Datenschutzerklärung

Schutz Ihrer persönlichen Daten

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

FinEase Financial Service GmbH
Karlstraße 13
35641 Schöffengrund
Deutschland
E-Mail: info@finease-fs.de

2. Datenschutzbeauftragter

Wir haben einen Datenschutzbeauftragten benannt. Du erreichst ihn unter:

Dirk Baumann
Siedlungsweg 2
13591 Berlin
Telefon: +49 173 9494 263
E-Mail: d.baumann@finease-fs.de

3. Begriffe

  • Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erheben, Speichern, Übermitteln, Löschen).

4. Überblick: Welche Bereiche es auf der Plattform gibt

Wir unterscheiden u. a. folgende Bereiche und Nutzergruppen:

  • Website-Besucher (z. B. Blog, Ressourcen)
  • Leads / Interessenten (z. B. Study-Quiz, Readiness-Check, Landingpages ohne Konto)
  • Registrierte Nutzer (Studierende mit Kundenkonto)
  • Gast-Anträge (direkte Antragstellung ohne vollständiges Kundenkonto)

5. Datenerfassung beim Besuch der Website (Server-Logs)

5.1 Welche Daten werden verarbeitet?

Bei der rein informatorischen Nutzung der Website verarbeiten wir die Daten, die dein Browser automatisch an unseren Server übermittelt (Server-Logfiles), insbesondere:

  • aufgerufene Seiten/URLs
  • Datum und Uhrzeit des Zugriffs
  • übertragene Datenmenge
  • Referrer-URL
  • Browsertyp/-version
  • Betriebssystem
  • IP-Adresse

5.2 Zweck

  • Bereitstellung der Website
  • Sicherheit, Stabilität und Fehleranalyse
  • Missbrauchs- und Angriffserkennung

5.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).

5.4 Speicherdauer

Server-Logdaten werden grundsätzlich für 14 Tage gespeichert und anschließend gelöscht oder anonymisiert. Bei sicherheitsrelevanten Ereignissen (z. B. Angriffserkennung, laufende Untersuchung) kann eine längere Aufbewahrung erforderlich sein.

6. Hosting, E-Mail-Infrastruktur, Datenbank und Dateispeicherung

6.1 Domain- und E-Mail-Hosting (IONOS)

Für Domain/DNS und E-Mail-Dienste nutzen wir IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit) und – sofern E-Mails Vertrags-/Servicekommunikation betreffen – Art. 6 Abs. 1 lit. b DSGVO.

6.2 Betrieb der Webanwendung und Datenbank (Hetzner)

Die Webanwendung und die Datenbank (z. B. PostgreSQL) betreiben wir auf Infrastruktur der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Zwecke: Plattformbetrieb, Konto- und Antragsbearbeitung, technische Administration.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Nutzungsverhältnis / Anbahnung, Antragstellung)
  • Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsprävention, Systembetrieb)

6.3 Dateispeicherung (Hetzner Object Storage)

Für die Speicherung von hochgeladenen Dateien nutzen wir Hetzner Object Storage (S3-kompatibel) in Deutschland.

Gespeichert werden z. B.:

  • Dokumente, die du im Rahmen einer Antragstellung hochlädst (z. B. Ausweis, Zulassungsbescheid, Nachweise)
  • im Prozess erzeugte Dokumente (z. B. PDF-Nachweise)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen / Vertrag).

6.4 Auftragsverarbeitung

Mit den vorgenannten Dienstleistern schließen wir – soweit erforderlich – Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

7. Cookies, localStorage, sessionStorage und Consent-Tool

7.1 Allgemeines

Wir nutzen Cookies sowie ähnliche Technologien (z. B. localStorage/sessionStorage), um die Website technisch zu betreiben und – nur nach Einwilligung – Reichweite und Marketing zu messen.

Du kannst deine Einwilligungen jederzeit ändern oder widerrufen. Nutze dafür die Funktion „Cookie‑Einstellungen" (z. B. über den Link im Footer). Dort kannst du optionalen Technologien (z. B. Statistik/Marketing) zustimmen oder sie deaktivieren.

7.2 Kategorien und Dienste

Unser Consent-Tool erlaubt die Steuerung in drei Kategorien:

  • Notwendig (technisch erforderlich, z. B. Login/Sicherheit/Consent-Speicherung) – keine Einwilligung erforderlich
  • Statistik (z. B. Google Analytics) – nur nach Einwilligung
  • Marketing (z. B. Meta Pixel, Google Ads) – nur nach Einwilligung

Innerhalb der Kategorien Statistik und Marketing können die einzelnen Dienste zusätzlich dienstgenau aktiviert oder deaktiviert werden.

7.3 Rechtsgrundlagen

  • Notwendige Technologien: Art. 6 Abs. 1 lit. b DSGVO (Nutzung der Plattform) und/oder Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Technik); § 25 Abs. 2 Nr. 2 TDDDG
  • Statistik/Marketing: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG

7.4 Consent-Protokollierung (Art. 7 DSGVO)

Jede Einwilligung und jeder Widerruf wird serverseitig protokolliert. Im Consent-Log werden gespeichert:

  • Zeitstempel der Einwilligung/des Widerrufs (UTC)
  • pseudonyme Kennung (Session-ID oder gehashte IP)
  • Status je Kategorie und Dienst (aktiv/inaktiv)
  • Version der Datenschutzerklärung/des Consent-Banners zum Zeitpunkt der Einwilligung

Die Protokolldaten werden für 3 Jahre aufbewahrt (analog Abschnitt 15.3) und dienen ausschließlich dem Nachweis der Einwilligung.

Einwilligungen ändern oder widerrufen:

  • Über „Cookie‑Einstellungen" (z. B. über den Link im Footer) kannst du deine Auswahl jederzeit ändern oder widerrufen.
  • Registrierte Nutzer zusätzlich im Bereich „Datenschutz & Einwilligungen" im Dashboard
  • Der Widerruf gilt ab dem Zeitpunkt der Erklärung; er berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

7.5 Attribution (First-Party)

Wenn du unsere Website nutzt oder dich registrierst, können (je nach Situation) Herkunfts- und Zuordnungsparameter verarbeitet werden, z. B.:

  • ref / parref (Referral/Partnerzuordnung)
  • entry (Funnel-Einstieg)

UTM-Parameter sowie technische E-Mail-Herkunftsparameter wie gfs_origin und gfs_mail_target werden nur nach Einwilligung in Statistik oder Marketing verarbeitet. Sie werden dabei:

  • im Browser bis zum Ende der Sitzung zwischengespeichert (sessionStorage, Schlüssel: gfs_attribution_session) und
  • zusätzlich serverseitig im Lead- oder Nutzerdatensatz gespeichert (persistent in der Datenbank).

Die serverseitige Speicherung erfolgt auf Basis derselben Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und wird zusammen mit dem Lead/Konto nach den unter Abschnitt 15 genannten Fristen gelöscht.

Diese Parameter sind nicht erforderlich, um die Plattform zu nutzen.

7.6 Conversion-Deduplizierung (sessionStorage)

Um dieselbe Conversion oder dasselbe Engagement-Event nicht mehrfach an Mess-Tools zu senden, setzen wir bei Einwilligung zu Statistik und/oder Marketing kurzlebige Einträge im sessionStorage:

  • gfs_conv:<event>:<id> – einmaliges Feuern von Conversions (z. B. Quiz, Funnel-Lead, Registrierung, Produktantrag)
  • gfs_eng:<event> – einmaliges Feuern von Engagement-Events (z. B. Funnel-Schritte), nur bei Einwilligung Statistik

Die Einträge gelten bis zum Ende der Browser-Sitzung. Sie enthalten keine Klartext-E-Mail o. Ä., sondern nur technische Event- und Lead-/Antrags-IDs zur Deduplizierung.

8. Study-Quiz, Readiness-Check und andere Lead-Funnels (ohne Kundenkonto)

8.1 Welche Daten verarbeiten wir?

Je nach Funnel insbesondere:

  • Kontaktdaten (z. B. E-Mail, ggf. Name)
  • Antworten/Score aus dem Study-Quiz bzw. Readiness-Check
  • Basis-Kontext (z. B. Sprache, gewünschtes Produktinteresse, Quelle/Funnel)

8.2 Zwecke

  • Bereitstellung des angeforderten Ergebnisses (z. B. Versand eines Reports/PDF per E-Mail)
  • Vor- und Nachbereitung einer möglichen Registrierung und Nutzung der Plattform

Hinweis: Im Study-Quiz und Readiness-Check findet keine Weitergabe deiner Daten an Produktpartner statt. Partnerspezifische Einwilligungen werden erst in den jeweiligen Antragsformularen eingeholt.

8.3 Rechtsgrundlagen (Zielbild)

  • Ergebnis-/Servicemail: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage)
  • Mehrteilige Nurture-Serie von Germany for Students: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Wenn wir dir mehr als die konkret angeforderte Ergebnis-Mail zusenden (z. B. eine Tipps-Serie), erfolgt dies nur, wenn du zuvor gesondert eingewilligt hast.

9. Registrierung und Kundenkonto

9.1 Daten

Bei Registrierung verarbeiten wir typischerweise:

  • E-Mail-Adresse
  • Passwort (als Hash, nicht im Klartext)
  • Sprache/Locale
  • technische Token/Sitzungsdaten

9.2 Zwecke

  • Kontoerstellung, Login und Kontoverwaltung
  • Sicherheit und Missbrauchsprävention

9.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO.

Hinweis: Bei der Registrierung findet keine Weitergabe deiner Daten an Produktpartner statt. Entsprechende Einwilligungen werden erst in den jeweiligen Antragsformularen eingeholt.

10. Antragstellung für Produkte (Vermittlung) und Datenübermittlung an Produktpartner

10.1 Produktpartner (Empfänger)

Wenn du über unsere Plattform ein konkretes Produkt beantragst oder eine Vermittlungsleistung in Anspruch nimmst, übermitteln wir die hierfür erforderlichen Daten an den jeweiligen Produktpartner, insbesondere:

  • DAK-Gesundheit (Krankenversicherung)
  • MAWISTA (Incoming-Versicherung)
  • VietinBank (Sperrkonto)

Die Produktpartner verarbeiten die Daten anschließend in eigener Verantwortung.

10.2 Zweck

  • Bearbeitung deines Antrags
  • Vertragsvorbereitung und ggf. Vertragsabschluss mit dem Produktpartner

10.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertrag).

11. Interner Bearbeitungsbereich

Einige Prozesse werden im Zielbild in einem internen Bearbeitungsbereich unterstützt. Dieser Bereich ist nicht für externe Dritte bestimmt, sondern nur für berechtigte interne Nutzer von Germany for Students / FinEase.

Zweck: interne Bearbeitung und Prozesssteuerung (z. B. Antragsbearbeitung, Support, Qualitätssicherung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsverhältnis/Anbahnung) und Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb, Missbrauchsprävention).
Zugriffsschutz: rollenbasiert, nur für berechtigte interne Nutzer.

12. E-Mail-Kommunikation und Versanddienst

12.1 Arten von E-Mails

Wir unterscheiden:

  • Service-/Prozess-E-Mails (z. B. Verifizierung, Passwort-Reset, Ergebnis-/Reportmail, Statusinfos)
  • Newsletter/Nurture-Mails von Germany for Students (mehrteilige Serien, Tipps/Updates)
  • Inbound/Reply-Handling (eingehende Antworten und Nachrichten per Webhook)

12.2 Postmark

MerkmalDetails
AnbieterAC PM, LLC (Postmark), 222 N LaSalle St, Chicago, IL 60601, USA
RolleAuftragsverarbeiter (AVV nach Art. 28 DSGVO abgeschlossen)
ZweckTransaktionsmails, Newsletter/Nurture, Inbound/Reply-Handling
RechtsgrundlageArt. 6 Abs. 1 lit. b DSGVO (Service-/Prozess-E-Mails); Art. 6 Abs. 1 lit. a DSGVO (Newsletter); Art. 6 Abs. 1 lit. f DSGVO (zuverlässiger Betrieb)
DrittlandUSA
GarantieEU-US Data Privacy Framework (DPF) – Postmark ist DPF-zertifiziert; ergänzend Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
RestrisikoTrotz DPF-Zertifizierung besteht ein Restrisiko behördlicher Zugriffe nach US-Recht (z. B. FISA 702). Nach unserer Bewertung ist das verbleibende Risiko unter Berücksichtigung der Art der verarbeiteten Daten angemessen.
SpeicherdauerVersandlogs: 45 Tage (Postmark-Standard); danach automatische Löschung beim Anbieter

Inbound/Reply-Handling: Eingehende E-Mail-Antworten werden von Postmark empfangen und per Webhook an die Plattform weitergeleitet. Dabei verarbeitet Postmark Absenderadresse, Betreff und Nachrichteninhalt.

13. Online-Marketing (nur mit Einwilligung)

Alle nachfolgend beschriebenen Dienste werden ausschließlich nach deiner ausdrücklichen Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

13.1 Google Tag Manager (GTM)

MerkmalDetails
AnbieterGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
RolleAuftragsverarbeiter (AVV über Google Ads-/Analytics-Nutzungsbedingungen)
ZweckTechnischer Container zur Verwaltung und Ausspielung von Tracking-Tags (GA4, Google Ads, Meta Pixel u. a.) – kein eigenständiges Tracking
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
DrittlandUSA (Google LLC)
GarantieEU-US Data Privacy Framework (DPF); ergänzend SCC gemäß Art. 46 Abs. 2 lit. c DSGVO
SpeicherdauerKeine eigenständige Datenspeicherung durch GTM

13.2 Google Analytics 4 (GA4)

MerkmalDetails
AnbieterGoogle Ireland Limited, Irland / Google LLC, USA
RolleAuftragsverarbeiter (AVV abgeschlossen)
ZweckReichweitenmessung, Nutzerverhalten, Seitenaufrufe, Conversion-Tracking
Verarbeitete DatenIP-Adresse (gekürzt/anonymisiert), Gerätedaten, Seitenaufrufe, Ereignisse, ggf. User-ID
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
DrittlandUSA
GarantieEU-US Data Privacy Framework (DPF); SCC gemäß Art. 46 Abs. 2 lit. c DSGVO
RestrisikoRestrisiko behördlicher Zugriffe nach US-Recht; IP-Anonymisierung aktiviert
SpeicherdauerEreignisdaten: 14 Monate (eingestellt); danach automatische Löschung

13.3 Google Ads (Conversion-Tracking & Remarketing)

MerkmalDetails
AnbieterGoogle Ireland Limited, Irland / Google LLC, USA
RolleGoogle verarbeitet Daten im Rahmen der jeweiligen Google-Dienste teilweise als Auftragsverarbeiter und teilweise für eigene Zwecke. Einzelheiten ergeben sich aus den Datenschutzinformationen von Google.
ZweckMessung von Conversions aus Google-Anzeigen; Remarketing (Wiederansprache von Website-Besuchern)
Verarbeitete DatenKlick-IDs, Conversion-Ereignisse, ggf. gehashte Identifikationsmerkmale (z. B. E-Mail-Adresse, Telefonnummer, Vor- und Nachname, Region/Bundesstaat, Postleitzahl) im Rahmen von „Enhanced Conversions/Enhanced Matching“
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
DrittlandUSA
GarantieEU-US Data Privacy Framework (DPF); SCC gemäß Art. 46 Abs. 2 lit. c DSGVO
SpeicherdauerConversion-Daten: 90 Tage (Google-Standard)

13.4 Meta Pixel (clientseitiges Tracking)

MerkmalDetails
AnbieterMeta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland
RolleEigenverantwortlicher Empfänger
ZweckConversion-Messung, Zielgruppenbildung, Remarketing über Meta-Plattformen (Facebook, Instagram)
Verarbeitete DatenBrowser-Ereignisse, Pixel-ID, IP-Adresse sowie ggf. gehashte Identifikationsmerkmale (z. B. E-Mail-Adresse, Telefonnummer, Vor- und Nachname, Region/Bundesstaat, Postleitzahl) im Rahmen von „Enhanced Matching“
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
DrittlandUSA (Meta Platforms, Inc.)
GarantieSCC gemäß Art. 46 Abs. 2 lit. c DSGVO; ggf. zusätzlich EU-US Data Privacy Framework (DPF), sofern der Anbieter zertifiziert ist (Details siehe Datenschutzinformationen von Meta)
RestrisikoRestrisiko behördlicher Zugriffe nach US-Recht
SpeicherdauerEreignisdaten bei Meta: bis zu 180 Tage

13.5 Meta Conversion API (CAPI – serverseitiges Tracking)

MerkmalDetails
AnbieterMeta Platforms Ireland Limited, Irland
RolleEigenverantwortlicher Empfänger
ZweckServerseitige Übermittlung von Conversion-Ereignissen an Meta zur Verbesserung der Messqualität (ergänzend zum Pixel)
Verarbeitete DatenConversion-Ereignisse, ggf. gehashte E-Mail-Adresse, IP-Adresse (gehasht), User-Agent
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO
DrittlandUSA
GarantieSCC gemäß Art. 46 Abs. 2 lit. c DSGVO; EU-US DPF
RestrisikoRestrisiko behördlicher Zugriffe nach US-Recht
SpeicherdauerEreignisdaten bei Meta: bis zu 180 Tage

13.6 Enhanced Matching / erweiterter Datenabgleich

Wir setzen zur Verbesserung der Messqualität bei Google Ads und Meta „Enhanced Matching“ / „Enhanced Conversions“ ein. Dabei werden zusätzliche Identifikationsmerkmale vor der Übermittlung ausschließlich gehasht (SHA-256) und nicht im Klartext übertragen. Die Hashwerte dienen dazu, Conversion-Ereignisse besser zuzuordnen.

Welche Daten können (je nach Verfügbarkeit) gehasht übermittelt werden?

  • E-Mail-Adresse
  • Telefonnummer
  • Vorname und Nachname
  • Standortdaten (z. B. Region/Bundesstaat)
  • Postleitzahl

Die Übermittlung erfolgt nur nach deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG) und nur, wenn du eingeloggt bist oder deine Kontaktdaten im Rahmen eines Funnels angegeben hast.

Wir übermitteln dabei keine Klartext-Daten, sondern ausschließlich Hashwerte. Wichtig: Hashing stellt in der Regel keine Anonymisierung, sondern eine Pseudonymisierung dar. Die Anbieter können Hashwerte – je nach eigenen Datenbeständen und Matching-Mechanismen – ggf. wieder einer Person zuordnen. Die Nutzung erfolgt ausschließlich zu Mess-/Zuordnungszwecken (Conversion-Attribution) und nicht, um dich zu kontaktieren.

14. Affiliate-Links und Provisionsmodelle

Auf einzelnen Seiten (insbesondere im Marktplatz unter germanyforstudents.com/de/marketplace) sind Affiliate-Links zu Partnerangeboten eingebunden. Wenn du auf einen solchen Link klickst, wird dein Klick vom jeweiligen Affiliate-Netzwerk erfasst und einer Provision zugeordnet. Dabei verarbeiten die Netzwerke typischerweise: Referrer-URL, Zeitstempel, Klick-ID/Tracking-Parameter sowie ggf. gekürzte IP-Adresse und einen pseudonymen Nutzer-Hash.

Die Netzwerke verarbeiten diese Daten teilweise auch für eigene Zwecke (z. B. Fraud-Detection, Publisher-Abrechnung, eigene Statistiken) und sind insoweit eigenverantwortliche Empfänger im Sinne der DSGVO. Für die Verarbeitung auf den Zielseiten der Partner gelten deren eigene Datenschutzhinweise.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an leistungsbasierter Vergütung von Werbepartnern und Missbrauchsprävention) i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (soweit Tracking technisch für die Provisionsabrechnung erforderlich ist und keine weitergehende Profilbildung stattfindet).

Wir arbeiten mit folgenden Affiliate-Netzwerken zusammen:

14.1 communicationAds

Anbieter: Virtual Minds GmbH (communicationAds), Deutschland
Tracking-Domain: communicationads.net
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung
Datenschutz: https://www.communicationads.net/de-de/ueberuns/datenschutz/

14.2 FinanceQuality / netzeffekt

Anbieter: netzeffekt GmbH, Theresienhöhe 28, 80339 München, Deutschland
Tracking-Domain: neqty.net (c.neqty.net, l.neqty.net)
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung; Zusammenführung von Klick- und Conversiondaten zur Publisher-Abrechnung
Datenschutz: https://network.financequality.net/privacy-policy.do

14.3 financeAds

Anbieter: financeAds International GmbH & Co. KG, Deutschland
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung
Datenschutz: https://www.financeads.net/datenschutz

14.4 AWIN

Anbieter: Awin AG, Eichhornstraße 3, 10785 Berlin, Deutschland
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung
Datenschutz: https://www.awin.com/de/datenschutzerklarung

15. Speicherdauer und Löschung (pragmatische Ziel-Regeln)

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist.

15.1 Leads (Quiz/Readiness ohne Registrierung)

Diese Regelung betrifft ausschließlich Personen, die das Study-Quiz oder den Readiness-Check ausgefüllt haben, ohne ein Kundenkonto zu erstellen (sog. Leads ohne Registrierung). Sie gilt nicht für registrierte Nutzer mit Konto (→ Abschnitt 15.4).

Speicherung der Lead-Daten (inkl. Antworten/Score, Kontaktdaten, Attributionsdaten) bis:

  • du deine Einwilligung widerrufst, oder
  • 24 Monate keine Interaktion mehr erfolgt (Inaktivität),
  • je nachdem, was zuerst eintritt.

Begründung: Leads ohne Konto haben kein aktives Nutzungsverhältnis. Eine unbegrenzte Speicherung wäre ohne Rechtsgrundlage nicht zulässig. Die 24-Monate-Frist trägt dem typischen Vorbereitungszeitraum von Studieninteressierten Rechnung und gilt nur für diesen Personenkreis.

15.2 Attributionsdaten (UTM, gfs_origin, gfs_mail_target)

Serverseitig gespeicherte Attributionsdaten werden zusammen mit dem zugehörigen Lead- oder Nutzerdatensatz gelöscht:

  • Bei Leads: nach 24 Monaten Inaktivität oder bei Widerruf der Einwilligung (analog 15.1)
  • Bei Nutzerkonten: innerhalb von 30 Tagen nach Kontolöschung (analog 15.4)

15.3 Einwilligungs- und Protokollnachweise

Nachweise über Einwilligungen (inkl. Protokollierung) speichern wir zur Erfüllung unserer Nachweispflichten grundsätzlich 3 Jahre ab dem Ende des Jahres, in dem die Einwilligung widerrufen wurde oder das Nutzungsverhältnis endete.

15.4 Kundenkonto (registrierte Nutzer)

Registrierte Nutzer mit Konto sind von der 24-Monate-Inaktivitätsregel unter 15.1 nicht betroffen. Ihre Daten werden gespeichert, solange das Konto aktiv besteht.

  • Aktive Konten: Kontodaten (Profil, Antragshistorie, Einwilligungen, Attributionsdaten) bleiben gespeichert, solange das Konto existiert – unabhängig davon, wie lange der Nutzer inaktiv war. Studierende, die sich 1–3 Jahre auf ihr Studium vorbereiten, verlieren ihr Konto in dieser Zeit nicht.
  • Nach aktiver Kontolöschung durch den Nutzer: Reine Kontodaten (Login, Sessions, Profil) werden innerhalb von 30 Tagen gelöscht oder anonymisiert, sofern keine Aufbewahrungspflichten oder Nachweiserfordernisse entgegenstehen.
  • Optionale Inaktivitäts-Erinnerung: Bei sehr langer Inaktivität (z. B. mehr als 24 Monate ohne Login) können wir eine Erinnerungsmail versenden, um zu prüfen, ob das Konto weiterhin gewünscht wird. Eine automatische Löschung erfolgt dabei nicht ohne vorherige Ankündigung und Möglichkeit zur Reaktion.

15.5 Anträge/Vertrags- und Nachweisdaten

Daten, die zur Dokumentation von Anträgen, Vermittlungsvorgängen, Einwilligungen und ggf. abrechnungsrelevanten Nachweisen erforderlich sind, können wir länger speichern, soweit dies zur Erfüllung gesetzlicher Pflichten oder zur Geltendmachung/Verteidigung von Ansprüchen erforderlich ist (z. B. handels- und steuerrechtliche Aufbewahrungsfristen).

16. Deine Rechte

Du hast – je nach Voraussetzung – folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO), insbesondere gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

16.1 Widerruf Partnerkontakt

Die Einwilligung zur Datenweitergabe an einen Produktpartner kannst du jederzeit widerrufen:

  • Registrierte Nutzer: Widerruf pro Partner im Bereich „Datenschutz & Einwilligungen" im Dashboard.
  • Gäste (ohne Konto): Widerruf über den Widerrufslink in der Bestätigungs- oder Partnermail oder per E-Mail an d.baumann@finease-fs.de.

Der Widerruf wird mit Zeitstempel protokolliert und führt dazu, dass der betreffende Partner keinen weiteren Zugriff auf deine Daten im /p/-Portal erhält.

16.2 Widerruf Newsletter/Nurture

Abmeldung über den Abmeldelink in jeder E-Mail oder im Konto unter „Datenschutz & Einwilligungen".

17. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen Datenschutzrecht verstößt (Art. 77 DSGVO).

18. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Plattformfunktionen oder eingesetzte Dienste ändern. Maßgeblich ist die jeweils aktuelle Fassung auf der Website.

Stand: 14.07.2026