Datenschutzerklärung

1. Wer wir sind

Clozo wird betrieben von Andrei Diachenko, Einzelunternehmer (autónomo), unter dem Geschäftsnamen 'Clozo' (der 'Verantwortliche' im Sinne von Article 4(7) GDPR). Eingetragene Anschrift: Calle Covera 19, 5A, 33012 Oviedo, Asturias, Spanien. Spanische Steueridentifikationsnummer (NIF/NIE): Z1579875X. EU-Umsatzsteuer-Identifikationsnummer: ESZ1579875X. Wir sind eine Plattform für Angebote und Rechnungen, die sich an unabhängige Freiberufler und Kleinunternehmen mit Sitz in der Europäischen Union richtet. Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten gemäß Regulation (EU) 2016/679 (GDPR), der ePrivacy Directive 2002/58/EC, dem spanischen Ley Orgánica 3/2018 (LOPDGDD) und dem spanischen Ley 34/2002 (LSSI-CE) erheben, verwenden, weitergeben und schützen. Wir sind nicht verpflichtet, einen Datenschutzbeauftragten gemäß Article 37(1) GDPR zu benennen; für sämtliche Datenschutzanliegen wenden Sie sich bitte an privacy@useclozo.com. Frühere Fassungen dieser Datenschutzerklärung sind auf Anfrage erhältlich.

2. Personenbezogene Daten, die wir erheben

Wir erheben die folgenden Kategorien personenbezogener Daten, gegliedert nach Verarbeitungszweck:

• Kontodaten: Name, E-Mail-Adresse, gehashtes Passwort, Firmenname, Umsatzsteuer-Identifikationsnummer, Wohnsitzland.
• Kundendaten: Namen, E-Mail-Adressen, Postanschriften und Umsatzsteuer-Identifikationsnummern von Kunden, die Sie zur Rechnungsstellung in Clozo eintragen. Sie sind Verantwortlicher für diese Daten; wir verarbeiten sie als Ihr Auftragsverarbeiter gemäß Article 28 GDPR.
• Geschäftsdaten: Angebote, Rechnungen, Positionen, Zahlungsdatensätze, Audit-Trails elektronischer Signaturen sowie hochgeladene Dateien (z. B. Logos).
• Nutzungsdaten: besuchte Seiten, durchgeführte Aktionen (Klicks, Formularübermittlungen), Browsertyp und -version, Betriebssystem, Gerätetyp, Bildschirmgröße, IP-Adresse. Die vollständige IP-Adresse verarbeiten wir nur vorübergehend — zur Ratenbegrenzung, Betrugsprävention und TLS-Terminierung durch Cloudflare. Für Analysezwecke wird das Land aus der IP-Adresse am Cloudflare-Edge abgeleitet (CF-IPCountry-Header), und die IP selbst wird nicht zusammen mit dem Analyseereignis gespeichert. Vollständige IP-Adressen erscheinen ausschließlich in den Anwendungssicherheitsprotokollen und werden nach 14 Tagen gelöscht.
• Zahlungsdaten: die Abonnementabrechnung wird von Stripe abgewickelt — wir speichern keine Kreditkartennummern, CVV oder vollständigen PAN. Wir bewahren lediglich die Stripe-Kundenkennung sowie die Rechnungs-/Abonnement-Metadaten auf.
• Marketing-Attributionsdaten: UTM-Kampagnenparameter (utm_source, utm_medium, utm_campaign, utm_content, utm_term) werden als First-Party-Daten aus der URL der Seite gelesen, auf der Sie eingestiegen sind; Werbe-Klick-Identifikatoren (gclid für Google Ads, fbclid für Meta, msclkid für Microsoft Ads, ttclid für TikTok, li_fat_id für LinkedIn), die verweisende URL und der Host, die Landingpage-URL, eine pseudonyme Sitzungs-Kennung (PostHog distinct_id) und die Google Analytics 4 Client-ID (sofern durch das GA4-Cookie gesetzt) werden ausschließlich nach Ihrer Einwilligung in die entsprechende Kategorie über das Cookie-Banner erhoben und gespeichert. Bei Nutzern, die eine Zahlung abschließen, berechnen wir zusätzlich einen SHA-256-Hash Ihrer E-Mail-Adresse (und, sofern angegeben, Ihrer Telefonnummer im E.164-Format) zur Identitätsabgleichung auf Werbeplattformen; der Hash ist eine Einwegfunktion und kann nicht in den ursprünglichen Wert zurückgerechnet werden.

3. Rechtsgrundlage der Verarbeitung (GDPR Article 6)

Je nach Zweck stützen wir uns auf die folgenden Rechtsgrundlagen:

• Vertragserfüllung — Article 6(1)(b): zur Bereitstellung des Clozo-Dienstes, für den Sie sich registriert haben, einschließlich Kontoerstellung, Authentifizierung, Erstellung von Angeboten/Rechnungen, Verarbeitung Ihrer Abonnementzahlung sowie Versand transaktionaler E-Mails (Begrüßung, Zahlungsbestätigung, Benachrichtigungen über elektronische Signaturen).
• Einwilligung — Article 6(1)(a) GDPR + Article 5(3) ePrivacy Directive: für jegliches Lesen oder Schreiben von Kennungen auf Ihrem Endgerät, das über das zur Erbringung des Dienstes unbedingt Erforderliche hinausgeht. Dies umfasst sämtliche Produktanalysen (PostHog) und sämtliche Werbe-Attribution (clozo_first_gclid-Cookie, GA4 client_id, Google Ads-Conversion-Uploads). Sie erteilen Ihre Einwilligung über unser Cookie-Banner beim Erstbesuch und können diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.
• Berechtigtes Interesse — Article 6(1)(f): für Sicherheit (Betrugsprävention, Ratenbegrenzung, Erkennung von Login-Anomalien), Verbesserung des Dienstes (aggregierte Nutzungsstatistiken, die keinen Zugriff auf das Endgerät gemäß Article 5(3) ePrivacy Directive erfordern) und Direktmarketing-Messung (Recital 47 GDPR) der von uns selbst betriebenen Werbekampagnen. Wir haben einen dokumentierten Legitimate Interests Balancing Test (LIBT, auf Anfrage unter privacy@useclozo.com erhältlich) durchgeführt, der zu folgendem Ergebnis kam: (i) die Messung der Wirksamkeit unseres eigenen Marketings stellt ein tatsächliches und notwendiges Interesse dar, (ii) wir beschränken die Daten auf Attributionskennungen und Conversion-Ereignisse ohne Verhaltensprofile, ohne websiteübergreifendes Tracking und ohne Audience-Bildung über unsere eigene Nutzerbasis hinaus, (iii) Sie können jederzeit Widerspruch einlegen, ohne den Zugang zum Dienst zu verlieren (siehe Abschnitt 8). Jede Direktmarketing-Messung, die das Lesen oder Schreiben von Kennungen auf Ihrem Gerät erfordert — beispielsweise das Cookie clozo_first_gclid oder ein GA4-Cookie — beruht nicht auf berechtigtem Interesse, sondern auf Ihrer vorherigen Einwilligung gemäß Article 5(3) of the ePrivacy Directive und Article 6(1)(a) GDPR.
• Rechtliche Verpflichtung — Article 6(1)(c): zur Aufbewahrung steuer- und buchhaltungsrelevanter Unterlagen. Article 247(1) der EU VAT Directive 2006/112/EC verlangt die Aufbewahrung von Rechnungen für den jeweils im Mitgliedstaat festgelegten Zeitraum, üblicherweise 6 bis 10 Jahre. Spanien (art. 30 Código de Comercio + art. 165 LIVA) verlangt 6 Jahre für Buchführung und 4 Jahre für Umsatzsteuer; wir wenden jedoch die jeweils längste anwendbare Aufbewahrungsfrist innerhalb der EU an.

4. Wie wir Ihre Daten verwenden

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

• Bereitstellung, Wartung und Verbesserung der Clozo-Plattform.
• Erstellen, Signieren und Zustellen von Angeboten und Rechnungen in Ihrem Namen, einschließlich elektronischer Rechnungsformate (Peppol BIS, Factur-X, FatturaPA usw.), sofern Sie sich dafür entscheiden.
• Verarbeitung von Abonnementzahlungen über Stripe, Verwaltung von Up- und Downgrades, Erstattungen.
• Versand transaktionaler E-Mails — Begrüßung, Passwort-Zurücksetzung, Zahlungsbestätigung, Benachrichtigung zu elektronischen Signaturen, automatische Erinnerungen, sofern aktiviert.
• Erfüllung gesetzlicher und regulatorischer Verpflichtungen (USt-ID-Validierung über VIES, Steuerberichterstattung, Aufbewahrung).
• Messung der Wirksamkeit von Werbekampagnen, die wir betreiben (Google Ads, Google Analytics 4), durch Übermittlung von Conversion-Ereignissen — Registrierung, Erstzahlung, Tarifwechsel, Erstattung — gemeinsam mit Attributionskennungen (gclid, gehashte E-Mail). Wir geben weder Ihre Kundendaten noch Geschäftsdaten oder den Inhalt Ihrer Angebote oder Rechnungen an Werbeplattformen weiter. Aus Ihren Kontodaten wird ausschließlich ein Einweg-SHA-256-Hash Ihrer E-Mail-Adresse (und, sofern angegeben, Ihrer Telefonnummer im E.164-Format) zur Identitätsabgleichung hochgeladen, gemeinsam mit den unten aufgeführten Conversion-Ereignis-Metadaten. Die Übermittlung von Conversions erfolgt erst nach Ihrer Einwilligung in Werbe-Cookies über das Cookie-Banner.
• Erkennung und Verhinderung von Betrug, Kontomissbrauch und Sicherheitsvorfällen (Ratenbegrenzung, Erkennung von Login-Anomalien über django-axes).

5. Datenaufbewahrung

Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie es für die Zwecke, zu denen sie erhoben wurden, erforderlich ist, mit folgenden kategoriespezifischen Fristen:

• Kontodaten: für die Lebensdauer Ihres Kontos. Nach Kontolöschung anonymisieren wir die Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht (Abschnitt 5 Punkt 3).
• Kunden- und Geschäftsdaten: für die Lebensdauer Ihres Kontos. Sie können einzelne Kunden und Angebote jederzeit innerhalb der Plattform löschen.
• Rechnungen und Zahlungsdatensätze: gemäß Article 247(1) der EU VAT Directive 2006/112/EC sowie nationaler Verpflichtungen: Spanien (art. 165 LIVA) 4 Jahre, Frankreich (art. L102B LPF) 6 Jahre, Niederlande (art. 52 AWR) 7 Jahre, Deutschland (§147 AO) 10 Jahre, Polen (art. 86 §1 OP) 5 Jahre. Wir wenden die jeweils längste anwendbare Aufbewahrungsfrist an: 10 Jahre ab Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde.
• Marketing-Attributions- und Conversion-Daten: anonyme Touchpoints ohne zugeordneten Nutzer werden bis zu 90 Tage aufbewahrt (entsprechend dem Standard-Klick-Attributionsfenster von Google Ads); kontogebundene Conversion-Datensätze werden für die Lebensdauer des Kontos aufbewahrt und anschließend anonymisiert.
• Backups: verschlüsselte Datenbank-Backups werden für Disaster-Recovery-Zwecke 30 Tage aufbewahrt und anschließend automatisch gelöscht.
• Anwendungssicherheitsprotokolle: vollständige IP-Adressen und Anfrage-Metadaten zur Erkennung von Betrug und Missbrauch werden 14 Tage aufbewahrt und danach gelöscht.

6. Empfänger und Auftragsverarbeiter

Wir geben Ihre personenbezogenen Daten ausschließlich an die folgenden Auftragsverarbeiter weiter, die jeweils vertraglich durch einen Auftragsverarbeitungsvertrag (Article 28 GDPR) und, soweit anwendbar, durch Standardvertragsklauseln für Übermittlungen außerhalb des Europäischen Wirtschaftsraums gebunden sind. Wir übermitteln keine personenbezogenen Daten an Dritte für deren eigene Marketingzwecke.

• Stripe Payments Europe Ltd (Irland) und Stripe Inc (USA): Verarbeitung von Abonnementzahlungen. Übermittelte Daten: Ihr Name, E-Mail, Abrechnungsland, Abonnementstatus, Zahlungsereignisse. Für Kreditkartendaten gilt die eigene Datenschutzrichtlinie von Stripe. Übermittlungsmechanismus: Angemessenheitsbeschluss EU-US Data Privacy Framework (Stripe ist DPF-zertifiziert — überprüfbar unter dataprivacyframework.gov) + Standardvertragsklauseln. Datenschutzrichtlinie: stripe.com/privacy.
• Railway Corp (USA): Cloud-Infrastruktur-Hosting. Unsere Datenbank wird in der Region europe-west4 (Niederlande) bereitgestellt; die Steuerungsebene von Railway befindet sich in den Vereinigten Staaten. Übermittlungsmechanismus: Standardvertragsklauseln mit ergänzenden technischen Maßnahmen (TLS 1.2+ in der Übertragung, AES-256-GCM im Ruhezustand, fein granulierte IAM-Rollen). Die Produktionsdatenbank befindet sich physisch in den Niederlanden.
• Cloudflare Inc (USA): Content Delivery, DDoS-Schutz, TLS-Terminierung, Traffic-Routing, datenschutzfreundliche Web-Analyse (Cloudflare Web Analytics — keine Cookies, keine Tracking-IDs). Cloudflare verarbeitet Ihre vollständige IP-Adresse vorübergehend bei der Übertragung. Wir nutzen den CF-IPCountry-Header, um Ihr ungefähres Land für Analyse und Ratenbegrenzung abzuleiten; die vollständige IP wird anschließend nicht zusammen mit dem Analyseereignis gespeichert. Übermittlungsmechanismus: Standardvertragsklauseln + in der EU gelegene Edge-Knoten für europäischen Traffic. Cloudflare ist DPF-zertifiziert.
• PostHog Inc (Vereinigtes Königreich, EU-Instanz in Frankfurt, Deutschland): Produktanalyse — pseudonyme Sitzungsereignisse, Seitennavigation, Schaltflächen-Klicks, erfasste UTM-Parameter. Die Daten werden ausschließlich auf der EU-Instanz (eu.i.posthog.com) verarbeitet. Wird nur geladen, nachdem Sie der Kategorie Produktanalyse-Cookies über das Cookie-Banner zugestimmt haben. Übermittlungsmechanismus: Angemessenheitsbeschluss UK (Commission Implementing Decision (EU) 2021/1772 of 28 June 2021) + Standardvertragsklauseln zum britischen Hauptsitz von PostHog.
• Google Ireland Limited und Google LLC (USA) — Google Ads: Conversion-Messung und Smart-Bidding-Optimierung, ausschließlich nach Ihrer Einwilligung in Werbe-Cookies. Serverseitig hochgeladene Daten: Ihre Google Click-ID (gclid), die beim Aufruf über eine Google-Anzeige erfasst wurde, Conversion-Typ (Registrierung, Erstzahlung, Tarif-Upgrade, Erstattung), Conversion-Wert in EUR, Währungscode, anonymisierte Bestellnummer. Bei aktivierter customer-data-terms-Funktion laden wir zusätzlich einen SHA-256-Hash Ihrer E-Mail-Adresse zur Identitätsabgleichung hoch (der Hash kann nicht zurückgerechnet werden). Übermittlungsmechanismus: Angemessenheitsbeschluss EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795 of 10 July 2023; Google LLC ist DPF-zertifiziert — überprüfbar unter dataprivacyframework.gov) + Standardvertragsklauseln.
• Google Ireland Limited und Google LLC (USA) — Google Analytics 4: kanalübergreifende Conversion-Messung. Wird serverseitig über das GA4 Measurement Protocol erst nach Ihrer Einwilligung in Werbe-Cookies übermittelt. Hochgeladene Daten: pseudonyme Sitzungs-Kennung (GA4 client_id aus dem _ga-Cookie, sofern vorhanden, andernfalls eine PostHog distinct_id), Conversion-Ereignistyp, Wert, Währung sowie Ihre numerische Clozo-Nutzer-ID (nicht Ihre E-Mail). Übermittlungsmechanismus: Angemessenheitsbeschluss EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795) + Standardvertragsklauseln. Der DPF-Status von Google LLC ist unter dataprivacyframework.gov überprüfbar. Wir laden den GA4-Web-Tracker nicht auf unseren Seiten.
• Resend Inc (USA): Versand transaktionaler E-Mails (Begrüßung, Passwort-Zurücksetzung, elektronische Signatur, Zahlungsbestätigung, automatische Rechnungserinnerungen). Übermittelte Daten: Ihre E-Mail-Adresse, Name, transaktionaler Inhalt. Übermittlungsmechanismus: Angemessenheitsbeschluss EU-US Data Privacy Framework (Resend Inc ist DPF-zertifiziert — überprüfbar unter dataprivacyframework.gov) + Standardvertragsklauseln.
• Gotenberg (selbstgehostet in europe-west4): PDF-Erstellung für Angebote und Rechnungen. Läuft auf unserer eigenen Infrastruktur innerhalb des EWR — keine Datenübermittlung an externe Parteien.
• Cloudflare R2 (Objektspeicher, EWR-Region): verschlüsselte Speicherung erstellter PDF-Dateien und hochgeladener Logos. Datenstandort: EWR. Übermittlungsmechanismus: nicht anwendbar (keine Übermittlung außerhalb des EWR).

Sie können eine Kopie eines Auftragsverarbeitungsvertrags, einer Reihe von Standardvertragsklauseln oder unserer Zusammenfassung der Übermittlungsfolgenabschätzung anfordern, indem Sie uns unter privacy@useclozo.com kontaktieren. Wir benachrichtigen Kunden mindestens 30 Tage im Voraus schriftlich, bevor wir einen Unterauftragsverarbeiter hinzufügen oder ersetzen; die obige Liste wird im Einklang mit dieser Verpflichtung aktualisiert.

7. Internationale Datenübermittlungen

Ihre personenbezogenen Daten werden vorrangig innerhalb des Europäischen Wirtschaftsraums gespeichert, insbesondere in den Niederlanden (Railway europe-west4) und Deutschland (PostHog Frankfurt). Einige in Abschnitt 6 aufgeführte Empfänger befinden sich außerhalb des EWR, hauptsächlich in den Vereinigten Staaten. Für jede solche Übermittlung gewährleisten wir geeignete Garantien gemäß Articles 44–49 GDPR: den Angemessenheitsbeschluss EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795 of 10 July 2023), sofern der Empfänger DPF-zertifiziert ist, ergänzt durch Standardvertragsklauseln (Commission Implementing Decision (EU) 2021/914 of 4 June 2021) und ergänzende technische Maßnahmen (TLS 1.2+ in der Übertragung, AES-256-GCM im Ruhezustand für sensible Felder, Pseudonymisierung von Kennungen, soweit umsetzbar, Zugriffskontrollen, Auditprotokollierung) im Einklang mit den EDPB Recommendations 01/2020 nach dem Urteil des CJEU C-311/18 (Schrems II). Die Gültigkeit des EU-US Data Privacy Framework ist derzeit Gegenstand eines Rechtsstreits vor dem Gericht der Europäischen Union (Case T-553/23 La Quadrature du Net & Others v Commission und Folgeverweisungen). Sollte der Beschluss für ungültig erklärt werden, stützen wir uns ausschließlich auf Standardvertragsklauseln mit ergänzenden Maßnahmen und müssen gegebenenfalls bestimmte Übermittlungen einstellen; wir werden diese Datenschutzerklärung aktualisieren und die Nutzer entsprechend informieren. Sie können eine Kopie der SCCs und unserer Zusammenfassung der Übermittlungsfolgenabschätzung erhalten, indem Sie privacy@useclozo.com kontaktieren.

8. Ihre Rechte (GDPR Articles 15–22)

Als betroffene Person mit Aufenthalt im Europäischen Wirtschaftsraum, im Vereinigten Königreich oder in der Schweiz haben Sie hinsichtlich Ihrer personenbezogenen Daten folgende Rechte:

• Auskunftsrecht (Art. 15): Bestätigung darüber zu erhalten, ob wir Ihre Daten verarbeiten, sowie eine Kopie davon zu erhalten.
• Recht auf Berichtigung (Art. 16): unrichtige oder unvollständige Daten berichtigen zu lassen.
• Recht auf Löschung (Art. 17): Ihre Daten löschen zu lassen ('Recht auf Vergessenwerden'), vorbehaltlich der Aufbewahrungspflichten gemäß Abschnitt 5.
• Recht auf Einschränkung der Verarbeitung (Art. 18): die Verarbeitung in bestimmten Fällen einzuschränken (z. B. während wir die Richtigkeit bestrittener Daten prüfen).
• Recht auf Datenübertragbarkeit (Art. 20): Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
• Widerspruchsrecht (Art. 21): jederzeit Widerspruch gegen eine Verarbeitung einzulegen, die auf einem berechtigten Interesse (Article 6(1)(f)) beruht — einschließlich Direktmarketing-Messung. Im Falle eines Widerspruchs werden wir die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.
• Recht auf Widerruf der Einwilligung (Art. 7(3)): die Einwilligung in Cookies und Tracking jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird. Klicken Sie auf 'Cookie-Einstellungen verwalten' auf dieser Seite oder im Seitenfuß, um das Cookie-Banner erneut zu öffnen.
• Recht, keiner ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22): wir setzen keine ausschließlich automatisierte Entscheidungsfindung mit Rechtswirkung gegenüber Ihnen im Sinne von Article 22 GDPR ein. Zwei automatisierte Systeme können den Zugang vorübergehend beeinträchtigen: (i) Stripe Radar bewertet Transaktionen auf Betrugsrisiko — Ablehnungen können durch eine E-Mail an privacy@useclozo.com zur menschlichen Überprüfung angefochten werden; (ii) django-axes sperrt ein Konto vorübergehend nach mehreren fehlgeschlagenen Anmeldeversuchen — Sperren laufen automatisch ab und können auf Anfrage aufgehoben werden. In beiden Fällen können Sie ein menschliches Eingreifen verlangen.

Um ein Recht auszuüben, schreiben Sie an privacy@useclozo.com. Wir antworten unverzüglich, in jedem Fall jedoch innerhalb eines Monats nach Eingang Ihrer Anfrage. Bei komplexen Anfragen oder bei einer Vielzahl von Anfragen können wir die Antwortfrist um zwei weitere Monate verlängern. In diesem Fall werden wir Sie innerhalb eines Monats nach Eingang der Anfrage über die Verlängerung und die Gründe für die Verzögerung informieren (Article 12(3) GDPR). Wir erheben keine Gebühr, es sei denn, Ihre Anfrage ist offenkundig unbegründet oder exzessiv (Article 12(5) GDPR); in diesem Fall werden wir die Grundlage der Gebühr erläutern.

9. Cookies und ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien auf app.useclozo.com und api.useclozo.com. Gemäß Article 5(3) of the ePrivacy Directive (in Spanien umgesetzt durch Article 22.2 of Ley 34/2002 LSSI-CE) dürfen ohne Ihre Einwilligung nur unbedingt erforderliche Cookies gesetzt werden. Alle anderen Kategorien werden erst nach Ihrer granularen Einwilligung über das beim Erstbesuch angezeigte Cookie-Banner gesetzt. Die Schaltflächen 'Alle ablehnen', 'Anpassen' und 'Alle akzeptieren' werden in optisch gleichwertiger Form präsentiert, im Einklang mit den EDPB Guidelines 03/2022 sowie der AEPD Guía sobre el uso de las cookies (Juli 2023).

• Unbedingt erforderlich (keine Einwilligung erforderlich): refresh_token (Authentifizierung, HttpOnly, Secure, SameSite=None, beschränkt auf /api/v1/auth/), CSRF-Token; clozo_lang (Sprachpräferenz der Oberfläche, 1 Jahr); clozo_locale_set (Markierung, dass Sie eine ausdrückliche Sprachwahl getroffen haben, 1 Jahr). Diese können nicht deaktiviert werden.
• Produktanalyse — nur nach Einwilligung gesetzt (PostHog): ph_*-Cookies und localStorage-Einträge, die von PostHog für pseudonymes Sitzungstracking und Erfassung von Produkt-Ereignissen gesetzt werden. Wird erst geladen, nachdem Sie auf 'Alle akzeptieren' geklickt oder die Analysekategorie im Cookie-Banner aktiviert haben. Wir nutzen sie, um zu verstehen, welche Funktionen Mehrwert liefern. Die Daten werden ausschließlich auf der EU-Instanz von PostHog (eu.i.posthog.com) verarbeitet. Cookie-Lebensdauer: bis zu 1 Jahr.
• Werbe-Attribution — nur nach Einwilligung gesetzt: clozo_first_gclid (90 Tage, HttpOnly, Secure, SameSite=Lax) — speichert die Google Click-ID Ihres ersten bezahlten Besuchs, damit wir nachfolgende Conversions der ursprünglichen Werbekampagne zuordnen können. Das Cookie wird ausschließlich serverseitig gelesen und nur dann übermittelt, wenn Sie ein Conversion-Ereignis abschließen (Registrierung, Zahlung), und ausschließlich an Google Ads über die Enhanced Conversions API. Die Lebensdauer von 90 Tagen entspricht dem standardmäßigen Klick-Attributionsfenster von Google. Kein Retargeting; keine Audience-Bildung; kein websiteübergreifendes Tracking. Zweck: Marketing-Attributionsmessung gemäß Recital 47 GDPR. Empfänger bei Aktivierung: Google Ireland Ltd / Google LLC. Rechtsgrundlage: Einwilligung (Article 6(1)(a) GDPR + Article 5(3) ePrivacy Directive).

Sie können Ihre Cookie-Einstellungen jederzeit verwalten, indem Sie unten oder im Fußbereich jeder Clozo-Seite auf 'Cookie-Einstellungen verwalten' klicken. Der Widerruf der Einwilligung in Analyse- oder Werbe-Cookies hindert Sie nicht an der Nutzung von Clozo — lediglich die entsprechende Verarbeitung wird eingestellt.

10. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, im Einklang mit Article 32 GDPR: TLS 1.2+ für Daten in der Übertragung, AES-256-GCM für sensible Daten im Ruhezustand (IBAN, OAuth-Refresh-Tokens), bcrypt-Passwort-Hashing mit nutzerspezifischen Salts, kurzlebige JWT-Access-Tokens mit HttpOnly-Refresh-Cookies, Content-Security-Policy, Ratenbegrenzung pro echter Client-IP, automatische Abmeldung bei Inaktivität, verschlüsselte externe Backups sowie Zugriffskontrollen, die einschränken, wer Produktionsdaten einsehen darf. Wir protokollieren jeden Zugriff auf personenbezogene Daten und überprüfen die Protokolle regelmäßig. Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, sofern dies gemäß Article 33 GDPR erforderlich ist, und benachrichtigen betroffene Nutzer unverzüglich, sofern dies gemäß Article 34 GDPR erforderlich ist.

11. Kontakt und Beschwerderecht

Bei Datenschutzfragen, zur Ausübung Ihrer Rechte oder bei Bedenken hinsichtlich des Umgangs mit Ihren Daten kontaktieren Sie uns unter privacy@useclozo.com. Sie haben außerdem das Recht, Beschwerde bei der Datenschutzaufsichtsbehörde des EU-Mitgliedstaats Ihres Wohnsitzes, Arbeitsplatzes oder des mutmaßlichen Verstoßes einzulegen. Unsere federführende Aufsichtsbehörde im Rahmen des One-Stop-Shop-Mechanismus (Article 56 GDPR) ist die spanische Datenschutzbehörde: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid, Spanien — www.aepd.es. Eine Liste sämtlicher nationaler Behörden ist verfügbar unter edpb.europa.eu/about-edpb/about-edpb/members_en.

12. Daten von Kindern

Clozo ist ein Geschäftstool für Nutzer ab 18 Jahren, im Einklang mit Article 8 GDPR (das Standard-Mindestalter für die Einwilligung in Dienste der Informationsgesellschaft beträgt in den meisten EU-Mitgliedstaaten 16 Jahre; in Spanien beträgt es gemäß Article 7 of LOPDGDD 3/2018 14 Jahre). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unterhalb der jeweils geltenden Altersgrenze. Sollten Sie Kenntnis davon erlangen, dass uns ein Kind personenbezogene Daten übermittelt hat, kontaktieren Sie bitte privacy@useclozo.com, und wir werden diese unverzüglich löschen.