Datenschutzerklärung

Verantwortlicher: MVE Holding BV, handelnd als Libaros, eingetragen in den Niederlanden. Handelsname: Libaros. NL Handelskammer 58233938 · USt-IdNr. NL852937039B01. E-Mail: privacy@libaros.com.

Wir haben keinen formellen Datenschutzbeauftragten bestellt, da wir die DSGVO-Schwellen nicht erreichen. MVE Holding BV ist primärer Datenschutzkontakt via privacy@libaros.com.

Wir erheben das Minimum, das für den Betrieb des Dienstes erforderlich ist:

• Rechner-Eingaben: Brutto-Monatseinkommen, Wohnsitzland, Familiensituation, Unternehmensbeteiligung, Immobilienbesitz. Nur in einem signierten Token in deiner Browser-URL gespeichert, nicht auf unseren Servern, es sei denn, du kaufst einen Bericht.
• E-Mail-Adresse: bei Warteliste-Anmeldung, Bericht-Bestellung oder Newsletter-Abonnement.
• Rechnungsdaten (Name, Adresse, PLZ, Ort, Land): beim Checkout erhoben, ausschließlich zur Rechnungsstellung und zur Einhaltung unserer 7-jährigen niederländischen Steueraufbewahrungspflicht verwendet. Stripe erhebt diese direkt in seinem Checkout-Flow; bei Mollie erheben wir sie in unserem Formular und übergeben sie als Zahlungs-Metadaten.
• Zahlungsdaten: vollständig durch Stripe und Mollie abgewickelt. Wir erhalten nur die Bestätigung, niemals deine Kartennummer.
• Technische Daten: IP-Adresse, Browsertyp, besuchte Seiten. Nur für Sicherheit und aggregierte Analytik.

Wir verarbeiten deine Daten nur für diese Zwecke:

• Lieferung des bestellten Libaros-Berichts
• Rechnungsstellung und vierteljährliche EU-OSS-USt-Meldung an die niederländische Finanzbehörde (Belastingdienst)
• Versand essenzieller Service-E-Mails (Kaufbestätigung, Berichtslieferung, Rückerstattung)
• Monatlicher Newsletter, nur bei ausdrücklicher Anmeldung
• Aggregierte Analytik zur Produktverbesserung, nur bei akzeptierten Analyse-Cookies
• Betrugsprävention und Rate-Limiting

Nach DSGVO Art. 6 sind unsere Rechtsgrundlagen:

• Vertrag (Art. 6 Abs. 1 lit. b): Bei Bestellung eines Berichts verarbeiten wir die zur Lieferung notwendigen Daten.
• Einwilligung (Art. 6 Abs. 1 lit. a): Für Newsletter und Analyse-Cookies. Jederzeit widerrufbar.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Sicherheit, Betrugsprävention und aggregierte technische Analytik.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Steuer- und Buchführungsunterlagen.

Wir speichern Daten nur so lange wie nötig:

• Rechner-Tokens: 30 Tage (verfallen automatisch)
• Warteliste-E-Mail: bis zur Abmeldung
• Kaufunterlagen: 7 Jahre (niederländische Steuerpflicht)
• Bericht-PDFs: 5 Jahre (für erneuten Download)
• Technische Logs: 90 Tage

Wir verkaufen deine Daten nicht. Gemäß DSGVO Art. 28 besteht mit jedem nachstehenden Auftragsverarbeiter eine Auftragsverarbeitungsvereinbarung. Die Liste nennt den Verarbeiter, was er für uns tut und wo er ansässig ist:

• Supabase, Datenbank-Hosting; EU-Region (Frankfurt). Speichert Berichte, Zahlungen und Leads.
• Vercel, Website-Hosting; EU-Region für EU-Traffic. Betreibt die libaros.com-Anwendung.
• Stripe, Karten- und Apple-/Google-Pay-Zahlungen. Irland (Stripe Payments Europe Ltd.).
• Mollie, iDEAL, Bancontact, Wero-Zahlungen. Niederlande.
• Resend, Transaktions-E-Mails (Bestellbestätigung, Berichtszustellung). Irland.
• Beehiiv, Newsletter-Versand; nur bei Opt-in. USA, abgedeckt durch EU-US Data Privacy Framework.
• Anthropic, KI-Berichtsgenerierung. USA, abgedeckt durch Anthropic's Auftragsverarbeitungsaddendum und EU-US Data Privacy Framework.
• Trigger.dev, Hintergrundjob-Ausführung (Rendering und Auslieferung deines Berichts). USA, abgedeckt durch Trigger.dev's Auftragsverarbeitungsaddendum und Standardvertragsklauseln.
• Upstash, Redis-Cache für Rate-Limiting; EU-Region. Nur IP-Adressen werden verarbeitet.
• Plausible Analytics, datenschutzfreundliche cookielose Analytik, EU-Region; nur bei Zustimmung zu Analyse-Cookies.
• Behörden, soweit gesetzlich verpflichtet.

Die meisten unserer Auftragsverarbeiter sind in der EU. Anthropic befindet sich in den USA, Übertragungen basieren auf Standardvertragsklauseln und dem EU-US Data Privacy Framework-Angemessenheitsbeschluss.

Nach der DSGVO hast du das Recht auf:

• Auskunft über deine Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung, "Recht auf Vergessenwerden" (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses (Art. 21)
• Widerruf der Einwilligung jederzeit (Art. 7 Abs. 3)
• Beschwerde bei der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl)

Wir verwenden Industriestandard-Sicherheit: verschlüsselte Verbindungen (TLS 1.3), verschlüsselte Speicherung, rollenbasierte Zugriffskontrolle, Zwei-Faktor-Authentifizierung für Admin-Konten, regelmäßige Sicherheits-Audits und einen dokumentierten Incident-Response-Plan. Wir benachrichtigen die niederländische Datenschutzbehörde innerhalb von 72 Stunden und betroffene Nutzer unverzüglich im Falle einer Datenpanne.

Wir verwenden minimal Cookies. Strikt notwendige Cookies (Spracheinstellung, Consent-Status) sind immer aktiv. Analyse- und Marketing-Cookies erfordern ausdrückliche Einwilligung. Siehe unsere Cookie-Richtlinie für Details.

Wir können diese Erklärung aktualisieren, wenn sich Vorschriften oder unsere Praktiken ändern. Wesentliche Änderungen werden per E-Mail an aktive Kunden und durch einen Banner auf libaros.com kommuniziert.

Datenschutzfragen: privacy@libaros.com. Wir bemühen uns um Antwort innerhalb von 7 Werktagen.