← Ares
DE/EN

Datenschutzerklärung

Datenschutzerklärung — Areti Core

Stand: 2026-04-15 Version: 1.0

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten im Zusammenhang mit Areti Core, der von der ARETI GmbH betriebenen Customer-Relationship-Management- und Vertriebsplattform.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die auf dieser Website und in Areti Core verarbeiteten personenbezogenen Daten ist:

ARETI GmbH Saarstraße 7, 80797 München Deutschland

Geschäftsführer: Philippe Sünram Handelsregister: Amtsgericht München, HRB 248858 USt-IdNr.: DE323997805

Telefon: +49 89 215 368 590 E-Mail: datenschutz@areti.de Website: https://reticor.io

Areti Core ist unter der kanonischen Basisdomain reticor.io erreichbar. Jeder Kunden-Workspace wird über eine Tenant-Subdomain in der Form {workspace-slug}.reticor.io ausgeliefert (z.B. acme.reticor.io). Kunden können zusätzlich eine eigene Custom Domain auf ihren Workspace zeigen lassen (z.B. app.areti.de, die Custom Domain, die die ARETI GmbH für ihren eigenen internen Workspace nutzt). Unabhängig davon, über welche URL die Anwendung aufgerufen wird, gelten die nachfolgend beschriebenen Hosting-, Verarbeitungs- und Speicherprozesse identisch.

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist für die ARETI GmbH derzeit nicht verpflichtend bestellt. Für datenschutzrechtliche Anfragen wenden Sie sich bitte direkt an datenschutz@areti.de.

3. Geltungsbereich dieser Erklärung

Diese Datenschutzerklärung gilt für:

  • die Nutzung der Webanwendung Areti Core unter https://reticor.io, sämtlicher Tenant-Subdomains ({slug}.reticor.io) und jeder vom Kunden konfigurierten Custom Domain
  • die Nutzung der Areti-Core-Integration mit dem Zoom App Marketplace
  • alle von der ARETI GmbH betriebenen APIs, Edge Functions, Webhooks und Support-Kanäle
  • die Kontaktaufnahme per E-Mail oder Telefon mit der ARETI GmbH

Nicht von dieser Erklärung erfasst sind Drittdienste, auf die innerhalb oder außerhalb von Areti Core zugegriffen werden kann (z.B. Zoom, ClickUp, E-Mail-Anbieter). Für diese Dienste gelten die jeweiligen Datenschutzerklärungen der Anbieter.

4. Allgemeines zur Datenverarbeitung

4.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unseres Produkts sowie zur Durchführung unserer vertraglichen Pflichten erforderlich ist. Die Verarbeitung erfolgt nach Einwilligung oder auf Basis einer gesetzlichen Erlaubnis.

4.2 Rechtsgrundlagen

Soweit wir für Verarbeitungen eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei Verarbeitungen, die zur Erfüllung eines Vertrags erforderlich sind, dessen Vertragspartei Sie sind, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für vorvertragliche Maßnahmen.

Soweit eine rechtliche Verpflichtung unser Unternehmen zur Verarbeitung zwingt (z.B. steuerrechtliche Aufbewahrungspflichten), ist Art. 6 Abs. 1 lit. c DSGVO die Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses der ARETI GmbH oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, es besteht eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung.

5. Hosting und Infrastruktur

Areti Core wird vollständig innerhalb der Europäischen Union betrieben. Wir nutzen folgende Infrastruktur-Dienstleister als Auftragsverarbeiter im Sinne des Art. 28 DSGVO:

5.1 Vercel (Hosting der Webanwendung)

Die Webanwendung (erreichbar unter reticor.io, allen {slug}.reticor.io Tenant-Subdomains und jeglichen konfigurierten Custom Domains) wird von Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, in deren Frankfurter Edge-Region (fra1) betrieben. Vercel ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Zusätzlich haben wir mit Vercel einen Auftragsverarbeitungsvertrag (Data Processing Addendum) auf Basis der EU-Standardvertragsklauseln abgeschlossen.

  • Datenarten: IP-Adresse, User-Agent, HTTP-Request-Metadaten, statische Assets
  • Zweck: Auslieferung der Webanwendung, CDN, DDoS-Schutz, Deployment-Management
  • Speicherort: Serverstandorte in der EU (Frankfurt)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und effizienten Bereitstellung der Anwendung)
  • Datenschutzerklärung: https://vercel.com/legal/privacy-policy

5.2 Supabase (Datenbank, Authentifizierung, Storage, Edge Functions)

Die zentrale Datenspeicherung, Benutzerauthentifizierung, Dateispeicherung und serverseitige Logik von Areti Core werden von Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992, auf Infrastruktur von Amazon Web Services in der Region eu-west-1 (Irland) bereitgestellt. Mit Supabase haben wir einen Auftragsverarbeitungsvertrag auf Basis der EU-Standardvertragsklauseln abgeschlossen.

  • Datenarten: sämtliche von Ihnen in Areti Core eingegebenen Daten, einschließlich Kontaktdaten, Leads, Kunden, Termine, Angebote, Rechnungen, Aktivitäten, Dokumente, Authentifizierungsdaten, OAuth-Tokens für verbundene Integrationen
  • Zweck: Bereitstellung der Kernfunktionalität von Areti Core
  • Speicherort: Rechenzentren in Irland (eu-west-1)
  • Verschlüsselung: Daten werden at-rest mit AES-256 verschlüsselt, in-transit mit TLS 1.2 oder höher gesichert
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Datenschutzerklärung: https://supabase.com/privacy

5.3 Amazon Web Services (Grundinfrastruktur)

Die physische Infrastruktur, auf der Supabase betrieben wird, stellt Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg, in der Region eu-west-1 (Irland) bereit. Die vertragliche Beziehung besteht zwischen uns und Supabase; AWS ist unser Unter-Auftragsverarbeiter. AWS bietet vertragliche Zusicherungen auf Basis der EU-Standardvertragsklauseln für den Fall, dass technische Zugriffe aus Drittländern (insbesondere den USA) erfolgen müssten.

6. Datenverarbeitung beim Besuch der Website

6.1 Server-Log-Files

Beim Aufruf von reticor.io, einer Tenant-Subdomain ({slug}.reticor.io) oder einer konfigurierten Custom Domain erfasst unser Hosting-Anbieter Vercel automatisch Daten und Informationen, die Ihr Browser übermittelt. Folgende Daten werden dabei erhoben:

  • IP-Adresse (gekürzt und nach wenigen Tagen anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL
  • HTTP-Statuscode
  • übertragene Datenmenge
  • Referrer-URL
  • verwendeter Browser (User-Agent)
  • Betriebssystem und Oberfläche

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Bereitstellung der Website, der Gewährleistung der Systemsicherheit und der Fehleranalyse. Die Daten werden getrennt von anderen personenbezogenen Daten gespeichert und nach 30 Tagen automatisch gelöscht.

6.2 Cookies und lokaler Speicher

Areti Core verwendet ausschließlich technisch notwendige Cookies und Browser-Speicher (localStorage, sessionStorage, IndexedDB), die für den Betrieb der Webanwendung zwingend erforderlich sind. Dazu gehören:

  • Session-Cookies für die Authentifizierung
  • lokaler Speicher für Benutzerpräferenzen und Offline-Caching von CRM-Daten (IndexedDB)
  • temporäre Speicherwerte für den Anwendungszustand

Diese Verarbeitung erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO und erfordert keine Einwilligung, da sie unbedingt erforderlich ist, damit wir den vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen können.

Tracking-Cookies, Werbe-Cookies oder Analyse-Cookies, die eine Einwilligung erfordern würden, werden nicht eingesetzt.

6.3 Eingebundene externe Ressourcen (CDN)

Zur effizienten Bereitstellung der Anwendung binden wir statische Skripte und Schriftarten von folgenden Content Delivery Networks ein. Diese sind für die Funktion der Anwendung notwendig; es werden keine Tracking- oder Profildaten erhoben, jedoch werden IP-Adressen an die Anbieter übertragen.

DienstAnbieterZweck
jsDelivrjsDelivr / Prospect One, PolenSupabase JS Client
cdnjsCloudflare, Inc., USAjsPDF, html2canvas, PDF.js
SheetJS CDNSheetJS LLC, USAExcel-Export-Bibliothek
Google FontsGoogle Ireland Ltd., IrlandSchriftarten (selbst gehostet, kein Tracking)
DuckDuckGo IconsDuckDuckGo Inc., USAFavicon-Lookup für Lead-Quellen
OpenStreetMap NominatimOpenStreetMap Foundation, UKAdress-Geocoding für Leads

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem, schnellem Laden der Anwendung und Vermeidung doppelter Hosting-Kosten).

6.4 TLS-Verschlüsselung

Die Website verwendet aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine durchgehende TLS-Verschlüsselung (Transport Layer Security, Version 1.2 oder höher). Sie erkennen eine verschlüsselte Verbindung an der Zeichenfolge "https://" und dem Schloss-Symbol in Ihrer Browserzeile.

7. Datenverarbeitung bei der Nutzung von Areti Core

7.1 Registrierung und Benutzerkonten

Für die Nutzung von Areti Core legen wir ein Benutzerkonto an. Hierzu verarbeiten wir folgende Daten:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Rolle innerhalb des Workspaces (z.B. Administrator, Vertriebsmitarbeiter)
  • Passwort (ausschließlich als bcrypt/argon2-Hash, nicht im Klartext)
  • optional: Profilbild, Telefonnummer, Unterschriften-Bild
  • Zeitstempel der Registrierung, letzten Anmeldung und Passwortänderung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen und Vertragserfüllung).

7.2 Customer-Relationship-Management-Daten (Auftragsverarbeitung)

Als CRM-Plattform verarbeitet Areti Core im Auftrag der Kundenunternehmen personenbezogene Daten der Leads, Kontakte und Kunden der jeweiligen Kundenunternehmen. Die ARETI GmbH handelt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO für das jeweilige Kundenunternehmen.

Die Grundlage für diese Auftragsverarbeitung bildet ein zwischen der ARETI GmbH und dem Kundenunternehmen abgeschlossener Auftragsverarbeitungsvertrag (AVV). Der Kunde als Verantwortlicher ist für die Zulässigkeit der Erhebung und Verwendung dieser Daten verantwortlich.

Eine Mustervorlage unseres AVV stellen wir auf Anfrage unter datenschutz@areti.de zur Verfügung.

7.3 Zoom-Integration

Wenn der Administrator eines Areti-Workspaces die Zoom-Integration aktiviert, verarbeiten wir die folgenden personenbezogenen Daten des verbindenden Zoom-Nutzers:

Kategorien der verarbeiteten Daten:

  • OAuth Access Token und Refresh Token (von Zoom ausgestellt)
  • Zoom-Benutzer-ID
  • Zoom-E-Mail-Adresse
  • Anzeigename
  • Zeitpunkt der Verbindung
  • Ablaufzeitpunkt der Tokens
  • vom Nutzer gewählte Verbindungseinstellungen (z.B. Auto-Recording, Join-Before-Host, Use-PMI)

Zweck: Automatische Erstellung, Aktualisierung und Löschung von Zoom-Meetings im Namen des verbundenen Nutzers, wenn innerhalb von Areti Core Termine gebucht, verschoben oder gelöscht werden.

Zusätzlich verarbeitete Meeting-Metadaten (pro erstelltem Meeting):

  • Meeting-ID
  • Join-URL
  • Start-URL
  • Meeting-Passwort

Diese Meeting-Metadaten werden beim zugehörigen Termin-Datensatz in Areti Core gespeichert und bleiben dort bis zur Löschung des Termins oder des übergeordneten Leads.

Nicht verarbeitete Daten: Wir verarbeiten ausdrücklich keine Meeting-Inhalte, keine Audio- oder Videoaufnahmen, keine Transkripte, keine Teilnehmerlisten, keine Chat-Nachrichten und keine sonstigen Inhalte, die während oder nach einem Zoom-Meeting entstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie, soweit Einwilligungen einzelner Zoom-Nutzer erforderlich sind, Art. 6 Abs. 1 lit. a DSGVO (der Nutzer erteilt die Einwilligung beim OAuth-Consent-Fluss von Zoom).

Speicherdauer: Zoom OAuth-Tokens und Identitätsdaten werden gelöscht, sobald

  • ein Administrator in Areti Core die Zoom-Verbindung trennt, oder
  • der Nutzer die Areti-Core-App in seinen Zoom-Einstellungen deinstalliert (Zoom sendet daraufhin eine Deauthorization-Notification an unsere Edge Function zoom-oauth/deauthorize, die die Tokens unverzüglich entfernt).

Datenübermittlung in Drittländer: Zoom Video Communications, Inc. hat seinen Hauptsitz in den USA. Die Übermittlung personenbezogener Daten an Zoom erfolgt auf Grundlage von Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln) in Verbindung mit dem EU-U.S. Data Privacy Framework, für das Zoom eine gültige Zertifizierung besitzt.

Details zu den angeforderten Zoom-Berechtigungen (Scopes) und zur Funktionsweise der Integration finden Sie in unserer Zoom-Integrationsdokumentation.

7.4 ClickUp-Integration

Einige Kundenunternehmen, die Areti Core nutzen, haben ihre CRM-Daten historisch in ClickUp (Mango Technologies, Inc., 350 Tenth Avenue, Suite 1400, San Diego, CA 92101, USA) gespeichert. Diese Kunden können weiterhin ClickUp als Datenquelle nutzen; Areti Core stellt in diesem Fall als Middleware die Verbindung zwischen Frontend und ClickUp-API her.

Datenarten: Leads, Kontakte, Termine, Aktivitäten, Anhänge und alle weiteren Daten, die im ClickUp-Workspace des Kunden gespeichert sind und über Areti Core angezeigt oder bearbeitet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenübermittlung in Drittländer: ClickUp-Daten werden auf Infrastruktur in den USA gespeichert. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln. Kundenunternehmen, die eine ausschließlich EU-basierte Verarbeitung wünschen, können den Datenbank-Backend ihrer Workspaces auf Supabase (EU) umstellen; wir unterstützen Sie auf Anfrage bei einer Migration.

Speicherdauer: Die Speicherung erfolgt in ClickUp für die gesamte Vertragsdauer und gemäß den Löschrichtlinien des Kunden-Workspaces.

Datenschutzerklärung ClickUp: https://clickup.com/terms/privacy-policy

7.5 Make.com (Workflow-Automatisierung)

Für bestimmte Workflows — insbesondere den Versand transaktionaler E-Mails (Terminbestätigungen, Angebotsversand, Erinnerungen), die elektronische Signatur von Dokumenten sowie Intake-Webhooks für eingehende Leads — setzen wir Make.com (Celonis Operations GmbH), Theresienhöhe 11a, 80339 München, Deutschland, als Auftragsverarbeiter ein.

Datenarten: Empfänger-E-Mail-Adresse, Empfänger-Name, E-Mail-Inhalt (inkl. personalisierter Template-Variablen), Anhänge (z.B. Angebots-PDFs), Webhook-Payloads von eingehenden Lead-Quellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherort: EU-Rechenzentren von Make.com (Celonis).

Datenschutzerklärung: https://www.make.com/en/privacy-notice

7.6 Unipile (E-Mail- und Kalender-Integration)

Für die optionale Integration persönlicher E-Mail-Postfächer und Kalender der Vertriebsmitarbeiter mit Areti Core nutzen wir Unipile SAS, 22 rue Claude Tillier, 75012 Paris, Frankreich. Unipile stellt eine einheitliche API für E-Mail- und Kalender-Anbieter (Google, Microsoft, iCloud, IMAP) bereit.

Datenarten: OAuth-Tokens für E-Mail-Konten und Kalender, Metadaten eingehender und ausgehender E-Mails, Kalendereinträge mit Titel, Zeit, Teilnehmern und Beschreibung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Verbinden des jeweiligen Kontos) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherort: EU-Rechenzentren.

Datenschutzerklärung: https://www.unipile.com/privacy-policy/

7.7 OpenAI (Lead-Anreicherung)

Für die optionale Funktion "Daten-Anreicherung" (Anreicherung von Lead-Daten durch Web-Crawling und KI-gestützte Analyse) übertragen wir die vom Nutzer angegebene Unternehmens-URL sowie extrahierte Textinhalte der Unternehmens-Website an OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland.

Datenarten: Unternehmens-URL, Textinhalte öffentlich zugänglicher Webseiten. Es werden keine personenbezogenen Daten aus der Areti-Datenbank (Lead-Namen, E-Mail-Adressen etc.) an OpenAI übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Lead-Qualifizierung).

Speicherort: EU-Irland. OpenAI Ireland Ltd. ist Vertragspartner für alle EU-Kunden. OpenAI nutzt über API übermittelte Daten nicht zum Training ihrer Modelle (Zero-Data-Retention-Modus).

Datenschutzerklärung: https://openai.com/policies/privacy-policy/

7.8 E-Signatur-Dienste

Für die elektronische Unterzeichnung von Angeboten und Verträgen bietet Areti Core eine Integration mit einem externen E-Signatur-Dienstleister. Der konkrete Dienstleister wird pro Kundenunternehmen konfiguriert. Übliche Dienstleister sind DocuSign, yousign oder vergleichbare Anbieter.

Datenarten: Dokumente (PDF) mit ihren jeweiligen Inhalten, Empfänger-Namen und E-Mail-Adressen, Unterschriften-Metadaten (IP-Adresse, Zeitstempel der Unterschrift).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. -anbahnung).

Die konkrete Datenschutzerklärung des jeweils konfigurierten E-Signatur-Dienstleisters wird Ihrem Kundenunternehmen auf Anfrage mitgeteilt.

7.9 Supabase Storage (Datei-Anhänge)

Dateien, die Sie in Areti Core hochladen — etwa Anhänge zu Leads, Profilbilder, Unterschriften-Bilder, Logos oder Bilder in Angeboten und E-Mail-Templates — werden in Supabase Storage auf der gleichen EU-Infrastruktur gespeichert wie die Datenbank (siehe Abschnitt 5.2).

Speicherdauer: solange der zugehörige Datensatz besteht. Beim Löschen eines Datensatzes (z.B. eines Angebots oder eines Termins) werden die zugehörigen Dateien automatisch im Rahmen der Garbage Collection entfernt.

8. Kontaktaufnahme

Bei der Kontaktaufnahme per E-Mail, Telefon oder über ein Kontaktformular werden die freiwillig mitgeteilten Angaben des Nutzers zum Zweck der Bearbeitung der Anfrage gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen) beziehungsweise Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage auf den Abschluss eines Vertrags gerichtet ist.

Ihre Daten werden gelöscht, nachdem Ihre Anfrage abschließend bearbeitet wurde und keine gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen.

9. Ihre Rechte als betroffene Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber der ARETI GmbH zu:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können von uns eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von uns Auskunft über die in Art. 15 Abs. 1 DSGVO genannten Informationen verlangen, insbesondere die Verarbeitungszwecke, die Kategorien verarbeiteter Daten, die Empfänger, die geplante Speicherdauer und das Bestehen eines Beschwerderechts.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber uns, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft und keine gesetzliche Aufbewahrungspflicht entgegensteht.

9.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen.

9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Widerspruch gegen Direktwerbung: Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für die ARETI GmbH zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach Deutschland

Telefon: +49 981 180093-0 E-Mail: poststelle@lda.bayern.de Website: https://www.lda.bayern.de

9.9 Geltendmachung Ihrer Rechte

Zur Geltendmachung aller vorgenannten Rechte wenden Sie sich bitte an:

ARETI GmbH datenschutz@areti.de Saarstraße 7, 80797 München

Wir werden Ihre Anfrage nach Erhalt prüfen und Ihnen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, Informationen über die ergriffenen Maßnahmen zur Verfügung stellen. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

10. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Areti Core nutzt keine Algorithmen, die rechtliche Wirkungen gegenüber Betroffenen entfalten oder Betroffene in ähnlich erheblicher Weise beeinträchtigen.

11. Datensicherheit

Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

Konkrete Maßnahmen umfassen unter anderem:

  • TLS 1.2 oder höher für alle Datenübertragungen
  • AES-256-Verschlüsselung der Daten im Ruhezustand
  • Row-Level-Security in der Datenbank zur strikten Mandantentrennung
  • Speicherung von OAuth-Tokens ausschließlich serverseitig, niemals im Browser
  • HMAC-SHA256-signierte State-Parameter zur CSRF-Abwehr in OAuth-Flows
  • regelmäßige Sicherheits-Reviews und Aktualisierung aller Abhängigkeiten
  • Zugriff auf Produktions-Systeme ausschließlich für autorisiertes Personal
  • Incident-Response-Prozess mit Meldepflichten nach Art. 33 DSGVO

12. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR findet im Regelbetrieb nicht statt, mit Ausnahme der in Abschnitt 7 genannten Fälle (Zoom, ClickUp, ggf. OpenAI bei Nutzung der US-API). In diesen Fällen erfolgt die Übermittlung ausschließlich auf Grundlage der in Art. 44 ff. DSGVO vorgesehenen Mechanismen, insbesondere der Standardvertragsklauseln der EU-Kommission und, soweit einschlägig, des EU-U.S. Data Privacy Framework.

13. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Wesentliche Änderungen werden den Administratoren der Kundenunternehmen mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt.

14. Kontakt zum Verantwortlichen

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zum Abruf unseres Auftragsverarbeitungsvertrags wenden Sie sich bitte an:

ARETI GmbH Saarstraße 7, 80797 München Deutschland

E-Mail: datenschutz@areti.de Telefon: +49 89 215 368 590

DatenschutzAGBImpressumSupportDocs