Vestlane
ic-menu icon

Legal Hub

Last updated: 22 May 2024

English Version (German version below)

General Terms and Conditions ("GTC")

Vestlane GmbH

Kurfürstendamm 12, 10719 Berlin, Germany

Local Court of Charlottenburg (Berlin), HRB 221114

VAT ID: DE336067813

-hereafter "Provider" -

and

the Customer

-hereafter "Customer" -

-both together also the "Party(ies)" -

Last change: April 16, 2024

1. Subject matter of the contract

1.1. The Provider offers a web-based platform for the management and administration of investment vehicles (each an "investment vehicle"). The software ("Software") is used in particular to record and process the data of investors, target companies and other contractual partners of these investment vehicles ("Contractual Partners"). The platform enables cooperation between the client and various consultants (e.g. lawyers, compliance officers, tax advisors) (the "Consultants") and supports the necessary checks of the Contractual Partners as part of various investment and compliance processes (in particular subscription of fund units, investor onboarding, further KYC/AML checks).

1.2. These General Terms and Conditions ("GTC") govern the transfer of use of the Software as "Software as a Service" (SaaS) via the internet.

1.3. The GTC apply to all, including future, services of the Provider in connection with the provision of the Software, the operation of portals, interfaces and internet services as well as related support services to the Customer (hereinafter "Service"). The Parties acknowledge that the provision of the Software by way of software rental is the purpose and focus of the contract. For this purpose, the Customer shall receive a separate instance on the platform as well as a user name and password-protected access for each user.

1.4. Further details may result from one or more individual contracts to be concluded separately (each an "Individual Contract", collectively the "Individual Contracts").

1.5. The contractual relationship shall be governed by the following documents, whereby the higher-ranking document and, in the case of documents of equal ranking, the more recent document shall prevail:

  1. Individual Contract
  2. DPA
  3. GTC

1.6. Subject to the provisions of this Section 1, conflicting or additional contractual terms and conditions of the Customer shall only apply if the Provider expressly confirms them in writing.

1.7. Subject to the provisions of this Section 1, other contracts concluded in writing or verbally in relation to the subject matter of the contract shall cease to be valid when this contract comes into force. Verbal collateral agreements do not exist.

2. Rights of use to the Software

2.1. Subject to the provisions of these GTC and the full payment of agreed fees, the Provider grants the Customer the worldwide, non-exclusive, non-transferable and non-sublicensable right to access the Software for the duration of the Service Term in accordance with the scope agreed in the Individual Contract(s) and the GTC and, to the extent required to load, display or run the Software, to create temporary copies of the Software in whole or in part (hereinafter "SaaS License").

2.2. The Provider retains all transferable proprietary rights and all exclusive rights of use to the Software.

2.3. The client is entitled to invite (potential) Contractual Partners, as well as their employees and other service providers, to the respective instance of an investment vehicle of the client by e-mail or other individual means of access.

2.2.1. Contractual Partners of the Customer can also be invited by Consultants or other authorized persons with appropriate authorization. The invitations are sent by the Software to the e-mail addresses stored.

2.2.2. In order to use the Software, the Customer's Contractual Partner must set a password to create a user account after receiving the invitation. This user account is linked to the e-mail address with which it is invited to the Software. In addition, the Contractual Partner must accept the Privacy Policy and Terms of Service of the Software, on its first visit and in the event of changes to these data protection and terms of use, in order to be able to use the platform.

2.4. The Customer is not entitled to make the Software available to third parties for use, either for a fee or free of charge. Subletting the Software is not permitted.

2.5. Beyond that, the Customer is not entitled to make permanent or temporary copies or reproductions of the Software, to make modifications or other alterations to the Software, to distribute it in modified or unmodified form, e.g. as white label software, for commercial or non-commercial purposes or to make it publicly accessible, to decompile or reverse-engineer the Software or to determine the mode of operation of the Software in any other way, unless the Provider has given its consent.

2.6. The Customer is prohibited from removing notices and information relating to copyrights, trademark rights, patent rights and other intellectual property rights of the Software or Services.

2.7. The Customer may not store any illegal content that violates the law, official requirements or the rights of third parties on the storage space provided.

2.8. Software components with an unrestricted scope of use (e-signature, identity verification, employee accounts, if applicable) may be subject to appropriate use, which is defined and communicated by the Provider ("fair use principle"). The fair use principle is applied by the Provider to ensure the availability of the corresponding functionality for all users. Inappropriate or excessive use of the relevant functionality entitles the Provider, after prior notice, to restrict the Customer's use of the relevant functionality.

3. Provision of the Software

3.1. The Provider shall make the Software available to the Customer for access via a browser on an instance assigned to the Customer, subject to the functionality and availability specified below. The Software is handed over at the router exit of the data center where the hosting provider, selected by the Provider, is located. The Customer is responsible for the internet connection between the location and the data center and the hardware and Software required for this (e.g. PC, internet connection).

3.2. The Provider makes the Software available "as is". Permitted conditions of use and scope of use are set out in the Individual Contract(s). The Provider shall maintain the Software in a condition suitable for use in accordance with the contract.

3.3. The Software and its mode of operation shall be continuously analyzed, optimized and further developed and expanded with additional features and modules. The Provider shall provide the Customer with the latest version of the Software where possible and subject to contractual agreements in accordance with Section 1 (hereinafter "Product Updates"). The Provider is free to add functions to the Software and the Service at any time, taking into account the interests of the Customer, or to remove functions that are no longer useful, as well as to make necessary adjustments due to changes in the legal situation, technical developments or for reasons of IT security.

3.4. The Provider is not responsible for adapting the Software to the Customer's individual needs or IT environment.

3.5. The Provider shall transmit to the Customer the data for access to the server, in particular the number of user IDs and passwords required by the Customer. All user IDs and passwords must be changed immediately by the Customer to IDs and passwords known only to the authorized users. The Provider is entitled to change the access data at any time with reasonable notice.

4. Customer obligations

4.1. If the provision of Services by the Provider requires cooperation in the Customer's sphere of operation, the Customer shall support the Provider by taking all necessary technical, organizational and other measures. In particular, the Customer shall submit the necessary information and documents to the Provider in good time and grant the Provider's employees access to the Customer's premises or information technology infrastructure in good time. The Provider shall not be responsible for delays in the provision of Services by the Provider that are due to the Customer's failure to cooperate or delayed cooperation.

4.2. The Customer is obliged to appoint a qualified contact person and a deputy who is authorized to make or immediately bring about all decisions necessary for the contractual provision of Services. The Customer is obliged to inform the Provider immediately of any change of contact person (including deputy).

4.3. The Customer undertakes to keep their contact information up to date, correct and complete so that the Provider can send notifications, invoices and other information.

4.4. Irrespective of the Provider's obligation to back up data, the Customer is responsible for entering and maintaining the data and information required to use the Software. The Customer is obliged to use the Software only in accordance with the contract and within the framework of the applicable statutory provisions and not to infringe any third-party rights when using it. The Customer shall inform the Provider immediately in text form about: (i) misuse or suspected misuse of the Software and Services; (ii) a risk or the suspicion of a risk to data protection or data security that arises in the course of the provision of the contractually agreed Service; (iii) a risk or the suspicion of a risk to the Service provided by the Provider, e.g. through loss of access data or hacker attack.

4.5. The Customer must ensure the following technical requirements for optimum operation, in particular

4.5.1. The Customer is responsible for ensuring a connection to the internet with sufficient bandwidth and latency.

4.5.2. For optimal use of the offers and functions of the Software, the Customer shall use the latest versions of the following browser types: Google Chrome, Microsoft Edge or Mozilla Firefox or another browser notified by the Provider. Functional cookies are required for the usability of the Software. If these are not permitted by the Customer, the Provider accepts no liability for any resulting restrictions.

4.5.3. The Customer is responsible for taking state-of-the-art IT security measures to ensure that the use of the Software in its own organization is subject to appropriate security standards.

4.5.4. The Customer must take suitable precautions to prevent unauthorized access by third parties to the protected areas of the Software.

4.5.5. The use of joint accounts, so-called shared accounts (e.g. [email protected]), is prohibited and only permitted with the consent of the Provider.

4.5.6. The Customer is obliged to ensure that its users of the Software keep their access data secret and do not pass it on.

4.5.7. The Customer must ensure the security of the internet connection used, in particular for the use of company-owned instead of public Virtual Private Networks (VPN) and for the use of VPN connections in public networks.

4.5.8. The Customer is obliged to check data and information for viruses or other harmful components before entering them and to use state-of-the-art precautions (e.g. virus protection programs) for this purpose.

4.5.9. The Customer is responsible for setting up and administering his instance and the authorized accounts ("account(s)"). This applies regardless of whether the Provider supports the Customer in any way in setting up the account. This includes:

(i) the technical setup of the account, in particular the possible migration of data, configuration of processes and products;

(ii) the technical setup of integrations in the account and in third-party systems;

(iii) checking the correct functioning of any integration using test cases (e.g. with regard to the text length of free text fields) before going live;

(iv) the technical connection of interfaces on the Customer side in accordance with the specification of the incoming and outgoing data, including the entry of API keys and the activation of interfaces in third-party systems;

(v) the administration of the account, in particular the creation of users and roles and the allocation of access.

4.6. The Customer shall inform the Provider immediately of any errors occurring in the Software and undertakes to support the Provider in troubleshooting and rectifying errors within reasonable limits. This includes, in particular, sending the Provider error reports in written or text form upon request and providing other data and logs that are suitable for analyzing the error.

4.7. The Customer shall ensure that all its employees authorized to use the Software exercise the necessary care when using it.

5. Terms of payment

5.1. The Customer shall pay the Provider the fees agreed in the Individual Contract(s) for the provision of the Services.

5.2. The amount of the fee for the provision and use of the Software for each investment vehicle and the due date of the fee are based on the Individual Contract(s).

5.3. If the Customer requires further technical services in addition to those described here, their feasibility and remuneration shall be governed by Individual Contracts.

5.4. The amount of the fees may be adjusted in the event of cost changes. In the case of an adjustment, the Provider shall take into account cost changes that have occurred in the meantime, e.g. in the area of wages, salaries, costs of purchasing IT services and other prime costs. An adjustment shall take effect on the date specified by the Provider, but no earlier than one month after the Customer receives notification of the adjustment. The Customer's ordinary right of termination in accordance with Section 6 shall remain unaffected. The Provider is also entitled and, in the event of changes in favor of the Customer, obliged to adjust the fees if and insofar as the statutory value added tax changes or taxes are introduced that relate to the Service and affect the Provider.

6. Term and termination, extension to affiliated companies and investment vehicles

6.1. The contract is concluded for an indefinite period.

6.2. Either Party may terminate the contractual relationship with a notice period of at least three months to the end of the month, for the first time after 24 months from the conclusion of the contract.

6.3. This shall not affect the right of either Party to the contract to terminate the contract without notice for good cause.

6.4. The Provider is entitled to terminate without notice in particular if the Customer fails to make payments due despite a reminder and the setting of a grace period or violates the contractual provisions on the use of the Software under this Agreement. In any case, termination without notice requires that the Customer has been warned in text form (e.g. e-mail) and requested to remedy the (alleged) reason for termination without notice within a reasonable period of time. To clarify: The Customer's obligation to pay the agreed fee continues to exist even in the event of extraordinary termination without notice by the Provider.

6.5. These GTC shall also apply to the provision of Services to (also indirectly) affiliated companies and shareholders of the Customer (the "Affiliate(s)"), insofar as these affiliated companies come into contact with the Provider's Services as intended and the Provider has declared its consent. The investment vehicles in whose name and for whose account the Customer orders access to the Software in accordance with the respective Individual Contract(s) shall also be parties to these GTC. The Services of this contract shall be provided to these investment vehicles and the Customer as joint creditor, unless otherwise agreed in text form. The respective Individual Contract may contain further provisions. At the request of the Provider, the Customer shall confirm the entry into the contract for each investment vehicle to the Provider in text form. If confirmation is not provided, the Customer shall in any case remain entitled and obligated in accordance with this contract.

6.6. Termination of separately concluded Individual Contracts between the parties does not lead to automatic termination of this contract. However, the termination of this contract shall lead to the automatic termination of any Individual Contracts.

7. Money laundering prevention

7.1. The Provider enables the Customer to identify its Contractual Partners (e.g. investors), any persons acting on their behalf and beneficial owners. For the purpose of this identification, the Software connects the Customer or its Contractual Partners to an electronic (video) identification procedure, if applicable, the data of which is made available to the Customer in the Software (hereinafter the "Procedure").

7.2. This/these Procedure(s) is/are compliant with the requirements of many European Member States and other countries and recognized by their supervisory authorities. Details and the provision of certifications of these identification service Providers can be discussed and exchanged between the Parties.

7.3. The Procedure mentioned in Section 7.1 is in particular compliant with the requirements for identification by video transmission under the German Money Laundering Act ("Geldwäschegesetz or "GwG"), which the German Federal Financial Supervisory Authority ("Bundesanstalt für Finanzdienstleistungsaufsicht" or "BaFin") has specified in its Circular 3/2017 (GW) - Video Identification Procedure (the "Circular"). In order to comply with the requirements of the Circular, the Customer must conclude so-called compliance agreements (the "Compliance Agreements") with identification service providers (the "Service Providers"). The Service Providers and further contract conclusion modalities are named by the Provider. During the term of this contract, it may be necessary to conclude further Compliance Agreements with additional Service Providers. The Service Providers are obligated to comply with the Circular and thus to provide services in compliance with money laundering legislation. The Compliance Agreements do not incur any costs for the client. In order to speed up and simplify the conclusion of the Compliance Agreements, in particular for the future, the Customer may authorize the Provider by means of a power of attorney to conclude the Compliance Agreements to be concluded in favor of the Customer with the Service Providers on behalf of the Customer. The Provider shall provide such a power of attorney separately if necessary.

7.4. The Customer agrees and instructs the Provider to store the information obtained during the identification process in accordance with Section 7.1 in the Software ("Information Obtained"). During the term of this contract, the information obtained can be accessed electronically by the Customer immediately and directly.

7.5. The Customer agrees that other Customers of the Provider may access the information obtained, to the extent permitted by law, if these other Customers have to identify the same Contractual Partners as the Customer and the necessary consents of the Contractual Partners concerned have been obtained. The Provider shall use its best efforts to ensure that the Customer may also access the information obtained from other Customers and that the necessary consents have been obtained from the Contractual Partners concerned and the other Customers.

7.6. If the Customer and other Customers make use of information obtained, the Provider commits to transmit the information obtained immediately and directly as a messenger. The Customer acknowledges that the Provider is not authorized to provide information about the identity of other Customers.

8. Digital document and contract signing

8.1. The Provider enables the Customer to process document and contract signatures electronically, depending on the agreement. For this purpose, data and documents are transferred via API to a trusted Service Provider and/or (video) identification Service Provider, depending on the scope of Services.

8.2. The extended or qualified electronic signature generated in the course of this signature is compliant with the eIDAS Regulation.

8.3. Remuneration is based on the Individual Contract(s).

9.1. For support purposes, the Provider has access to the information that is recorded, processed and stored in the Software regarding the Customer and its Contractual Partners. The Consultants appointed by the Customer also have a corresponding insight.

9.2. The Software does not carry out any legal checks or automatic decisions regarding the entries made by the Contractual Partners. In any case, a proper review of the Contractual Partners requires the final review of the information by the Customer.

9.3. The Customer is free to check and approve the information provided by the potential Contractual Partners himself or to commission Consultants to carry out the check as part of the advisory relationship to be concluded separately.

9.4. If there are (legal) queries that require legal advice, the Provider may not answer such queries itself due to the German Act on Out-of-Court Legal Services ("Rechtsdienstleistungsgesetz" or "RDG"). The Customer can also contact Consultants for such queries as part of a separately concluded consulting relationship.

10. IT security, troubleshooting

10.1. The Provider has taken all reasonable security measures to ensure that no third party will have access to the data in the Customer's protected area.

10.2. The Provider has also taken suitable precautions against data loss and makes daily backups for this purpose. The Provider's system checks the Customer's data for viruses. In addition, a state-of-the-art firewall is installed.

10.3. The Provider shall eliminate any software errors that occur without delay, insofar as this is technically possible. A software error exists if the Software delivers faulty results or does not work properly in any other way, so that the use of the Software is impossible or restricted. The Provider shall be grateful to receive suggestions and proposals regarding the Software at any time and shall take these into account in the further development of the Software.

11. Data collection and processing

11.1. By providing the e-mail addresses and other personal data of the Contractual Partners to the Provider, the Customer assures that the potential Contractual Partners agree to the corresponding use and processing of their data.

11.2. In order to save the Contractual Partners from having to enter their data repeatedly, the Provider shall, if the Contractual Partner consents to this, also store the Contractual Partner's details in the Software for potential future investments and workflows of the Contractual Partner. This consent option is granted to the Contractual Partner via the Software.

11.3. If a Contractual Partner who has consented accordingly is invited to further workflows by the Customer or a third party in a later investment or workflow, he has the option of adopting his details from the previous workflow.

11.4. Without the consent of the Contractual Partner in each individual case, the subsequent client will not receive access to the data. Even with the consent of the Contractual Partner, the subsequent client will only receive information specific to the Contractual Partner, but no information that allows conclusions to be drawn about previous investments, workflows or investment vehicles or the client. In particular, the subsequent client will not learn that the information was taken from an investment vehicle of the client.

11.5. The Customer can retrieve all data recorded in the Software at any time as an Excel file and in other formats if necessary and use it for their own purposes. The Customer is responsible for the permissibility of this use under data protection law in relation to the Contractual Partner.

11.6. If the Provider receives the corresponding consent of the Contractual Partners, the Provider will analyze and use the data collected in the Software in anonymized and aggregated form for its own purposes.

11.7 The parties agree that personal data of Customers and their Contractual Partners will be processed within the scope of the above cooperation and agree to this:

11.7.1. The Provider acts as the processor for the Customer data stored and processed in the respective Customer instance of the Software and the data of the Contractual Partners stored in the Customer's instance. The Customer is the controller of this data. For Customers who have already concluded a separate Data Processing Agreement before April 8, 2024, this Data Processing Agreement shall remain valid unless otherwise agreed. For all other Customers, the Data Processing Agreement on the Provider's website (https://www.vestlane.com/legal-hub) ("Data Processing Agreement ") is hereby agreed and incorporated and forms an integral part of the contract. In the event of a conflict, the Data Processing Agreement shall take precedence over these GTC.

11.7.2. The Provider acts as the controller within the meaning of Art. 4 No. 7 GDPR with regard to the processing of the personal data of the Customer's Contractual Partners, insofar as the Customer's Contractual Partners store data in their own accounts, irrespective of its use in the Customer's workflows, and have expressly consented to the data processing.

11.7.3. The Customer and the Provider are otherwise responsible for determining the means and purposes of processing, subject only to the above provisions of this agreement. There is no joint responsibility.

12. Blocking access

12.1 The Provider is entitled, following a prior fruitless warning to the Customer, to temporarily or permanently block access to the Service if

  • there are concrete indications that the Customer or one of its employees is in breach of material obligations under this contract or applicable law;
  • there are concrete indications that user IDs or passwords are being misused;
  • this is absolutely necessary for technical reasons;
  • this is necessary for compelling legal, judicial or official reasons;
  • the Customer is more than two weeks in arrears with the payment of fees;
  • the Customer has entered incorrect contact or bank details.

12.2. When deciding on blocking, the Provider shall take appropriate account of the Customer's legitimate interests. The Provider shall notify the Customer of the blocking no later than five (5) working days before it comes into effect, provided that the notification does not conflict with the purpose of the blocking.

12.3 The blocking shall continue until the circumstance justifying the blocking has been remedied in an appropriate manner.

13. Warranty

13.1. With regard to the provision of Services, the warranty provisions of tenancy law, Sections 535 et seq. BGB (German Civil Code), apply.

13.2. A defect shall be deemed to exist if the contractual use agreed in accordance with the Service description and Service level is not only insignificantly impaired.

13.3. The Customer must notify the Provider immediately of any defects.

13.4. Strict liability in accordance with Section 536a (1) BGB (German Civil Code) for defects that already existed when the contract was concluded is excluded. Subject to the limitation of liability pursuant to Section 14, the Customer's statutory claims shall remain unaffected.

14. Liability

14.1. The Provider is liable without limitation for damages caused intentionally or trough gross negligence.

14.2. In the event of a negligent breach of a contractual obligation, the breach of which jeopardizes the achievement of the purpose of the contract or the fulfilment of which makes the proper execution of the contract possible in the first place and on the observance of which the Customer may therefore rely (so-called cardinal obligation), the liability of the Provider is limited to the damage foreseeable at the time of conclusion of the contract and typical for the contract. The parties agree that the foreseeable damage typical for the contract in the event of a breach of a cardinal obligation (i) shall not exceed the amount of 1/4 of the annually agreed fees per claim and (ii) shall not exceed the amount of the total amount of the annually agreed fees for the total number of claims to be expected within one year. The Provider is not liable for negligent breach of a contractual obligation that is not a cardinal obligation.

14.3. The Provider is not responsible for damages resulting from technical malfunctions or unauthorized access by third parties, unless these were caused intentionally or through gross negligence by the Provider, its legal representatives or employees.

14.4. The Provider is not liable for the loss of data insofar as the damage is due to the fact that the Customer has not carried out the necessary data backups and thus has not ensured that lost data can be restored with reasonable effort.

14.5. The above exclusions of liability in this Section 14 do not affect the liability of the Provider for a guarantee of quality, for fraudulent intent, for damages resulting from injury to life, body and health, for product defects in accordance with the Act on Liability for Defective Products ("Produkthaftungsgesetz") and for liability under the GDPR. This does not imply a change in the burden of proof to the detriment of the Customer.

14.6. Insofar as liability is excluded or limited in accordance with this Section 14, this also applies to the personal liability of the Provider's employees, staff, corporate bodies, representatives and vicarious agents.

14.7. In particular in the event of disruptions to the technical infrastructure or the internet connection, the Provider is released from its obligation to perform. This also applies if the Provider is prevented from providing the Service due to force majeure or other circumstances which the Provider is unable or cannot reasonably be expected to rectify.

15. Confidentiality

15.1. "Confidential Information" for the purposes of this Agreement means any information shared by the Disclosing Party with the Receiving Party in the course of preparing and performing this Agreement that (i) is clearly marked as confidential Information, designated as such or otherwise made recognizable as such, (ii) is obviously or reasonably considered confidential because of its content, or (iii) is derived from confidential Information provided by the Disclosing Party.

15.2. Confidential information of the Provider is also in particular:

  • access data, user IDs and passwords for the Software;
  • the design of the Software in terms of UI/UX, user guidance, look & feel and other elements;
  • pricing and price calculations, including the respective calculation bases;

15.3. Confidential information is not information that is demonstrably

  • already or becomes publicly accessible to the receiving party without violating this agreement;
  • in the lawful possession of the Receiving Party or comes into its possession from a source other than the Disclosing Party, provided that such source lawfully acquired the information and is not prohibited by law or contract from disclosing such information; or
  • developed or will be developed by the Receiving Party independently of and without reference to confidential information of the Disclosing Party.

15.4. All confidential information exchanged between the Parties during the term of the contract, unless contractually permitted,

15.4.1. shall be treated in strict confidence and the Receiving Party shall take all reasonable technical and organizational measures to protect the other Party's confidential information from unauthorized disclosure, including, but not limited to, at least such measures as the Receiving Party takes to protect its own confidential or proprietary information;

15.4.2. may only be used in connection with the provision of the Services and the Receiving Party will not commercially exploit the confidential information in its own interests or those of a third party;

15.4.3. shall not be transferred, disclosed or divulged by the Receiving Party in any manner or form to any person other than those who reasonably need to know such confidential information in connection with the performance of this Agreement; shall remain the property of the Disclosing Party; in particular, nothing in this Agreement shall be deemed to transfer or grant to

15.4.4. the Receiving Party any rights or licenses to the Confidential Information or to any Intellectual Property Rights of the Disclosing Party; and shall, notwithstanding the use of the Confidential Information by the Receiving Party in connection with the provision of the Services, not be used by the Receiving Party for its own purposes or for the purposes of any third party, and the Receiving Party shall not apply for or claim any intellectual property rights or other rights in the Confidential Information or any part thereof.

15.5. The Receiving Party shall refrain from obtaining confidential information through reverse engineering of goods, products or Services containing confidential information. In particular, the Customer shall refrain from using reverse engineering to determine the functionality and mode of operation of the Software.

15.6. The Provider is entitled to draw attention to the fact of the contractual relationship between the Parties, the essential subject matter of the contract and the role of the Provider in public form (e.g. for the purpose of pitches etc.), provided that these facts are not recognizably confidential. All public communication and marketing must be agreed in writing in advance.

15.7. Upon request, but at the latest upon termination of the business relationship, all confidential information obtained by the Receiving Party in this context must be returned to the Disclosing Party or irretrievably destroyed at the latter's instruction. Electronic data must be completely deleted. No rights of retention may be asserted in this respect. The destruction shall be confirmed in writing to the Disclosing Party upon request. Retention periods due to statutory retention obligations shall remain unaffected by the obligations pursuant to this Section 15.7.

15.8. Both Parties undertake to inform the other Party immediately in the event of a breach of the obligations set out herein or if there are indications of such a breach and to cooperate in limiting any damage. Notwithstanding the foregoing, in the event of a breach of the provisions of this section, the Provider shall have the right to demand from the Customer that the employee acting in breach of duty no longer be employed in the performance of the contract.

15.9. The duty of confidentiality ends five (5) years after termination of the contract.

16. Reservation of a right to make amendments

16.1. The Provider has the right to amend these GTC at any time or to amend regulations for the use of newly introduced additional Services or functions of the Software or Services. Amendments and supplements to these GTC shall be notified to the Customer by e-mail to the e-mail address provided at least four weeks before the planned entry into force of the amendments. The Customer shall be deemed to have consented to the amendment of the GTC if the Customer does not object to the amendment in text form within a period of two weeks, beginning on the day following the announcement of the amendment. The announcement must refer to the amendment, the possibility of objection, the objection period, the text form requirement and the result of the objection.

16.2. The Provider reserves the right to change the Software and/or Services in order to offer different functionalities, unless the changes or deviations are unreasonable for the Customer. If the provision of a modified version of the Software or a change in the functionality of the Software is accompanied by significant changes to the Customer's work processes supported by the Software and/or restrictions in the usability of the data generated to date, the Provider shall notify the Customer of this in text form no later than four weeks before the date on which such a change comes into effect. If the Customer does not object to the change in text form within a period of two weeks after receipt of the notification of change, the change shall become part of the contract. The notification of change shall refer to the change, the possibility of objection, the objection period, the text form requirement and the result of the objection.

16.3. Furthermore, the Provider reserves the right to change the Software and/or the Services in order to offer different functionalities (i) insofar as this is necessary to bring the Services offered by the Provider into compliance with the (case) law applicable to these Services, in particular if the legal situation changes; (ii) insofar as the Provider complies with a court or official decision addressed to the Provider; (iii) insofar as this is necessary to eliminate security gaps in the Software; (iv) due to significant changes to the Services or contractual conditions of third-party providers or subcontractors or (v) insofar as this is predominantly advantageous for the Customer. In particular, the Provider reserves the right to restrict or discontinue the provision of additional functionalities or integrations if the technical partners for these additional functionalities or the providers of the partner integrations significantly change or restrict their Services or contractual terms and conditions and the Provider can therefore no longer be reasonably expected to continue providing them, e.g. because the additional expense incurred by the Provider is disproportionately high. In the case of an annual contract period, the Customer shall receive an appropriate pro rata refund of the fees paid in advance, provided that the additional functionality or integration was invoiced separately.

16.4. If the Customer objects to a change within the meaning of this Section 16 in accordance with the respective notification obligations, the proposed change shall not take effect and the contract shall continue under the previous conditions. In this case, the Provider reserves the right to terminate the contract extraordinarily with one month's notice.

16.5. With the exception of the amendments specified in Clauses 16.1 to 16.4, the Parties must agree any amendment to the contract in text form.

17. Final provisions

17.1. No verbal collateral agreements have been made. Amendments, supplements and additions to this contract must be made at least in text form in order to be valid. This also applies to the amendment of this contractual provision.

17.2. The Provider may use other Service Providers for the purpose of fulfilling the contract.

17.3. Should a provision of this contract be or become invalid, this shall not affect the validity of the remainder of the contract. The invalid provision shall be deemed to be replaced by a valid provision that comes closest to the economic purpose of the invalid provision. The same shall apply in the event of a gap in the contract.

17.4. Annexes referred to in this contract are an integral part of the contract.

17.5. The authoritative text for this contract and its annexes is the German text. In the event of discrepancies between the German and English texts, the German text shall take precedence.

17.6. The exclusive place of jurisdiction for all disputes arising from or in connection with the contract is Berlin, Germany. The Provider is also entitled to sue at the Customer's place of business or any other competent court.

17.7. The law applicable to this contract and its annexes as well as to the implementation and interpretation of the contractual provisions is the law of the Federal Republic of Germany to the exclusion of private international law.


PRIVACY POLICY - Website

With the following privacy policy, we would like to inform you about how we process your personal data in accordance with the European General Data Protection Regulation (GDPR). The privacy policy applies to all processing of personal data carried out by us when you visit our website "vestlane.com“, insofar as there is no interaction with the user environment and the account creation.

  1. Responsible Entity

Responsible within the meaning of the GDPR is

Vestlane GmbH, Kurfürstendamm 12, 10719 Berlin, Germany. E-Mail: [email protected]

  1. Data Protection Officer

You can contact our data protection officer as follows:

SECJUR GmbH, Steinhöft 9, 20459 Hamburg, Phone: +49 40 228 599 520 Email: [email protected];

You can contact our data protection officer directly at any time with any questions or suggestions regarding data protection and the exercise of your rights.

  1. Terminology

This privacy policy is based on the terminology of the GDPR. To simplify matters, we would like to explain some important terms in this context in more detail:

Personal data is any information relating to an identified or identifiable natural person. An identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Data subject is any identified or identifiable natural person whose personal data is processed by the controller responsible for the processing.

Processing is any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

Recipient is a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients.

Third party is a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorized to process personal data.

  1. Data for the provision of the website and the creation of log files

When you call up our website in your browser, we collect technically necessary data via server log files, which are automatically transmitted to our server, e.g:

  • Date and time of access
  • IP address
  • Host name of the accessing computer
  • Website from which the website was accessed; websites that were accessed via the website
  • Visited page on our website; amount of data transferred
  • Information about the browser type and version used
  • Operating system
  • Access status (e.g. whether the website could be accessed without any problems or whether you received an error message)
  • Use of website functions
  • search terms entered
  • Access frequency of the individual website
  • Amount of data transferred
  • other websites that you visit from this website, either by clicking on a link on this website or by entering the domain directly in the input bar in the same window of your browser

The temporary storage of the data is necessary for the course of a website visit in order to be able to display our website to you. This processing is technically necessary to ensure the functionality of the website and the security of the information technology systems. The legal basis for processing is therefore Art. 6 para. 1 sentence 1 lit. f) GDPR in order to guarantee the provision, security and stability of our website.

The data is deleted as soon as it is no longer required to achieve the purpose for which it was collected. When providing the website, this is the case when the respective session has ended. The log files are stored directly for up to 24 hours and are only accessible to administrators. After that, they are only available indirectly via the reconstruction of backup tapes and are permanently deleted after four weeks.

For the provision of our online offer, we use storage space, computing capacity and software that we rent or otherwise obtain from the server provider Microsoft Azure (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521 ) (web host) . The above-mentioned personal data is therefore also transferred to Amazon AWS. We have selected Europe as the server location so that no third country transfer takes place. To ensure an appropriate level of data protection at the recipient of your personal data, we have concluded an order processing contract with Amazon AWS in accordance with Art. 28 GDPR. For more information, please contact [email protected].

The legal basis for processing is Art. 6 para. 1 sentence 1 lit. f) GDPR in order to guarantee the provision, security and stability of our website.

  1. Necessary cookies

We use cookies on our website. These are small files that your browser automatically creates and that are stored on your IT system (laptop, tablet, smartphone, etc.) when you visit our website.

Information is stored in the cookie that results in each case in connection with the specific end device used. However, this does not mean that we obtain direct knowledge of your identity.

On the one hand, the use of cookies serves to make the use of our website more pleasant for you. For example, we use so-called session cookies to recognize that you have already visited individual pages of our website. These are automatically deleted after you leave our site.

In addition, we also use temporary cookies to optimize user-friendliness, which are stored on your end device for a specified period of time. If you visit our site again to use our services, it is automatically recognized that you have already visited us and which entries and settings you have made so that you do not have to enter them again.

On the other hand, we use cookies to statistically record the use of our website and to evaluate it for the purpose of optimizing our offer for you. These cookies enable us to automatically recognize that you have already visited our website when you visit it again. These cookies are automatically deleted after a defined period of time.

  1. Contact Form

When contacting us (e.g. by contact form, email, telephone or via social media) and in the context of existing user and business relationships, the information of the inquiring persons is processed insofar as this is necessary to answer the contact inquiries and any requested measures. Data such as:

  • Contact data (e-mail address, name)
  • Company data (name, job title)
  • Content data (contact content)
  • Metadata (IP address, identification numbers, browser data, etc.)

is transmitted to us. The legal basis for this processing is our legitimate interest (Art. 6 para. 1 sentence 1 lit. f) GDPR); as well as the fulfillment of the contract (Art. 6 para. 1 sentence 1 lit. b) GDPR).

  1. Third-Party-Tools

We use the services of various third-party providers to optimize the user experience of our website for you.

7.1 Cookiebot

When you visit our website or a sub-website for the first time, you will be shown a "cookie banner". There you will be informed about the individual cookies that we use. You can find out the name of each individual cookie, the provider, the purpose of processing and the storage period.

Our cookie banner informs you about the specific cookies we use. In addition, we give you the opportunity to decide whether you want to consent to the setting of non-essential cookies. The following are processed:

  • Usage data (e.g. websites visited, time of access)
  • Meta and communication data (e.g. IP address)

The legal basis for the use of the cookie banner is Art. 6 para. 1 sentence 1 lit. f) GDPR. We have an overriding legitimate interest in using the cookie banner, which enables us to obtain the legally required consent for the use of non-essential cookies and to comply with our duty to provide information regarding cookies.

The cookie banner stores the preferences until you reset or customize them. The cookie banner is provided by the provider Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Copenhagen, Denmark).

7.2 Google Analytics

Our website uses functions of the web analysis service Google Analytics. With the help of Google Analytics, we analyze your user behavior in order to make decisions regarding product and marketing optimization based on the results. Among other things, we process the following personal data through Google Analytics:

  • Time of the request
  • IP address
  • Online labeling
  • Device identifiers
  • Technical characteristics of users (e.g. browser type and version, device type, operating system)
  • Measurement of user behavior (e.g. views of individual pages / content, views of content from different areas, session duration / dwell time, bounce rate)
  • Use of individual functionalities of the website (e.g. search queries, downloads)
  • Referral URL (the previously visited page)

The legal basis for the use of Google Analytics is the voluntary and revocable consent given by you in accordance with Art. 6 para. 1 lit. a) GDPR. You can revoke your consent at any time with effect for the future by making the corresponding changes or adjustments in your cookie settings.

Personal data will be deleted by Google 14 months after your last activity, unless there is a legal obligation to retain it.

The personal data is also transferred to the USA. The European Commission has issued an adequacy decision pursuant to Art. 45 (3) GDPR for the EU-U.S. Data Privacy Framework. On the basis of this decision, data transfers to organizations based in the USA that are certified accordingly are permitted. Google is certified under the EU-U.S. Data Privacy Framework.

7.3 Hotjar

We use Hotjar (Hotjar Ltd, Dragonara Business Centre, 5th Floor, Dragonara Road, Paceville St Julian's STJ 3141, Malta) to analyze user behavior on our website and to improve the user experience. Hotjar uses cookies and similar technologies to collect information such as your:

  • IP address
  • Device and browser type
  • Time spent on the website
  • Mouse movements

to record. This data is anonymized and is used exclusively for statistical evaluations. Your data is processed on the basis of your consent in accordance with Art. 6 para. 1 lit. a) GDPR.

Hotjar acts as a processor and provides us with the statistical evaluations of the user data. Your personal data is not transferred to third parties or to third countries.

The data collected by Hotjar is stored for a period of 365 days and then automatically deleted. Detailed information on data processing by Hotjar can be found in Hotjar's privacy policy at https://www.hotjar.com/privacy/

7.4 LinkedIn Analytics

We use LinkedIn Analytics to analyze visitor behavior on our website and to improve our online presence. LinkedIn Analytics collects and processes information such as your:

  • IP address
  • Device and browser type
  • visited pages
  • Time spent on the website

This data is anonymized and is used exclusively for statistical evaluations.

Your data is processed on the basis of your consent in accordance with Art. 6 para. 1 lit. a) GDPR.

The data collected by LinkedIn Analytics is stored for a period of 180 days and then automatically deleted. The personal data is transferred to the USA.

To ensure an adequate level of data protection at the recipient of your personal data, we have concluded standard contractual clauses of the European Commission for the protection of personal data in accordance with Art. 46 para. 1, 2 lit. c GDPR.

You have the right to object to the processing of your personal data by LinkedIn Analytics at any time by adjusting the cookie settings in your browser.

Detailed information on data processing by LinkedIn Analytics can be found in LinkedIn's privacy policy at https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy

7.5 SalesViewer

This website uses SalesViewer® technology from SalesViewer® GmbH on the basis of the website operator’s legitimate interests, Art. 6 para. 1 lit. f) GDPR, in order to collect and save data on marketing, market research and optimisation purposes.

In order to do this, a javascript based code, which serves to capture company-related data and according website usage. The data captured using this technology are encrypted in a non-retrievable one-way function (so-called hashing). The data is immediately pseudonymised and is not used to identify website visitors personally.

The data stored by Salesviewer will be deleted as soon as they are no longer required for their intended purpose and there are no legal obligations to retain them.

The data recording and storage can be repealed at any time with immediate effect for the future, by clicking on https://www.salesviewer.com/opt-out in order to prevent SalesViewer® from recording your data. In this case, an opt-out cookie for this website is saved on your device. If you delete the cookies in the browser, you will need to click on this link again.

  1. Social Media

We maintain publicly accessible profiles on various social networks. Your visit to these profiles triggers a variety of data processing operations. Below we provide you with an overview of which of your personal data is collected, used and stored by us when you visit our profiles.

When you visit our profiles, your personal data is not only collected, used and stored by us, but also by the operators of the respective social network. This happens even if you yourself do not have a profile on the respective social network. The individual data processing operations and their scope differ depending on the operator of the respective social network and they are not necessarily traceable for us. For details on the collection and storage of your personal data as well as the type, scope and purpose of its use by the operator of the respective social network, please refer to the following explanations.

8.1 LinkedIn

When you visit our LinkedIn company profile, certain information about you is processed. In the case of direct messages to us or comments on our LinkedIn company profile or under our posts, we receive the message, the comments and your user name.

In addition, the LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland (LinkedIn) as the operator processes personal data when you visit our LinkedIn company profile, follow this page or engage with the page in order to provide us with statistics and insights in anonymized form. This gives us insights into the types of actions that people take on our site (page insights). In particular, LinkedIn processes data that you have already provided to LinkedIn via the information in your profile, such as data on function, country, industry, seniority, company size and employment status. In addition, LinkedIn will process information about how you interact with our LinkedIn company profile, e.g. whether you are a follower of our LinkedIn company page. With the Page Insights, LinkedIn does not provide us with any personal data about you. We only have access to the summarized Page Insights. It is also not possible for us to draw conclusions about individual members from the information in the Page Insights.

The processing of your personal data in connection with the operation of our LinkedIn company profile is based on a balancing of interests in accordance with Art. 6 para. 1 sentence 1 lit. f) GDPR in order to offer you a contemporary and supportive information and interaction opportunity with and about us. The processing serves our legitimate interest in evaluating the types of actions taken on our LinkedIn company profile and improving our company profile based on these findings.

This processing of personal data in the context of Page Insights is carried out by LinkedIn and us as joint controllers. We have entered into an agreement with LinkedIn on processing as joint controllers, which sets out the distribution of data protection obligations between us and LinkedIn. The agreement is available here: https://legal.linkedin.com/pages-joint-controller-addendum. The following applies:

LinkedIn and we have agreed that LinkedIn is responsible for exercising your rights under the GDPR. You can contact LinkedIn online via the following link (https://www.linkedin.com/help/linkedin/ask/PPQ?lang=de) or reach LinkedIn via the contact details in the privacy policy. You can contact the data protection officer at LinkedIn via the following link: https://www.linkedin.com/help/linkedin/ask/TSO-DPO. You can also contact us using the contact details provided to exercise your rights in connection with the processing of personal data in the context of page inserts. In such a case, we will forward your request to LinkedIn.

LinkedIn and we have agreed that the Irish Data Protection Commission is the lead supervisory authority overseeing processing for Page Insights. You always have the right to lodge a complaint with the Irish Data Protection Commission (see www.dataprotection.ie) or any other supervisory authority.

In addition, LinkedIn processes your data as a user for the provision of services, communication, further development of services and research as well as for advertising, customer support, analysis and security purposes. In principle, LinkedIn is solely responsible for the processing of personal data when you visit our LinkedIn company profile. The categories of personal data that LinkedIn processes are described in LinkedIn's data policy. Further information on the processing of personal data by LinkedIn LinkedIn can be found here https://www.linkedin.com/legal/privacy-policy?trk=homepage-basic_footer-privacy-policy.

Please note that in accordance with the LinkedIn Privacy Policy, personal data is also processed by LinkedIn in the USA or other third countries.

8.2 Youtube

We operate a "YouTube channel" to draw attention to our services and service offerings and to interact with our customers and visitors to the YouTube channel (users). The video platform is operated by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 Ireland (Google Ireland). Google Ireland is a company affiliated with Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; (Google)).

If you contact us via our YouTube channel, e.g. by commenting on one of our videos, we will process your data (e.g. your name and the content of the communication) in order to deal with your request. If necessary, we will also process your data to assert legal claims and defend you in the event of legal disputes in connection with your contributions. The legal basis for the processing of the data that we collect in connection with the use of our company website is our legitimate interests pursuant to Art. 6 para. 1 sentence 1 lit. f GDPR in order to offer you a contemporary and supportive information and interaction opportunity with and about us and to better present our services and service offerings. If the contact is aimed at the conclusion of a contract, the legal basis for the processing is Art. 6 para. 1 sentence 1 lit. b GDPR.

When you visit our YouTube channel or other pages of the YouTube platform, Google Ireland collects so-called usage data. Google Ireland also uses certain data that it has collected from users of the YouTube platform (e.g. which videos users watch) to compile aggregated usage statistics and make them available to the respective operators of the YouTube channel (YouTube Analytics). We also receive such aggregated usage statistics. The information we receive from YouTube Analytics does not allow any conclusions to be drawn about individual users. We ourselves do not have access to personal data that Google Ireland processes for YouTube Analytics. Google Ireland determines which data is processed for YouTube Analytics and how. Google Ireland provides information on this in its privacy policy.

The personal data is also transferred to the USA. The European Commission has issued an adequacy decision pursuant to Art. 45 (3) GDPR for the EU-U.S. Data Privacy Framework. On the basis of this decision, data transfers to organizations based in the USA that are certified accordingly are permitted. Google is certified under the EU-U.S. Data Privacy Framework.

  1. Transmission of personal data

As part of our processing of personal data, personal data may be transmitted to other recipients or disclosed to them. The recipients of this personal data may include, for example, service providers commissioned with IT tasks or providers of services and content that are integrated into a website. In such cases, we observe the legal requirements and, in particular, conclude corresponding contracts or agreements with the recipients of your personal data that serve to protect your personal data.

  1. Deletion of data

The personal data processed by us will be deleted in accordance with the legal requirements as soon as the consent given for processing is revoked or other permissions cease to apply (e.g. if the purpose of processing this personal data no longer applies or it is not required for the purpose). Our data protection notices also contain further information on the retention and deletion of personal data, which apply primarily to the respective processing operations.

  1. Your rights as a data subject

As a data subject, you are entitled to various rights under the GDPR, which arise in particular from Art. 15 to 21 GDPR. If you wish to exercise any of your rights, please contact us via the contact addresses given above or our data protection officer.

11.1 Right of objection

You have the right to object, on grounds relating to your particular situation, at any time to processing of personal data concerning you which is based on point (e) or (f) of Article 6(1) GDPR, including profiling based on those provisions. If the personal data concerning you are processed for direct marketing purposes, you have the right to object at any time to the processing of personal data concerning you for such marketing, which includes profiling to the extent that it is related to such direct marketing. If you object, we will no longer process your personal data unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms, or the processing serves the establishment, exercise or defense of legal claims.

11.2 Right to information

You have the right to obtain confirmation as to whether or not personal data concerning you is being processed and to obtain information about this personal data and further information and a copy of the personal data in accordance with the legal requirements.

11.3 Right to rectification

In accordance with the statutory provisions, you have the right to request the completion of personal data concerning you or the rectification of inaccurate personal data concerning you.

11.4 Right to erasure and restriction of processing

You have the right to obtain from us the erasure of personal data concerning you without undue delay where one of the grounds provided for by law applies and insofar as the processing or storage is not necessary.

11.5 Restriction of processing

You have the right to demand that we restrict processing if one of the legal requirements is met.

11.6 Right to data portability

You have the right to receive the personal data concerning you, which you have provided to us, in a structured, commonly used and machine-readable format in accordance with the legal requirements or to request its transmission to another controller.

11.7 Right to withdraw consent

You have the right to withdraw your consent at any time.

11.8 Complaint to the supervisory authority

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work or place of the alleged infringement if you consider that the processing of personal data relating to you infringes the provisions of the GDPR.

  1. Amendment and updating of the privacy policy

We will adapt the privacy policy as soon as changes to the data processing carried out by us make this necessary. We will inform you as soon as the changes require an act of cooperation on your part (e.g. consent) or other individual notification. If we further develop our website and our offers or if legal or official requirements change, it may be necessary to amend this data protection notice. You can access the current data protection information at any time here.

Status: July 2024


Privacy Policy - App

Last Updated: July 15, 2024

1. Introduction

This privacy policy ( “Privacy Policy”) describes how Vestlane GmbH ( “Vestlane”) and its related and/or affiliated entities (the “Company,” “Vestlane,” “us,” “our,” “its,” or “we”) collects, uses, discloses, and shares Personal Data (defined below) of customers, investors and other users of the Vestlane App (https://app.vestlane.com), any subdomain or other top-level domains of this platform (“Platform”).

This Privacy Policy also applies to any Vestlane services, tools or platforms, mobile or desktop applications and other interactions (such as chat, email, customer service inquiries, conferences, etc.) you may have with us. If you do not agree with the terms, do not access or use the Platform, Services, websites or any other aspect of Vestlane’s business.

Please note that when you are provided with access to our Platform by any of our customers (e.g. fund managers, fund administrators, law firms, tax advisors, etc.) for their fundraising or operational purposes, Vestlane will be the processor of the Personal Data you provide on the Platform for that customer’s fundraising or operational purposes.

This means that we will only process such Personal Data on the instructions of that customer, e.g. for the customer’s fund or vehicle purposes and that customer will be responsible for your Personal Data. You should refer to that customer’s privacy policy to contact them or exercise your rights. In the event that you, as an investor, maintain a pre-existing profile on our Platform and opt to utilize this profile for a new investment involving a distinct customer, our role extends beyond merely processing data for said customer. We will also assume the role of a controller for the Personal Data that you have elected to reuse. Consequently, the stipulations outlined in our Privacy Policy will be applicable to such information.

We inform you about the processing of your Personal Data and the rights to which you are entitled under the European General Data Protection Regulation (GDPR) and any other applicable legal data protection laws and regulations.

“Personal Data” means any information that we process about you that relates to you or that can be used to identify you as a natural person (“Data Subject”) directly or indirectly, for example your name, email address, address, order data, payment details or any user profile related content. You have provided or may need to provide personal data to us by virtue of requesting information about Vestlane, becoming a Vestlane customer, using the Vestlane Platform available at https://app.vestlane.com or any of its subdomains. Furthermore, this includes information that necessarily arises in the course of the investment relationship, such as banking details of the investor, invested amount and holdings in a fund or vehicle.

In this Privacy Policy, we use various other terms as defined by the GDPR. These include terms such as processing, profiling, pseudonymisation, controller, processor, recipient, third party, consent, supervisory authority and international organisation. You can find the corresponding definitions for these terms in Article 4 of the GDPR.

2. Who is responsible for the data processing

The entity responsible for the collection and processing of personal data is:

Vestlane GmbH

Kurfürstendamm 12,

10719 Berlin, Germany

[email protected]

www.vestlane.com

Contact details of the appointed external data protection officer:

SECJUR GmbH

Steinhöft 9,

20459 Hamburg

Phone: +49 40 228 599 520

Email: [email protected];

3. Data we collect from you

3.1 Information You Provide Us. As the case may be we collect your name, address, email address, phone number, username, password (encrypted), demographic information (e.g. your birth date, occupation, etc.), banking information, as well as other information you directly give us on our Platform, and, in the course of our business relationship via email or other means of data exchange.

3.2. Automatically Collected Information. When you access our Platform, we collect the following access data, which is technically necessary for us to present our Platform to you and to ensure stability and security. The access data includes the IP address, date and time of the request, time zone difference to Greenwich Mean Time (GMT), content of the request (i.e. name of the specific website accessed), access status/HTTP status code, amount of data transferred in each case, referrer URL (previously visited page), operating system and its interface, language and version as well as type of browser software and notification of successful retrieval.

3.2 Investor/User Information. If you are an investor/user or potential investor/user at Vestlane we collect certain information about you to allow you to participate in our customers’ fundraising or other workflows for operational purposes. The information we collect varies based on the fund or vehicle and specific workflow, but, in addition to the information you give us, especially if you undergo certain verification checks and submit identity information such as your identity card or passport, we process your personal data contained in these documents. Additionally we might collect and process information about your social security number, tax identification numbers, other government identification documents like driver’s licenses, or bank statements, proof of address, your accreditation/qualification status as investor, the amount and source of the capital you intend to invest to a fund or vehicle, and/or contact information of any third party involved in an investment process such as joint signatories, beneficial owners, partners, etc.

3.3 Information We Get From Others. We may get information about you from other sources. We may add this to information you provide through our Platform. For example, if you are an investor, we may receive Investor Information from our customers, or their service providers (e.g. lawyers, fund administrators, tax advisors, etc.).

3.4 ‍Cookies. We use a “secured cookie” to store the access token to the Platform.

3.5 ‍Analytics and other external online services or products

We use Google Analytics as a web analytics service. It's provided by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (parent company: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).

The following data is affected: Google Client ID, Click path, Date and time for visit, Device info, Location info, IP address, Pages visited, Referrer URL, Browser Info, Hostname, Browser language, Browser type, Screen resolution, Device operating system, Interaction data, User behavior, Visited URL

The legal ground for this is Art. 6 para. 1 (f) of the GDPR and the data is stored in Europe

On the Platform we also use Usersnap as a user feedback platform. This service is provided by Usersnap GmbH, Energiestrasse 1, A-4020 Linz, Austria. This may affect user contact or usage data. The legal ground is Article Art. 6 para 1(f) of the GDPR. The data is stored exclusively within the GDPR compliant areas.

We process personal data in accordance with the provisions of the European Data Protection Regulation (Regulation (EU) 2016/679 of 27 April 2016, the "GDPR") and the German Federal Data Protection Act ("BDSG") (or, in other jurisdictions, in accordance with the legislation set out in the corresponding sections at the end of this Privacy Policy) for the following purposes and on the basis of the following legal grounds. Where there are references to the GDPR, BDSG and other legislation in this section, these should be construed as referring to the equivalent legislation in force in the relevant jurisdiction in relation to personal data collected and processed in such other jurisdiction.

Purpose: If you have given us consent to process personal data for certain purposes, in particular for contacting you (e.g. sending newsletters, announce new product features, promotional communications, advertising by telephone, e-mail, SMS, or in relation to the creation of a user account), this processing is lawful on the basis of your permission.

Legal ground: Consent, Art. 6 para 1(a) of the GDPR

Purpose: When contacting us (via contact form, chat or e-mail), your data will be processed for the purpose of handling the contact request and its processing, especially to respond to comments, requests and questions, to verify permission access, and to provide overall customer service and support.

Legal ground: In the case of the performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR

Otherwise: Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR

Purpose: Insofar as required for the participation of the investor in a fund, vehicle or other related workflow, and we process Personal Data in particular to support our customers with regard to the acceptance of the investor as limited partner, including the investor’s capital contribution, handling of communication processes, internally and externally (e.g. correspondence), administrative tasks such as drawdown and distribution notices, general investor relations, tax and regulatory filings/reports and adjacent workflows.

Legal ground: In the case of the performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR

Otherwise: Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR

Purpose: In order to prevent and detect money laundering and the financing of terrorism and to comply with any other regulations relating to sanctions and embargoes through our Know Your Customer (KYC) process, we might process general personal data, bank data and metadata, including to help identifying you, verifying your identity, screening your details against lists and databases of politically exposed persons (PEP), sanctions, high risk countries and adverse media and determining your (risk) profile. Please note that such services might also be carried out by third party service providers.

Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR

Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR

Purpose: An identification process compliant with local financial authorities might include the storage (on behalf of our customers as the case may be) of audio and video recordings of the identification process, of the identified person itself and the identification document, images of the identified person, of the front and (if available) back of the identified person's identification document, personal data such as first name, name, street, house number, postal code, place of residence, date of birth, place of birth, nationality, email, mobile phone number, ID card / passport data such as type of ID card, ID card number, Issuing country, Date of issue, Validity date, Issuing authority, etc. (“Identification Data”). Please note that such services might also be carried out by third party service providers. As a rule, we will store such Identification Data on behalf of and in the account of the obliged customer that initially identified the respective person. To comply with certain regulations we provide immediate access to such Identification Data. In order to avoid repeat video identifications of users (following the principle of data minimization), an obliged customer may access Identification Data initially retrieved by another customer, if the accessing customer is legally obliged to identify the respective investor (e.g. due to AML regulation). In such a case, we may act as a technical messenger between those customers and will grant the accessing customer access to the Identification Data. This applies in particular to cases where European Anti-Money Laundering regulation allows the transmission of an investor’s Identification Data between so-called obligated parties that have to fulfill KYC/AML requirements (e.g. funds, fund managers). The processing generally serves the purpose of complying with official control and information obligations.

Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR

Purpose: To facilitate further investments or operational workflows of a user with other customers of ours, we offer to save and process Personal Data submitted to permit investors/users to use their verified data also for potential future investments or workflows or other activities on Vestlane. Without consent of the respective user, the user’s Personal Data will not be provided to any other party. The user can revoke such consent at any time. This does not affect the legality of the processing carried out on the basis of the consent until the revocation.

Legal ground: Consent, Art. 6 para 1(a) of the GDPR

Purpose: Sending emails and other communications regarding our Service necessary for technical or administrative purposes, such as confirmations, invoices and billing, technical notices, updates, security alerts, and support and administrative messages, as well as messages, and other types of essential communications. These communications are considered part of the Service and you may not opt-out of them.

Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR

Purpose: Additionally we process Personal Data for operational service recording and evaluation, internal communication, ensuring operational safety, accommodate inquiries from public authorities, assertion of legal claims, development and provision of search, learning and productivity tools and additional features.

Legal ground: Purpose of legitimate interests, Art. 6 para. 1 (f) of the GDPR

Purpose: To contact you and to manage our relationship with you and/or your company where you are a supplier/partner or the representative of a customer/supplier/partner with whom we have a business relationship.

Legal ground: Performance of a contract or execution of pre-contractual measures upon request of the person, Art. 6 para 1 (b) of the GDPR

Purpose: We process your Platform access data to safeguard our legitimate interests or those of third parties. In particular, we pursue the following legitimate interests:

  • Ensuring IT security, in particular the security of our Platform; we also store the IP address in the event that someone leaves behind illegal content using the comment function (insults, prohibited propaganda, etc.) and we must be able to determine the author’s identity for our own legal protection;
  • Monitoring and improving our relationships with customers, investors and other users;
  • Asserting legal claims and conducting our defense in case of legal disputes.

In any case, our legitimate interest remains proportionate and we verify according to a balancing test that your interests or fundamental rights are preserved.

Legal ground: As part of the balancing of interests for the safeguarding of legitimate interests, Art. 6 para. 1 (f) of the GDPR

Purpose: We process data:

  • when we do a business deal, or negotiate a business deal, involving the sale or transfer of all or a part of our business or assets. These deals can include any merger, financing, acquisition, or bankruptcy transaction or proceeding. The Personal Data shared may be shared with counterparties and others assisting with the deal.
  • We may share information with those who need it to do work for us. This includes granting Vestlane employees and service providers the necessary access in order to perform their duties.
  • We may share aggregated or anonymized data. This includes for marketing, analytics, or research purposes.

Legal ground: As part of the balancing of interests for the safeguarding of legitimate interests, Art. 6 para. 1(f) of the GDPR & Consent, Art. 6 para 1(a) of the GDPR

Granting consent - where we process your personal data based on consent - is voluntary. You are entitled to withdraw your consent(s) for the future at any time, without specifying any reasons and by sending an informal email via the above contact details or via [email protected]. Please note that the withdrawal is only effective from the date on which you notify us of such withdrawal. Processing that took place before the withdrawal is therefore not affected, but you are entitled to request that we provide you with details of, or that we delete, the personal data that we hold about you. Please be aware that any processing on other legal grounds than consent may remain unaffected.

5. Information choices and changes

You can opt-out of receiving Vestlane’s marketing emails at any time by selecting the unsubscribe link in any marketing email we send you, or by contacting us. If you opt out, we may still send you non-marketing emails. Non-marketing emails are service focused and so will generally include emails about your accounts and our business dealings with you. Vestlane strives to provide you the tools to update your Personal Data. If you are unable to correct inaccurate information on your own, you may request our assistance to update such information by contacting [email protected].

6. Data Access

Within Vestlane, departments that need to know your data to fulfill our contractual and regulatory obligations can access your data.

In addition, processors (Art. 28 GDPR) engaged by us may also obtain access to data for the above-mentioned purposes. These may be, for example, our IT service providers, hosting provider, background and/or credit reference check providers or third parties that provide printing services, telecommunications, sales and marketing services. If we use processors to provide our services, we will take appropriate legal precautions as well as the relevant contractual, technical and organizational measures to protect personal data in accordance with applicable law.

Any transfer of data to third parties will be made only within the scope of legal requirements. We will disclose your data to third parties only if this is required, for example, under Art. 6 para. 1 (b) GDPR for contractual purposes or based on legitimate interests pursuant to Art. 6 para 1 (f) GDPR in the economic and effective operation of our business or if you have consented to the transfer of data. Recipients of such data may be customers of us to perform a contract or execute pre-contractual measures with you, and other service providers and delegates employed and/or retained by them, professional partners such as private banks, family offices, fund managers, law firms and other service providers, and public authorities.

In the case of purely informational use of the Platform, we do not pass on any data to third parties.

The following is a list of the processors we engage:

Processor: Amazon Web Services EMEA SARL, Avenue John F. Kennedy 38, 1855 Luxembourg, Luxemburg

Function: Operation of the Platform 

Data Processing: Personal master data, Address data, Contact details, Payment/bank data, Technical data, Tracking data, Log files, device information (browser to web server), Image and sound recordings

Processing location: Europe

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://aws.amazon.com/privacy/?nc1=f_pr


Processor: Google Workspace, Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland

Function: Internal organisation of the work process

Data Processing: Personal master data, Address data, Contact details, Payment/bank data
Processing location: Europe

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://policies.google.com/privacy?hl=en


Processor: Azure, Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland.

Function: Operation of the Platform

Data Processing: Personal master data, Address data, Contact details, Payment/bank data, Technical data, Tracking data, Log files, device information (browser to web server), Image and sound recordings

Processing location: Europe

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://privacy.microsoft.com/en-us/privacystatement


Processor: Slack Technologies Limited, Salesforce Tower, 60 R801, North Dock, Dublin, Ireland.

Function: Internal communication 

Data Processing: Personal master data,  Address data, Contact data

Processing location: USA

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://slack.com/intl/en-gb/trust/privacy/privacy-policy


Processor: IDNow GmbH, Auenstraße 100, 80469 München, Deutschland

Function: Costumer identification tool

Data Processing: Personal master data, Address data, contact data, Image and sound recordings

Processing location: Europe, predominantly Germany

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://www.idnow.io/privacy/


Processor: Comply Advantage

Function: AML risk detection

Data Processing: Name, date of birth, address data

Processing location: Europe and outside of the EEA on the basis of Art. 46 para 2 (c) GDPR

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://complyadvantage.com/privacy-notice/


Processor: DocuSign

Function: Electronic signing of documents

Data Processing: Contact details (name, email address, address, phone numbers), Job information (title, place of work), Signatures, IP addresses, other unique device identifiers and geolocation information

Processing location: Europe

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://www.docusign.com/privacy


Processor: NorthData

Function: Database for European companies information

Data Processing: Company information (name, address, structure)

Processing location: USA

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://www.northdata.com/\_privacy


Processor: Klippa

Function: Costumer identification tool 

Data Processing: Personal master data, Address data, contact data, Image and sound recordings

Processing location: Europe

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://www.klippa.com/wp-content/uploads/2023/09/Klippa-Privacy-Statement-Website-2023.pdf


Processor: Veriff

Function: Costumer identification tool 

Data Processing: Personal master data, Address data, contact data, Image and sound recording

Processing location: Europe

Legal basis: Art. 6 para. 1 (f) of the GDPR

Privacy Policy of Processor for further information: https://www.veriff.com/privacy-notice

7. Data Retention

We generally retain your Personal Data only for as long as necessary to fulfill the purposes outlined in this Privacy Policy.

When determining the relevant retention periods for your Personal Data, we take into account the following factors: (a) any permissions you give us with regards to your Personal Data; (b) our contractual obligations and rights in relation to the Personal Data involved; (c) our legal obligation(s) under relevant laws to retain data for a certain period of time; (d) our legitimate business and commercial interests; (e) whether retention is advisable in light of our legal position (such as with regard to applicable statute of limitations, investigations, litigation, and other potential and actual disputes); and (f) any guidelines issued by relevant data protection authorities.

For security reasons (e.g. to clarify acts of abuse or fraud), log file information is stored for a maximum of 90 days and then deleted. Data whose further storage is necessary for evidentiary purposes is exempt from deletion until the final clarification of the respective incident.

As far as necessary, we process and store your personal data for the duration of our business relationship, which also includes, for example, the initiation of a contract via contact form or by e-mail.

In addition, we are subject to various storage and documentation obligations, which result, among other things, from the German Commercial Code (HGB) and the German Fiscal Code (AO). The retention and documentation periods specified are six and ten years respectively.

Finally, the storage period is also assessed according to the statutory limitation periods, which, for example, according to §§ 195 et seq. of the German Civil Code (BGB), are usually 3 years, but in certain cases can be up to thirty years.

If you exercise your rights as a data subject, we will store the information provided to you in this regard until the expiry of the statutory limitation period pursuant to Section 31 para 2 no 1 OWiG, Section 41 para 1 BDSG, Article 83 para 5 (b) GDPR for 3 years. This period may be extended if the statutory limitation period is extended due to interruptions of the limitation period (e.g. in the context of inquiries by the supervisory authorities).

The retention period for identification data extends beyond the end of your contractual relationship with us. Customers of ours might be subject to AML regulation, especially according to §§ 8, 10 GwG, or mutatis mutandis according to other European or international AML regulation. To support them in their compliance, we store identification data for at least five years. This retention obligation only begins at the end of the calendar year in which our customer relationship with you or the customer relationship between you and one of our customer’s is terminated. The total retention period can therefore be longer than five years after the end of the contract, as the case may be.

Please note that local data retention obligations may apply to our subsidiaries, which may differ from the time periods mentioned above. For further information please contact us at the contact details given above.

8. Transfers to Third Countries

Personal Data is primarily processed in EU/EEA. If we process data in a third country (i.e., outside the European Union (EU), the United Kingdom (UK) or the European Economic Area (EEA) or the processing takes place in the context of the use of third-party services or the disclosure or transfer of data to other persons, entities or companies, this will only be done in accordance with the requirements of the GDPR.

Please note that the US or other third countries may have data protection laws less stringent than or otherwise different from the laws in effect in your country. Possible risks of this data transfer are that access by state authorities, such as security authorities and/or intelligence services, cannot be ruled out and your data could be processed by them, possibly without you being informed separately and without enforceable rights and effective legal remedies being available to you, for reasons of national security, law enforcement or for other purposes in the public interest of the USA.

To ensure appropriate safeguards for the protection of the transfer and processing of personal data outside the EU/UK/EEA, the transfer of data to and processing of data is based on appropriate safeguards pursuant to Art. 46 et seq. GDPR, in particular by concluding so-called standard data protection clauses pursuant to Art. 46 (2) (c) GDPR.

If you are located in the United Kingdom (UK) or European Economic Area (EEA), and we share your Personal Data to parties in the US or any other countries not recognized as adequate for the transfer of your Personal Data, to the extent a safeguard is required under law for such transfers of your Personal Data, we have put in place the UK government approved international data transfer agreement/addendum (for UK transfers) and Standard Contractual Clauses approved by the EU Commission (for EEA transfers). Please contact us for further details on the safeguards in place and how to obtain a copy.

The data collected by the products listed within the scope of this declaration from US providers or their affiliated companies, may be stored and processed by them in the USA, among other places. We have no influence on further data processing by the US service providers. For a data transfer to a third country, i.e. a country outside the EU or the EEA, appropriate guarantees for the protection of your personal data are generally required.

9. Data Subject Rights

You have specific rights concerning your Personal Data and can exercise these rights by contacting us.

Right to information: You have the right to obtain information about the Personal Data that we store about you. In case of an information request, we will provide you with the stored personal data. You also have the right to the information specified in detail in Art. 15 para 1 GDPR. However, the aforementioned right is not unlimited; the right to obtain a copy of your personal data shall not adversely affect the rights and freedoms of others under Art. 15 para 4 GDPR.

Right to rectification and erasure: You may request the correction of incorrect Personal Data and – insofar as the legal requirements are met – the erasure of your Personal Data in accordance with Art. 16, Art. 17 GDPR. The right to erasure (“right to be forgotten”) is not unrestricted. In particular, erasure cannot be demanded, if we need to process your personal data further in order to perform our contract, to fulfil a legal obligation or to assert, exercise or defend legal claims. The requirements and restrictions of the right to deletion are set out in detail in Art. 17 GDPR.

Restriction of processing: As far as the legal requirements are met, you may request that we restrict the processing of your Personal Data. In this case, we may continue to store this data, but may process it only under strict conditions. The conditions and restrictions of the right to restrict processing are set out in detail in Art. 18 GDPR.

Data portability: You may request to receive Personal Data provided by you, which we process in an automated process, on the basis of the contract existing between us, or your consent, in a structured, common and machine-readable format. In addition, you may request us to transmit this data directly to another responsible party, insofar as this is technically feasible. The requirements and restrictions of the aforementioned rights can be found in detail in Art. 20 para 3 and 4 GDPR.

Objection to data processing: You may object to the processing of your Personal Data at any time if there is a legitimate interest of you arising from your particular situation. In such case, we will stop the processing of your Personal Data, unless we can – in accordance with the legal requirements – prove compelling legitimate grounds for processing that outweigh your interests, rights and freedoms, or the processing serves the purposes of asserting, exercising or defending legal claims.

Revocation of consent: If you have consented to the processing of your Personal Data, e.g. for direct marketing purposes, you can revoke your consent at any time with effect for the future. The lawfulness of the processing of your Personal Data prior to the revocation remains unaffected.

Right to complain to the supervisory authority: You can file a complaint with the competent supervisory authority if you believe that the processing of your Personal Data violates applicable law. You can contact the data protection authority which is responsible for your place of residence or your country or the data protection authority responsible for us.

Contact: Furthermore, you can contact us free of charge with any questions about the processing of your Personal Data, your rights as a data subject and any consent you have given under the contact information given above. If you want to revoke your consent, you can choose the same channel which you used when you submitted the consent.

Automated individual decision-making, including profiling: In the context of accessing our Platform or in the context of contacting us by form or e-mail, we do not use any fully automated decision-making pursuant to Article 22 GDPR. Should we use these procedures in individual cases, we will inform you about this separately if this is required by law. We do not process your data automatically with the aim of evaluating certain personal aspects (profiling).

10. Changes to this Privacy Policy

We may periodically make changes to this Privacy Policy. We will notify you of any significant changes where we have a relationship with you and otherwise post updated versions here. We recommend that you revisit this Privacy Policy regularly.


Vestlane GmbH

Data Processing Agreement

("DPA")
1. Preamble

This addendum regulates the rights and obligations of the customer ("Controller or "Customer") and the provider ("Processor" or "Provider") in the context of the processing of personal data on behalf of the Customer ("DPA"). This Data Processing Agreement ("DPA") is part of the General Terms and Conditions and specifies legal rights and obligations arising for the parties from the GDPR if and to the extent that the Provider processes personal data on behalf of the Customer pursuant to Art. 28 GDPR or a service provider acting on behalf of the Provider may have contact with the Customer's personal data. Unless otherwise defined in this DPA, the definitions of the contract or the GDPR shall apply. In the event of a conflict between the provisions of this DPA and the contract, the provisions of this DPA shall prevail.

2. Object of the contract and term

2.1 The subject matter of the contract includes the electronic processing of personal data to provide the services rendered by the Provider in accordance with the General Terms and Conditions and its annexes.

2.2 The Provider processes personal data on behalf of the Customer on the basis of this DPA and in accordance with Art. 4 para. 1, para. 2 and Art. 28 GDPR.

2.3 This DPA is concluded for an indefinite period. However, if the General Terms and Conditions end, this DPA shall also end.

3. Purpose, scope and types of processing; type of personal data and categories of data subjects

3.1 Personal data may only be processed within the scope of this DPA for the stated purpose.

3.2 The purpose, scope and type of data processing are: 3.2.1 collecting relevant data and forwarding it to online video identification service providers for the video identification of persons acting on behalf of the client's investors in relation to the client; 3.2.2. electronic processing of the contract signature (if applicable).

3.3 Categories of data types concerned:

3.3.1 Potential investor/Customer data

3.3.2 Contract master data

3.4 Types of personal data: 3.4.1 The Provider collects all personal data contained in the identification documents used for verification. Other data such as bank details, e-mail addresses and telephone numbers are also processed as part of the verification process. However, the scope of the data collected by the Provider does not generally exceed the scope described here.

3.5 The provision of the contractually agreed data processing takes place exclusively in a member state of the European Union, another state party to the Agreement on the European Economic Area or a state with an adequate level of data protection in accordance with Art. 45 GDPR, which is determined by the European Commission.

3.6 The Provider may only carry out an international transfer of personal data to a country outside the European Economic Area in accordance with the GDPR and must take appropriate protective measures to the extent required by the GDPR.

4. Rights, obligations and authority of the Customer to issue instructions

4.1 The Customer bears sole responsibility for assessing the lawfulness of the processing pursuant to Art. 6 para. 1 GDPR and for compliance with the rights of the data subject pursuant to Art. 12-22 GDPR.

4.2 The Customer shall issue all orders, partial orders and instructions in text form or documented electronic form. Verbal instructions must be confirmed immediately in text form or documented electronic form.

4.3 The Customer is entitled to regularly and appropriately check how the Provider is fulfilling the technical and organizational measures (TOM) and the obligations set out in this Agreement.

4.4 If the Customer discovers errors or irregularities when checking the work results, he must inform the Provider immediately.

4.5 The Customer is obliged to treat as confidential all business secrets of which it becomes aware in the context of the contractual relationship and to comply with the Provider's data security measures. This obligation shall remain in force even after termination of this contract.

5. Persons authorized to issue instructions in the Customer's company and persons who receive instructions in the Provider's company

5.1 The persons who receive instructions from the Provider are:

5.1.1 Organizational unit: Vestlane GmbH 5.1.2 Communication channels used for issuing instructions: [email protected]

5.2 In the event of a change or prolonged absence of the contact point, the parties shall immediately appoint a representative or successor and inform the other party of any changes in text form or documented electronic form. The instructions shall be retained for their duration and subsequently for at least three calendar years.

6. Obligations of the Provider

6.1 The Provider shall appoint a data protection officer. The contact details (updated from time to time) of the data protection officer(s) shall be published on the Provider's website.

6.2 The Provider shall process personal data exclusively within the framework of the agreements made and in accordance with the Customer's instructions, unless it is obliged to process data separately on the basis of a law of the Union or the Member States applicable to the Provider (e.g. investigations by national security authorities or law enforcement authorities); in such a case, the Provider shall inform the Customer of these legal requirements prior to the commissioned processing, unless the applicable law prohibits such disclosure for reasons of public interest and public security (Art. 28 para. 3, sentence 2, lit. a) GDPR).

6.3 The Provider shall cooperate with the Customer to the extent necessary and support the Customer, as far as possible, in fulfilling the Customer's obligation to respond to requests to exercise data subject rights within the meaning of Art. 12-22 GDPR and in drawing up records of processing activities and necessary data protection impact assessments (Art. 28 para. 3 sentence 2 lit. e) and f) GDPR).

6.4 If, in the opinion of the Provider, an instruction issued by the Customer violates legal regulations, the Provider shall inform the Customer immediately (Art. 28 para. 3 sentence 3 GDPR). The Provider is entitled to cease compliance with the respective instruction until the Customer confirms or changes this instruction.

6.5 If the Customer requests the correction or deletion of personal data or the restriction of their processing by means of a special instruction and if this does not conflict with any legitimate interests of the Provider (e.g. fraud prevention), the Provider shall carry out this instruction.

6.6 The Provider agrees that the Customer (after commissioning) is authorized to check compliance with the regulations on data protection and data security as well as the contractual agreements to an appropriate and necessary extent himself or through third parties commissioned by him (Art. 28 para. 3 sentence 2 lit. h) GDPR).

6.7 The Provider confirms that it is familiar with the data protection provisions of the GDPR that apply to data processing and that it complies with the following confidentiality rules incumbent on the Customer: 6.7.1 Banking secrecy 6.7.2 Secrecy of telecommunications

6.8 The Provider is obliged to maintain the confidentiality of all personal data of the Customer that is processed within the scope of this contract. This confidentiality obligation shall remain in force even after termination of the contract.

6.9 The Provider shall ensure that the employees authorized to process the personal data are instructed prior to data processing on compliance with all relevant data protection provisions and are bound to secrecy in an appropriate manner both for the duration of the activity and after termination of the employment relationship (Art. 28 para. 3 sentence 2 lit. b) and Art. 29 GDPR). The Provider monitors compliance with data protection regulations.

7. Rights of the data subject

7.1 The Provider cooperates with the Customer to the extent necessary and supports the Customer, as far as possible, in fulfilling its obligation to respond to requests to exercise the rights of data subjects within the meaning of Art. 12-22 GDPR (Art. 28 para. 3 sentence 2 lit. e) and f) GDPR). Corresponding requests should be sent to: [email protected].

7.2 If a data subject contacts the Provider directly regarding their data subject rights such as information or deletion, the Provider shall forward these requests to the Customer without delay, provided that they are addressed exclusively to the Customer. Such requests shall be addressed to the data protection officer in accordance with Section 7 above.

7.3 The Provider may only provide information about personal data from the contractual relationship to third parties or to the data subject with the prior instruction or consent of the Customer.

8. Reporting obligation in the event of disruptions in the processing or breach of the protection of personal data

The Provider shall inform the Customer immediately in the event of disruptions or violations of data protection regulations or contractual obligations by the Customer or its employees, as well as in the event of suspected data protection violations or irregularities in the processing of personal data. This applies in particular to any reporting obligations of the Customer pursuant to Art. 33 and Art. 34 GDPR. The Provider assures that it will support the Customer in fulfilling its obligations to the extent necessary within the meaning of Art. 33 and Art. 34 GDPR (Art. 28 para. 3 sentence 2 lit. f) GDPR). Notifications for the Customer within the meaning of Art. 33 or 34 GDPR can only be sent by the Provider after prior instruction in accordance with Section 5 of this Agreement.

9. Subcontracting relationships with service providers for core services (Art. 28 para. 3 sentence 2 lit. d) GDPR)

9.1 The Provider may commission service providers to process the Customer's data. The Provider shall inform the Customer about the commissioning of a service provider. In addition, the Provider shall ensure that, when selecting service providers, it pays particular attention to their suitability for the technical and organizational measures described in Art. 32 GDPR.

9.2 The Provider shall contractually ensure that the provisions agreed between the Customer and the Provider also apply to service providers. The provisions in the contracts with the service providers shall be defined so precisely and specifically that the responsibilities of the Provider and the service provider can be clearly delineated. If several service providers are commissioned, this also applies to the responsibilities between these service providers.

9.3 The contract with the service providers must be concluded in writing; it may also be concluded in electronic form (Art. 28 (4) and (9) GDPR).

9.4 The Provider shall inform the Customer of any intended changes regarding the addition or replacement of service providers and give the Customer the opportunity to object to such changes (Art. 28 para. 2 GDPR).

10. Technical and organizational measures pursuant to Art. 32 GDPR (Art. 28 para. 3 sentence 2 lit. c) GDPR)

10.1 A level of protection appropriate to the risk to the rights and freedoms of individuals (data subjects) must be ensured for the specific processing. For this purpose, the purposes of protection referred to in Art. 32 para. 1 GDPR, such as confidentiality, integrity and availability of systems and services and their resilience with regard to the nature, scope, circumstances and purpose of data processing, shall be taken into account in such a way that the risk is kept low in the long term by means of appropriate technical and organizational measures. For the proper processing of personal data, an appropriate and comprehensible risk assessment methodology is applied that takes into account the likelihood and severity of the risks to the rights and freedoms of data subjects.

10.2 The described data protection concept specifies the minimum requirements for the technical and organizational measures (TOM) that correspond to the assessed risk. The protection objectives are considered in detail and according to the state of the art - in particular with regard to the Provider's IT systems and processes. The concept also describes procedures for the regular review, assessment and evaluation of the effectiveness of the TOM in order to ensure data processing in compliance with data protection regulations.

10.3 The Provider shall regularly review, assess and evaluate the effectiveness of the TOM in order to ensure the security of the processing (Art. 32 para. 1 lit. d) GDPR).

11. Obligations of the Provider after completion of the order (Art. 28 para. 3 sentence 2 lit. g) GDPR)

After termination of the contract, the Provider shall delete or return to the Customer all order-related data, documents and reports that have been created in the course of data processing and are in the possession of the Provider or its service providers, unless Union law or the law of a Member State requires the storage of personal data.

12. Liability

12.1 Both parties shall be liable pursuant to Art. 82 GDPR for damages caused by a breach of this DPA or the GDPR.

12.2 If both parties are responsible for claims by data subjects or third parties pursuant to Art. 82 (4) GDPR, the Customer shall be solely liable for the damage, unless part of the total damage is attributable to the Provider. The Customer shall bear the burden of proof that the damage is not attributable to circumstances for which the Customer is responsible.

12.3 Any limitations of liability in this DPA shall not apply in the event of intent or gross negligence or in the event of injury to life or limb.

12.4 In all other respects, liability shall be governed by the General Terms and Conditions..

13. Miscellaneous

13.1 All ancillary agreements must be made in writing or in a documented electronic format.

13.2 If the Customer's property or the personal data to be processed is jeopardized by actions of third parties (e.g. by seizure or confiscation), by composition or insolvency proceedings or by other events, the Provider must inform the Customer immediately.

13.3 With regard to the data processed for the Customer and the respective data carrier, the defense of the right of retention within the meaning of Section 273 BGB (German Civil Code) is excluded.

13.4 Amendments and additions to this Addendum and all its components - including any assurances given by the Processor - shall be made in text form (including e-mail) in accordance with the GDPR, which may also be in electronic form, and require an express reference to the fact that these terms and conditions have been amended or supplemented. This also applies to the waiver of this formal requirement. The parties agree that amendments to this addendum may be made in an electronic format in accordance with Art. 28 para. 9 GDPR.

13.5 Should the Controller's data be jeopardized by seizure or confiscation, by insolvency or composition proceedings or by other events or measures of third parties, the Processor shall inform the Controller immediately. The Processor shall immediately inform all parties involved in this context that ownership of the data lies exclusively with the Controller.

13.6 The law of the Federal Republic of Germany shall apply. The UN Convention on Contracts for the International Sale of Goods (CISG) shall not apply. The exclusive place of jurisdiction for all disputes in connection with this addendum is, as far as permissible, Berlin.

13.7 Should any provision of this contract be invalid, this shall not affect the validity of the remaining provisions of the contract.


Vestlane GmbH

Data Protection Information

1. Name/contact details of the controller and the data protection officer

This data protection information applies to data processing by the following controller ("Controller"):

Vestlane GmbH Kurfürstendamm 12, 10719 Berlin E-Mail: [email protected]

2. Collection and storage of personal data and the nature and purpose of their use

We collect the following customer data when an order is placed:

  • title(s), first name(s), surname(s);
  • e-mail address(es);
  • address(es);
  • telephone number(s) (landline, mobile).

This data is collected:

  • to be able to identify you as our customer;
  • in order to be able to offer you our services appropriately;
  • for the purpose of correspondence with you;
  • for the purpose of invoicing;
  • for the purpose of asserting any claims against you.

The data processing takes place at your request and is required in accordance with Art. 6 para. 1 sentence 1 lit. b GDPR for the stated purposes for the appropriate processing of the order and for the mutual fulfillment of obligations arising from the contract. The personal data collected by us for the assignment will be stored until the expiry of the statutory retention obligation and then deleted, unless we are obliged to store it for a longer period in accordance with Art. 6 para. 1 sentence 1 lit. c GDPR or you have consented to further storage in accordance with Art. 6 para. 1 sentence 1 lit. a GDPR.

3. Disclosure of data to third parties

Your personal data will not be transferred to third parties for purposes other than those listed below. Insofar as this is necessary for the fulfillment of the contract with you in accordance with Art. 6 para. 1 sentence 1 lit. b GDPR, your personal data will be passed on to third parties. This includes, in particular, the disclosure to YPOG Partnerschaft von Rechtsanwälten und Steuerberatern PartG mbB Schnittker + Partner, insofar as a contractual relationship exists with them. This also includes any necessary disclosure to courts and other public authorities for the purpose of correspondence. The data passed on may be used by the third party exclusively for the stated purposes.

4. Rights of data subjects

You have the right:

  • in accordance with Art. 7 para. 3 GDPR, to withdraw your consent once given to us at any time. As a result, we may no longer continue the data processing that was based on this consent in the future;
  • to request information about your personal data processed by us in accordance with Art. 15 GDPR. In particular, you can request information about the processing purposes, the category of personal data, the categories of recipients to whom your data has been or will be disclosed, the planned storage period, the existence of a right to rectification, erasure, restriction of processing or objection, the existence of a right to lodge a complaint, the origin of your data if it was not collected by us, and the existence of automated decision-making including profiling and, if applicable, meaningful information about its details;
  • in accordance with Art. 16 GDPR, to immediately request the correction of incorrect or incomplete personal data stored by us;
  • in accordance with Art. 17 GDPR, to demand the deletion of your personal data stored by us, unless the processing is necessary to exercise the right to freedom of expression and information, to fulfill a legal obligation, for reasons of public interest or to assert, exercise or defend legal claims;
  • in accordance with Art. 18 GDPR, to demand the restriction of the processing of your personal data if the accuracy of the data is disputed by you, the processing is unlawful, but you refuse to delete it and we no longer need the data, but you need it to assert, exercise or defend legal claims or you have lodged an objection to the processing in accordance with Art. 21 GDPR;
  • in accordance with Art. 20 GDPR, to receive your personal data that you have provided to us in a structured, commonly used and machine-readable format or to request that it be transmitted to another controller; and
  • to lodge a complaint with a supervisory authority pursuant to Art. 77 GDPR. As a rule, you can contact the supervisory authority at your usual place of residence or workplace or at the registered office of the Controller.
5. Right of objection

If your personal data is processed on the basis of legitimate interests in accordance with Art. 6 para. 1 sentence 1 lit. f GDPR, you have the right to object to the processing of your personal data in accordance with Art. 21 GDPR, provided that there are reasons for this arising from your particular situation. If you wish to exercise your right to object, simply send an email to [email protected].


Deutsche Version

Allgemeine Geschäftsbedingungen

("AGB", "Vertrag")

Vestlane GmbH

Kurfürstendamm 12, 10719 Berlin,Deutschland

Amtsgericht Charlottenburg(Berlin), HRB 221114

Umsatzsteuer-ID: DE336067813

– hiernach „Anbieter“

und

dem Kunden

– hiernach „Kunde“

– beide gemeinsam auch die „Partei(en)“ –

Letzte Änderung: 16. April 2024

1. Vertragsgegenstand

1.1. Der Anbieter bietet eine webbasierte Plattform zur Steuerung und Verwaltung von Investmentvehikeln (jeweils ein „Investmentvehikel“). Die Software ("Software") dient insbesondere der Erfassung und Verarbeitung der Daten von Investoren, Zielunternehmen und anderen Vertragspartnern dieser Investmentvehikel („Vertragspartner“). Die Plattform ermöglicht die Zusammenarbeit zwischen dem Kunden und verschiedenen hinzugezogenen Beratern (z.B. Anwälte, Geldwäschebeauftragte, Steuerberater) (die „Berater“) und unterstützt bei notwendigen Überprüfungen der Vertragspartner im Rahmen verschiedener Investitions- und Compliance-Prozesse (insb. Zeichnung von Fondsanteilen, Investoren-Onboarding, weitere KYC/AML-Prüfungen).

1.2. Diese allgemeinen Geschäftsbedingungen („AGB“) regeln die Nutzungsüberlassung der Software als „Software as a Service“ (SaaS) über das Internet.

1.3. Die AGB gelten fürsämtliche, auch künftige Leistungen des Anbieters im Zusammenhang mit der Bereitstellung der Vertragssoftware, dem Betrieb von Portalen, Schnittstellen und Internetdiensten sowie damit zusammenhängenden Supportleistungen gegenüber dem Kunden (nachfolgend „Service“). Die Parteien erkennen an, dass die Bereitstellung der Software im Wege der Softwaremiete Zweck und Schwerpunkt des Vertrags bildet. Hierzu erhält der Kunde eine separate Instanz auf der Plattform sowie einen mit Benutzernamen und Passwort geschützten Zugang je Benutzer.

1.4. Weitere Einzelheiten können sich nach einem oder mehreren separat abzuschließenden Einzelverträgen ergeben (jeweils ein „Einzelvertrag“, gemeinsam die „Einzelverträge“).

1.5. Die Vertragsbeziehung richtet sich nach Maßgabe der folgenden Dokumente, wobei jeweils das ranghöhere und bei gleichrangigen Dokumenten das zeitlich jüngere Dokument maßgeblich ist:

  1. Einzelvertrag
  2. AVV
  3. AGB

1.6. Vorbehaltlich der Regelungen dieser Ziff. 1 gelten entgegenstehende oder zusätzliche Vertragsbedingungen des Kunden nur dann, wenn der Anbieter diese ausdrücklich schriftlich bestätigt.

1.7. Vorbehaltlich der Regelungen dieser Ziff. 1 verlieren sonstige in Bezug auf den Vertragsgegenstand schriftlich oder mündlich geschlossene Verträge mit In-Kraft-Treten dieses Vertrags ihre Gültigkeit. Mündliche Nebenabreden bestehen nicht. ‍

2. Nutzungsrechte an der Software

2.1. Vorbehaltlich der Bestimmungen dieser AGB und der vollständigen Zahlung vereinbarter Entgelte räumt der Anbieter dem Kunden für die Dauer der Service-Laufzeit das weltweite, nicht-exklusive, nicht-übertragbare und nicht-unterlizenzierbare Recht ein, auf die Vertragssoftware gemäß dem in dem/den Einzelvertrag/-verträgen und den AGB vereinbarten Umfang zuzugreifen und, soweit das Laden, Anzeigen oder Ablaufen der Vertragssoftware dies erfordert, vorübergehende Vervielfältigungen der Vertragssoftware ganz oder in Teilen zu erstellen (nachfolgend „SaaS-Lizenz“).

2.2. Dem Anbieter verbleiben alle übertragbaren Inhaberrechte sowie sämtliche ausschließlichen Nutzungsrechte an der Vertragssoftware.

2.3. Der Kunde ist berechtigt, (potenzielle) Vertragspartner, sowie deren Mitarbeiter und andere Service-Dienstleister in die jeweilige Instanz eines Investmentvehikels des Kunden per E-Mail oder per anderweitiger individueller Zugangsmöglichkeit einzuladen.

2.2.1. Vertragspartner des Kunden können auch von Beratern oder anderen Zugriffsberechtigten mit entsprechender Berechtigung eingeladen werden. Die Einladungen werden von der Software an die hinterlegten E-Mail-Adressen versandt.

2.2.2. Um die Software zunutzen, muss der Vertragspartner des Kunden nach Erhalt der Einladung ein Passwort setzen, um ein Nutzerkonto zu erstellen. Dieses Nutzerkonto ist an die E-Mail-Adresse gebunden, mit der er zur Software eingeladen wird. Außerdem muss der Vertragspartner die Datenschutz- und Nutzungsbedingungen der Software bei seinem ersten Besuch sowie bei Änderungen dieser Datenschutz- und Nutzungsbedingungen akzeptieren, um die Plattform nutzen zu können.

2.4. Der Kunde ist nicht berechtigt, die Software Dritten entgeltlich oder unentgeltlich zur Nutzung zur Verfügung zu stellen. Eine Weitervermietung der Software ist nichtgestattet.

2.5. Darüber hinaus ist der Kunde nicht berechtigt, dauerhafte oder vorübergehende Kopien oder Vervielfältigungen der Vertragssoftware herzustellen, Bearbeitungen oder andere Umarbeitungen an der Vertragssoftware vorzunehmen, diese in geänderter oder nicht-geänderter Form, z.B. als White-Label-Software, zu kommerziellen oder nicht-kommerziellen Zwecken zu verbreiten oder öffentlich zugänglich zu machen, die Vertragssoftware zu dekompilieren, zu reverse-engineeren oder auf sonstige Weise die Arbeitsweise der Vertragssoftware zu ermitteln, sofern keine Zustimmung des Anbieters vorliegt.

2.6. Dem Kunden ist es untersagt, Hinweise und Angaben bezüglich Urheberrechte, Markenrechten, Patentrechten und anderen Rechten des geistigen Eigentums der Vertragssoftware oder der Dienstleistungen zu entfernen.

2.7. Der Kunde darf auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, die Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte ablegen.

2.8. Software-Komponenten mit unbeschränktem Nutzungsumfang (ggf. E-Signatur, Identitätsverifikationen, Mitarbeiter-Accounts) können einer angemessenen Nutzung unterliegen, die vom Anbieter festgelegt und kommuniziert wird ("Fair Use Principle"). Der Grundsatz der fairen Nutzung wird vom Anbieter angewandt, um die Verfügbarkeit der entsprechenden Funktionalität für alle Nutzer zu gewährleisten. Eine unangemessene oder übermäßige Nutzung der betreffenden Funktionalität berechtigt den Anbieter nach vorheriger Ankündigung, die Nutzung der betreffenden Funktionalität durch den Kunden einzuschränken. ‍

3. Bereitstellung der Software

3.1. Der Anbieter stelltdem Kunden die Vertragssoftware zum Zugriff mittels Browser auf einer dem Kunden zugewiesenen Instanz vorbehaltlich der nachfolgend bestimmten Funktionalität und Verfügbarkeit zur Verfügung. Die Übergabe der Vertragssoftware erfolgt am Routerausgang des Rechenzentrums, in dem sich der vom Anbieter gewählte Hosting-Provider befindet. Für die Internetverbindung zwischen dem Standort und dem Rechenzentrum und die hierfür erforderliche Hard- und Software (z.B. PC, Internetanschluss) ist der Kunde verantwortlich.

3.2. Der Anbieter stellt die Vertragssoftware "as is" zur Verfügung. Zulässige Einsatzbedingungen und Nutzungsumfang ergeben sich aus dem/den Einzelvertrag/-verträgen. Der Anbieter wird die Vertragssoftware in einem zum vertragsgemäßen Gebrauchgeeigneten Zustand erhalten.

3.3. Die Vertragssoftware und ihrer Arbeitsweise wird kontinuierlich analysiert, optimiert und weiterentwickelt sowie durch weitere Features und Module erweitert. Der Anbieter wird dem Kunden nach Möglichkeit und vorbehaltlich vertraglicher Vereinbarungen nach Ziff. 1 die jeweils aktuellste Version der Vertragssoftware zur Verfügung stellen (nachfolgend „Produktupdates“). Es steht dem Anbieter frei, unter Berücksichtigung der Interessen des Kunden die Vertragssoftware und den Service jederzeit um Funktionen zu erweitern oder Funktionen, die nicht mehr sinnvoll sind, zu entfernen, sowie erforderliche Anpassungen aufgrund geänderter Rechtslage, technischer Entwicklungen oder Gründen der IT-Sicherheit vorzunehmen.

3.4. Eine Anpassung der Vertragssoftware auf die individuellen Bedürfnisse oder die IT-Umgebung des Kunden schuldet der Anbieter nicht.

3.5. Der Anbieter übermittelt dem Kunden die Daten für den Zugriff auf den Server, insbesondere die von dem Kunden benötigte Anzahl von Benutzerkennungen und -passwörtern. Sämtliche Benutzerkennungen und -passwörter sind vom Kunden unverzüglich in nur den Nutzungsberechtigten bekannte Kennungen und Passwörter zu ändern. Der Anbieter ist jederzeit berechtigt, die Zugangsdaten mit angemessener Ankündigungsfrist zu ändern. ‍

4. Kundenpflichten

4.1. Sofern die Leistungserbringung durch den Anbieter Mitwirkungshandlungen in der Betriebssphäre des Kunden erforderlich macht, unterstützt der Kunde den Anbieter durch sämtliche erforderliche technische, organisatorische und sonstige Maßnahmen. Insbesondere wird der Kunde den Anbieter rechtzeitig erforderliche Informationen und Unterlagen zur Verfügung stellen und den Mitarbeitern des Anbieters rechtzeitig Zugang zu Räumlichkeiten oder der informationstechnischen Infrastruktur des Kunden gewähren. Verzögerungen in der Leistungserbringung durch den Anbieter, die auf einer Nicht- oder verzögerten Erbringung von Mitwirkungshandlungen des Kunden beruhen, hat der Anbieter nicht zu vertreten.

4.2. Der Kunde ist verpflichtet, einen qualifizierten Ansprechpartner, sowie einen Stellvertreter, zu benennen, der berechtigt ist, alle notwendigen Entscheidungen, die zur vertragsgemäßen Leistungserbringung erforderlich sind, zu treffen oder unverzüglich herbeizuführen. Der Kunde ist verpflichtet, dem Anbieter jeden Wechsel des Ansprechpartners (einschließlich Stellvertreter) unverzüglich mitzuteilen.

4.3. Der Kunde verpflichtet sich, seine Kontaktinformationen aktuell, korrekt und vollständig zu halten, damit der Anbieter Mitteilungen, Abrechnungen und andere Informationen übermitteln kann.

4.4. Unabhängig von der Verpflichtung des Anbieters zur Datensicherung ist der Kunde selbst für die Eingabe und Pflege der zur Nutzung der Software erforderlichen Daten und Informationen verantwortlich. Der Kunde ist verpflichtet, die Software nur vertragsgemäß und im Rahmen der geltenden gesetzlichen Bestimmungen zu nutzen und bei der Nutzung keine Rechte Dritter zu verletzen. Der Kunde wird den Anbieter unverzüglich in Textform informieren über:

(i) die missbräuchliche Nutzung oder den Verdacht der missbräuchlichen Nutzung der Software und Services;

(ii) eine Gefahr oderden Verdacht einer Gefahr für die Einhaltung des Datenschutzes oder der Datensicherheit, die im Rahmen der Erbringung der vertraglich vereinbarten Leistung eintritt;

(iii) eine Gefahr oder den Verdacht einer Gefahr für die vomAnbieter erbrachte Leistung, z.B. durch Verlust von Zugangsdaten oder Hackerangriff.

4.5. Der Kunde hat folgende technische Voraussetzungen für einen optimalen Betrieb zu gewährleisten, insbesondere:

4.5.1. Die Anbindung an das Internet mit ausreichender Bandbreite und Latenzzeit liegt in der Verantwortung des Kunden.

4.5.2. Für eine optimale Nutzung der Angebote und Funktionen der Software wird der Kunde die neuesten Versionen der folgenden Browsertypen verwenden: Google Chrome, Microsoft Edge oder Mozilla Firefox oder einen anderen vom Anbieter mitgeteilten Browser. Funktionale Cookies werden für die Nutzbarkeit der Software benötigt. Werden diese vom Kunden nicht zugelassen, übernimmt der Anbieter keine Haftungfür hieraus resultierende Einschränkungen.

4.5.3. Der Kunde ist dafür verantwortlich, IT-Sicherheitsmaßnahmen nach dem Stand der Technik zu ergreifen, um sicherzustellen, dass die Nutzung der Software in seiner eigenen Organisation angemessenen Sicherheitsstandards unterliegt.

4.5.4. Der Kunde hatgeeignete Vorkehrungen zu treffen, um unbefugten Zugriff Dritter auf die geschützten Bereiche der Software zu verhindern.

4.5.5. Die Verwendung von Gemeinschaftskonten, sog. SharedAccounts (z.B. [email protected]), ist untersagt und nur bei Zustimmung des Anbieters zulässig.

4.5.6. Der Kunde ist verpflichtet, dafür zu sorgen, dass seine Nutzer der Software ihre Zugangsdaten geheim halten und nichtweitergeben.

4.5.7. Der Kunde hat für die Sicherheit der genutzten Internetverbindung zu sorgen, insbesondere für die Nutzung firmeneigener statt öffentlicher Virtual Private Networks (VPN) sowie für die Nutzung von VPN-Verbindungen in öffentlichen Netzen.

4.5.8. Der Kunde ist verpflichtet, Daten und Informationen vor der Eingabe auf Viren oder sonstige schädliche Komponenten zu prüfen und hierzu dem Stand der Technikentsprechende Vorkehrungen (z.B. Virenschutzprogramme) einzusetzen.

4.5.9. Der Kunde ist für die Einrichtung und Administration seiner Instanz und der zugriffsberechtigten Accounts („Account(s)“) verantwortlich. Dies gilt unabhängig davon, ob der Anbieter den Kunden bei derEinrichtung des Accounts in irgendeiner Form unterstützt. Dies umfasst:

(i) die fachliche Einrichtung des Accounts, insbesondere die etwaige Migration vonDaten, Konfiguration von Prozessen und Produkten;

(ii) die fachlicheEinrichtung von Integrationen im Account und in Drittsystemen;

(iii) dieÜberprüfung der korrekten Funktionsweise etwaiger Integration anhand vonTestfällen (z. B. hinsichtlich der Textlänge von Freitextfeldern) vor demProduktiveinsatz; (iii) die technische Anbindung von Schnittstellen aufKundenseite gemäß der Spezifikation der ein- und ausgehenden Daten,einschließlich der Eingabe von API-Schlüsseln und der Freischaltung vonSchnittstellen in Drittsystemen; (iv) die Administration des Accounts,insbesondere das Anlegen von Benutzern und Rollen sowie die Vergabe vonZugängen.

4.6. Der Kunde wird denAnbieter unverzüglich über auftretende Fehler in der Software unterrichten undverpflichtet sich, den Anbieter bei der Fehlersuche und Fehlerbeseitigung imRahmen des Zumutbaren zu unterstützen. Dazu gehört insbesondere, dem Anbieter aufVerlangen Fehlerberichte in Schrift- oder Textform zu übermitteln und sonstigeDaten und Protokolle zur Verfügung zu stellen, die zur Analyse des Fehlersgeeignet sind.

4.7. Der Kunde stelltsicher, dass all seine zur Nutzung der Vertragssoftware autorisiertenMitarbeiter bei der Nutzung die erforderliche Sorgfalt walten lassen.

5. Zahlungsbedingungen

5.1. Für die Bereitstellung der Services zahlt der Kunde an den Anbieter die gemäß Einzelvertrag/-verträgen vereinbarten Entgelte.

5.2. Die Höhe des Entgelts für das Bereitstellen und die Nutzung der Software je Investmentvehikel sowie die Fälligkeit des Entgelts richten sich nach dem/den Einzelvertrag/-verträgen.

5.3. Falls der Kunde über die hier beschriebenen Leistungen hinaus weitere technische Leistungen wünscht, richtet sich deren Realisierbarkeit und Vergütung nach Einzelvertrag/-verträgen.

5.4. Die Höhe der Entgelte kann im Falle von Kostenänderungen angepasst werden. Bei einer Anpassung berücksichtigt der Anbieter zwischenzeitlich eingetretene Kostenänderungen z.B. im Bereich Löhne, Gehälter, Kosten des Erwerbs von IT-Dienstleistungen sowie sonstige Gestehungskosten. Eine Anpassung wird zu dem vom Anbieter angegebenen Termin, frühestens jedoch einen Monat nach Zugang der Mitteilung über die Anpassung gegenüber dem Kunden wirksam. Das ordentliche Kündigungsrecht des Kunden nach Ziffer 6 bleibt unberührt. Der Anbieter ist zudem berechtigt und, für den Fall von Änderungen zugunsten des Kunden, verpflichtet, die Entgelte anzupassen, wenn und soweit sich die gesetzliche Umsatzsteuer ändert oder Steuern eingeführt werden, die sich auf den Service beziehen und den Anbieter treffen.

6. Laufzeit und Kündigung, Erweiterung auf verbundene Unternehmen und Investmentvehikel

6.1. Der Vertrag wird auf unbestimmte Zeit geschlossen.

6.2. Jede Partei kann das Vertragsverhältnis mit einer Frist von mindestens drei Monaten zum Monatsende ordentlich kündigen, erstmals nach 12 Monaten ab Vertragsschluss.

6.3. Unberührt bleibt das Recht jeder Vertragspartei, den Vertrag aus wichtigem Grund außerordentlich fristlos zu kündigen.

6.4. Zur fristlosen Kündigung ist der Anbieter insbesondere berechtigt, wenn der Kunde fällige Zahlungen trotz Mahnung und Nachfristsetzung nicht leistet oder die vertraglichen Bestimmungen über die Nutzung der Software nach diesem Vertrag verletzt. Eine fristlose Kündigung setzt in jedem Falle voraus, dass der Kunde per Textform (z.B. E-Mail) abgemahnt und aufgefordert wurde, den (vermeintlichen) Grund zur fristlosen Kündigung in angemessener Zeit zu beseitigen. Zur Klarstellung: Die Pflicht des Kunden zur Zahlung des vereinbarten Entgelts besteht auch im Fall der außerordentlichen fristlosen Kündigung durch den Anbieter fort.

6.5. Diese AGB gelten auch für die Leistungserbringung gegenüber (auch mittelbar) verbundenen Unternehmen sowie Gesellschaftern des Kunden (die „verbundene(n) Unternehmen“), soweit diese verbundenen Unternehmen bestimmungsgemäß mit den Leistungen des Anbieters in Berührung kommen und der Anbieter sein Einverständnis erklärt hat. Parteien dieser AGB werden auch die Investmentvehikelin deren Namen und für deren Rechnung der Kunde einen Zugang für die Softwaregemäß dem/den jeweiligen Einzelvertrag/-verträgen ordert. Die Leistungen dieses Vertrages werden an diese Investmentvehikel und den Kunden als Gesamtgläubiger erbracht, soweit nichts Abweichendes in Textform vereinbart ist. Der jeweilige Einzelvertrag kann weitere Bestimmungen enthalten. Auf Verlangen des Anbieters wird der Kunde den Vertragsbeitritt je Investmentvehikel dem Anbieter gegenüber in Textform bestätigen. Sollte die Bestätigung nicht erfolgen, bleibt jedenfalls der Kunde nach Maßgabe dieses Vertrags berechtigt und verpflichtet. ‍

7. Geldwäscheprävention

7.1. Der Anbieter ermöglicht dem Kunden, dessen Vertragspartner (z.B. Investoren), gegebenenfalls für diese auftretende Personen und wirtschaftliche Berechtigte zu identifizieren. Zum Zwecke dieser Identifizierung verbindet die Software den Kunden bzw. seine Vertragspartner ggf. mit einem elektronischen(Video-)Identifizierungsverfahren, dessen Daten dem Kunden in der Software zur Verfügung gestellt werden (nachfolgend das „Verfahren“).

7.2. Diese(s) Verfahren ist/sind konform mit den Anforderungen vieler europäischer Mitgliedstaaten und andere Staaten sowie von deren Aufsichtsbehörden anerkannt. Einzelheiten sowiedie Zurverfügungstellung von Zertifizierungen dieser Identifizierungsdienstleister können zwischen den Parteien besprochen und ausgetauscht werden.

7.3. Das in Ziff. 7.1 genannte Verfahren ist insbesondere konform mit den Anforderungen an dieIdentifizierung durch Videoübertragungen nach dem deutschen Geldwäschegesetz (GwG), die die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit ihrem Rundschreiben 3/2017 (GW) – Videoidentifizierungsverfahren (das „Rundschreiben“) – konkretisiert hat. Zur Einhaltung der Anforderungen des Rundschreibens muss der Kunde sog. Verpflichtungsvereinbarungen (die „Verpflichtungsvereinbarungen“) mit Identifizierungsdienstleistern (die „Dienstleister“) abschließen. Die Dienstleister und weiteren Vertragsabschlussmodalitäten werden von dem Anbieter benannt. Während der Laufzeit dieses Vertrages kann der Abschluss weiterer Verpflichtungsvereinbarungen mit weiteren Dienstleistern erforderlich werden. Die Dienstleister werden durch die Verpflichtungsvereinbarungen gegenüber dem Kunden zur Einhaltung des Rundschreibens und damit zur geldwäscherechtskonformen Leistungserbringung verpflichtet. Durch die Verpflichtungsvereinbarungen entstehen dem Kunden keine Kosten. Zur Beschleunigung und Vereinfachung des Abschlusses der Verpflichtungsvereinbarungen, insbesondere für die Zukunft, kann der Kunde den Anbieter mithilfe einer Vollmachterklärung bevollmächtigten, die zugunsten des Kunden abzuschließenden Verpflichtungsvereinbarungen stellvertretend im Namen des Kunden mit den Dienstleistern abzuschließen. Eine solche Vollmachtstellt der Anbieter ggf. separat zur Verfügung.

7.4. Der Kunde willigt ein und beauftragt den Anbieter, die im Rahmen der Identifizierung nach Ziff. 7.1 eingeholten Informationen in der Software zu speichern („eingeholte Informationen“). Während der Laufzeit dieses Vertrages sind die eingeholten Informationen dort für den Kunden unverzüglich und unmittelbar elektronisch abrufbar.

7.5. Der Kunde willigt ein, dass andere Kunden des Anbieters auf die eingeholten Informationen zurückgreifen können, soweit gesetzlich zulässig, falls diese anderen Kunden dieselben Vertragspartner wie der Kunde zu identifizieren haben und die dafür notwendigen Einwilligungen der betroffenen Vertragspartner vorliegen. Der Anbieter wird sich nach besten Kräften dafür einsetzen, dass auch der Kunde seinerseits auf die eingeholten Informationen anderer Kunden zugreifen darf und die dafür notwendigen Einwilligungen der betroffenen Vertragspartner und der anderen Kunden vorliegen.

7.6. Sofern der Kunde und andere Kunden auf eingeholte Informationen zurückgreifen, verpflichtet sich der Anbieter, die eingeholten Informationen als Bote unverzüglich und unmittelbar zu übermitteln. Der Kunde erkennt an, dass der Anbieter nicht berechtigt ist, über die Identität der anderen Kunden Auskunft zu geben. ‍

8. Digitale Dokumenten- und Vertragsunterzeichnung

8.1. Der Anbieterermöglicht dem Kunden die elektronische Abwicklung von Dokumenten- und Vertragsunterzeichnungen je nach Vereinbarung. Hierzu werden Daten und Dokumente je nach Leistungsumfang per API an einen einenVertrauensdiensteanbieter (Trusted Service Provider) und/oder (Video-)Identifizierungsdienstleisterübergeben.

8.2. Die im Zuge dieser Unterzeichnung generierte erweiterte bzw. qualifizierte elektronische Signaturist eIDAS-Verordnung konform.

8.3. Die Vergütungrichtet sich nach dem/den Einzelvertrag/-verträgen. ‍

9. Einsichtnahme, Prüfung und rechtliche Rückfragen

9.1. Der Anbieter hat zu Support-Zwecken Einblick in die Angaben, die bezüglich des Kunden und seiner Vertragspartner in der Software erfasst, verarbeitet und gespeichert werden. Einen entsprechenden Einblick haben außerdem die vom Kunden hinzugezogenen Berater.

9.2. Die Software nimmt keine rechtlichen Prüfungen und keine automatischen Entscheidungen hinsichtlich der von den Vertragspartnern vorgenommenen Eingaben vor. In jedem Fall erfordert eine ordnungsgemäße Überprüfung der Vertragspartner die finale Prüfung der Angaben durch den Kunden.

9.3. Dem Kunden steht es frei, die Angaben der potenziellen Vertragspartner selbst zu prüfen und freizugeben oder hinzugezogene Berater im Rahmen Ihres separat abzuschließenden Beratungsverhältnisses mit der Prüfung zu beauftragen.

9.4. Sollten (rechtliche) Rückfragen bestehen, die eine rechtliche Beratungsleistung erfordern, darf der Anbieter solche aufgrund des Rechtsdienstleistungsgesetzes (RDG) nicht selbst beantworten. Auch bei solchen Rückfragen kann sich der Kunde an Berater im Rahmen eines separat abgeschlossenen Beratungsverhältnisses wenden. ‍

10. IT-Sicherheit, Fehlerbehebung

10.1. Der Anbieter hatalle angemessenen Sicherheitsmaßnahmen ergriffen, um sicherzustellen, dass niemand Drittes Zugriff auf die Daten in dem geschützten Bereich des Kundenhaben wird.

10.2. Auch hat der Anbieter geeignete Vorkehrungen gegen Datenverlust getroffen und fertigt zu diesem Zweck tägliche Backups an. Das System des Anbieters überprüft die Daten des Kunden auf Viren. Außerdem ist eine dem Stand der Technik entsprechende Firewall installiert.

10.3. Der Anbieter beseitigt auftretende Softwarefehler, soweit technisch möglich, unverzüglich. Ein Softwarefehler liegt dann vor, wenn die Software fehlerhafte Ergebnisse liefert oder in anderer Weise nicht funktionsgerecht arbeitet, so dass die Nutzung der Software unmöglich oder eingeschränkt ist. Anregungen und Vorschläge zur Software nimmt der Anbieter jederzeit dankend entgegen und berücksichtigt diese im Rahmen der Fortentwicklung der Software.

11. Datenerhebung und -verarbeitung

11.1. Mit der Bereitstellung der E-Mail-Adressen und weiterer persönlicher Daten der Vertragspartner an den Anbieter versichert der Kunde, dass die potenziellen Vertragspartner mit der entsprechenden Verwendung und Verarbeitung ihrer Daten einverstanden sind.

11.2. Um den Vertragspartnern ein wiederholtes Eingeben ihrer Daten zu ersparen, wird der Anbieter, wenn der Vertragspartnerhierin einwilligt, die Vertragspartnerangaben auch für potenzielle zukünftige Investments und Workflows des Vertragspartners in der Software speichern. Diese Einwilligungsmöglichkeit wird dem Vertragspartner über die Software eingeräumt.

11.3. Wird ein Vertragspartner,der entsprechend eingewilligt hat, in einem späteren Investment oder Workflowvon dem Kunden oder einem Dritten zu weiteren Workflows eingeladen, hat er dieOption, seine Angaben aus dem vorherigen Workflow zu übernehmen.

11.4. Ohne Einwilligung des Vertragspartners im Einzelfall erhält der spätere Kunde keinen Zugriff auf die Daten. Auch im Falle der Einwilligung des Vertragspartners erhält der spätere Kunde ausschließlich vertragspartnerspezifische Angaben, jedoch keine Angaben, die Rückschlüsse auf vorherige Investitionen, Workflows oder Investmentvehikel oder den Kunden zulassen. Der spätere Kunde wird insbesondere nicht erfahren, dass die Angaben aus einem Investmentvehikel des Kunden übernommen wurden.

11.5. Der Kunde kann sämtliche in der Software erfassten Daten jederzeit als Excel-Datei und ggf. in weiteren Formaten abrufen und für eigene Zwecke verwenden. Für die datenschutzrechtliche Zulässigkeit dieser Nutzung im Verhältnis zum Vertragspartner ist der Kunde selbst verantwortlich.

11.6. Soweit der Anbieter die entsprechende Einwilligung der Vertragspartner erhält, wird der Anbieter die in der Software erfassten Daten anonymisiert und aggregiert für eigenen Zwecke analysieren und verwenden.

11.7. Die Parteien sind sich darüber einig, dass im Rahmen der vorstehenden Kooperation personenbezogene Daten der Kunden und ihrer Vertragspartner verarbeitet werden, und vereinbaren dazu:

11.7.1. Der Anbieter handelt als Auftragsverarbeiter für die in der jeweiligen Kunden-Instanz der Software gespeicherten und verarbeiteten Kundendaten und in der Instanz des Kundengespeicherten Daten der Vertragspartner. Der Kunde ist der für diese Daten Verantwortliche. Für Kunden, die bereits vor dem 16.04.2024 einen separaten Auftragsverarbeitungsvertrag abgeschlossen haben, bleibt dieser Auftragsverarbeitungsvertrag gültig, sofern nicht etwas anderes vereinbart wird.Für alle anderen Kunden wird das Addendum zur Datenverarbeitung auf der Website des Anbieters (https://www.vestlane.com/legal-hub/#deutsche-version) hiermit vereinbart und aufgenommen und bildet einen integralen Bestandteil des Vertrags. Im Falle eines Konflikts hat der Auftragsverarbeitungsvertrag bzw. das Addendum zur Datenverarbeitung Vorrang vor diesen AGB.

11.7.2. Der Anbieter agiert hinsichtlich der Verarbeitung der personenbezogenen Daten der Vertragspartner des Kunden als Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO, soweit Vertragspartner des Kunden Daten in ihren eigenen Accounts, unabhängig von der Verwendung in Workflows des Kunden, speichern und ausdrücklich in die Datenverarbeitung eingewilligt haben.

11.7.3. Der Kunde und der Anbieter sind im Übrigen für die Festlegung der Mittel und Zwecke der Verarbeitung selbst verantwortlich, allein vorbehaltlich der vorstehenden Regelungen dieser Vereinbarung. Es liegt keine gemeinsame Verantwortung vor.

12. Sperrung von Zugängen

12.1. Der Anbieter ist berechtigt, nach vorhergehender fruchtloser Abmahnung des Kunden, den Zugang zudem Service vorübergehend oder dauerhaft zu sperren, wenn

konkrete Anhaltspunkte vorliegen, dass der Kunde oder einer seiner Mitarbeiter gegen wesentlichePflichten dieses Vertrags oder geltendes Recht verstößt; konkrete Anhaltspunkte vorliegen, dass Benutzerkennungen oder -passwörter missbraucht werden; dies aus technischen Gründen zwingend erforderlich ist; dies aus zwingenden gesetzlichen, gerichtlich oder behördlich angeordneten Gründen erforderlichist; der Kunde mit der Zahlung von Entgelten mehr als zwei Wochen in Verzug ist; der Kunde falsche Kontakt- oder Bankdaten hinterlegt hat. 12.2. Bei der Entscheidung über eine Sperrung wird der Anbieter die berechtigten Interessendes Kunden angemessen berücksichtigen. Der Anbieter wird den Kunden spätestensfünf (5) Werktage vor Inkrafttreten der Sperrung über diese unterrichten, sofern die Unterrichtung dem Zweck derSperrung nicht entgegensteht.

12.3. Die Sperrung besteht fort, bis der die Sperrung begründende Umstand in angemessener Weisebeseitigt worden ist. ‍

13. Gewährleistung

13.1. Hinsichtlich der Gewährung der Services gelten die Gewährleistungsvorschriften des Mietrechts (§§ 535 ff. BGB).

13.2. Ein Mangel ist gegen, wenn der nach Leistungsbeschreibung und Service Level vereinbarte vertragsgemäße Gebrauch nicht nur unerheblich beeinträchtigt ist.

13.3. Der Kunde hat dem Anbieter jegliche Mängel unverzüglich anzuzeigen.

13.4. Die verschuldensunabhängige Haftung gemäß § 536a Abs. 1 BGB für Mängel, die bereits bei Vertragsschluss vorlagen, ist ausgeschlossen. Vorbehaltlich der Haftungsbeschränkung nach Ziff. 14 bleiben die gesetzlichen Ansprüche des Kunden unberührt.

14. Haftung

14.1. Der Anbieterhaftet unbeschränkt für vorsätzlich oder grob fahrlässig verursachte Schäden.

14.2. Bei fahrlässiger Verletzung einer Vertragspflicht, deren Verletzung die Erreichung des Vertragszwecks gefährdet oder deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kundedaher vertrauen darf (sogenannte Kardinalpflicht), ist die Haftung desAnbieters auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schadenbegrenzt. Die Parteien vereinbaren, dass der vorhersehbare, vertragstypischeSchaden bei der Verletzung einer Kardinalpflicht (i) pro Schadensfall nicht denBetrag von 1/4 der jährlich vereinbarten Entgelte sowie (ii) für die innerhalbeines Jahres insgesamt zu erwartenden Schadensfälle nicht den Betrag derGesamtsumme der jährlich vereinbarten Entgelte übersteigt. Bei fahrlässigerVerletzung einer Vertragspflicht, die keine Kardinalpflicht ist, haftet derAnbieter nicht.

14.3. Für Schäden, die aus technischenFunktionsstörungen oder dem unerlaubten Zugriff Dritter herrühren, ist der Anbieter nicht verantwortlich, soweit diese nicht vorsätzlich oder grob fahrlässig durch den Anbieter, dessen gesetzlichen Vertreter oder Mitarbeiter verursacht wurden.

14.4. Für den Verlust von Daten haftet der Anbieter insoweit nicht, als der Schaden darauf beruht, dass der Kunde erforderliche Datensicherungen nicht durchgeführt und dadurch nicht sichergestellt hat, dass verlorengegangene Daten mit vertretbarem Aufwand wiederhergestellt werden können.

14.5. Die vorstehenden Haftungsausschlüsse dieser Ziff. 14 berühren nicht die Haftung des Anbieters für eine übernommene Beschaffenheitsgarantie, für Arglist, für Schäden aus der Verletzung von Leben, Körper und Gesundheit, für Produktfehler nach Maßgabe des Produkthaftungsgesetzes sowie für die Haftung aufgrund der DS-GVO. Eine Änderung der Beweislast zum Nachteil des Kunden ist hiermit nicht verbunden.

14.6. Soweit die Haftung nach dieser Ziff. 14 ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung der Angestellten, Mitarbeiter, Organe, Vertreter und Erfüllungsgehilfen des Anbieters.

14.7. Insbesondere im Falle von Störungen der technischen Infrastruktur oder der Internetverbindung ist der Anbieter von seiner Leistungspflicht befreit. Dies gilt auch, wenn der Anbieter aufgrund höherer Gewalt oder sonstiger Umstände, deren Beseitigung dem Anbieter nicht möglich oder wirtschaftlich nicht zumutbar ist, an der Leistung gehindert ist.

15. Vertraulichkeit

15.1. „Vertrauliche Informationen“ im Sinne dieses Vertrags sind sämtliche Informationen, die die offenlegende Partei der empfangenden Partei im Rahmen der Vorbereitung und Durchführung dieser Vereinbarung mitteilt und die (i) als Vertrauliche Informationen deutlich gekennzeichnet, als solche bezeichnet oder in anderer Weise als solche erkennbar gemacht sind, (ii) wegen ihres Inhalts offensichtlich oder vernünftigerweise als vertraulich anzusehen sind, oder (iii) von vertraulichen Informationen, welche die offenlegende Partei zur Verfügung gestellt hat, abgeleitet wurden.

15.2. Vertrauliche Informationen des Anbieters sind darüber hinaus insbesondere:

Zugangsdaten, Benutzerkennungen und -passwörter für die Vertragssoftware; Die Gestaltung der Vertragssoftware hinsichtlich UI/UX, Benutzerführung, Look & Feel und sonstige Elemente; Preisgestaltungen und Preiskalkulationen, einschließlich der jeweiligen Berechnungsgrundlagen; 15.3. Vertrauliche Informationen sind nicht Informationen, die nachweislich

der empfangenden Partei bereits öffentlich zugänglich sind oder werden, ohne dass gegen diese Vereinbarung verstoßen wird; im rechtmäßigen Besitzder empfangenden Partei sind oder von einer anderen Quelle als der offenlegenden Partei in ihren Besitz gelangen, vorausgesetzt, dass diese Quelle die Informationen rechtmäßig erworben hat und ihr die Offenlegung dieser Informationen nicht gesetzlich oder vertraglich untersagt ist; oder von der empfangenden Partei unabhängig von und ohne Bezugnahme auf vertrauliche Informationen der offenlegenden Partei entwickelt wurden oder werden. 15.4. Alle zwischen den Parteien während der Laufzeit des Vertrags ausgetauschten vertraulichen Informationen, soweit nicht vertraglich zulässig,

15.4.1. sind streng vertraulich zu behandeln und die empfangende Partei hat alle angemessenen technischen und organisatorischen Maßnahmen zu ergreifen, um vertrauliche Informationen der anderen Partei vor unbefugter Offenlegung zu schützen, einschließlich, aber nicht beschränkt auf, mindestens solcher Maßnahmen, die die empfangende Partei zum Schutz ihrer eigenen vertraulichen oder geschützten Informationen ergreift;

15.4.2. dürfen ausschließlich im Zusammenhang mit der Erbringung der Dienstleistungen verwendet werden, und die empfangende Partei wird die vertraulichen Informationen nicht in ihrem eigenen Interesse oder dem eines Dritten wirtschaftlich verwerten;

15.4.3. dürfen von der empfangenden Partei in keiner Weise oder Form an andere Personen als solchen, die diese vertraulichen Informationen im Zusammenhang mit der Durchführung dieses Vertrags vernünftigerweise kennen müssen, übergeben, offengelegt oderweitergegeben werden;

15.4.4. verbleiben im Eigentum der offenlegenden Partei; insbesondere ist diese Vereinbarung in keiner Weise derart zu verstehen, dass der empfangenden Partei irgendwelche Rechte oder Lizenzen an den vertraulichen Informationen oder an geistigen Eigentumsrechten der offenlegenden Partei übertragen oder eingeräumt werden; und

15.4.5. dürfen, ungeachtet der Verwendung der vertraulichen Informationen durch die empfangende Partei im Zusammenhang mit der Erbringung der Dienstleistungen, von der empfangenden Partei nicht für eigene Zwecke oder für Zwecke Dritter verwendet werden, und die empfangende Partei wird keine Schutzrechte oder sonstige Rechte an den vertraulichen Informationen oder Teilen davon beantragen oder beanspruchen. ‍

15.5. Die empfangende Partei wird es unterlassen, vertrauliche Informationen durch Reverse-Engineering von Waren, Produkten oder Dienstleistungen, die vertrauliche Informationen enthalten, zu erlangen. Der Kunde wird insbesondere davon absehen, im Wege des Reverse-Engineering die Funktions- und Arbeitsweise der Vertragssoftware zu ermitteln. ‍

15.6. Der Anbieter ist berechtigt, auf die Tatsache des Vertragsverhältnisses zwischen den Parteien, den wesentlichen Vertragsgegenstand sowie die Rolle des Anbieters in öffentlicher Form (etwa zum Zwecke von Pitches etc.) hinzuweisen, soweit diese Tatsachen nicht erkennbar vertraulich sind. Jegliche öffentliche Kommunikation und Marketing muss schriftlich vorab abgesprochen sein.

15.7. Auf Verlangen, spätestens jedoch bei Beendigung der Geschäftsbeziehung, sind alle in diesem Zusammenhang von der empfangenden Partei erlangten vertraulichen Informationenan die offenlegende Partei zurückzugeben oder auf deren Anweisungunwiederbringlich zu vernichten. Elektronische Daten sind vollständig zulöschen. Zurückbehaltungsrechte können insoweit nicht geltend gemacht werden. Die Vernichtung wird der offenlegenden Partei auf Anfrage schriftlichbestätigt. Von den Pflichten gemäß dieser Ziff. 15.7 unberührt bleiben Aufbewahrungen aufgrund gesetzlicher Aufbewahrungspflichten.

15.8. Beide Parteien verpflichten sich, im Falle eines Verstoßes gegen die hier genannten Verpflichtungen oder sofern Anzeichen für einen solchen Verstoß vorliegen, die jeweils andere Partei unverzüglich zu unterrichten und bei der Eingrenzung eines Schadens mitzuwirken. Unbeschadet dessen hat der Anbieter bei einem Verstoß gegen die Bestimmungen dieses Abschnitts das Recht, vom Kunden zuverlangen, dass der pflichtwidrig handelnde Mitarbeiter bei derVertragsdurchführung nicht mehr eingesetzt wird.

15.9. Die Verschwiegenheitspflicht endet mit Ablauf von fünf (5) Jahren nach Vertragsbeendigung. ‍

16. Änderungsvorbehalte

16.1. Der Anbieter hat das Recht, diese AGB jederzeit zu ändern oder Regelungen für die Nutzung neu eingeführter zusätzlicher Services oder Funktionen der Software oder Services zu ändern. Änderungen und Ergänzungen dieser AGB werden dem Kunden per E-Mail an die angegebene E-Mail-Adresse spätestens vier Wochen vor dem geplanten Inkrafttreten der Änderungen bekannt gegeben. Die Zustimmung des Kunden zur Änderung der AGB gilt als erteilt, wenn der Kunde der Änderung nicht innerhalb einer Frist von zwei Wochen, beginnend mit dem auf die Ankündigung der Änderung folgenden Tag, in Textform widerspricht. Die Ankündigung muss auf die Änderung, die Widerspruchsmöglichkeit, die Widerspruchsfrist, das Textformerfordernis und das Ergebnis des Widerspruchs hinweisen.

16.2. Der Anbieter behält sich das Recht vor, die Software und/oder Services zu ändern, um abweichende Funktionalitäten anzubieten, es sei denn, die Änderungen oder Abweichungen sind für den Kunden nicht zumutbar. Gehen mit der Bereitstellung einer geänderten Version der Software oder einer Änderung der Funktionalität der Software wesentliche Änderungen der von der Software unterstützten Arbeitsabläufe des Kunden und/oder Einschränkungen in der Verwendbarkeit der bisher erzeugten Daten einher, wird der Anbieter dies dem Kunden spätestens vier Wochen vor dem Zeitpunkt des Inkrafttretens einer solchen Änderung in Textform ankündigen. Widerspricht der Kunde der Änderung nicht innerhalb einerFrist von zwei Wochen nach Zugang der Änderungsmitteilung in Textform, so wird die Änderung Vertragsbestandteil. In der Änderungsmitteilung ist auf die Änderung, die Möglichkeit des Widerspruchs, die Widerspruchsfrist, das Textformerfordernis und das Ergebnis des Widerspruchs hinzuweisen.

16.3. Der Anbieter behält sich darüber hinaus das Recht vor, die Software und/oder die Services zu ändern, um abweichende Funktionalitäten anzubieten, (i) soweit dies erforderlich ist, um die vom Anbieter angebotenen Services mit dem für diese Services geltenden (Fall-)Recht in Einklang zu bringen, insbesondere wenn sich die Rechtslage ändert; (ii) soweit der Anbieter einer an den Anbieter gerichteten gerichtlichen oder behördlichen Entscheidung nachkommt; (iii) soweit dies zur Beseitigung von Sicherheitslücken der Software erforderlich ist; (iv) aufgrund wesentlicher Änderungen der Leistungen oder Vertragsbedingungen von Drittanbietern oder Unterauftragnehmern oder (v) soweit dies für den Kunden überwiegend von Vorteil ist. Der Anbieter behält sichinsbesondere das Recht vor, die Bereitstellung zusätzlicher Funktionalitäten oder Integrationen einzuschränken oder einzustellen, wenn die technischen Partner für diese zusätzlichen Funktionalitäten oder die Anbieter/innen der Partner-Integrationen ihre Leistungen oder Vertragsbedingungen wesentlich ändern oder einschränken und der Anbieter eine weitere Bereitstellung deshalb nicht mehr zuzumuten ist, z.B. weil der Mehraufwand durch den Anbieter unverhältnismäßig groß ist. Bei einem jährlichen Vertragszeitraum erhält der Kunde eine angemessene anteilige Rückerstattung der im Voraus gezahlten Gebühren, sofern die zusätzliche Funktionalität oder Integration gesondert in Rechnung gestellt wurde.

16.4. Widerspricht der Kunde einer Änderung im Sinne dieser Ziff. 16 gemäß den jeweiligen Mitteilungspflichten, so wird dievorgeschlagene Änderung nicht wirksam und der Vertrag wird zu den bisherigen Bedingungen fortgesetzt. In diesem Fall behält sich der Anbieter das Recht vor, den Vertrag außerordentlich mit einer Frist von einem Monat zu kündigen.

16.5. Mit Ausnahme der in den Ziff. 16.1 bis 16.4genannten Änderungen müssen die Parteien jede Änderung des Vertrags in Textform vereinbaren. ‍

17. Schlussbestimmungen

17.1. Mündliche Nebenabreden sind nicht getroffen. Änderungen, Ergänzungen und Zusätze dieses Vertrages bedürfen zu ihrer Gültigkeit mindestens der Textform. Dies gilt auch für die Abänderung dieser Vertragsbestimmung.

17.2. Zum Zwecke der Vertragserfüllung kann sich der Anbieter anderer Dienstleister bedienen.

17.3. Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke.

17.4. Anlagen, auf die in diesem Vertrag Bezug genommen wird, sind Vertragsbestandteil.

17.5. Der für diesen Vertrag und seine Anhänge maßgebliche Text ist derjenige, der in deutscher Sprache abgefasst ist. Bei Abweichungen des deutschsprachigen von dem englischen Text hat der deutsche Text Vorrang.

17.6. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dem Vertrag ist Berlin, Deutschland. Der Anbieter ist auch berechtigt, am Sitz des Kunden oder einem sonst zuständigen Gericht zu klagen.

17.7. Das für diesen Vertrag und seine Anhänge sowie für die Umsetzung und Auslegung der vertraglichen Bestimmungen maßgebliche Recht ist das Recht der Bundesrepublik Deutschland unter Ausschluss des Internationalen Privatrechts.


DATENSCHUTZERKLÄRUNG - Website

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, wie wir Ihre personenbezogenen Daten nach Maßgabe der Europäischen Datenschutz-Grundverordnung (DSGVO) verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, im Rahmen des Besuchs unserer Website „vestlane.com“, insoweit keine Interaktion mit der Nutzerumgebung und der Accountherstellung vorgenommen wird.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist Vestlane GmbH Kurfürstendamm 12 10719 Berlin Deutschland E-Mail: [email protected]

2. Datenschutzbeauftragter

Unseren Datenschutzbeauftragten erreichen Sie wie folgt: SECJUR GmbH Steinhöft 9 20459 Hamburg, Phone: +49 40 228 599 520 Email: [email protected];

Sie können sich jederzeit bei allen Fragen und Anregungen zum Datenschutz sowie zur Ausübung Ihrer Rechte direkt an unseren Datenschutzbeauftragten wenden.

3. Begriffsbestimmung

Diese Datenschutzerklärung beruht auf den Begrifflichkeiten der DSGVO. Zur Vereinfachung möchten wir Ihnen einige in diesem Zusammenhang wichtige Begriffe näher erläutern:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten, von dem für die Verarbeitung Verantwortlichen verarbeitet werden.

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

4. Daten für die Bereitstellung der Webseite und die Erstellung der Protokolldateien

Wenn Sie unsere Website in Ihrem Browser aufrufen, erheben wir über Server Logfiles technisch notwendige Daten, die automatisch an unseren Server übermittelt werden, u.a.:

  • Datum und Uhrzeit des Zugriffs
  • IP-Adresse
  • Hostname des zugreifenden Rechners
  • Webseite, von der aus die Webseite aufgerufen wurde; Webseiten, die über die Webseite aufgerufen wurden
  • Besuchte Seite auf unserer Webseite; Übertragene Datenmenge
  • Informationen über den Browsertyp und die verwendete Version
  • Betriebssystem
  • Zugriffs-Status (z.B. ob die Webseite problemlos aufgerufen werden konnte oder ob Sie eine Fehlermeldung erhalten haben)
  • Nutzung von Webseite-Funktionen
  • eingegebene Suchbegriffe
  • Zugriffshäufigkeit der einzelnen Webseite
  • übertragene Datenmenge
  • andere Webseiten, die Sie ausgehend von dieser Webseite besuchen, entweder durch Klicken auf einen Link auf dieser Webseite oder über direkte Eingabe der Domain in der Eingabeleiste im selben Fenster Ihres Browsers

Die vorübergehende Speicherung der Daten ist für den Ablauf eines Webseitenbesuchs erforderlich, um Ihnen unsere Webseite anzeigen zu können. Diese Verarbeitung ist technisch erforderlich, um die Funktionsfähigkeit der Webseite und die Sicherheit der informationstechnischen Systeme zu gewährleisten. Rechtsgrundlage der Verarbeitung ist damit Art. 6 Abs. 1 S. 1 lit. f DSGVO, um die Bereitstellung, Sicherheit und Stabilität unserer Webseite zu garantieren.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind. Bei der Bereitstellung der Webseite ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Die Protokolldateien werden bis zu 24 Stunden direkt und ausschließlich für Administratoren zugänglich aufbewahrt. Danach sind sie nur noch indirekt über die Rekonstruktion von Sicherungsbändern verfügbar und werden nach vier Wochen endgültig gelöscht.

Für die Bereitstellung unseres Onlineangebotes nutzen wir Speicherplatz, Rechenkapazität und Software, die wir von dem Serveranbieter Microsoft Azure (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521 ) (Webhoster) mieten oder anderweitig beziehen. Die obig genannten personenbezogenen Daten werden daher auch an Amazon AWS übertragen. Als Serverstandort haben wir Europa ausgewählt, sodass ein Drittlandstransfer nicht stattfindet. Zur Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger Ihrer personenbezogenen Daten haben wir mit Amazon AWS einen Auftragsverarbeitungsvertrag gemäß Art. 28 DS-GVO abgeschlossen. Für weitere Informationen wenden Sie sich bitte an [email protected].

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO, um die Bereitstellung, Sicherheit und Stabilität unserer Webseite zu garantieren.

5. Technisch notwendige Cookies

Wir setzen auf unserer Internetseite Cookies ein. Hierbei handelt es sich um kleine Dateien, die Ihr Browser automatisch erstellt und die auf Ihrem IT-System (Laptop, Tablet, Smartphone o.ä.) gespeichert werden, wenn Sie unsere Seite besuchen. In dem Cookie werden Informationen abgelegt, die sich jeweils im Zusammenhang mit dem spezifisch eingesetzten Endgerät ergeben. Dies bedeutet jedoch nicht, dass wir dadurch unmittelbar Kenntnis von Ihrer Identität erhalten.

Der Einsatz von Cookies dient einerseits dazu, die Nutzung unseres Angebots für Sie angenehmer zu gestalten. So setzen wir sogenannte Session-Cookies ein, um zu erkennen, dass Sie einzelne Seiten unserer Website bereits besucht haben. Diese werden nach Verlassen unserer Seite automatisch gelöscht.

Darüber hinaus setzen wir ebenfalls zur Optimierung der Benutzerfreundlichkeit temporäre Cookies ein, die für einen bestimmten festgelegten Zeitraum auf Ihrem Endgerät gespeichert werden. Besuchen Sie unsere Seite erneut, um unsere Dienste in Anspruch zu nehmen, wird automatisch erkannt, dass Sie bereits bei uns waren und welche Eingaben und Einstellungen Sie getätigt haben, um diese nicht noch einmal eingeben zu müssen.

Zum anderen setzten wir Cookies ein, um die Nutzung unserer Website statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebotes für Sie auszuwerten. Diese Cookies ermöglichen es uns, bei einem erneuten Besuch unserer Seite automatisch zu erkennen, dass Sie bereits bei uns waren. Diese Cookies werden nach einer jeweils definierten Zeit automatisch gelöscht.

6. Kontaktformular

Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist. Dabei werden Daten wie:

  • Kontaktdaten (E-Mail Adresse, Name)
  • Unternehmensdaten (Name, Job-Titel)
  • Inhaltsdaten (Kontaktinhalt)
  • Metadaten (IP-Adresse, Identifikationsnummern, Browserdaten etc.)

an uns übermittelt. Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); sowie die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

7. Drittanbietertools

Wir nutzen die Dienste verschiedener Drittanbieter, um das Nutzungserlebnis unserer Website für Sie zu optimieren.

7.1 Cookiebot

Wenn Sie unsere Webseite bzw. eine Unterwebseite erstmalig besuchen, wird Ihnen ein „Cookie-Banner“ angezeigt. Dort werden Sie über die einzelnen Cookies, welche wir nutzen, informiert. Sie können sich zu jedem einzelnen Cookie hinsichtlich des Namens, des Anbieters, des Zwecks der Verarbeitung und der Speicherdauer informieren.

Mit unserem Cookie-Banner informieren wir Sie über die von uns konkret verwendeten Cookies. Zusätzlich geben wir Ihnen die Möglichkeit zu entscheiden, ob Sie in das Setzen von nicht notwendigen Cookies einwilligen wollen. Verarbeitet werden dabei:

  • Nutzungsdaten (z. B. besuchte Webseiten, Zugriffszeitpunkt)
  • Meta- und Kommunikationsdaten (z. B. IP-Adresse)

Rechtsgrundlage für den Einsatz des Cookie-Banners ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Wir haben ein überwiegendes berechtigtes Interesse daran, den Cookie-Banner einzusetzen, wodurch wir die gesetzlich vorgeschriebenen Einwilligungen für den Einsatz der nicht notwendigen Cookies einholen und unserer Informationspflicht hinsichtlich der Cookies nachkommen können.

Das Cookie-Banner speichert die Präferenzen bis zum Zurücksetzen bzw. Anpassen durch Sie.

Der Cookie-Banner wird über den Anbieter Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark) zur Verfügung gestellt.

7.2 Google Analytics

Unsere Website nutzt Funktionen des Webanalysedienstes Google Analytics. Mit Hilfe von Google Analytics analysieren wir Ihr Nutzerverhalten, um basierend auf den Ergebnissen Entscheidungen bezüglich der Produkt- und Marketingoptimierung zu treffen. Durch Google Analytics verarbeiten wir unter anderem folgende personenbezogene Daten:

  • Zeitpunkt der Anfrage
  • IP-Adresse
  • Online-Kennzeichnungen
  • Gerätekennungen
  • Technische Eigenschaften von Nutzern (z. B. Browsertyp und -version, Gerätetyp, Betriebssystem)
  • Messung des Nutzungsverhaltens (z. B. Aufrufe einzelner Seiten / Inhalte, Aufrufe von Inhalten verschiedener Bereiche, Sitzungsdauer / Verweildauer, Absprungrate
  • Nutzung einzelner Funktionalitäten der Webseite (z. B. Suchanfragen, Downloads)
  • Verweis-URL (die zuvor besuchte Seite)

Die Rechtsgrundlage für die Nutzung von Google Analytics ist gemäß Art. 6 Abs. 1 lit. a) DSGVO die von Ihnen erteilte freiwillige und widerrufbare Einwilligung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die entsprechenden Änderungen oder Anpassungen in Ihren Cookie-Einstellungen vornehmen.

Personenbezogenen Daten werden durch Google 14 Monaten nach Ihrer letzten Aktivität gelöscht, soweit keine Rechtspflichten zur Aufbewahrung bestehen.

Die personenbezogenen Daten werden dabei auch in die USA übermittelt. Die Europäische Kommission hat einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO für das EU-U.S. Data Privacy Framework erlassen. Auf Basis dieses Beschlusses sind Datenübermittlungen an in den USA ansässige Organisationen, die entsprechend zertifiziert sind, zulässig. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

7.3 Hotjar

Wir setzen Hotjar (Hotjar Ltd, Dragonara Business Centre, 5. Stock, Dragonara Road, Paceville St Julian's STJ 3141, Malta) ein, um das Nutzerverhalten auf unserer Website zu analysieren und die Benutzerfreundlichkeit zu verbessern. Hotjar verwendet Cookies und ähnliche Technologien, um Informationen wie Ihre:

  • IP-Adresse
  • Geräte- und Browsertyp
  • Verweildauer auf der Website
  • Mausbewegungen

zu erfassen. Diese Daten werden anonymisiert und dienen ausschließlich statistischen Auswertungen. Die Verarbeitung Ihrer Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO.

Hotjar agiert als Auftragsverarbeiter und teilt uns die statistischen Auswertungen der Nutzerdaten mit. Eine Übermittlung Ihrer personenbezogenen Daten an Dritte oder in Drittländer findet nicht statt.

Die durch Hotjar erfassten Daten werden für einen Zeitraum von 365 Tagen gespeichert und anschließend automatisch gelöscht.

Ausführliche Informationen zur Datenverarbeitung durch Hotjar finden Sie in der Datenschutzerklärung von Hotjar unter https://www.hotjar.com/privacy/.

7.4 LinkedIn Analytics

Wir verwenden LinkedIn Analytics, um das Besucherverhalten auf unserer Website zu analysieren und unsere Online-Präsenz zu verbessern. LinkedIn Analytics erhebt und verarbeitet Informationen wie Ihre:

  • IP-Adresse
  • Geräte- und Browsertyp
  • besuchte Seiten
  • Verweildauer auf der Website

Diese Daten werden anonymisiert und dienen ausschließlich statistischen Auswertungen.

Die Verarbeitung Ihrer Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO.

Die von LinkedIn Analytics erfassten Daten werden für einen Zeitraum von 180 Tagen gespeichert und anschließend automatisch gelöscht.

Die personenbezogenen Daten werden dabei in die USA übermittelt. Zur Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger Ihrer personenbezogenen Daten haben wir mit diesem Standardvertragsklauseln der Europäischen Kommission zum Schutz personenbezogener Daten gemäß Art. 46 Abs. 1, 2 lit. c) DSGVO abgeschlossen.

Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten durch LinkedIn Analytics jederzeit zu widersprechen, indem Sie die Cookie-Einstellungen in Ihrem Browser anpassen.

Ausführliche Informationen zur Datenverarbeitung durch LinkedIn Analytics finden Sie in der Datenschutzerklärung von LinkedIn unter https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy.

7.5 SalesViewer

Diese Website nutzt die SalesViewer®-Technologie der SalesViewer® GmbH auf Grundlage der berechtigten Interessen des Websitebetreibers, Art. 6 Abs. 1 lit. f) DSGVO, um Daten zu Marketing-, Marktforschungs- und Optimierungszwecken zu sammeln und zu speichern.

Hierzu wird ein javascriptbasierter Code eingesetzt, der dazu dient, unternehmensbezogene Daten und die Nutzung der Website zu erfassen. Die mit dieser Technologie erfassten Daten werden in einer nicht wiederherstellbaren Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden sofort pseudonymisiert und werden nicht dazu benutzt, den Besucher der Website persönlich zu identifizieren.

Die von Salesviewer gespeicherten Daten werden gelöscht, sobald sie für den vorgesehenen Zweck nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten bestehen.

Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden, indem Sie auf https://www.salesviewer.com/opt-out klicken, um die Erfassung Ihrer Daten durch SalesViewer® zu verhindern. In diesem Fall wird ein Opt-Out-Cookie für diese Website auf Ihrem Gerät gespeichert. Löschen Sie die Cookies im Browser, müssen Sie diesen Link erneut anklicken.

8. Social Media

Wir unterhalten in verschiedenen sozialen Netzwerken öffentlich zugängliche Profile. Ihr Besuch dieser Profile setzt eine Vielzahl von Datenverarbeitungsvorgängen in Gang. Nachfolgend geben wir Ihnen einen Überblick darüber, welche Ihrer personenbezogenen Daten von uns erhoben, genutzt und gespeichert werden, wenn Sie unsere Profile besuchen.

Bei Ihrem Besuch unserer Profile werden Ihre personenbezogenen Daten nicht nur durch uns, sondern auch durch die Betreiber des jeweiligen sozialen Netzwerks erhoben, genutzt und gespeichert. Dies geschieht auch dann, wenn Sie selbst kein Profil in dem jeweiligen sozialen Netzwerk haben. Die einzelnen Datenverarbeitungsvorgänge und ihr Umfang unterscheiden sich je nach Betreiber des jeweiligen sozialen Netzwerks und sie sind nicht zwingend für uns nachvollziehbar. Einzelheiten über die Erhebung und Speicherung Ihrer persönlichen Daten sowie über Art, Umfang und Zweck ihrer Verwendung durch den Betreiber des jeweiligen sozialen Netzwerks entnehmen Sie bitte den folgenden Ausführungen.

8.1 LinkedIn

Wenn Sie unser LinkedIn-Unternehmensprofil besuchen, werden bestimmte Informationen über Sie verarbeitet. Bei Direktnachrichten an uns oder Kommentaren auf unserem LinkedIn-Unternehmensprofil bzw. unter unseren Beiträgen erhalten wir die Nachricht, die Kommentare und Ihren Benutzernamen.

Darüber hinaus verarbeitet die LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland (LinkedIn) als Betreiberin personenbezogene Daten, wenn Sie unser LinkedIn-Unternehmensprofil besuchen, dieser Seite folgen oder sich mit der Seite beschäftigen, um uns in anonymisierter Form Statistiken und Einblicke zu gewähren. Damit erhalten wir Erkenntnisse über die Arten von Handlungen, die Personen auf unserer Seite vornehmen (Seiten-Insights). Hierzu verarbeitet LinkedIn insbesondere solche Daten, die Sie LinkedIn bereits über die Angaben in Ihrem Profil zur Verfügung gestellt haben, wie z.B. Daten zu Funktion, Land, Branche, Dienstalter, Unternehmensgröße und Beschäftigungsstatus. Darüber hinaus wird LinkedIn Informationen darüber verarbeiten, wie Sie mit unserem LinkedIn-Unternehmensprofil interagieren, z.B. ob Sie ein Follower unserer LinkedIn-Unternehmensseite sind. Mit den Seiten-Insights stellt LinkedIn uns keine personenbezogenen Daten von Ihnen zur Verfügung. Wir haben nur auf die zusammengefassten Seiten-Insights Zugriff. Auch ist es uns nicht möglich, über die Informationen der Seiten-Insights Rückschlüsse zu einzelnen Mitgliedern zu ziehen.

Die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Betrieb unseres LinkedIn- Unternehmensprofils erfolgt auf Grundlage einer Interessenabwägung gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO, um Ihnen eine zeitgemäße und unterstützende Informations- und Interaktionsmöglichkeit mit und über uns anzubieten. Die Verarbeitung dient unserem berechtigten Interesse, die Arten von vorgenommenen Handlungen auf unserem LinkedIn- Unternehmensprofil auszuwerten und unser Unternehmensprofil anhand dieser Erkenntnisse zu verbessern.

Diese Verarbeitung personenbezogener Daten im Rahmen der Seiten-Insights erfolgt durch LinkedIn und uns als gemeinsam Verantwortliche. Wir haben mit LinkedIn eine Vereinbarung über die Verarbeitung als gemeinsam Verantwortliche getroffen, in der die Verteilung der datenschutzrechtlichen Pflichten zwischen uns und LinkedIn festgelegt ist. Die Vereinbarung ist hier abrufbar: https://legal.linkedin.com/pages-joint-controller-addendum. Danach gilt Folgendes:

LinkedIn und wir haben vereinbart, dass LinkedIn dafür verantwortlich ist Ihre gemäß der DSGVO zustehenden Rechte auszuüben. Sie können LinkedIn dazu über folgenden Link (https://www.linkedin.com/help/linkedin/ask/PPQ?lang=de) online kontaktieren oder LinkedIn über die Kontaktdaten in der Datenschutzrichtlinie erreichen. Den Datenschutzbeauftragten bei LinkedIn können Sie über folgenden Link kontaktieren: https://www.linkedin.com/help/linkedin/ask/TSO-DPO. Sie können sich unter unseren angegebenen Kontaktdaten zur Ausübung Ihrer Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Seiten-Insigts auch an uns wenden. Wir werden in einem solchen Fall Ihre Anfrage an LinkedIn weiterleiten.

LinkedIn und wir haben vereinbart, dass die irische Datenschutzkommission die federführende Aufsichtsbehörde ist, die die Verarbeitung für Seiten-Insights überwacht. Sie haben stets das Recht, eine Beschwerde bei der irischen Datenschutzkommission (siehe unter www.dataprotection.ie) oder bei jeder anderen Aufsichtsbehörde einzureichen.

Darüber hinaus verarbeitet die LinkedIn Ihre Daten als Nutzer zur Bereitstellung der Services, Kommunikation, Weiterentwicklung von Services und Recherche sowie für Zwecke der Werbung, Kundenunterstützung, Analyse und Sicherheit. Für die Verarbeitung personenbezogener Daten bei dem Besuch unserem LinkedIn-Unternehmensprofil ist grundsätzlich die LinkedIn allein Verantwortlicher. Die Kategorien personenbezogener Daten, die LinkedIn hierbei verarbeitet, sind in der Datenrichtlinie von LinkedIn beschrieben. Weitere Hinweise über die Verarbeitung personenbezogener Daten durch LinkedIn erhalten Sie hier https://www.linkedin.com/legal/privacy-policy?trk=homepage-basic_footer-privacy-policy.

Bitte beachten Sie, dass gemäß der LinkedIn-Datenschutzrichtlinie personenbezogene Daten durch LinkedIn auch in den USA oder anderen Drittländern verarbeitet werden.

8.2 Youtube

Wir betreiben einen „YouTube-Kanal“, um auf unsere Dienstleistungen und Service-Angebote hinzuweisen und um mit unseren Kunden sowie Besuchern des YouTube-Kanals (Nutzer) zu interagieren. Betreiber der Videoplattform ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 Irland (Google Ireland). Google Ireland ist ein mit der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; (Google)) verbundenes Unternehmen.

Wenn Sie mit uns über unseren YouTube-Kanal Kontakt aufnehmen, indem Sie z.B. eines unserer Videos kommentieren, verarbeiten wir Ihre Daten (z.B. Ihren Namen und die Kommunikationsinhalte), um Ihr Anliegen zu bearbeiten. Soweit erforderlich, verarbeiten wir Ihre Daten darüberhinausgehend zur Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten im Zusammenhang mit Ihren Beiträgen. Rechtsgrundlage für die Verarbeitung der Daten, die wir im Zusammenhang mit der Nutzung unseres Unternehmensauftritts erfassen, sind unsere berechtigten Interessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, um Ihnen eine zeitgemäße und unterstützende Informations- und Interaktionsmöglichkeit mit und über uns anzubieten sowie zur besseren Darstellung unserer Dienstleistungen und Service-Angebote. Zielt der Kontakt auf den Abschluss eines Vertrages ab, so ist die Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 S. 1 lit. b DSGVO.

Beim Besuch unseres YouTube-Kanals oder andere Seiten der YouTube-Plattform, erhebt Google Ireland sog. Nutzungsdaten. Dabei verwendet Google Ireland bestimmte Daten, die sie von Nutzern der YouTube-Plattform erhoben haben (z.B. welche Videos Nutzer ansehen) auch, um aggregiert Nutzungsstatistiken zu erstellen und den jeweiligen Betreibern des YouTube-Kanals zur Verfügung zu stellen (YouTube-Analytics). Auch wir erhalten solche aggregierte Nutzungsstatistiken. Die Informationen, die wir durch YouTube-Analytics erhalten, lassen keinen Rückschluss auf einzelne Nutzer zu. Wir haben selbst keinen Zugriff auf personenbezogene Daten, die Google Ireland für YouTube-Analytics verarbeitetet. Google Ireland legt fest, welche Daten für YouTube-Analytics auf welche Weise verarbeitet werden. Informationen hierzu stellt Google Ireland in der Datenschutzerklärung zur Verfügung.

Die personenbezogenen Daten werden dabei auch in die USA übermittelt. Die Europäische Kommission hat einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO für das EU-U.S. Data Privacy Framework erlassen. Auf Basis dieses Beschlusses sind Datenübermittlungen an in den USA ansässige Organisationen, die entsprechend zertifiziert sind, zulässig. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

9. Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass die personenbezogenen Daten an andere Empfänger übermittelt oder sie ihnen gegenüber offengelegt werden. Zu den Empfängern dieser personenbezogenen Daten können z.B. mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine Webseite eingebunden werden, gehören. In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer personenbezogenen Daten dienen, mit den Empfängern Ihrer personenbezogenen Daten ab.

10. Löschung von Daten

Die von uns verarbeiteten personenbezogenen Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald die zur Verarbeitung erteilte Einwilligung widerrufen wird oder sonstige Erlaubnisse entfallen (z.B., wenn der Zweck der Verarbeitung dieser personenbezogenen Daten entfallen ist oder sie für den Zweck nicht erforderlich sind).

Unsere Datenschutzhinweise enthalten ferner weitere Angaben zu der Aufbewahrung und Löschung von personenbezogenen Daten, die für die jeweiligen Verarbeitungen vorrangig gelten.

11. Ihre Rechte als betroffene Person

Ihnen stehen als betroffene Person nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben. Wenn Sie eines Ihrer Rechte ausüben wollen, kontaktieren Sie uns bitte über die oben angegebenen Kontaktadressen oder unseren Datenschutzbeauftragten.

11.1 Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

11.2 Recht auf Auskunft

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden und auf Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen und Kopie der personenbezogenen Daten entsprechend den gesetzlichen Vorgaben.

11.3 Recht auf Berichtigung

Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden personenbezogenen Daten oder die Berichtigung der Sie betreffenden unrichtigen personenbezogenen Daten zu verlangen.

11.4 Recht auf Löschung und Einschränkung der Verarbeitung

Sie haben das Recht, von uns zu verlangen, dass personenbezogenen Daten, die Sie betreffen, unverzüglich gelöscht werden, wenn einer der gesetzlich vorgesehenen Gründe zutrifft und soweit die Verarbeitung bzw. Speicherung nicht erforderlich ist.

11.5 Einschränkung der Verarbeitung

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der gesetzlichen Voraussetzungen gegeben ist.

11.6 Recht auf Datenübertragbarkeit

Sie haben das Recht, Sie betreffende personenbezogenen Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.

11.7 Widerrufsrecht bei Einwilligungen

Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.

11.8 Beschwerde bei Aufsichtsbehörde

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

12. Änderung und Aktualisierung der Datenschutzerklärung

Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Wenn wir unsere Webseite und unsere Angebote weiterentwickeln oder sich gesetzliche oder behördliche Vorgaben ändern, kann es notwendig sein, diese Datenschutzhinweise zu ändern. Die jeweils aktuellen Datenschutzhinweise können Sie jederzeit hier abrufen.

Stand: Juli 2024


Datenschutzerklärung - App

Zuletzt aktualisiert: Juli 15, 2024

1. Einleitung

Diese Datenschutzerklärung (im Folgenden "Datenschutzerklärung") beschreibt, wie die Vestlane GmbH (im Folgenden "Vestlane") und ihre verbundenen und/oder angeschlossenen Unternehmen (das "Unternehmen", "Vestlane", "uns", "unser", "ihre" oder "wir") persönliche Daten (wie unten definiert) von Kunden, Investoren und anderen Nutzern der Vestlane App (https://app.vestlane.com) und jeder Subdomain oder anderen Top-Level-Domains der Plattform ("Plattform") sammelt, verwendet, offenlegt und weitergibt.

Diese Datenschutzerklärung gilt auch für alle Vestlane-Dienste, Tools oder Plattformen, Mobile oder Desktop-Anwendungen und andere Interaktionen (wie z. B. Chat, E-Mail, Kundendienstanfragen, Konferenzen usw.), die Sie mit uns haben können. Wenn Sie mit den Bedingungen nicht einverstanden sind, sollten Sie nicht auf die Plattform, die Dienste, die Websites oder andere Aspekte des Geschäfts von Vestlane zugreifen oder diese nutzen.

Bitte beachten Sie, dass, wenn Sie von einem unserer Kunden (z. B. Fondsmanager, Fondsverwalter, Anwaltskanzleien, Steuerberater usw.) für deren Fundraising- oder Betriebszwecke Zugang zu unserer Plattform erhalten, Vestlane der Verarbeiter der persönlichen Daten ist, die Sie auf der Plattform für die Fundraising- oder Betriebszwecke dieses Kunden bereitstellen.

Das bedeutet, dass wir solche personenbezogenen Daten nur auf Anweisung dieses Kunden verarbeiten, z. B. für dessen Fonds- oder Vehikel-Zwecke, und dass dieser Kunde für Ihre personenbezogenen Daten verantwortlich ist. Sie sollten sich an die Datenschutzbestimmungen dieses Kunden wenden, um ihn zu kontaktieren oder Ihre Rechte auszuüben. Für den Fall, dass Sie als Anleger ein bereits bestehendes Profil auf unserer Plattform unterhalten und sich dafür entscheiden, dieses Profil für eine neue Investition mit einem anderen Kunden zu nutzen, geht unsere Rolle über die bloße Verarbeitung von Daten für diesen Kunden hinaus. Wir übernehmen auch die Rolle eines für die Wiederverwendung der von Ihnen gewählten personenbezogenen Daten Verantwortlichen. Folglich gelten für diese Daten die in unserer Datenschutzerklärung aufgeführten Bestimmungen.

Wir informieren Sie über die Verarbeitung Ihrer personenbezogenen Daten und über die Rechte, die Ihnen nach der Europäischen Datenschutz-Grundverordnung (DSGVO) und anderen anwendbaren gesetzlichen Datenschutzgesetzen und -vorschriften zustehen.

"Personenbezogene Daten" sind alle Informationen, die wir über Sie verarbeiten und die sich auf Sie beziehen oder die verwendet werden können, um Sie als natürliche Person ("betroffene Person") direkt oder indirekt zu identifizieren, z. B. Ihr Name, Ihre E-Mail-Adresse, Ihre Adresse, Ihre Bestelldaten, Ihre Zahlungsdaten oder alle Inhalte Ihres Benutzerprofils. Sie haben uns personenbezogene Daten zur Verfügung gestellt oder müssen uns diese möglicherweise zur Verfügung stellen, wenn Sie Informationen über Vestlane anfordern, Vestlane-Kunde werden oder die Vestlane-Plattform unter https://app.vestlane.com oder einer ihrer Subdomains nutzen. Dazu gehören auch Informationen, die notwendigerweise im Laufe der Investitionsbeziehung anfallen, wie z. B. die Bankverbindung des Anlegers, der investierte Betrag und die Beteiligungen an einem Fonds oder Vehikel.

In dieser Datenschutzerklärung verwenden wir verschiedene andere Begriffe, die in der DSGVO definiert sind. Dazu gehören Begriffe wie Verarbeitung, Profiling, Pseudonymisierung, Verantwortlicher, Auftragsverarbeiter, Empfänger, Dritter, Einwilligung, Aufsichtsbehörde und internationale Organisation. Die entsprechenden Definitionen für diese Begriffe finden Sie in Artikel 4 der DSGVO.

2. Wer ist für die Datenverarbeitung verantwortlich?

Die für die Erhebung und Verarbeitung personenbezogener Daten zuständige Stelle ist:

Vestlane GmbH,

Kurfürstendamm 12,

10719 Berlin,

Deutschland

[email protected],

www.vestlane.com

Kontaktangaben des ernannten externen Datenschutzbeauftragten:

SECJUR GmbH

Steinhöft 9

20459 Hamburg

Telefon: +49 40 228 599 520

E-Mail: [email protected];

3. Daten, die wir von Ihnen sammeln

3.1 Informationen, die Sie uns zur Verfügung stellen. Gegebenenfalls erfassen wir Ihren Namen, Ihre Adresse, Ihre E-Mail-Adresse, Ihre Telefonnummer, Ihren Benutzernamen, Ihr Passwort (verschlüsselt), demografische Informationen (z. B. Ihr Geburtsdatum, Ihren Beruf usw.), Bankdaten sowie andere Informationen, die Sie uns direkt auf unserer Plattform und im Laufe unserer Geschäftsbeziehung per E-Mail oder über andere Mittel des Datenaustauschs mitteilen.

3.2. Automatisch gesammelte Informationen. Wenn Sie auf unsere Plattform zugreifen, erheben wir die folgenden Zugriffsdaten, die technisch notwendig sind, damit wir Ihnen unsere Plattform präsentieren können und um die Stabilität und Sicherheit zu gewährleisten. Zu den Zugriffsdaten gehören die IP-Adresse, das Datum und die Uhrzeit der Anfrage, die Zeitzonendifferenz zur Greenwich Mean Time (GMT), der Inhalt der Anfrage (d.h. der Name der konkret aufgerufenen Webseite), der Zugriffsstatus/HTTP-Statuscode, die jeweils übertragene Datenmenge, die Referrer-URL (die zuvor besuchte Seite), das Betriebssystem und dessen Schnittstelle, die Sprache und Version sowie die Art der Browser-Software und die Meldung über den erfolgreichen Abruf.

3.2 Informationen über Anleger/Benutzer. Wenn Sie ein Investor/Nutzer oder potenzieller Investor/Nutzer bei Vestlane sind, sammeln wir bestimmte Informationen über Sie, um Ihnen die Teilnahme am Fundraising unserer Kunden oder an anderen Arbeitsabläufen für betriebliche Zwecke zu ermöglichen. Die Informationen, die wir sammeln, variieren je nach Fonds oder Vehikel und spezifischem Arbeitsablauf, aber zusätzlich zu den Informationen, die Sie uns geben, insbesondere wenn Sie sich bestimmten Verifizierungsprüfungen unterziehen und Identitätsinformationen wie Ihren Personalausweis oder Reisepass einreichen, verarbeiten wir Ihre in diesen Dokumenten enthaltenen persönlichen Daten. Darüber hinaus können wir Informationen über Ihre Sozialversicherungsnummer, Steueridentifikationsnummern, andere staatliche Ausweisdokumente wie Führerscheine oder Kontoauszüge, Adressnachweise, Ihren Akkreditierungs- bzw. Qualifikationsstatus als Anleger, den Betrag und die Quelle des Kapitals, das Sie in einen Fonds oder ein Vehikel zu investieren beabsichtigen, und/oder Kontaktinformationen von Dritten, die an einem Investitionsprozess beteiligt sind, wie Mitunterzeichner, wirtschaftlich Berechtigte, Partner usw., erfassen und verarbeiten.

3.3 Informationen, die wir von anderen erhalten. Wir können Informationen über Sie aus anderen Quellen erhalten. Wir können diese Informationen zu den von Ihnen über unsere Plattform bereitgestellten Informationen hinzufügen. Wenn Sie beispielsweise ein Anleger sind, können wir Anlegerinformationen von unseren Kunden oder deren Dienstleistern (z. B. Anwälten, Fondsverwaltern, Steuerberatern usw.) erhalten.

3.4 Cookies. Wir verwenden ein "Secured Cookie", um das Zugangstoken zur Plattform zu speichern.

3.5 Analyse und andere externe Online-Dienste oder Produkte

Wir verwenden Google Analytics als Webanalysedienst. Er wird von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, bereitgestellt (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).

Die folgenden Daten sind betroffen: Google Client ID, Klickpfad, Datum und Uhrzeit des Besuchs, Geräteinformationen, Standortinformationen, IP-Adresse, besuchte Seiten, Referrer URL, Browser Info, Hostname, Browsersprache, Browsertyp, Bildschirmauflösung, Gerätebetriebssystem, Interaktionsdaten, Nutzerverhalten, besuchte URL

Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 f) DSGVO und die Daten werden in Europa gespeichert

Auf der Plattform nutzen wir auch Usersnap als Plattform für Nutzerfeedback. Dieser Dienst wird von der Usersnap GmbH, Energiestrasse 1, A-4020 Linz, Österreich, bereitgestellt. Dies kann Kontakt- oder Nutzungsdaten der Nutzer betreffen. Die Rechtsgrundlage ist Artikel Art. 6 Abs. 1 f) DSGVO. Die Daten werden ausschließlich innerhalb der DSGVO-konformen Bereiche gespeichert.

4. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der Europäischen Datenschutzverordnung (Verordnung (EU) 2016/679 vom 27. April 2016, die "DSGVO") und des deutschen Bundesdatenschutzgesetzes ("BDSG") (bzw. in anderen Rechtsordnungen gemäß den in den entsprechenden Abschnitten am Ende dieser Datenschutzerklärung dargelegten Rechtsvorschriften) für die folgenden Zwecke und auf der Grundlage der folgenden Rechtsgrundlagen. Wo in diesem Abschnitt auf die DSGVO, das BDSG und andere Gesetze verwiesen wird, sind diese als Verweis auf die entsprechenden Gesetze zu verstehen, die in der jeweiligen Rechtsordnung in Bezug auf personenbezogene Daten gelten, die in dieser anderen Rechtsordnung erhoben und verarbeitet werden.

Zweck: Wenn Sie uns Ihre Einwilligung gegeben haben, personenbezogene Daten für bestimmte Zwecke zu verarbeiten, insbesondere um mit Ihnen in Kontakt zu treten (z. B. Versand von Newslettern, Ankündigung neuer Produkteigenschaften, Werbemitteilungen, Werbung per Telefon, E-Mail, SMS oder im Zusammenhang mit der Einrichtung eines Benutzerkontos), ist diese Verarbeitung auf der Grundlage Ihrer Einwilligung rechtmäßig.

Rechtsgrund: Einwilligung, Art. 6 Abs. 1 a) DSGVO

Zweck: Wenn Sie mit uns in Kontakt treten (per Kontaktformular, Chat oder E-Mail), werden Ihre Daten zum Zweck der Bearbeitung der Kontaktanfrage und deren Abwicklung verarbeitet, insbesondere um auf Kommentare, Anfragen und Fragen zu antworten, den Zugang zu den Berechtigungen zu überprüfen und um einen allgemeinen Kundenservice und -support zu bieten.

Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO

Ansonsten: Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO

Zweck: Soweit dies für die Beteiligung des Anlegers an einem Fonds, Vehikel oder sonstigen damit verbundenen Arbeitsabläufen erforderlich ist, verarbeiten wir personenbezogene Daten insbesondere zur Unterstützung unserer Kunden bei der Aufnahme des Anlegers als Kommanditist, einschließlich der Kapitaleinlage des Anlegers, der Abwicklung von Kommunikationsprozessen, intern und extern (z.B. Korrespondenz), administrativen Aufgaben wie Auszahlungs- und Ausschüttungsmitteilungen, allgemeinen Investor Relations, steuerlichen und aufsichtsrechtlichen Anmeldungen/Berichten und angrenzenden Arbeitsabläufen.

Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO

Ansonsten: Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO

Zweck: Zur Verhinderung und Aufdeckung von Geldwäsche und Terrorismusfinanzierung sowie zur Einhaltung sonstiger Vorschriften in Bezug auf Sanktionen und Embargos im Rahmen unseres KYC-Prozesses (Know Your Customer) können wir allgemeine personenbezogene Daten, Bankdaten und Metadaten verarbeiten, u. a. um Sie zu identifizieren, Ihre Identität zu überprüfen, Ihre Angaben mit Listen und Datenbanken über politisch exponierte Personen (PEP), Sanktionen, Hochrisikoländer und negative Medien abzugleichen und Ihr (Risiko-)Profil zu bestimmen.

Bitte beachten Sie, dass solche Dienste auch von Drittanbietern erbracht werden können.

Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO
Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO

Zweck: Ein Identifizierungsverfahren, das mit den örtlichen Finanzbehörden konform ist, könnte die Speicherung (gegebenenfalls im Namen unserer Kunden) von Audio- und Videoaufzeichnungen des Identifizierungsverfahrens, der identifizierten Person selbst und des Identifizierungsdokuments, von Bildern der identifizierten Person, der Vorderseite und (falls vorhanden) der Rückseite des Identifizierungsdokuments der identifizierten Person umfassen, sowie

persönliche Daten wie Vorname, Name, Straße, Hausnummer, Postleitzahl, Wohnort, Geburtsdatum, Geburtsort, Staatsangehörigkeit, E-Mail, Mobiltelefonnummer,

Ausweis-/Passdaten wie Art des Ausweises, Ausweisnummer, ausstellendes Land, Ausstellungsdatum, Gültigkeitsdatum, ausstellende Behörde usw. ("Identifikationsdaten"). Bitte beachten Sie, dass solche Dienste auch von Drittanbietern erbracht werden können.

In der Regel speichern wir solche Identifikationsdaten im Namen und auf Rechnung des verpflichteten Kunden, der die betreffende Person ursprünglich identifiziert hat.

Um bestimmte Vorschriften einzuhalten, gewähren wir sofortigen Zugang zu diesen Identifikationsdaten.

Um wiederholte Video-Identifizierungen von Nutzern zu vermeiden (nach dem Grundsatz der Datenminimierung), kann ein verpflichteter Kunde auf Identifikationsdaten zugreifen, die ursprünglich von einem anderen Kunden abgerufen wurden, wenn der zugreifende Kunde gesetzlich verpflichtet ist, den jeweiligen Anleger zu identifizieren (z. B. aufgrund von AML-Vorschriften). In einem solchen Fall können wir als technischer Bote zwischen diesen Kunden agieren und dem zugreifenden Kunden Zugang zu den Identifizierungsdaten gewähren. Dies gilt insbesondere für Fälle, in denen die europäische Geldwäschebekämpfungsverordnung die Übermittlung von Identifikationsdaten eines Anlegers zwischen sogenannten Verpflichteten, die KYC/AML-Anforderungen erfüllen müssen (z.B. Fonds, Fondsmanager), erlaubt. Die Verarbeitung dient in der Regel dem Zweck, behördlichen Kontroll- und Informationspflichten nachzukommen.

Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO

Zweck: Zur Erleichterung weiterer Investitionen oder operativer Abläufe eines Nutzers mit anderen Kunden von uns bieten wir an, die übermittelten personenbezogenen Daten zu speichern und zu verarbeiten, um es den Investoren/Nutzern zu ermöglichen, ihre verifizierten Daten auch für potenzielle zukünftige Investitionen oder Abläufe oder andere Aktivitäten auf Vestlane zu verwenden.

Ohne die Zustimmung des jeweiligen Nutzers werden die persönlichen Daten des Nutzers nicht an Dritte weitergegeben. Der Nutzer kann diese Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der auf der Grundlage der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Rechtsgrund: Einwilligung, Art. 6 Abs. 1 a) DSGVO

Zweck: Senden von E-Mails und anderen Mitteilungen bezüglich unseres Dienstes, die für technische oder administrative Zwecke erforderlich sind, wie z. B. Bestätigungen, Rechnungen und Abrechnungen, technische Mitteilungen, Updates, Sicherheitswarnungen und Support- und Verwaltungsmitteilungen sowie Nachrichten und andere Arten von wichtigen Mitteilungen. Diese Mitteilungen werden als Teil des Dienstes betrachtet und Sie können sich nicht dagegen entscheiden.

Rechtsgrund: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, Art. 6 Abs. 1 b) DSGVO

Zweck: Darüber hinaus verarbeiten wir personenbezogene Daten zur betrieblichen Leistungserfassung und -auswertung, zur internen Kommunikation, zur Gewährleistung der Betriebssicherheit, zur Beantwortung behördlicher Anfragen, zur Geltendmachung von Rechtsansprüchen, zur Entwicklung und Bereitstellung von Such-, Lern- und Produktivitätswerkzeugen und Zusatzfunktionen.

Rechtsgrund: Wahrung der berechtigten Interessen, Art. 6 Abs.. 1 f) DSGVO

Zweck: Um mit Ihnen in Kontakt zu treten und unsere Beziehung zu Ihnen und/oder Ihrem Unternehmen zu verwalten, wenn Sie ein Lieferant/Partner oder der Vertreter eines Kunden/Lieferanten/Partners sind, mit dem wir eine Geschäftsbeziehung unterhalten.

Rechtsgrund: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person, Art. 6 Abs. 1 b) DSGVO

Zweck: Wir verarbeiten Ihre Plattformzugangsdaten zur Wahrung unserer berechtigten Interessen oder der Interessen Dritter. Insbesondere verfolgen wir die folgenden berechtigten Interessen:

  • Gewährleistung der IT-Sicherheit, insbesondere der Sicherheit unserer Plattform; wir speichern auch die IP-Adresse für den Fall, dass jemand über die Kommentarfunktion rechtswidrige Inhalte hinterlässt (Beleidigungen, verbotene Propaganda etc.) und wir zu unserem eigenen Rechtsschutz die Identität des Verfassers feststellen können müssen;
  • Überwachung und Verbesserung unserer Beziehungen zu Kunden, Investoren und anderen Nutzern;
  • Geltendmachung von Rechtsansprüchen und Durchführung unserer Verteidigung im Falle von Rechtsstreitigkeiten.

In jedem Fall bleibt unser berechtigtes Interesse verhältnismäßig, und wir prüfen im Rahmen einer Abwägung, ob Ihre Interessen oder Grundrechte gewahrt werden.

Rechtsgrund: Wahrung der berechtigten Interessen, Art. 6 Abs. 1 f) DSGVO

Zweck: Wir verarbeiten Daten

  • wenn wir ein Geschäft abschließen oder ein Geschäft aushandeln, das den Verkauf oder die Übertragung unseres gesamten oder eines Teils unseres Geschäfts oder unserer Vermögenswerte beinhaltet. Zu diesen Geschäften können Fusionen, Finanzierungen, Übernahmen, Konkursverfahren oder Transaktionen gehören. Die weitergegebenen personenbezogenen Daten können an Geschäftspartner und andere Personen weitergegeben werden, die uns bei der Abwicklung des Geschäfts unterstützen.
  • Wir können Informationen an diejenigen weitergeben, die sie benötigen, um für uns zu arbeiten. Dazu gehört auch, dass wir Vestlane-Mitarbeitern und Dienstleistern den erforderlichen Zugang gewähren, damit sie ihre Aufgaben erfüllen können. 
  • Wir können aggregierte oder anonymisierte Daten weitergeben. Dies gilt auch für Marketing-, Analyse- oder Forschungszwecke.

Rechtsgrund: Wahrung der berechtigten Interessen, Art. 6 Abs. 1 f) DSGVO & Einwilligung, Art. 6 Abs. 1 a) DSGVO

Die Erteilung einer Einwilligung - sofern wir Ihre personenbezogenen Daten auf der Grundlage einer Einwilligung verarbeiten - ist freiwillig. Sie haben das Recht, Ihre Einwilligung(en) jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen, indem Sie eine formlose E-Mail über die oben genannten Kontaktdaten oder über [email protected] senden. Bitte beachten Sie, dass der Widerruf erst ab dem Zeitpunkt wirksam wird, an dem Sie uns den Widerruf mitteilen. Verarbeitungen, die vor dem Widerruf stattgefunden haben, sind daher nicht betroffen, aber Sie haben das Recht, von uns zu verlangen, dass wir Ihnen Einzelheiten über die personenbezogenen Daten, die wir über Sie gespeichert haben, mitteilen oder sie löschen. Bitte beachten Sie, dass eine Verarbeitung aus anderen Rechtsgründen als der Einwilligung unberührt bleiben kann.

5. Auswahl von Informationen und Änderungen

Sie können den Erhalt von Marketing-E-Mails von Vestlane jederzeit abbestellen, indem Sie den Abmeldelink in jeder Marketing-E-Mail, die wir Ihnen senden, anklicken oder indem Sie uns kontaktieren. Wenn Sie sich abmelden, können wir Ihnen weiterhin Nicht-Marketing-E-Mails schicken. Nicht-Marketing-E-Mails sind dienstleistungsorientiert und enthalten daher im Allgemeinen E-Mails über Ihre Konten und unsere Geschäftsbeziehungen mit Ihnen. Vestlane ist bestrebt, Ihnen die Instrumente zur Aktualisierung Ihrer persönlichen Daten zur Verfügung zu stellen. Wenn Sie nicht in der Lage sind, ungenaue Informationen selbst zu korrigieren, können Sie unsere Unterstützung bei der Aktualisierung dieser Informationen anfordern, indem Sie sich an [email protected] wenden.

6. Datenzugang

Innerhalb von Vestlane können die Abteilungen, die Ihre Daten kennen müssen, um unsere vertraglichen und gesetzlichen Verpflichtungen zu erfüllen, auf Ihre Daten zugreifen.

Darüber hinaus können auch von uns beauftragte Auftragsverarbeiter (Art. 28 DSGVO) zu den oben genannten Zwecken Zugang zu Daten erhalten. Dabei kann es sich beispielsweise um unsere IT-Dienstleister, Hosting-Provider, Anbieter von Hintergrund- und/oder Kreditauskünften oder Dritte handeln, die Druck-, Telekommunikations-, Vertriebs- und Marketingdienstleistungen erbringen. Wenn wir für die Erbringung unserer Dienstleistungen Auftragsverarbeiter einsetzen, werden wir angemessene rechtliche Vorkehrungen sowie die entsprechenden vertraglichen, technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Einklang mit dem geltenden Recht treffen.

Eine Weitergabe von Daten an Dritte erfolgt nur im Rahmen der gesetzlichen Bestimmungen. Wir werden Ihre Daten nur dann an Dritte weitergeben, wenn dies z.B. nach Art. 6 Abs. 1 b) DSGVO zu vertraglichen Zwecken oder auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 f) DSGVO für den wirtschaftlichen und effektiven Betrieb unseres Unternehmens erforderlich ist oder wenn Sie in die Übermittlung der Daten eingewilligt haben. Empfänger solcher Daten können Kunden von uns sein, um einen Vertrag mit Ihnen zu erfüllen oder vorvertragliche Maßnahmen durchzuführen, sowie andere Dienstleister und von ihnen beauftragte und/oder beauftragte Vertreter, professionelle Partner wie Privatbanken, Family Offices, Fondsmanager, Anwaltskanzleien und andere Dienstleister sowie Behörden.

Bei einer rein informatorischen Nutzung der Plattform geben wir keine Daten an Dritte weiter.

Im Folgenden finden Sie eine Liste der von uns beauftragten Auftragsverarbeiter:

Auftragsverarbeiter: Amazon Web Services EMEA SARL, Avenue John F. Kennedy 38, 1855 Luxemburg, Luxemburg

Funktion: Betrieb der Plattform 

Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Zahlungs-/Bankdaten, technische Daten, Trackingdaten, Logfiles, Geräteinformationen (Browser zum Webserver), Bild- und Tonaufzeichnungen

Ort der Verarbeitung: Europa

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://aws.amazon.com/privacy/?nc1=f_pr


Auftragsverarbeiter: Google Workspace, Google Ireland Limited, Gordon House, Barrow Street Dublin 4, Irland

Funktion: Interne Organisation des Arbeitsprozesses

Datenverarbeitung: Persönliche Stammdaten, Adressdaten, Kontaktangaben, Zahlungs-/Bankdaten

Ort der Verarbeitung: Europa

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://policies.google.com/privacy?hl=en


Auftragsverarbeiter: Azure, Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Funktion: Betrieb der Plattform 

Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Zahlungs-/Bankdaten, technische Daten, Trackingdaten, Logfiles, Geräteinformationen (Browser zum Webserver), Bild- und Tonaufzeichnungen

Ort der Verarbeitung: Europa

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://privacy.microsoft.com/en-us/privacystatement


Auftragsverarbeiter: Slack Technologies Limited, Salesforce Tower, 60 R801, North Dock, Dublin, Irland

Funktion: Interne Kommunikation

Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten

Ort der Verarbeitung: USA

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://slack.com/intl/en-gb/trust/privacy/privacy-policy


Auftragsverarbeiter: IDNow GmbH, Auenstraße 100, 80469 München, Deutschland

Funktion: Werkzeug zur Kundenidentifizierung

Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Bild- und Tonaufnahmen

Ort der Verarbeitung: Europa, vor allem Deutschland

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.idnow.io/privacy/


Auftragsverarbeiter: Comply Advantage

Funktion: Erkennung von AML-Risiken

Datenverarbeitung: Name, Geburtsdatum, Adressdaten

Ort der Verarbeitung: Europa und außerhalb des EWR auf der Grundlage von Art. 46 Abs. 2 (c) DSGVO

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://complyadvantage.com/privacy-notice/


Auftragsverarbeiter: NorthData

Funktion: Datenbank für Informationen über europäische Unternehmen

Datenverarbeitung: Unternehmensinformationen (Name, Adresse, Struktur)

Ort der Verarbeitung: USA

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.northdata.com/\_privacy


Auftragsverarbeiter: Klippa

Funktion: Werkzeug zur Kundenidentifizierung

Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Bild- und Tonaufnahmen

Ort der Verarbeitung: Europa

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.klippa.com/wp-content/uploads/2023/09/Klippa-Privacy-Statement-Website-2023.pdf


Auftragsverarbeiter: Veriff

Funktion: Werkzeug zur Kundenidentifizierung

Datenverarbeitung: Personenstammdaten, Adressdaten, Kontaktdaten, Bild- und Tonaufnahmen

Ort der Verarbeitung: Europa

Rechtsgrundlage: Art. 6 Abs.. 1 f) DSGVO

Datenschutzerklärung des Auftragsverarbeiters für weitere Informationen: https://www.veriff.com/privacy-notice

7. Vorratsdatenspeicherung

Wir bewahren Ihre persönlichen Daten im Allgemeinen nur so lange auf, wie es für die Erfüllung der in dieser Datenschutzerklärung genannten Zwecke erforderlich ist.

Bei der Festlegung der entsprechenden Aufbewahrungsfristen für Ihre personenbezogenen Daten berücksichtigen wir die folgenden Faktoren: (a) alle Erlaubnisse, die Sie uns in Bezug auf Ihre personenbezogenen Daten erteilen; (b) unsere vertraglichen Verpflichtungen und Rechte in Bezug auf die betreffenden personenbezogenen Daten; (c) unsere rechtliche(n) Verpflichtung(en) gemäß den einschlägigen Gesetzen, Daten für einen bestimmten Zeitraum aufzubewahren; (d) unsere legitimen geschäftlichen und kommerziellen Interessen; (e) ob die Aufbewahrung angesichts unserer Rechtslage ratsam ist (z. B. im Hinblick auf geltende Verjährungsfristen, Untersuchungen, Rechtsstreitigkeiten und andere potenzielle und tatsächliche Streitigkeiten); und (f) alle von den einschlägigen Datenschutzbehörden herausgegebenen Richtlinien.

Aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) werden Logfile-Informationen für maximal 90 Tage gespeichert und dann gelöscht. Daten, deren weitere Speicherung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

Soweit erforderlich, verarbeiten und speichern wir Ihre personenbezogenen Daten für die Dauer unserer Geschäftsbeziehung, wozu z.B. auch die Vertragsanbahnung per Kontaktformular oder per E-Mail gehört.

Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die vorgegebenen Aufbewahrungs- und Dokumentationsfristen betragen sechs bzw. zehn Jahre.

Schließlich bemisst sich die Aufbewahrungsfrist auch nach den gesetzlichen Verjährungsfristen, die z.B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel 3 Jahre, in bestimmten Fällen aber auch bis zu dreißig Jahre betragen können.

Machen Sie von Ihren Rechten als Betroffener Gebrauch, speichern wir die Ihnen in diesem Zusammenhang erteilten Auskünfte bis zum Ablauf der gesetzlichen Verjährungsfrist gemäß § 31 Abs. 2 Nr. 1 OWiG, § 41 Abs. 1 BDSG, Art. 83 Abs. 5 b) DSGVO für 3 Jahre. Diese Frist kann sich verlängern, wenn sich die gesetzliche Verjährungsfrist aufgrund von Verjährungsunterbrechungen (z.B. im Rahmen von Ermittlungen der Aufsichtsbehörden) verlängert.

Die Aufbewahrungsfrist für Identifikationsdaten geht über das Ende Ihres Vertragsverhältnisses mit uns hinaus. Kunden von uns können der AML-Regulierung, insbesondere nach §§ 8, 10 GwG, oder mutatis mutandis anderen europäischen oder internationalen AML-Regulierungen unterliegen. Um sie bei der Einhaltung dieser Vorschriften zu unterstützen, speichern wir Identifikationsdaten für mindestens fünf Jahre. Diese Aufbewahrungspflicht beginnt erst mit dem Ende des Kalenderjahres, in dem unsere Kundenbeziehung zu Ihnen oder die Kundenbeziehung zwischen Ihnen und einem unserer Kunden beendet wird. Die gesamte Aufbewahrungsfrist kann daher länger als fünf Jahre nach Beendigung des Vertragsverhältnisses sein.

Bitte beachten Sie, dass für unsere Tochtergesellschaften lokale Verpflichtungen zur Datenaufbewahrung gelten können, die von den oben genannten Zeiträumen abweichen können. Für weitere Informationen kontaktieren Sie uns bitte unter den oben angegebenen Kontaktdaten.

8. Übertragungen in Drittländer

Personenbezogene Daten werden hauptsächlich in der EU/EWR verarbeitet. Wenn wir Daten in einem Drittland (d. h. außerhalb der Europäischen Union (EU), des Vereinigten Königreichs (UK) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Zusammenhang mit der Nutzung von Diensten Dritter oder der Offenlegung oder Übermittlung von Daten an andere Personen, Einrichtungen oder Unternehmen erfolgt, geschieht dies nur in Übereinstimmung mit den Anforderungen der DSGVO.

Bitte beachten Sie, dass in den USA oder anderen Drittländern möglicherweise weniger strenge Datenschutzgesetze gelten als in Ihrem Land oder sich diese von den dort geltenden Gesetzen unterscheiden. Mögliche Risiken dieser Datenübermittlung bestehen darin, dass ein Zugriff staatlicher Behörden, wie z. B. Sicherheitsbehörden und/oder Nachrichtendienste, nicht ausgeschlossen werden kann und Ihre Daten von diesen, möglicherweise ohne Sie gesondert zu informieren und ohne dass Ihnen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, aus Gründen der nationalen Sicherheit, der Strafverfolgung oder für andere Zwecke im öffentlichen Interesse der USA verarbeitet werden könnten.

Um angemessene Garantien für den Schutz der Übermittlung und Verarbeitung personenbezogener Daten außerhalb der EU/des Vereinigten Königreichs/des EWR zu gewährleisten, stützt sich die Übermittlung von Daten an und die Verarbeitung von Daten auf angemessene Garantien gemäß Art. 46 ff. DSGVO, insbesondere durch den Abschluss von sog. Standard-Datenschutzklauseln gemäß Art. 46 Abs. 2 c) DSGVO.

Wenn Sie im Vereinigten Königreich (UK) oder im Europäischen Wirtschaftsraum (EWR) ansässig sind und wir Ihre personenbezogenen Daten an Parteien in den USA oder in anderen Ländern weitergeben, die nicht als angemessen für die Übermittlung Ihrer personenbezogenen Daten anerkannt sind, haben wir in dem Maße, in dem eine Schutzmaßnahme für solche Übermittlungen Ihrer personenbezogenen Daten gesetzlich vorgeschrieben ist, die von der britischen Regierung genehmigte internationale Datenübermittlungsvereinbarung/-zusatz (für Übermittlungen im UK) und die von der EU-Kommission genehmigten Standardvertragsklauseln (für Übermittlungen im EWR) implementiert. Bitte wenden Sie sich an uns, wenn Sie weitere Einzelheiten über die bestehenden Schutzmaßnahmen erfahren möchten und wissen möchten, wie Sie eine Kopie erhalten können.

Die von den im Rahmen dieser Erklärung aufgeführten Produkten bei US-Anbietern oder mit diesen verbundenen Unternehmen erhobenen Daten können von diesen unter anderem in den USA gespeichert und verarbeitet werden. Auf die weitere Datenverarbeitung durch die US-Anbieter haben wir keinen Einfluss. Bei einer Datenübermittlung in ein Drittland, d.h. ein Land außerhalb der EU oder des EWR, sind angemessene Garantien für den Schutz Ihrer personenbezogenen Daten in der Regel erforderlich.

9. Rechte der betroffenen Personen

Sie haben bestimmte Rechte in Bezug auf Ihre persönlichen Daten und können diese Rechte ausüben, indem Sie sich an uns wenden.

Recht auf Auskunft: Sie haben das Recht, Auskunft über die personenbezogenen Daten zu erhalten, die wir über Sie speichern. Auf Verlangen wird Ihnen Auskunft über die zu Ihrer Person gespeicherten Daten erteilt. Sie haben außerdem das Recht auf die in Art. 15 Abs. 1 DSGVO. Das vorgenannte Recht ist jedoch nicht unbegrenzt; das Recht, eine Kopie Ihrer personenbezogenen Daten zu erhalten, darf die Rechte und Freiheiten anderer Personen nach Art. 15 Abs. 4 DSGVO.

Recht auf Berichtigung und Löschung: Sie können die Berichtigung unrichtiger personenbezogener Daten und - soweit die gesetzlichen Voraussetzungen erfüllt sind - die Löschung Ihrer personenbezogenen Daten gemäß Art. 16, Art. 17 DSGVO. Das Recht auf Löschung ("Recht auf Vergessenwerden") ist nicht uneingeschränkt. Insbesondere kann die Löschung nicht verlangt werden, wenn wir Ihre personenbezogenen Daten zur Erfüllung unseres Vertrages, zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterverarbeiten müssen. Die Voraussetzungen und Einschränkungen des Rechts auf Löschung sind im Einzelnen in Art. 17 DSGVO.

Recht auf Einschränkung der Verarbeitung: Soweit die gesetzlichen Voraussetzungen erfüllt sind, können Sie verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten einschränken. In diesem Fall dürfen wir diese Daten weiterhin speichern, aber nur unter strengen Bedingungen verarbeiten. Die Bedingungen und Einschränkungen des Rechts auf Einschränkung der Verarbeitung sind im Einzelnen in Art. 18 DSGVO.

Recht auf Datenübertragbarkeit: Sie können beantragen, die von Ihnen bereitgestellten personenbezogenen Daten, die wir auf der Grundlage des zwischen uns bestehenden Vertrags oder Ihrer Einwilligung in einem automatisierten Verfahren verarbeiten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus können Sie von uns verlangen, dass diese Daten direkt an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Die Voraussetzungen und Einschränkungen der vorgenannten Rechte finden Sie im Einzelnen in Art. 20 Abs. 3 und 4 DSGVO.

Widerspruchsrecht: Sie können jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einlegen, wenn ein berechtigtes Interesse Ihrerseits besteht, das sich aus Ihrer besonderen Situation ergibt. In diesem Fall werden wir die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können - im Einklang mit den gesetzlichen Bestimmungen - zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerruf der Einwilligung: Wenn Sie in die Verarbeitung Ihrer personenbezogenen Daten, z. B. für Direktmarketingzwecke, eingewilligt haben, können Sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten vor dem Widerruf bleibt hiervon unberührt.

Recht auf Beschwerde bei der Aufsichtsbehörde: Sie können eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt. Sie können sich an die Datenschutzbehörde wenden, die für Ihren Wohnort oder Ihr Land zuständig ist, oder an die für uns zuständige Datenschutzbehörde.

Kontakt: Darüber hinaus können Sie sich bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zu Ihren Rechten als betroffene Person und zu einer von Ihnen erteilten Einwilligung unter den oben genannten Kontaktdaten kostenlos an uns wenden. Wenn Sie Ihre Einwilligung widerrufen möchten, können Sie denselben Kanal wählen, den Sie bei der Erteilung der Einwilligung verwendet haben.

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling: Im Rahmen des Zugriffs auf unsere Plattform oder im Rahmen der Kontaktaufnahme per Formular oder E-Mail verwenden wir keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren im Einzelfall einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgeschrieben ist. Wir verarbeiten Ihre Daten nicht automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling).

10. Änderungen an dieser Datenschutzerklärung

Wir können von Zeit zu Zeit Änderungen an dieser Datenschutzerklärung vornehmen. Wir werden Sie über alle wesentlichen Änderungen informieren, wenn wir eine Beziehung zu Ihnen haben, und ansonsten aktualisierte Versionen hier veröffentlichen. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen.


Vestlane GmbH

Auftragsverarbeitungsvertrag

‍ ("AVV")

1. Präambel‍

Dieses Addendum regelt die Rechte und Pflichten des Kunden (“Verantwortlicher” oder “Kunde” ) und des Anbieters („Auftragsverarbeiter" oder “Anbieter”) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag („AVV“). Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil des Vertrags und konkretisiert gesetzliche Rechte und Pflichten, die sich für die Parteien aus der DSGVO ergeben, wenn und soweit der Anbieter gemäß Art. 28 DSGVO im Auftrag des Kunden personenbezogene Daten verarbeitet oder ein Dienstleister, der im Auftrag des Anbieters handelt, Kontakt mit personenbezogenen Daten des Kunden haben kann. Sofern in diesem AVV nicht anders definiert, gelten die Definitionen des Vertrags bzw. der DSGVO. Im Falle eines Widerspruchs zwischen den Bestimmungen dieses AVV und des Vertrags haben die Bestimmungen dieses AVV Vorrang.

2. Auftragsgegenstand und Laufzeit

2.1. Der Auftragsgegenstand beinhaltet das elektronische Verarbeiten von personenbezogenen Daten zur Bereitstellung der gemäß den AGB und dessen Anlagen vom Anbieter erbrachten Leistungen. ‍

2.2. Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden auf der Grundlage dieses AVV und in Übereinstimmung mit Art. 4 Nr. 1, Nr. 2 und Art. 28 der DSGVO. ‍

2.3. Dieser AVV wird auf unbestimmte Zeit geschlossen. Sofern die AGB enden, endet jedoch auch dieser AVV.

3. Zweck, Umfang und Arten der Verarbeitung; Art der personenbezogenen Daten sowie Kategorien von betroffenen Personen

3.1. Die Verarbeitung personenbezogener Daten im Rahmen dieses AVV darf nur zu dem angegebenen Zweck erfolgen.

3.2. Der Zweck, der Umfang und die Art der Datenverarbeitung sind:

3.2.1. Erfassung relevanter Daten und deren Weiterleitung an Online-Video-Identifikationsdienstleister zur Videoidentifikation von Personen, die für Investoren des Kunden im Verhältnis zum Kunden auftreten;

3.2.2. (ggf.) elektronische Abwicklung der Vertragsunterzeichnung.

3.3. Kategorien von betroffenen Datenarten:

3.3.1. Potenzielle Investoren-/Kundendaten

3.3.2. Vertragsstammdaten

3.4. Arten von personenbezogenen Daten

3.4.1. Der Anbieter erhebt alle personenbezogenen Daten, die in den zur Verifizierung verwendeten Ausweisdokumenten enthalten sind. Im Rahmen des Verifizierungsprozesses werden auch weitere Daten verarbeitet, wie Bankverbindungen, E-Mail-Adressen und Telefonnummern. Der Umfang der vom Anbieter erhobenen Daten geht jedoch in der Regel nicht über den hier beschriebenen Umfang hinaus. ‍

3.5. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union, einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder einem Staat mit angemessenem Datenschutzniveau nach Art. 45 DSGVO, welches durch die Europäische Kommission festgestellt wird, statt. ‍

3.6. Der Anbieter darf eine internationale Übermittlung personenbezogener Daten in ein Land außerhalb des Europäischen Wirtschaftsraums nur in Übereinstimmung mit der DSGVO durchführen und muss in dem nach der DSGVO erforderlichen Umfang angemessene Schutzmaßnahmen ergreifen. ‍

4. Rechte, Pflichten und Weisungsbefugnis des Kunden

4.1. Der Kunde trägt die alleinige Verantwortung für die Beurteilung der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Einhaltung der Rechte der betroffenen Person gemäß Art. 12-22 der DSGVO. ‍

4.2. Der Kunde erteilt alle Aufträge, Teilaufträge und Anweisungen in Textform oder dokumentierter elektronischer Form. Mündliche Anweisungen sind unverzüglich in Textform oder dokumentierter elektronischer Form zu bestätigen.

4.3. Der Kunde ist berechtigt, regelmäßig und in angemessener Weise zu überprüfen, wie der Anbieter die technischen und organisatorischen Maßnahmen (TOM) sowie die in diesem Vertrag festgelegten Verpflichtungen erfüllt.

4.4. Stellt der Kunde bei der Überprüfung der Arbeitsergebnisse Fehler oder Unregelmäßigkeiten fest, hat er den Anbieter unverzüglich darüber zu informieren. ‍

4.5. Der Kunde ist verpflichtet, alle Geschäftsgeheimnisse, die ihm im Rahmen des Vertragsverhältnisses bekannt werden, vertraulich zu behandeln sowie die Datensicherheitsmaßnahmen vom Anbieter einzuhalten. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

5. Weisungsberechtigte Personen im Unternehmen des Kunden und Personen, die im Unternehmen des Anbieters Weisungen erhalten

5.1. Die Personen, die bei dem Anbieter Anweisungen erhalten, sind:

5.1.1. Organisatorische Einheit: Vestlane GmbH

5.1.2. Kommunikationskanäle, die für die Erteilung von Anweisungen genutzt werden: [email protected]

5.2. Bei Wechsel oder längerer Abwesenheit der Kontaktstelle benennen die Parteien unverzüglich einen Vertreter oder Nachfolger und unterrichten die andere Partei in Textform oder dokumentierter elektronischer Form über etwaige Änderungen. Die Anweisungen werden für ihre Dauer und anschließend für mindestens drei Kalenderjahre aufbewahrt.

6. Verpflichtungen des Anbieters

‍ 6.1. Der Anbieter benennt eine/n Datenschutzbeauftragte/n. Die (von Zeit zu Zeit aktualisierten) Kontaktdaten des/der Datenschutzbeauftragten werden auf der Website des Anbieters veröffentlicht.

6.2. Der Anbieter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Kunden, es sei denn, er ist aufgrund eines für den Anbieter geltenden Gesetzes der Union oder der Mitgliedstaaten zu einer gesonderten Datenverarbeitung verpflichtet (z.B. Ermittlungen nationaler Sicherheitsbehörden oder Strafverfolgungsbehörden); in einem solchen Fall wird der Anbieter den Kunden vor der Auftragsverarbeitung auf diese gesetzlichen Anforderungen hinweisen, sofern das geltende Recht eine solche Offenlegung nicht aus Gründen des öffentlichen Interesses und der öffentlichen Sicherheit verbietet (Art. 28 Abs. 3, S. 2, lit. a) der DSGVO). ‍ 6.3. Der Anbieter kooperiert mit dem Kunden im erforderlichen Umfang und unterstützt den Kunden, soweit möglich, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung von Betroffenenrechten im Sinne von Art. 12-22 DSGVO sowie bei der Erstellung von Verzeichnissen von Verarbeitungstätigkeiten und notwendigen Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 S. 2 lit. e) und f) DSGVO).

6.4. Verstößt eine vom Kunden erteilte Weisung nach Ansicht von dem Anbieter gegen gesetzliche Vorschriften, wird der Anbieter den Kunden unverzüglich informieren (Art. 28 Abs. 3 S. 3 DSGVO). Der Anbieter ist berechtigt, die Befolgung der jeweiligen Weisung einzustellen, bis der Kunde diese Weisung bestätigt oder ändert.

6.5. Verlangt der Kunde durch eine besondere Weisung die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung ihrer Verarbeitung und stehen dem keine berechtigten Interessen des Anbieters entgegen (z.B. Betrugsprävention), so wird der Anbieter diese Weisung ausführen.

6.6. Der Anbieter erklärt sich damit einverstanden, dass der Kunde (nach Beauftragung) befugt ist, die Einhaltung der Vorschriften über den Datenschutz und die Datensicherheit sowie der vertraglichen Vereinbarungen in angemessenem und erforderlichem Umfang selbst oder durch von ihm beauftragte Dritte zu überprüfen (Art. 28 Abs. 3 S. 2 lit. h) DSGVO).

6.7. Der Anbieter bestätigt, mit den Datenschutzbestimmungen der DSGVO vertraut zu sein, die für die Datenverarbeitung gelten, und die folgenden, dem Kunden obliegenden Geheimhaltungsregeln zu erfüllen:

6.7.1. Bankgeheimnis

6.7.2. Fernmeldegeheimnis ‍

6.8. Der Anbieter ist zur Geheimhaltung aller personenbezogenen Daten des Kunden, die im Rahmen dieses Vertrages verarbeitet werden, verpflichtet. Diese Vertraulichkeitsverpflichtung bleibt auch nach Beendigung des Vertrags in Kraft.

6.9. Der Anbieter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter vor der Datenverarbeitung über die Einhaltung aller einschlägigen Datenschutzbestimmungen belehrt und in geeigneter Weise zur Verschwiegenheit sowohl für die Dauer der Tätigkeit als auch nach Beendigung des Arbeitsverhältnisses verpflichtet werden (Art. 28 Abs. 3 S. 2 lit. b) und Art. 29 DSGVO). Der Anbieter überwacht die Einhaltung der datenschutzrechtlichen Bestimmungen.

7. Rechte der betroffenen Person

7.1. Der Anbieter kooperiert mit dem Kunden im erforderlichen Umfang und unterstützt den Kunden, soweit möglich, bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte der betroffenen Personen im Sinne von Art. 12-22 DSGVO (Art. 28 Abs. 3 S. 2 lit. e) und f) DSGVO). Entsprechende Anfragen sind zu richten an: [email protected]. ‍

7.2. Wendet sich eine betroffene Person bezüglich ihrer Betroffenenrechte wie Auskunft oder Löschung direkt an den Anbieter, so wird der Anbieter diese Anfragen unverzüglich an den Kunden weiterleiten, sofern sie ausschließlich an den Kunden gerichtet sind. Entsprechende Anfragen werden an den Datenschutzbeauftragten gemäß Ziffer 7 oben gerichtet. ‍

7.3. Der Anbieter darf Auskünfte über personenbezogene Daten aus dem Vertragsverhältnis an Dritte oder an die betroffene Person nur nach vorheriger Weisung oder Zustimmung des Kunden erteilen. ‍

8. Meldepflicht bei Störungen in der Verarbeitung oder Verletzung des Schutzes personenbezogener Daten

Der Anbieter wird den Kunden bei Störungen oder Verstößen gegen Datenschutzvorschriften oder vertragliche Verpflichtungen durch ihn oder seine Mitarbeiter sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten unverzüglich unterrichten. Dies gilt insbesondere für etwaige Meldepflichten des Kunden nach Art. 33 und Art. 34 DSGVO. Der Anbieter sichert zu, den Kunden bei der Erfüllung seiner Pflichten im erforderlichen Umfang im Sinne der Art. 33 und Art. 34 DSGVO unterstützen wird (Art. 28 Abs. 3 S. 2 lit. f) DSGVO). Meldungen für den Kunden im Sinne von Art. 33 oder 34 DSGVO können von dem Anbieter nur nach vorheriger Weisung gemäß Ziffer 5 dieser Vereinbarung versandt werden. ‍

9. Untervertragsverhältnisse mit Dienstleistern für Kernleistungen (Art. 28 Abs. 3 S. 2 lit. d) DSGVO)

9.1. Der Anbieter kann Dienstleister mit der Verarbeitung der Daten des Kunden beauftragen. Der Anbieter informiert den Kunden über eine Beauftragung eines Dienstleisters. Darüber hinaus stellt der Anbieter sicher, dass er bei der Auswahl von Dienstleistern insbesondere auf deren Eignung für die in Art. 32 DSGVO beschriebenen technischen und organisatorischen Maßnahmen achtet. ‍

9.2. Der Anbieter stellt vertraglich sicher, dass die zwischen dem Kunden und dem Anbieter vereinbarten Bestimmungen auch für Dienstleister gelten. Die Vorgaben in den Verträgen mit den Dienstleistern sind so genau und konkret zu bestimmen, dass die Verantwortlichkeiten von dem Anbieter und dem Dienstleister klar voneinander abgegrenzt werden können. Werden mehrere Dienstleister beauftragt, gilt dies auch für die Verantwortlichkeiten zwischen diesen Dienstleistern. ‍

9.3. Der Vertrag mit den Dienstleistern ist schriftlich zu schließen; er kann auch in elektronischer Form erfolgen (Art. 28 Abs. 4 und Abs. 9 DSGVO). ‍

9.4. Der Anbieter informiert den Kunden über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austauschs von Dienstleistern und gibt dem Kunden die Möglichkeit, solchen Änderungen zu widersprechen (Art. 28 Abs. 2 DSGVO). ‍

10. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 S. 2 lit. c) DSGVO)

10.1. Für die konkrete Verarbeitung ist ein bestimmtes Schutzniveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten der Personen (Betroffenen) angemessen ist. Zu diesem Zweck werden die in Art. 32 Abs. 1 DSGVO genannten Schutzzwecke wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit im Hinblick auf Art, Umfang, Umstände und Zweck der Datenverarbeitung so berücksichtigt, dass das Risiko durch geeignete technische und organisatorische Maßnahmen langfristig geringgehalten wird. Für eine ordnungsgemäße Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Risikobewertungsmethodologie angewandt, die die Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigt.

10.2. Das beschriebene Datenschutzkonzept gibt die Mindestanforderungen an die technischen und organisatorischen Maßnahmen (TOM) vor, die dem bewerteten Risiko entsprechen. Dabei werden die Schutzziele detailliert und nach dem Stand der Technik - insbesondere im Hinblick auf die IT-Systeme und Prozesse bei dem Anbieter - betrachtet. Das Konzept beschreibt auch Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM, um eine datenschutzkonforme Datenverarbeitung zu gewährleisten. ‍

10.3. Der Anbieter führt regelmäßig eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM durch, um die Sicherheit der Verarbeitung zu gewährleisten (Art. 32 Abs. 1 lit. d) DSGVO). ‍

11. Pflichten des Anbieters nach Abschluss der Bestellung (Art. 28 Abs. 3 S. 2 lit. g) DSGVO)

Nach Beendigung des Vertrages wird der Anbieter alle auftragsbezogenen Daten, Dokumente und Berichte, die im Rahmen der Datenverarbeitung entstanden sind und sich im Besitz des Anbieters oder seiner Dienstleister befinden, löschen oder dem Kunden zurückgeben, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaates schreibt die Speicherung der personenbezogenen Daten vor. ‍

12. Haftung

12.1. Beide Parteien haften gemäß Art. 82 DSGVO für Schäden, die durch einen Verstoß gegen diesen AVV oder die DSGVO verursacht werden. ‍

12.2. Sind gemäß Art. 82 Abs. 4 DSGVO beide Parteien für Ansprüche Betroffener oder Dritter verantwortlich, so haftet der Kunde allein für den Schaden, es sei denn, dass ein Teil des Gesamtschadens dem Anbieter zuzurechnen ist. Der Kunde trägt die Beweislast dafür, dass der Schaden nicht auf Umstände zurückzuführen ist, die er zu vertreten hat.

12.3. Etwaige Haftungsbeschränkungen in diesem AVV gelten nicht bei Vorsatz oder grober Fahrlässigkeit oder bei Schäden aus der Verletzung von Leben oder Körper.

12.4. Im Übrigen richtet sich die Haftung nach den AGB.

13. Verschiedenes

13.1. Alle Nebenabreden sind grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format zu treffen.

13.2. Wenn das Eigentum des Kunden oder die zu verarbeitenden personenbezogenen Daten durch Handlungen Dritter (z.B. durch Pfändung oder Beschlagnahme), durch ein Vergleichs- oder Insolvenzverfahren oder durch sonstige Ereignisse gefährdet sind, muss der Anbieter den Kunden unverzüglich darüber informieren.

13.3. Hinsichtlich der für den Kunden und den jeweiligen Datenträger verarbeiteten Daten ist die Einrede des Zurückbehaltungsrechts im Sinne des § 273 BGB ausgeschlossen. ‍

13.4. Änderungen und Ergänzungen dieses Addendums und aller seiner Bestandteile - einschließlich etwaiger Zusicherungen des Auftragsverarbeiters - erfolgen gemäß der DSGVO in Textform (einschließlich E-Mail), die auch in elektronischer Form erfolgen kann, und erfordern einen ausdrücklichen Hinweis darauf, dass diese Bedingungen geändert oder ergänzt wurden. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Die Parteien vereinbaren, dass Anpassungen dieses Addendums in einem elektronischen Format gemäß Art. 28 Abs. 9 DSGVO erfolgen können. ‍

13.5. Sollten die Daten des Verantwortlichen durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet sein, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren. Der Auftragsverarbeiter unterrichtet alle in diesem Zusammenhang Beteiligten unverzüglich darüber, dass das Eigentum an den Daten ausschließlich beim Verantwortlichen liegt. ‍

13.6. Es gilt das Recht der Bundesrepublik Deutschland. Das UN-Übereinkommen über Verträge über den internationalen Warenkauf (CISG) ist nicht anwendbar. Ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit diesem Addendum ist, soweit zulässig, Berlin. ‍

13.7. Sollte eine Bestimmung dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Bestimmungen des Vertrages nicht.


‍Vestlane GmbH

Datenschutzhinweise

1. Name/Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten

Diese Datenschutzhinweise gelten für die Datenverarbeitung durch folgenden Verantwortlichen: ‍

Vestlane GmbH

Kurfürstendamm 12, 10719 Berlin

E-Mail: [email protected]

2. Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck von deren Verwendung

Wir erheben bei Beauftragung folgende Kundendaten:

  • Anrede(n), Vorname(n), Nachname(n);
  • E-Mail-Adresse(n);
  • Anschrift(en);
  • Telefonnummer(en) (Festnetz, Mobilfunk).

Die Erhebung dieser Daten erfolgt:

  • um Sie als unseren Kunden identifizieren zu können;
  • um Ihnen unsere Leistungen angemessen anbieten zu können;
  • zwecks Korrespondenz mit Ihnen;
  • zwecks Rechnungsstellung;
  • zwecks Geltendmachung etwaiger Ansprüche gegen Sie.

Die Datenverarbeitung erfolgt auf Ihre Anfrage hin und ist nach Art. 6 Abs. 1 S. 1 lit. b DSGVO zu den genannten Zwecken für die angemessene Bearbeitung des Auftrags und für die beidseitige Erfüllung von Verpflichtungen aus dem Vertrag erforderlich. Die für die Beauftragung von uns erhobenen personenbezogenen Daten werden bis zum Ablauf der gesetzlichen Aufbewahrungspflicht gespeichert und danach gelöscht, es sei denn, dass wir nach Artikel 6 Abs. 1 S. 1 lit. c DSGVO zu einer längeren Speicherung verpflichtet sind oder Sie in eine darüber hinausgehende Speicherung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO eingewilligt haben.

3. Weitergabe von Daten an Dritte

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Soweit dies nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Erfüllung des Vertrages mit Ihnen erforderlich ist, werden Ihre personenbezogenen Daten an Dritte weitergegeben. Hierzu gehört insbesondere die Weitergabe an YPOG Partnerschaft von Rechtsanwälten und Steuerberatern PartG mbB Schnittker + Partner, sofern mit diesen Ihrerseits ein Vertragsverhältnis besteht. Auch gehört hierzu die gegebenenfalls erforderliche Weitergabe an Gerichte und andere öffentliche Behörden zum Zwecke der Korrespondenz. Die weitergegebenen Daten dürfen von dem Dritten ausschließlich zu den genannten Zwecken verwendet werden.

4. Betroffenenrechte

Sie haben das Recht:

  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen;
  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen; und
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder des Firmensitzes des Verantwortlichen wenden.

5. Widerspruchsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an [email protected].