Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website und im Rahmen unserer eigenen Geschäftsprozesse ist:

Vertreten durch die Geschäftsführer Till Schmidt-Sibeth und Robin Hilscher. Die Gesellschaft wird durch beide Geschäftsführer gemeinsam vertreten.

Die Gesellschaft befindet sich noch in Gründung. Handelsregistereintragung, Registergericht, HRB-Nummer, Steuernummer und Umsatzsteuer-ID werden ergänzt, sobald sie vorliegen.

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Datenschutzanfragen können an info@trustfokus.de gerichtet werden.

2. Allgemeine Hinweise

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb dieser Website, die Bearbeitung von Anfragen, die Vertragsanbahnung, die Vertragsdurchführung, die Leistungserbringung, die Abrechnung, die Erfüllung gesetzlicher Pflichten, die IT-Sicherheit oder die Wahrung berechtigter Interessen erforderlich ist.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören zum Beispiel Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Unternehmenszugehörigkeit, Kommunikationsinhalte, Vertragsdaten, Rechnungsdaten, Bilddaten, Standortdaten, Bewertungsdaten und technische Nutzungsdaten.

Unsere Leistungen richten sich ausschließlich an Unternehmerkunden. Trotzdem können personenbezogene Daten natürlicher Personen verarbeitet werden, insbesondere von Geschäftsführern, Ansprechpartnern, Mitarbeitenden, Websitebesuchern, Bewertern, Kunden unserer Auftraggeber oder Personen, die auf Foto- oder 360°-Material erkennbar sind.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere auf folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO, wenn die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist.

Art. 6 Abs. 1 lit. c DSGVO, wenn wir gesetzlich zur Verarbeitung verpflichtet sind, insbesondere aufgrund handels-, steuer- oder aufbewahrungsrechtlicher Pflichten.

Art. 6 Abs. 1 lit. f DSGVO, wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist, insbesondere für IT-Sicherheit, Kommunikation, Kundenverwaltung, Dokumentation, Rechtsverteidigung, Missbrauchsprävention und den sicheren Betrieb unserer Systeme.

Art. 6 Abs. 1 lit. a DSGVO, wenn eine Einwilligung erteilt wurde, zum Beispiel für bestimmte Cookies, Trackingdienste, Marketingdienste oder Foto- und Referenznutzungen.

Art. 28 DSGVO, wenn wir personenbezogene Daten im Auftrag eines Kunden verarbeiten. In diesem Fall schließen wir mit dem jeweiligen Kunden eine Vereinbarung zur Auftragsverarbeitung.

4. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Für TrustFokus gelten insbesondere folgende Speicher- und Aufbewahrungsregeln:

Soweit längere gesetzliche Aufbewahrungspflichten bestehen oder Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, kann eine längere Speicherung erfolgen.

5. Bereitstellung der Website und Server-Logfiles

Beim Besuch unserer Website werden technisch erforderliche Daten verarbeitet, damit die Website angezeigt und sicher betrieben werden kann.

Dabei können insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite oder Datei, übertragene Datenmenge, Browsertyp, Browserversion, Betriebssystem, Referrer-URL, Hostname des zugreifenden Systems sowie technische Fehler- und Sicherheitsinformationen verarbeitet werden.

Die Verarbeitung erfolgt zur technischen Bereitstellung der Website, zur Systemsicherheit, zur Fehleranalyse, zur Missbrauchsvermeidung und zur Stabilität des Angebots.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und funktionsfähigen Betrieb unserer Website.

Hosting und technische Infrastruktur erfolgen über von uns eingesetzte Server- und Hostingdienstleister, insbesondere Hetzner Online GmbH, Deutschland, soweit für den jeweiligen Dienst eingesetzt.

6. Cookies und vergleichbare Technologien

Unsere Website kann technisch erforderliche Cookies oder vergleichbare Technologien einsetzen. Diese sind notwendig, um die Website sicher und funktionsfähig bereitzustellen.

Nicht technisch erforderliche Cookies, Analyse-, Marketing-, Tracking-, Remarketing- oder Conversion-Technologien setzen wir nur ein, wenn hierfür eine Einwilligung eingeholt wurde, soweit dies gesetzlich erforderlich ist.

Soweit auf unserer Website kein Consent-Banner angezeigt wird und keine Analyse- oder Marketingdienste aktiv sind, werden auf dieser Website nur technisch erforderliche Verarbeitungen vorgenommen.

Sollten künftig Analyse-, Marketing-, Tracking-, Karten-, Video-, Social-Media- oder Conversion-Dienste eingebunden werden, wird diese Datenschutzerklärung entsprechend ergänzt und ein Consent-Setup eingesetzt, soweit erforderlich.

7. Kontaktaufnahme per E-Mail, Telefon oder Formular

Wenn Sie uns per E-Mail, Telefon oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten zur Bearbeitung Ihrer Anfrage.

Dazu können Name, Unternehmen, Funktion, E-Mail-Adresse, Telefonnummer, Inhalt der Anfrage, Kommunikationsverlauf und technische Metadaten gehören.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, wenn Ihre Anfrage auf einen Vertrag oder vorvertragliche Maßnahmen gerichtet ist. In anderen Fällen ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung geschäftlicher Anfragen.

Kontaktanfragen ohne Vertragsbezug löschen wir grundsätzlich spätestens 12 Monate nach abschließender Bearbeitung, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen. Geschäfts- und vertragsbezogene Kommunikation kann länger gespeichert werden.

8. E-Mail-Kommunikation

Für die geschäftliche E-Mail-Kommunikation nutzen wir E-Mail-Dienstleister, insbesondere mailbox.org / Heinlein Hosting GmbH, soweit eingesetzt.

Bei E-Mail-Kommunikation werden insbesondere Absender, Empfänger, Betreff, Nachrichteninhalt, Anhänge, Datum und Uhrzeit sowie technische Metadaten verarbeitet.

Rechtsgrundlage ist je nach Zusammenhang Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO. E-Mails mit geschäfts- oder steuerrechtlicher Relevanz werden entsprechend gesetzlicher Aufbewahrungspflichten gespeichert.

9. Vertrags- und Kundenverwaltung

Wenn Sie Kunde, Interessent, Lieferant oder Geschäftspartner von TrustFokus sind, verarbeiten wir Daten zur Vertragsanbahnung, Vertragsdurchführung, Leistungserbringung, Abrechnung, Kommunikation und Dokumentation.

Verarbeitet werden können insbesondere Stammdaten, Ansprechpartnerdaten, Kontaktdaten, Vertragsdaten, Leistungsdaten, Projektinformationen, Rechnungsdaten, Zahlungsdaten, Freigaben, Kommunikationsdaten, Zugangsinformationen, Rollen- und Berechtigungsinformationen sowie interne Bearbeitungsvermerke.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Pflichten bestehen, ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO. Für interne Organisation, Dokumentation und Rechtsverteidigung ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

10. Internes CRM-/Admin-System

Wir nutzen ein internes, selbst betriebenes CRM-/Admin-System zur Verwaltung von Kunden, Interessenten, Kontaktdaten, Terminen, Dokumenten, Aktivitäten, Projektinformationen, Aufgaben und organisatorischen Abläufen.

Das System wird überwiegend eigenbetrieben und nutzt Open-Source-Komponenten. Es wird kein externer SaaS-CRM-Anbieter eingesetzt. Externe Dienstleister können jedoch beim technischen Betrieb beteiligt sein, insbesondere Hosting-/Serverinfrastruktur, E-Mail-Dienste, Domain-/DNS-Dienste, verschlüsselte Offsite-Backups sowie Entwicklungs- und Deployment-Dienste.

Verarbeitet werden können insbesondere Name, Unternehmen, Funktion, E-Mail-Adresse, Telefonnummer, Anschrift, Projektinformationen, Kommunikationsverläufe, Vertragsdaten, Aufgaben, Termine, Dokumente, technische Protokolldaten und interne Bearbeitungsvermerke.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Vertragsanbahnung oder Vertragsdurchführung erforderlich ist. Soweit die Verarbeitung der internen Organisation, IT-Sicherheit, Dokumentation oder Rechtsverteidigung dient, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

CRM-/Admin-Daten aktiver Kunden speichern wir für die Dauer der Geschäftsbeziehung. Daten ehemaliger Kunden löschen wir grundsätzlich spätestens 24 Monate nach Vertragsende, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.

11. Rechnungs- und Zahlungsdaten

Zur Rechnungstellung und Zahlungsabwicklung verarbeiten wir insbesondere Name oder Firma, Rechnungsanschrift, Leistungsdaten, Rechnungsbetrag, Zahlungsstatus, Zahlungsinformationen und steuerlich relevante Angaben.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO.

Rechnungen und Buchungsbelege werden grundsätzlich 8 Jahre aufbewahrt. Geschäftsbriefe und steuerlich relevante geschäftliche Korrespondenz werden grundsätzlich 6 Jahre aufbewahrt. Bücher, Jahresabschlüsse, Inventare und vergleichbare Unterlagen werden grundsätzlich 10 Jahre aufbewahrt.

12. Google-Unternehmensprofil, Apple Karten, Bing und Branchenverzeichnisse

TrustFokus unterstützt B2B-Kunden bei Google-Unternehmensprofilen, Apple Karten, Bing, Branchenverzeichnissen und lokaler Sichtbarkeit.

Dabei können je nach Auftrag personenbezogene Daten verarbeitet werden, insbesondere Kontaktdaten von Ansprechpartnern, Unternehmensdaten mit Personenbezug, Nutzer- und Rolleninformationen, Bewertungsdaten, Namen und Profilinformationen von Bewertern, Kommunikationsinhalte, Standortdaten, Fotos, Auswertungsdaten und Zugriffsdaten.

Soweit TrustFokus diese Daten im Auftrag eines Kunden verarbeitet, erfolgt die Verarbeitung auf Grundlage einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO.

Drittplattformen wie Google, Apple, Bing oder Branchenverzeichnisse können personenbezogene Daten in eigener Verantwortung oder auf Grundlage eigener Nutzungs- und Datenschutzbedingungen verarbeiten. Auf Entscheidungen, Prüfprozesse, Sperrungen, Freischaltungen, Ranking, Sichtbarkeit oder Löschungen durch diese Plattformen haben wir keinen vollständigen Einfluss.

13. Bewertungen und Reputationsmanagement

TrustFokus kann Kunden bei rechtmäßigen Bewertungsprozessen, Bewertungskarten, QR-Code-Aufstellern, Review-Aktivierung, Bewertungsantworten und der Prüfung potenziell unzulässiger Bewertungen unterstützen.

Dabei können Name oder Profilname des Bewertenden, Bewertungstext, Sternebewertung, Datum der Bewertung, öffentlich sichtbare Profilinformationen, Antwortentwürfe, interne Prüfnotizen und Kommunikation mit dem Kunden verarbeitet werden.

TrustFokus erstellt keine Fake-Bewertungen, kauft keine Bewertungen und unterstützt keine unzulässige Bewertungsmanipulation. Eine Löschung, Änderung oder Nichtveröffentlichung von Bewertungen kann nicht garantiert werden, da diese Entscheidungen durch die jeweilige Plattform getroffen werden.

Rechtsgrundlage ist je nach Verarbeitung Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO oder bei weisungsgebundener Verarbeitung im Kundenauftrag Art. 28 DSGVO in Verbindung mit dem jeweiligen Kundenvertrag.

14. 360°-Rundgänge, Fotos und Bildmaterial

TrustFokus kann 360°-Rundgänge, Fotos und sonstiges Bildmaterial für Google Street View/Maps, Webseiten, Unternehmensprofile oder andere vereinbarte Zwecke erstellen.

Dabei können personenbezogene Daten verarbeitet werden, wenn Personen, Gesichter, Kennzeichen, Namensschilder, Bildschirme, Unterlagen, private Bereiche oder andere identifizierende Merkmale sichtbar sind.

Verarbeitet werden können insbesondere Bilddaten, Standortdaten, sichtbare Personen, Kfz-Kennzeichen, sichtbare Unternehmens- oder Kundendaten und Metadaten der Aufnahmen.

Der Auftraggeber ist dafür verantwortlich, vor Ort die erforderlichen Freigaben einzuholen und sicherzustellen, dass keine unzulässigen personenbezogenen, vertraulichen oder sensiblen Informationen aufgenommen oder veröffentlicht werden.

Erkennbare Personen, Kennzeichen und sensible Bereiche sollen vor Veröffentlichung vermieden, entfernt, verpixelt oder anderweitig unkenntlich gemacht werden, soweit keine wirksame Rechtsgrundlage für die Veröffentlichung besteht.

360°-Rohmaterial löschen wir grundsätzlich spätestens 90 Tage nach Freigabe oder Veröffentlichung, soweit keine längere Speicherung vereinbart wurde oder berechtigte Nachweisinteressen entgegenstehen. Final freigegebenes Bild- oder 360°-Material speichern wir, solange dies für den vereinbarten Zweck, die Vertragsdurchführung oder eine erteilte Referenzfreigabe erforderlich ist.

Rechtsgrundlage kann je nach Fall Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO oder eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO sein.

15. Google Ads und bezahlte Sichtbarkeit

TrustFokus kann Google Ads-Konten einrichten, Kampagnen strukturieren, Anzeigen erstellen, Budgets betreuen, Auswertungen vornehmen und laufende Kampagnen optimieren.

Dabei können Ansprechpartnerdaten, Kontoinformationen, Rollen- und Zugriffsdaten, Kampagnendaten, Anzeigen- und Zielgruppendaten, Budgetdaten, Conversion- und Auswertungsdaten, Website- und Landingpage-Daten sowie Kommunikationsdaten verarbeitet werden.

Soweit TrustFokus Google-Ads-Leistungen im Auftrag eines Kunden erbringt, erfolgt die Verarbeitung auf Grundlage des Kundenvertrags und, soweit personenbezogene Daten im Auftrag verarbeitet werden, auf Grundlage einer Vereinbarung zur Auftragsverarbeitung.

Google verarbeitet personenbezogene Daten auch nach eigenen Datenschutz- und Nutzungsbedingungen. Werbebudgets, Anzeigenfreischaltungen, Anzeigenplatzierungen, Reichweiten, Klickpreise, Leads oder Umsätze werden nicht garantiert.

16. Webseiten-Erstellung, Hosting, Wartung und Optimierung für Kunden

TrustFokus kann Webseiten für Kunden erstellen, optimieren, hosten, warten oder technisch betreuen.

Dabei können je nach Projekt personenbezogene Daten verarbeitet werden, insbesondere Ansprechpartnerdaten des Kunden, Websiteinhalte mit Personenbezug, Kontaktformularanfragen, Serverlogs, CMS-Nutzer, Hostingzugänge, Domain- und DNS-Daten, E-Mail-Konfigurationsdaten, Tracking- und Consent-Daten sowie Bewerbungs- oder Lead-Daten, falls solche Funktionen beauftragt werden.

Soweit TrustFokus personenbezogene Daten im Auftrag eines Kunden verarbeitet, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO.

Der jeweilige Kunde bleibt für seine Website, sein Impressum, seine Datenschutzerklärung, sein Consent-Management, seine Inhalte und seine datenschutzrechtlichen Informationspflichten verantwortlich, sofern TrustFokus nicht ausdrücklich eine andere Leistung übernommen hat.

TrustFokus erbringt keine anwaltliche Prüfung von Rechtstexten, Wettbewerbsrecht, Markenrecht, Berufsrecht oder Datenschutzrecht, sofern dies nicht gesondert und zulässig über qualifizierte Dritte vereinbart wird.

17. Tracking- und Consent-Setups für Kunden

TrustFokus kann Kunden bei der technischen Einrichtung von Tracking-, Analyse-, Conversion- und Consent-Setups unterstützen.

Dabei können je nach Auftrag technische Website-Daten, Consent-Status, Cookie- und Tag-Konfigurationen, Conversion-Ereignisse, pseudonyme Nutzungsdaten, IP-Adressen, Geräte- und Browserinformationen sowie Kampagnen- und Anzeigeninformationen verarbeitet werden.

Der jeweilige Kunde entscheidet über Zwecke, Tools, Rechtsgrundlagen und Einwilligungstexte. TrustFokus unterstützt bei der technischen Umsetzung.

Nicht technisch erforderliche Analyse-, Marketing-, Tracking-, Remarketing- oder Conversion-Dienste dürfen nur eingesetzt werden, wenn die hierfür erforderliche Einwilligung eingeholt wurde oder eine andere tragfähige Rechtsgrundlage besteht.

18. Google Maps Links und Kartenfunktionen

Auf unserer Website oder in internen Systemen können Links zu Google Maps oder vergleichbaren Kartendiensten verwendet werden.

Beim bloßen Anzeigen eines einfachen Links werden nicht automatisch Daten an Google übertragen. Wenn ein Nutzer einen solchen Link anklickt, wird die jeweilige Adresse oder Suchanfrage an Google übermittelt. Google verarbeitet diese Daten nach eigener Verantwortung.

Soweit Google Maps direkt in eine Website eingebettet wird, kann bereits beim Laden der Karte eine Datenübertragung an Google stattfinden. Eine solche Einbindung erfolgt nur, wenn sie technisch und datenschutzrechtlich entsprechend berücksichtigt wird.

19. KI & Automation ohne Telefonassistent

TrustFokus bietet KI- und Automationsleistungen ohne Telefonassistent an. Dazu können insbesondere CRM-Automation, E-Mail-Automation, Formularauswertung, Review-Antwortvorschläge, Prozessautomatisierung, n8n-/Webhook-/API-Workflows, KI-Textvorschläge und interne Workflow-Automatisierung gehören.

KI-Telefonassistenz, Telefonbots, Gesprächsaufzeichnungen, Audio-Transkriptionen und telefonische KI-Dialogsysteme sind derzeit nicht Bestandteil der Standardleistungen von TrustFokus.

Bei KI- und Automationsleistungen können je nach Auftrag personenbezogene Daten verarbeitet werden, insbesondere Kontaktdaten, Kommunikationsdaten, CRM-Daten, Formularinhalte, Lead-Daten, Bewertungsinhalte, Aufgaben- und Prozessdaten, technische Workflowdaten und Protokolldaten.

Soweit TrustFokus solche Daten im Auftrag eines Kunden verarbeitet, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO.

KI-Ausgaben sind Entwürfe und müssen vor Verwendung durch einen Menschen geprüft werden. TrustFokus empfiehlt keine Verarbeitung sensibler Daten in KI- oder Automationssystemen ohne gesonderte Prüfung, Freigabe und geeignete Schutzmaßnahmen.

Besondere Kategorien personenbezogener Daten, Gesundheitsdaten, strafrechtliche Daten, Zahlungsdaten, Ausweisdaten, Beschäftigtendaten, Daten Minderjähriger oder Berufsgeheimnisse dürfen nicht ohne gesonderte Vereinbarung und Prüfung in KI-/Automationstools verarbeitet werden.

Personenbezogene Kundendaten werden nicht ohne gesonderte Vereinbarung an externe KI-Sprachmodell-Anbieter übermittelt.

20. n8n-Automationen

TrustFokus nutzt für Automationsprozesse insbesondere n8n. n8n wird nach aktuellem Stand selbst betrieben und nicht als externer SaaS-CRM- oder SaaS-Automationsanbieter genutzt. Der Betrieb erfolgt über die von TrustFokus genutzte Serverinfrastruktur.

Je nach Workflow können personenbezogene Daten verarbeitet werden, insbesondere Kontaktdaten, Formularinhalte, E-Mail-Metadaten, CRM-Daten, Projektinformationen, Bewertungsdaten, Aufgaben, Statusinformationen, Webhook-Daten, technische IDs und Protokolldaten.

Automations-Workflows werden grundsätzlich nur im vereinbarten Umfang eingerichtet. Produktive Workflows mit Außenwirkung, etwa E-Mail-Versand, CRM-Änderungen, Bewertungsantworten oder Datenübertragungen an Drittsysteme, werden vor Aktivierung geprüft und freigegeben.

Erfolgreiche n8n-Ausführungsdaten werden grundsätzlich spätestens nach 14 Tagen gelöscht. Fehlerprotokolle werden grundsätzlich spätestens nach 30 Tagen gelöscht, sofern keine längere Speicherung zur Fehlerbehebung, IT-Sicherheit oder Rechtsverteidigung erforderlich ist.

21. GitHub, Codeverwaltung und Deployment

TrustFokus kann GitHub für Codeverwaltung, Versionskontrolle, Deployment-Prozesse und technische Dokumentation nutzen.

In GitHub werden grundsätzlich keine CRM-Kundendaten, Kontaktformularinhalte, Kundendatenbanken, personenbezogene Testdaten oder produktiven Backups gespeichert.

Deployment-Secrets, API-Keys und Zugangsdaten dürfen nicht im Quellcode gespeichert werden. Soweit technische Geheimnisse für Deployment-Prozesse erforderlich sind, werden sie über dafür vorgesehene Secret-Mechanismen verwaltet.

Soweit künftig personenbezogene Kundendaten in GitHub verarbeitet werden sollten, erfolgt vorab eine gesonderte Datenschutzprüfung.

22. Verschlüsselte Offsite-Backups

Zur Absicherung gegen Datenverlust können verschlüsselte Offsite-Backups erstellt werden.

Backups können je nach System personenbezogene Daten, Projektinformationen, technische Konfigurationen und Systemdateien enthalten. Die Backup-Speicherung erfolgt ausschließlich zu Zwecken der Wiederherstellung, IT-Sicherheit und Betriebskontinuität.

Backups werden nach Möglichkeit vor der Übertragung verschlüsselt. Backup-Schlüssel werden getrennt vom Backup-Speicher verwahrt, soweit technisch und organisatorisch möglich.

Verschlüsselte Offsite-Backups werden grundsätzlich rollierend gespeichert und spätestens nach 30 Tagen überschrieben oder gelöscht, sofern keine längere Speicherung zur Wiederherstellung, IT-Sicherheit oder Rechtsverteidigung erforderlich ist.

23. WhatsApp Business

TrustFokus kann WhatsApp Business für organisatorische Abstimmungen nutzen, etwa Terminabsprachen oder kurze Rückfragen zur Durchführung eines Projekts.

Über WhatsApp werden keine Zugangsdaten, Passwörter, sensiblen Daten, Kundendatenbanken, vertraulichen Dokumente oder besonderen Kategorien personenbezogener Daten übermittelt.

Verarbeitet werden können insbesondere Telefonnummer, Anzeigename, Kommunikationsinhalt, Zeitpunkte der Nachrichten und technische Metadaten.

Der Auftraggeber kann der Kommunikation über WhatsApp jederzeit widersprechen. In diesem Fall erfolgt die Kommunikation per E-Mail oder Telefon.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in schneller und einfacher organisatorischer Kommunikation. Soweit die Kommunikation zur Vertragsdurchführung erforderlich ist, kann zusätzlich Art. 6 Abs. 1 lit. b DSGVO einschlägig sein.

24. Dateiablage und Projektdokumentation

TrustFokus kann zur Projektbearbeitung Dateiablagen und Dokumentationssysteme nutzen.

Dabei können insbesondere Projektdateien, Fotos, 360°-Material, Briefings, Freigaben, Vertragsunterlagen, Kommunikationsverläufe und technische Dokumentationen verarbeitet werden.

Personenbezogene Daten werden nur auf freigegebenen Systemen abgelegt. Apple iCloud oder Google Drive werden nur eingesetzt, wenn hierfür die erforderlichen Verträge oder Schutzmaßnahmen bestehen oder wenn im konkreten Projekt eine zulässige Nutzung vereinbart wurde.

Projektbezogene Dokumentation speichern wir grundsätzlich bis zu 24 Monate nach Vertragsende, soweit sie für Nachweis-, Abwehr- oder Dokumentationszwecke erforderlich ist. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

25. Bewerbungen

Wenn Sie sich bei TrustFokus bewerben, verarbeiten wir Ihre Bewerbungsdaten zur Durchführung des Bewerbungsverfahrens.

Verarbeitet werden können insbesondere Name, Kontaktdaten, Lebenslauf, Zeugnisse, Qualifikationen, Kommunikationsdaten und weitere von Ihnen bereitgestellte Informationen.

Rechtsgrundlage ist § 26 BDSG in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Bewerbungsdaten werden grundsätzlich spätestens 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht, sofern keine Einwilligung zur längeren Speicherung, kein Beschäftigungsverhältnis, keine gesetzlichen Aufbewahrungspflichten oder keine berechtigten Verteidigungsinteressen entgegenstehen.

26. Empfänger und Dienstleister

Wir setzen technische Dienstleister ein, soweit dies für Betrieb, Kommunikation, Leistungserbringung, Sicherheit und Verwaltung erforderlich ist.

Empfänger oder Kategorien von Empfängern können insbesondere Hosting- und Serveranbieter, E-Mail-Dienstleister, Domain- und DNS-Dienstleister, Backup-Speicheranbieter, Entwicklungs- und Deployment-Dienstleister, Anbieter von Karten-, Suchmaschinen- und Bewertungsplattformen, Anbieter von Anzeigenplattformen, Kommunikationsdienste, Steuerberater, Zahlungsdienstleister und Behörden sein, soweit dies erforderlich ist.

Aktuell bekannte oder je nach Projekt mögliche Anbieter sind insbesondere Hetzner Online GmbH für Hosting und Serverbetrieb, mailbox.org / Heinlein Hosting GmbH für E-Mail-Kommunikation, IONOS SE für Domain-/DNS-Verwaltung, GitHub für Codeverwaltung und Deployment, Google-Dienste, Apple iCloud und WhatsApp Business, jeweils soweit eingesetzt.

Soweit Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO ab, sofern erforderlich.

Drittplattformen wie Google, Apple, Bing, Meta oder vergleichbare Anbieter können personenbezogene Daten auch in eigener Verantwortung verarbeiten.

27. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums kann insbesondere beim Einsatz internationaler Dienstleister oder Drittplattformen stattfinden.

Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies nur, wenn hierfür eine geeignete Rechtsgrundlage besteht, insbesondere ein Angemessenheitsbeschluss der EU-Kommission, eine Zertifizierung nach dem EU-U.S. Data Privacy Framework, EU-Standardvertragsklauseln, zusätzliche Schutzmaßnahmen oder eine ausdrückliche Einwilligung, soweit erforderlich.

Bei der Nutzung internationaler Plattformen können Datenübermittlungen in Drittländer nicht vollständig ausgeschlossen werden.

28. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Offenlegung zu schützen.

Dazu gehören insbesondere rollenbasierte Zugriffsrechte, minimale Rechtevergabe, getrennte Zugänge pro Kunde, soweit möglich, Zwei-Faktor-Authentifizierung, soweit möglich, sichere Passwörter, Gerätesperren, TLS-/HTTPS-Verschlüsselung bei Übertragung, regelmäßige Updates, Malware- und Geräteschutz, keine dauerhafte Passwortspeicherung als Standard, keine Kundendaten in GitHub-Repositories, keine Secrets/API-Keys im Quellcode, verschlüsselte Offsite-Backups, soweit eingesetzt, Begrenzung von Log- und Ausführungsdaten, Lösch- und Übergabeprozesse nach Vertragsende sowie projektbezogene Dokumentation in angemessenem Umfang.

29. Datenschutzverletzungen

Wenn uns eine Datenschutzverletzung bekannt wird, prüfen wir den Vorfall unverzüglich.

Soweit eine Meldepflicht besteht, erfolgen Meldungen an die zuständige Datenschutzaufsichtsbehörde nach Maßgabe der gesetzlichen Vorschriften. Wenn wir personenbezogene Daten im Auftrag eines Kunden verarbeiten, informieren wir den Kunden unverzüglich, soweit dessen Datenverarbeitung betroffen ist.

30. Keine automatisierten Entscheidungen

Wir treffen keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

KI- und Automationssysteme werden, soweit eingesetzt, als Hilfsmittel verwendet. Geschäftlich relevante Ausgaben sollen vor externer Verwendung menschlich geprüft werden.

31. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO folgende Rechte:

Recht auf Auskunft,

Recht auf Berichtigung,

Recht auf Löschung,

Recht auf Einschränkung der Verarbeitung,

Recht auf Datenübertragbarkeit,

Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen,

Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft,

Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zur Ausübung dieser Rechte genügt eine Nachricht an info@trustfokus.de.

32. Widerspruchsrecht nach Art. 21 DSGVO

Wenn wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben betroffene Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Wenn personenbezogene Daten zum Zweck der Direktwerbung verarbeitet werden, besteht jederzeit ein Widerspruchsrecht gegen die Verarbeitung zu diesem Zweck.

33. Widerruf von Einwilligungen

Wenn eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden.

Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

34. Beschwerderecht bei der Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Für TrustFokus in Mecklenburg-Vorpommern ist regelmäßig zuständig:

35. Aktualisierung dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Leistungen, Tools, Verarbeitungen, rechtlichen Anforderungen oder Unternehmensdaten ändern.

Insbesondere nach Handelsregistereintragung der TrustFokus UG (haftungsbeschränkt) werden Registergericht, HRB-Nummer, Steuernummer und ggf. Umsatzsteuer-ID ergänzt.