Datenschutzerklärung der Tutao GmbH, Hannover
Stand : 26. September 2022
Allgemeines
Wir sind für den Schutz Ihrer personenbezogenen Daten verantwortlich und nehmen diese Verantwortung sehr ernst. Aus diesem Grund
- ist Tutanota basierend auf den Datenschutzgrundsätzen “Datenminimierung” und “Privacy by design” entwickelt worden,
- werden alle Daten der Benutzer*innen in Tutanota Ende-zu-Ende verschlüsselt gespeichert (mit Ausnahme von E-Mail-Adressen der Benutzer*innen sowie Absender- und Empfängeradressen von E-Mails),
- sind bei uns geeignete technische und organisatorische Maßnahmen im Einsatz, die Ihre Daten bestmöglich schützen,
- werden alle Daten in ISO 27001 zertifizierten Rechenzentren in Deutschland gespeichert.
Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie mit den für die Tutao GmbH geltenden landesspezifischen Datenschutzbestimmungen.
Für Ihre Fragen zum Thema Datenschutz stehen wir Ihnen jederzeit gern zur Verfügung. Per E-Mail können Sie uns wie folgt erreichen: hello@tutao.de .
Name und Anschrift des für die Verarbeitung Verantwortlichen
Tutao GmbH Deisterstr. 17a 30449 Hannover Deutschland
E-Mail-Adresse: hello@tutao.de
Datenschutzbeauftragter
Wir haben für unser Unternehmen einen betrieblichen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter: privacy@tutao.de
Personenbezogene Daten
Alle von uns verarbeiteten personenbezogenen Daten werden von uns sicher aufbewahrt und somit vor unberechtigten Zugriffen geschützt.
Zur Begründung eines Vertragsverhältnisses, und zur Leistungserbringung wird
- die neu registrierte E-Mail-Adresse
als Bestandsdatum erfasst.
Für die Rechnungsstellung und Bestimmung der Umsatzsteuer werden bei kostenpflichtigen Produktvarianten
- der Sitz des*der Kunden*Kundin (Land)
- der Name und die Rechnungsadresse (für private Nutzung optional)
- die USt-IdNr. (nur für geschäftliche Nutzung in bestimmten Ländern)
als Bestandsdaten erfasst.
Zur Abwicklung von Zahlungen werden, je nach gewählter Zahlungsart, die folgenden Zahlungsdaten (Bestandsdaten) erfasst:
- Bankverbindung (Kontonummer und BLZ bzw. IBAN/BIC, ggf. Bankname, Kontoinhaber*in),
- Kreditkartendaten,
- der PayPal-Nutzername.
Diese Bestandsdaten werden zur Erfüllung des Vertrages mit dem*der Kunden*Kundin nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO verarbeitet. Zur Abwicklung von Lastschriften geben wir Ihre Bankverbindung an das beauftragte Kreditinstitut weiter. Zur Abwicklung von PayPal-Zahlungen geben wir Ihre PayPal-Zahlungsdaten an PayPal (Europe) weiter.
- Adresse: PayPal (Europe) S.à r.l. et Cie, S.C.A.,22-24 Boulevard Royal, L-2449 Luxembourg
- Paypal Datenschutzerkärung
- Paypal Kontakt für Fragen zum Datenschutz
Zur Abwicklung von Kreditkartenzahlungen werden Ihre Kreditkartendaten zur Auftragsverarbeitung an unseren Zahlungsdienstleister Braintree weitergegeben. Hierbei handelt es sich um eine Übermittlung von personenbezogenen Daten an ein Drittland (USA). Ein mit Braintree geschlossener Vertrag sieht geeignete Garantien vor und stellt sicher, dass die weitergegebenen Daten nur im Einklang mit der DSGVO und lediglich zur Abwicklung von Zahlungen verwendet werden.
Tutanota stellt Dienste zur Speicherung, Bearbeitung, Darstellung und zum elektronischen Versand von Daten bereit, wie z.B. E-Mail-Service, Kontaktverwaltung und Datenablage. Diese Inhaltsdaten werden freiwillig in Tutanota von Benutzern*Benutzerinnen abgelegt. Beim Anlegen eines Tutanota-Accounts geben Sie uns die Einwilligung zu der Verarbeitung dieser Daten nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Alle textuellen Inhalte werden verschlüsselt für die Benutzer*innen und deren Kommunikationspartner*innen gespeichert, so dass die Tutao GmbH selbst keinen Zugriff auf diese Daten hat. Diese Daten können von den Benutzern*Benutzerinnen selbst gelöscht werden.
Zur Aufrechterhaltung des Mailserver-Betriebs, zur Fehlerdiagnose und zur Verhinderung von Missbrauch werden Mail-Server-Logs maximal 7 Tage gespeichert. Diese enthalten Sender- und Empfänger-E-Mail-Adressen sowie den Zeitpunkt der Verbindung, jedoch keine IP-Adressen der Benutzer*innen. Diese Speicherung erfolgt zur Wahrung der berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
Zur Sicherstellung des Betriebs, zur Verhinderung von Missbrauch und zur Besucherauswertung werden IP-Adressen der Benutzer*innen verarbeitet. Eine Speicherung erfolgt nur für anonymisierte und damit nicht mehr personenbezogene IP-Adressen. Diese Verarbeitung erfolgt zur Wahrung der berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO.
Mit Ausnahme der Zahlungsdaten werden wir Ihre personenbezogenen Daten inklusive der E-Mail-Adresse nicht an Dritte weitergeben. Jedoch können wir rechtlich verpflichtet werden Inhaltsdaten (bei Vorlage eines gültigen Gerichtsbeschlusses) sowie Bestandsdaten an Strafverfolgungsbehörden auszuliefern. Es erfolgt kein Verkauf von Daten.
Zeitraum der Datenspeicherung
Alle personenbezogenen Daten werden 30 Tage nach Beendigung des Vertragsverhältnisses gelöscht, sofern dem im Einzelfall nicht besondere Gründe entgegenstehen. Soweit Kunden*Kundinnen gegen die Höhe der in der Rechnung gestellten Leistungsentgelte Einwendungen erhoben haben, dürfen die Abrechnungsdaten gespeichert werden, bis die Einwendungen abschließend geklärt sind. Ferner können Bestandsdaten bis zum Ablauf von zwei Jahren gespeichert bleiben, sofern Beschwerdebearbeitungen sowie sonstige Gründe einer ordnungsgemäßen Abwicklung des Vertragsverhältnisses dies erfordern. Im Übrigen darf die Löschung von Bestands- und Abrechnungsdaten unterbleiben, soweit dies gesetzliche Regelungen vorsehen oder die Verfolgung von Ansprüchen dies erfordert. Auftragsbezogene Daten und die damit verbundenen Adressen werden mit Rücksicht auf steuer-, vertrags- und handelsrechtliche Aufbewahrungsfristen gespeichert und nach Ablauf dieser Fristen gelöscht.
Cookies
Wir verwenden keine Cookies.
Nutzungsstatistiken
Wir setzen technische Analyse-Möglichkeiten sehr sparsam ein und nur sofern Sie vorab eingewilligt haben und soweit dies für die Weiterentwicklung und Verbesserung von Tutanota erforderlich ist. Insbesondere verwenden wir keine Analyse-Tools wie Google Analytics oder sonstige Tools von Drittanbietern.
Unser Ziel ist es die Benutzeroberfläche und die Handhabung von Tutanota zu verbessern. Dafür ist es notwendig, die Stellen in Tutanota zu identifizieren, die noch nicht perfekt funktionieren.
Wenn Sie vorab eingewilligt haben, werden Ihre anonymisierten Nutzungsdaten zu unseren Servern gesendet. Dafür erzeugen und speichern wir eine zufällige ID auf Ihrem Gerät, die von allen auf diesem Gerät eingeloggten Accounts geteilt und zum Server mitgesendet wird, falls für die im Client verwendete Funktion eine Nutzungsstatistik durchgeführt wird. Die anonymisierten Nutzungsdaten werden so bei uns gespeichert, dass kein Rückschluss auf die Benutzer*innen gezogen werden kann. Die Nutzungsstatistik kann sich z.B. auf folgende Daten beziehen:
- Reihenfolge bestimmter Aktionen
- die Zeit, die für bestimmte Aktionen benötigt wird
- Stellen, an denen ein bestimmter Ablauf im Client abgebrochen wird
Für einzelne Nutzungsstatistiken können wir Sie im Anschluss um eine Bewertung der Funktionalität bitten, die optional an uns gesendet werden kann. Die Teilnahme an der Befragung ist freiwillig und erfolgt ebenfalls anonymisiert. Ein Rückschluss auf die teilnehmende Person ist nicht möglich.
Dritte haben keinen Zugriff auf die auf Ihrem Gerät gespeicherte zufällige ID.
Sie können Ihre Einwilligung zur Teilnahme an den anonymisierten Nutzungsstatistiken jederzeit widerrufen, in dem Sie diese Funktion in den Einstellungen Ihres Accounts ausschalten. Die auf Ihrem Gerät gespeicherte zufällige ID wird nur solange verwendet, wie Benutzer*innen des Geräts an der Erhebung von Nutzungsstatistiken teilnehmen.
Sie können die lokal auf Ihrem Gerät gespeicherte zufällige ID jederzeit selbst löschen, und zwar u.a. wie folgt:
- Im Web-Client (https://app.tuta.com): In den Einstellungen im Menü des Browsers durch Löschen der Daten der Webseite (z.B. “Clear browsing data” oder “Clear cookies and other site data”).
- Mobile Apps (Android/iOS): In den Einstellungen der App durch Löschen der gespeicherten Daten der App.
- Installierte Desktop-Clients: Im Dateisystem durch Löschen der gespeicherten Daten der Anwendung.
Die anonymisierten Nutzungsdaten können zu Forschungszwecken verwendet werden. Im Übrigen findet eine Weitergabe der Nutzungsdaten nicht statt.
Kampagnen-Analyse
Um Kampagnen mit Partnern und Werbekampagnen (z.B. Werbung über Google oder andere Suchmaschinen) auswerten zu können, speichern wir eine ID der Kampagne an Ihrem Tutanota-Account, wenn Sie über einen Kampagnen-Link zu Tutanota gelangen und einen Tutanota-Account registrieren. Um wiederkehrende Benutzer*innen einer Kampagne zuordnen zu können, speichern wir beim Besuch unserer Webseite über einen Kampagnen-Link einen kryptographischen Hash der IP-Adresse und des User Agent (beinhaltet Informationen über Browser und Betriebssystem der Benutzer*innen) zusammen mit der Kampagnen-ID ab. Falls Sie über eine Suchanfrage und eine Werbekampagne zu uns gelangen, speichern wir auch die Keywords und die Suchanfrage gemeinsam mit dem Hash und der Kampagnen-ID ab. Durch die Nutzung des Hashes kann nicht mehr auf die IP-Adresse oder den User Agent zurückgeschlossen werden. Die Keywords und die Suchanfrage werden nicht am Tutanota-Account gespeichert.
Der Hash und die gemeinsam damit gespeicherte Kampagnen-ID, Keywords und Suchanfrage werden nach 72 Stunden gelöscht. Über diesen Zeitraum von 72 Stunden hinaus werden zum Zwecke der Auswertung der Kampagne und bis zum Abschluss der Auswertung ausschließlich vollständig anonymisierte Kampagnen-Daten (einschließlich Keywords und Suchanfragen) ohne Verknüpfung zum Hash gespeichert und verarbeitet.
Soweit wir bei der Kampagnen-Analyse personenbezogen Daten verarbeiten, erfolgt dies auf der Grundlage von Art 6 Abs. 1 S. lit. f) DSGVO. Unser Interesse, Werbe-Kampagnen für die Verbesserung unserer Marketingaktivitäten auswerten zu können, stellt ein berechtigtes Interesse im Sinne von Art 6 Abs. 1 S. lit. f) DSGVO dar.
Rechte der betroffenen Person
Nach dem europäischen Datenschutzrecht haben Sie das Recht
- gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen;
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
- gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen und
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.
Widerspruchsrecht
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an: hello@tutao.de .
Kontaktmöglichkeit über die Internetseite
Wir bieten über unsere Internetseite die Möglichkeit per E-Mail oder über ein Kontaktformular mit uns in Kontakt zu treten. Die so freiwillig an uns übermittelten personenbezogenen Daten werden automatisch gespeichert und nur für Zwecke der Bearbeitung und der Kontaktaufnahme zur betroffenen Person verwendet. Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.