Menü

Datenschutzerklärung – CROMATIX (B2B)

Stand: August 2025

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

OVIQ Design Ltd
61–63 Lord-Byron-Street, Larnaca 6023, Zypern
CY VAT: CY10419331Q
E-Mail: support@cromatix.io

Zuständige federführende Aufsichtsbehörde (One-Stop-Shop):
Office of the Commissioner for Personal Data Protection (Zypern).
Unbeschadet dessen kann jede betroffene Person Beschwerde bei jeder EU-Aufsichtsbehörde einlegen.

2. Geltungsbereich & Rollenmodell

Diese Erklärung gilt für sämtliche CROMATIX-Webseiten und -Dienste (Promo/Light, PRO Einzel-Audit, PRO Abo).

Rolle:

  • Für Account/Abrechnung/Betrieb/Sicherheit handeln wir als Verantwortlicher.
  • Für kundenseitig bereitgestellte Inhalte (z. B. URLs, Texte, Kommentare, hochgeladene Daten) handeln wir – soweit wir ausschließlich im Auftrag verarbeiten – als Auftragsverarbeiter (Art. 28 DSGVO). Eine AV-Vereinbarung stellen wir auf Anfrage bereit.

3. Kategorien personenbezogener Daten, Zwecke & Rechtsgrundlagen

3.1 Account-, Vertrags- & Kommunikationsdaten

Daten: Firmenname, Ansprechpartner, geschäftliche E-Mail, Rechnungs-/Geschäftsadresse, USt-IdNr., Anmeldedaten, Support Verläufe.
Zwecke: Registrierung, Authentifizierung, Vertragserfüllung, Kundenkommunikation, Buchhaltung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag), lit. c (gesetzliche Pflichten), lit. f (Betrieb/IT-Sicherheit).

3.2 Zahlungs-/Abrechnungsdaten (Stripe & Stripe Invoicing)

Daten: Zahlungs-Token, Transaktions-IDs, Zahlungsstatus; Kartendaten speichern wir nicht.
Zwecke: Zahlungsabwicklung, Rechnungsstellung, Buchhaltung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, lit. c, lit. f DSGVO.
Hinweise: Stripe ist eigenständig Verantwortlicher für Zahlungsdaten. Unsere AGB enthalten ergänzende Zahlungs-/Stripe-Hinweise: https://app.cromatix.io/agb.

3.3 Inhalts-/Analysedaten (vom Kunden bereitgestellt)

Daten: Angegebene URLs, öffentlich abrufbare Seiteninhalte (inkl. evtl. darin enthaltene personenbezogene Daten Dritter), Kommentare/Notizen, Dateianhänge, Projektnamen.
Zwecke: Durchführung des Audits (Light/PRO), Darstellung von Findings/To-dos/ROI-Schätzungen, Team-/Share-Funktionen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag) bzw. – sofern Auftragsverarbeitung – Art. 28 i. V. m. Art. 6 Abs. 1 lit. f/b. Pflicht des Kunden: Rechtsgrundlage für die Übermittlung der Inhalte/URLs sicherstellen.

3.4 Nutzungs-, Geräte- & Telemetriedaten

Daten: IP, Zeitstempel, Request-IDs, Browser/Device, Sitzungs-/Fehler-/Leistungsdaten, Feature-Nutzung.
Zwecke: Betrieb, Sicherheit (Art. 32), Produktverbesserung, Missbrauchserkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.5 Marketing-Kommunikation (optional)

Daten: E-Mail, Interaktionsdaten (Öffnungen/Klicks).
Zweck/Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung) bzw. zulässige Direktwerbung im B2B-Kontext nach jeweiligem nationalen Recht; Widerruf jederzeit möglich.

4. KI-Verarbeitung

Wir nutzen KI-gestützte Funktionen (z. B. Priorisierung/Heuristiken, Textvorschläge).

  • Zwecke: Genauigkeit/Strukturierung von Audits verbessern, Empfehlungen priorisieren, Produktqualität erhöhen.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag) und Art. 6 Abs. 1 lit. f (berechtigte Interessen).
  • Modellanbieter/Sub-Prozessoren: vertraglich gebunden (Art. 28, 32 DSGVO); bei Drittländern mit SCC.
  • Training: Keine Verwendung kundenspezifischer Inhalte zur Schulung öffentlicher Modelle. Interne Qualitäts Zwecke nur pseudonymisiert/aggregiert, soweit möglich.
  • Keine Rechtsfolgen Entscheidungen i. S. v. Art. 22 DSGVO.

5. Teilen/Einladen („Share per E-Mail“)

CROMATIX erlaubt das Teilen von Audits/Analysen, indem Dritte per E-Mail eingeladen werden.

  • Verantwortung des Kunden: Ihr bestimmt empfangende Personen und tragt die Verantwortung, eine Rechtsgrundlage für Einladung und Inhaltsweitergabe zu haben.
  • Unsere Rolle: Verarbeitung der Empfänger-E-Mail zum Versand/Zugriffsmanagement; Zugriff erfolgt nur gemäß euren Berechtigungen.
  • Fehladressierungen/Weiterleitungen: Für falsch eingegebene Adressen oder Weiterleitungen durch Eingeladene seid ihr verantwortlich.
  • Widerruf/Logging: Einladungen können im Kundenkonto widerrufen werden; Einladungen/Zugriffe werden protokolliert (Nachweis/Sicherheit; Art. 6 Abs. 1 lit. f).

6. Empfänger & Auftragsverarbeiter

  • Hosting/Cloud/CDN/Versand: Infrastruktur-/Mail-/Monitoring-Dienste.
  • Zahlung: Stripe (inkl. Stripe Invoicing; eigener Verantwortlicher für Zahlungsdaten).
  • KI/Tech-Provider: für KI-Funktionen, Verarbeitung/Ranking, Qualitätssicherung.
  • Support/Success: Ticket-/Kommunikationstools; ggf. Screen-Zugriffe nur auf Anfrage.
  • Beratung/Steuerkanzlei: zur Erfüllung gesetzlicher Pflichten.

Aktuelle Sub-Prozessorenliste: auf Anfrage verfügbar.

7. Internationale Datentransfers (Art. 44 ff. DSGVO)

Bei Übermittlungen in Drittländer stellen wir ein angemessenes Schutzniveau sicher, insb. durch EU-Standardvertragsklauseln (SCC) und ggf. zusätzliche technische/organisatorische Maßnahmen (Verschlüsselung, Pseudonymisierung, Zugriffs-/Zweckbindung). Transfer Impact Assessments (TIA) werden – wo erforderlich – durchgeführt.

8. Speicherdauer & Löschung

  • Account/Vertragsdaten: Vertragsdauer; anschließend gemäß Handels-/Steuerrecht.
  • Analysen/Inhalte: bis Löschung durch euch oder Beendigung des Accounts; inaktive Inhalte können nach angemessener Frist gelöscht/archiviert werden.
  • Logs/Telemetrie: typ. 90–365 Tage (Sicherheit/Audit).
  • Share-Protokolle: solange erforderlich (Sicherheit/Nachweis), danach Löschung/Anonymisierung.
  • Support-/Korrespondenz: nach Abschluss, sofern keine Pflicht entgegensteht.

9. Sicherheit (Art. 32 DSGVO)

Technisch-organisatorische Maßnahmen: rollenbasierte Zugriffe, Verschlüsselung (Transport und – soweit möglich – at Rest), Least-Privilege, Geheimnis Verwaltung, Segmentierung, Protokollierung/Monitoring, Backups, Lieferanten-Assessments, regelmäßige Reviews.

10. Cookies, lokale Speicher & Deutschland-Hinweis

Wir nutzen technisch notwendige Cookies/Local-Storage (z. B. Session/CSRF). Nicht notwendige Cookies/Tracker (Analytik/Marketing) setzen wir nur mit Einwilligung.
Deutschland-Spezifik: Für Endgeräte Zugriffe gelten § 25 TDDDG (vormals TTDSG) i. V. m. DSGVO. Unser Consent-Banner ermöglicht Einwilligen/Ablehnen auf gleichwertiger Ebene und eine spätere Änderung der Auswahl.

11. Abrechnung, Rechnungen & Deutschland-„eRechnung“

Standardmäßig stellen wir elektronische Rechnungen (PDF/Link) über Stripe Invoicing bereit. Für in Deutschland ansässige Unternehmenskunden können wir auf Anforderung eine EN 16931-kompatible eRechnung (z. B. Factur-X/ZUGFeRD) bereitstellen. Details zu Zahlungsarten/Stripe siehe AGBhttps://app.cromatix.io/agb.

12. Betroffenenrechte

Rechte nach DSGVO: AuskunftBerichtigungLöschungEinschränkungDaten ÜbertragbarkeitWiderspruch (Art. 21, insb. gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f), Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
Anfragen an: support@cromatix.io (bitte Firmenname, zuordenbare Kontakt-E-Mail angeben).

13. Besondere Hinweise zu Minderjährigen

CROMATIX richtet sich ausschließlich an Unternehmen. Wir verarbeiten wissentlich keine Daten von Kindern.

14. Änderungen dieser Erklärung

Wir können diese Erklärung anpassen, wenn sich Funktionen, Rechtslage oder technische Standards ändern. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar; bei wesentlichen Änderungen informieren wir angemessen.

15. Kontakt & Beschwerden

Fragen zu Datenschutz/Datensicherheit: support@cromatix.io.
Beschwerden können an die zypriotische Datenschutzaufsicht oder jede andere EU-Aufsichtsbehörde gerichtet werden.

Conversion Intelligence
Conversion-Optimierung in 20 Minuten statt Wochen.
Linkedin Facebook Instagram
CROMATIX
Unternehmen
Rechtliches
DSGVO-konform • EU-Hosting • © 2026 CROMATIX • Alle Rechte vorbehalten.
Live Demo Audit
Sieh live und interaktiv, wie aus Rätselraten Klarheit wird.
Nach der Registrierung musst du deine Email-Adresse bestätigen, um anschließend direkt das Live-Demo-Audit vollständig ausprobieren zu können.