Diese Richtlinie beschreibt, welche personenbezogenen Daten People's Group im Zusammenhang mit People's Wallet verarbeitet, warum wir sie verarbeiten, wie wir sie schützen und welche Rechte Sie haben. Die Richtlinie deckt Besuche auf peopleswallet.ai und die Anmeldung zur Warteliste ab.
1 Wer wir sind
People's Wallet ist eine bürgerorientierte digitale Gesundheitsbank, bereitgestellt von People's Group, Teglværksvej 2, 5600 Faaborg, Dänemark (CVR 40930809).
Anfragen können gerichtet werden an:
- Allgemeiner Kontakt: support@peopleswallet.ai
- Datenschutz und Auskunftsersuchen: support@peopleswallet.ai
- Sicherheitsvorfälle: support@peopleswallet.ai
- CEO: Michael Hein
2 Rollen, Verantwortlicher und Auftragsverarbeiter
People's Group ist Verantwortlicher für die personenbezogenen Daten, die wir von Besuchern auf peopleswallet.ai und Personen auf der Warteliste verarbeiten: Kontaktformular, Support-Korrespondenz und technische Betriebsprotokolle.
Sobald People's Wallet für Nutzer freigegeben wird, werden Gesundheitsdaten unter einer separaten Nutzungsvereinbarung mit ausdrücklicher Einwilligung pro Datenkategorie und pro Empfänger verarbeitet. Wir aktualisieren diese Richtlinie, bevor das geschieht, und informieren bestehende Kontakte.
3 Welche Daten wir verarbeiten
Wir verarbeiten folgende Datenkategorien von Ihnen als Besucher oder Warteliste-Mitglied:
- Warteliste: Ihre E-Mail, Sprachpräferenz und Einwilligungsstatus.
- Technische Metadaten: Referrer, Zeitstempel, etwaige UTM-Parameter.
- Sitzungsdaten: anonymisierte Session-ID und Formular-Flusszeit (elapsed_ms) zum Bot-Schutz.
- Analytics (nur mit Einwilligung): anonymisierte Nutzungsdaten via Cookie-basiertem Tracking.
Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (DSGVO Art. 9), bevor wir das Produkt freigeben. Wenn Gesundheitsdaten einbezogen werden, geschieht dies unter einer separaten Nutzungsvereinbarung mit Art. 9-Rechtsgrundlage und granularer Einwilligung.
4 Zwecke und Rechtsgrundlage
Jede Datenkategorie wird zu einem bestimmten Zweck mit einer bestimmten Rechtsgrundlage verarbeitet:
- Warteliste, Zweck: Sie kontaktieren, wenn wir den Zugang öffnen, und Produktaktualisierungen senden. Rechtsgrundlage: Einwilligung (DSGVO Art. 6 Abs. 1 lit. a).
- Technische Metadaten und Sitzungsdaten, Zweck: Betriebssicherheit, Bot-Schutz und Dokumentation des Zugriffs. Rechtsgrundlage: berechtigtes Interesse (DSGVO Art. 6 Abs. 1 lit. f). Interessenabwägung: das Bedarf, Infrastruktur und Nutzer vor Missbrauch zu schützen, überwiegt das Interesse des einzelnen Besuchers an einer völlig fehlenden Protokollierung.
- Analytics, Zweck: Verbesserung der Website und ihrer Inhalte. Rechtsgrundlage: Einwilligung (DSGVO Art. 6 Abs. 1 lit. a).
5 KI und automatisierte Entscheidungen
Für Besucher auf peopleswallet.ai und Mitglieder der Warteliste findet keine automatisierte Entscheidungsfindung nach DSGVO Art. 22 statt. Anfragen werden manuell von unserem Team bearbeitet.
Sobald People's Wallet für Nutzer freigegeben wird, werden etwaige KI-Funktionen (z. B. Erklärungen von Testergebnissen) ausdrücklich opt-in sein, und wir werden die Klassifizierung nach dem EU AI Act (Verordnung (EU) 2024/1689) in der separaten Nutzungsvereinbarung dokumentieren. People's Wallet wird EU AI Act-aligned sein.
6 Kein Training mit Ihren Daten
Ihre Daten werden nie zum Trainieren, Fine-Tunen oder Optimieren von KI-Modellen verwendet, weder in identifizierbarer, anonymisierter noch aggregierter Form. Wenn KI-Funktionen im Produkt freigegeben werden, laufen sie im Inference-only-Modus.
Ihre Daten werden nicht an externe KI-APIs gesendet, auch nicht an OpenAI, Anthropic, Google oder andere Drittanbieter.
7 Speicherung und Löschung
Wir speichern Daten nur so lange, wie es für den Zweck, zu dem sie erhoben wurden, erforderlich ist:
| Datenkategorie | Speicherdauer |
|---|---|
| Warteliste (E-Mail + Einwilligung) | Bis Sie sich abmelden oder spätestens 24 Monate nach unserer letzten Aktualisierung an Sie |
| Technische Betriebsprotokolle | 185 Tage |
| Analytics-Daten | Löschung bei Widerruf der Einwilligung oder spätestens nach 26 Monaten |
| Verschlüsselte Backups | In den obigen Zeiträumen enthalten; Löschanfragen werden auf wiederhergestellte Backups erneut angewandt |
Die Löschung ist nach Ablauf der Aufbewahrungsfrist technisch unwiderruflich. Anfragen zu früherer Löschung können an support@peopleswallet.ai gerichtet werden.
8 Unterauftragsverarbeiter
Wir setzen Unterauftragsverarbeiter in folgenden Kategorien ein:
- Cloud-Hosting von peopleswallet.ai in EU-Region (Frankfurt).
- Formularverarbeitung über unsere eigene Plattform in EU-Region.
Eine aktuelle Liste der konkreten Unterauftragsverarbeiter kann unter support@peopleswallet.ai angefordert werden.
9 Datenstandort
peopleswallet.ai wird in EU-Region (Frankfurt) gehostet. Daten aus der Warteliste werden über EU-gehostete Infrastruktur verarbeitet und verlassen die EU nicht.
Sobald das Produkt freigegeben wird und Gesundheitsdaten einbezogen werden, wird der Standort in der separaten Nutzungsvereinbarung spezifiziert - mit demselben EU-only-Prinzip.
10 Übermittlungen außerhalb der EU/EWR
Keine Übermittlungen personenbezogener Daten außerhalb der EU/EWR. Daten aus der Warteliste und Kontaktanfragen werden ausschließlich in EU-gehosteter Infrastruktur verarbeitet.
Für das Hosting der Website nutzen wir einen Anbieter mit primärer Geschäftstätigkeit außerhalb der EU, das Hosting erfolgt jedoch in der EU-Region. Es kann theoretisch zu einer Übermittlung von Betriebsmetadaten (nicht Formulardaten) in die USA über die globale Infrastruktur des Anbieters kommen. Eine solche Übermittlung ist durch EU-Standardvertragsklauseln (SCC) abgedeckt.
11 Technische und organisatorische Sicherheitsmaßnahmen
Wir haben die nach DSGVO Art. 32 dem Risiko angemessenen Maßnahmen getroffen, einschließlich besonders strenger Anforderungen für regulierte Branchen:
Verschlüsselung:
- Bei der Übertragung: TLS 1.2 oder neuer auf gesamtem Netzwerkverkehr.
- Im Ruhezustand: Vollverschlüsselung der Festplatten auf Datenbankservern.
- Backups: AES-256-Verschlüsselung auf separatem EU-Speicher.
Zugriffskontrolle:
- Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der geringsten Rechte.
- MFA/TOTP erforderlich für jeden privilegierten Zugriff.
- VPN erforderlich für administrativen Zugriff auf Produktion.
- Vier-Augen-Prinzip bei Produktionsänderungen.
Überwachung und Integrität:
- File Integrity Monitoring auf Produktionsknoten.
- Zentral erfasste Systemprotokolle.
- SHA-256-Hashing kritischer Transaktionsprotokolle (immutable Audit Trail).
Organisatorisch:
- Personal hat grundsätzlich keinen Zugriff auf personenbezogene Daten. Zugriffe in konkreten Support-Situationen werden dokumentiert.
- Verschwiegenheitserklärungen für alle Mitarbeitenden mit Zugriff auf die Produktionsumgebung.
- Regelmäßige Sicherheitsschulungen.
12 Audit und Zertifizierung
Unsere Kontrollen werden laufend nach anerkannten Standards geprüft. Der aktuelle Audit-Status ist auf Anfrage verfügbar.
13 Ihre Rechte
Sie haben nach der DSGVO folgende Rechte in Bezug auf die Daten, die wir über Sie verarbeiten:
- Auskunft (Art. 15): Bestätigung, ob wir Daten über Sie verarbeiten, sowie eine Kopie der Daten.
- Berichtigung (Art. 16): Berichtigung unrichtiger Daten.
- Löschung (Art. 17): Löschung ohne unangemessene Verzögerung, wenn die Voraussetzungen nach Art. 17 Abs. 1 erfüllt sind.
- Einschränkung (Art. 18): Einschränkung unserer Verarbeitung in bestimmten Situationen.
- Datenübertragbarkeit (Art. 20): Erhalt der Daten in strukturiertem, gängigem und maschinenlesbarem Format.
- Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses.
- Widerruf der Einwilligung (Art. 7 Abs. 3): Wenn die Verarbeitung auf Einwilligung beruht, kann die Einwilligung mit Wirkung für die Zukunft widerrufen werden.
So nehmen Sie Ihre Rechte wahr: Kontaktieren Sie support@peopleswallet.ai.
Wir antworten innerhalb von 30 Tagen, vgl. DSGVO Art. 12 Abs. 3. Komplexe Anfragen können mit begründeter Mitteilung innerhalb derselben Frist um bis zu zwei Monate verlängert werden. Wir erheben keine Gebühr, es sei denn, die Anfrage ist offenkundig unbegründet oder exzessiv (Art. 12 Abs. 5).
14 Sicherheitsverletzungen
Wenn eine Verletzung des Schutzes personenbezogener Daten auftritt:
- Die dänische Datenschutzbehörde (Datatilsynet) wird innerhalb von 72 Stunden nach Feststellung benachrichtigt, vgl. DSGVO Art. 33.
- Betroffene Personen werden nach Art. 34 benachrichtigt, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt - internes Ziel ist der Tag der Feststellung.
- Wir veröffentlichen ein öffentliches Post-mortem innerhalb von 14 Tagen.
Sicherheitsvorfälle können an support@peopleswallet.ai gemeldet werden.
15 Cookies und Website-Tracking
peopleswallet.ai nutzt derzeit ausschließlich unbedingt erforderliche Cookies (Session-ID und Sprachpräferenz). Wir setzen kein Marketing-Tracking, kein Fingerprinting und kein Cross-Site-Tracking ein.
Bei künftigem Einsatz von Analytics- oder Marketing-Cookies wird die Einwilligung über ein Cookie-Banner eingeholt, bevor solche Cookies gesetzt werden. Die Einwilligung kann jederzeit über „Cookie-Einstellungen“ am Seitenende widerrufen werden.
16 Beschwerde bei der Datenschutzbehörde
Sie können bei der dänischen Datenschutzbehörde (Datatilsynet) Beschwerde einlegen, wenn Sie der Ansicht sind, dass unsere Verarbeitung Ihrer Daten gegen die Datenschutzbestimmungen verstößt:
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Dänemark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk
Sie müssen sich nicht zuerst an uns wenden, wir bitten Sie aber, uns die Möglichkeit zu geben, eine Lösung zu finden, bevor Sie Beschwerde einlegen.
17 Änderungen an dieser Richtlinie
Wesentliche Änderungen werden registrierten Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Geringfügige Änderungen (Präzisierungen, aktualisierte Kontaktinformationen) können ohne gesonderte Ankündigung veröffentlicht werden.
Frühere Versionen können unter support@peopleswallet.ai angefordert werden.