Datenschutzinformationen für Kunden, Interessenten, Ansprechpartner, Lieferanten, Anrufer und Bewerber

Sie befinden sich hier:
  1. Start
  2. Datenschutzinformationen für Kunden, Interessenten, Ansprechpartner, Lieferanten, Anrufer und Bewerber

Stand: 28. April 2026

Diese Datenschutzerklärung ergänzt die Datenschutzinformationen für Besucher unserer Webseite (https://hirt-edv.de/datenschutzerklaerung-webseitenbesucher/) und beschreibt, wie wir personenbezogene Daten im Rahmen unserer Geschäftsbeziehungen verarbeiten.

1. Verantwortlichkeit, Datenschutzbeauftragte, Aufsichtsbehörde

HIRT-EDV
Inhaber: Thorsten Hirt
Steigerfurtweg 34, 97084 Würzburg
Telefon: 0931 – 61 94 96 11
Fax: 0931 – 61 94 96 12
E-Mail: info@hirt-edv.de

Datenschutzbeauftragte:
Franziska Hirt
E-Mail: datenschutz@hirt-edv.de

Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

2. Geltungsbereich dieser Erklärung

Diese Datenschutzerklärung richtet sich an alle Personen, mit denen wir außerhalb unserer Webseite in Kontakt stehen. Sie gilt insbesondere für:

  • Kunden (einzelkaufmännisch oder über Unternehmen, die wir betreuen)
  • Interessenten, die Angebote anfordern oder mit uns in Verhandlungen stehen
  • Ansprechpartner und Beschäftigte unserer Kunden, deren personenbezogene Daten wir im Rahmen der Geschäftsbeziehung verarbeiten
  • Lieferanten und Geschäftspartner sowie deren Ansprechpartner
  • Anrufer, die unsere Festnetznummer erreichen — einschließlich der Fälle, in denen gelegentlich ein KI-gestützter Voice-Agent an unserer Stelle antwortet
  • Bewerberinnen und Bewerber sowie Praktikanten

Soweit Sie unsere Webseite besuchen, gelten zusätzlich die dortigen Datenschutzinformationen.

Herkunft der Daten (Art. 14 DSGVO)

Sofern wir personenbezogene Daten nicht direkt bei Ihnen erheben, stammen sie typischerweise
– von Ihrem Arbeitgeber, Ihrem Auftraggeber oder einem entsendenden Bildungsträger (z. B. bei Ansprechpartnerwechseln),
– aus öffentlich zugänglichen Quellen (z. B. Impressum, Handelsregister, Unternehmenswebsites),
– oder aus der bestehenden Kommunikation mit Dritten (z. B. E-Mail-Verteilern), in deren Verlauf Ihre Daten an uns gelangt sind.

3. Allgemeiner Zweck und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der EU-Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) und weiterer einschlägiger Gesetze (z. B. HGB, AO, TKG, AGG, AI Act).

Je nach Zweck stützen wir uns auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — Anbahnung und Erfüllung von Verträgen (Angebote, Bestellungen, Support-Aufträge, Lieferungen, Rechnungsstellung, Kommunikation mit Ansprechpartnern)
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Pflichten (handels- und steuerrechtliche Aufbewahrung, Sozial- und Steuerrecht bei Beschäftigungsverhältnissen)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (z. B. effiziente Bearbeitung eingehender Anfragen, Dokumentation von Besprechungen, IT-Sicherheit, KI-gestützte Unterstützungsfunktionen)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, insbesondere vor der Aufzeichnung von Online-Meetings
  • Art. 28 DSGVO — Auftragsverarbeitung, wenn wir Kundendaten ausschließlich weisungsgebunden verarbeiten
  • Art. 88 DSGVO i. V. m. § 26 BDSG — Beschäftigtendatenschutz im Rahmen des Bewerbungs- und Beschäftigungsverfahrens

4. Verarbeitungen im Einzelnen

4.1 Kunden, Interessenten und deren Ansprechpartner (Vertragsabwicklung, Buchhaltung)

Für die Abwicklung von Angeboten, Aufträgen, Rechnungen, Mahnungen und der Lieferantenbeziehung verarbeiten wir Firmen- und Kontaktdaten, Namen und Funktionen der Ansprechpartner, Leistungs- und Rechnungsdaten, Bankverbindungen, Zahlungshistorien und die zugehörige Korrespondenz.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten nach § 257 HGB, § 147 AO).
  • Eingesetzte Systeme: Lexware Office (Cloud, Hosting in Deutschland — Haufe-Lexware GmbH) für das Rechnungs-, Angebots- und Mahnwesen; StarMoney (lokal) für Bankdaten; Ablage ergänzend in OneDrive (M365, EU-Tenant).
  • Empfänger: unser Steuerberater — Steuerberatersozietät Zehnder / Fischer-Zehnder, Steigerfurtweg 38, 97084 Würzburg (Belegtransfer über DATEV Online bzw. verschlüsselten SecureStick; Berufsgeheimnisträger nach § 203 StGB) —, das Finanzamt und beauftragte Banken im Rahmen ihrer jeweiligen Aufgaben.
  • Speicherdauer: 10 Jahre ab Ende des Jahres, in dem die Geschäftsbeziehung endete bzw. der Beleg entstand (§ 257 HGB, § 147 AO). Nicht vertragsrelevante Korrespondenz wird gelöscht, sobald sie für die Geschäftsbeziehung nicht mehr erforderlich ist.

4.2 IT-Support, Fernwartung und Geräteservice

Als IT-Dienstleister erbringen wir Fernwartung, Monitoring, Vor-Ort-Service sowie Reparaturen und Einrichtung von Geräten. Dabei können personenbezogene Daten in der Kundenumgebung einsehbar werden — etwa, wenn wir Bildschirminhalte während einer Fernwartungssitzung sehen oder bei einer Reparatur kurzzeitig auf Kundendaten zugreifen.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Dienstleistungsvertrag mit dem Kunden) sowie Art. 28 DSGVO, soweit wir weisungsgebunden für den Kunden tätig werden.
  • Rolle von HIRT-EDV: In diesen Fällen sind wir Auftragsverarbeiter unseres Kunden. Wir handeln ausschließlich auf dessen Weisung und nehmen keine eigenständige Nutzung dieser Daten vor.
  • Eingesetzte Systeme: AnyDesk (primäre Fernwartung), Rustdesk (Alternative), N-Able (Monitoring). AnyDesk protokolliert lediglich Session-IDs; wir führen darüber hinaus ein internes Excel-Serviceprotokoll mit Datum, Kunde und Servicezeiten.
  • Besondere Abläufe: Geräte, die zur Reparatur hinterlegt werden, werden ausschließlich am Stehtisch im Treppenhaus übergeben. Kunden erhalten keinen Zutritt zu den Geschäftsräumen.
  • Speicherdauer: Lieferscheine, Serviceberichte und Zeiterfassungen in Lexware: 10 Jahre gemäß HGB/AO. Fernwartungs-Sitzungsprotokolle werden nach den Vorgaben der jeweiligen Software vorgehalten.

4.3 E-Mail-Kommunikation und eigener KI-Assistent

Für die Kommunikation mit Kunden, Lieferanten, Bewerbern und sonstigen Dritten nutzen wir ausschließlich E-Mail-Postfächer der Domain @hirt-edv.de (Microsoft 365, EU-Tenant). Für die revisionssichere Archivierung gesetzlich aufbewahrungspflichtiger Geschäftskorrespondenz setzen wir einen dedizierten MailStore-Server in der Terracloud der WORTMANN AG (Rechenzentrum Deutschland) ein.

Daneben werden die aktiven M365-Postfächer und OneDrive-Daten täglich über Fokus MSP GmbH (Brüsseler Str. 3, 30539 Hannover) → Dropsuite (Dropmysite Pte Ltd, Singapur — Tochter NinjaOne LLC/USA) gesichert. Die Daten sind dabei AES-256 at rest und TLS 1.3 in transit verschlüsselt. Drittlandsachverhalt (Singapur/USA) ist über die EU-Standardvertragsklauseln 2021/914 sowie — soweit zertifiziert — über das EU-US Data Privacy Framework abgesichert (vgl. Ziff. 7).

Das Postfach assistent@hirt-edv.de — unser KI-Assistent

Unter dieser Adresse betreiben wir einen eigenen KI-gestützten Assistenten. Es handelt sich nicht um ein Postfach eines Mitarbeiters, sondern um die Kommunikationsadresse des KI-Assistenten selbst. Der Assistent

  • unterstützt den Inhaber bei der Bearbeitung eingehender Anfragen (z. B. durch Zusammenfassungen, Priorisierungen und Antwortvorschläge),
  • kommuniziert intern mit dem Inhaber und
  • kann — bei Bedarf und in demselben Umfang, den auch ein menschlicher Mitarbeiter hätte — selbstständig E-Mails an Externe versenden (z. B. Rückfragen, Terminabstimmungen, einfache Auskünfte).

Transparenz gegenüber Empfängern: Jede vom KI-Assistenten versendete E-Mail ist durch die Absenderadresse assistent@hirt-edv.de, die Signatur „KI-Assistent der HIRT-EDV” und einen Hinweis in der Signatur klar als Nachricht eines KI-Systems erkennbar. Die Signatur verweist zusätzlich auf diese Datenschutzinformationen.

Ort der Verarbeitung: Die KI-Verarbeitung erfolgt wahlweise auf unserem lokalen Server „KI1” im Büro von HIRT-EDV oder über Microsoft Azure (EU-Region). Eine Übertragung in Drittstaaten findet dabei nicht statt.

Ergänzend — KI-Unterstützung für interne Dokumente und Skripte: Für die Erstellung und Überarbeitung interner Dokumente und Skripte (Datenschutz-Dokumentation, Verwaltung) nutzen wir gelegentlich den KI-Dienst Claude von Anthropic PBC (USA). Personenbezogene Daten unserer Kunden werden dabei nicht aktiv übermittelt; sollten in bearbeiteten Dokumenten Namen oder Kontaktdaten vorkommen, geschieht dies auf Basis einer Auftragsverarbeitungsvereinbarung (DPA) mit Anthropic und der EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914). Eingaben werden nach den vertraglichen Bedingungen nicht für Modelltraining verwendet.

Abgrenzung zu automatisierten Entscheidungen: Der KI-Assistent versendet ausschließlich Nachrichten ohne rechtliche oder ähnlich erhebliche Wirkung (z. B. Rückfragen, Terminabstimmungen, einfache Auskünfte). Vertragliche, preisliche oder sonstige rechtsverbindliche Aussagen trifft ausschließlich der Inhaber. Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt (siehe Ziff. 11).

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), Art. 6 Abs. 1 lit. c DSGVO (Archivierungspflichten bei geschäftsrelevanter Korrespondenz), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger und effizienter Kommunikation mithilfe moderner KI-Werkzeuge).
  • Zugriff auf das E-Mail-Archiv: Der Inhaber hat Zugriff auf alle Archive. Weitere Postfachinhaber greifen im Alltag ausschließlich auf ihr eigenes Archiv zu; die Datenschutzbeauftragte kann in ihrer DSB-Funktion bei begründetem Anlass auf alle Archive zugreifen (anlassbezogen, dokumentiert). Praktikanten haben keinen Archivzugriff.
  • Speicherdauer: Handels- und steuerrelevante E-Mails 10 Jahre (§ 257 HGB, § 147 AO); sonstige Korrespondenz wird nach Wegfall des Zwecks gelöscht. Die Löschroutinen sind in unserem internen Löschkonzept dokumentiert.

4.4 Microsoft Outlook-Kontakte

Zur Unterstützung der laufenden Kommunikation pflegen wir in Microsoft 365 (Exchange Online, EU-Tenant) personenbezogene Kontakteinträge mit Name, Firma, E-Mail-Adresse, Telefonnummer, Anschrift und gelegentlichen Notizen. Diese Kontakte werden auf unsere dienstlichen Smartphones synchronisiert und ausschließlich intern genutzt.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Durchführung von Geschäftsbeziehungen, berechtigtes Interesse an erreichbarer Kommunikation).
  • Speicherdauer: fortlaufende Pflege; Löschung, sobald der Kontakt wegfällt oder Sie uns widersprechen (siehe Ziff. 9).

4.5 Video-Meetings über Microsoft Teams und KI-gestützte Protokolle

Online-Besprechungen mit Kunden, Lieferanten und Dritten führen wir über Microsoft Teams durch. Eine Aufzeichnung oder Transkription erfolgt nur, wenn alle Teilnehmer vor Beginn ausdrücklich informiert wurden und zugestimmt haben (Art. 6 Abs. 1 lit. a DSGVO). Die erteilte Einwilligung wird im Meeting-Protokoll dokumentiert.

Verarbeitungskette: Teams-Aufzeichnung und Transkript werden zunächst in OneDrive abgelegt; anschließend erstellt unser lokales Sprachmodell auf dem Server „KI1” ein schriftliches Protokoll. Die Rohaufzeichnung und das Transkript werden unmittelbar nach Fertigstellung des Protokolls gelöscht, spätestens jedoch innerhalb von 14 Tagen — erhalten bleibt nur das Protokoll, das den Teilnehmern je nach Bedarf per E-Mail oder Teams-Kanal zur Verfügung gestellt wird.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragsbezogene Meetings), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an nachvollziehbarer Dokumentation), bei Aufzeichnungen zusätzlich Art. 6 Abs. 1 lit. a DSGVO.
  • Speicherdauer: Rohaufzeichnung und Transkript: unmittelbar nach Protokollerstellung, spätestens innerhalb von 14 Tagen. Protokoll: solange geschäftlich erforderlich.

4.6 Telefonie und KI-Voice-Agent

Unsere telefonische Erreichbarkeit bilden wir über mehrere Anbieter ab. In der Regel nehmen wir Anrufe persönlich entgegen. Nur gelegentlich — etwa wenn der Inhaber im Kundeneinsatz oder anderweitig nicht erreichbar ist — wird ein KI-gestützter Voice-Agent zur Anrufannahme zugeschaltet.

Ablauf zu Beginn eines Anrufs (technische Umsetzung nach Vorgabe unseres Dienstleisters fonio.ai):

  1. Bei Annahme des Anrufs meldet sich der Voice-Agent als KI-Assistent von HIRT-EDV und weist Sie zu Beginn darauf hin, dass Sie mit einer KI sprechen und dass das Gespräch aufgezeichnet wird; zugleich verweist er auf diese Datenschutzinformationen. Diese Anfangsansage ist technisch so eingerichtet, dass sie nicht unterbrochen werden kann (Funktion „Unterbrechung der Startnachricht verhindern” bei fonio.ai).
  2. Anschließend fragt der Voice-Agent, wie er Ihnen weiterhelfen kann.
  3. Wenn Sie keine Aufzeichnung wünschen, teilen Sie dies dem Voice-Agent mit. Die Aufzeichnung und das Transkript dieses Anrufs werden dann durch die fonio.ai-Funktion „Automatisches Löschen” automatisch und vollständig gelöscht; eine Nachverarbeitung oder Inhalts-Extraktion findet nicht statt. Anschließend wird Ihr Anruf — soweit möglich — an Herrn Hirt weitergeleitet bzw. wir nehmen Ihre Rückrufnummer auf. Eine technische Abschaltung der Aufzeichnung mitten im laufenden Gespräch ist nicht möglich; die Löschung erfolgt automatisch nach Anrufende.
  4. Wenn Sie das Gespräch nach dem Hinweis fortsetzen, gilt dies als konkludente Einwilligung; Aufzeichnung und Transkript werden gemäß dieser Datenschutzinformation weiterverarbeitet.
  5. Wenn Sie kein Gespräch mit einer KI führen möchten, erreichen Sie uns alternativ per E-Mail an info@hirt-edv.de, per Fax 0931 – 61 94 96 12 oder telefonisch zu unseren Bürozeiten — Anrufe werden in diesen Zeiten persönlich entgegengenommen.

Bitte beachten Sie: Nach § 201 StGB gilt die Einwilligung nur für Sie persönlich. Wenn bei Ihnen weitere Personen mithören oder zugeschaltet sind, stellen Sie bitte sicher, dass auch diese Personen mit der Aufzeichnung einverstanden sind.

Eingesetzte Dienste und Rollen:

  • Deutsche Telekom — Festnetzanschluss und Glasfaseranschluss
  • Twilio Ireland Ltd. — Rufnummernbereitstellung und SIP-Trunk für den Voice-Agenten (Hosting in der EU)
  • Twilio Ireland Ltd. ist EU-Tochter eines US-Konzerns — siehe Hinweis in Ziff. 7
  • fonio.ai — KI-Voice-Agent, der Anrufe annimmt und beantwortet; eingesetzte Sprachmodelle werden innerhalb der EU betrieben
  • fonial GmbH — VoIP-Weiterleitung auf das Smartphone des Inhabers bei Notfällen

Umfang der Verarbeitung bei fonio.ai: Rufnummer, Gesprächsinhalt, Audioaufzeichnung und Transkript werden dort erhoben und jeweils 30 Tage gespeichert, anschließend automatisch gelöscht. Aus dem Gespräch werden lediglich die strukturierten Variablen name und anliegen automatisch extrahiert (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO); weitergehende Felder werden nicht angelegt. fonial verarbeitet lediglich Verbindungsdaten nach TKG; eine Gesprächsaufzeichnung findet dort nicht statt.

  • Rechtsgrundlage:
  • Art. 6 Abs. 1 lit. a DSGVO für die Audioaufzeichnung und Transkription bei fonio.ai (Ihre konkludente Einwilligung durch Fortsetzung des Gesprächs nach dem Hinweis auf KI und Aufzeichnung). Die Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen — der Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht. Wenn Sie der Aufzeichnung widersprechen, sorgt die fonio.ai-Funktion „Automatisches Löschen” dafür, dass Audio und Transkript dieses Anrufs nach Gesprächsende vollständig gelöscht werden und keine Nachverarbeitung oder Variablen-Extraktion stattfindet; das Gespräch selbst können wir auf Ihren Wunsch zu Herrn Hirt weiterleiten oder beenden — eine Abschaltung der Aufzeichnung mitten im Anruf ist technisch nicht möglich.
  • Art. 6 Abs. 1 lit. b DSGVO für die Entgegennahme und Bearbeitung Ihres Anliegens im Rahmen einer bestehenden oder angebahnten Geschäftsbeziehung.
  • Art. 6 Abs. 1 lit. f DSGVO für die zuverlässige telefonische Erreichbarkeit auch außerhalb der Bürozeiten.
  • Speicherdauer: fonio.ai 30 Tage; fonial verarbeitet Verkehrs- und Bestandsdaten nach den jeweils geltenden Vorgaben des TKG und des TDDDG (regelmäßig Sperrung der Verbindungsdaten 6 Monate nach Vertragsende und Löschung mit Ablauf des Folgejahres).
  • Drittlandübermittlung: findet nicht statt. Alle genannten Dienste verarbeiten innerhalb der EU bzw. in Deutschland.

4.7 Cloud-Dienste für Kunden (PowerFolder, Dogado)

Wir bieten unseren Kunden Cloud-Dienste an, die wir als Vertragspartner im eigenen Namen beziehen und weiterberechnen. Hierzu zählen:

  • PowerFolder (Backup und Synchronisation; Nachfolger unseres früheren TerraCloud-Backups) — Anbieter: dal33t GmbH
  • Dogado Filecloud (OneDrive-ähnlicher Cloud-Speicher) — Anbieter: dogado GmbH
  • Dogado Hosted Exchange (aktuell noch für zwei Kunden aktiv) — Anbieter: dogado GmbH

In dieser Konstellation ist HIRT-EDV Auftragsverarbeiter des jeweiligen Endkunden im Sinne des Art. 28 DSGVO; dal33t und dogado sind unsere Unter-Auftragsverarbeiter. Die Kundendaten verbleiben inhaltlich unter der Kontrolle des Endkunden; HIRT-EDV sieht sie regelmäßig nicht ein und greift nur zur Einrichtung oder im Störungsfall auf vom Kunden bereitgestellte Zugangsdaten zu.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit dem Endkunden), Art. 28 DSGVO (Auftragsverarbeitung).
  • Drittlandübermittlung: findet nicht statt. Alle Dienste werden in der EU bzw. in Deutschland betrieben.
  • Speicherdauer: Nach Kundenvorgabe bzw. Vertragsende; typischerweise Löschung innerhalb von 30 Tagen nach Vertragsende gemäß AVV.

4.8 Security-Dienste für Kunden (Securepoint)

Zur Absicherung von Kundensystemen setzen wir die Produkte der Securepoint GmbH (deutscher Hersteller, Hosting in Deutschland) ein: Securepoint UTM (Firewall/Unified Threat Management), Virenschutz, Intelligent Cloud Shield sowie das Security Awareness Training. Dabei werden unter anderem UTM-Logs, URL-Zugriffe, Virenscanner-Protokolle, Cloud-Shield-Events sowie Teilnahme- und Ergebnisdaten aus dem Awareness-Training verarbeitet.

Auch hier wird HIRT-EDV als Auftragsverarbeiter des Endkunden tätig; Securepoint ist Unter-Auftragsverarbeiter.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit Endkunden), Art. 28 DSGVO.
  • Drittlandübermittlung: findet nicht statt.
  • Speicherdauer: Nach Securepoint-Standardeinstellungen bzw. gesonderter Kundenvereinbarung.

4.9 Lieferanten und Geschäftspartner

Von Lieferanten und Geschäftspartnern verarbeiten wir Firmen- und Kontaktdaten, Ansprechpartner, Bank- und Zahlungsdaten sowie die zugehörige Korrespondenz. Die Verarbeitung erfolgt im Rahmen der üblichen Beschaffungs-, Abrechnungs- und Supportprozesse.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten).
  • Speicherdauer: 10 Jahre gemäß § 257 HGB, § 147 AO. Nicht vertragsrelevante Kommunikation wird gelöscht, sobald sie nicht mehr erforderlich ist.

4.10 Bewerber und Praktikanten

Bei Bewerbungen — einschließlich Anfragen und Vereinbarungen rund um Praktika — verarbeiten wir Ihre Stammdaten, Kontaktdaten, Lebenslauf, Zeugnisse und die zugehörige Korrespondenz ausschließlich zum Zweck der Durchführung des Bewerbungs- bzw. Praktikumsverfahrens.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 88 DSGVO i. V. m. § 26 BDSG (Anbahnung eines Beschäftigungs- bzw. Praktikumsverhältnisses). Wir stützen uns ergänzend und vorrangig direkt auf Art. 6 Abs. 1 DSGVO; siehe dazu den Hinweis zur EuGH-Entscheidung Rs. C-65/23 in unseren Datenschutzinformationen für Beschäftigte.
  • Empfänger: grundsätzlich keine Weitergabe. Soweit im Rahmen einer Praktikumsvereinbarung eine entsendende Stelle eingebunden ist, geben wir die dafür erforderlichen Nachweise (z. B. Praktikumsbestätigungen) an diese Stelle weiter.
  • Speicherdauer: 6 Monate nach Abschluss des Bewerbungsverfahrens zur Verteidigung möglicher Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG); im Falle einer Einstellung gehen die Unterlagen in die Personalakte über. Eine längere Aufbewahrung erfolgt nur mit Ihrer Einwilligung (z. B. Aufnahme in einen Bewerberpool).

5. Rolle von HIRT-EDV: Verantwortlicher oder Auftragsverarbeiter?

Je nach Verarbeitung treten wir in unterschiedlichen Rollen auf:

  • Für die eigene Kunden-, Lieferanten-, Bewerber- und Buchhaltungsverwaltung (Ziff. 4.1, 4.3, 4.4, 4.9, 4.10) sind wir Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
  • Beim IT-Support, bei Fernwartung und Geräteservice (Ziff. 4.2) sowie bei den Cloud- und Security-Diensten für Kunden (Ziff. 4.7, 4.8) sind wir Auftragsverarbeiter im Sinne von Art. 28 DSGVO; Auftraggeber ist der jeweilige Endkunde. Wir setzen hierfür schriftliche Auftragsverarbeitungsverträge (AVV) ein und handeln ausschließlich auf Weisung des Kunden.
  • Bei Video-Meetings und Telefonie (Ziff. 4.5, 4.6) verarbeiten wir ausschließlich unsere eigene Kommunikation und sind dafür Verantwortlicher.

Soweit wir für Endkunden als Auftragsverarbeiter tätig werden, bleibt der jeweilige Endkunde datenschutzrechtlich Verantwortlicher; Betroffenenrechte sind in diesen Fällen primär an den Endkunden zu richten.

6. Kategorien von Empfängern

Abhängig von der Verarbeitung geben wir personenbezogene Daten an folgende Empfängerkategorien weiter:

  • IT-Dienstleister und Auftragsverarbeiter — Haufe-Lexware GmbH (Lexware Office), Microsoft Ireland Operations Ltd. (Microsoft 365, Azure — vgl. Ziff. 7 zur Konzernstruktur), MailStore Software GmbH, WORTMANN AG (Terracloud-Hosting für MailStore), fonio.ai, Twilio Ireland Ltd. (vgl. Ziff. 7 zur Konzernstruktur), fonial GmbH, Deutsche Telekom, dal33t GmbH (PowerFolder), dogado GmbH, Securepoint GmbH
  • Steuerberater — Steuerberatersozietät Zehnder / Fischer-Zehnder, Steigerfurtweg 38, 97084 Würzburg (Belegübermittlung per DATEV Online bzw. verschlüsseltem SecureStick; Berufsgeheimnisträger nach § 203 StGB, keine AV erforderlich)
  • Behörden und öffentliche Stellen — Finanzamt, Sozialversicherungsträger, Banken im Rahmen des Zahlungsverkehrs sowie bei Praktika ggf. entsendende Stellen (z. B. Schule, Bildungsträger, Behörde)
  • Meeting- und Kommunikationspartner — soweit Sie an Online-Meetings teilnehmen oder in E-Mail-Konversationen einbezogen sind

Alle Auftragsverarbeiter sind vertraglich auf die Einhaltung der DSGVO und unsere Weisungen verpflichtet.

7. Übermittlung in Drittländer

Eine aktive Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums findet im Rahmen der in Ziff. 4 beschriebenen Verarbeitungen nicht statt. Alle eingesetzten Dienste werden innerhalb der EU bzw. in Deutschland betrieben.

Einen Sonderfall stellen die Dienste der Microsoft Ireland Operations Ltd. (Microsoft 365, OneDrive, Exchange Online, Teams, Azure) sowie der Twilio Ireland Ltd. (Rufnummernbereitstellung und SIP-Trunk) dar. Beide Unternehmen sind EU-Töchter US-amerikanischer Konzerne; ein Zugriff US-amerikanischer Behörden auf in der EU gespeicherte Daten kann nach dem US-CLOUD Act theoretisch nicht vollständig ausgeschlossen werden.

Rechtsgrundlage für eine etwaige Übermittlung in die USA ist primär Art. 45 DSGVO in Verbindung mit dem Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF), dem sowohl Microsoft als auch Twilio beigetreten sind. Hilfsweise — falls die DPF-Zertifizierung im Einzelfall nicht greifen sollte — stützen wir die Übermittlung auf Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit den EU-Standardvertragsklauseln (SCC, Microsoft Products and Services DPA Stand September 2025). Ergänzend greifen der von Microsoft zertifizierte EU-Data-Boundary-Dienst sowie unsere technischen und organisatorischen Schutzmaßnahmen (z. B. Tenant-Isolation, Zugriffsbeschränkung, TLS-Verschlüsselung).

8. Speicherdauer — zentrale Übersicht

Wir verarbeiten personenbezogene Daten grundsätzlich nur so lange, wie dies für die genannten Zwecke erforderlich ist. Neben den in Ziff. 4 genannten konkreten Fristen gelten insbesondere:

  • Handels- und steuerrelevante Unterlagen: 10 Jahre (§ 257 HGB, § 147 AO)
  • Geschäftsbriefe ohne Buchungsbezug: 6 Jahre (§ 257 HGB)
  • Bewerbungsunterlagen ohne Einstellung: 6 Monate nach Abschluss des Verfahrens (AGG)
  • fonio.ai-Aufzeichnungen und Transkripte: 30 Tage
  • Teams-Rohaufzeichnung/Transkript: sofort nach Protokollerstellung
  • Outlook-Kontakte: laufende Pflege; Löschung bei Wegfall des Kontakts oder auf Widerspruch
  • Securepoint-Logs (UTM, Virenschutz, Cloud Shield, Awareness-Training): gemäß Securepoint-Standardeinstellung oder individueller Kundenvereinbarung
  • TKG-Verbindungsdaten (fonial): Sperrung 6 Monate nach Vertragsende, Löschung mit Ablauf des Folgejahres
  • Cloud-Dienste für Kunden: gemäß jeweiligem AVV, regelmäßig 30 Tage nach Vertragsende

Sobald der Zweck entfällt und keine gesetzliche Aufbewahrungspflicht besteht, werden die Daten gelöscht oder anonymisiert.

9. Widerspruchsrecht (Art. 21 DSGVO)

WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN IHRER BESONDEREN SITUATION WIDERSPRUCH GEGEN DIE VERARBEITUNG EINZULEGEN. DIES GILT AUCH FÜR EIN PROFILING AUF DER GRUNDLAGE DIESER BESTIMMUNGEN. BEI WIDERSPRUCH GEGEN DIREKTWERBUNG WERDEN IHRE DATEN ANSCHLIESSEND NICHT MEHR FÜR DIESEN ZWECK VERARBEITET.

10. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — mit Wirkung für die Zukunft
  • Beschwerderecht bei der Aufsichtsbehörde (BayLDA, siehe Ziff. 1)

Soweit wir für einen Endkunden als Auftragsverarbeiter tätig sind (Ziff. 5), leiten wir entsprechende Anfragen unverzüglich — spätestens innerhalb von 72 Stunden — an den zuständigen Verantwortlichen weiter.

Bei Fragen zum Datenschutz wenden Sie sich bitte an datenschutz@hirt-edv.de.

11. Automatisierte Entscheidungsfindung und Einsatz Künstlicher Intelligenz

Wir setzen KI-gestützte Werkzeuge ein — insbesondere beim KI-Postfach assistent@hirt-edv.de (Ziff. 4.3), bei der Protokollerstellung aus Teams-Meetings (Ziff. 4.5) und beim telefonischen Voice-Agenten (Ziff. 4.6).

Diese Werkzeuge dienen als Unterstützung: Sie bereiten Informationen auf, formulieren Vorschläge und beantworten Routineanfragen. Eine automatisierte Entscheidungsfindung einschließlich Profiling mit rechtlicher Wirkung oder ähnlich erheblichen Folgen im Sinne von Art. 22 DSGVO findet nicht statt. Vertragliche und rechtlich relevante Entscheidungen werden stets durch den Inhaber oder autorisierte Mitarbeiter getroffen.

Wir setzen keine KI-Systeme ein, die nach dem EU-KI-Gesetz (AI Act) als Hochrisiko-KI-Systeme eingestuft sind. Der Einsatz beschränkt sich auf assistierende Sprachmodelle innerhalb klar definierter Aufgaben (Textformulierung, Transkription, Protokollierung, Anrufentgegennahme).

Transparenz gegenüber den Betroffenen: Die Pflichten aus Art. 50 AI Act erfüllen wir, indem KI-generierte Inhalte in unseren ausgehenden E-Mails durch Absenderadresse, Signatur und Hinweise klar als solche erkennbar sind (vgl. Ziff. 4.3), und indem Anrufer bereits zu Beginn eines Gesprächs darauf hingewiesen werden, dass sie mit einem KI-Assistenten sprechen (vgl. Ziff. 4.6).

12. Pflicht zur Bereitstellung und Folgen der Nichtbereitstellung

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, diese Daten bereitzustellen. Allerdings können wir ohne die jeweils erforderlichen Daten den angefragten Zweck regelmäßig nicht erfüllen — also beispielsweise keine Angebote erstellen, keine Verträge abwickeln, keine Rechnungen stellen, keine Support-Leistungen erbringen oder keine Bewerbungen prüfen.

13. Datensicherheit

Wir treffen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten. Dazu gehören unter anderem:

  • TLS-/SSL-verschlüsselte Übertragung sämtlicher E-Mail-, Cloud- und Fernwartungsverbindungen
  • Passwortverwaltung mit Keeper Security
  • Unternehmens-Firewall und Virenschutz der Securepoint GmbH
  • Dediziertes E-Mail-Archiv (MailStore) in deutschem Rechenzentrum
  • Lokale KI-Verarbeitung auf einem dedizierten Server im Büro HIRT-EDV, wo immer sinnvoll
  • Strenge interne Zugriffsbeschränkungen (Postfächer, Archive, Kundensysteme)
  • Geräteübergabe ausschließlich am Stehtisch im Treppenhaus, kein Kundenzutritt zu Arbeitsräumen

Unsere technischen und organisatorischen Maßnahmen sind in einem separaten Dokument (TOMs) ausführlicher beschrieben. Die TOMs werden regelmäßig überprüft und derzeit turnusmäßig aktualisiert; die jeweils aktuelle Fassung stellen wir auf Anfrage zur Verfügung.

14. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 28. April 2026. Durch die Weiterentwicklung unserer Prozesse, neue rechtliche Vorgaben oder den Einsatz veränderter Dienste kann eine Anpassung erforderlich werden. Die jeweils aktuelle Fassung stellen wir auf Anfrage gerne zur Verfügung; sie wird zusätzlich auf unserer Webseite verlinkt.