Datenschutzrichtlinie

Gültig ab: 25. Februar 2026
Zuletzt aktualisiert: 1. Mai 2026

Diese Datenschutzerklärung erläutert, wie GreenRoot Analytics B.V. („GreenRoot“, „wir“, „uns“) personenbezogene Daten verarbeitet, wenn wir die GreenRoot-Analytics-Plattform (den „Dienst“) bereitstellen.

Unser Anspruch. Wir möchten den Dienst mit maximaler Transparenz und einer Privacy-first-Haltung betreiben. Daher beschreiben wir in klarer Sprache, welche Daten wir verarbeiten, warum wir sie verarbeiten und unter welchen begrenzten Umständen wir sie mit Dienstleistern (Unterauftragsverarbeitern) teilen. Wenn Ihnen etwas unklar ist oder verbessert werden kann, kontaktieren Sie uns bitte.

1) Über uns

GreenRoot Analytics B.V.
Hoofdweg 136, 9619PH Froombosch, Niederlande
KVK 99442337
BTW-id NL868993153B01
Kontakt: contact@greenrootanalytics.com

2) Rollen: Verantwortlicher vs Auftragsverarbeiter

2.1. Wenn ein Kunde den Dienst nutzt, um Umfragen durchzuführen:

• ist der Kunde typischerweise der Verantwortliche für Umfrageantwortdaten; und
• ist GreenRoot typischerweise der Auftragsverarbeiter für Umfrageantwortdaten.

2.2. Für GreenRoots eigene Website-/Kontoverwaltung, Workspace-Zugangs- und Support-Abläufe, Abrechnungs- und Rechnungsstellungsaktivitäten, anonyme Traffic-Messung auf öffentlichen Seiten und einwilligungsbasierte Produkt-Analytics handelt GreenRoot als Verantwortlicher.

3) Welche Daten wir erheben

3.1. Konten- und Workspace-Daten können umfassen:

• Name, E-Mail-Adresse und Jobtitel; sowie
• Workspace-/Unternehmensdaten (z. B. Unternehmensname, Planstufe/-status, Workspace-Credits und Konfiguration); sowie
• bevorzugte Sprache, Workspace-Rolle, Einladungsdaten, Datensätze zu Workspace-Zugriffsanfragen/-freigaben sowie Konto-Verifizierungs- / Passwort-Reset-Daten; sowie
• Abrechnungs-/Kontaktdaten und Abrechnungsunterlagen (zum Beispiel Name/E-Mail des Rechnungskontakts, Umsatzsteuer- oder Steuerinformationen, Abonnement- oder Kaufhistorie, Rechnungsmetadaten und Zahlungsstatus).

3.2. Umfrage-/Journey-Daten (kundengesteuert) können umfassen:

• Journey-Konfiguration (Titel, Fragen, Antwortoptionen); sowie
• Umfrageantworten und zugehörige Metadaten; sowie
• Teilnehmer-/Zielgruppendaten, E-Mail-Adressen von Teilnehmenden, Zustellmetadaten für Einladungen und Erinnerungen, Segmentierungsattribute von Befragten und vom Kunden angeforderte Export- oder Bericht-Artefakte.

3.3. Anonyme grundlegende Traffic-Messung (immer aktiv für öffentliche Seiten). Wir erfassen begrenzte First-Party-Pageview-Daten für öffentliche Seiten, damit wir den Gesamt-Traffic ohne Besucher-/Sitzungs-IDs, Attributions-Cookies oder Konto-/Workspace-Verknüpfung quantifizieren können.

3.4. Produkt-Analytics (einwilligungsbasiert). Wenn Sie Analytics-Cookies zustimmen, erfassen wir begrenzte, pseudonyme Nutzungsdaten, um Traffic zu verstehen und Onboarding sowie Produktqualität über die öffentlichen Journey-Studio-Flächen und, wenn Sie eingeloggt sind, innerhalb der Journey-Studio-App zu verbessern. Dazu können unsere eigenen First-Party-Analytics-IDs/Cookies sowie Google-Messung im Consent Mode auf der öffentlichen Website gehören. Wir verwenden dies nicht für Werbung Dritter, Cross-Site-Tracking zu Werbezwecken oder den Verkauf personenbezogener Daten.

3.5. In der Praxis kann anonyme grundlegende Traffic-Messung Folgendes umfassen:

• Seitenpfad und vollständige URL;
• Zeitstempel (wann ein Ereignis stattgefunden hat / empfangen wurde);
• Sprache; und
• Land sowie Region/Bundesland, abgeleitet aus der Anfrage-IP zum Zeitpunkt der Erhebung. Die IP selbst speichern wir nicht.

3.6. In der Praxis können einwilligungsbasierte Analytics-Daten Folgendes umfassen:

• Ereigniskategorie (z. B. Pageviews, Onboarding-Meilensteine, wichtige Feature-Interaktionen);
• Zeitstempel (wann ein Ereignis stattgefunden hat / empfangen wurde);
• Seitenpfad und vollständige URL;
• Referrer (woher Sie kamen);
• Sprache; und
• Kampagnen-Attributionsparameter (UTM source/medium/campaign/term/content), falls vorhanden.

3.7. Wenn Sie Analytics zustimmen, können wir pseudonyme Kennungen in First-Party-Cookies setzen (zum Beispiel: eine Besucherkennung, eine Sitzungskennung und Attributionsmetadaten) und Google Analytics / Google Tag die Nutzung öffentlicher Seiten messen lassen. Typische Aufbewahrungsfristen für unsere First-Party-Kennungen sind:

• Besucherkennung: bis zu ca. 13 Monate;
• Sitzungskennung: ca. 30 Minuten Inaktivität; und
• Attributionsmetadaten: bis zu ca. 30 Tage.

3.8. Wenn Sie eingeloggt sind, können Analytics-Ereignisse auch mit Ihrem Konto und Workspace verknüpft werden, um die Produktnutzung zu verstehen und den Dienst zu verbessern. Dazu können Pageviews, Onboarding-Meilensteine, Preis-/Abrechnungsnavigation und wichtige Workspace-Interaktionen gehören. Wir verwenden dies nicht zu Werbezwecken.

3.9. Betriebs- und Sicherheitsprotokolle können Folgendes umfassen:

• Audit-Ereignisse für privilegierte Admin-Aktionen; sowie
• Fehlerereignisse und Diagnosedaten, die für Zuverlässigkeit und Missbrauchsprävention erforderlich sind; sowie
• Aufzeichnungen im Zusammenhang mit E-Mail-Zustellung, Rate Limiting, Löschbestätigungen, Workspace-Zugangsfreigaben, Export-Jobs und Berichtserstellung.

3.10. Cookies und ähnliche Technologien. Wir verwenden First-Party-Cookies für:

• notwendig: Sitzung/Sicherheit und Missbrauchsprävention;
• funktional: Sprachpräferenz und Cookie-Einwilligungsentscheidung; sowie
• grundlegende Traffic-Messung: anonyme öffentliche Pageviews ohne Besucher-/Sitzungs-IDs oder Attributions-Cookies; sowie
• Analytics (optional): nur nach Opt-in; genutzt, um Produkt-Funnel und Onboarding zu verbessern, einschließlich einwilligungsgebundener First-Party-Analytics-Kennungen, Attributions-Cookies und Google-Messung im Consent Mode auf der öffentlichen Website.

3.11. Sie können Ihre Cookie-Einstellungen jederzeit über das Cookie-Banner/den Footer der öffentlichen Website, über Journey Studio Settings oder durch Löschen der Cookies ändern.

4) Wie wir personenbezogene Daten verwenden

4.1. Wir verwenden personenbezogene Daten, um:

• den Dienst bereitzustellen, zu betreiben und zu warten;
• Nutzer zu authentifizieren und den Zugang zu sichern;
• transaktionale E-Mails zu versenden (Verifizierung, Passwort-Reset, Einladungen, Hinweise zu fertigen Exporten usw.);
• Zahlungen zu verarbeiten, Rechnungen/Belege auszustellen und Abrechnungsänderungen zu verwalten;
• Workspace-Zugriffsanfragen, Freigaben, Einladungen und Löschbestätigungen zu verarbeiten;
• Support bereitzustellen und betriebliche Mitteilungen zu kommunizieren;
• das Produkt zu verbessern (einschließlich einwilligungsbasierter Analytics); und
• Betrug und Missbrauch zu verhindern und Rate Limits durchzusetzen.

4.2. KI-gestützte Funktionen. Der Dienst kann KI-gestützte Funktionen enthalten (zum Beispiel Website-Kontext-Extraktion, geführte Journey-/Fragen-/Phasen-/KPI-Generierung und Executive-Summary-Generierung). Diese Funktionen können erfordern, dass begrenzte Kundeninhalte, Geschäftskontext, Umfrage-/Berichtskontext oder von Nutzern angegebene URLs/Inhalte an unseren KI-Unterauftragsverarbeiter gesendet werden. Siehe die Auftragsverarbeitungsvereinbarung (DPA) und deren Abschnitt zu Unterauftragsverarbeitern.

5) Was wir nicht tun

5.1. Wir verkaufen keine personenbezogenen Daten.

5.2. Wir verwenden keine Werbetracker Dritter.

5.3. Wir betreiben kein Marketing-Profiling auf Personenebene (d. h. den Aufbau von Marketingprofilen, die mit identifizierbaren Personen für Werbe-Targeting verknüpft sind).

6) Rechtsgrundlagen (DSGVO/EWR)

6.1. Je nach Kontext kann unsere Verarbeitung beruhen auf:

• Vertragserfüllung (Bereitstellung des Dienstes);
• berechtigten Interessen (Sicherheit, Missbrauchsprävention und Serviceverbesserung);
• Einwilligung (optionale Analytics-Cookies); und
• gesetzlichen Verpflichtungen (soweit anwendbar).

7) Aufbewahrung von Daten

7.1. Wir bewahren personenbezogene Daten nur so lange auf, wie es erforderlich ist für:

• die Bereitstellung des Dienstes;
• die Erfüllung vertraglicher Anforderungen;
• Sicherheit/Missbrauchsprävention; und
• gesetzliche Verpflichtungen.

7.2. Wir wenden Aufbewahrungs- und Bereinigungspraktiken an, die darauf ausgelegt sind, gespeicherte personenbezogene Daten im Laufe der Zeit zu minimieren. Aktuelle Standardziele umfassen:

• die Aufbewahrung einwilligungsbasierter Marketing-/Produkt-Analytics-Ereignisse für bis zu etwa 14 Monate; und
• die Aufbewahrung anonymer Traffic-Daten öffentlicher Seiten für bis zu etwa 180 Tage.

7.3. Wenn wir als Auftragsverarbeiter handeln, richtet sich die Aufbewahrung von Kundeninhalten in erster Linie nach den Anweisungen des Kunden und der anwendbaren DPA. Workspace-Eigentümer können außerdem die Löschung bestimmter Workspace-Ressourcen innerhalb des Dienstes anstoßen, und manche destruktiven Aktionen erfordern eine Bestätigung per E-Mail, bevor die Entfernung abgeschlossen wird.

8) Datenweitergabe / Unterauftragsverarbeiter

8.1. Wir können Daten mit Dienstleistern und Unterauftragsverarbeitern teilen, um den Dienst zu betreiben (zum Beispiel Hosting, E-Mail-Zustellung, KI-Anbieter, Zahlungs-/Abrechnungsanbieter, Analytics-/Messanbieter und Speicheranbieter, die für Exporte oder Bericht-Artefakte verwendet werden, sofern konfiguriert).

8.2. Für Abrechnung und Rechnungsverwaltung nutzen wir derzeit Stripe als Zahlungsanbieter. Stripe kann Abrechnungs-/Kontaktdaten, Umsatzsteuer- oder Steuerinformationen, Rechnungsmetadaten, Zahlungsstatus und zugehörigen Support-Kontext für GreenRoots eigene verantwortlichenbezogene Abrechnungsaktivitäten verarbeiten. Wir speichern keine vollständigen Zahlungskartendaten in unseren eigenen Systemen, wenn Stripe Checkout oder das Stripe-Kundenportal verwendet wird.

8.3. Wenn optionale Analytics aktiviert sind, kann Google begrenzte Messdaten aus Interaktionen auf öffentlichen Seiten über Google Tag / Google Analytics im Consent Mode erhalten. Wir nutzen Google nicht für Werbepersonalisierung.

8.4. Siehe: Unterauftragsverarbeiter (in unserer Auftragsverarbeitungsvereinbarung (DPA) aufgeführt) für auftragsverarbeiterbezogene Dienste, die zur Erbringung des Dienstes im Auftrag von Kunden genutzt werden.

9) Internationale Übermittlungen

9.1. Wenn personenbezogene Daten außerhalb des EWR/Vereinigten Königreichs übermittelt werden, werden geeignete Schutzmaßnahmen verwendet (zum Beispiel Standardvertragsklauseln (SCCs), soweit anwendbar).

10) Besondere Kategorien (sensible Daten)

10.1. Der Dienst ist nicht für die Erhebung besonderer Kategorien personenbezogener Daten (wie in Artikel 9 DSGVO definiert) oder anderer hochsensibler Informationen ausgelegt. Kunden sollten die Erhebung solcher Daten in Umfragen vermeiden.

10.2. Da Umfragen Freitextfelder enthalten können, können Befragte sensible Informationen freiwillig eingeben. Wenn uns solche Daten bekannt werden, werden wir angemessene Schritte unternehmen, um Löschung oder Anonymisierung zu unterstützen, soweit dies praktikabel ist.

11) Automatisierte Entscheidungsfindung

11.1. Wir verwenden personenbezogene Daten nicht für automatisierte Entscheidungsfindung (einschließlich Profiling), die rechtliche Wirkungen entfaltet oder Einzelpersonen in ähnlicher Weise erheblich beeinträchtigt.

12) Ihre Rechte

12.1. Je nach Rechtsordnung haben Personen möglicherweise Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch.

12.2. Wenn Sie Kundenbenutzer (Workspace-Benutzer) sind, können Sie uns unter contact@greenrootanalytics.com kontaktieren.

12.3. Wenn Sie Umfrageteilnehmer sind, sollte Ihre Anfrage in der Regel an den Kunden gerichtet werden, der die Umfrage durchführt (als Verantwortlicher). Wir unterstützen unsere Kunden mit Werkzeugen zum Export, zur Löschung und zur Anonymisierung von Daten, soweit dies angemessen ist.

12.4. Sie haben außerdem das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen. In den Niederlanden ist dies die Autoriteit Persoonsgegevens.

13) Kontakt

13.1. Bei Fragen zum Datenschutz: contact@greenrootanalytics.com.