Die Datenschutzrichtlinie von Thrive

Zuletzt aktualisiert: 2. Juli 2025

Willkommen

Willkommen bei Thrive Global Holdings, Inc. („Thrive Global“, „Thrive“, „wir“, „uns“ oder „unser“). Thrive bietet wissenschaftlich belegte Lösungen zur Änderung von Verhaltensweise, um das geistige, emotionale und körperliche Wohlbefinden zu verbessern. Unsere Website („Website“), mobile Anwendung („App“) und Integrationen mit Plattformen von Drittanbietern (wie Slack oder Microsoft Teams) ermöglichen es Nutzern („Sie“, „Ihr“ oder „Nutzer“), auf personalisierte Tools, Ressourcen und Inhalte zuzugreifen, darunter Mikroschritte, Beurteilungen, Bildungserfahrungen und verhaltensunterstützende Funktionen, die dabei helfen, nachhaltige Gewohnheiten zu entwickeln und das allgemeine Wohlbefinden zu verbessern. Die von uns über die Website, die App und damit verbundene digitale Erlebnisse bereitgestellten Dienste werden zusammenfassend als „Dienst(e)“ bezeichnet.

Um diese Dienste bereitzustellen und zu verbessern, können wir verschiedene Arten von Informationen erfassen und verarbeiten, darunter personenbezogene Daten (PII), Interaktionsdaten (z. B. wie Sie mit Inhalten und Funktionen interagieren), Verhaltensdaten, gesundheitsbezogene Informationen und andere Kategorien sensibler Daten, gemäß den geltenden Gesetzen. Wir tun dies in Übereinstimmung mit den entsprechenden Rechtsgrundlagen und holen, soweit erforderlich, Ihre Zustimmung ein.

Thrive verpflichtet sich, Ihre Privatsphäre zu schützen und Ihre Daten verantwortungsbewusst zu behandeln. Wir halten uns an die Grundsätze des Datenschutzes und der Sicherheit durch Technikgestaltung und setzen angemessene technische und organisatorische Sicherheitsmaßnahmen ein. Unsere Datenpraktiken sind so konzipiert, dass sie den geltenden Datenschutzbestimmungen entsprechen, einschließlich HIPAA, DSGVO, CCPA/CPRA und anderen regionalen Bestimmungen, die je nach Ihrem Standort und der Art Ihrer Interaktion mit unseren Diensten gelten können.

Schnellzugriff: Machen Sie von Ihren Datenschutzrechten Gebrauch unter https://preferences.thriveglobal.com/privacy oder kontaktieren Sie uns über unsere Kontaktinformationen weiter unten.

Zweck dieser Datenschutzrichtlinie

In dieser Datenschutzrichtlinie wird erläutert, welche personenbezogenen Daten wir über die Dienste erfassen, wie wir diese Daten verwenden und weitergeben und welche Wahlmöglichkeiten Sie hinsichtlich unserer Datenpraktiken haben. Diese Datenschutzrichtlinie ist Teil unserer Allgemeinen Geschäftsbedingungen, die unter https://www.thriveglobal.com/terms abrufbar sind.

Nutzer in verschiedenen Regionen unterliegen möglicherweise unterschiedlichen Datenschutzstandards und den Datenschutzvereinbarungen (DPA) ihres Arbeitgebers mit Thrive Global. Nutzer in verschiedenen Regionen unterliegen möglicherweise unterschiedlichen Datenschutzstandards und den Datenschutzvereinbarungen (Data Protection Agreement, DPA) ihres Arbeitgebers mit Thrive Global.

Änderungen der Datenschutzrichtlinie

Wir behalten uns vor, diese Datenschutzrichtlinie im Zuge der Weiterentwicklung der Dienste zu aktualisieren. Wesentliche Änderungen werden 30 Tage vor ihrem Inkrafttreten per E-Mail mitgeteilt. Geringfügige Änderungen werden unter Angabe des Datums unter “Letzte Änderung” veröffentlicht. Mit der weiteren Nutzung erklären Sie sich mit diesen Änderungen einverstanden.

Rechtliche Rahmenbedingungen

Wir gewährleisten die Einhaltung aller anwendbaren Datenschutzgesetze, darunter die Datenschutz-Grundverordnung (DSGVO), der California Consumer Privacy Act/California Privacy Rights Act (CCPA/CPRA), die Datenschutzgesetze der US-Bundesstaaten sowie sonstige einschlägige Rechtsvorschriften. Unser Compliance-Programm umfasst regelmäßige Rechtsprüfungen, Kontrollbewertungen und Aktualisierungen der Datenschutzpraktiken entsprechend den sich ändernden gesetzlichen Bestimmungen. Wir arbeiten mit Rechtsberatern zusammen, um sicherzustellen, dass unsere Praktiken den aktuellen gesetzlichen Bestimmungen entsprechen.

Datenschutz-Governance

Im Rahmen unseres Datenschutzprogramms sind Datenschutzbeauftragte für die Einhaltung der Datenschutzbestimmungen, Schulungen und die Reaktion auf Vorfälle zuständig. Wir führen regelmäßig Datenschutzschulungen für unsere Mitarbeitenden durch und unterhalten Maßnahmen zur Rechenschaftspflicht, um die kontinuierliche Einhaltung der Datenschutzverpflichtungen und den Schutz Ihrer personenbezogenen Daten sicherzustellen.

Grundsätze des Datenschutzes

Wir erheben, verwenden und verarbeiten personenbezogene Daten ausschließlich zu legitimen Zwecken, die mit unseren Geschäftstätigkeiten und unseren gesetzlichen Verpflichtungen im Einklang stehen. Wir geben die Zwecke der Verarbeitung bei oder vor Datenerhebung an, erfassen nur erforderliche Daten und folgen dem Grundsatz der Datenminimierung Wir unterziehen unsere Datenpraktiken regelmäßigen Überprüfungen, um unnötige Verarbeitungsvorgänge zu vermeiden und technische sowie organisatorische Maßnahmen zum Schutz Ihrer Privatsphäre umzusetzen.

Auskunftsrecht

Wir verpflichten uns, sicherzustellen, dass Einzelpersonen in angemessener Weise auf ihre personenbezogenen Daten zugreifen können. Auf Anfrage gewähren wir Ihnen zeitnah Zugang zu Ihren personenbezogenen Daten, vorbehaltlich einer Identitätsprüfung und der geltenden gesetzlichen Bestimmungen. Wir können den Zugriff unter bestimmten Umständen verweigern, beispielsweise wenn dies gesetzlich vorgeschrieben ist oder wenn der Zugriff die Privatsphäre anderer Personen beeinträchtigen würde.

Datenschutz-Folgenabschätzungen

Wir führen Datenschutz-Folgenabschätzungen (DSFA) durch, um Risiken für personenbezogene Daten zu identifizieren und zu minimieren. Diese Bewertungen dienen der Überprüfung unserer Datenverarbeitungsaktivitäten, einschließlich neuer Projekte, Systeme oder Technologien, um die Einhaltung der Datenschutzgesetze und Sicherheitsanforderungen sicherzustellen. Wo Risiken identifiziert werden, implementieren wir angemessene Sicherheitsvorkehrungen zum Schutz Ihrer Daten und Ihrer Privatsphäre.

Beschränkung der Datenerhebung

Wir beschränken die Erhebung personenbezogener Daten auf das für die angegebenen Zwecke erforderliche Maß. Wir erheben nur Daten, die relevant, angemessen und in direktem Zusammenhang mit den in dieser Richtlinie dargelegten legitimen Zwecken stehen. Die Erhebung erfolgt auf rechtmäßige und transparente Weise, wobei eine entsprechende Benachrichtigung und Einwilligung erforderlich ist, sofern dies nach geltendem Recht vorgeschrieben ist.

Rechtsgrundlage für die Verarbeitung

Wir verarbeiten personenbezogene Daten auf der Grundlage der folgenden Rechtsgrundlagen, die gemäß den Datenschutzgesetzen gelten:

• Einwilligung: Wenn Sie eine freiwillige, für den bestimmten Fall, informierte und unmissverständliche Einwilligung für Verarbeitungsvorgänge – etwa Marketing­kommunikation oder optionale Datenerhebungen – erteilt haben.
• Vertragserfüllung: Verarbeitungen, die zur Erfüllung unseres Dienstleistungsvertrags mit Ihnen erforderlich sind oder um auf Ihre Anfrage vor Vertragsschluss hin vorvertragliche Maßnahmen durchzuführen.“
• Rechtliche Verpflichtung: Verarbeitung, die erforderlich ist, um geltende Gesetze, Vorschriften oder rechtliche Verfahren einzuhalten.
• Berechtigte Interessen: Verarbeitungen, die zur Wahrung unserer berechtigten Geschäftsinteressen erforderlich sind – etwa zur Gewährleistung der Sicherheit, zur Betrugsprävention und zur Verbesserung unserer Dienste –, sofern nicht Ihre Datenschutzrechte überwiegen

Von uns erhobene Informationen

App-Nutzer

• Informationen zum Konto: Name, E-Mail-Adresse und andere Kontaktinformationen
• Profilinformationen: Profilfoto, biografische Angaben, Angaben zum Land und demografische Informationen
• Informationen zur App-Nutzung: Ihre Antworten auf und Ihre Interaktion mit Befragungen zum Wohlbefinden, Webinaren und Lernaktivitäten
• Informationen zu Gesundheit und Aktivität: Daten zu Schlaf, Bewegung, Herzfrequenz und anderen Aspekten des Wohlbefindens – einschließlich körperlicher, verhaltensbezogener oder emotionaler Indikatoren – werden nur erfasst, wenn Sie diese direkt oder über ein verbundenes Wearable-Gerät bereitstellen.
• Kommunikation: Nachrichten an uns oder innerhalb der App, einschließlich Supportanfragen und sozialen Funktionen
• Hinweis zu minderjährigen Nutzern (im Alter von 13 bis 15 Jahren): Wenn die Dienste Angehörigen oder Familienmitgliedern im Alter von 13 bis 15 Jahren über ein vom Arbeitgeber gesponsertes oder autorisiertes Programm zur Verfügung gestellt werden, verarbeitet Thrive deren personenbezogene Daten nur mit der ausdrücklichen Zustimmung der Eltern oder Erziehungsberechtigten oder mit der Zustimmung der Sponsororganisation in Übereinstimmung mit den geltenden Datenschutzgesetzen für Kinder. Jeder derartige Zugriff unterliegt weiterhin dem Abschnitt „Datenschutz von Kindern“ dieser Datenschutzerklärung.

Websitenutzer

• Persönliche Daten, die Sie zur Verfügung stellen: Angaben, die Sie bei der Registrierung auf der Website (E-Mail-Adresse/Passwort) oder elektronisch über Formulare, Kontaktanfragen, Veranstaltungsanmeldungen oder E-Mail-Abonnements übermitteln, in der Regel einschließlich Name, Kontaktdaten, Unternehmensinformationen und Telefonnummer

Automatisch erhobene Daten

• Protokolldaten: IP-Adresse, Browsertyp und -einstellungen, Datum/Uhrzeit der Anfragen und Interaktionsmuster
• Cookies: Informationen aus Cookies und anderen Technologien (siehe Abschnitt „Cookies“)
• Informationen zum Gerät: Gerätetyp, Betriebssystem, Einstellungen, eindeutige Kennungen und Netzwerkinformationen
• Nutzungsinformationen Aufgerufene Inhalte, genutzte Funktionen, durchgeführte Aktionen, Interaktionen zwischen Nutzern und Nutzungsdauer

Hinweis zur regulatorischen Klassifizierung

Die Plattform von Thrive ist als umfassende Lösung für das Wohlbefinden konzipiert, die Menschen dabei unterstützt, gesunde Gewohnheiten zu entwickeln und ihre allgemeine Lebensqualität zu verbessern. Obwohl wir gesundheitsbezogene Daten verarbeiten können, wenn Sie uns diese zur Verfügung stellen, gelten für unsere Dienste Folgendes:

• Sind nicht zur Diagnose, Behandlung oder Vorbeugung von Krankheiten oder Beschwerden bestimmt und ersetzen nicht die Beratung durch eine zugelassene medizinische Fachkraft. Wenn Sie Bedenken hinsichtlich Ihrer geistigen oder körperlichen Gesundheit haben, wenden Sie sich bitte an einen qualifiziertem Gesundheitsdienstleister.
• Stellen nach den Vorschriften der FDA kein Medizinprodukt dar.
• Vermitteln keine spezifischen medizinischen Empfehlungen, sondern allgemeine Informationen zum Wohlbefinden.
• Können im Rahmen betrieblicher Gesundheitsprogramme des Arbeitgebers angeboten werden und unterliegen den Vorgaben der US-Equal Employment Opportunity Commission (EEOC).
• Wenn unsere Dienste im Rahmen des betrieblichen Gesundheitsprogramms Ihres Arbeitgebers bereitgestellt werden, erfüllen wir sämtliche einschlägigen Vorschriften, darunter die HIPAA-Regelungen (sofern wir als Business Associate handeln), den Americans with Disabilities Act (ADA), den Genetic Information Nondiscrimination Act (GINA) sowie die Wellness-Programm-Vorgaben der US-Equal Employment Opportunity Commission (EEOC).

Wie wir Daten nutzen

Grundsätze der Nutzungsbeschränkung

Wir beschränken die Nutzung personenbezogener Daten strikt auf die zum Zeitpunkt der Erhebung festgelegten Zwecke. Die Nutzung der Daten erfolgt ausschließlich zu den ursprünglich bei der Erhebung angegebenen Zwecken und auf der Grundlage der geltenden Rechtsvorschriften. Wir verarbeiten personenbezogene Daten nicht für Zwecke, die mit denen, für die sie ursprünglich erhoben wurden, unvereinbar sind, ohne zuvor eine entsprechende Einwilligung einzuholen oder eine neue Rechtsgrundlage zu schaffen.

Berechtigte Geschäftsinteressen

Verbesserung der Dienstleistungen:

• Beantwortung von Anfragen und Erfüllung von Serviceanfragen
• Personalisierung der Dienste anhand von Nutzungsmustern und Präferenzen
• Versenden von administrativen Informationen über Dienstleistungen, Bedingungen und Änderungen der Richtlinien
• Bereitstellung, Wartung und Verbesserung von Inhalten und Funktionen

Forschung und Datenmanagement:

• Durchführung von Untersuchungen und Bereitstellung zusammengefasster, anonymisierter Erkenntnisse zur Nutzung
• Wir speichern minimale Sperrdaten, um eine unerwünschte erneute Verarbeitung nach einem Löschersuchen zu verhindern.

Sicherheit und Rechtskonformität:

• Verhinderung von Betrug, kriminellen Aktivitäten und missbräuchlicher Nutzung von Diensten
• Gewährleistung der Sicherheit von IT-Systemen und Einhaltung gesetzlicher Vorschriften
• Beantwortung rechtmäßiger Anfragen und Durchsetzung unserer Allgemeinen Geschäftsbedingungen
• Schutz unserer Geschäftstätigkeit, Rechte und der Sicherheit unserer Nutzer

Von uns eingesetzte KI-Systeme

Wir setzen künstliche Intelligenz (KI) einschließlich ML-Technologien ein, um unsere Dienste zu verbessern. Diese lassen sich wie folgt klassifizieren:

KI-Systeme mit geringem Risiko (Transparenzpflichten gelten):

• Systeme zur Erstellung von Inhalten: KI erstellt personalisierte Inhalte und Empfehlungen zum Wohlbefinden
• Empfehlungs-Engines: ML-Algorithmen, die Mikroschritte und Funktionen vorschlagen
• Chatbots und virtuelle Assistenten: KI-gestützte Support-Tools

KI-Systeme mit minimalem Risiko:

• Betrugserkennung: KI zur Erkennung verdächtiger Aktivitäten und Sicherheitsbedrohungen
• Systemoptimierung: ML verbessert die App-Performance und das Nutzererlebnis
• Verarbeitung von Analysedaten: KI generiert anonymisierte Erkenntnisse zur Nutzung

Einhaltung der EU-KI-Verordnung (KI-VO)

• Transparenzmaßnahmen: Klare Offenlegung mittels geeigneter Hinweise, wenn KI in Ihre Nutzererfahrung eingebunden ist.
• Menschliche Aufsicht: Alle unsere KI-Systeme stehen unter wirksamer menschlicher Aufsicht: Qualifiziertes Fachpersonal überwacht ihre Leistung, und die Nutzer können jederzeit ein menschliches Eingreifen verlangen.
• Genauigkeit und Robustheit: Geeignete Maßnahmen gewährleisten die Zuverlässigkeit der KI, darunter Leistungsvalidierung, Fehler- und Verzerrungsüberwachung sowie kontinuierliche Verbesserungen.
• Risikomanagement: Verfahren zur Risikobewertung und -minderung, einschließlich Systembewertungen, Leistungsdokumentation und Reaktion auf Vorfälle.

Data Governance für KI-Training

• Trainingsdaten: Wir verwenden anonymisierte und aggregierte Nutzerdaten unter Einhaltung der Datenschutz- und Sicherheitsbestimmungen.
• Modelle von Drittanbietern: Wir nutzen Ihre personenbezogenen Daten nicht ohne Ihre ausdrückliche Zustimmung zum Training externer KI-Modelle.
• Datenqualität: Wir setzen Maßnahmen um, die Genauigkeit, Repräsentativität und Verringerung von Verzerrungen der Trainingsdaten gewährleisten.

Ihre Rechte und Kontrollmöglichkeiten in Bezug auf KI

• Auskunftsrechte: Sie können Auskunft über KI-Systeme verlangen, die Sie erheblich betreffen,aussagekräftige Informationen über die zugrunde liegende automatisierte Entscheidungslogik erhalten und Einsicht in die verwendeten Trainingsdaten nehmen.
• Kontrollrechte: Sie haben das Recht, der Nutzung personenbezogener Daten für die Erstellung personalisierter Inhalte durch KI zu widersprechen, eine Überprüfung durch einen Mitarbeiter zu beantragen und von KI erstellte Inhalte anzufechten.

Marketing

Wir werden Sie möglicherweise bezüglich Inhalten, Dienstleistungen oder Produkten kontaktieren, von denen wir glauben, dass sie für Sie von Interesse sein könnten. Soweit gesetzlich vorgeschrieben (z. B. für Nutzer in der EU), senden wir Ihnen Marketinginformationen nur mit Ihrer Einwilligung zu.

Widerspruchs­möglichkeiten: Befolgen Sie die Anweisungen zum Widerrufen der Einwilligung in den E-Mails, ändern Sie Ihre Nutzereinstellungen oder kontaktieren Sie uns.

Für die Bereitstellung des Dienstes erforderliche Mitteilungen sind von den Einstellungen zum Abbestellen von Marketingmitteilungen nicht betroffen.

Ändern Ihrer Daten

Wir gewähren auf Anfrage angemessenen Zugriff auf Ihre persönlichen Daten, vorbehaltlich der Identitätsüberprüfung und gesetzlicher Anforderungen. Wir treffen angemessene Maßnahmen zur Datenrichtigkeit und -qualität. Wenn Sie der Meinung sind, dass die Daten nicht korrekt sind, wenden Sie sich an uns, um sie zu korrigieren.

Um Ihre Datenschutzrechte auszuüben: Besuchen Sie https://preferences.thriveglobal.com/privacy oder kontaktieren Sie uns über die Kontaktinformationen.

Beschwerdeabwicklung

Wir nehmen Beschwerden über unsere Datenschutzpraktiken sehr ernst. Wenn Sie Bedenken hinsichtlich unseres Umgangs mit Ihren personenbezogenen Daten haben, kontaktieren Sie uns bitte über mittels der Kontaktdaten im Abschnitt Kontaktinformationen. Wir werden die Anfrage umgehend prüfen, den Eingang innerhalb von sieben Werktagen bestätigen und uns bemühen, Probleme innerhalb von 30 Tagen zu beheben. Sie haben möglicherweise auch das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.

Mitwirkungs- und Beschwerderechte

Wir respektieren Ihr Recht, an Entscheidungen über Ihre personenbezogenen Daten mitzuwirken. Sie können gemäß den geltenden Gesetzen und nach Überprüfung Ihrer Identität Zugriff auf Ihre Daten, deren Berichtigung oder Löschung beantragen. Wir beantworten Anfragen innerhalb einer angemessenen Frist und bieten Ihnen gemäß den gesetzlichen Bestimmungen Abhilfemaßnahmen oder Erklärungen an. Sie haben das Recht, unsere Entscheidungen zur Datenverarbeitung anzufechten und auf dem Rechtsweg Beschwerde einzulegen.

Datenschutzrahmen

Wir beteiligen uns freiwillig am EU-US-Datenschutzrahmen, (EU-US DPF) einschließlich UK-Erweiterung sowie am Swiss-US Datenschutzrahmen und erfüllen deren Vorgaben. Wir unterliegen der Aufsicht der FTC und bleiben haftbar, wenn Anbieter / Dienstleister Daten entgegen den DPF-Grundsätzen verarbeiten.

Beilegung von Streitigkeiten: Wenden Sie sich bei DPF-Beschwerden bitte zunächst an uns. Nicht geklärte Beschwerden werden ohne zusätzliche Kosten für Sie an die alternative Streitbeilegungsstelle JAMS weitergeleitet.

Nutzungsdaten und Thrive Global-Programme

Wir gewinnen Erkenntnisse aus Ihrer Nutzung der Dienste und können aggregierte/anonymisierte Daten für operative Analysen, Finanzberichte, Auditfunktionen und andere Geschäftszwecke erstellen. Bei der Verarbeitung von Daten aus Arbeitgeber-Programmen für Wohlbefinden stellen wir sicher, dass alle aggregierten Berichte angemessene Anonymisierungsstandards einhalten, um eine erneute Identifizierung von Einzelpersonen zu unterbinden.

Für Thrive-Programme (Webinare, Veranstaltungen, Wettbewerbe) gewährt uns die Teilnahme das Recht, die eingereichten Inhalte für legitime geschäftliche Zwecke zu nutzen. Mit Ihrer Teilnahme erklären Sie sich mit diesen Bedingungen einverstanden.

Weitergabe und Offenlegung von Informationen

Weitergabe für rechtmäßige Geschäftszwecke

Anbieter und Dienstleister: Wir geben Daten an Dritte weiter, um Hosting, E-Mail-Kommunikation, Kundensupport und Analysen durchzuführen (z. B. Google Analytics, Google Cloud, Microsoft Azure). Alle Anbieter verpflichten sich durch schriftliche Vereinbarungen zur Einhaltung strenger Datenschutzstandards.

Unternehmensübertragungen: Personenbezogene Daten können im Rahmen von Fusionen, Übernahmen oder Vermögensverkäufen übertragen werden.

Rechtliche Verpflichtungen: Wir können Daten offenlegen, um gesetzlichen Verpflichtungen nachzukommen, Rechte/Eigentum zu schützen oder die öffentliche Sicherheit zu gewährleisten.

Weitergabe von Informationen Daten Ihrer Anweisung

Wir können Daten weitergeben, wenn Sie Dritten den Zugriff genehmigen oder sich dafür entscheiden, Engagement-Berichte an Unternehmenskunden weiterzugeben. Sie können Informationen mithilfe der Community-Funktionen der App freiwillig an andere Nutzer weitergeben.

Datenschutz-Grundverordnung (DSGVO), UK DSGVO und Schweizer Datenschutzgesetz (DSG)

Umfang und Datenübermittlung

Dieser Abschnitt gilt für Nutzer im EWR, im Vereinigten Königreich und in der Schweiz. Wenn Sie auf unsere Dienste zugreifen, werden personenbezogene Daten unter Einhaltung angemessener Sicherheitsvorkehrungen, einschließlich Standardvertragsklauseln, Datenschutz-Framework-Zertifizierungen und technischer/organisatorischer Sicherheitsmaßnahmen, an unsere Server in den USA übertragen.

Rollen des Datenverantwortlichen und Datenverarbeiters

Datenverantwortlicher Wenn Sie über unsere Plattform personenbezogene Daten bereitstellen, legen wir die Verarbeitungszwecke fest und erfüllen alle geltenden Gesetze, einschließlich der Durchführung von Datenschutz-Folgenabschätzungen, sofern erforderlich.

Datenverarbeiter: Bei der Verarbeitung von Daten für Unternehmenskunden handeln wir gemäß deren Anweisungen und den geltenden Verpflichtungen für Datenverarbeiter.

Ihre Rechte gemäß der DSGVO

• Auskunftsrecht: Bestätigung der Verarbeitung einholen und Kopien Ihrer personenbezogenen Daten erhalten
• Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger personenbezogener Daten beantragen
• Recht auf Löschung: Die Löschung Ihrer Daten beantragen, wenn bestimmte Bedingungen erfüllt sind
• Recht auf Einschränkung der Verarbeitung: Beantragen, dass wir ihre Daten nur eingeschränkt nutzen dürfen
• Recht auf Datenübertragbarkeit: Daten in einem strukturierten, maschinenlesbaren Format erhalten
• Recht auf Widerspruch: Jederzeit Widerspruch gegen unsere Verarbeitung Ihrer personenbezogenen Daten einlegen
• Recht auf Widerruf der Einwilligung Eine zuvor erteilte Einwilligung kann jederzeit widerrufen werden
• Rechte in Bezug auf die automatisierte Entscheidungsfindung: Das Recht, keinen Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen
• Beschwerderecht: Eine Beschwerde bei Ihrer örtlichen Datenschutzbehörde einreichen

Verfahren für Auskunftsanträge

Wir gewähren auf Anfrage angemessenen Zugriff auf Ihre persönlichen Daten, vorbehaltlich der Identitätsüberprüfung und geltender gesetzlicher Anforderungen. Um den Zugriff zu beantragen, wenden Sie sich bitte mittels der Kontaktinformationen an uns. Wir können den Zugriff unter bestimmten Umständen verweigern, beispielsweise wenn dies gesetzlich vorgeschrieben ist oder wenn der Zugriff die Privatsphäre anderer Personen beeinträchtigen würde. Wir antworten innerhalb der geltenden Fristen und geben Ihnen eine Begründung für etwaige Ablehnungen.

Verfahren zur Wahrnehmung der Betroffenenrechte

• Bearbeitung von Anfragen: Wir verfügen über standardisierte Verfahren für die Bearbeitung von Anfragen zu Datenschutzrechten, einschließlich Identitätsprüfung, Anfragenvalidierung, Ausnahmebewertung und Koordinierung der Antworten zwischen den Geschäftsbereichen.
• Antwortfristen: Standardanfragen werden innerhalb von 30 Tagen beantwortet, bei komplexen Anfragen kann sich die Bearbeitungszeit um bis zu 60 Tage verlängern. Wir werden Sie über etwaige Verzögerungen informieren und Ihnen eine Begründung liefern.
• Anforderungen der Identitätsprüfung Im Rahmen der Identitätsprüfung müssen Sie möglicherweise Ihre E-Mail-Adresse bestätigen, Ihr Konto verifizieren oder bei Anfragen mit hohem Risiko zusätzliche Dokumente vorlegen, um missbräuchlichen Zugriff zu verhindern.

Internationale Datenübertragungen

Wir setzen geeignete Garantien um, einschließlich Standardvertragsklauseln, Angemessenheitsbeschlüssen und ergänzenden Maßnahmen gemäß Art. 46 DSGVO. Bei Übermittlungen in Länder ohne Angemessenheitsbeschlüsse führen wir Übermittlungsfolgenabschätzungen durch und ergreifen zusätzliche technische und organisatorische Maßnahmen, darunter verstärkte Verschlüsselung, Zugriffskontrollen und vertragliche Schutzvorkehrungen, um einen angemessenen Schutz zu gewährleisten.

Aufbewahrungsdauer

Wir bewahren personenbezogene Daten nur so lange auf, wie dies für die Erhebungszwecke, die Einhaltung gesetzlicher Vorschriften oder die Beilegung von Streitigkeiten erforderlich ist. Daten werden gemäß den branchenüblichen Standards für Löschung oder Anonymisierung sicher vernichtet. Die Aufbewahrungsfristen werden dokumentiert und jährlich überprüft.

Datenrichtigkeit und -qualität

Wir bemühen uns, die Richtigkeit, Vollständigkeit und Relevanz der von uns gespeicherten personenbezogenen Daten zu gewährleisten. Wir ergreifen angemessene Maßnahmen zur Gewährleistung der Datenqualität, einschließlich der Aktualisierung von Datensätzen, wenn Ungenauigkeiten festgestellt werden. Wenn Sie der Meinung sind, dass Ihre persönlichen Daten falsch oder unvollständig sind, wenden Sie sich bitte an uns, um sie zu korrigieren, indem Sie uns mittels Angaben im Abschnitt Kontaktinformationen kontaktieren.

Nutzungsbeschränkungen

Wir verwenden personenbezogene Daten nur für die bei der Erhebung angegebenen und damit vereinbaren Zwecke. Wir verwenden Ihre Daten nicht für andere Zwecke, ohne eine entsprechende Zustimmung einzuholen oder eine neue Rechtsgrundlage zu schaffen. Unsere Verarbeitungsaktivitäten werden dokumentiert und regelmäßig überprüft, um die fortlaufende Übereinstimmung mit den angegebenen Zwecken sicherzustellen.

Verarbeitung geschützter Gesundheitsinformationen (PHI) und HIPAA-Konformität

Wir können geschützte Gesundheitsinformationen („PHI“) in Übereinstimmung mit dem HIPAA verarbeiten. Zu den PHI gehören Gesundheitsdaten wie Krankengeschichte, biometrische Daten und Informationen zu gesundheitsbezogenen Aktivitäten, die im Rahmen von vom Arbeitgeber finanzierten Programmen zur Gesundheitsförderung erhoben werden oder die Sie uns ausdrücklich zur Verfügung stellen. Die Verarbeitung ist strikt auf die Unterstützung unserer Dienste unter geeigneten Schutzmaßnahmen beschränkt; PHI geben wir nur an autorisierte Parteien im Rahmen von Business-Associate-Vereinbarungen (BAA) weiter.

Aufbewahrungsfristen für Daten

• PHI- und ePHI-Aufzeichnungen: Mindestens 6 Jahre gemäß HIPAA § 164.316(b)(2)(i), wobei landesspezifische Anforderungen gelten, die längere Fristen vorsehen.
• PHI-Audit-Protokolle: Mindestaufbewahrungsfrist von 6 Jahren für alle Systeme, die ePHI enthalten oder verarbeiten, einschließlich Zugriffsprotokolle, Änderungsprotokolle und Sicherheitsereignisprotokolle
• HIPAA-Dokumentation: Sechs Jahre für alle HIPAA-Konformitätsdokumente, einschließlich Richtlinien, Verfahren, Risikobewertungen, Schulungsunterlagen und Vorfallberichte.

Allgemeine Datenaufbewahrung:

• Daten zum Nutzerkonto: Aus Sicherheitsgründen aktive Periode plus 90 Tage nach Löschung
• Daten zur Erfassung des Wohlbefindens: Bis zur Vertragsbeendigung plus 90 Tage
• Marketing-Einstellungen: Bis Sie sich abmelden, zuzüglich einer gesetzlich vorgeschriebenen Frist
• Kommunikation mit dem Support: Ein Jahr, um zur Verbesserung unserer Dienstleistungen beizutragen
• Sicherheitsprotokolle (nicht-PHI): 1 Jahr, um den Systemschutz und die Reaktion auf Vorfälle zu gewährleisten
• Geschäftsunterlagen: 7 Jahre gemäß den finanz- und steuerrechtlichen Vorschriften

Legal Hold-Verfahren: Wir müssen Daten möglicherweise länger aufbewahren, wenn dies für Gerichtsverfahren, Ermittlungen oder regulatorische Angelegenheiten erforderlich ist. Diese „Legal Holds“ haben Vorrang vor den üblichen Löschfristen, bis sie von unserer Rechtsabteilung aufgehoben werden.

Unterauftragsverarbeiter

Im Folgenden finden Sie eine vollständige Liste unserer Unterauftragsverarbeiter und Drittverarbeiter, die alle durch schriftliche Vereinbarungen an strenge Datenschutz- und Sicherheitsanforderungen gebunden sind. Diese Liste wird regelmäßig aktualisiert. Sie können sich in unsere Mailingliste eintragen, um über Änderungen informiert zu werden.

Alle Dienstleistungen:

• Coda* - Benutzerbindung und Projektmanagement - 888 Villa St, Floor 4, Mountain View, CA 94041
• Datagrail - Datenschutzautomatisierung - 164 Townsend Street, Suite 12, San Francisco, CA 94107 US
• Fivetran - ETL-Datenpipeline - 405 14th St floor 11, Oakland, CA 94612 US
• Google Cloud Platform - Data Warehouse - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• Google Workspace* - Inhaltserstellung - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• HubSpot - E-Mail-Marketing - 25 First Street, 2nd Floor Cambridge, MA 02141
• Looker - Datenanalyse - 101 Church Street, 4th Floor, Santa Cruz, CA 95060 US
• Microsoft Azure - Cloud-Hosting-Anbieter - One Microsoft Way, Redmond, WA 980527 US
• Rethink Autism* - Anbieter von Diensten für neurodiverse Menschen - 49 West 27th Street, New York, NY 10001
• Salesforce - Kundenbeziehungsmanagement - The Landmark @ One Market, Suite 300 San Francisco, CA 94105 US
• Segment - Nutzeranalyse - 100 California Street, Suite 700 San Francisco, CA 94111 US
• Typeform* - Umfrageplattform - Calle de Pallars 108 (Aticco), 08018 - Barcelona (Spanien)
• Zapier* - Workflow-Automatisierung - 548 Market St. #62411, San Francisco, CA 94104
• Zendesk - Software für Nutzersupport - 450 Park Ave S, New York, NY 10016

Nur für die Website zuständige Unterauftragsverarbeiter

• Webflow - Marketing-Website-Host - 398 11th Street, 2nd Floor, San Francisco, CA 94103

Nur für die App zuständige Unterauftragsverarbeiter:

• Amazon Web Services* - SFTP - 410 Terry Avenue North, Seattle, WA 98109 US
• Datadog - Plattform für Infrastruktur- und Sicherheitsüberwachung - 620 8th Avenue, Floor 45, New York, NY 10018
• HumanAPI* - Integration von Wearables - 951 Mariners Island Blvd., Suite 300
• Qualtrics - Umfrage-Plattform - 333 W River Park Dr, Provo, UT 84604, US
• Mailgun Transaktions-E-Mails - 112 E Pecan Street, San Antonio, TX 78205 US

*Möglicherweise nicht für alle Nutzer zutreffend.

Datenschutzanforderungen für Auftragnehmer und Auftragsverarbeiter

Alle Auftragnehmer und Verarbeiter unterliegen strengen Standards, die in schriftlichen Vereinbarungen festgelegt sind und die Einhaltung der DSGVO, des CCPA und des HIPAA, angemessene Sicherheitsmaßnahmen, eine 72-Stunden-Meldepflicht bei Datenschutzverletzungen, regelmäßige Audits sowie die Rückgabe/Vernichtung der Daten nach Beendigung des Vertragsverhältnisses vorschreiben.

Meldung von Datenschutzvorfällen

Wir unterhalten transparente Meldeverfahren, um datenschutzrelevante Vorfälle, Anfragen und Compliance-Aktivitäten zu dokumentieren und zu bearbeiten. Wir unterziehen unsere Datenschutzpraktiken regelmäßigen Überprüfungen und erstatten den zuständigen Stellen, einschließlich den Aufsichtsbehörden, gemäß den gesetzlichen Bestimmungen Bericht. Im Falle einer Datenschutzverletzung benachrichtigen wir die betroffenen Personen und Behörden unverzüglich gemäß den geltenden gesetzlichen Verpflichtungen.

Kalifornischer Datenschutzhinweis

Do Not Track und CCPA

Wir reagieren nicht auf "Do Not Track"-Signale. Wir verkaufen personenbezogene Daten nicht gegen Geld, doch die weit gefasste Definition des „Verkaufs“ nach kalifornischem Recht verpflichtet uns, die Weitergabe von Cookie-Daten an Drittanbieter offenzulegen.

Verbraucherrechte in Kalifornien

Auskunftsrechte: Kategorien und Quellen der erhobenen personenbezogenen Daten, Verarbeitungszwecke, Kategorien von Dritten, an die Daten weitergegeben werden, und Zwecke der Offenlegung für geschäftliche Zwecke.

Kontrollrechte: Verzicht auf den "Verkauf" von Daten, Antrag auf Löschung (vorbehaltlich von Ausnahmen) und Nichtdiskriminierung bei der Ausübung von Rechten.

Wie Sie Ihre Rechte ausüben können: Besuchen Sie https://preferences.thriveglobal.com/privacy oder kontaktieren Sie uns über die Kontaktinformationen.

Datenschutz für Kinder

Die Dienste von Thrive sind für die Nutzung durch Personen ab 16 Jahren im Rahmen von arbeitgeberfinanzierten Programmen bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren ohne die entsprechende Einwilligung eines Elternteils, Erziehungsberechtigten oder bevollmächtigten Mitarbeiters des teilnehmenden Unternehmens. Sollten wir Kenntnis davon erlangen, dass personenbezogene Daten von einem Kind ohne die erforderliche Einwilligung erhoben wurden, werden wir diese Daten umgehend löschen und Maßnahmen ergreifen, um eine künftige Erhebung zu verhindern. Für Nutzer unter 18 Jahren kann der Zugriff auf die Dienste die Zustimmung der Eltern oder Erziehungsberechtigten gemäß den geltenden Gesetzen wie COPPA (Children's Online Privacy Protection Act), CCPA/CPRA und DSGVO erfordern. Thrive vermarktet seine Dienste nicht direkt an Kinder und erlaubt keine Selbstregistrierung durch Minderjährige. Wenn Sie glauben, dass wir unter Verstoß gegen diesen Abschnitt Daten von einem Kind erhoben haben, kontaktieren Sie uns bitte umgehend unter privacy@thriveglobal.com.

HIPAA-Compliance-Programm

Einhaltung der HIPAA-Vorschriften

• Einhaltung der Datenschutzbestimmungen: Wir halten uns an die Anforderungen der HIPAA-Datenschutzbestimmungen, einschließlich der Rechte des Einzelnen, der Mindeststandards, der Hinweise zu Datenschutzpraktiken sowie der administrativen, physischen und technischen Sicherheitsvorkehrungen.
• Einhaltung der Sicherheitsvorschriften: Wir setzen die verpflichtenden und adressierbaren Implementierungsvorgaben der HIPAA Security Rule um und dokumentieren Entscheidungen zu adressierbaren Vorgaben anhand von Risikobewertungen und unserer organisatorischen Kapazitäten.
• Durchsetzung und Sanktionen: Wir erkennen die Durchsetzungsbefugnis des Office for Civil Rights (HHS) an und unterhalten Compliance-Programme, um Verstöße zu vermeiden, die zu zivilrechtlichen Geldbußen oder strafrechtlicher Verfolgung führen könnten.
• Einhaltung der Gesetze der US-Bundesstaaten Wir erfüllen sämtliche einschlägigen Datenschutz- und Sicherheitsgesetze der US-Bundesstaaten, die über die HIPAA-Vorgaben hinausgehende Schutzmaßnahmen für Gesundheitsdaten vorsehen

Datenschutzbeauftragter und Sicherheitsbeauftragter

Datenschutzbeauftragter: Verantwortlich für Entwicklung, Umsetzung und Pflege von Datenschutzrichtlinien und -verfahren, Durchführung von Datenschutzschulungen, Untersuchung von Beschwerden und Sicherstellung der Einhaltung der HIPAA-Datenschutzbestimmungen.

Sicherheitsbeauftragter: Verantwortlich für Entwicklung, Umsetzung und Pflege von Sicherheitsrichtlinien und -verfahren, Durchführung von Sicherheitsschulungen, Verwaltung von Zugriffskontrollen und Sicherstellung der Einhaltung der HIPAA-Sicherheitsbestimmungen.

Business-Associate-Management

Vereinbarungen mit Geschäftspartnern (Business Associate Agreements, BAAs): Alle Lieferanten, Auftragnehmer und Unterauftragsverarbeiter, die in unserem Auftrag personenbezogene Daten verarbeiten, müssen Business Associate Agreements (Verträge für Geschäftspartner) abschließen, die Folgendes enthalten:

• Zulässige Nutzung und Offenlegung von PHI
• Schutzmaßnahmen zur Verhinderung einer unbefugten Nutzung oder Offenlegung
• Meldepflichten bei Datenschutzverletzungen
• Rückgabe oder Vernichtung der PHI bei Vertragsende
• Compliance-Überwachung und Auditrechte

Überwachung von Subunternehmern: Geschäftspartner müssen vor der Beauftragung von Subunternehmern unsere Genehmigung einholen und sicherstellen, dass alle PHI-verarbeitenden Subunternehmer eine entsprechende BAA unterzeichnen.

HIPAA-Risikobewertung und Compliance-Überwachung

Jährliche Risikobewertungen: Wir führen jährlich Risikobewertungen durch, um Schwachstellen zu identifizieren, aktuelle Sicherheitsvorkehrungen zu bewerten und zusätzliche Sicherheitsmaßnahmen zum Schutz von ePHI zu ermitteln.

Schulungen für Arbeitskräfte: Alle Mitarbeitenden erhalten bei ihrer Einstellung und danach einmal jährlich eine Schulung zu Datenschutz und -sicherheit gemäß HIPAA, wobei Mitarbeitende mit Zugang zu PHI eine auf ihre Rolle zugeschnittene Schulung erhalten.

Compliance-Überwachung: Wir überwachen die Compliance fortlaufend durch:

• Regelmäßige Überprüfung von Audit-Protokollen und Zugriffsüberwachung
• Vierteljährliche Überprüfung der Zugriffskontrollen und Validierung der Berechtigungen
• Jährliche Überprüfung und Aktualisierung von Richtlinien und Verfahren
• Vorfallverfolgung und Korrekturmaßnahmenmanagement

Erforderlicher Mindeststandard: Wir beschränken die Nutzung, Offenlegung und Anforderung von PHI auf das für den vorgesehenen Zweck erforderliche Minimum, mit Ausnahme von Offenlegungen gegenüber der betroffenen Person oder wenn dies ausdrücklich genehmigt wurde.

Individuelle Rechte gemäß HIPAA: Sie haben das Recht auf:

• Zugriff und Abruf einer Kopie Ihrer PHI
• Berichtigung unrichtiger oder unvollständiger PHI
• Einschränkung der Verwendung oder Offenlegung Ihrer PHI
• Anforderung vertraulicher Kommunikation
• Erhalt der Dokumentation über PHI-Offenlegungen
• Einreichen von Beschwerden zum Umgang mit Ihren PHI

HIPAA-Sicherheitsmaßnahmen

Administrative Sicherheitsmaßnahmen:

• Festgelegter HIPAA-Sicherheitsbeauftragter, verantwortlich für die Sicherheit elektronischer geschützter Gesundheitsdaten (ePHI)
• Schulung von Mitarbeitenden und Verfahren zur Zugangsverwaltung
• Verwaltung des Informationszugriffs auf Grundlage des Grundsatzes der minimalen Notwendigkeit
• Verfahren für Sicherheitsvorfälle und Notfallplanung
• Regelmäßige Sicherheits- und Risikobewertungen

Physische Sicherheitsmaßnahmen:

• Zutrittskontrollen für Standorte, um den physischen Zugriff auf ePHI-Systeme zu beschränken
• Geräte- und Medienkontrollen für Erstellung, Empfang und Speicherung von ePHI
• Sichere Entsorgungsverfahren für Geräte und Medien, auf denen ePHI gespeichert sind

Technische Sicherheitsmaßnahmen:

• Eindeutige Benutzeridentifizierung und automatische Abmeldeverfahren
• Verschlüsselung von ePHI im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2 oder höher)
• Audit-Kontrollen zur Protokollierung von ePHI-Zugriffen und -Änderungen
• Integritätskontrollen zur Verhinderung unbefugter Änderungen von ePHI
• Übertragungssicherheit für ePHI-Kommunikation

Sicherheit

Wir überprüfen und aktualisieren regelmäßig unsere Sicherheitsmaßnahmen, um den sich ständig wandelnden Bedrohungen und gesetzlichen Anforderungen gerecht zu werden. Obwohl wir strenge Maßnahmen zum Schutz Ihrer Daten ergreifen, ist keine Internet- oder E-Mail-Übertragung vollständig sicher. Wir bitten Sie um Umsicht bei der Weitergabe vertraulicher Informationen per E-Mail oder über offene Kommunikationskanäle. Thrive kann keine Gewähr für die Handlungen anderer Nutzer übernehmen, denen Sie Informationen zur Verfügung stellen, und wir sind nicht verantwortlich für die Umgehung von Datenschutzeinstellungen oder Sicherheitsfunktionen innerhalb der Dienste. Weitere Informationen zur Sicherheitslage und Zertifizierung von Thrive finden Sie unter https://thriveglobal.com/security.

Cookies

Wir nutzen Cookies und andere Technologien, um Dienste zu betreiben, die Benutzererfahrung zu verbessern und Nutzungsdaten zu erfassen.

Cookie-Typen

Notwendige Cookies (immer aktiv):

• HubSpot: Datenschutzeinstellungen (__hs_do_not_track, __hs_cookie_cat_pref)
• Cloudflare: Schutzmaßnahmen (_cfuvid)

Funktionale Cookies (optional):

• Spotify: Musikpräferenzen (sp_landing, sp_t)

Analyse-Cookies (optional):

• HubSpot: Nutzungstracking (hubspotutk, __hstc, __hssrc, __hssc)
• Thrive Global: Interaktionsverfolgung (ajs_anonymous_id)
• Google Analytics: Traffic-Analyse (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
• Rippling: Leistungsüberwachung (__cf_bm)
• YouTube: Videoananalyse (YSC)
• WordPress Engine: Funktionstests (wordpress_test_cookie)

Werbe-Cookies (optional):

• YouTube: Anzeigenpersonalisierung (VISITOR_INFO1_LIVE)

Ihre Wahlmöglichkeiten

In den meisten Browsern können Cookies über die Einstellungen verwaltet werden. Das Einschränken von Cookies kann die Funktionalität von Websites beeinträchtigen. Möglicherweise sind die Funktionen zur Nachverfolgung mobiler Geräte eingeschränkt.

Links zu anderen Websites

Die Dienste können Links zu externen Websites von Drittanbietern, die nicht von uns verwaltet werden, enthalten. Die Weitergabe von Informationen auf Websites Dritter unterliegt deren Datenschutzbestimmungen , nicht unserer. Wir übernehmen keine Verantwortung für den Inhalt verlinkter Websites.

Kontaktinformationen

Datenschutz-Team

• Email: privacy@thriveglobal.com
• Datenschutz-Portal https://preferences.thriveglobal.com/privacy
• Telefon: +11-888-700-8474

Datenschutzbeauftragter

• Email: dpo@thriveglobal.com

Sicherheitsteam

• Email: security@thriveglobal.com

Postanschrift

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tel: +11-888-700-8474

Für Einwohner der EU/Großbritanniens/der Schweiz (Datenschutzbeauftragter)

• Online form: www.dpr.eu.com/thriveglobal
• E-Mail: thriveglobal@datarep.com
• Irland: DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, Republik Irland
• Island: DataRep, Laugavegur 13, 101 Reykjavik, Island

---

© 2025 Thrive Global Holdings, Inc. Alle Rechte vorbehalten.