Datenschutzerklärung
Transparenz und Schutz Ihrer persönlichen Daten stehen bei thurivexopla im Mittelpunkt unserer Geschäftstätigkeit
Letzte Aktualisierung: 15. März 2025 - Diese Datenschutzerklärung entspricht den aktuellen Bestimmungen der DSGVO und des BDSG.
1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die thurivexopla GmbH mit Sitz in der Ehrenbürgstraße 29, 81249 München, Deutschland. Als spezialisierte Plattform für Budgetrisiko-Management verarbeiten wir Ihre personenbezogenen Daten ausschließlich im Rahmen der geltenden Datenschutzbestimmungen.
Unsere Datenschutzbeauftragte, Frau Dr. Marlene Hoffmeister, steht Ihnen für alle datenschutzrechtlichen Fragen unter der E-Mail-Adresse datenschutz@thurivexopla.com zur Verfügung. Sie können sich jederzeit an sie wenden, wenn Sie Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten haben.
2. Arten der verarbeiteten Daten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Stammdaten: Vor- und Nachname, Geburtsdatum, Anschrift, E-Mail-Adresse, Telefonnummer
- Kommunikationsdaten: E-Mail-Korrespondenz, Chat-Nachrichten, Supportanfragen, Newsletter-Präferenzen
- Nutzungsdaten: IP-Adresse, Browser-Informationen, Zugriffszeiten, besuchte Seiten, Klickverhalten
- Vertragsdaten: Vertragsart, Laufzeit, Leistungsumfang, Abrechnungsdaten
- Zahlungsdaten: Bankverbindung, Zahlungshistorie, Rechnungsadresse (werden ausschließlich durch zertifizierte Zahlungsdienstleister verarbeitet)
- Präferenzdaten: Spracheinstellungen, individuelle Konfigurationen, gespeicherte Filter und Suchkriterien
Besondere Kategorien personenbezogener Daten
thurivexopla verarbeitet grundsätzlich keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (wie Gesundheitsdaten oder biometrische Daten). Sollte eine solche Verarbeitung in Einzelfällen erforderlich werden, erfolgt dies ausschließlich nach vorheriger ausdrücklicher Einwilligung und unter Einhaltung aller erforderlichen Schutzmaßnahmen.
3. Zwecke und Rechtsgrundlagen der Datenverarbeitung
| Zweck der Verarbeitung | Rechtsgrundlage | Speicherdauer |
|---|---|---|
| Vertragserfüllung und Kundenbetreuung | Art. 6 Abs. 1 lit. b DSGVO | Bis zur vollständigen Vertragsabwicklung plus 10 Jahre |
| Rechnungsstellung und Buchhaltung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) | 10 Jahre nach Rechnungsstellung |
| Marketing und Newsletter | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Bis zum Widerruf der Einwilligung |
| Webseitenanalyse und -optimierung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | 26 Monate nach der letzten Aktivität |
| Kundenservice und Support | Art. 6 Abs. 1 lit. b DSGVO | 3 Jahre nach der letzten Serviceanfrage |
Bei der Verarbeitung auf Grundlage berechtigter Interessen führen wir eine sorgfältige Abwägung zwischen unseren Geschäftsinteressen und Ihren Grundrechten durch. Unser berechtigtes Interesse liegt dabei in der kontinuierlichen Verbesserung unserer Dienstleistungen, der Gewährleistung der IT-Sicherheit und der Bereitstellung einer nutzerfreundlichen Website.
4. Datenübermittlung und Empfänger
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt ausschließlich in folgenden Fällen und unter strikter Beachtung der datenschutzrechtlichen Vorgaben:
Kategorien von Empfängern:
- IT-Dienstleister und Cloud-Provider mit Sitz in Deutschland oder anderen EU-Mitgliedstaaten
- Zahlungsdienstleister (ausschließlich PCI-DSS zertifizierte Anbieter)
- Steuerberater und Wirtschaftsprüfer im Rahmen gesetzlicher Aufbewahrungspflichten
- Behörden bei rechtlichen Verpflichtungen zur Datenherausgabe
- Externe Datenschutz- und IT-Sicherheitsauditoren
Internationale Datenübermittlungen
Sollten wir in Ausnahmefällen Daten in Drittländer außerhalb der EU übermitteln, geschieht dies ausschließlich bei Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission oder auf Grundlage geeigneter Garantien wie EU-Standardvertragsklauseln. Derzeit finden keine routinemäßigen Übermittlungen in Drittländer statt.
5. Ihre Rechte als betroffene Person
Als betroffene Person stehen Ihnen umfassende Rechte bezüglich der Verarbeitung Ihrer personenbezogenen Daten zu. Diese Rechte können Sie jederzeit kostenfrei und unbürokratisch über unsere Datenschutzbeauftragte oder den allgemeinen Kundenservice geltend machen.
Ihre Betroffenenrechte im Detail:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, jederzeit eine kostenlose Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten
- Berichtigungsrecht (Art. 16 DSGVO): Unrichtige Daten werden unverzüglich korrigiert, unvollständige Daten vervollständigt
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Bei bestrittener Richtigkeit oder unrechtmäßiger Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO): Sie erhalten Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format
- Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung bei berechtigtem Interesse oder zu Werbezwecken
- Widerruf der Einwilligung (Art. 7 DSGVO): Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden
Zur Wahrung Ihrer Rechte bearbeiten wir Ihre Anfragen in der Regel innerhalb von 14 Tagen. In komplexeren Fällen kann die Bearbeitungszeit auf maximal einen Monat verlängert werden, worüber wir Sie selbstverständlich informieren. Bei begründeten Zweifeln an Ihrer Identität können wir zusätzliche Informationen zur Identitätsprüfung anfordern.
6. Datensicherheit und technische Schutzmaßnahmen
Der Schutz Ihrer personenbezogenen Daten hat für thurivexopla höchste Priorität. Wir setzen modernste technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.
Unsere Sicherheitsmaßnahmen umfassen:
- SSL/TLS-Verschlüsselung (mindestens TLS 1.3) für alle Datenübertragungen
- Ende-zu-Ende-Verschlüsselung sensibler Daten mit AES-256-Standard
- Mehrstufige Authentifizierung für alle administrativen Zugriffe
- Regelmäßige Sicherheitsaudits durch externe IT-Sicherheitsexperten
- Kontinuierliche Überwachung der IT-Systeme durch Security Information and Event Management (SIEM)
- Physische Sicherung der Serverräume in deutschen Rechenzentren nach ISO 27001
- Regelmäßige Datensicherungen mit geografisch getrennter Aufbewahrung
- Umfassende Mitarbeiterschulungen zu Datenschutz und IT-Sicherheit
Datenschutz-Folgenabschätzung
Für alle neuen Datenverarbeitungsvorgänge führen wir systematische Datenschutz-Folgenabschätzungen durch. Dabei bewerten wir potenzielle Risiken für die Rechte und Freiheiten betroffener Personen und entwickeln entsprechende Schutzmaßnahmen. Privacy by Design und Privacy by Default sind fest in unsere Entwicklungsprozesse integriert.
7. Cookies und Tracking-Technologien
thurivexopla setzt verschiedene Cookie-Typen und ähnliche Technologien ein, um die Funktionalität der Website zu gewährleisten und das Nutzererlebnis zu optimieren. Dabei unterscheiden wir zwischen technisch notwendigen Cookies und solchen, die Ihre Einwilligung erfordern.
| Cookie-Typ | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Technisch notwendige Cookies | Session-Verwaltung, Sicherheit, Grundfunktionen | Session-Ende | Art. 6 Abs. 1 lit. f DSGVO |
| Funktionale Cookies | Benutzereinstellungen, Sprachauswahl | 12 Monate | Art. 6 Abs. 1 lit. a DSGVO |
| Analyse-Cookies | Webseitenanalyse, Nutzungsstatistiken | 26 Monate | Art. 6 Abs. 1 lit. a DSGVO |
| Marketing-Cookies | Personalisierte Werbung, Remarketing | 13 Monate | Art. 6 Abs. 1 lit. a DSGVO |
Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Preference-Center anpassen oder in Ihrem Browser verwalten. Die Deaktivierung bestimmter Cookies kann jedoch die Funktionalität der Website beeinträchtigen.
8. Aufbewahrungsfristen und Löschkonzept
thurivexopla verfügt über ein systematisches Löschkonzept, das sicherstellt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Aufbewahrungsfristen nach Datenkategorien:
- Kundenstammdaten: Löschung 3 Jahre nach Vertragsende, sofern keine Aufbewahrungspflichten bestehen
- Abrechnungsdaten: 10 Jahre gemäß § 147 AO (Abgabenordnung)
- Korrespondenz: 6 Jahre gemäß § 257 HGB (Handelsgesetzbuch)
- Einwilligungsnachweise: 3 Jahre nach Widerruf der Einwilligung
- Logdateien: 7 Tage für Sicherheitslogs, 26 Monate für Analysen
- Bewerberdaten: 6 Monate nach Abschluss des Bewerbungsverfahrens
Unser automatisiertes Löschsystem überprüft quartalsweise alle Datenbestände und löscht Daten, deren Aufbewahrungsfristen abgelaufen sind. Sie werden über bevorstehende Löschungen informiert, sofern Sie dies wünschen und es technisch möglich ist.
Kontakt zu unserem Datenschutzteam
Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich gerne an uns:
thurivexopla GmbH
Datenschutzbeauftragte: Dr. Marlene Hoffmeister
Ehrenbürgstraße 29, 81249 München
Telefon: +49 2761 929200
E-Mail:
datenschutz@thurivexopla.com
Sie haben außerdem das Recht, sich bei der zuständigen
Aufsichtsbehörde zu beschweren:
Bayerisches Landesamt für
Datenschutzaufsicht
Promenade 18, 91522 Ansbach