Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Derselbe Verantwortliche betreibt zusätzlich das mandantenscoped Notfall­handbuch-Tool secops. Beide Plattformen werden getrennt betrieben (eigene Datenbanken, eigene Konten); eine Datenübermittlung zwischen ihnen findet ausschließlich auf Grundlage einer ausdrücklichen Einwilligung des Kunden statt — siehe Abschnitt „Optionale Verknüpfung mit secops".

Einen Datenschutzbeauftragten haben wir derzeit nicht bestellt, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht erfüllt sind. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung der betroffenen Person oder in den Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Rechtsgrundlagen sind insbesondere:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

3. Bereitstellung der Website (Logfiles)

Bei jedem Aufruf erfasst unser Hosting-Anbieter automatisch Informationen, die Ihr Browser an unseren Server übermittelt. Diese sogenannten Server-Logfiles enthalten:

• IP-Adresse des anfragenden Geräts (gekürzt, soweit technisch möglich)
• Datum und Uhrzeit der Anfrage
• Aufgerufene URL und HTTP-Methode
• Übertragene Datenmenge und Statuscode
• Referrer-URL
• Browser-Typ und -Version, Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist der sichere und stabile Betrieb der Plattform sowie die Erkennung und Abwehr von Angriffen.

Speicherdauer: in der Regel 14 Tage, danach automatische Löschung. Bei sicherheitsrelevanten Vorfällen werden Logs länger aufbewahrt, bis der Vorfall vollständig aufgeklärt ist.

4. Benutzerkonto

Für die Nutzung der Plattform legen Sie ein Benutzerkonto an. Dabei verarbeiten wir:

• Name, E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash, Klartext wird nicht abgelegt)
• Account-Typ (Kunde, Versicherung, Makler:in, Berater:in oder Dienstleister)
• Zwei-Faktor-Authentifizierungs-Geheimnisse (verschlüsselt)
• Zeitstempel von Anmeldungen und Sitzungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: für die Dauer der Vertragsbeziehung. Nach Vertragsende werden Konto-Daten nach einer angemessenen Karenzzeit gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Anbieter-Profile

Anbieter-Konten (Versicherungen, Makler:innen, Berater:innen, Dienstleister) können ein öffentliches Anbieter-Profil pflegen. Erfasst werden:

• Firmenname, Slug, Kurz- und Langbeschreibung
• Logo, Website, Kontakt-E-Mail, Telefonnummer
• Anschrift, Postleitzahl, Stadt, Bundesland
• Themen-Tags (Branchen, Leistungen, Spezialgebiete)
• Sichtbarkeits- und Verifizierungs-Status

Die Inhalte des Profils werden vom Anbieter selbst gepflegt und sind — je nach gewählter Sichtbarkeits-Einstellung — öffentlich abrufbar oder nur für eingeloggte Kunden sichtbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung des Marktplatzes).

6. Anfragen und Konversationen

Stellt ein Kunde über das Portal eine Anfrage an einen Anbieter, verarbeiten wir Betreff, Nachrichteninhalt, Zeitstempel sowie die beteiligten Konten. Die Konversation findet ausschließlich innerhalb der Plattform statt; der Anbieter erhält zusätzlich eine E-Mail-Benachrichtigung.

Optional kann der Kunde beim Erstellen einer Anfrage einen kuratierten Daten-Snapshot aus seinem secops-Konto anhängen (siehe Abschnitt 6a).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: für die Dauer der Geschäftsbeziehung zwischen Kunde und Anbieter, mindestens jedoch bis zur Schließung der Anfrage durch den Anbieter. Anfragen können auf Wunsch des Kunden oder Anbieters gelöscht werden.

6a. Optionale Verknüpfung mit secops

Auf ausdrücklichen Wunsch des Kunden (Opt-in in den Account-Einstellungen) kann ein Kunden-Konto auf PlanB Portal mit einem Mandanten-Konto auf der Schwester­plattform secops verknüpft werden. Beide Plattformen werden vom selben Verantwortlichen betrieben (siehe Abschnitt 1).

Im aktivierten Zustand empfängt PlanB Portal von secops ausschließlich folgende kuratierte Aggregat-Daten:

• Branche und Beschäftigtenzahl des Mandanten
• Status der Pflichtrollen (besetzt / unbesetzt), ohne Personennamen
• Liste der erfassten Versicherungstypen, ohne Police-Nummern oder Anbieter
• Aggregat-Zähler offener und überfälliger Wartungs-Aufgaben

Niemals übermittelt werden:

• Mitarbeiter-Stammdaten (Namen, Telefonnummern, E-Mail, Notfall-Kontakte)
• Notfall-Pläne, Szenarien, Runbooks, Lessons Learned
• Audit-Log-Einträge
• Police-Nummern, Vertragsnummern, Selbstbehalte
• Konkrete Aufgaben-Inhalte oder Verantwortliche

Beim Versenden einer Anfrage entscheidet der Kunde individuell, ob der zuletzt synchronisierte Snapshot als Kontext mitgesendet wird. Ohne diesen aktiven Schritt sieht der Anbieter den Kontext nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit über die Account-Einstellungen widerrufen werden; ab Widerruf erfolgt keine weitere Übermittlung. Der bei PlanB Portal vorgehaltene Snapshot wird gelöscht.

7. Auftragsverarbeiter und Dienstleister

Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils ein Vertrag nach Art. 28 DSGVO besteht:

Hosting und Datenhaltung

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — wir nutzen die Hetzner Cloud im Rechenzentrum Falkenstein, Sachsen. Anwendungsserver, Datenbank und Datei-Speicher liegen ausschließlich in Deutschland; eine Übermittlung in Drittländer findet im Rahmen des Hostings nicht statt.

E-Mail-Versand

Strato AG, Otto-Ostrowski-Str. 7, 10249 Berlin — verarbeitet transaktionale E-Mails (Anmeldebestätigungen, Passwort-Reset, Anfrage- und Konversations-Notifications). Datenverarbeitung in Deutschland.

8. Drittlandübermittlung

Die Anwendungsplattform selbst (Konten, Anbieter-Profile, Anfragen, Konversationen) wird ausschließlich in Deutschland verarbeitet (Hetzner Cloud, Rechenzentrum Falkenstein). Eine Drittlandübermittlung findet im Rahmen des PlanB-Portal-Betriebs nicht statt.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konkrete Fristen für die wichtigsten Kategorien:

• Server-Logfiles: 14 Tage
• Konto-Daten: für die Dauer der Vertragsbeziehung plus Karenzzeit
• Anbieter-Profil: bis zur Löschung des Anbieter-Kontos oder durch den Anbieter
• Anfragen und Konversationen: für die Dauer der Geschäftsbeziehung; auf Wunsch löschbar
• secops-Snapshot: solange das Opt-in aktiv ist; bei Widerruf Sofort-Löschung

10. Datensicherheit

Wir setzen technisch-organisatorische Maßnahmen ein, die dem Stand der Technik entsprechen, insbesondere:

• Transportverschlüsselung (TLS) für sämtliche Verbindungen
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Optional Zwei-Faktor-Authentifizierung (TOTP)
• Verschlüsselung des secops-API-Tokens at rest
• Regelmäßige Datensicherungen

11. Ihre Rechte als betroffene Person

Soweit wir personenbezogene Daten von Ihnen verarbeiten, stehen Ihnen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO), insbesondere gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Bitte richten Sie Anfragen an info@arento.ai.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Für unseren Sitz in Hennef ist zuständig:

13. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Vorgaben oder unsere Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.