Datenschutzerklärung (PP)

1. Einführung

Deskhero AB ("wir,” „uns,” oder „unser“) verpflichtet sich, die Privatsphäre von Personen zu schützen, die unsere Software-as-a-Service-Plattform (SaaS) („Service“) nutzen. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten erheben, verwenden, offenlegen und schützen, wenn Kunden, Benutzer und deren Kunden mit unserem Service interagieren. Durch die Nutzung des Service stimmen Sie der Erhebung und Verwendung von Informationen gemäß dieser Datenschutzerklärung und unseren Allgemeine Geschäftsbedingungen.

2. Definitionen

• Kunde: Ein Unternehmen oder eine Organisation, die mit uns einen Vertrag über die Nutzung des Service abgeschlossen hat.
• Benutzer: Ein Mitarbeiter oder Vertreter des Kunden, der zur Nutzung des Service berechtigt ist.
• Kunde des Kunden: Eine Person, die über den Service mit dem Kunden interagiert.
• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitung: Jede Vorgang, der mit personenbezogenen Daten durchgeführt wird, etwa Erhebung, Nutzung, Speicherung oder Offenlegung.

3. Verantwortlicher und Auftragsverarbeiter

• Kunden als Verantwortliche: Kunden sind die Verantwortlichen für personenbezogene Daten ihrer Benutzer und Kunden. Sie bestimmen die Zwecke und Mittel der Verarbeitung dieser Daten.
• Deskhero AB als Auftragsverarbeiter: Wir handeln im Auftrag der Kunden als Auftragsverarbeiter und verarbeiten personenbezogene Daten gemäß unserem Auftragsverarbeitungsvertrag (DPA).

4. Arten der erhobenen personenbezogenen Daten

4.1 Von Kunden und Benutzern bereitgestellte personenbezogene Daten

Wir können von Kunden und Benutzern die folgenden Arten personenbezogener Daten erheben:

• Kontoinformationen: Namen, E-Mail-Adressen, Telefonnummern, Positionen und Unternehmensinformationen.
• Authentifizierungsdaten: Benutzernamen und Passwörter.
• Abrechnungsinformationen: Zahlungsdetails, Rechnungsadressen und Transaktionsdaten.

4.2 Personenbezogene Daten der Kunden des Kunden

• Personenbezogene Daten, die Kunden des Kunden bei der Nutzung des Service übermitteln, z. B. Supportanfragen, Kontaktdaten und sonstige über den Service bereitgestellte Informationen.

4.3 Automatisch erhobene Daten

• Nutzungsdaten: Informationen darüber, wie Benutzer auf den Service zugreifen und ihn nutzen, einschließlich IP-Adressen, Browsertypen und Betriebssysteme.
• Cookies und ähnliche Technologien: Informationen, die mithilfe von Cookies und ähnlichen Tracking-Technologien erhoben werden. (Siehe Abschnitt 12: Cookies und ähnliche Technologien)

4.4 Verwendung von Google- und Microsoft-Postfachdaten

Wenn Sie Ihr Google- oder Microsoft-Postfach („Postfachanbieter“) mit Deskhero verbinden, fordern wir Ihre Autorisierung (über OAuth2 oder andere sichere Verfahren) an, um bestimmte Postfachdaten zuzugreifen, zu verarbeiten und zu speichern, damit wir Helpdesk-Funktionen bereitstellen können (z. B. Senden und Empfangen von Support-Tickets, Nachverfolgung des Konversationsverlaufs).

4.4.1. Erhobene Daten

• Postfachinhalte: E-Mails, Anhänge, Metadaten (Betreffzeilen, Zeitstempel, Absender-/Empfängeradressen).
• Benutzerkontoinformationen: Relevante Tokens oder Anmeldeinformationen, die benötigt werden, um E-Mails in Ihrem Namen zu senden und zu empfangen.

4.4.2. Zweck der Verarbeitung

• Helpdesk-Ticketverwaltung: Eingehende E-Mails automatisch in Support-Tickets in Deskhero umwandeln.
• Ausgehende Antworten: Antworten aus Ihrem verbundenen Postfach versenden, um Ihren Kunden oder Endbenutzern ein nahtloses E-Mail-Erlebnis zu bieten.
• Konversationsverlauf: E-Mail-Threads und Anhänge in Deskhero speichern und anzeigen, um Kontext für laufende Supportfälle bereitzustellen.

4.4.3. Offenlegung von Postfachdaten

• Kein Verkauf von Daten: Wir nicht verkaufen oder teilen Ihre Postfachdaten nicht zu Werbe- oder Marketingzwecken mit Dritten.

• Autorisierte Unterauftragsverarbeiter:
• Wir geben Postfachdaten nur an die begrenzte Gruppe von Unterauftragsverarbeitern weiter, die in unserer Record of Processing Activities (RoPA) aufgeführt sind, und zwar ausschließlich soweit erforderlich, um unseren Service bereitzustellen oder zu verbessern (z. B. Virenscans, Speicherung oder E-Mail-Zustellung).
• Diese Unterauftragsverarbeiter sind vertraglich verpflichtet, Datenschutzpflichten einzuhalten, die mindestens ebenso streng sind wie die in unserem Auftragsverarbeitungsvertrag.
• Gesetzliche oder regulatorische Vorgaben: Wir dürfen Daten offenlegen, wenn dies gesetzlich, durch Vorschriften oder per Gerichtsbeschluss erforderlich ist.

4.4.4. Datenschutz- und Sicherheitsmaßnahmen

Wir betrachten Postfachdaten als vertraulich und wenden robuste technische und organisatorische Kontrollen an, darunter:

• Verschlüsselung: Sämtliche Postfachdaten werden während der Übertragung (TLS) und im Ruhezustand (AES-256 oder gleichwertig) verschlüsselt.
• Zugriffskontrollen: Nur autorisiertes Personal mit berechtigtem Bedarf kann auf Ihre Postfachdaten zugreifen. Jeder Zugriff wird protokolliert und überwacht.
• Vorfallreaktion: Wir unterhalten einen detaillierten Incident-Response-Plan, um auf vermutete Sicherheitsvorfälle reagieren zu können.
• Zusätzliche Schutzmaßnahmen: Eine vollständige Übersicht finden Sie in unserer Technische und organisatorische Maßnahmen (TOM).

4.4.5. Aufbewahrung und Löschung

• Aktive Nutzung: Wir bewahren Ihre Postfachdaten so lange auf, wie Sie ein Deskhero-Konto unterhalten und die Postfach-Integration aktiv ist, um die Erstellung von Support-Tickets, Antworten und historische Referenzen zu ermöglichen.
• Trennung oder Kontoschließung:
• Wenn Sie Ihre Postfach-Integration widerrufen oder Ihr Deskhero-Konto schließen, löschen wir alle zugehörigen Postfachdaten innerhalb von 30 Tagen aus unseren aktiven Systemen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Verbleibende Daten in Backups werden gemäß unserer Backup-Aufbewahrungsrichtlinie innerhalb eines (1) Jahres rollierend automatisch gelöscht.

• Frühzeitige Löschanfragen: Sie können eine vorzeitige Löschung Ihrer Postfachdaten beantragen, indem Sie uns unter [privacy@deskhero.com] kontaktieren. Wir kommen solchen Anfragen nach, sofern dem keine gesetzlichen Vorgaben oder berechtigte geschäftliche Interessen entgegenstehen (z. B. laufende rechtliche Verpflichtungen).

4.4.6 Einhaltung der Datenrichtlinien des Integrationsanbieters & KI/ML-Beschränkungen

Die Nutzung von Daten durch Deskhero, die über Integrationen mit Drittanbieterdiensten – beispielsweise Google Workspace APIs und Microsoft Graph/Microsoft 365 – erhalten werden, unterliegt den Entwickler- und Datenschutzrichtlinien des jeweiligen Anbieters.

• Kein Training allgemeiner KI/ML-Modelle – Wir verwenden, speichern oder übertragen keine aus Integrationen stammenden Nutzerdaten, um allgemeine (nicht personalisierte) Machine-Learning- oder KI-Modelle zu entwickeln, zu verbessern oder zu trainieren.
• Nur klientenbezogene Modelle – Alle von uns angebotenen Machine-Learning-Funktionen werden ausschließlich mit den Daten des jeweiligen Kunden in dessen eigener Umgebung trainiert; Daten werden niemals mandantenübergreifend aggregiert oder mit externen KI/ML-Diensten geteilt.
• Begrenzung menschlicher Zugriffe – Menschlicher Zugriff auf Integrationsdaten ist auf die in dieser Richtlinie beschriebenen Minimalfälle (z. B. Sicherheit oder Support) beschränkt und erfolgt niemals zur Entwicklung von KI/ML-Modellen.
• Positives Richtlinienstatement – Der Einsatz von Informationen, die Deskhero von Google-Workspace-APIs erhält, richtet sich nach der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen, und wir wenden dieselben Grundsätze auf alle anderen Anbieter-Integrationen an, z. B. Microsoft Graph.

5. Zweck und Rechtsgrundlage der Verarbeitung

5.1 Bereitstellung des Service

• Zweck: Betrieb und Bereitstellung von Funktionen des Service.
• Rechtsgrundlage: Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b).

5.2 Kommunikation

• Zweck: Kommunikation mit Kunden und Benutzern in Bezug auf den Service, einschließlich Support und Updates.
• Rechtsgrundlage: Vertragserfüllung und berechtigte Interessen (DSGVO Art. 6 Abs. 1 lit. b und f).

5.3 Einhaltung gesetzlicher Verpflichtungen

• Zweck: Erfüllung gesetzlicher Verpflichtungen und Beantwortung rechtmäßiger Anfragen.
• Rechtsgrundlage: Erfüllung gesetzlicher Verpflichtungen (DSGVO Art. 6 Abs. 1 lit. c).

5.4 Verbesserung und Analyse

• Zweck: Analyse der Nutzung und Verbesserung des Service.
• Rechtsgrundlage: Berechtigte Interessen (DSGVO Art. 6 Abs. 1 lit. f). Soweit gesetzlich erforderlich, holen wir eine Einwilligung ein.

6. Rechte der betroffenen Personen

Betroffene Personen haben hinsichtlich ihrer personenbezogenen Daten die folgenden Rechte:

• Auskunftsrecht: Bestätigung und Zugriff auf ihre personenbezogenen Daten erhalten.
• Recht auf Berichtigung: Berichtigung unrichtiger personenbezogener Daten verlangen.
• Recht auf Löschung: Löschung personenbezogener Daten unter bestimmten Voraussetzungen verlangen.
• Recht auf Einschränkung: Einschränkung der Verarbeitung unter bestimmten Voraussetzungen verlangen.
• Recht auf Datenübertragbarkeit: Ihre personenbezogenen Daten in einem strukturierten, gängigen Format erhalten.
• Widerspruchsrecht: Der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• Recht auf Widerruf der Einwilligung: Eine erteilte Einwilligung jederzeit widerrufen, sofern die Verarbeitung darauf beruht.

Ausübung der Rechte

• Kunden und Benutzer: können uns unter privacy@deskhero.com kontaktieren, um ihre Rechte auszuüben.
• Kunden des Kunden: sollten sich zur Ausübung ihrer Rechte direkt an den Kunden (Verantwortlichen) wenden. Wir unterstützen Kunden bei der Beantwortung solcher Anfragen gemäß unserem DPA.

7. Offenlegung personenbezogener Daten

Wir können personenbezogene Daten offenlegen an:

• Unterauftragsverarbeiter: Dienstleister von Drittanbietern, die bei der Bereitstellung des Service unterstützen. (Siehe Abschnitt 8)
• Gesetzliche und regulatorische Behörden: Wenn gesetzlich vorgeschrieben oder zum Schutz unserer Rechte.
• Unternehmensübertragungen: Im Zusammenhang mit Fusionen, Übernahmen oder Vermögensverkäufen.

8. Unterauftragsverarbeiter

Wir setzen Drittanbieter-Unterauftragsverarbeiter ein, um die Bereitstellung unseres Service zu unterstützen. Eine Liste der aktuellen Unterauftragsverarbeiter finden Sie in unserer Verzeichnis von Verarbeitungstätigkeiten (RoPA) und wird bei Bedarf aktualisiert. Wir stellen sicher, dass alle Unterauftragsverarbeiter an Datenschutzpflichten gebunden sind, die mit dieser Datenschutzerklärung und den geltenden Gesetzen übereinstimmen.

9. Internationale Datenübermittlungen

Personenbezogene Daten können in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, die möglicherweise andere Datenschutzgesetze haben. Wir stellen sicher, dass geeignete Schutzmaßnahmen vorhanden sind, wie zum Beispiel:

• Standardvertragsklauseln (SCC): Verwendung von durch die Europäische Kommission genehmigten SCC. Siehe unsere Auftragsverarbeitungsvertrag (DPA) für Details.
• Angemessenheitsbeschlüsse: Übermittlung in Länder, die von der Europäischen Kommission als mit einem angemessenen Datenschutzniveau versehen anerkannt sind.

10. Sicherheitsmaßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Diese Maßnahmen umfassen:

• Verschlüsselung: Verschlüsselung von Daten bei der Übertragung und im Ruhezustand.
• Zugriffskontrollen: Beschränkung des Zugriffs auf autorisiertes Personal.
• Regelmäßige Bewertungen: Durchführung regelmäßiger Sicherheitsbewertungen und Audits.

Für ausführliche Informationen verweisen wir auf unsere Technische und organisatorische Maßnahmen (TOM) Dokumentation.

11. Datenaufbewahrung

Wir bewahren personenbezogene Daten nur so lange auf, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist, einschließlich gesetzlicher, buchhalterischer oder berichtsbezogener Anforderungen.

• Kunden und Benutzer: Personenbezogene Daten werden für die Dauer des Vertragsverhältnisses und soweit gesetzlich erforderlich aufbewahrt.
• Kunden des Kunden: Personenbezogene Daten werden gemäß den Vorgaben des Kunden oder den gesetzlichen Anforderungen aufbewahrt.

Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten gemäß unserem DPA und unseren Aufbewahrungsrichtlinien gelöscht oder anonymisiert.

12. Cookies und ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien, um die Benutzererfahrung zu verbessern. Cookies sind kleine Textdateien, die auf Ihrem Gerät gespeichert werden, wenn Sie unseren Service besuchen.

12.1 Verwendete Cookie-Arten

• Essenzielle Cookies: Für den Betrieb des Service erforderlich.
• Analytische Cookies: Helfen uns zu verstehen, wie der Service genutzt wird.

12.2 Verwaltung von Cookies

Benutzer können Cookie-Einstellungen über ihre Browser-Konfiguration verwalten. Das Deaktivieren von Cookies kann die Funktionalität des Service beeinträchtigen.

Weitere Informationen finden Sie in unserer Cookie-Richtlinie

13. Änderungen dieser Datenschutzerklärung

13.1 Benachrichtigung über Änderungen

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wir informieren Kunden und Benutzer über wesentliche Änderungen durch:

• Versand einer E-Mail an die registrierte E-Mail-Adresse.
• Anzeige eines Hinweises beim nächsten Anmelden am Service.

13.2 Annahme der Änderungen

Die fortgesetzte Nutzung des Service nach Änderungen gilt als Zustimmung zur aktualisierten Datenschutzerklärung. Wenn Sie den Änderungen nicht zustimmen, können Sie Ihr Konto kündigen.

14. Kontaktinformationen

Bei Fragen oder Bedenken zu dieser Datenschutzerklärung oder unseren Datenschutzpraktiken kontaktieren Sie bitte unseren Datenschutzbeauftragten (DPO):

• Name: Klas Karlsson
• E-Mail: dpo@deskhero.com
• Telefon: +46 70 601 13 22

15. Beschwerden

Wenn Sie der Ansicht sind, dass unsere Verarbeitung personenbezogener Daten gegen geltendes Datenschutzrecht verstößt, haben Sie das Recht, eine Beschwerde bei einer Aufsichtsbehörde in Ihrem Land oder in Schweden einzureichen.

16. Anwendbares Recht

Diese Datenschutzerklärung unterliegt dem Recht Schwedens und wird entsprechend ausgelegt.

Durch die Nutzung des Service bestätigen Kunden, Benutzer und deren Kunden, dass sie diese Datenschutzerklärung gelesen und verstanden haben.