Datenschutzerklärung
Kurzüberblick
Empower Connect ist ein Offline-First-CRM für freigeschaltete Vertriebspartner eines geschlossenen Vertriebssystems. Es gibt keine öffentliche Registrierung, keine Gastzugänge, keine Werbung und keine werbliche Profilbildung.
- CRM-Daten wie Kontakte, Termine, Aufgaben, Aktivitäten und Wiedervorlagen werden standardmäßig ausschließlich lokal auf dem Endgerät verarbeitet.
- Eine automatische Cloud-Synchronisierung findet nicht statt.
- Ein optionales Backup kann durch den Benutzer aktiv ausgelöst werden; dabei werden CRM-Daten verschlüsselt übertragen und serverseitig verschlüsselt gespeichert.
- PostHog EU Cloud wird für deaktivierbare Nutzungsanalyse und Crash Reporting eingesetzt; Werbeanalysen, Remarketing und Weitergabe an Werbenetzwerke finden nicht statt.
Verantwortlicher Anbieter
| Feld | Angabe |
|---|---|
| Verantwortlicher | Antony Fedrigotti, Antony Fedrigotti Erfolgsstrategien |
| Anschrift | Steinerne Furt 78, 86167 Augsburg, Deutschland |
| Telefon | 0821 7499358 |
| Telefax | 0821 7499360 |
| info@fedrigotti.de | |
| Datenschutzbeauftragter | Es ist kein Datenschutzbeauftragter bestellt. |
Anfragen zum Datenschutz können jederzeit an info@fedrigotti.de gerichtet werden.
Rollen und Verantwortlichkeit für CRM-Kontaktdaten
Benutzer können personenbezogene Daten Dritter speichern, beispielsweise Daten von Interessenten, Kunden, Leads, Partnern und sonstigen Kontakten.
Der jeweilige Benutzer entscheidet eigenständig, welche Kontaktdaten er in Empower Connect speichert, pflegt, nutzt, löscht oder exportiert. Für diese CRM-Kontaktdaten ist der Benutzer datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
Der Anbieter stellt hierfür die technische App- und Serverinfrastruktur bereit. Solange Daten nur lokal auf dem Endgerät verarbeitet werden, erhält der Anbieter keinen Zugriff auf diese CRM-Kontaktdaten.
Wird die optionale Backupfunktion genutzt, verarbeitet der Anbieter die Backupdaten ausschließlich im Auftrag des Benutzers. Hierfür ist der bereitgestellte AV-Vertrag nach Art. 28 DSGVO abzuschließen oder elektronisch zu akzeptieren.
Benutzerkonto und Login
| Daten | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Vorname, Nachname | Freischaltung, Benutzerverwaltung, Zuordnung im geschlossenen Vertriebssystem | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung oder bis gesetzliche Aufbewahrungspflichten entgegenstehen |
| E-Mail-Adresse | Login, Kommunikation zum Konto, Sicherheits- und Servicehinweise | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Passwort-Hash | Authentifizierung im CMS/Portal | Art. 6 Abs. 1 lit. b und lit. f DSGVO | Bis zur Kontolöschung oder Passwortänderung |
| Access Token | Authentifizierung der App gegen die REST API | Art. 6 Abs. 1 lit. b DSGVO | Bis Abmeldung, Ablauf, Widerruf oder Kontolöschung |
Das Passwort wird nicht in der App gespeichert. Nach erfolgreichem Login erhält die App einen Access Token. Die weitere Authentifizierung gegen api.empower-your-life.de erfolgt ausschließlich über diesen Token. Cookies und serverseitige Sessions werden für die API nicht eingesetzt.
Der Access Token wird im sicheren App-Speicher verschlüsselt abgelegt.
Lokale CRM-Verarbeitung
Die App ist offline-first konzipiert. CRM-Daten liegen primär in einer lokalen SQLite-Datenbank auf dem Endgerät. Aktuell ist diese lokale Datenbank nicht verschlüsselt. Zukünftige Versionen sollen eine lokale Datenbankverschlüsselung vorsehen.
- Kontaktverwaltung
- Terminverwaltung
- Aktivitäten und Wiedervorlagen
- Aufgaben und CRM-Unterstützung
Diese lokalen CRM-Daten werden ohne aktiv ausgelöstes Backup nicht an den Anbieter übermittelt.
Optionale Backups
Backups sind optional und werden vom Benutzer aktiv ausgelöst. Zukünftige Versionen können automatische Backups vorsehen, sofern der Benutzer diese Funktion einschaltet oder ihr zustimmt.
Beim Backup werden sämtliche CRM-Daten übertragen, jedoch keine Passwörter. Die Übertragung erfolgt verschlüsselt. Backups werden serverseitig verschlüsselt gespeichert; der Schlüssel basiert auf dem gerätebezogenen Token.
Der Benutzer kann Backups löschen und sein Konto löschen. Bei Löschung werden die betroffenen Backupdaten sofort gelöscht; eine Wiederherstellung ist danach nicht möglich.
Berechtigungen des Endgeräts
| Berechtigung | Nutzung | Grenzen |
|---|---|---|
| Kontakte | Leseberechtigung zum Import vorhandener Telefonkontakte | Keine Schreibrechte, keine Änderung des Telefonbuches, keine Synchronisierung mit dem Telefonbuch |
| Kalender | Lesen und Schreiben für eigene Termine und Kollisionsprüfung | Keine Analyse bestehender Kalenderdaten, keine Auswertung fremder Termine |
| Benachrichtigungen | Lokale Push-Benachrichtigungen für Erinnerungen | Keine Remote Pushs, keine Marketing-Pushs, keine Werbung |
| Öffnen von WhatsApp über Deeplink | Kein API-Zugriff und keine WhatsApp-Datenverarbeitung durch den Anbieter |
PostHog Analytics und Crash Reporting
Der Anbieter setzt PostHog EU Cloud ein. Nach Anbieterangaben wird die EU Cloud auf Servern in Frankfurt betrieben. PostHog wird für deaktivierbare Produktanalyse und Crash Reporting verwendet.
Es erfolgen keine Werbeanalysen, keine personalisierte Werbung, kein Remarketing und keine Weitergabe an Werbenetzwerke. Soweit möglich sind Ereignisse datenarm zu konfigurieren und nicht mit CRM-Inhalten zu befüllen.
| Datenkategorie | Zweck | Rechtsgrundlage | Hinweis |
|---|---|---|---|
| Technische Ereignisdaten | Fehleranalyse, Stabilität, Produktverbesserung | Art. 6 Abs. 1 lit. f DSGVO oder Einwilligung, soweit erforderlich | Analytics muss deaktivierbar sein |
| Crashdaten | Fehlerbehebung und Sicherheit | Art. 6 Abs. 1 lit. f DSGVO | Keine CRM-Inhalte in Crashberichten übermitteln |
API, Cookies und TDDDG
Die REST API unter api.empower-your-life.de verwendet Access Tokens und keine Cookies oder klassischen Sessions. Soweit Informationen im sicheren App-Speicher oder auf dem Endgerät gespeichert oder ausgelesen werden, erfolgt dies für die Bereitstellung der vom Benutzer angeforderten App-Funktionen.
Nicht zwingend erforderliche Analysefunktionen sind deaktivierbar und dürfen nur im Rahmen der jeweils erforderlichen Rechtsgrundlage genutzt werden.
Keine KI, keine Werbung, keine automatisierten Entscheidungen
- Keine KI-Funktionen und keine generativen Modelle.
- Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.
- Keine Werbung, keine Werbeprofile, keine personalisierte Werbung und kein Remarketing.
Empfänger und Unterauftragsverarbeiter
Daten werden nur verarbeitet, soweit dies für Betrieb, Sicherheit, Support, optionale Backups, Analyse oder Crash Reporting erforderlich ist.
- PostHog EU Cloud für deaktivierbare Produktanalyse und Crash Reporting.
- netcup GmbH für technische Hosting- und Infrastrukturleistungen für Portal, API und Backup-Speicher.
Drittlandübermittlungen
Die Verarbeitung soll grundsätzlich in der EU bzw. im EWR erfolgen. Soweit ein Dienstleister ausnahmsweise Zugriff aus einem Drittland erhält oder eine Drittlandübermittlung stattfindet, erfolgt dies nur bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien wie EU-Standardvertragsklauseln.
Speicherdauer und Löschkonzept
| Datenbereich | Löschung |
|---|---|
| Lokale CRM-Daten | Durch den Benutzer in der App oder bei Deinstallation nach Betriebssystemlogik |
| Konto | Auf Antrag bzw. durch Kontolöschfunktion; Löschung der aktiv verwalteten Kontodaten, soweit keine Pflichten entgegenstehen |
| Backups | Sofortige Löschung bei Backup- oder Kontolöschung; keine Wiederherstellung |
| Tokens | Widerruf, Ablauf, Abmeldung oder Kontolöschung |
| Analyse-/Crashdaten | Nach Zweckfortfall bzw. entsprechend der konfigurierten Aufbewahrung im Analysewerkzeug |
Rechte betroffener Personen
Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen.
Soweit Anfragen CRM-Kontaktdaten betreffen, für die ein Benutzer Verantwortlicher ist, sind diese Anfragen grundsätzlich an den jeweiligen Benutzer zu richten. Der Anbieter unterstützt den Benutzer im Rahmen des AV-Vertrags, soweit der Anbieter durch optionale Backups als Auftragsverarbeiter eingebunden ist.
Betroffene Personen können sich zudem bei einer Datenschutzaufsichtsbehörde beschweren.
Sicherheitsmaßnahmen
- Tokenbasierte API-Authentifizierung.
- Verschlüsselte Übertragung von Backups.
- Serverseitig verschlüsselte Backup-Speicherung.
- Speicherung des Tokens im sicheren App-Speicher.
- Keine Passwortspeicherung in der App.
- Rollenklärung und AV-Vertrag für Backupdaten.
Weitere technische und organisatorische Maßnahmen sind im Dokument TOM beschrieben.
Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird angepasst, wenn Funktionen, Rechtslage, Dienstleister oder technische Verarbeitung wesentlich geändert werden. Die jeweils aktuelle Fassung wird in der App und auf der Website bereitgestellt.