Wir liefern nach ganz Europa
Kontaktieren Sie uns für ein Angebot
Diese Datenschutzerklärung unterliegt schwedischem Recht, und Verweise auf Rechtsakte beziehen sich auf die schwedische Gesetzgebung, sofern nicht anders angegeben.
1.1 Diese Datenschutzerklärung beschreibt, wie Herbox AB, Organisationsnummer
559320-7037, Sven Hultings Plats 5, 412 58 Göteborg („Herbox“, „wir“, „uns“), den Schutz personenbezogener Daten in all unseren Tätigkeiten gewährleistet.
1.2 Zweck ist es, sicherzustellen, dass jede Verarbeitung rechtmäßig, fair und transparent gemäß der DSGVO und der schwedischen Gesetzgebung erfolgt, und Vertrauen bei Kunden, Nutzern und Partnern durch Transparenz und Klarheit darüber aufzubauen, wie wir personenbezogene Daten erheben, verwenden, speichern und schützen.
1.3 Herbox arbeitet systematisch mit Datenschutz durch Risikobewertungen, interne Verfahren, technische Sicherheitsmaßnahmen und Schulungen. Wir streben stets nach Datenminimierung und bewahren personenbezogene Daten nur so lange auf, wie es für jeden spezifischen Zweck erforderlich ist.
| Begriff | Definition |
|---|---|
| Cookie |
Kleine Textdateien, die im Browser gespeichert werden, um Funktionalität, Statistik und Marketing zu ermöglichen. Geregelt gemäß der separaten Cookie-Richtlinie von Herbox. |
| Personenbezogene Daten |
Alle Informationen, die direkt oder indirekt eine natürliche Person identifizieren können, wie Name, E-Mail-Adresse, IP-Adresse oder Kundennummer. |
| Verarbeitung |
Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie Erhebung, Speicherung, Analyse, Weitergabe oder Löschung, ob manuell oder automatisiert. |
| Verantwortlicher |
Die Partei, die über die Zwecke und Mittel der Verarbeitung entscheidet. |
| Auftragsverarbeiter |
Eine externe Partei, die Daten im Auftrag von Herbox gemäß einem Auftragsverarbeitungsvertrag (AVV) verarbeitet. |
| Rechtsgrundlage |
Eine rechtliche Bedingung gemäß Artikel 6 der DSGVO (Einwilligung, Vertrag, rechtliche Verpflichtung oder berechtigtes Interesse). |
| Berechtigtes |
Interesse Wenn Herbox ein berechtigtes Geschäftsinteresse hat, wie Kundenkommunikation oder IT-Sicherheit, das das Datenschutzinteresse überwiegt. Bei Verarbeitungen, die auf berechtigtem Interesse basieren, führt Herbox eine Interessenabwägung (LIA) durch, die dokumentiert und bei Bedarf aktualisiert wird. |
| Besondere Kategorien personenbezogener Daten |
Besondere Kategorien von Daten (Gesundheit, ethnische Zugehörigkeit, politische Meinungen usw.) werden nur in Ausnahmefällen verarbeitet. Die Dienste von Herbox |
| Eingetragen |
Die Einzelperson, deren Daten verarbeitet werden (Kunde, Nutzer, Mitarbeiter, Lieferant usw.). |
| SCC / DPF |
Die Standardvertragsklauseln der EU und das EU-US Data Privacy Framework, beides Mechanismen zur Gewährleistung des Schutzes bei Datenübermittlungen in Drittländer. |
Datenschutzbeauftragter (DSB)
Herbox AB z.
Hd.: Datenschutzbeauftragter
E-mail: info@herbox.se
Adresse: Sven Hultings Plats 5, 412 58 Göteborg
Sie können uns auch wie folgt kontaktieren:
| Betreff | Kontakt | Kommentar |
|---|---|---|
| Allgemeine Anfragen |
info@herbox.se |
Wir bestätigen den Eingang innerhalb von 2 Werktagen und antworten normalerweise |
| DSGVO-Anfrage |
info@herbox.se |
Wir können eine Identifizierung verlangen (BankID oder Kopie eines Ausweises). |
| Meldung von Vorfällen |
info@herbox.se |
Rückmeldung innerhalb von 24 Stunden |
| Aufsichtsbehörde |
Schwedische Behörde für Datenschutz (IMY), Box 8114, 104 20 Stockholm |
Weitere Informationen finden Sie unter www.imy.se |
4.1 Beim Besuch unserer Website
| Wann und Warum | Personenbezogene Daten | Rechtsgrundlage | Speicherfrist |
|---|---|---|---|
| Bereitstellung der Website |
IP-Adresse, technische Protokolle |
Berechtigtes Interesse (notwendiger Betrieb) |
2 Monate |
| Statistik und Analyse |
IP (gekürzt), Ereignisse, Cookie-ID |
Einwilligung (ePrivacy) |
90 Tage |
| Werbung und Plattform-Pixel |
Gehashte E-Mail, Geräte-/Cookie-ID |
Einwilligung / Berechtigtes Interesse (Kunden) |
Bis zu 24 Monate |
4.2 Bei der Kontaktaufnahme mit bestehenden und potenziellen Kunden
| Wann und Warum | Personenbezogene Daten | Rechtsgrundlage | Speicherfrist |
|---|---|---|---|
| Kundenbeziehung und Support |
Name, E-Mail, Vertrag, Kommunikation |
Vertrag / Berechtigtes Interesse |
Bis zu 10 Jahre (Buchhaltung 7 Jahre) |
| Marketing an Kunden |
Marketing an Kunden |
Berechtigtes Interesse (Opt-out) |
Bis zum Opt-out oder 36 Monate Inaktivität |
| Interessenten-Marketing |
Kontaktdaten, Berufsbezeichnung, Interaktionen |
Kontaktdaten, Berufsbezeichnung, Interaktionen |
36 Monate |
4.3 Automatisierung und KI-Unterstützung
| Wann und Warum | Personenbezogene Daten | Rechtsgrundlage | Speicherfrist |
|---|---|---|---|
| Automatisierung von Workflows |
Minimierte Felder je nach Zapier |
Berechtigtes Interesse |
Kurzfristige Speicherung in Zapier |
| KI-Entwürfe für E-Mails (OpenAI) |
Begrenzte E-Mail-Auszüge |
Berechtigtes Interesse |
Nur Verarbeitung, keine dauerhafte lokale Speicherung |
4.4 Im Zusammenhang mit Rekrutierung, Beschäftigung und Personalverwaltung
| Wann und warum? | Personenbezogene Daten | Rechtsgrundlage | Speicherfrist |
|---|---|---|---|
| Erhalt und Bewertung von Bewerbungen |
Lebenslauf, Kontaktdaten, Notizen |
Berechtigtes Interesse (Rekrutierung) + Einwilligung zur längeren Aufbewahrung |
24 Monate (länger mit Einwilligung) |
| Referenzprüfungen und Hintergrundüberprüfungen |
Kontaktdaten von Referenzen, Notizen aus Referenzgesprächen, Überprüfung von Ausbildung |
Einwilligung (vom Kandidaten vor Kontakt) + berechtigtes Interesse an der Sicherstellung einer korrekten Rekrutierung |
24 Monate nach Abschluss des Rekrutierungsprozesses (oder länger mit ausdrücklicher |
| Während der Anstellung und Personalverwaltung |
Kontaktdaten, Gehalt, Abwesenheit, Kompetenzdaten und Informationen über nächste |
Die Verarbeitung erfolgt zur Erfüllung Arbeitsvertrags, rechtlicher Verpflichtungen (z. B. Steuer- und Arbeitsrecht) und des berechtigten Interesses von Herbox an der Verwaltung von HR-Prozessen. |
Während der Anstellung und danach für 2–10 Jahre, abhängig von der Art der Daten (z. B. Lohn- |
4.5 Bei der Erfüllung rechtlicher Verpflichtungen und zum Schutz rechtlicher Interessen
| Rechtliche Verpflichtung | Beispiele für betroffene Daten | Anwendbares Recht / Verordnung | Speicherfrist |
|---|---|---|---|
| Buchhaltung und Buchführung |
Kunden- und Lieferantenrechnungen, Zahlungsdaten, Belege |
Buchführungsgesetz (1999:1078) |
7 Jahre nach Ende des Geschäftsjahres |
| Verjährung von Ansprüchen / Streitigkeiten |
Vertragsunterlagen, Korrespondenz, Zahlungshistorie |
Verjährungsgesetz (1981:130) |
Bis zu 10 Jahre |
| Steuer- und Abgabenmeldungen |
Lohnabrechnung, Rechnungen, Zahlungen |
Steuerverfahrensgesetz (2011:1244) |
7 Jahre |
| Rechtliche Ansprüche und regulatorische Angelegenheiten |
Korrespondenz, Untersuchungsmaterialien |
DSGVO Artikel 17.3(e) (Verteidigung von Rechtsansprüchen) |
Bis die Angelegenheit abgeschlossen ist |
| Beschäftigungsdokumentation |
Arbeitsverträge, Lohn- und Rentenunterlagen |
Schwedisches Arbeitsrecht |
2–10 Jahre je nach Art des Dokuments |
Herbox führt außerdem ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO, das vom DSB aktualisiert wird.
| Auftragsverarbeiter / Empfänger | Kategorie | Verarbeitete personenbezogene Daten | Rolle | Spezifische Sicherheitsmaßnahmen |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM und Marketing |
Name, E-Mail, Kommunikationshistorie, Präferenzen |
Auftragsverarbeiter |
Verschlüsselung, Zugriffsbeschränkung, AVV |
| Google Workspace |
E-Mail und Produktivität |
Name, E-Mail, Dokumente, Dateien, Metadaten |
Auftragsverarbeiter |
DPF-Zertifizierung, MFA, Datenminimierung |
| Zapier |
Automatisierung |
Begrenzte Datenfelder für Systemintegration |
Auftragsverarbeiter |
Verschlüsselung bei der Übertragung, SCC |
| OpenAI |
KI-Analyse und automatisierte Unterstützung |
Kurze Textauszüge (minimiert) |
Auftragsverarbeiter |
DPF-Zertifizierung, Einschränkung gegen Modelltraining |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity etc. |
Werbung und Analytik |
Gehashte E-Mail, Cookie-ID, IP-Adresse, Gerätedaten |
Unabhängige Verantwortliche |
Einwilligungsmanagement über GTM, DPF/SCC |
| TeamTailor |
Rekrytering (Rekrutierung) |
Namn, kontaktuppgifter, CV, intervjunoteringar |
Auftragsverarbeiter |
AVV, Datenminimierung, automatische Löschung |
| Wirtschaftsprüfer, Revisor, Versand- und Dienstleistungspartner |
Finanzen und Lieferung |
Name, Adresse, Zahlungsdetails, Rechnungsunterlagen |
Auftragsverarbeiter / unabhängige Verantwortliche |
Verschwiegenheitsvereinbarungen, verschlüsselte Kommunikation, gesetzliche |
| Bereich | Art der Daten / Verarbeitung | Technische und organisatorische Schutzmaßnahmen | Speicherfrist / Löschplan |
|---|---|---|---|
| Technische Sicherheit |
Systemdaten, Zugriffsprotokolle, Backups |
Verschlüsselung bei der Übertragung und im Ruhezustand, rollenbasierte Zugriffskontrolle, Multi-Faktor-Authentifizierung (MFA), Protokollierung und regelmäßige Zugriffsüberprüfungen |
Protokolle 12 Monate, Backups gemäß IT-Richtlinie (max. 12 Monate) |
| Organisatorische Sicherheit |
Alle personenbezogenen Daten |
Verschwiegenheitsvereinbarungen, laufende Schulungen, Prozess zur Reaktion auf Vorfälle, jährliche Überprüfung der Verfahren |
Kontinuierlich während der Anstellung / des Auftrags |
| Vorfallsmanagement |
Daten, die in Vorfallberichten enthalten sind |
Vom DSB überwachter Prozess, interne Protokollierung, Meldung an IMY innerhalb von 72 Stunden, wenn die Rechte von Personen gefährdet sind, und Information der betroffenen Personen gemäß Artikel 33–34 DSGVO |
Dokumentation wird 5 Jahre nach Abschluss des Falls aufbewahrt |
| CRM und Kundendaten |
Korrespondenz, Untersuchungsmaterialien |
DSGVO Artikel 17.3(e) (Verteidigung von Rechtsansprüchen) |
Bis die Angelegenheit abgeschlossen ist |
| Beschäftigungsdokumentation |
Arbeitsverträge, Lohn- und Rentenunterlagen |
Arbeitsrecht |
2–10 Jahre je nach Art des Dokuments |
Herbox verarbeitet personenbezogene Daten primär innerhalb der EU/EWR. Einige Lieferanten nutzen jedoch Infrastruktur oder erbringen Supportleistungen in den Vereinigten Staaten. Alle Übermittlungen erfolgen gemäß Kapitel V der DSGVO und nach einer Transfer-Folgenabschätzung (TIA).
| Kategorie / Lieferant | Art der verarbeiteten personenbezogenen | Daten Standort (Primär) | Übermittlungsmechanismus |
|---|---|---|---|
| Google Workspace |
Name, E-Mail, Dokumente, Metadaten |
USA (DPF-zertifiziert) |
EU-US Data Privacy Framework (DPF) |
| Microsoft Clarity / Microsoft Ads |
IP-Adresse (gekürzt), Cookie-ID, Analysedaten |
USA (DPF-zertifiziert) |
EU-US Data Privacy Framework (DPF) |
| OpenAI (API/Team) |
Kurze Textauszüge (minimiert) |
USA (DPF-zertifiziert) |
EU-US Data Privacy Framework (DPF) |
| Zapier Inc. |
Begrenzte Datenfelder für Systemintegration |
USA (nicht DPF-zertifiziert) |
Standardvertragsklauseln (SCC) + ergänzende Maßnahmen |
| Mailchimp (Intuit Inc.) |
Name, E-Mail-Adresse, Interaktionsdaten |
USA (DPF-zertifiziert) |
EU-US Data Privacy Framework (DPF) |
| Recht | Artikel | Bedeutung | Wie Sie Ihr Recht ausüben |
|---|---|---|---|
| Auskunft |
Art. 15 |
Erhalt einer Kopie Ihrer personenbezogenen Daten und Informationen über die Verarbeitung. |
Anfrage über info@herbox.se. |
| Berichtigung |
Art. 16 |
Korrektur unrichtiger oder unvollständiger Daten. |
Kontaktieren Sie uns per E-Mail oder Telefon. |
| Löschung („Recht auf Vergessenwerden“) |
Art. 17 |
Löschung von Daten, wenn sie nicht mehr benötigt werden oder die Einwilligung widerrufen wird. |
E-Mail an info@herbox.se. |
| Einschränkung |
Art. 18 |
Vorübergehende Einstellung der Verarbeitung im Falle eines Streits über Richtigkeit oder |
E-Mail als „Einschränkung“ kennzeichnen. |
| Datenübertragbarkeit |
Art. 20 |
Erhalt Ihrer Daten in einem strukturierten Format oder Übermittlung an eine andere Partei. |
Export anfordern (CSV/JSON). |
| Widerspruch |
Art. 21 |
Widerspruch gegen die Verarbeitung aufgrund berechtigten Interesses oder |
Opt-out-Links nutzen oder uns kontaktieren. |
| Widerruf der Einwilligung |
Art. 7.3 |
Widerruf der Einwilligung, ohne die vor dem Widerruf erfolgte Verarbeitung zu beeinträchtigen. |
Über Cookie-Banner oder E-Mail. |
| Automatisierte Entscheidungen |
Art. 22 |
Anforderung einer manuellen Überprüfung von Entscheidungen mit rechtlichen Auswirkungen. |
E-Mail an info@herbox.se. |
9.1 Herbox überprüft diese Datenschutzerklärung mindestens einmal jährlich oder bei Bedarf, zum Beispiel wenn:
a) Neue oder geänderte Gesetzgebungen in Kraft treten,
b) sich das Geschäft in einer Weise ändert, die die Verarbeitung personenbezogener Daten beeinflusst,
c) neue Systeme, Lieferanten oder Verarbeitungsaktivitäten eingeführt werden, oder
d) die schwedische Behörde für Datenschutz (IMY) oder EU-Behörden neue Leitlinien oder Entscheidungen erlassen.
9.2 Die Überprüfung wird vom Datenschutzbeauftragten (DSB) von Herbox in Absprache mit der Geschäftsleitung und den relevanten Systemverantwortlichen durchgeführt. Der DSB ist dafür verantwortlich, den Bedarf an Aktualisierungen zu identifizieren, Änderungen zu dokumentieren und sicherzustellen, dass neue Versionen dem geltenden Recht und der internen Informationssicherheitsrichtlinie von Herbox entsprechen.
9.3 Bei wesentlichen Änderungen informieren wir:
a) Intern alle Mitarbeiter per E-Mail und/oder Intranet, und
b) Extern Kunden, Partner und Betroffene über unsere Website (herbox.se) und gegebenenfalls durch direkte Kommunikation.
9.4 Jede neue Version erhält ein Revisionsdatum und eine Versionsbezeichnung, und die vorherige Version wird gemäß den Dokumentenmanagementverfahren von Herbox archiviert.
9.5 Die jeweils gültige Version ist stets auf www.herbox.se.
Zuletzt aktualisiert: 28. Oktober 2025
