Bretton Woods digital AG

Datenschutzerklärung

(Stand: 31.05.2025)

 

Verantwortlicher

Bretton Woods digital AG
Neugasse 29
6300 Zug
Schweiz

E-Mail: [email protected]

Datenschutzbeauftragte Person:
Dr. Sebastian Block LL.M.
[email protected]

Vertretungsberechtigte Personen:

  • Norbert M. Schmidt (Vorstandsvorsitzender/Mitgründer)
  • Prof. Dr. Martin Uzik (Vorstand/Mitgründer)

 

Anwendbares Recht

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten durch die Bretton Woods digital AG. Je nach Ihrem Wohnsitz gelten unterschiedliche Datenschutzgesetze:

  • Für Personen in der EU/EWR: EU-Datenschutz-Grundverordnung (DSGVO)
  • Für Personen in der Schweiz: Schweizer Datenschutzgesetz (nDSG)
  • Zuständige EU-Aufsichtsbehörde: Datenschutzbehörde Ihres EU-Wohnsitzlandes

 

1. Allgemeine Grundsätze

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich sowie entsprechend den gesetzlichen Datenschutzvorschriften.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Verarbeitung umfasst jeden Umgang mit personenbezogenen Daten, insbesondere die Speicherung, Weitergabe, Beschaffung, Löschung, Aufbewahrung, Veränderung, Vernichtung und Verwendung.

In Zusammenarbeit mit unseren Hosting-Providern bemühen wir uns, die Datenbanken bestmöglich vor unberechtigtem Zugriff, Verlust, Missbrauch oder Verfälschung zu schützen.

 

2. Übersicht der Datenverarbeitung

Verarbeitungszweck

Rechtsgrundlage

Aufbewahrungsdauer

Datenkategorien

Website-Betrieb

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

12 Monate

Server-Logs, IP-Adresse, Browser-Daten

Kontaktanfragen

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

3 Jahre

Name, E-Mail, Nachrichteninhalt

Newsletter

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Bis Widerruf

E-Mail-Adresse, Versandstatistiken

Vertragsabwicklung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

10 Jahre

Kunden-, Vertrags-, Zahlungsdaten

KYC-Verfahren

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

10 Jahre

Ausweisdokumente, Adressnachweise

Biometrische Identifikation

Öffentliches Interesse + Einwilligung
(Art. 9 Abs. 2 lit. g + a DSGVO)

30 Tage nach Verifikation

Gesichtserkennung, Lebenderkennung

Zahlungsabwicklung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Bis Vertragsende

Zahlungsdaten (extern verarbeitet)

Marketing/Werbung

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

3 Jahre

Nutzungsverhalten, Präferenzen

 

3. Website-Nutzung

3.1 Server-Log-Dateien

Bei jedem Aufruf unserer Website erfassen wir automatisch folgende Daten zu statistischen Zwecken und zur Gewährleistung der Systemsicherheit:

  • Technische Daten: Browsertyp und -version, Betriebssystem
  • Zugriffsdaten: Referrer URL, aufgerufene Seiten, Datum und Uhrzeit
  • Netzwerkdaten: IP-Adresse (wird nach 24 Stunden anonymisiert)

Zweck: Technischer Betrieb der Website, Sicherheitsmonitoring, Fehleranalyse
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Aufbewahrung: 12 Monate, danach Löschung oder Anonymisierung
Weitergabe: Keine, außer an technische Dienstleister (Hosting-Provider)

3.2 Cookies und Tracking-Technologien

Unsere Website verwendet verschiedene Arten von Cookies:

Technisch notwendige Cookies (immer aktiv)

  • Session-Management: Aufrechterhaltung der Verbindung
  • Sicherheitsfunktionen: Schutz vor Cross-Site-Request-Forgery
  • Grundlegende Website-Funktionen: Spracheinstellungen, Warenkorb

Analytische Cookies (optional, Einwilligung erforderlich)

  • Google Analytics 4: Webseitenanalyse mit IP-Anonymisierung
  • Nutzungsstatistiken: Besucherzahlen, beliebte Inhalte
  • Aufbewahrung: 14 Monate

Marketing-Cookies (optional, Einwilligung erforderlich)

  • Google Ads Conversion Tracking: Messung der Werbewirksamkeit
  • Remarketing: Personalisierte Werbung basierend auf Website-Besuchen
  • Social Media Plugins: Integration von sozialen Netzwerken

Ihre Wahlmöglichkeiten:

3.3 SSL/TLS-Verschlüsselung

Diese Website verwendet SSL/TLS-Verschlüsselung zum Schutz vertraulicher Datenübertragungen. Eine verschlüsselte Verbindung erkennen Sie an “https://” in der Adresszeile und dem Schloss-Symbol im Browser.

Ohne Verschlüsselung übertragene Daten können von Dritten eingesehen werden. Wir übernehmen keine Verantwortung für unverschlüsselt übertragene Daten.

 

4. Kontakt und Kommunikation

  • 4.1 Plattform: Support-Button

Verarbeitete Daten:

  • Pflichtangaben: Name, E-Mail-Adresse
  • Optionale Angaben: Telefonnummer, Nachrichteninhalt
  • Automatisch erfasst: IP-Adresse, Zeitstempel

Zweck: Bearbeitung und Beantwortung Ihrer Anfrage
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Aufbewahrung: 3 Jahre nach letztem Kontakt oder bis zur Löschungsanfrage
Weitergabe: Keine, außer zur sachgerechten Anfragenbearbeitung an interne Abteilungen

4.2 E-Mail-Kommunikation

Datenschutzhinweis: E-Mails werden unverschlüsselt übertragen und können von Dritten eingesehen werden. Für vertrauliche Informationen nutzen Sie bitte alternative Kommunikationswege.

4.3 Newsletter

Verarbeitete Daten:

  • Anmeldedaten: E-Mail-Adresse, Anmeldezeitpunkt, IP-Adresse
  • Versandstatistiken: Öffnungsraten, Klicks, Abmeldungen

Anmeldeverfahren: Double-Opt-In (Bestätigung per E-Mail erforderlich)
Zweck: Versendung von Produktinformationen, Unternehmensnews, Marketing
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Aufbewahrung: Bis zur Abmeldung

Dienstleister: Customer.io (Peaberry Software, Inc., USA)
Garantien: EU-Standardvertragsklauseln, technische Sicherheitsmaßnahmen

Abmeldung jederzeit möglich:

 

5. Geschäftstätigkeit und Services

5.1 Vertragsabwicklung und Kundenverwaltung

Verarbeitete Daten:

  • Stammdaten: Name, Adresse, Telefon, E-Mail
  • Vertragsdaten: Leistungsbeschreibung, Laufzeiten, Preise
  • Zahlungsdaten: Zahlungsart, Rechnungsdaten (keine Kartennummern)
  • Kommunikationsdaten: E-Mails, Anrufe, Support-Tickets

Zweck:

  • Vertragserfüllung und Leistungserbringung
  • Rechnungsstellung und Zahlungsabwicklung
  • Kundenservice und Support
  • Rechtliche Dokumentation

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Aufbewahrung: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflichten)
Löschung: Nach Ablauf der Aufbewahrungsfristen, sofern keine anderen rechtlichen Verpflichtungen bestehen

5.2 Know-Your-Customer (KYC) und Compliance

Rechtlicher Hintergrund: Als Finanzdienstleister sind wir verpflichtet, die Identität unserer Kunden zu überprüfen und bestimmte Compliance-Verfahren durchzuführen.

Verarbeitete Daten:

  • Identitätsdokumente: Personalausweis, Reisepass, Führerschein
  • Adressnachweise: Utility Bills, Bankauszüge, behördliche Dokumente
  • Wirtschaftliche Berechtigung: Informationen über wirtschaftlich berechtigte Personen
  • Risikobewertung: Länderrisiko, PEP-Status, Sanktionslisten
  • Biometrische Daten: Gesichtserkennung, Lebenderkennung, Dokumentenechtheitsprüfung

Verarbeitung biometrischer Daten (Art. 9 DSGVO)

Besondere Kategorien: Biometrische Daten zur Identifizierung sind besondere Kategorien personenbezogener Daten und unterliegen erhöhten Schutzanforderungen.

Verarbeitete biometrische Daten:

  • Gesichtserkennung: Abgleich zwischen Ausweisfoto und Live-Selfie
  • Lebenderkennung: Erkennung von lebenden Personen vs. Fotos/Videos
  • Dokumentenanalyse: Biometrische Merkmale zur Fälschungserkennung
  • Gesichtsgeometrie: Temporäre Analyse für Vergleichszwecke

Zweck der biometrischen Verarbeitung:

  • Identitätsverifizierung und Betrugsschutz
  • Dokumentenechtheitsprüfung
  • Compliance mit regulatorischen Anforderungen
  • Schutz vor Identitätsdiebstahl

Rechtsgrundlage für biometrische Daten:

  • Primär: Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g DSGVO i.V.m. nationalen Gesetzen zur Geldwäscheprävention)
  • Sekundär: Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) – wird beim KYC-Prozess eingeholt

Zweck:

  • Geldwäscheprävention
  • Terrorismusfinanzierung-Prävention
  • Sanktionslisten-Prüfung
  • Regulatorische Compliance

Rechtsgrundlage (allgemein): Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO, Art. 7 GwG)
Aufbewahrung: 10 Jahre nach Vertragsende (gesetzliche Verpflichtung)
Dienstleister: Sum and Substance Ltd. (UK, DSGVO-konform)

Besondere Sicherheitsmaßnahmen für biometrische Daten:

  • Verschlüsselte Übertragung und Speicherung mit AES-256 Standard
  • Zugriffsbeschränkung auf autorisiertes KYC-Personal
  • Kurzfristige Speicherung: Biometrische Templates werden nach erfolgreichem Abgleich (max. 30 Tage) gelöscht
  • Keine permanente Speicherung von biometrischen Rohdaten
  • Regelmäßige Sicherheitsaudits des KYC-Providers
  • Sichere Löschung nach Ablauf der Aufbewahrungsfristen
  • Datenschutz-Folgenabschätzung durchgeführt aufgrund hohem Risiko

Ihre Rechte bei biometrischen Daten:

  • Ausdrückliche Einwilligung: Wird vor KYC-Prozess eingeholt
  • Widerrufsrecht: Einwilligung kann jederzeit widerrufen werden (Vertragsabschluss dann ggf. nicht möglich)
  • Besondere Auskunftsrechte: Zusätzliche Informationen über biometrische Verarbeitung
  • Verstärktes Löschungsrecht: Prioritäre Behandlung von Löschungsanfragen

5.3 Online-Shop und E-Commerce

Verarbeitete Daten:

  • Bestelldaten: Warenkorbinhalt, Bestellhistorie
  • Lieferdaten: Lieferadresse, Versandpräferenzen
  • Session-Daten: Login-Status, temporäre Warenkorb-Inhalte

Cookies im Online-Shop:

  • Session-Cookies: Warenkorb-Verwaltung (technisch notwendig)
  • Permanente Cookies: Login-Status, Spracheinstellungen

Benutzerkonto (optional):

  • Erstellung auf freiwilliger Basis
  • Übersicht über Bestellungen und Rechnungen
  • Nicht öffentlich, nicht von Suchmaschinen indizierbar
  • Löschung auf Anfrage (außer bei rechtlichen Aufbewahrungspflichten)

 

6. Externe Dienstleister und Drittanbieter

6.1 Google-Services

Wir nutzen verschiedene Google-Services mit spezifischen Datenschutzgarantien:

Google Analytics 4

  • Zweck: Website-Analyse, Nutzerverhalten, Performance-Messung
  • Konfiguration: IP-Anonymisierung aktiviert, erweiterte Datenschutzeinstellungen
  • Datenaufbewahrung: 14 Monate
  • Übermittlungsgrundlage: EU-US Data Privacy Framework (Google ist zertifiziert)
  • Opt-out: Google Analytics Browser Add-on

Google Ads und Conversion Tracking

  • Zweck: Werbewirksamkeit messen, Conversion-Tracking
  • Cookie-Laufzeit: 30 Tage
  • Personalisierung: Keine Zusammenführung mit anderen Google-Daten ohne Einwilligung
  • Widerspruch: Google Ads-Einstellungen oder Browser-Cookie-Einstellungen

Google reCAPTCHA

  • Zweck: Schutz vor Spam und Bots
  • Verarbeitete Daten: IP-Adresse, Browser-Informationen, Mausbewegungen
  • Datenschutz: IP-Adresse wird in EU/EWR gekürzt

Weitere Google-Services

  • Google Fonts: Lokales Hosting zur Vermeidung von Datenübertragungen
  • Google Maps: Nur bei expliziter Nutzeraktivierung geladen
  • YouTube: Erweiterte Datenschutzeinstellungen aktiviert

6.2 Social Media Integration

Facebook/Meta

  • Integration: Like-Button, Pixel für Conversion-Tracking
  • Datenübermittlung: Nur bei aktiver Nutzung der Plugins
  • Schutzmaßnahme: Zwei-Klick-Lösung implementiert

LinkedIn

  • Zweck: Business-Networking, B2B-Marketing
  • Verwendung: Analytics, Conversion-Tracking
  • Datenschutz: Pseudonymisierte Verarbeitung

Twitter/X

  • Integration: Tweet-Button, Inhaltseinbettung
  • Aktivierung: Nur nach Nutzeraktivierung

Allgemeine Schutzmaßnahmen:

  • Zwei-Klick-Lösung für Social Media Buttons
  • Vorab-Information über Datenübertragung
  • Opt-out-Möglichkeiten in den jeweiligen Plattform-Einstellungen

6.3 Zahlungsdienstleister

Genutzte Services:

  • Stripe: Kreditkarten, SEPA, verschiedene lokale Zahlmethoden
  • PayPal: PayPal-Konto, Express Checkout
  • Klarna: Kauf jetzt, Zahl später Services
  • Apple Pay / Google Pay: Mobile Zahlungen
  • Weitere: Je nach Region verfügbare lokale Anbieter

Datenverarbeitung:

  • Keine Speicherung von Zahlungsdaten auf unseren Servern
  • Tokenisierung: Sichere Token statt Kartendaten
  • PCI-DSS-Compliance: Alle Zahlungsdienstleister sind zertifiziert

Übermittelte Daten:

  • Transaktionsbetrag und -details
  • Käufer-Informationen (Name, E-Mail, Adresse)
  • Bestellinformationen

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Garantien: EU-Standardvertragsklauseln für US-Anbieter

 

7. Internationale Datenübermittlungen

7.1 Grundsätze

Ihre Daten werden grundsätzlich innerhalb der EU/EWR verarbeitet. In bestimmten Fällen ist eine Übermittlung in Drittländer erforderlich:

7.2 USA-Übermittlungen

Betroffene Services:

  • Google-Services (Analytics, Ads, etc.)
  • Customer.io (Newsletter-Versand)
  • Bestimmte Zahlungsdienstleister
  • Cloud-Services (teilweise)

Garantien und Schutzmaßnahmen:

EU-US Data Privacy Framework (DPF)

  • Für zertifizierte US-Unternehmen (z.B. Google)
  • Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023
  • Jährliche Rezertifizierung erforderlich

EU-Standardvertragsklauseln (SCCs)

  • Für nicht-DPF-zertifizierte Anbieter
  • Version 2021/914 der EU-Kommission
  • Zusätzliche technische und organisatorische Maßnahmen (TOMs)

Zusätzliche Schutzmaßnahmen

  • Verschlüsselung: End-to-End bei Datenübertragung
  • Pseudonymisierung: Wo technisch möglich
  • Minimierung: Nur notwendige Daten werden übermittelt
  • Monitoring: Regelmäßige Überprüfung der Schutzmaßnahmen

7.3 Risikobewertung

Allgemeine Risiken bei USA-Übermittlungen:

  • US-Behörden können unter bestimmten Umständen auf Daten zugreifen
  • Schwächere Datenschutzrechte für Nicht-US-Bürger
  • Mögliche Überwachungsprogramme

Unsere Bewertung:

  • Risiko als gering eingestuft bei implementierten Schutzmaßnahmen
  • Regelmäßige Neubewertung bei Rechtsänderungen
  • Alternative EU-Anbieter werden geprüft und bei Verfügbarkeit bevorzugt

7.4 Ihre Rechte bei Drittlandübermittlungen

  • Widerspruchsrecht: Sie können der Übermittlung widersprechen
  • Auskunftsrecht: Information über konkrete Übermittlungen
  • Beschwerde: Bei der zuständigen Aufsichtsbehörde

 

8. Ihre Datenschutzrechte

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht auf Auskunft über:

  • Welche personenbezogenen Daten wir über Sie verarbeiten
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Kategorien der verarbeiteten Daten
  • Empfänger oder Kategorien von Empfängern
  • Geplante Speicherdauer oder Kriterien für deren Festlegung
  • Bestehen weiterer Betroffenenrechte
  • Herkunft der Daten (falls nicht direkt von Ihnen erhalten)
  • Bestehen von automatisierter Entscheidungsfindung

8.2 Berichtigungsrecht (Art. 16 DSGVO)

Recht auf Korrektur unrichtiger oder unvollständiger Daten ohne unnötige Verzögerung.

8.3 Löschungsrecht (Art. 17 DSGVO)

Recht auf Löschung unter folgenden Bedingungen:

  • Daten nicht mehr erforderlich für ursprünglichen Zweck
  • Widerruf der Einwilligung ohne andere Rechtsgrundlage
  • Widerspruch ohne überwiegende berechtigte Gründe
  • Unrechtmäßige Verarbeitung
  • Löschung zur Erfüllung rechtlicher Verpflichtungen

Einschränkungen: Aufbewahrungspflichten, Meinungsfreiheit, rechtliche Ansprüche

8.4 Einschränkungsrecht (Art. 18 DSGVO)

Recht auf Einschränkung der Verarbeitung bei:

  • Bestreitung der Richtigkeit (während der Überprüfung)
  • Unrechtmäßiger Verarbeitung (statt Löschung)
  • Bedarf für Rechtsverfolgung (obwohl wir Daten nicht mehr benötigen)
  • Widerspruch (während der Interessenabwägung)

8.5 Datenübertragbarkeit (Art. 20 DSGVO)

Recht auf Erhalt Ihrer Daten:

  • In strukturiertem, gängigem, maschinenlesbarem Format
  • Direkte Übertragung an anderen Verantwortlichen (technisch möglich)
  • Nur bei Verarbeitung aufgrund Einwilligung oder Vertrag
  • Nur bei automatisierter Verarbeitung

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Allgemeines Widerspruchsrecht

  • Bei berechtigten Interessen: Widerspruch aus Gründen Ihrer besonderen Situation
  • Prüfung: Ob überwiegende berechtigte Gründe für Verarbeitung bestehen

Direktwerbung

  • Absolutes Widerspruchsrecht gegen Verarbeitung für Direktwerbung
  • Einschließlich Profiling für Werbezwecke
  • Sofortige Einstellung nach Widerspruch

8.7 Widerruf von Einwilligungen

  • Jederzeit möglich ohne Angabe von Gründen
  • Für die Zukunft wirksam (bisherige Verarbeitung bleibt rechtmäßig)
  • Gleiches Verfahren wie Erteilung der Einwilligung

8.8 Beschwerderecht

Recht auf Beschwerde bei Aufsichtsbehörde:

  • EU-Bürger: Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts
  • Schweizer Bürger: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
  • Alternative: Aufsichtsbehörde am Ort der mutmaßlichen Datenschutzverletzung

8.9 Geltendmachung Ihrer Rechte

Kontaktaufnahme:

  • E-Mail: [email protected]
  • Postweg: Bretton Woods digital AG, z.Hd. Datenschutzbeauftragter, Neugasse 29, 6300 Zug

Bearbeitungsverfahren:

  • Identitätsprüfung: Nachweis erforderlich zur Verhinderung von Missbrauch
  • Bearbeitungszeit: Grundsätzlich 1 Monat, Verlängerung um 2 Monate bei komplexen Anfragen
  • Kostenlos: Grundsätzlich unentgeltlich, außer bei unbegründeten oder exzessiven Anfragen
  • Informationspflicht: Wir informieren Sie über ergriffene Maßnahmen

 

9. Datensicherheit

9.1 Technische Schutzmaßnahmen

Verschlüsselung

  • Transport: TLS 1.3 für alle Datenübertragungen
  • Speicher: AES-256 Verschlüsselung für sensitive Daten
  • Backups: Vollständig verschlüsselte Sicherungskopien
  • Endgeräte: Festplattenverschlüsselung auf allen Arbeitsplätzen

Netzwerksicherheit

  • Firewalls: Multi-Layer-Firewall-Systeme
  • Intrusion Detection: Automatische Erkennung von Angriffen
  • VPN: Sichere Fernzugriffe über verschlüsselte Verbindungen
  • Segmentierung: Netzwerk-Isolierung kritischer Systeme

Systemsicherheit

  • Updates: Automatische Sicherheitsupdates
  • Antivirus: Enterprise-Virenschutz auf allen Systemen
  • Monitoring: 24/7 Systemüberwachung
  • Patch-Management: Regelmäßige Sicherheitspatches

9.2 Organisatorische Schutzmaßnahmen

Zugriffskontrollen

  • Prinzip der minimalen Berechtigung: Nur notwendige Zugriffe
  • Zwei-Faktor-Authentifizierung: Für alle administrativen Zugriffe
  • Regelmäßige Reviews: Überprüfung von Berechtigungen
  • Protokollierung: Vollständige Zugriffsprotokolle

Personal und Schulungen

  • Verpflichtung: Alle Mitarbeiter auf Datengeheimnis verpflichtet
  • Schulungen: Regelmäßige Datenschutz- und Sicherheitsschulungen
  • Background-Checks: Überprüfung neuer Mitarbeiter
  • Sensibilisierung: Laufende Awareness-Programme

Prozesse und Verfahren

  • Incident Response: Definierte Verfahren für Sicherheitsvorfälle
  • Business Continuity: Notfallpläne und Wiederherstellungsverfahren
  • Change Management: Kontrollierte Änderungen an kritischen Systemen
  • Dokumentation: Vollständige Dokumentation aller Sicherheitsmaßnahmen

9.3 Datenschutz-Folgenabschätzung

Verfahren: Bei neuen Verarbeitungen mit hohem Risiko führen wir systematische Datenschutz-Folgenabschätzungen durch.

Kriterien für hohe Risiken:

  • Automatisierte Entscheidungsfindung mit Rechtswirkung
  • Systematische Überwachung öffentlicher Bereiche
  • Verarbeitung besonderer Kategorien in großem Umfang
  • Biometrische Daten zur Identifikation

9.4 Meldung von Datenschutzverletzungen

Interne Verfahren:

  • Sofortige Eskalation an Datenschutzbeauftragten
  • Dokumentation und Bewertung des Vorfalls
  • Einleitung von Sofortmaßnahmen

Externe Meldungen:

  • An Aufsichtsbehörde: Binnen 72 Stunden bei Risiko für Betroffene
  • An Betroffene: Ohne unnötige Verzögerung bei hohem Risiko
  • Inhalt: Art der Verletzung, betroffene Kategorien, Anzahl Betroffene, Folgen und Maßnahmen

 

10. Automatisierte Entscheidungsfindung und Profiling

10.1 Grundsätzliche Position

Keine automatisierte Entscheidungsfindung mit Rechtswirkung: Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen.

10.2 Marketing-Automatisierung

Einsatzbereich: Newsletter und Werbung

Verarbeitete Daten:

  • Öffnungsraten von E-Mails
  • Klick-Verhalten in Newslettern
  • Website-Besuchsverhalten
  • Interessensprofile basierend auf Aktionen

Zweck:

  • Personalisierung von Inhalten
  • Optimierung von Versandzeitpunkten
  • Segmentierung für relevante Angebote

Rechtliche Auswirkungen: Keine – führt nur zu personalisierten Inhalten ohne rechtliche oder erhebliche Konsequenzen

10.3 Website-Analytics

Google Analytics:

  • Automatisierte Auswertung des Nutzerverhaltens
  • Erstellung von Zielgruppen-Segmenten
  • Keine Entscheidungen mit individueller Rechtswirkung

10.4 Ihre Rechte

  • Widerspruchsrecht: Gegen jede Form der automatisierten Verarbeitung
  • Menschliche Intervention: Bei allen geschäftsrelevanten Entscheidungen können Sie eine menschliche Überprüfung verlangen
  • Auskunft: Über die Logik automatisierter Verfahren
  • Korrektur: Möglichkeit zur Korrektur automatisch erstellter Profile

 

11. Besondere Situationen

11.1 Minderjährige

Grundsatz: Unsere Services richten sich nicht gezielt an Personen unter 18 Jahren.

11.2 Biometrische Erkennung

Hohe Datenschutzrisiken: Die Verarbeitung biometrischer Daten zur Identifikation birgt besondere Risiken für die Rechte und Freiheiten der Betroffenen.

Besondere Schutzmaßnahmen:

  • Datenschutz-Folgenabschätzung für alle biometrischen Verfahren durchgeführt
  • Minimale Speicherdauer: Biometrische Templates nur 30 Tage
  • Keine Wiederverwendung: Biometrische Daten werden nicht für andere Zwecke genutzt
  • Erhöhte Sicherheitsstandards: AES-256 Verschlüsselung, strenge Zugangskontrollen
  • Regelmäßige Überprüfung: Vierteljährliche Bewertung der Notwendigkeit

Ihre verstärkten Rechte:

  • Ausdrückliche Einwilligung erforderlich vor jeder biometrischen Verarbeitung
  • Sofortiger Widerruf der Einwilligung jederzeit möglich
  • Prioritäre Auskunft über biometrische Datenverarbeitung
  • Beschleunigte Löschung auf Anfrage innerhalb von 48 Stunden

 

12. Änderungen dieser Datenschutzerklärung

12.1 Anlass für Änderungen

Wir behalten uns vor, diese Datenschutzerklärung zu ändern bei:

  • Änderungen der Rechtslage
  • Neuen oder geänderten Services
  • Technischen Entwicklungen
  • Änderungen der Geschäftsprozesse

12.2 Benachrichtigungsverfahren

Wesentliche Änderungen:

  • E-Mail-Benachrichtigung an registrierte Nutzer
  • Prominenter Hinweis auf der Website
  • Möglichkeit der Widerspruchs vor Inkrafttreten

Geringfügige Änderungen:

  • Aktualisierung des Datums
  • Hinweis auf der Website

12.3 Archivierung

  • Frühere Versionen werden archiviert
  • Zugang zu vorherigen Versionen auf Anfrage
  • Dokumentation der Änderungshistorie

 

13. Kontakt und Support

13.1 Datenschutzbeauftragter

Dr. Sebastian Block LL.M.
Datenschutzbeauftragter
Bretton Woods digital AG

Kontakt:

13.2 Service und Support

Allgemeine Anfragen:

  • E-Mail: [email protected]
  • Geschäftszeiten: Montag bis Freitag, 9:00 – 17:00 Uhr (CET)
  • Plattform: Support-Button

13.3 Antwortzeiten und Service-Level

  • Datenschutzanfragen: Antwort innerhalb von 5 Werktagen
  • Betroffenenrechte: Bearbeitung innerhalb eines Monats
  • Beschwerden: Prioritäre Bearbeitung innerhalb von 3 Werktagen

 

14. Schlussbestimmungen

14.1 Rechtswahl und Gerichtsstand

  • Anwendbares Recht: Schweizer Recht bzw. EU-DSGVO je nach Anwendbarkeit
  • Gerichtsstand: Zug, Schweiz (für Schweizer Sachverhalte)
  • EU-Streitigkeiten: Zuständige Gerichte des EU-Mitgliedstaats der betroffenen Person

14.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Datenschutzerklärung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

14.3 Sprachversionen

Diese Datenschutzerklärung ist in deutscher und englischer Sprache verfügbar. Bei Widersprüchen gilt die deutsche Fassung.

 

Stand dieser Datenschutzerklärung: 31. Mai 2025

 

Diese Datenschutzerklärung wurde mit größter Sorgfalt erstellt. Für die Vollständigkeit und Aktualität kann jedoch keine Gewähr übernommen werden. Bei Fragen wenden Sie sich bitte an unseren Datenschutzbeauftragten.

Registrieren
de_DEDE
de_DEDE en_USEN