Land und Sprache auswählen

Datenschutzerklärung

Stand: 25. Mai 2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website und im Zusammenhang mit den hier angebotenen digitalen Versicherungs- und Informationsangeboten ist:

bitsurance GmbH
Dammstr. 41
31134 Hildesheim
Deutschland

Handelsregister: HRB 207867
Registergericht: Amtsgericht Hildesheim
Vertreten durch: Christian Wind und Philipp Oehler

Telefon: 05121 3035545
E-Mail: service@bitsurance.eu

Umsatzsteuer-Identifikationsnummer: DE348409096
Versicherungsvertreter mit Erlaubnis nach § 34d Abs. 1 GewO
Vermittlerregister-Nummer: D-MUID-JWLDV-00

Datenschutzanfragen können Sie ebenfalls an service@bitsurance.eu richten.

2. Allgemeine Hinweise

Wir nehmen den Schutz personenbezogener Daten ernst. Diese Datenschutzerklärung informiert darüber, welche personenbezogenen Daten wir verarbeiten, zu welchen Zwecken wir dies tun, auf welchen Rechtsgrundlagen die Verarbeitung erfolgt, an wen Daten übermittelt werden können, wie lange Daten gespeichert werden und welche Rechte betroffene Personen haben.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere Kontaktdaten, Vertragsdaten, Zahlungsdaten, Kommunikationsdaten, technische Online-Kennungen wie IP-Adressen und, im Zusammenhang mit unserem Versicherungsangebot, walletbezogene Angaben wie xPub-Daten, abgeleitete Adressen, Signaturen, Signaturtexte, Transaktionskontexte oder daraus gebildete Hashwerte, soweit diese einer Person zugeordnet werden können.

Walletbezogene Angaben behandeln wir besonders sorgfältig. Ein xPub ist kein privater Schlüssel und erlaubt keine Verfügung über Bitcoin. Ein xPub kann aber eine Zuordnung von Adressen und Transaktionshistorien ermöglichen. Wir behandeln xPub-Daten, daraus abgeleitete Informationen und damit verbundene Nachweise daher als besonders schutzbedürftige personenbezogene oder personenbeziehbare Daten.

Diese Datenschutzerklärung gilt für Besucherinnen und Besucher der Website, Interessenten, Newsletter- und Wartelistenkontakte, Antragstellerinnen und Antragsteller, Versicherungsnehmerinnen und Versicherungsnehmer, Zahlungspflichtige, Anspruchsteller im Schadenfall sowie Personen, die mit uns kommunizieren.

Bei übersetzten Versionen dieser Datenschutzerklärung ist der deutsche Text maßgeblich.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn hierfür eine Rechtsgrundlage besteht. Je nach Verarbeitung kommen insbesondere folgende Rechtsgrundlagen in Betracht:

Art. 6 Abs. 1 lit. a DSGVO:
Einwilligung, zum Beispiel für Newsletter, Wartelisten, Produktinformationen oder das aktive Laden externer Medien.

Art. 6 Abs. 1 lit. b DSGVO:
Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen, zum Beispiel bei Versicherungsanfragen, Versicherungsanträgen, Vertragsabschluss, Vertragsverwaltung, Zahlungsabwicklung und Schadenbearbeitung.

Art. 6 Abs. 1 lit. c DSGVO:
Erfüllung rechtlicher Pflichten, zum Beispiel handels-, steuer-, versicherungs-, aufsichts-, sanktions- oder compliancebezogener Pflichten.

Art. 6 Abs. 1 lit. f DSGVO:
Wahrung berechtigter Interessen, zum Beispiel IT-Sicherheit, Fehleranalyse, Missbrauchs- und Betrugsprävention, Rechtsverteidigung, Nachweisführung, Verbesserung unserer Angebote und sicherer Betrieb der Website.

§ 25 Abs. 2 TDDDG:
Speichern von Informationen oder Zugriff auf Informationen in Endeinrichtungen, soweit dies technisch erforderlich ist, um den ausdrücklich gewünschten digitalen Dienst bereitzustellen.

§ 25 Abs. 1 TDDDG:
Einwilligung für nicht erforderliche Endgerätezugriffe, soweit solche im Einzelfall eingesetzt werden.

Wenn wir eine Verarbeitung auf berechtigte Interessen stützen, können Sie der Verarbeitung nach Maßgabe von Art. 21 DSGVO widersprechen. Wenn wir Daten auf Grundlage einer Einwilligung verarbeiten, können Sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

4. Aufruf der Website und Server-Logdateien

Beim Aufruf unserer Website verarbeitet die technische Infrastruktur automatisch Daten, die für die Auslieferung der Website, die Stabilität, die Sicherheit, die Fehleranalyse und die datensparsame statistische Nutzungsanalyse erforderlich sind. Dazu können insbesondere gehören:

  • IP-Adresse.
  • Datum und Uhrzeit des Abrufs.
  • Angeforderte URL.
  • HTTP-Methode.
  • HTTP-Statuscode.
  • Übertragene Datenmenge.
  • Referrer-URL.
  • Browsertyp und Browserversion.
  • Betriebssystem.
  • User-Agent.
  • Technische Headerdaten.
  • Angaben zur Anfrageverarbeitung durch unsere Server und API-Systeme.

Wir verwenden diese Daten, um die Website bereitzustellen, die Nutzung der Website datensparsam statistisch auszuwerten, technische Fehler zu erkennen, Angriffe und Missbrauch zu verhindern, die Verfügbarkeit der Systeme sicherzustellen und sicherheitsrelevante Ereignisse nachvollziehen zu können.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb der Website, in der technischen Fehlerbehebung, in der datensparsamen Nutzungsanalyse und in der Abwehr von Angriffen.

Server- und API-Logdateien werden regelmäßig bis zu 90 Tage gespeichert. Eine längere Speicherung erfolgt nur, soweit einzelne Logauszüge zur Aufklärung von Sicherheitsvorfällen, zur Fehlerbehebung, zur Missbrauchsbekämpfung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. In diesen Fällen speichern wir die betroffenen Daten bis zur abschließenden Klärung und anschließend nur, soweit gesetzliche Aufbewahrungs- oder Verjährungsfristen dies erforderlich machen.

5. Hosting, DNS und technische Auslieferung

Unsere öffentliche Website wird technisch als statische Website ausgeliefert. Inhalte werden intern in einem Content-Management-System gepflegt, daraus mit Astro gebaut und anschließend als statische Dateien über unsere Internet-Infrastruktur bereitgestellt. Das interne Redaktionssystem wird beim normalen Besuch der öffentlichen Website nicht durch Besucherinnen und Besucher angesprochen und verarbeitet dabei keine Besucherdaten.

Wir hosten unsere Internet-Infrastruktur bei:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Hetzner verarbeitet technische Betriebsdaten als Auftragsverarbeiter nach Art. 28 DSGVO.

Wir nutzen Cloudflare derzeit als autoritativen DNS-Dienst. Nach unserer aktuellen Konfiguration wird Cloudflare nicht als HTTP-Proxy, CDN, TLS-Proxy, Web Application Firewall oder Bot-Schutz für die Website eingesetzt. Beim normalen Abruf der Website läuft der HTTP- bzw. HTTPS-Verkehr daher nicht über Cloudflare.

Als DNS-Anbieter kann Cloudflare DNS-Anfragen und technische DNS-Metadaten verarbeiten. Dazu können insbesondere der angefragte Domainname, der Zeitpunkt der Anfrage, technische DNS-Informationen und die IP-Adresse des anfragenden rekursiven DNS-Resolvers gehören. Nach aktuellem Stand haben wir keine zusätzlichen DNS-Log-Exports oder Logpush-Ziele eingerichtet. Es gelten die Standard-DNS-Analytics- und Log-Einstellungen von Cloudflare.

Anbieter ist:

Cloudflare, Inc.
101 Townsend St.
San Francisco, CA 94107
USA

Cloudflare kann Daten auch außerhalb der EU bzw. des EWR verarbeiten. Nach Angaben von Cloudflare werden für Übermittlungen in die USA unter anderem das EU-U.S. Data Privacy Framework und Standardvertragsklauseln genutzt.

Rechtsgrundlage für den Einsatz von Cloudflare als DNS-Dienst ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer zuverlässigen, sicheren und ausfallsicheren DNS-Auflösung unserer Domains.

6. Sicherheitsberichte und Content-Security-Policy-Reports

Unsere Website verwendet technische Sicherheitsmechanismen, unter anderem eine Content Security Policy. Bei Verstößen gegen Sicherheitsrichtlinien können technische Berichte entstehen. Diese können Angaben zur aufgerufenen Seite, zum blockierten Inhalt, zum Browser, zur Referrer-URL, zur IP-Adresse und zu technischen Kontextdaten enthalten.

Wir nutzen diese Daten ausschließlich zur Erkennung und Behebung von Sicherheits- und Konfigurationsproblemen sowie zur Abwehr von Angriffen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren Betrieb unserer Website und unserer technischen Systeme.

Security-Reports und Content-Security-Policy-Reports werden so kurz wie möglich gespeichert, regelmäßig höchstens 7 Tage. Wenn ein Report eindeutig keinem offenen Sicherheits- oder Konfigurationsproblem mehr zugeordnet werden muss, wird er früher gelöscht. Eine längere Speicherung einzelner Reports erfolgt nur bei konkreten Sicherheitsvorfällen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

7. Cookies und Session Storage

Wir setzen auf der öffentlichen Website nach aktueller Ausgestaltung keine eigenen Cookies für die Land- oder Sprachauswahl und keine Tracking-Cookies für werbliche Nutzerprofile ein. Im Antragsprozess verwenden wir jedoch technisch erforderlichen Session Storage, damit der mehrstufige Versicherungsantrag funktioniert.

Session Storage im Antragsprozess:
Im mehrstufigen Versicherungsantrag können Eingaben vorübergehend im Browser zwischengespeichert werden, damit Sie zwischen Schritten navigieren können und der Antrag technisch funktionsfähig bleibt. Die Speicherung endet regelmäßig mit dem Schließen des Browser-Tabs oder mit der Löschung durch den Browser.

Rechtsgrundlagen sind § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO.

Sie können Web-Speicher über die Einstellungen Ihres Browsers löschen oder blockieren. Wenn Sie technisch erforderliche Speicherfunktionen blockieren, kann insbesondere der mehrstufige Antragsprozess eingeschränkt sein.

8. Sprache, Land und lokale Georouting-Funktionen

Wir bieten Inhalte in mehreren Sprachen und für verschiedene Märkte an. Zur Auswahl passender Inhalte verarbeiten wir den Sprachpfad in der URL, Land- und Sprachparameter in der URL sowie Ihre Auswahl im Sprach- und Länderdialog.

Die Land- und Sprachauswahl wird nach aktueller Ausgestaltung nicht in einem eigenen Cookie gespeichert, sondern über die URL weitergegeben.

Soweit eine automatische Länderzuordnung eingesetzt wird, erfolgt diese anhand einer lokal betriebenen GeoIP-Datenbank. Dabei wird keine externe GeoIP-Abfrage pro Websitebesuch an einen Drittanbieter gesendet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, Ihnen passende Sprach- und Marktinformationen anzuzeigen und Fehlleitungen zu vermeiden.

9. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen, den Inhalt Ihrer Nachricht, technische E-Mail-Metadaten und alle weiteren Angaben, die Sie uns freiwillig mitteilen. Wir verarbeiten diese Daten zur Bearbeitung Ihrer Anfrage, zur Kommunikation mit Ihnen, zur Dokumentation der Kommunikation und, soweit erforderlich, zur Erfüllung vertraglicher oder gesetzlicher Pflichten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf einen Vertrag oder vorvertragliche Maßnahmen gerichtet ist. Im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung eingehender Anfragen und in einer nachvollziehbaren Kommunikation.

Für den E-Mail-Transport und interne Postfächer setzen wir externe E-Mail-Dienstleister ein. Für den allgemeinen Geschäftsverkehr nutzen wir Google Workspace/Gmail von:

Google Ireland Limited
Gordon House
Barrow Street
Dublin 4
Irland

Für vertraulichen Kundendatentransfer und verschlüsselte Kommunikation nutzen wir, soweit erforderlich:

Posteo e.K.
Methfesselstr. 38
10965 Berlin
Deutschland

sowie

mailbox.org, betrieben durch Heinlein Hosting GmbH
Schwedter Straße 8/9B
10119 Berlin
Deutschland

Für technische Benachrichtigungen und Notifications nutzen wir:

Brevo GmbH
Köpenicker Straße 126
10179 Berlin
Deutschland

Bei E-Mail-Kommunikation können insbesondere Empfängeradressen, Absenderadressen, Betreffzeilen, technische Metadaten und Nachrichteninhalte verarbeitet werden. Soweit E-Mails vertrauliche Vertrags- oder Kundendaten enthalten, setzen wir interne Verschlüsselungs- und Zugriffsschutzmaßnahmen ein.

Bitte beachten Sie, dass E-Mail-Kommunikation über das Internet grundsätzlich Sicherheitsrisiken haben kann. Senden Sie besonders vertrauliche Informationen nur über geeignete sichere Kommunikationswege.

10. Newsletter, Wartelisten und Produktinformationen

Wenn Sie sich für unseren Newsletter, eine Warteliste oder Produktinformationen anmelden, verarbeiten wir die hierfür erforderlichen Daten. Dazu können insbesondere gehören:

Kontaktdaten:
E-Mail-Adresse, optional Vorname, Name oder Alias.

Interessendaten:
Gewünschtes Produkt, Wallet-Typ, Produktinteresse, Land und Sprache.

Kontextdaten:
Quelle der Anmeldung, Sprache, Zeitpunkt der Anmeldung und technische Formularinformationen.

Nachweisdaten:
Einwilligungs- und Austragsinformationen, Nachweise über Anmeldung, Bestätigung, Änderung oder Abmeldung sowie öffentliche Eintrags-ID ohne E-Mail-Adresse.

Wir verwenden diese Daten, um Ihnen die angeforderten Informationen zuzusenden, Ihre Anmeldung zu verwalten, Abmeldungen umzusetzen, Missbrauch zu verhindern und Einwilligungen nachweisen zu können.

Rechtsgrundlage für den Versand ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Soweit werbliche E-Mail-Kommunikation betroffen ist, berücksichtigen wir zusätzlich die Anforderungen des § 7 UWG. Die Verarbeitung von Nachweisdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Dokumentation der Einwilligung, der Einhaltung rechtlicher Anforderungen und der Rechtsverteidigung.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Nutzen Sie dazu den Abmeldelink, die auf der Website bereitgestellte Abmeldefunktion oder kontaktieren Sie uns unter service@bitsurance.eu.

Die Daten werden gespeichert, solange Sie angemeldet sind. Nach Abmeldung löschen oder sperren wir die Daten, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen. Einwilligungsnachweise können bis zum Ablauf gesetzlicher Verjährungsfristen gespeichert werden. Soweit erforderlich, können wir eine E-Mail-Adresse oder einen entsprechenden Hashwert in einer Sperrliste speichern, um künftige Zusendungen an diese Adresse zu verhindern.

11. Versicherungsantrag und Vertragsabschluss

Wenn Sie über unseren digitalen Antragsprozess eine Versicherung anfragen oder abschließen, verarbeiten wir die Daten, die für die Prüfung, Erstellung, Durchführung und Verwaltung des Versicherungsvertrags erforderlich sind. Hierzu können insbesondere gehören:

Identitätsdaten:
Vorname, Nachname, Geburtsdatum und vergleichbare Angaben.

Kontaktdaten:
E-Mail-Adresse, Postanschrift, Land, Sprache und Kommunikationsdaten.

Risikodaten:
Versicherungsort, abweichender Risikoort, Versicherungsbetrag, Wallet-Typ und sonstige für die Risikoprüfung erforderliche Angaben.

Wallet- und Nachweisdaten:
xPub, aus dem xPub abgeleitete Informationen, Signatur, Signaturtext, Prüfstatus, Hashwerte, technische Nachweise und Prüfergebnisse.

Vertragsdaten:
Policen-ID, Rechnungsnummer, Vertragsstatus, Prämie, Versicherungsbeginn, Laufzeit, Einwilligungs- und Checkbox-Protokolle.

Zahlungsdaten:
Zahlungsanbieter, Betrag, Währung, Rechnungsstatus, Payment-Status, Zahlungsreferenzen und Zuordnungsdaten.

Marketing-, Partner- und Empfehlungsdaten:
Gutschein-, Partner- oder Empfehlungscodes, soweit Sie solche verwenden.

Wir verarbeiten diese Daten zur Antragsprüfung, zum Nachweis der Wallet-Kontrolle, zur Vertragserstellung, zur Bereitstellung von Vertragsunterlagen, zur Zahlungsabwicklung, zur Vertragsbetreuung, zur Missbrauchsprävention, zur Erfüllung gesetzlicher Pflichten und zur Rechtsverteidigung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Pflichten bestehen, verarbeiten wir Daten auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Soweit wir Daten zur IT-Sicherheit, Betrugs- und Missbrauchsprävention, Rechtsverteidigung oder internen Qualitätssicherung verarbeiten, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Soweit Sie ausdrücklich in bestimmte Verarbeitungen einwilligen, ist Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO.

Die für den Abschluss erforderlichen rechtlichen Zustimmungen, Bestätigungen und Kenntnisnahmen werden im digitalen Abschlussprozess abgefragt und mit Zeit- und Kontextinformationen protokolliert. Dazu gehören insbesondere Datenschutzinformationen, vertragliche Erklärungen, die Zustimmung zur Verarbeitung der angegebenen walletbezogenen Daten und die für den Antrag erforderlichen Checkbox-Protokolle.

12. Wallet-, xPub-, Signatur- und Blockchain-Prüfungen

Für unser Versicherungsangebot müssen wir prüfen, ob Sie die Kontrolle über das angegebene Wallet-Konto nachweisen können und ob die angegebenen walletbezogenen Daten für den vorgesehenen Versicherungsschutz geeignet sind. Dazu verarbeiten wir insbesondere xPub-Daten, Signaturen, Signaturtexte, abgeleitete Bitcoin-Adressen, Prüfergebnisse und Hashwerte.

Diese Verarbeitung dient insbesondere folgenden Zwecken:

Nachweis der Wallet-Kontrolle:
Wir prüfen, ob eine angeforderte Nachricht mit einem passenden Schlüssel signiert wurde.

Plausibilitäts- und Risikoprüfung:
Wir prüfen technisch, ob das angegebene Wallet-Konto und die angegebenen Daten für den beantragten Versicherungsschutz geeignet sind.

Vertragsverwaltung:
Wir können Hashwerte bilden, um ein versichertes Wallet-Konto wiederzuerkennen, ohne den Klartext-xPub bei jeder Verarbeitung erneut verwenden zu müssen. Hashwerte können weiterhin personenbezogene oder personenbeziehbare Daten sein, wenn sie einer Person oder einem Vertrag zugeordnet werden können.

Missbrauchs- und Compliance-Prüfung:
Wir können Prüfungen gegen öffentliche Blockchain-, Missbrauchs-, Sanktions- oder Compliance-Referenzdaten durchführen, soweit dies erforderlich und gesetzlich zulässig ist.

Für technische Blockchain- und Compliance-Prüfungen können interne Dienste und öffentliche Referenzdaten eingesetzt werden. Im regulären Antragsprozess setzen wir nach aktueller Ausgestaltung keinen externen AML-Dienstleister ein. Sanktionsprüfungen erfolgen anhand staatlich oder behördlich veröffentlichter Sanktionslisten und vergleichbarer Compliance-Referenzdaten. Dabei werden nach aktueller Ausgestaltung keine direkten Identitäts- oder Kontaktdaten an Betreiber solcher Listen übermittelt.

Für technische Blockchain-Plausibilitätsprüfungen können, soweit erforderlich, abgeleitete Bitcoin-Adressen, Transaktionskontexte oder technische Anfragedaten gegen eigene Nodes oder öffentliche Blockchain- bzw. Mempool-Schnittstellen geprüft werden. Ihre an uns übermittelten xPub-Daten, Signaturen und Signaturtexte werden dadurch nicht auf der Blockchain veröffentlicht. Sie sind nicht Teil des öffentlichen Bitcoin-Registers. Direkte Identitäts- und Kontaktdaten werden dabei grundsätzlich nicht an solche technischen Datenquellen übermittelt, sofern dies für die jeweilige Prüfung nicht erforderlich ist.

Für die Bewertung von Bitcoin-Werten können öffentliche Marktdaten, insbesondere BTC/EUR-Preisdaten, herangezogen werden.

Im Schadenfall können wir im Rahmen der manuellen Einzelfallbearbeitung vor Auszahlung einer Entschädigung externe spezialisierte AML-, Blockchain-Analyse- oder Compliance-Dienstleister beauftragen, soweit dies zur Erfüllung rechtlicher Pflichten, zur Sanktionsprüfung, zur Missbrauchsprävention, zur Prüfung des geltend gemachten Anspruchs oder zur Rechtsverteidigung erforderlich ist. Eine solche Beauftragung erfolgt nicht als laufende automatisierte Prüfung im Antragsprozess, sondern nur anlassbezogen im konkreten Schadenfall.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für vertragsbezogene Prüfungen, Art. 6 Abs. 1 lit. c DSGVO für gesetzlich erforderliche Compliance-Prüfungen und Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsprävention, IT-Sicherheit, Risikosteuerung und Rechtsverteidigung.

13. Erforderlichkeit der Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist teilweise erforderlich, um unsere Website nutzen, mit uns kommunizieren, Informationen erhalten, einen Versicherungsantrag stellen, einen Versicherungsvertrag abschließen oder Leistungen aus einem Versicherungsvertrag geltend machen zu können.

Für den Abschluss und die Durchführung eines Versicherungsvertrags benötigen wir insbesondere die erforderlichen Identitäts-, Kontakt-, Risiko-, Wallet-, Nachweis-, Vertrags- und Zahlungsdaten. Ohne diese Daten können wir den Antrag regelmäßig nicht prüfen, keinen Vertrag abschließen, den Vertrag nicht durchführen oder einen Schadenfall nicht bearbeiten.

Die Angabe freiwilliger Daten ist entsprechend gekennzeichnet oder ergibt sich aus dem jeweiligen Kontext. Wenn Sie freiwillige Angaben nicht machen, entstehen Ihnen daraus keine Nachteile, soweit diese Angaben nicht für den konkret gewünschten Dienst erforderlich sind.

14. Versicherer, Versicherungspartner und Dienstleister im Vertragsprozess

Zur Durchführung des Versicherungsangebots können wir personenbezogene Daten an Versicherer, Versicherungspartner, Dienstleister für Vertragsdokumente, Zahlungsdienstleister, E-Mail-Dienstleister, Hostingdienstleister und interne Fachsysteme übermitteln.

Empfänger können insbesondere sein:

Versicherer und Risikoträger:
Übermittlung von Vertrags-, Risiko-, Kunden-, Zahlungs- und Schadendaten, soweit dies für Angebot, Vertrag, Bordereau, Verwaltung, Abrechnung oder Schadenbearbeitung erforderlich ist.

Interne Vertrags- und Logistiksysteme:
Verwaltung von Policen, Rechnungen, Vertragsstatus, Gutscheinen, E-Mail-Listen und Kommunikationsprozessen.

Interne PDF- und Dokumentendienste:
Erstellung von Antrag, Police, Rechnung, Nachweisen und internen Unterlagen.

Sichere E-Mail- und Dispatch-Systeme:
Versand, Eingang, Verschlüsselung, Weiterleitung und Archivierung vertragsbezogener Kommunikation.

Zahlungsdienstleister:
Zahlungsabwicklung, Zahlungsstatus, Betrags- und Rechnungsinformationen.

Hosting- und Sicherheitsdienstleister:
Betrieb, Schutz, Verfügbarkeit und Protokollierung der technischen Systeme.

Risikoträger und Versicherer ist:

Liberty Mutual Insurance Europe SE
5-7 rue Léon Laval
L-3372 Leudelange
Luxemburg
Handelsregister Luxemburg: B232280

In Deutschland ist Liberty Mutual Insurance Europe SE über die Direktion für Deutschland tätig:

Liberty Mutual Insurance Europe SE
Direktion für Deutschland
Im Klapperhof 7-23
50670 Köln
Deutschland
Handelsregister Amtsgericht Köln: HRB 53435

Der Versicherungsvertrag wird nach den Vertragsunterlagen über:

Liberty Specialty Markets Europe S.à r.l.
Zweigniederlassung für Deutschland
Im Klapperhof 7-23
50670 Köln
Deutschland

als Zeichnungsagentur mit Abschlussvollmacht für den Versicherer abgeschlossen. Liberty Specialty Markets Europe S.à r.l., Zweigniederlassung für Deutschland, ist im Handelsregister des Amtsgerichts Köln unter HRB 92327 eingetragen.

Versicherer, Risikoträger und Zeichnungsagenturen können personenbezogene Daten in eigener datenschutzrechtlicher Verantwortung verarbeiten, soweit sie über Zwecke und Mittel der Verarbeitung selbst entscheiden. Ergänzend gelten deren eigene Datenschutzinformationen.

Walletbezogene Rohdaten werden nur weitergegeben, soweit dies für die technische Prüfung, den Vertrag, gesetzliche Pflichten, Missbrauchsprävention oder Schadenbearbeitung erforderlich ist. Soweit für den Versicherer oder andere Empfänger ein Hashwert, ein Status oder ein abgeleiteter Nachweis ausreicht, verwenden wir vorzugsweise solche reduzierten Daten.

15. Zahlungsabwicklung

Wenn Sie eine Zahlung vornehmen, verarbeiten wir Zahlungsdaten zur Durchführung und Zuordnung der Zahlung. Je nach ausgewählter Zahlungsart können Zahlungsdaten an den jeweiligen Zahlungsdienstleister übermittelt werden.

15.1 PayPal

Bei Zahlung über PayPal werden Zahlungsdaten an PayPal übermittelt. Anbieter für Nutzer im Europäischen Wirtschaftsraum ist:

PayPal (Europe) S.à r.l. et Cie, S.C.A.
22-24 Boulevard Royal
L-2449 Luxemburg

PayPal verarbeitet Daten auch als eigenständig Verantwortlicher. Es gelten zusätzlich die Datenschutzinformationen von PayPal.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit PayPal-Daten zur Buchhaltung, Betrugsprävention oder Rechtsverteidigung verarbeitet werden, kommen Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO hinzu.

15.2 Bitcoin-Zahlung und BTCPay

Wenn Sie per Bitcoin zahlen, verarbeiten wir Zahlungs- und Rechnungsdaten sowie den Zahlungsstatus. Die technische Zahlungszuordnung erfolgt über einen von uns selbst betriebenen BTCPay Server bzw. über unsere eigene Bitcoin-Zahlungsinfrastruktur. BTCPay ist dabei kein externer Auftragsverarbeiter und kein gesonderter Empfänger personenbezogener Daten.

Bitcoin-Transaktionen werden in der öffentlichen Blockchain verarbeitet. Öffentlich sichtbare Transaktionsdaten können durch Dritte analysiert und mit weiteren Informationen verknüpft werden. Wir nutzen die Zahlungsinformationen zur Zuordnung und Abwicklung der Zahlung, zur Rechnungsstellung, zur Buchhaltung und, soweit erforderlich, zur Rechtsverteidigung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit handels-, steuer-, versicherungs- oder aufsichtsrechtliche Pflichten bestehen, ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO. Soweit wir Zahlungsdaten zur Missbrauchsprävention oder Rechtsverteidigung verarbeiten, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

16. Vertragsdokumente, Rechnungen und Archivierung

Wir erstellen und speichern Vertragsdokumente, Rechnungen, Antragsunterlagen, interne Nachweise, Kommunikationsnachweise und vergleichbare Unterlagen, soweit dies für Vertrag, Abrechnung, Kundenbetreuung, gesetzliche Pflichten oder Rechtsverteidigung erforderlich ist.

Vertrags-, Rechnungs-, Versicherungs- und Schadendaten werden nach den für uns einschlägigen handels-, steuer-, versicherungs- und zivilrechtlichen Vorgaben aufbewahrt. Handels- und steuerrechtlich relevante Unterlagen, insbesondere Rechnungen, Buchungsbelege sowie vertrags- und abrechnungsrelevante Korrespondenz, werden regelmäßig bis zu 10 Jahre nach Ende des Kalenderjahres aufbewahrt, in dem die letzte relevante Verarbeitung oder Buchung erfolgt ist. Für bestimmte Unterlagen können kürzere oder längere gesetzliche Fristen gelten, soweit dies gesetzlich vorgesehen ist.

Versicherungsvertrags- und Schadendaten speichern wir für die Laufzeit des Vertrags und danach so lange, wie dies für Nachweis-, Abrechnungs-, Versicherungsaufsichts-, Missbrauchspräventions-, Rechtsverteidigungs- oder Anspruchszwecke erforderlich ist. Bei offenen oder bereits regulierten Schadenfällen, laufenden Verfahren, titulierten Ansprüchen, nachgelagerten Missbrauchs- oder Plausibilitätsprüfungen oder vergleichbaren Rechtsanspruchssachverhalten kann eine Speicherung in gesetzlich zulässigen Ausnahmefällen bis zu 30 Jahre erforderlich sein.

In Orientierung an den Verhaltensregeln der deutschen Versicherungswirtschaft werden Datenbestände mindestens einmal jährlich darauf geprüft, ob eine Löschung oder Einschränkung der Verarbeitung möglich ist. Soweit Daten nur noch aufgrund gesetzlicher Aufbewahrungspflichten oder zur Rechtsverteidigung gespeichert werden, schränken wir die Verarbeitung nach Möglichkeit ein.

Technische Zwischenartefakte wie E-Mail-Bestätigungsdaten, Wallet-Verbindungsdaten ohne Abschluss, Signatur-Challenges, Signatur-/xPub-Binding-HMACs oder nicht zugeordnete walletbezogene Prüfdaten werden nach aktueller technischer Ausgestaltung kurzfristig gelöscht, sofern sie nicht für einen Vertrag, gesetzliche Pflichten, Sicherheitszwecke oder Rechtsansprüche benötigt werden.

Hashwerte, die nach Vertragsabschluss das versicherte Wallet-Konto oder verwendete Codes beschreiben, können dagegen Teil der Vertragsunterlagen oder Vertragsverwaltung sein und unterliegen dann den für Vertrags- und Versicherungsdaten geltenden Fristen. Kommt kein Vertrag zustande, werden solche temporären Hash- und Prüfwerte nicht als Langzeitbestand geführt, soweit keine gesetzlichen Pflichten, Sicherheitszwecke oder Rechtsansprüche entgegenstehen.

Für technische Zwischenartefakte gelten nach aktueller Ausgestaltung insbesondere folgende Regelfristen:

E-Mail-Bestätigungsdaten:
ca. 24 Stunden bzw. Löschung nach erfolgreichem Vertragsabschluss.

Wallet-Verbindungsdaten ohne Abschluss:
ca. 24 Stunden.

Signatur-Challenges und Signatur-/xPub-Binding-HMACs:
Ablauf regelmäßig nach ca. 24 Stunden; technische Bereinigung regelmäßig ca. 48 Stunden nach Ablauf oder Nutzung.

Nicht zugeordnete xPub-, Account- oder Hash-Prüfdaten ohne Vertragsbezug:
ca. 30 Tage.

Abgebrochene oder stornierte Policen ohne Fortführung:
ca. 30 Tage, soweit keine Pflichten oder berechtigten Interessen entgegenstehen.

Backups und Sicherheitskopien werden verschlüsselt auf Hetzner-Infrastruktur gespeichert. Technisch nutzen wir hierfür Proxmox Backup Server bzw. vergleichbare verschlüsselte Backup-Verfahren. Revisions- oder Archivkopien, die Vertrags-, Rechnungs-, Buchungs-, Versicherungs- oder Schadendaten enthalten, können bis zu 10 Jahre und in Rechtsanspruchsfällen ausnahmsweise bis zu 30 Jahre gespeichert werden. Rein technische rollierende Systembackups ohne eigenständigen Archivzweck werden regelmäßig bis zu 12 Monate gespeichert, soweit dies für Wiederherstellung, Betriebssicherheit und Missbrauchsaufklärung erforderlich ist.

17. Selbstgehostete Webanalyse mit Umami

Wir nutzen eine selbstgehostete Umami-Installation, um die Nutzung unseres digitalen Angebots statistisch auszuwerten und den Antragsprozess technisch und inhaltlich zu verbessern. Die Auswertung erfolgt ohne Tracking-Cookies und ohne Speicherung personenbezogener Eingaben wie Name, E-Mail-Adresse, Anschrift, Geburtsdatum, PIN, xPub oder Signatur.

Erfasst werden können insbesondere:

Seiten- und Ereignisdaten:
Aufgerufene Seite, technischer Ereignisname oder Ereignis-ID.

Hierzu können auch Sichtbarkeits- und Interaktionsereignisse von Seitenabschnitten, Scrolltiefen sowie Klicks auf Call-to-Action-Elemente oder eingebettete Medien gehören.

Technische Kontextdaten:
Browser, Gerätetyp, Sprache, Referrer und grobe Standortableitung wie Land, Region oder Stadt.

Grobe Angebotsmetadaten:
Wallet-Typ, Land, Versicherungssummen-Kategorie oder Partner-/Marketingcode, soweit keine personenbezogenen Freitexte enthalten sind.

IP-Adresse und User-Agent im Eingang:
Nur zur kurzfristigen technischen Sitzungsbildung bzw. Hashbildung; keine dauerhafte Speicherung als Klartext in der Analysedatenbank.

Nach aktueller technischer Ausgestaltung werden IP-Adresse und User-Agent von Umami nicht dauerhaft im Klartext gespeichert, sondern für eine pseudonyme bzw. anonyme Sitzungsbildung gehasht. Aus der IP-Adresse können grobe Standortinformationen abgeleitet und als Statistikmerkmal gespeichert werden. Eine Wiedererkennung über verschiedene Websites hinweg findet nicht statt. Die Analysedaten werden auf unserer eigenen Infrastruktur gespeichert und nicht für Werbeprofile verwendet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der datensparsamen Reichweitenmessung, Fehlererkennung und Verbesserung des Antragsprozesses. Die regelmäßige Aufbewahrungsfrist für Analysedaten beträgt nach aktueller technischer Ausgestaltung 12 Monate.

Wenn die produktive Konfiguration künftig Tracking-Cookies, externe Analyseanbieter, Session-Replays oder personenbezogene Ereignisdaten einsetzen sollte, informieren wir hierüber gesondert und holen, soweit erforderlich, eine Einwilligung ein.

18. Google Search Console (keine Google Analytics)

Wir nutzen die Google Search Console, um die technische Auffindbarkeit unserer Website in der Google-Suche zu überwachen, Sitemaps und Indexierungsstatus zu prüfen, Crawling-, Sicherheits- und Qualitätsmeldungen auszuwerten und aggregierte Suchleistungsdaten zu verstehen.

Die Google Search Console ist kein Google Analytics und kein Webtracking-Dienst auf unserer Website. Wir setzen dafür keine Google-Analytics-Skripte, keine Google-Tag-Manager-Container und keine Google-Search-Console-Cookies auf unserer Website ein. Beim Besuch unserer Website wird durch die Google Search Console nach aktueller technischer Ausgestaltung kein zusätzlicher Browseraufruf an Google ausgelöst.

Google kann uns in der Search Console insbesondere aggregierte oder technische Informationen bereitstellen, zum Beispiel Suchanfragen in aggregierter Form, Impressionen, Klicks, durchschnittliche Positionen, betroffene URLs, grobe Länder- und Gerätedaten, Indexierungsstatus, Crawling-Fehler, Sitemap-Status sowie Sicherheits- oder Qualitätsmeldungen. Diese Informationen stammen aus der Google-Suche, dem Google-Crawling und den Google-Indexierungssystemen, nicht aus einem von uns auf der Website eingebundenen Trackingcode.

Anbieter ist:

Google Ireland Limited
Gordon House
Barrow Street
Dublin 4
Irland

Soweit Google im Zusammenhang mit der Google-Suche, Googlebot, der Search Console oder einem Google-Konto Daten verarbeitet, erfolgt dies teilweise in eigener datenschutzrechtlicher Verantwortung von Google. Es gelten ergänzend die Datenschutzinformationen von Google. Wir erhalten über die Google Search Console keine vollständigen IP-Adressen einzelner Websitebesucher, keine personenbezogenen Formularinhalte, keine Vertragsdaten und keine personenbezogenen Wallet-Daten aus unserem Antragsprozess.

Rechtsgrundlage für unsere Nutzung der Google Search Console ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Überwachung der öffentlichen Website, der Fehlerbehebung, der sicheren und korrekten Indexierung, der Missbrauchs- und Sicherheitsbeobachtung sowie der Verbesserung der Auffindbarkeit unserer Inhalte ohne den Einsatz von Google Analytics.

Google kann Daten auch außerhalb der EU bzw. des EWR verarbeiten. Nach Angaben von Google werden für Übermittlungen in die USA unter anderem das EU-U.S. Data Privacy Framework und Standardvertragsklauseln genutzt.

19. Eingebettete YouTube-Videos

Unsere Website kann YouTube-Videos im erweiterten Datenschutzmodus über youtube-nocookie.com einbinden. Videos werden nach aktueller technischer Ausgestaltung erst geladen, wenn Sie aktiv auf den Play-Button klicken oder das Video anderweitig aktiv auswählen. Vor dem Klick wird, soweit technisch möglich, ein lokal bereitgestelltes Vorschaubild verwendet.

Wenn Sie ein Video aktivieren, wird eine Verbindung zu YouTube bzw. Google hergestellt. Dabei können insbesondere Ihre IP-Adresse, technische Browserdaten, die aufgerufene Seite und Informationen zur Videonutzung an Google übermittelt werden.

Anbieter ist:

Google Ireland Limited
Gordon House
Barrow Street
Dublin 4
Irland

Google kann Daten auch in die USA an Google LLC übermitteln. Google stützt Übermittlungen nach eigenen Angaben unter anderem auf das EU-U.S. Data Privacy Framework und Standardvertragsklauseln.

Rechtsgrundlagen für das Laden des Videos sind Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können die Einwilligung für die Zukunft vermeiden, indem Sie das Video nicht aktivieren oder die Seite neu laden, ohne erneut auf Play zu klicken.

20. Terminbuchung und externe Links

Unsere Website kann Links zu externen Diensten enthalten, zum Beispiel zu Terminbuchungsdiensten, Social-Media-Profilen oder Partnerseiten. Wenn Sie einen externen Link anklicken, verlassen Sie unsere Website. Ab diesem Zeitpunkt verarbeitet der jeweilige Anbieter Daten in eigener Verantwortung.

Für Terminbuchungen nutzen wir Calendly. Anbieter ist:

Calendly LLC
115 E Main St.
Ste A1B
Buford, GA 30518
USA

Wenn Sie einen Termin über Calendly buchen, werden insbesondere Name, E-Mail-Adresse, Terminangaben, Zeitzone, technische Zugriffsdaten und freiwillige Nachrichten verarbeitet. Calendly verarbeitet Daten in den USA und stützt Drittlandübermittlungen nach eigenen Angaben auf das EU-U.S. Data Privacy Framework und, soweit erforderlich, Standardvertragsklauseln.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Terminbuchung vorvertragliche oder vertragliche Kommunikation betrifft. Im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer einfachen und verlässlichen Terminorganisation.

Für externe Profile bei X/Twitter, LinkedIn, Nostr/Primal oder anderen Plattformen gelten die Datenschutzinformationen der jeweiligen Anbieter. Beim reinen Besuch unserer Website werden durch solche Links keine Daten an diese Plattformen übermittelt, soweit keine externen Inhalte der Plattformen eingebettet sind.

21. Schadenfall, KYC und zusätzliche Prüfungen

Wenn Sie einen Schaden melden oder Leistungen aus einem Versicherungsvertrag geltend machen, können zusätzliche Daten verarbeitet werden. Dazu können insbesondere gehören:

Schadendaten:
Schadensdatum, Schadensort, Beschreibung des Schadenereignisses, Nachweise, Fotos und Dokumente.

Vertragsdaten:
Police, Versicherungsbetrag, Prämie, Zahlungshistorie und Vertragsstatus.

Identitäts- und KYC-Daten:
Ausweisdaten oder weitere Nachweise, soweit dies erforderlich und gesetzlich zulässig ist.

Wallet- und Transaktionsdaten:
Walletbezogene Nachweise, Signaturen, abgeleitete Adressen, Transaktionskontexte und Prüfergebnisse.

Kommunikationsdaten:
E-Mail-Verkehr, Support- und Bearbeitungsnotizen.

Die Verarbeitung erfolgt zur Prüfung und Bearbeitung des Schadenfalls, zur Vertragserfüllung, zur Missbrauchs- und Betrugsprävention, zur Erfüllung gesetzlicher Pflichten, zur Sanktions- und Compliance-Prüfung und zur Rechtsverteidigung.

Auch nach Abschluss oder Regulierung eines Schadenfalls können wir erforderliche Vertrags-, Schaden- und walletbezogene Nachweisdaten weiterverarbeiten, um nachgelagerte Plausibilitäts- und Missbrauchsprüfungen durchzuführen, zum Beispiel wenn spätere öffentlich erkennbare Entwicklungen Zweifel an einem geltend gemachten Verlust oder an der ordnungsgemäßen Schadenregulierung begründen können.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt insbesondere in der Missbrauchsprävention, der nachgelagerten Aufklärung möglicher Unregelmäßigkeiten, der Sicherung des Versicherungsbestands, der Erfüllung aufsichts- und nachweisbezogener Anforderungen sowie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Bitte übermitteln Sie uns keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, sofern wir diese nicht ausdrücklich anfordern oder sie für die Bearbeitung im Einzelfall zwingend erforderlich sind.

22. Datenquellen bei nicht direkt erhobenen Daten

In der Regel erheben wir personenbezogene Daten direkt bei Ihnen. Teilweise können Daten auch aus anderen Quellen stammen. Dazu können insbesondere gehören:

Wallet-App oder Partneroberfläche:
xPub, Adresse, Signatur, technische Integrationsdaten oder andere walletbezogene Angaben, wenn Sie die Übermittlung aktiv auslösen.

Zahlungsdienstleister:
Zahlungsstatus, Zahlungsreferenz, Betrag, Währung und Zuordnungsinformationen.

Versicherer oder Versicherungspartner:
Vertrags-, Status-, Abrechnungs- und Schadendaten, soweit dies für Verwaltung, Durchführung oder Schadenbearbeitung erforderlich ist.

Öffentliche Blockchain- und Compliance-Datenquellen:
Transaktionskontexte, öffentliche Blockchain-Informationen, Sanktions-, Compliance- oder Missbrauchshinweise, soweit erforderlich und gesetzlich zulässig.

Soweit Art. 14 DSGVO anwendbar ist, informieren wir Sie über die Verarbeitung nicht direkt erhobener Daten nach Maßgabe der gesetzlichen Vorgaben.

23. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, wenn dies erforderlich ist, eine Rechtsgrundlage besteht oder Sie eingewilligt haben. Empfänger oder Kategorien von Empfängern sind insbesondere:

Hetzner Online GmbH:
Hosting und Serverbetrieb.

Cloudflare, Inc.:
Autoritativer DNS-Dienst; nach aktueller Konfiguration kein HTTP-Proxy, CDN, TLS-Proxy, WAF oder Bot-Schutz für Websitezugriffe.

Google Ireland Limited / Google Workspace / Gmail:
Allgemeiner Geschäftsverkehr und E-Mail-Postfächer.

Google Ireland Limited / Google Search Console:
Technische Überwachung von Indexierung, Crawling, Sitemaps, Sicherheitsmeldungen und aggregierter Suchleistung; kein Google Analytics.

Posteo e.K.:
Vertraulicher Kundendatentransfer und verschlüsselte E-Mail-Kommunikation.

Heinlein Hosting GmbH / mailbox.org:
Vertraulicher Kundendatentransfer und verschlüsselte E-Mail-Kommunikation.

Brevo GmbH:
Technische Benachrichtigungen, Notifications und gegebenenfalls Versandprozesse für angeforderte Informationen.

PayPal (Europe) S.à r.l. et Cie, S.C.A.:
Zahlungsabwicklung bei PayPal-Zahlung.

Liberty Mutual Insurance Europe SE:
Risikoträger und Versicherer; Versicherungsangebot, Vertrag, Bordereau, Verwaltung, Abrechnung und Schadenbearbeitung.

Liberty Specialty Markets Europe S.à r.l., Zweigniederlassung für Deutschland:
Zeichnungsagentur mit Abschlussvollmacht für den Versicherer.

Staatliche oder behördlich veröffentlichte Sanktionslisten:
Sanktions- und Compliance-Referenzdaten. Nach aktueller Ausgestaltung werden dabei keine direkten Identitäts- oder Kontaktdaten an Betreiber solcher Listen übermittelt.

Externe AML-, Blockchain-Analyse- oder Compliance-Dienstleister:
Nur bei manueller Einzelfallbearbeitung im Schadenfall oder in vergleichbaren Anlassfällen, soweit dies für Auszahlung, rechtliche Pflichten, Missbrauchsprävention, Anspruchsprüfung oder Rechtsverteidigung erforderlich ist.

Google Ireland Limited / YouTube:
Videoeinbettung nach aktiver Auswahl.

Calendly LLC:
Terminvereinbarung.

Interne IT-, Vertrags-, Analyse-, Dokumenten- und Logistiksysteme:
Betrieb, Vertragsbearbeitung, Dokumentenerstellung, sichere Kommunikation, Analyse, interne Verwaltung und Nachweisführung.

Mit Auftragsverarbeitern schließen wir, soweit erforderlich, Verträge nach Art. 28 DSGVO.

24. Drittlandübermittlungen

Eine Verarbeitung außerhalb der EU bzw. des EWR kann insbesondere bei Cloudflare als DNS-Anbieter, Google Search Console, Google/YouTube, Google Workspace/Gmail, Calendly, PayPal, Unterauftragnehmern von Brevo, technischen Blockchain- oder Mempool-Datenquellen sowie im Schadenfall bei manuell beauftragten AML-, Blockchain-Analyse- oder Compliance-Dienstleistern stattfinden.

Bei Cloudflare betrifft dies nach aktueller Konfiguration nur DNS-Daten und keine HTTP-Inhalte oder Websitezugriffe über einen Cloudflare-Proxy.

Eine Drittlandübermittlung erfolgt nur, soweit eine gesetzliche Grundlage besteht. In Betracht kommen insbesondere:

  • Ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO.
  • Das EU-U.S. Data Privacy Framework für zertifizierte US-Anbieter.
  • Standardvertragsklauseln nach Art. 46 DSGVO.
  • Zusätzliche Schutzmaßnahmen, soweit erforderlich.
  • Ihre Einwilligung.
  • Eine gesetzliche Ausnahme nach Art. 49 DSGVO.

Soweit Anbieter eigene Datenschutzinformationen, Auftragsverarbeitungsbedingungen oder Transfermechanismen bereitstellen, verweisen wir auf diese Informationen und halten die entsprechenden vertraglichen Grundlagen intern vor.

25. Automatisierte Entscheidungen

Im digitalen Antragsprozess können technische Plausibilitäts-, Wallet-, Zahlungs-, Missbrauchs- und Risikoprüfungen automatisiert unterstützt werden.

Nach aktueller Ausgestaltung findet keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, ohne dass eine geeignete menschliche Überprüfung möglich ist.

Sollten künftig ausschließlich automatisierte Entscheidungen im Sinne von Art. 22 DSGVO eingesetzt werden, informieren wir Sie gesondert über die Logik, Tragweite und angestrebten Auswirkungen sowie über Ihre Rechte.

26. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Die konkrete Speicherdauer richtet sich nach Datenkategorie, Zweck, rechtlichen Pflichten und möglichen Rechtsansprüchen.

Es gelten insbesondere folgende Regelfristen:

Server- und API-Logs:
Regelmäßig bis zu 90 Tage, länger bei Sicherheitsvorfällen, Missbrauchsaufklärung oder Rechtsansprüchen.

Content-Security-Policy- und Security-Reports:
Regelmäßig höchstens 7 Tage, früher bei erledigtem Zweck, länger nur bei konkreten Sicherheitsvorfällen oder Rechtsansprüchen.

Session Storage im Antragsprozess:
Bis zum Schließen des Browser-Tabs bzw. bis zur Löschung durch den Browser.

Newsletter-, Wartelisten- und Produktinformationsdaten:
Bis Widerruf oder Abmeldung; Nachweise gegebenenfalls bis zum Ablauf gesetzlicher Verjährungsfristen.

E-Mail-Anfragen:
Bis die Bearbeitung abgeschlossen ist; länger, wenn ein Vertrags-, Nachweis-, Rechts- oder Aufbewahrungsbezug besteht.

Vertrags-, Rechnungs-, Buchungs- und Geschäftsunterlagen:
Regelmäßig bis zu 10 Jahre nach Ende des relevanten Kalenderjahres, soweit gesetzlich erforderlich oder zur Nachweisführung erforderlich.

Versicherungs- und Schadendaten:
Für die Vertragslaufzeit und danach nach gesetzlichen Aufbewahrungs-, Nachweis-, Missbrauchspräventions- und Verjährungsfristen; in Ausnahmefällen bis zu 30 Jahre.

Technische Zwischenartefakte im Antragsprozess:
Je nach Datenart regelmäßig zwischen 24 Stunden und 30 Tagen, soweit keine vertraglichen, gesetzlichen, sicherheitsbezogenen oder rechtlichen Gründe entgegenstehen.

Analytics-Daten:
Nach aktueller technischer Ausgestaltung 12 Monate.

Backups und Archivkopien:
Archiv- und Revisionskopien regelmäßig bis zu 10 Jahre, in Rechtsanspruchsfällen ausnahmsweise bis zu 30 Jahre; technische Rollback-Backups regelmäßig bis zu 12 Monate.

Wenn Daten nicht mehr benötigt werden und keine Pflichten oder berechtigten Interessen entgegenstehen, löschen oder anonymisieren wir sie.

27. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung und Offenlegung zu schützen. Dazu gehören insbesondere:

  • TLS-Verschlüsselung.
  • Getrennte Internet- und Intranet-Systeme.
  • Zugriffsbeschränkungen.
  • Rollenbasierte Berechtigungen.
  • Verschlüsselung vertraulicher Kommunikationswege.
  • Reduzierte Datenweitergabe.
  • Protokollierung sicherheitsrelevanter Ereignisse.
  • Sichere Backup-Verfahren.
  • Regelmäßige technische Prüfungen.
  • Interne Vorgaben zum Umgang mit walletbezogenen Daten.

Unsere Sicherheitsmaßnahmen werden entsprechend Risiko, Stand der Technik, Implementierungsaufwand und Art der verarbeiteten Daten weiterentwickelt.

Bitte beachten Sie, dass E-Mail-Kommunikation über das Internet grundsätzlich Sicherheitsrisiken haben kann. Senden Sie besonders vertrauliche Informationen nur über geeignete sichere Kommunikationswege.

28. Ihre Rechte

Sie haben nach Maßgabe der DSGVO folgende Rechte:

Auskunft nach Art. 15 DSGVO:
Sie können Auskunft über die zu Ihrer Person verarbeiteten Daten verlangen.

Berichtigung nach Art. 16 DSGVO:
Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.

Löschung nach Art. 17 DSGVO:
Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Pflichten oder vorrangigen berechtigten Gründe entgegenstehen.

Einschränkung der Verarbeitung nach Art. 18 DSGVO:
Sie können unter den gesetzlichen Voraussetzungen die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit nach Art. 20 DSGVO:
Sie können bestimmte Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.

Widerspruch nach Art. 21 DSGVO:
Sie können Verarbeitungen widersprechen, die auf Art. 6 Abs. 1 lit. e DSGVO oder Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Wenn wir personenbezogene Daten zu Direktwerbezwecken verarbeiten, können Sie dem jederzeit widersprechen.

Widerruf nach Art. 7 Abs. 3 DSGVO:
Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

Beschwerde nach Art. 77 DSGVO:
Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren.

Zur Ausübung Ihrer Rechte können Sie uns unter service@bitsurance.eu kontaktieren. Zur Bearbeitung Ihrer Anfrage müssen wir Ihre Identität in geeigneter Weise prüfen.

Die für uns zuständige Datenschutzaufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstr. 5
30159 Hannover
Deutschland
https://lfd.niedersachsen.de

Sie können sich auch an jede andere zuständige Datenschutzaufsichtsbehörde wenden.

29. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Dienste, technischen Systeme, Dienstleister, Verarbeitungsprozesse oder rechtlichen Anforderungen ändern. Es gilt die jeweils auf dieser Website veröffentlichte Fassung.

Stand: 1. Mai 2026