Rechtliches

Datenschutzerklärung

veröffentlicht am:

February 3, 2026

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Bubora GmbH

Industriezubringer 53

49661 Cloppenburg

Deutschland

Kontakt:

Geschäftsführung: Matthias Aumann

E-Mail: info@bubora.ai

Telefon: +49 4471 7097653

2. Allgemeine Informationen zur Datenverarbeitung

2.1 Umfang der Datenverarbeitung

Die Bubora-Plattform ist eine Enterprise SaaS-Lösung zur KI-gestützten Optimierung von Geschäftsprozessen. Wir verarbeiten personenbezogene Daten unserer Nutzer ausschließlich in dem Umfang, in dem dies für die Bereitstellung, den sicheren Betrieb und die kontinuierliche Verbesserung unserer Dienstleistungen erforderlich ist.

2.2 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
  • Art. 6 Abs. 1 lit. a DSGVO – Verarbeitung auf Grundlage Ihrer Einwilligung
  • Art. 6 Abs. 1 lit. f DSGVO – Verarbeitung zur Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Betrugsprävention)
  • Art. 6 Abs. 1 lit. c DSGVO – Verarbeitung zur Erfüllung rechtlicher Verpflichtungen

3. Datenspeicherung und Sicherheit

3.1 Speicherort und Rechenzentrum

Alle personenbezogenen Daten werden ausschließlich in einem ISO 27001-zertifizierten Rechenzentrum in Nürnberg, Deutschland gespeichert und verarbeitet. Dies gewährleistet die Einhaltung höchster Sicherheitsstandards sowie vollständige Konformität mit europäischen Datenschutzanforderungen.

3.2 Technische und organisatorische Maßnahmen

Zum Schutz Ihrer Daten setzen wir umfassende technische und organisatorische Maßnahmen (TOMs) ein:

  • End-to-End-Verschlüsselung für alle sensitiven Daten (AES-256)
  • Transportverschlüsselung über TLS 1.3 für alle Datenübertragungen
  • Rollenbasierte Zugriffskontrolle (RBAC) mit Multi-Faktor-Authentifizierung
  • Regelmäßige Penetrationstests durch unabhängige Sicherheitsexperten
  • Security Information and Event Management (SIEM) zur Echtzeitüberwachung
  • Automatisierte Backup-Systeme mit redundanter Datenhaltung
  • Incident Response Plan für den Umgang mit Sicherheitsvorfällen

3.3 Speicherdauer

Personenbezogene Daten werden für die Dauer Ihres Vertragsverhältnisses mit Bubora gespeichert. Nach Beendigung des Vertrags erfolgt die Löschung Ihrer Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. nach HGB, AO) entgegenstehen. In diesem Fall werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht.

4. Kategorien verarbeiteter Daten

4.1 Stammdaten

Zur Bereitstellung unserer Dienste verarbeiten wir folgende Stammdaten:

  • Firmenname und Organisationsdaten
  • Namen und Kontaktdaten der Nutzer (E-Mail, Telefonnummer)
  • Rechnungs- und Zahlungsinformationen
  • Benutzerrollen und Berechtigungen

4.2 Nutzungsdaten

Das Bubora-Team hat Zugriff auf anonymisierte und aggregierte Nutzungsstatistiken zur Plattformoptimierung. Diese Daten enthalten keine Dokumentinhalte und keine persönlich identifizierbaren Informationen. Erfasst werden ausschließlich technische Metriken wie Systemauslastung, Feature-Nutzung und Performance-Kennzahlen.

4.3 Dokumentinhalte und Kundendaten

Ihre Dokumentinhalte und geschäftlichen Daten bleiben vollständig vertraulich. Bubora fungiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ihre Inhalte werden niemals mit Dritten geteilt, für Trainingszwecke verwendet oder anderweitig außerhalb der vereinbarten Dienstleistungserbringung verarbeitet. Der Zugriff ist ausschließlich auf autorisierte Team-Mitglieder Ihrer Organisation beschränkt.

4.4 Onboarding- und Support-Daten

Bei Abschluss eines Onboarding-Pakets oder im Rahmen von Support-Anfragen kann temporärer Zugriff auf Ihr System erforderlich sein. Dieser Zugriff wird ausschließlich zur Konfiguration, Fehlerbehebung oder Schulung gewährt und ist zeitlich auf die Dauer der jeweiligen Maßnahme begrenzt. Nach Abschluss wird der Zugriff vollständig beendet und dokumentiert.

4.5 Logdaten

Für Sicherheit und Systemstabilität werden Logdaten erfasst, die IP-Adressen, Zeitstempel, Zugriffsversuche und Fehlerberichte enthalten. Diese Daten dienen der Fehleranalyse, Sicherheitsüberwachung und werden nach 90 Tagen automatisch gelöscht.

5. Cookies und Tracking-Technologien

5.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser auf Anforderung an unseren Server übermittelt. Sie ermöglichen es uns, bestimmte Informationen über Ihre Nutzung der Plattform zu speichern und Ihre Benutzererfahrung zu optimieren.

5.2 Kategorien der eingesetzten Cookies

Wir setzen auf der Bubora-Plattform folgende Cookie-Kategorien ein:

Cookie-Typ

Zweck

Speicherdauer

Rechtsgrundlage

Technisch notwendige Cookies

Session-Management, Authentifizierung, Sicherheitsfunktionen

Session / 24 Stunden

Art. 6 Abs. 1 lit. f DSGVO

Funktionale Cookies

Spracheinstellungen, Nutzereinstellungen, UI-Präferenzen

12 Monate

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Analyse-Cookies

Anonymisierte Nutzungsstatistiken, Performance-Monitoring

24 Monate

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5.3 Detaillierte Cookie-Übersicht

Technisch notwendige Cookies:

  • bubora_session – Session-ID für Authentifizierung (Session-Cookie)
  • bubora_csrf – Cross-Site Request Forgery Protection (24 Stunden)
  • bubora_auth – Verschlüsseltes Authentifizierungs-Token (24 Stunden)

Funktionale Cookies:

  • bubora_lang – Sprachpräferenz (12 Monate)
  • bubora_ui_settings – Interface-Einstellungen (12 Monate)
  • bubora_workspace – Zuletzt verwendeter Arbeitsbereich (12 Monate)

Analyse-Cookies (optional):

  • bubora_analytics – Anonymisierte Nutzungsstatistiken (24 Monate)
  • bubora_performance – Performance-Metriken (24 Monate)

5.4 Cookie-Einwilligung und Verwaltung

Beim ersten Besuch der Bubora-Plattform werden Sie über den Einsatz von Cookies informiert und um Ihre Einwilligung gebeten. Sie können Ihre Cookie-Präferenzen jederzeit in den Einstellungen Ihres Accounts unter "Datenschutz & Cookies" ändern.

5.5 Browser-Einstellungen

Sie können Cookies auch direkt in Ihren Browser-Einstellungen verwalten oder vollständig deaktivieren. Bitte beachten Sie, dass die Deaktivierung technisch notwendiger Cookies die Funktionalität der Plattform erheblich einschränken kann.

5.6 Do-Not-Track (DNT)

Wir respektieren Do-Not-Track-Signale Ihres Browsers. Bei aktiviertem DNT werden keine optionalen Analyse- oder Tracking-Cookies gesetzt.

6. Externe Dienstleister und Subprozessoren

Zur Bereitstellung unserer KI-gestützten Funktionalitäten arbeiten wir mit folgenden sorgfältig ausgewählten Subprozessoren zusammen, die ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig sind:

  • Mistral AI – KI-Sprachmodelle und Natural Language Processing (API-basiert, Serverstandort: EU)
  • ElevenLabs – Text-to-Speech-Konvertierung (API-basiert)

Mit allen Subprozessoren bestehen Data Processing Agreements (DPA), die die Einhaltung der DSGVO vertraglich sicherstellen. Eine vollständige Liste aller Subprozessoren wird auf Anfrage zur Verfügung gestellt und bei Änderungen aktualisiert.

6.1 Datenverarbeitung durch Subprozessoren

Wichtig: Subprozessoren erhalten ausschließlich die für die jeweilige Funktionalität minimal erforderlichen Daten. Ihre Dokumentinhalte werden verschlüsselt übermittelt und nicht für Trainingszwecke der KI-Modelle verwendet. Nach Verarbeitung werden keine Daten bei den Subprozessoren gespeichert.

7. Ihre Rechte nach der DSGVO

Als betroffene Person haben Sie umfassende Rechte bezüglich Ihrer personenbezogenen Daten:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, jederzeit unentgeltlich Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten, einschließlich Herkunft, Empfänger, Zweck und Speicherdauer.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder andere Rechtsgrundlagen der Löschung entgegenstehen.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn z.B. die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.

7.5 Recht auf Datenportabilität (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. Export-Funktionen werden in Kürze verfügbar sein.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einlegen.

7.7 Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

7.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer Daten zu beschweren.

7.9 Geltendmachung Ihrer Rechte

Zur Ausübung Ihrer Rechte kontaktieren Sie bitte unseren Datenschutzbeauftragten (siehe Abschnitt 12) oder die verantwortliche Stelle. Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

8. Zugriffskontrolle und Berechtigungsmanagement

8.1 Rollenbasiertes Berechtigungskonzept

Die Bubora-Plattform implementiert ein granulares Berechtigungssystem mit folgenden Benutzerrollen:

  • Super-Administrator – Vollständiger Zugriff auf alle Funktionen, Systemkonfiguration und Benutzerverwaltung
  • Administrator – Verwaltung von Benutzern, KI-Assistenten und Ressourcen innerhalb der Organisation
  • Mitglied – Zugriff auf zugewiesene Ressourcen und KI-Assistenten gemäß individueller Berechtigungen
  • Gast – Eingeschränkter Lesezugriff auf spezifisch freigegebene Ressourcen

8.2 Prinzip der minimalen Berechtigung

Jeder Nutzer erhält ausschließlich die Berechtigungen, die für die Ausübung seiner Tätigkeit erforderlich sind (Need-to-know-Prinzip). Administratoren können Berechtigungen jederzeit in den Systemeinstellungen anpassen.

8.3 Audit-Logging

Alle sicherheitsrelevanten Aktionen (Login, Berechtigungsänderungen, Datenzugriffe) werden protokolliert. Super-Administratoren können Audit-Logs einsehen. Logs werden 12 Monate aufbewahrt.

9. Datenweitergabe an Dritte

Grundsatz: Ihre personenbezogenen Daten werden nicht an Dritte weitergegeben, verkauft oder anderweitig offengelegt, außer in folgenden Fällen:

  • Einwilligung: Sie haben ausdrücklich in die Weitergabe eingewilligt
  • Vertragserfüllung: Die Weitergabe ist zur Erfüllung des Vertrags erforderlich (z.B. an Subprozessoren)
  • Rechtliche Verpflichtung: Eine gesetzliche oder behördliche Anordnung liegt vor
  • Berechtigte Interessen: Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

10. Internationale Datenübertragungen

Alle personenbezogenen Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert. Es erfolgen keine Übertragungen in Drittländer außerhalb der EU/des EWR. Sollte zukünftig eine Übermittlung in Drittländer erforderlich werden, erfolgt dies ausschließlich unter Einhaltung der gesetzlichen Anforderungen (z.B. EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse) und nach vorheriger Information.

11. Automatisierte Entscheidungsfindung und Profiling

Die Bubora-Plattform nutzt KI-gestützte Funktionen zur Unterstützung Ihrer Geschäftsprozesse. Es erfolgt keine rein automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die rechtliche Wirkung gegenüber Ihnen entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Alle wesentlichen Entscheidungen werden unter menschlicher Kontrolle getroffen. Ein systematisches Profiling zu Marketing- oder Bewertungszwecken findet nicht statt.

12. Kontakt zum Datenschutzbeauftragten

Bei Fragen zum Datenschutz, zur Geltendmachung Ihrer Rechte oder bei Datenschutzvorfällen kontaktieren Sie bitte unseren Datenschutzbeauftragten:

[Datenschutzbeauftragter Name]

E-Mail: [Datenschutzbeauftragter E-Mail]

Telefon: [Datenschutzbeauftragter Telefon]

13. Externe Websites und Dienste

Diese Datenschutzerklärung gilt ausschließlich für die Bubora-Plattform. Sollte die Plattform Links zu externen Websites oder Diensten Dritter enthalten, unterliegen diese den Datenschutzbestimmungen der jeweiligen Anbieter. Wir übernehmen keine Verantwortung für den Datenschutz auf fremden Websites.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung bei Bedarf anzupassen, um rechtlichen Anforderungen zu entsprechen oder Änderungen unserer Dienstleistungen abzubilden. Wesentliche Änderungen werden Ihnen mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Die fortgesetzte Nutzung der Plattform nach Inkrafttreten der Änderungen gilt als Zustimmung. Die aktuelle Version ist stets in Ihrem Account unter "Datenschutz" verfügbar.

15. Zuständige Aufsichtsbehörde

Für Beschwerden im Zusammenhang mit der Verarbeitung personenbezogener Daten ist folgende Aufsichtsbehörde zuständig:

Die Landesbeauftragte für den Datenschutz Niedersachsen

Prinzenstraße 5

30159 Hannover

Telefon: +49 (0)511 120-4500

Fax: +49 (0)511 120-4599

E-Mail: poststelle@lfd.niedersachsen.de

Website: www.lfd.niedersachsen.de