Datenschutzerklärung

Ihre personenbezogenen Daten werden von uns ausschließlich gemäß den Bestimmungen des deutschen Datenschutzrechts und der Datenschutz-Grundverordnung (DSGVO) verarbeitet. Diese Datenschutzerklärung gilt für die Web-Applikation LJUNGMAN GF · Radar sowie alle damit verbundenen Dienste.

Die Anwendung richtet sich an mittelständische Geschäftsführer und Gesellschafter und verarbeitet im Rahmen der Nutzung auch sensible Finanzdaten von Unternehmen. Wir behandeln diese Daten mit besonderer Sorgfalt und nach dem Grundsatz der Datensparsamkeit.

(1) Hosting & Plattform — Lovable

Die Anwendung wird auf der Plattform Lovable der Lovable AB, Sveavägen 24-26, 111 57 Stockholm, Schweden, betrieben. Die Auslieferung der Inhalte erfolgt über das globale Edge-Netzwerk von Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Bei jedem Aufruf unserer Anwendung werden durch den jeweiligen Browser automatisch Daten an den Server übermittelt und dort in Server-Logfiles gespeichert:

• IP-Adresse des anfragenden Endgeräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Ressource
• Übertragene Datenmenge
• HTTP-Statuscode
• Browsertyp und -version
• Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und störungsfreiem Betrieb). Speicherdauer: 30 Tage.

Drittlandtransfer: Cloudflare verarbeitet Daten in den USA auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und ist nach dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO).

(2) Datenbank, Auth & Storage — Supabase (über Lovable Cloud)

Die Speicherung von Nutzerdaten, Finanzdaten und Dateien erfolgt über die in Lovable integrierte Backend-Plattform Lovable Cloud, die technisch auf Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992, basiert.

Der gewählte Datenbankserver befindet sich in Frankfurt, Deutschland (EU-Region). Folgende Daten werden gespeichert:

• Nutzerprofil (Name, E-Mail, Unternehmensdaten)
• Finanzdaten aus BWA-Uploads (KPI-Snapshots)
• Hochgeladene BWA-Dateien (Supabase Storage, verschlüsselt)
• 13-Wochen-Liquiditätsvorschau
• Sparring-Session-Protokolle
• Quick-Win-Reports und Maßnahmen
• Benachrichtigungseinstellungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Kerndaten. Serverstandort: Frankfurt, Deutschland (EU). Kein Drittlandtransfer für gespeicherte Finanzdaten.

(3) Echtzeit-Funktionen — Supabase Realtime

Für Echtzeit-Aktualisierungen des Dashboards (z.B. Ampel-Status-Änderungen) nutzen wir Supabase Realtime. Dabei wird eine WebSocket-Verbindung zum Supabase-Server in Frankfurt aufgebaut. Es werden keine zusätzlichen personenbezogenen Daten übertragen, die nicht bereits im Rahmen der regulären Datenbanknutzung anfallen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

(1) Registrierung

Bei der Registrierung erheben wir folgende Daten:

• Vor- und Nachname
• E-Mail-Adresse
• Unternehmen und Rechtsform
• Jahresumsatz (Bereich)
• Passwort (verschlüsselt gespeichert, nicht im Klartext)

Diese Daten sind zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Speicherdauer: Bis zur Kontolöschung, danach 10 Jahre für steuerrechtlich relevante Daten (§ 147 AO).

(2) Anmeldung & Magic Link

Wir bieten neben der Passwort-Anmeldung die Anmeldung per einmaligem Link (Magic Link) an. Dabei wird ein einmaliger Anmeldelink an Ihre E-Mail-Adresse gesendet. Die Authentifizierung erfolgt über Lovable Cloud / Supabase Auth (Serverstandort Frankfurt, EU). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

(3) Rollenverwaltung

Nutzern können folgende Rollen zugewiesen werden:

• user: Standardnutzer mit Zugriff auf eigene Daten
• admin: Ljungman-Team mit Zugriff auf alle Kundendaten

Die Rollenzuweisung erfolgt ausschließlich durch Ljungman CRO GmbH. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

(4) Steuerberater-Zugang (optional)

Optional können Sie Ihrem Steuerberater einen eingeschränkten Lesezugriff auf Ihr Dashboard gewähren. Dabei wird die E-Mail-Adresse des Steuerberaters gespeichert und eine Einladungs-E-Mail versendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar über Einstellungen → Unternehmen).

(1) BWA-Upload & Speicherung

Beim Hochladen Ihrer Betriebswirtschaftlichen Auswertung (BWA) werden folgende Daten verarbeitet:

• Die hochgeladene Datei (PDF, Excel, CSV) wird verschlüsselt in Lovable Cloud / Supabase Storage (Frankfurt, EU) gespeichert
• Extrahierte Finanzkennzahlen werden als KPI-Snapshot in der Datenbank gespeichert
• Metadaten: Dateiname, Uploadzeitpunkt, Verarbeitungsstatus, Konfidenz-Score

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kernfunktion). Speicherdauer: Originaldateien 24 Monate; KPI-Snapshots bis zur Kontolöschung.

(2) Automatisierte Kennzahlenberechnung & Ampel-Score

Die hochgeladene BWA wird automatisiert analysiert, um Finanzkennzahlen zu extrahieren. Dabei wird ein Ampel-Score (0–30 Punkte) berechnet und eine Einordnung in IDW S6-Krisenstadien vorgenommen.

Automatisierte Entscheidungsfindung: Die Score-Berechnung erfolgt regelbasiert nach einem transparenten Punktesystem. Eine automatisierte Entscheidung mit rechtlicher Außenwirkung im Sinne des Art. 22 DSGVO findet nicht statt. Alle Ergebnisse werden durch einen menschlichen Sparringspartner interpretiert und kommentiert.

(3) 13-Wochen-Liquiditätsvorschau

Die von Ihnen eingegebenen oder automatisch aus der BWA berechneten Planungsdaten (Einzahlungen und Auszahlungen je Woche) werden gespeichert, um die Vorschau persistent verfügbar zu machen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis zur Kontolöschung.

(4) Sparring-Sessions & Reports

Im Rahmen der monatlichen Sparring-Sessions erstellt Ihr Sparringspartner Protokolle, Quick-Win-Reports und Maßnahmen-Empfehlungen. Diese werden in der Datenbank gespeichert und sind ausschließlich für Sie und das Ljungman-Team zugänglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis zur Kontolöschung.

Zur automatischen Extraktion von Kennzahlen aus hochgeladenen BWA-Dateien wird der Lovable AI Gateway eingesetzt, der Anfragen an KI-Modelle führender Anbieter (u.a. OpenAI, Google) weiterleitet.

Dabei werden Textinhalte aus Ihrer BWA-Datei zur Verarbeitung übermittelt. Die Anbieter verarbeiten diese Daten ausschließlich zur Beantwortung der jeweiligen Anfrage und verwenden sie nicht zum Training von KI-Modellen.

Übermittelte Daten: Textinhalte der BWA (Finanzkennzahlen, Kontenstruktur — soweit möglich ohne Namen natürlicher Personen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Verarbeitung).

Drittlandtransfer: Die KI-Anbieter (OpenAI, Google) können Daten in den USA verarbeiten, auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und — soweit zertifiziert — auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO).

Hinweis: Sie können die KI-Extraktion umgehen, indem Sie Kennzahlen nach dem Upload manuell korrigieren oder direkt manuell eingeben.

(1) Transaktionale E-Mails

Für den Versand von transaktionalen E-Mails (Registrierungsbestätigung, Magic Links, Benachrichtigungen, Sparring-Erinnerungen) nutzen wir den in Lovable integrierten E-Mail-Dienst. Verarbeitete Daten: E-Mail-Adresse, Sendezeitpunkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

(2) Calendly — Terminbuchung (geplant)

Für die zukünftige Buchung von Sparring-Terminen ist die Einbindung von Calendly, LLC, 271 17th St NW Suite 1000, Atlanta, GA 30363, USA, geplant.

Bei der Terminbuchung werden folgende Daten an Calendly übermittelt:

• Name und E-Mail-Adresse
• Gewünschter Termin
• Optionale Notizen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Terminbuchung). Drittlandtransfer: USA, Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Hinweis: Calendly ist zum aktuellen Zeitpunkt noch nicht aktiv eingebunden (Stand: Mai 2026). Diese Datenschutzerklärung wird bei Aktivierung entsprechend aktualisiert.

(3) Direkte E-Mail-Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren (cro@ljungman.de), speichern wir Ihre E-Mail-Adresse und den Inhalt der Nachricht zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 3 Jahre nach Abschluss der Kommunikation.

Technisch notwendige Cookies

Folgende Cookies und lokale Speichertechnologien setzen wir ohne Einwilligung ein (§ 25 Abs. 2 Nr. 2 TDDDG):

Authentifizierungs-Cookie (Supabase Auth):

• Name: sb-[projekt-id]-auth-token
• Zweck: Aufrechterhaltung der Anmeldung
• Speicherdauer: Sitzungsdauer / 7 Tage
• Anbieter: Lovable Cloud / Supabase (Server Frankfurt, EU)

Cookie-Einwilligungs-Speicherung:

• Technologie: localStorage
• Zweck: Speicherung Ihrer Cookie-Präferenzen
• Speicherdauer: 12 Monate

Sitzungsstate (React):

• Technologie: sessionStorage
• Zweck: Temporäre UI-Zustände (z.B. geschlossene Hinweisbanner)
• Speicherdauer: Bis Browser-Tab geschlossen

Analyse-Cookies

Wir setzen derzeit keine Analyse-Cookies ein. Falls wir in Zukunft Analyse-Tools einsetzen, werden wir Ihre Einwilligung über den Cookie-Banner einholen.

Marketing-Cookies

Wir setzen keine Marketing- oder Tracking-Cookies ein.

Wir setzen folgende Dienstleister ein, mit denen — soweit erforderlich — Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen wurden:

SVK = Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
DPF = EU-US Data Privacy Framework (Angemessenheitsbeschluss Art. 45 DSGVO)

Einige unserer Dienstleister können personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln (insbesondere USA). Die Übermittlung erfolgt jeweils auf Basis von:

a) Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO, und/oder

b) dem Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework vom 10.07.2023 gemäß Art. 45 DSGVO, soweit der jeweilige Anbieter zertifiziert ist.

Besonderer Hinweis: Ihre gespeicherten Finanzdaten (BWA-Snapshots, KPIs, Liquiditätsvorschau) liegen ausschließlich auf dem Supabase-Server in Frankfurt, Deutschland. Für diese Daten findet kein Drittlandtransfer statt.

Sie haben folgende Rechte gegenüber uns als Verantwortlichem:

• Art. 15 DSGVO — Recht auf Auskunft
• Art. 16 DSGVO — Recht auf Berichtigung
• Art. 17 DSGVO — Recht auf Löschung
• Art. 18 DSGVO — Recht auf Einschränkung der Verarbeitung
• Art. 20 DSGVO — Recht auf Datenübertragbarkeit
• Art. 21 DSGVO — Widerspruchsrecht
• Art. 7 Abs. 3 DSGVO — Widerrufsrecht bei Einwilligung
• Art. 77 DSGVO — Beschwerderecht bei der zuständigen Aufsichtsbehörde

Zuständige Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

Daten-Export und Kontolöschung:

Sie können Ihre Daten jederzeit direkt in der Anwendung unter Einstellungen → Datenschutz exportieren oder Ihr Konto löschen. Bei Kontolöschung werden alle personenbezogenen Daten und Finanzdaten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (§ 257 HGB, § 147 AO — bis zu 10 Jahre für steuerrelevante Daten).

Zur Wahrnehmung Ihrer Rechte wenden Sie sich an: cro@ljungman.de

Wir treffen folgende technische und organisatorische Maßnahmen (TOM):

• TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Datenspeicherung (AES-256) in Lovable Cloud / Supabase
• Row Level Security (RLS): Jeder Nutzer hat ausschließlich Zugriff auf eigene Daten — technisch erzwungen auf Datenbankebene
• Sichere Passwort-Speicherung (bcrypt-Hashing über Supabase Auth)
• Zugriffsprotokollierung
• Rollenverwaltung (user / admin)
• BWA-Dateien verschlüsselt gespeichert, zugänglich nur für den jeweiligen Nutzer und autorisierte Ljungman-Mitarbeiter

Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an:

Ljungman CRO GmbH
z.Hd. Carl Fredrik Wilhelm Ljungman
cro@ljungman.de
+49 170 4829644

Stand: Mai 2026