Informationen zur Datenverarbeitung

im Hinblick auf die Nutzung der Software-as-a-Service Penseo durch Kunden

Stand: Oktober 2018

1. Verantwortlicher

Verantwortlich für die hier dargestellten Datenverarbeitungen im Rahmen der Nutzung der SaaS-Anwendung Penseo ist im Sinne des Art. 4 Nr. 7 DSGVO

Penseo GmbH

Georgsplatz 10
20099 Hamburg


vertr. d. d. Geschäftsführer
Sebastian M. Gauck, Lennart Wulff, Morten Hartmann


Telefon: +49 (0)40 228677499
E-Mail: info@penseo.de

- Im Folgenden Penseo GmbH -

2. Datenschutzbeauftragter

Bei Fragen zum Datenschutz wenden Sie sich an:

Timo Kranz
Penseo GmbH
Georgsplatz 10
20099 Hamburg
E-Mail: datenschutz@penseo.de

3. Gegenstand des Datenschutzes

Gegenstand des Datenschutzes sind personenbezogene Daten. Diese sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen. Hierunter fallen z.B.  Angaben wie Namen, Postanschrift, E-Mail-Adresse oder Telefonnummer, ggf. aber auch Nutzungsdaten wie beispielsweise die IP-Adresse.  

4. Umfang und Zweck der Datenerhebung und -speicherung

Im Folgenden klären wir über den Umfang der Datenerhebung und -speicherung sowie -nutzung (im Folgenden „Datenverarbeitung“, verwendet im Sinne des Art. 4 Nr. 2 DSGVO) und über den Zweck der Datenverarbeitung im Rahmen der Nutzung der Software-as-a-Service Penseo durch unsere Kunden auf.

Bei Penseo handelt es sich um eine Software-as-a-Service, auf die Sie mit Ihrem Webbrowser zugreifen. Mit Penseo können Verträge für betriebliche Versorgungssysteme (betriebliche Altersversorgung bAV, betriebliche Berufsunfähigkeit bBU und betriebliche Krankenversicherung bKV) durch Pools, Versicherungsmittler und/oder Unternehmen einfach und übersichtlich abgewickelt werden.

5. Datenverarbeitung im Rahmen der Nutzung von Penseo durch Kunden

Bei Ihrer Nutzung von Penseo verarbeiten wir – wie im Folgenden beschrieben – personenbezogene Daten von Ihnen als Kunden der Penseo GmbH.  

5.1. Verarbeitung von Ihren Daten im Rahmen Ihres Kundenzugangs zu Penseo

Für die Einrichtung Ihres eigenen Kundenzugangs zu Penseo und der Bereitstellung der SaaS-Anwendung für Sie verarbeiten wir die folgenden Daten von Ihnen:

  • Name
  • Name des Unternehmens sowie zuständige Ansprechpartner nebst Daten der geschäftsführenden Organe
  • Kontaktdaten
  • Ihre Zugangsdaten zu Penseo
  • Ggf. Ihnen zugeordnete Vermittlerdaten (jedenfalls: Name)
  • Ggf. Inhaltsdaten wie verknüpfte Dokumente, zugeordnete Akten, inkl. aller Daten, Status, Anmerkungen, Kommentare innerhalb von Penseo

Diese Daten verarbeiten wir auf der Grundlage des Vertrags zur Bereitstellung von Penseo nach Art. 6 Abs. 1 lit. b DSGVO.

5.2. IP-Adressen

Um Ihnen Penseo zur Verfügung zu stellen, verarbeiten wir Ihre IP-Adresse. Diese benötigen wir zum technischen Verbindungsaufbau mit Penseo zwingend aus den folgenden Gründen:

Ohne Internet-Protokoll-Adressen, kurz „IP-Adressen“, würde – sehr vereinfacht ausgedrückt – das Internet nicht funktionieren. Eine IP-Adresse stellt nämlich in Computernetzen eine Adresse dar, damit darüber Webserver und/oder einzelne Endgeräte angesprochen und erreicht werden können. Ohne IP-Adresse können unser Penseo-Webserver mit Ihrem Endgerät nicht kommunizieren – und somit nichts anzeigen. Der Webserver, auf dem Penseo gehostet wird, wird also mit einer Datenanfrage von Ihnen angepingt. Um die Daten zu liefern, muss der Webserver die IP-Adresse kennen. Folglich muss der Webserver in diesem Moment der Datenabfrage Ihre IP-Adresse verarbeiten. Dazu erhält der Webserver die Information, welche Webseite bzw. Datei abgerufen, welcher Browser und welches Betriebssystem dazu genutzt wurde. Normalerweise werden diese Daten vollständig in den sog. Webserver-Logfiles langfristig gespeichert. Die Penseo GmbH speichert Ihre IP-Adressen hingegen außer zum Zeitpunkt der geschilderten notwendigen Verarbeitung aus IT-sicherheitstechnischen Gründen lediglich für weitere 30 Tage, um Brute-Force-Attacken erkennen, Hackerangriffe identifizieren und abwehren sowie ggf. Straftaten verfolgen zu können. Danach werden die Logdateien gelöscht.

Wir verarbeiten Ihre IP-Adresse zur Bereitstellung von Penseo gemäß des mit Ihnen geschlossenen Vertrags auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b DSGVO.

Wir speichern die IP-Adressen bis zu 30 Tage seit Ihrer Erhebung in den Logfiles des Webservers auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, durch das Speichern der IP-Adressen missbräuchlichen Nutzungen der SaaS-Anwendung Penseo – z.B. Angriffe auf die Penseo-Plattform wie DDoS-Attacken – entgegenwirken zu können, z.B. durch Sperrlisten zu blockieren und damit die Verfügbarkeit und Integrität von Penseo zu gewährleisten. Ein entgegenstehendes, überwiegendes Interesse der Nutzer daran, dass die IP-Adressen sofort gelöscht werden, ist nicht ersichtlich. Schließlich können wir die IP-Adresse selbst nicht zu konkreten Personen in Beziehung setzen. Hierzu bedürfte es eines Auskunftsanspruchs, einer Anordnung eines Gerichts und der Herausgabe der Daten der Provider. Wir verfügen über einen derartigen Auskunftsanspruch in der Regel nicht. Insoweit liegt nur ein geringfügiger Eingriff in das Persönlichkeitsrecht vor.

5.3. Cookies

Cookies sind kleine Textdateien, die von Penseo auf dem Computer gespeichert werden,

  • um die SaaS-Anwendung Penseo überhaupt nutzbar zu machen, etwa indem Cookies den aktuellen Stand der Bearbeitung innerhalb einer Session zwischenspeichern (sog. notwendige Cookies) oder
  • um Präferenzen wie etwa die Sprachausgabe seitens des Nutzers langfristig festzulegen und Inhalte personalisieren zu können (sog. Präferenz-Cookies) oder
  • um die Analyse der Benutzung der SaaS-Anwendung zu ermöglichen (sog. Statistik-Cookies) oder
  • um Drittanbietern Informationen zu den Nutzern übergeben zu können (sog. Marketing-Cookies).

Im Rahmen von der SaaS-Anwendung Penseo verwenden wir technisch zwingend erforderliche Cookies und solche, die der Weiterentwicklung und Optimierung von Penseo dienen.

Sie können jegliche Installationen von Cookies verhindern, indem die Installation der Cookies durch eine entsprechende Einstellung in der Browser-Software unterbunden wird (unter „Einstellungen“ bei den meisten Browsern zu finden); es ist allerdings darauf hinzuweisen, dass in diesem Fall gegebenenfalls die SaaS-Anwendung Penseo nicht vollumfänglich genutzt werden kann.

Ferner können auch bereits gesetzte Cookies gelöscht werden (ebenfalls unter „Einstellungen“ im Browser zu finden).

5.4. Intercom Live-Chat-Widget, Intercom Inc.

Damit Sie mit uns direkt in Kontakt treten können, stellen wir innerhalb von Penseo das Live-Chat-Widget der Intercom Inc., 55 2nd Street, 4th Floor, San Francisco, California 94105, USA bereit. Für die Darstellung des Live-Chat-Widgets verarbeitet Intercom die hierzu technisch erforderlichen IP-Adressen und Verbindungsdaten.

5.4.1. Intercom Cookies

Um die Kommunikation über das Intercom Live-Chat-Widget erst zu ermöglichen, setzt Intercom ein Session-Cookie, welcher mittels Session-ID eine Kommunikation via Intercom überhaupt erst ermöglicht. (Weshalb ein Session-Cookie ein technisch notwendiger Cookie ist, erklären wir Ihnen unter Ziffer 5.3.)

Die weiteren von Intercom platzierten Cookies dienen Intercom zur eigenen statistischen Auswertung der Live-Chat-Kommunikationen.

5.4.2. Datenverarbeitung bei der Kontaktaufnahme via Live-Chat

Wir verarbeiten die Daten, die Sie uns im Rahmen dieser Kommunikation zur Verfügung stellen. Regelmäßig sind dies:

  • IP-Adresse zur Zeit der Kommunikation
  • Inhaltsdaten der Kommunikation
  • ggf. Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)

Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet.

Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, da wir ohne die Verarbeitung der von Ihnen bereitgestellten personenbezogenen Daten schließlich nicht auf Ihre Live-Chat-Anfrage zurückkommen könnten.

Die Intercom Inc. ist uns über einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO verpflichtet. Ferner ist die Intercom Inc. Privacy Shield zertifiziert.

5.5. Cloudflare Content-Delivery-Network, Cloudflare Inc.

Damit die SaaS-Anwendung Penseo auf Ihrem Endgerät möglichst ohne Verzögerung angezeigt werden kann, nutzen wir zur beschleunigten Darstellung das „Content Delivery Network“ (CDN) der Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA. Mithilfe des Netzwerks von regional verteilten Servern von Cloudflare können die Inhalte, insbesondere große Mediendaten wie Grafiken oder Skripte, schneller an Sie ausgeliefert werden, egal von wo aus Sie Penseo nutzen. Hierfür wird von Cloudflare ein insoweit technisch notwendiger Session-Cookie gesetzt und die Logfile-Daten (IP-Adresse, Browser-Typ, verwendetes Betriebssystem und Uhrzeit der Serveranfrage) an Cloudflare übermittelt.

Wir verarbeiten diese Daten auf der Grundlage unserer vertraglichen Vereinbarungen über die Bereitstellung von Penseo auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b DSGVO. Die Nutzung des Dienstes Cloudflare erfolgt im Übrigen aufgrund von berechtigten Interessen im Sinne von Art. 6  Abs. 1 f) DSGVO, nämlich dem berechtigten Interesse an einer sicheren und effizienten Bereitstellung, Analyse sowie Optimierung unserer Webseite.

Die Cloudflare Inc. ist uns über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtet. Ferner ist die Cloudflare Inc. Privacy Shield zertifiziert.

Weitere Informationen erhalten Sie in der Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/security-policy.

5.6. Datenverarbeitung im Rahmen der Analyse und Behebung von Fehlern in Penseo

Im Rahmen von Fehleranalysen und –behebungen verarbeiten wir Fehlerberichte und Log-Dateien, die - je nach Fehler im Einzelfall - die von Ihnen in Penseo gespeicherten Daten zum Inhalt haben können. Hiervon können die Datenkategorien nach Ziffer 5.1 umfasst sein, aber auch solche Daten von Dritten, die wir für Sie auf der Grundlage eines Auftragsverarbeitungsvertrags verarbeiten.

Diese Datenverarbeitung erfolgt gemäß des mit Ihnen geschlossenen Hauptvertrags auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

6. Zweckgebundene Datenverarbeitung, Empfänger, Weitergabe

Wir beachten den Grundsatz der zweckgebundenen Datenverarbeitung. Sämtliche vorgenannten Daten verarbeiten wir nur zu den bereits genannten Zwecken.

Neben den unter Ziffer 5 genannten Empfängern sind auch Empfänger Ihrer Daten:

  • unser Hosting-Provider für den Penseo-Server,
  • unsere SaaS-Anbieter zur Fehleranalyse, -erkennung und –behebung,

jeweils im Rahmen des unter Ziffer 5 beschriebenen Verarbeitungsumfangs und -zwecks.

Sie können auf Nachfrage jederzeit eine Liste der konkreten Empfänger erhalten. Aus Gründen unserer eigenen IT- und Datensicherheit möchten wir jedoch die Empfänger von Daten nicht öffentlich an dieser Stelle namentlich benennen.

Sie können sich jedoch sicher sein, dass wir jeden Anbieter, der für uns Daten im Auftrag verarbeitet, über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtet haben und dass wir, wenn und soweit eine Übermittlung der Daten in einen sogenannten unsicheren Drittstaat wie die USA erfolgt, diese Übermittlung nur unter den Voraussetzungen der Art. 44 ff. DSGVO in zulässiger Art und Weise erfolgt.  

Selbstverständlich erhalten nicht alle Empfänger alle Ihre Daten, sondern nur im Rahmen der Zwecke des jeweiligen Empfängers.

Eine Weitergabe der personenbezogenen Daten an Dritte außerhalb des hier geschilderten Rahmens erfolgt ohne eine ausdrückliche Einwilligung nicht.

Auch die Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder, wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet sind.

7. Dauer der Verarbeitung, Löschung

7.1. Löschfristen im Rahmen der Nutzung von Penseo

Ihre Daten, die wir im Zusammenhang mit Ihrem Kundenzugang zu Penseo verarbeiten, speichern wir für die Dauer des Vertragsverhältnisses zur Bereitstellung von Penseo und löschen die Daten unmittelbar nach Beendigung dieses Vertragsverhältnisses.

Ihre IP-Adresse, die wir in den Webserver-Logfiles zum Verbindungsaufbau zwischenspeichern, wird innerhalb von 30 Tagen nach der Erhebung automatisch anonymisiert.

Die im Rahmen des Intercom Live-Chat-Widgets verarbeiteten Daten werden zu Zwecken der Kundenbetreuung während des laufenden Vertragsverhältnisses nicht gelöscht. In der Regel handelt es sich hierbei auch um aufbewahrungspflichtige Kommunikation nach dem HGB und der AO. Demgemäß werden diese Daten 10 Jahre nach Beendigung des Vertragsverhältnisses zusammen mit den übrigen Kundendaten gelöscht.  

8. Betroffenenrechte

Als Betroffener haben Sie – unabhängig von vorstehenden Ausführungen – folgende Rechte uns gegenüber:

Sie haben das Recht, Auskunft bezüglich der von Ihnen bei uns verarbeiteten Daten zu verlangen.

Sie können jederzeit der Verarbeitung Ihrer Daten widersprechen, soweit die Voraussetzungen des Art. 21 DSGVO vorliegen, und eine etwaige daneben erteilte Einwilligung zur Verarbeitung der Daten jederzeit widerrufen. Wenn die Einwilligung zur Datenverarbeitung widerrufen bzw. der Verwendung der Daten widersprochen wird, berührt dies die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs bzw. des Widerspruchs nicht.

Weiter können Sie jederzeit die von uns verarbeiteten Daten berichtigen, beschränken oder löschen lassen. Wir weisen ausdrücklich darauf hin, dass es gesetzliche Verpflichtungen – wie Aufbewahrungspflichten – geben kann, Daten weiter zu speichern. In diesem Fall können die Daten nur beschränkt werden. Dies meint, dass die Daten ausschließlich zu dem Zweck des Nachkommens der gesetzlichen Pflichten verarbeitet und sonst nicht genutzt werden.

Darüber hinaus steht Ihnen auch das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO sowie das Recht zur Beschwerde bei einer Aufsichtsbehörde im Sinne von Art. 77 DSGVO zu.

Wenden Sie sich zur Ausübung und bei Fragestellungen jederzeit unter datenschutz@penseo.de an uns.