Datenschutzerklärung

Die vollständige Datenschutzerklärung gemäß DSGVO wird in Kürze hier veröffentlicht.

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

FirmennameVALUEversitas UG (haftungsbeschränkt)
AnschriftMergenthalerallee 73-75, 65760 Eschborn
GeschäftsführerDr. Johannes Tschesche und Nicole Wülbeck
RegistergerichtAmtsgericht Frankfurt am Main, HRB 109133
Umsatzsteuer-IDDE313143998
E-Mail (allgemein)info@collavest.com
E-Mail (Datenschutz)datenschutz@collavest.com
Websitehttps://collavest.com

Die Plattform collavest.com wird von der VALUEversitas UG betrieben. Anfragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Betroffenenrechte richten Sie bitte an: datenschutz@collavest.com

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen nach Art. 37 DSGVO i.V.m. § 38 BDSG nicht vorliegen (weniger als 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt).

2. Gegenstand dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung der Investoren-Pooling-Plattform collavest.com.

Die Plattform erbringt folgende Dienstleistungen, bei denen personenbezogene Daten verarbeitet werden:

  • Bereitstellung einer Online-Plattform zur Erfassung von Investorenprofilen und -präferenzen
  • Algorithmisches Matching von Investoren auf Basis von Kompatibilitätskriterien
  • Durchführung gesetzlich vorgeschriebener Identitäts- und Herkunftsprüfungen (KYC/AML nach GwG)
  • Begleitung des Gründungsprozesses von Investitionsgesellschaften (Special Purpose Vehicles, SPV)
  • Kommunikation zwischen Investoren, Consultants und Plattformbetreiber

3. Kategorien verarbeiteter personenbezogener Daten

Wir verarbeiten die folgenden Kategorien personenbezogener Daten:

3.1 Zugangsdaten und technische Daten

  • E-Mail-Adresse (Pflichtfeld für Login und Kommunikation)
  • Verschlüsseltes Passwort (kein Klartextspeicherung; bcrypt-Hashfunktion)
  • IP-Adresse und Zeitstempel bei jedem Login (Sicherheitsprotokoll)
  • Browser-Kennung (User-Agent) zur technischen Fehleranalyse
  • Session-Daten (verschlüsselt in der Datenbank, kein Cookie-Tracking)

3.2 Identifikations- und Kontaktdaten

  • Anrede, Vorname, Nachname
  • Geburtsdatum
  • Vollständige Wohnanschrift (Straße, Hausnummer, PLZ, Ort, Land)
  • Staatsangehörigkeitsangabe
  • Steuer-Identifikationsnummer (gemaess § 139b AO)

3.3 Unternehmens- und Vertretungsdaten (bei Unternehmensvertretern)

  • Firmenname, Rechtsform, Unternehmensanschrift
  • Steuernummer oder Umsatzsteuer-ID des Unternehmens
  • Handelsregister-Nummer und Registergericht
  • Bestaetigung der Vertretungsbefugnis

3.4 Berufs- und Erfahrungsdaten

  • Beruf und aktuelle Taetigkeit
  • Selbstangaben zu Investitionserfahrungen (z.B. Wertpapiere, Immobilien, Gründungen)
  • Branchenkenntnisse (Freitext)

3.5 Finanzielle Daten

Diese Angaben werden ausnahmslos mit AES-256-CBC verschluesselt in der Datenbank gespeichert.

  • Jahresbruttoeinkommen oder Jahresumsatz (Angabe des Investors)
  • Frei verfügbares und investierbares Kapital
  • Laufende Kreditverbindlichkeiten und sonstige Verbindlichkeiten
  • Angaben zu bestehenden Unternehmensbeteiligungen und Wettbewerbsklauseln
  • Angaben zu gewünschten Ausschlusspartnern (optional)

3.6 Investitionspräferenzdaten (Matching-Parameter)

Diese Daten sind nicht personenbezogen im engeren Sinne, werden aber gemeinsam mit dem Profil gespeichert:

  • Bevorzugte Asset-Klassen (Startup, Immobilien, Rohstoffe, Maschinen)
  • Bevorzugte Branchen
  • Gewünschte Gesellschafteranzahl (Minimum und Maximum)
  • Gewünschtes SPV-Volumen (Minimum und Maximum)
  • Gewünschte Investitionsdauer
  • Angaben zur Bereitschaft zur Übernahme von Gesellschafterfunktionen

3.7 KYC-Dokumente (Know Your Customer)

Die Verarbeitung dieser Daten erfolgt aufgrund gesetzlicher Verpflichtungen nach dem Geldwaeschegesetz (GwG). Die Dateien werden verschlüsselt außerhalb des durch Nutzer zugänglichen Webverzeichnisses gespeichert.

  • Scan oder Foto eines gültigen Lichtbildausweises (Personalausweis oder Reisepass)
  • Angaben zu Geburtsort und Staatsangehörigkeit
  • Art des Ausweisdokuments und ausstellende Behörde
  • Bei Unternehmensvertretern: Gewerbeanmeldung oder Handelsregisterauszug

3.8 AML-Daten (Anti-Money Laundering)

Verarbeitung aufgrund gesetzlicher Pflichten nach GwG §§ 10-17.

  • Angaben zur Herkunft des einzusetzenden Kapitals (Kapitalquellen-Erklärung)
  • Erklärung zum Eigenhandel (kein Treuhänderverhältnis)
  • Status als politisch exponierte Person (PEP-Status nach GwG § 2 Abs. 1 Nr. 15)
  • Ggf. Amts- oder Funktionsbezeichnung bei positivem PEP-Status

3.9 Vertragsschluss- und Einwilligungsdaten

  • Zeitstempel der AGB-Annahme und angenommene AGB-Version
  • Zeitstempel der Datenschutzerklärungsannahme
  • Zeitstempel und IP-Adresse des Vertragsschlusses (Beweissicherung)
  • Zeitstempel der Risikobelehrungsbestätigung

3.10 Audit-Log-Daten

Das Audit-Log ist ein unveränderliches Sicherheitsprotokoll. Es enthält keine personenbezogenen Klardaten außer der internen User-ID.

  • Aktionsbezeichnung (z.B. login_success, onboarding_step_completed, match_created)
  • Interne User-ID (keine Namen oder E-Mail-Adressen)
  • IP-Adresse des Requests
  • Schweregrad des Ereignisses (info, warning, critical)
  • Zeitstempel (unveraenderlich)

4. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich für die nachfolgend beschriebenen Zwecke auf Basis der jeweils genannten Rechtsgrundlagen.

4.1 Vertragsanbahnung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung Ihrer Identifikations-, Kontakt-, Finanz- und Investitionspräferenzdaten ist notwendig, um:

  • Ihren Account anzulegen und den Onboarding-Prozess durchzuführen
  • Den Matching-Algorithmus mit Ihren Investitionsparametern auszuführen
  • Einen Investorenkreis (Match) zu identifizieren und Ihnen mitzuteilen
  • Die SPV-Gründung zu begleiten (Consultant-Zuweisung, Dokumente, LOI)
  • Vertragspflichten aus dem Beratungs- und Matchingvertrag zu erfüllen

Ohne diese Daten kann die Kerndienstleistung nicht erbracht werden.

4.2 Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO i.V.m. GwG)

Die Verarbeitung von KYC- und AML-Daten ist aufgrund folgender gesetzlicher Verpflichtungen erforderlich:

  • Identifizierungspflicht: § 10 Abs. 1 Nr. 1 GwG (Identifizierung des Vertragspartners vor Begründung der Geschäftsbeziehung)
  • Abklärung des wirtschaftlich Berechtigten: § 10 Abs. 1 Nr. 2 GwG
  • PEP-Prüfung: § 10 Abs. 1 Nr. 4 GwG, § 2 Abs. 1 Nr. 15 GwG
  • Herkunft der Gelder: § 10 Abs. 1 Nr. 3 GwG (vereinfachte Risikobewertung)
  • Aufzeichnungs- und Aufbewahrungspflichten: § 8 GwG (5 Jahre nach Ende der Geschäftsbeziehung)

4.3 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Auf Basis unserer berechtigten Interessen verarbeiten wir Daten zu folgenden Zwecken, soweit Ihre Interessen, Grundrechte und Grundfreiheiten nicht ueberwiegen:

  • Betrieb des Sicherheits-Audit-Logs: Abwehr unbefugter Zugriffe, Erkennung von Angriffsmuster und Betrugsprävention (Art. 6 Abs. 1 lit. f DSGVO). Das berechtigte Interesse liegt in der Integrität und Sicherheit der Plattformdaten sowie der Erfüllung unserer Sicherheitspflichten gegenüber anderen Nutzern.
  • Brute-Force-Schutz: Temporaere Speicherung von IP-Adressen bei Fehlversuchen zur Verhinderung von Passwortangriffen (berechtigtes Interesse: Plattformsicherheit).
  • Technisches Logging: Server-Logs zur Fehlerdiagnose und Systemstabilität (berechtigtes Interesse: Betrieb der Plattform).

4.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit wir Ihre Einwilligung einholen (z.B. für freiwillige Angaben im Onboarding-Prozess), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf beeinträchtigt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Ein Widerruf ist möglich per E-Mail an: datenschutz@collavest.com

5. Datensicherheit und technische Schutzmassnahmen

Wir haben gemäß Art. 32 DSGVO dem Risiko angemessene technische und organisatorische Maßnahmen (TOM) implementiert. Diese umfassen insbesondere:

5.1 Verschlüsselung

  • Transport: Alle Verbindungen erfolgen ausschließlich über HTTPS/TLS 1.2 oder höher. HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet.
  • Datenfelder: Alle personenbezogenen Datenbankfelder (Name, Adresse, Steuer-ID, Finanzdaten, KYC-Felder) werden mit AES-256-CBC-Verschlüsselung gespeichert. Der Schlüssel wird mittels PBKDF2-SHA256 aus einem serverspezifischen Secret abgeleitet.
  • Passwörter: Ausschließlich als bcrypt-Hash (Cost-Factor 12) gespeichert. Kein Klartextpasswort wird jemals gespeichert oder protokolliert.
  • Session-Daten: Serverseitig verschlüsselt in der Datenbank (nicht im Browser-Cookie).

5.2 Zugriffskontrolle

  • Zwei-Faktor-Authentifizierung (2FA/TOTP nach RFC 6238) für alle Benutzerkonten.
  • Rollenbasiertes Zugangskontrollsystem mit 5 Rollen (Investor, Consultant, Admin) und granularen Berechtigungen.
  • Brute-Force-Schutz: Automatische Kontosperrung nach 5 Fehlversuchen für 15 Minuten.
  • KYC-Dokumente: Gespeichert außerhalb des regulären Webverzeichnisses, mit randomisierten Dateinamen (UUID). Zugriff ausschließlich über Nutzer mit Berechtigungsprüfung.

5.3 Auditierung und Protokollierung

  • Unveränderliches Audit-Log aller sicherheitsrelevanten Aktionen (Logins, Onboarding, Matches, Dokument-Downloads, Admin-Aktionen).
  • Sensible Felder werden im Audit-Log automatisch durch [REDACTED] ersetzt.
  • Protokolldaten sind nur für Administratoren einsehbar.

5.4 Infrastruktur

  • Hosting: IONOS SE, Deutschland. Datenspeicherung in deutschen Rechenzentren (ISO 27001 zertifiziert).
  • Keine Drittanbieter-Skripte, keine externen Fonts, keine Tracking-Pixel.
  • Session-Cookies mit Secure- und HttpOnly-Flag sowie SameSite=Lax.

6. Weitergabe an Dritte und Auftragsverarbeitung

6.1 Grundsatz

Wir geben Ihre Daten nicht an Dritte weiter, soweit dies nicht zur Vertragserfüllung notwendig, gesetzlich erlaubt oder durch Ihre Einwilligung gedeckt ist.

6.2 Weitergabe an Mitinvestoren

Bei einem erfolgten Match werden anderen Investoren desselben Investorenkreises ausschließlich folgende Informationen mitgeteilt:

  • Aggregierte, nicht-personenbezogene Matching-Parameter (z.B. Investitionsdauer, Asset-Klassen)
  • Nach Unterzeichnung der Verschwiegenheitsvereinbarung (LOI/NDA): Vorname, Nachname und Kontaktdaten

Finanzielle Daten, KYC-Dokumente, AML-Angaben und der Lebenslauf werden anderen Investoren nur soweit mitgeteilt, wie es zur Gründung des SPV nötig ist. Details dieses Verfahrens werden im Einzelfall verhandelt.

6.3 Auftragsverarbeiter (Art. 28 DSGVO)

Wir setzen die folgenden Auftragsverarbeiter ein. Mit allen besteht ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO:

AuftragsverarbeiterZweck und Kategorie
IONOS SE, MontabaurWebhosting, Datenspeicherung (Server, Datenbank, Backup) in deutschen Rechenzentren

6.4 Behördliche Übermittlung

Wir sind nach § 43 GwG verpflichtet, Verdachtsfälle auf Geldwäsche oder Terrorismusfinanzierung der Zentralstelle für Finanztransaktionsuntersuchungen (FIU) zu melden. Im Falle einer solchen Meldung oder einer behördlichen Anforderung (z.B. durch Strafverfolgungsbehörden) werden die erforderlichen Daten übermittelt. Eine Information an den Betroffenen ist in diesen Fällen gemäß § 47 GwG untersagt.

6.5 Keine Weitergabe in Drittstaaten

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) findet nicht statt. Alle eingesetzten Auftragsverarbeiter speichern Daten ausschließlich in der EU.

7. Speicherdauer und Löschfristen

Wir speichern personenbezogene Daten nur so lange, wie es fuer die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Folgende Fristen gelten:

DatenkategorieSpeicherdauer und Grundlage
Kontodaten und ProfilDauer der aktiven Nutzerbeziehung, danach Anonymisierung (kein Löschen wegen Audit-Trail). Steuerrechtliche Aufbewahrung der Vertragsdaten: 10 Jahre nach Vertragsende (§ 147 AO).
KYC-Dokumente und AML-Unterlagen5 Jahre nach Ende der Geschäftsbeziehung gemäß § 8 Abs. 4 GwG. Danach physische Löschung vom Dateisystem.
Finanzielle DatenDauer der Geschäftsbeziehung, danach anonymisiert für 10 Jahre (Vertragsdaten-Aufbewahrung).
Audit-Log-Einträge2 Jahre ab Erstellung des Eintrags.
Session-Daten120 Minuten Inaktivität, danach automatische Löschung.
Brute-Force-Sperren15 Minuten (Transient), danach automatische Löschung.
Server-LogsMaximal 30 Tage.
Backup-Daten (IONOS)Gemäß AVV mit IONOS SE; in der Regel 30 Tage Backup-Aufbewahrung.

7.1 Anonymisierung statt Löschung

In Fällen, in denen eine vollständige Löschung aufgrund von Aufbewahrungspflichten nicht möglich ist (insbesondere bei Vertragsdaten und GwG-Unterlagen), werden personenbezogene Felder anonymisiert:

  • Name, Adresse und Steuer-ID werden durch nicht-rückführbare Zufallswerte ersetzt
  • KYC-Dokumente werden physisch vom Server gelöscht
  • Die E-Mail-Adresse wird durch eine nicht-zustellbare Adresse ersetzt
  • Der Login wird dauerhaft gesperrt

Auf Antrag (Recht auf Löschung, Art. 17 DSGVO) erfolgt die Anonymisierung innerhalb von 30 Tagen, soweit keine vorrangigen Aufbewahrungspflichten entgegenstehen.

8. Ihre Rechte als betroffene Person

Sie haben gemäß Art. 15-22 DSGVO folgende Rechte gegenüber uns als Verantwortlichen. Richten Sie Anfragen schriftlich an: datenschutz@collavest.com

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf folgende Informationen: Verarbeitungszwecke, Datenkategorien, Empfänger oder Empfängerkategorien, geplante Speicherdauer, Herkunft der Daten und das Bestehen einer automatisierten Entscheidungsfindung.

8.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

8.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, soweit die Verarbeitung nicht zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Bitte beachten Sie: Bei laufenden Matches oder bestehenden SPV-Beteiligungen kann eine vollständige Löschung erst nach Abschluss der Geschäftsbeziehung und Ablauf gesetzlicher Aufbewahrungsfristen erfolgen.

8.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder Sie Widerspruch eingelegt haben.

8.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln, soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt.

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Sie betreffender Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

8.7 Beschwerderecht (Art. 77 DSGVO)

Unabhängig von anderen Rechtsbehelfen haben Sie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Die für uns zuständige Aufsichtsbehörde ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden, poststelle@datenschutz.hessen.de.

8.8 Bearbeitungsfristen

Wir beantworten Anfragen zu Betroffenenrechten ohne unnötige Verzögerung, in der Regel innerhalb von einem Monat nach Eingang der Anfrage. Diese Frist kann bei komplexen oder zahlreichen Anfragen um weitere zwei Monate verlängert werden; Sie werden in diesem Fall informiert (Art. 12 Abs. 3 DSGVO).

8.9 Identitätsprüfung

Zur Bearbeitung Ihrer Anfrage sind wir berechtigt, Ihre Identität zu prüfen. Bei Anfragen per E-Mail bitten wir Sie, die E-Mail-Adresse zu verwenden, mit der Ihr Account registriert ist.

9. Beschwerderecht bei der Aufsichtsbehörde

Gemäß Art. 77 DSGVO haben Sie das Recht, bei der Datenschutzaufsichtsbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde für die VALUEversitas UG (Sitz in Hessen):

BehördeHessischer Beauftragter fuer Datenschutz und Informationsfreiheit (HBDI)
AnschriftPostfach 3163, 65021 Wiesbaden
E-Mailpoststelle@datenschutz.hessen.de
Websitehttps://datenschutz.hessen.de

10. Besondere Kategorien personenbezogener Daten

Wir verarbeiten grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten, Daten zu politischen Meinungen oder Gewerkschaftszugehörigkeit).

Soweit PEP-Status-Angaben verarbeitet werden (Ziffer 3.8), handelt es sich um gesetzlich vorgeschriebene Verarbeitungsvorgänge gemäß Art. 6 Abs. 1 lit. c DSGVO i.V.m. GwG § 10 Abs. 1 Nr. 4, nicht um politische Meinungsäußerungen.

11. Automatisierte Entscheidungsfindung und Profiling

Der Matching-Algorithmus von collavest verarbeitet Ihre Investitionspräferenzdaten in automatisierter Weise, um kompatible Investorengruppen zu identifizieren. Dieser Vorgang stellt kein Profiling im Sinne des Art. 4 Nr. 4 DSGVO dar, das eine Bewertung persönlicher Aspekte zum Gegenstand hat, sondern eine rein technische Kompatibilitätsprüfung auf Basis von Ihnen angegebener Präferenzen.

Es werden keine automatisierten Entscheidungen mit rechtlicher oder ähnlich bedeutsamer Wirkung auf Sie getroffen (Art. 22 DSGVO). Ein Match begründet keine rechtliche Verpflichtung. Die Entscheidung zur Beteiligung an einem SPV liegt ausschließlich beim Investor.

12. Cookies und Session-Verwaltung

Wir setzen ausschließlich technisch notwendige Session-Cookies ein. Es werden keine Tracking-, Marketing- oder Analyse-Cookies verwendet.

Cookie-NameZweck und Verarbeitung
collavest_sessionTechnisch notwendiges Session-Cookie. Speichert eine verschlüsselte Session-ID zur Aufrechterhaltung der Anmeldung. Inhalt: verschlüsselte Referenz auf serverseitige Session-Daten. Laufzeit: Bis Browserschließung oder 120 Minuten Inaktivität. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (notwendig für Vertragserfüllung/Login).

Keine Drittanbieter-Cookies, keine Google Analytics, keine Facebook-Pixel, keine Social-Media-Einbindungen. Da ausschliesslich technisch notwendige Cookies eingesetzt werden, ist eine Cookie-Einwilligung nicht erforderlich.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen der Plattformfunktionalität, der Rechtslage oder der eingesetzten Dienstleister. Die jeweils aktuelle Version ist unter https://collavest.com/datenschutz/ abrufbar.

Bei wesentlichen Änderungen, die Ihre Rechte als betroffene Person betreffen, werden wir Sie per E-Mail informieren. Die ältere Version bleibt auf Anfrage verfügbar.