Datenschutzerklärung
commerce.mu — Republik Mauritius
Inhalt
1. Verantwortlicher
Die Software for Humanity Ltd, eine in der Republik Mauritius gegründete Gesellschaft (das „Unternehmen“, „wir“, „uns“), ist der Verantwortliche für die über commerce.mu erhobenen personenbezogenen Daten. Kontakt: privacy@commerce.mu. Eingetragener Sitz: Sottise Road, Grand Baie 30550, Republik Mauritius.
2. Anwendungsbereich
Diese Erklärung gilt für personenbezogene Daten, die wir erheben, wenn Sie commerce.mu besuchen, ein Anfrageformular absenden, uns per Messenger, E-Mail oder Telefon kontaktieren oder anderweitig mit unseren Vertretern im Zusammenhang mit unseren Beratungsdienstleistungen zum Occupation Permit (Investor) für Mauritius in Kontakt treten.
3. Kategorien personenbezogener Daten
Wir verarbeiten:
- Identifikations- und Kontaktdaten — vollständiger Name, E-Mail, Telefonnummer, Messenger-Kennungen;
- Kommunikationsdaten — Inhalt der Anfragenachricht, Gesprächsnotizen, Korrespondenzverlauf;
- Technische Daten — IP-Adresse, Geräte- und Browser-Metadaten, Verweisquelle;
- Analyse- und Cookie-Daten — pseudonyme Kennungen, aufgerufene Seiten, Zugriffsquelle und Kampagnenparameter (UTM), Interaktionsereignisse; siehe unsere Cookie-Richtlinie und die nachstehenden Einzelheiten;
- Angaben zum beruflichen Status oder zum Investorenstatus — sofern Sie sich entscheiden, diese mitzuteilen, soweit für die Prüfung der Zugangsvoraussetzungen erforderlich.
3.1 Webanalyse
Beim Laden der Seite führt die Website zwei Webanalysedienste aus, die als Auftragsverarbeiter nach unseren Weisungen handeln: Yandex.Metrica (betrieben von der Yandex LLC) und Google Analytics 4 (betrieben von der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, Vereinigte Staaten). Beide werden auf der Grundlage unseres berechtigten Interesses an der Messung der Leistung der Website und unserer Werbung geladen, nicht auf der Grundlage einer Einwilligung.
Google Analytics 4 verarbeitet: eine pseudonyme Browser-Kennung (client_id), die in den Cookies _ga und _ga_3FJ2DY4CC6 gespeichert wird; aufgerufene Seiten; Zugriffsquelle und Kampagnenparameter (UTM); Geräte- und Browsermerkmale; sowie den ungefähren Standort. IP-Adressen werden in gekürzter Form verarbeitet (anonymize_ip); Google Signals und die Werbepersonalisierung sind deaktiviert und es wird keine Verknüpfung mit Google Ads verwendet. In Formularfelder eingegebene Werte (Name, Telefon, E-Mail, Nachricht) werden durch die nativen Maskierungsfunktionen der Analysewerkzeuge von der Sitzungsaufzeichnung ausgeschlossen.
Die Verarbeitung stützt sich auf Artikel 6 Abs. 1 lit. f DSGVO (GDPR) (berechtigte Interessen). Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen und die Erhebung durch Google Analytics auf allen Websites zu deaktivieren, indem Sie das Google Analytics Opt-out-Browser-Add-on installieren oder die anderen in unserer Cookie-Richtlinie beschriebenen Mittel nutzen. Die grenzüberschreitende Übermittlung von Daten an die Google LLC (Vereinigte Staaten) ist in Abschnitt 7 weiter unten beschrieben.
Die Website verwendet Google Tag Manager (betrieben von der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, Vereinigte Staaten), einen Tag-Management-Dienst, der die Analysekonfiguration der Website lädt und ausführt. Google Tag Manager selbst erhebt keine personenbezogenen Daten, setzt keine Analyse- oder Werbe-Cookies und erstellt keine Nutzerprofile; er verwaltet lediglich, welche Analyse-Tags auf der Website ausgeführt werden. Die über den Container verwalteten Tags beschränken sich auf die oben beschriebene Website-Leistungsanalyse (Google Analytics 4 und Yandex.Metrica); es werden keine Tags für Werbung, Remarketing, Google-Ads-Conversion, Floodlight oder Google Signals eingesetzt. Die Werbespeicherung ist auf Ebene des Tag-Managers auf „verweigert“ gesetzt (Consent Mode: ad_storage / ad_user_data / ad_personalization = denied). Das Laden erfolgt beim Seitenaufruf auf der Grundlage unseres berechtigten Interesses (Artikel 6 Abs. 1 lit. f DSGVO), identisch zu Google Analytics 4. Die von Google Tag Manager verarbeiteten Daten (technische Anfragedaten) werden an die Google LLC (Vereinigte Staaten) übermittelt — siehe Abschnitt 7 weiter unten. Datenschutzerklärung von Google: policies.google.com/privacy.
3.2 Eigene Analyse und betriebliche Benachrichtigungen
Beim Laden einer Seite der Website wird automatisch eine technische Anfrage an den eigenen Server des Unternehmens (den Endpunkt /api/event) gesendet, zur aggregierten Messung des Datenverkehrs und zur Bewertung der Wirksamkeit unserer Werbekanäle. Die übermittelten Daten umfassen: die Adresse der aufgerufenen Seite, Werbekampagnen-Parameter (UTM-Tags), Geräteklasse (Mobilgerät / Tablet / Desktop), Zeitzone und Spracheinstellungen des Browsers. Auf der Serverseite werden dem Datensatz ein pseudonymisierter Hash der IP-Adresse (HMAC-SHA256 mit rotierendem Schlüssel) und eine ungefähre Geolokalisierung (Land, Stadt) hinzugefügt — die ursprüngliche IP-Adresse wird nicht in der Datenbank gespeichert.
Wenn Sie auf eine Schaltfläche klicken, um einen Messenger zu öffnen (WhatsApp, Telegram), oder ein Anfrageformular auf der Website absenden, erfasst das Unternehmen diese Handlung, um den von Ihnen initiierten Kontakt zu bearbeiten. Über einen internen Telegram-Servicebot (Telegram FZ-LLC) wird eine Benachrichtigung an einen befugten Mitarbeiter gesendet, die Folgendes enthält: den Kanal und die Position der Schaltfläche oder des Formulars, Werbekampagnen-Parameter (UTM-Tags), Browser, Betriebssystem und Gerätetyp, einen Zeitstempel, Ihre IP-Adresse sowie die daraus auf der Serverseite abgeleiteten Informationen — die ungefähre Geolokalisierung (Land, Stadt, Betreiber / Internetdienstanbieter) und Verbindungssignale (Nutzung eines Proxys, Hosting-Anbieters oder Mobilfunknetzes). Die IP-Adresse ist in dieser Servicebenachrichtigung in ihrer ursprünglichen Form enthalten, da das Anklicken einer Messenger-Schaltfläche oder das Absenden des Formulars eine Handlung ist, mit der Sie den Kontakt zum Unternehmen initiieren, und die umgehende Identifizierung der Quelle der Anfrage für deren Bearbeitung erforderlich ist. Rechtsgrundlage ist die Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin, zusammen mit dem berechtigten Interesse des Unternehmens an der Bearbeitung einer von Ihnen initiierten Anfrage (Artikel 6 Abs. 1 lit. b und Artikel 6 Abs. 1 lit. f DSGVO; und, für Nutzer in der Russischen Föderation, Artikel 6 Abs. 1 Nr. 5 und Artikel 6 Abs. 1 Nr. 7 des Föderalen Gesetzes Nr. 152-FZ (russisches Datenschutzgesetz)). Die IP-Adresse wird ausschließlich zur Erzeugung der Servicebenachrichtigung verwendet und vom Unternehmen nicht in ihrer ursprünglichen Form gespeichert: das führende System ist die in Abschnitt 1 genannte Datenbank, in der die IP-Adresse nur als pseudonymisierter Hash (HMAC-SHA256 mit rotierendem Schlüssel) erfasst wird. Diese Benachrichtigung ist ein interner Kanal zur umgehenden Alarmierung eines befugten Mitarbeiters.
Bevor Sie Ihre Wahl im Cookie-Banner treffen: es wird keine Sitzungskennung erstellt, es werden keine Cookies gesetzt und es erfolgt keine Nutzeridentifizierung. Die Daten werden in aggregierter Form verarbeitet und ausschließlich zur Zählung von Besuchen und zur Zuordnung von Werbequellen verwendet. Rechtsgrundlage ist das berechtigte Interesse des Unternehmens (Artikel 6 Abs. 1 lit. f DSGVO), analog zur Verarbeitung von Server-Zugriffsprotokollen.
Nachdem Sie in Analyse-Cookies eingewilligt haben: den Daten wird eine Sitzungskennung hinzugefügt (im sessionStorage des Browsers gespeichert und nicht zwischen Sitzungen aufbewahrt), wodurch Ereignisse innerhalb eines einzelnen Besuchs verknüpft werden können.
Datensätze werden nicht länger als 90 Tage aufbewahrt. Die Verarbeitung erfolgt auf dem eigenen Server des Unternehmens und das selbst gehostete Analyseprotokoll wird nicht an Dritte weitergegeben (mit Ausnahme des oben beschriebenen internen Telegram-Alarmierungskanals). Da diese Verarbeitung eine Übermittlung Ihrer IP-Adresse und der daraus abgeleiteten Daten an den Messaging-Dienst Telegram umfasst, gelten die Schutzmaßnahmen für grenzüberschreitende Übermittlungen in Abschnitt 7.
4. Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten, um:
- auf Anfragen von Investoren zu antworten;
- Vertragsunterlagen vorzubereiten und auszuhandeln;
- vorläufige Prüfungen der Zugangsvoraussetzungen und der Eignung durchzuführen;
- Verpflichtungen zur Bekämpfung der Geldwäsche, zur Kundenidentifizierung (Know-your-Customer) und zum Sanktionsabgleich zu erfüllen;
- Aufzeichnungen zu führen, die nach mauritischem Recht und den geltenden Finanzvorschriften erforderlich sind;
- unsere Website und unsere Dienstleistungen zu verbessern.
5. Rechtsgrundlage
Nach der EU-/UK-Datenschutz-Grundverordnung (DSGVO), soweit anwendbar, stützen wir uns auf:
- Art. 6 Abs. 1 lit. a Einwilligung (Cookies, Marketingkommunikation);
- Art. 6 Abs. 1 lit. b Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Bearbeitung von Anfragen, Onboarding);
- Art. 6 Abs. 1 lit. c Erfüllung rechtlicher Verpflichtungen (AML/KYC, Aufbewahrung von Aufzeichnungen);
- Art. 6 Abs. 1 lit. f berechtigte Interessen (Sicherheit, Betrugsprävention, interne Analyse).
Nach dem Mauritius Data Protection Act 2017 stützen wir uns auf die in Section 28 festgelegten Bedingungen für eine rechtmäßige Verarbeitung, insbesondere Einwilligung, vertragliche Notwendigkeit und rechtliche Verpflichtung.
6. Empfänger
Personenbezogene Daten können nach dem Grundsatz der Kenntnis nur bei Bedarf (need-to-know) offengelegt werden gegenüber:
- unseren Direktoren, Mitarbeitern und professionellen Beratern (Recht, Steuern, Wirtschaftsprüfung);
- Regulierungs- und Regierungsbehörden, einschließlich des Economic Development Board of Mauritius, der Financial Services Commission und der Mauritius Revenue Authority;
- Bankpartnern und KYC/AML-Dienstleistern;
- IT- und CRM-Dienstleistern, die als Auftragsverarbeiter auf Grundlage schriftlicher Vereinbarungen handeln;
- Webanalyse-Anbietern — Yandex LLC (Yandex.Metrica) und Google LLC, Vereinigte Staaten (Google Analytics 4 sowie dem Tag-Management-Dienst Google Tag Manager) —, die als Auftragsverarbeiter nach unseren Weisungen auf der Grundlage unseres berechtigten Interesses handeln; für die Google LLC gilt die in Abschnitt 7 beschriebene grenzüberschreitende Übermittlung.
- einem befugten Mitarbeiter über einen internen Telegram-Servicebot (Telegram FZ-LLC) zur umgehenden Bearbeitung der von Ihnen initiierten Anfragen; weitergegeben werden Interaktions-Metadaten, Ihre IP-Adresse und die daraus abgeleitete ungefähre Geolokalisierung, ohne besondere Kategorien personenbezogener Daten. Inhalt und Rechtsgrundlage dieser Offenlegung sind in Abschnitt 3.2 oben beschrieben.
7. Internationale Datenübermittlungen
Das Unternehmen ist international tätig. Einige Auftragsverarbeiter, die unser russischsprachiges Vertriebsteam unterstützen, werden in der Russischen Föderation gehostet; bestimmte Technik- und Analyseanbieter werden in der Europäischen Union und anderen Rechtsordnungen gehostet. Soweit personenbezogene Daten außerhalb von Mauritius oder des EWR übermittelt werden, treffen wir geeignete Schutzmaßnahmen — vertragliche Verpflichtungen, die den Standardvertragsklauseln gleichwertig sind, sowie technische und organisatorische Maßnahmen —, im Einklang mit Section 36 des Mauritius DPA und Kapitel V der DSGVO.
Bei Verwendung von Google Analytics 4 werden die automatisch erhobenen Daten (die pseudonyme Browser-Kennung und die in Abschnitt 3.1 beschriebenen technischen und verhaltensbezogenen Parameter) an die Google LLC, Vereinigte Staaten übermittelt. Die Vereinigten Staaten werden von der russischen Aufsichtsbehörde (Roskomnadzor) derzeit nicht als Land anerkannt, das einen angemessenen Schutz der Rechte betroffener Personen bietet, und es besteht kein EU-Angemessenheitsbeschluss, auf den wir uns für diese Übermittlung stützen.
Die von Google Tag Manager verarbeiteten technischen Anfragedaten (siehe Abschnitt 3.1) werden ebenfalls an die Google LLC, Vereinigte Staaten auf derselben Rechtsgrundlage und in gekürzter / technischer Form übermittelt, ohne die personenbezogenen Daten des Nutzers.
Rechtsgrundlage für diese Übermittlung ist unser berechtigtes Interesse an der Messung der Leistung der Website und unserer Werbung (Artikel 6 Abs. 1 lit. f DSGVO), das Ihre Grundrechte nicht überwiegt; übermittelt werden ausschließlich pseudonymisierte und technische Daten in gekürzter Form (anonymize_ip), und es sind keine besonderen Kategorien personenbezogener Daten betroffen. Sie können dieser Verarbeitung jederzeit widersprechen und die Übermittlung an die Google LLC stoppen, indem Sie das Google Analytics Opt-out-Browser-Add-on installieren oder die in unserer Cookie-Richtlinie beschriebenen Mittel nutzen. Vertragliche Vertraulichkeitsgarantien werden durch die Google Ads Data Processing Terms bereitgestellt.
8. Speicherdauer
Wir bewahren personenbezogene Daten nur so lange auf, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist, zuzüglich eines etwaigen weiteren gesetzlich vorgeschriebenen Zeitraums (zum Beispiel Aufbewahrungspflichten im Rahmen der Geldwäschebekämpfung, in der Regel sieben Jahre ab Ende der Geschäftsbeziehung). Anfragedaten von Interessenten, die nicht fortfahren, werden innerhalb von 24 Monaten gelöscht oder anonymisiert.
Webanalyse-Daten werden bei Yandex.Metrica in anonymisierter Form bis zu 26 Monate aufbewahrt; Nutzer- und Ereignisdaten von Google Analytics 4 werden 14 Monate lang aufbewahrt und danach von Google automatisch gelöscht.
9. Ihre Rechte
Vorbehaltlich der in der DSGVO (Artikel 15–22) und im Mauritius DPA (Sections 37–42) festgelegten Bedingungen haben Sie das Recht:
- auf Auskunft über Ihre Daten;
- auf Berichtigung oder Löschung;
- auf Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung;
- auf Erhalt Ihrer Daten in einem übertragbaren Format;
- eine erteilte Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der zuvor erfolgten Verarbeitung berührt wird.
Zur Ausübung dieser Rechte wenden Sie sich an privacy@commerce.mu. Wir antworten innerhalb eines Monats.
10. Aufsichtsbehörde
Sie können eine Beschwerde beim Data Protection Commissioner of Mauritius einreichen (dataprotection.govmu.org). In der EU/im EWR ansässige Personen können sich zusätzlich an die Aufsichtsbehörde ihres Wohnorts oder des Orts der mutmaßlichen Verletzung wenden. In Großbritannien ansässige Personen können sich an das Information Commissioner's Office (ICO) wenden.
11. Änderungen
Wir können diese Erklärung aktualisieren. Das oben angegebene Datum „Zuletzt aktualisiert“ gibt die aktuelle Fassung wieder. Über wesentliche Änderungen wird auf dieser Seite informiert.
Kontakt für Datenschutz
E-Mail: privacy@commerce.mu
Postanschrift: Sottise Road, Grand Baie 30550, Republik Mauritius