Datenschutz­erklärung

HelioApp — ein Angebot von StratXpand Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze ist:

StratXpand

Inhaber: Andre Uhlig Spremberger Str. 44 03046 Cottbus Deutschland

E-Mail: ceo@stratxpand.com Web: helioapp.de

2. Datenschutzbeauftragter

Ein gesetzlich verpflichtender Datenschutzbeauftragter ist nach derzeitigem Stand nicht zu bestellen (§ 38 BDSG). Für sämtliche Datenschutzanfragen erreichen Sie uns unter ceo@stratxpand.com.

3. Allgemeines zur Datenverarbeitung

3.1 Umfang der Verarbeitung

Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und Software, zur Vertragsdurchführung sowie zur Erfüllung unserer Leistungen erforderlich ist.

3.2 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten stützen wir auf folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

3.3 Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Einzelheiten ergeben sich aus Anlage 2 unseres Auftragsverarbeitungsvertrags (helioapp.de/av).

4. Besuch unserer Website

4.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden automatisch die folgenden Daten an unseren Hosting-Provider übermittelt und in Logfiles gespeichert:

• gekürzte IP-Adresse (anonymisiert)
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL / abgerufene Datei
• HTTP-Statuscode
• übertragene Datenmenge
• User-Agent (Browser-Typ, Version, Betriebssystem)
• Referrer-URL (vorherige Seite)

Zweck: Sicherstellung eines reibungslosen Verbindungsaufbaus, technische Administration, Erkennung und Abwehr von Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).

Speicherdauer: maximal 30 Tage, danach automatische Löschung.

5. Demo-Anfragen und Kontaktformular

Wenn Sie über unsere Website eine Demo anfragen oder uns per E-Mail kontaktieren, verarbeiten wir folgende Daten:

• Name, Firmenname, E-Mail-Adresse, ggf. Telefonnummer
• Inhalt Ihrer Nachricht
• Zeitpunkt der Anfrage

Zweck: Bearbeitung Ihrer Anfrage, Demo-Bereitstellung, Kontaktaufnahme.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Anfragenbeantwortung).

Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage. Im Falle eines Vertragsschlusses gelten gesetzliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB — bis zu 10 Jahre).

6. Registrierung und Nutzung der Software (HelioApp)

6.1 Account-Daten

Bei der Registrierung als Nutzer von HelioApp verarbeiten wir:

• Name, E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash)
• optional: 2FA-Geheimnis (verschlüsselt gespeichert)
• Firmenname, Rolle innerhalb des Unternehmens
• Session-Tokens

6.2 Nutzungsdaten innerhalb der Software

Im Rahmen der Software-Nutzung werden weiter verarbeitet:

• von Ihnen eingegebene CRM-/Pipeline-Daten (Interessenten, Kunden)
• Projekt- und Anlagendaten (Adressen, Dachflächen, Moduldaten, Wirtschaftlichkeit)
• Kommunikationsdaten (Notizen, Chat-Nachrichten, E-Mail-Historie)
• Audit-Log (datenverändernde Aktionen mit Zeitstempel und User-Referenz)

Zweck: Bereitstellung der vertraglich vereinbarten SaaS-Funktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Auftragsverarbeitung: Soweit Sie als Kunde personenbezogene Daten Dritter (z. B. Ihrer eigenen Interessenten und Kunden) in HelioApp einpflegen, sind Sie der Verantwortliche im Sinne der DSGVO. Wir verarbeiten diese Daten als Auftragsverarbeiter auf Grundlage des separat abgeschlossenen Auftragsverarbeitungsvertrags (helioapp.de/av).

Speicherdauer: Während der Vertragslaufzeit. Nach Vertragsende stehen Ihre Daten 30 Tage als Export zur Verfügung; danach erfolgt die Löschung gemäß AGB § 14 und AVV § 11.

7. Zahlungsabwicklung über Stripe

Für die Abwicklung von Zahlungen im Rahmen unserer SaaS-Verträge nutzen wir den Zahlungsdienstleister Stripe.

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland (für Kunden im EWR). Mutterunternehmen: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.

Zwecke der Verarbeitung:

• Zahlungsabwicklung (Lastschrift, Kreditkarte, SEPA, weitere Methoden)
• Betrugsprävention und Risikobewertung (Stripe Radar)
• Erfüllung gesetzlicher Pflichten (Geldwäsche-/KYC-/AML-Anforderungen, steuerliche Aufzeichnungspflichten)

Verarbeitete Daten: Name, Anschrift, E-Mail-Adresse, Zahlungsdaten (z. B. Kreditkartennummer, IBAN), IP-Adresse, Browser- und Geräteinformationen, Transaktionsdaten.

Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zahlungsabwicklung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Betrugsprävention)
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen — Geldwäsche, Steuern)

Rolle von Stripe: Stripe verarbeitet die genannten Daten als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, insbesondere für eigene Zwecke der Zahlungsabwicklung und Betrugsprävention sowie zur Erfüllung eigener gesetzlicher Pflichten.

Drittlandtransfer: Eine Übermittlung an die US-amerikanische Stripe, Inc. erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie auf Basis des EU-US Data Privacy Frameworks (Stripe ist nach dem DPF zertifiziert — Adäquanzbeschluss der EU-Kommission vom 10.07.2023).

Speicherdauer: Stripe speichert die Daten gemäß eigener Aufbewahrungsfristen sowie gesetzlicher Pflichten (insb. § 257 HGB, § 147 AO — bis zu 10 Jahre).

Weitere Informationen: Stripe-Datenschutzerklärung unter stripe.com/de/privacy.

Cookies / Stripe.js: Auf Bezahlseiten werden Cookies und JavaScript-Komponenten von Stripe (Stripe.js, Stripe Radar) eingesetzt. Diese sind für die sichere Zahlungsabwicklung erforderlich (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG — unbedingt erforderliche Cookies).

8. Hosting und technische Dienstleister

Für den Betrieb der Software setzen wir folgende technische Dienstleister im Wege der Auftragsverarbeitung (Art. 28 DSGVO) ein. Die jeweiligen Auftragsverarbeitungsverträge sowie EU-Standardvertragsklauseln (soweit erforderlich) sind abgeschlossen.

Eine ausführliche Liste der Subprozessoren mit Beschreibung der Verarbeitungsvorgänge ist in Anlage 3 unseres AVV (helioapp.de/av) hinterlegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. Art. 28 DSGVO.

9. Karten- und Kartendienste (Mapbox)

Im Projekt-Wizard zur Erstellung von PV-Angeboten setzen wir den Kartendienst Mapbox ein, um Satellitenbilder und Dachflächengeometrien darzustellen.

Anbieter: Mapbox Inc., 1818 Library St Suite 500, Reston, VA 20190, USA.

Verarbeitete Daten: Beim Aufruf der Karte wird eine Verbindung zu Servern von Mapbox hergestellt; übermittelt werden insbesondere IP-Adresse, Geräte-/Browserinformationen sowie die abgefragten Kartenkacheln.

Zweck: Bereitstellung der Kartendarstellung im Projekt-Wizard.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kernfunktion der Software).

Drittlandtransfer: USA, auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. Eine Transfer-Impact-Assessment liegt vor.

Weitere Informationen: mapbox.com/legal/privacy.

10. Lead-Integrationen (Meta Lead Ads, Webhook)

HelioApp ermöglicht die Anbindung externer Lead-Quellen an die CRM-Pipeline:

10.1 Meta Lead Ads

Soweit Sie als Kunde Ihre Meta-Werbekonten (Facebook / Instagram) mit HelioApp verbinden, werden Lead-Daten (Name, Kontaktdaten, ausgefüllte Felder) direkt von Meta in Ihre HelioApp-Instanz übertragen.

Verantwortlicher für die ursprüngliche Lead-Erhebung sowie die Einwilligungs-Einholung beim Lead ist der Kunde, nicht der Anbieter. Der Kunde ist verpflichtet, eine wirksame Einwilligung der betroffenen Personen sicherzustellen (siehe AGB § 8).

Rechtsgrundlage (für die anschließende Verarbeitung in HelioApp): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden) i. V. m. Art. 28 DSGVO.

10.2 Webhook

HelioApp stellt Webhook-Endpunkte bereit, über die Drittsysteme (z. B. Landingpage-Anbieter, Werbe-Tracking) Lead-Daten einliefern können.

Verantwortlich für die Rechtmäßigkeit der ursprünglichen Datenerhebung ist auch hier der Kunde.

11. Cookies und ähnliche Technologien

11.1 Technisch erforderliche Cookies

Wir setzen technisch erforderliche Cookies ein, ohne die ein Login und die Nutzung der Software nicht möglich sind:

• Session-Cookie: Authentifizierung der angemeldeten Sitzung (HttpOnly, Secure)
• CSRF-Token: Schutz vor Cross-Site-Request-Forgery
• Theme-Präferenz: Speicherung der Hell/Dunkel-Einstellung im LocalStorage

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

11.2 Stripe-Cookies

Auf Bezahlseiten setzt Stripe technisch erforderliche Cookies (Stripe.js, Stripe Radar) — siehe Abschnitt 7.

11.3 Keine Tracking-/Marketing-Cookies

Wir setzen auf der Website helioapp.de keine Tracking-, Analyse- oder Marketing-Cookies ein, die einer Einwilligung bedürfen würden. Sollte sich dies in Zukunft ändern, wird vor dem Setzen entsprechender Cookies eine Einwilligung über einen Consent-Banner eingeholt.

12. E-Mail-Kommunikation

Bei der Kommunikation per E-Mail (eingehende und ausgehende E-Mails über HelioApp-eigene Adressen) nutzen wir:

Anbieter: 1&1 IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland.

Zweck: SMTP-Versand und IMAP-Empfang.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Während der Vertragslaufzeit; danach gemäß AVV § 11.

E-Mail-Inhalte werden durch IONOS unverschlüsselt auf dem Mail-Server zwischengespeichert (Transport-Verschlüsselung TLS 1.2+ erfolgt zwischen den Mail-Servern). Für besonders sensible Kommunikation empfehlen wir Ende-zu-Ende-Verschlüsselung (PGP/S/MIME).

13. Drittlandtransfers

Soweit personenbezogene Daten an Empfänger in Drittländern (außerhalb des EWR) übermittelt werden, geschieht dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO:

• EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bei Stripe (USA), Mapbox (USA), Vercel (USA), Neon (USA), Upstash (USA)
• EU-US Data Privacy Framework (Adäquanzbeschluss vom 10.07.2023) bei Stripe und ggf. weiteren DPF-zertifizierten Anbietern
• Transfer-Impact-Assessments (TIA) liegen für jeden US-Anbieter vor und werden auf Anfrage in geeigneter Form bereitgestellt

Eine Liste der von uns eingesetzten Drittland-Anbieter inklusive Rechtsgrundlage findet sich in Anlage 3 unseres AVV unter helioapp.de/av.

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen.

15. Ihre Rechte als Betroffener

Nach der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Unrichtige Daten können Sie berichtigen lassen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Übertragung Ihrer Daten in einem strukturierten, gängigen Format verlangen.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten — soweit diese auf Art. 6 Abs. 1 lit. f DSGVO gestützt ist — aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: ceo@stratxpand.com.

16. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Stahnsdorfer Damm 77 14532 Kleinmachnow Tel.: +49 33203 356-0 E-Mail: poststelle@lda.brandenburg.de Web: lda.brandenburg.de

Sie können sich unbeschadet dessen auch an jede andere Aufsichtsbehörde — insbesondere die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts oder Arbeitsplatzes — wenden.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund neuer Funktionen, geänderter Dienstleister oder einer geänderten Rechtslage erforderlich wird. Die jeweils aktuelle Fassung ist unter helioapp.de/datenschutz abrufbar. Wesentliche Änderungen werden Vertragskunden zusätzlich per E-Mail mitgeteilt.