Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Anmelden oder registrieren
Datenschutz

Wie wir mit Ihren Daten umgehen.

Informationen gemäß Art. 13 und 14 der EU-Datenschutz-Grundverordnung (DSGVO) zur Verarbeitung personenbezogener Daten durch die CITO GmbH im Zusammenhang mit dem Dienst CIVAC und dieser Website.

§ 1Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten über die Website und die Plattform CIVAC ist:

CITO GmbH
Jungfrauenthal 8
20149 Hamburg, Deutschland
E-Mail: info@civac.de

CIVAC ist eine Marke der CITO Holding Gruppe GmbH. Weitere Unternehmensangaben entnehmen Sie dem Impressum.

§ 2Datenschutzbeauftragter

Unser externer Datenschutzbeauftragter ist gemäß Art. 37 DSGVO bestellt. Sie erreichen den Datenschutzbeauftragten schriftlich unter der oben genannten Anschrift (z. Hd. Datenschutzbeauftragter) oder per E-Mail an info@civac.de (bitte mit dem Zusatz „z. Hd. Datenschutzbeauftragter“).

§ 3Rollen und Verantwortlichkeit

CIVAC nimmt je nach Verarbeitungsvorgang zwei unterschiedliche Rollen ein:

  • Verantwortlicher: für personenbezogene Daten, die wir im Rahmen der öffentlichen Website, der Marketing- und Vertriebskommunikation, der Kontoanlage, der Abrechnung sowie der Pflege unserer Geschäftsbeziehung mit Kunden, Interessenten und Partnern verarbeiten.
  • Auftragsverarbeiter: für personenbezogene Daten, die unsere Kunden im Rahmen der Nutzung der Plattform in CIVAC hochladen oder erzeugen (z. B. Beauftragten- und Rollendaten, Trainings-Status, Compliance-Dokumentationen, hochgeladene Dateien). Für diese Daten bleibt der Kunde Verantwortlicher; die Verarbeitung regelt ein gesonderter Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

§ 4Kategorien der erhobenen Daten

4.1 Von Ihnen bereitgestellte Daten

Konto- und Kontaktdaten (Name, geschäftliche E-Mail-Adresse, Telefon, Arbeitgeber, Rolle), Inhalte, die Sie in der Plattform eingeben (Beauftragten-Zuweisungen, Aufgaben, Trainingsergebnisse, hochgeladene Dokumente), Zahlungs- und Abrechnungsdaten sowie sämtliche Korrespondenz, die Sie an uns richten.

4.2 Automatisch erhobene Daten

Technische Zugriffsdaten, die bei der Nutzung unserer Website oder der Plattform anfallen: anonymisierte IP-Adresse, Betriebssystem, Gerätetyp, Herkunftsland, Datum und Uhrzeit der Anfrage, aufgerufene Seite bzw. Dateiname, übertragene Datenmenge sowie Erfolgs- bzw. Fehlermeldung. Diese Daten werden in Server-Logfiles zum Betrieb, zur Absicherung und zur Verbesserung des Dienstes gespeichert.

4.3 Daten aus Drittquellen

Soweit rechtlich zulässig, erhalten wir Daten von verbundenen Unternehmen, von unseren Kunden (etwa wenn Ihr Arbeitgeber Sie als Nutzer anlegt) oder von Dienstleistern im Bereich Onboarding, Zahlungsabwicklung oder Identitätsprüfung.

4.4 Öffentlich zugängliche Daten

Geschäftliche Kontaktdaten aus öffentlich zugänglichen Quellen (z. B. Unternehmenswebsites, Handelsregister, berufliche Netzwerke), die wir auf Grundlage unseres berechtigten Interesses an einer zielgerichteten B2B-Ansprache gemäß Art. 6 Abs. 1 lit. f DSGVO nutzen.

4.5 Aggregierte und anonymisierte Daten

Wir verwenden aggregierte und anonymisierte Statistiken (z. B. Nutzungsmetriken), um den Dienst zu betreiben, zu analysieren und weiterzuentwickeln. Solche Daten ermöglichen keine Identifizierung einzelner Personen und unterliegen daher nicht der DSGVO.

4.6 Cookies und vergleichbare Technologien

Beim Besuch unserer Website können folgende Informationen gespeichert werden: anonymisierte IP-Adresse, Betriebssystem, Gerät, Herkunftsland, Datum und Uhrzeit, aufgerufene Seite bzw. Dateiname, übertragene Datenmenge sowie eine Erfolgs- bzw. Fehlermeldung. Wir unterscheiden drei Cookie-Kategorien:

  • Technisch notwendig: erforderlich für die Bereitstellung des Dienstes (z. B. Authentifizierung, Lastverteilung, Sicherheit); Rechtsgrundlage Art. 6 Abs. 1 lit. b und f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.
  • Statistik: dient dem Verständnis der aggregierten Nutzung; Einsatz nur mit Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.
  • Personalisierung: passt Inhalte an und merkt sich Präferenzen; Einsatz nur mit Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen auf unserer Website widerrufen.

§ 5Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen des Art. 6 DSGVO und für die genannten Speicherdauern:

ZweckRechtsgrundlageSpeicherdauer
Kundenbeziehung (CRM, Vertragsabwicklung)Art. 6 Abs. 1 lit. b DSGVOBis zum Ende der Vertragsbeziehung
ZufriedenheitsumfragenArt. 6 Abs. 1 lit. f DSGVOBis zum Ende der Vertragsbeziehung
Netz- und InformationssicherheitArt. 6 Abs. 1 lit. f DSGVOWährend der Nutzung
Service-Analyse und ProduktentwicklungArt. 6 Abs. 1 lit. f DSGVOWährend der Nutzung
Nutzungsabhängige KostenberechnungArt. 6 Abs. 1 lit. b und f DSGVO6 Monate nach Nutzungsende
IdentitätsverifikationArt. 6 Abs. 1 lit. b DSGVOFür die Dauer des Vertrags
Marketing (Geschäftskontakte)Art. 6 Abs. 1 lit. f DSGVOBis zum Widerspruch
Direktmarketing (Newsletter)Art. 6 Abs. 1 lit. a DSGVOBis zum Widerruf der Einwilligung
Geltendmachung, Ausübung oder Verteidigung von RechtsansprüchenArt. 6 Abs. 1 lit. f DSGVOGesetzliche Aufbewahrungsfristen

§ 6Empfänger personenbezogener Daten

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies erforderlich ist und auf einer angemessenen Rechtsgrundlage beruht. Potenzielle Empfänger sind insbesondere:

  • mit der CITO GmbH verbundene Unternehmen, soweit der Verarbeitungszweck dies rechtfertigt;
  • für unsere Kunden tätige Auftragsverarbeiter zur Bereitstellung der Plattform (Hosting, E-Mail-Versand, Analyse, Support-Tools, Anbieter von KI-Inferenz). Eine aktuelle Liste ist auf Anfrage verfügbar und für die Plattform über den Kundenarbeitsbereich einsehbar;
  • andere Nutzer desselben Kundenarbeitsbereichs, soweit Kollaborationsfunktionen dies erfordern (z. B. gemeinsame Aufgaben, Zuweisungen, Dokumente);
  • Zahlungsdienstleister sowie zur Berufsverschwiegenheit verpflichtete Berater (Wirtschaftsprüfer, Steuerberater, Rechtsanwälte);
  • zuständige Gerichte, Behörden und öffentliche Stellen, soweit wir rechtlich zur Offenlegung verpflichtet oder berechtigt sind.

§ 7Übermittlungen in Drittländer

Wir verarbeiten personenbezogene Daten vorrangig innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums. Soweit Daten in ein Drittland übermittelt werden, stellen wir ein angemessenes Schutzniveau gemäß Kapitel V DSGVO sicher, insbesondere durch:

  • einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO);
  • die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), erforderlichenfalls ergänzt durch zusätzliche technische und organisatorische Maßnahmen;
  • den EU-US Data Privacy Framework für zertifizierte US-Empfänger.

Eine Kopie der zugrunde liegenden Garantien erhalten Sie auf Anfrage über die oben genannten Kontaktdaten.

§ 8Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist, und beachten dabei gesetzliche Aufbewahrungspflichten, insbesondere:

  • zehn Jahre für steuerlich relevante Unterlagen gemäß § 147 Abgabenordnung (AO);
  • sechs Jahre für Handelsbriefe und sonstige Geschäftsbücher gemäß § 257 Handelsgesetzbuch (HGB);
  • drei Monate nach Zweckentfall für Daten ohne gesetzliche Aufbewahrungspflicht; anschließend erfolgt Löschung oder Anonymisierung.

§ 9Ihre Rechte

Unter den jeweils gesetzlichen Voraussetzungen stehen Ihnen bezüglich der Sie betreffenden personenbezogenen Daten folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO);
  • Recht auf Berichtigung (Art. 16 DSGVO);
  • Recht auf Löschung (Art. 17 DSGVO);
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21 DSGVO);
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Die für die CITO GmbH zuständige Aufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22
20459 Hamburg, Deutschland

Es steht Ihnen frei, sich an die Aufsichtsbehörde Ihres Wohnorts, Arbeitsplatzes oder des Orts der mutmaßlichen Verletzung zu wenden.

§ 10Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

CIVAC setzt KI-gestützte Funktionen zur Unterstützung der Compliance-Arbeit ein (insbesondere KI-gestütztes Erstellen von Dokumentenentwürfen, Vorschläge und Empfehlungen). Diese Funktionen erzeugen ausschließlich Entwürfe und Empfehlungen; sie treffen keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung gegenüber Betroffenen oder mit ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 Abs. 1 DSGVO. Jede Entscheidung mit rechtlicher Wirkung wird durch den jeweils zuständigen Beauftragten oder die Geschäftsführung unseres Kunden getroffen.

Ihnen stehen jederzeit das Recht auf Eingreifen einer natürlichen Person seitens des Verantwortlichen, das Recht auf Darlegung des eigenen Standpunkts und das Recht auf Anfechtung der Entscheidung zu.

§ 11Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Vernichtung, Verlust, Veränderung und unbefugter Offenlegung oder unbefugtem Zugriff zu schützen (Art. 32 DSGVO). Dazu gehören insbesondere Transportverschlüsselung (TLS), Verschlüsselung im Ruhezustand, rollenbasierte Zugriffskontrollen, Protokollierung sowie ein dediziertes Informationssicherheitsprogramm. Weitere Details finden sich in unserer separaten Sicherheitsrichtlinie, die diese Datenschutzerklärung ergänzt.

§ 12Aktualisierungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung gelegentlich an, um Änderungen des Dienstes, unserer Verarbeitungstätigkeiten oder der geltenden Rechtslage abzubilden. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir Sie in geeigneter Form, etwa per E-Mail oder durch einen Hinweis in der Plattform.

§ 13Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten erreichen Sie uns unter info@civac.de.

Stand: 21. April 2026.
Kontakt Datenschutz: info@civac.de.