Datenschutz liegt uns am Herzen

Unsere Software ist ein Vertrauens- und Sicherheitsprodukt, darum verzichten wir auf Marketing-Datenerhebung in unserem Produkt. Zusätzlich verpflichten wir uns als deutsches Unternehmen, alle personenbezogenen Daten, die wir zu Betriebszwecken erheben (müssen), ausschließlich in der EU zu speichern. Beim Kauf via Self-Service in der App schließt das auch die UK mit ein. Das
sagen wir übrigens nicht einfach nur so, in unserem Auftrags-verarbeitungsvertrag ist das genau so festgelegt und kann jederzeit nachgelesen werden. Darüber hinaus sind wir auch transparent mit unseren Unterauftragsverarbeitern, die Liste kann jederzeit hier eingesehen werden.

Wir haben außerdem festgelegt, dass die Aufnahme von Anbietern außerhalb des Europäischen Wirtschaftsraums eine expliziten Einwilligung durch den Kunden benötigt (§7 in unserem AVV). D.h. wir können nicht einfach “durch die Hintertür” weitere Unterauftragsverarbeitern einführen. Um diese Bedingungen zu schützen und die Umsetzung zu garantieren, haben wir zahlreiche technische und organisatorische Maßnahmen etabliert. All diese Maßnahmen wurde zusätzlich von der activeMind AG geprüft.

Schon in der frühen Entwicklungsphase von heylogin war uns klar: Marketing-Tracker haben in unserer Software nichts zu suchen. Im Exodus-Report von heylogin kann man das auch jederzeit überprüfen. Wir sind stolz darauf, neben 1Password und wenigen anderen zu den Ausnahmen auf dem Passwort-Manager-Markt zu gehören, die auf Marketing-Tracker verzichten. Um dennoch Fehler automatisiert zu erfassen und zu beseitigen, nutzen wir "Sentry" (als Tracker von Exodus erkannt) ein selbst-gehostetes Fehler-Reporting der heylogin GmbH. Dabei werden keine personenbezogenen Daten gesammelt, die nicht bereits durch den heylogin-Account bekannt sind. Da das System selbstgehostet ist, werden keine Daten an Drittanbieter übertragen.

Zusätzlich zu allen bisherigen Maßnahmen halten wir uns auch an die Vorgabe zur Datenminimierung nach DSGVO. Das heißt im Fall von heylogin.app, dass wir nur die Daten sammeln, die wir wirklich brauchen, also die E-Mail der Nutzer*innen und die Organisationsnamen. Zur Fehlerfindung und -Behebung sehen wir außerdem noch Kommunikationsdaten zwischen Smartphone, Server und Browser-Erweiterung, allerdings nicht den Inhalt der Kommunikation. Alle anderen in heylogin gespeicherten Daten sind Ende-zu-Ende-verschlüsselt und nur vom jeweiligen Nutzenden zugänglich, aber nicht für uns.

Ist es Ihnen schon aufgefallen? Unsere Webseite heylogin.com hat kein Cookie-Banner. Der ist nämlich nur nötig, wenn automatisch beim Öffnen der Seite via Tracking-Cookies personenbezogene Daten gesammelt werden. Wir nutzen keine Tracking-Cookies, sondern nur aggregierte Nutzungsdaten für unser Marketing. Dafür setzen wir auf Plausible, da hier entsprechende Einstellungen für eine angemessene Datenschutzeinhaltung möglich sind. Mehr dazu gibt es hier.

Sollten wir doch personenbezogene Daten verarbeiten erfragen wir in dem Moment eine explizite Zustimmung von Ihnen. Beispielsweise bei Nutzung des Chats oder Buchung eines Video-Calls.