Datenschutzerklärung
Wie Hook0 Ihre personenbezogenen Daten erhebt, verwendet und schützt, im Einklang mit Art. 13 DSGVO.
1. Verantwortlicher
Der für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Hook0-Dienstes Verantwortliche ist:
Verantwortlicher für die Veröffentlichung: David Sferruzza.
Datenschutz-Kontakt: [email protected]
Hook0 ist eine ausschließlich für Geschäftskunden (B2B) bestimmte SaaS-Plattform. Wir erheben nicht absichtlich Daten von Personen, die in privater Eigenschaft handeln.
2. Zwecke und Rechtsgrundlagen
Die folgende Tabelle beschreibt jede Verarbeitungstätigkeit, die betroffenen Daten und die anwendbare Rechtsgrundlage gemäß Art. 6 DSGVO.
| Zweck | Datenkategorien | Rechtsgrundlage (Art. 6 DSGVO) |
|---|---|---|
| Erbringung des Dienstes Kontoerstellung, Authentifizierung, API-Zugang, Zustellung von Webhooks |
E-Mail-Adresse, Name, API-Schlüssel, Webhook-Payloads, IP-Adresse, Nutzungsprotokolle | Art. 6 Abs. 1 lit. b, Erfüllung des Vertrags |
| Abrechnung und Zahlung Verwaltung des Abonnements, Ausstellung von Rechnungen, steuerliche Pflichten |
Name, E-Mail, Rechnungsadresse, Zahlungsmittel-Daten (verarbeitet durch Stripe), Abonnementverlauf | Art. 6 Abs. 1 lit. b, Erfüllung des Vertrags Art. 6 Abs. 1 lit. c, rechtliche Verpflichtung (französisches Steuerrecht, 10-jährige Aufbewahrung) |
| Website-Analytik Reichweitenmessung über Matomo (selbst gehostet) |
Anonymisierte IP-Adresse, besuchte Seiten, Verweisquelle, Gerätetyp, Sitzungsdauer | Art. 6 Abs. 1 lit. a, Einwilligung (Cookie-Banner) |
| Conversion-Tracking (serverseitig) Konversionsmessung für Google Ads, ausschließlich serverseitig über die Klick-Kennung (gclid). Es werden keine E-Mail-Adresse, keine IP-Adresse und kein User-Agent an Google übermittelt. Widerspruchsrecht an [email protected]. |
Klick-Kennung (gclid), pseudonyme Kennung, die Google beim Anzeigenklick erzeugt | Art. 6 Abs. 1 lit. f, berechtigte Interessen (Messung des Werbeerfolgs) Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO |
| Kundensupport, Live-Chat Crisp-Widget (wird erst nach Einwilligung geladen) |
Name, E-Mail, Chat-Nachrichten, Browser-Metadaten | Art. 6 Abs. 1 lit. a, Einwilligung |
| Kundensupport, E-Mail Bearbeitung von Anfragen an [email protected] oder [email protected] |
Name, E-Mail, Inhalt der Korrespondenz | Art. 6 Abs. 1 lit. f, berechtigte Interessen (Beantwortung von Kundenanfragen) |
| Sicherheit und Überwachung Fehler-Tracking, Verfügbarkeitsüberwachung, DDoS-Schutz, Incident-Response |
IP-Adresse, Fehler-Stacktraces, Anfrage-Metadaten, Ergebnisse von Verfügbarkeitssonden | Art. 6 Abs. 1 lit. f, berechtigte Interessen (Sicherstellung von Integrität und Sicherheit des Dienstes) |
| Kommerzielle Kommunikation Produkt-Updates, Release Notes, Newsletter |
E-Mail-Adresse, Vorname | Art. 6 Abs. 1 lit. a, Einwilligung |
3. Kategorien personenbezogener Daten
-
Identitätsdaten: Vorname, Nachname, berufliche E-Mail-Adresse
-
Kontodaten: Benutzername, verschlüsseltes Passwort, API-Schlüssel
-
Zahlungsdaten: Rechnungsadresse, letzte 4 Ziffern der Karte und Ablaufdatum (vollständige Kartendaten werden von Stripe gespeichert, Hook0 hat keinen Zugriff auf vollständige Kartennummern)
-
Technische Daten: IP-Adresse, User-Agent des Browsers, Verbindungs-Zeitstempel, Fehlerprotokolle
-
Nutzungsdaten: gesendete und empfangene Webhook-Events, API-Aufrufvolumen, Nutzungsmetriken der Funktionen
-
Kommunikation: Inhalt der Support-Korrespondenz, Chat-Verläufe
Hook0 verarbeitet keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und führt keine automatisierte Entscheidungsfindung oder Profilbildung mit rechtlichen oder ähnlich erheblichen Auswirkungen durch.
4. Empfänger und Unterauftragsverarbeiter
Wir geben Daten an unsere Unterauftragsverarbeiter nur in dem für die Erbringung des Dienstes erforderlichen Umfang weiter. Die vollständige und aktuelle Liste finden Sie unter /dsgvo-unterauftragsverarbeiter. Eine Zusammenfassung folgt unten.
Infrastruktur
| Unterauftragsverarbeiter | Land | Zweck |
|---|---|---|
| Clever Cloud SAS | Frankreich (EU) | Datenbank, API und Webanwendung Hosting |
| Cloudflare, Inc. | USA | DNS und DDoS-Schutz |
Betrieb des Dienstes
| Unterauftragsverarbeiter | Land | Zweck |
|---|---|---|
| Clever Cloud SAS | Frankreich (EU) | Workers, die die Webhook-Abonnement-Endpunkte aufrufen |
| Scaleway SAS | Frankreich (EU) | Dedizierte private Workers (ausgewählte Tarife) |
| Stripe, Inc. | USA | Abonnement- und Zahlungsverwaltung |
| Brevo (Sendinblue) | Frankreich (EU) | Automatisierte transaktionale E-Mails |
| Postmark (ActiveCampaign) | USA | Automatisierte transaktionale E-Mails |
| BetterUptime | Tschechische Republik (EU) | Verfügbarkeitsüberwachung und Statusseite |
| Sentry, Inc. | USA | Anwendungs-Fehler-Tracking |
| Crisp | Frankreich (EU) | Kundensupport-Chat (an Einwilligung gebunden) |
| Google LLC (Gmail) | USA | Support-Postfach |
Marketing-Messung (berechtigtes Interesse, serverseitig)
| Unterauftragsverarbeiter | Land | Zweck |
|---|---|---|
| Google LLC (Google Ads) | USA | Serverseitige Konversionsmessung (nur gclid). Siehe Abschnitt 9b. |
Analytik (an Einwilligung gebunden)
| Dienst | Land | Zweck |
|---|---|---|
| Matomo (selbst gehostet auf matomo.hook0.com) | Frankreich (EU) | Website-Analytik |
Mit jedem Unterauftragsverarbeiter besteht ein Auftragsverarbeitungsvertrag (DPA). Zu Transfers außerhalb der EU siehe Abschnitt 5.
5. Transfers außerhalb der Europäischen Union
Mehrere Unterauftragsverarbeiter sind in den Vereinigten Staaten ansässig, namentlich Cloudflare, Stripe, Postmark, Sentry, Gmail (Google) und Google Ads. Diese Übermittlungen erfolgen auf der Grundlage der von der Europäischen Kommission erlassenen Standardvertragsklauseln (SCC) (Beschluss 2021/914) sowie eines dokumentierten Transfer Impact Assessment und, soweit anwendbar, des EU-US Data Privacy Framework (Cloudflare, Stripe und Google LLC sind DPF-zertifiziert). Zusammen gewährleisten diese Mechanismen ein angemessenes Schutzniveau für personenbezogene Daten.
6. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist | Begründung |
|---|---|---|
| Kontodaten | Vertragsdauer + 30 Tage nach Kontolöschung | Vertragliche Notwendigkeit; 30-tägige Karenzfrist, um den Datenexport zu ermöglichen |
| Buchhaltungs- und Rechnungsbelege | 10 Jahre ab dem Datum der Transaktion | Rechtliche Verpflichtung, französisches Steuergesetzbuch (Code général des impôts), art. L102 B Livre des procédures fiscales |
| Webhook-Event-Protokolle | Developer 7 Tage, Startup 14 Tage, Pro 30 Tage, Enterprise individuell | Erbringung des Dienstes; je Tarif konfigurierbar |
| Website-Analytik (Matomo) | 25 Monate | CNIL-Empfehlung für Analytik-Daten |
| Support-Korrespondenz | 3 Jahre nach dem letzten Austausch | Berechtigte Interessen; allgemeine Verjährungsfrist für vertragliche Ansprüche |
| Einwilligungs-Nachweise | 5 Jahre ab Erteilung der Einwilligung | Nachweisfähigkeit der Konformität (Art. 7 Abs. 1 DSGVO) |
| Server-Protokolle | mindestens 30 Tage, danach automatische Rotation und Löschung | Betrieb des Dienstes, Sicherheit und Incident-Response |
7. Ihre Rechte
Nach der DSGVO stehen Ihnen in Bezug auf Ihre personenbezogenen Daten folgende Rechte zu:
-
Auskunftsrecht (Art. 15), eine Kopie der über Sie gespeicherten personenbezogenen Daten erhalten
-
Recht auf Berichtigung (Art. 16), unrichtige oder unvollständige Daten korrigieren
-
Recht auf Löschung (Art. 17), Löschung Ihrer Daten verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten
-
Recht auf Einschränkung der Verarbeitung (Art. 18), die Einschränkung der Verarbeitung unter bestimmten Voraussetzungen verlangen
-
Recht auf Datenübertragbarkeit (Art. 20), Ihre Daten in einem strukturierten und maschinenlesbaren Format erhalten, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht
-
Widerspruchsrecht (Art. 21), Widerspruch gegen die auf berechtigten Interessen beruhende Verarbeitung oder gegen Direktwerbung einlegen
-
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3), Ihre Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der vorausgegangenen Verarbeitung berührt wird
8. Beschwerderecht bei der CNIL
Sind Sie der Auffassung, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen das Recht zu, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen:
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07, Frankreich
Website: www.cnil.fr
Sie können sich darüber hinaus an jede Aufsichtsbehörde im Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes innerhalb der Europäischen Union wenden.
9. Cookies und Tracker
Hook0 verfügt auf seiner Website über einen Mechanismus zur Einwilligungsverwaltung. Die folgenden Dienste werden erst nach Ihrer ausdrücklichen Einwilligung geladen:
-
Matomo Analytics (selbst gehostet), Reichweitenmessung, standardmäßig anonymisiert
-
Crisp, Live-Chat-Widget
-
Cookie hook0_gclid (Domain
.hook0.com, Laufzeit 30 Tage), überträgt die Google-Ads-Klick-Kennung zwischen www.hook0.com und app.hook0.com, damit eine spätere Anmeldung weiterhin attribuiert werden kann. Wird ausschließlich nach Einwilligung gesetzt und nur, wenn Sie über einen Anzeigenklick gekommen sind. Wird beim Widerruf der Einwilligung gelöscht. Einzelheiten in Abschnitt 9b.
Ihre auf www.hook0.com erteilte Einwilligung erstreckt sich auf alle hook0.com-Subdomains (einschließlich app.hook0.com). Die Einwilligungspräferenzen werden im localStorage des Browsers mit einer Gültigkeit von 13 Monaten gespeichert, im Einklang mit den CNIL-Leitlinien. Sie können Ihre Präferenzen jederzeit ändern.
9b. Serverseitige Konversionsmessung (Google Ads)
Wenn Sie unseren Dienst über einen Klick auf eine Google-Ads-Anzeige erreichen, fügt Google Ads automatisch eine Klick-Kennung («gclid») an die Ziel-URL an. Diese gclid wird im Rahmen Ihrer Kontoerstellung an unser Backend übermittelt und serverseitig an Google Ads übertragen, um die Wirksamkeit unserer Werbekampagnen zu messen.
-
Zweck, Messung der Akquisitionskosten unserer bezahlten Kampagnen, um das Marketing-Budget zuzuweisen.
-
Rechtsgrundlage, Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen. Dokumentierte Interessenabwägung auf Anfrage verfügbar.
-
An Google übermittelte Daten, namentlich gclid, Konversionstyp sowie Datum und Uhrzeit der Konversion. Es werden keine E-Mail-Adresse, keine IP-Adresse und kein User-Agent in diesem Rahmen an Google übermittelt.
-
Gemeinsam Verantwortlicher, Google LLC, im Rahmen der Customer Data Processing Terms (Art. 26 DSGVO). Der Transfer in die USA ist durch die Standardvertragsklauseln (Beschluss 2021/914) und, soweit anwendbar, durch das EU-US Data Privacy Framework abgesichert (Google LLC ist DPF-zertifiziert).
-
Aufbewahrung, die gclid wird während der HTTP-Anmeldeanfrage im Arbeitsspeicher verarbeitet und nach der Übertragung an Google Ads nicht in unseren Datenbanken gespeichert.
-
Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO. Sie können dieser Verarbeitung jederzeit widersprechen, indem Sie an [email protected] schreiben. Wir vermerken den Widerspruch auf Ihrem Konto, damit Ihre gclid nicht an Google Ads übertragen wird. Ihre Anmeldung wird dadurch nicht beeinträchtigt.
Hinweis: Diese serverseitige Messung beruht nicht auf Cookies, gtag.js oder einem clientseitigen Tracker. Art. 82 des französischen Datenschutzgesetzes (Umsetzung von Art. 5 Abs. 3 der ePrivacy-Richtlinie) findet auf diese Verarbeitung keine Anwendung.
10. Sicherheit
Hook0 setzt geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor zufälligem Verlust, unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung zu schützen. Dazu zählen Verschlüsselung bei der Übertragung (TLS 1.2+), Verschlüsselung im Ruhezustand, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.
Einzelheiten zu unseren Sicherheitspraktiken finden Sie auf unserer Sicherheits-Seite.
Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat, benachrichtigen wir die CNIL innerhalb von 72 Stunden (Art. 33 DSGVO) und die betroffenen Personen unverzüglich, soweit dies erforderlich ist (Art. 34 DSGVO). Falls Ihnen ein möglicher Datenabfluss auffällt, melden Sie ihn bitte unverzüglich an [email protected].
11. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Geschieht dies, aktualisieren wir das Datum «Letzte Aktualisierung» am Anfang dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail an die mit Ihrem Konto verknüpfte Adresse oder durch einen deutlich sichtbaren Hinweis auf der Website, mindestens 30 Tage vor dem Wirksamwerden der Änderung.