Datenschutzerklärung

SalesControl – Directios

Stand: 25.04.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und im Rahmen des Dienstes SalesControl ist:

Adrian Schürer

Krummgasse 3

56179 Vallendar

Deutschland

E-Mail: [email protected]

Website: https://directios.app

Soweit wir als Auftragsverarbeiter personenbezogene Daten unserer Kunden verarbeiten, erfolgt dies auf Grundlage eines gesonderten Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Diese Datenschutzerklärung betrifft die Datenverarbeitung, für die wir selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

• die Marketing-Website unter https://directios.app und zugehörigen Subdomains;
• die SaaS-Anwendung SalesControl (https://salescontrol.directios.app) im Hinblick auf Daten, für die wir selbst Verantwortlicher sind (z. B. Registrierung, Authentifizierung, Abrechnung);
• die Kommunikation per E-Mail oder Kontaktformular.

Für Daten, die wir im Auftrag unserer Kunden verarbeiten (insbesondere aus deren HubSpot-Konten synchronisierte Daten), ist der jeweilige Kunde Verantwortlicher. Die Verarbeitung richtet sich nach dem zwischen uns und dem Kunden geschlossenen AVV.

3. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begriffe der Datenschutz-Grundverordnung (DSGVO). „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). „Verarbeitung" bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).

4. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, optionale Cookies);
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen (z. B. Bereitstellung des Dienstes, Registrierung, Abrechnung);
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten);
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (z. B. IT-Sicherheit, Missbrauchsprävention, grundlegende Reichweitenmessung).

5. Datenverarbeitung beim Besuch der Website

5.1 Server-Logfiles

Beim Aufruf der Website werden durch den eingesetzten Hosting- bzw. CDN-Anbieter technische Zugriffsdaten verarbeitet. Hierzu zählen insbesondere:

• IP-Adresse (ggf. anonymisiert);
• Datum und Uhrzeit des Zugriffs;
• aufgerufene URL und HTTP-Statuscode;
• übertragene Datenmenge;
• Referrer-URL;
• User-Agent (Browser, Betriebssystem).

Die Verarbeitung erfolgt zur Bereitstellung der Website, zur Gewährleistung der IT-Sicherheit und zur Missbrauchsabwehr auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden nach spätestens 30 Tagen gelöscht oder anonymisiert, sofern keine konkreten Anhaltspunkte für eine Rechtsverletzung bestehen.

5.2 Cookies und ähnliche Technologien

Auf der Website werden nur technisch notwendige Cookies und Speichermechanismen eingesetzt, die für den Betrieb der Website und die Funktion des Dienstes erforderlich sind (z. B. Session-Cookies, Authentifizierungs-Tokens, CSRF-Schutz). Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

Sofern wir nicht notwendige Cookies oder vergleichbare Technologien einsetzen (z. B. für Reichweitenmessung), holen wir zuvor Ihre Einwilligung über einen Consent-Banner ein (§ 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

5.3 Reichweitenmessung / Analyse

[Ergänzen, sobald ein Analyse-Tool eingesetzt wird. Beispielhafte Formulierung für ein cookieloses, datenschutzfreundliches Tool:]

Zur statistischen Auswertung der Nutzung unserer Website setzen wir gegebenenfalls das Analyse-Tool [z. B. Plausible Analytics] ein. Hierbei werden pseudonymisierte Nutzungsdaten (z. B. aufgerufene Seiten, Gerätetyp, grobe geografische Region auf Länderebene, Referrer) verarbeitet, jedoch keine Cookies gesetzt und keine personenbeziehbaren Daten gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer statistischen Auswertung zur Verbesserung unseres Angebots.

6. Registrierung und Nutzung von SalesControl

6.1 Konto-Erstellung

Für die Nutzung von SalesControl ist die Erstellung eines Nutzerkontos erforderlich. Dabei verarbeiten wir folgende Daten:

• Name und E-Mail-Adresse;
• Passwort (gespeichert als bcrypt-Hash über Supabase Auth);
• Organisation/Firma, der der Nutzer zugeordnet ist;
• Rolle innerhalb der Organisation (z. B. Admin, Mitglied);
• Login-Zeitstempel, IP-Adresse zum Zeitpunkt des Logins.

Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).

6.2 HubSpot-Anbindung

Für den Kernzweck des Dienstes verbindet der Nutzer sein HubSpot-Konto per OAuth 2.0 oder über einen Private App Key mit SalesControl. Dabei speichern wir OAuth-Tokens bzw. Private App Keys verschlüsselt in unserer Datenbank, um im Namen des Nutzers auf die HubSpot-API zugreifen zu können.

Die über die HubSpot-API synchronisierten personenbezogenen Daten (z. B. Kontakte, Unternehmen, Deals, Aktivitäten) werden im Auftrag des jeweiligen Kunden verarbeitet. Dafür ist der Kunde Verantwortlicher; wir sind Auftragsverarbeiter nach Art. 28 DSGVO. Details regelt der zwischen Kunde und Auftragsverarbeiter geschlossene AVV.

6.3 Abrechnung

Zur Abwicklung kostenpflichtiger Abonnements verarbeiten wir Rechnungs- und Zahlungsdaten (Name, Anschrift, Umsatzsteuer-ID, Zahlungsmittel). Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Ltd., Dublin, Irland. Wir erhalten von Stripe lediglich Statusinformationen (Zahlung erfolgreich/fehlgeschlagen) und eine Zahlungsreferenz; vollständige Kreditkartendaten werden ausschließlich von Stripe verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. c DSGVO.

7. Kontaktaufnahme

Bei Kontaktaufnahme per E-Mail, Kontaktformular oder über die In-App-Feedback-Funktion verarbeiten wir die übermittelten Angaben (z. B. Name, E-Mail-Adresse, Inhalt der Nachricht) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (bei vorvertraglichen oder vertragsbezogenen Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (bei sonstigen Anfragen). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Empfänger und Auftragsverarbeiter

Wir setzen zur Erbringung unseres Dienstes sorgfältig ausgewählte Dienstleister ein, mit denen wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen haben. Folgende Empfänger kommen in Betracht:

Eine stets aktuelle Liste der Unterauftragsverarbeiter stellen wir unseren Kunden im Rahmen des AVV zur Verfügung.

HubSpot, Inc. (bzw. HubSpot Ireland Ltd.) ist kein Unterauftragsverarbeiter von SalesControl. Die Vertragsbeziehung zu HubSpot besteht unmittelbar zwischen dem Kunden und HubSpot. Wir greifen lediglich auf Grundlage der vom Kunden erteilten OAuth-Autorisierung bzw. eines Private App Keys auf die HubSpot-API zu.

9. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums erfolgt nur, wenn dies für die Erbringung des Dienstes erforderlich ist, Sie eingewilligt haben oder eine sonstige gesetzliche Erlaubnis besteht. Erfolgt eine Übermittlung, stellen wir durch geeignete Garantien – insbesondere EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 und ergänzende technische und organisatorische Maßnahmen – ein angemessenes Datenschutzniveau sicher (Art. 44 ff. DSGVO).

10. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben. Insbesondere gilt:

• Konto- und Nutzungsdaten: für die Dauer des Vertragsverhältnisses, danach Löschung innerhalb von 90 Tagen nach Vertragsende, sofern keine Aufbewahrungspflichten bestehen;
• Rechnungs- und steuerrelevante Unterlagen: 10 Jahre (§ 147 AO, § 257 HGB);
• Server-Logfiles: max. 30 Tage;
• Support- und Kontaktanfragen: bis zur abschließenden Bearbeitung, danach bis zum Ablauf gesetzlicher Aufbewahrungsfristen.

11. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO);
• Recht auf Berichtigung (Art. 16 DSGVO);
• Recht auf Löschung (Art. 17 DSGVO);
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO);
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an [email protected].

12. Widerspruchsrecht bei Verarbeitung auf Grundlage berechtigter Interessen

Soweit wir personenbezogene Daten auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese Verarbeitung Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Im Fall eines Widerspruchs verarbeiten wir die betreffenden Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslandes, in dem wir unseren Sitz haben, oder die Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts. Eine Liste der deutschen Aufsichtsbehörden ist abrufbar unter: https://www.bfdi.bund.de

14. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

15. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Veränderung und Offenlegung zu schützen. Dazu zählen insbesondere Transportverschlüsselung (TLS 1.2+), Zugriffskontrollen auf Basis rollenbasierter Berechtigungen, Passwort-Hashing (bcrypt), eine restriktive Row-Level-Security-Konfiguration in der Datenbank, regelmäßige Backups sowie eine protokollierte Zugriffs- und Änderungshistorie.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund geänderter Rechtslage oder bei Änderungen des Dienstes bzw. der Datenverarbeitung erforderlich wird. Die jeweils aktuelle Version ist unter https://directios.app/datenschutz abrufbar. Wesentliche Änderungen teilen wir Ihnen gesondert per E-Mail oder innerhalb des Dienstes mit.

Privacy Policy

SalesControl – Directios

Version: 25.04.2026

1. Controller

The controller for the data processing on this website and within the SalesControl service is:

Adrian Schürer

Krummgasse 3

56179 Vallendar

Germany

E-mail: [email protected]

Website: https://directios.app

Where we process personal data of our customers as a processor, we do so on the basis of a separate data processing agreement (DPA) pursuant to Art. 28 GDPR. This Privacy Policy concerns the processing for which we are ourselves the controller within the meaning of Art. 4(7) GDPR.

2. Scope

This Privacy Policy applies to:

• the marketing website at https://directios.app and associated subdomains;
• the SalesControl SaaS application (https://salescontrol.directios.app) with regard to data for which we ourselves are the controller (e.g. registration, authentication, billing);
• communication via e-mail or contact forms.

With respect to data we process on behalf of our customers (in particular data synchronised from their HubSpot accounts), the respective customer is the controller. Such processing is governed by the DPA concluded between us and the customer.

3. Definitions

This Privacy Policy uses the terms of the General Data Protection Regulation (GDPR). "Personal data" means any information relating to an identified or identifiable natural person (Art. 4(1) GDPR). "Processing" means any operation performed on personal data, whether or not by automated means (Art. 4(2) GDPR).

4. Legal Bases

We process personal data on the following legal bases:

• Art. 6(1)(a) GDPR – consent (e.g. newsletter, optional cookies);
• Art. 6(1)(b) GDPR – performance of a contract and pre-contractual steps (e.g. provision of the Service, registration, billing);
• Art. 6(1)(c) GDPR – compliance with legal obligations (e.g. tax and commercial retention requirements);
• Art. 6(1)(f) GDPR – legitimate interests (e.g. IT security, abuse prevention, basic reach measurement).

5. Data Processing When Visiting the Website

5.1 Server Log Files

When you access the website, technical access data is processed by our hosting or CDN provider. This includes in particular:

• IP address (anonymised where applicable);
• date and time of access;
• URL accessed and HTTP status code;
• volume of data transferred;
• referrer URL;
• user agent (browser, operating system).

This processing serves the provision of the website, the safeguarding of IT security, and abuse prevention on the basis of Art. 6(1)(f) GDPR. Log files are deleted or anonymised after 30 days at the latest, unless there are concrete indications of a legal violation.

5.2 Cookies and Similar Technologies

The website uses only strictly necessary cookies and storage mechanisms that are required for the operation of the website and the functioning of the Service (e.g. session cookies, authentication tokens, CSRF protection). The legal basis is § 25(2)(2) TTDSG in conjunction with Art. 6(1)(b) or (f) GDPR.

If we use non-essential cookies or comparable technologies (e.g. for reach measurement), we obtain your consent in advance via a consent banner (§ 25(1) TTDSG, Art. 6(1)(a) GDPR). You may withdraw your consent at any time with effect for the future.

5.3 Reach Measurement / Analytics

[To be added once an analytics tool is deployed. Example wording for a cookieless, privacy-friendly tool:]

For the purpose of statistically evaluating the use of our website, we may use the analytics tool [e.g. Plausible Analytics]. In doing so, pseudonymised usage data (e.g. pages accessed, device type, coarse geographic region at country level, referrer) is processed; no cookies are set and no personally identifiable data is stored. The legal basis is Art. 6(1)(f) GDPR; our legitimate interest lies in the statistical evaluation of our website in order to improve our offering.

6. Registration and Use of SalesControl

6.1 Account Creation

Using SalesControl requires the creation of a user account. In this context we process the following data:

• name and e-mail address;
• password (stored as a bcrypt hash via Supabase Auth);
• organisation/company to which the user is assigned;
• role within the organisation (e.g. admin, member);
• login timestamps and IP address at the time of login.

This processing serves the performance of the user agreement (Art. 6(1)(b) GDPR).

6.2 HubSpot Integration

For the core purpose of the Service, the user connects their HubSpot account to SalesControl via OAuth 2.0 or via a Private App Key. We store OAuth tokens or Private App Keys in encrypted form in our database in order to access the HubSpot API on the user's behalf.

The personal data synchronised via the HubSpot API (e.g. contacts, companies, deals, activities) is processed on behalf of the respective customer. In this respect, the customer is the controller and we act as a processor within the meaning of Art. 28 GDPR. Details are governed by the DPA concluded between the customer and the processor.

6.3 Billing

For the processing of paid subscriptions, we process billing and payment data (name, address, VAT ID, means of payment). Payment processing is carried out by Stripe Payments Europe, Ltd., Dublin, Ireland. From Stripe we only receive status information (payment successful/failed) and a payment reference; full credit card data is processed exclusively by Stripe. The legal basis is Art. 6(1)(b) and (c) GDPR.

7. Contact

If you contact us by e-mail, via a contact form, or through the in-app feedback function, we process the information you provide (e.g. name, e-mail address, content of the message) in order to handle your request. The legal basis is Art. 6(1)(b) GDPR (for pre-contractual or contract-related enquiries) or Art. 6(1)(f) GDPR (for other enquiries). The data will be deleted once your request has been conclusively processed, unless statutory retention obligations apply.

8. Recipients and Processors

To provide our Service we engage carefully selected service providers with whom we have concluded data processing agreements pursuant to Art. 28 GDPR. The following recipients may be involved:

A continuously updated list of sub-processors is made available to our customers under the DPA.

HubSpot, Inc. (or HubSpot Ireland Ltd.) is not a sub-processor of SalesControl. The contractual relationship with HubSpot exists directly between the customer and HubSpot. We merely access the HubSpot API on the basis of the OAuth authorisation or Private App Key provided by the customer.

9. Transfers to Third Countries

Personal data is transferred to third countries outside the European Economic Area only where this is necessary for the provision of the Service, where you have consented, or where another statutory permission applies. In the event of such a transfer, we ensure an adequate level of data protection by means of appropriate safeguards – in particular EU Standard Contractual Clauses pursuant to Implementing Decision (EU) 2021/914 and supplementary technical and organisational measures (Art. 44 et seq. GDPR).

10. Retention Periods

We store personal data only for as long as necessary for the respective purposes or as required by statutory retention periods. In particular:

• account and usage data: for the duration of the contractual relationship, with deletion within 90 days after termination of the contract, unless retention obligations apply;
• invoices and tax-relevant records: 10 years (§ 147 AO, § 257 HGB);
• server log files: max. 30 days;
• support and contact enquiries: until the enquiry has been conclusively processed, thereafter until the expiry of statutory retention periods.

11. Rights of Data Subjects

You have the following rights vis-à-vis us with respect to personal data concerning you:

• right of access (Art. 15 GDPR);
• right to rectification (Art. 16 GDPR);
• right to erasure (Art. 17 GDPR);
• right to restriction of processing (Art. 18 GDPR);
• right to data portability (Art. 20 GDPR);
• right to object to processing (Art. 21 GDPR);
• right to withdraw consent with effect for the future (Art. 7(3) GDPR);
• right to lodge a complaint with a supervisory authority (Art. 77 GDPR).

An informal notice to [email protected] is sufficient to exercise your rights.

12. Right to Object to Processing Based on Legitimate Interests

Where we process personal data on the basis of Art. 6(1)(f) GDPR, you have the right to object at any time, on grounds relating to your particular situation, to such processing (Art. 21(1) GDPR). In the event of an objection, we will no longer process the data concerned unless we can demonstrate compelling legitimate grounds for the processing.

13. Right to Lodge a Complaint

You have the right to lodge a complaint with a data protection supervisory authority. As a rule, the competent authority is the supervisory authority of the federal state in which we are established or the supervisory authority of your habitual residence. A list of German supervisory authorities is available at: https://www.bfdi.bund.de

14. Automated Decision-Making

No automated decision-making, including profiling, within the meaning of Art. 22 GDPR takes place.

15. Data Security

We implement appropriate technical and organisational measures pursuant to Art. 32 GDPR to protect your personal data against unauthorised access, loss, alteration, and disclosure. These include, in particular, transport encryption (TLS 1.2+), role-based access controls, password hashing (bcrypt), a restrictive row-level security configuration in the database, regular backups, and a logged access and change history.

16. Amendments to This Privacy Policy

We reserve the right to amend this Privacy Policy if this becomes necessary due to changes in the legal framework or due to changes in the Service or its data processing. The current version is available at https://directios.app/privacy. We will notify you of material changes separately by e-mail or within the Service.