Kurzfassung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Plattform. Die wichtigsten Punkte im Überblick:

• Doppelrolle: Wir treten als Verantwortlicher für Ihre Nutzerdaten (Account, Abrechnung) und als Auftragsverarbeiter für die Testpersonendaten auf, die Sie in die Plattform eingeben. Sie bleiben Verantwortlicher für Ihre Testpersonen.
• Drittlandübermittlungen: Für bestimmte Funktionen (Auto-Extraktion, E-Mail-Versand) erfolgt eine Datenverarbeitung in den USA mit Standardvertragsklauseln.
• Ihre Pflichten: Sie müssen gegenüber Ihren Testpersonen eine eigene Datenschutzerklärung bereitstellen und erforderliche Einwilligungen einholen (insbesondere bei Gesundheitsdaten nach Art. 9 DSGVO).
• AVV verfügbar: Als Hauptnutzer eines Team-Plans können Sie im Accountbereich einen Auftragsverarbeitungsvertrag (AVV) elektronisch abschließen.
• Löschung: Nach Vertragsende werden alle Daten nach 30 Tagen unwiderruflich gelöscht. Exportieren Sie Ihre Daten vorher!

I. Verantwortliche Stelle

Verantwortliche Stelle im Sinne der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Fabio Leonardo Kunze
geschäftlich handelnd unter der Bezeichnung Psymetrika
August-Siebke-Str. 22
13127 Berlin

Kontakt:
E-Mail: kontakt@t-m-p.de
Telefon: +49/176 836 91433

TEIL A: WIR ALS VERANTWORTLICHER

In diesem Teil geht es um die Verarbeitung Ihrer eigenen Daten als Nutzer unserer Plattform (Account-Daten, Abrechnungsdaten, Nutzungsstatistiken). Für diese Daten sind wir Verantwortlicher im Sinne der DSGVO.

II. Allgemeines zur Datenverarbeitung

1. Umfang der Verarbeitung personenbezogener Daten

Die Verarbeitung von personenbezogenen Daten erfolgt grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website einschließlich sämtlicher Inhalte, Funktionen und Leistungen erforderlich ist. Eine Verarbeitung erfolgt entweder aufgrund der Einwilligung der betroffenen Person oder einer anderen gesetzlichen Rechtsgrundlage.

2. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

• Art. 6 Abs. 1 lit. a DSGVO dient als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen.
• Art. 6 Abs. 1 lit. b DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
• Art. 6 Abs. 1 lit. c DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
• Art. 6 Abs. 1 lit. f DSGVO dient als Rechtsgrundlage für die Verarbeitung, soweit diese zur Wahrung unserer berechtigten Interessen erforderlich ist und nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

3. Datenlöschung und Speicherdauer

Personenbezogene Daten werden grundsätzlich nur solange gespeichert, wie der Zweck der Speicherung besteht. Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine längere Speicherung kann erfolgen, wenn dies durch gesetzliche Vorschriften vorgesehen ist oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

III. Bereitstellung der Website und Erstellung von Logfiles

1. Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

Folgende Daten werden hierbei erhoben:

• Informationen über den Browsertyp und die verwendete Version
• IP-Adresse des Nutzers
• Das Betriebssystem des Nutzers
• Den Internet-Service-Provider des Nutzers
• Datum und Uhrzeit des Zugriffs
• Websites, von denen das System des Nutzers auf unsere Website gelangt
• Websites, die vom System des Nutzers über unsere Website aufgerufen werden

Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Nicht hiervon betroffen sind die IP-Adressen des Nutzers. Eine Speicherung der IP-Adressen zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

2. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO.

3. Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Internetseite an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

4. Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind; Error-Logfiles werden nach 7 Tagen und Access-Logfiles nach 60 Tagen gelöscht.

5. Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Internetseite und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

IV. Verwendung von Cookies

1. Beschreibung und Umfang der Datenverarbeitung

Unsere Website verwendet ausschließlich technisch notwendige Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser speichert.

Folgende technisch notwendige Cookies werden verwendet:

• Session-Cookies zur Aufrechterhaltung der Session
• Cookies zur Aufrechterhaltung der Anmeldung
• Cookies zur Beibehaltung einer Preisauswahl
• Cookies von Vimeo im „Do Not Track"-Modus für eingebettete Videos im Hilfe- und Anleitungsbereich

2. Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO.

3. Zweck der Datenverarbeitung

Technisch notwendige Cookies dienen dazu, die Nutzung unserer Website zu ermöglichen und zu erleichtern. Einige Funktionen unserer Website können ohne den Einsatz von Cookies nicht angeboten werden. Die Vimeo-Cookies ermöglichen die Darstellung von Video-Anleitungen.

4. Speicherdauer und Widerspruchsmöglichkeit

Session-Cookies werden automatisch gelöscht, wenn Sie Ihren Browser schließen. Persistente Cookies werden nach ihrer vorgegebenen Laufzeit automatisch gelöscht.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und einzeln über deren Annahme entscheiden oder Cookies grundsätzlich ausschließen.

V. Registrierung und Benutzerkonto

1. Beschreibung und Umfang der Datenverarbeitung

Bei der Registrierung auf unserer Website werden folgende Daten erhoben:

• Benutzername (Pflichtangabe)
• E-Mail-Adresse (Pflichtangabe)
• Passwort (verschlüsselt gespeichert)
• Name/Bezeichnung (optional)
• Weitere Profildaten (optional)

2. Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, da die Registrierung zur Erfüllung eines Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.

3. Zweck der Datenverarbeitung

Die Registrierung ist erforderlich, um bestimmte Inhalte und Leistungen auf unserer Website anzubieten und Ihnen ein personalisiertes Nutzererlebnis zu ermöglichen.

4. Speicherdauer

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist der Fall, wenn Sie Ihr Benutzerkonto löschen.

VI. E-Mail-Kontakt

1. Beschreibung und Umfang der Datenverarbeitung

Bei der Kontaktaufnahme per E-Mail werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Name (falls angegeben)
• Inhalt der Nachricht
• Datum und Uhrzeit der Kontaktaufnahme

2. Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung und Beantwortung Ihrer Anfrage.

3. Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten dient der Bearbeitung der Kontaktaufnahme.

4. Speicherdauer

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist dann der Fall, wenn die jeweilige Konversation beendet ist.

TEIL B: WIR ALS AUFTRAGSVERARBEITER

In diesem Teil geht es um die Testpersonendaten, die Sie als Nutzer in die Plattform eingeben. Für diese Daten treten wir als Auftragsverarbeiter auf – Sie bleiben Verantwortlicher im Sinne der DSGVO.

VII. Nutzung der SaaS-Dienste und Testpersonendaten

1. Beschreibung und Umfang der Datenverarbeitung

Bei der Nutzung unserer SaaS-Dienste verarbeiten wir folgende Daten:

Bestandsdaten (wir als Verantwortliche):

• E-Mail-Adresse
• Name/Bezeichnung
• Kontaktdaten
• Abrechnungsdaten

Nutzungsdaten und Testpersonendaten (wir als Auftragsverarbeiter):

• Erstelle Tests und Testinhalte
• Testpersonendaten (verschlüsselt mit AES-256)
• Testergebnisse (verschlüsselt mit AES-256)
• Nutzungsstatistiken
• Zugriffsprotokolle

2. Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Vertragserfüllung und Art. 6 Abs. 1 lit. f DSGVO für die Systemsicherheit.

3. Zweck der Datenverarbeitung

Die Datenverarbeitung erfolgt zur Bereitstellung der SaaS-Dienste, zur Abrechnung, zum Support und zur Systemsicherheit.

4. Besondere Hinweise zu Testdaten und Ihrer Verantwortung

Wichtiger Hinweis: Unsere Plattform ist eine Test-Management-Plattform zur Entwicklung und Verwaltung von psychologischen Tests und kein Medizinprodukt. Als Nutzer sind Sie selbst dafür verantwortlich, die datenschutzrechtlichen Bestimmungen gegenüber Ihren Testpersonen einzuhalten.

Alle Testdaten und Testpersonendaten werden verschlüsselt gespeichert (AES-256) und sind nur für Sie und berechtigte Teammitglieder zugänglich.

5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Wichtiger Hinweis zu Gesundheitsdaten: Psychologische Tests können besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO erheben, insbesondere Gesundheitsdaten (z.B. psychische Befindlichkeit, Krankheiten).

Als Nutzer sind Sie verpflichtet, von Ihren Testpersonen eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO einzuholen oder eine andere Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO nachzuweisen (z.B. lit. h bei Gesundheitsversorgung). Sie sind hierfür allein verantwortlich.

Wir verarbeiten diese Daten ausschließlich auf Ihre Weisung als Auftragsverarbeiter.

6. Bildverarbeitung bei Papiertests

Wenn Sie die Auswertungsfunktion für Papiertests nutzen, werden hochgeladene Bilder (Fotos oder Scans ausgefüllter Tests) ausschließlich zur Markierungserkennung (OMR - Optical Mark Recognition) verarbeitet.

Wichtig: Es erfolgt keine Textextraktion (OCR). Die Bilder werden temporär gespeichert und nach erfolgreicher Verarbeitung (typischerweise innerhalb weniger Minuten) automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

VIII. Team-Funktionen

1. Beschreibung und Umfang der Datenverarbeitung

Bei der Nutzung der Team-Funktionen (nur Team-Plan) werden zusätzlich verarbeitet:

• ID-Codes der Teammitglieder (Pflichtangabe für Login-Zugang)
• E-Mail-Adressen der Teammitglieder (optional – nur erforderlich, wenn Benachrichtigungsfunktionen genutzt werden sollen)
• Berechtigungen und Rollen (rollenbasiertes Berechtigungssystem)
• Zuordnungen (Zuständigkeiten für Testpersonen, Testbegleitungen)
• Aktivitätsprotokolle innerhalb des Teams

Wichtiger Hinweis: Jedes Teammitglied erhält einen eigenen ID-Code, der zum Login genutzt werden kann. Die Angabe einer E-Mail-Adresse ist optional und nur erforderlich, wenn ein Teammitglied Benachrichtigungsfunktionen verwenden möchte.

2. Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung.

3. Zweck der Datenverarbeitung

Die Verarbeitung erfolgt zur Verwaltung und Koordination der Team-Funktionen sowie zur Zugangskontrolle und Nachvollziehbarkeit von Änderungen.

4. Archivierung und Löschung von Teammitgliedern

Als Hauptnutzer (Administrator) können Sie Teammitglieder archivieren oder löschen:

Archivierung (reversibel):

• Teammitglied wird deaktiviert, kann sich nicht mehr einloggen
• Zugehörige Testpersonen werden archiviert
• Abgeschlossene Tests bleiben erhalten
• Nicht abgeschlossene Tests werden gelöscht
• Wiederherstellung ist möglich

Löschung (permanent):

• Teammitglied-Account wird unwiderruflich gelöscht
• Alle zugehörigen Testpersonen werden gelöscht
• Alle nicht abgeschlossenen Tests werden gelöscht
• Abgeschlossene Tests bleiben erhalten
• Testbegleitungen bei Tests anderer Teammitglieder werden auf den Zuständigen übertragen
• Keine Wiederherstellung möglich

IX. Auftragsverarbeitung und AVV

1. Unsere Rolle als Auftragsverarbeiter

Soweit Sie als Nutzer Testpersonendaten in die Plattform eingeben, treten wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf. Sie bleiben Verantwortlicher für diese Daten und müssen Ihren datenschutzrechtlichen Verpflichtungen gegenüber Ihren Testpersonen nachkommen.

2. Verfügbarkeit eines Auftragsverarbeitungsvertrags (AVV)

Als Hauptnutzer eines Team-Plans können Sie im Einstellungs-/Accountbereich einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO elektronisch abschließen. Eine handschriftliche Unterschrift ist nicht erforderlich.

Der AVV regelt die Details der Auftragsverarbeitung, einschließlich:

• Art und Zweck der Verarbeitung
• Kategorien verarbeiteter Daten
• Technische und organisatorische Maßnahmen (TOMs)
• Subunternehmer und deren Standorte
• Pflichten beider Parteien

3. Ihre Pflichten als Verantwortlicher

Als Verantwortlicher für die Testpersonendaten sind Sie verpflichtet:

• Eine eigene Datenschutzerklärung gegenüber Ihren Testpersonen bereitzustellen
• Erforderliche Einwilligungen einzuholen (insbesondere bei besonderen Kategorien nach Art. 9 DSGVO wie Gesundheitsdaten)
• Ihre Testpersonen über die Weitergabe der Daten an uns als Auftragsverarbeiter zu informieren
• Ihre Testpersonen über die Subunternehmer (insbesondere Drittlandübermittlungen) zu informieren
• Die Betroffenenrechte Ihrer Testpersonen zu ermöglichen (Auskunft, Berichtigung, Löschung etc.)
• Regelmäßig Daten zu exportieren und eigene Backups anzulegen

4. Subunternehmer

Wir setzen folgende Subunternehmer ein, mit denen jeweils ein AVV nach Art. 28 DSGVO besteht:

• Hetzner Online GmbH (Hosting, Standort: Deutschland) – Serverstandort Falkenstein
• Stripe Payments Europe, Ltd. (Zahlungsabwicklung, Standort: Irland)
• Anthropic, PBC (KI-gestützte Auto-Extraktion, Standort: USA) – nur bei Nutzung dieser optionalen Funktion
• Railsware LLC / Mailtrap (E-Mail-Versand, Standort: USA)

Für Datenübermittlungen in Drittländer (USA) bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

5. Unterstützung bei Betroffenenrechten

Wir unterstützen Sie als Verantwortlichen bei der Erfüllung der Betroffenenrechte Ihrer Testpersonen durch Bereitstellung technischer Funktionen:

• Auskunft (Art. 15 DSGVO): Export-Funktionen verfügbar
• Berichtigung (Art. 16 DSGVO): Sie können Daten jederzeit bearbeiten
• Löschung (Art. 17 DSGVO): Sie können Daten jederzeit löschen
• Einschränkung (Art. 18 DSGVO): Archivierungsfunktion verfügbar
• Datenübertragbarkeit (Art. 20 DSGVO): Export in strukturierten Formaten (PDF, Excel/CSV)

Anfragen von Testpersonen leiten wir an Sie als Verantwortlichen weiter.

TEIL C: TECHNISCHE INFRASTRUKTUR UND DRITTANBIETER

In diesem Teil informieren wir Sie über die technische Infrastruktur und die von uns eingesetzten Drittanbieter.

X. Zahlungsabwicklung

1. Stripe

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe. Bei der Auswahl von Stripe als Zahlungsmethode werden Ihre Zahlungsdaten direkt an Stripe übermittelt. Wir speichern keine Zahlungsdaten auf unseren Servern.

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: https://stripe.com/de/privacy

Auftragsverarbeitungsvertrag: Mit Stripe wurde ein AVV gemäß Art. 28 DSGVO abgeschlossen.

XI. E-Mail-Versand

1. Mailtrap

Für den Versand von transaktionalen System-E-Mails (z.B. Benachrichtigungen über Testabschlüsse, Passwort-Resets) nutzen wir Mailtrap.

Anbieter: Mailtrap, Railsware LLC, Delaware, USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Datenschutzerklärung: https://mailtrap.io/privacy-policy

Auftragsverarbeitungsvertrag: Mit Mailtrap wurde ein AVV gemäß Art. 28 DSGVO abgeschlossen.

Drittlandübermittlung: Die Datenverarbeitung erfolgt in den USA. Es bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO zur Absicherung des Datenschutzniveaus.

XII. Hosting und technische Infrastruktur

1. Hetzner

Unsere Website wird bei Hetzner gehostet. Alle Daten werden ausschließlich auf Servern in Deutschland (Rechenzentrum Falkenstein) gespeichert. Das Rechenzentrum ist nach ISO/IEC 27001 zertifiziert.

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Hosting)

Datenschutzerklärung: https://www.hetzner.com/de/legal/privacy-policy

Auftragsverarbeitungsvertrag: Mit Hetzner wurde ein AVV gemäß Art. 28 DSGVO abgeschlossen.

Verschlüsselung: Alle sensiblen Daten (Testpersonendaten, Testergebnisse) werden mit AES-256 verschlüsselt gespeichert. Passwörter werden mit Bcrypt gehasht.

XIII. KI-Dienste

1. Claude (Anthropic) – Auto-Extraktion

Für die optionale Auto-Extraktions-Funktion nutzen wir die API von Anthropic (Claude). Diese Funktion kann ausschließlich bei der Testentwicklung verwendet werden, d.h. als Hilfsmittel zur Digitalisierung von Tests (Extraktion von Fragen, Skalen und Normtabellen aus Dokumenten).

Wichtig: Diese Funktion ist optional und wird nur bei Ihrer aktiven Nutzung aktiviert. Sie können die Plattform vollständig nutzen, ohne diese Funktion jemals zu verwenden.

Hierbei werden ausschließlich die von Ihnen hochgeladenen Testmaterialien (PDFs, Bilder) zur KI-gestützten Analyse an Anthropic übertragen. Die hochgeladenen Materialien werden spätestens 30 Tage nach dem Hochladen auf den Servern von Anthropic automatisch gelöscht.

Anbieter: Anthropic, PBC, USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: https://www.anthropic.com/legal/privacy

Auftragsverarbeitungsvertrag: Mit Anthropic wurde ein AVV gemäß Art. 28 DSGVO abgeschlossen.

Drittlandübermittlung: Die Datenverarbeitung erfolgt in den USA. Es bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO zur Absicherung des Datenschutzniveaus.

Besondere Garantien:

• Die übertragenen Daten werden von Anthropic nicht zur Verbesserung ihrer KI-Modelle verwendet
• Automatische Löschung nach maximal 30 Tagen
• Verschlüsselte Übertragung (TLS 1.2+)

Hinweis: Sie sind verpflichtet, die Ergebnisse der Auto-Extraktion zu überprüfen, da KI-basierte Verfahren Fehler enthalten können.

XIV. Web-Analytics

1. Umami

Wir nutzen Umami für die Analyse der Website-Nutzung. Umami ist eine datenschutzfreundliche Analytics-Software, die ohne personenbezogene Daten arbeitet.

Anbieter: Umami Software, Inc., USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Website-Nutzung zur Verbesserung des Angebots)

Besonderheiten:

• Umami sammelt keine persönlichen Daten
• Keine Tracking-Cookies
• Keine IP-Adress-Speicherung
• Vollständig anonyme Statistiken

Auftragsverarbeitungsvertrag: Nicht erforderlich, da ausschließlich anonyme Daten verarbeitet werden.

XV. Verschlüsselte Datenübertragung und Datensicherheit

1. Transportverschlüsselung

Alle Daten werden über eine verschlüsselte HTTPS-Verbindung (TLS 1.2 oder höher) übertragen. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und durch das Schloss-Symbol in Ihrer Browserzeile.

2. Speicherverschlüsselung

Sensible Daten werden verschlüsselt gespeichert:

• Testpersonendaten: AES-256-Verschlüsselung
• Testergebnisse: AES-256-Verschlüsselung
• Passwörter: Bcrypt-Hashing (irreversibel)

3. Datensicherung und Backups

Wir führen tägliche automatische Backups der Serverdaten durch, die 30 Tage aufbewahrt werden. Diese dienen der technischen Systemsicherheit und Wiederherstellung bei Serverausfällen.

Wichtiger Hinweis: Sie sind selbst für die Sicherung Ihrer wichtigen Daten verantwortlich und sollten regelmäßig die Export-Funktionen nutzen (PDF, Excel). Eine Wiederherstellung aus unseren Backups ist auf Anfrage möglich, kann jedoch kostenpflichtig sein und ist nicht garantiert.

Wir übernehmen keine Haftung für Datenverluste, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit unsererseits beruhen.

TEIL D: IHRE RECHTE UND LÖSCHUNG

In diesem Teil informieren wir Sie über Ihre Rechte als betroffene Person sowie über die Löschung Ihrer Daten.

XVI. Datenübertragung und -export

Sie können Ihre Daten jederzeit exportieren:

• PDF-Export: Testergebnisse mit Visualisierungen (verfügbar in allen Plänen)
• Excel-Export: Rohdaten, Berechnungen, Testpersonenlisten (verfügbar in Standard und Team Plan)
• CSV-Export: Strukturierte Daten für eigene Weiterverarbeitung

Der Export erfolgt in gängigen, maschinenlesbaren Formaten gemäß Art. 20 DSGVO (Recht auf Datenübertragbarkeit).

Empfehlung: Exportieren Sie Ihre Daten regelmäßig und insbesondere vor Beendigung des Vertrags!

XVII. Löschung nach Vertragsende

1. Automatische Löschung

Nach Beendigung des Vertrags (Kündigung oder Ablauf) wird Ihr Zugang zur Plattform gesperrt. Alle Nutzerdaten und Testpersonendaten werden nach einer Frist von 30 Tagen automatisch und unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Ausnahmen von der Löschung

Folgende Daten werden länger aufbewahrt, soweit gesetzliche Aufbewahrungspflichten bestehen:

• Rechnungen und Abrechnungsdaten: 10 Jahre (nach Steuerrecht)
• Geschäftskorrespondenz: 6 Jahre (nach Handelsrecht)

3. Export vor Vertragsende

Wichtiger Hinweis: Exportieren Sie Ihre Daten VOR Beendigung des Vertrags! Eine Wiederherstellung nach der automatischen Löschung ist nicht möglich.

Die 30-Tage-Frist dient ausschließlich dazu, Ihnen Zeit für den Export zu geben. Wir erinnern Sie per E-Mail an die bevorstehende Löschung.

4. Sofortige Löschung auf Wunsch

Sie können jederzeit eine sofortige Löschung aller Daten verlangen. Kontaktieren Sie uns hierzu unter kontakt@t-m-p.de.

XVIII. Rechte der betroffenen Person

Als betroffene Person haben Sie umfassende Rechte bezüglich Ihrer personenbezogenen Daten. Wir unterscheiden hier zwischen Ihren Rechten als Nutzer und den Rechten Ihrer Testpersonen.

A. Ihre Rechte als Nutzer (wir als Verantwortliche)

Bezüglich Ihrer eigenen Nutzerdaten (Account, Abrechnung etc.) haben Sie folgende Rechte:

1. Recht auf Auskunft (Art. 15 DSGVO)

Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Wir beantworten Auskunftsersuchen innerhalb von einem Monat.

2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Sie können die meisten Daten direkt in den Einstellungen bearbeiten.

3. Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Voraussetzungen des Art. 17 DSGVO erfüllt sind. Eine Account-Löschung ist jederzeit über die Einstellungen möglich.

4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen. Nutzen Sie hierzu die Archivierungsfunktion oder kontaktieren Sie uns.

5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Nutzen Sie hierzu die Export-Funktionen (PDF, Excel, CSV).

6. Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

7. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

B. Rechte Ihrer Testpersonen (Sie als Verantwortliche/r)

Wichtig: Für die Testpersonendaten, die Sie in die Plattform eingeben, sind Sie Verantwortlicher im Sinne der DSGVO. Das bedeutet:

• Ihre Testpersonen wenden sich mit Auskunftsersuchen, Löschanträgen etc. an Sie
• Sie müssen die Betroffenenrechte Ihrer Testpersonen erfüllen
• Wir unterstützen Sie dabei durch die Bereitstellung technischer Funktionen (siehe Abschnitt IX.5)
• Anfragen von Testpersonen, die direkt an uns gerichtet werden, leiten wir an Sie weiter

8. Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde für unseren Sitz:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
Telefon: 030 13889-0
E-Mail: mailbox@datenschutz-berlin.de

Hinweis: Wenn Sie Nutzer aus einem anderen Bundesland oder EU-Land sind, können Sie sich auch an Ihre örtlich zuständige Aufsichtsbehörde wenden.

9. Kontakt zur Geltendmachung Ihrer Rechte

Zur Geltendmachung Ihrer Rechte kontaktieren Sie uns bitte unter:

E-Mail: kontakt@t-m-p.de
Telefon: +49/176 836 91433
Post: Fabio Leonardo Kunze, August-Siebke-Str. 22, 13127 Berlin

XIX. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand von Dezember 2024.

Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Über wesentliche Änderungen werden Sie per E-Mail informiert. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website abgerufen und ausgedruckt werden.