RECHTLICHES · DATENSCHUTZRICHTLINIE

Datenschutzrichtlinie

Welche personenbezogenen Daten wir erheben, warum wir sie erheben, wie wir sie verwenden und weitergeben, und welche Rechte Ihnen gemäß GDPR, CCPA und gleichwertigen Gesetzen zustehen. Verständlich formuliert, prüfungssicher aufgebaut.

Version

v1.0

Gültig ab

25. Mai 2026

Zuletzt aktualisiert

23. Mai 2026

Status

v1.0 · kann sich ändern

HINWEIS IN KLARER SPRACHE

Dieses Dokument ist verständlich formuliert. Es ist ein verbindliches Rechtsdokument — bitte lesen Sie es sorgfältig. Bei Rückfragen schreiben Sie an [email protected] mit dem Betreff [Legal]. EDMA Group behält sich das Recht vor, dieses Dokument zu aktualisieren; wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail angekündigt und unter /newsroomveröffentlicht.

01 Wer wir sind

Diese Datenschutzrichtlinie gilt für personenbezogene Daten, die von EDMA Group („EDMA”, „wir”, „uns”) über die TradeOS-Anwendung, den Trade Marktplatz, unsere Websites unter edma.trade und edma.co sowie zugehörige Dienste erhoben werden.

Für die meisten in dieser Richtlinie beschriebenen Verarbeitungsvorgänge ist EDMA der Verantwortliche. Verarbeitet EDMA personenbezogene Daten im Auftrag eines TradeOS-Kunden (z. B. Daten über dessen eigene Mitarbeiter, Lieferanten, Kunden oder Financiers), handelt EDMA als Auftragsverarbeiter und der Kunde ist der Verantwortliche. Die Bedingungen des Datenverarbeitungsvertrags regeln Auftragsverarbeitungsverhältnisse.

Unser eingetragener Sitz sowie die Kontaktdaten für Datenschutzangelegenheiten befinden sich am Ende dieser Seite.

02 Was wir erheben

Wir erheben personenbezogene Daten in den folgenden Kategorien.

Konto- & Identitätsdaten

  • Name, E-Mail-Adresse, Berufsbezeichnung, Organisation, Land
  • Zugangsdaten (Passwörter werden gehasht gespeichert; wir speichern keine Passwörter im Klartext)
  • Profilbild, sofern hochgeladen

Nutzungs- & technische Daten

  • IP-Adresse, User-Agent-String, Gerätetyp, Browsersprache, Zeitzone
  • besuchte Seiten, genutzte Funktionen, produktinterne Aktionen, Zeitstempel
  • Fehlerprotokolle und Absturzberichte
  • API-Anfrage-Metadaten (Endpunkte, Statuscodes, Latenz)

Geschäfts- & kommerzielle Daten

  • operative Datensätze, die der Kunde in TradeOS eingibt und die personenbezogene Daten von Mitarbeitern, Lieferanten, Kunden und Finanzierungspartnern des Kunden enthalten können (durch den Kunden kontrolliert; durch uns verarbeitet)
  • Kommunikations-Metadaten (Absender, Empfänger, Zeitstempel, Kanal) für über TradeOS-Portale ausgetauschte Nachrichten
  • Dokument-Uploads und deren Metadaten

Marketing & Korrespondenz

  • über unsere Kontaktformulare eingereichte Nachrichten (edma.trade/contact)
  • Abonnementstatus für den Operator-Briefing-Newsletter
  • Anmeldungen zu Marketing-Veranstaltungen und Demo-Buchungen

Cookies & ähnliche Technologien

Siehe die Cookie-Richtlinie für eine Übersicht der von uns gesetzten Cookies, deren Zwecke und Verwaltungsmöglichkeiten.

03 Wie wir personenbezogene Daten verwenden

Wir verwenden personenbezogene Daten, um:

  • Den Service bereitzustellen — Nutzer zu authentifizieren, die richtigen Daten an den richtigen Mandanten auszuliefern, Dokumente und Benachrichtigungen zwischen Vertragsparteien weiterzuleiten, Abrechnungskaskaden zu berechnen und den Trade Marktplatz zu betreiben.
  • Den Service zu verbessern — aggregierte Nutzungsmuster zu analysieren, Fehler zu identifizieren, Features zu priorisieren und interne KI-Modelle ausschließlich auf Basis aggregierter und anonymisierter Daten zu trainieren (wir trainieren externe KI-Anbieter nicht mit Kundendaten; siehe §5).
  • Den Service zu sichern — Missbrauch, Betrug, Sanktionsverstöße, Schadsoftware, Scraping und unbefugten Zugriff zu erkennen und zu verhindern sowie Vorfälle zu untersuchen.
  • Anfragen zu beantworten und Support zu leisten — Nachrichten zu beantworten, die über Kontaktformulare eingereicht oder an [email protected] gesendet wurden; Anfragen an das zuständige interne Team weiterzuleiten.
  • Betriebliche und Marketing-Kommunikation zu versenden — Service-Ankündigungen, Sicherheitshinweise, Abrechnungshinweise sowie (mit Einwilligung oder soweit gesetzlich zulässig) den Operator-Briefing-Newsletter.
  • Rechtliche Pflichten zu erfüllen — steuerliche, buchhalterische, sanktionsrechtliche, geldwäscherechtliche und datenschutzrechtliche Verpflichtungen einzuhalten; auf rechtmäßige Anfragen von Behörden zu antworten.

04 Rechtsgrundlagen (GDPR)

Soweit GDPR Anwendung findet, stützt sich unsere Verarbeitung auf eine oder mehrere der folgenden Grundlagen:

  • Vertragserfüllung — um den Service bereitzustellen, den der Kunde abonniert hat, und um den Marktplatz zu betreiben.
  • Berechtigtes Interesse — um den Service zu sichern, Betrug und Missbrauch zu verhindern, das Produkt zu verbessern und Geschäftsabläufe durchzuführen. Wir wägen unsere Interessen gegen Ihre Rechte und Freiheiten ab.
  • Einwilligung — für nicht notwendige Cookies, Marketing-Kommunikation, in die Sie eingewilligt haben, und jede sonstige Verarbeitung, für die die Einwilligung die geeignete Grundlage darstellt. Sie können Ihre Einwilligung jederzeit widerrufen.
  • Rechtliche Verpflichtung — zur Einhaltung des Steuer-, Buchhaltungs-, Sanktions-, AML- und Datenschutzrechts.

Sie haben das Recht, der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen. Wie Sie dieses Recht ausüben, erfahren Sie in §8.

05 Mit wem wir teilen

Wir geben personenbezogene Daten nur wie nachfolgend dargelegt weiter.

Dienstleister (Unterauftragsverarbeiter)

Wir setzen eine begrenzte Anzahl geprüfter Unterauftragsverarbeiter ein, um den Dienst zu hosten, E-Mails zuzustellen und spezifische Funktionen bereitzustellen. Die aktuelle Liste der Unterauftragsverarbeiter wird im Datenverarbeitungsvertrag geführt. Unterauftragsverarbeiter sind durch schriftliche Vereinbarungen gebunden, die den Anforderungen von Art. 28 DSGVO entsprechen. Wir informieren Kunden mindestens dreißig (30) Tage vor Beginn der Verarbeitung von Kundendaten über neue Unterauftragsverarbeiter.

KI-Anbieter

Atlas Document Intelligence, die Accounting AI, der Bot Studio und vergleichbare Funktionen nutzen einen oder mehrere Drittanbieter von KI-Diensten (z. B. Anthropic, OpenAI, Google) auf Anfragebasis. Wir übermitteln nur die für die jeweilige Aufgabe erforderlichen Mindestdaten; wo verfügbar, verwenden wir Enterprise-Endpunkte ohne Datenspeicherung, sodass Eingaben weder gespeichert noch für das Training verwendet werden. Der Kunde kann auf den Sovereign- und Air-Gapped-Tiers externe KI-Anbieter zugunsten des lokal gehosteten Gemma-Modells deaktivieren.

Marktplatz-Gegenparteien

Wenn ein Kunde (Operator) ein Marktplatz-Angebot einstellt, sind anonymisierte Zusammenfassungsdaten für geprüfte Financiers sichtbar. Identifizierende Details (Name des Operators, Namen der Gegenparteien, Standort der Fabrik) werden erst nach ausdrücklicher Freigabe durch den Operator für einen bestimmten Financier offengelegt – gemäß dem zweistufigen Offenlegungsprotokoll, das unter edma.trade/network/how-financing-works beschrieben ist.

Behörden

Wir geben personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Strafverfolgungsbehörden weiter, sofern dies durch ein rechtswirksames Verfahren erforderlich ist oder dem Schutz unserer Rechte dient. Soweit rechtlich zulässig, informieren wir betroffene Kunden vorab.

Unternehmenstransaktionen

Sollte EDMA eine Fusion, Übernahme, Umstrukturierung oder Veräußerung von Vermögenswerten durchlaufen, können personenbezogene Daten auf das übernehmende Unternehmen übertragen werden. Das neue Unternehmen ist an diese Datenschutzrichtlinie oder eine Nachfolgeregelung mit gleichwertigem Schutzniveau gebunden.

Wir verkaufen oder vermieten personenbezogene Daten nicht.

06 Internationale Übermittlungen

EDMA ist in mehreren Rechtsordnungen tätig, darunter dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und weiteren Regionen. Personenbezogene Daten können in andere Länder als das Land der Erhebung übermittelt und dort verarbeitet werden.

Soweit personenbezogene Daten aus dem EWR oder dem Vereinigten Königreich in ein Land übermittelt werden, das kein angemessenes Schutzniveau bietet, stützen wir uns auf geeignete Garantien, darunter die Standardvertragsklauseln der Europäischen Kommission (sowie das britische Äquivalent), ergänzende technische Maßnahmen (Verschlüsselung bei der Übertragung und im Ruhezustand) und ergänzende vertragliche Maßnahmen mit dem empfangenden Auftragsverarbeiter.

Die Liste der Regionen, in denen Kundendaten gehostet werden, ist im DPA dokumentiert.

07 Aufbewahrung

Wir speichern personenbezogene Daten nur so lange, wie es für die in §3 genannten Zwecke erforderlich ist, und löschen oder anonymisieren sie anschließend. Im Einzelnen:

  • Kontodaten — für die Dauer des Kontos zuzüglich einer angemessenen Archivierungsfrist für Rechtsansprüche.
  • Kundendaten in TradeOS — für die Dauer des Abonnementzeitraums zuzüglich eines 30-tägigen Exportfensters, danach werden sie gelöscht (vorbehaltlich gesetzlicher Aufbewahrungspflichten des Kunden, z. B. Steuerunterlagen).
  • Nutzungsprotokolle & Sicherheitsprotokolle — in der Regel 12 Monate, bei Bedarf länger für Ermittlungen.
  • Marketingdaten — bis zur Abmeldung des Abonnenten zuzüglich einer Sperrliste zur Einhaltung der Abmeldung.
  • Finanzunterlagen & Rechnungen — für den nach Steuer- und Buchhaltungsrecht vorgeschriebenen Zeitraum (je nach Rechtsordnung in der Regel 6–10 Jahre).

08 Ihre Rechte

Sofern die DSGVO oder ein gleichwertiges Gesetz auf Sie Anwendung findet, stehen Ihnen in Bezug auf die von uns gespeicherten personenbezogenen Daten folgende Rechte zu:

  • Auskunft — fordern Sie eine Kopie der von uns gespeicherten personenbezogenen Daten an.
  • Berichtigung — bitten Sie uns, unrichtige oder unvollständige Daten zu korrigieren.
  • Löschung — bitten Sie uns, personenbezogene Daten zu löschen, sofern keine vorrangige Rechtsgrundlage für deren Aufbewahrung besteht.
  • Einschränkung — bitten Sie uns, die Verarbeitung auszusetzen, bis ein Streit beigelegt ist.
  • Datenübertragbarkeit — fordern Sie eine maschinenlesbare Kopie der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen Format an.
  • Widerspruch — widersprechen Sie der Verarbeitung auf Grundlage berechtigter Interessen, einschließlich Profiling und Direktwerbung.
  • Einwilligung widerrufen — sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.
  • Beschwerde — reichen Sie eine Beschwerde bei Ihrer zuständigen Aufsichtsbehörde ein. Siehe §14.

Um diese Rechte auszuüben, schreiben Sie an [email protected] mit dem Betreff [Privacy]. Wir antworten innerhalb von dreißig (30) Tagen. Wir können vor der Bearbeitung eines Antrags einen Identitätsnachweis verlangen. Handelt es sich bei den Daten um Kundendaten (die von uns im Auftrag eines Kunden verarbeitet werden), leiten wir Ihre Anfrage an den betreffenden Kunden als Verantwortlichen weiter.

09 CCPA / US-Bundesstaaten-Datenschutzhinweise

Wenn Sie in Kalifornien ansässig sind, gewähren Ihnen der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) zusätzliche Rechte:

  • Auskunftsrecht darüber, welche Kategorien personenbezogener Daten wir über Sie erhoben haben, die Quellen, die Zwecke und an wen wir sie weitergeben.
  • Löschungsrecht für personenbezogene Daten, vorbehaltlich geltender Ausnahmen.
  • Berichtigungsrecht bei unrichtigen personenbezogenen Daten.
  • Recht auf Widerspruch gegen „Verkauf” oder „Weitergabe” personenbezogener Daten. Wir verkaufen oder teilen keine personenbezogenen Daten im Sinne der CCPA/CPRA-Definitionen.
  • Recht auf Einschränkung der Verarbeitung sensibler personenbezogener Daten, soweit anwendbar.
  • Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte.

Um diese Rechte wahrzunehmen, kontaktieren Sie uns wie in §8 beschrieben. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.

Wenn Sie in Virginia, Colorado, Connecticut, Utah, Texas oder einem anderen US-Bundesstaat mit umfassender Datenschutzgesetzgebung ansässig sind, stehen Ihnen im Wesentlichen die gleichen Rechte wie oben zu. Wir wenden dieselben Verfahren unabhängig von der Zuständigkeit an.

10 Cookies & Tracking

Wir verwenden eine begrenzte Anzahl von Cookies und ähnlichen Technologien auf unseren Websites und im Service. Die vollständige Übersicht und Hinweise zur Verwaltung finden Sie in der Cookie-Richtlinie.

Wir verwenden keine Werbe-Cookies von Drittanbietern. Wir nehmen nicht an standortübergreifenden Werbenetzwerken teil.

11 Sicherheit

Wir schützen personenbezogene Daten durch administrative, technische und physische Schutzmaßnahmen, die dem jeweiligen Risiko angemessen sind – einschließlich Verschlüsselung bei der Übertragung (TLS 1,2+) und im Ruhezustand, rollenbasierter Zugriffskontrolle, Produktionszugang nach dem Prinzip der minimalen Rechtevergabe, Audit-Protokollierung, Schwachstellenmanagement, Sicherungs- und Notfallwiederherstellungsverfahren sowie Mitarbeiterschulungen. Die von uns angewandten technischen und organisatorischen Maßnahmen sind im DPA im Detail aufgeführt.

Kein System ist vollständig sicher. Sollten Sie eine Sicherheitslücke entdecken oder einen Datenschutzverstoß vermuten, schreiben Sie an [email protected] mit dem Betreff [Security].

12 Minderjährige

Der Dienst ist für die geschäftliche Nutzung durch Erwachsene bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Sollten Sie der Ansicht sein, dass ein Minderjähriger uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte – wir werden diese Daten löschen.

13 Änderungen

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Die aktuelle Version ist stets abrufbar unter edma.trade/legal/privacy mit dem Datum „Zuletzt aktualisiert” am Anfang. Wesentliche Änderungen – solche, die Ihre Rechte spürbar einschränken oder neue Verarbeitungskategorien einführen – werden den Kontoadministratoren mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt.

14 Kontakt & Beschwerden

Für Datenschutzfragen, -anfragen oder -beschwerden kontaktieren Sie uns unter [email protected] mit dem Betreff [Privacy]. Wir bestätigen den Eingang innerhalb eines Werktages und bearbeiten Anliegen inhaltlich innerhalb von dreißig (30) Tagen.

Wenn Sie sich im EWR, im Vereinigten Königreich oder in der Schweiz befinden und mit unserer Antwort nicht zufrieden sind, haben Sie das Recht, eine Beschwerde bei Ihrer zuständigen lokalen Datenschutzbehörde einzureichen.

FRAGEN

Schreiben Sie uns.

Bei Klärungsbedarf, Beschwerden oder zur Ausübung eines Datenrechts gemäß diesem Dokument — schreiben Sie an [email protected] mit Betreff [Legal]. Wir antworten innerhalb eines Werktages.

RECHTLICHE EINHEIT

EDMA Group

Die hinter TradeOS, dem Marktplatz und den weiteren Aktivitäten der EDMA Group stehende Einheit. Registrierte Unternehmensdaten sind auf Anfrage unter der obigen Adresse erhältlich. edma.co →

ARCHIV

Frühere Versionen.

Ältere Versionen dieses Dokuments sind archiviert. Um eine bestimmte Version anzufordern, schreiben Sie [email protected] mit Betreff [Legal archive].

Datenschutzrichtlinie | TradeOS