← Zurück

Datenschutzerklärung

Stand: Juli 2026

1. Verantwortlicher

Timur Abbasov
Georgswall 5
30159 Hannover
E-Mail: ta@divesta.de

2. Zwei Rollen — bitte genau lesen

Agenturbestand ist Software, die Versicherungsagenturen zur Bestandsbetreuung ihrer eigenen Kunden nutzen. Dabei nehmen wir zwei unterschiedliche datenschutzrechtliche Rollen ein:

Als Verantwortlicher handeln wir für die Zugangsdaten der Personen, die sich bei Agenturbestand einloggen (Name, E-Mail-Adresse, Rolle innerhalb der Agentur).

Als Auftragsverarbeiter (Art. 28 DSGVO) handeln wir für alle Daten, die eine Agentur über ihre eigenen Kunden in die Software einträgt oder importiert (Kundendaten, Vertragsnotizen, Nachrichtenverlauf). Verantwortlich im Sinne der DSGVO gegenüber diesen Kunden ist die jeweilige Versicherungsagentur, nicht wir — geregelt über einen Auftragsverarbeitungsvertrag (AVV) mit jeder Agentur. Wer als Endkunde einer Agentur Fragen zu seinen eigenen Daten hat, wendet sich bitte direkt an die betreffende Agentur.

3. Welche Daten wir verarbeiten

  • Account-Daten: Name, E-Mail-Adresse, Rolle, Agenturzugehörigkeit
  • Von der Agentur eingetragene Kundendaten: Name, Kontaktdaten, Vertragsangaben, Nachrichtenverlauf, interne Notizen
  • Eingehende Kundennachrichten (aktuell: E-Mail; WhatsApp über Superchat ist vorgesehen, aber noch nicht aktiv geschaltet)
  • Technische Server-Logs beim Aufruf der Anwendung

4. Rechtsgrundlagen

Account-Daten: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags mit der Agentur). Kundendaten der Agentur: Rechtsgrundlage und Zweck bestimmt die jeweilige Agentur im Verhältnis zu ihren eigenen Kunden; wir verarbeiten ausschließlich weisungsgebunden nach Art. 28 DSGVO.

5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Je nach Versicherungssparte (z. B. Berufsunfähigkeits- oder Krankenzusatzversicherung) können in Kundennachrichten oder Notizen Gesundheitsangaben enthalten sein. Die Verantwortung, für deren Verarbeitung eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherzustellen, liegt bei der jeweiligen Agentur. Die KI-Klassifikation (siehe Punkt 7) maskiert vor der Verarbeitung E-Mail-Adressen, IBANs, Telefonnummern und Vertragsnummern über Mustererkennung — Namen und frei formulierte Gesundheitsangaben im Fließtext werden dadurch nicht automatisch entfernt.

6. Hosting

Datenbank und Authentifizierung laufen über Supabase, Region Frankfurt (EU). Die Anwendung selbst läuft über Vercel Inc., USA, Server-Funktionen sind auf die Region Frankfurt (EU) konfiguriert. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert, zusätzlich besteht ein Auftragsverarbeitungsvertrag mit EU-Standardvertragsklauseln.

7. Künstliche Intelligenz (Anthropic)

Eingehende Kundennachrichten werden zur Einordnung (Anliegen, Dringlichkeit, Handlungsvorschlag) an Anthropic (Claude) übermittelt. Vor der Übermittlung werden E-Mail-Adressen, IBANs, Telefonnummern und Vertragsnummern automatisiert maskiert. Diese Maskierung deckt strukturierte Muster ab, ersetzt aber keine vollständige Anonymisierung.

8. E-Mail-Versand (Resend)

Der Versand von E-Mails (z. B. Anmelde-Links, Kundenkommunikation) erfolgt über Resend. Es besteht ein Auftragsverarbeitungsvertrag.

9. Cookies

Wir setzen ausschließlich technisch notwendige Session-Cookies zur Aufrechterhaltung Ihrer Anmeldung (Supabase Auth). Kein Tracking, keine Analyse-Tools.

10. Ihre Rechte

Für Ihre eigenen Account-Daten stehen Ihnen die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) zu — wenden Sie sich dafür an ta@divesta.de. Für Daten, die eine Agentur über Sie als deren Kunde eingetragen hat, wenden Sie sich bitte direkt an diese Agentur (siehe Punkt 2).

11. Änderungen

Diese Erklärung wird angepasst, sobald sich die Datenverarbeitung ändert — etwa bei Aktivierung der WhatsApp-Anbindung.