Datenschutzinformationen
Datenschutzinformationen der ikigai GmbH
In den nachfolgenden Datenschutzinformationen erfahren Sie alles Wesentliche über die durch die ikigai
GmbH („wir“ und/oder „Verantwortlicher“ und/oder „uns“) durchgeführte Verarbeitung Ihrer
personenbezogenen Daten nach Maßgabe der Datenschutzgrundverordnung (DSGVO) und des
Bundesdatenschutzgesetzes (BDSG). Bitte lesen Sie sich unsere Datenschutzinformationen
aufmerksam durch.
Inhalt
Inhalt
1. Name und Kontaktdaten des für die Verarbeitung Verantwortlichen ............................... 3
2. Kontaktdaten des Datenschutzbeauftragten ................................................................... 3
3. Datenverarbeitung und deren Zwecke, Rechtsgrundlagen und berechtigte Interessen,
sowie Empfänger ................................................................................................................... 3
3.1. Datenverarbeitung bei Aufrufen unserer Webseite ............................................. 3
3.1.1. Log-Files ............................................................................................................ 3
3.1.2. Cookies, Tracking, Social-Media-Plugins ........................................................... 4
3.2. Datenverarbeitung im Rahmen der Nutzung von ikigai ....................................... 4
3.2.1. Nutzung der Job- oder Mitarbeitersuche ............................................................ 4
3.2.2. Bewerbung über ikigai ........................................................................................ 4
3.2.3. Speichern der Daten in einem Profil ................................................................... 5
3.2.4. Abschließen eines Abonnements ....................................................................... 6
3.2.5. Bezahlung .......................................................................................................... 6
3.2.5.1. Zahlung per PayPal ............................................................................................ 7
3.2.5.2. Zahlung per Google Pay .................................................................................... 7
3.2.5.3. Zahlung per Apple Pay ....................................................................................... 8
3.2.5.4. Zahlung per Kreditkarte ...................................................................................... 8
3.3. Datenverarbeitung zu Werbezwecken ................................................................ 9
3.3.1. Newsletterwerbung ............................................................................................ 9
3.4. Einsatz von Cookies ........................................................................................... 9
3.4.1. Cookies – Allgemeine Informationen .................................................................. 9
3.4.2. Cookie-Skript.com ..........................................................................................10
3.5. Kontaktaufnahme ..............................................................................................10
3.6. Datenverarbeitung im Rahmen von Social Media Auftritten ...............................11
3.6.1. Einzelheiten ......................................................................................................11
3.6.2. Verantwortlicher und Geltendmachung von Rechten .........................................11
3.6.3. Rechtsgrundlage ...............................................................................................11
3.6.4. Speicherdauer ...................................................................................................11
3.6.5. Soziale Netzwerke im Einzelnen .......................................................................11
3.6.5.1. Facebook ..........................................................................................................11
3.6.5.2. Google / YouTube .............................................................................................12
3.6.5.3. Twitter ...............................................................................................................12
3.6.5.4. Instagram ..........................................................................................................12
3.6.5.5. LinkedIn ............................................................................................................12
4. Auftragsverarbeiter ........................................................................................................12
4.1. OpenAI ..............................................................................................................12
4.2. Amazon Web Services ......................................................................................13
4.3. Google Analytics ...............................................................................................13
4.4. Tally ..................................................................................................................14
4.5. Webflow ............................................................................................................14
4.6. Google Firebase................................................................................................15
5. Empfänger außerhalb der EU ........................................................................................15
6. Die Rechte unserer Nutzer ............................................................................................15
6.1. Ãœberblick ...........................................................................................................15
6.2. Widerspruchsrecht ............................................................................................16
6.3. Widerrufsrecht ...................................................................................................16
7. Datensicherheit .............................................................................................................16
7.1. Abschließende Hinweise ...................................................................................17
7.2. Wie kann ich meinen Account schützen? ..........................................................17
7.3. Wie zeichnet ein sicheres Passwort aus? .........................................................17
7.4. Welche weiteren Dinge sollte ich beachten? .....................................................17
8. Datenempfänger............................................................................................................17
1. Name und Kontaktdaten des für die Verarbeitung Verantwortlichen
Diese Datenschutzinformationen gelten für die Datenverarbeitung durch
ikigai GmbH
Alemannenstr. 1
85652 Pliening, Deutschland
vertreten durch:
Sebastian Wilhelm, Luca Dombetzki, Ramona Dombetzki,
Alemannenstr. 1
85652 Pliening, Deutschland
für die folgende Internetseite(n):
https://www.get-ikigai.com, https://www.jobs.get-ikigai.com,
https://www.hire.get-ikigai.com und alle anderen get-ikigai.com, die als White Label für unsere
Kunden aufgesetzt sind.
2. Kontaktdaten des Datenschutzbeauftragten
Unsere(n) betriebliche(n) Datenschutzbeauftragte(n) erreichen Sie unter
E-Mail: info@get-ikigai.com
3. Datenverarbeitung und deren Zwecke, Rechtsgrundlagen und berechtigte Interessen, sowie
Empfänger
3.1. Datenverarbeitung bei Aufrufen unserer Webseite
3.1.1. Log-Files
Beim Zugriff auf unsere Webseite sendet der Internetbrowser des von Ihnen genutzten Endgerätes
Informationen an den Server unserer Webseite. Diese werden temporär in Protokolldateien, den
sogenannten Logfiles, gespeichert. Die dabei gespeicherten Datensätze enthalten die folgenden Daten:
â— Datum und Uhrzeit des Abrufs
â— Name der aufgerufenen Seite
◠IP-Adresse des anfragenden Gerätes
â— Referrer-URL (Herkunfts-URL, von der aus Sie auf unsere Webseite gekommen sind)
◠Meldung über erfolgreichen Abruf
◠die übertragene Datenmenge
â— Ladezeit
â— sowie Produkt und Versions-Informationen des jeweils verwendeten Browsers sowie der Name
ihres Access-Providers.
Rechtsgrundlage für die Verarbeitung der IP-Adresse ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes
Interesse liegt in der
◠Gewährleistung eines reibungslosen Verbindungsaufbaus,
◠Gewährleistung einer komfortablen Nutzung unserer Webseite,
◠Auswertung und Sicherstellung der Systemsicherheit und -stabilität.
Wir ziehen dabei keinen unmittelbaren Rückschluss auf Ihre Identität. Dies ist anhand dieser
Informationen auch nicht möglich.
Die Daten werden gespeichert und nach Erreichung der vorgenannten Zwecke gelöscht, spätestens
nach sieben Tagen. Eine darüberhinausgehende Speicherung erfolgt nur, wenn vorher die IP-Adressen
des Nutzers gelöscht oder verfremdet wird, sodass eine Zuordnung zu einer Person nicht mehr möglich
ist.
3.1.2. Cookies, Tracking, Social-Media-Plugins
Wir verwenden für unsere Webseite sog. Cookies, Tracking-Tools, Targeting-Verfahren, sowie Social-
Media-Plugins. Um welche Verfahren es sich dabei genau handelt und wie Ihre Daten dafür verwendet
werden, wird unter Ziffer 3.4 im Einzelnen erläutert.
3.2. Datenverarbeitung im Rahmen der Nutzung von ikigai
3.2.1. Nutzung der Job- oder Mitarbeitersuche
Im Fall einer Job- oder Mitarbeitersuche verarbeiten wir die für dessen Durchführung erforderlichen und
von Ihnen geteilte Daten. Hierzu zählen:
â— Vor- und Nachname
â— Anrede
â— Adresse
â— E-Mail-Adresse
â— Geburtsdatum
â— Telefonnummer
◠Passwort (verschlüsselt)
◠Antworten, die während der Nutzung des Tools, im Chat gegeben werden, z.B. Interessen,
Erfahrungen, Hobbies, Ausbildung, Meinungen zu Positionen, Wünsche der
Karriereentwicklung, gewünschte Arbeitsbedingungen, gewünschter Arbeitsort, sonstige
Wünsche und Einschränkungen zur Berufswahl, Gehaltsvorstellungen, etc.
â— Lebenslaufdaten (falls hochgeladen) oder Informationen aus dem LinkedIn Profil
Die von Ihnen angegebenen Daten werden mit einer Jobdatenbank verglichen, um den Bewerbern für
diese individuell interessante Stellen zu zeigen. Außerdem werden die Daten genutzt, um ein
Bewerberprofil zu erstellen, um dieses für den Bewerber interessanten Firmen und Positionen zur
Verfügung zu stellen.
Für das Bewerbungscoaching und das Erfassen von Details über Firmen und Stellen verwenden wir
den API Dienst des Anbieters OpenAI L.L.C. Weitere Informationen hierzu finden Sie unter Ziffer 4.1.
Eine Liste der Dienstleister, mit denen wir zusammenarbeiten, finden Sie unter Ziffer 4.
Rechtsgrundlage für die Datenverarbeitung für die Zwecke des Bewerbungscoachings ist Ihre
Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie stellen uns die Daten auf Grundlage Ihrer Einwilligung
zur Verfügung. Alle Daten, die Sie beim Bewerbungscoaching eingeben, geben Sie freiwillig an. Die
Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass Ihnen ein Nachteil
entsteht. Die Rechtmäßigkeit der bisherigen Datenverarbeitung bleibt unberührt.
In der Regel werden Ihre Daten unverzüglich nach Löschung ihres Profils automatisch gelöscht.
Eine Löschung erfolgt nicht, wenn an der Verarbeitung der Daten weiterhin ein berechtigtes Interesse
besteht (z.B. wenn die Verarbeitung zur Geltendmachung, Ausübung, Verteidigung oder Erfüllung von
Rechtsansprüchen erforderlich ist oder für eigene Werbezwecke gemäß Ziffer 3.3) oder die Speicherung
der Daten zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungsvorschriften nach Art. 6 Abs.
1 lit. c DSGVO und § 257 Abs. 1 HGB und § 147 Abs. 2 AO erforderlich ist (danach haben wir zum
Beispiel die E-Mail-Kommunikation mit unseren Kunden 6 Jahre und Rechnungen 10 Jahre
aufzubewahren).
3.2.2. Bewerbung über ikigai
Falls Sie bei einem angezeigten Stellenangebot auf „bewerben“/ „apply“ klicken, werden Ihre
personenbezogenen Daten an die jeweilige Firma weitergeleitet.
â— Vor- und Nachname
â— Anrede
â— Adresse
â— E-Mail-Adresse
â— Geburtsdatum
â— Telefonnummer
◠Passwort (verschlüsselt)
◠Antworten, die während der Nutzung des Tools, im Chat gegeben werden, z.B. Interessen,
Erfahrungen, Hobbies, Ausbildung, Meinungen zu Positionen, Wünsche der
Karriereentwicklung, gewünschte Arbeitsbedingungen, gewünschter Arbeitsort, sonstige
Wünsche und Einschränkungen zur Berufswahl, Gehaltsvorstellungen, etc.
â— Lebenslaufdaten (falls hochgeladen) oder Informationen aus dem LinkedIn Profil
Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die
Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass Ihnen ein Nachteil
entsteht. Die Rechtmäßigkeit der bisherigen Datenverarbeitung bleibt unberührt. Außerdem ist diese
Datenverarbeitung notwendig, um Ihnen unseren Dienst zu erbringen und somit haben wir hierfür ein
berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
3.2.3. Speichern der Daten in einem Profil
Um Ihnen den größtmöglichen Komfort zu ermöglichen, bieten wir Ihnen die dauerhafte Speicherung
Ihrer persönlichen Daten in einem passwortgeschützten Profil an. Besteht ein solches Profil, ist keine
erneute Dateneingabe erforderlich. Daneben haben Sie die Möglichkeit die in Ihrem Profil gespeicherten
Daten jederzeit einzusehen und zu ändern. Wir verarbeiten dabei die folgenden Daten:
â— Vor- und Nachname
â— Anrede
â— Adresse
â— E-Mail-Adresse
â— Geburtsdatum
â— Telefonnummer
◠Passwort – verschlüsselt
◠[Antworten, die während der Nutzung des Tools im Chat gegeben werden, z.B. Interessen,
Erfahrungen, Hobbies, Ausbildung, Meinungen zu Positionen, Wünsche der
Karriereentwicklung, gewünschte Arbeitsbedingungen, gewünschter Arbeitsort, sonstige
Wünsche und Einschränkungen zur Berufswahl, Gehaltsvorstellungen, etc.Lebenslaufdaten
(falls hochgeladen) oder Informationen aus dem LinkedIn Profil]
Die Anlage des Profils ist grundsätzlich freiwillig. Wenn Sie ein Profil anlegen, erfolgt die Verarbeitung
Ihrer hier erhobenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO
Für die Einrichtung eines Profils müssen Sie ein selbstgewähltes Passwort angeben. Dieses dient
zusammen mit Ihrer E-Mail-Adresse für den Zugang zu Ihrem Profil. Bitte behandeln Sie Ihre
persönlichen Zugangsdaten vertraulich und machen diese insbesondere keinem unbefugten Dritten
zugänglich. Auch müssen Sie sich aktiv abmelden bevor Sie unsere Webseite verlassen, ansonsten
bleiben Sie automatisch eingeloggt.
Sie können sich darüber hinaus auch mit Ihrem Google-Konto über die Option „Über Google
anmelden“ anmelden. In diesem Fall gibt uns Google die folgenden Daten weiter, die wir für den
Registrierungsprozess verwenden:
• Ihren Namen
• Ihre E-Mail-Adresse
• Ihr Profilbild
Die Verarbeitung dieser Daten erfolgt auf Ihrer Einwilligung nach von Art. 6 Abs. 1 lit. a DSGVO. Weitere
Informationen zu dieser Funktion erhalten Sie unter
https://support.google.com/accounts/answer/12921417?hl=de#zippy=%2Cso-nutzen-dritte-ihre-
daten%2Cso-lange-bleiben-ihre-weitergegebenen-daten-beim-drittanbieter.
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihr Profil löschen. Es entsteht dadurch für
Sie kein Nachteil. Die Rechtmäßigkeit der bisherigen Datenverarbeitung bleibt unberührt.
In der Regel werden Ihre Daten spätestens 14 Tage nach Löschung des Profils automatisch gelöscht.
Eine Löschung erfolgt nicht, wenn an der Verarbeitung der Daten weiterhin ein berechtigtes Interesse
besteht (z.B. wenn die Verarbeitung zur Geltendmachung, Ausübung, Verteidigung oder Erfüllung von
Rechtsansprüchen erforderlich ist oder für eigene Werbezwecke gemäß Ziffer 3.3) oder die Speicherung
der Daten zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungsvorschriften nach Art. 6 Abs.
1 lit. c DSGVO und § 257 Abs. 1 HGB und § 147 Abs. 2 AO erforderlich ist (danach haben wir zum
Beispiel die E-Mail-Kommunikation mit unseren Kunden 6 Jahre und Rechnungen 10 Jahre
aufzubewahren).
3.2.4. Abschließen eines Abonnements
Wenn Sie ein Abonnement abschließen, verarbeiten wir die für dessen Durchführung erforderlichen
Daten. Hierzu zählen:
â— Vor- und Nachname
â— Anrede
â— Adresse
â— E-Mail-Adresse
â— Geburtsdatum
â— Telefonnummer
◠Passwort (verschlüsselt)
â— Rechnungs- und Bezahldaten (Kreditkartennummern, Bankdaten) und Transaktions-IDs in
Zusammenhang mit einem zahlungspflichtigen Abonnement
◠Daten über Abonnements
â— Mitteilungen und Kommunikation in Bezug das Abonnement
◠Antworten, die während der Nutzung des Tools, im Chat gegeben werden, siehe oben
â— Lebenslaufdaten (falls hochgeladen) oder Informationen aus dem LinkedIn Profil
…
Zur Abwicklung eines Abonnements unseres Dienstes geben wir außerdem Ihre Bezahldaten an von
uns beauftragten Bezahldienstleister, um die Zahlung(en) abzuwickeln. Näheres entnehmen Sie bitte
Ziffer 3.2.4.
Rechtsgrundlage für die Datenverarbeitung für die Zwecke der Abonnementabwicklung ist Art. 6 Abs. 1
lit. b DSGVO. Sie stellen uns die Daten auf Grundlage des jeweiligen Vertragsverhältnisses (z.B.
Führung Ihres Nutzerkontos, Abwicklung eines Vertrages einschließlich Zahlungsabwicklung) zwischen
Ihnen und uns zur Verfügung. Bei einem Abonnement über unsere Webseite sind wir zudem aufgrund
gesetzlicher Vorgaben im Bürgerlichen Gesetzbuch (BGB) zur Verarbeitung Ihrer E-Mail-Adresse
verpflichtet, da wir Ihnen eine elektronische Bestellbestätigung zustellen müssen (Art. 6 Abs. 1 lit. c
DSGVO).
In der Regel werden Kundendaten spätestens 14 Tage nach Beendigung des Abonnements
automatisch gelöscht.
Eine Löschung erfolgt nicht, wenn an der Verarbeitung der Daten weiterhin ein berechtigtes Interesse
besteht (z.B. wenn die Verarbeitung zur Geltendmachung, Ausübung, Verteidigung oder Erfüllung von
Rechtsansprüchen erforderlich ist oder für eigene Werbezwecke gemäß Ziffer 3.3) oder die Speicherung
der Daten zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungsvorschriften nach Art. 6 Abs.
1 lit. c DSGVO und § 257 Abs. 1 HGB und § 147 Abs. 2 AO erforderlich ist (danach haben wir zum
Beispiel die E-Mail-Kommunikation mit unseren Kunden 6 Jahre und Rechnungen 10 Jahre
aufzubewahren).
3.2.5. Bezahlung
Für die Zwecke der Zahlungsabwicklung (d.h. Betätigung von Zahlungen z.B. per Kreditkarte, PayPal,
Klarna) verarbeiten wir die hierfür erforderlichen personenbezogenen Daten und geben diese an von
uns beauftragte Zahlungsdienstleister weiter.
Abhängig von Ihrer gewählten Zahlungsart werden die zur Zahlungsabwicklung erforderlichen Daten an
den gewählten Zahlungsdienstleister übermittelt, Sie finden nähere Informationen zu den angebotenen
Zahlungsmethoden und -anbietern nachfolgend. Unabhängig von der Zahlungsmethode werden
sämtliche Daten verschlüsselt übertragen.
Für die technische Anbindung der Zahlungsdienstleister und die Abwicklung von Zahlungen setzen wir
die Dienstleister PayPal, Google Pay und Apple Pay ein.
Rechtsgrundlage für Verarbeitung Ihrer Daten zur Zahlungsabwicklung ist unabhängig von der
Zahlungsart Art. 6 Abs. 1 lit. b DSGVO. Weitere Details und Rechtsgrundlagen entnehmen Sie bitte den
Informationen zu den eingesetzten Zahlungsdienstleistern.
Alle im Rahmen der Zahlungsabwicklung angefallenen Daten (Zahlungsbelege) müssen wir nach § 257
Abs. 1 HGB und § 147 Abs. 2 AO für 10 Jahre aufbewahren. Die Frist beginnt mit dem Schluss des
Jahres, in dem die letzte Bestellung erfolgt ist.
3.2.5.1. Zahlung per PayPal
Wir bieten Ihnen die Bezahlung via PayPal an. Anbieter dieses Zahlungsdienstes ist die PayPal
(Europe) S.à .r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (im Folgenden “PayPalâ€).
Wenn Sie die Bezahlung via PayPal auswählen, werden die von Ihnen eingegebenen Zahlungsdaten
an PayPal übermittelt. Dabei handelt es sich um folgende Daten:
â— Vor- und Nachname
â— Anrede
â— Geburtsdatum
â— Telefonnummer
â— E-Mail
â— IP-Adresse
â— Rechnungs- und Lieferadresse
â— /Land
â— Bestelldatum
â— Bezahlter Betrag
◠Browser, verwendetes Gerät, IP-Adresse
Zusätzlich werden folgende PayPal spezifische Daten verarbeitet:
â— PayPal Payer-ID
â— PayPal Shopper Status (ob Sie ein verifizierter PayPal Kunde sind)
◠PayPal E-Mail-Adresse (E-Mail-Adresse, die Sie für PayPal Zahlungen verwenden)
Die Verwendung des Zahlungsdienstes PayPal erfolgt freiwillig, Sie haben die Möglichkeit, eine andere
Zahlungsmethode auszuwählen. Die Verarbeitung Ihrer Daten zur Zahlungsabwicklung mit PayPal
erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragsabwicklung. Darüber hinaus haben wir
berechtigtes Interesse eine effektive und sichere Zahlungsmethode anzubieten (Art. 6 Abs. 1 lit. f
DSGVO).
3.2.5.2. Zahlung per Google Pay
Wir bieten Ihnen die Bezahlung via Google Pay an. Anbieter dieses Zahlungsdienstes ist die Google
Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland (im Folgenden “Googleâ€). Wenn
Sie die Bezahlung via Google Pay auswählen, werden Ihre im Rahmen des Bestellvorgangs mitgeteilten
Informationen nebst den Informationen über Ihre Bestellung an Google Pay übermittelt. Dabei handelt
es sich um folgende Daten:
â— Vor- und Nachname
â— Anrede
â— Geburtsdatum
â— Telefonnummer
â— E-Mail
â— IP-Adresse
â— Rechnungs- und Lieferadresse
â— Land
â— Datum, Uhrzeit und Betrag der Transaktion
◠Händlerstandort und -beschreibung
◠Die vom Verkäufer bereitgestellte Produktbeschreibung
â— Fotos, die im Rahmen der Transaktion hochgeladen wurden
◠Name und E-Mail-Adresse von Verkäufer/Absender bzw. Käufer/Empfänger
â— Zahlungsmethode
â— Grund der Transaktion
â— Das mit der Transaktion verbundene Angebot
◠Browser, verwendetes Gerät, IP-Adresse
Die Verwendung des Zahlungsdienstes Google Pay erfolgt freiwillig. Sie haben die Möglichkeit, eine
andere Zahlungsmethode auszuwählen. Die Verarbeitung Ihrer Daten zur Zahlungsabwicklung mit
Google Pay erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragsabwicklung. Darüber
hinaus haben wir berechtigtes Interesse eine effektive und sichere Zahlungsmethode anzubieten (Art.
6 Abs. 1 lit. f DSGVO).
3.2.5.3. Zahlung per Apple Pay
Wir bieten Ihnen die Bezahlung via „Apple Pay“ der Apple Distribution International, Hollyhill Industrial
Estate, Hollyhill, Cork, Irland (im Folgenden “Appleâ€) an. Wenn Sie die Bezahlung via Apple Pay
auswählen, werden Ihre im Rahmen des Bestellvorgangs mitgeteilten Informationen nebst den
Informationen über Ihre Bestellung an Apple Pay übermittelt. Dabei handelt es sich um folgende Daten:
â— Vor- und Nachname
â— Anrede
â— Geburtsdatum
â— Telefonnummer
â— E-Mail
â— IP-Adresse
â— Rechnungs- und Lieferadresse
â— Land
â— Bestelldatum
â— Bezahlter Betrag
◠Browser, verwendetes Gerät, IP-Adresse, gerätespezifische Accountnummer
Die Verwendung des Zahlungsdienstes Apple Pay erfolgt freiwillig. Sie haben die Möglichkeit, eine
andere Zahlungsmethode auszuwählen. Die Verarbeitung Ihrer Daten zur Zahlungsabwicklung mit
Apple Pay erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragsabwicklung. Darüber hinaus
haben wir berechtigtes Interesse eine effektive und sichere Zahlungsmethode anzubieten (Art. 6 Abs. 1
lit. f DSGVO).
3.2.5.4. Zahlung per Kreditkarte
Sie haben die Möglichkeit, per Kreditkarte bei uns einzukaufen. Rechtsgrundlage für die
Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO. Wir setzen die Dienste von Stripe ein, um
Kreditkartenzahlungen abzuwickeln.
Beim Kauf per Kreditkarte verarbeiten wir folgende Daten und übertragen diese zur Zahlungsabwicklung
an Stripe:
â— Vor- und Nachname
â— Rechnungs- und Lieferadresse
â— E-Mail-Adresse
â— Bestelldatum
â— Zahlungsbetrag
â— Land
◠Browser, verwendetes Gerät, IP-Adresse
â— Kreditkartennummer
Wir haben ein berechtigtes Interesse, eine effektive und sichere Zahlungsmethode anzubieten (Art. 6
Abs. 1 lit. f DSGVO). Weitere Informationen zum Datenschutz bei Stripe finden Sie unter
https://stripe.com/en-de/privacy#translation
Stripe behält sich vor, eine Bonitätsprüfung auf der Grundlage mathematisch-statistischer Verfahren
durchzuführen, um das berechtigte Interesse an der Feststellung der Zahlungsfähigkeit des Nutzers zu
wahren. Die für eine Bonitätsprüfung notwendigen und im Rahmen der Zahlungsabwicklung erhaltenen
personenbezogenen Daten übermittelt Stripe gegebenenfalls an ausgewählte Auskunfteien, welche
Stripe Nutzern auf Anfrage offenlegt. Die Bonitätsauskunft kann Wahrscheinlichkeitswerte enthalten
(sog. Score-Werte). Soweit Score-Werte in das Ergebnis der Bonitätsauskunft einfließen, haben diese
ihre Grundlage in einem wissenschaftlich anerkannten mathematisch-statistischem Verfahren. In die
Berechnung der Score-Werte fließen unter anderem, aber nicht ausschließlich, Anschriftendaten ein.
Das Ergebnis der Bonitätsprüfung in Bezug auf die statistische Zahlungsausfallwahrscheinlichkeit
verwendet Stripe zum Zwecke der Entscheidung über die Nutzungsberechtigung für die gewählte
Zahlungsmethode. Sie können dieser Verarbeitung Ihrer Daten jederzeit durch eine Nachricht an Stripe
oder die beauftragten Auskunfteien widersprechen. Jedoch bleibt Stripe ggf. weiterhin berechtigt, Ihre
personenbezogenen Daten zu verarbeiten, sofern dies zur vertragsgemäßen Zahlungsabwicklung
erforderlich ist.
3.3. Datenverarbeitung zu Werbezwecken
3.3.1. Newsletterwerbung
Es besteht die Möglichkeit, sich auf unserer Webseite für unsere Newsletter anzumelden. Um sicher
gehen zu können, dass bei der Eingabe der E-Mail-Adresse keine Fehler unterlaufen sind, setzen wir
das sog. Double-Opt-In-Verfahren (DOI-Verfahren) ein: Das bedeutet, dass Sie zunächst Ihre E-Mail-
Adresse in das Anmeldefeld eingegeben und Ihre Einwilligung zum Erhalt unserer Newsletter erteilen.
Danach übersenden wir Ihnen einen Bestätigungslink an die angegebene Adresse. Erst wenn Sie
diesen Bestätigungslink anklicken, wird Ihre E-Mail-Adresse in unseren Verteiler zum Versand unserer
Newsletter aufgenommen.
Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. a DSGVO.
Soweit wir zur Verarbeitung Ihrer personenbezogenen Daten für einen bestimmten Zweck aufgrund
Ihrer Einwilligung berechtigt sind, löschen wir diese Daten sofort, wenn Sie Ihre Einwilligung widerrufen.
Hinweis Widerrufsrecht
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft durch eine Mitteilung an info@get-
ikigai.com oder die Abmeldemöglichkeit am Ende eines jeden Newsletters widerrufen.
3.4. Einsatz von Cookies
3.4.1. Cookies – Allgemeine Informationen
Beim Besuch unserer Webseite werden Informationen in Form von Cookies (kleine Textdateien) auf
Ihrem Browser abgelegt. Darin werden Angaben über Ihre Nutzung der Webseite gespeichert
(Identifikations-ID, Besuchsdatum, etc.). Mit dem Einsatz von Cookies erleichtern wir Ihnen die Nutzung
unseres Online-Angebots durch verschiedene Service-Funktionen (wie z.B. die Wiedererkennung von
vorangegangenen Besuchen) und können damit das Internetangebot besser auf Ihre Bedürfnisse
abstimmen.
Wir verwenden Cookies, um die Benutzung unserer Webseite zu erleichtern und zu verbessern. So
können wir durch Cookies unter anderem unser Internetangebot für Sie nutzerfreundlicher und effektiver
gestalten, indem wir beispielsweise Ihre Nutzung unserer Webseite nachvollziehen und Ihre
bevorzugten Einstellungen (bspw. Länder- und Spracheneinstellungen) feststellen. Sofern Dritte über
Cookies Informationen verarbeiten, erheben diese die Informationen direkt über Ihren Browser. Cookies
richten auf Ihrem Endgerät aber keinen Schaden an. Sie können keine Programme ausführen und keine
Viren enthalten. Auf unserer Webseite werden verschiedene Arten von Cookies verwendet, deren Art
und Funktion im Folgenden erläutert wird.
Technisch erforderliche Cookies: Einige Funktionen unserer Webseite können ohne den Einsatz
technisch notwendiger Cookies nicht angeboten werden, z.B. Warenkorb, Länder- und Sprachauswahl,
Cookies, die die Cookie-Einwilligung speichern.
Cookies für Statistiken / Marketingzwecke / Social Media Cookies: Andere Cookies ermöglichen
uns dagegen verschiedene Analysen. So können einige Cookies den von Ihnen verwendeten Browser
bei einem erneuten Besuch unserer Webseite wiedererkennen und verschiedene Informationen an uns
übermitteln. Social-Media-Cookies ermöglichen es, eine Verbindung zu Ihren sozialen Netzwerken
aufzubauen und Inhalte unserer Webseite innerhalb Ihrer Netzwerke zu teilen.
Temporäre Cookies/Session-Cookies: Auf unserer Webseite werden sog. temporäre Cookies bzw.
Session-Cookies verwendet, die automatisch gelöscht werden, sobald Sie Ihren Browser schließen.
Durch diese Art von Cookies ist es möglich, Ihre Session-ID zu erfassen. Dadurch lassen sich
verschiedene Anfragen Ihres Browsers einer gemeinsamen Sitzung zuordnen und es ist möglich, Ihr
Endgerät bei späteren Webseitenbesuchen wiederzuerkennen.
Permanente Cookies: Auf unserer Webseite werden sog. permanente Cookies eingesetzt.
Permanente Cookies sind Cookies, die über einen längeren Zeitraum in Ihrem Browser gespeichert
werden und Informationen übermitteln können. Die jeweilige Speicherdauer unterscheidet sich je nach
Cookie. Sie können permanente Cookies eigenständig über Ihre Browsereinstellungen löschen.
Drittanbieter-Cookies: Wir verwenden analytische Cookies zur Beobachtung des anonymisierten
Nutzerverhaltens auf unserer Webseite. Zudem verwenden wir Werbungs-Cookies. Mit diesen Cookies
kann das Nutzerverhalten für Werbe- und gezielte Marketingzwecke verfolgt werden.
Konfiguration der Browsereinstellungen: Die meisten Webbrowser sind so voreingestellt, dass
Cookies automatisch akzeptiert werden. Sie können Ihren jeweiligen Browser jedoch so konfigurieren,
dass er nur noch bestimmte oder auch gar keine Cookies mehr akzeptiert. Wir weisen Sie jedoch darauf
hin, dass Sie dann möglicherweise nicht mehr alle Funktionen unserer Webseite nutzen können.
Über Ihre Browsereinstellungen können Sie zudem auch bereits in Ihrem Browser gespeicherte Cookies
löschen. Des Weiteren ist es möglich, Ihren Browser so einzustellen, dass er Sie benachrichtigt, bevor
Cookies gespeichert werden. Da sich die verschiedenen Browser in ihren jeweiligen Funktionsweisen
unterscheiden können, bitten wir Sie, das jeweilige Hilfemenü Ihres Browsers für die entsprechenden
Konfigurationsmöglichkeiten in Anspruch zu nehmen.
Die Deaktivierung der Verwendung von Cookies erfordert möglicherweise die Speicherung eines
permanenten Cookies auf Ihrem Computer. Wenn Sie das Cookie anschließend löschen, müssen Sie
ihn erneut deaktivieren.
Widerrufsmöglichkeit: Sie können Ihre Einwilligung jederzeit von der Cookie-Erklärung auf unserer
Website ändern oder widerrufen.
Ihre Einwilligung trifft auf die folgenden Domains zu:
https://www.get-ikigai.com, jobs.get-ikigai.com,
hire.get-ikigai.com, and sämtliche andere .get-ikigai.com URLs.
Im Folgenden finden Sie eine Auflistung der von uns verwendeten Cookies unter Angabe des Anbieters,
der Cookie-Art, des konkreten Cookie Namens, seiner Funktionsweise, der Funktionsdauer, Angaben
dazu, ob Dritte Zugriff erhalten, sowie dem jeweiligen Link zu den Datenschutzerklärungen des
konkreten Cookie-Anbieters.
3.4.2. Cookie-Skript.com
Anbieter von Cookie-Skript.com ist Objectis Ltd., Laisves st. 60, LT-05120 Vilnius Lithuania
Das verwendete Cookie trägt den Namen "CookieScriptConsent“ und ist ein technisch notwendiges
Cookie. Er speichert die Einstellungen des Nutzers hinsichtlich der Cookie-Einwilligungen. Die
Verarbeitung Ihrer personenbezogenen Daten erfolgt daher auf Grundlage des Art. 6 Abs. 1 lit. f
DSGVO, da wir ein berechtigtes Interesse daran haben, Ihre Cookie-Einwilligungen zu verwalten. Die
verarbeiteten Daten werden nach einem Monat gelöscht. Die Datenschutzerklärung von Cookie-
Skript.com finden Sie unter: https://cookie-script.com/legal/privacy-policy.
3.5. Kontaktaufnahme
Wenn Sie mit uns Kontakt aufnehmen wollen, können Sie das per E-Mail, tun. In diesem Fall verwenden
wir jene personenbezogenen Daten, die Sie uns in diesem Rahmen freiwillig zur Verfügung stellen allein
zu dem Zweck, um mit Ihnen in Kontakt zu treten und Ihre Anfrage zu bearbeiten.
Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO.
Die Daten werden gelöscht, sobald der Zweck der Kontaktaufnahme erfüllt ist.
3.6. Datenverarbeitung im Rahmen von Social Media Auftritten
Wir betreiben öffentlich zugängliche Profile in sozialen Netzwerken. Die im Einzelnen von uns genutzten
sozialen Netzwerke finden Sie weiter unten. Soziale Netzwerke wie Facebook, Twitter etc. können Ihr
Nutzerverhalten in der Regel umfassend analysieren, wenn Sie deren Webseite oder eine Webseite mit
integrierten Social-Media-Inhalten (z.B. Like-Buttons oder Werbebannern) besuchen. Durch den
Besuch unserer Social-Media-Profile werden datenschutzrelevante Verarbeitungsvorgänge ausgelöst.
3.6.1. Einzelheiten
Wenn Sie in Ihrem Social-Media-Account eingeloggt sind und unsere Social-Media-Präsenz besuchen,
kann der Betreiber des Social-Media-Portals diesen Besuch Ihrem Benutzerkonto zuordnen. Ihre
personenbezogenen Daten können unter Umständen aber auch dann erfasst werden, wenn Sie nicht
eingeloggt sind oder keinen Account beim jeweiligen Social-Media-Portal besitzen. Diese
Datenerfassung erfolgt in diesem Fall beispielsweise über Cookies, die auf Ihrem Endgerät gespeichert
werden oder durch Erfassung Ihrer IP-Adresse. Mit Hilfe der so erfassten Daten können die Betreiber
der Social-Media-Portale Nutzerprofile erstellen, in denen Ihre Präferenzen und Interessen hinterlegt
sind. Auf diese Weise kann Ihnen interessenbezogene Werbung in- und außerhalb der jeweiligen
Social-Media-Präsenz angezeigt werden. Sofern Sie über einen Account beim jeweiligen sozialen
Netzwerk verfügen, kann die interessenbezogene Werbung auf allen Geräten angezeigt werden, auf
denen Sie eingeloggt sind oder eingeloggt waren. Details hierzu entnehmen Sie den
Datenschutzbestimmungen der jeweiligen Social-Media-Portale.
3.6.2. Verantwortlicher und Geltendmachung von Rechten
Wenn Sie einen unserer Social-Media-Auftritte (z.B. Facebook) besuchen, sind wir gemeinsam mit dem
Betreiber der Social-Media-Plattform für die bei diesem Besuch ausgelösten
Datenverarbeitungsvorgänge verantwortlich. Sie können Ihre Rechte (Auskunft, Berichtigung,
Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Beschwerde) grundsätzlich
sowohl ggü. uns als auch ggü. dem Betreiber des jeweiligen Social-Media-Portals (z.B. ggü. Facebook)
geltend machen. Bitte beachten Sie, dass wir trotz der gemeinsamen Verantwortlichkeit mit den Social-
Media-Portal-Betreibern nicht vollumfänglich Einfluss auf die Datenverarbeitungsvorgänge der Social-
Media-Portale haben. Unsere Möglichkeiten richten sich maßgeblich nach der Unternehmenspolitik des
jeweiligen Anbieters.
3.6.3. Rechtsgrundlage
Unsere Social-Media-Auftritte sollen eine möglichst umfassende Präsenz im Internet gewährleisten und
eine effektive Information der Nutzer und Kommunikation mit den Nutzern ermöglichen. Hierbei handelt
es sich um ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Die von den sozialen
Netzwerken initiierten Analyseprozesse beruhen ggf. auf abweichenden Rechtsgrundlagen, die von den
Betreibern der sozialen Netzwerke anzugeben sind (z.B. Einwilligung im Sinne des Art. 6 Abs. 1 lit. a
DSGVO).
3.6.4. Speicherdauer
Die unmittelbar von uns über die Social-Media-Präsenz erfassten Daten werden von unseren Systemen
gelöscht, sobald der Zweck für ihre Speicherung entfällt, Sie uns zur Löschung auffordern, Ihre
Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt.
Gespeicherte Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen. Zwingende gesetzliche
Bestimmungen – insb. Aufbewahrungsfristen – bleiben unberührt. Auf die Speicherdauer Ihrer Daten,
die von den Betreibern der sozialen Netzwerke zu eigenen Zwecken gespeichert werden, haben wir
keinen Einfluss. Für Einzelheiten dazu informieren Sie sich bitte direkt bei den Betreibern der sozialen
Netzwerke (z.B. in deren Datenschutzerklärung, siehe unten).
3.6.5. Soziale Netzwerke im Einzelnen
In den folgenden sozialen Netzwerken sind wir aktiv:
3.6.5.1. Facebook
Anbieter ist die Facebook Inc., 1 Hacker Way, Menlo Park, California 94025, USA. Wir haben mit
Facebook eine Vereinbarung über eine gemeinsame Verantwortlichkeit bei der Verarbeitung von Daten
(Controller Addendum) geschlossen. In dieser Vereinbarung wird festgelegt, für welche
Datenverarbeitungsvorgänge wir bzw. Facebook verantwortlich ist, wenn Sie unsere Facebook-
Fanpage besuchen. Diese Vereinbarung können Sie unter folgendem Link einsehen:
https://www.facebook.com/legal/terms/page_controller_addendum. Sie können Ihre
Werbeeinstellungen selbstständig in Ihrem Nutzer-Account anpassen. Klicken Sie hierzu auf folgenden
Link und loggen Sie sich ein: https://www.facebook.com/settings?tab=ads
Details entnehmen Sie der Datenschutzerklärung von Facebook:
https://www.facebook.com/about/privacy
3.6.5.2. Google / YouTube
Anbieter ist die Google Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA. Sie können
Ihre Werbeeinstellungen selbstständig in Ihrem Nutzer-Account anpassen. Klicken Sie hierzu auf
folgenden Link und loggen Sie sich ein: https://adssettings.google.com/authenticated
Details entnehmen Sie der Datenschutzerklärung von Google: https://policies.google.com/privacy
3.6.5.3. Twitter
Anbieter ist die Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Sie können
Ihre Twitter-Datenschutzeinstellungen selbstständig in Ihrem Nutzer-Account anpassen. Klicken Sie
hierzu auf folgenden Link und loggen Sie sich ein: https://twitter.com/personalization
Details entnehmen Sie der Datenschutzerklärung von Twitter: https://twitter.com/de/privacy
3.6.5.4. Instagram
Anbieter ist die Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA. Details zu deren
Umgang mit Ihren personenbezogenen Daten entnehmen Sie der Datenschutzerklärung von Instagram:
https://help.instagram.com/519522125107875 oder alternativ http://instagram.com/about/legal/privacy.
3.6.5.5. LinkedIn
Anbieter ist die LinkedIn Inc., 1000 W Maude, Sunnyvale, CA 94085, USA. Details zu deren Umgang
mit Ihren personenbezogenen Daten entnehmen Sie der Datenschutzerklärung von LinkedIn:
https://www.linkedin.com/legal/privacy-policy.
4. Auftragsverarbeiter
Wir setzen im Rahmen der Verarbeitung Ihrer Daten Auftragsverarbeiter ein. Bei einem
Auftragsverarbeiter handelt es sich um eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die personenbezogene Daten im Auftrag des für die Datenverarbeitung
Verantwortlichen verarbeitet. Auftragsverarbeiter nutzen die Daten nicht für eigene Zwecke, sondern
führen die Datenverarbeitung ausschließlich für den Verantwortlichen aus.
4.1. OpenAI
Diese Webseite verwendet den Dienst ChatGPT. Anbieter ist OpenAI, L.L.C., 3180 18th St, San
Francisco, CA 94110, USA.
ChatGPT wird genutzt, um den Bewerbungscoach anzubieten und Bewerber einer Firma direkt zu
präsentieren und die beiden miteinander zu verknüpfen. Außerdem wird der Dienst verwendet um
Stellenanforderungen von der Firma zu erfragen.
Dazu werden folgende Ihrer personenbezogenen Daten verarbeitet:
• Antworten, die während der Nutzung des Tools im Chat gegeben werden,
• Lebenslaufdaten (falls hochgeladen) oder Informationen aus dem LinkedIn Profil.
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Ihre Einwilligung gem. Art. 6
Abs. 1 lit. a DSGVO. Für die Auftragsverarbeitung wurde außerdem ein Auftragsverarbeitungsvertrag
zwischen uns und OpenAI geschlossen. Die Daten werden nach [einem Monat gelöscht.
OpenAI verarbeitet Ihre Daten u.a. in den USA. Als Rechtsgrundlage der Datenverarbeitung außerhalb
der EU dient der Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, das sog. EU-US
Data Privacy Framework. Danach dürfen personenbezogene Daten aus der EU in den USA verarbeitet
werden, wenn das US-Unternehmen in der Liste von zertifizierten Unternehmen vom US-
Handelsministerium aufgenommen wurde. Das ist bei OpenAI nicht der Fall. Wir haben daher mit
OpenAI Standardvertragsklauseln abgeschlossen, um ein angemessenes Datenschutzniveau zu
gewährleisten. Dadurch verpflichtet sich OpenAI, das europäische Datenschutzniveau zu
gewährleisten.
Hier finden Sie weitere Informationen zum Datenschutz bei OpenAI:
https://openai.com/policies/privacy-
policy.
Im Anhang finden Sie den Auftragsverarbeitungsvertrag, den wir mit OpenAI geschlossen haben.
4.2. Amazon Web Services
Diese Webseite verwendet den Dienst Amazon Web Services (im Folgenden „AWS“). Anbieter ist
Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA.
AWS wird genutzt, um den Service zu hosten.
Dazu werden folgende Ihrer personenbezogenen Daten verarbeitet:
â— Vor- und Nachname
â— Anrede
â— Adresse
â— E-Mail-Adresse
â— Geburtsdatum
â— Telefonnummer
◠Passwort (verschlüsselt)
◠Antworten, die während der Nutzung des Tools im Chat gegeben werden
â— Lebenslaufdaten (falls hochgeladen) oder Informationen aus dem LinkedIn Profil
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 lif. DSGVO. Wir
haben ein berechtigtes Interesse an einer möglichst zuverlässigen Bereitstellung unseres Services. Für
die Auftragsverarbeitung wurde außerdem ein Auftragsverarbeitungsvertrag zwischen uns und AWS
geschlossen Die Daten werden nach einem Monat gelöscht.
AWS verarbeitet Ihre Daten u.a. in den USA. Als Rechtsgrundlage der Datenverarbeitung außerhalb
der EU dient der Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, das sog. EU-US
Data Privacy Framework. Danach dürfen personenbezogene Daten aus der EU in den USA verarbeitet
werden, wenn das US-Unternehmen in der Liste von zertifizierten Unternehmen vom US-
Handelsministerium aufgenommen wurde. Das ist bei AWS der Fall. Dadurch verpflichtet sich AWS,
das europäische Datenschutzniveau zu gewährleisten.
Hier finden Sie weitere Informationen zum Datenschutz bei AWS:
https://d1.awsstatic.com/legal/privacypolicy/AWS_Privacy_Notice_German_Translation.pdf.
Hier finden Sie den Auftragsverarbeitungsvertrag, den wir mit AWS geschlossen haben:
https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf.
4.3. Google Analytics
Diese Website nutzt Google Analytics, einen Webtracking-Dienst der Google Ireland Limited, Gordon
House, Barrow Street, Dublin 4, Irland („Google“).
Zweck unserer Nutzung des Tools ist es, die Analyse Ihrer Nutzerinteraktionen in unserem Service zu
ermöglichen und durch die gewonnenen Statistiken und Berichte unser Angebot zu verbessern und für
Sie als Nutzer interessanter gestalten. Die Interaktionen zwischen Ihnen als Nutzer der Website und
unserer Website erfassen wir in erster Linie mithilfe von Cookies, Daten zum Gerät/Browser, IP-
Adressen und Website- oder App-Aktivitäten. In Google Analytics werden außerdem Ihre IP-Adressen
erfasst, um die Sicherheit des Dienstes zu gewährleisten und um uns als Websitebetreiber Aufschluss
darüber zu geben, aus welchem Land, welcher Region oder welchem Ort der jeweilige Nutzer stammt
(sog. „IP-Standortbestimmung“). Zu Ihrem Schutz nutzen wir aber natürlich die
Anonymisierungsfunktion („IP Masking“), d.h., dass Google innerhalb der EU/des EWR die IP-Adressen
um das letzte Oktett kürzt.
Google agiert als Auftragsverarbeiter und wir haben einen entsprechenden Vertrag mit Google
geschlossen.
Rechtsgrundlage für die Erhebung und weitere Verarbeitung der Informationen ist Ihre erteilte
Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Die Daten werden nach maximal 14 Monaten gelöscht.
Der Widerruf Ihrer Einwilligung ist jederzeit möglich, ohne dass davon die Zulässigkeit der Verarbeitung
bis zum Widerruf berührt wird.
Google verarbeitet Ihre Daten u.a. in den USA. Als Rechtsgrundlage der Datenverarbeitung außerhalb
der EU dient der Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, das sog. EU-US
Data Privacy Framework. Danach dürfen personenbezogene Daten aus der EU in den USA verarbeitet
werden, wenn das US-Unternehmen in der Liste von zertifizierten Unternehmen vom US-
Handelsministerium aufgenommen wurde. Das ist bei Google der Fall. Dadurch verpflichtet sich Google,
das europäische Datenschutzniveau zu gewährleisten.
Nähere Informationen zum Leistungsumfang von Google Analytics erhalten Sie unter
marketingplatform.google.com/about/analytics/terms/de/.
Informationen zur Datenverarbeitung bei Nutzung von Google Analytics stellt Google unter folgendem
Link bereit: support.google.com/analytics/answer/6004245?hl=de/.
Generelle Hinweise zur Datenverarbeitung, die nach Aussage von Google auch für Google Analytics
gelten sollen, erhalten Sie in der Datenschutzerklärung von Google unter
www.google.de/intl/de/policies/privacy/.
4.4. Tally
Diese Webseite nutzt Tally, einen Anbeiter von Webformularen. Anbieter ist die Tally BV, August van
Lokerenstraat 71, Gent 9050, Belgien.
Tally stellt Webformulare zur Verfügung. Dadurch können wir Ihnen eine einfache Möglichkeit zur
Eingabe Ihrer Daten bereitstellen. Dazu werden folgende personenbezogene Daten durch Tally
verarbeitet:
- Umfragerelevante Informationen, wie. z.B. Stellenbezeichnung, Arbeitgeber, größe der Firma,
Führungsverantwortung
- Name, Vorname
- Email Adresse
Tally ist Empfänger Ihrer personenbezogenen Daten und als Auftragsverarbeiter für uns tätig.
Rechtsgrundlage für diese Verarbeitungen ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die
Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten können Sie jederzeit widerrufen. Durch
Erklärung des Widerrufs, wird die Rechtmäßigkeit, der bisher erfolgten Verarbeitung nicht berührt.
Ihre Daten werden nach einem Monat von uns bei Tally gelöscht. Wir behalten die Daten im Anschluss
aber auf unseren eigenen Servern weiter, falls es zu einem Vertragsabschluss mit Ihnen gekommen ist.
Für uns gilt gemäß § 147 AO bzw. § 257 HGB eine gesetzliche Aufbewahrungsfrist von 10 Jahren für
die Rechnungen und Belege, die aus einem Vertrag mit Ihnen entstanden sind.
Hier finden Sie weitere Informationen zum Datenschutz bei Tally: https://tally.so/help/privacy-policy.
4.5. Webflow
Diese Webseite verwendet Webflow. Anbieter ist die webflow GmbH, Wasserburger Straße 4, 83352
Altenmarkt a. d. Alz, Deutschland.
Webflow wird genutzt, um die Webseite zu hosten.
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 lif. DSGVO. Wir
haben ein berechtigtes Interesse an einer möglichst zuverlässigen Bereitstellung unseres Services. Für
die Auftragsverarbeitung wurde außerdem ein Auftragsverarbeitungsvertrag zwischen uns und Webflow
geschlossen Die Daten werden nach einem Monat gelöscht.
Hier finden Sie weitere Informationen zum Datenschutz bei Webflow:
https://www.webflow.de/unternehmen/datenschutzerklaerung/.
4.6. Google Firebase
Diese Webseite verwendet Firebase. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street,
Dublin 4, Irland („Google“).
Firebase wird fürs Hosting der Webseite verwendet. Beim Aufruf der Seite lädt Ihr Browser die
benötigten Daten, wie die HTML Datei, Stylesheets zur Darstellung, JavaScript für die Darstellung von
Elementen und Bilder und zeigt diese an. Hierzu nimmt der von Ihnen verwendete Browser Verbindung
zu den Servern von Firebase Hosting auf. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre
IP-Adresse unsere Website aufgerufen wurde. Um einen sicheren Betrieb dieser Website gewährleisten
zeichnet Google Ihre IP-Adresse für einen von Google definierten Zeitraum auf.
Die Speicherung erfolgt zur Sicherstellung des Betriebs und zur Abwehr von Gefahren für diese
Website. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Google verarbeitet Ihre Daten u.a. in den USA. Als Rechtsgrundlage der Datenverarbeitung außerhalb
der EU dient der Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, das sog. EU-US
Data Privacy Framework. Danach dürfen personenbezogene Daten aus der EU in den USA verarbeitet
werden, wenn das US-Unternehmen in der Liste von zertifizierten Unternehmen vom US-
Handelsministerium aufgenommen wurde. Das ist bei Google der Fall. Dadurch verpflichtet sich Google,
das europäische Datenschutzniveau zu gewährleisten.
Weitere Informationen finden Sie unter https://firebase.google.com/support/privacy/.
5. Empfänger außerhalb der EU
Die Verarbeitung der Daten findet grundsätzlich in Deutschland oder Staaten der Europäischen Union
statt. Soweit eine Verarbeitung in Drittländern in bestimmten Fällen erfolgt, erfolgt die Verarbeitung nur,
wenn die Angemessenheit des Datenschutzniveaus im Drittstaat durch die EU-Kommission nach Art.
45 DSGVO festgestellt wurde, aufgrund der EU-Standardvertragsklauseln oder falls ein angemessenes
Datenschutzniveau beim Datenempfänger auf andere Weise sichergestellt ist.
6. Die Rechte unserer Nutzer
6.1. Ãœberblick
Ihnen stehen bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen die folgenden Rechte zu:
â— Recht auf Auskunft (Art. 15 DSGVO)
Sie können Auskunft über die folgenden Informationen verlangen:
o Welche personenbezogenen Daten wir von Ihnen verarbeiten
o Die Verarbeitungszwecke
o Die Kategorie der personenbezogenen Daten
o Die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder
werden
o Die geplante Speicherdauer
o Die Herkunft ihrer Daten, sofern diese nicht direkt bei Ihnen erhoben wurden
◠Recht auf Berichtigung unrichtiger oder auf Vervollständigung richtiger Daten (Art. 16
DSGVO)
◠Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen. Dieses besteht aber nur soweit wir
nicht auf Grund von gesetzlichen oder vertraglichen Aufbewahrungsfristen oder anderen
gesetzlichen Pflichten bzw. Rechten zur weiteren Speicherung verpflichtet sind.
◠Recht auf Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO)
Soweit Sie die Richtigkeit Ihrer Daten bestreiten, die Verarbeitung unrechtmäßig ist, Sie aber deren
Löschung ablehnen, wir als Verantwortlicher die Daten nicht mehr benötigen, Sie diese aber zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß
Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben, können Sie eine
Einschränkung der Verarbeitung Ihrer Daten verlangen.
◠Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, ausgewählte bei uns über Sie gespeicherte Daten in einem gängigen,
maschinenlesbaren Format übertragen zu bekommen, oder die Übermittlung an einen anderen
Verantwortlichen zu verlangen
◠Recht auf Beschwerde bei einer Aufsichtsbehörde
Hierfür können Sie sich grundsätzlich an die Aufsichtsbehörde ihres üblichen Aufenthaltsortes oder
Arbeitsplatzes oder unseres Unternehmenssitzes wenden.
Die zuvor genannten, Ihnen uns gegenüber zustehenden Rechte, können Sie unter info@get-ikigai.com
geltend machen.
Sofern Sie über unsere Webseite Produkte / Dienstleistungen von Partnern erwerben, gelten die
vorgenannten Rechte gegenüber unseren Partnern entsprechend. Wenn Sie die vorgenannten Rechte
gegenüber unseren Partnern geltend machen wollen, wenden Sie sich einfach direkt an den jeweiligen
Partner.
Eine Auskunft über Ihre bei uns gespeicherten persönlichen Daten können Sie zusätzlich hier info@get-
ikigai.com
anfordern.
6.2. Widerspruchsrecht
Sie haben das Recht der Datenverarbeitung unter den Voraussetzungen des Art. 21 Abs. 1 DSGVO
aus Gründen, die sich aus Ihrer Person ergeben, zu widersprechen. Hierfür sind Gründe von
übergeordneter Bedeutung notwendig (z.B. eine Gefahr für Leib und Leben).
Dieses allgemeine Widerspruchsrecht gilt nur für in diesen Datenschutzinformationen beschriebenen
Verarbeitungszwecke, die auf Grundlage von Art. 6 Abs. 1 lit. e und f DSGVO verarbeitet werden.
6.3. Widerrufsrecht
Soweit unsere Datenverarbeitung auf einer von Ihnen erteilten Einwilligung beruht, steht Ihnen jederzeit
das Recht zu, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. Die Einwilligung besteht
dann ab diesem Zeitpunkt nicht mehr, der Widerruf gilt nicht rückwirkend. Die Datenverarbeitung
während des Bestands der Einwilligung bleibt davon unberührt.
7. Datensicherheit
Um die sichere Übertragung persönlicher Daten zu gewährleisten, verwenden wir das
Verschlüsselungsprotokoll TLS 1.2 (als zugrundeliegendes Verschlüsselungsverfahren wird RSA-2048
für die Public-Key-Infrastruktur eingesetzt). Dies ist ein sicherer und erprobter Standard, der z.B. auch
beim Onlinebanking Verwendung findet. Sie erkennen eine sichere SSL-Verbindung unter anderem an
dem angehängten s am http (also https://...) in der Adressleiste Ihres Browsers oder am Schloss-Symbol
im unteren Bereich Ihres Browsers.
Wir bedienen uns im Übrigen geeigneter technischer und organisatorischer Sicherheitsmaßnahmen,
um Ihre bei uns gespeicherten persönlichen Daten gegen Manipulation, teilweisen oder vollständigen
Verlust und gegen unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden
entsprechend der technologischen Entwicklung fortlaufend verbessert.
7.1. Abschließende Hinweise
Hackingangriffe, also unbefugte Zugriffsversuche auf personenbezogene Informationen, sind ein Teil
der digitalen Welt in der wir heute leben. Diesem Problem müssen wir uns als Unternehmen aber auch
Sie als Privatpersonen stellen. Um diese Aufgabe zu meistern, legen wir investieren wir viel Ressourcen
in die Sicherheit und Überwachung unserer Systeme. Auch Sie können einiges dafür tun, um sich gegen
den unbefugten Zugang Dritter zu Ihren Informationen zu schützen. Dafür wollen wir Ihnen die folgenden
Hinweise und Tipps geben:
7.2. Wie kann ich meinen Account schützen?
Nutzen Sie sichere Passwörter und teilen Sie diese niemandem mit. Nur Sie allein sollten diese kennen.
Sie sollten für jedes Portal bzw. jeden Anbieter ein eigenes Passwort haben. Überprüfen Sie, ob Sie
das für unsere Webseite gewählte Passwort gegebenenfalls auch auf anderen Webseite verwenden.
Sollte dies der Fall sein, raten wir dringend, alle Passwörter umgehend zu ändern. Sollten Sie sich Ihre
Passwörter notieren, so stellen Sie sicher, dass kein anderer Zugang zu den Passwörtern hat.
7.3. Wie zeichnet ein sicheres Passwort aus?
Ein sicheres Passwort:
â— Ist lang genug und besteht aus mehr als einem Wort
◠Hat eine gewisse Komplexität
â— Hat mindestens 8 Zeichen
â— Kennen nur Sie
◠Ist trotz der Komplexität auch leicht zu merken!
Wählen Sie Ihr Passwort so, dass sie nicht leicht erraten werden kann. Benutzen Sie daher weder den
eigenen Namen oder Namen von Verwandten noch gängige Wörter aus dem Alltag. Bestenfalls
kombinieren Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
7.4. Welche weiteren Dinge sollte ich beachten?
Wenn Sie unsere Webseite von einem öffentlich zugänglichen Rechner aus aufrufen, stellen Sie stets
sicher, dass Sie sich nach Ihrem Besuch auf unserer Webseite wieder abmelden. Sollten Sie ohne
konkreten Kontakt unangeforderte E-Mails bekommen, in denen Sie gebeten werden, Passwörter des
Kundenkontos zu nennen oder Angaben zu Zahlungsdaten abzugeben, ignorieren Sie dies und nehmen
Sie bitte unverzüglich Kontakt mit uns auf. Wir werden diese Vorfälle untersuchen.
8. Datenempfänger
Unternehmen
Sitz
Dienstleistung
Amazon Web Services
USA
Hosting
OpenAI
USA
KI API Services
Google Analytics
Irland
Webanalyse
Google Firebase
Irland
Hosting
webflow GmbH Deutschland Hosting
Tally BV Belgien Webformulare
Data processing addendum
Updated
15 February 2024
This Data Processing Addendum (“DPAâ€) governs OpenAI’s processing of Customer Data (i)
provided by Customer to OpenAI through OpenAI’s API or any OpenAI services for businesses
(“API Servicesâ€) or (ii) pursuant to OpenAI’s provision of the ChatGTPT Enterprise service for
businesses (the “ChatGPT Enterprise Servicesâ€) (for purposes of this DPA, the API Services
and ChatGPT Enterprise Services are together the “Servicesâ€) under the terms of the OpenAI
Business Terms (located at openai.com/policies/business-terms), Enterprise Agreement, or
other agreement between Customer and OpenAI governing Customer’s use of the Services
(the “Agreementâ€) and is hereby incorporated into the Agreement. If and to the extent
language in this DPA conflicts with the Agreement, the conflicting terms in this DPA shall
control. Capitalized terms not defined in this DPA have the meaning set forth in the Agreement.
For the purposes of this DPA only, “Customer†includes any affiliate entity of Customer’s that
(a) has entered into an Order Form with OpenAI and that (b) directly or indirectly, through one
or more intermediaries controls, is controlled by, or is under common control with Customer.
If Customer is located in the EEA or Switzerland, OpenAI Ireland Ltd will provide the Services
and contract with Customer. If Customer is located in the UK or anywhere else other than the
EEA or Switzerland, OpenAI, LLC will provide the Services and contract with Customer. For
the purposes of this DPA, “OpenAI†refers to the OpenAI entity contracting with Customer.
OpenAI and Customer each agree to comply with their respective obligations under applicable
data privacy and data protection laws (collectively, “Data Protection Lawsâ€) in connection
with the Services. Data Protection Laws may include, depending on the circumstances, Cal.
Civ. Code §§ 1798.100 et seq., as amended by the California Privacy Rights Act of 2020 (the
California Consumer Privacy Act) (“CCPAâ€), Colo. Rev. Stat. §§ 6-1-1301 et seq. (the
Colorado Privacy Act) (“CPAâ€), Connecticut’s Data Privacy Act (“CTDPAâ€), Utah Code Ann.
§§ 13-61-101 et seq. (the Utah Consumer Privacy Act) (“UCPAâ€), VA Code Ann. §§ 59.1-575
et seq. (the Virginia Consumer Data Protection Act) (“VCDPAâ€) (collectively “U.S. Privacy
Lawsâ€), and the United Kingdom and/or European Union General Data Protection Regulation
(Regulation (EU) 2016/679) (collectively the “GDPRâ€), and applicable subordinate legislation
and regulations implementing those laws.
In connection with the Agreement, Customer is the person that determines the purposes and
means for which Customer Data (as defined below) is processed (a “Data Controllerâ€),
whereas OpenAI processes Customer Data in accordance with the Data Controller’s
instructions and on behalf of the Data Controller (as a “Data Processorâ€). “Data Controllerâ€
and “Data Processor†also mean the equivalent concepts under Data Protection Laws. For
the purposes of the Agreement and this DPA, (i) “Personal Data†has the meaning assigned
to the term “personal data†or “personal information†under applicable Data Protection Laws;
and (ii) “Customer Data†means Personal Data that Customer provides to OpenAI that
OpenAI processes on behalf of Customer to provide the Services. OpenAI will process
Customer Data as Customer’s Data Processor to provide or maintain the Services and for the
purposes set forth in this DPA, the Agreement and/or in any other applicable agreements
between Customer and OpenAI.
1. Processing Requirements
As a Data Processor, OpenAI agrees to:
a. process Customer Data only (i) on Customer’s behalf for the purpose of providing and
supporting OpenAI’s Services (including to provide insights, reporting, analytics, and
platform abuse, trust and safety monitoring); (ii) in compliance with the written
instructions received from Customer; and (iii) in a manner that provides no less than
the level of privacy protection required of it by Data Protection Laws;
b. promptly inform Customer in writing if OpenAI cannot comply with the requirements of
this DPA;
c. not provide Customer with remuneration in exchange for Customer Data from
Customer. The parties acknowledge and agree that Customer has not “sold†(as such
term is defined by the CCPA) Customer Data to OpenAI;
d. not “sell†(as such term is defined by U.S. Privacy Laws) or “share†(as such term is
defined by the CCPA) Personal Data;
e. inform Customer promptly if, in OpenAI’s opinion, an instruction from Customer
violates applicable Data Protection Laws;
f. require (i) persons employed by it and (ii) other persons engaged to perform on
OpenAI’s behalf to be subject to a duty of confidentiality with respect to the Customer
Data and to comply with the data protection obligations applicable to OpenAI under
the Agreement and this DPA;
g. engage the organizations or persons listed at
https://platform.openai.com/subprocessors to process Customer Data (each
“Subprocessor,†and the list at the foregoing URL, the “Subprocessor Listâ€) to help
OpenAI satisfy its obligations in accordance with this DPA or to delegate all or part of
the processing activities to such Subprocessors. Customer hereby consents to the use
of such Subprocessors. If Customer subscribes to email notifications as provided on
the Subprocessor List website, then OpenAI will notify Customer of any changes
OpenAI intends to make to the Subprocessor List at least 15 days before the changes
take effect (which may be via email, a posting, or notification on an online portal for our
services or other reasonable means). In the event that Customer does not wish to
consent to the use of such additional Subprocessor, Customer may notify OpenAI that
Customer does not consent within fifteen (15) days on reasonable grounds relating to
the protection of Customer Data by following the instructions set forth in the
Subprocessor List or by contacting privacy@openai.com. In such case, OpenAI shall
have the right to cure the objection through one of the following options: (i) OpenAI will
cancel its plans to use the Subprocessor with regards to processing Customer Data or
will offer an alternative to provide its Services or services without such Subprocessor;
(ii) OpenAI will take the corrective steps requested by Customer in Customer objection
notice and proceed to use the Subprocessor; (iii) OpenAI may cease to provide, or
Customer may agree not to use whether temporarily or permanently, the particular
aspect or feature of the OpenAI Services or services that would involve the use of such
Subprocessor; or (iv) Customer may cease providing Customer Data to OpenAI for
processing involving such Subprocessor. If none of the above options are
commercially feasible, in OpenAI’s reasonable judgment, and the objection(s) have not
been resolved to the satisfaction of the parties within thirty (30) days of OpenAI’s
receipt of Customer’s objection notice, then either party may terminate any
subscriptions, order forms or usage regarding the Services that cannot be provided
without the use of the new Subprocessor for cause and in such case, Customer will be
refunded any pre-paid fees for the applicable subscriptions, order forms or usage to
the extent they cover periods or terms following the date of such termination. Such
termination right is Customer’s sole and exclusive remedy if Customer objects to any
new Subprocessor. OpenAI shall enter into contractual arrangements with each
Subprocessor binding them to provide a comparable level of data protection and
information security to that provided for herein. Subject to the limitations of liability
included in the Agreement, OpenAI agrees to be liable for the acts and omissions of
its Subprocessors to the same extent OpenAI would be liable under the terms of the
DPA if it performed such acts or omissions itself;
h. upon reasonable request no more than once per year, provide Customer with OpenAI’s
privacy and security policies and other such information necessary to demonstrate
compliance with the obligations set forth in this DPA and applicable Data Protection
Laws;
i. where required by law and upon reasonable notice and appropriate confidentiality
agreements, cooperate with assessments, audits, or other steps performed by or on
behalf of Customer at Customer’s sole expense and in a manner that is minimally
disruptive to OpenAI’s business that are necessary to confirm that OpenAI is
processing Customer Data in a manner consistent with this DPA. Where permitted by
law, OpenAI may instead make available to Customer a summary of the results of a
third-party audit or certification reports relevant to OpenAI’s compliance with this DPA.
Such results, and/or the results of any such assessments, audits, or other steps shall
be the Confidential Information of OpenAI;
j. to the extent that Customer permits or instructs OpenAI to process Customer Data
subject to U.S. Privacy Laws in a de-identified, anonymized, and/or aggregated form
as part of the Services, OpenAI shall (i) adopt reasonable measures to prevent such
deidentified data from being used to infer information about, or otherwise being linked
to, a particular natural person or household; (ii) not attempt to re-identify the
information, except that OpenAI may attempt to reidentify the information solely for the
purpose of determining whether its de-identification processes comply with Data
Protection Laws or are functioning as intended; and (iii) before sharing de-identified
data with any other party, including Subprocessors, contractually obligate any such
recipients to comply with the requirements of this provision;
k. where the Customer Data is subject to the CCPA, not (i) retain, use, disclose, or
otherwise process Customer Data except as necessary for the business purposes
specified in the Agreement or this DPA; (ii) retain, use, disclose, or otherwise process
Customer Data in any manner outside of the direct business relationship between
OpenAI and Customer; or (iii) combine any Customer Data with Personal Data that
OpenAI receives from or on behalf of any other third party or collects from OpenAI’s
own interactions with individuals, provided that OpenAI may so combine Customer
Data for a purpose permitted under the CCPA if directed to do so by Customer or as
otherwise permitted by the CCPA;
l. where required by law, grant Customer the rights to (i) take reasonable and appropriate
steps to ensure that OpenAI uses Customer Data in a manner consistent with Data
Protection Laws by exercising the audit provisions set forth in this DPA above; and (ii)
stop and remediate unauthorized use of Customer Data, for example by requesting
that OpenAI provide written confirmation that applicable Customer Data has been
deleted.
2. Notice to Customer
OpenAI will inform Customer if OpenAI becomes aware of:
a. any legally binding request for disclosure of Customer Data by a law enforcement
authority, unless OpenAI is otherwise forbidden by law to inform Customer, for
example to preserve the confidentiality of an investigation by law enforcement
authorities;
b. any notice, inquiry or investigation by an independent public authority established by
a member state pursuant to Article 51 of the GDPR (a “Supervisory Authorityâ€) with
respect to Customer Data; or
c. any complaint or request (in particular, requests for access to, rectification or blocking
of Customer Data) received directly from Customer’s data subjects. OpenAI will not
respond to any such request without Customer’s prior written authorization.
3. Assistance to Customer
OpenAI will provide reasonable assistance to Customer regarding:
a. information necessary, taking into account the nature of the processing, to respond to
requests received pursuant to Data Protection Laws from Customer’s data subjects in
respect of access to or the rectification, erasure, restriction, portability, objection,
blocking or deletion of Customer Data that OpenAI processes for Customer. In the
event that a data subject sends such a request directly to OpenAI, OpenAI will promptly
send such request to Customer;
b. the investigation of any breach of OpenAI’s security leading to the accidental or
unlawful destruction, loss, alteration, unauthorized disclosure of, or unauthorized
access to Customer Data processed by OpenAI for Customer (a “Personal Data
Breachâ€); and
c. where appropriate, the preparation of data protection impact assessments with respect
to the processing of Customer Data by OpenAI and, where necessary, carrying out
consultations with any supervisory authority with jurisdiction over such processing.
4. Required Processing
If OpenAI is required by Data Protection Laws to process any Customer Data for a reason
other than in connection with the Agreement, OpenAI will inform Customer of this requirement
in advance of any such processing, unless legally prohibited.
5. Security
OpenAI will:
a. maintain reasonable and appropriate organizational and technical security measures,
including but not limited to those measures described in Exhibit B to this DPA (including
with respect to personnel, facilities, hardware and software, storage and networks,
access controls, monitoring and logging, vulnerability and breach detection, incident
response, and encryption) to protect against unauthorized or accidental access, loss,
alteration, disclosure or destruction of Customer Data and to protect the rights of the
subjects of that Customer Data;
b. take appropriate steps to confirm that OpenAI personnel are protecting the security,
privacy and confidentiality of Customer Data consistent with the requirements of this
DPA; and
c. notify Customer of any Personal Data Breach by OpenAI, its Subprocessors, or any
other third parties acting on OpenAI’s behalf without undue delay after OpenAI
becomes aware of such Personal Data Breach.
6. Obligations of Customer
a. Customer represents, warrants and covenants that it has and shall maintain throughout
the term all necessary rights, consents and authorizations to provide the Customer
Data to OpenAI and to authorize OpenAI to use, disclose, retain and otherwise process
Customer Data as contemplated by this DPA, the Agreement and/or other processing
instructions provided to OpenAI.
b. Customer shall comply with all applicable Data Protection Laws.
c. Customer shall reasonably cooperate with OpenAI to assist OpenAI in performing any
of its obligations with regard to any requests from Customer’s data subjects.
d. Without prejudice to OpenAI’s security obligations in Section 5 of this DPA, Customer
acknowledges and agrees that it, rather than OpenAI, is responsible for certain
configurations and design decisions for the services and that Customer, and not
OpenAI, is responsible for implementing those configurations and design decisions in
a secure manner that complies with applicable Data Protection Laws.
e. Customer shall not provide Customer Data to OpenAI except through agreed
mechanisms. For example, Customer shall not include Customer Data other than
technical contact information, or in technical support tickets, transmit user Customer
Data to OpenAI by email. Without limitation to the foregoing, Customer represents,
warrants and covenants that it shall only transfer Customer Data to OpenAI using
secure, reasonable and appropriate mechanisms, to the extent such mechanisms are
within Customer’s control.
f. Customer shall not take any action that would (i) render the provision of Customer Data
to OpenAI a “sale†under U.S. Privacy Laws or a “share†under the CCPA (or equivalent
concepts under U.S. Privacy Laws); or (ii) render OpenAI not a “service provider†under
the CCPA or “processor†under U.S. Privacy Laws.
7. International Data Transfers
a. OpenAI Ireland Ltd. will process Customer Data provided by Customer that originates
in the EEA or Switzerland. To the extent that OpenAI Ireland Ltd transfers Customer
Data to other OpenAI affiliates in jurisdictions that do not provide the same level of
data protection, it will do so on the basis of intra-group agreements that incorporate
appropriate transfer mechanism provisions to protect Customer Data. Such
mechanisms may include the Standard Contractual Clauses adopted by the EU
Commission on June 4, 2021 (as may be amended, updated or replaced from time to
time) (“EU SCCsâ€) or an adequacy decision issued by the European Commission
under Article 45 GDPR.
b. OpenAI OpCo, LLC will process Customer Data provided by Customer located in the
UK in accordance with the EU SCCs as amended by the UK addendum to the EU
SCCs issued by the Information Commissioner under section 119A(1) of the Data
Protection Act 2018 (“UK Addendumâ€) which are deemed entered into (and
incorporated into this DPA by this reference) and completed as follows (each as
amended by the UK Addendum, where relevant and applicable):
i. Module Two (Controller to Processor) of the EU SCCs apply when Customer is a
controller and OpenAI is processing Customer Data as a processor.
ii. Module Three (Processor to Sub-Processor) of the EU SCCs apply when Customer
is a processor and OpenAI is processing Customer Data as a sub-processor.
c. For each module of the EU SCCs, where applicable, the following applies:
i. The optional docking clause in Clause 7 does not apply;
ii. In Clause 9, Option 2 (general written authorization) applies, and the minimum time
period for prior notice of sub-processor changes shall be as set forth in Section 1(g) of
this DPA.
iii. In Clause 11, the optional language does not apply;
iv. All square brackets in Clause 13 are hereby removed;
v. In Clause 17 (Option 1), the EU SCCs will be governed by the laws of England and
Wales;
vi. In Clause 18(b), disputes will be resolved before the courts of England and Wales;
vii. Exhibit A to this DPA contains the information required in Annex I and Annex III of
the EU SCCs;
viii. Exhibit B to this DPA contains the information required in Annex II of the EU SCCs;
and
d. The parties will comply with the terms of Part 2: Mandatory Clauses of the Approved
Addendum, being the template Addendum B1.0 . The parties also agree (i) that the
information included in Part 1 of the UK Addendum is as set out in Exhibit A to this
DPA and (ii) that either party may end the UK Addendum as set out in Section 19 of
the UK Addendum.
8. Term; Data Return and Deletion
This DPA shall remain in effect as long as OpenAI carries out Customer Data processing
operations on Customer’s behalf or until the termination of the Agreement (and all Customer
Data has been returned or deleted in accordance with this DPA). OpenAI will retain API
Service Customer Data sent through the API for a maximum of thirty (30) days, after which it
will be deleted, except where OpenAI is required to retain copies under applicable laws, in
which case OpenAI will isolate and protect that Customer Data from any further processing
except to the extent required by applicable laws. OpenAI will retain ChatGPT Enterprise
Service Customer Data during the term of the Agreement, unless otherwise stated in the
Agreement or Order Form. On the termination of the DPA, OpenAI will direct each
Subprocessor to delete the Customer Data within thirty (30) days of the DPA’s termination,
unless prohibited by law. For clarity, OpenAI may continue to process information derived from
Customer Data that has been deidentified, anonymized, and/or aggregated such that the data
is no longer considered Personal Data under applicable Data Protection Laws and in a manner
that does not identify individuals or Customer to improve OpenAI’s systems and services.
OpenAI Ireland Ltd
Ikigai GmbH
Signature:
Orgnanization ID:org-OIXKUZ5HOlxXVEGvmzQBH1H7
Name: Emma Redmond
Name: Sebastian Wilhelm
Title: Authorized Signer
Title: CEO
Date: 1/24/2024
Date: August 1, 2024
Exhibit A
A. LIST OF PARTIES
Data exporter(s): the Services customer identified on the applicable Services registration
documents
Data importer(s):
Name: OpenAI OpCo, LLC
Address: 1960 Bryant Street, San Francisco, CA 94110
Contact Person’s name, position and contact details:
Emma Redmond
Head of EU Data Protection
privacy@openai.com
Activities relevant to the data transferred under these Clauses: The performance of the
services described in the agreement to which this is attached.
Signature and date: 1/24/2024
Role (controller/processor): Processor
B. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Users of data exporters applications.
Categories of personal data transferred
Name, contact information, demographic information, or other information provided by the
user in unstructured data.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take
into consideration the nature of the data and the risks involved, such as for instance strict
purpose limitation, access restrictions (including access only for staff having followed
specialised training), keeping a record of access to the data, restrictions for onward transfers
or additional security measures.
No sensitive data is intended to be transferred unless the user includes it unexpectedly in
unstructured data.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous
basis).
Continuous.
Nature of the processing
The performance of the services described in the agreement to which this exhibit is
attached.
Purpose(s) of the data transfer and further processing
The performance of the services described in the agreement to which this exhibit is
attached.
The period for which the personal data will be retained, or, if that is not possible, the criteria
used to determine that period
During the term of the agreement
For transfers to (sub-) processors, also specify subject matter, nature and duration of the
processing
The performance of the services described in the agreement to which this exhibit is
attached.
C. COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Information Commissioner’s Office (“ICOâ€).
Exhibit B
TECHNICAL AND ORGANIZATIONAL MEASURES INCLUDING TECHNICAL AND
ORGANIZATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
INTRODUCTION
OpenAI’s mission is to deploy safe and responsible AI at scale for the benefit of all. In
accordance with this mission, OpenAI maintains an information security program designed to
safeguard its systems, data, and Customer Data. This Exhibit describes the information
security program and security standards that OpenAI maintains with respect to the Services
and handling of data submitted by or on behalf of Customer of the Services (the “Customer
Dataâ€). Capitalized terms not defined in this Exhibit have the meanings given in the DPA or
Agreement.
ChatGPT Enterprise is a new OpenAI Service and so certain technical or security measures
below apply differently to ChatGPT Enterprise; in each case that difference is noted in
italicized language. “ChatGPT Enterprise†is the version of OpenAI’s AI-powered ChatGPT
language model that is available to enterprises.
To learn more about OpenAI’s technical and organizational security measures to
protect Customer Data, see the OpenAI Trust Portal at https://trust.openai.com/ (the
“Trust Portalâ€). The Security Measures below include the subset of the information
available in the Trust Portal which applies to this DPA.
SECURITY MEASURES
Corporate Identity, Authentication, and Authorization Controls. OpenAI maintains
industry best practices for authenticating and authorizing internal employee and service
access, including the following measures:
â— OpenAI uses single sign-on (SSO) to authenticate to third-party services used in the
delivery of the Services. Role Based Access Controls (RBAC) are used when
provisioning internal access to the Services;
◠Mandatory multi-factor authentication is used for authenticating to OpenAI’s identity
provider.
â— Unique login identifiers are assigned to each user;
â— Established review and approval processes for any access requests to services storing
Customer Data;
â— Periodic access audits designed to ensure access levels are appropriate for the roles
each user performs;
â— Established procedures for promptly revoking access rights upon employee
separation;
â— Established procedures for reporting and revoking compromised credentials such as
passwords and API keys); and
â— Established password reset procedures, including procedures designed to verify the
identity of a user prior to a new, replacement, or temporary password.
Customer Identity, Authentication, and Authorization Controls. OpenAI maintains
industry best practices for authenticating and authorizing customers to the Services, including
the following measures:
â— Use of a third-party identity access management service to manage Customer identity,
meaning OpenAI does not store user-provided passwords on users’ behalf; and
â— Logically separating Customer Data by organization account using unique identifiers.
Within an organization account, unique user accounts are supported.
â— Cloud Infrastructure and Network Security. OpenAI maintains industry best practices
for securing and operating its cloud infrastructure, including the following measures:
â— Separate production and non-production environments;
â— Primary backend resources are deployed behind a VPN.
â— The Services are routinely audited for security vulnerabilities.
â— Application secrets and service accounts are managed by a secrets management
service;
â— Network security policies and firewalls are configured for least-privilege access against
a pre-established set of permissible traffic flows. Non-permitted traffic flows are
blocked; and
â— Services logs are monitored for security and availability.
System and Workstation Control. OpenAI maintains industry best practices for securing
OpenAI’s corporate systems, including laptops and on-premises infrastructure, including:
â— Endpoint management of corporate workstations;
â— Endpoint management of mobile devices;
â— Automatic application of security configurations to workstations;
â— Mandatory patch management; and
â— Maintaining appropriate security logs.
Data Access Control. OpenAI maintains industry best practices for preventing authorized
users from accessing data beyond their authorized access rights and for preventing the
unauthorized input, reading, copying, removal, modification, or disclosure of data. Such
measures include the following:
â— Employee access to the Services follows the principle of least privilege. Only
employees whose job function involves supporting the delivery of Services are
credentialed to the Services environment; and
â— Customer Data submitted to the Services is only used in accordance with the terms of
the DPA, Agreement, and any other applicable contractual agreements in place with
Customer.
Disclosure Control. OpenAI maintains industry best practices for preventing the
unauthorized access, alteration, or removal of data during transfer, and for securing and
logging all transfers. Such measures include:
â— Encryption of data at rest in production datastores using strong encryption algorithms;
â— Encryption of data in transit;
â— Audit trail for all data access requests for production datastores;
â— Full-disk encryption required on all corporate workstations;
â— Device management controls required on all corporate workstations;
â— Restrictions on use of portable or removable media; and
â— Customer Data can be deleted upon request.
Availability control. OpenAI maintains industry best practices for maintaining Services
functionality through accidental or malicious intent, including:
â— Ensuring that systems may be restored in the event of an interruption;
â— Ensuring that systems are functioning and faults are reported; and
â— Anti-malware and intrusion detection/prevention solutions implemented
comprehensively across our environment.
Segregation control. OpenAI maintains industry best practices for separate processing of
data collected for different purposes, including:
â— Logical segregation of Customer Data;
â— Restriction of access to data stored for different purposes according to staff roles and
responsibilities;
â— Segregation of business information system functions; and
â— Segregation of testing and production information system environments.
Risk Management. OpenAI maintains industry best practices for detecting and managing
cybersecurity risks, including:
â— Threat modeling to document and triage sources of security risk for prioritization and
remediation;
â— Penetration testing is conducted on the Services at least annually, and any remediation
items identified are resolved as soon as possible on a timetable commensurate with
the associated risk. Upon request, OpenAI will provide summary details of the tests
performed and whether the identified issues have been resolved;
â— Annual engagements of a qualified, independent external auditor to conduct periodic
reviews of OpenAI’s security practices against recognized audit standards, including
SOC 2 Type II certification audits. Upon reasonable request, OpenAI will provide
summary details; and
â— A vulnerability management program designed to ensure the prompt remediation of
vulnerabilities affecting the Services.
Personnel. OpenAI maintains industry best practices for vetting, training, and managing
personnel with respect to security matters, including:
â— Background checks, where legally permissible, of employees with access to Customer
Data or supporting other aspects of the Services;
â— Annual security training for employees, and supplemental security training as
appropriate.
Physical Access Control. OpenAI maintains industry best practices for preventing
unauthorized physical access to OpenAI facilities, including:
â— Physical barrier controls including locked doors and gates;
â— 24-hour on-site security guard staffing;
â— 24-hour video surveillance and alarm systems, including video surveillance of common
areas and facility entrance and exit points;
â— Access control systems requiring biometrics or photo-ID badge and PIN for entry to all
OpenAI facilities by OpenAI personnel;
â— Visitor identification,sign-in and escort protocols; and
â— Logging of facility exits and entries.
Third Party Risk Management. OpenAI maintains industry best practices for managing third
party security risks, including with respect to any subprocessor or subcontractor to whom
OpenAI provides Customer Data, including the following measures:
â— Written contracts designed to ensure that any agent agrees to maintain reasonable
and appropriate safeguards to protect Customer Data; and
â— Vendor Security Assessments: All third parties undergo a formal vendor assessment
process maintained by OpenAI’s Security team.
Security Incident Response. OpenAI maintains a security incident response plan for
responding to and resolving events that compromise the confidentiality, availability, or integrity
of the Services or Customer Data including the following:
â— OpenAI aggregates system logs for security and general observability from a range of
systems to facilitate detection and response; and
â— If OpenAI becomes aware that a Personal Data Breach has occurred, OpenAI will
notify Customer in accordance with the DPA.
Security Evaluations. OpenAI performs regular security and vulnerability testing to assess
whether key controls are implemented properly and are effective as measured against industry
security standards and its policies and procedures and to ensure continued compliance with
obligations imposed by law, regulation, or contract with respect to the security of Customer
Data as well as the maintenance and structure of OpenAI’s information systems.
ElectronicRecordofContracts
Thisdocumentwasgeneratedasarecordofcertaincontractscreated,acceptedandstoredelectronically.
SummaryofContracts
Thisdocumentcontainsthefollowingcontracts.
Title ID
DataProcessingAgreement(IkigaiGmbHandOpenAI) 59c60327-afc9-4277-8058-43578712ee09
Contractsignedby:
IkigaiGmbH
SignerID: 843bfc6a-0795-49af-b881-2fe901833e22
Email: sebastian@get-ikigai.com
Date/Time: Aug1,2024at6:48AMEDT
IPAddress: 88.217.174.126
UserAgent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/126.0.0.0Safari/537.36
