Informationen zur Datenverarbeitung
im Hinblick auf die Nutzung der Software-as-a-Service Fortytools
Stand: Februar 2019
1. Verantwortlicher
Verantwortlich für die hier dargestellten Datenverarbeitungen im Rahmen der Nutzung der
SaaS-Anwendung Fortytools ist im Sinne des Art. 4 Nr. 7 DSGVO
fortytools GmbH
Hamburger Straße 3-5
22926 Ahrensburg
vertr. d. d. Geschäftsführer
Sebastian M. Gauck, Timo B. Kranz, Philipp E. Lederer, Stefan Kramer
Telefon: +49 (0)40 / 609 407 89-0
E-Mail: hi@fortytools.com
- Im Folgenden fortytools GmbH -
2. Datenschutzbeauftragter
Die fortytools GmbH ist nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Bitte
wenden Sie sich bei Fragen an den Verantwortlichen.
3. Gegenstand des Datenschutzes
Gegenstand des Datenschutzes sind personenbezogene Daten. Diese sind nach Art. 4 Nr. 1 DSGVO
Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen. Hierunter fallen
z.B. Angaben wie Namen, Postanschrift, E-Mail-Adresse oder Telefonnummer, ggf. aber auch
Nutzungsdaten wie beispielsweise die IP-Adresse.
4. Umfang und Zweck der Datenerhebung und -speicherung
Im Folgenden klären wir über den Umfang der Datenerhebung und -speicherung sowie -nutzung (im
Folgenden „Datenverarbeitung“, verwendet im Sinne des Art. 4 Nr. 2 DSGVO) und über den Zweck
der Datenverarbeitung im Rahmen der Nutzung der Software-as-a-Service Fortytools durch unsere
Kunden auf.
Bei Fortytools handelt es sich um eine Software-as-a-Service, auf die Sie mit Ihrem Webbrowser
zugreifen. Fortytools ist eine Verwaltungsmanagementsoftware („CRM“) speziell für
Dienstleistungsunternehmen und Handwerker, mit der Leistungen geplant, organisiert und
abgewickelt werden können.
5. Datenverarbeitung im Rahmen der Nutzung von Fortytools
Bei Ihrer Nutzung von Fortytools verarbeiten wir – wie im Folgenden beschrieben –
personenbezogene Daten von Ihnen als Kunden der fortytools GmbH.
5.1. Verarbeitung von Ihren Daten im Rahmen Ihres Kundenzugangs zu Fortytools
Für die Einrichtung Ihres eigenen Kundenzugangs zu Fortytools und der Bereitstellung der
SaaS-Anwendung für Sie verarbeiten wir die folgenden Daten von Ihnen:
- Name
- Name des Unternehmens sowie zuständige Ansprechpartner nebst Daten der
geschäftsführenden Organe
- Kontaktdaten
- Ihre Zugangsdaten zu Fortytools
- Ggf. Inhaltsdaten wie abgelegte Dokumente/Akten, inkl. aller Daten, Status, Anmerkungen,
Kommentare innerhalb der Software
Sofern Sie weitere AddOns für Fortytools gebucht haben, werden im Zusammenhang mit diesen
AddOns die folgenden Daten von Ihnen verarbeitet:
- im Rahmen des AddOns Pixelletter (Postversand aus Fortytools):
▪ Adressdaten
▪ Inhaltsdaten (Inhalte der versendeten Post)
- im Rahmen des AddOn factis (Zeiterfassungssoftware der factis GmbH):
▪ Zugangsdaten zu Ihrem factis-Account
- im Rahmen des AddOns figo für den automatischen Abgleich von Kontoumsätzen via figo:
▪ Kontoumsatzdaten
▪ Zugangsdaten zu Ihren figo-Account
- im Rahmen des AddOn Sage (Schnittstelle für die Lohnbuchhaltungssoftware Sage):
▪ Zugangsdaten zu Ihrem Sage-Account
Die o.g. Daten verarbeiten wir auf der Grundlage des Vertrags zur Bereitstellung von Fortytools nach
Art. 6 Abs. 1 lit. b DSGVO.
5.2. Verarbeitung von Ihren Daten im Rahmen eines Testzugangs zu Fortytools
Beantragen Sie über das Antragsformular einen kostenlosen Testzugang zu Fortytools, verarbeiten
wir neben den Daten nach Ziffer 4.1 die folgenden Daten von Ihnen, die Sie uns über das
Antragsformular mitteilen:
- Name
- Firmenname und Firmensitz des zugehörigen Unternehmens
- Telefonnummer
- E-Mail-Adresse
- Zugangspasswort
Diese Daten verarbeiten auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO, um Ihnen den
gewünschten Testzugang zu Fortytools freizuschalten.
5.3. Verarbeitung von IP-Adressen zur Bereitstellung von Fortytools
Um Ihnen Fortytools zur Verfügung zu stellen, verarbeiten wir Ihre IP-Adresse. Diese benötigen wir
zum technischen Verbindungsaufbau mit Fortytools zwingend aus den folgenden Gründen:
Ohne Internet-Protokoll-Adressen, kurz „IP-Adressen“, würde – sehr vereinfacht ausgedrückt – das
Internet nicht funktionieren. Eine IP-Adresse stellt nämlich in Computernetzen eine Adresse dar,
damit darüber Webserver und/oder einzelne Endgeräte angesprochen und erreicht werden können.
Ohne IP-Adresse können unsere Fortytools-Webserver mit Ihrem Endgerät nicht kommunizieren –
und somit nichts anzeigen. Der Webserver, auf dem Fortytools gehostet wird, wird also mit einer
Datenanfrage von Ihnen angepingt. Um die Daten zu liefern, muss der Webserver die IP-Adresse
kennen. Folglich muss der Webserver in diesem Moment der Datenabfrage Ihre IP-Adresse
verarbeiten. Dazu erhält der Webserver die Information, welche Webseite bzw. Datei abgerufen,
welcher Browser und welches Betriebssystem dazu genutzt wurde. Normalerweise werden diese
Daten vollständig in den sog. Webserver-Logfiles langfristig gespeichert. Die fortytools GmbH
speichert Ihre IP-Adressen hingegen außer zum Zeitpunkt der geschilderten notwendigen
Verarbeitung aus IT-sicherheitstechnischen Gründen lediglich für weitere 30 Tage, um
Brute-Force-Attacken erkennen, Hackerangriffe identifizieren und abwehren sowie ggf. Straftaten
verfolgen zu können. Danach werden die IP-Adressen und Logfiles gelöscht.
Wir verarbeiten Ihre IP-Adresse zur Bereitstellung von Fortytools gemäß des mit Ihnen geschlossenen
Vertrags auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b DSGVO.
Wir speichern die IP-Adressen bis zu 30 Tage seit Ihrer Erhebung in den Logfiles des Webservers auf
der Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse daran, durch das
Speichern der IP-Adressen missbräuchlichen Nutzungen der SaaS-Anwendung Fortytools – z.B.
Angriffe auf die Fortytools-Plattform wie DDoS-Attacken – entgegenwirken zu können, z.B. durch
Sperrlisten zu blockieren und damit die Verfügbarkeit und Integrität von Fortytools zu gewährleisten.
Ein entgegenstehendes, überwiegendes Interesse der Nutzer daran, dass die IP-Adressen sofort
gelöscht werden, ist nicht ersichtlich. Schließlich können wir die IP-Adresse selbst nicht zu konkreten
Personen in Beziehung setzen. Hierzu bedürfte es eines Auskunftsanspruchs, einer Anordnung eines
Gerichts und der Herausgabe der Daten der Provider. Wir verfügen über einen derartigen
Auskunftsanspruch in der Regel nicht. Insoweit liegt nur ein geringfügiger Eingriff in das
Persönlichkeitsrecht vor.
5.4. Einsatz von Cookies im Rahmen von Fortytools
Cookies sind kleine Textdateien, die von Fortytools auf dem Computer gespeichert werden,
- um die SaaS-Anwendung Fortytools überhaupt nutzbar zu machen, etwa indem Cookies den
aktuellen Stand der Bearbeitung innerhalb einer Session zwischenspeichern (sog. notwendige
Cookies) oder
- um Präferenzen wie etwa die Sprachausgabe seitens des Nutzers langfristig festzulegen und
Inhalte personalisieren zu können (sog. Präferenz-Cookies) oder
- um die Analyse der Benutzung der SaaS-Anwendung zu ermöglichen (sog. Statistik-Cookies)
oder
- um Drittanbietern Informationen zu den Nutzern übergeben zu können (sog.
Marketing-Cookies).
Im Rahmen von der SaaS-Anwendung Fortytools verwenden wir technisch zwingend erforderliche
Cookies und solche, die der Weiterentwicklung und Optimierung von Fortytools dienen.
Sie können jegliche Installationen von Cookies verhindern, indem die Installation der Cookies durch
eine entsprechende Einstellung in der Browser-Software unterbunden wird (unter „Einstellungen“
bei den meisten Browsern zu finden); es ist allerdings darauf hinzuweisen, dass in diesem Fall
gegebenenfalls die SaaS-Anwendung Fortytools nicht vollumfänglich genutzt werden kann.
Ferner können auch bereits gesetzte Cookies gelöscht werden (ebenfalls unter „Einstellungen“ im
Browser zu finden).
5.5. Datenverarbeitung im Rahmen von Intercom, Intercom Inc.
Um mit Ihnen schnell und einfach in Kontakt treten zu können, nutzen wir vorwiegend für den
Kundensupport das Kommunikationstool der Intercom Inc., 55 2nd Street, 4th Floor, San Francisco,
California 94105, USA. Die Intercom Inc. ist uns über einen Auftragsverarbeitungsvertrag gemäß Art.
28 DSGVO verpflichtet. Ferner ist die Intercom Inc. Privacy Shield zertifiziert.
Im Folgenden informieren wir Sie über die jeweils in Fortytools eingesetzten Funktionen von
Intercom.
5.5.1. Datenverarbeitung bei der Kontaktaufnahme via Live-Chat/E-Mail
Damit Sie mit uns bspw. für eine Supportanfrage direkt in Kontakt treten können, stellen wir in
Fortytools das Live-Chat-Widget der Intercom Inc. bereit. Für die Darstellung des Live-Chat-Widgets
verarbeitet Intercom die hierzu technisch erforderlichen IP-Adressen und Verbindungsdaten.
Sowohl im Rahmen des Live-Chat-Widgets als auch im Fall einer E-Mail-Kommunikation über
Intercom verarbeiten wir die Daten, die Sie uns im Rahmen dieser Kommunikation zur Verfügung
stellen. Regelmäßig sind dies:
- Inhaltsdaten der Kommunikation
- ggf. Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
Diese Daten werden ausschließlich zur Bearbeitung Ihrer Supportanfrage verarbeitet.
Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, da wir ohne die
Verarbeitung der von Ihnen bereitgestellten personenbezogenen Daten schließlich nicht auf ihre
Live-Chat-Anfrage zurückkommen könnten.
Sofern wir Ihnen im Rahmen des Kundensupports über Intercom E-Mails zusenden, erfassen wir
außerdem, ob Sie die E-Mails empfangen haben und ob Sie in der E-Mail auf Links geklickt haben.
Diese Datenverarbeitung basiert auf Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse
daran, im Rahmen des Kundensupports sicherzustellen, dass unsere Supportnachrichten Sie
zuverlässig und zeitnah erreichen, um in dringenden Fällen ggf. auf andere Kommunikationsmittel
ausweichen zu können. Nur so können wir Ihnen einen effizienten und zeitnahen Kundensupport zur
Verfügung stellen und diesen gleichsam ständig verbessern. Ein überwiegendes Interesse Ihrerseits,
dass wir diese Daten nicht verarbeiten, ist nicht ersichtlich. Vielmehr erfolgt die Verarbeitung auch in
Ihrem eigenen Interesse, von uns optimale Supportleistungen zu erhalten.
5.5.2. Intercom Cookies
Um die Kommunikation über das Intercom Live-Chat-Widget erst zu ermöglichen, setzt Intercom ein
Session-Cookie, welcher mittels Session-ID eine Kommunikation via Intercom überhaupt erst
ermöglicht. Hierbei handelt es sich um einen technischen Cookie.
5.5.3. Erfassung von Nutzerinteraktionen
Wir möchten Sie bei Ihrer Arbeit in Fortytools durch passende Tipps und Gebrauchshinweise sowie
durch die zielgerichtete Bereitstellung von Support bestmöglich unterstützen. Aus diesem Grund
erfassen wir mit Hilfe von Intercom bestimmte Ereignisse in Fortytools durch das Tracking von
Nutzerinteraktionen innerhalb der Software. In diesem Zusammenhang verarbeiten wir die folgenden
Daten von Ihnen:
- Name
- das jeweils gebuchte Softwarepaket (Fortytools Tarif)
- ggf. weitere innerhalb von Fortytools erfasste statistische Daten
Diese Datenverarbeitung erfolgt zu Zwecken unserer Supportleistungen gemäß des mit Ihnen
geschlossenen Hauptvertrags auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
5.6. Datenverarbeitung im Rahmen der Analyse und Behebung von Fehlern in Fortytools
Im Rahmen von Fehleranalysen und -behebungen verarbeiten wir Fehlerberichte und Log-Dateien,
die – je nach Fehler im Einzelfall – die von Ihnen in Fortytools gespeicherten Daten zum Inhalt haben
können. Hiervon können die Datenkategorien nach Ziffer 4.1 umfasst sein, aber auch solche Daten
von Dritten, die wir für Sie auf der Grundlage eines Auftragsverarbeitungsvertrags verarbeiten.
Diese Datenverarbeitung erfolgt gemäß des mit Ihnen geschlossenen Hauptvertrags auf der
Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
6. Zweckgebundene Datenverarbeitung, Empfänger, Weitergabe
Wir beachten den Grundsatz der zweckgebundenen Datenverarbeitung. Sämtliche vorgenannten
Daten verarbeiten wir nur zu den bereits genannten Zwecken.
Empfänger Ihrer Daten sind:
- Intercom, Intercom Inc. (Kommunikationstool)
- im Rahmen der AddOn (Softwareschnittstellen)
o AddOn Pixelletter (Softwareschnittstelle zu Pixelletter e.K., Inh. Jan Hatterscheid, für
Postversand direkt aus Fortytools)
o AddOn Sage (Softwareschnittstelle zur Lohnbuchhaltungssoftware der Sage Schweiz
AG)
o AddOn factis (Softwareschnittstelle zur Zeiterfassungssoftware der factis GmbH)
o AddOn figo (Softwareschnittstelle zur Software der figo GmbH)
jeweils im Rahmen des unter Ziffer 4 beschriebenen Verarbeitungsumfangs und -zwecks.
Daneben sind auch unsere Hosting-Provider für die Fortytools-Server (vgl. Ziffer 4.1 bis 4.3) sowie
unsere SaaS-Anbieter für Tools zur Fehleranalyse, -erkennung und –behebung (vgl. Ziffer 4.6)
Empfänger von Daten sein.
Sie können auf Nachfrage jederzeit eine Liste der konkreten Empfänger erhalten. Aus Gründen
unserer eigenen IT- und Datensicherheit möchten wir jedoch die Empfänger von Daten nicht
öffentlich an dieser Stelle namentlich benennen.
Sie können sich jedoch sicher sein, dass wir jeden Anbieter, der für uns Daten im Auftrag verarbeitet,
über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtet haben und dass wir, wenn
und soweit eine Übermittlung der Daten in einen sogenannten unsicheren Drittstaat wie die USA
erfolgt, diese Übermittlung nur unter den Voraussetzungen der Art. 44 ff. DSGVO in zulässiger Art
und Weise erfolgt.
Selbstverständlich erhalten nicht alle Empfänger alle Ihre Daten, sondern nur im Rahmen der Zwecke
des jeweiligen Empfängers.
Eine Weitergabe der personenbezogenen Daten an Dritte außerhalb des hier geschilderten Rahmens
erfolgt ohne eine ausdrückliche Einwilligung nicht.
Auch die Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden erfolgt nur im
Rahmen der gesetzlichen Auskunftspflichten oder, wenn wir durch eine gerichtliche Entscheidung zur
Auskunft verpflichtet sind.
7. Dauer der Verarbeitung, Löschung
7.1. Löschfristen im Rahmen der Nutzung von Fortytools
Ihre Daten, die wir im Zusammenhang mit Ihrem Kundenzugang zu Fortytools sowie im
Zusammenhang mit Intercom verarbeiten, speichern wir für die Dauer des Vertragsverhältnisses zur
Bereitstellung von Fortytools und löschen die Daten unmittelbar nach Beendigung dieses
Vertragsverhältnisses.
Insofern hinsichtlich der über Intercom ausgetauschte Kommunikationsinhalte (Chat-Nachrichten
und E-Mails) Aufbewahrungspflichten nach § 257 HGB bestehen, werden diese Daten bis zu 6 Jahre
aufbewahrt und anschließend gelöscht. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem
die jeweiligen Daten erhoben wurden.
Wird das Vertragsverhältnis vor Ablauf der o.g. Frist beendet, so werden die Daten nach
Art. 18 DSGVO auf die Zwecke der Aufbewahrung beschränkt und mit Ablauf der Frist gelöscht.
Das Vorstehende gilt nicht, wenn das Vertragsverhältnis über einen Zeitraum von 6 Jahren anhält, in
diesem Fall können Daten, welche das Vertragsverhältnis betreffen und die für eine weitere optimale
Betreuung des Kunden notwendig sind, weiter bis zum Ende des Vertragsverhältnisses verarbeitet
werden.
Ist eine Löschung einzelner Daten und Datensätze nur mit einem unverhältnismäßigen Aufwand
bezogen auf die Extraktion und Separierung der unterschiedlichen Datenverarbeitungsvorgänge im
Hinblick auf unterschiedlichen Löschfristen möglich, so werden diese Daten einheitlich nach
Beendigung des Vertragsverhältnisses beschränkt und jeweils nach Ablauf der Aufbewahrungsfrist
von 6 Jahren nach Ihrem Entstehungszeitpunkt gelöscht. Die Frist beginnt mit Schluss des
Kalenderjahres, in dem die jeweiligen Daten erhoben wurden.
Ihre IP-Adresse, die wir in den Webserver-Logfiles zum Verbindungsaufbau zwischenspeichern, wird
innerhalb von 30 Tagen nach der Erhebung automatisch anonymisiert.
7.2. Löschfristen im Rahmen des Testzugangs zu Fortytools
Die im Rahmen eines 30-Tage-Testzugangs von Ihnen verarbeiteten Daten speichern wir natürlich für
die Dauer dieses Testzeitraumes von 30 Tagen. Nach Ablauf von weiteren 60 Tagen werden alle
Daten, die Sie im Testzugang hinterlegt haben, gelöscht.
Allerdings speichern wir nach Ablauf des Testzeitraumes Ihre Kontaktdaten sowie die Information,
dass Sie einen Test-Account hatten, als Interessentendaten gemäß unseren Informationen zur
Datenverarbeitung für Interessenten, die Sie unter der URL
https://www.fortytools.com/datenschutz abrufen können.
8. Betroffenenrechte
Als Betroffener haben Sie – unabhängig von vorstehenden Ausführungen – folgende Rechte uns
gegenüber:
Sie haben das Recht, Auskunft bezüglich der von Ihnen bei uns verarbeiteten Daten zu verlangen.
Sie können jederzeit der Verarbeitung Ihrer Daten widersprechen, soweit die Voraussetzungen des
Art. 21 DSGVO vorliegen, und eine etwaige daneben erteilte Einwilligung zur Verarbeitung der Daten
jederzeit widerrufen. Wenn die Einwilligung zur Datenverarbeitung widerrufen bzw. der Verwendung
der Daten widersprochen wird, berührt dies die Rechtmäßigkeit der Datenverarbeitung bis zum
Zeitpunkt des Widerrufs bzw. des Widerspruchs nicht.
Weiter können Sie jederzeit die von uns verarbeiteten Daten berichtigen, beschränken oder löschen
lassen. Wir weisen ausdrücklich darauf hin, dass es gesetzliche Verpflichtungen – wie
Aufbewahrungspflichten – geben kann, Daten weiter zu speichern. In diesem Fall können die Daten
nur beschränkt werden. Dies meint, dass die Daten ausschließlich zu dem Zweck des Nachkommens
der gesetzlichen Pflichten verarbeitet und sonst nicht genutzt werden.
Darüber hinaus steht Ihnen auch das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO sowie das
Recht zur Beschwerde bei einer Aufsichtsbehörde im Sinne von Art. 77 DSGVO zu.
Wenden Sie sich zur Ausübung und bei Fragestellungen jederzeit unter datenschutz@fortytools.com
an uns.