Colex
Anmelden

Rechtliches

Datenschutzerklärung

Stand: 16. Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
Colex Werbeagentur
Inhaberin: Lisa Mandana Ut
Kaiserin-Augusta-Allee 95
10589 Berlin
Deutschland
Umsatzsteuer-ID: DE320392292
E-Mail: support@colex.io

2. Gegenstand und Zielgruppe

Diese Datenschutzerklärung gilt für die Webanwendung Colex unter https://app.colex.io (nachfolgend „Anwendung“). Die Anwendung ist eine mandantenfähige Business-Software für Unternehmen (B2B). Verarbeitet werden insbesondere Daten der registrierten Nutzer sowie der von Mandanten in der Anwendung gepflegten Geschäftsdaten (z. B. Kunden, Dokumente, Aufgaben).

3. Kategorien personenbezogener Daten

  • Nutzerkonten: Name, E-Mail, Rolle/Berechtigungen, Login- und Sitzungsdaten
  • Geschäftsdaten der Mandanten: Kundenstammdaten, Ansprechpartner, Dokumente (Angebote, Rechnungen, Lieferscheine u. a.), Positionen und Beträge
  • Kommunikation: Support-Anfragen, Support-Chat-Verläufe, Ticket-Nachrichten, ggf. E-Mail-Inhalte bei Anbindung eines Postfachs (IMAP)
  • Dateien: hochgeladene Anhänge (z. B. PDF, Bilder für Belege oder Support)
  • Abrechnung: Vertrags- und Zahlungsdaten bei gebuchten Plänen (über Zahlungsdienstleister)
  • Protokoll- und Sicherheitsdaten: IP-Adresse, Zeitstempel, Browser/User-Agent, Fehler- und Aktivitätsprotokolle
  • Optionale Integrationen: Daten aus verbundenen Google-Diensten (Kalender, Unternehmensprofil/Bewertungen), soweit ein Mandant diese Funktion aktiv verbindet

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung, Betrieb und Verbesserung der Anwendung (Art. 6 Abs. 1 lit. b DSGVO – Vertrag/vorvertragliche Maßnahmen)
  • Authentifizierung, Mandantentrennung und Zugriffskontrolle (Art. 6 Abs. 1 lit. b und f DSGVO)
  • Kundensupport und Fehlerbehebung (Art. 6 Abs. 1 lit. b und f DSGVO)
  • Abrechnung und Verwaltung von Abonnements (Art. 6 Abs. 1 lit. b DSGVO)
  • KI-gestützte Funktionen (Support-Chat, Dokumentenerkennung) nur im erforderlichen Umfang (Art. 6 Abs. 1 lit. b bzw. lit. a DSGVO bei Einwilligung)
  • IT-Sicherheit, Missbrauchsprävention und Nachweispflichten (Art. 6 Abs. 1 lit. f DSGVO)
  • Gesetzliche Aufbewahrungspflichten, z. B. steuer- und handelsrechtlich (Art. 6 Abs. 1 lit. c DSGVO)

5. Hosting und Speicherung

Die Anwendung wird von Colex Werbeagentur (Inhaberin: Lisa Mandana Ut) auf eigener, von uns betriebener Infrastruktur gehostet – nicht bei einem separaten externen Webhosting-Dienstleister. Serverstandort ist in der Regel Deutschland bzw. innerhalb der Europäischen Union.

Daten werden in Datenbanken und Dateispeichern der Anwendung gehalten. Mandantendaten sind logisch voneinander getrennt (Multi-Tenancy). Zugriff haben nur berechtigte Mitarbeiter von Colex Werbeagentur im für Betrieb und Support erforderlichen Umfang.

6. Cookies und ähnliche Technologien (TTDSG)

Wir setzen auf den Webseiten der Anwendung keine Marketing- oder Analyse-Cookies ein (z. B. kein Google Analytics, kein Meta Pixel).

Technisch notwendige Cookies verwenden wir für:

  • Login und Sitzung (Session-Cookie, z. B. „colex-session“)
  • Sicherheit (CSRF-Schutz, z. B. „XSRF-TOKEN“)
  • optional „Angemeldet bleiben“, sofern Sie diese Funktion nutzen

Diese Cookies sind für den Betrieb der Anwendung erforderlich. Eine gesonderte Cookie-Einwilligung (Cookie-Banner) ist dafür nach derzeitiger Rechtslage nicht erforderlich, weil keine nicht notwendigen Tracking-Cookies gesetzt werden.

Hinweis: Sobald zusätzliche Tools mit Tracking-Cookies eingebunden werden, ist vorab eine Einwilligung über ein Cookie-Banner einzuholen und diese Erklärung anzupassen.

7. Eingesetzte Dienste und Empfänger

Abhängig von der Nutzung können folgende Empfänger/Kategorien in Betracht kommen:

7.1 Mistral AI (KI-Funktionen)

Für KI-gestützten Support-Chat und die Erkennung von Inhalten aus hochgeladenen Dokumenten (z. B. Belege) können Texte und Bilddaten an die API von Mistral AI (Mistral AI SAS, Frankreich) übermittelt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bereitgestellte Funktion) bzw. Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erforderlich ist. Es werden nur die für die jeweilige Anfrage notwendigen Inhalte übermittelt. Datenschutz von Mistral AI

7.2 Google-Dienste (Google API Services User Data Policy)

Wenn ein Mandant Google-Dienste mit Colex verbindet (z. B. für die Module TaskFlow oder TrustBase), werden Daten an Google Ireland Limited / Google LLC übermittelt. Colex nutzt und überträgt Informationen, die über Google APIs bezogen wurden, ausschließlich in Übereinstimmung mit der Google API Services User Data Policy (einschließlich der Bestimmungen zur eingeschränkten Nutzung – „Limited Use“).

Erfasste Daten (Data Accessed)

Wir greifen nur auf Daten zu, für die der Mandant bzw. der jeweilige Nutzer bei der OAuth-Authentifizierung ausdrücklich die Berechtigung erteilt hat. Je nach verbundener Funktion kann das insbesondere sein:

  • TaskFlow / Google Kalender: Kalenderlisten, Kalenderereignisse (z. B. Titel, Zeiten, Beschreibung) sowie die Google-Konto-E-Mail zur Identifikation der Verbindung
  • TrustBase / Google Business Profile: Unternehmensprofil, Standortdaten, Google-Bewertungen und Antworten sowie die Google-Konto-E-Mail zur Verbindung

Es werden keine weiteren Google-Daten abgerufen, als für die jeweilige Funktion technisch erforderlich sind. Google-Zugangsdaten (OAuth-Tokens) werden gesondert und verschlüsselt gespeichert; Passwörter des Google-Kontos werden von uns nicht abgefragt.

Datennutzung (Data Usage)

Die abgerufenen Google-Nutzerdaten werden ausschließlich zur Bereitstellung der jeweiligen Funktionen innerhalb der Colex-Webanwendung verwendet – z. B. Anzeige und Synchronisation von Terminen im Kanban-Board bzw. Anzeige und Beantwortung von Bewertungen im TrustBase-Modul. Eine Nutzung zu Werbezwecken, Profilbildung, KI-Training durch uns oder zur Weitergabe an Datenbroker findet nicht statt.

Weitergabe von Daten (Data Sharing)

Google-Nutzerdaten werden von uns vertraulich behandelt. Wir verkaufen, vermieten oder teilen diese Daten nicht mit Dritten zu deren eigenen Zwecken (z. B. Werbetreibende oder Datenbroker). Eine Übermittlung an Auftragsverarbeiter (z. B. Hosting) erfolgt nur, soweit dies für den Betrieb der Anwendung erforderlich ist und die Dienstleister die Daten nicht für eigene Zwecke verwenden dürfen. Eine Weitergabe an andere Dritte erfolgt nur, wenn der Mandant dies ausdrücklich veranlasst (z. B. Antwort auf eine Bewertung über die Google-API) oder wir gesetzlich dazu verpflichtet sind.

Speicherung & Schutz (Storage & Protection)

Alle abgerufenen Google-Daten werden verschlüsselt (TLS/SSL) übertragen und mandantentrennend in unserer Datenbank gespeichert. Der Zugriff innerhalb der Anwendung ist durch Rollen- und Mandantentrennung geschützt. Technische Sicherheitsmaßnahmen (z. B. Zugriffskontrolle, Protokollierung, regelmäßige Updates) werden im Rahmen des Standes der Technik umgesetzt.

Speicherdauer & Löschung (Retention & Deletion)

Google-Nutzerdaten werden nur so lange gespeichert, wie die jeweilige Verknüpfung zwischen Colex und dem Google-Konto aktiv ist. Mandanten bzw. Nutzer können die Verknüpfung jederzeit in den Einstellungen der Anwendung aufheben. Bei einer Aufhebung werden die zugehörigen OAuth-Tokens gelöscht; bei TrustBase werden synchronisierte Bewertungsdaten aus unseren Systemen entfernt. Nach Löschung des Nutzer- oder Mandantenkontos bzw. nach Widerruf über Google werden die Daten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage der Verarbeitung ist in der Regel die Vertragserfüllung mit dem Mandanten (Art. 6 Abs. 1 lit. b DSGVO) sowie ggf. dessen Einwilligung über den OAuth-Dialog (Art. 6 Abs. 1 lit. a DSGVO). Weitere Informationen: Datenschutzerklärung von Google.

7.3 Stripe (Zahlungsabwicklung)

Für Abonnements und Zahlungen kann Stripe Payments Europe Ltd. (bzw. verbundene Stripe-Gesellschaften) als Zahlungsdienstleister eingesetzt werden. Dabei werden u. a. Zahlungs- und Vertragsdaten verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz von Stripe

7.4 Echtzeit-Kommunikation (optional)

Für Live-Updates im Support-Bereich kann Laravel Reverb (WebSockets) auf unserer Infrastruktur oder einem von uns betriebenen Server eingesetzt werden. Es werden dabei technische Verbindungsdaten verarbeitet, keine Werbeprofile.

7.5 E-Mail-Postfächer (IMAP, optional)

Wenn ein Mandant ein E-Mail-Postfach anbindet, ruft die Anwendung Nachrichten über IMAP vom jeweiligen E-Mail-Provider des Mandanten ab und speichert diese zur Anzeige in der Anwendung. Colex Werbeagentur betreibt dabei den E-Mail-Provider nicht; Verantwortlicher für das Postfach bleibt der Mandant. Wir verarbeiten die Inhalte als Auftragsverarbeiter für den Mandanten (Art. 28 DSGVO).

7.6 Weitere technische Dienstleister

Für E-Mail-Versand (Systemnachrichten), Backups oder Infrastrukturkomponenten können weitere Auftragsverarbeiter eingesetzt werden, sofern dies für den Betrieb erforderlich ist. Mit allen Auftragsverarbeitern werden Verträge nach Art. 28 DSGVO geschlossen, soweit gesetzlich erforderlich.

8. Drittlandübermittlungen

Eine Übermittlung in Drittländer (insbesondere USA) kann insbesondere bei Google- und Stripe-Diensten nicht ausgeschlossen werden. In diesen Fällen stützen wir uns – soweit anwendbar – auf Angemessenheitsbeschlüsse, Standardvertragsklauseln der EU-Kommission und zusätzliche Schutzmaßnahmen der Anbieter.

9. Speicherdauer

Wir speichern personenbezogene Daten, solange das Nutzerkonto bzw. der Mandantenvertrag besteht und die Daten für die jeweiligen Zwecke benötigt werden. Danach werden Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. 6–10 Jahre für handels- und steuerrechtliche Unterlagen). Protokolldaten werden in der Regel nur für einen begrenzten Zeitraum vorgehalten.

10. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen u. a. folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Anfragen: support@colex.io. Beschwerderecht bei einer Aufsichtsbehörde, z. B. der Berliner Beauftragte für Datenschutz und Informationsfreiheit.

11. Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist für die Nutzung der Anwendung teilweise erforderlich. Ohne Login-Daten ist eine Anmeldung nicht möglich. Weitere Angaben können je nach Funktion freiwillig sein.

12. Automatisierte Entscheidungsfindung

KI-Funktionen unterstützen Nutzer (z. B. Textvorschläge, Dokumentenerkennung). Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung gegenüber Verbrauchern im Sinne von Art. 22 DSGVO statt, die ohne menschliche Prüfung bindend wäre.

13. Weitere Informationen

Impressum · Nutzungsbedingungen

14. Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Funktionen oder eingesetzte Dienste ändern. Maßgeblich ist die jeweils hier veröffentlichte Fassung.