Datenschutz des Kundenportals von genua

Inhaltsverzeichnis:
  1. Allgemeines
  2. Verarbeitung personenbezogener Daten
    1. Zugriffsdaten / Server-Logdateien
    2. Cookies
    3. Server-Side-Tracking
    4. Whistleblower-Portal
    5. Kontaktformulare
  3. Kategorien von Datenempfängern
  4. Übermittlung in Drittstaaten
  5. Scoring
  6. Sicherheit
  7. Aufbewahrungsfrist der Daten
  8. Betroffenenrechte
  9. Datenschutzbeauftragter

Die vorliegenden Hinweise gemäß Art. 13 ff. DSGVO zum Datenschutz dienen der Informationspflicht bei Erhebung von personenbezogenen Daten beim Besuch dieser Webseite.

Datenschutzhinweise

1. Allgemeines

genua GmbH
Domagkstraße 7
85551 Kirchheim bei München
Tel.: +49 89 991950-0
E-Mail: info@genua.de

vertreten durch die Geschäftsführer Matthias Ochs und Marc Tesch.

Die genua GmbH (nachfolgend "genua") legt besonderen Wert auf den Schutz Ihrer personenbezogenen Daten. Gerne legen wir Ihnen transparent dar, welche Daten wir bei Ihrem Besuch auf unserer Webseite sowie dem genua Partnerportal (partner.genua.de) verarbeiten.

2. Verarbeitung personenbezogener Daten

Personenbezogene Daten sind Einzelangaben die eine Person unmittelbar oder mittelbar bestimmbar machen, wie beispielsweise ein Name oder eine Postanschrift. In den folgenden Fällen kann eine Verarbeitung personenbezogener Daten erfolgen:

A) Zugriffsdaten / Server-Logdateien

Technisch bedingt verarbeitet genua bei jedem Zugriff auf das Webangebot eine begrenzte Anzahl an Daten (sogenannte Verbindungsdaten). Diese Daten sind technisch erforderlich, um eine Verbindung zwischen Ihrem Endgerät und unseren Servern aufzubauen und durchzuführen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f). DSGVO.

Beim Zugriff auf das Kundenportal werden zunächst automatisiert technisch erforderliche Daten verarbeitet, wie sie typischerweise durch den eingesetzten Webserver (Apache) erfasst werden. Dazu zählen insbesondere:

  • IP-Adresse des anfragenden Endgeräts

  • Datum und Uhrzeit des Zugriffs

  • Aufgerufene Ressourcen (URLs)

  • Statuscodes (z. B. ob die angeforderte Ressource erfolgreich geladen wurde)

  • Übertragene Datenmenge

  • Informationen zum verwendeten Browser und Betriebssystem (User Agent)

Diese Daten dienen primär der technischen Bereitstellung der Website, der Sicherstellung der Systemstabilität sowie der Fehlerdiagnose und Sicherheit (z. B. zur Abwehr von Angriffen).

Zur Analyse der Nutzung wird die Open-Source-Webanalyse-Software Matomo eingesetzt. Hierbei werden mittels JavaScript zusätzliche technische Informationen wie Bildschirmauflösung, verwendeter Gerätetyp oder Verweildauer erfasst – allerdings beschränkt auf die standardmäßig von Matomo erhobenen Daten. Die Erhebung erfolgt vollständig pseudonymisiert und ohne Einsatz von Tracking-Cookies.

Darüber hinaus verarbeitet das System personenbezogene Daten im Rahmen der Login-Authentifizierung. Hierbei werden folgende Angaben erhoben und genutzt:

  • Benutzername

  • Passwort (verschlüsselt gespeichert)

  • Nach erfolgreichem Login: Vorname, Nachname, E-Mail-Adresse, Firmenname des Nutzers sowie Einteilung in jeweilige Gruppen

Diese Daten werden für die nutzerspezifische Darstellung von Inhalten sowie zur automatisierten Vorausfüllung von Formularen innerhalb des Kundenportals verwendet.

Diese Protokolldaten werden nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes verarbeitet. Wir behalten uns jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.

Diese Daten werden nach dem Ende der Verbindung gelöscht oder anonymisiert und werden somit nicht zur Erstellung von Benutzerprofilen genutzt.

Die erfassten personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

a) Benutzerkomfort:

Die Daten werden genutzt, um den Zugang zum Kundenportal zu ermöglichen und eine personalisierte Nutzungserfahrung bereitzustellen. Hierzu gehört insbesondere die Speicherung und Wiederverwendung von Login-Daten (Benutzername, Passwort) sowie die Vorausfüllung von Formularen mit den hinterlegten Nutzerdaten (Vorname, Nachname, E-Mail, Firmenname), um dem Benutzer den Zugang und die Nutzung der Anwendung zu erleichtern.

b) Login-Authentifizierung:

Die Daten des Login-Prozesses (Benutzername, Passwort) dienen der Authentifizierung und Autorisierung des Nutzers. Nach erfolgreicher Anmeldung wird der Benutzer entsprechend seiner Berechtigungen auf die entsprechenden Inhalte und Funktionen des Portals zugreifen können.

c) Auswertung der Nutzung:

Durch die Verwendung von Matomo zur Webanalyse werden anonymisierte Nutzungsdaten gesammelt. Diese helfen dabei, das Verhalten der Nutzer im Portal zu analysieren und die Benutzerfreundlichkeit sowie die Funktionsweise des Systems kontinuierlich zu verbessern.

B) Cookies

Cookies sind Textdateien, die das Ablegen gerätespezifischer Informationen auf dem verwendeten Endgerät ermöglichen.

Cookies, die für den Login erforderlich sind (notwendige Cookies) werden auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO gespeichert. genua hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Rechtsgrundlage für die die Speicherung von Informationen in der Endeinrichtung des Endnutzers ist § 25 Abs. 2 Nr. 2 TDDDG. Der Einsatz von Session Cookies ist unbedingt erforderlich, damit wir als Anbieter der genua-Webseiten (Telemediendienst) diesen ausdrücklich gewünschten Telemediendienst zur Verfügung stellen können. Sofern eine Einwilligung zur Speicherung von Cookies abgefragt wurde, erfolgt die Speicherung der betreffenden Cookies ausschließlich auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 S. 1lit. a) DSGVO sowie § 25 Abs. 1 TDDDG); die Einwilligung ist jederzeit widerrufbar.

C) Server-side-tracking

Auf unserer Website setzen wir ein sogenanntes Server-Side-Tracking ein. Dabei werden bestimmte Informationen über die Nutzung unserer Website serverseitig erfasst und verarbeitet, ohne dass Tracking-Cookies auf Ihrem Endgerät gespeichert werden. Im Rahmen des Server-Side-Trackings werden insbesondere folgende Daten verarbeitet:

  • IP-Adresse (in anonymisierter Form)
  • Browser- und Gerätetyp
  • Betriebssystem
  • Referrer-URL (die zuvor besuchte Website)
  • Datum und Uhrzeit des Zugriffs
  • Interaktionen auf der Website (z. B. Aufrufe bestimmter Seiten oder Klicks)

Um den Schutz Ihrer personenbezogenen Daten bestmöglich zu gewährleisten, wird Ihre IP-Adresse unmittelbar nach der Erhebung gekürzt und nur in anonymisierter Form gespeichert. Eine Herstellung eines Personenbezugs ist danach nicht mehr möglich. Die Verarbeitung dieser Daten dient dazu, die Nutzung unserer Website technisch zu analysieren, unser Online-Angebot weiterzuentwickeln sowie die Stabilität und Sicherheit unserer IT-Systeme zu gewährleisten. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Optimierung unseres Online-Angebots sowie der Sicherstellung der IT-Sicherheit. Die Verarbeitung erfolgt ausschließlich auf unseren eigenen Servern oder in kontrollierten IT-Umgebungen. Eine Übermittlung der personenbezogenen Daten an Dritte findet nicht statt. Sie können der Verarbeitung Ihrer Nutzungsdaten im Rahmen des Server-Side-Trackings jederzeit widersprechen. Bitte nutzen Sie hierzu die folgende Möglichkeit: Tracking Widerspruch.

D) Whistleblower-Portal

a) Zweck und Rechtsgrundlage der Datenverarbeitung

Durch unser Whistleblower-Tool gewährleistet genua Hinweisgebern, sogenannten Whistleblowern, die Verstöße gegen EU-Recht oder deutsches Recht melden wollen, mehr Schutz. Durch dieses Tool hat genua einen sicheren Kanal für die Meldung von Missständen eingerichtet. Der Zweck der Verarbeitung personenbezogener Daten ist die Verwaltung des Hinweisgebersystems von genua, einschließlich der Aufdeckung schwerwiegender Verstöße oder möglicher Verstöße gegen deutsches Recht oder EU-Recht oder anderer schwerwiegender Angelegenheiten.

Die Verarbeitung personenbezogener Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der genua unterliegt, vgl. Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Dies ist das deutsche „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, das die EU-Richtlinie „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (2018/0106 COD) in nationales Recht umsetzt.

Außerdem ist die Verarbeitung zur Wahrung des berechtigten Interesses von genua an der Aufdeckung schwerwiegender Verstöße oder potenzieller Verstöße gegen deutsches Recht oder EU-Recht oder anderer schwerwiegender Angelegenheiten erforderlich, das die Interessen oder Grundrechte und -freiheiten der betroffenen Person überwiegt, vgl. Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

Was die Verarbeitung besonderer Kategorien personenbezogener Daten betrifft, so ist die Verarbeitung auf der Grundlage des „Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ aus Gründen eines erheblichen öffentlichen Interesses erforderlich, vgl. Art. 9 Abs. 2 lit. g) DSGVO. Zudem ist die Verarbeitung besonderer Kategorien personenbezogener Daten für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, vgl. Art. 9 Abs. 2 lit. f) DSGVO i.V.m. Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

Die Verarbeitung ist außerdem für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt, vgl. Art. 6 Abs. 1 S. 1 lit. e) DSGVO.

Die betroffenen Personen sind in erster Linie die Personen, auf die sich die Meldung bezieht, darunter Mitarbeiter, Partner oder andere Personen, die mit genua beruflich verbunden sind, je nachdem, wer in der Meldung erwähnt wird. Darüber hinaus verarbeitet genua personenbezogene Daten über die meldende Person, wenn die meldende Person ihre Kontaktinformationen oder andere Informationen übermittelt, anhand derer die meldende Person direkt oder indirekt identifiziert werden kann. Als meldende Person müssen Sie sich daher bewusst sein, dass genua im Zusammenhang mit der Bearbeitung des gemeldeten Falls personenbezogene Daten über Sie verarbeiten kann.

Die Meldung kann auf 100% anonymer Basis erfolgen. In diesem Fall werden keine personenbezogenen Daten der meldenden Person verarbeitet.

Die Kategorien personenbezogener Daten, die verarbeitet werden, hängen von den gemeldeten Informationen ab. Wenn die meldende Person personenbezogene Daten über eine andere Person, einschließlich der gemeldeten Person oder Personen, meldet, verarbeitet genua auch diese personenbezogenen Daten. Welche personenbezogenen Daten in diesem Fall verarbeitet werden, hängt davon ab, welche personenbezogenen Daten in der Meldung enthalten sind. Die folgenden Kategorien von personenbezogenen Daten können verarbeitet werden:

  • Allgemeine personenbezogene Daten (Name, Adresse, E-Mail-Adresse, Telefonnummer, Position usw.)
  • Personenbezogene Daten über strafrechtliche Verurteilungen oder den Verdacht auf solche
  • Besondere Kategorien personenbezogener Daten (Informationen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, Daten über die Gesundheit und Daten über das Sexualleben oder die sexuelle Ausrichtung einer Person)

genua weist die meldende Person darauf hin, nur Informationen zu melden, die für den gemeldeten Fall von konkreter Bedeutung sind, und insbesondere keine Informationen über Straftaten und besondere Kategorien personenbezogener Daten zu melden, es sei denn, diese sind von zentraler Bedeutung für die Bearbeitung des gemeldeten Falls.

b) Verpflichtung zur Bereitstellung personenbezogener Daten

Es besteht keine Verpflichtung zur Bereitstellung der unter Ziffer 3 aufgeführten personenbezogenen Daten, da auch anonym gemeldet werden kann. Allerdings kann es sein, dass eine Bearbeitung der Meldung ohne Angabe der personenbezogenen Daten für genua nicht möglich ist.

c) Empfänger personenbezogener Daten

Die Meldungen werden im Bereich Internal Audit der Bundesdruckerei Gruppe GmbH als Ticket im WhistleB-System erstellt, als Systemnachricht an das Management von genua zugänglich gemacht und von diesem bewertet. Nach der Bewertung werden die Systemmeldungen intern an den Compliance Officer von genua weitergegeben und von diesem bearbeitet. Grund für die Weiterleitung ist, dass nur das jeweilige Management über etwaige Folgemaßnahmen entscheiden kann, nicht aber der Bereich Internal Audit der Bundesdruckerei Gruppe GmbH. Hierbei werden personenbezogene Daten nur zweckgebunden und nach dem Grundsatz der Datenminimierung weitergegeben, d.h. es werden nur die personenbezogenen Daten weitergegeben, die zwingend erforderlich sind, um die Meldung zu bearbeiten.

genua gibt personenbezogene Daten über die meldende Person an öffentliche Behörden weiter, wenn dies notwendig ist, um schwerwiegende Verstöße oder schwerwiegende Angelegenheiten zu behandeln oder um das Recht auf Verteidigung der betroffenen Personen zu gewährleisten. In anderen Fällen gibt genua personenbezogene Daten über die meldende Person nur mit Zustimmung der meldenden Person weiter. genua gibt personenbezogene Daten über andere Personen als die meldende Person nur im Rahmen der Weiterverfolgung eines gemeldeten Falles oder zur Behandlung von schwerwiegenden Verstößen oder schwerwiegenden Angelegenheiten weiter.

genua nutzt das Tool der Bundesdruckerei Gruppe GmbH, die wiederum mit dem schwedischen Softwarehersteller WhistleB, Whistleblowing Centre AB, kooperiert. Da hier eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO durch die Bundesdruckerei Gruppe GmbH stattfindet, haben wir einen Auftragsverarbeitungsvertrag nach den gesetzlichen Vorschriften abgeschlossen. Weitere Informationen zu WhistleB, Whistleblowing Centre AB finden Sie unter: report.whistleb.com/content/documents/whistleb_terms_of_use.pdf

d) Speicherdauer

Personenbezogene Daten, die sich als irrelevant für die Bearbeitung eines gemeldeten Falles durch genua erweisen, sowie Meldungen, die genua als unbegründet erachtet oder die nicht in den Anwendungsbereich der Whistleblower-Regelung fallen, werden systemseitig unverzüglich als "nicht relevant" kategorisiert und ein eventuell vorhandener Personenbezug (sofern es sich nicht bereits um eine anonyme Meldung handelt) entfernt. Zur Gewährleistung der gesetzlich geforderten Dokumentationspflicht bzw. gesetzlichen Löschfrist aus § 11 Abs. 1, Abs. 5 HinSchG wird diese Meldung anschließend zunächst (ohne Personenbezug) archiviert, aber noch nicht gelöscht. Archivierte Fälle dienen ausschließlich der Erfüllung der Dokumentationspflichten und können daher systemseitig hiernach auch nicht mehr zur Bearbeitung aufgerufen werden.

Meldungen und personenbezogene Daten, die genua im Rahmen der Bearbeitung einer Meldung erhebt, die die Grundlage für die weitere Bearbeitung bildet, werden frühestmöglich anonymisiert. Sollte sich die Notwendigkeit zu Folgemaßnahme i.S.d. §§ 3 Abs. 8, 18 HinSchG ergeben, ist es jedoch möglich, dass beispielsweise aufgrund von behördlicher Anordnung oder zur Sicherung von Rechtsansprüchen von der Anonymisierung abgewichen werden muss. In diesem Fall wird grundsätzlich eine Pseudonymisierung angestrebt und umgesetzt, sofern sich nicht (z.B. aus einer richterlichen Anordnung) etwas anderes ergibt. Nach Abschluss der Bearbeitung der Hinweise wird entweder eine Anonymisierung oder eine Pseudonymisierung vorgenommen und die Meldungen werden archiviert und zwei Jahre nach Abschluss des Falles, d.h. an dem Tag, an dem genua eine Entscheidung in dem Fall getroffen hat, gelöscht, es sei denn, besondere Umstände oder gesetzliche sowie behördliche Vorgaben erfordern eine kürzere oder längere Frist.

E) Kontaktformulare

genua bietet Ihnen im Rahmen der Unternehmens-Webseite die Möglichkeit, allgemein Kontakt aufzunehmen. Wenn Sie diese Angebote nutzen wollen, werden Sie aufgefordert, personenbezogene Daten einzugeben, die zur Bearbeitung Ihrer Anfrage erforderlich sind. genua erhebt in diesem Zusammenhang Ihren Nachnamen und Ihre E-Mail-Adresse (Pflichtangaben) sowie ggf. Ihre Anrede, Vorname, Telefonnummer, Firma, Postanschrift (freiwillige Angabe). Es unterliegt Ihrer freien Entscheidung, ob Sie diese Angebote nutzen und Ihre Daten eingeben. genua erhebt diese Daten, um in der Kommunikation mit Ihnen eine persönliche Ansprache nutzen zu können. Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Dieses ergibt sich aus dem wirtschaftlichen, ideellen und technischen Interesse an der der Bereitstellung und Nutzung eines zeitgemäßen Informationsmediums sowie Ihre Anfrage zu beantworten.

3. Kategorien von Datenempfängern

Wir übertragen keine personenbezogenen Daten an Dritte.

4. Übermittlung in Drittstaaten

Eine Übermittlung von personenbezogenen Daten in Länder außerhalb der Europäischen Union bzw. des EWR erfolgt nicht, soweit nicht anders angegeben.

5. Scoring

Ihre personenbezogenen Daten werden nicht zur Durchführung von automatisierten Einzelfallentscheidungen einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO verarbeitet.

6. Sicherheit

genua trifft die gesetzlich geforderten, technischen und organisatorischen Maßnahmen um personenbezogene Daten vor Verlust, Vernichtung, Manipulation und unberechtigten Zugriffen zu schützen.

7. Aufbewahrungsfrist der Daten

Personenbezogene Daten werden nur so lange aufbewahrt, wie dies zur Erfüllung der hier genannten Zwecke erforderlich ist, bzw. wie es die vom Gesetzgeber vorgegeben Aufbewahrungsfristen vorsehen. Nach dem Wegfall des jeweiligen Zwecks bzw. nach dem Ablauf der Aufbewahrungsfristen werden die Daten entsprechend den gesetzlichen Vorschriften gelöscht.

Ihre Daten werden bei genua für 180 Tage gespeichert. Die Löschung erfolgt automatisiert via TYPO3-Scheduler Garbage Job.

8. Betroffenenrechte

Sie haben die Möglichkeit jederzeit von Ihren "Betroffenenrechten" Gebrauch zu machen:

  • Recht auf Auskunft gemäß Art. 15 DSGVO.
  • Recht auf Berichtigung gemäß Art. 16 DSGVO.
  • Recht auf Löschung gemäß Art. 17 DSGVO.
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO.
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO.
  • Widerspruchsrecht gemäß Art. 21 DSGVO.
  • Recht, eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen zu können. Dabei gilt der Widerruf nur für die Zukunft und berührt nicht die Rechtsmäßigkeit der Verarbeitung personenbezogener Daten bis zum Widerruf.

Sofern Sie von Ihren Rechten Gebrauch machen möchten, richten Sie Ihr Anliegen bitte per E-Mail an die datenschutz@genua.de oder per Briefpost an die in Punkt 1 genannte Anschrift. Daneben haben Sie gemäß Art. 77 Abs. 1 DSGVO ein Recht auf Beschwerde bei einer Aufsichtsbehörde. Weitere Informationen erhalten Sie bei der jeweils für Sie örtlich zuständigen Aufsichtsbehörde.

9. Datenschutzbeauftragter

Christian Volkmer

Projekt 29 GmbH & Co. KG
Ostengasse 14
93047 Regensburg
Tel: + 49 941 2986930
E-Mail: anfrage@projekt29.de

Stand: Juni 2025