Betroffenenanfragen: Wie Sie Ihre DSGVO-Rechte als Clozo-Nutzer wahrnehmen

Die sechs Rechte (jeder Titel ist die DSGVO-Artikelnummer):

- Art. 15 — Auskunftsrecht: Bestätigung, ob ihre personenbezogenen Daten verarbeitet werden und, falls ja, Erhalt einer Kopie sowie Informationen über Zwecke, Kategorien, Empfänger, Aufbewahrung und Herkunft. - Art. 16 — Recht auf Berichtigung: Berichtigung ungenauer Daten ohne unnötige Verzögerung. - Art. 17 — Recht auf Löschung ("Recht auf Vergessenwerden"): Löschung von Daten, wenn die Rechtsgrundlage nicht mehr gilt, vorbehaltlich Ausnahmen (gesetzliche Verpflichtung, Meinungsfreiheit, öffentliches Interesse). - Art. 18 — Recht auf Einschränkung der Verarbeitung: Pausierung der Verarbeitung, während die Richtigkeit bestritten wird, die Verarbeitung unrechtmäßig ist, die betroffene Person aber keine Löschung wünscht, usw. - Art. 20 — Recht auf Datenübertragbarkeit: Erhalt personenbezogener Daten in einem strukturierten, gängigen, maschinenlesbaren Format und Übermittlung an einen anderen Verantwortlichen. - Art. 21 — Widerspruchsrecht: Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 6(1)(f)) oder Direktwerbung.

Antwortfrist (Art. 12(3)): Ein Monat ab Eingang. Verlängerbar um zwei weitere Monate „soweit erforderlich, unter Berücksichtigung der Komplexität und Anzahl der Anfragen" – die betroffene Person muss innerhalb des ersten Monats über die Verlängerung mit Begründung informiert werden.

Form der Antwort (Art. 12(1)): Prägnant, transparent, verständlich, leicht zugänglich, in klarer Sprache. Kostenlos, es sei denn, Anfragen sind „offensichtlich unbegründet oder exzessiv" (Art. 12(5)).

Hut 1 — Sie als betroffene Person (Clozo hält Ihre Daten).

Dies ist der produktinterne Self-Service-Ablauf. Öffnen Sie /settings/privacy in Clozo. Die nutzerseitigen Endpunkte (gemäß BACKEND.md §3 DSGVO-Self-Service) sind:

- Ihre Daten exportieren — GET /api/v1/me/export (Art. 15 + 20). JSON-Bundle mit Konto, Angeboten, Kunden, Zahlungen, Unterschriften, Prüfung. Download-Link per E-Mail gesendet; 7 Tage gültig. - Ihr Konto löschen — POST /api/v1/me/erasure-request → POST /api/v1/me/erasure-confirm (oder POST /api/v1/me/erasure-cancel zum Zurückziehen innerhalb der Gnadenfrist) (Art. 17). Zweistufiger Bestätigungsablauf mit 7-tägiger Gnadenfrist. Nach der Gnadenfrist führt eine tägliche Celery-Beat-Aufgabe apply_pending_erasures um 02:00 UTC aus: sie pseudonymisiert personenbezogene Daten in der User-Zeile (gemäß [A-023] – behält vat_number + company_name bei, weil EU-Mehrwertsteuerrichtlinie Art. 226(10) + Art. 244 diese auf aufbewahrten Rechnungen erfordern), deaktiviert (löscht nicht) das Stripe-Connect-Konto, damit AEAT-Anfragen in Jahren 6–10 noch über stripe_account_id beantwortet werden können (gemäß [A-022]), und schreibt einen email_hmac-Suchwortschlüssel, damit ein ehemaliger Nutzer Jahre nach der Anonymisierung seiner Zeile zugeordnet werden kann. Steuerrelevante Daten (Rechnungen, Belege, unterzeichnete Vereinbarungen) werden gemäß Artikel 11.4 aufbewahrt. - Einwilligung verwalten — GET /api/v1/me/consent und POST /api/v1/me/consent (Art. 7 + Art. 21). Deaktivieren Sie consent.advertising und consent.marketing in Datenschutz. Wirkung: Google Ads + GA4 serverseitige Sender greifen auf diese Flags zu und stellen das Hochladen ein. - Verarbeitung einschränken (Art. 18) → E-Mail an privacy@useclozo.com mit Details. Self-Service ist auf der Roadmap.

Für Berichtigung (Art. 16) bearbeiten Sie das Feld direkt in /settings/profile oder /settings/company. Die meisten Berichtigungen sind Einstellungsänderungen, keine formellen Anfragen.

Hut 2 — Sie als Verantwortlicher (Clozo verarbeitet die Daten Ihrer Kunden in Ihrem Auftrag).

Wenn Ihr Kunde Ihnen eine Betroffenenanfrage stellt, sind Sie als Verantwortlicher für deren Beantwortung verantwortlich. Clozos Rolle ist Auftragsverarbeiter gemäß den in den Clozo-AGB eingebetteten Standardvertragsklauseln (Modul 2: Verantwortlicher-zu-Auftragsverarbeiter) – wir halten die Daten auf Ihre Anweisung, aber die Beantwortung einer Betroffenenanfrage ist Ihre Pflicht als Verantwortlicher.

Es gibt heute kein produktinternes Panel /clients/{id} „Datenschutz-Aktionen". Kundenseitige Betroffenenanfragen werden außerhalb des Produkts behandelt:

1. E-Mail erhalten. Datum, anfragende Person und geltend gemachtes Recht protokollieren. Ihre Antwortfrist beträgt einen Monat ab Eingang (Art. 12(3)). 2. Identität überprüfen. Anfragende E-Mail/Details mit den Daten im Kundendatensatz vergleichen. Personenbezogene Daten nicht an jemanden weitergeben, dessen Identität Sie nicht vernünftigerweise bestätigen können. 3. Antwort mit den Daten verfassen, die Clozo Ihnen bereits anzeigt. Der Kundendatensatz (/clients/{id}) zeigt alles, was Sie in Clozo über ihn halten – Name, E-Mail, Land, Abrechnungsdaten, verknüpfte Angebote und Rechnungen. Für Art. 15 / Art. 20 können Sie diese in eine schriftliche Antwort kopieren oder die relevanten Rechnungs-PDFs anhängen. 4. Bei Löschanfragen (Art. 17) steuerrelevante Daten aufbewahren. Ausgestellte Rechnungen und unterzeichnete Vereinbarungen sind gemäß EU-Mehrwertsteuerrichtlinie Art. 244 + GoBD §147 AO + nationalen Parallelen unveränderlich. Art. 17(3)(b) DSGVO erlaubt ausdrücklich die Aufbewahrung aus gesetzlicher Verpflichtung. Sie können unversendete Entwürfe bearbeiten und den Kunden aus neuen Mailings entfernen, aber der Rechnungsinhalt (Positionen, Beträge, Daten) bleibt. Hinweis: gemäß [A-023] wird die automatische Client-Zeilen-Pseudonymisierung als die Kaskadengeschichte nach dem Start ausrollt (3-PR-Sequenzierung gemäß [A-021]) eingeführt; bis dahin ist die manuelle Bearbeitung unversendeter Entwürfe die verfügbare Kontrolle. 5. Antwort innerhalb eines Monats per E-Mail senden. Bestätigen, was Sie getan haben, DSGVO-Artikel zitieren und Rechtsgrundlage angeben, wenn Sie teilweise abgelehnt haben (z. B. steuerrelevante Daten gemäß Art. 17(3)(b) aufbewahrt). 6. Hilfe beim Extrahieren spezifischer Datensätze benötigt? E-Mail an privacy@useclozo.com mit den Anfragedetails. Wir stellen den Datenexport bereit, der zur Erfüllung Ihrer Pflicht als Verantwortlicher erforderlich ist. Wir antworten Ihrem Kunden nicht direkt – Sie bleiben der Verantwortliche.