Verantwortlicher
Die Conbool GmbH (nachfolgend „wir“ oder „uns“) ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten (nachfolgend „Daten“) im Zusammenhang mit dem Betrieb unserer Website, der Bearbeitung von Kontaktanfragen, Vertriebs-/Vertragskommunikation sowie der Verwaltung von Kundenkonten und Abrechnungsprozessen.
Soweit wir im Rahmen unserer Produkte (z. B. E-Mail Security Gateway, SecureMail, MailGuard, Disclaimer/Signature Manager, Nachrichtenportal und Outlook Add-in) personenbezogene Daten im Auftrag eines Unternehmenskunden verarbeiten, handeln wir in der Regel als Auftragsverarbeiter gemäß Art. 28 DSGVO. In diesen Fällen ist der jeweilige Unternehmenskunde Verantwortlicher; die Einzelheiten regelt unsere Auftragsverarbeitungsvereinbarung (AVV).

Kontakt
Conbool GmbH
Berlepschweg 11
21079 Hamburg
Deutschland

Über das Kontaktformular können Sie uns erreichen.

Datenschutzbeauftragter
Datenschutzbeauftragte/r
Conbool GmbH
Berlepschweg 11
21079 Hamburg
Deutschland

Für die Wahrnehmung Ihrer gesetzlichen Rechte oder bei allgemeinen Fragen zum Datenschutz können Sie uns jederzeit unter info@conbool.com erreichen. Über diese E-Mail-Adresse stehen Ihnen sowohl unsere Datenschutzfachleute als auch unser/e Datenschutzbeauftragte/r zur Verfügung. Möchten Sie ausschließlich den/die Datenschutzbeauftragte/n kontaktieren, können Sie dies auch schriftlich über die oben genannte Postadresse tun.

Rollenverteilung (Website/Vertrieb vs. Produktverarbeitung im Auftrag)
Wir unterscheiden bei der Datenverarbeitung zwei Bereiche:

1. Website, Vertrieb, Vertragsabwicklung und Support-Organisation: In diesen Fällen sind wir Verantwortlicher nach DSGVO.
2. Produktverarbeitung im Auftrag unserer Unternehmenskunden: Bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung unserer Produkte durch Unternehmenskunden handeln wir in der Regel als Auftragsverarbeiter. Verantwortlicher ist der jeweilige Unternehmenskunde. Umfang, Zwecke, Kategorien und Unterauftragnehmer sind in unserer AVV geregelt.

1. Art und Zweck der Datenverarbeitung
Die Verarbeitung personenbezogener Daten durch die Conbool GmbH erfolgt ausschließlich im Rahmen der geltenden Datenschutzgesetze, insbesondere der DSGVO. Die Zwecke und Arten der Verarbeitung richten sich nach den von uns bereitgestellten Diensten sowie den Anforderungen unserer Kunden.

1.1 Besuch der Website
Wir verarbeiten die folgenden Arten Ihrer personenbezogenen Daten, wenn Sie unsere Website besuchen:
IP-Adresse, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Webseite, Webseite, von der aus der Zugriff erfolgt (Referrer-URL), verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie den Namen Ihres Access-Providers.

Wir verarbeiten diese Daten zu den folgenden Zwecken:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
• Gewährleistung einer komfortablen Nutzung unserer Website,
• Auswertung der Systemsicherheit und -stabilität sowie
• zu weiteren administrativen Zwecken.

Wir stützen diese Datenverarbeitung auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Die Datenverarbeitungen zu den genannten Zwecken sind erforderlich, damit Sie unsere Website störungsfrei nutzen können.

1.2 Kontaktformulare und E-Mail-Kontakt
Wir verarbeiten die folgenden Arten Ihrer personenbezogenen Daten, wenn Sie unsere Kontaktformulare nutzen oder uns via E-Mail kontaktieren:

• Name
• Firma
• Zeitstempel
• E-Mail-Adresse
• Inhalt Ihrer Anfrage

Wir verarbeiten die Daten, die Sie in Ihrem Kontaktformular angeben, um Ihre Anfrage zu beantworten. Diese Verarbeitung Ihrer Daten stützen wir auf unser berechtigtes Interesse, Ihre Anfragen zu beantworten (Art. 6 Abs. 1 lit. f DSGVO). Wir bewahren die im Rahmen des Kontaktformulars erhobenen Daten nur so lange auf, wie es für die Bearbeitung Ihrer Anfrage notwendig ist. Sobald der Zweck erfüllt ist, werden diese Informationen von uns gelöscht. Sollten rechtliche Vorgaben eine längere Aufbewahrung erfordern, beschränken wir die Verarbeitung auf das gesetzlich vorgeschriebene Minimum und löschen die Daten nach Ablauf der Aufbewahrungsfrist.

Wir verarbeiten Ihre Daten auch, um Sie über unsere Produkte und Dienstleistungen zu informieren. Die Produkt-/Dienstleistungsinformation über das Telefon stützen wir auf Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Erhebung von Informationen via E-Mail stützen wir grundsätzlich ebenfalls auf Ihre Einwilligung. Wenn Sie vergleichbare Produkte oder Dienstleistungen bereits bei uns erworben haben, stützen wir die Erhebung entsprechender Informationen auf unser berechtigtes Interesse (§ 7 Abs. 3 UWG, Art. 6 Abs. 1 lit. f DSGVO). Sie können dieser Produkt- oder Dienstleistungsinformation jedoch jederzeit widersprechen. In jeder Informations-E-Mail senden wir Ihnen einen Link, über den Sie der weiteren Datenverarbeitung zu Zusendung von Informationen widersprechen können.

1.3 Bereitstellung der Dienste
Im Rahmen der Bereitstellung unseres E-Mail Security Gateways verarbeiten wir personenbezogene Daten, um die Sicherheit und Integrität der E-Mail-Kommunikation unserer Kunden zu gewährleisten und damit unsere Leistungen zu erfüllen. Dies umfasst: Absender- und Empfängerinformationen, Betreffzeilen, Zeitstempel und weitere Metadaten. Der Anbieter hat keinen direkten Zugriff auf Inhalte von E-Mails; diese werden ausschließlich im Stream verarbeitet.

Um unseren Kunden einen effizienten Support zu bieten, verarbeiten wir folgende Daten im Zusammenhang mit Anfragen:
Name, E-Mail-Adresse, Telefonnummer, Zeitstempel sowie weitere Informationen, die im Rahmen einer Support-Anfrage bereitgestellt werden. Je nach Anwendungsfall auch temporärer Zugriff auf Metadaten (z. B. Absender, Empfänger, Zeitstempel) mit ausdrücklicher Zustimmung des Kunden zur Diagnose technischer Probleme oder zur Behebung von Störungen.

Ebenso werden die bei der Kundenkontoerstellung angegebenen Daten verarbeitet. Die spezifischen Daten, die für die Erstellung eines Kontos erforderlich sind, sind im Eingabeformular auf unserer Website angegeben. Sie enthalten Name, Unternehmensname, E-Mail sowie Telefonnummer.

Zur Sicherstellung der Sicherheit und Verfügbarkeit unserer Dienste führen wir Protokolle über sicherheitsrelevante Ereignisse:
Dazu gehören z. B. Login-Versuche, Änderungen an Benutzerkonten oder Systemfehler. Diese Logs dienen ausschließlich der Fehlerbehebung und Sicherheitsüberwachung.

Wir stützen uns dabei auf die Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Soweit wir Daten im Auftrag eines Unternehmenskunden verarbeiten, erfolgt dies auf Grundlage der AVV (Art. 28 DSGVO) und der dokumentierten Weisungen des Verantwortlichen.

1.3.1 Disclaimer/Signature Manager (Vorlagen, Regeln, Assets)
Sofern unsere Unternehmenskunden den Disclaimer/Signature Manager nutzen, verarbeiten wir – abhängig von der kundenseitigen Konfiguration – zusätzlich folgende Datenkategorien zur Bereitstellung der Funktion:

• Vorlagen-/Konfigurationsdaten: Signatur-/Disclaimer-Vorlagen (HTML/Text), Sprachen, Versionen, Template-IDs, Routing-/Regelkonfigurationen, Ausnahmen.
• Platzhalter-/Verzeichnisdaten: z. B. Name, geschäftliche Kontaktdaten, Organisationseinheit, Rolle, Standort, soweit diese Daten vom Kunden bereitgestellt oder angebunden werden.
• Assets: z. B. Logos/Bilder/Dateien einschließlich technischer Metadaten (Dateiname, Größe), die in Vorlagen eingebunden werden.
  Die Verarbeitung erfolgt ausschließlich, um die vom Kunden definierten Signaturen/Disclaimer zu rendern und auszuliefern.

1.3.2 Outlook Add-in (clientseitige Signatur-Einfügung)
Sofern unsere Unternehmenskunden das Outlook Add-in einsetzen, kann das Add-in – abhängig von der Konfiguration – auf Daten aus dem E-Mail-Entwurf zugreifen, um Signaturen/Disclaimer korrekt darzustellen oder einzufügen. Dazu können insbesondere zählen: Absenderkonto, Empfänger, Betreff, Sprache/Locale sowie Inhalte des Entwurfs (Body) in dem Umfang, der für die Einfügung technisch erforderlich ist.
Wir gestalten die Verarbeitung nach dem Grundsatz der Datenminimierung. Protokolle zur Fehlerbehebung/Sicherheitsüberwachung enthalten grundsätzlich keine E-Mail-Inhalte.

1.4 Cookies und Website-Daten
Die Conbool GmbH verwendet Cookies und ähnliche Technologien, um die Funktionalität der Website zu verbessern, das Nutzererlebnis zu optimieren und bestimmte Dienste bereitzustellen. Dabei halten wir uns an die Vorgaben der DSGVO sowie des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz).

Es werden ausschließlich technisch notwendige Cookies verwendet. Diese Cookies sind erforderlich, damit die Website ordnungsgemäß funktioniert (z. B. für Login-Funktionen oder Warenkörbe). Sie werden ohne Ihre Einwilligung gesetzt, da sie für die Bereitstellung unserer Dienste technisch notwendig sind.

Arten von Cookies:

• Session-Cookies: Temporäre Cookies, die während Ihres Besuchs gespeichert werden und nach Schließen des Browsers automatisch gelöscht werden.
• Persistent-Cookies: Langfristige Cookies, die auf Ihrem Gerät gespeichert bleiben, um Ihre Präferenzen oder Einstellungen für zukünftige Besuche wiederherzustellen.

Konkret werden folgende Cookies eingesetzt:

Essenzielle Cookies:

• csrfSecret: Wird aus Sicherheitsgründen verwendet, um Cross-Site-Request-Forgery (CSRF)-Angriffe zu verhindern.
• lang: Speichert Ihre Spracheinstellung während der Sitzung, damit die Website in Ihrer bevorzugten Sprache angezeigt wird.
• Sitzungs-Cookies: Erforderlich für die Benutzerauthentifizierung und Sitzungsverwaltung.

Präferenz-Cookies

• theme: Speichert Ihren bevorzugten Anzeigemodus (Dunkel- oder Hellmodus). Dieses Cookie wird nur erstellt, wenn Sie die Theme-Einstellungen aktiv ändern.

Cookies von Drittanbietern

• Stripe-Cookies (__stripe_mid): Werden für die Zahlungsabwicklung und Betrugsprävention verwendet. Diese Cookies werden nur gesetzt, wenn Sie eine Zahlungsaktion durchführen.

Speicherdauer von Cookies

• Sitzungs-Cookies werden gelöscht, wenn Sie Ihren Browser schließen.
• Präferenz-Cookies (z. B. theme) werden bis zu 1 Jahr gespeichert.
• Stripe-Cookies folgen der Aufbewahrungsrichtlinie von Stripe, wie in deren Cookie-Richtlinie beschrieben.

Verwaltung von Cookies
Sie können Cookies über Ihre Browsereinstellungen verwalten oder löschen. Bitte beachten Sie, dass das Deaktivieren essenzieller Cookies die Funktionalität unserer Website beeinträchtigen kann.

Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) sowie § 25 Abs. 2 TTDSG, da diese für den Betrieb der Website unerlässlich sind.

2. Speicherung und Löschung von Daten
Die Conbool GmbH speichert personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben. Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht.

2.1 Speicherdauer nach Datenkategorie

• Vertragsdaten
  • Vertragsbezogene Daten (z. B. Rechnungen, Kundenverträge) werden für die Dauer des Vertragsverhältnisses gespeichert.
  • Nach Beendigung des Vertragsverhältnisses erfolgt eine weitere Speicherung gemäß den gesetzlichen Aufbewahrungsfristen:
    • 6 Jahre für handelsrechtlich relevante Dokumente (§ 257 HGB).
    • 10 Jahre für steuerrechtlich relevante Unterlagen (§ 147 AO).
• E-Mail-Metadaten & Logs
  • Metadaten & Logs wie Absender, Empfänger, Betreffzeilen und Zeitstempel werden für einen Zeitraum von bis zu 90 Tagen gespeichert.
  • Zweck: Analyse und Behebung technischer Probleme sowie Sicherstellung der Funktionsfähigkeit des E-Mail Security Gateways.
• Inhaltsdaten
  • E-Mail-Inhalte (z. B. Textinhalte, Anhänge) werden nur temporär und maschinell verarbeitet und bis zur endgültigen Zustellung oder Löschung durch den Kunden gespeichert.
  • Nach Abschluss der Verarbeitung werden diese Daten automatisch gelöscht.
• Vorlagen-/Konfigurationsdaten (Templates, Regeln, Routing)
  • Speicherung für die Dauer der Vertragslaufzeit bzw. bis zur Löschung durch den Kunden; nach Vertragsende Löschung oder Rückgabe gemäß AVV.
• Assets (z. B. Logos/Bilder)
  • Speicherung für die Dauer der Vertragslaufzeit bzw. bis zur Löschung durch den Kunden; nach Vertragsende Löschung oder Rückgabe gemäß AVV.
• Add-in technische Ereignisdaten (z. B. Fehlermeldungen/Statuscodes)
  • Speicherung ausschließlich zur Fehlerbehebung und Sicherheitsüberwachung, grundsätzlich bis zu 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Cookies
  • Session-Cookies: Diese Cookies werden nur während der Nutzung unserer Website gespeichert und nach Schließen des Browsers automatisch gelöscht.
  • Persistent-Cookies: Diese Cookies bleiben für einen längeren Zeitraum gespeichert, um Einstellungen oder Präferenzen wiederherzustellen.

2.2 Löschung
Nach Ablauf der jeweiligen Speicherdauer werden personenbezogene Daten entweder vollständig gelöscht oder anonymisiert.

3. Weitergabe an Dritte

3.1 Subunternehmer
Zur Erfüllung unserer Leistungen setzen wir folgende Subunternehmer ein:

• IONOS SE
  • Leistung: Cloud-Infrastruktur für den Betrieb unserer Dienste.
  • Leistungsstandort: Deutschland (EU).
  • Besonderheiten: Hosting in ISO 27001-zertifizierten Rechenzentren mit strengen Sicherheitsvorkehrungen.
• Supabase Inc.
  • Leistung: Datenbankdienste mit Speicherung in der EU.
  • Leistungsstandort: Deutschland (EU).
  • Besonderheiten: Ein Auftragsverarbeitungsvertrag wurde geschlossen und eine DSGVO-konforme Verarbeitung wird gewährleistet.

3.2 Drittstaatentransfers
Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union (Drittländer) erfolgt grundsätzlich nicht. Soweit eine Drittlandübermittlung im Einzelfall zur Leistungserbringung technisch oder organisatorisch erforderlich sein sollte (z. B. im Rahmen von Support-/Wartungsfällen oder durch eingesetzte Dienstleister), stellen wir sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt werden (z. B. EU-Standardvertragsklauseln) und dass die Verarbeitung auf das erforderliche Maß beschränkt bleibt. Weitere Details ergeben sich aus der AVV bzw. der dort aufgeführten Unterauftragnehmerliste.

3.3 Rechtsgrundlage für die Weitergabe

• Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrags (z. B. Bereitstellung des E-Mail Security Gateways).
• Art. 6 Abs. 1 lit. f DSGVO: Wahrung berechtigter Interessen, insbesondere zur Sicherstellung eines sicheren Betriebs und zur Bearbeitung von Support-Anfragen.

3.4 Transparenz und Kontrolle
Wir stellen sicher, dass alle eingesetzten Subunternehmer vertraglich verpflichtet sind, die Anforderungen der DSGVO einzuhalten und personenbezogene Daten ausschließlich im Rahmen unserer Weisungen zu verarbeiten.

Hinweis zu Drittplattformen (z. B. Microsoft 365/Outlook)
Sofern Unternehmenskunden das Outlook Add-in einsetzen, erfolgt die Ausführung des Add-ins innerhalb der Microsoft-Plattform (Outlook/Office). Die Datenverarbeitung innerhalb dieser Plattform erfolgt im Verantwortungsbereich des jeweiligen Unternehmenskunden und nach den Bedingungen des Plattformanbieters. Wir erhalten hierbei nur diejenigen Daten, die für die Bereitstellung unserer Dienste erforderlich sind und die uns durch den Kunden bzw. durch das Add-in übermittelt werden.

4. Rechte der betroffenen Personen
Betroffene Personen haben gemäß der Datenschutz-Grundverordnung (DSGVO) verschiedene Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten. Diese Rechte gewährleisten Transparenz und Kontrolle über die eigenen Daten.

4.1 Übersicht der Rechte

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Zudem können Sie Auskunft über die verarbeiteten Daten sowie weitere Informationen, wie die Verarbeitungszwecke und Empfänger der Daten, erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen.
• Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine rechtlichen Gründe für deren weitere Verarbeitung bestehen (z. B. gesetzliche Aufbewahrungspflichten).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn bestimmte Bedingungen erfüllt sind:
  • die Richtigkeit der Daten bestritten wird;
  • die Verarbeitung unrechtmäßig ist, Sie aber keine Löschung wünschen;
  • wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen; oder
  • Sie Widerspruch gegen die Verarbeitung eingelegt haben und noch geprüft wird, ob unsere berechtigten Interessen überwiegen.
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen, wenn diese auf Grundlage eines berechtigten Interesses erfolgt (Art. 6 Abs. 1 lit. f DSGVO). Dies gilt insbesondere für Direktwerbung.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder diese an einen anderen Verantwortlichen übertragen zu lassen.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Wenn die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei einer zuständigen Aufsichtsbehörde einzulegen.

Wir werden keine automatisierten Entscheidungen auf Grundlage Ihrer personenbezogenen Daten treffen.

4.2 Ausübung der Rechte

• Kontaktmöglichkeiten: Zur Wahrnehmung Ihrer Rechte können Sie uns jederzeit unter den oben genannten Kontaktdaten kontaktieren.
• Identitätsprüfung: Um Ihre Anfrage zu bearbeiten und sicherzustellen, dass Ihre personenbezogenen Daten nicht an unbefugte Dritte weitergegeben werden, behalten wir uns vor, Ihre Identität zu überprüfen (z. B. durch Vorlage eines geeigneten Identitätsnachweises).
• Bearbeitungsfrist: Wir werden Ihre Anfrage unverzüglich und spätestens innerhalb eines Monats nach Eingang beantworten (Art. 12 Abs. 3 DSGVO). Sollte eine Anfrage besonders komplex sein, kann diese Frist um zwei weitere Monate verlängert werden; in diesem Fall werden wir Sie rechtzeitig informieren.
• Kosten: Die Ausübung Ihrer Rechte ist grundsätzlich kostenlos. Sollten Anfragen jedoch offensichtlich unbegründet oder exzessiv sein, behalten wir uns vor, ein angemessenes Entgelt zu erheben oder die Bearbeitung abzulehnen (Art. 12 Abs. 5 DSGVO).
• Hinweis bei Auftragsverarbeitung: Soweit personenbezogene Daten im Rahmen der Nutzung unserer Produkte durch einen Unternehmenskunden verarbeitet werden, ist in der Regel der Unternehmenskunde Verantwortlicher. Betroffene Personen wenden sich zur Ausübung ihrer Rechte bitte zunächst an den jeweiligen Unternehmenskunden. Wir unterstützen den Verantwortlichen bei der Bearbeitung von Betroffenenanfragen im Rahmen der AVV.

5. Änderungen dieser Datenschutzerklärung
Wir behalten uns das Recht vor, diese Datenschutzerklärung bei Bedarf anzupassen, z. B. um Änderungen an unseren Diensten oder rechtliche Anforderungen zu berücksichtigen. Über wesentliche Änderungen informieren wir Sie rechtzeitig per E-Mail oder durch einen Hinweis auf unserer Website.