Datenschutzerklärung
für das SaaS-Tool „360-Feedback.io"
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unser SaaS-Tool „360-Feedback.io" nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
Datenerfassung in unserem Tool
Wer ist verantwortlich für die Datenerfassung?
Die Datenverarbeitung erfolgt durch den Tool-Betreiber. Die Kontaktdaten finden Sie im Abschnitt „Hinweis zur verantwortlichen Stelle".
Wie erfassen wir Ihre Daten?
Einerseits durch Ihre Eingabe (z. B. bei der Registrierung oder Abgabe von Feedback). Andererseits automatisch durch unsere IT-Systeme (technische Protokolldaten wie IP-Adresse oder Browserversion).
Wofür nutzen wir Ihre Daten?
Zur Bereitstellung des Tools, zur Analyse der Systemsicherheit und – sofern eingewilligt – zur Analyse des Nutzerverhaltens für Marketingzwecke (Retargeting).
2. Verantwortliche Stelle und allgemeine Pflichtinformationen
Verantwortliche Stelle
Ihre Rechte als betroffene Person
Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde.
3. Spezifische Datenverarbeitung im Rahmen von 360°-Feedback
Wir verarbeiten Daten in zwei unterschiedlichen Rollen:
- ·Als Auftragsverarbeiter: Wenn Ihr Arbeitgeber oder ein Partnerunternehmen unser Tool nutzt, ist dieses Unternehmen der Verantwortliche. Wir verarbeiten die Daten streng nach dessen Weisung.
- ·Als Verantwortlicher: Für die Verwaltung Ihres Nutzer-Accounts sowie für unsere eigenen Marketing-Aktivitäten.
| Datenkategorie | Zweck | Rechtsgrundlage | Speicherort |
|---|---|---|---|
| Account-Daten Login, Name |
Bereitstellung des Dienstes | Art. 6 Abs. 1 lit. b DSGVO | AWS Frankfurt (EU) |
| Feedback-Geber-Daten | Durchführung des Prozesses | Art. 6 Abs. 1 lit. f/a DSGVO | AWS Frankfurt (EU) |
| KI-Analysedaten Freitexte |
Automatisierte Auswertung | Art. 6 Abs. 1 lit. f DSGVO | AWS Frankfurt (EU) |
| Zahlungsdaten | Abwicklung von Abonnements | Art. 6 Abs. 1 lit. b DSGVO | Stripe (EU/USA) |
| Marketingdaten | Retargeting & Analyse | Art. 6 Abs. 1 lit. a DSGVO | Diverse (EU/USA) |
Vertraulichkeit und Sichtbarkeit (Anonymität)
Um ein ehrliches Feedback zu ermöglichen, gelten folgende Sichtbarkeitsregeln:
- ·Anonymitäts-Schwellenwert: Die Ergebnisse einer bestimmten Feedback-Gruppe (z. B. „Fachteam" oder „Führungskräfte") werden im Bericht erst angezeigt, wenn mindestens 3 Personen aus dieser Gruppe Feedback abgegeben haben. Liegt die Anzahl darunter, werden die Daten mit anderen Gruppen zusammengefasst oder ausgeblendet, um Rückschlüsse auf einzelne Feedback-Geber auszuschließen.
- ·Feedback-Empfänger: Erhält das Feedback in aggregierter Form. Die Identität der einzelnen Feedback-Geber wird gegenüber dem Empfänger nicht offengelegt. Der Feedback-Empfänger hat keinen direkten Systemzugriff auf seine Berichte; die Ergebnisse werden ihm in einem persönlichen Entwicklungsgespräch durch Führungskräfte oder die Personalabteilung vermittelt.
- ·Freitext-Antworten: Qualitative Freitext-Antworten sind im System ausschließlich für die Personalabteilung und Führungskräfte einsehbar. Bevor Freitexte an den Feedback-Empfänger weitergegeben werden (z. B. als Handout), werden sie durch diese Personen gesichtet und moderiert, um die Identität der Feedback-Geber zu schützen.
- ·Administratoren & Management: Systemrelevante Rollen auf Kundenseite (z. B. HR-Administratoren) sowie unsere Systemadministratoren können technisch in der Lage sein, die Zuordnung von Feedback einzusehen (Pseudonymität). Dies dient ausschließlich der Qualitätssicherung und dem technischen Support.
4. Einsatz von Künstlicher Intelligenz (KI) zur Feedback-Analyse
Zur effizienten Auswertung großer Mengen an Freitexten nutzt unser Tool KI-gestützte Analyse-Funktionen (z. B. Zusammenfassungen).
- ·Technologie & Anbieter: Wir nutzen hierfür Modelle (z. B. Anthropic Claude) über die Plattform Amazon Web Services (AWS) Bedrock.
- ·Serverstandort: Die Verarbeitung der KI-Anfragen erfolgt ausschließlich auf Servern in der Region Frankfurt am Main (Deutschland). Die Daten verlassen den Rechtsraum der EU zu keinem Zeitpunkt.
- ·Kein KI-Training: Wir nutzen die kommerzielle API-Schnittstelle. Mit dem Anbieter ist vertraglich vereinbart, dass die übermittelten Daten nicht zum Training der allgemeinen KI-Modelle verwendet werden. Ihre Daten bleiben isoliert und werden nach der Analyse nicht dauerhaft bei den KI-Sub-Providern gespeichert.
- ·Inhalt der Daten: Da die KI Freitexte analysiert, werden alle Informationen verarbeitet, die Sie im Feedback-Feld eingeben (ggf. auch Namen).
5. Zahlungsdienstleister (Stripe)
Wir nutzen Stripe zur Abwicklung von Zahlungen. Anbieter für die EU ist die Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
- ·Daten: Kreditkartendaten, Rechnungsadresse und Transaktionsbetrag werden direkt an Stripe übermittelt. Wir speichern keine vollständigen Zahlungsinformationen.
- ·Rechtsgrundlage: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.
- ·Sicherheit: Stripe ist nach dem EU-U.S. Data Privacy Framework zertifiziert.
Details zum Datenschutz bei Stripe: stripe.com/de/privacy
6. Marketing, Cookies und Retargeting
Sofern Sie beim Betreten des Tools Ihre Einwilligung gegeben haben, nutzen wir Cookies und Tracking-Technologien (z. B. Pixel), um:
- ·Die Nutzung unseres Tools zu analysieren.
- ·Ihnen auf Drittplattformen (z. B. LinkedIn, Google) relevante Werbung anzuzeigen (Retargeting).
Widerruf: Sie können Ihre Einwilligung jederzeit in den Cookie-Einstellungen Ihres Browsers oder innerhalb Ihres Accounts für die Zukunft widerrufen.
7. Hosting und technische Protokollierung
Server-Log-Dateien
Der Provider erhebt automatisch Informationen in Log-Dateien (IP-Adresse, Browsertyp, Zeitstempel). Diese sind für den sicheren Betrieb technisch zwingend erforderlich (Art. 6 Abs. 1 lit. f DSGVO).
Cookies
Wir verwenden technisch notwendige Cookies, um Ihren Login-Status zu verwalten. Ohne diese ist die Nutzung des Tools nicht möglich.
8. Datenspeicherung und Löschung
Aufbewahrungsfristen
- ·Feedback-Daten während der Vertragslaufzeit: Feedback-Berichte, Skalenwerte und Freitext-Antworten werden während der gesamten Vertragslaufzeit im System aufbewahrt, um die persönliche Entwicklung über mehrere Feedback-Zyklen hinweg sichtbar zu machen. Die Löschung einzelner Zyklen oder Datensätze kann jederzeit durch den Administrator (Personalabteilung) auf Kundenseite vorgenommen werden.
- ·Account-Daten: Ihre Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt oder Sie Ihr Konto löschen.
- ·90-Tage-Frist nach Vertragsende: Nach Beendigung des SaaS-Vertrages halten wir sämtliche Mandantendaten für 90 Tage im Status „inaktiv" vor, um eine Reaktivierung des Accounts zu ermöglichen. Danach erfolgt die vollständige und unwiderrufliche Löschung aller Daten des Mandanten.
- ·Backups: Sicherungskopien auf unseren Servern werden verschlüsselt gespeichert und spätestens nach 30 Tagen im Rahmen der rollierenden Löschung vernichtet.
Löschkonzept
- ·Löschung durch den Arbeitgeber: Der Arbeitgeber ist im Rahmen der Auftragsverarbeitung der datenschutzrechtlich Verantwortliche. Er kann über die Tool-Administration (Organisations-Administrator) jederzeit einzelne Feedback-Empfänger, komplette Feedback-Zyklen oder Nutzerdaten löschen.
- ·Löschung auf Wunsch Einzelner: Wenn Sie als betroffene Person Ihr Recht auf Löschung (Art. 17 DSGVO) geltend machen möchten, wenden Sie sich bitte an Ihren Arbeitgeber bzw. die zuständige Personalabteilung, da diese als Verantwortlicher über die Löschung entscheidet. Der Arbeitgeber kann die Löschung anschließend direkt im Tool durchführen.
- ·Ausscheiden aus dem Unternehmen: Beim Ausscheiden eines Mitarbeitenden sollten dessen personenbezogene Feedback-Daten durch den Arbeitgeber anonymisiert oder gelöscht werden.