Die Datenschutzrichtlinie von Thrive

Zuletzt aktualisiert am 2. Juli 2025

Willkommen

Willkommen bei Thrive Global Holdings, Inc. ("Thrive Global", "Thrive", "wir", "uns" oder "unser"). Thrive bietet wissenschaftlich belegte Lösungen zur Änderung von Verhaltensweisen, um das geistige, emotionale und körperliche Wohlbefinden zu verbessern. Unsere Website ("Website"), mobile Anwendung ("App") und Integrationen mit Plattformen von Drittanbietern wie Slack oder Microsoft Teams ermöglichen es Nutzern ("Sie", "Ihr" oder "Nutzer"), auf personalisierte Tools, Ressourcen und Inhalte zuzugreifen, darunter Mikroschritte, Beurteilungen, Bildungserfahrungen und unterstützende Funktionen, die dabei helfen, nachhaltige Gewohnheiten zu entwickeln und das allgemeine Wohlbefinden zu verbessern. Die von uns über die Website, die App und damit verbundene digitale Erlebnisse bereitgestellten Dienste werden zusammenfassend als "Dienst(e)" bezeichnet.

Um diese Dienste bereitzustellen und zu verbessern, erfassen und verarbeiten wir gegebenenfalls verschiedene Arten von Informationen, darunter personenbezogene Daten (PII), Interaktionsdaten (z. B. wie Sie mit Inhalten und Funktionen interagieren), Verhaltensdaten, gesundheitsbezogene Informationen und andere Kategorien sensibler Daten, die durch die jeweils geltenden Gesetze definiert werden. Wir tun dies in Übereinstimmung mit den entsprechenden Rechtsgrundlagen und holen, soweit erforderlich, Ihre Zustimmung ein.

Thrive verpflichtet sich, Ihre Privatsphäre zu schützen und Ihre Daten verantwortungsbewusst zu behandeln. Wir halten uns standardmäßig bewusst an die Grundsätze des Datenschutzes und der Sicherheit und setzen angemessene technische und organisatorische Sicherheitsmaßnahmen ein. Unsere Datenpraktiken sind so konzipiert, dass sie den geltenden Datenschutzbestimmungen einschließlich HIPAA, DSGVO, CCPA/CPRA und anderen regionalen Bestimmungen, die je nach Ihrem Standort und der Art Ihrer Interaktion mit unseren Diensten gelten können, entsprechen.

Schnellzugriff: Machen Sie auf der Seite https://preferences.thriveglobal.com/privacy von Ihren Datenschutzrechten Gebrauch oder kontaktieren Sie uns über die Kontaktinformationen.

Zweck dieser Datenschutzbestimmungen

In diesen Datenschutzbestimmungen wird erläutert, welche personenbezogenen Daten wir über die Dienste erfassen, wie wir diese Daten verwenden und weitergeben und welche Wahlmöglichkeiten Sie hinsichtlich unserer Datenpraktiken haben. Diese Datenschutzbestimmungen sind Teil unserer Allgemeinen Geschäftsbedingungen, die unter https://www.thriveglobal.com/terms abrufbar sind.

Nutzer in verschiedenen Regionen unterliegen gegebenenfalls unterschiedlichen Datenschutzstandards und den Datenschutzvereinbarungen (DPA) ihres Arbeitgebers mit Thrive Global. Dieses Dokument enthält spezifische Abschnitte für Verbraucher im Europäischen Wirtschaftsraum (EWR), in Großbritannien (UK), in der Schweiz und in Kalifornien, die deren Datenschutzrechte berücksichtigen.

Änderung der Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzbestimmungen im Zuge der Weiterentwicklung der Dienste zu aktualisieren. Wichtige Änderungen werden 30 Tage vor ihrem Inkrafttreten per E-Mail mitgeteilt. Geringfügige Änderungen werden unter Angabe des Datums unter "zuletzt aktualisiert" veröffentlicht. Mit der weiteren Nutzung der Dienste erklären Sie sich mit den Änderungen einverstanden.

Rechtliche Rahmenbedingungen

Wir gewährleisten die Einhaltung aller anwendbaren Datenschutzgesetze, darunter die Datenschutz-Grundverordnung (DSGVO), der California Consumer Privacy Act/California Privacy Rights Act (CCPA/CPRA), die Datenschutzgesetze der US-Bundesstaaten sowie sonstige einschlägige Rechtsvorschriften. Unser Compliance-Programm umfasst regelmäßige Rechtsprüfungen, Kontrollbewertungen und Aktualisierungen der Datenschutzpraktiken entsprechend den sich ändernden gesetzlichen Bestimmungen. Wir arbeiten mit Rechtsberatern zusammen, um sicherzustellen, dass unsere Praktiken den aktuellen gesetzlichen Bestimmungen entsprechen.

Datenschutz-Governance

Im Rahmen unseres Datenschutzprogramms sind Datenschutzbeauftragte für die Einhaltung der Datenschutzbestimmungen, Schulungen und die Reaktion auf Vorfälle zuständig. Wir führen regelmäßig Datenschutzschulungen für unsere Mitarbeitenden durch und unterhalten Maßnahmen zur Rechenschaftspflicht, um die kontinuierliche Einhaltung der Datenschutzverpflichtungen und den Schutz Ihrer personenbezogenen Daten sicherzustellen.

Grundsätze des Datenschutzes

Wir erheben, verwenden und verarbeiten personenbezogene Daten ausschließlich zu legitimen Zwecken, die mit unseren Geschäftstätigkeiten und unseren gesetzlichen Verpflichtungen im Einklang stehen. Wir geben die Zwecke der Verarbeitung bei oder vor der Datenerhebung an, erfassen nur erforderliche Daten und folgen dem Grundsatz der Datenminimierung. Wir unterziehen unsere Datenpraktiken regelmäßigen Prüfungen, um unnötige Verarbeitungsvorgänge zu vermeiden und technische sowie organisatorische Maßnahmen zum Schutz Ihrer Privatsphäre umzusetzen.

Auskunftsrecht

Wir verpflichten uns, sicherzustellen, dass Einzelpersonen in angemessener Weise auf ihre personenbezogenen Daten zugreifen können. Auf Anfrage gewähren wir Ihnen zeitnah Zugang zu Ihren personenbezogenen Daten, vorbehaltlich einer Identitätsprüfung und der geltenden gesetzlichen Bestimmungen. Wir können den Zugriff unter bestimmten Umständen verweigern, beispielsweise wenn dies gesetzlich vorgeschrieben ist oder wenn der Zugriff die Privatsphäre anderer Personen beeinträchtigen würde.

Datenschutz-Folgenabschätzungen

Wir führen Datenschutz-Folgenabschätzungen (DSFA) durch, um Risiken für personenbezogene Daten zu identifizieren und zu minimieren. Diese Bewertungen dienen der Überprüfung unserer Datenverarbeitungsaktivitäten, einschließlich neuer Projekte, Systeme oder Technologien, um die Einhaltung der Datenschutzgesetze und Sicherheitsanforderungen sicherzustellen. Wo Risiken identifiziert werden, implementieren wir angemessene Sicherheitsvorkehrungen zum Schutz Ihrer Daten und Ihrer Privatsphäre.

Beschränkung der Datenerhebung

Wir beschränken die Erhebung personenbezogener Daten auf das für die angegebenen Zwecke erforderliche Maß. Wir erheben nur Daten, die relevant und angemessen sind und in direktem Zusammenhang mit den in dieser Richtlinie dargelegten legitimen Zwecken stehen. Die Erhebung erfolgt auf rechtmäßige und transparente Weise, wobei eine entsprechende Benachrichtigung und Einholung einer Einwilligung erfolgt, sofern dies nach geltendem Recht vorgeschrieben ist.

Rechtsgrundlage für die Verarbeitung

Wir verarbeiten personenbezogene Daten auf der Grundlage der folgenden Rechtsgrundlagen, die gemäß den Datenschutzgesetzen gelten:

  • Einwilligung: Wenn Sie eine freiwillige, informierte, konkrete und unmissverständliche Einwilligung für Verarbeitungsvorgänge – etwa Marketing­kommunikation oder optionale Datenerhebungen – erteilt haben.
  • Vertragserfüllung: Verarbeitungen, die zur Erfüllung unseres Dienstleistungsvertrags mit Ihnen erforderlich sind oder um auf Ihre Anfrage vor Vertragsschluss hin vorvertragliche Maßnahmen durchzuführen.
  • Rechtliche Verpflichtung: Verarbeitung, die erforderlich ist, um geltende Gesetze, Vorschriften oder rechtliche Verfahren einzuhalten.
  • Berechtigtes Interesse: Verarbeitungen, die zur Wahrung unserer berechtigten Geschäftsinteressen erforderlich sind, etwa zur Gewährleistung der Sicherheit, zur Betrugsprävention und zur Verbesserung unserer Dienste, sofern Ihre Datenschutzrechte nicht überwiegen.

Von uns erhobene Daten

Nutzer der App

  • Daten zum Nutzerkonto: Name, E-Mail-Adresse und andere Kontaktdaten
  • Profildaten: Profilfoto, biografische Angaben, Angaben zum Land und demografische Daten
  • Daten zur App-Nutzung: Ihre Antworten auf und Ihre Interaktion mit Befragungen zum Wohlbefinden, Webinaren und Lernaktivitäten
  • Daten zu Gesundheit und Aktivität: Daten zu Schlaf, Bewegung, Herzfrequenz und anderen Aspekten des Wohlbefindens, einschließlich körperlicher, verhaltensbezogener oder emotionaler Indikatoren, werden nur erfasst, wenn Sie diese direkt oder über ein verbundenes Wearable-Gerät bereitstellen.
  • Kommunikation: Nachrichten an uns oder innerhalb der App, einschließlich Supportanfragen und sozialen Funktionen
  • Hinweis zu minderjährigen Nutzern (13 bis 15 Jahre): Wenn die Dienste über ein vom Arbeitgeber gesponsertes oder autorisiertes Programm Angehörigen oder Familienmitgliedern im Alter von 13 bis 15 Jahren zur Verfügung gestellt werden, verarbeitet Thrive deren personenbezogene Daten nur mit der ausdrücklichen und verifizierten Zustimmung der Eltern oder Erziehungsberechtigten oder mit der Zustimmung der Sponsororganisation in Übereinstimmung mit den geltenden Datenschutzgesetzen für Kinder. Des Weiteren unterliegt jeder derartige Zugriff dem Abschnitt "Datenschutz bei Kindern" dieser Datenschutzbestimmungen.

Nutzer der Website

  • Persönliche Daten, die Sie zur Verfügung stellen: Angaben, die Sie bei der Registrierung auf der Website machen (E-Mail-Adresse/Passwort) oder elektronisch über Formulare, Kontaktanfragen, Veranstaltungsanmeldungen oder E-Mail-Abonnements übermitteln. In der Regel schließt dies Name, Kontaktdaten, Unternehmensinformationen und Telefonnummer ein.

Automatisch erhobene Daten

  • Protokolldaten: IP-Adresse, Browsertyp und -einstellungen, Datum/Uhrzeit der Anfragen und Interaktionsmuster
  • Cookies: Informationen aus Cookies und anderen Technologien (siehe Abschnitt "Cookies")
  • Informationen zum Gerät: Gerätetyp, Betriebssystem, Einstellungen, eindeutige Kennungen und Netzwerkinformationen
  • Nutzungsinformationen Aufgerufene Inhalte, genutzte Funktionen, durchgeführte Aktionen, Interaktionen zwischen Nutzern und Nutzungsdauer

Hinweis zur regulatorischen Klassifizierung

Die Plattform von Thrive ist als allgemeine Hilfe für das Wohlbefinden konzipiert, die Menschen dabei unterstützt, gesunde Gewohnheiten zu entwickeln und insgesamt ihre Lebensqualität zu verbessern. Obwohl wir gesundheitsbezogene Daten verarbeiten können, wenn Sie uns diese zur Verfügung stellen, gilt für unsere Dienste Folgendes:

  • Sie sind nicht zur Diagnose, Behandlung oder Vorbeugung von Krankheiten oder Beschwerden bestimmt und ersetzen nicht die Beratung durch eine zugelassene medizinische Fachkraft. Wenn Sie Bedenken hinsichtlich Ihrer geistigen oder körperlichen Gesundheit haben, wenden Sie sich bitte an einen qualifizierten Gesundheitsdienstleister.
  • Sie stellen nach den Vorschriften der FDA kein Medizinprodukt dar.
  • Sie vermitteln keine spezifischen medizinischen Empfehlungen, sondern allgemeine Informationen zum Wohlbefinden.
  • Sie können im Rahmen betrieblicher Gesundheitsprogramme des Arbeitgebers angeboten werden und unterliegen den Vorgaben der US-Equal Employment Opportunity Commission (EEOC).
  • Wenn unsere Dienste im Rahmen des betrieblichen Gesundheitsprogramms Ihres Arbeitgebers bereitgestellt werden, erfüllen wir sämtliche einschlägigen Vorschriften, darunter die HIPAA-Regelungen (sofern wir als Business Associate handeln), den Americans with Disabilities Act (ADA), den Genetic Information Nondiscrimination Act (GINA) sowie die Wellness-Programm-Vorgaben der US-Equal Employment Opportunity Commission (EEOC).

Wie wir Daten nutzen

Grundsätze der Nutzungsbeschränkung

Wir beschränken die Nutzung personenbezogener Daten strikt auf die zum Zeitpunkt der Erhebung festgelegten Zwecke. Die Nutzung der Daten erfolgt ausschließlich zu den ursprünglich bei der Erhebung angegebenen Zwecken und auf der Grundlage der geltenden Rechtsvorschriften. Wir verarbeiten personenbezogene Daten nicht für andere Zwecke, als die, für die sie ursprünglich erhoben wurden, ohne zuvor eine entsprechende Einwilligung einzuholen oder eine neue Rechtsgrundlage zu schaffen.

Berechtigte Geschäftsinteressen

Verbesserung der Dienstleistung:

  • Beantwortung von Anfragen und Erfüllung von Serviceanfragen
  • Personalisierung der Dienste anhand von Nutzungsmustern und Präferenzen
  • Versenden von administrativen Informationen über Dienstleistungen, Bedingungen und Änderungen der Richtlinien
  • Bereitstellung, Wartung und Verbesserung von Inhalten und Funktionen

Forschung und Datenmanagement:

  • Durchführung von Untersuchungen und Bereitstellung zusammengefasster, anonymisierter Erkenntnisse zur Nutzung
  • Speichern von Basisdaten, um eine unerwünschte erneute Verarbeitung nach einem Löschersuchen zu verhindern

Sicherheit und Rechtskonformität:

  • Verhinderung von Betrug, kriminellen Aktivitäten und missbräuchlicher Nutzung von Diensten
  • Gewährleistung der Sicherheit von IT-Systemen und Einhaltung gesetzlicher Vorschriften
  • Beantwortung rechtmäßiger Anfragen und Durchsetzung unserer Allgemeinen Geschäftsbedingungen
  • Schutz unserer Geschäftstätigkeit, Rechte und der Sicherheit unserer Nutzer

Von uns eingesetzte KI-Systeme

Wir setzen künstliche Intelligenz (KI) einschließlich ML-Technologien ein, um unsere Dienste zu verbessern. Diese lassen sich wie folgt klassifizieren:

KI-Systeme mit geringem Risiko (Transparenzpflichten gelten):

  • Systeme zur Erstellung von Inhalten: KI, die personalisierte Inhalte und Empfehlungen zum Wohlbefinden erstellt
  • Engines für Empfehlungen: ML-Algorithmen, die Mikroschritte und Funktionen vorschlagen
  • Chatbots und virtuelle Assistenten: KI-gestützte Support-Tools

KI-Systeme mit minimalem Risiko:

  • Betrugserkennung: KI zur Erkennung verdächtiger Aktivitäten und Sicherheitsbedrohungen
  • Systemoptimierung: ML zur Verbesserung der App-Performance und des Nutzererlebnisses
  • Verarbeitung von Analysedaten: KI generiert anonymisierte Erkenntnisse zur Nutzung

Einhaltung der EU-KI-Verordnung (KI-VO)

  • Transparenzmaßnahmen: Klare Offenlegung mittels geeigneter Hinweise, wenn KI in Ihre Nutzererfahrung eingebunden ist.
  • Menschliche Aufsicht: Alle unsere KI-Systeme stehen unter wirksamer menschlicher Aufsicht: Qualifiziertes Fachpersonal überwacht ihre Leistung und die Nutzer können jederzeit ein menschliches Eingreifen verlangen.
  • Genauigkeit und Robustheit: Geeignete Maßnahmen gewährleisten die Zuverlässigkeit der KI, darunter Leistungsvalidierung, Fehler- und Verzerrungsüberwachung sowie kontinuierliche Verbesserungen.
  • Risikomanagement: Verfahren zur Risikobewertung und -minderung, einschließlich Systembewertungen, Leistungsdokumentation und Reaktion auf Vorfälle.

Data Governance für KI-Training

  • Trainingsdaten: Wir verwenden anonymisierte und aggregierte Nutzerdaten unter Einhaltung der Datenschutz- und Sicherheitsbestimmungen.
  • Modelle von Drittanbietern: Wir nutzen Ihre personenbezogenen Daten nicht ohne Ihre ausdrückliche Zustimmung zum Trainieren externer KI-Modelle.
  • Datenqualität: Wir setzen Maßnahmen um, die Genauigkeit, Repräsentativität und Verringerung von Verzerrungen der Trainingsdaten gewährleisten.

Ihre Rechte und Kontrollmöglichkeiten in Bezug auf KI

  • Auskunftsrechte: Sie können Auskunft über KI-Systeme verlangen, die Sie erheblich betreffen, aussagekräftige Informationen über die zugrunde liegende automatisierte Entscheidungslogik erhalten und Einsicht in die verwendeten Trainingsdaten nehmen.
  • Kontrollrechte: Sie haben das Recht, der Personalisierung von Inhalten durch KI zu widersprechen, eine Überprüfung durch einen Mitarbeiter zu beantragen und von KI erstellte Inhalte anzufechten.

Marketing

Wir können Sie mit Empfehlungen zu Inhalten, Dienstleistungen oder Produkten kontaktieren, von denen wir glauben, dass sie für Sie von Interesse sein könnten. Soweit gesetzlich vorgeschrieben (z. B. für Nutzer in der EU), senden wir Ihnen Marketinginformationen nur mit Ihrer Einwilligung zu.

Widerspruchs­möglichkeiten: Befolgen Sie die Anweisungen zum Widerrufen der Einwilligung in den E-Mails, ändern Sie Ihre Nutzereinstellungen oder kontaktieren Sie uns.

Für die Bereitstellung des Dienstes erforderliche Mitteilungen sind von den Einstellungen zum Abbestellen von Marketingmitteilungen nicht betroffen.

Ändern Ihrer Daten

Wir gewähren auf Anfrage angemessenen Zugriff auf Ihre persönlichen Daten, vorbehaltlich nach einer Identitätsüberprüfung und gesetzlicher Anforderungen. Wir treffen angemessene Maßnahmen, um Richtigkeit und Qualität der Daten zu gewährleisten. Wenn Sie der Meinung sind, dass Daten nicht korrekt sind, kontaktieren Sie uns, um eine Korrektur zu beantragen.

Um Ihre Datenschutzrechte auszuüben: Besuchen Sie die Seite https://preferences.thriveglobal.com/privacy oder kontaktieren Sie uns über die Kontaktinformationen.

Beschwerdeabwicklung

Wir nehmen Beschwerden über unsere Datenschutzpraktiken sehr ernst. Wenn Sie Bedenken hinsichtlich unseres Umgangs mit Ihren personenbezogenen Daten haben, kontaktieren Sie uns bitte mittels der Kontaktdaten im Abschnitt Kontaktinformationen. Wir werden die Anfrage umgehend prüfen, den Eingang innerhalb von sieben Werktagen bestätigen und uns bemühen, Probleme innerhalb von 30 Tagen zu beheben. Möglicherweise steht Ihnen auch das Recht zu, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.

Mitwirkungs- und Beschwerderechte

Wir respektieren Ihr Recht, an Entscheidungen über Ihre personenbezogenen Daten mitzuwirken. Sie können gemäß den geltenden Gesetzen und nach Überprüfung Ihrer Identität Zugriff auf Ihre Daten sowie deren Berichtigung oder Löschung beantragen. Wir beantworten Anfragen innerhalb einer angemessenen Frist und bieten Ihnen gemäß den gesetzlichen Bestimmungen Abhilfemaßnahmen oder Erklärungen an. Sie haben das Recht, unsere Entscheidungen zur Datenverarbeitung anzufechten und auf dem Rechtsweg Beschwerde einzulegen.

Datenschutzrahmen

Wir beteiligen uns freiwillig am EU-US-Datenschutzrahmen (EU-US DPF) einschließlich UK-Erweiterung sowie am Swiss-US Datenschutzrahmen und erfüllen deren Vorgaben. Wir unterliegen der Aufsicht der FTC und sind haftbar für Datenverarbeitung durch Anbieter/Dienstleister, die den DPF-Grundsätzen widerspricht.

Beilegung von Streitigkeiten: Wenden Sie sich bei DPF-Beschwerden bitte zunächst an uns. Nicht geklärte Beschwerden werden ohne zusätzliche Kosten für Sie an die alternative Streitbeilegungsstelle JAMS weitergeleitet.

Nutzungsdaten und Thrive-Global-Programme

Wir gewinnen Erkenntnisse aus Ihrer Nutzung der Dienste und können aggregierte und anonymisierte Daten für operative Analysen, Finanzberichte, Auditfunktionen und andere Geschäftszwecke erstellen. Bei der Verarbeitung von Daten aus Arbeitgeber-Programmen für Wohlbefinden stellen wir sicher, dass alle aggregierten Berichte angemessene Anonymisierungsstandards einhalten, um Rückschlüsse auf die Identität von Einzelpersonen zu unterbinden.

Die Teilnahme an Thrive-Programmne (Webinare, Veranstaltungen, Wettbewerbe) gewährt uns das Recht, die eingereichten Inhalte für legitime Geschäftszwecke zu nutzen. Mit Ihrer Teilnahme erklären Sie sich mit diesen Bedingungen einverstanden.

Weitergabe und Offenlegung von Daten

Weitergabe für rechtmäßige Geschäftszwecke

Anbieter und Dienstleister: Wir geben Daten an Dritte weiter, um Hosting, E-Mail-Kommunikation, Kundensupport und Analysen durchzuführen (z. B. Google Analytics, Google Cloud, Microsoft Azure). Alle Anbieter verpflichten sich durch schriftliche Vereinbarungen zur Einhaltung strenger Datenschutzstandards.

Unternehmensübertragungen: Personenbezogene Daten können im Rahmen von Fusionen, Übernahmen oder Vermögensverkäufen übertragen werden.

Rechtliche Verpflichtungen: Wir können Daten offenlegen, um gesetzlichen Verpflichtungen nachzukommen, Rechte/Eigentum zu schützen oder die öffentliche Sicherheit zu gewährleisten.

Weitergabe von Daten auf Ihre Anweisung hin

Wir können Daten weitergeben, wenn Sie Dritten den Zugriff genehmigen oder sich dafür entscheiden, Engagement-Berichte an Unternehmenskunden weiterzugeben. Sie können Informationen mithilfe der Community-Funktionen der App freiwillig mit anderen Nutzern teilen.

Datenschutz-Grundverordnung (DSGVO), UK DSGVO und Schweizer Datenschutzgesetz (DSG)

Umfang und Datenübermittlung

Dieser Abschnitt betrifft Nutzer im EWR, in Großbritannien und in der Schweiz. Wenn Sie auf unsere Dienste zugreifen, werden personenbezogene Daten unter Einhaltung angemessener Sicherheitsvorkehrungen, einschließlich Standardvertragsklauseln, Datenschutz-Framework-Zertifizierungen und technischer/organisatorischer Sicherheitsmaßnahmen, an unsere Server in den USA übertragen.

Rollen des Datenverantwortlichen und Datenverarbeiters

Datenverantwortlicher Wenn Sie über unsere Plattform personenbezogene Daten bereitstellen, legen wir die Verarbeitungszwecke fest und erfüllen alle geltenden Gesetze, einschließlich der Durchführung von Datenschutz-Folgenabschätzungen, sofern erforderlich.

Datenverarbeiter: Bei der Verarbeitung von Daten für Unternehmenskunden handeln wir gemäß deren Anweisungen und den geltenden Verpflichtungen für Datenverarbeiter.

Ihre Rechte gemäß DSGVO

  • Auskunftsrecht: Sie können eine Bestätigung der Verarbeitung einholen und Kopien Ihrer personenbezogenen Daten erhalten.
  • Recht auf Berichtigung: Sie können die Korrektur unrichtiger oder unvollständiger personenbezogener Daten beantragen.
  • Recht auf Löschung: Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten beantragen.
  • Recht auf Einschränkung der Verarbeitung: Sie können beantragen, dass wir Ihre Daten nur eingeschränkt nutzen.
  • Recht auf Datenübertragbarkeit: Sie können Daten in einem strukturierten, maschinenlesbaren Format erhalten.
  • Recht auf Widerspruch: Sie können jederzeit Widerspruch gegen unsere Verarbeitung Ihrer personenbezogenen Daten einlegen.
  • Recht auf Widerruf der Einwilligung Sie können eine zuvor erteilte Einwilligung jederzeit widerrufen.
  • Rechte in Bezug auf die automatisierte Entscheidungsfindung: Sie haben das Recht, keinen Entscheidungen unterworfen zu sein, die ausschließlich auf einer automatisierten Verarbeitung beruhen.
  • Beschwerderecht: Sie können eine Beschwerde bei Ihrer örtlichen Datenschutzbehörde einreichen.

Verfahren für Auskunftsanträge

Wir gewähren auf Anfrage angemessenen Zugriff auf Ihre persönlichen Daten, vorbehaltlich einer Identitätsüberprüfung und geltender gesetzlicher Anforderungen. Um den Zugriff zu beantragen, wenden Sie sich bitte direkt an uns. Nutzen Sie hierfür unsere Kontaktinformationen. Wir können den Zugriff unter bestimmten Umständen verweigern, beispielsweise wenn dies gesetzlich vorgeschrieben ist oder wenn der Zugriff die Privatsphäre anderer Personen beeinträchtigen würde. Wir antworten innerhalb der geltenden Fristen und nennen Ihnen bei Ablehnung des Antrags die Begründung.

Verfahren zur Wahrnehmung der Betroffenenrechte

  • Bearbeitung von Anfragen: Wir verfügen über standardisierte Verfahren für die Bearbeitung von Anfragen zu Datenschutzrechten, einschließlich Identitätsprüfung, Anfragenvalidierung, Ausnahmebewertung und Koordinierung der Antworten zwischen den Geschäftsbereichen.
  • Antwortfristen: Standardanfragen werden innerhalb von 30 Tagen beantwortet. Bei komplexen Anfragen kann sich die Bearbeitungszeit um bis zu 60 Tage verlängern. Wir werden Sie über etwaige Verzögerungen mit einer Begründung informieren.
  • Anforderungen der Identitätsprüfung Im Rahmen der Identitätsprüfung müssen Sie möglicherweise Ihre E-Mail-Adresse bestätigen, Ihr Konto authentifizieren oder bei Anfragen mit hohem Risiko zusätzliche Dokumente vorlegen, um missbräuchlichen Zugriff zu verhindern.

Internationale Datenübertragungen

Wir treffen angemessene Sicherheitsvorkehrungen, einschließlich Standardvertragsklauseln, Angemessenheitsbeschlüssen und ergänzenden Maßnahmen gemäß Art. 46 DSGVO. Bei Übermittlungen in Länder ohne Angemessenheitsbeschlüsse führen wir Übermittlungsfolgenabschätzungen durch und ergreifen zusätzliche technische und organisatorische Maßnahmen, darunter verstärkte Verschlüsselung, Zugriffskontrollen und vertragliche Schutzvorkehrungen, um einen angemessenen Schutz zu gewährleisten.

Aufbewahrung der Daten

Wir bewahren personenbezogene Daten nur so lange auf, wie dies für die Erhebungszwecke, die Einhaltung gesetzlicher Vorschriften oder die Beilegung von Streitigkeiten erforderlich ist. Daten werden gemäß den branchenüblichen Standards für Löschung oder Anonymisierung sicher vernichtet. Die Aufbewahrungsfristen werden dokumentiert und jährlich überprüft.

Richtigkeit und Qualität der Daten

Wir bemühen uns, die Richtigkeit, Vollständigkeit und Relevanz der von uns gespeicherten personenbezogenen Daten zu gewährleisten. Wir ergreifen angemessene Maßnahmen zur Gewährleistung der Datenqualität, einschließlich der Aktualisierung von Datensätzen, wenn Ungenauigkeiten festgestellt werden. Wenn Sie der Meinung sind, dass Ihre persönlichen Daten falsch oder unvollständig sind, wenden Sie sich bitte an uns, um sie zu korrigieren. Nutzen Sie hierfür die Angaben im Abschnitt Kontaktinformationen.

Nutzungsbeschränkungen

Wir verwenden personenbezogene Daten nur für die bei der Erhebung angegebenen und vergleichbare Zwecke. Wir verwenden Ihre Daten nicht für andere Zwecke, ohne eine entsprechende Zustimmung einzuholen oder eine neue Rechtsgrundlage zu schaffen. Unsere Verarbeitungsaktivitäten werden dokumentiert und regelmäßig überprüft, um die fortlaufende Übereinstimmung mit den angegebenen Zwecken sicherzustellen.

Verarbeitung geschützter Gesundheitsinformationen (PHI) und HIPAA-Konformität

Wir können geschützte Gesundheitsdaten ("PHI") in Übereinstimmung mit dem HIPAA verarbeiten. Zu den PHI gehören Gesundheitsdaten wie Krankengeschichte, biometrische Daten und Informationen zu gesundheitsbezogenen Aktivitäten, die im Rahmen von vom Arbeitgeber finanzierten Programmen zur Gesundheitsförderung erhoben werden oder die Sie uns ausdrücklich zur Verfügung stellen. Die Verarbeitung ist strikt auf die Unterstützung unserer Dienste unter geeigneten Schutzmaßnahmen beschränkt. PHI geben wir nur an autorisierte Parteien im Rahmen von Business-Associate-Vereinbarungen (BAA) weiter.

Aufbewahrungsfristen für Daten

  • PHI- und ePHI-Aufzeichnungen: Mindestaufbewahrungsfrist von 6 Jahren gemäß HIPAA § 164.316(b)(2)(i), wobei landesspezifische Anforderungen längere Fristen vorsehen können
  • PHI-Audit-Protokolle: Mindestaufbewahrungsfrist von 6 Jahren für alle Systeme, die ePHI enthalten oder verarbeiten, einschließlich Zugriffsprotokollen, Änderungsprotokollen und Sicherheitsereignisprotokollen
  • HIPAA-Dokumentation: Aufbewahrungsfrist von 6 Jahren für alle HIPAA-Konformitätsdokumente, einschließlich Richtlinien, Verfahren, Risikobewertungen, Schulungsunterlagen und Vorfallberichten

Allgemeine Datenaufbewahrung:

  • Daten zum Nutzerkonto: Aus Sicherheitsgründen aktive Periode plus 90 Tage nach Löschung
  • Daten zur Erfassung des Wohlbefindens: Bis zur Vertragsbeendigung plus 90 Tage
  • Marketing-Einstellungen: Bis Sie sich abmelden zuzüglich einer eventuell gesetzlich vorgeschriebenen Frist
  • Kommunikation mit dem Kundendienst: Ein Jahr, um zur Verbesserung unserer Dienstleistungen beizutragen
  • Sicherheitsprotokolle (nicht-PHI): Ein Jahr, um den Systemschutz und die Reaktion auf Vorfälle zu gewährleisten
  • Geschäftsunterlagen: Sieben Jahre gemäß den finanz- und steuerrechtlichen Vorschriften

Legal-Hold-Verfahren: Wir müssen Daten länger aufbewahren, wenn dies für Gerichtsverfahren, Ermittlungen oder regulatorische Angelegenheiten erforderlich ist. Diese "Legal Holds" haben Vorrang vor den üblichen Löschfristen, bis sie von unserer Rechtsabteilung aufgehoben werden.

Unterauftragsverarbeiter

Im Folgenden finden Sie eine vollständige Liste unserer Unterauftragsverarbeiter und Drittverarbeiter, die alle durch schriftliche Vereinbarungen an strenge Datenschutz- und Sicherheitsanforderungen gebunden sind. Diese Liste wird regelmäßig aktualisiert. Sie können sich in unsere Mailingliste eintragen, um über Änderungen informiert zu werden.

Alle Dienstleistungen:

  • Coda* - Benutzerbindung und Projektmanagement - 888 Villa St, Floor 4, Mountain View, CA 94041
  • Datagrail - Datenschutzautomatisierung - 164 Townsend Street, Suite 12, San Francisco, CA 94107 US
  • Fivetran - ETL-Datenpipeline - 405 14th St floor 11, Oakland, CA 94612 US
  • Google Cloud Platform - Data Warehouse - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
  • Google Workspace* - Inhaltserstellung - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
  • HubSpot - E-Mail-Marketing - 25 First Street, 2nd Floor Cambridge, MA 02141
  • Looker - Datenanalyse - 101 Church Street, 4th Floor, Santa Cruz, CA 95060 US
  • Microsoft Azure - Cloud-Hosting-Anbieter - One Microsoft Way, Redmond, WA 980527 US
  • Rethink Autism* - Anbieter von Diensten für neurodiverse Menschen - 49 West 27th Street, New York, NY 10001
  • Salesforce - Kundenbeziehungsmanagement - The Landmark @ One Market, Suite 300 San Francisco, CA 94105 US
  • Segment - Nutzeranalyse - 100 California Street, Suite 700 San Francisco, CA 94111 US
  • Typeform* - Umfrageplattform - Calle de Pallars 108 (Aticco), 08018 - Barcelona (Spanien)
  • Zapier* - Workflow-Automatisierung - 548 Market St. #62411, San Francisco, CA 94104
  • Zendesk - Software für Nutzersupport - 450 Park Ave S, New York, NY 10016

Nur für die Website zuständige Unterauftragsverarbeiter

  • Webflow - Marketing-Website-Host - 398 11th Street, 2nd Floor, San Francisco, CA 94103

Nur für die App zuständige Unterauftragsverarbeiter:

  • Amazon Web Services* - SFTP - 410 Terry Avenue North, Seattle, WA 98109 US
  • Datadog - Plattform für Infrastruktur- und Sicherheitsüberwachung - 620 8th Avenue, Floor 45, New York, NY 10018
  • HumanAPI* - Integration von Wearables - 951 Mariners Island Blvd., Suite 300
  • Qualtrics - Umfrage-Plattform - 333 W River Park Dr, Provo, UT 84604, US
  • Mailgun Transaktions-E-Mails - 112 E Pecan Street, San Antonio, TX 78205 US

*nicht für alle Nutzer zutreffend

Datenschutzanforderungen für Auftragnehmer und Verarbeiter

Alle Auftragnehmer und Verarbeiter unterliegen strengen Standards, die in schriftlichen Vereinbarungen festgelegt sind und die Einhaltung der DSGVO, des CCPA und des HIPAA, angemessene Sicherheitsmaßnahmen, eine 72-Stunden-Meldepflicht bei Datenschutzverletzungen, regelmäßige Audits sowie die Rückgabe/Vernichtung der Daten nach Beendigung des Vertragsverhältnisses vorschreiben.

Meldung von Datenschutzvorfällen

Wir unterhalten transparente Meldeverfahren, um datenschutzrelevante Vorfälle, Anfragen und Compliance-Aktivitäten zu dokumentieren und zu bearbeiten. Wir unterziehen unsere Datenschutzpraktiken regelmäßigen Prüfungen und erstatten den zuständigen Stellen, einschließlich Aufsichtsbehörden, gemäß den gesetzlichen Bestimmungen Bericht. Im Falle einer Datenschutzverletzung benachrichtigen wir die betroffenen Personen und Behörden unverzüglich gemäß den geltenden gesetzlichen Verpflichtungen.

Kalifornischer Datenschutzhinweis

Do Not Track und CCPA

Wir reagieren nicht auf "Do Not Track"-Signale. Wir verkaufen personenbezogene Daten nicht gegen Geld, doch die weit gefasste Definition des "Verkaufs" nach kalifornischem Recht verpflichtet uns, die Weitergabe von Cookie-Daten an Drittanbieter offenzulegen.

Verbraucherrechte in Kalifornien

Auskunftsrechte: Kategorien und Quellen der erhobenen personenbezogenen Daten, Verarbeitungszwecke, Kategorien von Dritten, an die Daten weitergegeben werden, und zum Zweck der Geschäftsauskunft

Kontrollrechte: Widerspruch gegen den "Verkauf" von Daten, Antrag auf Löschung (Ausnahmen können auftreten) und Nichtdiskriminierung bei der Ausübung von Rechten

Wie Sie Ihre Rechte ausüben können: Besuchen Sie die Seite https://preferences.thriveglobal.com/privacy oder kontaktieren Sie uns über die Kontaktinformationen.

Datenschutz bei Kindern

Die Dienste von Thrive sind für die Nutzung durch Personen ab 16 Jahren im Rahmen von arbeitgeberfinanzierten Programmen bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren ohne die entsprechende Einwilligung eines Elternteils, Erziehungsberechtigten oder bevollmächtigten Mitarbeiters des teilnehmenden Unternehmens. Sollten wir Kenntnis davon erlangen, dass personenbezogene Daten von einem Kind ohne die erforderliche Einwilligung erhoben wurden, werden wir diese Daten umgehend löschen und Maßnahmen ergreifen, um eine künftige Erhebung zu verhindern. Für Nutzer unter 18 Jahren kann der Zugriff auf die Dienste die Zustimmung der Eltern oder Erziehungsberechtigten gemäß den geltenden Gesetzen wie COPPA (Children's Online Privacy Protection Act), CCPA/CPRA und DSGVO erfordern. Thrive vermarktet seine Dienste nicht direkt an Kinder und erlaubt keine Selbstregistrierung durch Minderjährige. Wenn Sie glauben, dass wir unter Verstoß gegen diesen Abschnitt Daten von einem Kind erhoben haben, kontaktieren Sie uns bitte umgehend unter privacy@thriveglobal.com.

HIPAA-Compliance-Programm

Einhaltung der HIPAA-Vorschriften

  • Einhaltung der Datenschutzbestimmungen: Wir halten uns an die Anforderungen der HIPAA-Datenschutzbestimmungen, einschließlich der Rechte des Einzelnen, der Mindeststandards, der Hinweise zu Datenschutzpraktiken sowie der administrativen, physischen und technischen Sicherheitsvorkehrungen.
  • Einhaltung der Sicherheitsvorschriften: Wir setzen die verpflichtenden und adressierbaren Implementierungsvorgaben der HIPAA Security Rule um und dokumentieren Entscheidungen zu adressierbaren Vorgaben anhand von Risikobewertungen und unserer organisatorischen Kapazitäten.
  • Durchsetzung und Sanktionen: Wir erkennen die Durchsetzungsbefugnis des Department of Health and Human Services Office for Civil Rights (HHS) an und unterhalten Compliance-Programme, um Verstöße zu vermeiden, die zu zivilrechtlichen Geldbußen oder strafrechtlicher Verfolgung führen könnten.
  • Einhaltung der Gesetze der US-Bundesstaaten Wir erfüllen sämtliche einschlägigen Datenschutz- und Sicherheitsgesetze der US-Bundesstaaten, die über die HIPAA-Vorgaben hinausgehende Schutzmaßnahmen für Gesundheitsdaten vorsehen.

Datenschutzbeauftragter und Sicherheitsbeauftragter

Datenschutzbeauftragter: Verantwortlich für Entwicklung, Umsetzung und Pflege von Datenschutzrichtlinien und -verfahren, Durchführung von Datenschutzschulungen, Untersuchung von Beschwerden und Sicherstellung der Einhaltung der HIPAA-Datenschutzbestimmungen.

Sicherheitsbeauftragter: Verantwortlich für Entwicklung, Umsetzung und Pflege von Sicherheitsrichtlinien und -verfahren, Durchführung von Sicherheitsschulungen, Verwaltung von Zugriffskontrollen und Sicherstellung der Einhaltung der HIPAA-Sicherheitsbestimmungen.

Business-Associate-Management

Vereinbarungen mit Geschäftspartnern (Business Associate Agreements, BAAs): Alle Lieferanten, Auftragnehmer und Unterauftragsverarbeiter, die in unserem Auftrag geschützte Gesundheitsdaten verarbeiten, müssen Business Associate Agreements (Verträge für Geschäftspartner) abschließen, die Folgendes beinhalten:

  • Zulässige Nutzung und Offenlegung von PHI
  • Schutzmaßnahmen zur Verhinderung einer unbefugten Nutzung oder Offenlegung
  • Meldepflichten bei Datenschutzverletzungen
  • Rückgabe oder Vernichtung der PHI bei Vertragsende
  • Compliance-Überwachung und Auditrechte

Überwachung von Subunternehmern: Geschäftspartner müssen vor der Beauftragung von Subunternehmern unsere Genehmigung einholen und sicherstellen, dass alle PHI-verarbeitenden Subunternehmer eine entsprechende BAA unterzeichnen.

HIPAA-Risikobewertung und Compliance-Überwachung

Jährliche Risikobewertungen: Wir führen jährlich Risikobewertungen durch, um Schwachstellen zu identifizieren, aktuelle Sicherheitsvorkehrungen zu bewerten und zusätzliche Sicherheitsmaßnahmen zum Schutz von ePHI zu ermitteln.

Mitarbeiterschulungen: Alle Mitarbeitenden erhalten bei ihrer Einstellung und danach einmal jährlich eine Schulung zu Datenschutz und -sicherheit gemäß HIPAA, wobei Mitarbeitende mit Zugang zu PHI eine auf ihre Rolle zugeschnittene Schulung erhalten.

Compliance-Überwachung: Wir überwachen die Compliance fortlaufend durch:

  • Regelmäßige Überprüfung von Audit-Protokollen und Zugriffsüberwachung
  • Vierteljährliche Überprüfung der Zugriffskontrollen und Validierung der Berechtigungen
  • Jährliche Überprüfung und Aktualisierung von Richtlinien und Verfahren
  • Vorfallverfolgung und Management von Korrekturmaßnahmen

Erforderlicher Mindeststandard: Wir beschränken die Nutzung, Offenlegung und Anforderung von PHI auf das für den vorgesehenen Zweck erforderliche Minimum, mit Ausnahme von Offenlegungen gegenüber der betroffenen Person oder wenn dies ausdrücklich genehmigt wurde.

Individuelle Rechte gemäß HIPAA: Sie haben das Recht auf:

  • Zugriff und Abruf einer Kopie Ihrer PHI
  • Berichtigung unrichtiger oder unvollständiger PHI
  • Einschränkung der Verwendung oder Offenlegung Ihrer PHI
  • Anforderung vertraulicher Kommunikation
  • Erhalt der Dokumentation über PHI-Offenlegungen
  • Einreichen von Beschwerden zum Umgang mit Ihren PHI

HIPAA-Sicherheitsmaßnahmen

Administrative Sicherheitsmaßnahmen:

  • Festgelegter HIPAA-Sicherheitsbeauftragter, verantwortlich für die Sicherheit elektronischer geschützter Gesundheitsdaten (ePHI)
  • Schulung von Mitarbeitenden und Verfahren zur Zugangsverwaltung
  • Verwaltung des Informationszugriffs auf Grundlage des Grundsatzes der minimalen Notwendigkeit
  • Verfahren für Sicherheitsvorfälle und Notfallplanung
  • Regelmäßige Sicherheits- und Risikobewertungen

Physische Sicherheitsmaßnahmen:

  • Zutrittskontrollen für Standorte, um den physischen Zugriff auf ePHI-Systeme zu beschränken
  • Geräte- und Medienkontrollen für Erstellung, Empfang und Speicherung von ePHI
  • Sichere Entsorgungsverfahren für Geräte und Medien, auf denen ePHI gespeichert sind

Technische Sicherheitsmaßnahmen:

  • Eindeutige Benutzeridentifizierung und automatische Abmeldeverfahren
  • Verschlüsselung von ePHI im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2 oder höher)
  • Audit-Kontrollen zur Protokollierung von Zugriffen auf ePHI und Änderungen
  • Integritätskontrollen zur Verhinderung unbefugter Änderungen von ePHI
  • Übertragungssicherheit für ePHI-Kommunikation

Sicherheit

Wir überprüfen und aktualisieren regelmäßig unsere Sicherheitsmaßnahmen, um den sich ständig wandelnden Bedrohungen und gesetzlichen Anforderungen gerecht zu werden. Obwohl wir strenge Maßnahmen zum Schutz Ihrer Daten ergreifen, ist keine Internet- oder E-Mail-Übertragung jemals vollständig sicher. Bitten lassen Sie bei der Weitergabe vertraulicher Informationen per E-Mail oder über offene Kommunikationskanäle Vorsicht walten. Thrive kann keine Gewähr für die Handlungen anderer Nutzer übernehmen, denen Sie Informationen zur Verfügung stellen, und wir sind nicht verantwortlich für die Umgehung von Datenschutzeinstellungen oder Sicherheitsfunktionen innerhalb der Dienste. Weitere Informationen zur Sicherheitslage und Zertifizierung von Thrive finden Sie unter https://thriveglobal.com/security.

Cookies

Wir nutzen Cookies und andere Technologien, um Dienste zu betreiben, die Benutzererfahrung zu verbessern und Nutzungsdaten zu erfassen.

Arten von Cookies

Notwendige Cookies (immer aktiv):

  • HubSpot: Datenschutzeinstellungen (__hs_do_not_track, __hs_cookie_cat_pref)
  • Cloudflare: Schutzmaßnahmen (_cfuvid)

Funktionale Cookies (optional):

  • Spotify: Musikpräferenzen (sp_landing, sp_t)

Analyse-Cookies (optional):

  • HubSpot: Nutzungstracking (hubspotutk, __hstc, __hssrc, __hssc)
  • Thrive Global: Tracking von Interaktion (ajs_anonymous_id)
  • Google Analytics: Traffic-Analyse (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
  • Rippling: Leistungsüberwachung (__cf_bm)
  • YouTube: Videoananalyse (YSC)
  • WordPress Engine: Funktionstests (wordpress_test_cookie)

Werbe-Cookies (optional):

  • YouTube: Anzeigenpersonalisierung (VISITOR_INFO1_LIVE)

Ihre Wahlmöglichkeiten

In den meisten Browsern können Cookies über die Einstellungen verwaltet werden. Das Einschränken von Cookies kann die Funktionalität der Website beeinträchtigen. Möglicherweise sind die Funktionen zur Nachverfolgung mobiler Geräte eingeschränkt.

Links zu anderen Websites

Die Dienste können Links zu externen Websites von Drittanbietern, die nicht von uns verwaltet werden, enthalten. Die Weitergabe von Informationen auf Websites Dritter unterliegt deren Datenschutzbestimmungen und nicht unserer eigenen. Wir übernehmen keine Verantwortung für den Inhalt verlinkter Websites.

Kontaktinformationen

Datenschutz-Team

Datenschutzbeauftragter

Sicherheitsteam

Postanschrift

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tel: +11-888-700-8474

Für Einwohner der EU/Großbritanniens/der Schweiz (Datenschutzbeauftragter)


© 2025 Thrive Global Holdings, Inc. Alle Rechte vorbehalten.