Diese Hinweise beschreiben die Verarbeitung personenbezogener Daten innerhalb der Cloud‑Anwendung „hoomans“ und gelten nicht für die öffentliche Website; sie benennen den App‑Namen, beziehen sich ausschließlich auf die App und decken Datenarten, Zwecke, Empfänger, Speicherorte, Aufbewahrung, Sicherheit und Betroffenenrechte ab.​

Verantwortlicher und Kontakt

• Verantwortlicher: GBG Solutions, Ernst‑Barlach‑Straße 20, 36041 Fulda, Deutschland. Kontakt: info@hoomans.cloud.​

• Datenschutzbeauftragte: Barbara Weber, Hinweise unter https://www.weber-dv.de/datenschutz/.​

Rolle von hoomans

Für Inhalts‑ und Mandantendaten handelt hoomans als Auftragsverarbeiter im Auftrag des Unternehmenskunden; für Konto‑/Metadaten, Sicherheits‑ und Supportprozesse besteht eine begrenzte Verantwortlichkeit zur App‑Bereitstellung, die vertraglich (AVV) geregelt wird.​

Datenkategorien im Produkt

• Kontodaten: Vorname, Nachname, E‑Mail‑Adresse; optional Personalnummer; Rollen/Berechtigungen im Mandanten.​

• Sicherheits‑/Auth‑Daten: Microsoft‑Login‑Tokens, 2FA‑Metadaten, IP‑/Login‑Protokolle, Geräte‑/Sitzungsdaten; Passworthashes nur falls lokal erforderlich.​

• Kommunikationsdaten: Support‑Tickets, sicherheits‑/kontorelevante E‑Mails und In‑App‑Benachrichtigungen.​

• Inhaltsdaten: Vom Kunden/Nutzenden in hoomans eingegebene oder hochgeladene Inhalte.​

Zwecke und Rechtsgrundlagen

• Bereitstellung der App, Kontoverwaltung, Mandanten‑/Rollenmanagement, Support; Rechtsgrundlage: Vertragserfüllung Art. 6 Abs. 1 b DSGVO bzw. berechtigtes Interesse Art. 6 Abs. 1 f.​

• Sicherheit, Authentifizierung, Missbrauchs‑/Betrugserkennung, Protokollierung und Vorfallsbearbeitung; Rechtsgrundlage: berechtigtes Interesse und rechtliche Pflichten.​

• Kein In‑App‑Marketing oder werbliche Profilbildung.​

Integrationen, KI‑Funktionen und SSO

• SSO: Anmeldung über Microsoft; Verarbeitung der hierfür erforderlichen Identitäts‑ und 2FA‑Metadaten gemäß erteilter Autorisierung.​

• CRM: HubSpot wird für kundenbezogene Kommunikation/Support außerhalb der App‑Oberfläche eingesetzt; im Produkt selbst findet kein Marketing statt.​

• Generative KI: Für optionale Funktionen können Mistral und Perplexity genutzt werden; Admins können diese pro Mandant deaktivieren; bei Aktivierung werden die zur Funktionserbringung notwendigen Prompt‑/Antwortdaten an diese Anbieter übermittelt.​

Telemetrie/Analytics

Es werden keine In‑App‑Analytics/Tracking‑SDKs zur Nutzungsverfolgung eingesetzt; es erfolgt ausschließlich sicherheits‑/betriebsnotwendiges Logging.​

Auftragsverarbeiter, Speicherorte, Drittlandtransfers

• Datenhosting: Deutschland (Primärstandort).​

• Kategorien von Auftragsverarbeitern: Hosting/Cloud‑Betrieb, E‑Mail/Benachrichtigungen, Support/CRM (HubSpot), optionale KI‑Provider (Mistral, Perplexity); alle nach Art. 28 DSGVO vertraglich gebunden.​

• Drittlandübermittlungen: Sofern Dienstleister außerhalb des EWR eingesetzt werden (z. B. KI/CRM), erfolgen Übermittlungen auf Basis geeigneter Garantien (i. d. R. EU‑SCCs); Details in einer öffentlich gepflegten Subprocessor‑Liste.​

Aufbewahrung, Pseudonymisierung und Löschung

• Kontodaten werden für die Vertragsdauer verarbeitet und danach nach definierten Fristen gelöscht; gesetzliche Aufbewahrungen (z. B. Abrechnung) bleiben unberührt.​

• Pseudonymisierung/Anonymisierung erfolgt auf Wunsch des Kunden bzw. nach vereinbarter Frist; Backups werden turnusgemäß rotiert und nach Ablauf der Aufbewahrungsfenster gelöscht.​

Sicherheit

Es gelten technische und organisatorische Maßnahmen wie Verschlüsselung bei Übertragung und ruhender Speicherung, rollenbasierte Zugriffskontrolle, Mandantenseparation, Least‑Privilege‑Prinzip, Monitoring/Logging, regelmäßige Backups, Schwachstellen‑/Patch‑Management und Incident‑Response‑Prozesse; optionale Veröffentlichung von Zertifizierungen/Auditnachweisen.​

In‑App‑Cookies/SDKs

• Erforderliche SDKs/Cookies: Sitzungs‑/Sicherheitsfunktionen und Produkttouren via Usetiful; Usetiful dient ausschließlich der kontextuellen Nutzerführung (Tooltips/Guides) und verarbeitet hierfür minimale Nutzungsereignisse innerhalb der Touren; es findet keine werbliche Profilbildung statt.​

• Steuerung: Usetiful kann als funktionsbezogenes SDK klassifiziert werden; soweit rechtlich erforderlich, wird es als „notwendig“ dokumentiert oder per Admin‑Einstellung deaktivierbar bereitgestellt; Details in der In‑App‑SDK‑Übersicht.

Betroffenenrechte

Nutzer:innen haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch; erteilte Einwilligungen (sofern einschlägig) können jederzeit mit Wirkung für die Zukunft widerrufen werden; Beschwerden können bei der zuständigen Datenschutzaufsicht erhoben werden; Kontakt über info@hoomans.cloud.​

Administrationskontrolle

Unternehmens‑Admins verwalten Nutzer, Rollen, Integrationen (inkl. Deaktivierung der KI‑Funktionen), Retention‑Policies und Löschungen im eigenen Mandanten; Export‑ und Löschfunktionen stehen bereit.​

Änderungen

Diese produktbezogenen Hinweise können aktualisiert werden; wesentliche Änderungen werden in der App angekündigt; die aktuelle Fassung ist jederzeit in den Kontoeinstellungen abrufbar.