Die HELLO SAFE, SAS (nachfolgend „HelloSafe“, „wir“) misst dem Schutz Ihrer personenbezogenen Daten besondere Bedeutung bei. HelloSafe ist ein unabhängiger Marktplatz für Reiseversicherungen und kein Versicherer. Diese Erklärung beschreibt, wie wir Ihre Daten im Rahmen des HelloSafe-Partnerprogramms verarbeiten. Sie gilt für Deutschland und richtet sich nach der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG).
1. Verantwortliche Stelle
Verantwortliche Stelle im Sinne der DSGVO ist HELLO SAFE, deren Kontaktdaten Sie in unserem Impressum finden.
2. Verarbeitete Daten und Zwecke
Wir verarbeiten folgende Datenkategorien:
- Registrierungsdaten (E-Mail, Name, gehashtes Passwort, Firma, Website, Reichweite, Land): zur Einrichtung und Verwaltung Ihres Partnerkontos. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Profildaten (Logo, Slogan, Persona): zur Personalisierung Ihres Bereichs und der Coach-Auswertung. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Affiliate-Tracking-Daten (gehashte IP, User-Agent, Referrer, ungefähres Land): zur Messung der Klicks auf Ihre Tracking-Links. IP-Adressen werden niemals im Klartext gespeichert, sondern ausschließlich als gesalzener SHA-256-Hash. Rechtsgrundlage: berechtigtes Interesse an der Messung der Programmaktivität (Art. 6 Abs. 1 lit. f DSGVO).
- Conversion-Daten (Betrag, Provision, externe Bestellkennung, Status): zur Berechnung Ihrer Provisionen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Coach-Auswertungsdaten (Kundenreferenz, Altersgruppe, Reiseziel usw.): zur Erstellung der Deckungsanalysen, die Sie Ihren Kundinnen und Kunden aushändigen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
3. Auftragsverarbeiter
Wir setzen die folgenden Auftragsverarbeiter ein, die vertraglich zur Einhaltung der DSGVO verpflichtet sind:
- Cloudflare, Inc. (USA): Hosting, CDN und Ausführung serverloser Funktionen. Die Übermittlung in ein Drittland ist durch die EU-Standardvertragsklauseln abgesichert.
- Supabase, Inc. (USA; Datenbank und Authentifizierung in der Europäischen Union gehostet): PostgreSQL-Datenbank, Kontoverwaltung und Authentifizierung.
- Resend Inc. (USA): transaktionale E-Mails. Die Übermittlung in ein Drittland ist durch die EU-Standardvertragsklauseln abgesichert.
- Google LLC (USA): optionale Authentifizierung über OAuth 2.0 (nur wenn Sie „Mit Google anmelden“ wählen). Die Übermittlung in ein Drittland ist durch die EU-Standardvertragsklauseln abgesichert.
- PostHog : Produktanalyse, ohne Drittanbieter-Cookies konfiguriert; es findet keine Sitzungsaufzeichnung statt.
4. Speicherfristen
- Partnerkonto: für die Dauer der Geschäftsbeziehung, zuzüglich 3 Jahre nach der letzten Aktivität (Verjährung).
- Verbindungs- und Tracking-Protokolle: 13 Monate.
- Abrechnungs- und Provisionsdaten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht).
- Coach-Auswertungsdaten: 3 Jahre ab Erstellung.
5. Ihre Rechte
Nach der DSGVO stehen Ihnen folgende Rechte zu: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit sowie Widerruf einer erteilten Einwilligung (soweit einschlägig). Sie können diese Rechte über unsere Kontaktseite.
Ferner haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, etwa dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI, bfdi.bund.de) oder der für Ihren Wohnsitz zuständigen Landesdatenschutzbehörde. Wir beantworten Ihre Anfragen innerhalb eines Monats nach Eingang.
6. Cookies
Wir verwenden ausschließlich notwendige Cookies für den Betrieb der Website (Authentifizierungssitzung, Zuordnung eines Affiliate-Klicks zu einem Partner). Diese Cookies sind technisch erforderlich und bedürfen nach § 25 Abs. 2 TDDDG keiner vorherigen Einwilligung.
Unser Produktanalyse-Werkzeug (PostHog) ist im Modus cookieless konfiguriert: Es setzt keine Drittanbieter-Cookies und führt weder Session-Replay noch ein automatisches Auslesen von Formularfeldern durch.
7. Sicherheit
Passwörter werden von unserem Authentifizierungsdienstleister mit bcrypt gehasht, Übertragungen erfolgen über HTTPS, IP-Adressen werden vor der Speicherung anonymisiert, und für Administratorzugänge gilt das Prinzip der geringsten Rechte. Schwerwiegende Verletzungen des Schutzes personenbezogener Daten melden wir der zuständigen Aufsichtsbehörde und den betroffenen Personen innerhalb von 72 Stunden.