wie wir Ihre daten erheben, verwenden und schützen.
Gültigkeitsdatum: 17. Mai 2026 · Verantwortlicher: VaultPAM Security Sp. z o.o.
1. Verantwortlicher
Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dieser Website (https://vaultpam.com) und dem VaultPAM-Dienst ist:
VaultPAM Security Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-Mail: privacy@vaultpam.com
Wir handeln als Verantwortlicher für die in dieser Richtlinie beschriebenen Verarbeitungstätigkeiten. Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten (z. B. Protokolle privilegierter Sitzungen innerhalb der VaultPAM-Plattform), handeln wir als Auftragsverarbeiter und der jeweilige Kunde ist der Verantwortliche. Diese Verarbeitungstätigkeiten unterliegen dem Datenverarbeitungsvertrag.
2. Von uns erhobene personenbezogene Daten
2.1 Website-Besucher (vaultpam.com)
- Server-Protokolle: IP-Adresse, Browser-User-Agent, Referrer-URL, besuchte Seiten und Zeitstempel. Werden automatisch von unserer Hosting-Infrastruktur (Google Cloud Platform) erfasst.
- Kontaktformular-Einsendungen: Name, geschäftliche E-Mail-Adresse, Firmenname und der Inhalt Ihrer Nachricht.
- Demo-Anfragen: Name, geschäftliche E-Mail, Unternehmen, Rolle und optionale Anmerkungen.
2.2 Test- und registrierte Benutzer
- Anmeldedaten (E-Mail-Adresse und gehashtes Passwort).
- Profilinformationen, die Sie optional angeben (Name, Berufsbezeichnung, Telefon).
- Rechnungsinformationen, die von unserem Zahlungsdienstleister (Stripe) erfasst und gespeichert werden. Wir speichern keine vollständigen Kartennummern.
- Nutzungstelemetrie: Ereignisse zur Funktionsnutzung, API-Aufrufzähler, Fehlerberichte. Sitzungsinhalte sind nicht in der Telemetrie enthalten.
2.3 PAM-Produkt-Sitzungs- und Zugriffsprotokolle
- Sitzungsaufzeichnungen: Protokolle von Tastenanschlägen bei privilegierten Zugriffssitzungen, Bildschirmaufzeichnungen und Metadaten zu Dateiübertragungen, die innerhalb der VaultPAM-Plattform im Auftrag von Kunden erfasst werden. Verarbeitung als Auftragsverarbeiter gemäß den Anweisungen des Kunden und dem Datenverarbeitungsvertrag.
- Zugriffsprotokolle: Authentifizierungsereignisse, Start-/Endzeiten von Sitzungen, Zielhost-Bezeichner und MFA-Prüfergebnisse. Werden zu Prüfungszwecken aufbewahrt.
2.4 Daten, die wir NICHT erheben oder verkaufen
Wir verkaufen keine personenbezogenen Daten an Dritte. Analyse- und Werbemessdaten (siehe Abschnitt 3) werden nur mit Ihrer ausdrücklichen Einwilligung verarbeitet und niemals dazu verwendet, außerhalb der eigenen Plattformen von Google individuelle Werbeprofile zu erstellen.
3. Cookies
Diese Website verwendet technisch notwendige Cookies sowie — mit Ihrer Einwilligung — Analyse- und Werbemessungs-Cookies:
| Cookie-Name | Zweck | Dauer | Partei | Einwilligung erforderlich |
|---|---|---|---|---|
| vp_session | Authentifiziertes Benutzer-Sitzungstoken (nur App) | Sitzung / 30 Tage bei „Angemeldet bleiben" | VaultPAM | Nein — technisch notwendig |
| _ga, _ga_* | Google Analytics 4 — unterscheidet eindeutige Besucher, misst Seitenaufrufe und Sitzungsverhalten | 2 Jahre | Google LLC | Ja — Analyse-Einwilligung |
| _gcl_au | Google Ads — Conversion-Linker, ordnet Anzeigenklicks Formular-Einsendungen zu | 90 Tage | Google LLC | Ja — Analyse-Einwilligung |
Analyse- und Werbe-Cookies werden nur gesetzt, wenn Sie im Einwilligungsbanner auf „Analyse akzeptieren" klicken. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie in der Fußzeile auf „Cookie-Einstellungen" klicken — dadurch werden alle Analyse-Cookies aus Ihrem Browser gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google verarbeitet Daten gemäß seiner eigenen Datenschutzrichtlinie und Standardvertragsklauseln für Datentransfers in die EU.
4. Rechtsgrundlage für die Verarbeitung (GDPR Art. 6)
| Verarbeitungstätigkeit | Rechtsgrundlage (GDPR Art. 6) |
|---|---|
| Beantwortung von Kontakt-/Demo-Anfragen | Art. 6(1)(b) — Vertrag / vorvertragliche Maßnahmen |
| Kontoregistrierung und Dienstleistungserbringung | Art. 6(1)(b) — Vertragserfüllung |
| Abrechnung und Rechnungsstellung | Art. 6(1)(c) — rechtliche Verpflichtung (MwSt, Buchhaltungsrecht) |
| Server-Protokollverarbeitung (Sicherheit, Verfügbarkeit) | Art. 6(1)(f) — berechtigte Interessen (IT-Sicherheit) |
| Serviceverbesserung durch Nutzungstelemetrie | Art. 6(1)(f) — berechtigte Interessen (Produktentwicklung) |
| Website-Analyse (Google Analytics 4) und Werbemessung (Google Ads) | Art. 6(1)(a) — Einwilligung (Opt-in über Cookie-Banner) |
| Marketing-Kommunikation (mit Einwilligung) | Art. 6(1)(a) — Einwilligung |
Soweit wir uns auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) stützen, haben wir eine Interessenabwägung vorgenommen und sind zu dem Schluss gelangt, dass unsere Interessen Ihre Rechte und Freiheiten nicht überwiegen, angesichts des begrenzten Umfangs der verarbeiteten Daten und des verfolgten Sicherheitszwecks.
5. Empfänger und Drittanbieter-Auftragsverarbeiter
Wir setzen die folgenden Auftragsverarbeiter ein. Jeder wurde auf DSGVO-Konformität geprüft und betreibt mit uns einen Datenverarbeitungsvertrag:
| Auftragsverarbeiter | Rolle | Übertragene Daten | Standort |
|---|---|---|---|
| Google Cloud Platform (GCP) | Cloud-Hosting — Compute, Datenbank, Speicher | Alle Plattformdaten | Warschau, Polen (EU) |
| Google LLC (Google Analytics 4, Google Ads) | Website-Analyse und Werbemessung (nur mit Einwilligung) | IP-Adresse, Surfverhalten, Gerätekennungen | USA (SVK angewendet — Google Ads DVV) |
| Google Workspace (SMTP-Relay) | Transaktionale E-Mail-Zustellung | E-Mail-Adresse, Nachrichteninhalt | EU (Google Ireland Ltd.) |
| SMSAPI Sp. z o.o. | SMS-OTP-Zustellung für MFA | Mobiltelefonnummer, OTP-Inhalt | Polen (EU) |
| SerwerSMS Sp. z o.o. | SMS-OTP-Zustellung für MFA (alternativer Anbieter) | Mobiltelefonnummer, OTP-Inhalt | Polen (EU) |
Personenbezogene Daten werden nicht in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt, es sei denn, es liegen Standardvertragsklauseln (SVK) oder gleichwertige Schutzmaßnahmen gemäß DSGVO Kapitel V vor.
5.2 Eigenverantwortliche Verantwortliche
Stripe Technology Europe Ltd. (Dublin 2, Irland) verarbeitet Zahlungskartendaten als eigenverantwortlicher Verantwortlicher gemäß seiner eigenen Datenschutzrichtlinie — nicht als Auftragsverarbeiter von VaultPAM. VaultPAM speichert keine vollständigen Kartennummern. Für Rechte bezüglich Abrechnungsdaten wenden Sie sich bitte an die Datenschutzrichtlinie von Stripe.
6. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist | Grund |
|---|---|---|
| Server-Zugriffsprotokolle | 90 Tage | Untersuchung von Sicherheitsvorfällen |
| PAM-Sitzungs-/Zugriffsprotokolle (Kundendaten) | 90 Tage (Standard); individuell konfigurierbar je Kundenvertrag | Prüfpfad; Kundenanweisung |
| Kontakt-/Demo-Anfragedaten | 24 Monate ab letztem Kontakt | Berechtigte Interessen — Vertriebs-Follow-up |
| Testkonto-Daten | 90 Tage nach Ablauf des Tests | Übergangsfrist für den Datenexport |
| Aktive Abonnementkonto-Daten | Vertragslaufzeit + 5 Jahre | Buchhaltungs-/steuerrechtliche Verpflichtung |
| Abrechnungsunterlagen und Rechnungen | 5 Jahre ab Rechnungsdatum | Verpflichtung gemäß polnischem Buchführungsgesetz |
| Aufzeichnungen über Marketing-Einwilligungen | Bis zum Widerruf + 3 Jahre | Nachweis der Einwilligung (GDPR Art. 7(1)) |
7. Ihre Rechte gemäß GDPR (Art. 15–22)
Wenn Sie sich im Europäischen Wirtschaftsraum oder im Vereinigten Königreich befinden, haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15): Fordern Sie eine Kopie der bei uns über Sie gespeicherten personenbezogenen Daten sowie Informationen darüber an, wie wir diese verarbeiten.
- Recht auf Berichtigung (Art. 16): Fordern Sie die Korrektur unrichtiger oder unvollständiger Daten an.
- Recht auf Löschung (Art. 17): Fordern Sie die Löschung Ihrer Daten an, wenn kein überwiegender rechtlicher Grund für eine weitere Verarbeitung besteht.
- Recht auf Einschränkung der Verarbeitung (Art. 18): Fordern Sie an, dass wir die Verarbeitung einschränken, während eine Streitigkeit über die Richtigkeit oder Rechtsgrundlage geklärt wird.
- Recht auf Datenübertragbarkeit (Art. 20): Erhalten Sie Ihre Daten in einem strukturierten, maschinenlesbaren Format und übertragen Sie diese an einen anderen Verantwortlichen.
- Widerspruchsrecht (Art. 21): Widersprechen Sie jederzeit einer auf berechtigten Interessen beruhenden Verarbeitung.
- Recht auf Widerruf der Einwilligung (Art. 7(3)): Widerrufen Sie eine zuvor erteilte Einwilligung jederzeit, ohne die Rechtmäßigkeit der Verarbeitung vor dem Widerruf zu berühren.
- Recht auf Schutz vor automatisierten Entscheidungen (Art. 22): Wir treffen keine ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich bedeutsame Auswirkungen haben.
Um eines der oben genannten Rechte auszuüben, kontaktieren Sie uns unter privacy@vaultpam.com. Wir werden innerhalb von 30 Tagen antworten. Wenn Sie der Ansicht sind, dass wir Ihre Rechte nicht gewahrt haben, können Sie eine Beschwerde bei der polnischen Aufsichtsbehörde einreichen:
Urząd Ochrony Danych Osobowych (UODO)
ul. Stanisława Moniuszki 1A, 00-014 Warszawa
uodo.gov.pl
8. Kinder (Minderjährige)
Wir erkennen die Bedeutung des Schutzes der Privatsphäre von Kindern, insbesondere im Internet. Diese Website ist nicht für Kinder bestimmt und richtet sich nicht an sie. Unter keinen Umständen gestatten wir Kindern die Nutzung unserer Dienste. Wir erfassen nicht absichtlich personenbezogene Daten von Kindern.
9. Datenschutzrechte in Kalifornien (CCPA / CPRA)
Wenn Sie in Kalifornien ansässig sind, haben Sie das Recht zu erfahren, welche personenbezogenen Daten wir erheben, die Löschung zu beantragen, dem Verkauf personenbezogener Daten zu widersprechen (wir verkaufen keine personenbezogenen Daten) und dürfen nicht diskriminiert werden, weil Sie Ihre Rechte ausüben. Um diese Rechte auszuüben, kontaktieren Sie uns unter privacy@vaultpam.com.
10. Sicherheitsmaßnahmen
Wir implementieren dem Risikoniveau angemessene technische und organisatorische Maßnahmen, darunter:
- Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256).
- Rollenbasierte Zugriffskontrolle und das Prinzip der minimalen Rechtevergabe.
- Jährliche Penetrationstests und kontinuierliches Schwachstellen-Scanning.
- SOC 2 Type II-Kontrollprogramm (in Vorbereitung für die Zertifizierung 2026, Abschlussbericht ausstehend).
- Alle Produktionsdaten werden ausschließlich in GCP Warschau, Polen (EU) gespeichert.
11. Änderungen dieser Richtlinie
Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Datenpraktiken oder des anwendbaren Rechts widerzuspiegeln. Bei wesentlichen Änderungen werden wir das Gültigkeitsdatum oben auf dieser Seite aktualisieren und Sie, sofern gesetzlich vorgeschrieben, per E-Mail oder durch eine In-Produkt-Benachrichtigung informieren.
12. Kontakt und Datenschutzbeauftragter
Für datenschutzbezogene Fragen, Anfragen betroffener Personen oder zur Kontaktaufnahme mit unserem Datenschutzbeauftragten wenden Sie sich bitte an:
Datenschutz-Team — VaultPAM Security Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-Mail: privacy@vaultpam.com
Fragen zu dieser Richtlinie? Kontaktieren Sie uns unter privacy@vaultpam.com.
Siehe auch: Datenverarbeitungsvertrag · Nutzungsbedingungen.
English version: /legal/privacy · Wersja polska: /pl/legal/privacy · Version française: /fr/legal/privacy