Zum Hauptinhalt springen
Zum Hauptinhalt springen

Datenschutzerklärung

Stand: 2026-02-24 · Diese Erklaerung gilt fuer die Plattform „App-Sicherung“ (Web und mobile App).

1. Rollenverteilung im Datenschutz

Die Plattform wird von der Spektralis BIG UG (haftungsbeschränkt) i.G. (UG (haftungsbeschraenkt) i.G.) als IT-Dienstleisterin bereitgestellt und ausschliesslich von der Pisarek & Ilic OHG (Versicherungsagentur) zur Beratung und Betreuung ihrer Kundinnen und Kunden eingesetzt. Aus diesem Setup ergeben sich zwei datenschutzrechtliche Rollen:

  • Pisarek & Ilic OHG ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO fuer alle inhaltlichen Beratungs-, Versicherungs-, Chat- und Dokumentdaten. Die Versicherungsagentur bestimmt Zwecke und Mittel der Verarbeitung dieser Daten.
  • Spektralis BIG UG (haftungsbeschränkt) i.G. ist Auftragsverarbeiterin im Sinne des Art. 28 DSGVO und verarbeitet diese Daten weisungsgebunden im Auftrag der Pisarek & Ilic OHG (gestuetzt auf einen Auftragsverarbeitungsvertrag, AV-Vertrag).
  • Fuer den reinen Plattform-Betrieb (Konto, Login, Sicherheit, Bereitstellung der App) ist die Spektralis BIG UG (haftungsbeschränkt) i.G. selbst Verantwortliche, weil sie diese Verarbeitungszwecke eigenstaendig festlegt.

2. Verantwortliche fuer die Beratungs- und Kundendaten

Verantwortlich fuer alle Beratungs-, Chat- und Versicherungsdaten ist:

Pisarek & Ilic OHG

Suedring 8
44787 Bochum
Deutschland

Telefon: +49 234 961170
E-Mail: pisarek-ilic@provinzial.de

Weitere Angaben siehe Impressum.

3. Verantwortliche fuer den Plattform-Betrieb (Spektralis BIG UG (haftungsbeschränkt) i.G.)

Verantwortlich fuer den technischen Betrieb der Plattform (Konto, Anmeldung, Sicherheit, Bereitstellung) ist:

Spektralis BIG UG (haftungsbeschränkt) i.G. (UG (haftungsbeschraenkt) i.G.)

Vertretungsberechtigte/r Geschaeftsfuehrer/in: [TODO-UG: Geschaeftsfuehrer/in laut Gesellschaftsvertrag/HRB]
[TODO-UG: Strasse + Hausnummer]
[TODO-UG: PLZ] [TODO-UG: Ort]
Deutschland

Telefon: [TODO-UG: Telefonnummer]
E-Mail: [TODO-UG: datenschutz@firma.de]
Handelsregister: [TODO-UG: Registergericht, z.B. Amtsgericht Bochum], [TODO-UG: HRB-Nummer]

Hinweis: Die Spektralis BIG UG (haftungsbeschränkt) i.G. ist kein Versicherungsvermittler i.S.d. § 34d GewO. Versicherungsberatung und -vermittlung erfolgen ausschliesslich durch die Pisarek & Ilic OHG.

4. Datenschutz-Anfragen

Anfragen zum Datenschutz richten Sie bitte an die jeweils zustaendige verantwortliche Stelle:

Pisarek & Ilic OHG (Beratungs- und Kundendaten): pisarek-ilic@provinzial.de

Spektralis BIG UG (haftungsbeschränkt) i.G. (Plattform-Konto, Login, Sicherheit): [TODO-UG: datenschutz@firma.de]

Eine formelle Bestellung einer/eines Datenschutzbeauftragten ist derzeit gesetzlich nicht erforderlich (Art. 37 DSGVO i.V.m. § 38 BDSG). Anfragen werden direkt von der Geschaeftsleitung bearbeitet.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

5.1 Konto und Anmeldung (Verantwortliche: Spektralis BIG UG (haftungsbeschränkt) i.G.)

Wir verarbeiten: Name, E-Mail, Passwort (gespeichert als Argon2-Hash), Rolle, Mandantenzuordnung, Anmeldezeitpunkte, IP-Adresse, Geraetekennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung Plattformnutzung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kontoschutz).

5.2 Zwei-Faktor-Authentifizierung (Verantwortliche: Spektralis BIG UG (haftungsbeschränkt) i.G.)

Bei aktiver 2FA speichern wir ein verschluesseltes TOTP-Geheimnis sowie gehashte Recovery-Codes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 32 DSGVO (Sicherheit der Verarbeitung).

5.3 Beratungs- und Chatdaten (Verantwortliche: Pisarek & Ilic OHG)

Beim Versand und Empfang von Nachrichten, Anhaengen und Reaktionen zwischen Beraterin/Berater und Kundin/Kunde werden Inhalte, Zeitstempel, Lese-/Empfangsbestaetigungen und Anhang-Metadaten (Hash, Groesse, MIME-Type) verarbeitet. Anhaenge werden TLS-verschluesselt uebertragen und beim Storage-Anbieter abgelegt.

Verantwortliche: Pisarek & Ilic OHG. Spektralis BIG UG (haftungsbeschränkt) i.G. verarbeitet diese Daten ausschliesslich im Auftrag und nach Weisung der Pisarek & Ilic OHG(AV-Vertrag, Art. 28 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchfuehrung Versicherungsvermittlung) sowie Art. 6 Abs. 1 lit. a DSGVO fuer die Nutzung der Plattform (Einwilligung).

5.4 Push-Benachrichtigungen (Verantwortliche: Spektralis BIG UG (haftungsbeschränkt) i.G.)

Zum Versand von Push-Mitteilungen (z.B. neue Nachricht) speichern wir Geraete-Tokens (Apple APNs, Google FCM, Web-Push). Die Aktivierung erfolgt ueber die System-Berechtigung des jeweiligen Geraets.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung – zeitnahe Information ist Bestandteil der Plattformleistung). Push laesst sich jederzeit in den Geraete-Einstellungen widerrufen.

5.5 Versicherungsbestandsaufnahme und 4Sorgen-Modul (Verantwortliche: Pisarek & Ilic OHG)

Bei Nutzung der Bestandsaufnahme- und Berechnungsmodule (z.B. 4Sorgen) verarbeitet die Pisarek & Ilic OHG die von Ihnen eingegebenen Vorsorge-, Sparten- und Risikoangaben sowie generierte PDF-Dokumente.

Verantwortliche: Pisarek & Ilic OHG. Technische Verarbeitung im Auftrag durch Spektralis BIG UG (haftungsbeschränkt) i.G..

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

5.6 Audit und Sicherheit (Gemeinsame Verantwortung)

Sicherheitsrelevante Vorgaenge (Anmeldungen, Rechtevergaben, Datenexporte, Push-Fallbacks, Consent-Änderungen) werden in einem revisionsfaehigen Audit-Log mit Zeitstempel, Akteur, IP und User-Agent gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 32 DSGVO (Sicherheit der Verarbeitung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsabwehr).

5.7 Cookies und technisch notwendige Speicher

Wir setzen ausschliesslich technisch notwendige Cookies und Speicherwerte ein (Sitzungs-Cookie, CSRF-Token, Sprachpraeferenz, Theme). Tracking- oder Marketing-Cookies werden nicht eingesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich) und Art. 6 Abs. 1 lit. f DSGVO.

6. Empfaenger und Auftragsverarbeiter

  • Spektralis BIG UG (haftungsbeschränkt) i.G. – Auftragsverarbeiterin der Pisarek & Ilic OHG fuer alle Beratungs- und Kundendaten (AV-Vertrag nach Art. 28 DSGVO).
  • Hetzner Online GmbH, Industriestrasse 25, 91710 Gunzenhausen, DeutschlandHosting der Server, Datenbank und Anwendung (Unter-Auftragsverarbeiter).
  • Apple Inc., One Apple Park Way, Cupertino, CA 95014, USAPush-Versand an iOS-Geraete (APNs) (Auftragsverarbeiter (Drittland - EU-US Data Privacy Framework)).
  • Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USAPush-Versand an Android-Geraete (FCM) (Auftragsverarbeiter (Drittland - EU-US Data Privacy Framework)).
  • 650 Industries, Inc. (Expo), 650 Castro St., Suite 120-219, Mountain View, CA 94041, USAPush-Vermittlung ueber Expo Push API (Auftragsverarbeiter (Drittland - EU-US Data Privacy Framework)).

Mit allen Auftragsverarbeitern bestehen Vertraege gem. Art. 28 DSGVO. Eine vollstaendige, jeweils aktuelle Subprocessor-Liste haelt Spektralis BIG UG (haftungsbeschränkt) i.G.auf Anfrage bereit.

7. Drittlandtransfer

Bei Versand von Push-Nachrichten kann ein Transfer in die USA (Apple, Google, Expo) stattfinden. Dieser stuetzt sich auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023, fuer alle drei genannten Anbieter zertifiziert) und/oder Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Es werden ausschliesslich technisch erforderliche Daten (Geraete-Token, Notification-Payload) uebermittelt – keine Klartext-Inhalte sensibler Beratung.

8. Speicherdauern

  • Konto-Stammdaten: bis 30 Tage nach Konto-Loeschung; danach Loeschung, sofern keine handels- oder steuerrechtlichen Aufbewahrungspflichten bestehen (typ. 6 bzw. 10 Jahre, § 257 HGB, § 147 AO).
  • Beratungs- und Chatdaten, Anhaenge: gemaess den Aufbewahrungsrichtlinien der Pisarek & Ilic OHG; Standard: Vertragslaufzeit zuzueglich der gesetzlichen Verjaehrungs- und Aufbewahrungsfristen (im Regelfall 3 Jahre gem. § 195 BGB, bei handels- und steuerrechtlich relevanten Unterlagen bis zu 10 Jahre gem. § 257 HGB, § 147 AO). Danach werden die Daten geloescht oder anonymisiert.
  • Audit-Logs: bis zu 24 Monate, anschliessend Archivierung bzw. Loeschung.
  • Push-Tokens: bis zur Abmeldung des Geraets oder Inaktivitaet ueber 90 Tage.
  • Consent-Records: dauerhaft als Nachweis gem. Art. 7 Abs. 1 DSGVO.

8a. Externe Dritt-Nutzer (Handwerker, Gutachter, Dienstleister)

Neben Kundinnen und Kunden nutzen auch externe Dritt-Nutzer (z. B. Handwerker, Gutachter, Dienstleister) die Plattform. Für diese verarbeiten wir Konto- und Sicherheitsdaten (E-Mail, Anmeldung, MFA, IP-Adresse, Geräte-Tokens, Sitzungs- und Audit-Logs) sowie die Kommunikationsdaten in den ihnen ausdrücklich zugewiesenen Themen-Chats. Dritt-Nutzer haben keinen Zugriff auf andere Kunden, Chats oder Dokumente außerhalb der ihnen zugewiesenen Themen; der Zugriff endet, sobald ein Thema geschlossen wird.

Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b) sowie die bei der Einrichtung erteilten Einwilligungen. Dritt-Nutzer haben dieselben Betroffenenrechte (Abschnitt 9) einschließlich des Rechts auf Löschung des eigenen Kontos (Self-Service im Profil unter „Konto").

9. Ihre Rechte

Sie haben jederzeit folgende Rechte gegenueber dem jeweils Verantwortlichen:

  • Auskunft ueber Ihre verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Loeschung (Art. 17 DSGVO)
  • Einschraenkung der Verarbeitung (Art. 18 DSGVO)
  • Datenuebertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung fuer die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen zu Beratungs-/Kundendaten richten Sie an die Pisarek & Ilic OHG. Anfragen zum Plattform-Konto an [TODO-UG: datenschutz@firma.de]. Sie koennen sich aber auch an einen der beiden Verantwortlichen wenden, wir leiten intern weiter.

10. Beschwerderecht bei der Aufsichtsbehoerde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Zustaendig ist insbesondere:

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4, 40213 Duesseldorf
www.ldi.nrw.de

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklaerung anzupassen, um sie an geaenderte Rechtslagen oder Funktionsumfänge anzupassen. Wesentliche Änderungen werden Ihnen vor Wirksamwerden in der App angezeigt; gegebenenfalls werden neue Einwilligungen ueber die Zustimmungsseite eingeholt.

Letzte Aktualisierung: 2026-02-24. Versionierung der jeweils geltenden Einwilligungsfassungen erfolgt im System (siehe Zustimmungsseite).