Datenschutzerklärung
Schutz Ihrer persönlichen Daten
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
FinEase Financial Service GmbH
Karlstraße 13
35641 Schöffengrund
Deutschland
E-Mail: info@finease-fs.de
2. Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt. Du erreichst ihn unter:
Dirk Baumann
Siedlungsweg 2
13591 Berlin
Telefon: +49 173 9494 263
E-Mail: d.baumann@finease-fs.de
3. Begriffe
- Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erheben, Speichern, Übermitteln, Löschen).
4. Überblick: Welche Bereiche es auf der Plattform gibt
Wir unterscheiden u. a. folgende Bereiche und Nutzergruppen:
- Website-Besucher (z. B. Blog, Ressourcen)
- Leads / Interessenten (z. B. Study-Quiz, Readiness-Check, Landingpages ohne Konto)
- Registrierte Nutzer (Studierende mit Kundenkonto)
- Gast-Anträge (direkte Antragstellung ohne vollständiges Kundenkonto)
5. Datenerfassung beim Besuch der Website (Server-Logs)
5.1 Welche Daten werden verarbeitet?
Bei der rein informatorischen Nutzung der Website verarbeiten wir die Daten, die dein Browser automatisch an unseren Server übermittelt (Server-Logfiles), insbesondere:
- aufgerufene Seiten/URLs
- Datum und Uhrzeit des Zugriffs
- übertragene Datenmenge
- Referrer-URL
- Browsertyp/-version
- Betriebssystem
- IP-Adresse
5.2 Zweck
- Bereitstellung der Website
- Sicherheit, Stabilität und Fehleranalyse
- Missbrauchs- und Angriffserkennung
5.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).
5.4 Speicherdauer
Server-Logdaten werden grundsätzlich für 14 Tage gespeichert und anschließend gelöscht oder anonymisiert. Bei sicherheitsrelevanten Ereignissen (z. B. Angriffserkennung, laufende Untersuchung) kann eine längere Aufbewahrung erforderlich sein.
6. Hosting, E-Mail-Infrastruktur, Datenbank und Dateispeicherung
6.1 Domain- und E-Mail-Hosting (IONOS)
Für Domain/DNS und E-Mail-Dienste nutzen wir IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit) und – sofern E-Mails Vertrags-/Servicekommunikation betreffen – Art. 6 Abs. 1 lit. b DSGVO.
6.2 Betrieb der Webanwendung und Datenbank (Hetzner)
Die Webanwendung und die Datenbank (z. B. PostgreSQL) betreiben wir auf Infrastruktur der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Zwecke: Plattformbetrieb, Konto- und Antragsbearbeitung, technische Administration.
Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Nutzungsverhältnis / Anbahnung, Antragstellung)
- Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsprävention, Systembetrieb)
6.3 Dateispeicherung (Hetzner Object Storage)
Für die Speicherung von hochgeladenen Dateien nutzen wir Hetzner Object Storage (S3-kompatibel) in Deutschland.
Gespeichert werden z. B.:
- Dokumente, die du im Rahmen einer Antragstellung hochlädst (z. B. Ausweis, Zulassungsbescheid, Nachweise)
- im Prozess erzeugte Dokumente (z. B. PDF-Nachweise)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen / Vertrag).
6.4 Auftragsverarbeitung
Mit den vorgenannten Dienstleistern schließen wir – soweit erforderlich – Auftragsverarbeitungsverträge nach Art. 28 DSGVO.
7. Cookies, localStorage, sessionStorage und Consent-Tool
7.1 Allgemeines
Wir nutzen Cookies sowie ähnliche Technologien (z. B. localStorage/sessionStorage), um die Website technisch zu betreiben und – nur nach Einwilligung – Reichweite und Marketing zu messen.
Du kannst deine Einwilligungen jederzeit ändern oder widerrufen. Nutze dafür die Funktion „Cookie‑Einstellungen" (z. B. über den Link im Footer). Dort kannst du optionalen Technologien (z. B. Statistik/Marketing) zustimmen oder sie deaktivieren.
7.2 Kategorien und Dienste
Unser Consent-Tool erlaubt die Steuerung in drei Kategorien:
- Notwendig (technisch erforderlich, z. B. Login/Sicherheit/Consent-Speicherung) – keine Einwilligung erforderlich
- Statistik (z. B. Google Analytics) – nur nach Einwilligung
- Marketing (z. B. Meta Pixel, Google Ads) – nur nach Einwilligung
Innerhalb der Kategorien Statistik und Marketing können die einzelnen Dienste zusätzlich dienstgenau aktiviert oder deaktiviert werden.
7.3 Rechtsgrundlagen
- Notwendige Technologien: Art. 6 Abs. 1 lit. b DSGVO (Nutzung der Plattform) und/oder Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Technik); § 25 Abs. 2 Nr. 2 TDDDG
- Statistik/Marketing: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG
7.4 Consent-Protokollierung (Art. 7 DSGVO)
Jede Einwilligung und jeder Widerruf wird serverseitig protokolliert. Im Consent-Log werden gespeichert:
- Zeitstempel der Einwilligung/des Widerrufs (UTC)
- pseudonyme Kennung (Session-ID oder gehashte IP)
- Status je Kategorie und Dienst (aktiv/inaktiv)
- Version der Datenschutzerklärung/des Consent-Banners zum Zeitpunkt der Einwilligung
Die Protokolldaten werden für 3 Jahre aufbewahrt (analog Abschnitt 15.3) und dienen ausschließlich dem Nachweis der Einwilligung.
Einwilligungen ändern oder widerrufen:
- Über „Cookie‑Einstellungen" (z. B. über den Link im Footer) kannst du deine Auswahl jederzeit ändern oder widerrufen.
- Registrierte Nutzer zusätzlich im Bereich „Datenschutz & Einwilligungen" im Dashboard
- Der Widerruf gilt ab dem Zeitpunkt der Erklärung; er berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
7.5 Attribution (First-Party)
Wenn du unsere Website nutzt oder dich registrierst, können (je nach Situation) Herkunfts- und Zuordnungsparameter verarbeitet werden, z. B.:
ref/parref(Referral/Partnerzuordnung)entry(Funnel-Einstieg)
UTM-Parameter sowie technische E-Mail-Herkunftsparameter wie gfs_origin und gfs_mail_target werden nur nach Einwilligung in Statistik oder Marketing verarbeitet. Sie werden dabei:
- im Browser bis zum Ende der Sitzung zwischengespeichert (
sessionStorage, Schlüssel:gfs_attribution_session) und - zusätzlich serverseitig im Lead- oder Nutzerdatensatz gespeichert (persistent in der Datenbank).
Die serverseitige Speicherung erfolgt auf Basis derselben Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und wird zusammen mit dem Lead/Konto nach den unter Abschnitt 15 genannten Fristen gelöscht.
Diese Parameter sind nicht erforderlich, um die Plattform zu nutzen.
7.6 Conversion-Deduplizierung (sessionStorage)
Um dieselbe Conversion oder dasselbe Engagement-Event nicht mehrfach an Mess-Tools zu senden, setzen wir bei Einwilligung zu Statistik und/oder Marketing kurzlebige Einträge im sessionStorage:
gfs_conv:<event>:<id>– einmaliges Feuern von Conversions (z. B. Quiz, Funnel-Lead, Registrierung, Produktantrag)gfs_eng:<event>– einmaliges Feuern von Engagement-Events (z. B. Funnel-Schritte), nur bei Einwilligung Statistik
Die Einträge gelten bis zum Ende der Browser-Sitzung. Sie enthalten keine Klartext-E-Mail o. Ä., sondern nur technische Event- und Lead-/Antrags-IDs zur Deduplizierung.
8. Study-Quiz, Readiness-Check und andere Lead-Funnels (ohne Kundenkonto)
8.1 Welche Daten verarbeiten wir?
Je nach Funnel insbesondere:
- Kontaktdaten (z. B. E-Mail, ggf. Name)
- Antworten/Score aus dem Study-Quiz bzw. Readiness-Check
- Basis-Kontext (z. B. Sprache, gewünschtes Produktinteresse, Quelle/Funnel)
8.2 Zwecke
- Bereitstellung des angeforderten Ergebnisses (z. B. Versand eines Reports/PDF per E-Mail)
- Vor- und Nachbereitung einer möglichen Registrierung und Nutzung der Plattform
Hinweis: Im Study-Quiz und Readiness-Check findet keine Weitergabe deiner Daten an Produktpartner statt. Partnerspezifische Einwilligungen werden erst in den jeweiligen Antragsformularen eingeholt.
8.3 Rechtsgrundlagen (Zielbild)
- Ergebnis-/Servicemail: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage)
- Mehrteilige Nurture-Serie von Germany for Students: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Wenn wir dir mehr als die konkret angeforderte Ergebnis-Mail zusenden (z. B. eine Tipps-Serie), erfolgt dies nur, wenn du zuvor gesondert eingewilligt hast.
9. Registrierung und Kundenkonto
9.1 Daten
Bei Registrierung verarbeiten wir typischerweise:
- E-Mail-Adresse
- Passwort (als Hash, nicht im Klartext)
- Sprache/Locale
- technische Token/Sitzungsdaten
9.2 Zwecke
- Kontoerstellung, Login und Kontoverwaltung
- Sicherheit und Missbrauchsprävention
9.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO.
Hinweis: Bei der Registrierung findet keine Weitergabe deiner Daten an Produktpartner statt. Entsprechende Einwilligungen werden erst in den jeweiligen Antragsformularen eingeholt.
10. Antragstellung für Produkte (Vermittlung) und Datenübermittlung an Produktpartner
10.1 Produktpartner (Empfänger)
Wenn du über unsere Plattform ein konkretes Produkt beantragst oder eine Vermittlungsleistung in Anspruch nimmst, übermitteln wir die hierfür erforderlichen Daten an den jeweiligen Produktpartner, insbesondere:
- DAK-Gesundheit (Krankenversicherung)
- MAWISTA (Incoming-Versicherung)
- VietinBank (Sperrkonto)
Die Produktpartner verarbeiten die Daten anschließend in eigener Verantwortung.
10.2 Zweck
- Bearbeitung deines Antrags
- Vertragsvorbereitung und ggf. Vertragsabschluss mit dem Produktpartner
10.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertrag).
11. Interner Bearbeitungsbereich
Einige Prozesse werden im Zielbild in einem internen Bearbeitungsbereich unterstützt. Dieser Bereich ist nicht für externe Dritte bestimmt, sondern nur für berechtigte interne Nutzer von Germany for Students / FinEase.
Zweck: interne Bearbeitung und Prozesssteuerung (z. B. Antragsbearbeitung, Support, Qualitätssicherung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsverhältnis/Anbahnung) und Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb, Missbrauchsprävention).
Zugriffsschutz: rollenbasiert, nur für berechtigte interne Nutzer.
12. E-Mail-Kommunikation und Versanddienst
12.1 Arten von E-Mails
Wir unterscheiden:
- Service-/Prozess-E-Mails (z. B. Verifizierung, Passwort-Reset, Ergebnis-/Reportmail, Statusinfos)
- Newsletter/Nurture-Mails von Germany for Students (mehrteilige Serien, Tipps/Updates)
- Inbound/Reply-Handling (eingehende Antworten und Nachrichten per Webhook)
12.2 Postmark
| Merkmal | Details |
|---|---|
| Anbieter | AC PM, LLC (Postmark), 222 N LaSalle St, Chicago, IL 60601, USA |
| Rolle | Auftragsverarbeiter (AVV nach Art. 28 DSGVO abgeschlossen) |
| Zweck | Transaktionsmails, Newsletter/Nurture, Inbound/Reply-Handling |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Service-/Prozess-E-Mails); Art. 6 Abs. 1 lit. a DSGVO (Newsletter); Art. 6 Abs. 1 lit. f DSGVO (zuverlässiger Betrieb) |
| Drittland | USA |
| Garantie | EU-US Data Privacy Framework (DPF) – Postmark ist DPF-zertifiziert; ergänzend Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Restrisiko | Trotz DPF-Zertifizierung besteht ein Restrisiko behördlicher Zugriffe nach US-Recht (z. B. FISA 702). Nach unserer Bewertung ist das verbleibende Risiko unter Berücksichtigung der Art der verarbeiteten Daten angemessen. |
| Speicherdauer | Versandlogs: 45 Tage (Postmark-Standard); danach automatische Löschung beim Anbieter |
Inbound/Reply-Handling: Eingehende E-Mail-Antworten werden von Postmark empfangen und per Webhook an die Plattform weitergeleitet. Dabei verarbeitet Postmark Absenderadresse, Betreff und Nachrichteninhalt.
13. Online-Marketing (nur mit Einwilligung)
Alle nachfolgend beschriebenen Dienste werden ausschließlich nach deiner ausdrücklichen Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
13.1 Google Tag Manager (GTM)
| Merkmal | Details |
|---|---|
| Anbieter | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland |
| Rolle | Auftragsverarbeiter (AVV über Google Ads-/Analytics-Nutzungsbedingungen) |
| Zweck | Technischer Container zur Verwaltung und Ausspielung von Tracking-Tags (GA4, Google Ads, Meta Pixel u. a.) – kein eigenständiges Tracking |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG |
| Drittland | USA (Google LLC) |
| Garantie | EU-US Data Privacy Framework (DPF); ergänzend SCC gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Speicherdauer | Keine eigenständige Datenspeicherung durch GTM |
13.2 Google Analytics 4 (GA4)
| Merkmal | Details |
|---|---|
| Anbieter | Google Ireland Limited, Irland / Google LLC, USA |
| Rolle | Auftragsverarbeiter (AVV abgeschlossen) |
| Zweck | Reichweitenmessung, Nutzerverhalten, Seitenaufrufe, Conversion-Tracking |
| Verarbeitete Daten | IP-Adresse (gekürzt/anonymisiert), Gerätedaten, Seitenaufrufe, Ereignisse, ggf. User-ID |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG |
| Drittland | USA |
| Garantie | EU-US Data Privacy Framework (DPF); SCC gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Restrisiko | Restrisiko behördlicher Zugriffe nach US-Recht; IP-Anonymisierung aktiviert |
| Speicherdauer | Ereignisdaten: 14 Monate (eingestellt); danach automatische Löschung |
13.3 Google Ads (Conversion-Tracking & Remarketing)
| Merkmal | Details |
|---|---|
| Anbieter | Google Ireland Limited, Irland / Google LLC, USA |
| Rolle | Google verarbeitet Daten im Rahmen der jeweiligen Google-Dienste teilweise als Auftragsverarbeiter und teilweise für eigene Zwecke. Einzelheiten ergeben sich aus den Datenschutzinformationen von Google. |
| Zweck | Messung von Conversions aus Google-Anzeigen; Remarketing (Wiederansprache von Website-Besuchern) |
| Verarbeitete Daten | Klick-IDs, Conversion-Ereignisse, ggf. gehashte Identifikationsmerkmale (z. B. E-Mail-Adresse, Telefonnummer, Vor- und Nachname, Region/Bundesstaat, Postleitzahl) im Rahmen von „Enhanced Conversions/Enhanced Matching“ |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG |
| Drittland | USA |
| Garantie | EU-US Data Privacy Framework (DPF); SCC gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Speicherdauer | Conversion-Daten: 90 Tage (Google-Standard) |
13.4 Meta Pixel (clientseitiges Tracking)
| Merkmal | Details |
|---|---|
| Anbieter | Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland |
| Rolle | Eigenverantwortlicher Empfänger |
| Zweck | Conversion-Messung, Zielgruppenbildung, Remarketing über Meta-Plattformen (Facebook, Instagram) |
| Verarbeitete Daten | Browser-Ereignisse, Pixel-ID, IP-Adresse sowie ggf. gehashte Identifikationsmerkmale (z. B. E-Mail-Adresse, Telefonnummer, Vor- und Nachname, Region/Bundesstaat, Postleitzahl) im Rahmen von „Enhanced Matching“ |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG |
| Drittland | USA (Meta Platforms, Inc.) |
| Garantie | SCC gemäß Art. 46 Abs. 2 lit. c DSGVO; ggf. zusätzlich EU-US Data Privacy Framework (DPF), sofern der Anbieter zertifiziert ist (Details siehe Datenschutzinformationen von Meta) |
| Restrisiko | Restrisiko behördlicher Zugriffe nach US-Recht |
| Speicherdauer | Ereignisdaten bei Meta: bis zu 180 Tage |
13.5 Meta Conversion API (CAPI – serverseitiges Tracking)
| Merkmal | Details |
|---|---|
| Anbieter | Meta Platforms Ireland Limited, Irland |
| Rolle | Eigenverantwortlicher Empfänger |
| Zweck | Serverseitige Übermittlung von Conversion-Ereignissen an Meta zur Verbesserung der Messqualität (ergänzend zum Pixel) |
| Verarbeitete Daten | Conversion-Ereignisse, ggf. gehashte E-Mail-Adresse, IP-Adresse (gehasht), User-Agent |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO |
| Drittland | USA |
| Garantie | SCC gemäß Art. 46 Abs. 2 lit. c DSGVO; EU-US DPF |
| Restrisiko | Restrisiko behördlicher Zugriffe nach US-Recht |
| Speicherdauer | Ereignisdaten bei Meta: bis zu 180 Tage |
13.6 Enhanced Matching / erweiterter Datenabgleich
Wir setzen zur Verbesserung der Messqualität bei Google Ads und Meta „Enhanced Matching“ / „Enhanced Conversions“ ein. Dabei werden zusätzliche Identifikationsmerkmale vor der Übermittlung ausschließlich gehasht (SHA-256) und nicht im Klartext übertragen. Die Hashwerte dienen dazu, Conversion-Ereignisse besser zuzuordnen.
Welche Daten können (je nach Verfügbarkeit) gehasht übermittelt werden?
- E-Mail-Adresse
- Telefonnummer
- Vorname und Nachname
- Standortdaten (z. B. Region/Bundesstaat)
- Postleitzahl
Die Übermittlung erfolgt nur nach deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG) und nur, wenn du eingeloggt bist oder deine Kontaktdaten im Rahmen eines Funnels angegeben hast.
Wir übermitteln dabei keine Klartext-Daten, sondern ausschließlich Hashwerte. Wichtig: Hashing stellt in der Regel keine Anonymisierung, sondern eine Pseudonymisierung dar. Die Anbieter können Hashwerte – je nach eigenen Datenbeständen und Matching-Mechanismen – ggf. wieder einer Person zuordnen. Die Nutzung erfolgt ausschließlich zu Mess-/Zuordnungszwecken (Conversion-Attribution) und nicht, um dich zu kontaktieren.
14. Affiliate-Links und Provisionsmodelle
Auf einzelnen Seiten (insbesondere im Marktplatz unter germanyforstudents.com/de/marketplace) sind Affiliate-Links zu Partnerangeboten eingebunden. Wenn du auf einen solchen Link klickst, wird dein Klick vom jeweiligen Affiliate-Netzwerk erfasst und einer Provision zugeordnet. Dabei verarbeiten die Netzwerke typischerweise: Referrer-URL, Zeitstempel, Klick-ID/Tracking-Parameter sowie ggf. gekürzte IP-Adresse und einen pseudonymen Nutzer-Hash.
Die Netzwerke verarbeiten diese Daten teilweise auch für eigene Zwecke (z. B. Fraud-Detection, Publisher-Abrechnung, eigene Statistiken) und sind insoweit eigenverantwortliche Empfänger im Sinne der DSGVO. Für die Verarbeitung auf den Zielseiten der Partner gelten deren eigene Datenschutzhinweise.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an leistungsbasierter Vergütung von Werbepartnern und Missbrauchsprävention) i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (soweit Tracking technisch für die Provisionsabrechnung erforderlich ist und keine weitergehende Profilbildung stattfindet).
Wir arbeiten mit folgenden Affiliate-Netzwerken zusammen:
14.1 communicationAds
Anbieter: Virtual Minds GmbH (communicationAds), Deutschland
Tracking-Domain: communicationads.net
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung
Datenschutz: https://www.communicationads.net/de-de/ueberuns/datenschutz/
14.2 FinanceQuality / netzeffekt
Anbieter: netzeffekt GmbH, Theresienhöhe 28, 80339 München, Deutschland
Tracking-Domain: neqty.net (c.neqty.net, l.neqty.net)
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung; Zusammenführung von Klick- und Conversiondaten zur Publisher-Abrechnung
Datenschutz: https://network.financequality.net/privacy-policy.do
14.3 financeAds
Anbieter: financeAds International GmbH & Co. KG, Deutschland
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung
Datenschutz: https://www.financeads.net/datenschutz
14.4 AWIN
Anbieter: Awin AG, Eichhornstraße 3, 10785 Berlin, Deutschland
Zweck: Klick- und Conversion-Tracking zur Provisionsabrechnung
Datenschutz: https://www.awin.com/de/datenschutzerklarung
15. Speicherdauer und Löschung (pragmatische Ziel-Regeln)
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist.
15.1 Leads (Quiz/Readiness ohne Registrierung)
Diese Regelung betrifft ausschließlich Personen, die das Study-Quiz oder den Readiness-Check ausgefüllt haben, ohne ein Kundenkonto zu erstellen (sog. Leads ohne Registrierung). Sie gilt nicht für registrierte Nutzer mit Konto (→ Abschnitt 15.4).
Speicherung der Lead-Daten (inkl. Antworten/Score, Kontaktdaten, Attributionsdaten) bis:
- du deine Einwilligung widerrufst, oder
- 24 Monate keine Interaktion mehr erfolgt (Inaktivität),
- je nachdem, was zuerst eintritt.
Begründung: Leads ohne Konto haben kein aktives Nutzungsverhältnis. Eine unbegrenzte Speicherung wäre ohne Rechtsgrundlage nicht zulässig. Die 24-Monate-Frist trägt dem typischen Vorbereitungszeitraum von Studieninteressierten Rechnung und gilt nur für diesen Personenkreis.
15.2 Attributionsdaten (UTM, gfs_origin, gfs_mail_target)
Serverseitig gespeicherte Attributionsdaten werden zusammen mit dem zugehörigen Lead- oder Nutzerdatensatz gelöscht:
- Bei Leads: nach 24 Monaten Inaktivität oder bei Widerruf der Einwilligung (analog 15.1)
- Bei Nutzerkonten: innerhalb von 30 Tagen nach Kontolöschung (analog 15.4)
15.3 Einwilligungs- und Protokollnachweise
Nachweise über Einwilligungen (inkl. Protokollierung) speichern wir zur Erfüllung unserer Nachweispflichten grundsätzlich 3 Jahre ab dem Ende des Jahres, in dem die Einwilligung widerrufen wurde oder das Nutzungsverhältnis endete.
15.4 Kundenkonto (registrierte Nutzer)
Registrierte Nutzer mit Konto sind von der 24-Monate-Inaktivitätsregel unter 15.1 nicht betroffen. Ihre Daten werden gespeichert, solange das Konto aktiv besteht.
- Aktive Konten: Kontodaten (Profil, Antragshistorie, Einwilligungen, Attributionsdaten) bleiben gespeichert, solange das Konto existiert – unabhängig davon, wie lange der Nutzer inaktiv war. Studierende, die sich 1–3 Jahre auf ihr Studium vorbereiten, verlieren ihr Konto in dieser Zeit nicht.
- Nach aktiver Kontolöschung durch den Nutzer: Reine Kontodaten (Login, Sessions, Profil) werden innerhalb von 30 Tagen gelöscht oder anonymisiert, sofern keine Aufbewahrungspflichten oder Nachweiserfordernisse entgegenstehen.
- Optionale Inaktivitäts-Erinnerung: Bei sehr langer Inaktivität (z. B. mehr als 24 Monate ohne Login) können wir eine Erinnerungsmail versenden, um zu prüfen, ob das Konto weiterhin gewünscht wird. Eine automatische Löschung erfolgt dabei nicht ohne vorherige Ankündigung und Möglichkeit zur Reaktion.
15.5 Anträge/Vertrags- und Nachweisdaten
Daten, die zur Dokumentation von Anträgen, Vermittlungsvorgängen, Einwilligungen und ggf. abrechnungsrelevanten Nachweisen erforderlich sind, können wir länger speichern, soweit dies zur Erfüllung gesetzlicher Pflichten oder zur Geltendmachung/Verteidigung von Ansprüchen erforderlich ist (z. B. handels- und steuerrechtliche Aufbewahrungsfristen).
16. Deine Rechte
Du hast – je nach Voraussetzung – folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO), insbesondere gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
16.1 Widerruf Partnerkontakt
Die Einwilligung zur Datenweitergabe an einen Produktpartner kannst du jederzeit widerrufen:
- Registrierte Nutzer: Widerruf pro Partner im Bereich „Datenschutz & Einwilligungen" im Dashboard.
- Gäste (ohne Konto): Widerruf über den Widerrufslink in der Bestätigungs- oder Partnermail oder per E-Mail an d.baumann@finease-fs.de.
Der Widerruf wird mit Zeitstempel protokolliert und führt dazu, dass der betreffende Partner keinen weiteren Zugriff auf deine Daten im /p/-Portal erhält.
16.2 Widerruf Newsletter/Nurture
Abmeldung über den Abmeldelink in jeder E-Mail oder im Konto unter „Datenschutz & Einwilligungen".
17. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen Datenschutzrecht verstößt (Art. 77 DSGVO).
18. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Plattformfunktionen oder eingesetzte Dienste ändern. Maßgeblich ist die jeweils aktuelle Fassung auf der Website.
Stand: 14.07.2026