VPS-Hosting (Webserver, Anwendungen, Datenbank)

Anbieter: Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern (operativ: HOSTINGER operations, UAB · Svitrigailos str. 34, Vilnius 03230 Litauen).

Hostinger erfasst beim Aufruf der Website Logfiles inklusive IP-Adressen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die Verarbeitung erfolgt innerhalb der EU.

Domainregistrierung & DNS

Anbieter: Hostinger International Ltd. (siehe oben). Hostinger verwaltet sowohl das VPS-Hosting als auch die Domain und die DNS-Einträge dieser Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann.

Hinweis zur verantwortlichen Stelle

Datenschutzbeauftragter

Die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG besteht für das hier betriebene Unternehmen nicht, da weder eine umfangreiche regelmäßige Datenverarbeitung im Sinne des Art. 37 Abs. 1 DSGVO erfolgt noch die Schwelle von 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, erreicht wird. Datenschutz-Anliegen richten Sie bitte unmittelbar an den Verantwortlichen unter info@kreditreich.de.

Rechtsgrundlagen der Datenverarbeitung

• Sofern Sie eingewilligt haben: Art. 6 Abs. 1 lit. a DSGVO (z. B. SCHUFA-Bonitätsabfrage, DOI-Bestätigung)
• Vertragsanbahnung & Vertragserfüllung: Art. 6 Abs. 1 lit. b DSGVO (Kreditvermittlung, Versicherungsmakler-Tätigkeit)
• Rechtliche Verpflichtungen: Art. 6 Abs. 1 lit. c DSGVO (z. B. HGB- und AO-Aufbewahrungspflichten)
• Berechtigte Interessen: Art. 6 Abs. 1 lit. f DSGVO (z. B. Sicherheit der Website, Logfiles)

Speicherdauer

Konkrete Speicherfristen nach Datenkategorie:

Empfänger von personenbezogenen Daten

Wir geben personenbezogene Daten nur dann an externe Stellen weiter, wenn dies zur Vertragserfüllung erforderlich ist (insbesondere an Banken, Sparkassen, Versicherer im Rahmen der Kreditvermittlung — siehe Abschnitt 7), wir gesetzlich hierzu verpflichtet sind oder ein berechtigtes Interesse besteht.

Widerruf Ihrer Einwilligung

Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt unberührt.

Widerspruchsrecht (Art. 21 DSGVO)

Beschwerderecht bei der Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Zuständige Behörde für unseren Sitz: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2-4, 40213 Düsseldorf.

Recht auf Datenübertragbarkeit, Auskunft, Berichtigung, Löschung, Einschränkung

Sie haben das Recht, Ihre Daten in maschinenlesbarem Format zu erhalten, sowie Auskunft über die gespeicherten Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen. Setzen Sie sich hierzu jederzeit unter den oben genannten Kontaktdaten mit uns in Verbindung.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://“ in der Adresszeile und am Schloss-Symbol in Ihrem Browser. Personenbezogene Daten (Name, Anschrift, E-Mail, Telefon, IBAN) werden zusätzlich in der Datenbank mit AES-256-GCM symmetrisch verschlüsselt gespeichert. Antragsdaten (Einkommen, Vermögen, Verbindlichkeiten) werden ebenfalls AES-256-GCM verschlüsselt. Für Suchspalten (z. B. E-Mail-Login) verwenden wir HMAC-SHA256-Hashes — reversible Datenextraktion ist daraus nicht möglich.

Widerspruch gegen Werbe-E-Mails

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen.

Cookies

Auf unserer Website werden ausschließlich technisch notwendige Cookies gesetzt, die für den Betrieb der Website erforderlich sind (z. B. Session-Verwaltung, Login-Status im geschützten Berater-Bereich). Eine Einwilligung ist hierfür nach § 25 Abs. 2 TTDSG nicht erforderlich.

Es werden keine Tracking-, Analyse- oder Marketing-Cookies gesetzt. Wir nutzen kein externes Webanalyse-Tool (Google Analytics, Matomo o. Ä.).

Sie können Ihren Browser so einstellen, dass Cookies nur im Einzelfall erlaubt oder generell ausgeschlossen werden. Die Funktionalität dieser Website kann eingeschränkt sein, wenn Sie Cookies deaktivieren.

Server-Logfiles

Beim Aufruf unserer Seiten erfasst der Provider automatisch Informationen in sogenannten Server-Logfiles: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage, IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Schutz vor Brute-Force-Angriffen

Zur Abwehr automatisierter Anmeldeversuche auf den geschützten Berater-Bereich speichern wir bei fehlgeschlagenen Anmeldungen die IP-Adresse, den verwendeten Benutzernamen sowie einen Sperrstatus für bis zu 24 Stunden in unserer Datenbank. Die Daten werden ausschließlich serverseitig verarbeitet, nicht an Dritte übermittelt und nach Ablauf der Sperrfrist automatisch gelöscht.

Eingesetztes Verfahren: serverseitige Rate-Limit-Logik (zentral im Plugin, ohne externe Cloud-Anbindung) sowie Audit-Log für Sicherheits-Events.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unseres IT-Systems).

Wordfence Security (Firewall & Malware-Scan)

Zusätzlich setzen wir das Sicherheits-Plugin Wordfence als Web-Application-Firewall (WAF), zur Erkennung von Schadcode und zum Schutz vor automatisierten Angriffen ein. Anbieter: Defiant Inc., 800 5th Avenue Suite 4100, Seattle, WA 98104, USA (wordfence.com/privacy).

Wordfence verarbeitet zur Erfüllung dieser Schutzfunktionen IP-Adressen, Anfrage-Header und Anfrage-Inhalte. Verdächtige Anfrage-Muster können an die Wordfence-Cloud zur Klassifikation und zum Abgleich mit aktuellen Bedrohungslisten übermittelt werden. Für etwaige Übermittlungen in die USA stützt sich die Verarbeitung auf Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende technische und organisatorische Schutzmaßnahmen. Mit Defiant Inc. besteht ein gegengezeichnetes Data Processing Addendum (DPA) gem. Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Angriffen auf unsere IT-Systeme).

Kontakt- und Antragsformulare

Wenn Sie uns über ein Kontakt- oder Antragsformular Anfragen zukommen lassen, werden Ihre Angaben inklusive der Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Speicherdauer siehe Tabelle in Abschnitt 3.

Anfrage per E-Mail, Telefon oder Telefax

Wenn Sie uns per E-Mail, Telefon oder Telefax kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Keine externe Webanalyse

Wir setzen kein externes Webanalyse-Werkzeug ein. Insbesondere nutzen wir weder Google Analytics noch Matomo, Piwik PRO oder vergleichbare Dienste. Es findet keine Erstellung von Nutzerprofilen, kein Cross-Site-Tracking und keine Übermittlung von Besucherdaten an Dritte zu Analyse- oder Marketingzwecken statt.

Eine Auswertung der Server-Logfiles erfolgt ausschließlich zur technischen Sicherstellung des Website-Betriebs (siehe Abschnitt 4, Server-Logfiles).

Zur Bearbeitung und Ablage Ihrer Vorgangsunterlagen nutzen wir je nach Zweck und Sensibilität der Daten unterschiedliche Speicher-Systeme. In allen Fällen besteht ein angemessenes Schutzniveau und (soweit anwendbar) ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

VPS-interner verschlüsselter Speicher

Vorgangsunterlagen, die Sie über unsere Antragsformulare hochladen, werden primär auf demselben EU-Server (siehe Abschnitt 2) gespeichert. Der Zugriff erfolgt nur durch berechtigte Mitarbeiter über den authentifizierten Berater-Bereich. Personenbezogene Inhalte werden zusätzlich AES-256-GCM verschlüsselt abgelegt.

Microsoft 365 / OneDrive for Business

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland.

Soweit Vorgangsunterlagen für die weitere Bearbeitung in unsere Microsoft-365-Umgebung überführt werden, erfolgt die Datenverarbeitung überwiegend innerhalb der EU. Für etwaige Übermittlungen in die USA besteht eine Zertifizierung nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Mit Microsoft besteht ein AVV gem. Art. 28 DSGVO über das „Microsoft Products and Services Data Protection Addendum“ (DPA). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Weitere Informationen: dataprivacyframework.gov

Google Drive

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Für etwaige Übermittlungen in die USA besteht ebenfalls eine Zertifizierung nach dem EU-US Data Privacy Framework. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Weitere Informationen: dataprivacyframework.gov

Nextcloud

Für besonders sensible Dokumente nutzen wir eine Nextcloud-Instanz, DSGVO-konform innerhalb der Europäischen Union gehostet. Es findet keine Weitergabe an Dritte statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Im Rahmen unserer Tätigkeit als Vermittler übermitteln wir Ihre personenbezogenen Daten an folgende Empfänger. Rechtsgrundlage ist jeweils Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung) sowie für die SCHUFA-Abfrage zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Kreditvermittlungsplattform Europace

Anbieter: Europace AG, Klosterstraße 71, 10179 Berlin (europace.de).

Wir nutzen die Plattform „KreditSmart“ von Europace zur Übermittlung Ihrer Anfrage und der dazugehörigen Unterlagen an angeschlossene Banken und Sparkassen. Mit Europace besteht ein AVV nach Art. 28 DSGVO. Die Datenverarbeitung erfolgt innerhalb der EU.

Bonitätsabfrage SCHUFA

Anbieter: SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden (schufa.de/datenschutz).

Im Rahmen der Kreditvermittlung erfolgt eine Bonitätsabfrage durch das jeweils anbietende Kreditinstitut bei der SCHUFA. Voraussetzung ist Ihre ausdrückliche Einwilligung im Antragsformular (separate Checkbox). Die Einwilligung können Sie jederzeit für die Zukunft widerrufen; ein Widerruf wirkt sich nicht auf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung aus. Detailinformationen zur SCHUFA-Verarbeitung: schufa.de/datenschutz.

Banken, Sparkassen, Versicherer und Bausparkassen

Im Rahmen der Vermittlung übermitteln wir Ihre Daten an die jeweils ausgewählten Produktpartner (Banken, Sparkassen, Versicherer, Bausparkassen). Eine aktuelle Liste der Produktpartner stellen wir Ihnen auf Anfrage zur Verfügung. Verarbeitung erfolgt überwiegend innerhalb der EU.

Für den Versand transaktionaler E-Mails (insbesondere Bestätigungs-, Einwilligungs- und Vertragsunterlagen-Mails wie z. B. die Double-Opt-In-Bestätigung) nutzen wir den E-Mail-Versanddienst SendGrid.

Anbieter: Twilio Inc., 101 Spear Street, 5th Floor, San Francisco, CA 94105, USA, vertreten in der EU durch Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, Irland (twilio.com/legal/privacy).

Verarbeitete Daten: E-Mail-Adresse, Name, Inhalt der versendeten Nachricht, Zustellungs-Status (Delivered / Bounced / Opened) sowie technische Metadaten zum Versand. Mit Twilio/SendGrid besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) gem. Art. 28 DSGVO. Für Übermittlungen in die USA besteht eine Zertifizierung nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (zuverlässige Mail-Zustellung). Speicherdauer der versendeten Mails siehe Abschnitt 3.

Weitere Informationen zum DPF-Status: dataprivacyframework.gov