Ihre Daten,
so wie wir Software entwickeln.
Diese Datenschutzrichtlinie erklärt in einfacher Sprache, wie Giroteam personenbezogene Daten erhebt, verwendet, speichert und schützt, wenn Sie unsere Website besuchen, eine Beratung anfordern, einen Vertrag mit uns abschließen oder mit einem unserer Dienste interagieren. Sie ist so verfasst, dass sie der EU-Datenschutz-Grundverordnung (Verordnung 2016/679, DSGVO) und dem spanischen Gesetz 3/2018 über den Schutz personenbezogener Daten und die Garantie digitaler Rechte (LOPDGDD) entspricht. Lesen Sie sie einmal; die darin beschriebenen Rechte gehören Ihnen, und wir meinen es ernst.
Was diese Richtlinie abdeckt, auf einen Blick.
Zwölf Abschnitte, die jeweils eine Verpflichtung ansprechen, die wir nach spanischem und europäischem Datenschutzrecht haben. Springen Sie zu einem davon.
Wer ist verantwortlich
für Ihre personenbezogenen Daten.
Nach Artikel 4(7) der DSGVO ist der Verantwortliche die Stelle, die die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten bestimmt. Für alles, was in dieser Datenschutzrichtlinie beschrieben ist, ist diese Stelle Giroteam — ein Softwarestudio mit Sitz in Spanien, mit Niederlassungen in Málaga und Kunden in der Europäischen Union. Die rechtlich verbindlichen Identifikationsdetails sind unten aufgeführt.
- Rechtlicher Name
- Giroteam
- Rechtsform
- Spanische private Handelsgesellschaft
- Steuer-ID (CIF/NIF)
- [Aktuelle CIF einfügen]
- Eingetragene Adresse
- Málaga, Andalusien, Spanien
- Kontakt-E-Mail
- hello@giroteam.com
- Telefon
- +34 851 81 72 90
- Datenschutzkontakt
- privacy@giroteam.com
Giroteam hat keinen Datenschutzbeauftragten (DPO) formal ernannt, da die Bedingungen in Artikel 37 der DSGVO nicht erfüllt sind (wir führen keine großflächige regelmäßige Überwachung durch und verarbeiten keine besonderen Kategorien von Daten in großem Umfang). Ein dedizierter Datenschutzkontakt ist jedoch unter der oben genannten E-Mail-Adresse verfügbar und wird innerhalb der gesetzlichen Fristen antworten.
Wir sammeln nur, was die Arbeit tatsächlich erfordert.
Datenminimierung in der Praxis. Im Folgenden sind die Kategorien personenbezogener Daten aufgeführt, die wir verarbeiten können — und nur, wenn es einen klaren, rechtmäßigen Grund dafür gibt.
Identifikationsdaten
Vollständiger Name, Berufsbezeichnung, das Unternehmen, das Sie vertreten, und — wo für die Rechnungsstellung erforderlich — Ihre Steueridentifikationsnummer. Direkt von Ihnen gesammelt, wenn Sie uns kontaktieren oder einen Vertrag unterzeichnen.
Kontaktdaten
E-Mail-Adresse, Telefonnummer, Postanschrift und der Kanal, den Sie verwendet haben, um uns zu erreichen (Webformular, E-Mail, Telefon, LinkedIn). Wird ausschließlich verwendet, um auf Ihre Anfrage zu antworten und die Zusammenarbeit durchzuführen.
Daten zur kommerziellen Beziehung
Projektdetails, Scoping-Notizen, Verträge, Leistungsbeschreibungen, Kommunikationshistorie und die Aufzeichnungen, die benötigt werden, um die Arbeit zu liefern und abzurechnen. Wir bewahren diese als Teil der Akte zu Ihrer Zusammenarbeit auf.
Technische & Nutzungsdaten
IP-Adresse, Browsertyp, Geräteklasse, besuchte Seiten, Zeit auf der Seite und ungefähre (Stadt-Ebene) Geolokalisierung. Automatisch gesammelt, wenn Sie unsere Website besuchen, und nur mit Ihrer vorherigen Zustimmung für nicht essentielle Cookies.
Abrechnungs- & Finanzdaten
Rechnungsdetails, Bankkonto- oder Kartendaten, die über einen regulierten Zahlungsdienstleister geleitet werden, Umsatzsteuer-Identifikationsnummer und die Buchhaltungsunterlagen, die nach spanischem Handels- und Steuerrecht vorgeschrieben sind.
Rekrutierungsdaten
Lebenslauf, Portfolio, Anschreiben, Referenzen, Interviewnotizen und die Kontaktdaten von Personen, die sich bei Giroteam bewerben. Nur für den Auswahlprozess verarbeitet, für den Sie sich beworben haben.
Hinweis — Wir verarbeiten nicht wissentlich besondere Kategorien von Daten (Art. 9 DSGVO) wie Gesundheits-, biometrische, genetische, religiöse oder politische Daten. Wir sammeln keine Daten von Minderjährigen. Wenn eine besondere Kategorie versehentlich auftaucht (zum Beispiel in einem Freitextfeld), löschen wir sie, sobald wir sie identifizieren.
Acht Zwecke. Jeder benannt, jeder begrenzt.
Gemäß Artikel 5 Absatz 1 Buchstabe b der DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die folgende Tabelle listet jeden Zweck auf, für den Giroteam personenbezogene Daten verarbeitet, die Aktivitäten, die er abdeckt, und die rechtliche Grundlage, die dies erlaubt. Wir verwenden Ihre Daten nicht für andere Zwecke außerhalb dieser Tabelle, ohne Sie vorher zu benachrichtigen.
Jede Operation
hat eine rechtmäßige Grundlage.
Artikel 6 der DSGVO verlangt, dass jede Verarbeitungstätigkeit auf mindestens einer von sechs rechtmäßigen Grundlagen beruht. Giroteam stützt sich auf vier davon, die unten aufgeführt sind. Wir teilen Ihnen mit, welche für eine bestimmte Tätigkeit zum Zeitpunkt der Erhebung gilt, und hier erneut zur Dokumentation.
Erfüllung eines Vertrags
Wenn Sie Kunde werden, ist die Verarbeitung Ihrer Daten notwendig, um die Vereinbarung zu erfüllen, die wir getroffen haben: den Umfang des Projekts festlegen, das System entwerfen, es bauen, in Ihren Stack integrieren und nach dem Start betreiben. Ohne diese Verarbeitung können wir den Vertrag nicht erfüllen.
Ihre Einwilligung
Wir stützen uns auf die Einwilligung für nicht essentielle Cookies, für Marketingkommunikationen und für alle optionalen Daten, die wir auf der Website anfordern. Die Einwilligung wird freiwillig erteilt, kann jederzeit widerrufen werden, und der Widerruf hat niemals Auswirkungen auf die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf stattgefunden hat.
Rechtliche Verpflichtung
Das spanische Steuerrecht (LGT, Gesetz 58/2003) und das Handelsrecht (Código de Comercio) verlangen von uns, Rechnungen, Buchhaltungsunterlagen und bestimmte Handelsunterlagen für feste Zeiträume aufzubewahren. Wir verarbeiten und speichern die Daten, die zur Erfüllung dieser Verpflichtungen erforderlich sind, und nicht mehr.
Berechtigtes Interesse
Für Sicherheitsüberwachung, Betrugsprävention, das Management unserer Website und IT-Infrastruktur sowie begrenzte B2B-Akquise bei professionellen Kontakten stützen wir uns auf unser berechtigtes Interesse, ein sicheres und tragfähiges Geschäft zu führen. In jedem Fall wurde ein Abwägungstest durchgeführt und ist auf Anfrage verfügbar.
Wir bewahren Ihre Daten nur so lange auf, wie wir sie benötigen — und nicht einen Tag länger.
Artikel 5(1)(e) der DSGVO verlangt, dass personenbezogene Daten nur so lange in identifizierbarer Form aufbewahrt werden, wie es notwendig ist. Die folgenden Aufbewahrungsfristen ergeben sich aus diesem Prinzip, das auf das spanische Handels-, Steuer- und Arbeitsrecht angewendet wird. Nach Ablauf eines Zeitraums werden die Daten sicher gelöscht oder anonymisiert.
Wenn eine Aufbewahrungsfrist abläuft, werden die Daten entweder im nächsten Rotationszyklus aus den Produktionssystemen und Backups gelöscht oder unwiderruflich anonymisiert, sodass sie nicht mehr mit einer Person verknüpft werden können. Wenn ein rechtlicher Anspruch, eine Prüfung oder Untersuchung im Gange ist, können die relevanten Daten über diese Fristen hinaus aufbewahrt werden, bis die Angelegenheit abgeschlossen ist.
Wer sieht sonst noch Ihre Daten —
und unter welchen verbindlichen Bedingungen.
Cloud-Infrastruktur-Anbieter
Hosting, Speicherung und Rechenleistung für unsere Website und Kundensysteme. Primär in der EU (Frankfurt, Helsinki, Madrid) auf AWS, GCP oder Hetzner, je nach Projekt ausgewählt.
E-Mail- und Kollaborationstools
Geschäfts-E-Mail, Kalender, Dokumentenkollaboration und Videoanrufe für unsere tägliche Arbeit mit Ihnen. Bevorzugt werden Dienste mit Sitz in der EU.
Datenschutzfreundliche Analysen
Cookielose oder zustimmungsbasierte Analysen, um die Nutzung der Website aggregiert zu verstehen. IP-Adressen werden anonymisiert; keine plattformübergreifende Profilierung.
Zahlungsdienstleister
Regulierte Zahlungsinstitute verarbeiten Karten- und Banküberweisungszahlungen. Wir speichern niemals vollständige Kartennummern — wir erhalten nur die Bestätigung, dass eine Zahlung erfolgreich oder fehlgeschlagen ist.
CRM- und Projekttools
Die Systeme, in denen wir Ihre Engagement-Datei, unsere gemeinsamen Aufgabenlisten und die Dokumentation, die wir während eines Projekts erstellen, aufbewahren.
Buchhaltungs- und Steuerberater
Externe Buchhalter und Steuerberater, die Rechnungsstellung und Buchhaltungsdaten verarbeiten, um uns bei der Erfüllung unserer steuerlichen und kommerziellen Verpflichtungen in Spanien zu unterstützen. Gebunden an die berufliche Geheimhaltung.
Öffentliche Behörden & Regulierungsbehörden
Spanische Steuerbehörde (AEAT), Sozialversicherungsbehörde (TGSS), AEPD, Gerichte und Polizeikräfte, wenn eine rechtlich bindende Anfrage uns verpflichtet, bestimmte Daten weiterzugeben.
Rechtsberater & Prüfer
Rechtsanwälte, Prüfer und Versicherer, wenn erforderlich, um rechtliche Ansprüche zu begründen, auszuüben oder zu verteidigen oder um gesetzlich vorgeschriebene Prüfungen durchzuführen. Gebunden an die berufliche Vertraulichkeit.
Hinweis — Eine aktuelle, benannte Liste unserer aktiven Unterauftragsverarbeiter ist auf Anfrage unter privacy@giroteam.com verfügbar. Wir benachrichtigen die Kunden über wesentliche Änderungen dieser Liste, bevor ein neuer Unterauftragsverarbeiter mit der Verarbeitung ihrer Daten beginnt.
Wenn Daten die EU verlassen,
reisen sie unter Vertrag.
Einige unserer Prozessoren haben ihren Hauptsitz außerhalb des Europäischen Wirtschaftsraums (EWR) — typischerweise in den Vereinigten Staaten oder im Vereinigten Königreich. Wann immer Ihre Daten außerhalb des EWR übertragen werden, verlässt sich Giroteam auf die Schutzmaßnahmen, die in Kapitel V der DSGVO (Artikel 44–49) erforderlich sind. Diese Schutzmaßnahmen sind unten aufgeführt.
Standardvertragsklauseln (SCCs)
Wo keine Angemessenheitsentscheidung vorliegt, unterzeichnen wir die Standardvertragsklauseln der Europäischen Kommission von 2021 mit dem Auftragsverarbeiter im entsprechenden Modul, bevor eine Übertragung stattfindet.
Angemessenheitsentscheidungen
Für Übertragungen in Länder, die die Europäische Kommission formell als ein angemessenes Schutzniveau anerkannt hat (z. B. das Vereinigte Königreich gemäß der Entscheidung von 2021), stützen wir uns auf diese Angemessenheitsentscheidung als Übertragungsmechanismus.
EU–US Datenschutzrahmen
Für Auftragsverarbeiter, die unter dem EU–US Datenschutzrahmen zertifiziert sind (Durchführungsbeschluss der Kommission vom 10. Juli 2023), stützen wir uns auf diese Zertifizierung, die vor der Übertragung auf den aktiven Status überprüft wird.
Übertragungsfolgenabschätzungen
Für jeden nicht-EEA Auftragsverarbeiter führen wir eine Übertragungsfolgenabschätzung (TIA) gemäß den EDPB-Empfehlungen 01/2020 durch, in der die Gesetze des Ziellandes bewertet und gegebenenfalls ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung) hinzugefügt werden.
Acht Rechte gemäß der DSGVO.
Immer kostenlos auszuüben.
Spanisches und europäisches Recht gibt Ihnen eine definierte Reihe von Rechten über Ihre eigenen personenbezogenen Daten. Die Ausübung eines dieser Rechte ist kostenlos und erfordert keine Rechtfertigung. Wir werden innerhalb eines Monats auf Ihre Anfrage antworten, die bei komplexen Fällen um zwei weitere Monate verlängert werden kann (Art. 12(3) DSGVO).
Zugriff
Erhalten Sie eine Kopie der personenbezogenen Daten, die wir über Sie speichern, die Zwecke, für die wir sie verarbeiten, und die Empfänger, an die wir sie weitergeben (Art. 15 DSGVO).
Berichtigung
Lassen Sie ungenaue Daten ohne unangemessene Verzögerung korrigieren und unvollständige Daten vervollständigen (Art. 16 DSGVO).
Löschung
Bitten Sie uns, Ihre personenbezogenen Daten zu löschen, wenn die rechtlichen Gründe in Artikel 17 DSGVO zutreffen, auch bekannt als das 'Recht auf Vergessenwerden'.
Einschränkung
Lassen Sie die Verarbeitung Ihrer Daten einschränken, während wir einen Berichtigungsantrag überprüfen, dessen Richtigkeit anfechten oder einen berechtigten Widerspruch prüfen (Art. 18 DSGVO).
Datenübertragbarkeit
Erhalten Sie die Daten, die Sie uns zur Verfügung gestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format und übermitteln Sie sie an einen anderen Verantwortlichen (Art. 20 DSGVO).
Widerspruch
Widerspruch gegen die Verarbeitung, die auf einem berechtigten Interesse beruht – einschließlich Direktmarketing – jederzeit aus Gründen, die sich auf Ihre besondere Situation beziehen (Art. 21 DSGVO).
Einwilligung widerrufen
Widerrufen Sie jederzeit Ihre Einwilligung für jede Verarbeitung, die darauf basiert. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Verarbeitung (Art. 7(3) DSGVO).
Keine automatisierten Entscheidungen
Nicht einer Entscheidung unterworfen werden, die ausschließlich auf automatisierter Verarbeitung beruht und rechtliche Auswirkungen auf Sie hat. Giroteam trifft solche Entscheidungen nicht (Art. 22 DSGVO).
Senden Sie uns eine Anfrage zu Ihren Rechten.
Nutzen Sie einen dieser vier Schritte. Welchen Weg Sie auch wählen, wir werden ihn auf die gleiche Weise verfolgen und darauf reagieren.
- 01E-Mail an privacy@giroteam.com von der Adresse, die wir für Sie gespeichert haben, und nennen Sie das/die Recht(e), das/die Sie ausüben möchten.
- 02Wenn Sie von einer anderen Adresse schreiben, können wir Sie bitten, Ihre Identität zu bestätigen, um zu verhindern, dass Ihre Daten an jemand anderen weitergegeben werden (Art. 12(6) DSGVO).
- 03Wir bestätigen den Erhalt innerhalb von 72 Stunden und antworten inhaltlich innerhalb eines Kalendermonats.
- 04Wenn wir die Anfrage nicht erfüllen können, werden wir Ihnen schriftlich erklären, warum, und Sie an Ihr Recht erinnern, eine Beschwerde bei der AEPD einzureichen.
Recht, eine Beschwerde bei der AEPD einzureichen
Wenn Sie glauben, dass wir Ihre personenbezogenen Daten nicht ordnungsgemäß behandelt haben und unsere Antwort Sie nicht zufriedenstellt, haben Sie das Recht, eine Beschwerde bei der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos), der zuständigen Aufsichtsbehörde in Spanien, einzureichen.
- Behörde
- Agencia Española de Protección de Datos
- Adresse
- C/ Jorge Juan 6, 28001 Madrid
- Web
- www.aepd.es
Technische und organisatorische Maßnahmen —
entworfen, nicht nachträglich hinzugefügt.
Artikel 32 DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, angemessene Sicherheitsmaßnahmen entsprechend dem Risiko umzusetzen. Da Giroteam Produktionssoftware für den Mittelstand entwickelt, ist Sicherheit Teil unserer Arbeitsweise und kein nachgelagertes Anliegen. Die folgenden Maßnahmen fassen unsere aktuelle Basis zusammen.
-
M·01
Verschlüsselung während der Übertragung und im Ruhezustand
TLS 1.2+ an jedem öffentlichen Endpunkt, den wir betreiben. Sensible Daten werden im Ruhezustand mit AES-256 oder gleichwertig verschlüsselt. Geheimnisse werden in speziellen Geheimnismanagern gespeichert, niemals im Quellcode.
-
M·02
Zugriffskontrolle & geringste Privilegien
Rollenbasierter Zugriff auf jedem System, mit expliziten Berechtigungen, die mindestens vierteljährlich überprüft werden. Obligatorische Multi-Faktor-Authentifizierung für jedes Giroteam-Mitglied auf jedem Produktionssystem.
-
M·03
Backups & Notfallwiederherstellung
Verschlüsselte, regionsredundante Backups mit dokumentierten Wiederherstellungsverfahren. Die Wiederherstellung von Backups wird in geplanten Intervallen getestet, nicht nur, wenn bereits etwas schiefgegangen ist.
-
M·04
Schwachstellenmanagement
Abhängigkeiten werden bei jedem Build automatisch gescannt. Kritische Patches werden innerhalb definierter SLAs angewendet. Penetrationstests werden auf Kundensystemen durchgeführt, wenn das Engagement dies umfasst.
-
M·05
Audit-Protokollierung
Jeder Zugriff auf personenbezogene Daten in unseren internen Systemen wird protokolliert, mit manipulationssicheren Aufbewahrungsfristen, die den Verpflichtungen des Engagements und den geltenden Cybersicherheitsvorschriften entsprechen.
-
M·06
Mitarbeiterschulung & Vertraulichkeit
Jedes Giroteam-Mitglied ist durch eine schriftliche Vertraulichkeitsverpflichtung gebunden und wird bei Eintritt sowie in regelmäßigen Abständen danach in den Datenschutzverantwortlichkeiten geschult.
Wenn etwas schiefgeht, werden Sie von uns hören.
Im Falle eines Verstoßes gegen personenbezogene Daten, der wahrscheinlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat, werden wir die AEPD innerhalb von 72 Stunden nach Kenntnisnahme benachrichtigen (Art. 33 DSGVO) und, wenn das Risiko hoch ist, Sie direkt ohne unangemessene Verzögerung benachrichtigen (Art. 34 DSGVO). Die Benachrichtigung beschreibt die Art des Verstoßes, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung.
Die Dienste von Giroteam
richten sich nicht an Kinder.
Unsere Website und Dienstleistungen richten sich ausschließlich an Fachleute, Unternehmen und erwachsene Kontakte. Wir sammeln oder verarbeiten nicht wissentlich personenbezogene Daten von Kindern unter 14 Jahren — der Schwellenwert, der durch Artikel 7 des spanischen LOPDGDD für die direkte Zustimmung zur Datenverarbeitung festgelegt ist.
Wenn wir feststellen, dass wir versehentlich personenbezogene Daten eines Kindes unter diesem Alter ohne nachweisliche elterliche oder guardian Autorisierung verarbeitet haben, werden wir diese Daten unverzüglich löschen. Wenn Sie ein Elternteil oder ein Vormund sind und glauben, dass ein minderjähriger Mensch in Ihrer Obhut uns personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie bitte privacy@giroteam.com und wir werden sofort darauf reagieren.
Wenn sich diese Richtlinie ändert,
wird die Änderung hier aufgezeichnet.
Wir aktualisieren diese Datenschutzrichtlinie, wenn sich das Gesetz, unsere Systeme, unsere Verarbeiter oder unsere Geschäftstätigkeiten in einer Weise ändern, die sich auf die Handhabung Ihrer Daten auswirkt. Wesentliche Änderungen — solche, die Ihre Rechte oder unsere Verpflichtungen erheblich ändern — werden angekündigt, bevor sie in Kraft treten, per E-Mail, wenn wir eine aktive Beziehung zu Ihnen haben, und prominent auf dieser Seite in allen anderen Fällen.
Sprechen Sie mit einem Menschen,
nicht mit einer Ticketwarteschlange.
Jede Anfrage zum Datenschutz, die an privacy@giroteam.com gesendet wird, wird von einer Person im Senior-Team überprüft – den gleichen Personen, die Ihr System erstellen würden, wenn Sie ein Kunde wären. Wir antworten innerhalb eines Werktages und substantiv innerhalb der gesetzlichen Fristen.