banf24Zur Startseite

Datenschutzerklärung

Stand: 12. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze für die Verarbeitung personenbezogener Daten auf dieser Website und im Banf24-Service ist:

StartklarWeb
Inhaber: Hasan Mohsen
Brucknerstraße 12
46325 Borken
Deutschland
Telefon: +49 1514 4908231
E-Mail für Datenschutzanfragen: dsgvo@banf24.de

Banf24 richtet sich ausschließlich an gewerbliche Kunden (B2B). Für personenbezogene Daten, die im Auftrag eines Mandanten verarbeitet werden, ist der jeweilige Mandant datenschutzrechtlich Verantwortlicher im Sinne der DSGVO. StartklarWeb ist insoweit Auftragsverarbeiter gemäß Art. 28 DSGVO.

2. Welche Daten wir verarbeiten

Im Rahmen des Banf24-Service werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Account- und Profildaten: Name, geschäftliche E-Mail-Adresse, Rolle innerhalb der Organisation, Passwort-Hash, Zwei-Faktor-Status.
  • Mandantendaten: Firmenname, Geschäftsadresse, ausgewählter Tarif, Plan-Limits, Einstellungen für Genehmigungsregeln.
  • Nutzungsdaten: angelegte Bedarfsanforderungen, Bestellungen, Rechnungen, Lieferantenstammdaten, Katalog-Einträge, hochgeladene Anhänge (PDFs, Fotos), Genehmigungs-Verläufe, Audit-Log-Einträge.
  • Kommunikationsdaten: Inhalte von E-Mails, die über den Service versendet werden (Genehmigungs-Anfragen, Bestell-Mails).
  • Technische Daten und Server-Logs: IP-Adresse, Browser- und Geräte-Informationen, Zeitpunkt des Zugriffs, aufgerufene Ressourcen, Login-Zeiten, Session-Identifier.
  • Optional bei Einwilligung: pseudonymisierte Nutzungsstatistiken zur Reichweitenmessung und Fehler-Telemetrie.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu den folgenden Zwecken:

  • Bereitstellung und Erfüllung des Vertrags über die Nutzung von Banf24, insbesondere Anmeldung, Authentifizierung, Mandantenverwaltung, Abwicklung des BANF-Workflows, Versand von Transaktions-E-Mails, Rechnungsstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Gewährleistung der IT-Sicherheit, Missbrauchserkennung, Fehleranalyse und Verbesserung des Service. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und sicheren Betrieb).
  • Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten (insbesondere HGB, AO). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
  • Reichweitenmessung und Fehler-Telemetrie auf Basis einer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerruflich.

4. Hosting und Sub-Auftragsverarbeiter

Für den Betrieb von Banf24 setzen wir technische Dienstleister ein, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für uns tätig sind. Mit allen Anbietern bestehen oder werden Auftragsverarbeitungsverträge abgeschlossen. Für Anbieter außerhalb der EU bestehen geeignete Garantien nach Kapitel V DSGVO, insbesondere Standardvertragsklauseln (SCC) sowie zusätzliche technische und organisatorische Maßnahmen. Der vollständige Auftragsverarbeitungsvertrag (AVV) steht öffentlich zur Einsicht und gilt mit Annahme der AGB als abgeschlossen.

  • Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA - Hosting der Webanwendung, Edge- und Serverless-Funktionen, AI Gateway, Datei-Speicher (Vercel Blob) sowie optionale Reichweitenmessung (Vercel Analytics). Serverstandort der Anwendung: Frankfurt am Main (Region fra1). Auftragsverarbeitungsvertrag unter vercel.com/legal/dpa.
  • Neon, Inc., 209 Havenhurst Drive, Los Angeles, CA 90048, USA - verwalteter PostgreSQL-Datenbankdienst. Serverstandort: Frankfurt am Main.
  • Clerk, Inc., 660 King Street, Unit 345, San Francisco, CA 94107, USA - Authentifizierung, Sitzungsverwaltung, Multi-Tenant-Organisationen.
  • Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA - Versand von Transaktions-E-Mails (Genehmigungs-Anfragen, Bestell-Mails, Magic-Link für Externe).
  • Vercel AI Gateway (Vercel Inc.) mit angeschlossenen Modell-Anbietern wie Anthropic PBC und OpenAI OpCo, LLC - Verarbeitung von KI-Anfragen für Chat-Intake, PDF-Erkennung, Foto-Erkennung und Genehmiger-Vorschläge. Datenverarbeitung erfolgt je nach gewähltem Modell in der EU oder den USA. Näheres siehe Abschnitt 5.
  • Functional Software, Inc. (Sentry), 45 Fremont Street, San Francisco, CA 94105, USA - Fehler-Telemetrie. Aktuell deaktiviert und kann bei Bedarf nachträglich aktiviert werden.
  • Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA - ausschließlich als DNS-Provider (Auflösung der Domain banf24.de). Keine Proxy-Funktion, kein Reverse-Proxy-Caching, keine Verarbeitung von Nutzerdaten durch Cloudflare.

5. Verarbeitung durch KI-Funktionen

Banf24 bietet KI-gestützte Funktionen an, mit denen Bedarfe schneller erfasst werden können. Dazu zählen die Texterkennung aus Angebots-PDFs, die Bild-Erkennung aus Fotos von Materialien sowie ein Chat-Assistent zur Bedarfserfassung und Vorschläge für passende Genehmiger.

Diese Funktionen werden über das Vercel AI Gateway abgewickelt. Dabei werden die für die jeweilige Anfrage erforderlichen Inhalte (eingegebene Texte, hochgeladene PDFs, hochgeladene Bilder) an einen nachgelagerten Modell-Anbieter wie Anthropic oder OpenAI übermittelt und dort verarbeitet. Die Auswahl des Modells und damit auch der Verarbeitungsort (EU oder USA) ergibt sich aus der intern gewählten Modell-Konfiguration.

Mit den eingesetzten Modell-Anbietern bestehen Vereinbarungen, die eine Verwendung der übermittelten Daten zu Trainingszwecken ausschließen (Zero Data Retention für Banf24-Traffic). Eingaben werden nicht zur Verbesserung der Modelle weiterverwendet und werden nach Abschluss der jeweiligen Anfrage gelöscht beziehungsweise nur für einen kurzen Zeitraum zu Missbrauchs- und Sicherheitszwecken aufbewahrt.

Für Übermittlungen in die USA stützen wir uns auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Sofern ein Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, gilt dieser Beschluss zusätzlich als geeignete Garantie nach Art. 45 DSGVO.

Wenn Sie nicht möchten, dass bestimmte Inhalte durch KI verarbeitet werden, nutzen Sie bitte die klassische Bedarfserfassung über das Formular ohne Datei- oder Foto-Upload.

6. Cookies und ähnliche Technologien

Wir setzen technisch notwendige Cookies ein, die für den Betrieb des Service erforderlich sind. Dazu zählen die Sitzungs-Cookies der Authentifizierung, ein Cookie für den Status der Einwilligung in optionale Cookies sowie ein Cookie für die Spracheinstellung. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.

Optionale Cookies und Messverfahren (Reichweitenmessung, Fehler-Telemetrie) werden ausschließlich nach vorheriger ausdrücklicher Einwilligung (§ 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO) gesetzt. Die Einwilligung lässt sich jederzeit über die Einstellungen widerrufen.

7. Aufbewahrungsfristen

  • Bedarfsanforderungen, Bestellungen und Rechnungen sowie damit verbundene Belege: 10 Jahre nach Ablauf des Kalenderjahres, in dem der Vorgang abgeschlossen wurde (§ 257 HGB, § 147 AO).
  • Audit-Log und Vorgangshistorie: 6 Jahre nach Ablauf des Kalenderjahres, in dem der Vorgang abgeschlossen wurde (§ 257 HGB).
  • Account- und Profildaten: bis zur Löschung des Accounts durch den Mandanten oder bis zum Ende der vertraglichen Beziehung, anschließend Karenzzeit gemäß AGB und Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Server- und Zugriffs-Logs: in der Regel 90 Tage, danach automatische Löschung beziehungsweise Anonymisierung.
  • Daten aus optionaler Reichweitenmessung: pseudonymisiert, längstens 25 Monate nach Erhebung.

8. Empfänger und Drittlandsübermittlung

Eine Übermittlung personenbezogener Daten an Empfänger außerhalb der Europäischen Union erfolgt im Wesentlichen im Rahmen der Nutzung der unter Ziffer 4 genannten US-Anbieter sowie der unter Ziffer 5 beschriebenen KI-Funktionen. Für diese Übermittlungen schließen wir Standardvertragsklauseln der EU-Kommission ab und ergänzen sie um technische und organisatorische Maßnahmen wie Transportverschlüsselung, Zugriffsbeschränkungen und Zweckbindung.

9. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt ist
  • Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)

Anfragen zu diesen Rechten richten Sie bitte an dsgvo@banf24.de. Wir bearbeiten Anfragen ohne unangemessene Verzögerung, in der Regel innerhalb eines Monats nach Eingang.

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Zuständige Aufsichtsbehörde für StartklarWeb ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Web: www.ldi.nrw.de

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Anforderungen oder bei Änderungen unseres Service anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.

Impressum · AGB