Diese Erklärung gilt für die Marketing-Website sw-ds.de und für die SaaS-Plattform „SW" mit ihren Tools (Empfehlungstool, Kündigungstool, Booking-Tool, Pipeline-Tool u.a.). Wir beschreiben hier, welche personenbezogenen Daten wir verarbeiten, warum, auf welcher Rechtsgrundlage und wie lange. Über die Plattform werden keine Versicherungen vermittelt — eine Erlaubnis nach § 34d GewO ist daher für uns nicht erforderlich.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie sonstiger nationaler Datenschutzgesetze ist:
S&W Digital Solutions GbR
Alexander Schnelting und Jan-Henrik Wende
Am Nachbarsberg 20
42781 Haan
Deutschland
Telefon: +49 151 29080778
E-Mail: info@sw-ds.de
Inhaber und vertretungsberechtigte Gesellschafter: Alexander Schnelting, Jan-Henrik Wende.
Weitere Pflichtangaben finden Sie im Impressum.
Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen, und haben auch keinen bestellt — die Voraussetzungen des § 38 BDSG und des Art. 37 DSGVO liegen bei uns nicht vor.
Anfragen zum Datenschutz oder zur Wahrnehmung Ihrer Rechte (siehe Abschnitt 8) richten Sie bitte direkt an:
S&W Digital Solutions GbR
Am Nachbarsberg 20, 42781 Haan
E-Mail: info@sw-ds.de
Telefon: +49 151 29080778
Wir antworten in der Regel innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann sich die Frist um zwei weitere Monate verlängern; Sie werden in diesem Fall innerhalb des ersten Monats darüber informiert.
Vorbemerkung zur Rollenverteilung. Wir betreiben mit SW eine SaaS-Plattform, die von Versicherungsagenturen genutzt wird. Daraus folgen zwei Rollen: Für eigene Verarbeitungen (Account, Login, Audit, Plattform- Mails) sind wir Verantwortlicher. Für Daten, die Agenturen über uns über ihre Kunden, Empfehler oder Empfohlenen verarbeiten, sind wir in der Regel Auftragsverarbeiter nach Art. 28 DSGVO — Verantwortliche ist die jeweilige Agentur. Wenden Sie sich in diesem Fall bitte direkt an die Agentur. Für die Verarbeitung im Auftrag unserer Kunden gilt zusätzlich unser Auftragsverarbeitungsvertrag (AVV).
Wir verarbeiten E-Mail und Passwort (als Hash) der Agentur und ihrer Mitarbeiter, die Profil-PIN (als Hash) für den Multi-Profile-Login, Sitzungs-Token (als Hash) und Tokens für Passwort-Reset (als Hash, 1 Stunde gültig). Zweck: Anmeldung, Profilwechsel, Passwort-Reset. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattform-Nutzungs vertrag).
Name, E-Mail, Telefon, ggf. Geburtsdatum, Postanschrift, Steuer-Identifikationsnummer (siehe Abschnitt 9.3) und eine Portal-PIN (als Hash). Zweck: Nutzung des Empfehler-Portals, Pflege der Empfehler-Daten, Tippgeber-Vertrag. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Tippgeber-Vertrag), hilfsweise lit. f (geordnete Empfehlungsbeziehung).
Name, E-Mail, Telefon, Wunsch-Termin, ggf. Nachricht, Status der Bearbeitung. Zweck: Kontaktaufnahme und Terminvereinbarung durch die Agentur. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beratungsvertrags). Bei Eingabe der Daten durch den Empfehler ist dieser für die Rechtmäßigkeit der Weitergabe verantwortlich (siehe Abschnitt 9.1).
Name, E-Mail, Telefon des Kunden, Versicherer und Vertragsdetails (vollständiger Formular-Inhalt als JSON), Status der Kündigung sowie die elektronische Einfache-Signatur (EES) inklusive IP-Adresse, Browser-Kennung (User-Agent), Zeitpunkt und Signaturmethode. Zweck: Erstellung und Signatur der Vollmacht; IP/UA dienen ausschließlich der Beweissicherung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vollmachts-/ Vermittlungsvertrag), für IP/UA Art. 6 Abs. 1 lit. f DSGVO (Beweissicherung).
Termin- und Verfügbarkeitsdaten, Booking-Links, vom Kunden im Buchungsformular eingegebene Kontaktdaten; im Pipeline-Tool Kontakt- und Firmendaten (Name, Ansprechpartner, E-Mail, Telefon, Firma, Website, Branche, Anschrift, Notizen, Quelle). Zweck: Terminvereinbarung, Lead-Verwaltung, B2B-Akquise. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung / Erfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (B2B-Akquise mit geschäftlichen Kontaktdaten).
Name, Postanschrift und Steuer-Identifikationsnummer des Empfehlers sowie ausgezahlte Prämienbeträge. Zweck: steuerliche Aufzeichnungspflichten der Agentur (§ 22 Nr. 3 EStG, §§ 140 ff. AO, § 147 AO). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. Bankverbindungen / IBAN werden in der Plattform nicht gespeichert; die Auszahlung erfolgt off-system durch die Agentur.
Bei sicherheitsrelevanten Aktionen (z.B. Anlage oder Reset eines Profils, Suspendierung) speichern wir Zeitstempel, ausführenden Nutzer, betroffenen Datensatz, zusätzlichen Kontext, IP-Adresse und User-Agent. Zweck: Schutz der Plattform, Nachvollziehbarkeit, Erfüllung Art. 32 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO + Art. 32 DSGVO.
E-Mail-Adresse und Inhalt der jeweiligen System-Mail (Login-Mail, Passwort-Reset, Empfehler-Benachrichtigung, Signatur-Anfrage, Booking-Bestätigung). Zweck: betriebsnotwendige Kommunikation. Marketing-Mailings versenden wir über das System nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder f DSGVO.
Wir setzen für den Betrieb unserer Plattform sorgfältig ausgewählte Dienstleister ein (insbesondere für Hosting, Datenbank, E-Mail-Versand, KI-gestützte Recherche und Zahlungsabwicklung). Eine vollständige und tagesaktuelle Liste aller Subprozessoren finden Sie in Anlage B unseres Auftragsverarbeitungsvertrags unter sw-ds.de/avv.
Beide Dienste werden ausschließlich geladen, wenn Sie im Cookie- Hinweis „Alle akzeptieren" gewählt haben. Bei Wahl von „Nur essenzielle" oder ohne Wahl findet keine Erhebung statt. Den Widerruf können Sie jederzeit über den Cookie-Hinweis erklären. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG.
Uptime Robot ruft in regelmäßigen Abständen einen technischen
Health-Check unserer Plattform auf
(/api/health und einige öffentliche Seiten) und
meldet uns, wenn die Anwendung nicht erreichbar ist. Der
Health-Endpoint liefert ausschließlich einen technischen
Status (App lebt? Datenbank erreichbar?) — keine
personenbezogenen Daten. Verarbeitet werden lediglich
die HTTP-Antworten unseres Servers sowie die Quell-IPs der
Uptime-Robot-Pinger in unseren Server-Logs (legitimes Interesse
an Stabilität nach Art. 6 Abs. 1 lit. f DSGVO). Sitz: USA;
Drittland-Garantien siehe Abschnitt 5.
Über die genannten Auftragsverarbeiter hinaus geben wir Daten nur weiter, wenn Sie eingewilligt haben, es zur Vertragsdurchführung erforderlich ist (z.B. Übermittlung einer Vollmacht an einen Versicherer durch die Agentur), wir gesetzlich verpflichtet sind oder die Weitergabe zur Geltendmachung oder Abwehr von Rechts ansprüchen erforderlich ist.
Einige der in Abschnitt 4 genannten Dienstleister haben ihren Sitz in den USA oder können Daten dort verarbeiten. Wir beschreiben hier transparent, welche Garantien greifen und welche Risiken bestehen.
Superchat (Deutschland) ist nicht betroffen. Google Fonts laden wir lokal — auch hier findet keine Übermittlung statt.
Für die Übermittlung in die USA stützen wir uns auf:
Der EuGH hat im Urteil „Schrems II" (C-311/18) festgestellt, dass US-Sicherheitsbehörden weiterhin auf in den USA verarbeitete Daten zugreifen können. Das EU-US-DPF adressiert diesen Punkt mit Ombudsstelle und Beschwerdemechanismus, beseitigt das Restrisiko aber nach Auffassung von Datenschutzbehörden nicht vollständig. Wenn Sie eine Verarbeitung Ihrer Daten in den USA vermeiden möchten, ist eine Nutzung der Plattform in der derzeitigen Form nicht vollständig möglich, da Hosting und KI-Funktionen auf US-Anbieter angewiesen sind.
Auf Anfrage stellen wir Ihnen Informationen zu den geschlossenen Garantien (DPF-Zertifikate, SCCs) zur Verfügung — schreiben Sie uns dazu an info@sw-ds.de.
Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungs pflichten verlangen. Eine vollständig automatisierte Löschung über alle Kategorien hinweg ist derzeit nicht plattformseitig abgebildet — soweit unten keine konkrete Frist genannt ist, erfolgt die Löschung auf Anforderung der betroffenen Person bzw. der jeweiligen Agentur, spätestens beim Ende des Plattform- Vertrags und nur, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
| Datenkategorie | Speicherdauer |
|---|---|
Cookie sw_session (Agentur-Login) | 30 Tage |
Cookie sw_profile (aktives Profil) | 8 Stunden |
Cookie sw_csrf (CSRF-Schutz) | 30 Tage |
Cookie sw_portal (Empfehler-Portal) | 30 Tage |
Cookie sw_owner_scope (Anzeige-Toggle) | 30 Tage |
| Sitzungs-Datensatz in der Datenbank | 30 Tage; nach Ablauf wird die Sitzung beim nächsten Zugriff verworfen |
abschluss oder lost).Daten, die für die steuerliche Zuordnung der Tippgeber-Prämie erforderlich sind — insbesondere Name, Anschrift und Steuer- Identifikationsnummer des Empfehlers sowie ausgezahlte Prämien beträge — werden mindestens 10 Jahre aufbewahrt (§ 147 Abs. 3 AO). Die Frist beginnt mit Ende des Kalenderjahrs, in dem der letzte Eintrag erfolgte.
Versendete System-E-Mails werden bei unserem Mail-Dienstleister Resend für die Dauer der dort konfigurierten Standard- Aufbewahrung gespeichert. Auf Anfrage geben wir Ihnen den aktuellen Wert bekannt.
Sie können jederzeit verlangen, dass wir Ihre Daten löschen (Art. 17 DSGVO). Soweit gesetzliche Aufbewahrungspflichten — insbesondere § 147 AO — entgegenstehen, schränken wir die Verarbeitung ein, anstatt zu löschen (Art. 18 DSGVO).
Wir setzen Cookies nur in dem Umfang ein, den der Betrieb der Plattform technisch erfordert. Tracking- oder Werbe-Cookies werden nicht verwendet.
Alle nachfolgenden Cookies sind technisch erforderlich im Sinne von § 25 Abs. 2 Nr. 2 TTDSG. Eine Einwilligung ist hierfür nicht nötig; ein Hinweis genügt.
| Name | Zweck | Lebensdauer | Eigenschaften |
|---|---|---|---|
sw_session |
Login der Agentur (Sitzungs-Token, gegen die Sitzungs-Tabelle geprüft) | 30 Tage | HttpOnly · SameSite=Lax · Secure |
sw_profile |
Aktives Profil im Multi-Profile-Login (HMAC-signiert, kein DB-Eintrag) | 8 Stunden | HttpOnly · SameSite=Strict · Secure |
sw_csrf |
Schutz vor Cross-Site-Request-Forgery (Double-Submit-Token, kein personenbezogener Inhalt) | 30 Tage | non-HttpOnly · SameSite=Lax · Secure |
sw_portal |
Login des Empfehlers im Empfehler-Portal (HMAC-signiert) | 30 Tage | HttpOnly · SameSite=Lax · Secure |
sw_owner_scope |
Anzeige-Toggle „Meine Sicht / Agentur-Sicht" für Inhaber | 30 Tage | non-HttpOnly · SameSite=Lax · Secure |
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die Login- und Profil-Cookies, Art. 6 Abs. 1 lit. f DSGVO für CSRF-Schutz und Anzeige-Toggle, jeweils i.V.m. § 25 Abs. 2 Nr. 2 TTDSG.
Vercel Analytics und Speed Insights laden wir nur dann, wenn Sie im Cookie-Hinweis „Alle akzeptieren" gewählt haben. Vercel beschreibt die Dienste als cookielos; eine Verarbeitung personenbezogener Daten (mindestens IP-Adresse) findet dennoch statt. Sie können Ihre Einwilligung jederzeit über den Cookie-Hinweis widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG. Anbieter: Vercel Inc., USA — siehe Abschnitt 5.
Sie können Cookies grundsätzlich auch über die Einstellungen Ihres Browsers blockieren oder löschen. Wenn Sie die in 7.1 genannten technisch erforderlichen Cookies deaktivieren, können Sie sich nicht mehr an der Plattform anmelden.
Sie haben in Bezug auf Ihre personenbezogenen Daten umfassende Rechte. Sie können diese gegenüber uns für die Daten geltend machen, für die wir selbst Verantwortlicher sind. Soweit eine Agentur die Plattform nutzt und Daten ihrer Kunden, Empfehler oder Empfohlenen über uns verarbeitet, ist die Agentur Verantwortliche — wenden Sie sich dann bitte zunächst an diese Agentur. Auf Anfrage unterstützen wir gerne dabei, die zuständige Stelle zu erreichen.
Schreiben Sie uns formlos an info@sw-ds.de oder per Post an die in Abschnitt 1 genannte Adresse. Bitte geben Sie an, welches Recht Sie geltend machen möchten und um welche Daten es geht. Zur Identifikation können wir Sie um zusätzliche Angaben bitten, wenn begründete Zweifel an Ihrer Identität bestehen (Art. 12 Abs. 6 DSGVO). Wir antworten in der Regel innerhalb eines Monats; in komplexen Fällen kann sich die Frist um zwei weitere Monate verlängern (Art. 12 Abs. 3 DSGVO). Die Ausübung Ihrer Rechte ist für Sie kostenfrei (Art. 12 Abs. 5 DSGVO).
Im Empfehler-Portal können Empfehler Daten einer dritten Person (des Empfohlenen) eingeben — etwa Name, E-Mail-Adresse und Telefonnummer.
Wichtig für Empfehler: Wenn Sie Daten einer anderen Person an die Agentur weitergeben, sind Sie selbst für die Rechtmäßigkeit dieser Weitergabe verantwortlich. Sie müssen vorab sicherstellen, dass die empfohlene Person eingewilligt hat oder dass eine andere wirksame Rechtsgrundlage vorliegt.
Die empfohlene Person kann jederzeit Auskunft, Berichtigung, Löschung oder Einschränkung verlangen — Adressat ist in erster Linie die Agentur, an die die Empfehlung gegangen ist; auf Wunsch leiten wir die Anfrage weiter.
Im Kündigungstool wird eine elektronische Einfache-Signatur (EES) für die Vollmacht zur Kündigung gegenüber einem Versicherer eingeholt. Damit die Signatur als Beweis verwertbar ist, speichern wir zum Zeitpunkt der Unterschrift zusätzlich:
Diese Daten dienen ausschließlich der Beweissicherung. Wir verwenden sie nicht für andere Zwecke. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Die unterzeichnete Vollmacht wird von der Agentur an den jeweiligen Versicherer übermittelt — diese Übermittlung erfolgt durch die Agentur, nicht automatisch durch uns.
Wenn Sie als Tippgeber (Empfehler) eine Prämie erhalten, benötigt die Agentur Ihre Steuer-Identifikationsnummer (11 Ziffern), Ihren Namen und Ihre Postanschrift. Grund: Die ausgezahlte Prämie ist beim Empfehler nach § 22 Nr. 3 EStG als sonstige Einkünfte zu erklären, und die Agentur muss ihre Betriebsausgaben finanzamttauglich belegen. Diese Daten unterliegen der gesetzlichen Aufbewahrungspflicht nach § 147 AO (10 Jahre).
Keine IBAN, keine Bankverbindung. Die Auszahlung der Prämie erfolgt außerhalb der Plattform direkt durch die Agentur. Bankdaten werden in der Plattform niemals gespeichert.
Rechtsgrundlage für die steuerlich erforderlichen Felder: Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 22 Nr. 3 EStG, §§ 140 ff. AO und § 147 AO.
In einzelnen Funktionen der Plattform setzen wir KI-Sprachmodelle des Anbieters Anthropic, PBC, USA ein (Claude-Modelle). Anthropic verarbeitet die übermittelten Texte, um die jeweilige Anfrage zu beantworten. Anthropic gibt an, über die kommerzielle API übermittelte Inhalte nicht für das Training seiner Modelle zu verwenden. Eine Aufbewahrung zu Zwecken der Missbrauchserkennung kann standardmäßig erfolgen.
Ort der Verarbeitung: USA — siehe Abschnitt 5. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effizientere Bedienunterstützung) bzw. Art. 6 Abs. 1 lit. a DSGVO, soweit eine Funktion ausdrücklich mit Ihrer Einwilligung aktiviert wird.
Wir treffen mit den KI-Funktionen keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO. Das KI-Ergebnis ist immer ein Vorschlag, den ein Mensch (Sie oder Ihre Agentur) prüft, ändert oder verwirft.
Wenn Ihre Agentur die Superchat-Integration im Account aktiviert, übermitteln wir Daten zwischen Plattform und Superchat (Berlin) — typischerweise Name und Kontaktdaten, um Chat-Nachrichten dem richtigen Kontakt zuzuordnen. Ist die Integration in Ihrer Agentur nicht aktiviert, findet keine Verbindung zu Superchat statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.
Sie haben nach Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung Ihrer personenbezogenen Daten zu beschweren — an Ihrem üblichen Aufenthaltsort, an Ihrem Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes.
Da unser Sitz in Haan (Nordrhein-Westfalen) liegt, ist für uns zuständig:
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de
Bevor Sie sich an die Aufsichtsbehörde wenden, freuen wir uns, wenn Sie uns die Gelegenheit geben, Ihr Anliegen direkt zu klären. Schreiben Sie uns dazu an info@sw-ds.de. Ihr Recht auf Beschwerde bleibt davon unberührt.
Diese Datenschutzerklärung ist die jeweils aktuell gültige Fassung; Sie finden sie unter https://sw-ds.de/datenschutz.
Wir passen diese Erklärung an, wenn sich die zugrundeliegende Verarbeitung ändert oder neue rechtliche Anforderungen dies erforderlich machen — insbesondere bei neuen Funktionen, beim Wechsel oder Hinzufügen von Auftragsverarbeitern, bei Änderungen an den Cookies oder bei Änderungen der Rechtslage. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir Sie zusätzlich aktiv (z.B. per E-Mail an die im Account hinterlegte Adresse oder per Hinweis nach dem Login).
Stand: 3. Mai 2026