Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt ‚Verantwortlicher' in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie bei der Registrierung eingeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

2. Verantwortlicher

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

3. Hinweis zur Auftragsverarbeitung für unsere Kunden

Portuo ist eine Plattform, auf der Unternehmen (unsere Kunden) Portale für ihre eigenen Endkunden betreiben. In diesem Zusammenhang gibt es zwei verschiedene Rollen:

• Für unsere direkten Kunden (Portalbetreiber): Wir sind der Verantwortliche für Ihre Stammdaten (Registrierungsdaten, Zahlungsdaten, Nutzungsdaten).
• Für Daten der Endkunden unserer Kunden:Wir agieren als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. In diesem Verhältnis ist unser Kunde (der Portalbetreiber) der ‚Verantwortliche'.

Soweit Sie als Kunde unsere Plattform nutzen und dort personenbezogene Daten Dritter (z. B. Ihrer Endkunden) verarbeiten, verarbeiten wir diese Daten ausschließlich nach Ihren Weisungen. Der Abschluss eines Auftragsverarbeitungsvertrages (AVV) ist Bestandteil der Nutzungsbedingungen.

4. Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen).

5. Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage folgender Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Sie haben Ihre Einwilligung zur Verarbeitung Ihrer Daten für einen bestimmten Zweck gegeben.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, sofern nicht Ihre Interessen überwiegen.

6. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine rechtlichen Aufbewahrungspflichten bestehen.
• Recht auf Einschränkung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
• Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen.
• Beschwerderecht (Art. 77 DSGVO) – Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Aufenthaltsortes, Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

7. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von ‚http://' auf ‚https://' wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

8. Hosting und Content Delivery

Vercel (Website-Hosting)

Diese Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Wir haben die Serverregion Frankfurt (fra1) konfiguriert, sodass alle Anfragen über Server in der EU verarbeitet werden.

Bei jedem Zugriff auf unsere Website werden automatisch Server-Logdaten erfasst:

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit der Anfrage
• Aufgerufene Seite / URL
• Browsertyp und -version
• Betriebssystem
• Referrer-URL

Diese Daten werden zur Sicherstellung des Betriebs und zur Fehlerbehebung erhoben (Art. 6 Abs. 1 lit. f DSGVO). Vercel ist nach dem EU-US Data Privacy Framework zertifiziert.

Speicherdauer: Die Server-Logfiles werden für maximal 14 Tage gespeichert und anschließend gelöscht, es sei denn, eine darüber hinausgehende Speicherung ist bei konkreten Anhaltspunkten für rechtswidrige Nutzungen erforderlich.

Weitere Informationen: https://vercel.com/legal/privacy-policy

Supabase (Datenbank & Speicher)

Wir nutzen Supabase für das Hosting unserer Datenbank, Authentifizierung und Dateispeicherung. Supabase ist ein Dienst der Supabase Inc. Unsere Daten werden auf Servern in Frankfurt am Main (EU) gespeichert.

Bei der Nutzung von Supabase werden technisch notwendige Daten wie IP-Adresse und Zugriffszeitpunkt verarbeitet. Die Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einer sicheren und effizienten Bereitstellung unserer Dienste.

Weitere Informationen: https://supabase.com/privacy

Bunny Fonts

Für die Darstellung von Schriftarten nutzen wir Bunny Fonts, einen datenschutzfreundlichen Dienst der BunnyWay d.o.o. aus Slowenien. Bei der Nutzung werden keine personenbezogenen Daten an Dritte übermittelt oder gespeichert.

Weitere Informationen: https://bunny.net/privacy

9. Öffentliche Website und Kundenportal

Wir unterscheiden zwischen der öffentlichen Website (portuo.com) und den Kundenportalen (ihre-firma.portuo.com). Je nach Bereich werden unterschiedliche Daten verarbeitet:

Öffentliche Website (ohne Anmeldung)

Beim Besuch unserer öffentlichen Seiten werden nur minimale Daten verarbeitet:

• Server-Logdaten (siehe Abschnitt Hosting)
• Bei Portal-Erstellung: E-Mail-Adresse zur Verifizierung

Analyse-Tools (Google Analytics) werden nur nach Ihrer ausdrücklichen Einwilligung eingesetzt (siehe Abschnitt 18). Werbe-Tracker werden nicht eingesetzt.

Kundenportal (nach Anmeldung)

Nach der Anmeldung in einem Kundenportal werden zusätzliche Daten verarbeitet, die für die Nutzung des Dienstes erforderlich sind:

• Nutzerkonto-Daten (Name, E-Mail, Telefon)
• Hochgeladene Dokumente und Anhänge
• Tickets, Kommentare und Konversationen
• Benachrichtigungseinstellungen
• Lesestatus (welche Inhalte Sie bereits gesehen haben)
• Authentifizierungs-Cookie für die Sitzung

Diese Daten werden ausschließlich zur Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). Im Kundenportal werden keine Analyse-Tools eingesetzt – Google Analytics läuft ausschließlich auf der öffentlichen Website (portuo.com).

10. Registrierung und Nutzerkonto

Sie können sich auf unserer Website registrieren, um zusätzliche Funktionen nutzen zu können. Die Registrierung ist nur für Personen ab 18 Jahren zulässig. Bei der Registrierung verarbeiten wir folgende Daten:

• E-Mail-Adresse
• Name
• Passwort (verschlüsselt gespeichert)
• Telefonnummer (optional)

Bei der Nutzung unserer Dienste werden zusätzlich folgende Daten verarbeitet:

• Hochgeladene Dokumente und deren Metadaten
• Tickets und Kommentare
• Benachrichtigungseinstellungen
• Lesestatus von Dokumenten, Tickets und Ankündigungen

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Cookies und lokale Speicherung

Wir setzen Technologien ein, die Informationen auf Ihrem Endgerät speichern oder darauf zugreifen (z. B. Cookies, Local Storage). Wir nutzen ausschließlich solche Technologien, die technisch zwingend erforderlich sind, um die Funktionen des Portals (z. B. Login-Status) bereitzustellen. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.

Die Rechtsgrundlage für die Verwendung technisch notwendiger Speicherungen ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Analyse-Cookies (Google Analytics) werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO).

12. E-Mail-Versand (Brevo)

Für den Versand von E-Mails nutzen wir den Dienst Brevo (ehemals Sendinblue) der Brevo GmbH, Köpenicker Str. 126, 10179 Berlin.

Wir versenden ausschließlich Transaktions-E-Mails, die für die Nutzung des Dienstes erforderlich sind:

• Passwort-Zurücksetzen
• Einladungen zu Portalen
• Benachrichtigungen über neue Dokumente, Tickets oder Kommentare
• E-Mail-Adresse-Änderungen

Bei der Nutzung werden folgende Daten an Brevo übermittelt:

• E-Mail-Adresse des Empfängers
• Inhalt der E-Mail (personalisierte Informationen)
• Metadaten (Versandzeitpunkt, Status)

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Brevo verarbeitet die Daten ausschließlich in der EU.

Weitere Informationen: https://www.brevo.com/de/legal/privacypolicy/

13. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe der Stripe Payments Europe Ltd., Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland.

Bei Zahlungsvorgängen werden folgende Daten an Stripe übermittelt und dort verarbeitet:

• Zahlungsdaten (Kreditkartennummer, SEPA-Mandatsdaten)
• Rechnungsadresse
• E-Mail-Adresse
• Transaktionsdaten

Betrugsprävention: Stripe kann zur Betrugsprävention zusätzliche Daten wie IP-Adresse und Geräteinformationen verarbeiten. Die Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Die Verarbeitung der Zahlungsdaten ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Stripe ist nach dem EU-US Data Privacy Framework zertifiziert.

Weitere Informationen: https://stripe.com/de/privacy

14. Dateispeicherung

Hochgeladene Dokumente werden verschlüsselt auf Servern in der EU (Frankfurt) gespeichert. Der Zugriff ist durch das rollenbasierte Berechtigungssystem auf autorisierte Nutzer beschränkt. Die Daten werden nach Löschung des Portals innerhalb von 30 Tagen unwiderruflich gelöscht.

15. Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:

16. Drittlandtransfer

Bei der Nutzung einiger Dienste kann es zu Datenübertragungen in die USA kommen (Vercel, Supabase, Stripe, Google). Diese Übertragungen sind durch geeignete Garantien abgesichert:

Für Anbieter, die nach dem EU-US Data Privacy Framework zertifiziert sind, besteht ein Angemessenheitsbeschluss der EU-Kommission.

Zusätzlich werden EU-Standardvertragsklauseln (SCCs) als weitere Absicherung verwendet.

17. Datenweitergabe

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur, wenn dies zur Vertragserfüllung erforderlich ist (z. B. an Zahlungsdienstleister), Sie ausdrücklich eingewilligt haben, oder wir rechtlich dazu verpflichtet sind.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen.

Stand: Dezember 2025