Datenschutzhinweise und Datenschutzerklärung der HYPOFACT AG

Diese Datenschutzhinweise informieren Sie darüber, wie die HYPOFACT AG und – in Überblicksform – mit uns kooperierende Vermittler personenbezogene Daten verarbeiten, wenn Sie

• unsere Website besuchen,
• mit uns Kontakt aufnehmen,
• eine Finanzierungsanfrage stellen oder beraten werden,
• unsere digitalen Services, Plattformen, Cloud- und KI-gestützten Werkzeuge nutzen.

Wesentliche Punkte:

• Verantwortlich ist die HYPOFACT AG, Grußdorfstr. 3, 13507 Berlin.
• Wir verarbeiten Daten zur Vertragsanbahnung und -durchführung, zur Beratung, zur Erfüllung gesetzlicher Pflichten und zu internen Verwaltungs- und Analysezwecken.
• Wir setzen Plattformen zur Finanzierungsvermittlung ein (u. a. EUROPACE, Starpool, Baufinex, FORUM, Genopace, eHyp/Home).
• Wir nutzen Dienstleister und Tools, z. B. für Hosting (Mittwald, Hetzner), CRM (Bitrix24), Dokumentenbearbeitung (Adobe, PDF24), Cloud-Office (Microsoft 365/OneDrive, Google Drive/Workspace), KI-basierte Assistenten (z. B. Siri, Gemini, ChatGPT) und Videokonferenzen.
• Sie haben umfangreiche Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerderecht).

1.1 Verantwortlicher für diese Datenschutzhinweise

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für diese Datenschutzhinweise ist:

HYPOFACT AG
Grußdorfstr. 3
13507 Berlin
Telefon: 030 437 447 900
E-Mail: info@hypofact.de

1.2 Mit der HYPOFACT AG kooperierende Vermittler

Die mit der HYPOFACT AG kooperierenden Vermittler sind rechtlich selbstständige Unternehmen und in der Regel eigenständige Verantwortliche im Sinne der DSGVO. Für die Datenverarbeitung in deren eigener Verantwortlichkeit sind sie verpflichtet, eigene Datenschutzinformationen zur Verfügung zu stellen.

Zur Struktur des Markenvertriebs: Die HYPOFACT AG vermittelt Finanzprodukte unter der eingetragenen Marke „HYPOFACT“ und betreibt gleichzeitig einen Markenvertrieb mit rechtlich selbstständigen Vermittlern („HYPOFACT-Markenpartner“ oder „HYPOFACT-Finanzpartner“). Diese kooperierenden Vermittler agieren unter regionalen Lizenzrechten bzw. als Teil einer Einkaufs-, Qualitäts- und Vermittlungsgemeinschaft, bleiben jedoch stets eigenständige und selbstständige Unternehmen und damit eigenständige Verantwortliche für ihre Datenverarbeitung.

Um eine einheitliche und verständliche Information zu ermöglichen, können unsere Vermittler eine verkürzte Datenschutzhinweis-Seite verwenden, die auf diese ausführliche Datenschutzerklärung der HYPOFACT AG verweist und diese – soweit einschlägig – zum Bestandteil ihrer eigenen Datenschutzhinweise macht. In diesem Fall gilt: Diese Datenschutzerklärung beschreibt die Datenverarbeitung durch die HYPOFACT AG sowie – ergänzend – diejenigen Verarbeitungsvorgänge der jeweiligen Vermittler, die auf der Zusammenarbeit mit der HYPOFACT AG und der Nutzung der hier dargestellten Systeme und Plattformen beruhen.

Für darüber hinausgehende, eigenständige Verarbeitungstätigkeiten eines Vermittlers (z. B. eigene Marketingmaßnahmen, eigene IT-Systeme oder zusätzliche Dienstleister) bleibt der Vermittler allein verantwortlich und hat diese in eigenen ergänzenden Datenschutzhinweisen darzustellen.

Sofern Sie nicht sicher sind, welches Unternehmen im Einzelfall verantwortlich ist, unterstützen wir Sie gerne bei der Zuordnung.

1.3 Datenschutzbeauftragter

Für die HYPOFACT AG ist ein Datenschutzbeauftragter bestellt:

IITR Datenschutz GmbH
Dr. Sebastian Kraska
Marienplatz 2
80331 München
Telefon: 089 1891 7360
E-Mail: dsb@hypofact.de

1.4 Für wen gelten diese Hinweise?

Diese Datenschutzhinweise gelten insbesondere für

• Besucher unserer Websites und Online-Angebote,
• Interessenten und Kunden in Bezug auf Finanzierungs- und Beratungsleistungen,
• Ansprechpartner bei Banken, Produktgebern und sonstigen Geschäftspartnern.

2.1 Kategorien personenbezogener Daten

Je nach Vorgang verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

• Stammdaten (z. B. Name, Anschrift, Kontaktdaten, Geburtsdatum),
• Vertrags- und Finanzierungsdaten (z. B. Darlehenswünsche, Laufzeiten, Raten, Kontoverbindung),
• Daten zum zu finanzierenden Objekt (z. B. Adresse, Objektart, Kaufpreis),
• Daten zur wirtschaftlichen Situation (z. B. Einkommen, Ausgaben, Vermögens- und Schuldverhältnisse),
• Kommunikationsdaten (z. B. Inhalte aus E-Mails, Telefonnotizen, Beratungsdokumentation),
• IT- und Nutzungsdaten (z. B. IP-Adresse, Logfiles, Cookie- und Geräteinformationen bei Web- und Toolnutzung).

2.2 Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

• Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), z. B.:
  • Prüfung von Finanzierungsanfragen,
  • Durchführung von Beratungen,
  • Vermittlung von Darlehen und sonstigen Finanzprodukten.
• Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO), z. B.:
  • Aufbewahrungsfristen nach Handels-, Steuer- und Geldwäscherecht,
  • Prüf- und Meldepflichten gegenüber Behörden.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), z. B.:
  • Optimierung von Prozessen und IT-Sicherheit,
  • Abwehr und Durchsetzung rechtlicher Ansprüche,
  • interne Auswertungen (z. B. zur Steuerung unseres Geschäfts).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), z. B.:
  • für bestimmte Marketingmaßnahmen (Newsletter, Werbung),
  • für den Einsatz nicht zwingend erforderlicher Cookies/Analysetools,
  • für bestimmte KI-gestützte Verarbeitungen oder Datenübermittlungen in Drittländer, soweit erforderlich.

2.3 Quellen der Daten

Wir erhalten personenbezogene Daten in der Regel

• direkt von Ihnen (z. B. über Formulare, im Beratungsgespräch, per E-Mail oder Telefon),
• von mit uns zusammenarbeitenden Tippgebern, Vermittlern, Kooperationspartnern und Markenpartnern,
• von Produktgebern (Banken, Bausparkassen, Versicherungen), soweit dies zur Abwicklung erforderlich ist,
• von Auskunfteien oder sonstigen Dritten (z. B. Grundbuchämter, Arbeitgeber), soweit dies im Rahmen einer Finanzierung notwendig und zulässig ist,
• aus öffentlich zugänglichen Quellen (z. B. Register, Websites), soweit dies zulässig ist.

2.4 Empfänger und Kategorien von Empfängern

Empfänger personenbezogener Daten sind insbesondere:

• Banken, Bausparkassen, Versicherungen und sonstige Produktgeber,
• Plattformbetreiber (z. B. EUROPACE, Starpool, Baufinex, FORUM, Genopace, eHyp/Home),
• IT- und Hosting-Dienstleister (u. a. Mittwald, Hetzner),
• Dienstleister und Einkaufsgemeinschaft für Finanzierungsvermittlung (Concordia Service GmbH, Karl-Wiechert-Allee 55, 30625 Hannover)
• CRM-Anbieter (z. B. Bitrix24),
• Tools für Dokumentenbearbeitung (z. B. Adobe, PDF24),
• Cloud- und Office-Dienste (z. B. Microsoft 365/OneDrive, Google Drive/Google Workspace),
• Videokonferenz- und Kollaborationstools,
• KI-basierte Dienste (z. B. Siri, Gemini, ChatGPT), soweit eingesetzt.
• Steuerberater, Wirtschaftsprüfer, Buchhaltungs- und Zahlungsdienstleister (z. B. unsere Hausbanken), soweit dies für Finanzbuchhaltung, Zahlungsabwicklung und zur Erfüllung handels- und steuerrechtlicher Pflichten erforderlich ist.
• Rechtsanwälte, Gerichte, Behörden und Inkassodienstleister, soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Erfüllung rechtlicher Pflichten erforderlich ist.
• Post-, Versand- und Kurierdienstleister, soweit wir Unterlagen oder Informationen physisch versenden.

Soweit Dienstleister in unserem Auftrag tätig werden (Auftragsverarbeiter), schließen wir mit diesen Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO.

2.5 Drittlandübermittlung

Bei einzelnen Diensten (z. B. Google, Microsoft, OpenAI, Apple, bestimmten Videokonferenz- oder KI-Diensten) kann es zu einer Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR kommen, insbesondere in die USA. In diesen Fällen stellen wir – soweit möglich – ein angemessenes Datenschutzniveau sicher, z. B. durch:

• Angemessenheitsbeschlüsse der EU-Kommission,
• Abschluss von EU-Standardvertragsklauseln,
• weitere technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Datenminimierung).

Gleichwohl besteht das Risiko, dass in Drittländern Behörden in Daten eingreifen können, ohne dass Ihnen vollumfängliche Rechtsbehelfsmöglichkeiten wie in der EU zur Verfügung stehen.

Wir weisen darauf hin, dass die Übertragung von Daten im Internet (z. B. bei der Kommunikation per E-Mail) trotz technischer und organisatorischer Schutzmaßnahmen grundsätzlich Sicherheitsrisiken bergen kann. Ein vollständig lückenloser Schutz vor Zugriffen durch unbefugte Dritte ist nicht möglich.

Unsere Website nutzt durchgehend eine Transportverschlüsselung (TLS, erkennbar u. a. an „https://“ und einem Schloss-Symbol im Browser), um die Übermittlung vertraulicher Inhalte – etwa Formulardaten oder Nachrichten – bestmöglich zu schützen.

3.1 Server-Logdateien

Beim Aufruf unserer Website werden automatisiert bestimmte Informationen durch den von uns eingesetzten Hosting-Dienstleister erfasst und in sogenannten Server-Logdateien gespeichert. Dies sind insbesondere:

• IP-Adresse des anfragenden Endgeräts,
• Datum und Uhrzeit des Zugriffs,
• aufgerufene Seiten/Dateien,
• übertragene Datenmenge,
• Referrer-URL,
• verwendetes Betriebssystem und Browsertyp.

Zweckbindung und Datenzusammenführung: Die erfassten Logdateien werden ausschließlich zur Sicherstellung der technischen Funktion und Sicherheit verarbeitet. Eine Zusammenführung dieser Daten mit anderen Datenquellen oder eine Auswertung zu Zwecken der Profilbildung oder der Verhaltensanalyse wird nicht vorgenommen, sofern keine konkreten Anhaltspunkte für eine rechtswidrige Nutzung vorliegen, die eine Beweissicherung erfordern.

Die Verarbeitung erfolgt zur technischen Bereitstellung der Website, zur Sicherstellung der Systemsicherheit und zur Abwehr von Angriffen (Art. 6 Abs. 1 lit. f DSGVO). Die Logdateien werden in der Regel nach kurzer Zeit anonymisiert oder gelöscht, sofern keine weitere Aufbewahrung zu Beweiszwecken erforderlich ist.

3.2 Cookies und vergleichbare Technologien

Wir verwenden auf unserer Website Cookies und ähnliche Technologien (z. B. Local Storage), um grundlegende Funktionen bereitzustellen, die Nutzung zu analysieren und ggf. Marketingmaßnahmen zu steuern.

• Technisch notwendige Cookies
  Diese sind erforderlich, um Ihnen unsere Website bereitzustellen (z. B. zur Sitzungssteuerung, Formularfunktionen, Sicherheitsfunktionen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragsähnliches Nutzungsverhältnis) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, funktionierenden Website) sowie § 25 Abs. 2 TTDSG.
• Komfort-, Analyse- und Marketing-Cookies
  Solche Cookies setzen wir nur mit Ihrer Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen bzw. ändern.

3.3 Consent-Management

Um Ihre Einwilligungen in Cookies und Tools zu verwalten und nachweisen zu können, setzen wir ein Consent-Management-Tool ein. Dieses speichert u. a. Ihre Auswahl, eine pseudonyme Kennung und Zeitstempel. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Pflicht zur Einwilligungsdokumentation) sowie Art. 6 Abs. 1 lit. f DSGVO.

3.4 Webanalyse und Online-Marketing

Soweit in unserem Cookie-Banner ausgewiesen und von Ihnen erlaubt, setzen wir Webanalyse- und Marketing-Dienste (z. B. Google Analytics, Google Ads/Conversion-Tracking oder vergleichbare Dienste) ein. Dabei können pseudonymisierte Nutzungsprofile erstellt werden, um die Nutzung der Website auszuwerten und unsere Angebote zu optimieren.

Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Weitere Details (konkrete Anbieter, Speicherdauer, eingesetzte Cookies) finden Sie im Cookie-Banner bzw. in den dort verlinkten Informationen.

3.5 Externe Inhalte und Links

Unsere Website kann Links zu Angeboten Dritter (z. B. Plattformen, Banken, Vergleichsrechnern) enthalten. Wenn Sie auf solche Links klicken, verlassen Sie unsere Website. Für die Datenverarbeitung durch diese Drittanbieter sind ausschließlich deren eigene Datenschutzhinweise maßgeblich.

4.1 Kontaktformular, E-Mail, Telefon

Wenn Sie uns über Kontaktformulare, per E-Mail, telefonisch oder auf anderem Wege ansprechen, verarbeiten wir Ihre Angaben (z. B. Name, Kontaktdaten, Inhalt der Anfrage) zur Bearbeitung und Beantwortung Ihres Anliegens.

Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen). Soweit Ihre Anfrage auf eine Finanzierungsberatung gerichtet ist, gelten ergänzend die Hinweise in Abschnitt 5.

4.2 Newsletter und werbliche Kommunikation

Sofern wir E-Mail-Newsletter versenden oder Sie sonstige elektronische Werbung erhalten, tun wir dies nur auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 7 UWG) oder einer gesetzlichen Erlaubnis. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; Hinweise hierzu finden Sie in jeder Newsletter-E-Mail.

4.3 Widerspruch gegen unaufgeforderte Werbung

Der Nutzung der im Impressum und an anderer Stelle veröffentlichten Kontaktdaten der HYPOFACT AG und ihren Partnern zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Wir behalten uns im Falle der unverlangten Zusendung von Werbeinformationen – etwa in Form von Spam-E-Mails – rechtliche Schritte vor.

5.1 Haftungsbeschränkung und Leistungsumfang

Ausschluss von Rechts- und Steuerberatung: In keinem Fall handelt es sich bei den Leistungen der HYPOFACT AG und der kooperierenden Vermittler um ein Angebot rechtsberatender oder steuerberatender Tätigkeit. Dies gilt ausdrücklich auch für alle Tätigkeiten im Zusammenhang mit Umschuldungen und Finanzierungen. Für Inhalt und Korrektheit der konkreten Produktangebote sind ausschließlich die jeweiligen Finanzdienstleistungsanbieter verantwortlich.

Ausschluss von Schuldnerberatung: Die HYPOFACT AG und die mit ihr kooperierenden Vermittler bieten ausdrücklich keine Schuldnerberatung an. Interessenten haben sich hierfür nach ihrer Wahl direkt an eine Schuldnerberatungsstelle, eine Verbraucherzentrale oder einen Rechtsanwalt ihres Vertrauens zu wenden.

5.2 Zweck der Verarbeitung

Kern unserer Tätigkeit ist die Beratung und Vermittlung von Finanzierungen und damit verbundenen Produkten (z. B. Baufinanzierungen, Bausparverträge, Versicherungen). Hierfür ist die Verarbeitung umfangreicher personenbezogener Daten erforderlich, um Ihre Situation zu verstehen, passende Angebote zu ermitteln und Anträge bei Produktgebern einzureichen.

5.3 Datenkategorien

Im Rahmen der Beratung und Vermittlung verarbeiten wir u. a. folgende Daten:

• Stammdaten (Name, Kontaktdaten, Familienstand, Staatsangehörigkeit),
• Daten zu Einkommen und Vermögen (Gehalt, Selbstständigeneinkünfte, Mieten, Konten, Kapitalanlagen),
• Daten zu Verbindlichkeiten (bestehende Kredite, Leasing, Verpflichtungen),
• Daten zum Objekt (Lage, Nutzungsart, Kaufpreis, Baujahr u. a.),
• Daten aus eingereichten Unterlagen (z. B. Gehaltsabrechnungen, Kontoauszüge, Steuerbescheide, Grundbuchauszüge),
• Beratungsdokumentationen und interne Vermerke.

5.4 Rechtsgrundlagen

Die Datenverarbeitung im Rahmen der Beratung und Vermittlung erfolgt überwiegend auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen). Ergänzend verarbeiten wir Daten zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO, z. B. nach Geldwäschegesetz) sowie auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO), etwa zur Abwehr von Haftungsansprüchen, zur Qualitätssicherung und Prozessoptimierung.

5.5 Empfänger: Produktgeber und weitere Beteiligte

Zur Anbahnung und Durchführung von Finanzierungsverträgen geben wir – soweit erforderlich – personenbezogene Daten an folgende Kategorien von Empfängern weiter:

• Banken, Sparkassen, Bausparkassen, Versicherer, Bauspar- und Finanzierungsplattformen,
• ggf. Sachverständige, Makler, Gutachter,
• Auskunfteien und sonstige Dritte, soweit dies im Rahmen der Finanzierung erforderlich ist.

Die jeweils betroffenen Produktgeber informieren in ihren eigenen Datenschutzhinweisen über die dortige Datenverarbeitung.

Im Rahmen einzelner Finanzierungsprodukte können zudem spezialisierte Dienstleister für Identifizierungs- (z. B. Video-Ident-Verfahren) und Signaturprozesse (z. B. qualifizierte elektronische Signatur) eingebunden werden. In diesen Fällen übermitteln wir nur die hierfür erforderlichen Daten; die weiteren Details ergeben sich aus den jeweiligen Datenschutzinformationen der beteiligten Produktgeber und Dienstleister.

5.6 Kreditwürdigkeitsprüfung und Auskunfteien

Im Rahmen der Finanzierungsvermittlung kann es erforderlich sein, dass Produktgeber (und in Einzelfällen auch wir selbst) Auskünfte bei Auskunfteien einholen (z. B. SCHUFA Holding AG, CRIF GmbH, Creditreform Boniversum GmbH u. a.). Die Auskunfteien verarbeiten die Daten in eigener Verantwortung. Details entnehmen Sie bitte den jeweiligen Datenschutzhinweisen der Auskunfteien.

5.7 Mit HYPOFACT kooperierende Vermittler

Sofern Sie mit einem HYPOFACT-Markenpartner oder -Finanzpartner zusammenarbeiten, erhält dieser die für die Beratung und Vermittlung erforderlichen Daten. Der jeweilige Vermittler ist in der Regel eigenständig Verantwortlicher im Sinne der DSGVO und informiert Sie in eigenen Datenschutzhinweisen über die dortige Datenverarbeitung.

Für die Bearbeitung von Finanzierungsanfragen und die Auswahl geeigneter Angebote nutzen wir spezialisierte Plattformen deren Accounts auch zu einer Einkaufsgemeinschaft gehören können. Über diese Plattformen werden Finanzierungsanfragen strukturiert erfasst und an Produktgeber übermittelt. Die Plattformbetreiber verarbeiten Daten teilweise in eigener Verantwortung. Nachfolgend ein Überblick (nicht abschließend):

• Concordia Service GmbH, Karl-Wiechert-Allee 55, 30625 Hannover
  Einkaufsgemeinschaft und Dienstleister zur Unterstützung bei der Vermittlung von Baufinanzierungen, Ratenkrediten und Bausparlösungen. Datenschutzhinweise u. a. unter: https://www.concordia.de/datenschutz/
• EUROPACE (u. a. EUROPACE AG, Heidestraße 8, 10557 Berlin)
  Plattform für Immobilienfinanzierungen, Bausparprodukte und Ratenkredite. Weitere Informationen zum Datenschutz finden Sie unter:
  https://europace.de/europace-datenschutz-plattform/
• Starpool
  Plattform für die Vermittlung von Baufinanzierungen und Finanzdienstleistungen. Datenschutzhinweise u. a. unter:
  https://www.starpool.de/datenschutzrichtlinien/
• Baufinex (BAUFINEX GmbH)
  Marktplatz für digitale Baufinanzierung im genossenschaftlichen Verbund. Datenschutzhinweise u. a. unter:
  https://www.baufinex-service.de/datenschutz
• FORUM (FORUM Direktfinanz GmbH & Co. KG)
  Plattform für die Vermittlung von Finanzierungsprodukten. Datenschutzhinweise u. a. unter:
  https://www.forum-direkt.de/datenschutzerklaerung/
• Genopace
  Plattform aus dem genossenschaftlichen Verbund zur Abwicklung von Baufinanzierungen. Details zur Datenverarbeitung entnehmen Sie bitte den Datenschutzhinweisen von Genopace, z. B. über die Website des Anbieters:
  https://www.genopace.de/datenschutzerklaerung/
• eHyp (Home)
  Plattform zum digitalen Abschluss von Finanzierungsanträgen (u. a. angeboten durch die Prohyp GmbH/Interhyp-Gruppe). Datenschutzhinweise u. a. unter:
  https://www.ehyp.de/datenschutz/
• PROCHECK24 (PROCHECK24 GmbH)
  Plattform insbesondere für Ratenkredite und weitere Finanzierungsprodukte. Datenschutzhinweise u. a. unter: https://www.procheck24.de/datenschutz/

Welche Plattform im Einzelfall zum Einsatz kommt, hängt von Ihrem Beratungsfall, dem beteiligten Vermittler und den verfügbaren Produktgebern ab. Nähere Informationen erhalten Sie im Rahmen der Beratung.

7.1 Hosting und E-Mail (Mittwald)

Unsere Website, Datenverarbeitungsskripte zur interne und externen Fachanwendungen und Teile unserer E-Mail-Kommunikation werden bei einem externen Dienstleister gehostet:

Mittwald CM Service GmbH & Co. KG
Königsberger Straße 4–6
32339 Espelkamp
Deutschland
Website: https://www.mittwald.de

Mittwald verarbeitet Server-Logdaten, Metadaten und Inhaltsdaten (z. B. E-Mails) in unserem Auftrag zur Bereitstellung der Website, zur E-Mail-Zustellung und zur Sicherstellung der IT-Sicherheit. Rechtsgrundlage sind Art. 6 Abs. 1 lit. b und lit. f DSGVO. Weitere Informationen zum Datenschutz bei Mittwald finden Sie unter:
https://www.mittwald.de/datenschutz

7.2 Interne Server und KI-Infrastruktur (Hetzner, OLLama)

Für interne und externen Fachanwendungen und KI-unterstützte Dokumentenauswertungen betreiben wir Server bei:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Website: https://www.hetzner.com

Auf Servern von Hetzner setzen wir u. a. die Software OLLama ein, um Dokumente (z. B. Finanzierungsunterlagen) automatisiert vorzustrukturieren und auszuwerten. Dabei können – je nach Konfiguration – lokal laufende Modelle und angebundene Cloud-Modelle externer KI-Anbieter zum Einsatz kommen.

Wir achten darauf, nur die für die jeweilige Auswertung erforderlichen Daten zu verarbeiten und – soweit möglich – Pseudonymisierung/Anonymisierung zu nutzen (z. B. Entfernung direkter Identifikatoren). Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (soweit für die Bearbeitung Ihres Anliegens erforderlich) sowie Art. 6 Abs. 1 lit. f DSGVO (Interesse an effizienter, qualitätsgesicherter Bearbeitung). Soweit Cloud-Modelle eingesetzt werden, die nicht zwingend erforderlich sind, holen wir hierfür – soweit nötig – eine Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO).

Informationen zum Datenschutz bei Hetzner finden Sie unter:
https://www.hetzner.com/de/legal/privacy-policy

7.3 CRM-System (Bitrix24)

Für die Verwaltung von Kunden-, Interessenten- und Vorgangsdaten nutzen wir ein Customer-Relationship-Management-System (CRM) des Anbieters:

Bitrix24
(Bitrix Inc./Bitrix24 Ltd., je nach verwendeter Infrastruktur)
Website: https://www.bitrix24.de

In Bitrix24 speichern wir insbesondere Kontakt- und Kommunikationsdaten, Notizen zu Beratungen, Aufgaben und Vorgangsdaten. Die Verarbeitung erfolgt als Auftragsverarbeitung in unserem Auftrag. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Hinweise zum Datenschutz bei Bitrix24 finden Sie unter:
https://www.bitrix24.de/privacy/

7.4 Dokumenten- und PDF-Tools (Adobe, PDF24)

Zur Erstellung, Bearbeitung, Signatur und Konvertierung von Dokumenten nutzen wir u. a. folgende Dienste:

• Adobe
  (z. B. Adobe Acrobat, Adobe PDF-Services)
  Datenschutzhinweise: https://www.adobe.com/de/privacy/policy.html
• PDF24 (Geek Software GmbH)
  Wir nutzen sowohl lokale Werkzeuge (PDF24 Creator) als auch Online-Tools von PDF24 zur Bearbeitung von PDF-Dokumenten. Datenschutzhinweise u. a. unter:
  https://www.pdf24.org/de/datenschutz

Soweit Online-Tools eingesetzt werden, werden die dort hochgeladenen Dateien an die Server des jeweiligen Anbieters übermittelt. Wir achten auf eine datenschutzfreundliche Nutzung (z. B. Beschränkung auf den erforderlichen Personenkreis, Verschlüsselung, Löschung nach Abschluss des Vorgangs).

7.5 Cloud-Office und Dateispeicher (Microsoft 365/OneDrive, Google Drive/Workspace)

Unsere Mitarbeiter und teilweise unsere Partner vor Ort nutzen gängige Cloud-Office-Lösungen, u. a.:

• Microsoft 365 inkl. OneDrive
  Zur Bearbeitung und Speicherung von Dokumenten sowie zur Kommunikation. Anbieter ist Microsoft Ireland Operations Limited.
• Google Drive / Google Workspace
  Zur Speicherung und gemeinsamen Bearbeitung von Dokumenten. Anbieterin ist Google Ireland Limited.

Dabei können personenbezogene Daten (z. B. Dokumente mit Kundeninformationen) auf Servern dieser Anbieter verarbeitet werden. Soweit eine Verarbeitung in Drittländern (z. B. USA) erfolgt, stützen wir uns auf geeignete Garantien (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse) und ergreifen zusätzliche Schutzmaßnahmen, wo sinnvoll (Verschlüsselung, Zugriffsbeschränkungen). Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. f DSGVO; im Einzelfall kann ergänzend eine Einwilligung erforderlich sein (Art. 6 Abs. 1 lit. a DSGVO).

Im Rahmen unserer Tätigkeit sowie in der täglichen Arbeit unserer Partner können KI-gestützte Dienste genutzt werden, z. B. zur Zusammenfassung von Texten, zur Auswertung von Dokumenten oder zur Formulierung von Schreiben. Dazu gehören insbesondere:

• ChatGPT / OpenAI-Dienste
  Anbieter: OpenAI, L.L.C. bzw. verbundene Unternehmen
  Informationen zum Datenschutz: https://openai.com/policies/row-privacy-policy/
• Gemini (Google)
  KI-basierter Assistent von Google, z. B. zur Unterstützung bei Texten und Analysen.
  Informationen: https://policies.google.com/privacy
• Siri (Apple)
  Sprachassistent von Apple, der im Einzelfall auch zur Bearbeitung beruflicher Anfragen eingesetzt werden kann.
  Informationen zu Siri und Datenschutz: https://www.apple.com/de/legal/privacy/data/de/ask-siri-dictation/

Grundsätzlich achten wir darauf, nur solche KI-Dienste in produktiven Prozessen einzusetzen, bei denen ein angemessenes Datenschutzniveau gewährleistet ist und vertragliche Grundlagen (z. B. Auftragsverarbeitungsverträge) bestehen oder die Anbieter eigenverantwortlich und transparent über ihre Datenverarbeitung informieren.

Soweit im Einzelfall personenbezogene Kundendaten in KI-Systeme eingegeben werden, geschieht dies nur, wenn dies für die Bearbeitung Ihres Anliegens erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO) oder auf Grundlage unseres berechtigten Interesses an einer effizienten und qualitativ hochwertigen Beratung (Art. 6 Abs. 1 lit. f DSGVO). Wo die Nutzung nicht zwingend erforderlich ist oder ein erhöhtes Risiko besteht (z. B. Verarbeitung besonders sensibler Informationen), holen wir – soweit geboten – Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO) oder anonymisieren/pseudonymisieren die Daten weitgehend.

Bitte beachten Sie, dass viele KI-Dienste in Drittländern betrieben werden und trotz getroffener Schutzmaßnahmen ein Restrisiko hinsichtlich staatlicher Zugriffe besteht (siehe auch Abschnitt 2.5).

Für Online-Beratungen und Besprechungen nutzen wir – je nach Situation und Beteiligten – gängige Videokonferenz- und Kollaborationstools, z. B.:

• Microsoft Teams,
• Zoom Meetings,
• Google Meet,
• Cisco Webex,
• weitere marktübliche Dienste.

In Videokonferenzen werden insbesondere Bild- und Tondaten, Verbindungsdaten (IP-Adresse, Geräteinformationen) sowie ggf. Chat- und geteilte Dokumente verarbeitet. Die Anbieter handeln teilweise als Auftragsverarbeiter, teilweise als eigene Verantwortliche.

Rechtsgrundlage für die Teilnahme an solchen Meetings ist Art. 6 Abs. 1 lit. b DSGVO (soweit es um die Durchführung vorvertraglicher oder vertraglicher Maßnahmen geht) sowie Art. 6 Abs. 1 lit. f DSGVO (Interesse an effizienter Abstimmung). Soweit eine Aufzeichnung erfolgen sollte, informieren wir vorab gesondert und holen Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO).

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wie wir gesetzlich zur Aufbewahrung verpflichtet sind.

• Vertrags- und Beratungsunterlagen
  Aufbewahrung in der Regel für die Dauer der Geschäftsbeziehung und darüber hinaus gemäß gesetzlicher Aufbewahrungsfristen (insbesondere nach Handels- und Steuerrecht, typischerweise 6 bis 10 Jahre).
• Finanzierungs- und Vermittlungsunterlagen
  Es können längere Aufbewahrungsfristen erforderlich sein (z. B. zur Abwehr möglicher Haftungsansprüche).
• Kontaktanfragen
  Löschung nach abschließender Bearbeitung, sofern keine längeren Fristen bestehen.
• Protokolle, Log- und Analysedaten
  Kürzere Speicherfristen; teilweise sofortige Anonymisierung, soweit eine längere Speicherung nicht erforderlich ist.

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

11.1 Auskunft

Sie haben das Recht, Auskunft darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten und – falls ja – welche Daten dies sind und zu welchen Zwecken sie verarbeitet werden.

11.2 Berichtigung

Sollten Daten unrichtig oder unvollständig sein, können Sie deren Berichtigung verlangen.

11.3 Löschung

Sie können unter den Voraussetzungen des Art. 17 DSGVO die Löschung Ihrer Daten verlangen, etwa wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder Sie eine erteilte Einwilligung widerrufen haben. Gesetzliche Aufbewahrungsfristen oder andere überwiegende Gründe können einer Löschung entgegenstehen; in diesem Fall werden die Daten für andere Zwecke gesperrt.

11.4 Einschränkung der Verarbeitung

Unter bestimmten Voraussetzungen (z. B. wenn Sie die Richtigkeit der Daten bestreiten) können Sie die Einschränkung der Verarbeitung verlangen. Die Daten dürfen dann – abgesehen von der Speicherung – nur noch in engen Grenzen verarbeitet werden.

11.5 Datenübertragbarkeit

Sie haben das Recht, Daten, die Sie uns bereitgestellt haben und die wir auf Grundlage Ihrer Einwilligung oder eines Vertrags automatisiert verarbeiten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen, soweit dies technisch machbar ist.

11.6 Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) vornehmen, Widerspruch einzulegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

11.7 Widerruf von Einwilligungen

Eine von Ihnen erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Sie können uns einen Widerruf insbesondere per E-Mail (z. B. an widerruf@hypofact.de) oder über die im Abschnitt „1. Verantwortlicher, Geltungsbereich und Kontakt“ genannten Kontaktdaten mitteilen.

11.8 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem EU-Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Im Rahmen einer Finanzierungsanfrage oder eines Beratungsmandats ist die Bereitstellung bestimmter personenbezogener Daten erforderlich, um Ihre Anfrage prüfen, Angebote einholen und Verträge vermitteln zu können. Ohne diese Daten können wir Ihre Anfrage ggf. nicht oder nicht vollständig bearbeiten.

Für gesetzlich vorgeschriebene Prüfungen (z. B. Geldwäscheprüfung) besteht zudem eine rechtliche Pflicht, bestimmte Daten zu erheben. Werden diese Daten nicht bereitgestellt, kann eine Geschäftsbeziehung in der Regel nicht begründet oder fortgeführt werden.

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, durch die Ihnen gegenüber rechtliche Wirkungen entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt würden, findet durch die HYPOFACT AG grundsätzlich nicht statt.

Produktgeber (z. B. Banken) können in ihren eigenen Prozessen automatisierte Entscheidungsverfahren einsetzen (z. B. zur Kreditwürdigkeitsprüfung). Hierüber informieren die jeweiligen Produktgeber in ihren eigenen Datenschutzhinweisen.

Wir behalten uns vor, diese Datenschutzhinweise anzupassen, wenn sich die Rechtslage, unsere Verarbeitungsprozesse oder die eingesetzten Dienste ändern. Es gilt jeweils die auf dieser Website veröffentlichte aktuelle Fassung.