Datenschutzerklärung

Stand: 17. April 2026

1. Verantwortlicher im Sinne der DSGVO

Verantwortlicher für die Datenverarbeitung auf dieser Website und innerhalb der SaaS-Anwendung „Consiliari EMS" ist:

Vertreten durch den Geschäftsführer: Raphael J. N. Hettich, M. Sc.

Telefon: +49 721 619329 0
E-Mail: info@consiliari.de
Handelsregister: Amtsgericht Mannheim, HRB 753583

Die Entwicklung der Anwendung erfolgt durch die verbundene Consiliari GmbH (Amtsgericht Mannheim, HRB 727046, gleiche Anschrift). Die Consiliari Software GmbH tritt als Vertragspartner der Kunden auf und ist als Verantwortliche im Sinne der DSGVO für alle hier beschriebenen Verarbeitungen zuständig.

2. Datenschutzbeauftragter

Unser Datenschutzbeauftragter ist:

Herr Berger nimmt innerhalb der Consiliari-Gruppe (Consiliari Software GmbH und Consiliari GmbH) ausschließlich die Funktion als Datenschutzbeauftragter wahr. Er ist weder in Geschäftsführung, Entwicklung, Vertrieb, IT-Administration noch in sonstigen operativen Leitungsfunktionen tätig. Damit ist die Unabhängigkeit und Freiheit von Interessenkonflikten im Sinne von Art. 38 Abs. 6 DSGVO und der EDSA-Leitlinien WP 243 rev.01 gewährleistet.

3. Allgemeine Grundsätze

Wir verarbeiten personenbezogene Daten nur im Rahmen der gesetzlichen Bestimmungen, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Diese Erklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei Besuch unserer Website (temporalis-ems.de) sowie bei Nutzung unserer SaaS-Anwendung „Consiliari EMS".

Unser Angebot richtet sich an Unternehmer (§ 14 BGB) und deren Beschäftigte ab 16 Jahren. Eine bewusste Verarbeitung von Daten Jugendlicher unter 16 Jahren (Art. 8 DSGVO) erfolgt nicht; solche Daten werden — sobald wir sie erkennen — unverzüglich gelöscht.

4. Betroffenenrechte

Ihnen stehen nach der DSGVO folgende Rechte uns gegenüber zu:

• Auskunft (Art. 15) über die zu Ihrer Person gespeicherten Daten
• Berichtigung (Art. 16) unrichtiger Daten
• Löschung (Art. 17) („Recht auf Vergessenwerden")
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20) in einem strukturierten, gängigen Format
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft
• Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung Sie betreffender personenbezogener Daten zu widersprechen, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird. Verarbeiten wir Ihre Daten für Direktwerbung, haben Sie das Recht, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Nach Ihrem Widerspruch verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zuständigkeit und Antwortfrist: Wir beantworten Anfragen innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Betrifft Ihre Anfrage Daten, die Sie in Ihrer Eigenschaft als Nutzer eines Kunden-Tenants (d. h. als Beschäftigter eines Auftraggebers der Consiliari Software GmbH) verarbeiten lassen, leiten wir die Anfrage innerhalb von 5 Werktagen an den jeweiligen Kunden (Verantwortlichen) weiter und informieren Sie hierüber.

Die für uns zuständige Datenschutz-Aufsichtsbehörde ist:

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an: dsb@consiliari.de

5. Verarbeitung beim Besuch unserer Website (temporalis-ems.de)

5.1 Server-Logfiles

Beim Aufruf unserer Website erhebt unser Hosting-Provider automatisch Informationen, die Ihr Browser übermittelt:

• IP-Adresse (gekürzt/anonymisiert gespeichert, sofern nicht zur Abwehr von Angriffen erforderlich)
• Datum und Uhrzeit des Zugriffs
• Übertragene Datenmenge
• Referrer-URL
• Verwendeter Browser und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit des Webangebots).
Speicherdauer: Maximal 14 Tage, danach Löschung oder Anonymisierung.

5.2 Hosting der Website (Hetzner Online GmbH)

Unsere Website wird gehostet bei:

Die Server stehen ausschließlich in Deutschland (Rechenzentren Nürnberg/Falkenstein). Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO. Hetzner ist nach ISO/IEC 27001 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5.3 SSL-Verschlüsselung

Aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte verwenden wir eine TLS/SSL-Verschlüsselung (erkennbar am „https://" in der Adresszeile sowie am Schloss-Symbol).

5.4 Reichweitenmessung mit Plausible Analytics

Wir nutzen auf unserer Website Plausible Analytics, einen Analysedienst der Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland.

Plausible ist ein cookie-freier, datenschutzfreundlicher Analysedienst. Es werden keine Cookies gesetzt, keine IP-Adressen dauerhaft gespeichert und keine personenbezogenen Daten an Dritte weitergegeben. Die Daten werden ausschließlich aggregiert und anonymisiert ausgewertet (Seitenaufrufe, Referrer, grobe Geo-Region auf Länderebene, Gerätetyp). Eine Wiedererkennung einzelner Besucher findet nicht statt.

Das Hosting der Analyse erfolgt auf Servern innerhalb der EU (Deutschland/Finnland).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Auswertung zur Verbesserung des Angebots); eine Einwilligung nach § 25 TDDDG ist nach unserer rechtlichen Bewertung nicht erforderlich, da Plausible keine Informationen in der Endeinrichtung speichert oder ausliest: Es werden keine Cookies gesetzt, kein dauerhafter Geräte-Identifier erzeugt und keine Wiedererkennung einzelner Besucher zwischen Sessions vorgenommen. Ein etwaiger täglich rotierender Salt-Hash zur aggregierten Tageszählung bildet keine stabile Wiedererkennungsmöglichkeit und dient ausschließlich der statistischen Auswertung. Die Verarbeitung ist damit für die Erbringung des ausdrücklich vom Nutzer gewünschten Dienstes „Website" unbedingt erforderlich im Sinne von § 25 Abs. 2 Nr. 2 TDDDG. Wir folgen damit der herrschenden Meinung der deutschen Aufsichtsbehörden; die Rechtslage wird laufend beobachtet.

Weitere Informationen: https://plausible.io/data-policy

5.5 Kontaktaufnahme

Wenn Sie uns per E-Mail, Kontaktformular oder über Cal.com (siehe 5.7) kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, Anliegen, ggf. Firmenname und Telefonnummer) zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung oder Durchführung eines Vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).
Speicherdauer: Bis zur vollständigen Erledigung der Anfrage zzgl. gesetzlicher Aufbewahrungsfristen (insb. § 257 HGB, § 147 AO: max. 10 Jahre bei geschäftsrelevantem Schriftverkehr).

5.6 Transaktionale E-Mails / E-Mail-Versand

Zum Versand transaktionaler E-Mails (Trial-Bestätigung, Rechnungen, Passwort-Reset, Systembenachrichtigungen) nutzen wir den Dienst eines spezialisierten E-Mail-Anbieters:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO besteht.

5.7 Terminbuchung mit Cal.com

Für die Vereinbarung von Demo-Terminen und Beratungsgesprächen nutzen wir den Dienst Cal.com.

Anbieter: Cal.com, Inc., 2261 Market Street #4667, San Francisco, CA 94114, USA.

Wir betreiben Cal.com selbst-gehostet auf Servern der Hetzner Online GmbH in Deutschland. Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union; eine Übermittlung personenbezogener Buchungsdaten an Cal.com, Inc. (USA) findet nicht statt.

Bei der Terminbuchung werden folgende Daten erhoben: Name, E-Mail-Adresse, gewählter Zeitpunkt sowie freiwillige Zusatzangaben (z. B. Firmenname, Thema des Gesprächs).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

Datenschutzhinweise von Cal.com: https://cal.com/privacy

6. Verarbeitung bei Nutzung der SaaS-Anwendung „Consiliari EMS"

6.1 Registrierung und 14-Tage-Testzugang

Für die Nutzung unserer SaaS-Anwendung ist die Einrichtung eines Accounts erforderlich. Wir erheben dabei folgende Daten:

• Name, geschäftliche E-Mail-Adresse
• Firmenname
• Gewähltes Passwort (gespeichert als Hash, nicht im Klartext)
• Freiwillig: Telefonnummer, Anzahl Mitarbeiter, Branche

Der 14-tägige Testzugang wird ohne Kreditkartenangabe freigeschaltet und endet automatisch nach Ablauf, sofern kein bezahltes Abonnement abgeschlossen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung eines Nutzungsvertrags).

6.2 Laufende Nutzung (Mandanten-Daten)

Im Rahmen der Nutzung werden von Ihnen und ggf. Ihren Mitarbeitern Daten in das System eingegeben (z. B. Projekte, Zeiterfassungen, Kontakte, HR-Daten, Belege). Diese Daten werden in Ihrem Auftrag als Auftragsverarbeiter (Art. 28 DSGVO) verarbeitet; Verantwortlicher bleibt der Kunde. Grundlage ist der zwischen Ihnen und uns geschlossene Auftragsverarbeitungsvertrag (AVV), den wir standardmäßig als Bestandteil des Hauptvertrags schließen.

Einen Mustervertrag und die zugehörigen Technisch-Organisatorischen Maßnahmen (TOM) stellen wir unter https://temporalis-ems.de/trust bereit.

6.3 Hosting der SaaS-Anwendung

Das Hosting der SaaS-Anwendung erfolgt ausschließlich auf Servern der Hetzner Online GmbH in Deutschland (Rechenzentren Nürnberg und/oder Falkenstein). Kundendaten verlassen den EWR nicht. Backups werden verschlüsselt ebenfalls innerhalb Deutschlands gespeichert.

6.4 Zahlungsabwicklung mit Stripe

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir den Zahlungsdienstleister:

Bei Abschluss eines kostenpflichtigen Abonnements werden die Zahlungsdaten (Kreditkartennummer, SEPA-Daten, Rechnungsadresse, Betrag) direkt an Stripe übermittelt. Wir selbst speichern keine vollständigen Kreditkartendaten. Stripe verarbeitet die Daten eigenverantwortlich und unter Einhaltung des PCI-DSS-Standards.

Stripe Payments Europe Ltd. ist eine in Irland ansässige Gesellschaft; eine Weitergabe an die Stripe Inc. (USA) erfolgt nur im unbedingt erforderlichen Rahmen zur Durchführung der Zahlungsabwicklung und auf folgender Rechtsgrundlage:

• EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023); Stripe Inc. ist im Data Privacy Framework List geführt;
• ergänzend EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021;
• wir haben gemäß EDSA-Empfehlungen 01/2020 in der Fassung vom 18.06.2021 eine Transfer Impact Assessment (TIA) durchgeführt und mit ergänzenden technischen und organisatorischen Maßnahmen abgesichert (keine Übermittlung besonderer Datenkategorien an Stripe, Zweckbindung Zahlungsabwicklung, Verschlüsselung in Transit TLS 1.2+). Die TIA ist in unserem Trust Center einsehbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung); Art. 45 DSGVO (DPF) und Art. 46 Abs. 2 lit. c DSGVO (SCC) für den Drittlandtransfer.
Weitere Informationen:https://stripe.com/de/privacy

6.5 Support-Kommunikation

Supportanfragen stellen Sie per E-Mail an support@consiliari.de oder aus der Anwendung heraus. Ein externes Helpdesk-/Ticketing-Tool setzen wir nicht ein; die Verarbeitung erfolgt ausschließlich auf unseren Servern bei der Hetzner Online GmbH in Deutschland sowie in unserem intern betriebenen E-Mail-System.

6.6 Datenweitergabe an verbundene Unternehmen

Die Consiliari GmbH (Amtsgericht Mannheim, HRB 727046, Brauerstraße 12, 76135 Karlsruhe) entwickelt die Anwendung „Consiliari EMS" und erbringt für die Consiliari Software GmbH Entwicklungs- und Wartungsleistungen. In diesem Rahmen kann die Consiliari GmbH auf technische Ebenen des Systems zugreifen, etwa für Bugfixing und Weiterentwicklung.

Soweit hierbei personenbezogene Kundendaten berührt werden, erfolgt dies ausschließlich im Rahmen eines konzerninternen Auftragsverarbeitungsvertrags (Art. 28 DSGVO); die Consiliari GmbH ist hierbei Unterauftragsverarbeiterin der Consiliari Software GmbH und unterliegt denselben Sicherheitsanforderungen wie in Anlage 1 zum AVV festgelegt. Der Zugriff auf Produktivdaten ist zusätzlich durch ein Privileged-Access-Management mit Just-in-Time-Freigabe, zeitlicher Befristung und Session-Aufzeichnung abgesichert (Näheres siehe Anlage 1 zum AVV). Die Consiliari GmbH ist in Anlage 2 zum AVV als Subprozessor gelistet (siehe § 7 dieser Erklärung).

6.7 KI-gestützte Assistenzfunktionen

Der Dienst enthält KI-gestützte Assistenzfunktionen (z. B. zur automatisierten Befüllung von Formularen, Filter-Vorschlägen, Volltext-Suche, Sprachübersetzungen). Diese Funktionen treffen keine Entscheidungen mit Rechtswirkung im Sinne von Art. 22 DSGVO und ersetzen keine menschliche Bewertung; sie bereiten lediglich Eingaben vor, die der Nutzer vor Übernahme prüft und freigibt. Eine vollautomatische Einzelfallentscheidung findet nicht statt.

Die eingesetzten LLM-Anbieter sind in Anlage 2 zum AVV vollständig aufgeführt (Sitz, Datenstandort, Transfer-Mechanismus). Keine personenbezogenen Kundendaten werden zum Training von KI-Modellen der Anbieter verwendet (Opt-out im Enterprise-Tarif der jeweiligen Anbieter vertraglich gesichert). Der Kunde kann die KI-Funktionen tenant-weit deaktivieren.

Soweit die KI-Funktionen unter den AI Act (VO (EU) 2024/1689) fallen, halten wir die jeweils einschlägigen Transparenz- und Dokumentationspflichten ein; die Funktionen werden nach aktueller Einschätzung überwiegend als Systeme mit geringem Risiko klassifiziert.

7. Liste der Subauftragsverarbeiter (Subprozessoren)

Nachfolgende Dienstleister verarbeiten Daten in unserem Auftrag oder als eigenverantwortliche Dritte (bei Zahlungsabwicklung):

Eine jeweils aktuelle, vollständige Liste finden Sie in unserem Trust Center unter https://temporalis-ems.de/trust. Über Änderungen informieren wir bestehende Kunden mit einer Frist von 30 Tagen vorab; Kunden haben ein Widerspruchsrecht mit außerordentlichem Kündigungsrecht.

8. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Server-Logs: 14 Tage
• Plausible-Statistiken: aggregiert, keine Personenzuordnung
• Trial-Accounts ohne Umwandlung: automatische Löschung 30 Tage nach Ablauf des Trials
• Kundendaten nach Vertragsende: Herausgabe/Export innerhalb 30 Tagen, danach endgültige Löschung innerhalb weiterer 60 Tage
• Rechnungsrelevante Daten: 10 Jahre (§ 147 AO, § 257 HGB)
• Vertragsrelevanter Schriftverkehr: 6 Jahre (§ 257 HGB)
• Bewerbungsunterlagen: 4 Monate nach Absage (AGG-Klagefrist zzgl. Puffer); längere Aufbewahrung nur bei ausdrücklicher Einwilligung zur Aufnahme in den Talent-Pool oder im Fall eines anhängigen Rechtsstreits

9. Keine automatisierte Einzelfallentscheidung / Profiling

Es findet keine automatisierte Entscheidungsfindung mit Rechtswirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt. Soweit wir KI-gestützte Assistenzfunktionen einsetzen (vgl. § 6.7), treffen diese keine solche Entscheidungen, sondern bereiten lediglich Inhalte oder Vorschläge vor, die der Nutzer bewertet und freigibt.

9a. Beschäftigtendatenschutz im HR-Modul

Nutzt ein Kunde das HR-Modul des Dienstes, verarbeitet er in seiner Rolle als Verantwortlicher Daten seiner Beschäftigten im Sinne von § 26 BDSG bzw. gestützt auf eine kollektivrechtliche Vereinbarung (§ 26 Abs. 4 BDSG). Der Kunde ist verpflichtet,

• die Beschäftigten nach Art. 13 DSGVO zu informieren,
• betriebsverfassungsrechtliche Mitbestimmungsrechte (§ 87 Abs. 1 Nr. 6 BetrVG bei Verhaltens-/Leistungskontrolle durch Zeiterfassung) einzuholen, soweit ein Betriebsrat besteht,
• sensible Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten) nur auf einer tragfähigen Rechtsgrundlage in den Dienst einzustellen.

Die Consiliari Software GmbH unterstützt den Kunden bei der Erfüllung dieser Pflichten auf Anfrage im Rahmen des AVV (Art. 28 Abs. 3 lit. e und f DSGVO).

9b. Datenherkunft bei Dritt-Importen (Art. 14 DSGVO)

Wenn ein Kunde Kontaktdaten Dritter (z. B. Kunden-, Lieferanten- oder Interessentendaten) aus externen Quellen (CRM-Import, LinkedIn-Exporte, Visitenkarten-Scans) in den Dienst einspielt, ist er hierfür Verantwortlicher im Sinne der DSGVO und erfüllt die Informationspflichten gegenüber den Betroffenen gemäß Art. 14 DSGVO selbst. Die Consiliari Software GmbH handelt insoweit ausschließlich als Auftragsverarbeiterin.

10. Sicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten (u. a. TLS-Verschlüsselung in Transit, verschlüsselte Backups, Zugriffskontrollen nach Need-to-Know, rollenbasierte Berechtigungen, regelmäßige Updates, 2-Faktor-Authentifizierung für Administratoren, jährlicher externer Penetrationstest). Details finden Sie in unseren Technisch-Organisatorischen Maßnahmen (TOM) als Anlage zum AVV.

11. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Dienstleistungen ändern. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Über wesentliche Änderungen informieren wir aktive Kunden zusätzlich per E-Mail.

Kontakt für Datenschutz-Anfragen:dsb@consiliari.de