Stand: Mai 2026
Diese Datenschutzhinweise informieren Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von onvela – einem webbasierten CRM-Dienst.
onvela verarbeitet folgende Kategorien personenbezogener Daten. Die mit „vom Nutzer erfasst" gekennzeichneten Kategorien werden ausschließlich durch den Nutzer selbst in das System eingegeben (siehe auch Abschnitt 4 zur Auftragsverarbeitung).
2.1 Nutzerkonto und Authentifizierung
Zur Bereitstellung des Dienstes werden Name und E-Mail-Adresse der Nutzer verarbeitet. Für die Anmeldung werden zeitlich begrenzte Einmal-Links (Magic Links) sowie OAuth-Zugriffstoken verwendet. API-Token werden ausschließlich als SHA-256-Hash gespeichert; der Klartext-Token ist nach Erstellung nicht mehr abrufbar.
- Name
- E-Mail-Adresse
- API-Token (gespeichert als SHA-256-Hash)
- OAuth-Zugriffstoken (Doorkeeper)
- Einladungs-Token / Magic Link (temporär, Gültigkeit 15 Minuten)
- Admin-Status und Kontrollbereich (Account)
2.2 CRM-Kontaktdaten (vom Nutzer erfasst)
Kontaktdaten natürlicher Personen, die Nutzer in onvela anlegen und pflegen. Pflichtfeld ist lediglich der Name; alle weiteren Felder sind optional.
- Name (Pflichtfeld)
- E-Mail-Adresse
- Telefonnummer
- Mobiltelefonnummer
- Berufsbezeichnung / Position
- Straße, PLZ, Stadt
- Zugehörigkeit zu Organisationen und Rolle darin
- Interne Notizen (Freitext)
- Schlagwörter (Tags)
- Engagement-Temperatur (interner Bewertungswert 0–100)
2.3 CRM-Organisationsdaten (vom Nutzer erfasst)
Stammdaten zu Unternehmen und Organisationen, die Nutzer anlegen und pflegen. Pflichtfeld ist lediglich der Name.
- Name (Pflichtfeld)
- E-Mail-Adresse
- Telefonnummer
- Straße, PLZ, Stadt
- Webseite (URL)
- Instagram-Profil (URL)
- Branche
- Unternehmensgröße
- Interne Notizen (Freitext)
- Schlagwörter (Tags)
2.4 Aktivitäten und Interaktionshistorie (vom Nutzer erfasst)
Protokolleinträge zu Interaktionen mit Kontakten und Organisationen (Anrufe, E-Mails, Meetings, Notizen). Die Einträge werden manuell oder über die KI-Assistenten-Integration erstellt.
- Art der Aktivität (Anruf, E-Mail, Meeting, Notiz)
- Beschreibung / Gesprächsnotiz (Freitext)
- Datum und Uhrzeit der Interaktion
- Verknüpfter Kontakt (optional)
- Verknüpfte Organisation
2.5 Notizen (vom Nutzer erfasst)
Private Notizen der Nutzer. Notizen sind nutzerbezogen und für andere Nutzer desselben Kontos nicht sichtbar.
- Notizinhalt (Freitext)
- Schlagwörter (Tags)
- Ersteller (verknüpfter Nutzer)
- Erstellungs- und Änderungsdatum
2.6 Aufgaben / Todos (vom Nutzer erfasst)
Aufgaben können privat (nur für den Ersteller sichtbar) oder kontakt- bzw. organisationsbezogen sein.
- Aufgabenbezeichnung (Pflichtfeld)
- Beschreibung (optional)
- Status (offen, in Bearbeitung, erledigt)
- Fälligkeitsdatum (optional)
- Zugewiesener Nutzer (optional)
- Schlagwörter (Tags)
- Verknüpfter Kontakt oder Organisation (optional)
2.7 Gruppen / Pools (vom Nutzer erfasst)
Gruppen fassen Kontakte und Organisationen zusammen, z. B. für E-Mail-Verteiler. Der E-Mail-Export gibt die Adressen aller Mitglieder als semikolongetrennte Liste aus.
- Gruppenbezeichnung (Pflichtfeld)
- Beschreibung (optional)
- Mitglieder (Kontakte und/oder Organisationen)
- E-Mail-Adressen der Mitglieder (für Export)
2.8 Server-Protokolldaten
Beim Zugriff auf die Anwendung werden technische Verbindungsdaten automatisch im Server-Protokoll erfasst.
- IP-Adresse des Endgeräts
- Zeitpunkt des Zugriffs
- Aufgerufene Ressource (URL, HTTP-Methode)
- HTTP-Statuscode
- Referrer (sofern übermittelt)
Die folgende Tabelle gibt einen Überblick über die Verarbeitungszwecke und die jeweilige Rechtsgrundlage gemäß Art. 6 DSGVO.
| Verarbeitungszweck | Rechtsgrundlage |
|---|---|
| Bereitstellung und Betrieb des CRM-Dienstes | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Nutzerverwaltung und Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO |
| Versand von Anmelde- und Einladungs-E-Mails | Art. 6 Abs. 1 lit. b DSGVO |
| Speicherung von CRM-Daten im Auftrag des Nutzers | Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 28 DSGVO (Auftragsverarbeitung) |
| Server-Protokollierung (Betriebssicherheit) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Betrieb und Sicherheit) |
Soweit Nutzer in onvela personenbezogene Daten Dritter (z. B. Kontakte, Kunden, Partner) erfassen, handeln sie selbst als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. onvela verarbeitet diese Daten in diesem Fall ausschließlich auf Weisung des Nutzers als Auftragsverarbeiter gemäß Art. 28 DSGVO. Nutzer sind selbst dafür verantwortlich, über eine geeignete Rechtsgrundlage für die Verarbeitung dieser Drittdaten zu verfügen. Ein Auftragsverarbeitungsvertrag (AVV) steht auf Anfrage unter post@onvela.app zur Verfügung.
Personenbezogene Daten werden grundsätzlich nicht an Dritte weitergegeben, es sei denn, dies ist zur Erbringung des Dienstes erforderlich. Folgende Auftragsverarbeiter werden eingesetzt:
| Auftragsverarbeiter | Zweck | Standort | Schutzmaßnahme |
|---|---|---|---|
| Postmark (Wildbit LLC) | Transaktionaler E-Mail-Versand (Anmeldelinks, Einladungen) | USA | Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO |
| Eigener Server (Self-Hosted) | Betrieb der Anwendung und Datenspeicherung | Deutschland / EU | Kein Drittlandtransfer |
Soweit Daten in die USA übermittelt werden (Postmark), erfolgt dies auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen erteilen wir auf Anfrage.
Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
| Datenkategorie | Speicherdauer |
|---|---|
| Nutzerkontodaten | Bis zur Kündigung des Nutzerkontos |
| CRM-Daten (Kontakte, Organisationen, Aktivitäten, Notizen, Aufgaben) | Bis zur Löschung durch den Nutzer oder Schließung des Kontos |
| API-Token | Bis zum Widerruf durch den Nutzer |
| OAuth-Zugriffstoken | Bis zum Ablauf oder Widerruf |
| Einladungs-Token (Magic Links) | 7 Tage (danach automatische Löschung) |
| Server-Protokolldaten | Maximal 90 Tage |
Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO)
Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten, deren Herkunft, Empfänger und Verarbeitungszweck verlangen.
Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen.
Recht auf Löschung (Art. 17 DSGVO)
Sie können unter den Voraussetzungen des Art. 17 DSGVO die Löschung Ihrer personenbezogenen Daten verlangen („Recht auf Vergessenwerden").
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn die Voraussetzungen des Art. 18 DSGVO vorliegen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übertragen zu lassen.
Widerspruchsrecht (Art. 21 DSGVO)
Soweit Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeitet werden, haben Sie das Recht, Widerspruch einzulegen.
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Sofern eine Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: post@onvela.app
Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen gemäß Art. 77 DSGVO das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)Promenade 27
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Die Engagement-Temperatur (Abschnitt 2.2) ist ein rein informativer Bewertungswert ohne rechtliche oder vergleichbar erhebliche Auswirkungen.
Diese Datenschutzhinweise sind aktuell gültig. Wir behalten uns vor, sie bei Bedarf anzupassen, um aktuellen rechtlichen Anforderungen zu entsprechen oder Änderungen am Dienst abzubilden. Die jeweils aktuelle Fassung ist unter onvela.app/datenschutz abrufbar.