MSPercury
Bob kostenlos testen

Zuletzt aktualisiert: 20. Mai 2026

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie darüber, wie IT Systeme Flores UG (haftungsbeschränkt) („wir“, „uns“) personenbezogene Daten im Rahmen des SaaS-Produkts MSPercury verarbeitet. Die Verarbeitung erfolgt nach der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten auf mspercury.com und in der SaaS-Anwendung ist:

IT Systeme Flores UG (haftungsbeschränkt)
Neufeldweg 25a
51427 Bergisch Gladbach
Deutschland
Vertreten durch: Lucas Flores
Registergericht: Amtsgericht Köln, HRB 111 656
USt-IdNr.: DE355661309
E-Mail: info@mspercury.com

2. Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO, § 38 BDSG) ist für uns aufgrund unserer Unternehmensgröße derzeit nicht verpflichtend. Datenschutzanfragen richten Sie bitte dennoch gebündelt an: privacy@mspercury.com. Diese Adresse wird werktäglich geprüft, Rückmeldung spätestens binnen 14 Tagen.

3. Zwecke der Verarbeitung und Rechtsgrundlagen

3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Zum Betrieb Ihres Accounts, zur Durchführung von IT Assessments, zur Erstellung von Angeboten sowie zur Abrechnung (Abonnements: Free / Solo / Team) verarbeiten wir die unter Abschnitt 4 genannten Daten, soweit sie für die jeweilige Funktion erforderlich sind.

3.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Auf Grundlage unseres berechtigten Interesses an einem stabilen, missbrauchsfreien Betrieb verarbeiten wir Server-Logs (IP-Adresse, User-Agent, Request-Pfad, Zeitstempel) und sicherheitsrelevante Telemetrie (fehlgeschlagene Logins, Fehlerraten, Rate-Limit-Verstöße). Eine Profilbildung oder Produktanalytik über reine IT-Sicherheit hinaus findet nicht statt.

3.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Marketing-E-Mails und optionale, nicht technisch erforderliche Cookies — sofern solche später eingeführt werden — erfolgen ausschließlich auf Basis Ihrer vorherigen ausdrücklichen Einwilligung. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

3.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Rechnungsdaten werden aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO) für zehn Jahre archiviert.

4. Kategorien verarbeiteter Daten

  • Kontodaten: E-Mail-Adresse, Name, Firmenname, gehashtes Passwort (bcrypt), Rollenzuordnung (Admin/Nutzer).
  • Produkt-Telemetrie: Wir erfassen aggregierte Nutzungsdaten (z. B. wie viele IT Assessments erstellt werden, welche Features genutzt werden, Session-Zeiten) zur Produktverbesserung und internen Statistik. Diese Daten werden auf Workspace-Ebene gespeichert, enthalten aber keine Kundendaten deiner eigenen Kunden (z. B. keine Inhalte deiner IT Assessments oder Angebote). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktentwicklung und wirtschaftlicher Steuerung). Nach 90 Tagen werden Roh-Events gelöscht; es bleiben nur tagesaggregierte Metriken erhalten. Eine Weitergabe an Dritte erfolgt nicht.
  • Abrechnungsdaten: Rechnungsanschrift, USt-IdNr. des Kunden, Steuernummer (optional), Zahlungsmethode bei Stripe (PAN wird nicht bei uns gespeichert), Rechnungsnummern, Beträge, Zeitstempel.
  • Nutzungsdaten: Inhalte, die Sie in die Anwendung eingeben — Kundenstamm Ihrer eigenen MSP-Kunden, Projektparameter, IT Assessment-Antworten, Anhänge (komprimierte JPEGs), Findings, Angebote, Leistungskatalog. Diese Daten werden ausschließlich zum Betrieb des Dienstes gespeichert und niemals für Marketing oder Profiling verwendet.
  • Log-Daten: Zugriff-IP, User-Agent, Referrer, Zeitstempel, HTTP-Statuscode. Rotiert nach 14 Tagen.
  • Support-Korrespondenz: E-Mails, die Sie an support@, privacy@ oder info@mspercury.com senden. Speicherdauer: bis zum Abschluss der Anfrage plus 6 Monate.

5. Empfänger und Auftragsverarbeiter

Eine Weitergabe Ihrer Daten an Dritte erfolgt nur in folgenden, eng begrenzten Fällen und ausschließlich im Rahmen eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO:

EmpfängerZweckSitzRechtsgrundlage
Hetzner Online GmbH, Gunzenhausen Hosting des VPS (Application + PostgreSQL-Datenbank), Mail-Relay (SMTP über mail.your-server.de), Off-site-Backup (Storage Box). Sämtliche Anwendungs- und Kundendaten liegen ausschließlich auf Hetzner-Infrastruktur in Deutschland. Deutschland Art. 28 DSGVO + AVV mit Hetzner
NinjaOne Inc. Server-Monitoring + Patch-Management auf dem Hetzner-VPS. Verarbeitet System-Telemetrie (CPU/RAM/Disk-Auslastung, Service-Status, OS-Update-Stand). Keine Anwendungsdaten, keine Kundendaten. USA Art. 28 DSGVO + EU-US Data Privacy Framework (NinjaOne ist zertifiziert)
Stripe Payments Europe, Ltd., Dublin (a) Zahlungsabwicklung der MSPercury-Subscription (wenn Sie als MSP Pro buchen): Verarbeitung Ihrer Zahlungsmethode + Rechnungsdaten.
(b) Bei aktivierter Stripe-Integration in Ihrem Workspace: Sie verbinden Ihren eigenen Stripe-Account mit Ihrem eigenen API-Key, und MSPercury pusht Kunden-Daten und Rechnungen auf Ihre Stripe-Instanz. In diesem Fall sind Sie der Verantwortliche gegenüber Stripe; wir transportieren lediglich. Stripe-Tax übernimmt die USt-Logik für Ihre Kundenrechnungen. 		Irland, ggf. USA (Support-Systeme) Art. 28 DSGVO + Art. 46 Abs. 2 lit. c (SCCs) bzw. Art. 45 (EU-US DPF)
Anthropic, Inc. / OpenAI, LLC / weitere AI-Provider
(nur bei aktivierter AI-Funktion) 		Bring-Your-Own-Key. Wenn Sie unter Einstellungen → AI einen API-Key eines Cloud-AI-Providers hinterlegen oder einen selbst gehosteten OpenAI-kompatiblen Endpunkt (Ollama, vLLM, LiteLLM) konfigurieren, werden bei Nutzung der AI-Funktionen (IT Assessment-Summary, Quote-Drafter, Status-Strukturierer u.a.) die für die jeweilige Anfrage notwendigen Daten an Ihren konfigurierten Endpunkt geschickt. MSPercury cached die Anfragen nicht; das Routing geht direkt zwischen unserem Server und Ihrem Endpunkt. Ohne hinterlegten Key sind alle AI-Funktionen deaktiviert. variabel (USA bei Anthropic/OpenAI; lokal bei Ollama/Self-hosted) Sie als Operator entscheiden den Provider und schließen den AVV mit dem Provider direkt ab; wir sind kein Auftragsverarbeiter dieser Daten, sondern Daten-Carrier.
Apple Inc. Nur bei iOS-App-Nutzung: Store-Distribution, keine Datenweitergabe durch MSPercury USA Standardverträge Apple Developer Program
Google LLC (Google Ads) Nur auf mspercury.com (Marketing-Landingpage), nur nach explizitem Cookie-Consent. Conversion-Tracking via gtag.js. Innerhalb der MSPercury-Anwendung nach Login werden keine Google-Dienste geladen. USA Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Wir schließen mit jedem Auftragsverarbeiter vor Beginn der Verarbeitung einen schriftlichen AVV nach Art. 28 DSGVO ab. Ihren eigenen AVV mit uns finden Sie in Ihrem Account unter Einstellungen → Datenschutz & Auftragsverarbeitung. Eine aktuelle Liste der Sub-Auftragsverarbeiter (auch bei Wechseln) wird hier in dieser Datenschutzerklärung fortgeschrieben.

5a. Datenfluss bei BYO-AI-Funktionen

Wir möchten transparent sein, was wann an einen AI-Provider geht:

  • Executive-Summary für IT Assessments: Findings-Liste (Beschreibung + Priorität + Effort) + Kunde-Branche/-Größe (sofern gesetzt). Keine Kunden-Adresse, keine Kontaktdaten, keine Logos.
  • Quote-Drafter aus IT Assessment: Findings-Liste + Service-Katalog-Einträge des Workspaces. Keine Kunden-Personendaten, kein Preis-Override.
  • Lead-Outreach-Drafter: Lead-Email + die schwächsten 3 IT Assessment-Kategorien. Keine vollständige Antworten-Liste, kein Score, keine IP.
  • Quote-Reply-Drafter: Letzte ~10 Nachrichten im Quote-Thread.
  • Service-Report-Drafter / Status-Strukturierer / Milestone-Generator: jeweils nur die im Editor sichtbaren Felder.

Bei Cloud-Providern wie Anthropic oder OpenAI gelten deren AVV-Bestimmungen. Bei selbst gehosteten Endpunkten (Ollama auf Ihrem eigenen Server) verlässt nichts Ihr eigenes Netz. Sie können die AI-Funktionen jederzeit deaktivieren, indem Sie unter Einstellungen → AI den Provider auf „—" stellen.

5b. KI-Assistent (Bob)

Workspace-Daten können an die Anthropic-API übermittelt werden, wenn Sie den integrierten KI-Assistenten („Bob") nutzen. Details zum übermittelten Datenumfang, zur Aufbewahrung und zu Ihren Rechten finden Sie in § 5 der Allgemeinen Geschäftsbedingungen sowie im Auftragsverarbeitungsvertrag (AVV). Bob kann unter Einstellungen → KI-Assistent deaktiviert werden.

6. Drittlandübermittlung

Soweit im Einzelfall Daten in die USA oder andere Drittländer übermittelt werden (Stripe Support, Apple App Store), stützen wir die Übermittlung auf:

  • den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO), sofern der Empfänger zertifiziert ist, oder
  • die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO), ergänzt um risikominimierende Maßnahmen (Verschlüsselung, Pseudonymisierung).

Kopien der jeweiligen Vereinbarungen erhalten Sie auf Anfrage.

7. Speicherdauer

  • Accountdaten: Für die Dauer des Nutzungsverhältnisses. Nach Kündigung oder Accountschließung 30 Tage zur Streitbeilegung, dann unwiderrufliche Löschung.
  • Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB). Länger nur, wenn spezialgesetzlich erforderlich.
  • Server-Logs: Rotation nach 14 Tagen.
  • IT Assessment-/Projekt-Inhalte: Bis zur Löschung durch Sie oder Accountschließung (s.o.). Finalisierte IT Assessments bleiben als unveränderlicher Nachweis im Account, bis Sie den gesamten Mandanten entfernen.
  • Support-E-Mails: Ticket-Abschluss plus 6 Monate.

8. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16)
  • Löschung („Recht auf Vergessenwerden“, Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20) — praktisch umgesetzt über Einstellungen → Datenexport (ZIP mit JSON+CSV)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Zur Wahrnehmung dieser Rechte wenden Sie sich an privacy@mspercury.com. Soweit die Identität zweifelhaft ist, können wir zusätzliche Nachweise verlangen.

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO):

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
https://www.ldi.nrw.de

9. Cookies & Tracking

Standardmäßig setzen wir ausschließlich technisch erforderliche Cookies ein, deren Verwendung nach § 25 Abs. 2 Nr. 2 TDDDG keiner Einwilligung bedarf:

  • mspercury_session — Authentifizierung (HttpOnly, Secure, SameSite=Lax; Ablauf 30 Tage)
  • mspercury_locale — gewählte Oberflächensprache (1 Jahr)
  • mspercury_consent — Ihre Cookie-Banner-Entscheidung, granted/denied (1 Jahr)
  • mspercury_flash — kurzlebige Bestätigungsmeldung nach Aktionen (30 Sekunden)

Optional: Google Analytics 4 — nur Startseite, opt-in

Auf unserer öffentlichen Startseite („/") laden wir nach Ihrer ausdrücklichen Einwilligung via Cookie-Banner Google Analytics 4 (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mess-ID G-XH207QDBRV). Damit messen wir, welche Inhalte funktionieren und welche Klicks zur Anmeldung führen. Im authentifizierten Bereich der App (Dashboard, IT Assessments, Angebote) findet kein Tracking statt — dort wird gtag.js nicht geladen.

Wir nutzen Google Consent Mode v2 mit ad_storage=denied, ad_user_data=denied, ad_personalization=denied; Daten werden nicht für Werbe- oder Personalisierungszwecke an Google übermittelt. IP-Anonymisierung ist aktiv. Eine Übermittlung in die USA ist nicht ausgeschlossen, kann jedoch auf Standardvertragsklauseln und das EU-US Data Privacy Framework (Adequacy-Beschluss vom 10.07.2023) gestützt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG.

Sie können Ihre Einwilligung jederzeit auf der Seite /legal/cookies mit einem Klick widerrufen. Schriftarten (Geist) werden weiterhin ausschließlich selbst gehostet; es findet keine Verbindung zu Google Fonts oder anderen CDNs statt. Außer Google Analytics setzen wir keine weiteren Tracker ein (kein Meta Pixel, kein Plausible, kein Matomo).

10. PWA & iOS-App

MSPercury ist als progressive Web-App (PWA) installierbar. Bei der Installation am Home-Screen richtet Ihr Browser einen Service Worker ein, der statische Ressourcen (HTML, CSS, JS, Bilder) lokal zwischenspeichert, damit die App auch offline startfähig bleibt. Formulardaten und IT Assessment-Inhalte werden nicht offline vorgehalten — alle Änderungen erfordern eine bestehende Verbindung zu unseren Servern.

Die iOS-App ist ein Capacitor-Wrapper um dieselbe Web-Anwendung und gibt keine Daten an Apple, Drittanbieter oder das Betriebssystem weiter, die über eine reine Web-App hinausgehen würden. Der App-Store-Download selbst unterliegt den Datenschutzbedingungen von Apple.

11. Partner-Netzwerk & Lead-Weiterleitung

MSPercury enthält eine optionale Network-Funktion, mit der Workspace-Inhaber sich gegenseitig als Partner-MSPs verlinken und Anfragen, die sie selbst nicht bedienen können, an passende Partner aus dem Netzwerk weiterleiten können. Die Weiterleitung erfolgt nach folgendem strikten Doppel-Opt-in-Verfahren:

  1. Der ursprünglich angefragte MSP wählt einen Partner und beauftragt eine Anfrage zur Weiterleitung; bis hierhin verlassen keine Kontaktdaten seinen Workspace.
  2. Die anfragende Person erhält eine E-Mail mit Erklärung und Bestätigungs-Link (Token-basiert, einmalig, 14 Tage gültig). Sie entscheidet aktiv per Klick, ob die Weitergabe erfolgen soll.
  3. Erst nach dieser ausdrücklichen Einwilligung der anfragenden Person werden die Kontaktdaten an den Partner-MSP übermittelt; dieser kann zusätzlich noch ablehnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Zum Nachweis der Einwilligung speichern wir Zeitpunkt, IP-Adresse und Browser-Kennung des bestätigenden Klicks (Art. 7 Abs. 1 DSGVO Beweispflicht). Die Einwilligung kann jederzeit ohne Angabe von Gründen per E-Mail an info@mspercury.com widerrufen werden; eine Weitergabe-Aktion lässt sich auf der Bestätigungs-Seite zudem direkt ablehnen.

Empfänger: der von der ursprünglichen MSP ausgewählte Partner-MSP — ebenfalls Workspace-Inhaber bei MSPercury und damit gleichermaßen an den AVV nach Art. 28 DSGVO sowie unsere unter Ziffer 5 beschriebenen Auftragsverarbeitungs-Standards gebunden. Der Partner-MSP ist im Bestätigungs-Mail namentlich genannt — Sie wissen vor der Bestätigung, an wen Ihre Daten gehen würden.

Karma-System: für die Steuerung der Forwards verarbeiten wir aggregierte Statistiken pro Workspace (Anzahl gegebene/empfangene Leads, Annahmequote, Sterne-Bewertungen). Diese Daten beziehen sich ausschließlich auf den MSP-Workspace, nicht auf Sie als Lead.

Wer als Workspace-Inhaber das Network nicht nutzen will, lässt das Specialty-Profil unter Settings → Specialty leer — der Workspace erscheint dann nicht im Partner-Verzeichnis, und es gehen weder Forwards aus noch ein.

12. Stand dieser Datenschutzerklärung

Stand: 20. Mai 2026. Wir behalten uns vor, diese Erklärung anzupassen, wenn sich die Verarbeitung ändert oder Gesetz bzw. Rechtsprechung dies erfordern. Die jeweils aktuelle Version finden Sie unter mspercury.com/legal/privacy.