Datenschutz liegt uns am Herzen
Wir sind Fans der DSGVO, der Datenschutz liegt uns am Herzen. Darum haben wir auch alles darangesetzt, um den Schutz personenbezogener Daten genau nach Vorschrift umzusetzen. Als SaaS-Anbieter trennen wir dabei strikt zwischen unserer Marketingseite heylogin.com und unserem Produkt heylogin.app. Kurz zusammengefasst heißt das:
In der Web-App werden personenbezogene Daten bearbeitet, die verschlüsselt nur den jeweiligen Nutzern zur Verfügung steht. Auf der Marketingseite verwenden wir keine Tracking-Cookies, sammeln also keine automatisierten Daten um Besucher eindeutig zu identifizieren. Wenn wir nach personenbezogenen Daten fragen, dann nur explizit nach der Zustimmung des Nutzers.
Ihre Daten bleiben in der EU
Unsere Software ist ein Vertrauens- und Sicherheitsprodukt, darum verzichten wir auf Marketing-Datenerhebung in unserem Produkt. Zusätzlich verpflichten wir uns als deutsches Unternehmen, alle personenbezogenen Daten, die wir zu Betriebszwecken erheben (müssen), ausschließlich in der EU zu speichern. Beim Kauf via Self-Service in der App schließt das auch die UK mit ein. Das
sagen wir übrigens nicht einfach nur so, in unserem Auftrags-verarbeitungsvertrag ist das genau so festgelegt und kann jederzeit nachgelesen werden. Darüber hinaus sind wir auch transparent mit unseren Unterauftragsverarbeitern, die Liste kann jederzeit hier eingesehen werden.
Wir haben außerdem festgelegt, dass die Aufnahme von Anbietern außerhalb des Europäischen Wirtschaftsraums eine expliziten Einwilligung durch den Kunden benötigt (§7 in unserem AVV). D.h. wir können nicht einfach “durch die Hintertür” weitere Unterauftragsverarbeitern einführen. Um diese Bedingungen zu schützen und die Umsetzung zu garantieren, haben wir zahlreiche technische und organisatorische Maßnahmen etabliert. All diese Maßnahmen wurde zusätzlich von der activeMind AG geprüft.
Keine Marketing-Tracker? Keine Selbstverständlichkeit.
Schon in der frühen Entwicklungsphase von heylogin war uns klar: Marketing-Tracker haben in unserer Software nichts zu suchen. Im Exodus-Report von heylogin kann man das auch jederzeit überprüfen. Wir sind stolz darauf, neben 1Password und wenigen anderen zu den Ausnahmen auf dem Passwort-Manager-Markt zu gehören, die auf Marketing-Tracker verzichten. Um dennoch Fehler automatisiert zu erfassen und zu beseitigen, nutzen wir "Sentry" (als Tracker von Exodus erkannt) ein selbst-gehostetes Fehler-Reporting der heylogin GmbH. Dabei werden keine personenbezogenen Daten gesammelt, die nicht bereits durch den heylogin-Account bekannt sind. Da das System selbstgehostet ist, werden keine Daten an Drittanbieter übertragen.
Minimale Daten - maximal geschützt
Zusätzlich zu allen bisherigen Maßnahmen halten wir uns auch an die Vorgabe zur Datenminimierung nach DSGVO. Das heißt im Fall von heylogin.app, dass wir nur die Daten sammeln, die wir wirklich brauchen, also die E-Mail der Nutzer*innen und die Organisationsnamen. Zur Fehlerfindung und -Behebung sehen wir außerdem noch Kommunikationsdaten zwischen Smartphone, Server und Browser-Erweiterung, allerdings nicht den Inhalt der Kommunikation. Alle anderen in heylogin gespeicherten Daten sind Ende-zu-Ende-verschlüsselt und nur vom jeweiligen Nutzenden zugänglich, aber nicht für uns.
Unsere Keksdose bleibt leer
Ist es Ihnen schon aufgefallen? Unsere Webseite heylogin.com hat kein Cookie-Banner. Der ist nämlich nur nötig, wenn automatisch beim Öffnen der Seite via Tracking-Cookies personenbezogene Daten gesammelt werden. Wir nutzen keine Tracking-Cookies, sondern nur aggregierte Nutzungsdaten für unser Marketing. Dafür setzen wir auf Plausible, da hier entsprechende Einstellungen für eine angemessene Datenschutzeinhaltung möglich sind. Mehr dazu gibt es hier.
Sollten wir doch personenbezogene Daten verarbeiten erfragen wir in dem Moment eine explizite Zustimmung von Ihnen. Beispielsweise bei Nutzung des Chats oder Buchung eines Video-Calls.