Privacy Policy — Empelio

Stand: November 2025
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener
Daten im Zusammenhang mit der Nutzung der Plattform Empelio (nachfolgend
„Plattform“).
Die Plattform wird betrieben von:
Empelio GmbH
Wilkeplatz 9
59581 Warstein
E-Mail: info@empelio.de
Vertreten durch den Geschäftsführer: Lars Dolle

1. Allgemeines

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Die Verarbeitung
Ihrer Daten erfolgt ausschließlich im Rahmen der gesetzlichen Bestimmungen,
insbesondere der Datenschutz-Grundverordnung (DSGVO) und des
Bundesdatenschutzgesetzes (BDSG).
Diese Datenschutzerklärung gilt für sämtliche Nutzer der Empelio-Plattform,
unabhängig davon, ob Sie als Administrator, Mitarbeiter oder Unternehmensvertreter
Zugriff haben.
Mandanten (Unternehmen) können eigene datenschutzrechtliche Ergänzungen
hinzufügen, soweit sie selbst Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO für ihre
jeweiligen Inhalte oder eingebundenen Datenverarbeitungen sind.

2. Verantwortlicher

Empelio GmbH
Wilkeplatz 9
59581 Warstein
E-Mail: info@empelio.de
Vertreten durch den Geschäftsführer: Lars Dolle
Ein Datenschutzbeauftragter ist derzeit nicht benannt, da keine gesetzliche
Verpflichtung gemäß Art. 37 DSGVO besteht.

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich zu dem Zweck, die Funktionen
und Dienste der Empelio-Plattform bereitzustellen, zu betreiben und die Sicherheit
sowie Integrität des Systems zu gewährleisten.

Rechtsgrundlagen:
• Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Erfüllung eines Vertrags oder zur

Durchführung vorvertraglicher Maßnahmen (Bereitstellung der Plattform,
Nutzerverwaltung, Kurszugriff, digitale Personalakten).

• Art. 6 Abs. 1 lit. f DSGVO – Verarbeitung zur Wahrung berechtigter Interessen
(Sicherheit, Systemstabilität, Missbrauchsvermeidung).

• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Pflichten, insbesondere
Aufbewahrungspflichten im Personal- und Rechnungswesen.

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, soweit Nutzer freiwillig zusätzliche
Daten bereitstellen (z. B. Profilbild, Chat-Nachrichten, optionale Kursstatistiken).

4. Kategorien verarbeiteter Daten

Im Rahmen der Nutzung der Plattform werden insbesondere folgende Daten verarbeitet:

• Stammdaten: Vorname, Nachname, E-Mail-Adresse,
Unternehmenszugehörigkeit, Benutzer-ID.

• Zugangsdaten: Login-Informationen, Passworthash, Token-Informationen
(Access- und Refresh-Token).

• Nutzungsdaten: Logins, Rollen, Kursfortschritte, Zertifikate,
Systeminteraktionen.

• Kommunikationsdaten: Chatnachrichten, interne Mitteilungen,
Benachrichtigungen.

• Dokumente: Personalakten, Nachweise, hochgeladene Dateien, digitale
Schulungsunterlagen.

• Systemdaten: IP-Adresse, Browsertyp, Zeitstempel, Spracheinstellung (locale),
technische Logs.

Die Plattform selbst erhebt keine sensiblen Daten im Sinne des Art. 9 DSGVO, es sei
denn, solche werden im Rahmen der HR-Module durch den jeweiligen Mandanten
selbst eingepflegt. In diesen Fällen liegt die Verantwortung für die Rechtmäßigkeit der
Verarbeitung beim jeweiligen Mandanten.

5. Cookies und vergleichbare Technologien

Die Plattform verwendet ausschließlich technisch notwendige Cookies und Token:

• Access Token (JWT): zur Authentifizierung während der Sitzung.

• Refresh Token: zur Erneuerung des Zugriffs, sofern die Sitzung fortgesetzt wird.
• Locale Cookie: zur Speicherung der bevorzugten Spracheinstellung.

Es werden keine Tracking- oder Analyse-Cookies gesetzt.
Eine Verknüpfung mit Drittanbietern erfolgt nicht.

6. Eingebundene Inhalte Dritter

Administratoren von Unternehmensmandanten können in ihren Dashboards externe
Inhalte, insbesondere YouTube-Videos, einbetten.
Beim Abruf solcher Inhalte kann es zur Datenübertragung an den jeweiligen Anbieter (z.
B. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) kommen.
In diesen Fällen liegt die datenschutzrechtliche Verantwortung beim jeweiligen
Mandanten, der den externen Inhalt einbindet.
Empelio stellt lediglich die technische Infrastruktur bereit und istnicht verantwortlich
für die Verarbeitung personenbezogener Daten durch den Drittanbieter.

7. Empfänger und Zugriffsberechtigte

Innerhalb der Empelio GmbH haben nur diejenigen Personen Zugriff auf
personenbezogene Daten, die diese zur Erfüllung ihrer Aufgaben benötigen (z. B.
Systemadministration, Support, Buchhaltung).
Eine Weitergabe an Dritte findet nicht statt, es sei denn, dies ist gesetzlich
vorgeschrieben oder für die Vertragsabwicklung erforderlich.
Eine Datenübermittlung in Drittländer (außerhalb der EU/EWR) erfolgt nicht.

8. Hosting und Datensicherheit

Die Plattform wird vollständig auf Servern der Empelio GmbH betrieben.
Die Systeme laufen in einem europäischen Kubernetes-Cluster, betrieben und
verwaltet durch die Empelio GmbH
E-Mail-Kommunikation erfolgt über den eigenen Mailu-Mailserver, Dateien werden im
eigenen MinIO-Objektspeicher gespeichert.
Sämtliche Datenübertragungen erfolgen ausschließlich überTLS-verschlüsselte
Verbindungen (HTTPS).
Zugriffe sind durch rollenbasierte Berechtigungen, Audit-Logs und Token-basierte
Authentifizierung abgesichert.

9. Speicherdauer und Löschung

Personenbezogene Daten werden gelöscht, sobald sie für die genannten Zwecke nicht
mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Konkret gilt:

• Kontodaten: nach Löschung des Benutzerkontos.
• Kursdaten: nach Abschluss oder Löschung der Teilnahme.
• Personalakten und Nachweise: gemäß gesetzlichen Aufbewahrungspflichten (z.

B. 6 bzw. 10 Jahre).
• Logdaten: nach maximal 90 Tagen.

Sofern Mandanten eigene Löschkonzepte umsetzen, gelten diese ergänzend.

10. Rechte der betroffenen Personen

Sie haben nach der DSGVO insbesondere folgende Rechte:

• Auskunft über die gespeicherten personenbezogenen Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO),
• Löschung („Recht auf Vergessenwerden“) gemäß Art. 17 DSGVO,
•Einschränkung der Verarbeitung nach Art. 18 DSGVO,
•Datenübertragbarkeit gemäß Art. 20 DSGVO,
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
Empelio GmbH, Wilkeplatz 9, 59581 Warstein, E-Mail: info@empelio.de

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung
Ihrer personenbezogenen Daten zu beschweren.
Zuständig ist insbesondere die Landesbeauftragte für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

12. Änderungen dieser Datenschutzerklärung

Empelio behält sich vor, diese Datenschutzerklärung jederzeit unter Beachtung der
geltenden Datenschutzvorschriften zu ändern.

Die jeweils aktuelle Fassung ist über die Plattform abrufbar.
Änderungen werden den Nutzern beim nächsten Login angezeigt und müssen aktiv
bestätigt werden.

13. Geltungsbereich und Mandanten-Erweiterungen

Diese Datenschutzerklärung gilt für sämtliche Nutzer der Empelio-Plattform.
Unternehmensmandanten können sie im Rahmen ihres Mandantenbereichs um eigene
datenschutzrechtliche Hinweise ergänzen, soweit sie selbst als Verantwortliche
personenbezogene Daten ihrer Mitarbeiter verarbeiten.
Empelio bleibt in diesen Fällen Auftragsverarbeiter im Sinne des Art. 28 DSGVO.