Flexie

Rechtliches

Datenschutzerklärung

Gültig ab: 10. Mai 2026

1. Anwendungsbereich

Der Verantwortliche für diese Datenschutzerklärung ist Flexie CRM e.U., betrieben von Eriol Gjergji, Fritz-Konzert-Strasse 7, Top 1/3, 6020 Innsbruck, Österreich, UID/VAT: ATU81616707, Firmenbuchnummer: FN 679939 k, Firmenbuchgericht: Landesgericht Innsbruck ("Flexie").

Diese Datenschutzerklärung erläutert, wie Flexie personenbezogene Daten verarbeitet, wenn Flexie als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) handelt. Sie umfasst Daten, die über die Website flexie.io, die Kontoerstellung, die Abrechnung und Zahlungsverwaltung, die Identitätsprüfung (KYC), die Support-Kommunikation, den Sicherheitsbetrieb, die Marketing-Kommunikation und die Geschäftskorrespondenz erhoben werden.

2. Was diese Erklärung nicht abdeckt

Diese Datenschutzerklärung gilt nicht für personenbezogene Daten, die ein Flexie-Kunde innerhalb seiner eigenen Flexie-CRM-Installation speichert oder verarbeitet. Wenn ein Kunde Flexie CRM nutzt, um Daten über seine eigenen Leads, Kontakte, Mitarbeiter, Endnutzer oder andere Personen zu verwalten, ist der Kunde der Verantwortliche für diese Daten und Flexie handelt als Auftragsverarbeiter auf die dokumentierten Weisungen des Kunden hin. Diese Verarbeitung unterliegt dem Flexie Auftragsverarbeitungsvertrag (AVV) (PDF), nicht dieser Erklärung.

Wenn Sie eine betroffene Person sind, deren personenbezogene Daten innerhalb der Installation eines Flexie-Kunden gespeichert oder verarbeitet werden (zum Beispiel weil Sie Kontakt, Lead, Mitarbeiter oder Endnutzer eines Unternehmens sind, das Flexie CRM nutzt), wenden Sie sich bitte direkt an dieses Unternehmen, um Ihre Rechte auszuüben. Flexie kann ohne Weisung des Kunden oder eine verbindliche rechtliche Verpflichtung nicht auf Anfragen reagieren, die die Verantwortlichen-Daten eines Kunden betreffen.

3. Kontakt

Bei Datenschutzfragen zur eigenen Verarbeitung von Flexie als Verantwortlicher wenden Sie sich an: support@flexie.io. Datenschutzangelegenheiten werden intern von der Geschäftsleitung der Flexie CRM e.U. bearbeitet.

4. Kein Datenschutzbeauftragter (DSB)

Flexie hat keinen benannten Datenschutzbeauftragten (DSB) bestellt. Dieser Abschnitt legt die rechtlichen Gründe dar, weshalb die Bestellung eines DSB für Flexie nach geltendem Recht nicht erforderlich ist.

Art. 37 Abs. 1 DSGVO macht die Bestellung eines DSB nur in den drei nachstehend aufgeführten Fällen verpflichtend. Flexie erfüllt keinen davon:

  1. Behörde oder öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO). Flexie CRM e.U. ist ein in Privateigentum stehendes, eingetragenes Einzelunternehmen (Unternehmer im Sinne des § 1 UGB), eingetragen im österreichischen Firmenbuch (Firmenbuchnummer FN 679939 k), und keine Behörde oder öffentliche Stelle.
  2. Umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DSGVO). Die Kerntätigkeit von Flexie ist die Bereitstellung einer Business-to-Business-Plattform für CRM und Workflow-Automatisierung an eingetragene Unternehmen (siehe Abschnitt 2 der Nutzungsbedingungen). Flexie führt als Kerntätigkeit kein Verhaltens-Profiling, kein Online-Tracking, keine Standortüberwachung, kein umfangreiches Werbe-Targeting und keine sonstige regelmäßige und systematische Überwachung von betroffenen Personen durch. Die in Abschnitt 5 dieser Erklärung beschriebene Verarbeitung von Konto-, Abrechnungs- und KYC-Daten betrifft die Geschäftskunden von Flexie und ihre bevollmächtigten Vertreter, in für ein Kleinunternehmen typischem Umfang, und stellt keine umfangreiche Überwachung von betroffenen Personen dar.
  3. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten über strafrechtliche Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO). Flexie verarbeitet im Rahmen seiner Kerntätigkeiten keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (wie Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung) und keine personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO. Flexie richtet sich nicht gezielt an Kunden im Gesundheitswesen, im Bankwesen, im Versicherungswesen, im Finanzdienstleistungssektor oder in anderen regulierten Branchen, deren gewöhnlicher Geschäftsbetrieb die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten über strafrechtliche Verurteilungen erfordert, vermarktet nicht an sie und unterstützt sie nicht spezifisch. Der Dienst wird als allgemeine geschäftliche CRM- und Workflow-Plattform für gewöhnliche gewerbliche Kunden angeboten. Wählt ein Kunde dennoch, solche Daten innerhalb seiner eigenen Flexie-CRM-Installation zu verarbeiten, so ist dieser Kunde der Verantwortliche für diese Verarbeitung und dafür verantwortlich, zu beurteilen, ob die DSB-Pflicht des Kunden selbst ausgelöst wird (siehe Abschnitt 2 dieser Erklärung).

Zur Klarstellung hinsichtlich der Rolle von Flexie als Auftragsverarbeiter: Wenn Flexie personenbezogene Daten im Auftrag eines Kunden innerhalb der Flexie-CRM-Installation dieses Kunden verarbeitet, besteht die Rolle von Flexie darin, die Software und die Daten zu hosten, nicht darin, diese Verarbeitung zu überwachen, ein Profiling durchzuführen oder anderweitig die Zwecke dieser Verarbeitung festzulegen. Der Umfang der personenbezogenen Daten, die ein Kunde innerhalb seiner eigenen Installation zu verarbeiten wählt, wandelt die Auftragsverarbeitertätigkeit von Flexie für sich genommen nicht in eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen" im Sinne des Art. 37 Abs. 1 lit. b DSGVO um und wandelt die Auftragsverarbeitertätigkeit von Flexie für sich genommen nicht in eine "umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten" im Sinne des Art. 37 Abs. 1 lit. c DSGVO um. Jeder Kunde bleibt dafür verantwortlich, zu beurteilen, ob seine eigene Verarbeitung für ihn eine Pflicht zur Bestellung eines DSB nach Art. 37 DSGVO auslöst.

§ 5 des österreichischen Datenschutzgesetzes (DSG) gibt Art. 37 DSGVO für österreichische öffentliche Stellen wieder und ergänzt ihn und erweitert die Kriterien für die verpflichtende Bestellung für private Verantwortliche wie Flexie nicht über Art. 37 DSGVO hinaus.

Diese Beurteilung steht im Einklang mit den Leitlinien der Artikel-29-Datenschutzgruppe zu Datenschutzbeauftragten (WP 243 rev. 01, gebilligt durch den Europäischen Datenschutzausschuss) und mit der veröffentlichten Praxis der österreichischen Datenschutzbehörde.

Unabhängig von der vorstehenden DSGVO-Schwelle wäre eine Bestellung des Einzelunternehmers der Flexie CRM e.U. zum DSB nicht zulässig: Nach Art. 38 Abs. 3 und 6 DSGVO muss ein DSB unabhängig handeln, darf hinsichtlich der Erfüllung der DSB-Aufgaben keine Weisungen erhalten und darf keine Rolle innehaben, die über die Zwecke und Mittel der Verarbeitung entscheidet. Der Einzelunternehmer ist der Verantwortliche und entscheidet über diese Zwecke und Mittel, was einen strukturellen Interessenkonflikt begründet, der in WP 243 ausdrücklich benannt ist.

Auch wenn Flexie nicht zur Bestellung eines DSB verpflichtet ist, unterhält Flexie die folgenden Maßnahmen zur Datenschutz-Governance:

  • einen einzigen Datenschutzkontakt, support@flexie.io, für alle Anfragen betroffener Personen, Beschwerden und die Korrespondenz mit der Aufsichtsbehörde;
  • ein internes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO;
  • dokumentierte Datenschutzrichtlinien, einschließlich dieser Datenschutzerklärung, der Cookie-Richtlinie, der Datenaufbewahrungsrichtlinie und des für die Auftragsverarbeitung geltenden Auftragsverarbeitungsvertrags;
  • Verfahren zur Reaktion auf Verletzungen des Schutzes personenbezogener Daten, einschließlich der nach Art. 33 DSGVO erforderlichen Frist für die Meldung an die Aufsichtsbehörde.

Flexie wird diese Position neu beurteilen, falls und sobald sich seine Verarbeitungstätigkeiten wesentlich ändern. Sollte eine Bestellung verpflichtend werden oder sollte Flexie sich entscheiden, freiwillig einen DSB zu bestellen, wird diese Erklärung aktualisiert, um den DSB und die einschlägigen Kontaktdaten anzugeben.

5. Personenbezogene Daten, die wir als Verantwortlicher verarbeiten

Als Verantwortlicher verarbeitet Flexie die folgenden Kategorien personenbezogener Daten im Zusammenhang mit der Website, der Kontoverwaltung, der Abrechnung, der Identitätsprüfung, dem Support, der Sicherheit und der Marketing-Kommunikation. Diese Liste umfasst nicht die personenbezogenen Daten, die Kunden innerhalb ihrer eigenen Flexie-CRM-Installationen verarbeiten und die dem Auftragsverarbeitungsvertrag unterliegen (siehe Abschnitt 2).

  • Konto- und geschäftliche Kontaktdaten: Name, Unternehmen, E-Mail, Telefon, Funktion, Kontokennungen.
  • Abrechnungs- und Zahlungsverwaltungsdaten: Rechnungen, Rechnungsanschrift, UID-Nummer, Zahlungsstatus, Kennungen des Zahlungskanals (zum Beispiel Referenzen von PayPro Global oder Stripe), Überweisungsdaten und zugehörige Aufzeichnungen.
  • Daten zur Identitätsprüfung und zur Kundenidentifizierung (Know Your Customer, KYC): Angaben aus dem Firmenbuchauszug, Kennungen juristischer Personen, Informationen über bevollmächtigte Vertreter und wirtschaftliche Eigentümer, zur Verifizierung vorgelegte Identitätsdokumente, Ergebnisse von Sanktions- und Geldwäsche- / Terrorismusfinanzierungsprüfungen sowie zugehörige Aufzeichnungen. Der Dienst wird ausschließlich Unternehmen angeboten und nicht an Verbraucher verkauft; KYC-Prüfungen gelten für Geschäftskunden und ihre Vertreter.
  • Support- und Kommunikationsdaten: E-Mails, Support-Nachrichten, Gesprächsnotizen, Angaben zu Anliegen, an den Support übermittelte Anhänge und zugehörige Metadaten.
  • Website- und Nutzungsdaten: IP-Adresse, Browser, Gerätedaten, besuchte Seiten, Cookie-Kennungen, Verweisdaten, Zeitstempel und Protokollinformationen.
  • Sicherheitsdaten: Authentifizierungsereignisse, Zugriffsprotokolle, Aufzeichnungen zur Missbrauchsprävention, Audit-Protokolle und Vorfallsaufzeichnungen.
  • Marketing-Kommunikationsdaten, sofern Sie Kommunikation von Flexie abonnieren oder anfordern, einschließlich Aufzeichnungen über die Einwilligung (Opt-in) und den Verlauf der Abmeldungen.

6. Besondere Kategorien personenbezogener Daten

Flexie fordert weder auf, ersucht noch verarbeitet absichtlich besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO über die von dieser Erklärung abgedeckten Kanäle des Verantwortlichen.

Sie sollten Flexie über die Website, Kontaktformulare, die Support-Kommunikation oder die Kontoregistrierung keine Daten besonderer Kategorien oder Daten über strafrechtliche Verurteilungen übermitteln. Werden solche Daten dennoch empfangen, wird Flexie sie so bald wie nach vernünftigem Ermessen praktikabel löschen, es sei denn, eine rechtliche Verpflichtung erfordert die Aufbewahrung.

Wählt ein Kunde, Daten besonderer Kategorien oder Daten über strafrechtliche Verurteilungen innerhalb seiner eigenen Flexie-CRM-Installation zu verarbeiten, so unterliegt diese Verarbeitung dem Auftragsverarbeitungsvertrag und liegt in der Verantwortung des Kunden als Verantwortlicher (siehe Abschnitt 2).

7. Quellen personenbezogener Daten

Flexie erhebt personenbezogene Daten in erster Linie direkt von Ihnen, wenn Sie die Website besuchen, ein Konto erstellen, den Support kontaktieren, einen Vertrag unterzeichnen oder mit Flexie korrespondieren. Flexie kann personenbezogene Daten auch aus folgenden Quellen erhalten:

  • öffentliche Register und Listen, die für KYC verwendet werden, einschließlich Firmenbuchauszügen, Registern wirtschaftlicher Eigentümer, Sanktionslisten und Listen politisch exponierter Personen sowie gleichwertiger Quellen;
  • Zahlungsdienstleister und Infrastrukturanbieter, soweit diese die zur Erbringung ihrer Leistung erforderlichen Daten weitergeben, etwa den Zahlungsstatus oder Betrugssignale;
  • Ihre Kollegen oder Ihre Organisation, wenn jemand anderes in Ihrem Team das Konto erstellt oder Sie als Nutzer einlädt;
  • öffentlich verfügbare geschäftliche Quellen, soweit Flexie solche Informationen in vernünftiger Weise für eine Business-to-Business-Ansprache verwendet, die nach geltendem österreichischen und EU-Recht zulässig ist.

8. Zwecke und Rechtsgrundlagen

Zweck Rechtsgrundlage
Konten, Verwaltung, Abrechnung, Support und Kundenkommunikation Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
Dienstsicherheit, Missbrauchsprävention, Protokollierung, Fehlerbehebung Berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO (Schutz des Dienstes, der Kunden von Flexie und Dritter vor Betrug, Missbrauch, unbefugtem Zugriff und betrieblichen Ausfällen) sowie rechtliche Verpflichtungen, soweit anwendbar.
Buchhaltung, Steuern, gesetzliche Aufzeichnungspflichten Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Kundenidentitätsprüfung, KYC, Geldwäsche- und Sanktionsprüfung, Betrugs- und Missbrauchsprävention Rechtliche Verpflichtung und berechtigte Interessen nach Art. 6 Abs. 1 lit. c und f DSGVO, einschließlich der Einhaltung von Verpflichtungen zur Geldwäsche- und Terrorismusfinanzierungsbekämpfung, von Sanktions- und Steuerpflichten, der Verhinderung von Finanzkriminalität und des Schutzes von Flexie vor vertraglichen und Reputationsrisiken.
Dienstmitteilungen und Produktkommunikation an bestehende Kunden Vertragserfüllung oder berechtigte Interessen nach Art. 6 Abs. 1 lit. b oder f DSGVO, nämlich die Kunden über den von ihnen genutzten Dienst und für sie relevante Änderungen informiert zu halten.
Marketing-Kommunikation Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 174 TKG 2021; § 7 ECG) oder, soweit rechtlich zulässig, berechtigte Interessen an der B2B-Akquise, mit einer Abmeldemöglichkeit in jeder elektronischen Marketing-Nachricht.
Nicht notwendige Cookies und Analyse Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 TKG 2021)

9. Ob die Bereitstellung personenbezogener Daten erforderlich ist

Die Bereitstellung von Konto-, Abrechnungs- und KYC-Daten ist für den Abschluss und die Erfüllung des Vertrags mit Flexie erforderlich. Wenn Sie diese Daten nicht bereitstellen, kann Flexie kein Konto eröffnen, keine Rechnungen ausstellen, keine Zahlungen verarbeiten, kein KYC durchführen und den Dienst nicht erbringen. Die Bereitstellung von Marketing-Präferenzen und optionalen Support-Angaben ist freiwillig; eine Verweigerung beeinträchtigt nicht die Fähigkeit von Flexie, den Dienst zu erbringen.

10. Automatisierte Entscheidungsfindung und Profiling

Flexie setzt für die von dieser Erklärung abgedeckte Verarbeitung als Verantwortlicher keine automatisierte Entscheidungsfindung ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, im Sinne des Art. 22 DSGVO. Automatisierte Prüfungen im Rahmen von KYC, etwa der Abgleich von Eingaben mit Sanktions- und PEP-Listen, dienen der Vorbereitung einer menschlichen Prüfung und werden nicht für sich genommen als alleinige Grundlage einer Entscheidung mit rechtlicher Wirkung verwendet.

Konfiguriert ein Kunde innerhalb seiner eigenen Flexie-CRM-Installation eine automatisierte Entscheidungsfindung oder ein Profiling, so liegt diese Verarbeitung in der Verantwortung des Kunden als Verantwortlicher und unterliegt nicht dieser Erklärung.

11. Marketing-Kommunikation

Flexie versendet elektronische Marketing-Kommunikation, etwa E-Mail-Newsletter oder Produktankündigungen, nur mit vorheriger Einwilligung, soweit eine Einwilligung nach § 174 TKG 2021 und § 7 ECG erforderlich ist, oder soweit der Empfänger ein bestehender Geschäftskunde ist, der Informationen über ähnliche Produkte oder Dienstleistungen erhält, wie nach österreichischem Recht zulässig. Sie können Ihre Einwilligung jederzeit widerrufen oder sich vom Marketing abmelden, indem Sie den Abmeldelink in einer beliebigen Marketing-E-Mail verwenden oder sich an support@flexie.io wenden. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.

Marketing-E-Mails können Technologien zur Öffnungs- und Klick-Nachverfolgung enthalten, etwa Tracking-Pixel und nachverfolgte Links, die erfassen, ob Sie eine Nachricht geöffnet haben und welchen Links Sie gefolgt sind, zusammen mit zugehörigen technischen Metadaten. Flexie verwendet diese Informationen, um die Kampagnenleistung zu messen, die Relevanz der Inhalte zu verbessern und künftige Kommunikation zu segmentieren. Sie können das Laden von Bildern in Ihrem E-Mail-Programm deaktivieren, um die Öffnungs-Nachverfolgung einzuschränken. Eine Abmeldung von der Marketing-Kommunikation beendet sowohl die Nachrichten als auch die zugehörige Nachverfolgung.

12. Kinder

Der Dienst wird ausschließlich Unternehmen angeboten und richtet sich nicht an Kinder. Flexie erhebt nicht wissentlich personenbezogene Daten von Personen unter 14 Jahren, was nach § 4 Abs. 4 DSG die österreichische Altersgrenze für die digitale Einwilligung ist. Wenn Sie glauben, dass ein Kind Flexie personenbezogene Daten übermittelt hat, wenden Sie sich an support@flexie.io, und die Daten werden gelöscht.

13. Vom Kunden konfigurierte Integrationen

Kunden können Integrationen mit externen Systemen wie E-Mail, SMS, Telefonie, Webhooks, APIs, Datenbanken, Zahlungssystemen, Analyse-Endpunkten oder KI-/API-Diensten konfigurieren. Diese werden vom Kunden ausgewählt und gesteuert. Konfiguriert der Kunde eine solche Integration, verarbeitet oder übermittelt Flexie Daten gemäß der Konfiguration und den Weisungen des Kunden.

Vom Kunden ausgewählte Integrationsanbieter sind nicht allein deshalb Unterauftragsverarbeiter von Flexie, weil der Dienst Integrationswerkzeuge bereitstellt. Die Kunden sind dafür verantwortlich, diese Anbieter zu beurteilen, erforderliche Verträge abzuschließen, Datenpakete zu konfigurieren und rechtliche Anforderungen einzuhalten.

14. KI und Automatisierung

Flexie trainiert, optimiert, besitzt, betreibt und führt keine universell einsetzbaren KI-Modelle oder KI-Modelle Dritter für die Nutzung des Dienstes durch den Kunden aus, sofern nicht gesondert schriftlich vereinbart. Konfiguriert der Kunde KI-/API-Endpunkte oder KI-bezogene Workflows, so steuert der Kunde den Anbieter, den Endpunkt, die Prompts, die Datenpakete, die Felder und die Verwendung der Ausgaben.

Im Sinne der Verordnung (EU) 2024/1689 (EU-KI-Verordnung) ist Flexie in Bezug auf die Nutzung des Dienstes durch den Kunden weder Anbieter noch Betreiber noch Anbieter eines KI-Modells mit allgemeinem Verwendungszweck. Der Kunde ist der Betreiber jedes KI-Systems, das der Kunde über den Dienst konfiguriert, und ist für die Betreiberpflichten nach Art. 4 und 26 der EU-KI-Verordnung, die Transparenzpflichten nach Art. 50, soweit anwendbar, und die Verbote in Art. 5 verantwortlich. Die Nutzungsbedingungen enthalten die materiellen Pflichten des Kunden in diesem Bereich; diese Erklärung beschreibt die damit verbundenen Auswirkungen auf personenbezogene Daten.

Flexie stellt, soweit verfügbar, Werkzeuge für Berechtigungen und Ausschlüsse auf Feldebene bereit, damit Kunden Felder wie Telefonnummern, E-Mail-Adressen, Kennungen, sensible Notizen oder andere ausgewählte Daten von KI-bezogenen Workflows oder Datenpaketen ausschließen können. Der Kunde ist für die Konfiguration und Pflege dieser Kontrollen verantwortlich.

Flexie verwendet als Verantwortlicher keine KI, um personenbezogene Daten in einer Weise zu verarbeiten, die rechtliche Wirkung entfaltet oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigt, im Sinne des Art. 22 DSGVO. Siehe auch Abschnitt 10 (Automatisierte Entscheidungsfindung und Profiling).

15. Empfänger und Unterauftragsverarbeiter

Flexie kann personenbezogene Daten mit den folgenden Kategorien von Empfängern teilen, jedoch nur soweit dies für die in dieser Erklärung dargelegten Zwecke erforderlich ist:

  • Infrastrukturanbieter für Hosting, Rechenleistung, Speicherung, Netzwerk und Backups. Aktuell autorisierte Anbieter sind OVH SAS, Hetzner Online GmbH und Amazon Web Services EMEA SARL, wobei für das Kern-Hosting europäische Rechenzentren / EU/EWR-Regionen verwendet werden, sofern nicht anders vereinbart oder vom Kunden konfiguriert.
  • Zahlungsdienstleister (PayPro Global und Stripe) für die Verarbeitung von Zahlungen und die Verwaltung der zugehörigen Abrechnungsdaten sowie Banken für SEPA-Überweisungen und gleichwertige Überweisungen.
  • KYC- und Compliance-Datenquellen, einschließlich Anbietern von Firmenbuchdaten, Sanktionsprüfung und PEP-Prüfung, soweit zur Durchführung der erforderlichen Prüfungen notwendig.
  • Fachliche Berater wie Buchhalter, Wirtschaftsprüfer, Steuerberater und Rechtsanwälte, soweit dies aus rechtlichen, buchhalterischen oder steuerlichen Gründen erforderlich ist.
  • Behörden und Gerichte, soweit gesetzlich, durch gerichtliche Anordnung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  • Rechtsnachfolger im Zusammenhang mit einer Unternehmenstransaktion wie einer Fusion, einem Erwerb oder einem Verkauf von Vermögenswerten, vorbehaltlich der Vertraulichkeit und des geltenden Rechts.

Unterauftragsverarbeiter, die personenbezogene Daten des Kunden im Auftrag von Flexie für den Dienst verarbeiten, unterliegen dem Auftragsverarbeitungsvertrag, der das Regime für Unterauftragsverarbeiter und den Mitteilungsmechanismus für personenbezogene Daten festlegt.

16. Internationale Datenübermittlungen

Flexie ist bestrebt, die wesentlichen personenbezogenen Daten des Kunden für den Dienst innerhalb der EU/des EWR zu verarbeiten. Ist für eine von Flexie verantwortete Verarbeitung eine Übermittlung außerhalb der EU/des EWR erforderlich, wird Flexie, soweit erforderlich, einen gültigen Übermittlungsmechanismus verwenden, etwa die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914) und, soweit anwendbar, zusätzliche ergänzende Maßnahmen. Konfiguriert der Kunde eine Integration zu einem externen oder außerhalb des EWR gelegenen Endpunkt, so erfolgt diese Übermittlung auf Weisung des Kunden, und der Kunde ist für die Beurteilung und Umsetzung des erforderlichen Übermittlungsmechanismus verantwortlich.

17. Aufbewahrung

Personenbezogene Daten werden nur so lange aufbewahrt, wie dies für die in dieser Erklärung, der Datenaufbewahrungsrichtlinie, der geltenden Vereinbarung, für rechtliche Verpflichtungen, die Streitbeilegung, die Sicherheit und berechtigte geschäftliche Bedürfnisse beschriebenen Zwecke erforderlich ist. KYC- und Buchhaltungsunterlagen werden für die nach österreichischem Geldwäsche- und Terrorismusfinanzierungsbekämpfungsrecht und Steuerrecht erforderlichen Zeiträume aufbewahrt. Siehe Datenaufbewahrungsrichtlinie.

18. Ihre Rechte

Soweit anwendbar, haben Sie nach der DSGVO und dem DSG das Recht:

  • auf Auskunft über Ihre personenbezogenen Daten (Art. 15 DSGVO);
  • auf Berichtigung unrichtiger Daten (Art. 16 DSGVO);
  • auf Löschung (Art. 17 DSGVO);
  • auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • auf Widerspruch gegen eine auf berechtigten Interessen beruhende Verarbeitung, einschließlich Direktwerbung (Art. 21 DSGVO);
  • auf Datenübertragbarkeit für Daten, die auf der Grundlage eines Vertrags oder einer Einwilligung mit automatisierten Mitteln verarbeitet werden (Art. 20 DSGVO);
  • die Einwilligung zu widerrufen, soweit die Verarbeitung auf einer Einwilligung beruht (Art. 7 Abs. 3 DSGVO);
  • bei einer Aufsichtsbehörde Beschwerde einzulegen (Art. 77 DSGVO).

Anfragen, die die eigene Verarbeitung von Flexie als Verantwortlicher betreffen, können an support@flexie.io gesendet werden. Anfragen, die CRM-Daten des Kunden betreffen, sind an den jeweiligen Flexie-Kunden zu richten, der als Verantwortlicher handelt; siehe Abschnitt 2.

19. Aufsichtsbehörde

Sie können sich an die österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, Österreich, oder an eine andere zuständige Aufsichtsbehörde in Ihrem Mitgliedstaat wenden, wenn Sie der Ansicht sind, dass Ihre Rechte verletzt wurden.

20. Sicherheit

Flexie wendet angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten an, wie auf der Seite Sicherheit & Infrastruktur näher beschrieben. Kein System ist vollständig sicher; die Kunden bleiben für die Kontosicherheit, Benutzerberechtigungen, Integrations-Zugangsdaten, Workflow-Konfiguration und Kontrollen auf Feldebene verantwortlich.

21. Verletzungen des Schutzes personenbezogener Daten

Flexie unterhält dokumentierte Verfahren zur Identifizierung, Beurteilung, Eindämmung und Meldung von Verletzungen des Schutzes personenbezogener Daten in Übereinstimmung mit Art. 33 und 34 DSGVO.

Tritt eine Verletzung des Schutzes personenbezogener Daten ein, für die Flexie als Verantwortlicher handelt, wird Flexie die österreichische Datenschutzbehörde unverzüglich und, soweit möglich, binnen 72 Stunden nach Bekanntwerden der Verletzung in Übereinstimmung mit Art. 33 DSGVO benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Führt eine Verletzung voraussichtlich zu einem hohen Risiko für diese Rechte und Freiheiten, wird Flexie die Verletzung zudem den betroffenen Personen unverzüglich in Übereinstimmung mit Art. 34 DSGVO mitteilen.

Tritt eine Verletzung in Bezug auf personenbezogene Daten des Kunden ein, für die Flexie als Auftragsverarbeiter im Auftrag eines Kunden handelt, wird Flexie den Kunden in Übereinstimmung mit dem Auftragsverarbeitungsvertrag benachrichtigen, damit der Kunde seine eigenen Pflichten nach Art. 33 und 34 DSGVO als Verantwortlicher erfüllen kann.

Die interne Bearbeitung von Verletzungen, einschließlich Untersuchung, Ursachenanalyse, Schadensbegrenzung und Dokumentation nach Art. 33 Abs. 5 DSGVO, richtet sich nach den Verfahren von Flexie zur Reaktion auf Vorfälle.

22. Cookies und Web-Analyse

Die Flexie-Website verwendet keine Cookies und speichert zu Tracking-Zwecken nichts auf Ihrem Gerät; siehe die Cookie-Richtlinie. Für aggregierte Website-Statistiken nutzen wir Umami (Umami Cloud, umami.is) als Auftragsverarbeiter. Umami ist cookiefrei: Es speichert keine Cookies oder Kennungen auf Ihrem Gerät und identifiziert Sie nicht. Es verarbeitet ausschließlich anonyme, aggregierte Nutzungsdaten, nämlich aufgerufene Seiten, die verweisende Website, das ungefähre Land (abgeleitet aus Ihrer IP-Adresse, die nicht gespeichert wird) sowie Browser- oder Gerätetyp. Es erstellt kein persönliches Profil und verfolgt Sie nicht über andere Websites hinweg. Rechtsgrundlage: unser berechtigtes Interesse am Verständnis und an der Verbesserung der Website (Art. 6 Abs. 1 lit. f DSGVO). Soweit Umami Daten außerhalb des EWR verarbeitet, gelten geeignete Garantien. Wir verwenden es nicht für Werbung. Cookies in der separaten Flexie-CRM-Anwendung werden in der Cookie-Richtlinie behandelt.

23. Änderungen

Flexie kann diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die aktualisierte Fassung wird mit einem neuen Gültigkeitsdatum auf der Website veröffentlicht. Soweit Änderungen die Art und Weise, wie Flexie Ihre personenbezogenen Daten verarbeitet, wesentlich beeinflussen, wird Flexie Sie auf angemessene Weise vor dem Gültigkeitsdatum benachrichtigen.