Datenschutzerklärung

Stand: Mai 2026 · Gilt für systemeos.com, systemeos.at und alle von Systemeos betriebenen Kundensysteme.

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Systemeos, Tirol, Österreich
E-Mail: info@systemeos.com

Weitere Angaben siehe Impressum.

2. Grundsätze

Wir verarbeiten personenbezogene Daten ausschließlich nach den Vorgaben der DSGVO und – sofern anwendbar – des österreichischen DSG bzw. des deutschen BDSG. Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungs­fristen es verlangen. Hosting erfolgt grundsätzlich in der Europäischen Union.

3. Verarbeitete Daten

Wir verarbeiten u. a. folgende Datenkategorien:

  • Kontakt- & Stammdaten: Name, Firma, Position, E-Mail, Telefon, Anschrift.
  • Vertrags- & Abrechnungsdaten: Angebote, Rechnungen, Zahlungs­informationen, Bankverbindung (SEPA), Anzahlungen, Raten- und Anreise­kosten­abrechnung.
  • Kommunikationsdaten: E-Mails, Chats, Anrufnotizen, Terminvereinbarungen.
  • Nutzungsdaten: IP-Adresse, Browser-Typ, Zugriffszeit, aufgerufene Seiten, Geräte­informationen.
  • Projekt- & Systemdaten: Inhalte, die im Rahmen der ERP-, Automatisierungs- und KI-Implementierung verarbeitet werden (z. B. Kundendaten, Aufträge, Belege, Dokumente).

4. Zwecke & Rechtsgrundlagen

  • Vertragsanbahnung & -erfüllung (Art. 6 Abs. 1 lit. b DSGVO): Angebote, Beratung, Entwicklung, Wartung, Support, Inhouse-Termine.
  • Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Buchhaltung, Steuer- und Aufbewahrungspflichten.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit der Systeme, Betrugsprävention, Verbesserung unserer Dienste, Direkt­ansprache von B2B-Kunden.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): z. B. für Newsletter, optionale Cookies oder Erfahrungs­berichte.

5. Auftragsverarbeitung für Kunden (Rollenverteilung)

Bei der Verarbeitung personenbezogener Daten im Rahmen der von Systemeos für den Kunden entwickelten und betriebenen Systeme gilt folgende klare Rollenverteilung gemäß DSGVO:

  • Kunde = Verantwortlicher (Controller) im Sinne von Art. 4 Nr. 7 DSGVO. Der Kunde entscheidet über Zwecke und Mittel der Verarbeitung der in „seinem" System verarbeiteten personenbezogenen Daten (z. B. Kunden-, Mitarbeiter-, Lieferantendaten).
  • Systemeos = Auftragsverarbeiter (Processor) im Sinne von Art. 4 Nr. 8 DSGVO, solange Systemeos das System im Auftrag des Kunden entwickelt, hostet, wartet oder anderweitig betreibt. Systemeos verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden.

5.1 Übergang der Verantwortung nach Fertigstellung & Übergabe

Systemeos entwickelt das System (Foundation, Operate oder Scale) im Auftrag des Kunden. Mit Fertigstellung, Abnahme und vollständiger Übergabe des Projekts an den Kunden geht das System inklusive sämtlicher datenschutz­rechtlicher Pflichten in den alleinigen Verantwortungs­bereich des Kunden über. Ab diesem Zeitpunkt gilt:

  • Der Kunde ist alleiniger Verantwortlicher für den weiteren Betrieb, die Konfiguration, Zugriffsrechte, Backups, Sicherheits­updates und die Einhaltung der DSGVO.
  • Der Kunde verantwortet sämtliche Pflichten gegenüber betroffenen Personen (Information, Auskunft, Löschung, Meldung von Datenpannen etc.).
  • Systemeos verarbeitet nach Übergabe nur dann weiterhin Daten, wenn ein separater Wartungs-, Support- oder Hostingvertrag besteht — in diesem Fall verbleibt Systemeos in der Rolle des Auftragsverarbeiters für den vereinbarten Leistungsumfang.
  • Nutzt der Kunde das System nach Übergabe ohne weiteren Vertrag mit Systemeos eigenständig weiter („Weiternutzung ohne Support", vgl. AGB Abschnitt 16.1), übernimmt er auch sämtliche Auftrags­verarbeitungs- und Datenschutz­pflichten gegenüber eingebundenen Drittanbietern.

Vertragsende ≠ Systemstilllegung: Das Ende eines Wartungs- oder Supportvertrags mit Systemeos führt nicht zur Abschaltung des Systems. Der Kunde kann das übergebene System auf Basis seines unbefristeten Nutzungsrechts (vgl. AGB Abschnitt 11 und 16.2) zeitlich unbegrenzt weiternutzen — entweder über eine fortgeführte Hosting-/Betriebsleistung von Systemeos oder eigenständig organisiert. Die datenschutz­rechtliche Verantwortung richtet sich nach der jeweils aktiven Konstellation (Auftragsverarbeitung durch Systemeos bei aktivem Vertrag — alleinige Verantwortung des Kunden bei eigenständigem Weiterbetrieb). Backups, die Systemeos im Rahmen eines aktiven Vertrags erstellt, werden ausschließlich zur technischen Wiederherstellung im Störungsfall vorgehalten und spätestens nach 3 Monaten automatisiert gelöscht oder überschrieben.

5.2 AVV als integraler Vertragsbestandteil

Soweit Systemeos personenbezogene Daten im Auftrag des Kunden verarbeitet, schließen Kunde und Systemeos einen Vertrag zur Auftrags­verarbeitung („AVV") gemäß Art. 28 DSGVO ab. Der AVV ist integraler Bestandteil jedes Projekts und wird spätestens mit Projektstart unterzeichnet.

Ohne unterzeichneten AVV erfolgt keine Verarbeitung personenbezogener Daten durch Systemeos. Systemeos beginnt mit Entwicklungs-, Hosting- oder Betriebs­leistungen, die personenbezogene Daten betreffen, erst nach Vorliegen eines beiderseits unterzeichneten AVV.

5.3 Technische & organisatorische Maßnahmen (TOMs)

Systemeos trifft geeignete TOMs zum Schutz personenbezogener Daten, insbesondere:

  • Verschlüsselung in Transit (TLS) und at-Rest.
  • Rollen- & Rechtekonzept (RBAC), Row-Level-Security (RLS).
  • Lückenloser Audit-Trail aller Änderungen.
  • Regelmäßige Backups und Disaster-Recovery-Konzept.
  • Anonymisierung & Pseudonymisierung, wo möglich.

5.4 Einsatz von Drittverarbeitern (Sub-Processors)

Zur Erbringung der Leistungen setzt Systemeos sorgfältig ausgewählte Drittverarbeiter (Sub-Processors) ein. Damit sind technische Dienstleister und externe Schnittstellen gemeint, die Daten im Hintergrund verarbeiten — insbesondere:

  • Cloud- und Hosting-Anbieter (EU-Rechenzentren), in denen das System und die Datenbanken betrieben werden.
  • APIs und Schnittstellen von Drittanbietern (z. B. Zahlungs-, Versand-, Buchhaltungs-, Kommunikations-APIs), die der Kunde im Funktionsumfang seines Systems nutzt.
  • KI-Modelle und KI-APIs (z. B. OpenAI, Google, Anthropic, Open-Source-Modelle), sofern KI-Funktionen ausdrücklich vereinbart sind.
  • E-Mail-, Kommunikations- und Auth-Dienste (z. B. Versand transaktionaler E-Mails, Login-Provider).
  • Optional vom Kunden gewünschte Integrationen (z. B. DATEV, SAP, Shopify, Microsoft 365).

Mit jedem Drittverarbeiter, der personenbezogene Daten im Auftrag verarbeitet, besteht ein entsprechender AVV bzw. eine DPA. Die jeweils aktuelle Liste der eingesetzten Drittverarbeiter wird dem Kunden auf Anfrage zur Verfügung gestellt; geplante Wechsel oder Ergänzungen werden dem Kunden im Rahmen des AVV mitgeteilt, sodass dieser sein Widerspruchsrecht ausüben kann.

6. Hosting & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein AV-Vertrag besteht. Hosting und Datenhaltung erfolgen vorrangig in der EU. Eingesetzt werden u. a.:

  • Cloud-Hosting in der EU (z. B. EU-Rechenzentren der eingesetzten Cloud-Provider).
  • Backend-/Datenbank-Dienstleister mit EU-Hosting.
  • E-Mail- und Kommunikations­dienste.
  • Buchhaltungs- und Zahlungs­dienstleister (SEPA-Banken).
  • Optional vom Kunden gewünschte Drittanbieter (z. B. DATEV, SAP, Shopify, Microsoft 365).

7. KI-Integrationen

Sofern in einem Projekt KI-Funktionen vereinbart sind, kann Systemeos verschiedene Modelle einsetzen (z. B. OpenAI, Google, Anthropic, Open-Source-Modelle) oder eine eigene, unternehmens­interne KI entwickeln und betreiben. Wir wählen pro Anwendungsfall den datenschutz­freundlichsten geeigneten Anbieter und bevorzugen EU-Hosting bzw. EU-Endpoints. Wo erforderlich, werden Daten vor der Übermittlung an externe Modelle anonymisiert oder pseudonymisiert. Bei eigener Unternehmens-KI verbleiben Trainings- und Verarbeitungs­daten in der vom Kunden gewählten Umgebung.

Für Modelle, die außerhalb der EU/des EWR betrieben werden (insbesondere USA), greifen wir auf EU-Standardvertragsklauseln (SCC) bzw. – sofern verfügbar – auf das EU-US Data Privacy Framework zurück und ergänzen diese durch zusätzliche Schutz­maßnahmen.

8. Cookies & Tracking

Auf unseren Websites setzen wir technisch notwendige Cookies sowie – mit Ihrer Einwilligung – Cookies für Analyse und Reichweiten­messung. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner anpassen oder widerrufen. Rechtsgrundlage für nicht-notwendige Cookies ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG bzw. § 165 TKG 2021.

9. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungs­pflichten (insbesondere steuer- und handels­rechtlich, i. d. R. 7 bzw. 10 Jahre) entgegenstehen. Server-Logfiles werden nach maximal 30 Tagen gelöscht oder anonymisiert.

10. Datenweitergabe an Dritte

Eine Weitergabe Ihrer Daten erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist (z. B. an Auftrags­verarbeiter), eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Ein Verkauf personenbezogener Daten findet nicht statt.

11. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO),
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Anfragen richten Sie bitte an info@systemeos.com. Sie haben außerdem das Recht, sich bei einer Aufsichts­behörde zu beschweren – in Österreich: Datenschutz­behörde (dsb.gv.at), in Deutschland: zuständige Landes­datenschutz­behörde, in der Schweiz: EDÖB.

12. Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen (u. a. Verschlüsselung, Zugriffs­kontrollen, Logging, regelmäßige Updates und Pen-Tests). Unsere Maßnahmen werden laufend an den Stand der Technik angepasst.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutz­erklärung anzupassen, etwa bei Änderungen der Rechtslage, unserer Dienste oder der Datenverarbeitung. Es gilt jeweils die auf dieser Seite veröffentlichte aktuelle Version.