ENTWURF — vor Verkaufsstart juristisch prüfen lassen. Dieses Dokument ist nicht final und darf in dieser Form nicht als verbindlicher Rechtstext veröffentlicht werden.

Datenschutzerklärung für sphyr

Mit dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13 und Art. 14 Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten beim Besuch der Website sphyr.de, bei der Registrierung und bei der Nutzung der Software-as-a-Service-Plattform sphyr (sphyr.cloud).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Carbacan GmbH
Reuterweg 14
61267 Neu-Anspach
Deutschland
Telefon: +49 (0) 6081 965438-0
E-Mail: mail@carbacan.com

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen für eine Benennungspflicht (Art. 37 DSGVO, § 38 BDSG) derzeit nicht vorliegen.

2. Rollenverteilung: Verantwortlicher und Auftragsverarbeiter

Bei der Nutzung der sphyr-Plattform ist zu unterscheiden:

3. Hosting und Infrastruktur (Hetzner, Deutschland)

Die gesamte sphyr-Plattform wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, in Rechenzentren in Deutschland betrieben. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Jeder Kunde erhält eine eigene, logisch isolierte Instanz (eigene Datenbank, eigener Anwendungs-Stack, eigene Zugangs-Geheimnisse).

Beim Aufruf unserer Website und der Plattform verarbeiten wir technisch notwendige Server-Logdaten (IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL, übertragene Datenmenge, Browser-Kennung). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb des Dienstes sowie der Abwehr von Angriffen. Logdaten werden nach spätestens 14 Tagen gelöscht oder anonymisiert.

4. Cookies und LocalStorage

Wir setzen nur technisch notwendige Cookies und Einträge im LocalStorage Ihres Browsers ein (insbesondere Sitzungs- und Anmelde-Token für den Login in Ihre sphyr-Instanz). Diese sind für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); eine Einwilligung ist hierfür nicht erforderlich. Wir setzen keine Tracking- oder Marketing-Cookies und keine Analyse-Dienste Dritter ein.

5. Registrierung, Vertragsdurchführung und Kundenkonto

Bei der Registrierung und Bestellung verarbeiten wir die von Ihnen angegebenen Daten (Firma, Name der Ansprechperson, E-Mail-Adresse, gewählte Subdomain, gebuchtes Paket, Umsatzsteuer-Identifikationsnummer, Rechnungsanschrift) zur Begründung und Durchführung des Vertrags. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Ohne diese Daten kann der Vertrag nicht geschlossen werden. Abrechnungsrelevante Daten bewahren wir nach Maßgabe der handels- und steuerrechtlichen Pflichten (§ 257 HGB, § 147 AO) bis zu zehn Jahre auf (Art. 6 Abs. 1 lit. c DSGVO).

6. Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe“). Beim Checkout werden Zahlungsdaten (z. B. Karteninformationen, Rechnungsadresse, E-Mail-Adresse, Umsatzsteuer-Identifikationsnummer) direkt durch Stripe erhoben und verarbeitet; wir selbst speichern keine vollständigen Zahlungsdaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Stripe kann personenbezogene Daten an die Muttergesellschaft Stripe, Inc. in die USA und an weitere Konzerngesellschaften in Drittländern übermitteln. Für solche Drittlandtransfers stützt sich Stripe auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework sowie ergänzend auf EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: stripe.com/de/privacy.

7. Banking-Schnittstelle (finAPI) — nur bei gebuchtem Buchhaltungs-Funktionsumfang

Wenn Sie in Ihrer sphyr-Instanz die Bankanbindung aktiv nutzen, erfolgt der Abruf von Kontoinformationen über die finAPI GmbH, Adams-Lehmann-Straße 44, 80797 München, Deutschland. finAPI ist ein Unternehmen der SCHUFA-Gruppe und verfügt über eine Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als Kontoinformations- und Zahlungsauslösedienst nach dem Zahlungsdiensteaufsichtsgesetz (ZAG, Umsetzung der PSD2).

Die Verknüpfung eines Bankkontos erfolgt ausschließlich auf Veranlassung des Nutzers; dabei werden Bankverbindungs- und Umsatzdaten (Kontonummer/IBAN, Buchungen, Salden) verarbeitet. Soweit wir diese Daten im Auftrag unserer Kunden verarbeiten, geschieht dies auf Grundlage des AVV (Art. 28 DSGVO); im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Eine Verarbeitung findet in Deutschland statt. Weitere Informationen: finapi.io/datenschutz.

8. E-Mail-Versand

Transaktionale E-Mails (z. B. Zugangsdaten, Rechnungs- und Systembenachrichtigungen) versenden wir über eine eigene Mail-Infrastruktur auf Servern in Deutschland (Hosting: Hetzner, siehe Ziffer 3). Eine Weitergabe an externe E-Mail-Marketing-Dienstleister findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

9. KI-Funktionen auf eigener Infrastruktur

Soweit Ihr gebuchtes Paket KI-gestützte Funktionen enthält (z. B. Assistenz- und Auswertungsfunktionen), werden diese auf eigener, von der Carbacan GmbH betriebener Infrastruktur auf Servern in Deutschland ausgeführt. Es findet keine Übermittlung von Inhalten an externe KI-Anbieter und keine Verarbeitung in Drittländern statt. Eingaben werden nicht zum Training von Modellen verwendet. Soweit dabei personenbezogene Daten aus Kundeninstanzen verarbeitet werden, erfolgt dies als Auftragsverarbeitung nach Art. 28 DSGVO auf Weisung des Kunden.

10. Kontaktaufnahme und Support

Bei Kontaktaufnahme per E-Mail oder über den Support verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage (Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO). Anfragen und zugehörige Korrespondenz löschen wir, sobald sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein:

Eine Übermittlung an sonstige Dritte erfolgt nur, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Pflicht besteht oder Sie eingewilligt haben.

12. Speicherdauer

13. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Hinweis: Soweit wir Daten als Auftragsverarbeiter für unsere Kunden verarbeiten (Ziffer 2), richten Sie Ihre Anfrage bitte an den jeweiligen Kunden als Verantwortlichen; wir unterstützen diesen bei der Beantwortung.

14. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Gustav-Stresemann-Ring 1, 65189 Wiesbaden.

15. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

16. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich die Datenverarbeitung oder die Rechtslage ändert. Es gilt die jeweils auf sphyr.de veröffentlichte Fassung.

Stand: 12. Juni 2026 (ENTWURF)