Datenschutzerklärung

Letzte Aktualisierung: 15.04.2025

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen, und wir achten sorgfältig auf die Einhaltung der Datenschutzvorschriften, insbesondere der Europäischen Verordnung Nr. 2016/679 vom 26. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO) (die "Geltende Gesetzgebung").

Wir bitten Sie, diese Datenschutzerklärung (die "Erklärung") sorgfältig zu lesen, die wichtige Informationen darüber enthält, wie wir Ihre personenbezogenen Daten erheben, verwenden und weitergeben, um Ihren Bedürfnissen gerecht zu werden und die Qualität unserer Dienstleistungen zu verbessern. Diese Erklärung betrifft alle Arten von personenbezogenen Daten, unabhängig von ihrer Form (z.B. elektronisch, Papier...) sowie alle Arten von Verarbeitung, manuell oder automatisiert. Ihr Geltungsbereich umfasst die personenbezogenen Daten unserer Auftragsverarbeiter, Berater, Kunden, Nutzer, Interessenten und Lieferanten sowie generell aller Dritten, deren personenbezogene Daten wir im Rahmen unserer Tätigkeit verarbeiten.

Definitionen

Die in dieser Erklärung verwendeten Begriffe mit Großbuchstaben, die nachfolgend nicht definiert sind, sind in unseren Allgemeinen Geschäftsbedingungen (die "Allgemeine Geschäftsbedingungen") definiert, die Sie hier finden.

Informierte Einwilligung bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person, mit der sie zu verstehen gibt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

Sensible Daten oder Besondere Kategorien von Daten umfassen personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Betroffene Person bezeichnet eine identifizierte oder identifizierbare natürliche Person.

Website bezeichnet die Pennylane-Website /.

Verarbeitung ("verarbeiten" oder "Verarbeitung") bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Dritter bezeichnet eine dritte Partei oder einen Geschäftspartner, der im Rahmen Ihrer aktuellen oder potenziellen Nutzung der Lösung personenbezogene Daten in Ihrem Namen an uns übermittelt oder in unserem Namen personenbezogene Daten erhält oder darauf zugreift, wie zum Beispiel Lieferanten, Auftragsverarbeiter und andere Dienstleister.

Sie, Ihr, Ihre oder Nutzer bezeichnet die natürliche Person, deren personenbezogene Daten im Rahmen dieser Erklärung erhoben und verarbeitet werden und die im Sinne der Geltenden Gesetzgebung als betroffene Person gilt.

Artikel 1 - Wer sind wir?

1.1. Die Lösung und die Website werden Ihnen von PENNYLANE zur Verfügung gestellt, einer GmbH, HRB 300552, Amtsgericht München, mit Geschäftssitz in Oskar-von-Miller-Ring 20, 80333 München ("wir", "uns" oder "unser").

1.2. Sie können unseren Datenschutzbeauftragten unter folgender E-Mail-Adresse kontaktieren: dpo@pennylane.com.

Artikel 2 - Wie erheben wir Ihre personenbezogenen Daten?

2.1. Im Rahmen unserer Tätigkeit erheben wir personenbezogene Daten direkt:

• Wenn Sie die Website besuchen;

• Wenn Sie mit uns Kontakt aufnehmen (zum Beispiel über die Kontaktformulare auf der Website oder bei externen Veranstaltungen), um sich über die Lösung zu informieren, oder wenn ein Dritter uns mit Ihnen in Verbindung bringt, damit wir Sie kontaktieren;

• Wenn wir Sie kontaktieren möchten, um Ihnen Informationen über die Lösung zu geben und Ihnen unsere Tätigkeit vorzustellen (auch per E-Mail mit möglichen Trackern, Videokonferenz, Anruf etc.);

• Wenn Sie ein Kundenkonto, Benutzerkonto oder Pro-Konto erstellen;

• Wenn Sie die Lösung (und die zugehörigen Dienste) nutzen oder allgemeiner, wenn Ihre personenbezogenen Daten im Rahmen der Nutzung der Lösung durch einen Kunden verarbeitet werden.

Wir können Ihre personenbezogenen Daten auch indirekt erheben:

• Von unseren Drittpartner-Anbietern, die Sie zuvor autorisiert haben, uns Ihre personenbezogenen Daten mitzuteilen, insbesondere Ihr Steuerberater, Zahlungsdienstleister, Bankdatenaggregator, Lohnabrechnungsdienstleister, Rechnungsstellungsdienstleister, Kassensysteme, Dokumentenmanagement oder andere mit der Lösung verbundene Konnektoren.

• Aus öffentlichen Datenbanken. Möglicherweise haben Sie Ihre geschäftlichen Informationen und Kontaktdaten in öffentlichen Datenbanken registriert. Wir können einige dieser Informationen sammeln oder von Dritten erhalten, die wir ausdrücklich mit der Erhebung beauftragt haben. Wir wählen nur öffentliche Datenbanken aus, bei denen Sie vernünftigerweise erwarten können, zu geschäftlichen Zwecken kontaktiert zu werden, und deren Allgemeinen Geschäftsbedingungen die Weiterverwendung der Daten zu geschäftlichen Zwecken nicht untersagen. Wir werden Ihnen spätestens bei unserem ersten Kontakt alle Informationen über die Erhebung und Verarbeitung gemäß Artikel 14 DSGVO zur Verfügung stellen. Sie haben jederzeit die Möglichkeit, dieser Verarbeitung zu widersprechen.

2.2. Verantwortlicher für die Verarbeitung. Wenn Sie die Website besuchen oder wir in Kontakt treten, zum Beispiel um Sie über die Lösung zu informieren, agieren wir als Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der Geltenden Gesetzgebung, das heißt, wir legen die Mittel und Zwecke der Verarbeitung fest. Diese Zwecke sind nachstehend aufgeführt. Wenn Sie ein Kundenkonto oder ein Benutzerkonto erstellen und Ihre Zugangsdaten (Login und Passwort) zur Nutzung der Lösung verwenden, agieren wir als Verantwortlicher für die Verarbeitung.

2.3. Auftragsverarbeiter, Erstverarbeitung. Wenn Ihre personenbezogenen Daten im Rahmen des Betriebs der Lösung und der Bereitstellung der zugehörigen Dienste verarbeitet werden, ist der Verantwortliche für die Verarbeitung der Kunde, dessen Nutzung der Lösung die Verarbeitung Ihrer personenbezogenen Daten beinhaltet, und wir agieren als Auftragsverarbeiter für diesen Verantwortlichen (die Erstverarbeitung). In diesem Rahmen folgen wir nur den Anweisungen des Verantwortlichen, wie sie in den Allgemeinen Geschäftsbedingungen (Anhang Datenverarbeitungsvereinbarung) festgehalten sind.

2.4. Verantwortlicher für die Verarbeitung, Weiterverarbeitung. In bestimmten Fällen, die ebenfalls Ihre im Rahmen des Betriebs der Lösung und der Bereitstellung der zugehörigen Dienste verarbeiteten personenbezogenen Daten betreffen, agieren wir als Verantwortlicher für die Verarbeitung, zum Beispiel wenn wir Daten zum Zweck der Prävention und Erkennung von Betrug und Schadsoftware, der Verwaltung von Sicherungskopien und Sicherheitsvorfällen, der Erstellung von Statistiken und der Verbesserung der Lösung verarbeiten (zum Beispiel die Verbesserung der Benutzererfahrung oder des Nutzerpfads, die Entwicklung neuer Funktionen oder die Verbesserung bestehender Funktionen) (Weiterverarbeitung). Diese Weiterverarbeitung ist mit der Erstverarbeitung vereinbar, unter Berücksichtigung (unter anderem) der Verbindung zwischen diesen beiden Verarbeitungen (Nutzung und Verbesserung der Lösung), der Art der betroffenen personenbezogenen Daten (keine sensiblen Daten), der begrenzten Folgen der Weiterverarbeitung für die betroffenen Personen und der Existenz angemessener Garantien, die wir im Rahmen dieser Verarbeitung umsetzen.

2.5. Anwendungsbereich. Diese Erklärung regelt nur die Verarbeitungen, die wir als Verantwortlicher durchführen. Die Verarbeitungen, die wir als Auftragsverarbeiter durchführen, werden durch die den Allgemeinen Geschäftsbedingungen beigefügte Vereinbarung über die Verarbeitung personenbezogener Daten geregelt.

Artikel 3 - Welche personenbezogenen Daten erheben wir?

3.1. Die personenbezogenen Daten, die wir erheben, sind die folgenden:

• Wenn Sie unser Interessent oder ein Kunde sind: Identifikationsdaten Ihrer Geschäftskontakte und/oder gesetzlichen Vertreter (Name, Vorname, E-Mail-Adresse, gegebenenfalls Bild/Stimme, die während einer Demonstration der Lösung aufgezeichnet wurden);

• Wenn Sie ein Nutzer der Lösung sind: Identifikationsdaten (Name, Vorname, E-Mail-Adresse), Identitätsnachweis (Personalausweis, Reisepass, Wohnsitz- oder Aufenthaltsnachweis), Telefonnummer, Foto (Selfie oder Profilbild), wirtschaftliche und finanzielle Daten (Bankverbindung, finanzielle Situation, steuerliche Situation etc.), Verbindungsdaten und Daten im Audit-Log (IP-Adresse, Logs);

• Wenn Sie ein Dritter sind, betroffene Person, deren personenbezogene Daten von unseren Kunden und deren Nutzern über die Lösung verarbeitet werden: Identifikationsdaten (Name, Vorname, E-Mail-Adresse).

3.2. Wir achten darauf, dass die von uns erhobenen personenbezogenen Daten in Bezug auf den Zweck der Verarbeitung und ihre mögliche Verwendung relevant, angemessen und nicht übermäßig sind. Das bedeutet, dass nur die für die verfolgten Zwecke notwendigen Informationen erhoben und verarbeitet werden dürfen.

Artikel 4 - Warum und auf welcher Rechtsgrundlage verarbeiten wir Ihre personenbezogenen Daten?

4.1. Rechtsgrundlage. Die von Pennylane durchgeführten Verarbeitungen haben die in der Anlage 1 beschriebenen Rechtsgrundlagen. Wir verarbeiten personenbezogene Daten nur auf der Grundlage einer Rechtsgrundlage:

• Wenn dies für die Erfüllung eines Vertrags mit der betroffenen Person oder dem ursprünglichen Verantwortlichen erforderlich ist (zum Beispiel unsere Auftragsverarbeiter, Kunden, Lieferanten);

• Wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder wenn wir ein berechtigtes Interesse haben, personenbezogene Daten im Rahmen unserer Tätigkeiten zu verwenden (zum Beispiel, wenn wir eine Verarbeitung durchführen, um unsere Kunden besser kennenzulernen und ihnen Werbeangebote zu senden).

• Wenn wir die informierte Einwilligung der betroffenen Person oder des Verantwortlichen erhalten haben, wenn dies ausdrücklich durch das Gesetz oder die geltende Richtlinie vorgeschrieben ist. Dies kann insbesondere der Fall sein, wenn keiner der anderen oben beschriebenen Rechtsgründe anwendbar ist und soweit dies nach geltendem Recht zulässig ist. Dies gilt für die Weiterverarbeitung, für die die Einwilligung des Verantwortlichen in den Bedingungen eingeholt wird.

4.2. Zwecke der Verarbeitungen. Die von Pennylane durchgeführten Verarbeitungen haben die in der Anlage 1 beschriebenen Zwecke. Die personenbezogenen Daten werden nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet.

4.3. Datenschutz-Folgenabschätzungen. Bevor wir personenbezogene Daten in einem neuen System oder im Rahmen eines neuen Projekts erheben, verwenden, speichern oder offenlegen, definieren wir sorgfältig die Zwecke dieser Verarbeitung und bewerten die Risiken für die Privatsphäre. Wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, führen wir vor ihrer Durchführung eine Datenschutz-Folgenabschätzung durch und sehen von der Verarbeitung ab, wenn diese Analyse eine Unvereinbarkeit mit den Grundsätzen der Geltenden Gesetzgebung ergibt.

4.4. Wir treffen keine vollständig automatisierten Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung einer betroffenen Person auf der Grundlage der Profilierung dieser Person, es sei denn, das geltende Recht, die Erfüllung eines Vertrags oder die Einwilligung der betroffenen Person erfordern oder erlauben dies, und es werden angemessene Garantien zum Schutz der Rechte der betroffenen Person eingerichtet. Wir verwenden Ihre über die Google Workspace API erhaltenen Daten nicht zur Erstellung, zum Training oder zur Verbesserung eines maschinellen Lernmodells oder künstlicher Intelligenz.

4.5. Wir verwenden Cookie-Technologien auf der Website, um uns die Bewertung und Verbesserung der Funktionen der Website und der Lösung zu ermöglichen. Wir können auch Cookies für Werbe- oder Analysezwecke verwenden, vorbehaltlich Ihrer Einwilligung und nach Ihrer Wahl, mithilfe unseres Cookie-Einstellungstools. Weitere Informationen darüber, wie wir Cookies verwenden, finden Sie in unserer Cookie-Richtlinie.

Artikel 5 - Wie lange speichern wir Ihre personenbezogenen Daten?

5.1. Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke, für die sie erhoben und verarbeitet wurden, erforderlich ist. Die von Pennylane angewandten Verarbeitungsdauern finden Sie in der Tabelle in Anlage 1. Nach Ablauf dieser Verarbeitungsdauern archivieren wir bestimmte Ihrer Daten für folgende Zwecke und Aufbewahrungsfristen:

• die Erfüllung unserer gesetzlichen, buchhalterischen und steuerlichen Aufbewahrungspflichten, d.h. 10 Jahre ab Ende des Geschäftsjahres;

• die Aufbewahrung von Nachweisen während der geltenden Verjährungsfristen, d.h. 5 Jahre ab Ende der in der Tabelle in Anlage 1 beschriebenen Verarbeitungsdauern.

5.2. Jeder Dritte, der personenbezogene Daten im Auftrag von Pennylane verarbeitet, wird diese nur so lange aufbewahren, wie es für die Zwecke, für die sie erhoben und verarbeitet wurden, und für andere kompatible Zwecke erforderlich ist, was einschließen kann:

• die Beteiligung an dem oben dargelegten anwendbaren Verarbeitungszweck von Pennylane;

• die Notwendigkeit, eine gesetzliche oder regulatorische Anforderung und die geltenden Verjährungsgesetze einzuhalten;

• die Verteidigung gegen rechtliche oder vertragliche Ansprüche (in diesem Fall können personenbezogene Daten bis zum Ende der entsprechenden Verjährungsfrist oder gemäß den geltenden Richtlinien für streitbedingte Aufbewahrung aufbewahrt werden).

5.3. Es werden alle angemessenen Maßnahmen getroffen, damit die personenbezogenen Daten in jeder Phase ihrer Verarbeitung in ausreichend genauer und aktueller Form aufbewahrt werden.

5.4. Wir ermutigen die betroffenen Personen, uns bei der Aktualisierung ihrer personenbezogenen Daten zu unterstützen, indem sie ihre Rechte, insbesondere auf Auskunft und Berichtigung, ausüben.

Artikel 6 - Wie sichern wir Ihre Daten?

6.1. Wir schützen die erhobenen, verwendeten, gespeicherten und offengelegten personenbezogenen Daten durch Einhaltung der technischen und organisatorischen Maßnahmen, die erforderlich sind, um ihre Sicherheit, Integrität und absolute Vertraulichkeit zu gewährleisten. Es werden technische und organisatorische Maßnahmen nach Industriestandard implementiert, um jede versehentliche oder unrechtmäßige Zerstörung oder Verlust, Änderung, unbefugte Offenlegung oder Zugriff oder jede andere Form unrechtmäßiger oder unbefugter Verarbeitung zu verhindern. Wir setzen diese Maßnahmen von den ersten Phasen der Konzeption der Verarbeitungsvorgänge an um, um von Anfang an die Grundsätze der Vertraulichkeit und des Datenschutzes zu schützen ("Privacy by Design"). Standardmäßig stellen wir sicher, dass personenbezogene Daten so verarbeitet werden, dass der Schutz der Privatsphäre gewährleistet ist (zum Beispiel durch Beschränkung ihrer Zugänglichkeit auf Personen, die Zugriff darauf benötigen müssen), sodass personenbezogene Daten nicht einer unbestimmten oder zu großen Anzahl von Personen zugänglich sind ("Privacy by Default").

6.2. Wir wählen Dienstleister und Partner aus, die ausreichende Garantien für die Umsetzung mindestens ebenso schützender technischer und organisatorischer Maßnahmen bieten.

6.3. Wir erstellen und bewahren die erforderliche Dokumentation auf, um die Einhaltung aller unserer Verpflichtungen aus der Geltenden Gesetzgebung nachzuweisen.

6.4. Wenn die Geltende Gesetzgebung dies vorsieht, benachrichtigen wir den Nutzer und jede betroffene Person sowie die zuständige Aufsichtsbehörde über jede Verletzung personenbezogener Daten innerhalb der gesetzlich vorgeschriebenen Fristen, nachdem wir davon Kenntnis erlangt haben. Wir verpflichten uns, technische und organisatorische Sicherheitsmaßnahmen zu implementieren, um die Auswirkungen jeder Verletzung personenbezogener Daten zu begrenzen und ihr Wiederauftreten zu verhindern.

6.5. Weitere Informationen über unsere Sicherheitsmaßnahmen finden Sie auf unserer dedizierten Seite.

Artikel 7 - Welche Rechte haben Sie als betroffene Person?

7.1. Wir reagieren auf Anfragen bezüglich Ihrer personenbezogenen Daten und geben Ihnen gemäß der Geltenden Gesetzgebung die Möglichkeit, auf Ihre personenbezogenen Daten zuzugreifen, sie zu korrigieren, einzuschränken und zu löschen. Wir ermöglichen Ihnen auch, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen und Ihr Recht auf Datenübertragbarkeit auszuüben.

7.2. Recht auf Auskunft. Wir gewähren Zugang zu allen personenbezogenen Daten einer betroffenen Person gemäß der Geltenden Gesetzgebung, zu den Zwecken der Verarbeitung, den Kategorien verarbeiteter personenbezogener Daten, den Kategorien von Empfängern, der Speicherdauer der Daten, den Rechten auf Berichtigung, Löschung oder Einschränkung der eingesehenen personenbezogenen Daten gegebenenfalls etc.

7.3. Recht auf Datenübertragbarkeit. Wir können auch eine Kopie aller personenbezogenen Daten, die wir speichern, in einem kompatiblen und strukturierten Format zur Verfügung stellen, um die Ausübung des Rechts auf Datenübertragbarkeit zu ermöglichen, soweit dies nach geltendem Recht relevant ist.

7.4. Recht auf Berichtigung. Betroffene Personen können uns auffordern, unvollständige, veraltete oder ungenaue personenbezogene Daten zu korrigieren, zu ändern oder zu löschen.

7.5. Recht auf Löschung. Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen, wenn (i) diese personenbezogenen Daten für die Zwecke der Datenverarbeitung nicht mehr erforderlich sind, (ii) die betroffene Person ihre Einwilligung zu der ausschließlich auf dieser Einwilligung beruhenden Verarbeitung widerrufen hat, (iii) die betroffene Person der Verarbeitung widersprochen hat, (iv) die Verarbeitung der personenbezogenen Daten unrechtmäßig ist oder (v) die personenbezogenen Daten gelöscht werden müssen, um eine für Pennylane geltende rechtliche Verpflichtung zu erfüllen. Die Löschung personenbezogener Daten eines Nutzers kann zu erheblichen Funktionsstörungen der Lösung führen.

7.6. Recht auf Einschränkung. Betroffene Personen können die Einschränkung ihrer personenbezogenen Daten verlangen, (i) wenn die Richtigkeit der personenbezogenen Daten bestritten wird, um Pennylane die Überprüfung dieser Richtigkeit zu ermöglichen, (ii) wenn die betroffene Person die personenbezogenen Daten lieber einschränken als löschen möchte, obwohl die Verarbeitung unrechtmäßig ist, (iii) wenn die betroffene Person möchte, dass Pennylane die personenbezogenen Daten aufbewahrt, da sie diese für ihre Verteidigung im Zusammenhang mit Ansprüchen benötigt, (iv) die betroffene Person der Verarbeitung widersprochen hat, aber Pennylane eine Überprüfung durchführt, um die berechtigten Gründe für eine solche Verarbeitung zu prüfen, die die Rechte der betroffenen Person überwiegen können.

7.7. Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person basiert, kann diese ihre Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

7.8. Widerspruchsrecht. Die betroffene Person kann auch jederzeit der Verarbeitung ihrer personenbezogenen Daten widersprechen, wenn ihre Daten zu Marketingzwecken verwendet werden, um gezielte Werbung zu senden, oder der Weitergabe ihrer personenbezogenen Daten an Dritte widersprechen, oder wenn die Verarbeitung auf dem berechtigten Interesse von Pennylane beruht, es sei denn, letzteres weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

7.9. Digitales Erbe. Betroffene Personen haben das Recht, Richtlinien (allgemeine oder spezifische) bezüglich der Verwendung ihrer personenbezogenen Daten nach ihrem Tod festzulegen.

7.10. Zur Ausübung dieser Rechte verwenden Sie bitte die oben angegebenen Kontaktdaten unseres DSB. Sie haben auch das Recht, bei der zuständigen Aufsichtsbehörde für personenbezogene Daten Beschwerde einzulegen.

Artikel 8 - Mit wem teilen wir Ihre personenbezogenen Daten?

8.1. Interne Nutzung. Ihre personenbezogenen Daten können von unseren Mitarbeitern im Rahmen ihrer jeweiligen Zuständigkeiten und ausschließlich zur Erfüllung der in dieser Erklärung dargelegten Zwecke verarbeitet werden. In diesem Fall verpflichten sich unsere Mitarbeiter zur strengen Vertraulichkeit Ihrer personenbezogenen Daten.

8.2. Personenbezogene Daten werden nur dann an Dritte weitergegeben, wenn es eine rechtliche Rechtfertigung für diese Weitergabe gibt (z.B. die betroffene Person hat ihre Einwilligung gegeben, die Offenlegung ist zur Erfüllung eines Vertrags erforderlich, Pennylane verfolgt einen legitimen Zweck, der die Grundrechte der betroffenen Person, einschließlich des Rechts auf Privatsphäre, nicht verletzt). Die Offenlegung erfolgt auf der Grundlage eines streng begrenzten "Need-to-know"-Prinzips in Bezug auf die Rechtsgrundlage. Wenn eine Offenlegung erforderlich ist, um einer rechtlichen Verpflichtung nachzukommen (zum Beispiel gegenüber einer Regierungsbehörde oder einer Polizei-/Sicherheitsbehörde) oder im Rahmen eines Gerichtsverfahrens, können personenbezogene Daten in der Regel zur Verfügung gestellt werden, solange die Offenlegung auf das gesetzlich Erforderliche beschränkt ist und, wenn das Gesetz es erlaubt, die betroffene Person über die Situation informiert wurde.

8.3. Auftragsverarbeiter. Wir verlassen uns auf führende Dienstleister der Branche für die Verwaltung von Servern, Hosting und Infrastruktur (Amazon Web Services). Die von diesen Dienstleistern genutzten Server befinden sich in Dublin, Irland. Diese Hosting-Dienste bieten branchenführende Skalierbarkeit, Datenverfügbarkeit, Sicherheit und Leistung mit einem dokumentierten Business-Continuity-Plan. Im Rahmen der in dieser Erklärung dargelegten Zwecke nutzen wir auch die Dienstleistungen mehrerer auf Kundenbeziehungsmanagement (z.B. Salesforce, Modjo), E-Mail-Kampagnen (z.B. Customer.io, Outreach), Datenbankverwaltung (Metabase, Amplitude, Segment, Stitch), interne Kommunikations- und Dokumentationstools (z.B. Google, Notion, Slack), Produktverbesserungstools (z.B. Maze, Screeb), Anwendungsüberwachungs- und Leistungsanalysetools (z.B. Datadog)(unvollständige Liste).

8.4. Grenzüberschreitende Übermittlung. Um die in dieser Richtlinie beschriebenen Verarbeitungszwecke zu gewährleisten, kann Pennylane Dienstleister außerhalb der Europäischen Union in Anspruch nehmen. Wenn die Übermittlung in ein Drittland erfolgt, in dem die Gesetzgebung nicht als angemessenes Schutzniveau für personenbezogene Daten anerkannt wurde, stellt Pennylane sicher, dass gemäß der geltenden Gesetzgebung angemessene Maßnahmen ergriffen werden, insbesondere dass, wenn erforderlich, Standardvertragsklauseln oder gleichwertige Ad-hoc-Klauseln in den zwischen Pennylane und dem nachgeordneten Auftragsverarbeiter geschlossenen Vertrag aufgenommen werden.

8.5. Schließlich kann Pennylane im Rahmen gerichtlicher Anforderungen zur Übermittlung personenbezogener Daten an die zuständigen Verwaltungs- und Justizbehörden verpflichtet sein.

8.6. Hyperlinks. Die Lösung und die Website können Hyperlinks zu Websites von Dritten enthalten (insbesondere zu sozialen Netzwerken und Handelspartnern). Bitte beachten Sie, dass beim Folgen dieser Links die bereitgestellten Websites und Dienste deren eigenen Nutzungsbedingungen und Datenschutzrichtlinien unterliegen. Wir können in keiner Weise für die Nichteinhaltung ihrer Nutzungsbedingungen und Datenschutzrichtlinien mit der geltenden Gesetzgebung verantwortlich gemacht werden. Wir empfehlen Ihnen, die für diese Websites geltenden Datenschutzrichtlinien und Nutzungsbedingungen zu lesen, bevor Sie Ihre personenbezogenen Daten bereitstellen und diese Websites nutzen.

Artikel 9 - Wie behandeln wir Beschwerden?

9.1. Pennylane verpflichtet sich, berechtigte Datenschutzprobleme der betroffenen Personen zu lösen. Wir prüfen alle Beschwerden über potenzielle oder tatsächliche Verstöße gegen diese Richtlinie oder die geltende Gesetzgebung, die uns zur Kenntnis gebracht werden, und ergreifen alle angemessenen Maßnahmen, um deren Auswirkungen zu begrenzen.

9.2. Wenn eine betroffene Person eine Beschwerde bezüglich der Verarbeitung ihrer personenbezogenen Daten oder der einer anderen Person einreicht und die Beschwerde nicht zufriedenstellend gelöst wird, wird Pennylane mit den zuständigen Datenschutzaufsichtsbehörden zusammenarbeiten und deren Empfehlungen zur Lösung ausstehender Beschwerden befolgen. Wenn Pennylane oder die Datenschutzaufsichtsbehörden feststellen, dass Pennylane oder einer oder mehrere seiner Mitarbeiter diese Richtlinie nicht eingehalten haben, wird Pennylane geeignete Maßnahmen ergreifen, um die Auswirkungen dieser Nichteinhaltung zu beheben und die künftige Einhaltung zu fördern.

Artikel 10 - Anwendung und Änderung dieser Richtlinie

10.1. Pennylane behält sich das Recht vor, diese Richtlinie zu ändern, zu ergänzen oder zu aktualisieren, um rechtliche, regulatorische, juristische und/oder technische Entwicklungen zu berücksichtigen. Bei wesentlichen Änderungen der Bestimmungen dieser Richtlinie (d.h. in Bezug auf Rechtsgrundlagen, Verarbeitungszwecke oder die Ausübung von Rechten) verpflichtet sich Pennylane, seine Kunden mindestens dreißig (30) Tage vor deren Inkrafttreten schriftlich zu informieren. Jeder Zugriff und jede Nutzung der Lösung nach Ablauf dieser Frist unterliegt den Bedingungen der neuen Richtlinie. Jede betroffene Person, deren personenbezogene Daten dieser Richtlinie unterliegen, erkennt an, dass die einzige verbindliche Version der Richtlinie diejenige ist, die online verfügbar ist.

10.2. Durch den Besuch der Website, die Kontaktaufnahme mit Pennylane, die Erstellung eines Kundenkontos oder Benutzerkontos und allgemein durch die Nutzung der Lösung akzeptieren Sie die in dieser Richtlinie genannten Bedingungen.

Anlage 1 - Übersichtstabelle der Verarbeitungszwecke, Rechtsgrundlagen und entsprechenden Aufbewahrungsfristen von Pennylane