rechtliches
Datenschutzerklärung
Zuletzt aktualisiert: 20. Juni 2026
Diese Datenschutzerklärung beschreibt, wie ENROW personenbezogene Daten im Zusammenhang mit dem Betrieb seines B2B-Dienstes zur Anreicherung professioneller Daten erhebt, verwendet, speichert, schützt und weitergibt. Sie richtet sich an alle Personen, die mit ENROW interagieren: Besucher der Website, Kunden und Nutzer des Dienstes sowie Personen, deren berufliche Daten in der Anreicherungsdatenbank von ENROW gespeichert sind.
Wir bitten Sie, diese Erklärung aufmerksam zu lesen. Bei Fragen können Sie sich an unseren Datenschutzbeauftragten unter dpo@enrow.io wenden.
1. Wer sind wir?
Die Website https://enrow.io und der Dienst ENROW (nachfolgend der „Dienst“) werden betrieben von:
SCHRUTE FARMS, eine französische Gesellschaft mit beschränkter Haftung (SARL) mit einem Stammkapital von 500 €, mit Sitz in 123 Rue De Rome, 75017 Paris, Frankreich, eingetragen im Handels- und Gesellschaftsregister Paris (RCS Paris) unter der Nummer 981 316 300, innergemeinschaftliche USt-IdNr. FR76981316300.
Mitgeschäftsführer: Thomas LUCY und Louis CONGARD.
Datenschutzbeauftragter (DPO): Louis CONGARD — dpo@enrow.io.
ENROW ist ein Dienst zur Anreicherung professioneller Daten, der ausschließlich für die geschäftliche Ansprache zwischen Unternehmen (B2B) bestimmt ist. Der Dienst ermöglicht es seinen Kunden, professionelle E-Mail-Adressen, Telefonnummern, LinkedIn-Profile und Unternehmensinformationen zu recherchieren.
2. Welche Daten erheben wir?
Wir erheben je nach Ihrer Beziehung zu ENROW unterschiedliche Kategorien von Daten.
2.1 — Besucher der Website enrow.io
Wenn Sie unsere Website besuchen, können wir vorbehaltlich Ihrer Einwilligung für nicht essenzielle Cookies folgende Daten erheben:
- Navigationsdaten: besuchte Seiten, Besuchsdauer, Navigationspfad, Traffic-Quelle (Referrer-URL), Browsertyp und -version, Betriebssystem, Bildschirmauflösung, Gerätetyp;
- IP-Adresse;
- Formulardaten: sofern Sie ein Kontakt- oder Demoformular ausfüllen (Name, E-Mail, Unternehmen, Nachricht);
- Cookies und ähnliche Technologien: Näheres in unserer Cookie-Richtlinie.
Diese Daten werden über Google Tag Manager (Tag-Verwaltung), Cookiebot (Einwilligungsverwaltung), HubSpot (Formulare und Chat) sowie Werbe-Pixel (Google Ads, Meta, LinkedIn) vorbehaltlich Ihrer Einwilligung erhoben. Schriftarten werden über Google Fonts geladen und Videos können über YouTube eingebettet werden.
2.2 — Kunden und Nutzer des Dienstes
Wenn Sie ein Konto erstellen, einen Tarif abonnieren oder den Dienst nutzen:
- Registrierungsdaten: Name, Vorname, professionelle E-Mail-Adresse, Unternehmensname, Passwort (gespeichert als irreversibler Hash mittels bcrypt mit individuellem Salting — ENROW kennt Ihr Passwort nicht);
- Abrechnungsdaten: Kreditkartendaten werden ausschließlich von Stripe (PCI-DSS-zertifizierter Zahlungsdienstleister) verarbeitet. ENROW erhebt und speichert keine Kreditkartendaten und hat keinen Zugriff darauf;
- Nutzungsdaten des Dienstes: Verlauf der Anreicherungsrecherchen, verbrauchte Credits, genutzte Funktionen (Webanwendung, API, Chrome-Erweiterung), Kontoeinstellungen;
- Verbindungsdaten: Anmeldedatum und -uhrzeit, IP-Adresse, Sitzungskennung;
- Supportdaten: Inhalt des Austauschs mit unserem Team über Intercom (Live-Chat, Tickets), einschließlich etwaiger geteilter Screenshots.
2.3 — Vom Kunden zur Anreicherung übermittelte Daten
Wenn Sie den Dienst nutzen, können Sie ENROW Daten zur Anreicherung übermitteln („Kundendaten“), typischerweise: Name, Vorname, Unternehmensname, E-Mail-Adresse, LinkedIn-Profil eines beruflichen Kontakts. In diesem Zusammenhang handelt der Kunde als Verantwortlicher und ENROW als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Die näheren Bedingungen sind in unserem Data Processing Agreement (DPA) geregelt.
Kundendaten werden für einen Zeitraum von höchstens neunzig (90) Tagen gespeichert und danach automatisch und endgültig gelöscht. Der Kunde kann jederzeit eine vorzeitige Löschung verlangen.
2.4 — Personen in der Anreicherungsdatenbank von ENROW
Im Rahmen ihrer B2B-Anreicherungstätigkeit erhebt und pflegt ENROW eine Datenbank mit beruflichen Informationen zu B2B-Kontakten. Wenn Sie eine berufstätige Person sind, deren Daten in dieser Datenbank gespeichert sind, betrifft Sie dieser Abschnitt besonders.
Kategorien der erhobenen Daten:
- Nachname und Vorname;
- Professionelle E-Mail-Adresse;
- Berufliche Telefonnummer;
- Private Telefonnummer (gegebenenfalls, sofern mit einem beruflichen Profil verknüpft);
- Berufsbezeichnung und Funktion;
- Unternehmensname und firmografische Informationen (Branche, Größe, Standort, Website);
- LinkedIn-Profil-URL.
ENROW erhebt keinerlei sensible Daten im Sinne von Artikel 9 DSGVO (ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, sexuelle Orientierung usw.).
3. Woher stammen die Anreicherungsdaten?
Die in der Anreicherungsdatenbank von ENROW gespeicherten Daten stammen aus folgenden Quellen:
- Öffentlich zugängliche Quellen im Internet: Unternehmenswebsites (Seiten „Team“, „Kontakt“, „Über uns“), Online-Branchenverzeichnisse, Pressemitteilungen, Artikel der Wirtschaftspresse, Veröffentlichungen in beruflichen sozialen Netzwerken;
- Berufliche soziale Netzwerke: Informationen, die von Nutzern in ihren beruflichen Profilen öffentlich zugänglich gemacht wurden (LinkedIn und andere gleichwertige Plattformen);
- Amtliche öffentliche Register: Handelsregister (Infogreffe, Companies House usw.), rechtliche und aufsichtsrechtliche Datenbanken;
- Suchmaschinen: von öffentlichen Suchmaschinen indexierte Informationen;
- Drittanbieter professioneller Daten: ENROW greift auf spezialisierte Anbieter von beruflichen Kontaktdaten, firmografischen Daten und Geschäftssignalen zurück. Diese Anbieter sind ENROW vertraglich durch Verpflichtungen zur DSGVO-Konformität gebunden;
- Proprietäre Technologien von ENROW: intern von ENROW entwickelte Algorithmen zur Recherche, Ableitung und Verifizierung.
ENROW erhebt keine Daten aus Datenschutzverletzungen, gestohlenen Datenbanken oder sonstigen unrechtmäßigen Quellen.
4. Information der betroffenen Personen (Artikel 14 DSGVO)
Die in der Anreicherungsdatenbank von ENROW gespeicherten Daten wurden nicht unmittelbar bei den betroffenen Personen erhoben. Artikel 14 DSGVO verpflichtet den Verantwortlichen, Personen, deren Daten verarbeitet werden, ohne unmittelbar bei ihnen erhoben worden zu sein, bestimmte Informationen bereitzustellen.
4.1 — Befreiung von der Einzelinformation
Gemäß Artikel 14 Abs. 5 Buchst. b DSGVO kann sich ENROW auf die Befreiung von der Einzelinformation berufen, da die Bereitstellung solcher Informationen an jede betroffene Person unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde, unter Berücksichtigung:
- des Umfangs der verarbeiteten Daten (mehrere Millionen berufliche Kontakte);
- des Fehlens einer zuverlässigen, verifizierten Kontakt-E-Mail-Adresse für sämtliche betroffenen Personen zum Zeitpunkt der Erhebung;
- des ausschließlich beruflichen und B2B-Charakters der Verarbeitung;
- der öffentlichen Verfügbarkeit der verarbeiteten Informationen.
4.2 — Ausgleichsmaßnahmen
Als Ausgleich für diese Befreiung setzt ENROW folgende Maßnahmen um:
- Veröffentlichung dieser Datenschutzerklärung: frei und offen zugänglich auf der Website https://enrow.io, stellt diese Erklärung alle nach Artikel 13 und 14 DSGVO erforderlichen Informationen bereit;
- Formular zur Ausübung von Rechten: ein eigenes Formular „Ausübung meiner Rechte an personenbezogenen Daten“ ist direkt auf der ENROW-Website zugänglich und ermöglicht es jeder Person, zu prüfen, ob ihre Daten in der Datenbank gespeichert sind, und deren Löschung zu verlangen;
- Eigene E-Mail-Adresse: Zur Ausübung ihrer Rechte kann sich jede Person unter dpo@enrow.io an den DPO wenden;
- Garantierte Bearbeitungszeit: ENROW verpflichtet sich, jede Anfrage innerhalb von vierundzwanzig (24) Stunden an Werktagen zu bearbeiten;
- Dauerhafte Ausschlussliste: jede Person, die ihr Widerspruchsrecht ausgeübt hat, wird in eine dauerhafte Ausschlussliste (Blocklist) aufgenommen, die gewährleistet, dass ihre Daten künftig weder erhoben noch verarbeitet werden.
4.3 — Information durch die Kunden von ENROW
ENROW verpflichtet seine Kunden vertraglich (über die Vertragsbedingungen und das DPA), die betroffenen Personen gemäß Artikel 13 und 14 DSGVO zu informieren, wenn sie Angereicherte Daten zu deren Kontaktaufnahme verwenden. Die Kunden von ENROW verpflichten sich insbesondere, die Herkunft der Daten, die Zwecke der Verarbeitung und die Möglichkeiten zur Ausübung der Rechte anzugeben.
5. Warum und auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?
| Zweck | Rechtsgrundlage | Details |
|---|---|---|
| B2B-Datenanreicherung (eigene Anreicherungsdatenbank) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Erhebung und Pflege einer professionellen B2B-Datenbank zu Zwecken der geschäftlichen Ansprache. Dokumentierte LIA, jährlich überprüft, auf Anfrage verfügbar. |
| Verarbeitung von Kundendaten zur Anreicherung | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Anreicherung der vom Kunden übermittelten Daten. ENROW handelt als Auftragsverarbeiter. |
| Erstellung und Verwaltung von Konten | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Registrierung, Authentifizierung, Verwaltung von Abonnements und Credits. |
| Abrechnung und Zahlung | Vertragserfüllung + rechtliche Verpflichtung (Art. 6 Abs. 1 lit. b und c) | Zahlungsabwicklung über Stripe. Aufbewahrung der Rechnungen für 10 Jahre (gesetzliche Buchführungspflicht). |
| Marketing-Kommunikation (Newsletter, Ankündigungen) | Berechtigtes Interesse (B2B-Kunden) oder Einwilligung | Versand kommerzieller Mitteilungen über Brevo. Abmeldung jederzeit über den Link am Ende jeder E-Mail. |
| Kundensupport | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Bearbeitung von Support-Anfragen über Intercom. |
| Werbung und Leistungsmessung | Einwilligung (Art. 6 Abs. 1 lit. a) | Google Ads, Meta Pixel, LinkedIn Insight Tag. Vorbehaltlich der Einwilligung über Cookiebot. Retargeting und Conversion-Messung. |
| Technisches Tag-Management | Zwingend erforderlich | Google Tag Manager. Technischer Container, der selbst keine Cookies setzt. Ausgelöste Tags unterliegen der Einwilligung. |
| Sicherheit und Protokollierung | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Aktivitätsprotokolle und Monitoring über SigNoz. Anomalieerkennung, Schutz vor Eindringversuchen. |
| Verwaltung des Affiliate-Programms | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Tracking von Empfehlungen und Provisionen über Partnero. |
| Ausübung der Betroffenenrechte | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Bearbeitung von Auskunfts-, Löschungs-, Widerspruchsanfragen usw. |
| Verbesserung der Algorithmen (anonymisierte Daten) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Verwendung anonymisierter und aggregierter Daten, die keine Identifizierung mehr erlauben. |
| Erfüllung rechtlicher Verpflichtungen | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Beantwortung gerichtlicher, steuerlicher oder behördlicher Anordnungen. |
5.1 — Bewertung des berechtigten Interesses
Sofern sich die Verarbeitung auf ein berechtigtes Interesse stützt, hat ENROW eine Abwägung zwischen seinen berechtigten Interessen und den Rechten und Freiheiten der betroffenen Personen vorgenommen. Diese Analyse ist in einer Bewertung des berechtigten Interesses (Legitimate Interest Assessment, LIA) dokumentiert, die mindestens einmal jährlich sowie bei jeder wesentlichen Änderung der Verarbeitung überprüft wird.
Zu den berücksichtigten Faktoren zählen: der ausschließlich berufliche und B2B-bezogene Charakter der Daten, die öffentliche Verfügbarkeit der verarbeiteten Informationen, die einfache Ausübung des Widerspruchsrechts (24 Geschäftsstunden) sowie die Aufnahme in eine dauerhafte Ausschlussliste. Die LIA ist auf Anfrage beim DPO erhältlich.
6. Mit wem teilen wir Ihre Daten?
Ihre personenbezogenen Daten können unter strikter Beachtung des Grundsatzes der Datenminimierung an folgende Kategorien von Empfängern weitergegeben werden:
6.1 — Kunden von ENROW
Anreicherungsdaten (E-Mails, Telefonnummern, LinkedIn-Profile, Unternehmensinformationen) werden im Rahmen der Nutzung des Dienstes an die Kunden von ENROW zurückgegeben. Die Kunden sind vertraglich (über die Vertragsbedingungen und den DPA) verpflichtet, diese Daten ausschließlich für die B2B-Neukundengewinnung zu verwenden, über eine gültige Rechtsgrundlage zu verfügen und die betroffenen Personen zu informieren.
6.2 — Technische Unterauftragsverarbeiter
ENROW setzt zur Sicherstellung des Betriebs des Dienstes die folgenden Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Zweck | Standort | Übermittlung außerhalb des EWR |
|---|---|---|---|
| AWS | Hosting, Datenbanken, Speicherung | EU (Paris, eu-west-3) | Nein |
| Stripe | Zahlung und Abrechnung | EU (Irland) | Nein |
| Brevo | Marketing- und Transaktions-E-Mails | Frankreich | Nein |
| HubSpot | CRM, Formulare, Chat | EU (Frankreich/Deutschland) | Nein |
| Intercom | Kundensupport | EU (Irland) | Nein |
| SigNoz | Monitoring und Protokollierung | EU | Nein |
| Cookiebot | Verwaltung der Cookie-Einwilligung | EU (Dänemark) | Nein |
| Google Workspace | Interne Kommunikation | EU (Frankreich) | Nein |
| Slack | Interne Kommunikation | EU | Nein |
| Partnero | Affiliate-Programm | EU (Estland) | Nein |
| Anthropic (Claude.ai) | KI-Unterstützung (keine Speicherung) | USA | EU-US DPF + SCCs. Kein Training. |
6.3 — Externe Anreicherungsanbieter
ENROW setzt spezialisierte Anbieter zur Ergänzung der Anreicherung ein: Anbieter von SERP-Daten, beruflichen Kontaktdaten, firmografischen Daten und Geschäftssignalen. Die Identität dieser Anbieter stellt ein Geschäftsgeheimnis im Sinne der Richtlinie (EU) 2016/943 dar. Die namentliche Liste ist auf Anfrage beim DPO nach Abschluss einer Vertraulichkeitsvereinbarung (NDA) erhältlich. ENROW verpflichtet jeden Anbieter vertraglich zu Datenschutzpflichten, die der DSGVO entsprechen.
6.4 — Werbepartner
Vorbehaltlich Ihrer über das Cookiebot-Banner erteilten Einwilligung:
- Google Ads: Conversion-Tracking und Retargeting (Google LLC, USA — EU-US Data Privacy Framework);
- Meta Pixel: Conversion-Tracking für Facebook/Instagram und Lookalike Audiences (Meta Platforms, USA — EU-US DPF);
- LinkedIn Insight Tag: Conversion-Tracking und demografische Analyse für LinkedIn (LinkedIn Corp., USA — EU-US DPF).
6.5 — Inhalte Dritter
Vorbehaltlich Ihrer Einwilligung:
- Google Fonts: Laden von Schriftarten von Google-Servern. Übermittelt die IP-Adresse des Besuchers (Google LLC, USA — EU-US DPF);
- YouTube: Einbettung von Videos. Kann Tracking-Cookies setzen (Google LLC, USA — EU-US DPF).
6.6 — Behörden und rechtliche Pflichten
ENROW kann in den folgenden Fällen verpflichtet sein, personenbezogene Daten an die zuständigen Behörden herauszugeben:
- Gerichtliche Anordnung (Artikel 77-1-1 der französischen Strafprozessordnung);
- Anfrage einer Aufsichtsbehörde (CNIL oder gleichwertig);
- Steuerliche oder buchhalterische Pflicht;
- Gerichtsverfahren zur Verteidigung der Rechte von ENROW.
ENROW verkauft, vermietet oder stellt personenbezogene Daten außerhalb der oben beschriebenen Fälle keinem Dritten in sonstiger Weise zur Verfügung.
7. Übermittlungen außerhalb des Europäischen Wirtschaftsraums
Sämtliche Daten des Dienstes werden innerhalb der Europäischen Union gehostet (AWS Paris, eu-west-3). Die überwiegende Mehrheit unserer Unterauftragsverarbeiter agiert ausschließlich innerhalb des EWR.
Bestimmte Verarbeitungen können eine Übermittlung in die Vereinigten Staaten umfassen, die durch die folgenden Mechanismen geregelt wird:
- Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF): Beschluss der Europäischen Kommission vom 10. Juli 2023, mit dem für zertifizierte Unternehmen in den Vereinigten Staaten ein angemessenes Schutzniveau anerkannt wird;
- Standardvertragsklauseln (SCC): von der Europäischen Kommission erlassen (Durchführungsbeschluss 2021/914), erforderlichenfalls durch zusätzliche technische Maßnahmen ergänzt.
Dienste, die eine Übermittlung außerhalb des EWR umfassen:
- Anthropic (Claude.ai): DPF + SCC. Keine Daten für das Modelltraining verwendet. Punktuelle Verarbeitung ohne Speicherung;
- Google Ads, Meta, LinkedIn, Google Fonts, YouTube: DPF. Vorbehaltlich Ihrer vorherigen Einwilligung (Cookies).
Die vollständigen Angaben zu den Übermittlungsmechanismen für jeden Unterauftragsverarbeiter sind in Anlage 3 des DPA aufgeführt, die auf Anfrage verfügbar ist.
8. Wie lange speichern wir Ihre Daten?
ENROW wendet den Grundsatz der Speicherbegrenzung an (Artikel 5 Abs. 1 Buchst. e DSGVO) und speichert Ihre Daten nur für den zur Erreichung der oben beschriebenen Zwecke unbedingt erforderlichen Zeitraum.
| Datenkategorie | Speicherdauer | Begründung |
|---|---|---|
| Registrierungsdaten (Konto) | Vertragslaufzeit + 3 Jahre | Zivilrechtliche Verjährung |
| Client Data zur Anreicherung | Max. 90 Tage, dann Auto-Löschung | Datenminimierung |
| Technischer Cache | 48 Stunden | Performance + Verifizierung |
| Rechnungsdaten | 10 Jahre | Gesetzliche Aufbewahrungspflicht |
| Support-Daten (Intercom) | 3 Jahre nach letztem Kontakt | Qualitätssicherung + Verjährung |
| Navigationsdaten / Cookies | Max. 13 Monate (CNIL-Empfehlung) | CNIL-Konformität |
| Sicherheitslogs | 12 Monate | Sicherheit des Informationssystems |
| B2B-Anreicherungsdatenbank | Dauer der Geschäftstätigkeit. Löschung binnen 24 Std. bei Widerspruch. | Fortlaufender Zweck + Widerspruchsrecht |
| Anträge auf Rechteausübung | 3 Jahre ab Bearbeitung | Nachweis der Konformität |
| Ausschlussliste (Blocklist) | Unbegrenzt | Schutz vor erneuter Erhebung |
Nach Ablauf der angegebenen Fristen werden die Daten automatisch und endgültig gelöscht oder, soweit technisch möglich, unwiderruflich anonymisiert.
9. Welche Rechte haben Sie?
Gemäß der DSGVO (Artikel 15 bis 22) und dem französischen Datenschutzgesetz (Loi Informatique et Libertés) haben Sie die folgenden Rechte:
- Auskunftsrecht (Artikel 15): Sie können eine Bestätigung darüber verlangen, ob Sie betreffende personenbezogene Daten von ENROW verarbeitet werden, und eine Kopie davon erhalten. Sie können zudem Informationen über die Verarbeitungszwecke, die Datenkategorien, die Empfänger, die Speicherdauer und die Herkunft der Daten erhalten.
- Recht auf Berichtigung (Artikel 16): Sie können die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten verlangen. Wenn sich Ihre Position, Telefonnummer oder Ihr Unternehmen geändert hat, kontaktieren Sie uns, um Ihre Angaben zu aktualisieren.
- Recht auf Löschung (Artikel 17): Sie können die Löschung Ihrer Daten verlangen. ENROW nimmt die Löschung vor und trägt Sie binnen 24 Geschäftsstunden in die dauerhafte Ausschlussliste ein. Dieses Recht ist eingeschränkt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
- Widerspruchsrecht (Artikel 21): Sie können der auf dem berechtigten Interesse von ENROW beruhenden Verarbeitung Ihrer Daten jederzeit widersprechen, auch zu Zwecken der Direktwerbung. Im Falle eines Widerspruchs stellt ENROW die Verarbeitung ein und trägt die betroffene Person in seine dauerhafte Ausschlussliste ein.
- Recht auf Einschränkung der Verarbeitung (Artikel 18): Sie können die vorübergehende Aussetzung der Verarbeitung Ihrer Daten verlangen, insbesondere während der Überprüfung der Richtigkeit der Daten oder der Prüfung Ihres Widerspruchs.
- Recht auf Datenübertragbarkeit (Artikel 20): Dieses Recht gilt, wenn die Verarbeitung auf einer Einwilligung oder der Erfüllung eines Vertrags beruht. Da die Verarbeitung durch ENROW überwiegend auf dem berechtigten Interesse beruht, ist das Recht auf Datenübertragbarkeit nicht von Rechts wegen anwendbar. Ungeachtet dessen bemüht sich ENROW nach vernünftigem Ermessen, jedem angemessenen Antrag in einem strukturierten, maschinenlesbaren Format zu entsprechen.
- Recht auf Widerruf der Einwilligung: Bei Verarbeitungen auf Grundlage einer Einwilligung (Cookies, Marketing) können Sie Ihre Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
- Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden (Artikel 22): ENROW trifft keine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, die rechtliche Wirkung entfaltet oder betroffene Personen erheblich beeinträchtigt. Die Algorithmen von ENROW dienen ausschließlich der Suche und Verifizierung beruflicher Daten.
- Recht auf Festlegung von Anweisungen für den Todesfall (Artikel 85 Loi Informatique et Libertés): Sie können Anweisungen zur Speicherung, Löschung und Übermittlung Ihrer Daten nach Ihrem Tod festlegen.
10. So üben Sie Ihre Rechte aus
10.1 — Kontaktwege
- Online-Formular: Das Formular „Ausübung der Rechte an meinen personenbezogenen Daten“ ist direkt auf der Website https://enrow.io verfügbar;
- E-Mail: dpo@enrow.io;
- Post: SCHRUTE FARMS / ENROW — DPO — 123 Rue De Rome, 75017 Paris, Frankreich.
10.2 — Bearbeitungsverfahren
Nach Eingang eines Antrags auf Ausübung von Rechten wendet ENROW das folgende Verfahren an:
- Schritt 1 — Eingang und Überprüfung: ENROW bestätigt den Eingang des Antrags und überprüft die Identität des Antragstellers (Nachname, Vorname, berufliche E-Mail). ENROW kann erforderlichenfalls einen zusätzlichen Identitätsnachweis verlangen;
- Schritt 2 — Suche: ENROW sucht die Daten des Antragstellers in allen seinen Systemen (Anreicherungsdatenbank, Cache, Kundendaten, Logs);
- Schritt 3 — Ausführung: je nach Art des Antrags: Bereitstellung einer Kopie der Daten (Auskunft), Korrektur (Berichtigung), endgültige Löschung sämtlicher Daten einschließlich des Cache (Löschung/Widerspruch) oder Aussetzung der Verarbeitung (Einschränkung);
- Schritt 4 — Eintrag in die Ausschlussliste: Im Falle eines Löschungs- oder Widerspruchsantrags wird die Person in die dauerhafte Ausschlussliste (Blocklist) eingetragen. Dies stellt sicher, dass ihre Daten künftig nicht mehr von ENROW erhoben oder verarbeitet werden, selbst wenn sie in öffentlichen Quellen erneut auftauchen;
- Schritt 5 — Bestätigung: ENROW bestätigt der betroffenen Person die Ausführung des Antrags per E-Mail.
Frist: vierundzwanzig (24) Geschäftsstunden ab Eingang des vollständigen Antrags. Diese Frist ist kürzer als die gesetzliche Monatsfrist gemäß Artikel 12 Abs. 3 DSGVO.
11. Wie schützen wir Ihre Daten?
ENROW setzt technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO um, die der Art, dem Umfang und den Risiken der Verarbeitung angemessen sind:
- Verschlüsselung: ruhende Daten mit AES-256 verschlüsselt. Daten während der Übertragung durch TLS 1.2 oder höher geschützt. Passwörter mit bcrypt und individuellem Salting gehasht;
- Zugriffskontrolle: Multi-Faktor-Authentifizierung (MFA) für alle kritischen Zugriffe. Produktionszugriff auf die beiden Mitgeschäftsführer beschränkt. RBAC-Modell (Role-Based Access Control) für Nutzer des Dienstes;
- Netzwerkisolierung: Datenbanken und interne Dienste in einer AWS-VPC ohne öffentlichen Zugang isoliert. Nur die Anwendung kann darauf zugreifen;
- Überwachung: umfassende Protokollierung der Aktivitäten (verschlüsselte Logs, über SigNoz). Automatische Benachrichtigung bei Anomalien;
- Backups: automatische tägliche Backups, verschlüsselt, getestet und validiert;
- Penetrationstests: jährlicher Penetrationstest durch einen unabhängigen Drittanbieter;
- Sichere Entwicklung: systematisches Code-Review (Pull Requests), automatische Erkennung von Schwachstellen in Abhängigkeiten (Dependabot);
- Hosting: ausschließlich innerhalb der Europäischen Union (AWS Paris, eu-west-3). AWS verfügt über die Zertifizierungen ISO 27001, SOC 1/2/3.
Die vollständigen Details unserer technischen und organisatorischen Maßnahmen sind im DPA (Anlage 2) festgelegt. Die Informationssicherheitsrichtlinie und der Notfallplan zur Betriebskontinuität werden aktuell gehalten und sind auf Anfrage unter NDA verfügbar.
12. Was geschieht bei einer Datenschutzverletzung?
Bei einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten mit sich bringen kann, verpflichtet sich ENROW:
- die CNIL innerhalb von zweiundsiebzig (72) Stunden zu benachrichtigen (Artikel 33 DSGVO);
- die betroffenen Kunden innerhalb von zweiundsiebzig (72) Stunden zu informieren;
- Sie unmittelbar zu informieren, sofern die Verletzung ein hohes Risiko für Ihre Rechte und Freiheiten darstellt (Artikel 34 DSGVO);
- die Verletzung in einem internen Register zu dokumentieren und die erforderlichen Abhilfemaßnahmen zu ergreifen.
13. Automatisierte Entscheidungen und Profiling
ENROW nutzt proprietäre Algorithmen, um berufliche Daten zu suchen, abzuleiten und zu verifizieren. Diese Algorithmen dienen ausschließlich der Bereitstellung des Anreicherungsdienstes (Finden einer E-Mail, Verifizieren einer Telefonnummer usw.).
ENROW trifft keine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, die rechtliche Wirkung entfalten oder betroffene Personen im Sinne von Artikel 22 DSGVO erheblich beeinträchtigen würde. Anreicherungsdaten werden nicht für Scoring, Profiling zu diskriminierenden Zwecken, Kreditbewertung, Einstellungsentscheidungen oder sonstige Entscheidungen mit rechtlicher oder erheblicher Auswirkung auf Personen verwendet.
14. Minderjährige
Der Dienst ist natürlichen Personen ab achtzehn (18) Jahren vorbehalten, die zu beruflichen Zwecken handeln. ENROW erhebt nicht wissentlich Daten über Minderjährige. Die Anreicherungsdatenbank enthält ausschließlich berufliche B2B-Daten und richtet sich nicht an Minderjährige. Sollten wir Kenntnis davon erlangen, dass Daten eines Minderjährigen erhoben wurden, löschen wir diese unverzüglich.
15. Cookies
ENROW verwendet Cookies und ähnliche Technologien auf seiner Website und innerhalb des Dienstes. Die vollständigen Details zu den verwendeten Cookies, ihren Zwecken, Laufzeiten und den Möglichkeiten ihrer Verwaltung sind in unserer Cookie-Richtlinie festgelegt, die auf der Website https://enrow.io zugänglich ist. Ihre Einwilligung wird bei Ihrem ersten Besuch über das Cookiebot-Banner eingeholt und kann jederzeit geändert werden.
16. Hinweise für Einwohner Kaliforniens (CCPA/CPRA)
Dieser Abschnitt enthält ergänzende Informationen für Einwohner des US-Bundesstaates Kalifornien gemäß dem California Consumer Privacy Act (CCPA) in der durch den California Privacy Rights Act (CPRA) geänderten Fassung.
16.1 — Kategorien erhobener personenbezogener Daten
In den vorangegangenen zwölf (12) Monaten hat ENROW folgende Kategorien personenbezogener Daten im Sinne des CCPA erhoben:
- Identifikatoren: Name, Vorname, E-Mail-Adresse, Telefonnummer, Konto-Identifikator;
- Berufliche Informationen: Position, Unternehmensname, Branche;
- Internet- oder Online-Aktivitätsdaten: Browserverlauf auf der Website, IP-Adresse, Sitzungsdaten;
- Geschäftliche Informationen: Abonnementverlauf, verwendete Credits.
16.2 — Verkauf und Weitergabe
ENROW „verkauft“ oder „teilt“ die personenbezogenen Daten von Einwohnern Kaliforniens nicht im Sinne des CCPA/CPRA. ENROW gibt personenbezogene Daten weder gegen ein geldwertes Entgelt an Dritte weiter noch teilt es personenbezogene Daten ohne Einwilligung zu Zwecken seitenübergreifender verhaltensbasierter Werbung.
16.3 — Einstufung von ENROW
ENROW handelt als „service provider“ im Sinne des CCPA/CPRA in Bezug auf Verarbeitungen, die im Auftrag seiner Kunden durchgeführt werden. ENROW speichert, nutzt und gibt personenbezogene Daten ausschließlich im engen Rahmen der Bereitstellung des Dienstes weiter.
16.4 — Rechte kalifornischer Einwohner
Einwohner Kaliforniens haben die folgenden Rechte:
- Recht auf Auskunft: Auskunft über die Kategorien und konkreten Elemente der erhobenen personenbezogenen Daten, die Quellen und Zwecke sowie die Kategorien der Dritten zu erhalten, an die sie weitergegeben wurden;
- Recht auf Löschung: die Löschung der erhobenen personenbezogenen Daten zu verlangen;
- Recht auf Berichtigung: die Berichtigung unrichtiger personenbezogener Daten zu verlangen;
- Recht auf Widerspruch (Opt-Out): dem Verkauf oder der Weitergabe personenbezogener Daten zu widersprechen (nicht anwendbar, da ENROW keine Daten verkauft oder teilt);
- Recht auf Nichtdiskriminierung: ENROW benachteiligt Personen nicht, die ihre Rechte nach dem CCPA/CPRA ausüben.
Zur Ausübung dieser Rechte: Formular „Ausübung von Rechten an meinen personenbezogenen Daten“ auf der ENROW-Website oder E-Mail an dpo@enrow.io.
17. Internationale Konformität
Diese Richtlinie gilt nach Maßgabe der folgenden Vorschriften, je nach Ihrem Standort:
- Europäische Union: Verordnung (EU) 2016/679 (DSGVO) und Loi n°78-17 vom 6. Januar 1978 in geänderter Fassung (Loi Informatique et Libertés);
- Vereinigtes Königreich: UK GDPR (European Union (Withdrawal) Act 2018) und Data Protection Act 2018;
- Schweiz: das neue Schweizer Datenschutzgesetz (nDSG), in Kraft seit dem 1. September 2023;
- Kalifornien (USA): CCPA in der durch den CPRA geänderten Fassung (siehe Abschnitt 16 oben).
Verweise auf die DSGVO in dieser Richtlinie gelten als Verweise auf die entsprechenden Bestimmungen der vorgenannten Vorschriften, soweit diese anwendbar sind.
18. Änderungen dieser Richtlinie
ENROW behält sich das Recht vor, diese Richtlinie jederzeit zu ändern, um Änderungen seiner Praktiken oder der geltenden Vorschriften abzubilden. Das Datum der letzten Aktualisierung ist am Anfang dieses Dokuments angegeben.
Bei einer wesentlichen Änderung, die die Art der Verarbeitung Ihrer Daten betrifft, benachrichtigt ENROW Sie per E-Mail oder über den Dienst mindestens dreißig (30) Tage vor Inkrafttreten der neuen Fassung. Die fortgesetzte Nutzung des Dienstes nach der Benachrichtigung gilt als Zustimmung. Für Personen, deren Daten in der Anreicherungsdatenbank gespeichert sind, wird die aktualisierte Richtlinie auf der Website veröffentlicht.
19. Kontakt
Für jede Anfrage zu dieser Richtlinie, zum Schutz Ihrer Daten oder zur Ausübung Ihrer Rechte:
- Datenschutzbeauftragter: Louis CONGARD
- E-Mail: dpo@enrow.io
- Postanschrift: SCHRUTE FARMS / ENROW — DPO — 123 Rue De Rome, 75017 Paris, Frankreich