanspruchnahme unserer Dienstleistungen. Sie sind modular aufgebaut: ein allgemeiner Teil (A.) gilt für sämtliche Verarbeitungen, ein besonderer Teil (B.) beschreibt spezielle Verarbeitungssituationen. Verantwortliche Stelle ist die Cedivo UG (haftungsbeschränkt), Domstraße 60, 50668 Köln. Unsere AGB finden Sie unter cedivo.de/agb.

Die Cedivo UG (haftungsbeschränkt) (nachfolgend „Cedivo", „wir" oder „uns") nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Cedivo obliegen als Verantwortliche im Sinne der DSGVO umfangreiche Pflichten, um die Verarbeitung personenbezogener Daten transparent, nachvollziehbar und rechtmäßig zu gestalten. Mit diesen Datenschutzhinweisen informieren wir Sie insbesondere über Art, Umfang, Zwecke, Rechtsgrundlagen und Speicherdauern der Verarbeitungen sowie über Ihre Rechte als betroffene Person.

A. Allgemeine Angaben

A 1

Begriffe

Soweit in diesen Hinweisen Begriffe aus Art. 4 DSGVO verwendet werden, gelten die dort niedergelegten Definitionen, insbesondere zu „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „Dritter" und „Einwilligung".

A 2

Verantwortlicher

Verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO ist die Cedivo UG (haftungsbeschränkt), Domstraße 60, 50668 Köln, E-Mail: kontakt@cedivo.de.

Weitere Angaben zu Cedivo ergeben sich aus dem Impressum auf der Website. Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen derzeit nicht vorliegen. Für Datenschutzanfragen kann jederzeit die vorstehend genannte Kontaktadresse verwendet werden.

A 3

Rechtsgrundlagen der Datenverarbeitung

Eine Verarbeitung personenbezogener Daten ist nur zulässig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen eingreift. Für Cedivo sind insbesondere relevant: Art. 6 Abs. 1 lit. b DSGVO (vertragsbezogene/vorvertragliche Verarbeitungen), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die jeweils einschlägige Rechtsgrundlage wird nachfolgend konkret benannt.

A 4

Datenlöschung und Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Wegfall des Zwecks bzw. nach Ablauf der Fristen werden die Daten gelöscht oder anonymisiert, sofern keine weitergehende Speicherung rechtlich zulässig oder erforderlich ist. Konkrete Speicherdauern finden sich im besonderen Teil.

A 5

Empfänger von Daten / Auftragsverarbeiter

Zur Erbringung der Leistungen und zum Betrieb der Systeme setzt Cedivo sorgfältig ausgewählte externe Dienstleister ein, die personenbezogene Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO nach Weisung von Cedivo verarbeiten. Diese sind vertraglich verpflichtet, die datenschutzrechtlichen Vorgaben einzuhalten und geeignete technische und organisatorische Maßnahmen zu treffen. Daneben können im Einzelfall Behörden, Gerichte, Banken, Steuerberater oder Rechtsanwälte Empfänger sein, soweit gesetzlich vorgeschrieben oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Eine Übersicht der wesentlichen Dienstleister findet sich in Abschnitt B.5.

A 6

Datenübermittlung in Drittländer

Im Rahmen einzelner Verarbeitungen kann es zu Übermittlungen personenbezogener oder anonymisierter Daten an Dienstleister außerhalb des EWR, insbesondere in die USA, kommen. Soweit personenbezogene Daten betroffen sind, erfolgt die Übermittlung auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, ergänzt um zusätzliche technische und organisatorische Maßnahmen. Soweit ausschließlich zuvor anonymisierte Finanzkennzahlen übermittelt werden, handelt es sich nicht um personenbezogene Daten im Sinne der DSGVO.

A 7

Datensicherheit

Cedivo setzt angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Veränderung oder Zerstörung zu schützen. Hierzu gehören insbesondere verschlüsselte Datenübertragungen über TLS, Zugangskontrollen, Berechtigungskonzepte, regelmäßige Sicherheitsupdates sowie Ende-zu-Ende-Verschlüsselung bei der Übertragung sensibler Mandantenunterlagen.

A 8

Keine automatisierte Entscheidungsfindung

Cedivo setzt keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO ein, die gegenüber betroffenen Personen rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

A 9

Keine Verpflichtung zur Bereitstellung

Es besteht grundsätzlich keine gesetzliche Pflicht, Cedivo personenbezogene Daten bereitzustellen. Für den Abschluss und die Durchführung von Verträgen sowie die Nutzung bestimmter Funktionen (etwa des Kontaktformulars oder des Mandanten-Fragebogens) kann die Bereitstellung der erforderlichen Daten jedoch notwendig sein; ohne diese Daten können entsprechende Leistungen unter Umständen nicht oder nur eingeschränkt erbracht werden.

A 10

Rechte der betroffenen Personen

Betroffene Personen haben gegenüber Cedivo das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO). Zur Ausübung kann jederzeit die in Abschnitt A.2 genannte Kontaktadresse genutzt werden. Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.

A 11

Zuständige Aufsichtsbehörde

Für Cedivo ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, zuständig.

B. Besondere Verarbeitungssituationen

B 1

Besuch der Website

Erläuterung der Funktion. Über die Website www.cedivo.de können Informationen über das Unternehmen und die angebotenen Dienstleistungen abgerufen werden. Beim Aufruf werden technisch bedingt bestimmte personenbezogene Daten verarbeitet.

Server-Logfiles. Bei der rein informatorischen Nutzung werden automatisch Server-Logfiles verarbeitet (insbesondere IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten, Referrer-URL, Browsertyp/-version, Betriebssystem, übertragene Datenmenge, HTTP-Statuscode). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt in technischer Funktionsfähigkeit, Stabilität und Sicherheit sowie der Abwehr von Angriffen. Die Logfiles werden grundsätzlich nach 7 Tagen automatisch gelöscht.

Cookies. Auf der Website werden ausschließlich technisch notwendige Cookies eingesetzt. Sie dienen nicht Marketing-, Tracking- oder Analysezwecken. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Tracking-, Analyse- oder Marketing-Cookies werden nicht eingesetzt.

B 2

Kontaktaufnahme über das Kontaktformular

Umfang der Verarbeitung. Bei Nutzung des Kontaktformulars werden die eingegebenen Daten verarbeitet, insbesondere Name, E-Mail-Adresse, optional Telefonnummer und Nachrichteninhalt.

Einsatz von Formspree. Für den technischen Betrieb nutzt Cedivo den Dienst Formspree Inc., USA. Die eingegebenen Daten werden über die Server von Formspree an Cedivo weitergeleitet. Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Zwecke und Rechtsgrundlagen. Die Verarbeitung erfolgt zur Bearbeitung und Beantwortung der Anfrage. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (soweit auf Vertragsschluss/-durchführung gerichtet) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Kommunikation).

Speicherdauer. Kontaktanfragen werden nach Abschluss der Bearbeitung grundsätzlich gelöscht, spätestens nach 6 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten oder überwiegenden berechtigten Interessen entgegenstehen.

B 3

Mandatsbezogene Datenverarbeitungen

Mandanten-Fragebogen über Tally.so. Zur strukturierten Erfassung mandatsbezogener Daten nutzt Cedivo den Formulardienst Tally.so der Tally NV (Belgien). Erhoben werden insbesondere Firmendaten, Finanzkennzahlen und Kontaktdaten. Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Rohdaten werden grundsätzlich 6 Monate nach Projektabschluss gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Mandanten-Dokumente über Tresorit. Vertrauliche Unterlagen (insbesondere Jahresabschlüsse, BWA) werden über Tresorit (Tresorit AG, Schweiz/EU) mit Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Architektur übertragen und gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO, ergänzt durch lit. f (besonders sichere Übermittlung). Rohdaten werden grundsätzlich 6 Monate nach Projektabschluss gelöscht.

Kaufinteressenten. Im Rahmen der Produkte „Käufersuche" und „Verkaufsbegleitung" verarbeitet Cedivo Daten von Kaufinteressenten (Name, Firma, Kontaktdaten, Interessenprofil). Rechtsgrundlage Art. 6 Abs. 1 lit. b und lit. f DSGVO. Daten ohne weiteren Abschluss werden grundsätzlich 3 Jahre nach dem letzten Kontakt gelöscht.

Zahlungsabwicklung und Rechnungsstellung. Für die Zahlungsabwicklung nutzt Cedivo Stripe Payments Europe Ltd. (Rechnungsadresse, Zahlungsart, Zahlungsdaten). Rechtsgrundlage Art. 6 Abs. 1 lit. b und lit. c DSGVO. Für Rechnung/Buchhaltung nutzt Cedivo Lexoffice (Haufe-Lexware). Rechnungs- und Zahlungsdaten werden aufgrund gesetzlicher Aufbewahrungspflichten grundsätzlich 10 Jahre gespeichert.

CRM-Daten. Kontaktdaten von Mandanten und Ansprechpartnern werden in internen Verwaltungssystemen gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b und lit. f DSGVO. CRM-Daten werden grundsätzlich 36 Monate nach dem letzten Kontakt gelöscht.

B 4

Softwaregestützte Dokumentenerstellung

Cedivo setzt bei der Erstellung von Verkaufsdokumentationen softwaregestützte Werkzeuge ein, die bei Extraktion/Strukturierung von Finanzkennzahlen sowie bei Textentwürfen unterstützen. Einzelne Verarbeitungsschritte können über externe Schnittstellen (APIs) erfolgen.

Anonymisierung vor Übermittlung. Bevor Daten an externe Systeme (insbesondere Dienste von Anthropic, OpenAI oder Google Gemini) übermittelt werden, werden sämtliche personenbezogenen Daten systematisch anonymisiert. Firmenname, Name des Geschäftsführers, Adressdaten und sonstige identifizierende Merkmale werden durch neutrale Platzhalter ersetzt. Übermittelt werden ausschließlich anonymisierte Kennzahlen (z. B. Umsatz, EBITDA, Margen, Mitarbeiterzahl, Branchenbezeichnung). Eine Rückführung auf identifizierbare Personen ist nicht möglich.

Datenschutzrechtliche Einordnung. Soweit ausschließlich anonymisierte Daten an externe Schnittstellen übermittelt werden, handelt es sich nicht um personenbezogene Daten im Sinne der DSGVO; der betreffende Verarbeitungsschritt unterliegt daher nicht den Anforderungen der DSGVO.

Lokale Verarbeitung personenbezogener Daten. Mandantenunterlagen, die regelmäßig personenbezogene Daten enthalten (z. B. Jahresabschlüsse mit Namen, Unterschriften, Privatadressen), werden ausschließlich lokal verarbeitet und nicht an externe Schnittstellen übermittelt.

Persönliche Prüfung der Ergebnisse. Sämtliche softwaregestützt erzeugten Arbeitsergebnisse werden vor Auslieferung persönlich auf inhaltliche Richtigkeit, Vollständigkeit und Plausibilität geprüft. Die Verantwortung für das Endprodukt liegt vollständig bei Cedivo.

Statistische Weiterverarbeitung anonymisierter Daten. Die nach Buchstabe a) anonymisierten Kennzahlen können von Cedivo zu statistischen Zwecken weiterverarbeitet werden, insbesondere für Branchen-Benchmarking, den Aufbau und Betrieb einer Bewertungsdatenbank sowie die Erstellung von Branchen- und Marktberichten. Da es sich nicht um personenbezogene Daten handelt, ist eine Einwilligung nicht erforderlich; Rechtsgrundlage der vorgelagerten Verarbeitung ist Art. 6 Abs. 1 lit. f in Verbindung mit Art. 5 Abs. 1 lit. b und Art. 89 DSGVO.

B 5

Eingesetzte Dienstleister

Mit den eingesetzten Dienstleistern wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen oder werden vor der erstmaligen Datenübermittlung geschlossen. Wesentliche eingesetzte Dienstleister:

Dienstleister	Standort	Zweck / Datenkategorie
Tally NV	Belgien/EU	Mandanten-Fragebogen; Firmendaten, Finanzkennzahlen, Kontaktdaten
Tresorit AG	Schweiz/EU	Verschlüsselter Dokumenten-Upload; Jahresabschlüsse und weitere Unterlagen
Stripe Payments Europe Ltd.	EU/USA (SCC)	Zahlungsabwicklung; Zahlungsdaten
Haufe-Lexware / Lexoffice	Deutschland	Rechnung und Buchhaltung; Rechnungsdaten
Google Workspace	EU-Rechenzentren	E-Mail-Kommunikation; Kommunikationsdaten
Formspree Inc.	USA (SCC)	Kontaktformular; Name, E-Mail, Nachricht
Anthropic	USA (SCC)	Ausschließlich anonymisierte Finanzkennzahlen; keine personenbezogenen Daten
OpenAI	USA (SCC)	Ausschließlich anonymisierte Finanzkennzahlen; keine personenbezogenen Daten
Google Gemini	USA (SCC)	Ausschließlich anonymisierte Finanzkennzahlen; keine personenbezogenen Daten

Für die wesentlichen Verarbeitungsvorgänge gelten insbesondere folgende Speicherfristen:

Server-Logfiles: grundsätzlich nach 7 Tagen gelöscht.
Kontaktanfragen über das Kontaktformular: nach Abschluss der Bearbeitung, spätestens nach 6 Monaten.
Mandanten-Rohdaten aus dem Fragebogen sowie übermittelte Unterlagen: grundsätzlich 6 Monate nach Projektabschluss.
Fertige Verkaufsdokumentation: aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten grundsätzlich 10 Jahre (§ 147 AO, § 257 HGB).
Rechnungs- und Zahlungsdaten: aufgrund gesetzlicher Aufbewahrungspflichten grundsätzlich 10 Jahre.
CRM- und Kontaktdaten: grundsätzlich 36 Monate nach dem letzten Kontakt.
Daten von Kaufinteressenten ohne weiteren Abschluss: grundsätzlich 3 Jahre nach dem letzten Kontakt.

Nach Ablauf der jeweiligen Speicherfrist werden die betreffenden Daten gelöscht oder anonymisiert, sofern keine weitere rechtliche Verpflichtung oder Berechtigung zur Speicherung besteht.

B 6

Aktualität und Änderungen

Diese Datenschutzhinweise haben den Stand Juni 2026. Cedivo behält sich vor, diese Hinweise anzupassen, wenn dies aufgrund geänderter tatsächlicher oder rechtlicher Rahmenbedingungen erforderlich wird. Die jeweils aktuelle Fassung ist auf der Website abrufbar.

Datenschutzhinweise nach der DSGVO