Estrategeos
Rechtliche Informationen · DSGVO · LOPDGDD

Datenschutzerklärung

Ausführliche Informationen über die Verarbeitung personenbezogener Daten durch Estrategeos S.L.: Verantwortlicher, Datenkategorien, Zwecke, Rechtsgrundlagen, Empfänger, Drittlandübermittlungen, Speicherdauer, Rechte und Beschwerden.

Letzte Aktualisierung: 24. April 2026 Verordnung (EU) 2016/679 · LOPDGDD Version: 19.0

Verantwortlicher

  • Verantwortlicher: Estrategeos S.L.
  • Steuernummer (NIF): B02715894
  • Anschrift: C/ Postas, 16 — 4. OG DC, 28012 Madrid, Spanien
  • Kontakt Datenschutz: admin@estrategeos.com
  • Datenschutzbeauftragter (DSB): Die Benennung eines DSB ist für Estrategeos S.L. nach Art. 37 DSGVO nicht verpflichtend (die Verarbeitung stellt keine Kerntätigkeit mit umfangreicher systematischer Überwachung dar). Datenschutzanfragen werden gleichwohl an die genannte Adresse weitergeleitet.

Verarbeitete Daten

Je nach Kanal und Zweck kann Estrategeos S.L. folgende Datenkategorien verarbeiten:

  • Identifikations- und Kontaktdaten: Vor- und Nachname, E-Mail, Telefon, Postanschrift, soweit zur Leistungserbringung erforderlich.
  • Berufliche Daten: berufliches Profil, Arbeitgeber, Branche, Funktion, Angaben zu Einkommen und Einkommensstruktur, soweit für die steuerliche Beratung relevant.
  • Steuer- und Finanzdaten: NIF/NIE, Steuerdomizil, abgegebene Erklärungen, Belege, Rechnungen, Kontoauszüge und sonstige vom Mandanten im Rahmen des Mandats freiwillig bereitgestellte Informationen.
  • Nutzungsdaten: IP-Adresse (anonymisiert), Cookie-Kennungen nach vorheriger Einwilligung, besuchte Seiten, Sitzungsdauer. Siehe Cookie-Richtlinie.
  • Kommunikationsdaten: Inhalte von E-Mails, übermittelten Formularen, WhatsApp-Nachrichten, wenn der Nutzer den Kontakt über diesen Kanal initiiert.

Besondere Datenkategorien (Art. 9 DSGVO) werden nicht verarbeitet, es sei denn, der Nutzer stellt sie freiwillig im Kontext einer steuerlichen Beratung bereit, die sie erforderlich macht (z. B. anerkannte Schwerbehinderung, die sich auf IRPF-Abzüge auswirkt). In diesem Fall erfolgt die Verarbeitung auf Grundlage ausdrücklicher Einwilligung.

Zwecke der Verarbeitung

Die Daten werden zu folgenden, unterschiedlichen Zwecken verarbeitet:

  • Bearbeitung von Anfragen und Leads: Beantwortung eingehender Anfragen über das Formular /bewertung, WhatsApp, E-Mail oder Telefon und Prüfung der Mandatsaufnahme.
  • Erbringung professioneller Leistungen: Durchführung des durch Mandatsschreiben formalisierten Beratungsvertrags: Fallstudie, Vorbereitung und Einreichung von Erklärungen, Vertretung vor AEAT und TEAR, Rechtsmittel, internationale Beratung.
  • Verwaltung und Buchhaltung: Rechnungsstellung (Holded), Zahlungsein- und -ausgänge (Qonto, Stripe), Buchhaltung und Jahresabschlüsse, eigene steuerliche Pflichten von Estrategeos S.L.
  • Erfüllung gesetzlicher Pflichten: spanisches Gesetz 10/2010 zur Prävention von Geldwäsche und Terrorismusfinanzierung (Kundenidentifikation, 10-jährige Aufbewahrung), Steuerrecht (Art. 95 LGT), Berufsethik des REAF.
  • Werbliche Kommunikation: Versand von Neuigkeiten, Leitfäden und Inhalten im Zusammenhang mit beauftragten oder angefragten Leistungen, ausschließlich nach spezifischer vorheriger Einwilligung.
  • Analyse und Verbesserung der Website: aggregierte Traffic- und Nutzungsmessung über Google Analytics 4, wenn der Nutzer Analyse-Cookies akzeptiert.

Rechtsgrundlage

Die Rechtmäßigkeit jeder Verarbeitung stützt sich auf folgende Grundlagen des Art. 6 DSGVO:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Erbringung der beauftragten Leistung und vom Betroffenen angeforderte vorvertragliche Maßnahmen.
  • Einwilligung (Art. 6 Abs. 1 lit. a): werbliche Kommunikation, Setzen nicht essenzieller Cookies, besondere Datenkategorien. Die Einwilligung ist jederzeit ohne Rückwirkung widerrufbar.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Gesetz 10/2010 PBC-FT, Steuerrecht, Handelsgesetzbuch, Berufsrecht.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Sicherheit der Website und Betrugsprävention, Forderungsmanagement, Rechtsverteidigung. Abwägung auf Anfrage verfügbar.

Empfänger und Auftragsverarbeiter

Die Daten können zur Erfüllung der genannten Zwecke an folgende Empfänger übermittelt werden. Jeder Auftragsverarbeiter ist durch Vertrag gemäß Art. 28 DSGVO gebunden.

EmpfängerZweckStandort
Holded S.L.Rechnungsstellung und BuchhaltungSpanien (EU)
Qonto (Olinda SAS)Online-Banking und ZahlungenFrankreich (EU)
Stripe Payments Europe LtdOnline-ZahlungsabwicklungIrland (EU) · USA (SCC)
HubSpot Inc.CRM, Formulare, KommunikationUSA · EU (DPF aktiv)
Google Ireland LtdAnalyse (GA4 mit IP-Anonymisierung)Irland (EU) · USA (DPF)
Calendly LLCOnline-TerminverwaltungUSA (SCC · DPF)
Resend.com Inc.Versand transaktionaler E-MailsUSA (SCC)
Supabase Inc.Datenbank-Hosting (Mandantenportal)EU (Frankfurt · AWS)
Cloudflare Inc.CDN und AngriffsschutzUSA · globales Netz (SCC · DPF)
Microsoft CorporationFirmen-E-Mail und OneDriveEU · USA (DPF)
AEAT, Sozialversicherung, HandelsregisterGesetzliche PflichterfüllungSpanien
Finanzamt und DE-BehördenGesetzliche Pflichterfüllung DE-MandantenDeutschland (EU)

Eine Weitergabe von Daten an Dritte für deren eigene kommerzielle Zwecke findet nicht statt.

Drittlandübermittlungen

Bestimmte Auftragsverarbeiter (HubSpot, Google, Calendly, Stripe, Cloudflare) haben ihren Mutterkonzern in den USA. Die Übermittlungen sind durch folgende Garantien nach Kapitel V DSGVO gedeckt:

  • Data Privacy Framework (DPF) EU-USA — Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 — für zertifizierte Anbieter.
  • Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914, in den übrigen Fällen, ergänzt durch Transfer-Folgenabschätzungen (TIA), soweit einschlägig.

Der Mandant kann eine Kopie der jeweils anwendbaren Garantien unter admin@estrategeos.com anfordern.

Speicherdauer

  • Nicht konvertierte Leads: bis zu 24 Monate nach dem letzten Kontakt, vorbehaltlich vorheriger Löschungsanfrage.
  • Mandantendaten mit formalisiertem Mandat: während der Vertragsdauer und nach deren Beendigung während der Verjährungsfristen: vier Jahre für steuerliche Pflichten (Art. 66 LGT), sechs Jahre für Buchhaltungsbelege (Art. 30 Handelsgesetzbuch), zehn Jahre für PBC-FT-Dokumentation (Art. 25 Gesetz 10/2010).
  • Analyse-Cookies (GA4): 14 Monate ab dem letzten Ereignis (GA4-Konfiguration).
  • Marketing-Cookies (HubSpot): 13 Monate für __hstc; 30 Minuten für __hssc; 1 Tag für __hssrc.
  • E-Mail-Korrespondenz: aufbewahrt, solange sie für die Verteidigung der Beziehung und etwaiger Ansprüche nützlich ist.

Rechte der betroffenen Person

Die betroffene Person kann folgende Rechte unter admin@estrategeos.com mit einer Kopie eines Ausweisdokuments ausüben:

  • Auskunft über die verarbeiteten personenbezogenen Daten.
  • Berichtigung unrichtiger Daten.
  • Löschung (Recht auf Vergessenwerden), soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses.
  • Einschränkung der Verarbeitung in den Fällen des Art. 18 DSGVO.
  • Datenübertragbarkeit, soweit die Verarbeitung auf Einwilligung oder Vertragserfüllung beruht und automatisiert erfolgt.
  • Widerruf der Einwilligung ohne Rückwirkung.
  • Nicht einer ausschließlich automatisierten Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung unterworfen zu werden (Art. 22 DSGVO). Estrategeos trifft keine Entscheidungen über den Mandanten allein auf Grundlage automatisierter Verarbeitung.
Beschwerde bei der Aufsichtsbehörde

Ist die betroffene Person der Ansicht, die Verarbeitung entspreche nicht den Vorschriften, kann sie Beschwerde bei der Agencia Española de Protección de Datos (AEPD) (www.aepd.es) oder, bei Wohnsitz in Deutschland, beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) (www.bfdi.bund.de) oder der zuständigen Landesbehörde einlegen.

Sicherheitsmaßnahmen

Estrategeos S.L. wendet dem Risiko angemessene technische und organisatorische Maßnahmen an (Art. 32 DSGVO): Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand, rollenbasierte Zugriffskontrolle, verstärkte Authentifizierung im Mandantenportal (Supabase Auth), automatisierte Backups, Angriffsschutz über Cloudflare und regelmäßige Überprüfung der Anbieter. Im Falle einer Verletzung wird die AEPD binnen 72 Stunden (Art. 33 DSGVO) und die betroffene Person bei hohem Risiko (Art. 34 DSGVO) unterrichtet.

Minderjährige und sensible Daten

Die Website richtet sich nicht an Minderjährige. Estrategeos S.L. erhebt nicht wissentlich Daten von Personen unter 14 Jahren (Schwelle nach LOPDGDD, Art. 7). Wird eine Registrierung eines Minderjährigen ohne elterliche Zustimmung festgestellt, werden die Daten gelöscht.

Daten besonderer Kategorien (Gesundheit, Weltanschauung, Religion, sexuelle Orientierung) werden regelmäßig nicht verarbeitet. Stellt der Nutzer sie freiwillig im Rahmen einer steuerlichen Beratung bereit (z. B. anerkannter Grad der Schwerbehinderung für IRPF-Abzüge), erfolgt die Verarbeitung auf Grundlage ausdrücklicher Einwilligung und beschränkt auf das Erforderliche.

Automatisierte Entscheidungen und Profiling

Es werden keine Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und gegenüber der betroffenen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, getroffen (Art. 22 DSGVO). Die steuerliche Analyse der Akte erfolgt durch einen zugelassenen Berufsträger. KI-Werkzeuge, die in Dokumentationsphasen eingesetzt werden können (Zusammenfassung von Schreiben, E-Mail-Klassifizierung), arbeiten unter menschlicher Aufsicht und ersetzen das Urteil des Beraters nicht.

Änderungen

Diese Erklärung kann zur Anpassung an regulatorische Änderungen, an Leitlinien der AEPD oder bei Änderungen der Auftragsverarbeiter aktualisiert werden. Wesentliche Änderungen werden durch einen deutlichen Hinweis auf der Website und gegebenenfalls per E-Mail an aktive Mandanten mitgeteilt. Das Datum der letzten Aktualisierung steht am Anfang dieses Dokuments.