Zum Hauptinhalt springen
← Zurück zur Startseite

Datenschutzerklärung

Stand: März 2026

§ 1 Name und Kontaktdaten des Verantwortlichen

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

NextGen IT Solutions GmbH
Maximilianstraße 1
80539 München
Deutschland

Telefon: +49 89 123456789
E-Mail: datenschutz@fördernavi.de
Website: app.foerdernavi.nextgenitsolutions.de

§ 2 Erhebung und Speicherung personenbezogener Daten

Wir erheben und verarbeiten personenbezogene Daten nur, soweit dies für die Erbringung unserer Dienstleistungen erforderlich ist oder Sie uns ausdrücklich Ihre Einwilligung erteilt haben. Im Einzelnen verarbeiten wir folgende Datenkategorien:

2.1 Registrierungs- und Kontodaten

Bei der Registrierung erheben wir: Vor- und Nachname, geschäftliche E-Mail-Adresse, Unternehmensname, Telefonnummer (optional), Passwort (gespeichert als Argon2id-Hash, niemals im Klartext).

Speicherdauer: Für die Dauer des Vertragsverhältnisses zuzüglich der gesetzlichen Aufbewahrungsfristen (regelmäßig 10 Jahre für steuerrelevante Unterlagen gemäß § 147 AO).

2.2 Unternehmensdaten für Kalkulationen

Zur Nutzung der Fördermittelkalkulation verarbeiten wir: Umsatz, Mitarbeiterzahl, Bilanzsumme (für KMU-Klassifizierung), Branche (WZ-Code), Unternehmensstandort, De-minimis-Vorbelastungen, Projektbeschreibungen und Investitionsvolumina.

Speicherdauer: Kalkulationsdaten werden für 36 Monate gespeichert, um De-minimis-Kumulierungsprüfungen auf rollierender 3-Jahresbasis zu ermöglichen, danach werden sie automatisch gelöscht.

2.3 Nutzungs- und Protokolldaten

Beim Zugriff auf unsere Plattform werden automatisch folgende Daten erhoben: IP-Adresse (anonymisiert nach 7 Tagen), aufgerufene Seiten und Funktionen, Zugriffsdatum und -uhrzeit, Browsertyp und -version, Betriebssystem sowie verweisende URL (Referrer).

Speicherdauer: Rohe Serverlogs werden nach 7 Tagen gelöscht. Anonymisierte Nutzungsstatistiken werden für 24 Monate aufbewahrt.

2.4 Zahlungsdaten

Zahlungsdaten (Kreditkartennummer, Bankverbindung) werden ausschließlich durch unseren Zahlungsdienstleister Stripe Inc. verarbeitet. FörderNavi speichert keine vollständigen Zahlungsmitteldetails. Wir erhalten lediglich eine Transaktions-ID und Statusinformationen von Stripe.

§ 3 Zwecke der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

  • Vertragserfüllung: Bereitstellung der FörderNavi-Plattform, Berechnung von Fördermitteln, Erstellung von Reports und PDF-Exporten
  • Kontoverwaltung: Authentifizierung, Sitzungsverwaltung, Passwort-Reset, Zwei-Faktor-Authentifizierung
  • Abrechnung: Rechnungsstellung, Zahlungsabwicklung, Mahnwesen
  • Kommunikation: Beantwortung von Anfragen, Versand technischer Mitteilungen, wöchentliche Digest-E-Mails (sofern aktiviert)
  • Plattformverbesserung: Fehleranalyse, Performance-Monitoring, Weiterentwicklung der Funktionen auf Basis anonymisierter Nutzungsstatistiken
  • Compliance: Einhaltung gesetzlicher Pflichten (AGVO/GBER, De-minimis-Verordnung, HGB, AO)

§ 4 Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Die Verarbeitung Ihrer personenbezogenen Daten beruht auf folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung

Verarbeitung von Registrierungsdaten, Unternehmensdaten und Kalkulationsdaten zur Erbringung der vertraglich geschuldeten Plattformleistungen.

Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung

Aufbewahrung steuerrelevanter Unterlagen gemäß § 147 AO und § 257 HGB; Einhaltung von De-minimis-Dokumentationspflichten nach EU-Verordnung 1407/2013.

Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen

Protokollierung von Serverzugriffen zur IT-Sicherheit und Betrugsprävention; anonymisierte Nutzungsanalyse zur Verbesserung der Plattform. Unsere berechtigten Interessen überwiegen, da die Daten pseudonymisiert bzw. anonymisiert verarbeitet werden.

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung

Versand des wöchentlichen Digest-Newsletters; nicht essentielle Cookies und Tracking-Technologien. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

§ 5 Betroffenenrechte (Art. 15–21 DSGVO)

Als betroffene Person stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu. Zur Ausübung Ihrer Rechte wenden Sie sich an:datenschutz@fördernavi.de

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten, einschließlich Verarbeitungszweck, Datenkategorien, Empfänger und geplante Speicherdauer. Registrierte Nutzer können ihre Daten jederzeit unter Einstellungen → Datenschutz → Daten exportieren herunterladen.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen oder unvollständige Daten vervollständigen zu lassen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Kontoinhaber können die Löschung unter Einstellungen → Datenschutz beantragen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, insbesondere wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zu erhalten und an einen anderen Verantwortlichen zu übertragen. Export-Funktion unter Einstellungen → Datenschutz → Daten exportieren verfügbar.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, gegen die Verarbeitung Ihrer personenbezogenen Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) Widerspruch einzulegen. Im Fall des Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, E-Mail: poststelle@lda.bayern.de.

§ 6 Datenweitergabe an Dritte

Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Folgende Auftragsverarbeiter und Drittanbieter setzen wir ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen wurden:

Hetzner Online GmbH

Funktion: Hosting und Cloud-Infrastruktur

Serverstandort: Deutschland (EU)

Übertragene Daten: Alle Plattformdaten, IP-Adressen, Server-Logs

Rechtsgrundlage: Art. 28 DSGVO (AVV)

Stripe Inc.

Funktion: Zahlungsabwicklung

Serverstandort: USA (EU-US Data Privacy Framework)

Übertragene Daten: Zahlungsdaten, Rechnungsadresse, Transaktionshistorie

Rechtsgrundlage: Art. 46 DSGVO (Standardvertragsklauseln)

Sentry (Functional Software, Inc.)

Funktion: Fehlerüberwachung und Performance-Monitoring

Serverstandort: USA (EU-US Data Privacy Framework)

Übertragene Daten: Fehlerprotokolle, Stack Traces (ohne personenbezogene Inhalte)

Rechtsgrundlage: Art. 46 DSGVO (Standardvertragsklauseln); Datenmaskierung aktiv

BetterStack Inc.

Funktion: Uptime-Monitoring und Statusseite

Serverstandort: USA (EU-US Data Privacy Framework)

Übertragene Daten: Verfügbarkeitsdaten, anonymisierte Heartbeat-Signale

Rechtsgrundlage: Art. 46 DSGVO (Standardvertragsklauseln)

Anthropic, PBC

Funktion: KI-gestützte Förderberatung (AI-Assistent)

Serverstandort: USA (EU-US Data Privacy Framework)

Übertragene Daten: Anonymisierte Anfragen ohne personenbezogene Nutzeridentifikatoren

Rechtsgrundlage: Art. 46 DSGVO; Datenminimierung durch Pseudonymisierung

Eine darüber hinausgehende Weitergabe an Dritte, insbesondere für Werbezwecke, erfolgt nicht.

§ 7 Cookies und Tracking

Unsere Plattform verwendet Cookies und ähnliche Technologien. Wir unterscheiden zwischen essentiellen und nicht-essentiellen Cookies:

7.1 Essentielle Cookies (keine Einwilligung erforderlich)

  • next-auth.session-token: Authentifizierungs-Cookie für eingeloggte Nutzer; Laufzeit: 30 Tage (bei "Angemeldet bleiben") oder Sitzungsdauer
  • next-auth.csrf-token: CSRF-Schutz; Sitzungsdauer
  • __Secure-next-auth.callback-url: Redirect nach Login; Sitzungsdauer
  • cookie-consent: Speichert Ihre Cookie-Präferenzen; Laufzeit: 12 Monate

7.2 Nicht-essentielle Cookies (Einwilligung erforderlich)

Nicht-essentielle Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Sie können Ihre Einwilligung jederzeit unter Einstellungen → Datenschutz → Cookie-Einstellungen widerrufen.

Derzeit setzen wir keine Analyse- oder Werbe-Cookies ein. Sollte sich dies ändern, werden Sie vorab informiert und um Einwilligung gebeten.

§ 8 Datensicherheit

Der Schutz Ihrer Daten hat für uns höchste Priorität. Wir setzen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • Transportverschlüsselung: Alle Verbindungen erfolgen ausschließlich über TLS 1.3 (HTTPS). HTTP-Anfragen werden automatisch auf HTTPS umgeleitet.
  • Passwortsicherheit: Passwörter werden ausschließlich als Argon2id-Hashwert gespeichert; Klartext-Passwörter werden an keiner Stelle persistiert.
  • Datenbankzugriff: Zugriff auf die PostgreSQL-Datenbank nur über verschlüsselte Verbindungen und Row-Level Security (RLS) für Multi-Tenancy-Isolation.
  • Zwei-Faktor-Authentifizierung: TOTP-basierte MFA steht allen Nutzern zur Verfügung und wird für Administratoren empfohlen.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RBAC); Prinzip der minimalen Rechtevergabe.
  • Datenhaltung in Deutschland: Alle Daten werden ausschließlich auf Servern in deutschen Rechenzentren (Hetzner Cloud, Nürnberg/Falkenstein) verarbeitet und gespeichert.
  • Backup und Wiederherstellung: Tägliche verschlüsselte Datenbank-Backups; Wiederherstellbarkeit wird regelmäßig getestet.
  • Penetrationstests: Jährliche externe Sicherheitsaudits durch unabhängige Prüfer.
  • ISO 27001: Zertifizierung wird für Q4 2026 angestrebt; ISMS gemäß ISO/IEC 27001:2022 im Aufbau.

§ 9 Datenschutzbeauftragter

Wir haben einen betrieblichen Datenschutzbeauftragten bestellt, der für alle Fragen zum Datenschutz Ansprechpartner ist:

Datenschutzbeauftragter
NextGen IT Solutions GmbH
z. Hd. Datenschutzbeauftragter
Maximilianstraße 1
80539 München

E-Mail: datenschutz@fördernavi.de

Wir beantworten Anfragen nach Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage.

§ 10 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Dienstleistungen umzusetzen. Die jeweils aktuelle Datenschutzerklärung ist unter fördernavi.de/datenschutz abrufbar. Wesentliche Änderungen teilen wir registrierten Nutzern per E-Mail mit.

ImpressumAGBSicherheitStartseite