Privacy Policy - App
Last updated: 18 October 2024
Privacy Policy - App
Last updated: July 17, 2024
1. Introduction
This privacy policy ( “Privacy Policy”) describes how Vestlane GmbH ( “Vestlane”) and its related and/or affiliated entities (the “Company,” “Vestlane,” “us,” “our,” “its,” or “we”) collects, uses, discloses, and shares Personal Data (defined below) of customers, investors and other users of the Vestlane App (https://app.vestlane.com), any subdomain or other top-level domains of this platform (“Platform”).
This Privacy Policy also applies to any Vestlane services, tools or platforms, mobile or desktop applications and other interactions (such as chat, email, customer service inquiries, conferences, etc.) you may have with us. If you do not agree with the terms, do not access or use the Platform, Services, websites or any other aspect of Vestlane’s business.
Please note that when you are provided with access to our Platform by any of our customers (e.g. fund managers, fund administrators, law firms, tax advisors, etc.) for their fundraising or operational purposes, Vestlane will be the processor of the Personal Data you provide on the Platform for that customer’s fundraising or operational purposes.
This means that we will only process such Personal Data on the instructions of that customer, e.g. for the customer’s fund or vehicle purposes and that customer will be responsible for your Personal Data. You should refer to that customer’s privacy policy to contact them or exercise your rights. In the event that you, as an investor, maintain a pre-existing profile on our Platform and opt to utilize this profile for a new investment involving a distinct customer, our role extends beyond merely processing data for said customer. We will also assume the role of a controller for the Personal Data that you have elected to reuse. Consequently, the stipulations outlined in our Privacy Policy will be applicable to such information.
We inform you about the processing of your Personal Data and the rights to which you are entitled under the European General Data Protection Regulation (GDPR) and any other applicable legal data protection laws and regulations.
“Personal Data” means any information that we process about you that relates to you or that can be used to identify you as a natural person (“Data Subject”) directly or indirectly, for example your name, email address, address, order data, payment details or any user profile related content. You have provided or may need to provide personal data to us by virtue of requesting information about Vestlane, becoming a Vestlane customer, using the Vestlane Platform available at https://app.vestlane.com or any of its subdomains. Furthermore, this includes information that necessarily arises in the course of the investment relationship, such as banking details of the investor, invested amount and holdings in a fund or vehicle.
In this Privacy Policy, we use various other terms as defined by the GDPR. These include terms such as processing, profiling, pseudonymisation, controller, processor, recipient, third party, consent, supervisory authority and international organisation. You can find the corresponding definitions for these terms in Article 4 of the GDPR.
2. Who is Responsible for the Data Processing
The Entity Responsible for the Collection and Processing of Personal Data Is:
Vestlane GmbH
Kurfürstendamm 12,
10719 Berlin, Germany
Contact Details of the Appointed External Data Protection Officer:
SECJUR GmbH
Steinhöft 9,
20459 Hamburg
Phone: +49 40 228 599 520
Email: [email protected];
3. Data We Collect from You
3.1 Information You Provide Us
As the case may be we collect your name, address, email address, phone number, username, password (encrypted), demographic information (e.g. your birth date, occupation, etc.), banking information, as well as other information you directly give us on our Platform, and, in the course of our business relationship via email or other means of data exchange.
3.2. Automatically Collected Information
When you access our Platform, we collect the following access data, which is technically necessary for us to present our Platform to you and to ensure stability and security. The access data includes the IP address, date and time of the request, time zone difference to Greenwich Mean Time (GMT), content of the request (i.e. name of the specific website accessed), access status/HTTP status code, amount of data transferred in each case, referrer URL (previously visited page), operating system and its interface, language and version as well as type of browser software and notification of successful retrieval.
3.2 Investor/User Information
If you are an investor/user or potential investor/user at Vestlane we collect certain information about you to allow you to participate in our customers’ fundraising or other workflows for operational purposes. The information we collect varies based on the fund or vehicle and specific workflow, but, in addition to the information you give us, especially if you undergo certain verification checks and submit identity information such as your identity card or passport, we process your personal data contained in these documents. Additionally we might collect and process information about your social security number, tax identification numbers, other government identification documents like driver’s licenses, or bank statements, proof of address, your accreditation/qualification status as investor, the amount and source of the capital you intend to invest to a fund or vehicle, and/or contact information of any third party involved in an investment process such as joint signatories, beneficial owners, partners, etc.
3.3 Information We Get From Others
We may get information about you from other sources. We may add this to information you provide through our Platform. For example, if you are an investor, we may receive Investor Information from our customers, or their service providers (e.g. lawyers, fund administrators, tax advisors, etc.).
3.4 Cookies
We use a “secured cookie” to store the access token to the Platform.
3.5 Analytics and other external online services or products
We use Google Analytics as a web analytics service. It's provided by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (parent company: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
The following data is affected: Google Client ID, Click path, Date and time for visit, Device info, Location info, IP address, Pages visited, Referrer URL, Browser Info, Hostname, Browser language, Browser type, Screen resolution, Device operating system, Interaction data, User behavior, Visited URL
The legal ground for this is Art. 6 para. 1 (f) of the GDPR and the data is stored in Europe
On the Platform we also use Usersnap as a user feedback platform. This service is provided by Usersnap GmbH, Energiestrasse 1, A-4020 Linz, Austria. This may affect user contact or usage data. The legal ground is Article Art. 6 para 1(f) of the GDPR. The data is stored exclusively within the GDPR compliant areas.
4. Purposes and Legal Grounds of Data Processing
We process personal data in accordance with the provisions of the European Data Protection Regulation (Regulation (EU) 2016/679 of 27 April 2016, the "GDPR") and the German Federal Data Protection Act ("BDSG") (or, in other jurisdictions, in accordance with the legislation set out in the corresponding sections at the end of this Privacy Policy) for the following purposes and on the basis of the following legal grounds. Where there are references to the GDPR, BDSG and other legislation in this section, these should be construed as referring to the equivalent legislation in force in the relevant jurisdiction in relation to personal data collected and processed in such other jurisdiction.
Purpose: If you have given us consent to process personal data for certain purposes, in particular for contacting you (e.g. sending newsletters, announce new product features, promotional communications, advertising by telephone, e-mail, SMS, or in relation to the creation of a user account), this processing is lawful on the basis of your permission.
Legal ground: Consent, Art. 6 para 1(a) of the GDPR
Purpose: When contacting us (via contact form, chat or e-mail), your data will be processed for the purpose of handling the contact request and its processing, especially to respond to comments, requests and questions, to verify permission access, and to provide overall customer service and support.
Legal ground: In the case of the performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR
Otherwise: Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR
Purpose: Insofar as required for the participation of the investor in a fund, vehicle or other related workflow, and we process Personal Data in particular to support our customers with regard to the acceptance of the investor as limited partner, including the investor’s capital contribution, handling of communication processes, internally and externally (e.g. correspondence), administrative tasks such as drawdown and distribution notices, general investor relations, tax and regulatory filings/reports and adjacent workflows.
Legal ground: In the case of the performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR
Otherwise: Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR
Purpose: In order to prevent and detect money laundering and the financing of terrorism and to comply with any other regulations relating to sanctions and embargoes through our Know Your Customer (KYC) process, we might process general personal data, bank data and metadata, including to help identifying you, verifying your identity, screening your details against lists and databases of politically exposed persons (PEP), sanctions, high risk countries and adverse media and determining your (risk) profile. Please note that such services might also be carried out by third party service providers.
Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR
Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR
Purpose: An identification process compliant with local financial authorities might include the storage (on behalf of our customers as the case may be) of audio and video recordings of the identification process, of the identified person itself and the identification document, images of the identified person, of the front and (if available) back of the identified person's identification document, personal data such as first name, name, street, house number, postal code, place of residence, date of birth, place of birth, nationality, email, mobile phone number, ID card / passport data such as type of ID card, ID card number, Issuing country, Date of issue, Validity date, Issuing authority, etc. (“Identification Data”). Please note that such services might also be carried out by third party service providers. As a rule, we will store such Identification Data on behalf of and in the account of the obliged customer that initially identified the respective person. To comply with certain regulations we provide immediate access to such Identification Data. In order to avoid repeat video identifications of users (following the principle of data minimization), an obliged customer may access Identification Data initially retrieved by another customer, if the accessing customer is legally obliged to identify the respective investor (e.g. due to AML regulation). In such a case, we may act as a technical messenger between those customers and will grant the accessing customer access to the Identification Data. This applies in particular to cases where European Anti-Money Laundering regulation allows the transmission of an investor’s Identification Data between so-called obligated parties that have to fulfill KYC/AML requirements (e.g. funds, fund managers). The processing generally serves the purpose of complying with official control and information obligations.
Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR
Purpose: To facilitate further investments or operational workflows of a user with other customers of ours, we offer to save and process Personal Data submitted to permit investors/users to use their verified data also for potential future investments or workflows or other activities on Vestlane. Without consent of the respective user, the user’s Personal Data will not be provided to any other party. The user can revoke such consent at any time. This does not affect the legality of the processing carried out on the basis of the consent until the revocation.
Legal ground: Consent, Art. 6 para 1(a) of the GDPR
Purpose: Sending emails and other communications regarding our Service necessary for technical or administrative purposes, such as confirmations, invoices and billing, technical notices, updates, security alerts, and support and administrative messages, as well as messages, and other types of essential communications. These communications are considered part of the Service and you may not opt-out of them.
Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR
Purpose: Additionally we process Personal Data for operational service recording and evaluation, internal communication, ensuring operational safety, accommodate inquiries from public authorities, assertion of legal claims, development and provision of search, learning and productivity tools and additional features.
Legal ground: Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR
Purpose: To contact you and to manage our relationship with you and/or your company where you are a supplier/partner or the representative of a customer/supplier/partner with whom we have a business relationship.
Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR
Purpose: We process your Platform access data to safeguard our legitimate interests or those of third parties. In particular, we pursue the following legitimate interests:
- Ensuring IT security, in particular the security of our Platform; we also store the IP address in the event that someone leaves behind illegal content using the comment function (insults, prohibited propaganda, etc.) and we must be able to determine the author’s identity for our own legal protection;
- Monitoring and improving our relationships with customers, investors and other users;
- Asserting legal claims and conducting our defense in case of legal disputes.
In any case, our legitimate interest remains proportionate and we verify according to a balancing test that your interests or fundamental rights are preserved.
Legal ground: As part of the balancing of interests for the safeguarding of legitimate interests, Art. 6 para. 1 (f) of the GDPR
Purpose: We process data:
- when we do a business deal, or negotiate a business deal, involving the sale or transfer of all or a part of our business or assets. These deals can include any merger, financing, acquisition, or bankruptcy transaction or proceeding. The Personal Data shared may be shared with counterparties and others assisting with the deal.
- We may share information with those who need it to do work for us. This includes granting Vestlane employees and service providers the necessary access in order to perform their duties.
- We may share aggregated or anonymized data. This includes for marketing, analytics, or research purposes.
Legal ground: As part of the balancing of interests for the safeguarding of legitimate interests, Art. 6 para. 1(f) of the GDPR & Consent, Art. 6 para 1(a) of the GDPR
Granting consent - where we process your personal data based on consent - is voluntary. You are entitled to withdraw your consent(s) for the future at any time, without specifying any reasons and by sending an informal email via the above contact details or via [email protected]. Please note that the withdrawal is only effective from the date on which you notify us of such withdrawal. Processing that took place before the withdrawal is therefore not affected, but you are entitled to request that we provide you with details of, or that we delete, the personal data that we hold about you. Please be aware that any processing on other legal grounds than consent may remain unaffected.
5. Information Choices and Changes
You can opt-out of receiving Vestlane’s marketing emails at any time by selecting the unsubscribe link in any marketing email we send you, or by contacting us. If you opt out, we may still send you non-marketing emails. Non-marketing emails are service focused and so will generally include emails about your accounts and our business dealings with you. Vestlane strives to provide you the tools to update your Personal Data. If you are unable to correct inaccurate information on your own, you may request our assistance to update such information by contacting [email protected].
6. Data Access
Within Vestlane, departments that need to know your data to fulfill our contractual and regulatory obligations can access your data.
In addition, processors (Art. 28 GDPR) engaged by us may also obtain access to data for the above-mentioned purposes. These may be, for example, our IT service providers, hosting provider, background and/or credit reference check providers or third parties that provide printing services, telecommunications, sales and marketing services. If we use processors to provide our services, we will take appropriate legal precautions as well as the relevant contractual, technical and organizational measures to protect personal data in accordance with applicable law.
Any transfer of data to third parties will be made only within the scope of legal requirements. We will disclose your data to third parties only if this is required, for example, under Art. 6 para. 1 (b) GDPR for contractual purposes or based on legitimate interests pursuant to Art. 6 para 1 (f) GDPR in the economic and effective operation of our business or if you have consented to the transfer of data. Recipients of such data may be customers of us to perform a contract or execute pre-contractual measures with you, and other service providers and delegates employed and/or retained by them, professional partners such as private banks, family offices, fund managers, law firms and other service providers, and public authorities.
In the case of purely informational use of the Platform, we do not pass on any data to third parties.
The following is a list of the processors we engage:
Processor: Amazon Web Services EMEA SARL, Avenue John F. Kennedy 38, 1855 Luxembourg, Luxemburg
Function: Operation of the Platform
Data Processing: Personal master data, Address data, Contact details, Payment/bank data, Technical data, Tracking data, Log files, device information (browser to web server), Image and sound recordings
Processing location: Europe
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://aws.amazon.com/privacy/?nc1=f_pr
Processor: Google Workspace, Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Function: Internal organisation of the work process
Data Processing: Personal master data, Address data, Contact details, Payment/bank data
Processing location: Europe
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://policies.google.com/privacy?hl=en
Processor: Azure, Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland.
Function: Operation of the Platform
Data Processing: Personal master data, Address data, Contact details, Payment/bank data, Technical data, Tracking data, Log files, device information (browser to web server), Image and sound recordings
Processing location: Europe (mainly Germany)
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://privacy.microsoft.com/en-us/privacystatement
Processor: Slack Technologies Limited, Salesforce Tower, 60 R801, North Dock, Dublin, Ireland.
Function: Internal communication
Data Processing: Personal master data, Address data, Contact data
Processing location: USA
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://slack.com/intl/en-gb/trust/privacy/privacy-policy
Processor: IDNow GmbH, Auenstraße 100, 80469 München, Deutschland
Function: Costumer identification tool
Data Processing: Personal master data, Address data, contact data, Image and sound recordings
Processing location: Europe, predominantly Germany
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://www.idnow.io/privacy/
Processor: Comply Advantage
Function: AML risk detection
Data Processing: Name, date of birth, address data
Processing location: Europe and outside of the EEA on the basis of Art. 46 para 2 (c) GDPR
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://complyadvantage.com/privacy-notice/
Processor: DocuSign
Function: Electronic signing of documents
Data Processing: Contact details (name, email address, address, phone numbers), Job information (title, place of work), Signatures, IP addresses, other unique device identifiers and geolocation information
Processing location: Europe
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://www.docusign.com/privacy
Processor: NorthData
Function: Database for European companies information
Data Processing: Company information (name, address, structure)
Processing location: Europe (Germany)
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://www.northdata.com/\_privacy
Processor: Klippa
Function: Costumer identification tool
Data Processing: Personal master data, Address data, contact data, Image and sound recordings
Processing location: Europe
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://www.klippa.com/wp-content/uploads/2023/09/Klippa-Privacy-Statement-Website-2023.pdf
Processor: Veriff
Function: Costumer identification tool
Data Processing: Personal master data, Address data, contact data, Image and sound recording
Processing location: Europe
Legal basis: Art. 6 para. 1 (f) of the GDPR
Privacy Policy of Processor for further information: https://www.veriff.com/privacy-notice
7. Data Retention
We generally retain your Personal Data only for as long as necessary to fulfill the purposes outlined in this Privacy Policy.
When determining the relevant retention periods for your Personal Data, we take into account the following factors: (a) any permissions you give us with regards to your Personal Data; (b) our contractual obligations and rights in relation to the Personal Data involved; (c) our legal obligation(s) under relevant laws to retain data for a certain period of time; (d) our legitimate business and commercial interests; (e) whether retention is advisable in light of our legal position (such as with regard to applicable statute of limitations, investigations, litigation, and other potential and actual disputes); and (f) any guidelines issued by relevant data protection authorities.
For security reasons (e.g. to clarify acts of abuse or fraud), log file information is stored for a maximum of 90 days and then deleted. Data whose further storage is necessary for evidentiary purposes is exempt from deletion until the final clarification of the respective incident.
As far as necessary, we process and store your personal data for the duration of our business relationship, which also includes, for example, the initiation of a contract via contact form or by e-mail.
In addition, we are subject to various storage and documentation obligations, which result, among other things, from the German Commercial Code (HGB) and the German Fiscal Code (AO). The retention and documentation periods specified are six and ten years respectively.
Finally, the storage period is also assessed according to the statutory limitation periods, which, for example, according to §§ 195 et seq. of the German Civil Code (BGB), are usually 3 years, but in certain cases can be up to thirty years.
If you exercise your rights as a data subject, we will store the information provided to you in this regard until the expiry of the statutory limitation period pursuant to Section 31 para 2 no 1 OWiG, Section 41 para 1 BDSG, Article 83 para 5 (b) GDPR for 3 years. This period may be extended if the statutory limitation period is extended due to interruptions of the limitation period (e.g. in the context of inquiries by the supervisory authorities).
The retention period for identification data extends beyond the end of your contractual relationship with us. Customers of ours might be subject to AML regulation, especially according to §§ 8, 10 GwG, or mutatis mutandis according to other European or international AML regulation. To support them in their compliance, we store identification data for at least five years. This retention obligation only begins at the end of the calendar year in which our customer relationship with you or the customer relationship between you and one of our customer’s is terminated. The total retention period can therefore be longer than five years after the end of the contract, as the case may be.
Please note that local data retention obligations may apply to our subsidiaries, which may differ from the time periods mentioned above. For further information please contact us at the contact details given above.
8. Transfers to Third Countries
Personal Data is primarily processed in EU/EEA. If we process data in a third country (i.e., outside the European Union (EU), the United Kingdom (UK) or the European Economic Area (EEA) or the processing takes place in the context of the use of third-party services or the disclosure or transfer of data to other persons, entities or companies, this will only be done in accordance with the requirements of the GDPR.
Please note that the US or other third countries may have data protection laws less stringent than or otherwise different from the laws in effect in your country. Possible risks of this data transfer are that access by state authorities, such as security authorities and/or intelligence services, cannot be ruled out and your data could be processed by them, possibly without you being informed separately and without enforceable rights and effective legal remedies being available to you, for reasons of national security, law enforcement or for other purposes in the public interest of the USA.
To ensure appropriate safeguards for the protection of the transfer and processing of personal data outside the EU/UK/EEA, the transfer of data to and processing of data is based on appropriate safeguards pursuant to Art. 46 et seq. GDPR, in particular by concluding so-called standard data protection clauses pursuant to Art. 46 (2) (c) GDPR.
If you are located in the United Kingdom (UK) or European Economic Area (EEA), and we share your Personal Data to parties in the US or any other countries not recognized as adequate for the transfer of your Personal Data, to the extent a safeguard is required under law for such transfers of your Personal Data, we have put in place the UK government approved international data transfer agreement/addendum (for UK transfers) and Standard Contractual Clauses approved by the EU Commission (for EEA transfers). Please contact us for further details on the safeguards in place and how to obtain a copy.
The data collected by the products listed within the scope of this declaration from US providers or their affiliated companies, may be stored and processed by them in the USA, among other places. We have no influence on further data processing by the US service providers. For a data transfer to a third country, i.e. a country outside the EU or the EEA, appropriate guarantees for the protection of your personal data are generally required.
9. Data Subject Rights
You have specific rights concerning your Personal Data and can exercise these rights by contacting us.
Right to information: You have the right to obtain information about the Personal Data that we store about you. In case of an information request, we will provide you with the stored personal data. You also have the right to the information specified in detail in Art. 15 para 1 GDPR. However, the aforementioned right is not unlimited; the right to obtain a copy of your personal data shall not adversely affect the rights and freedoms of others under Art. 15 para 4 GDPR.
Right to rectification and erasure: You may request the correction of incorrect Personal Data and – insofar as the legal requirements are met – the erasure of your Personal Data in accordance with Art. 16, Art. 17 GDPR. The right to erasure (“right to be forgotten”) is not unrestricted. In particular, erasure cannot be demanded, if we need to process your personal data further in order to perform our contract, to fulfil a legal obligation or to assert, exercise or defend legal claims. The requirements and restrictions of the right to deletion are set out in detail in Art. 17 GDPR.
Restriction of processing: As far as the legal requirements are met, you may request that we restrict the processing of your Personal Data. In this case, we may continue to store this data, but may process it only under strict conditions. The conditions and restrictions of the right to restrict processing are set out in detail in Art. 18 GDPR.
Data portability: You may request to receive Personal Data provided by you, which we process in an automated process, on the basis of the contract existing between us, or your consent, in a structured, common and machine-readable format. In addition, you may request us to transmit this data directly to another responsible party, insofar as this is technically feasible. The requirements and restrictions of the aforementioned rights can be found in detail in Art. 20 para 3 and 4 GDPR.
Objection to data processing: You may object to the processing of your Personal Data at any time if there is a legitimate interest of you arising from your particular situation. In such case, we will stop the processing of your Personal Data, unless we can – in accordance with the legal requirements – prove compelling legitimate grounds for processing that outweigh your interests, rights and freedoms, or the processing serves the purposes of asserting, exercising or defending legal claims.
Revocation of consent: If you have consented to the processing of your Personal Data, e.g. for direct marketing purposes, you can revoke your consent at any time with effect for the future. The lawfulness of the processing of your Personal Data prior to the revocation remains unaffected.
Right to complain to the supervisory authority: You can file a complaint with the competent supervisory authority if you believe that the processing of your Personal Data violates applicable law. You can contact the data protection authority which is responsible for your place of residence or your country or the data protection authority responsible for us.
Contact: Furthermore, you can contact us free of charge with any questions about the processing of your Personal Data, your rights as a data subject and any consent you have given under the contact information given above. If you want to revoke your consent, you can choose the same channel which you used when you submitted the consent.
Automated individual decision-making, including profiling: In the context of accessing our Platform or in the context of contacting us by form or e-mail, we do not use any fully automated decision-making pursuant to Article 22 GDPR. Should we use these procedures in individual cases, we will inform you about this separately if this is required by law. We do not process your data automatically with the aim of evaluating certain personal aspects (profiling).
10. Changes to this Privacy Policy
We may periodically make changes to this Privacy Policy. We will notify you of any significant changes where we have a relationship with you and otherwise post updated versions here. We recommend that you revisit this Privacy Policy regularly.
Datenschutzerklärung - App
Zuletzt aktualisiert: 17. Juli 2024
1. Einleitung
Diese Datenschutzerklärung (im Folgenden "Datenschutzerklärung") beschreibt, wie die Vestlane GmbH (im Folgenden "Vestlane") und ihre verbundenen und/oder angeschlossenen Unternehmen (das "Unternehmen", "Vestlane", "uns", "unser", "ihre" oder "wir") persönliche Daten (wie unten definiert) von Kunden, Investoren und anderen Nutzern der Vestlane App (https://app.vestlane.com) und jeder Subdomain oder anderen Top-Level-Domains der Plattform ("Plattform") sammelt, verwendet, offenlegt und weitergibt.
Diese Datenschutzerklärung gilt auch für alle Vestlane-Dienste, Tools oder Plattformen, Mobile oder Desktop-Anwendungen und andere Interaktionen (wie z. B. Chat, E-Mail, Kundendienstanfragen, Konferenzen usw.), die Sie mit uns haben können. Wenn Sie mit den Bedingungen nicht einverstanden sind, sollten Sie nicht auf die Plattform, die Dienste, die Websites oder andere Aspekte des Geschäfts von Vestlane zugreifen oder diese nutzen.
Bitte beachten Sie, dass, wenn Sie von einem unserer Kunden (z. B. Fondsmanager, Fondsverwalter, Anwaltskanzleien, Steuerberater usw.) für deren Fundraising- oder Betriebszwecke Zugang zu unserer Plattform erhalten, Vestlane der Verarbeiter der persönlichen Daten ist, die Sie auf der Plattform für die Fundraising- oder Betriebszwecke dieses Kunden bereitstellen.
Das bedeutet, dass wir solche personenbezogenen Daten nur auf Anweisung dieses Kunden verarbeiten, z. B. für dessen Fonds- oder Vehikel-Zwecke, und dass dieser Kunde für Ihre personenbezogenen Daten verantwortlich ist. Sie sollten sich an die Datenschutzbestimmungen dieses Kunden wenden, um ihn zu kontaktieren oder Ihre Rechte auszuüben. Für den Fall, dass Sie als Anleger ein bereits bestehendes Profil auf unserer Plattform unterhalten und sich dafür entscheiden, dieses Profil für eine neue Investition mit einem anderen Kunden zu nutzen, geht unsere Rolle über die bloße Verarbeitung von Daten für diesen Kunden hinaus. Wir übernehmen auch die Rolle eines für die Wiederverwendung der von Ihnen gewählten personenbezogenen Daten Verantwortlichen. Folglich gelten für diese Daten die in unserer Datenschutzerklärung aufgeführten Bestimmungen.
Wir informieren Sie über die Verarbeitung Ihrer personenbezogenen Daten und über die Rechte, die Ihnen nach der Europäischen Datenschutz-Grundverordnung (DSGVO) und anderen anwendbaren gesetzlichen Datenschutzgesetzen und -vorschriften zustehen.
"Personenbezogene Daten" sind alle Informationen, die wir über Sie verarbeiten und die sich auf Sie beziehen oder die verwendet werden können, um Sie als natürliche Person ("betroffene Person") direkt oder indirekt zu identifizieren, z. B. Ihr Name, Ihre E-Mail-Adresse, Ihre Adresse, Ihre Bestelldaten, Ihre Zahlungsdaten oder alle Inhalte Ihres Benutzerprofils. Sie haben uns personenbezogene Daten zur Verfügung gestellt oder müssen uns diese möglicherweise zur Verfügung stellen, wenn Sie Informationen über Vestlane anfordern, Vestlane-Kunde werden oder die Vestlane-Plattform unter https://app.vestlane.com oder einer ihrer Subdomains nutzen. Dazu gehören auch Informationen, die notwendigerweise im Laufe der Investitionsbeziehung anfallen, wie z. B. die Bankverbindung des Anlegers, der investierte Betrag und die Beteiligungen an einem Fonds oder Vehikel.
In dieser Datenschutzerklärung verwenden wir verschiedene andere Begriffe, die in der DSGVO definiert sind. Dazu gehören Begriffe wie Verarbeitung, Profiling, Pseudonymisierung, Verantwortlicher, Auftragsverarbeiter, Empfänger, Dritter, Einwilligung, Aufsichtsbehörde und internationale Organisation. Die entsprechenden Definitionen für diese Begriffe finden Sie in Artikel 4 der DSGVO.
2. Wer ist für die Datenverarbeitung verantwortlich?
Die für die Erhebung und Verarbeitung personenbezogener Daten zuständige Stelle ist:
Vestlane GmbH,
Kurfürstendamm 12,
10719 Berlin,
Deutschland
Kontaktangaben des ernannten externen Datenschutzbeauftragten:
SECJUR GmbH
Steinhöft 9
20459 Hamburg
Telefon: +49 40 228 599 520
E-Mail: [email protected];
3. Daten, die wir von Ihnen sammeln
3.1 Informationen, die Sie uns zur Verfügung stellen
Gegebenenfalls erfassen wir Ihren Namen, Ihre Adresse, Ihre E-Mail-Adresse, Ihre Telefonnummer, Ihren Benutzernamen, Ihr Passwort (verschlüsselt), demografische Informationen (z. B. Ihr Geburtsdatum, Ihren Beruf usw.), Bankdaten sowie andere Informationen, die Sie uns direkt auf unserer Plattform und im Laufe unserer Geschäftsbeziehung per E-Mail oder über andere Mittel des Datenaustauschs mitteilen.
3.2. Automatisch gesammelte Informationen
Wenn Sie auf unsere Plattform zugreifen, erheben wir die folgenden Zugriffsdaten, die technisch notwendig sind, damit wir Ihnen unsere Plattform präsentieren können und um die Stabilität und Sicherheit zu gewährleisten. Zu den Zugriffsdaten gehören die IP-Adresse, das Datum und die Uhrzeit der Anfrage, die Zeitzonendifferenz zur Greenwich Mean Time (GMT), der Inhalt der Anfrage (d.h. der Name der konkret aufgerufenen Webseite), der Zugriffsstatus/HTTP-Statuscode, die jeweils übertragene Datenmenge, die Referrer-URL (die zuvor besuchte Seite), das Betriebssystem und dessen Schnittstelle, die Sprache und Version sowie die Art der Browser-Software und die Meldung über den erfolgreichen Abruf.
3.3 Informationen über Anleger/Nutzer
Wenn Sie ein Anleger/Nutzer oder potenzieller Anleger/Nutzer bei Vestlane sind, sammeln wir bestimmte Informationen über Sie, um Ihnen die Teilnahme am Fundraising unserer Kunden oder an anderen Arbeitsabläufen für betriebliche Zwecke zu ermöglichen. Die Informationen, die wir sammeln, variieren je nach Fonds oder Vehikel und spezifischem Arbeitsablauf, aber zusätzlich zu den Informationen, die Sie uns geben, insbesondere wenn Sie sich bestimmten Verifizierungsprüfungen unterziehen und Identitätsinformationen wie Ihren Personalausweis oder Reisepass einreichen, verarbeiten wir Ihre in diesen Dokumenten enthaltenen persönlichen Daten. Darüber hinaus können wir Informationen über Ihre Sozialversicherungsnummer, Steueridentifikationsnummern, andere staatliche Ausweisdokumente wie Führerscheine oder Kontoauszüge, Adressnachweise, Ihren Akkreditierungs- bzw. Qualifikationsstatus als Anleger, den Betrag und die Quelle des Kapitals, das Sie in einen Fonds oder ein Vehikel zu investieren beabsichtigen, und/oder Kontaktinformationen von Dritten, die an einem Investitionsprozess beteiligt sind, wie Mitunterzeichner, wirtschaftlich Berechtigte, Partner usw., erfassen und verarbeiten.
3.3 Informationen, die wir von anderen erhalten
Wir können Informationen über Sie aus anderen Quellen erhalten. Wir können diese Informationen zu den von Ihnen über unsere Plattform bereitgestellten Informationen hinzufügen. Wenn Sie beispielsweise ein Anleger sind, können wir Anlegerinformationen von unseren Kunden oder deren Dienstleistern (z. B. Anwälten, Fondsverwaltern, Steuerberatern usw.) erhalten.
3.4 Cookies
Wir verwenden ein "Secured Cookie", um das Zugangstoken zur Plattform zu speichern.
3.5 Analyse und andere externe Online-Dienste oder Produkte
Wir verwenden Google Analytics als Webanalysedienst. Er wird von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, bereitgestellt (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Die folgenden Daten sind betroffen: Google Client ID, Klickpfad, Datum und Uhrzeit des Besuchs, Geräteinformationen, Standortinformationen, IP-Adresse, besuchte Seiten, Referrer URL, Browser Info, Hostname, Browsersprache, Browsertyp, Bildschirmauflösung, Gerätebetriebssystem, Interaktionsdaten, Nutzerverhalten, besuchte URL
Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 f) DSGVO und die Daten werden in Europa gespeichert
Auf der Plattform nutzen wir auch Usersnap als Plattform für Nutzerfeedback. Dieser Dienst wird von der Usersnap GmbH, Energiestrasse 1, A-4020 Linz, Österreich, bereitgestellt. Dies kann Kontakt- oder Nutzungsdaten der Nutzer betreffen. Die Rechtsgrundlage ist Artikel Art. 6 Abs. 1 f) DSGVO. Die Daten werden ausschließlich innerhalb der DSGVO-konformen Bereiche gespeichert.
4. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der Europäischen Datenschutzverordnung (Verordnung (EU) 2016/679 vom 27. April 2016, die "DSGVO") und des deutschen Bundesdatenschutzgesetzes ("BDSG") (bzw. in anderen Rechtsordnungen gemäß den in den entsprechenden Abschnitten am Ende dieser Datenschutzerklärung dargelegten Rechtsvorschriften) für die folgenden Zwecke und auf der Grundlage der folgenden Rechtsgrundlagen. Wo in diesem Abschnitt auf die DSGVO, das BDSG und andere Gesetze verwiesen wird, sind diese als Verweis auf die entsprechenden Gesetze zu verstehen, die in der jeweiligen Rechtsordnung in Bezug auf personenbezogene Daten gelten, die in dieser anderen Rechtsordnung erhoben und verarbeitet werden.
Zweck: Wenn Sie uns Ihre Einwilligung gegeben haben, personenbezogene Daten für bestimmte Zwecke zu verarbeiten, insbesondere um mit Ihnen in Kontakt zu treten (z. B. Versand von Newslettern, Ankündigung neuer Produkteigenschaften, Werbemitteilungen, Werbung per Telefon, E-Mail, SMS oder im Zusammenhang mit der Einrichtung eines Benutzerkontos), ist diese Verarbeitung auf der Grundlage Ihrer Einwilligung rechtmäßig.
Rechtsgrund: Einwilligung, Art. 6 Abs. 1 a) DSGVO
Zweck: Wenn Sie mit uns in Kontakt treten (per Kontaktformular, Chat oder E-Mail), werden Ihre Daten zum Zweck der Bearbeitung der Kontaktanfrage und deren Abwicklung verarbeitet, insbesondere um auf Kommentare, Anfragen und Fragen zu antworten, den Zugang zu den Berechtigungen zu überprüfen und um einen allgemeinen Kundenservice und -support zu bieten.
Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO
Ansonsten: Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO
Zweck: Soweit dies für die Beteiligung des Anlegers an einem Fonds, Vehikel oder sonstigen damit verbundenen Arbeitsabläufen erforderlich ist, verarbeiten wir personenbezogene Daten insbesondere zur Unterstützung unserer Kunden bei der Aufnahme des Anlegers als Kommanditist, einschließlich der Kapitaleinlage des Anlegers, der Abwicklung von Kommunikationsprozessen, intern und extern (z.B. Korrespondenz), administrativen Aufgaben wie Auszahlungs- und Ausschüttungsmitteilungen, allgemeinen Investor Relations, steuerlichen und aufsichtsrechtlichen Anmeldungen/Berichten und angrenzenden Arbeitsabläufen.
Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO
Ansonsten: Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO
Zweck: Zur Verhinderung und Aufdeckung von Geldwäsche und Terrorismusfinanzierung sowie zur Einhaltung sonstiger Vorschriften in Bezug auf Sanktionen und Embargos im Rahmen unseres KYC-Prozesses (Know Your Customer) können wir allgemeine personenbezogene Daten, Bankdaten und Metadaten verarbeiten, u. a. um Sie zu identifizieren, Ihre Identität zu überprüfen, Ihre Angaben mit Listen und Datenbanken über politisch exponierte Personen (PEP), Sanktionen, Hochrisikoländer und negative Medien abzugleichen und Ihr (Risiko-)Profil zu bestimmen.
Bitte beachten Sie, dass solche Dienste auch von Drittanbietern erbracht werden können.
Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO
Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO
Zweck: Ein Identifizierungsverfahren, das mit den örtlichen Finanzbehörden konform ist, könnte die Speicherung (gegebenenfalls im Namen unserer Kunden) von Audio- und Videoaufzeichnungen des Identifizierungsverfahrens, der identifizierten Person selbst und des Identifizierungsdokuments, von Bildern der identifizierten Person, der Vorderseite und (falls vorhanden) der Rückseite des Identifizierungsdokuments der identifizierten Person umfassen, sowie
persönliche Daten wie Vorname, Name, Straße, Hausnummer, Postleitzahl, Wohnort, Geburtsdatum, Geburtsort, Staatsangehörigkeit, E-Mail, Mobiltelefonnummer,
Ausweis-/Passdaten wie Art des Ausweises, Ausweisnummer, ausstellendes Land, Ausstellungsdatum, Gültigkeitsdatum, ausstellende Behörde usw. ("Identifikationsdaten"). Bitte beachten Sie, dass solche Dienste auch von Drittanbietern erbracht werden können.
In der Regel speichern wir solche Identifikationsdaten im Namen und auf Rechnung des verpflichteten Kunden, der die betreffende Person ursprünglich identifiziert hat.
Um bestimmte Vorschriften einzuhalten, gewähren wir sofortigen Zugang zu diesen Identifikationsdaten.
Um wiederholte Video-Identifizierungen von Nutzern zu vermeiden (nach dem Grundsatz der Datenminimierung), kann ein verpflichteter Kunde auf Identifikationsdaten zugreifen, die ursprünglich von einem anderen Kunden abgerufen wurden, wenn der zugreifende Kunde gesetzlich verpflichtet ist, den jeweiligen Anleger zu identifizieren (z. B. aufgrund von AML-Vorschriften). In einem solchen Fall können wir als technischer Bote zwischen diesen Kunden agieren und dem zugreifenden Kunden Zugang zu den Identifizierungsdaten gewähren. Dies gilt insbesondere für Fälle, in denen die europäische Geldwäschebekämpfungsverordnung die Übermittlung von Identifikationsdaten eines Anlegers zwischen sogenannten Verpflichteten, die KYC/AML-Anforderungen erfüllen müssen (z.B. Fonds, Fondsmanager), erlaubt. Die Verarbeitung dient in der Regel dem Zweck, behördlichen Kontroll- und Informationspflichten nachzukommen.
Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO
Zweck: Zur Erleichterung weiterer Investitionen oder operativer Abläufe eines Nutzers mit anderen Kunden von uns bieten wir an, die übermittelten personenbezogenen Daten zu speichern und zu verarbeiten, um es den Investoren/Nutzern zu ermöglichen, ihre verifizierten Daten auch für potenzielle zukünftige Investitionen oder Abläufe oder andere Aktivitäten auf Vestlane zu verwenden.
Ohne die Zustimmung des jeweiligen Nutzers werden die persönlichen Daten des Nutzers nicht an Dritte weitergegeben. Der Nutzer kann diese Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der auf der Grundlage der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Rechtsgrund: Einwilligung, Art. 6 Abs. 1 a) DSGVO
Zweck: Senden von E-Mails und anderen Mitteilungen bezüglich unseres Dienstes, die für technische oder administrative Zwecke erforderlich sind, wie z. B. Bestätigungen, Rechnungen und Abrechnungen, technische Mitteilungen, Updates, Sicherheitswarnungen und Support- und Verwaltungsmitteilungen sowie Nachrichten und andere Arten von wichtigen Mitteilungen. Diese Mitteilungen werden als Teil des Dienstes betrachtet und Sie können sich nicht dagegen entscheiden.
Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO
Zweck: Darüber hinaus verarbeiten wir personenbezogene Daten zur betrieblichen Leistungserfassung und -auswertung, zur internen Kommunikation, zur Gewährleistung der Betriebssicherheit, zur Beantwortung behördlicher Anfragen, zur Geltendmachung von Rechtsansprüchen, zur Entwicklung und Bereitstellung von Such-, Lern- und Produktivitätswerkzeugen und Zusatzfunktionen.
Rechtsgrund: Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO
Zweck: Um mit Ihnen in Kontakt zu treten und unsere Beziehung zu Ihnen und/oder Ihrem Unternehmen zu verwalten, wenn Sie ein Lieferant/Partner oder der Vertreter eines Kunden/Lieferanten/Partners sind, mit dem wir eine Geschäftsbeziehung unterhalten.
Rechtsgrund: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person, Art. 6 Abs. 1 b) DSGVO
Zweck: Wir verarbeiten Ihre Plattformzugangsdaten zur Wahrung unserer berechtigten Interessen oder der Interessen Dritter. Insbesondere verfolgen wir die folgenden berechtigten Interessen:
- Gewährleistung der IT-Sicherheit, insbesondere der Sicherheit unserer Plattform; wir speichern auch die IP-Adresse für den Fall, dass jemand über die Kommentarfunktion rechtswidrige Inhalte hinterlässt (Beleidigungen, verbotene Propaganda etc.) und wir zu unserem eigenen Rechtsschutz die Identität des Verfassers feststellen können müssen;
- Überwachung und Verbesserung unserer Beziehungen zu Kunden, Investoren und anderen Nutzern;
- Geltendmachung von Rechtsansprüchen und Durchführung unserer Verteidigung im Falle von Rechtsstreitigkeiten.
In jedem Fall bleibt unser berechtigtes Interesse verhältnismäßig, und wir prüfen im Rahmen einer Abwägung, ob Ihre Interessen oder Grundrechte gewahrt werden.
Rechtsgrund: Wahrung der berechtigten Interessen, Art. 6 Abs. 1 f) DSGVO
Zweck: Wir verarbeiten Daten
- wenn wir ein Geschäft abschließen oder ein Geschäft aushandeln, das den Verkauf oder die Übertragung unseres gesamten oder eines Teils unseres Geschäfts oder unserer Vermögenswerte beinhaltet. Zu diesen Geschäften können Fusionen, Finanzierungen, Übernahmen, Konkursverfahren oder Transaktionen gehören. Die weitergegebenen personenbezogenen Daten können an Geschäftspartner und andere Personen weitergegeben werden, die uns bei der Abwicklung des Geschäfts unterstützen.
- Wir können Informationen an diejenigen weitergeben, die sie benötigen, um für uns zu arbeiten. Dazu gehört auch, dass wir Vestlane-Mitarbeitern und Dienstleistern den erforderlichen Zugang gewähren, damit sie ihre Aufgaben erfüllen können.
- Wir können aggregierte oder anonymisierte Daten weitergeben. Dies gilt auch für Marketing-, Analyse- oder Forschungszwecke.
Rechtsgrund: Wahrung der berechtigten Interessen, Art. 6 Abs. 1 f) DSGVO & Einwilligung, Art. 6 Abs. 1 a) DSGVO
Die Erteilung einer Einwilligung - sofern wir Ihre personenbezogenen Daten auf der Grundlage einer Einwilligung verarbeiten - ist freiwillig. Sie haben das Recht, Ihre Einwilligung(en) jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen, indem Sie eine formlose E-Mail über die oben genannten Kontaktdaten oder über [email protected] senden. Bitte beachten Sie, dass der Widerruf erst ab dem Zeitpunkt wirksam wird, an dem Sie uns den Widerruf mitteilen. Verarbeitungen, die vor dem Widerruf stattgefunden haben, sind daher nicht betroffen, aber Sie haben das Recht, von uns zu verlangen, dass wir Ihnen Einzelheiten über die personenbezogenen Daten, die wir über Sie gespeichert haben, mitteilen oder sie löschen. Bitte beachten Sie, dass eine Verarbeitung aus anderen Rechtsgründen als der Einwilligung unberührt bleiben kann.
5. Auswahl von Informationen und Änderungen
Sie können den Erhalt von Marketing-E-Mails von Vestlane jederzeit abbestellen, indem Sie den Abmeldelink in jeder Marketing-E-Mail, die wir Ihnen senden, anklicken oder indem Sie uns kontaktieren. Wenn Sie sich abmelden, können wir Ihnen weiterhin Nicht-Marketing-E-Mails schicken. Nicht-Marketing-E-Mails sind dienstleistungsorientiert und enthalten daher im Allgemeinen E-Mails über Ihre Konten und unsere Geschäftsbeziehungen mit Ihnen. Vestlane ist bestrebt, Ihnen die Instrumente zur Aktualisierung Ihrer persönlichen Daten zur Verfügung zu stellen. Wenn Sie nicht in der Lage sind, ungenaue Informationen selbst zu korrigieren, können Sie unsere Unterstützung bei der Aktualisierung dieser Informationen anfordern, indem Sie sich an [email protected] wenden.
6. Datenzugang
Innerhalb von Vestlane können die Abteilungen, die Ihre Daten kennen müssen, um unsere vertraglichen und gesetzlichen Verpflichtungen zu erfüllen, auf Ihre Daten zugreifen.
Darüber hinaus können auch von uns beauftragte Auftragsverarbeiter (Art. 28 DSGVO) zu den oben genannten Zwecken Zugang zu Daten erhalten. Dabei kann es sich beispielsweise um unsere IT-Dienstleister, Hosting-Provider, Anbieter von Hintergrund- und/oder Kreditauskünften oder Dritte handeln, die Druck-, Telekommunikations-, Vertriebs- und Marketingdienstleistungen erbringen. Wenn wir für die Erbringung unserer Dienstleistungen Auftragsverarbeiter einsetzen, werden wir angemessene rechtliche Vorkehrungen sowie die entsprechenden vertraglichen, technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Einklang mit dem geltenden Recht treffen.
Eine Weitergabe von Daten an Dritte erfolgt nur im Rahmen der gesetzlichen Bestimmungen. Wir werden Ihre Daten nur dann an Dritte weitergeben, wenn dies z.B. nach Art. 6 Abs. 1 b) DSGVO zu vertraglichen Zwecken oder auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 f) DSGVO für den wirtschaftlichen und effektiven Betrieb unseres Unternehmens erforderlich ist oder wenn Sie in die Übermittlung der Daten eingewilligt haben. Empfänger solcher Daten können Kunden von uns sein, um einen Vertrag mit Ihnen zu erfüllen oder vorvertragliche Maßnahmen durchzuführen, sowie andere Dienstleister und von ihnen beauftragte und/oder beauftragte Vertreter, professionelle Partner wie Privatbanken, Family Offices, Fondsmanager, Anwaltskanzleien und andere Dienstleister sowie Behörden.
Bei einer rein informatorischen Nutzung der Plattform geben wir keine Daten an Dritte weiter.
Im Folgenden finden Sie eine Liste der von uns beauftragten Auftragsverarbeiter:
Auftragsverarbeiter: Amazon Web Services EMEA SARL, Avenue John F. Kennedy 38, 1855 Luxemburg, Luxemburg
Funktion: Betrieb der Plattform
Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Zahlungs-/Bankdaten, technische Daten, Trackingdaten, Logfiles, Geräteinformationen (Browser zum Webserver), Bild- und Tonaufzeichnungen
Ort der Verarbeitung: Europa
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://aws.amazon.com/privacy/?nc1=f_pr
Auftragsverarbeiter: Google Workspace, Google Ireland Limited, Gordon House, Barrow Street Dublin 4, Irland
Funktion: Interne Organisation des Arbeitsprozesses
Datenverarbeitung: Persönliche Stammdaten, Adressdaten, Kontaktangaben, Zahlungs-/Bankdaten
Ort der Verarbeitung: Europa
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://policies.google.com/privacy?hl=en
Auftragsverarbeiter: Azure, Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.
Funktion: Betrieb der Plattform
Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Zahlungs-/Bankdaten, technische Daten, Trackingdaten, Logfiles, Geräteinformationen (Browser zum Webserver), Bild- und Tonaufzeichnungen
Ort der Verarbeitung: Europa (hauptsächlich Deutschland)
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://privacy.microsoft.com/en-us/privacystatement
Auftragsverarbeiter: Slack Technologies Limited, Salesforce Tower, 60 R801, North Dock, Dublin, Irland
Funktion: Interne Kommunikation
Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten
Ort der Verarbeitung: USA
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://slack.com/intl/en-gb/trust/privacy/privacy-policy
Auftragsverarbeiter: IDNow GmbH, Auenstraße 100, 80469 München, Deutschland
Funktion: Werkzeug zur Kundenidentifizierung
Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Bild- und Tonaufnahmen
Ort der Verarbeitung: Europa, vor allem Deutschland
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.idnow.io/privacy/
Auftragsverarbeiter: Comply Advantage
Funktion: Erkennung von AML-Risiken
Datenverarbeitung: Name, Geburtsdatum, Adressdaten
Ort der Verarbeitung: Europa und außerhalb des EWR auf der Grundlage von Art. 46 Abs. 2 (c) DSGVO
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://complyadvantage.com/privacy-notice/
Auftragsverarbeiter: NorthData
Funktion: Datenbank für Informationen über europäische Unternehmen
Datenverarbeitung: Unternehmensinformationen (Name, Adresse, Struktur)
Ort der Verarbeitung: Europa (Deutschland)
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.northdata.com/\_privacy
Auftragsverarbeiter: Klippa
Funktion: Werkzeug zur Kundenidentifizierung
Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Bild- und Tonaufnahmen
Ort der Verarbeitung: Europa
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.klippa.com/wp-content/uploads/2023/09/Klippa-Privacy-Statement-Website-2023.pdf
Auftragsverarbeiter: Veriff
Funktion: Werkzeug zur Kundenidentifizierung
Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Bild- und Tonaufnahmen
Ort der Verarbeitung: Europa
Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO
Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.veriff.com/privacy-notice
7. Vorratsdatenspeicherung
Wir bewahren Ihre persönlichen Daten im Allgemeinen nur so lange auf, wie es für die Erfüllung der in dieser Datenschutzerklärung genannten Zwecke erforderlich ist.
Bei der Festlegung der entsprechenden Aufbewahrungsfristen für Ihre personenbezogenen Daten berücksichtigen wir die folgenden Faktoren: (a) alle Erlaubnisse, die Sie uns in Bezug auf Ihre personenbezogenen Daten erteilen; (b) unsere vertraglichen Verpflichtungen und Rechte in Bezug auf die betreffenden personenbezogenen Daten; (c) unsere rechtliche(n) Verpflichtung(en) gemäß den einschlägigen Gesetzen, Daten für einen bestimmten Zeitraum aufzubewahren; (d) unsere legitimen geschäftlichen und kommerziellen Interessen; (e) ob die Aufbewahrung angesichts unserer Rechtslage ratsam ist (z. B. im Hinblick auf geltende Verjährungsfristen, Untersuchungen, Rechtsstreitigkeiten und andere potenzielle und tatsächliche Streitigkeiten); und (f) alle von den einschlägigen Datenschutzbehörden herausgegebenen Richtlinien.
Aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) werden Logfile-Informationen für maximal 90 Tage gespeichert und dann gelöscht. Daten, deren weitere Speicherung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.
Soweit erforderlich, verarbeiten und speichern wir Ihre personenbezogenen Daten für die Dauer unserer Geschäftsbeziehung, wozu z.B. auch die Vertragsanbahnung per Kontaktformular oder per E-Mail gehört.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die vorgegebenen Aufbewahrungs- und Dokumentationsfristen betragen sechs bzw. zehn Jahre.
Schließlich bemisst sich die Aufbewahrungsfrist auch nach den gesetzlichen Verjährungsfristen, die z.B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel 3 Jahre, in bestimmten Fällen aber auch bis zu dreißig Jahre betragen können.
Machen Sie von Ihren Rechten als Betroffener Gebrauch, speichern wir die Ihnen in diesem Zusammenhang erteilten Auskünfte bis zum Ablauf der gesetzlichen Verjährungsfrist gemäß § 31 Abs. 2 Nr. 1 OWiG, § 41 Abs. 1 BDSG, Art. 83 Abs. 5 b) DSGVO für 3 Jahre. Diese Frist kann sich verlängern, wenn sich die gesetzliche Verjährungsfrist aufgrund von Verjährungsunterbrechungen (z.B. im Rahmen von Ermittlungen der Aufsichtsbehörden) verlängert.
Die Aufbewahrungsfrist für Identifikationsdaten geht über das Ende Ihres Vertragsverhältnisses mit uns hinaus. Kunden von uns können der AML-Regulierung, insbesondere nach §§ 8, 10 GwG, oder mutatis mutandis anderen europäischen oder internationalen AML-Regulierungen unterliegen. Um sie bei der Einhaltung dieser Vorschriften zu unterstützen, speichern wir Identifikationsdaten für mindestens fünf Jahre. Diese Aufbewahrungspflicht beginnt erst mit dem Ende des Kalenderjahres, in dem unsere Kundenbeziehung zu Ihnen oder die Kundenbeziehung zwischen Ihnen und einem unserer Kunden beendet wird. Die gesamte Aufbewahrungsfrist kann daher länger als fünf Jahre nach Beendigung des Vertragsverhältnisses sein.
Bitte beachten Sie, dass für unsere Tochtergesellschaften lokale Verpflichtungen zur Datenaufbewahrung gelten können, die von den oben genannten Zeiträumen abweichen können. Für weitere Informationen kontaktieren Sie uns bitte unter den oben angegebenen Kontaktdaten.
8. Übertragungen in Drittländer
Personenbezogene Daten werden hauptsächlich in der EU/EWR verarbeitet. Wenn wir Daten in einem Drittland (d. h. außerhalb der Europäischen Union (EU), des Vereinigten Königreichs (UK) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Zusammenhang mit der Nutzung von Diensten Dritter oder der Offenlegung oder Übermittlung von Daten an andere Personen, Einrichtungen oder Unternehmen erfolgt, geschieht dies nur in Übereinstimmung mit den Anforderungen der DSGVO.
Bitte beachten Sie, dass in den USA oder anderen Drittländern möglicherweise weniger strenge Datenschutzgesetze gelten als in Ihrem Land oder sich diese von den dort geltenden Gesetzen unterscheiden. Mögliche Risiken dieser Datenübermittlung bestehen darin, dass ein Zugriff staatlicher Behörden, wie z. B. Sicherheitsbehörden und/oder Nachrichtendienste, nicht ausgeschlossen werden kann und Ihre Daten von diesen, möglicherweise ohne Sie gesondert zu informieren und ohne dass Ihnen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, aus Gründen der nationalen Sicherheit, der Strafverfolgung oder für andere Zwecke im öffentlichen Interesse der USA verarbeitet werden könnten.
Um angemessene Garantien für den Schutz der Übermittlung und Verarbeitung personenbezogener Daten außerhalb der EU/des Vereinigten Königreichs/des EWR zu gewährleisten, stützt sich die Übermittlung von Daten an und die Verarbeitung von Daten auf angemessene Garantien gemäß Art. 46 ff. DSGVO, insbesondere durch den Abschluss von sog. Standard-Datenschutzklauseln gemäß Art. 46 Abs. 2 c) DSGVO.
Wenn Sie im Vereinigten Königreich (UK) oder im Europäischen Wirtschaftsraum (EWR) ansässig sind und wir Ihre personenbezogenen Daten an Parteien in den USA oder in anderen Ländern weitergeben, die nicht als angemessen für die Übermittlung Ihrer personenbezogenen Daten anerkannt sind, haben wir in dem Maße, in dem eine Schutzmaßnahme für solche Übermittlungen Ihrer personenbezogenen Daten gesetzlich vorgeschrieben ist, die von der britischen Regierung genehmigte internationale Datenübermittlungsvereinbarung/-zusatz (für Übermittlungen im UK) und die von der EU-Kommission genehmigten Standardvertragsklauseln (für Übermittlungen im EWR) implementiert. Bitte wenden Sie sich an uns, wenn Sie weitere Einzelheiten über die bestehenden Schutzmaßnahmen erfahren möchten und wissen möchten, wie Sie eine Kopie erhalten können.
Die von den im Rahmen dieser Erklärung aufgeführten Produkten bei US-Anbietern oder mit diesen verbundenen Unternehmen erhobenen Daten können von diesen unter anderem in den USA gespeichert und verarbeitet werden. Auf die weitere Datenverarbeitung durch die US-Anbieter haben wir keinen Einfluss. Bei einer Datenübermittlung in ein Drittland, d.h. ein Land außerhalb der EU oder des EWR, sind angemessene Garantien für den Schutz Ihrer personenbezogenen Daten in der Regel erforderlich.
9. Rechte der betroffenen Personen
Sie haben bestimmte Rechte in Bezug auf Ihre persönlichen Daten und können diese Rechte ausüben, indem Sie sich an uns wenden.
Recht auf Auskunft: Sie haben das Recht, Auskunft über die personenbezogenen Daten zu erhalten, die wir über Sie speichern. Auf Verlangen wird Ihnen Auskunft über die zu Ihrer Person gespeicherten Daten erteilt. Sie haben außerdem das Recht auf die in Art. 15 Abs. 1 DSGVO. Das vorgenannte Recht ist jedoch nicht unbegrenzt; das Recht, eine Kopie Ihrer personenbezogenen Daten zu erhalten, darf die Rechte und Freiheiten anderer Personen nach Art. 15 Abs. 4 DSGVO.
Recht auf Berichtigung und Löschung: Sie können die Berichtigung unrichtiger personenbezogener Daten und - soweit die gesetzlichen Voraussetzungen erfüllt sind - die Löschung Ihrer personenbezogenen Daten gemäß Art. 16, Art. 17 DSGVO. Das Recht auf Löschung ("Recht auf Vergessenwerden") ist nicht uneingeschränkt. Insbesondere kann die Löschung nicht verlangt werden, wenn wir Ihre personenbezogenen Daten zur Erfüllung unseres Vertrages, zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterverarbeiten müssen. Die Voraussetzungen und Einschränkungen des Rechts auf Löschung sind im Einzelnen in Art. 17 DSGVO.
Recht auf Einschränkung der Verarbeitung: Soweit die gesetzlichen Voraussetzungen erfüllt sind, können Sie verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten einschränken. In diesem Fall dürfen wir diese Daten weiterhin speichern, aber nur unter strengen Bedingungen verarbeiten. Die Bedingungen und Einschränkungen des Rechts auf Einschränkung der Verarbeitung sind im Einzelnen in Art. 18 DSGVO.
Recht auf Datenübertragbarkeit: Sie können beantragen, die von Ihnen bereitgestellten personenbezogenen Daten, die wir auf der Grundlage des zwischen uns bestehenden Vertrags oder Ihrer Einwilligung in einem automatisierten Verfahren verarbeiten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus können Sie von uns verlangen, dass diese Daten direkt an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Die Voraussetzungen und Einschränkungen der vorgenannten Rechte finden Sie im Einzelnen in Art. 20 Abs. 3 und 4 DSGVO.
Widerspruchsrecht: Sie können jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einlegen, wenn ein berechtigtes Interesse Ihrerseits besteht, das sich aus Ihrer besonderen Situation ergibt. In diesem Fall werden wir die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können - im Einklang mit den gesetzlichen Bestimmungen - zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Widerruf der Einwilligung: Wenn Sie in die Verarbeitung Ihrer personenbezogenen Daten, z. B. für Direktmarketingzwecke, eingewilligt haben, können Sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten vor dem Widerruf bleibt hiervon unberührt.
Recht auf Beschwerde bei der Aufsichtsbehörde: Sie können eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt. Sie können sich an die Datenschutzbehörde wenden, die für Ihren Wohnort oder Ihr Land zuständig ist, oder an die für uns zuständige Datenschutzbehörde.
Kontakt: Darüber hinaus können Sie sich bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zu Ihren Rechten als betroffene Person und zu einer von Ihnen erteilten Einwilligung unter den oben genannten Kontaktdaten kostenlos an uns wenden. Wenn Sie Ihre Einwilligung widerrufen möchten, können Sie denselben Kanal wählen, den Sie bei der Erteilung der Einwilligung verwendet haben.
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling: Im Rahmen des Zugriffs auf unsere Plattform oder im Rahmen der Kontaktaufnahme per Formular oder E-Mail verwenden wir keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren im Einzelfall einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgeschrieben ist. Wir verarbeiten Ihre Daten nicht automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling).
10. Änderungen an dieser Datenschutzerklärung
Wir können von Zeit zu Zeit Änderungen an dieser Datenschutzerklärung vornehmen. Wir werden Sie über alle wesentlichen Änderungen informieren, wenn wir eine Beziehung zu Ihnen haben, und ansonsten aktualisierte Versionen hier veröffentlichen. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen.