Datenschutzerklärung für das Evoak-Portal

evoak GmbH · Stand: 13.07.2026, Version 1.0 · Portal-Dokumentversion 2026-07

1. Geltungsbereich und Verantwortlicher

(1) Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Registrierung und Nutzung des unter https://app.evoak.ai/ erreichbaren Portals einschließlich des Bestell- und Abonnementprozesses. Für die öffentlich zugängliche Website https://www.evoak.ai/ gilt die dort bereitgestellte Datenschutzerklärung.

(2) Verantwortlicher im Sinne der Datenschutz-Grundverordnung („DSGVO“) ist die evoak GmbH, Fürstenauer Weg 9, 49577 Ankum, eingetragen im Handelsregister des Amtsgerichts Osnabrück unter HRB 222475, vertreten durch den Geschäftsführer Timo Seggelmann, E-Mail: info@evoak.ai.

(3) Anfragen zum Datenschutz und zur Ausübung von Betroffenenrechten können an die vorstehenden Kontaktdaten, insbesondere per E-Mail an info@evoak.ai, gerichtet werden.

2. Datenschutzrechtliche Rollen bei der Nutzung des Portals

(1) evoak ist Verantwortlicher für die Verarbeitung von Registrierungs-, Nutzer-, Vertrags-, Abrechnungs-, Kommunikations-, Sicherheits- und Nutzungsdaten, soweit evoak die Zwecke und Mittel der Verarbeitung für den Betrieb und die Weiterentwicklung des Portals selbst festlegt.

(2) Gibt ein Kunde personenbezogene Daten anderer Personen in das Portal ein oder lädt er solche Daten hoch und bestimmt er die damit verfolgten Zwecke, ist regelmäßig der Kunde datenschutzrechtlich Verantwortlicher und evoak verarbeitet die betreffenden Daten als Auftragsverarbeiter nach Art. 28 DSGVO. In diesem Fall richtet sich die Verarbeitung zusätzlich nach der mit dem Kunden geschlossenen Vereinbarung zur Auftragsverarbeitung.

(3) Der Kunde ist in seinem Verantwortungsbereich insbesondere dafür zuständig, eine geeignete Rechtsgrundlage sicherzustellen, betroffene Personen zu informieren, deren Rechte zu erfüllen und nur solche Daten bereitzustellen, die für den jeweiligen Zweck erforderlich sind. evoak unterstützt den Kunden im vertraglich und gesetzlich vorgesehenen Umfang.

3. Kategorien und Quellen personenbezogener Daten

(1) evoak erhält personenbezogene Daten unmittelbar von Nutzern, von dem Unternehmen oder der Organisation, für die ein Nutzer tätig ist, von einem dort benannten Administrator, aus dem Bestell- und Zahlungsvorgang sowie automatisch bei der Nutzung des Portals. Soweit Nutzer Daten über andere Personen eingeben, stammen diese Daten von dem jeweiligen Nutzer oder Kunden.

(2) Registrierungs- und Profildaten umfassen insbesondere E-Mail-Adresse, Vorname, Nachname, Zugangsdaten in verschlüsselter beziehungsweise gehashter Form, Nutzer- und Kontokennung, Rolle oder Funktion, Unternehmenszugehörigkeit, Sprache und Kontoeinstellungen. Soweit im Portal angegeben oder für die Prüfung der Volljährigkeit erforderlich, können auch Anschrift, Geburtsdatum und weitere freiwillige Profilangaben verarbeitet werden.

(3) Unternehmens- und Abrechnungsdaten umfassen insbesondere Firma, Rechtsform, Geschäftsanschrift, Rechnungsanschrift, Umsatzsteuer-Identifikationsnummer, Ansprechpartner, gebuchten Tarif, Vertragslaufzeit, Preis, Abrechnungszeitraum, Rechnungs- und Transaktionsdaten sowie Zahlungsstatus.

(4) Vertrags- und Nachweisdaten umfassen insbesondere Datum und Uhrzeit der Registrierung oder Bestellung, die Versionsnummern der bestätigten Allgemeinen Geschäftsbedingungen und der zur Kenntnis genommenen Datenschutzerklärung, den Status der jeweiligen Kontrollkästchen, die verwendete IP-Adresse, Bestell- und Auftragsbestätigungen sowie Kündigungs- und Änderungsnachweise.

(5) Portal- und Inhaltsdaten umfassen insbesondere Eingaben, Prompts, Antworten, Dialogverläufe, Bewertungen, Ziele, Präferenzen, Unternehmensinformationen, Notizen, hochgeladene Dateien, Ergebnisse von Fragen oder Assessments, durch das Portal erzeugte Ausgaben, Zusammenfassungen, Empfehlungen, Roadmaps und freiwilliges Feedback. Diese Inhalte können personenbezogene Daten des Nutzers oder Dritter enthalten.

(6) Technische Nutzungs- und Protokolldaten umfassen insbesondere IP-Adresse, Datum und Uhrzeit von Zugriffen, aufgerufene Funktionen, Anfrage- und Antwortstatus, Browsertyp, Betriebssystem, Endgerät, Spracheinstellungen, Referrer, Sitzungs- und Authentifizierungskennungen, Fehler- und Sicherheitsereignisse sowie technische Leistungsdaten.

(7) Kommunikations- und Supportdaten umfassen insbesondere Absender, Empfänger, Zeitpunkt und Inhalt von E-Mails und Supportanfragen, gegebenenfalls übermittelte Anhänge sowie Informationen über Bearbeitung und Abschluss des Anliegens.

4. Zwecke und Rechtsgrundlagen der Verarbeitung

(1) evoak verarbeitet Registrierungs-, Profil-, Vertrags- und Inhaltsdaten, um Nutzerkonten einzurichten, den gewählten Tarif bereitzustellen, Nutzer zu authentifizieren, den KI-gestützten Agenten zu betreiben, Inhalte zu speichern und anzuzeigen sowie den Vertrag durchzuführen. Ist die betroffene Person selbst Vertragspartner, beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO. Bei Beschäftigten, Organmitgliedern oder sonstigen autorisierten Nutzern eines Unternehmenskunden beruht sie auf Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in der ordnungsgemäßen Durchführung des Vertrags mit dem Kunden und der Bereitstellung eines sicheren geschäftlichen Nutzerkontos.

(2) Unternehmens-, Abrechnungs- und Zahlungsdaten werden zur Anbahnung und Erfüllung des Vertrags, zur Abrechnung, Zahlungszuordnung, Rechnungsstellung und Verwaltung von Abonnements verarbeitet. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO sowie, soweit handels- oder steuerrechtliche Pflichten erfüllt werden, Art. 6 Abs. 1 lit. c DSGVO.

(3) Vertrags- und Nachweisdaten, insbesondere die protokollierte Fassung der AGB und Datenschutzerklärung, werden verarbeitet, um Vertragsschlüsse und Erklärungen nachvollziehen, rechtliche Pflichten erfüllen und Rechtsansprüche begründen, ausüben oder verteidigen zu können. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO. Das berechtigte Interesse liegt in einer rechtssicheren und nachweisbaren Vertragsabwicklung.

(4) Technische Nutzungs-, Protokoll- und Sicherheitsdaten werden verarbeitet, um das Portal bereitzustellen, Sitzungen zu verwalten, Fehler zu erkennen, Angriffe und Missbrauch abzuwehren, Zugriffe nachzuvollziehen, die Verfügbarkeit zu sichern und technische Kapazitäten zu planen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die berechtigten Interessen bestehen in der sicheren, stabilen und wirtschaftlichen Bereitstellung des Portals sowie im Schutz von evoak, Kunden, Nutzern und Dritten.

(5) Kommunikations- und Supportdaten werden zur Bearbeitung von Anfragen, zur Störungsbeseitigung und zur Kundenbetreuung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation einen Vertrag oder vorvertragliche Maßnahmen betrifft; im Übrigen Art. 6 Abs. 1 lit. f DSGVO aufgrund des berechtigten Interesses an einer effizienten Bearbeitung von Anfragen.

(6) Servicebezogene Mitteilungen, insbesondere zur Registrierung, Authentifizierung, Sicherheit, Vertragsverwaltung, Abrechnung und wesentlichen Produktänderungen, werden auf Grundlage von Art. 6 Abs. 1 lit. b beziehungsweise lit. f DSGVO versandt. Werbung und optionale Produktinformationen werden nur auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder, soweit die gesetzlichen Voraussetzungen vorliegen, im Rahmen bestehender Kundenbeziehungen verarbeitet. Ein Widerruf beziehungsweise Widerspruch ist jederzeit möglich.

(7) Optionale Analyse- oder Komfortfunktionen, die nicht für den Betrieb des Portals erforderlich sind und auf Informationen im Endgerät zugreifen oder solche speichern, werden nur nach vorheriger Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG eingesetzt. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft über die angebotenen Datenschutzeinstellungen widerrufen werden.

(8) Soweit eine Verarbeitung zur Erfüllung gesetzlicher Verpflichtungen, zur Bearbeitung behördlicher Anfragen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. c beziehungsweise lit. f DSGVO.

5. KI-gestützte Verarbeitung und Personalisierung

(1) Das Portal nutzt künstliche Intelligenz, um Eingaben zu analysieren, Zusammenhänge zu strukturieren und automatisiert Ausgaben, Vorschläge, Zusammenfassungen oder Empfehlungen zu erzeugen. Nutzer werden im Portal in geeigneter Weise darauf hingewiesen, dass sie mit einem KI-System interagieren und dass Inhalte automatisiert erzeugt werden.

(2) Für die technische Erzeugung der KI-Ausgaben setzt evoak [Firma, Rechtsform, Sitz und Anschrift des eingesetzten KI-Dienstleisters] ein. An den KI-Dienstleister werden nur die für die jeweilige Anfrage erforderlichen Eingaben, Kontextinformationen, Dateien und technischen Metadaten übermittelt.

(3) Für die Verarbeitung beim KI-Dienstleister gelten folgende Bedingungen: [keine Nutzung zu eigenen Trainingszwecken; Aufbewahrungsdauer beim KI-Dienstleister: ___ Tage]. Soweit eine vorübergehende Speicherung aus Sicherheits- oder Missbrauchsschutzgründen erfolgt, wird sie auf das erforderliche Maß beschränkt.

(4) Zur Personalisierung können Profilangaben, frühere Eingaben, Dialogverläufe und Nutzungskontext miteinander verknüpft und ausgewertet werden. Soweit hierbei persönliche Aspekte eines Nutzers analysiert oder vorhergesagt werden, kann dies ein Profiling im Sinne des Art. 4 Nr. 4 DSGVO darstellen. Die Personalisierung dient ausschließlich der Anpassung der Unterstützung im Portal.

(5) evoak trifft auf Grundlage des Portals keine ausschließlich automatisierten Entscheidungen im Sinne des Art. 22 DSGVO, die gegenüber einer Person rechtliche Wirkung entfalten oder sie in ähnlich erheblicher Weise beeinträchtigen. Die Ausgaben dienen der Entscheidungsunterstützung; die Entscheidung und Verantwortung verbleiben beim Nutzer beziehungsweise Kunden.

(6) Das Portal ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten ausgelegt, sofern eine solche Verarbeitung nicht ausdrücklich für einen konkreten Anwendungsfall freigegeben und rechtlich abgesichert wurde. Nutzer sollen entsprechende Angaben nicht in freie Eingabefelder oder Dateien aufnehmen.

(7) Eine inhaltliche Einsichtnahme durch besonders berechtigte Beschäftigte oder technische Administratoren von evoak ist technisch möglich. Sie erfolgt nur, soweit dies für Support, Störungsbeseitigung, Sicherheit, Missbrauchsprüfung, Wartung, Qualitätssicherung oder die Erfüllung gesetzlicher Pflichten erforderlich ist. Die betreffenden Personen sind zur Vertraulichkeit verpflichtet und erhalten Zugriffsrechte nur im erforderlichen Umfang.

6. Hosting, Datenbank und Domaininfrastruktur

(1) Das Anwendungs-Hosting des Portals erfolgt über Fly.io, Inc., USA. evoak betreibt die für das Portal eingesetzten Anwendungsinstanzen in europäischen Rechenzentrumsregionen, derzeit Frankfurt, Paris, Amsterdam und Stockholm. Dabei werden insbesondere Portal- und Inhaltsdaten, technische Protokolldaten, IP-Adressen sowie Verbindungs- und Sicherheitsdaten verarbeitet. Die Datenübertragung zwischen Endgerät und Portal ist durch HTTPS/TLS geschützt.

(2) Für Datenbank-, Authentifizierungs- und gegebenenfalls Speicherfunktionen setzt evoak Supabase, Inc., USA, ein. Die produktive Datenbank wird in der Region Frankfurt auf Infrastruktur von Amazon Web Services („AWS“) in der Region EU-Central betrieben. Daten werden bei der Übertragung verschlüsselt; Datenbankinhalte werden nach Maßgabe der eingesetzten Infrastruktur verschlüsselt gespeichert.

(3) Zur Trennung von Nutzer- und Organisationsdaten werden technische Berechtigungsregeln, insbesondere Row Level Security, sowie rollenbasierte Zugriffssteuerungen eingesetzt. Sicherungen der Datenbank werden in der Region Frankfurt erstellt. Umfang, Frequenz und Verfügbarkeit von Sicherungen richten sich nach der jeweils eingesetzten technischen Konfiguration.

(4) Für Registrierung und Verwaltung der Domain evoak.ai sowie gegebenenfalls für DNS-Dienste setzt evoak IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, ein. Dabei können Domain-, Vertrags-, Kontakt- sowie technische DNS- und Verbindungsdaten verarbeitet werden.

(5) Mit den als Auftragsverarbeiter eingesetzten Dienstleistern werden, soweit gesetzlich erforderlich, Vereinbarungen nach Art. 28 DSGVO geschlossen. Unterauftragnehmer werden nach den vertraglich und gesetzlich vorgesehenen Verfahren eingebunden.

7. Zahlungsabwicklung und Abonnements

(1) Für die Zahlungsabwicklung und Verwaltung wiederkehrender Entgelte setzt evoak [Mollie B.V. / Stripe Payments Europe, Limited] ein. Der Zahlungsdienstleister erhält die für die gewählte Zahlungsart erforderlichen Kunden-, Rechnungs-, Bestell-, Transaktions-, Geräte- und gegebenenfalls Betrugspräventionsdaten.

(2) evoak erhält vom Zahlungsdienstleister insbesondere Transaktionskennung, Zahlungsart, Betrag, Währung, Zahlungsstatus und gegebenenfalls Informationen über Rücklastschriften oder Erstattungen. Vollständige Karten- oder Kontozugangsdaten werden grundsätzlich unmittelbar durch den Zahlungsdienstleister verarbeitet und nicht von evoak gespeichert.

(3) Die Verarbeitung erfolgt zur Durchführung des Vertrags auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie zur Verhinderung von Missbrauch und Zahlungsausfällen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Soweit der Zahlungsdienstleister eigene gesetzliche Pflichten erfüllt, insbesondere zur Geldwäscheprävention, Betrugsbekämpfung oder aufsichtsrechtlichen Dokumentation, verarbeitet er Daten in eigener Verantwortlichkeit. Ergänzend gelten dessen Datenschutzinformationen.

8. E-Mail-Versand, Kommunikation und Support

(1) Für Registrierungs-, Verifizierungs-, Passwort-, Sicherheits-, Vertrags-, Abrechnungs- und Supportnachrichten kann evoak spezialisierte E-Mail- und Kommunikationsdienstleister als Auftragsverarbeiter einsetzen. Dabei werden insbesondere E-Mail-Adresse, Name, Kunden- oder Nutzerkennung, Nachrichtentyp, Versandzeitpunkt, Zustellstatus und der jeweilige Nachrichteninhalt verarbeitet.

(2) Bei Supportanfragen können zur Bearbeitung Kontodaten, technische Protokolle sowie die vom Nutzer mitgeteilten Inhalte und Anhänge herangezogen werden. Soweit ein Zugriff auf Dialoge oder Dateien erforderlich ist, wird er auf den konkreten Supportfall und den erforderlichen Umfang beschränkt.

9. Technisches Monitoring, Cookies und vergleichbare Speichertechnologien

(1) Zur technischen Betriebs-, Leistungs- und Fehlerüberwachung nutzt evoak die innerhalb der vorgenannten europäischen Hostingumgebung betriebene Monitoring-Lösung [VictoriaMetrics (selbst betrieben) / Bezeichnung, Firma und Sitz eines externen Monitoring-Anbieters]. Verarbeitet werden insbesondere Systemmetriken, Zeitstempel, Antwortzeiten, Fehlercodes, Ressourcenauslastung und gegebenenfalls gekürzte oder pseudonymisierte technische Kennungen. Eine planmäßige inhaltliche Auswertung von Dialogen zu Monitoringzwecken findet nicht statt.

(2) Für Anmeldung, Sitzungsverwaltung, Sicherheit, Spracheinstellungen und sonstige ausdrücklich gewünschte Portal-Funktionen werden technisch erforderliche Cookies, Session- oder Local-Storage-Einträge und vergleichbare Technologien eingesetzt. Der Zugriff auf Informationen im Endgerät beziehungsweise deren Speicherung ist insoweit nach § 25 Abs. 2 Nr. 2 TDDDG erforderlich; die anschließende Verarbeitung personenbezogener Daten beruht auf Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

(3) Soweit optionale Analyse-, Komfort- oder Marketingtechnologien eingesetzt werden, erfolgt deren Aktivierung erst nach Einwilligung. Die konkrete Bezeichnung, der Anbieter, der Zweck, die Speicherdauer und die Widerrufsmöglichkeit werden in den Datenschutzeinstellungen beziehungsweise im Einwilligungsdialog angezeigt. Ein Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht.

(4) Im Rahmen einer Weiterleitung an einen externen Zahlungsdienstleister können dort für die Zahlungsabwicklung, Sicherheit und Betrugsprävention eigene Cookies oder vergleichbare Technologien eingesetzt werden. Hierfür gelten ergänzend die Informationen des jeweiligen Zahlungsdienstleisters.

10. Weitere Empfänger und Kategorien von Empfängern

(1) Innerhalb von evoak erhalten nur diejenigen Personen Zugriff auf personenbezogene Daten, die diese für Betrieb, Entwicklung, Support, Abrechnung, Sicherheit, Rechtsangelegenheiten oder Geschäftsleitung benötigen.

(2) Neben den in dieser Datenschutzerklärung genannten technischen Dienstleistern können personenbezogene Daten an Steuerberatung, Wirtschaftsprüfung, Rechtsberatung, Banken, Versicherungen, Inkassodienstleister oder sonstige beruflich zur Vertraulichkeit verpflichtete Berater übermittelt werden, soweit dies für Abrechnung, Unternehmensverwaltung, Rechtsberatung oder Rechtsdurchsetzung erforderlich ist.

(3) Eine Übermittlung an Behörden, Gerichte oder sonstige öffentliche Stellen erfolgt, wenn evoak hierzu gesetzlich verpflichtet ist oder dies zur Wahrung berechtigter Interessen, insbesondere zur Rechtsverfolgung oder Gefahrenabwehr, erforderlich und zulässig ist.

(4) Im Fall einer gesellschaftsrechtlichen Umstrukturierung, Finanzierung, Veräußerung oder Übertragung von Unternehmensteilen können Daten im gesetzlich zulässigen Umfang gegenüber beteiligten Erwerbern, Investoren und Beratern offengelegt werden. Dabei werden Vertraulichkeit und Zweckbindung angemessen abgesichert.

11. Datenübermittlungen in Drittländer

(1) Einzelne von evoak eingesetzte Dienstleister haben ihren Sitz in den USA oder können von dort aus auf Daten zugreifen, auch wenn die produktive Speicherung in der Europäischen Union erfolgt. Eine solche Verarbeitung außerhalb des Europäischen Wirtschaftsraums findet nur statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(2) Soweit für einen Empfänger ein Angemessenheitsbeschluss der Europäischen Kommission besteht, kann die Übermittlung hierauf gestützt werden. Im Übrigen werden insbesondere die Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO und, soweit erforderlich, ergänzende technische und organisatorische Schutzmaßnahmen eingesetzt. Informationen zu den im Einzelfall verwendeten Garantien können über info@evoak.ai angefordert werden.

12. Technische und organisatorische Schutzmaßnahmen

(1) evoak trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie von Art, Umfang, Umständen und Zwecken der Verarbeitung angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Hierzu gehören insbesondere Transportverschlüsselung mittels HTTPS/TLS, Verschlüsselung gespeicherter Daten nach Maßgabe der Infrastruktur, rollenbasierte Zugriffsrechte, Row Level Security, sichere Authentifizierung, Protokollierung sicherheitsrelevanter Ereignisse, regelmäßige Aktualisierungen und Datensicherungen.

(2) Trotz angemessener Sicherheitsmaßnahmen kann bei der Datenübertragung und Verarbeitung über das Internet kein absoluter Schutz garantiert werden. Nutzer sollen Zugangsdaten nicht weitergeben, sichere Passwörter verwenden, Endgeräte schützen und Sicherheitsvorfälle unverzüglich an evoak melden.

13. Speicherdauer und Löschung

(1) Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungs- und Nachweispflichten bestehen. Danach werden die Daten gelöscht oder anonymisiert, soweit keine zulässigen Gründe für eine weitere Speicherung vorliegen.

(2) Nicht abgeschlossene oder nicht verifizierte Registrierungen werden nach Ablauf der Verifizierungsmöglichkeit und einer technisch erforderlichen Sicherheitsfrist gelöscht, sofern keine Missbrauchs- oder Nachweisgründe eine weitere, auf das erforderliche Maß beschränkte Speicherung rechtfertigen.

(3) Registrierungs-, Profil-, Portal- und Inhaltsdaten werden für die Dauer des Nutzer- beziehungsweise Vertragsverhältnisses gespeichert. Nach Beendigung werden sie aus den aktiven Produktivsystemen gelöscht oder anonymisiert, sobald sie für die Abwicklung des Vertragsendes, einen angebotenen Datenexport, die Bearbeitung offener Vorgänge oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten, Sicherheitsvorfälle oder abweichenden Vereinbarungen entgegenstehen.

(4) Daten in regulären Sicherungskopien werden nicht einzeln gelöscht, sondern im Rahmen der vorgesehenen Sicherungszyklen überschrieben, spätestens nach [30] Tagen. Wird eine Sicherung zur Wiederherstellung eingesetzt, werden zuvor wirksam gelöschte Daten im Anschluss erneut gelöscht.

(5) Technische Zugriffs-, Fehler- und Sicherheitsprotokolle werden nur so lange aufbewahrt, wie dies für die Sicherstellung des Betriebs, die Fehleranalyse, die Abwehr von Angriffen und den Nachweis von Sicherheitsereignissen erforderlich ist. Bei einem konkreten Sicherheitsvorfall, Missbrauchsverdacht oder Rechtsstreit können die erforderlichen Protokolle bis zum Abschluss der Untersuchung und darüber hinaus bis zum Ablauf einschlägiger Verjährungsfristen aufbewahrt werden.

(6) Vertrags-, Bestell-, Kündigungs- und Nachweisdaten werden für die Vertragsdauer und anschließend bis zum Ablauf der einschlägigen gesetzlichen Verjährungsfristen gespeichert; die regelmäßige Verjährungsfrist beträgt grundsätzlich drei Jahre und beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist. Gesetzlich aufzubewahrende Handels-, Steuer- und Rechnungsunterlagen werden für die jeweils geltenden gesetzlichen Zeiträume aufbewahrt.

(7) Support- und sonstige Geschäftskommunikation wird so lange gespeichert, wie dies für die Bearbeitung des Vorgangs, die Durchführung des Vertrags sowie die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, soweit sie nicht Bestandteil länger aufzubewahrender Vertrags- oder Buchhaltungsunterlagen ist. Marketingdaten werden bis zum Widerruf der Einwilligung oder Widerspruch gespeichert; ein erforderlicher Sperrvermerk kann anschließend zum Nachweis des Widerrufs oder Widerspruchs fortgeführt werden.

14. Pflicht zur Bereitstellung von Daten

(1) Die als Pflichtfelder gekennzeichneten Registrierungs-, Vertrags- und Zahlungsdaten sind für die Einrichtung des Nutzerkontos beziehungsweise den Abschluss und die Durchführung des Vertrags erforderlich. Ohne diese Daten kann evoak die Registrierung, Bestellung oder gewünschte Leistung nicht bereitstellen.

(2) Freiwillige Profilangaben, optionale Inhalte und Einwilligungen sind nicht Voraussetzung für den Abschluss eines Vertrags, soweit im jeweiligen Eingabedialog nicht ausdrücklich und rechtmäßig etwas anderes erläutert wird. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

15. Rechte betroffener Personen

(1) Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft nach Art. 15 DSGVO, Berichtigung nach Art. 16 DSGVO, Löschung nach Art. 17 DSGVO, Einschränkung der Verarbeitung nach Art. 18 DSGVO und Datenübertragbarkeit nach Art. 20 DSGVO.

(2) Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Widerspruchsrecht: Beruht eine Verarbeitung auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO, kann die betroffene Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einlegen. Werden personenbezogene Daten für Direktwerbung verarbeitet, kann der Verarbeitung zu diesem Zweck jederzeit ohne Angabe besonderer Gründe widersprochen werden.

(3) Zur Bearbeitung eines Antrags kann evoak Informationen anfordern, die zur Bestätigung der Identität erforderlich sind. Rechte können über info@evoak.ai ausgeübt werden. Soweit evoak Daten ausschließlich im Auftrag eines Kunden verarbeitet, kann evoak den Antrag an den jeweils verantwortlichen Kunden weiterleiten oder die betroffene Person an diesen verweisen.

16. Beschwerderecht bei einer Aufsichtsbehörde

(1) Betroffene Personen haben nach Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

(2) Für evoak ist regelmäßig der Landesbeauftragte für den Datenschutz Niedersachsen zuständig: Prinzenstraße 5, 30159 Hannover, E-Mail: poststelle@lfd.niedersachsen.de.

17. Minderjährige

(1) Das Portal richtet sich an volljährige Unternehmerinnen, Unternehmer und Führungskräfte. Personen unter 18 Jahren dürfen kein eigenes Nutzerkonto anlegen. Erlangt evoak Kenntnis von einer unzulässigen Registrierung Minderjähriger, kann das Nutzerkonto gesperrt und gelöscht werden.

18. Änderungen dieser Datenschutzerklärung

(1) evoak kann diese Datenschutzerklärung anpassen, wenn sich Funktionen, Datenverarbeitungen, Dienstleister oder die Rechtslage ändern. Die jeweils aktuelle Fassung wird im Portal bereitgestellt. Über wesentliche Änderungen, die ein bestehendes Nutzerkonto betreffen, informiert evoak in geeigneter Weise.

(2) Die Bestätigung der Kenntnisnahme einer aktualisierten Datenschutzerklärung dient ausschließlich dem Nachweis der Information. Soweit für eine neue oder geänderte Verarbeitung eine Einwilligung erforderlich ist, wird diese gesondert, freiwillig, informiert und widerruflich eingeholt.