Datenschutz & Sicherheit

Unsere Software ist eine Software-as-a-Service-Lösung. Die Daten, die unsere Kunden über die Software erheben, verarbeiten wir ausschließlich in deren Auftrag und nach deren Weisung im Sinne des Art. 28 DSGVO (Auftragsverarbeitung).

Datenschutzrechtlich verantwortlich für diese Daten ist damit der jeweilige Kunde, der die Software einsetzt. Er bestimmt Zweck und Mittel der Verarbeitung sowie, welche Daten erhoben werden. Wir handeln als Auftragsverarbeiter und verarbeiten die Daten nur im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Kunden.

Mit unserer Software erstellen Kunden eigenständig individuelle Prozesse für die Online-Kontaktgewinnung inklusive Qualifizierung der Kontakte – im Folgenden „Funnel" genannt. Über einen Baukasten legt der Kunde selbst fest, welche Fragen gestellt und welche Daten dabei erhoben werden.

Die erhobenen Daten werden zur Weiterverarbeitung durch den Kunden zwischengespeichert. Der Kunde kann sie über die Software abrufen oder sich an die von ihm hinterlegten E-Mail-Adressen senden lassen. Im Rahmen einer Whitelabel-Nutzung kann ein Kunde seinen eigenen Kunden zudem einen Zugang zur Software einrichten.

Welche Daten konkret verarbeitet werden, bestimmst du als Kunde selbst – über die Konfiguration deiner Funnels in der Software. Es lässt sich daher nicht abschließend festlegen. Die folgenden Felder sind nur Beispiele für typische Daten und keine vollständige Aufzählung:

Ob und welche dieser Felder erhoben werden, hängt allein von den Fragen ab, die du in deinem Funnel einrichtest.

Der Kreis der betroffenen Personen ergibt sich aus der Ausgestaltung des jeweiligen Funnels durch den Kunden. Typischerweise gehören dazu:

• Mitarbeitende des Kunden (z. B. Arbeitnehmer, Auszubildende, ehemalige Beschäftigte)
• Kunden und Lieferanten des Kunden
• Außenstehende (z. B. Interessenten und Gäste)

Die im Auftrag unserer Kunden verarbeiteten Daten werden ausschließlich in Mitgliedstaaten der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet. Die gespeicherten Daten liegen in Rechenzentren in Deutschland (Region Frankfurt, eu-central-1).

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU bzw. des EWR findet im Rahmen der Auftragsverarbeitung nicht statt. Unsere Hosting-Partner betreiben ISO/IEC 27001-zertifizierte Rechenzentren.

Zur Erbringung unseres Service setzen wir die folgenden Unterauftragnehmer ein. Mit allen bestehen die nach Art. 28 DSGVO erforderlichen vertraglichen Vereinbarungen.

Zum Schutz der verarbeiteten Daten setzen wir technische und organisatorische Maßnahmen nach Art. 32 DSGVO um. Dazu gehören insbesondere:

Für die Verarbeitung im Auftrag schließen wir mit unseren Kunden einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Du kannst ihn jederzeit über unseren Support-Chat zur digitalen Unterzeichnung anfordern. Er regelt insbesondere Gegenstand, Umfang, Art und Zweck der Verarbeitung, die Datenkategorien, die betroffenen Personengruppen, die eingesetzten Unterauftragnehmer sowie die technischen und organisatorischen Maßnahmen.

Über die im Auftrag verarbeiteten Daten verfügt der Kunde als Verantwortlicher. Er kann die Daten im Rahmen der Software-Nutzung selbst löschen, sobald sie nicht mehr benötigt werden. Nach Beendigung des Vertragsverhältnisses geben wir die Daten nach Wahl des Kunden zurück oder löschen sie, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Betroffene Personen können ihre Rechte nach Art. 12–23 DSGVO – etwa auf Auskunft, Berichtigung oder Löschung – gegenüber dem jeweils Verantwortlichen geltend machen. Das ist der Kunde, der den Funnel betreibt. Als Auftragsverarbeiter unterstützen wir den Verantwortlichen bei der Erfüllung dieser Anfragen mit geeigneten technischen und organisatorischen Maßnahmen.

Als dein Auftragsverarbeiter unterstützen wir dich als Verantwortlichen bei der Einhaltung deiner Pflichten aus der DSGVO – insbesondere bei:

• dem Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO,
• der Erstellung deines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO,
• der Beantwortung von Anfragen betroffener Personen nach Art. 12–23 DSGVO,
• der Einhaltung deiner Pflichten zur Datensicherheit, zu Meldepflichten und zur Datenschutz-Folgenabschätzung nach Art. 32–36 DSGVO.

Werden uns eine Verletzung des Schutzes personenbezogener Daten oder ein unbefugter Zugriff bekannt, informieren wir den betroffenen Kunden unverzüglich. Über einen unbefugten Zugriff informieren wir grundsätzlich innerhalb von 24 Stunden nach Kenntnis vorab; ergänzende Informationen reichen wir spätestens innerhalb weiterer 48 Stunden nach.

So kann der Kunde seinen Meldepflichten nach Art. 33 und 34 DSGVO nachkommen – etwa der Meldung an die Aufsichtsbehörde binnen 72 Stunden. Unsere Meldung enthält die dafür erforderlichen Angaben, insbesondere die Art der Verletzung, die betroffenen Kategorien und die ungefähre Zahl der betroffenen Datensätze sowie die ergriffenen Gegenmaßnahmen.