Soweit wir Dienste einsetzen, deren Anbieter ihren Sitz außerhalb des EWR haben – insbesondere in den USA –, stellen wir durch geeignete Garantien sicher, dass Ihre Daten auch dort angemessen geschützt werden:

Für US-Anbieter, die unter dem DPF zertifiziert sind (z. B. Google LLC, Meta Platforms Inc.), besteht ein Angemessenheitsbeschluss der Europäischen Kommission gem. Art. 45 DSGVO.

Ergänzend haben wir mit allen relevanten US-Dienstleistern Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO geschlossen, einschließlich Transfer Impact Assessment (TIA).

Wo möglich nutzen wir EU-Server (z. B. AWS Frankfurt), IP-Anonymisierung und Verschlüsselung, um Datenübermittlungen in Drittstaaten zu minimieren.

Wichtiger Hinweis: Die USA gelten trotz DPF datenschutzrechtlich als Drittland. US-Behörden können unter bestimmten Voraussetzungen auf Daten zugreifen. Durch die genannten Schutzmaßnahmen minimieren wir dieses Risiko bestmöglich.

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erfüllung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben:

Dauer der Vertragsbeziehung + 3 Jahre (Art. 6 Abs. 1 lit. b DSGVO; § 195 BGB)

10 Jahre nach Ende des Geschäftsjahres (§ 147 AO, § 257 HGB)

6 bzw. 10 Jahre (§ 147 AO)

Bis Erledigung + 6 Monate (Art. 6 Abs. 1 lit. b/f DSGVO)

14 Tage, automatische Löschung (Art. 6 Abs. 1 lit. f DSGVO)

Bis zur Abmeldung (Art. 6 Abs. 1 lit. a DSGVO)

Max. 14 Monate (Google Analytics) bzw. Session (Art. 6 Abs. 1 lit. a/f DSGVO)

Ihnen stehen folgende Rechte zu. Zur Ausübung genügt eine formlose Mitteilung an datenschutz@dfkgroup.de.

Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, geschieht dies auf Grundlage eines AVV gem. Art. 28 Abs. 3 DSGVO. Der AVV regelt Weisungsgebundenheit, TOM, Subprozessoren und Pflichten bei Datenschutzvorfällen.

Unsere Vertragskunden können den AVV im Portal per Klick akzeptieren. Folgende Dokumente stehen zum Download bereit:

Für Endnutzer unserer Kunden: Wenn Sie als Endkunde eines Unternehmens, das NessyCloud nutzt, Fragen zur Verarbeitung Ihrer Daten haben, wenden Sie sich bitte zuerst an das jeweilige Unternehmen (Ihren Vertragspartner). Die DFK Invest AG handelt als Auftragsverarbeiter.

Seit dem 12. September 2025 findet der EU Data Act (Verordnung (EU) 2023/2854) Anwendung. Als SaaS-Anbieter stellen wir sicher, dass Sie Ihre Daten unkompliziert exportieren und übertragen können.

Sie haben das Recht, auf alle von Ihnen erzeugten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zuzugreifen.

Auf Ihr Verlangen stellen wir Ihre Daten Dritten bereit – ohne unangemessene Verzögerung, in offenem Format (CSV, JSON, XML).

Wir unterstützen den Wechsel aktiv: vollständiger Datenexport, Übergangsphase, Löschung nach Transfer, keine technischen Barrieren.

Ab dem 12. September 2027 erheben wir für den Datenexport bei Anbieterwechsel keine gesonderten Gebühren.

Datenexport anfordern: Über das NessyCloud-Portal unter Einstellungen → Daten → Export oder per Anfrage an hello@nessycloud.de. Export innerhalb von 30 Tagen.

Wir treffen gem. Art. 32 DSGVO angemessene Maßnahmen für ein dem Risiko angemessenes Schutzniveau:

TLS 1.2/1.3 für alle Übertragungen; AES-256 für gespeicherte Daten (at rest).

Rollenbasiertes Berechtigungskonzept, 2FA für Admin-Zugänge, Least Privilege.

Redundante Infrastruktur bei AWS Frankfurt, automatisierte Backups, Disaster Recovery.

AVV mit allen Subprozessoren, regelmäßige Dienstleister-Überprüfung.

Mitarbeiterschulungen, Vertraulichkeitsverpflichtung, Datenschutz-Managementsystem.

Meldung von Datenschutzverletzungen gem. Art. 33/34 DSGVO innerhalb von 72 Stunden.

TOM-Dokumentation: Unsere vollständige TOM-Liste gem. Art. 32 DSGVO ist als Anlage zum AVV dokumentiert und wird unseren Vertragskunden im Rahmen des Auftragsverarbeitungsvertrags bereitgestellt. Wenn Sie als Vertragskunde eine Kopie benötigen, wenden Sie sich bitte an hello@nessycloud.de.

Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie erheblich beeinträchtigt.

Soweit wir pseudonymisierte Nutzungsprofile erstellen (z. B. Google Analytics, Hotjar), dienen diese ausschließlich der statistischen Auswertung und Optimierung. Es erfolgt kein Scoring, keine Kreditwürdigkeitsprüfung und keine automatisierte Ablehnung von Verträgen. Sollte sich dies ändern, informieren wir Sie vorab.

Unsere Webseite verwendet Cookies und vergleichbare Tracking-Technologien:

Session-Cookie, CSRF-Token, Sprach-Cookie Technisch notwendig für die Grundfunktion der Webseite. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Login-Status, Benutzerpräferenzen Speicherung von Einstellungen und Präferenzen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Google Analytics (_ga, _gid), Hotjar (_hj*) Nutzungsstatistik und UX-Optimierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Facebook Pixel (_fbp), Google Ads (IDE, _gcl*) Conversion-Tracking und Remarketing. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Beim ersten Besuch wird Ihnen ein Cookie-Banner angezeigt. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer ändern. Zusätzliche Opt-out-Möglichkeiten:

Google Analytics Browser‒Opt‒out‒Plugin installieren → Hotjar hotjar.com/opt‒out → Facebook Pixel facebook.com/ads/preferences →

Browser Cookies in den Browser-Einstellungen blockieren oder löschen.

Server-Logfiles: Browser-Typ, Betriebssystem, Referrer-URL, Hostname, Uhrzeit, IP-Adresse. Erfassung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Löschung nach 14 Tagen. Keine Zusammenführung mit anderen Datenquellen. Kontaktformular und E-Mail: Übermittelte Daten werden zur Bearbeitung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO. Löschung nach Erledigung und Ablauf der Aufbewahrungsfristen. SSL-/TLS-Verschlüsselung: Alle Datenübertragungen sind verschlüsselt (https://). Facebook Connect: Sofern angeboten, auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Weitere Infos: facebook.com/about/privacy. Newsletter (rapidmail): Double-Opt-in, Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Abmeldung jederzeit möglich. AVV mit rapidmail geschlossen. Infos: rapidmail.de/datensicherheit. Google Analytics: IP-Anonymisierung aktiv. Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. AVV mit Google. Daten nach 14 Monaten anonymisiert. Infos: support.google.com. Hotjar: Heatmaps und Verhaltensanalyse. Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. AVV geschlossen. Opt-out: hotjar.com/opt‒out. Google Ads: Online-Werbeanzeigen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Facebook Pixel: Konversionsmessung auf Grundlage Ihrer Einwilligung. Opt-out: facebook.com/ads/preferences. YouTube: Erweiterter Datenschutzmodus – Daten erst beim Abspielen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f bzw. a DSGVO. Google Maps: IP-Adresse wird an Google übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f bzw. a DSGVO.

Für alle Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder zum Widerruf einer erteilten Einwilligung erreichen Sie uns unter:

Datenschutzbeauftragter: Dimitri Engel Gottlieb-Daimler-Straße 9, 24568 Kaltenkirchen E-Mail: datenschutz@dfkgroup.de Telefon: +49 4191 9999-0

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98, 24103 Kiel Webseite: https://www.datenschutzzentrum.de

Stand: 16. März 2026 | Änderungen vorbehalten © DFK Invest AG, Kaltenkirchen