Portal

Datenschutz

Datenschutzhinweise

Datenschutzhinweise für die Website 420-plus.com, öffentliche Suchfunktionen und das 420+ Portal

1. Einleitung und Geltungsbereich

Diese Datenschutzhinweise informieren über die Verarbeitung personenbezogener Daten durch die NESS Online GmbH im Zusammenhang mit der Website 420-plus.com, öffentlichen Suchfunktionen, öffentlichen Profilen sowie der technischen Bereitstellung des 420+ Portals einschließlich etwaiger White-Label-Instanzen, partnerbezogener Ausprägungen oder unter Partnerbezeichnungen betriebener Portalinstanzen.

Das 420+ Portal kann von unterschiedlichen Kundenorganisationen genutzt werden. Kundenorganisationen im Sinne dieser Datenschutzhinweise sind insbesondere Anbauvereinigungen bzw. SOCIAL CLUBS (im Sinne des KCanG), Betreiber, Unternehmen, Vereine oder sonstige Organisationen, die das 420+ Portal oder eine White-Label-Instanz zur Organisation, Verwaltung, Dokumentation, Nachverfolgung oder Steuerung eigener Prozesse nutzen.

Es ist ausdrücklich zu unterscheiden zwischen eigenen Datenverarbeitungen der NESS Online GmbH, nachfolgend „420+“, und Datenverarbeitungen, die 420+ im Auftrag einer Kundenorganisation innerhalb des 420+ Portals oder einer White-Label-Instanz vornimmt.

Diese Datenschutzhinweise gelten insbesondere für:

den Besuch der Website 420-plus.com,

Kontakt-, Demo- und Vertragsanfragen an 420+,

die Nutzung öffentlicher Informationsangebote,

öffentliche Suchfunktionen und öffentliche Profile,

Anfragen über öffentliche Profile oder eingebundene Formulare,

technische System-, Sicherheits- und Zugriffsdaten,

eigene Vertrags-, Abrechnungs- und Supportprozesse von 420+,

die technische Bereitstellung des 420+ Portals einschließlich White-Label-Instanzen, soweit 420+ an deren technischem Betrieb beteiligt ist.

Soweit eine Kundenorganisation personenbezogene Daten ihrer Mitglieder, Interessenten, Antragsteller, Kunden, Nutzer, Mitarbeitenden, Beauftragten oder sonstiger Personen im 420+ Portal oder in einer White-Label-Instanz verarbeitet, ist grundsätzlich die jeweilige Kundenorganisation Verantwortliche im Sinne der DSGVO. 420+ verarbeitet diese Daten insoweit als Auftragsverarbeiter auf Grundlage eines Softwarevertrags und eines Auftragsverarbeitungsvertrags.

Diese Datenschutzhinweise ersetzen nicht die eigenen Datenschutzhinweise der jeweiligen Kundenorganisation gegenüber ihren Mitgliedern, Interessenten, Antragstellern, Kunden, Nutzern, Mitarbeitenden oder sonstigen betroffenen Personen.

2. Verantwortlicher für eigene Datenverarbeitungen von 420+

Verantwortlicher im Sinne der DSGVO für eigene Datenverarbeitungen von 420+ ist:

NESS Online GmbH
Kalkstraße 19
65606 Villmar
Deutschland
Vertreten durch: Hannes Schubert
E-Mail: sales@420-plus.com
Telefon: +49 160 985 345 11

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Datenschutzanfragen können an die oben genannte Kontaktadresse gerichtet werden.

420+ verarbeitet eigene Daten insbesondere zur Bereitstellung der Website, zur Bereitstellung öffentlicher Funktionen wie Suchfunktionen und öffentlicher Profile, zur Bearbeitung von Kontakt-, Demo- und Vertragsanfragen, zur Vertragsanbahnung und Vertragsdurchführung, zur Abrechnung, zur Supportkommunikation, zur technischen Sicherheit, zur Missbrauchsvermeidung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten.

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

3. Abgrenzung: eigene Verarbeitung von 420+ und Auftragsverarbeitung für Kundenorganisationen

Soweit 420+ personenbezogene Daten innerhalb des 420+ Portals oder einer White-Label-Instanz für eine Kundenorganisation verarbeitet, erfolgt dies grundsätzlich im Auftrag der jeweiligen Kundenorganisation.

Die Kundenorganisation entscheidet eigenständig über Zwecke und Mittel der inhaltlichen Verarbeitung von Organisations-, Mitglieder-, Interessenten-, Kunden-, Nutzer-, Betriebs-, Anbau-, Produktions-, Inventar-, Reservierungs-, Abgabe-, Handover-, Finanz-, Compliance-, Dokumentations- und sonstigen operativen Daten. Sie ist insoweit Verantwortliche im Sinne der DSGVO.

420+ stellt hierfür die technische Plattform bereit, führt Wartung, Support, Sicherheitsmaßnahmen, Fehlerbehebung, Hosting, Backup, Monitoring und technische Administration im vertraglich vereinbarten Rahmen durch und verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen der jeweiligen Kundenorganisation.

Eigene Datenverarbeitungen von 420+, insbesondere Websitebetrieb, Kontakt- und Demoanfragen, Vertrags- und Abrechnungsdaten, eigene Supportkommunikation, Sicherheitsdokumentation, gesetzliche Aufbewahrung und Rechtsverteidigung, erfolgen nicht als Auftragsverarbeitung, sondern in eigener Verantwortlichkeit von 420+.

4. Rolle der Kundenorganisation

Die jeweilige Kundenorganisation ist insbesondere Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit ihren eigenen fachlichen, organisatorischen und rechtlichen Prozessen.

Hierzu können je nach Nutzung des 420+ Portals insbesondere gehören:

Mitgliedschaft, Interessenten- und Antragsprozesse, Aufnahmeentscheidungen, Kunden- und Nutzerverwaltung, Identitäts- und Altersprüfungen, Rollen- und Berechtigungskonzepte, Erfassung von Bedarf, Kontingenten, Reservierungen, Abgaben, Handover-Vorgängen, Beständen, Chargen, Inventar-, Anbau-, Produktions-, Verarbeitungs-, Finanz-, Zahlungs-, Guthaben-, Dokumentations-, Nachweis-, Audit- und Compliance-Prozessen sowie Datenexport, Berichtigung, Löschung und Aufbewahrung nach den jeweils anwendbaren gesetzlichen, vertraglichen und organisatorischen Anforderungen.

Die Kundenorganisation ist verpflichtet, betroffenen Personen, insbesondere Mitgliedern, Interessenten, Antragstellern, Kunden, Nutzern, Funktionsträgern, Mitarbeitenden oder sonstigen betroffenen Personen, eigene Datenschutzhinweise zur Verfügung zu stellen.

Betroffene Personen sollten sich bei Fragen zu Daten, die inhaltlich von einer Kundenorganisation im 420+ Portal oder in einer White-Label-Instanz verarbeitet werden, grundsätzlich zunächst an die jeweilige Kundenorganisation wenden. 420+ unterstützt die Kundenorganisation bei der Erfüllung ihrer Pflichten aus Art. 28 DSGVO, soweit dies vertraglich vereinbart ist.

Die Kundenorganisation ist außerdem selbst dafür verantwortlich zu prüfen, ob für ihre Verarbeitungstätigkeiten ein Datenschutzbeauftragter zu benennen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist und auf welche Rechtsgrundlagen die Verarbeitung der von ihr verantworteten Daten gestützt wird.

5. White-Label-Instanzen, Kooperationspartner und Vermittlungspartner

Das 420+ Portal kann im Rahmen von White-Label-, Kooperations- oder Vermittlungsmodellen unter einer Partnerbezeichnung, auf einer partnerbezogenen Subdomain oder in einer partnerbezogenen Gestaltung bereitgestellt oder vermittelt werden.

Der Softwarevertrag über die technische Nutzung des 420+ Portals oder einer White-Label-Instanz wird üblicherweise zwischen 420+ und der jeweiligen Kundenorganisation geschlossen, soweit nicht ausdrücklich eine abweichende vertragliche Konstruktion vereinbart ist.

White-Label-, Kooperations- oder Vermittlungspartner erhalten im Regelbetrieb keinen Admin-, Support- oder sonstigen Standardzugriff auf Produktivdaten, Organisationsdaten, Mitglieder-, Interessenten-, Kunden-, Nutzer-, Abgabe-, Handover-, Inventar-, Produktions-, Finanz-, Compliance- oder sonstige operative Daten der Kundenorganisation.

Ein Zugriff eines White-Label-, Kooperations- oder Vermittlungspartners auf Produktivdaten oder sonstige operative Daten erfolgt nur, wenn die jeweilige Kundenorganisation einen solchen Zugriff ausdrücklich freigibt oder gesondert beauftragt. In diesem Fall wird die datenschutzrechtliche Rolle, etwa eigener Verantwortlicher, gemeinsam Verantwortlicher oder Unterauftragsverarbeiter, gesondert geregelt.

Datenverarbeitungen, die ein White-Label-, Kooperations- oder Vermittlungspartner für eigene Zwecke durchführt, insbesondere über eigene Websites, eigene Kommunikation, eigene Vertriebsprozesse oder eigene Marketingaktivitäten, sind nicht Gegenstand dieser Datenschutzhinweise.

6. Besuch der Website 420-plus.com

Beim Besuch der Website 420-plus.com werden automatisiert technische Zugriffsdaten verarbeitet. Hierzu können insbesondere gehören:

IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten und Dateien, übertragene Datenmenge, Browsertyp und Browserversion, Betriebssystem, Referrer-URL sowie technische Fehler- und Sicherheitsinformationen.

Diese Verarbeitung ist erforderlich, um die Website bereitzustellen, ihre Stabilität und Sicherheit zu gewährleisten, Fehler zu analysieren und Missbrauch zu verhindern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in einem sicheren und stabilen Online-Angebot.

Logdaten werden im Regelfall nur für kurze Zeit gespeichert, typischerweise einige Tage bis wenige Wochen, und anschließend gelöscht oder anonymisiert, soweit keine längere Aufbewahrung zur Aufklärung von Sicherheitsvorfällen erforderlich ist.

Empfänger können insbesondere technische Dienstleister, Hosting-Provider, Sicherheits- und Monitoring-Dienstleister sein, die im Rahmen gesetzlicher Vorgaben und, soweit erforderlich, auf Grundlage von Auftragsverarbeitungsverträgen tätig werden.

7. Cookies, Einwilligungen und Analyse-Tools

Auf 420-plus.com können Cookies und vergleichbare Technologien eingesetzt werden.

Technisch notwendige Cookies sind erforderlich, um Grundfunktionen der Website oder des Portals bereitzustellen, insbesondere Session-Management, Login-Status, Sicherheitsfunktionen oder Spracheinstellungen. Sie werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 TDDDG eingesetzt.

Optionale Cookies, Analyse-Tools oder vergleichbare Technologien zur Reichweitenmessung, Verbesserung des Angebots oder Marketingauswertung werden nur eingesetzt, soweit hierfür eine Einwilligung vorliegt oder eine sonstige gesetzliche Grundlage besteht. Rechtsgrundlage kann insbesondere Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG sein.

Details zu konkret eingesetzten Diensten, Datenkategorien, Speicherdauern und Widerrufsmöglichkeiten werden, soweit erforderlich, in einem Cookie-Banner oder Cookie-Hinweis erläutert.

Der eingeloggte Bereich des 420+ Portals oder einer White-Label-Instanz wird grundsätzlich nicht für werbliches Tracking oder Remarketing genutzt. Dort eingesetzte Cookies, Session-Informationen und Sicherheitsmechanismen dienen dem Betrieb, der Sicherheit und der Stabilität des Portals.

8. Kontakt-, Demo- und Vertragsanfragen

Wenn Interessenten, Kundenorganisationen, Kooperationspartner oder sonstige Personen per Formular, E-Mail, Telefon oder auf anderem Weg mit 420+ Kontakt aufnehmen, verarbeitet 420+ die übermittelten Kommunikations- und Inhaltsdaten.

Hierzu können insbesondere gehören:

Name, Kontaktdaten, E-Mail-Adresse, Telefonnummer, Organisation, Verein, Unternehmen, Funktion, Inhalt der Nachricht, gewünschte Nutzung des 420+ Portals, Angaben zur vertraglichen Ausgestaltung sowie weitere freiwillig übermittelte Informationen.

Die Verarbeitung erfolgt zur Bearbeitung der Anfrage, zur vorvertraglichen Kommunikation, zur Anbahnung oder Durchführung eines Vertrags sowie zur Dokumentation von Geschäftskontakten. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Soweit gesetzliche Aufbewahrungspflichten bestehen, erfolgt die weitere Speicherung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Die Daten werden nur so lange gespeichert, wie dies für die Bearbeitung der Anfrage, eine angemessene Anschlusskommunikation oder gesetzliche Aufbewahrungspflichten erforderlich ist.

Empfänger können insbesondere interne Fachbereiche von 420+, technische Dienstleister, Kommunikationsdienstleister, Steuerberater, Rechtsberater oder sonstige Dienstleister sein, soweit dies zur Bearbeitung der Anfrage oder zur Durchführung vorvertraglicher oder vertraglicher Maßnahmen erforderlich ist.

9. Vertrags- und Abrechnungsdaten von Kundenorganisationen

420+ verarbeitet Daten von Kundenorganisationen, deren Ansprechpartnern und vertretungsberechtigten Personen zur Anbahnung, Durchführung und Abwicklung von Softwareverträgen über das 420+ Portal oder eine White-Label-Instanz sowie zur Abrechnung und Buchhaltung.

Hierzu gehören insbesondere Organisations-, Vereins- und Unternehmensstammdaten, Kontaktdaten, Vertragsinhalte, Rechnungsdaten, Zahlungsinformationen, Abrechnungsgrundlagen und vertragliche Korrespondenz.

Die Verarbeitung ist für die Erfüllung vertraglicher Pflichten und zur Durchführung vorvertraglicher Maßnahmen erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Pflichten bestehen, insbesondere handels- und steuerrechtliche Aufbewahrungspflichten, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Darüber hinaus besteht ein berechtigtes Interesse an der Dokumentation und Durchsetzung vertraglicher Ansprüche nach Art. 6 Abs. 1 lit. f DSGVO.

Die Daten werden während des laufenden Vertragsverhältnisses gespeichert und nach Vertragsende für die Dauer gesetzlicher Aufbewahrungsfristen aufbewahrt, regelmäßig 6 bis 10 Jahre.

Empfänger können insbesondere Steuerberater, Zahlungsdienstleister, Banken, Inkassodienstleister, Rechtsberater oder Behörden sein, soweit dies zur Erfüllung der genannten Zwecke erforderlich ist.

10. Öffentliche Suche und öffentliche Profile

Das 420+ Portal kann öffentliche Suchfunktionen und öffentliche Profile bereitstellen. Über solche Suchfunktionen können Nutzer Kundenorganisationen nach bestimmten Kriterien, insbesondere Standort, Umkreis, Bezeichnung, Kategorie oder sonstigen freigegebenen Merkmalen, finden und öffentlich freigegebene Profilinformationen anzeigen.

Die im öffentlichen Profil angezeigten Informationen beruhen grundsätzlich auf Angaben und Freigaben der jeweiligen Kundenorganisation. Die jeweilige Kundenorganisation ist für Richtigkeit, Vollständigkeit, Aktualität, Rechtmäßigkeit und Freigabe der von ihr bereitgestellten öffentlichen Profilinformationen verantwortlich.

Zu den öffentlich angezeigten Informationen können je nach Freigabe der Kundenorganisation insbesondere Profilname, Kurzbeschreibung, Region, Standort- oder Umkreisinformationen, Kontaktmöglichkeiten, Links, Hinweise, Veranstaltungen, News-Beiträge oder sonstige von der Kundenorganisation freigegebene Inhalte gehören.

Soweit Nutzer die öffentliche Suche lediglich nutzen, verarbeitet 420+ technische Zugriffsdaten zur Bereitstellung, Sicherheit, Stabilität, Missbrauchsvermeidung und Funktionsfähigkeit der Suche als eigener Verantwortlicher.

Über die öffentliche Suche kommt weder eine Mitgliedschaft noch ein sonstiger Vertrag mit einer Kundenorganisation oder mit 420+ zustande. Die Entscheidung über Kontaktaufnahme, Aufnahmeverfahren, Vertragsschluss, Mitgliedschaft oder weitere Kommunikation liegt ausschließlich bei der jeweiligen Kundenorganisation.

11. Anfragen, Interessentenanfragen und Anfrage-Pipeline

Soweit eine Person über ein öffentliches Profil oder ein eingebundenes Formular eine Anfrage an eine Kundenorganisation übermittelt und diese Anfrage im 420+ Portal oder in einer White-Label-Instanz verarbeitet wird, ist grundsätzlich die jeweilige Kundenorganisation Verantwortliche für die inhaltliche Verarbeitung der Anfrage und der weiteren Kommunikation.

420+ verarbeitet diese Daten insoweit als Auftragsverarbeiter auf Grundlage des Softwarevertrags und des Auftragsverarbeitungsvertrags mit der jeweiligen Kundenorganisation.

Zu den verarbeiteten Daten können insbesondere gehören:

Name, E-Mail-Adresse, Telefonnummer, Wohnort oder PLZ, gewünschter Aufnahme-, Kontakt- oder Vertragsbeginn, Nachricht, Status der Anfrage, interne Notizen der Kundenorganisation, Kommunikationshistorie, technische Metadaten und weitere von der anfragenden Person oder von der Kundenorganisation bereitgestellte Informationen.

Die Rechtsgrundlagen für die inhaltliche Verarbeitung der Anfrage ergeben sich aus den Datenschutzhinweisen der jeweiligen Kundenorganisation. 420+ stellt die technische Verarbeitung im Portal bereit und verarbeitet die Daten nach Weisung der Kundenorganisation.

Die Übermittlung einer Anfrage begründet keinen Anspruch auf Aufnahme, Kontaktaufnahme, Rückmeldung, Mitgliedschaft, Vertragsschluss oder sonstige Zusammenarbeit. Die Entscheidung über die weitere Bearbeitung der Anfrage liegt bei der jeweiligen Kundenorganisation.

12. Datenverarbeitung innerhalb des 420+ Portals und von White-Label-Instanzen

Innerhalb des 420+ Portals oder einer White-Label-Instanz werden je nach genutztem Funktionsumfang verschiedene personenbezogene Daten verarbeitet.

Hierzu können insbesondere gehören:

Benutzerkonten, Rollen und Berechtigungen, Mitglieder-, Interessenten-, Kunden-, Nutzer- und Antragsdaten, Daten aus Identitäts- und Altersprüfungen, Bedarf, Kontingente, Reservierungen, Guthaben, Abgabe-, Handover-, Zahlungs- und Finanzdaten, Anbau-, Produktions-, Verarbeitungs-, Aufgaben- und SOP-Daten, Chargen-, Batch- und Inventardaten, IoT-/Sensor-/Grow-Daten, Dokumente und Nachweise, Uploads, Compliance-, Audit- und Protokolldaten sowie Support- und Kommunikationsdaten im Zusammenhang mit der Nutzung des Portals.

Soweit diese Daten in inhaltlicher Verantwortung einer Kundenorganisation verarbeitet werden, ist die jeweilige Kundenorganisation Verantwortliche. 420+ verarbeitet die Daten als Auftragsverarbeiter.

Rechtsgrundlagen für die inhaltliche Verarbeitung ergeben sich aus den Datenschutzhinweisen der jeweiligen Kundenorganisation. Die technische Bereitstellung des 420+ Portals oder einer White-Label-Instanz durch 420+ erfolgt zur Erfüllung des Softwarevertrags und zur Sicherstellung eines sicheren, stabilen und funktionalen Portalbetriebs.

Innerhalb des 420+ Portals oder einer White-Label-Instanz kann 420+ Benachrichtigungen und Hinweise bereitstellen, etwa zu Softwareupdates, Systemereignissen, sicherheitsrelevanten Informationen oder relevanten Änderungen. Diese Benachrichtigungen dienen der Vertragserfüllung, Systemsicherheit und Information der Nutzer über wesentliche Funktionalitäts- oder Sicherheitsänderungen.

Eine Nutzung von Daten aus dem 420+ Portal oder einer White-Label-Instanz für externe Newsletter, werbliche Drittkommunikation, Scoring, Profiling oder Remarketing findet durch 420+ nicht statt.

13. Support-, Wartungs- und Administrationszugriffe durch 420+

Zur Bereitstellung, Wartung, Fehlerbehebung, Sicherheit und Unterstützung des 420+ Portals oder einer White-Label-Instanz kann 420+ im Bedarfsfall Zugriff auf technische Systeme und, soweit unvermeidbar, auf personenbezogene Daten erhalten.

Solche Zugriffe erfolgen zweckgebunden, rollen- und berechtigungsbeschränkt und nach Möglichkeit protokolliert.

Soweit 420+ dabei im Auftrag einer Kundenorganisation handelt, richtet sich die Verarbeitung nach den Weisungen der jeweiligen Kundenorganisation und dem Auftragsverarbeitungsvertrag. Soweit 420+ eigene Sicherheits-, Vertrags-, Abrechnungs- oder Supportdokumentationen verarbeitet, erfolgt dies in eigener Verantwortlichkeit von 420+.

Empfänger können interne Support-, Entwicklungs- und Administrationsbereiche sowie technische Dienstleister, Unterauftragsverarbeiter oder weisungsgebundene technische Hilfspersonen sein, soweit deren Einbindung erforderlich und datenschutzrechtlich zulässig ist.

Zugangsdaten sollen nicht ungesichert per E-Mail oder Ticket übermittelt werden. Erforderliche Supportzugriffe erfolgen nach Möglichkeit über vorgesehene Supportrollen, temporäre Freigaben oder andere sichere Verfahren.

14. Protokollierung, Auditlogs und Systemsicherheit

Das 420+ Portal oder eine White-Label-Instanz kann technische und fachliche Protokolldaten erfassen, um Sicherheit, Nachvollziehbarkeit, Compliance-Unterstützung, Fehleranalyse und Missbrauchserkennung zu gewährleisten.

Hierzu gehören insbesondere Login-Ereignisse, Rollen- und Berechtigungsänderungen, Änderungen an Stammdaten, Interessenten-, Mitglieder-, Kunden-, Nutzer-, Anbau-, Produktions-, Chargen-, Inventar-, Reservierungs-, Abgabe-, Handover-, Finanz- oder Compliance-Daten, Supportzugriffe und sicherheitsrelevante Systemereignisse.

Die konkrete fachliche Verantwortung für Audit-, Compliance- und operative Daten liegt grundsätzlich bei der jeweiligen Kundenorganisation. 420+ stellt die technischen Logging- und Nachweisfunktionen im Portal bereit.

Protokolldaten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche, vertragliche oder sicherheitsbezogene Gründe eine längere Speicherung erfordern.

15. Hosting, Infrastruktur, technische Hilfspersonen und Unterauftragsverarbeiter

420+ setzt für Betrieb, Hosting, Wartung, technische Administration, Fehlerbehebung, Sicherheitsmaßnahmen, Backup, Monitoring, Support und Weiterentwicklung des 420+ Portals oder einer White-Label-Instanz technische Dienstleister, Unterauftragsverarbeiter oder weisungsgebundene technische Hilfspersonen ein.

Weisungsgebundene technische Hilfspersonen handeln im Verantwortungsbereich von 420+, sind zur Vertraulichkeit verpflichtet und erhalten Zugriff auf Systeme oder personenbezogene Daten nur, soweit dies für die jeweilige Aufgabe erforderlich ist.

Soweit eigenständige externe Dienstleister als Auftragsverarbeiter oder Unterauftragsverarbeiter eingesetzt werden und Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, erfolgt die Einbindung nach Maßgabe der datenschutzrechtlichen Anforderungen, insbesondere durch vertragliche Bindung nach Art. 28 DSGVO, Vertraulichkeitsverpflichtungen und geeignete technische und organisatorische Schutzmaßnahmen.

Das Hosting von Produktivdaten erfolgt derzeit ausschließlich auf von 420+ betriebener Infrastruktur in Deutschland. Künftige Einbindungen externer Rechenzentrums‑ oder Cloud‑Dienstleister erfolgen nur nach Maßgabe der datenschutzrechtlichen Anforderungen (Art. 28, 44 ff. DSGVO) und werden in geeigneter Weise kommuniziert.

Eine Verarbeitung von Produktivdaten außerhalb Deutschlands, aber innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, erfolgt nur, soweit dies vertraglich vorgesehen, datenschutzrechtlich zulässig und nach Maßgabe des Auftragsverarbeitungsvertrags geregelt ist.

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO.

16. Demo- und Testumgebungen

Demo- und Testumgebungen dienen Präsentations-, Test-, Schulungs- und Evaluierungszwecken. 420+ stellt Demo- und Testumgebungen grundsätzlich nicht mit echten Produktivdaten einer Kundenorganisation bereit.

Nutzer von Demo- oder Testumgebungen sind verpflichtet, keine echten personenbezogenen Daten, Mitglieder-, Interessenten-, Kunden-, Nutzer-, Ausweis-, Abgabe-, Gesundheits-, Zahlungs-, Produktivdaten oder sonstigen vertraulichen Echtdaten einzugeben, soweit dies nicht ausdrücklich gesondert vereinbart und datenschutzrechtlich geregelt wurde.

Soweit eine nutzende Stelle entgegen dieser Vorgabe echte personenbezogene Daten in eine Demo- oder Testumgebung eingibt, ist sie für die Rechtmäßigkeit dieser Eingabe und die hierfür erforderlichen Informations-, Rechtsgrundlagen- und Schutzpflichten verantwortlich.

17. Datenanalyse, Reporting und Produktverbesserung

Auswertungen, Dashboards, Berichte und Exporte auf Grundlage von Daten der Kundenorganisation erfolgen grundsätzlich für die jeweilige Kundenorganisation und im Rahmen der vertraglich vereinbarten Funktionen des 420+ Portals oder einer White-Label-Instanz.

Optionale Datenanalyse-, Reporting-, Predictive-Maintenance-, Bilderkennungs-, IoT-/Sensor-/Grow-Auswertungs- oder sonstige Optimierungsleistungen werden nur erbracht, soweit die jeweilige Kundenorganisation diese ausdrücklich beauftragt oder vereinbart hat. Soweit hierbei personenbezogene Daten verarbeitet werden, erfolgt die Verarbeitung grundsätzlich im Auftrag der jeweiligen Kundenorganisation nach Maßgabe des Auftragsverarbeitungsvertrags.

420+ kann technische Log-, Sicherheits-, Fehler-, Performance- und Nutzungsdaten auswerten, soweit dies für Betrieb, Sicherheit, Stabilität, Fehleranalyse, Missbrauchserkennung, Wartung und Weiterentwicklung des 420+ Portals oder einer White-Label-Instanz erforderlich ist.

Eine Nutzung personenbezogener Daten der Kundenorganisation, Produktivdaten oder organisationsbezogener Auswertungen für eigene Markt-, Struktur-, Werbe-, Scoring-, Profiling- oder Drittverwertungszwecke durch 420+ erfolgt nicht, soweit hierfür keine gesonderte Rechtsgrundlage, ausdrückliche Beauftragung oder gesonderte Vereinbarung besteht.

18. Speicherdauer, Export, Löschung und Vertragsende

420+ speichert personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche, vertragliche oder sicherheitsbezogene Gründe eine längere Speicherung erfordern.

Für eigene Datenverarbeitungen von 420+ gelten insbesondere folgende Kriterien:

Vertrags- und Abrechnungsdaten werden während der Vertragslaufzeit und anschließend nach Maßgabe handels- und steuerrechtlicher Pflichten gespeichert, regelmäßig 6 bis 10 Jahre.

Kontakt-, Demo- und Kommunikationsdaten werden für die Dauer der Bearbeitung und eine angemessene Anschlussfrist gespeichert; im Übrigen richtet sich die Aufbewahrung nach Verjährungs- und Nachweispflichten.

Technische Log- und Sicherheitsdaten werden für die Dauer gespeichert, die zur Gewährleistung von Sicherheit, Fehleranalyse und Missbrauchsvermeidung erforderlich ist, regelmäßig einige Tage bis wenige Wochen, bei Sicherheitsvorfällen auch länger.

Für personenbezogene Daten innerhalb des 420+ Portals oder einer White-Label-Instanz, die im Auftrag einer Kundenorganisation verarbeitet werden, gelten vorrangig die Weisungen der jeweiligen Kundenorganisation, der Softwarevertrag und der Auftragsverarbeitungsvertrag. Nach Vertragsende zwischen 420+ und einer Kundenorganisation werden diese Daten nach Maßgabe der vertraglichen Regelungen und Weisungen der Kundenorganisation herausgegeben, exportiert, gesperrt oder gelöscht, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

19. Empfänger personenbezogener Daten

Empfänger personenbezogener Daten können je nach Verarbeitung insbesondere sein:

interne Fachbereiche von 420+, technische Dienstleister, Hosting- und Infrastrukturdienstleister, Support- und Wartungsdienstleister, Kommunikationsdienstleister, Zahlungsdienstleister, Banken, Steuerberater, Rechtsberater, Behörden sowie Unterauftragsverarbeiter oder weisungsgebundene technische Hilfspersonen, soweit deren Einbindung für die jeweiligen Zwecke erforderlich und datenschutzrechtlich zulässig ist.

Darüber hinaus Open‑Banking‑Dienste (für Banking‑/Kassenmodule) sowie IoT‑/Sensor‑/Grow‑Dienstleister (für technische Integrationen), jeweils als Auftragsverarbeiter nach Art. 28 DSGVO und – soweit einschlägig – ausschließlich innerhalb EU/EWR oder mit geeigneten Garantien nach Art. 46 DSGVO.

Im Rahmen der Auftragsverarbeitung für eine Kundenorganisation erhalten Empfänger personenbezogene Daten nur, soweit dies zur Erbringung der vertraglich vereinbarten Leistungen erforderlich ist und die Voraussetzungen des Softwarevertrags, des Auftragsverarbeitungsvertrags und der gesetzlichen Vorgaben eingehalten werden.

20. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie ein Widerspruchsrecht gegen bestimmte Verarbeitungen. Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.

Soweit es um Verarbeitungen geht, für die 420+ selbst Verantwortlicher ist, insbesondere Website, öffentliche Suchfunktionen, eigene Kontakt-, Vertrags-, Abrechnungs-, Support- und Sicherheitsprozesse, können Betroffene ihre Rechte direkt gegenüber 420+ geltend machen, z. B. per E-Mail an sales@420-plus.com.

Soweit es um Daten geht, die inhaltlich von einer Kundenorganisation im 420+ Portal oder einer White-Label-Instanz verantwortet werden, ist grundsätzlich die jeweilige Kundenorganisation die richtige Anlaufstelle. 420+ unterstützt die Kundenorganisation bei der Bearbeitung von Betroffenenanfragen im Rahmen der vertraglichen und gesetzlichen Vorgaben.

21. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt.

Die Zuständigkeit richtet sich insbesondere nach dem gewöhnlichen Aufenthaltsort, dem Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes. Zusätzlich kann die für 420+ zuständige Aufsichtsbehörde kontaktiert werden.

22. Keine automatisierte Entscheidungsfindung / kein Profiling durch 420+

420+ setzt im Rahmen der beschriebenen eigenen Verarbeitungen keine automatisierten Entscheidungsverfahren ein, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen würden.

Es findet insbesondere kein Profiling zu Werbe-, Scoring- oder Drittverwertungszwecken durch 420+ statt.

Soweit eine Kundenorganisation innerhalb des Portals eigene Prozesse, Statuslogiken, Auswahlentscheidungen, Aufnahmeentscheidungen, Priorisierungen, Freigaben, Sperren, Bewertungen oder sonstige Entscheidungen vornimmt, liegt die Verantwortung hierfür bei der jeweiligen Kundenorganisation.

23. Änderungen dieser Datenschutzhinweise

420+ kann diese Datenschutzhinweise anpassen, wenn sich technische, rechtliche oder organisatorische Rahmenbedingungen ändern.

Die jeweils aktuelle Fassung wird auf 420-plus.com veröffentlicht und gilt ab ihrer Veröffentlichung für künftige Zugriffe und Nutzungen.

Bei wesentlichen Änderungen, die die Nutzung des 420+ Portals oder einer White-Label-Instanz betreffen, kann 420+ zusätzlich innerhalb des Portals auf die aktualisierten Hinweise hinweisen.