Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung:

werkbank://digital GmbH

Alt-Moabit 50

10555 Berlin

Deutschland

E-Mail: hallo@werkbank-digital.de

Ansprechpartner: Jonas Mischke

2. Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck von deren Verwendung

a) Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert: IP-Adresse des anfragenden Rechners, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, Website, von der aus der Zugriff erfolgt (Referrer-URL), Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers Die genannten Daten werden durch uns zu folgenden Zwecken verarbeitet: Gewährleistung eines reibungslosen Verbindungsaufbaus der Website, Gewährleistung einer komfortablen Nutzung unserer Website, Auswertung der Systemsicherheit und -stabilität sowie zu weiteren administrativen Zwecken. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus oben aufgelisteten Zwecken zur Datenerhebung.

b) Bei Nutzung unseres Kontaktformulars

Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über ein auf der Website bereitgestelltes Formular Kontakt aufzunehmen. Dabei ist die Angabe einer gültigen E-Mail-Adresse erforderlich, damit wir wissen, von wem die Anfrage stammt und um diese beantworten zu können. Weitere Angaben können freiwillig getätigt werden. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit uns erfolgt nach Art. 6 Abs. 1 S. 1 lit. a DSGVO auf Grundlage Ihrer freiwillig erteilten Einwilligung.

3. Weitergabe von Daten

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn: Sie Ihre nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ausdrückliche Einwilligung dazu erteilt hast, die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten hast, für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht, sowie dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

4. Cookies

Wir setzen auf unserer Seite Cookies ein. Hierbei handelt es sich um kleine Dateien, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Seite besuchen. Die durch Cookies verarbeiteten Daten sind für die genannten Zwecke zur Wahrung unserer berechtigten Interessen sowie der Dritter nach Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich. Die meisten Browser akzeptieren Cookies automatisch. Sie können Ihren Browser jedoch so konfigurieren, dass keine Cookies auf Ihrem Computer gespeichert werden oder stets ein Hinweis erscheint, bevor ein neuer Cookie angelegt wird. Die vollständige Deaktivierung von Cookies kann jedoch dazu führen, dass Sie nicht alle Funktionen unserer Website nutzen können.

3. Datenverarbeitung auf unserer Website

3.1 Server-Logfiles

Bei jedem Aufruf unserer Website verarbeiten wir automatisiert technische Daten in sogenannten Server-Logfiles. Dies umfasst z. B. IP-Adresse (in anonymisierter Form), Datum und Uhrzeit des Zugriffs, abgerufene Seite/Datei, übertragene Datenmenge, Browser-Typ und -Version, Betriebssystem und Referrer-URL. Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs der Website, zur IT-Sicherheit sowie zur Verbesserung unseres Angebots verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und funktionsfähigen Präsentation unseres Webauftritts). Die Logfiles werden nach [z. B. 7 Tagen] automatisch gelöscht.

3.2 Webanalyse mit Google Analytics

Unsere Website nutzt Google Analytics (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies und ähnliche Technologien, um Informationen über das Nutzungsverhalten unserer Website zu erheben. Dies umfasst insbesondere: pseudonyme Kennungen (z. B. Cookie-ID), technische Informationen zu Ihrem Gerät und Browser, Referrer-URL, ungefähre Standortdaten, sowie Nutzungsdaten wie aufgerufene Seiten, Verweildauer und Interaktionen. Wir haben Google Analytics so konfiguriert, dass die IP-Adressen der Besucher vor jeder Speicherung anonymisiert werden (IP-Maskierung). Google verarbeitet die Analytics-Daten in unserem Auftrag zur Auswertung der Websitenutzung und stellt uns Reports über die Websiteaktivitäten zur Verfügung.

Drittlandübermittlung: Es kann nicht ausgeschlossen werden, dass Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, USA (Mutterkonzern von Google Ireland) Zugriff auf die Analytics-Daten erhält. Google LLC ist nach dem EU–US Data Privacy Framework zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten. Soweit Daten in die USA übertragen werden, haben wir mit Google EU-Standarddatenschutzklauseln abgeschlossen, um ein angemessenes Datenschutzniveau zu gewährleisten. Dennoch kann ein Restrisiko nicht vollständig ausgeschlossen werden (vgl. hierzu die Hinweise unter Punkt 2).

Rechtsgrundlage: Wir setzen Google Analytics nur ein, nachdem Sie hierzu Ihre Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung wird im Rahmen unseres Cookie-Banners eingeholt (§ 25 Abs. 1 TTDSG). Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen entsprechend anpassen.

Speicherdauer: Die in Google Analytics erhobenen Daten werden [standardmäßig 14 Monate] aufbewahrt und anschließend automatisch gelöscht.

3.3 Kontaktformular und E-Mail-Kontakt

Wenn Sie über unser Kontaktformular oder per E-Mail mit uns in Kontakt treten, verarbeiten wir die von Ihnen eingegebenen Daten (z. B. Name, E-Mail-Adresse, Telefonnummer und den Nachrichtentext) ausschließlich zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage. Diese Daten geben wir nicht ohne Ihre Einwilligung an Dritte weiter. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Kontaktaufnahme mit der Anbahnung oder Erfüllung eines Vertrags zusammenhängt (z. B. Anfrage zu unseren Beratungsleistungen). Erfolgt die Anfrage aus anderen Gründen, verarbeiten wir die Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse daran haben, Anfragen zu beantworten. In letzterem Fall haben Sie das Recht, der Verarbeitung Ihrer Daten jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen. Wir nutzen Ihre Kontaktdaten ausschließlich zur Bearbeitung Ihrer Anfrage. Nach abschließender Bearbeitung werden Ihre Angaben gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3.4 Newsletter-Versand

Sie haben die Möglichkeit, einen Newsletter zu abonnieren, in dem wir Sie regelmäßig über unser Unternehmen, unsere Leistungen und Neuigkeiten aus der Branche informieren. Für die Anmeldung benötigen wir mindestens Ihre E-Mail-Adresse; weitere Angaben (z. B. Ihr Name zur persönlichen Ansprache) sind freiwillig. Die Anmeldung zum Newsletter erfolgt im Double-Opt-In-Verfahren: Sie erhalten nach der Registrierung eine E-Mail, in der Sie durch Klick auf einen Bestätigungslink verifizieren, dass Sie den Newsletter erhalten möchten. Ohne diese Bestätigung erfolgt kein Newsletter-Versand. Rechtsgrundlage: Die Verarbeitung Ihrer E-Mail-Adresse zum Newsletterversand erfolgt auf Grundlage Ihrer freiwilligen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Abmelde-Link in jedem Newsletter anklicken oder uns eine entsprechende Mitteilung (per E-Mail oder Post) zukommen lassen. Nach erfolgtem Widerruf werden Ihre zum Newsletter angemeldeten Daten unverzüglich gelöscht, soweit sie nicht ausnahmsweise für andere zulässige Zwecke weiterverarbeitet werden dürfen. Wir protokollieren im Rahmen der Newsletter-Anmeldung den Zeitpunkt der Anmeldung und Bestätigung sowie die dabei verwendeten IP-Adressen. Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einem rechtskonformen Nachweis Ihrer Einwilligung und der Verhinderung von Missbrauch unseres Newsletters.

3.5 Freebie-Downloads und ähnliche Angebote

Gelegentlich bieten wir auf unserer Website kostenfreie Ressourcen (sogenannte “Freebies”, z. B. E-Books, Checklisten, Whitepaper) zum Download an. Wenn Sie ein solches Angebot nutzen möchten, werden Sie möglicherweise gebeten, ein Formular mit Ihrem Namen und Ihrer E-Mail-Adresse auszufüllen. Wir verwenden diese Daten ausschließlich, um Ihnen das gewünschte Freebie bereitzustellen und ggf. um einmalig nachzufragen, ob das Material hilfreich war. Falls der Freebie-Download mit der Anmeldung zu unserem Newsletter verbunden ist, klären wir Sie hierüber gesondert im Rahmen des Anmeldevorgangs auf und holen Ihre ausdrückliche Einwilligung ein. Rechtsgrundlage: Die Verarbeitung Ihrer in diesem Zusammenhang angegebenen Daten erfolgt – je nach Ausgestaltung des Freebie-Angebots – entweder zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin (Art. 6 Abs. 1 lit. b DSGVO) oder auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) in die weitergehende Nutzung, insbesondere wenn Sie dem Erhalt weiterer Informationen (Newsletter) zugestimmt haben. Ihre Daten werden auch hier nicht an Dritte weitergegeben. Wir speichern die im Rahmen von Freebie-Anfragen erhobenen Daten nur so lange, wie es zur Zustellung des Materials und einer etwaigen Anschlusskommunikation erforderlich ist, und löschen sie anschließend, sofern Sie nicht in eine weitere Verwendung (z. B. Aufnahme in den Newsletter) eingewilligt haben.

5. Einsatz von Tools und Diensten für unsere Geschäftsprozesse

Im Rahmen unserer Beratungsleistungen setzen wir verschiedene digitale Tools ein, um unsere internen Abläufe effizient zu gestalten, die Kommunikation mit Kunden zu verbessern und unsere Leistungen zu erbringen. Im Folgenden informieren wir Sie detailliert über die einzelnen Dienste, die Zwecke der jeweiligen Datenverarbeitung, die verarbeiteten Datenkategorien, eventuelle Datenübermittlungen in Drittstaaten sowie die einschlägigen Rechtsgrundlagen. Für alle genannten Dienste besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO zwischen uns und dem jeweiligen Anbieter, der die DSGVO-konforme Verarbeitung Ihrer Daten gewährleistet.

Fireflies.ai (Meeting-Aufzeichnung und -Transkription)

Anbieter: Fireflies.ai, Inc., 548 Market St, PMB 22543, San Francisco, CA 94104, USA

Zweck der Verarbeitung: Wir nutzen Fireflies.ai, um geschäftliche Meetings und Kundengespräche automatisiert aufzuzeichnen und in Textform zu transkribieren. Dies dient der Protokollierung von Besprechungen, der Qualitätssicherung sowie der internen Schulung und Verbesserung unserer Dienstleistungen. Durch die Transkripte können wir Gesprächsinhalte genauer analysieren, Aufgaben ableiten und unser Wissensmanagement optimieren. Verarbeitete Daten: Audiomitschnitte der Meetings (Stimmen der Teilnehmer) und daraus erzeugte Text-Transkriptionen. Gegebenenfalls können in den Gesprächen personenbezogene Daten genannt werden (z. B. Name und berufliche Position der Teilnehmer, besprochene Unternehmensdetails) und somit im Protokoll auftauchen. Außerdem können Metadaten wie Datum, Uhrzeit, Dauer des Meetings und Teilnehmerliste verarbeitet werden.

Rechtsgrundlage: Die Aufzeichnung und Verarbeitung erfolgt nur mit vorheriger Einwilligung der Gesprächsteilnehmer (Art. 6 Abs. 1 lit. a DSGVO). Soweit die Protokollierung der Qualitätssicherung und Verbesserung unseres Angebots dient, berufen wir uns ergänzend auf unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Hinweis: Ohne entsprechende Einwilligung wird Fireflies.ai in einem Meeting nicht aktiviert. Übermittlung in Drittstaaten: Fireflies.ai speichert die Aufzeichnungen und Transkripte auf Servern in den USA. Wir haben mit dem Anbieter die EU-Standardvertragsklauseln abgeschlossen, um ein angemessenes Datenschutzniveau sicherzustellen. Ein Restrisiko durch den möglichen Zugriff US-amerikanischer Stellen kann trotz aller Maßnahmen nicht gänzlich ausgeschlossen werden (siehe hierzu Punkt 2 oben).

Speicherdauer: Nach Angaben von Fireflies.ai werden sämtliche Meeting-Daten spätestens 12 Monate nach ihrer Erfassung automatisiert gelöscht. Sie haben zudem jederzeit die Möglichkeit, einzelne Aufzeichnungen manuell zu löschen, woraufhin diese umgehend und vollständig aus allen Systemen entfernt werden. Unabhängig von diesen automatischen Löschfristen bewahren wir Meeting-Transkripte nicht länger auf, als es für die genannten Zwecke erforderlich ist. Sofern Sie die Löschung eines Gesprächsprotokolls wünschen, kommen wir dem selbstverständlich unverzüglich nach.

Notion (Wissensdatenbank und Projektmanagement)

Anbieter: Notion Labs, Inc., 548 Market St #74567, San Francisco, CA 94104, USA. Zweck der Verarbeitung: Wir verwenden Notion als zentrale Wissens- und Projektmanagement-Plattform. In Notion organisieren wir interne Wissensdokumente, Projektdaten und Zusammenarbeit im Team. Dies umfasst z. B. das Festhalten von Projektplänen, Aufgaben, Meeting-Notizen, Ideen und Referenzmaterial. Zweck ist eine effiziente Dokumentation und Ablage unseres Beratungs-Know-hows sowie die Verbesserung der Team-Kollaboration. Dadurch können wir Beratungsprojekte im Holzbau-Bereich strukturierter und nachverfolgbar durchführen. Verarbeitete Daten: Vor allem geschäftliche Kontaktdaten und projektbezogene Informationen. Dies können z. B. Namen und Kontaktdetails von Kunden (Ansprechpartner, E-Mail, Telefon, Unternehmensname und -adresse, Position) sein, die im Rahmen von Projekteinträgen oder Datenbanken gespeichert werden. Ferner können in Notion Projektbeschreibungen, Gesprächsnotizen, Aufgabenlisten, Terminpläne, technische Dokumentationen u. Ä. abgelegt sein, die sich auf unsere Kundenprojekte beziehen. Soweit dabei personenbezogene Daten unserer Kunden oder deren Mitarbeiter auftauchen (z. B. Nennung eines Projektbeteiligten mit Name/Funktion oder Inhalte von Meeting-Protokollen), werden auch diese in Notion verarbeitet. Notion AI (falls von uns genutzt) kann ebenfalls auf diese Inhalte zugreifen, verarbeitet aber laut Anbieter keine personenbezogenen Daten gezielt, sondern dient nur der automatisierten Unterstützung (z. B. Zusammenfassungen erstellen).

Rechtsgrundlage: Die Speicherung und Verwaltung solcher Daten in Notion erfolgt, soweit dies zur Vertragserfüllung im Rahmen unserer Beratungsprojekte erforderlich ist, auf Basis von Art. 6 Abs. 1 lit. b DSGVO. Dies ist insbesondere der Fall, wenn wir kundenbezogene Informationen dokumentieren, um den Beratungsvertrag ordnungsgemäß abzuwickeln (z. B. Fortschrittsdokumentation, Aufgabenverfolgung). Soweit die Nutzung von Notion der internen Organisation und Effizienzsteigerung dient, berufen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Projektkoordination und Wissensmanagement). Übermittlung in Drittstaaten: Die Notion-Plattform wird durch einen Anbieter in den USA bereitgestellt. Personenbezogene Daten können daher in die USA übertragen und dort gespeichert werden. Notion Labs, Inc. bietet einen Auftragsverarbeitungsvertrag und garantiert die Einhaltung der EU-Standardvertragsklauseln. Wir haben entsprechende vertragliche Vereinbarungen getroffen. Hinweis: Aktuell liegt für die USA ein Angemessenheitsbeschluss (Data Privacy Framework) nicht für Notion vor, sodass wir uns auf die Standardvertragsklauseln stützen. Trotz dieser Maßnahmen kann ein Zugriff US-amerikanischer Behörden auf die in Notion gespeicherten Daten nicht absolut ausgeschlossen werden (vgl. Punkt 2).

Speicherdauer: Wir überprüfen regelmäßig die in Notion gespeicherten Inhalte auf Erforderlichkeit. Projektbezogene personenbezogene Daten werden von uns spätestens nach Abschluss eines Projekts oder Wegfall des Zwecks aus Notion gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Generell verbleiben Daten nicht dauerhaft in der Wissensdatenbank, sondern nur solange sie für laufende Projekte und unsere interne Wissenssicherung relevant sind.

Miro (Online-Whiteboard für Prozessvisualisierung)

Anbieter: RealtimeBoard, Inc. (d/b/a Miro), 201 Spear Street, Suite 1100, San Francisco, CA 94105, USA. Zweck der Verarbeitung: Wir setzen Miro als kollaboratives Online-Whiteboard ein, um Prozesse, Konzepte und Projektpläne visuell darzustellen. Insbesondere nutzen wir Miro zur Prozessvisualisierung im Holzbau-Beratungsumfeld – z. B. um digitale Workflows, Organisationsstrukturen oder Projektfahrpläne mit Kunden grafisch aufzubereiten. Der Zweck besteht darin, komplexe Sachverhalte für alle Beteiligten verständlich und greifbar zu machen sowie gemeinsam in Echtzeit an Diagrammen und Plänen zu arbeiten (Projektmanagement und Kommunikationszwecke). Verarbeitete Daten: In Miro-Boards können Texteingaben, Grafiken und Diagramme enthalten sein, die sich auf unsere Kundenprojekte beziehen. Dabei können fallweise auch personenbezogene Daten auftauchen – etwa Namen von Teammitgliedern oder Kundenmitarbeitern in Organigrammen, Verantwortlichkeitszuordnungen oder Kommentar-Post-its. Typischerweise beschränken wir uns jedoch auf geschäftliche Informationen (z. B. Rollenbezeichnungen statt Klarnamen). Zusätzlich erfasst Miro zur Verwaltung der Nutzerkonten unserer Mitarbeiter deren Anmeldedaten (Name, E-Mail) und Interaktionen innerhalb der Boards (Änderungshistorie etc.).

Rechtsgrundlage: Soweit wir Miro nutzen, um projektbezogene Abläufe im Rahmen unserer vertraglichen Leistungserbringung darzustellen (z. B. Entwicklung einer digitalen Prozesslandkarte für den Kunden), erfolgt die Datenverarbeitung nach Art. 6 Abs. 1 lit. b DSGVO. Darüber hinaus erfolgt der Einsatz zur internen Visualisierung und Effizienzsteigerung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), da wir an einer anschaulichen Vermittlung und effizienten Abstimmung von Projektschritten interessiert sind. Übermittlung in Drittstaaten: Miro speichert Board-Inhalte nach eigenen Angaben je nach Kundenwahl entweder in der EU oder den USA. Da wir keinen ausschließlichen EU-Datenstandort garantieren können, ist von einer Verarbeitung in den USA auszugehen. RealtimeBoard, Inc. ist nach dem EU–US Data Privacy Framework zertifiziert und hat sich verpflichtet, die DPF-Datenschutzgrundsätze einzuhalten Zusätzlich haben wir die EU-Standardvertragsklauseln vereinbart. Ein minimales Restrisiko analog zu den obigen Ausführungen bleibt bestehen.

Speicherdauer: Daten in Miro werden von uns nach Projektende oder sobald sie nicht mehr benötigt werden, aus den Boards gelöscht. Zwischenstände und Versionen, die personenbezogene Angaben enthalten, werden regelmäßig bereinigt. Miro selbst bewahrt ggf. Nutzungs- und Protokolldaten (Logins, Board-Änderungen) gemäß den vertraglichen Regelungen auf; wir haben jedoch jederzeit die Kontrolle über die Inhalte und können diese entfernen.
Als Projektabschluss gilt das Vertragsende mit dem Kunden.

Canva (Design- und Präsentationserstellung)

Anbieter: Canva Pty Ltd, 110 Kippax St, Surry Hills NSW 2010, Australien. Zweck der Verarbeitung: Wir nutzen Canva, eine webbasierte Designplattform, zur Erstellung von Präsentationen, Grafiken und sonstigen visuellen Materialien, die wir in der Beratung oder im Marketing einsetzen. Dies umfasst z. B. die Gestaltung von Präsentationsfolien für Workshops, Infografiken zur Veranschaulichung von Analyseergebnissen oder Social-Media-Grafiken im Rahmen unserer Öffentlichkeitsarbeit. Der Zweck liegt darin, unsere Inhalte ansprechend und professionell aufzubereiten, sei es für Kundenpräsentationen oder zur Vermarktung unserer Dienstleistungen. Verarbeitete Daten: In Canva werden hauptsächlich Inhalte verarbeitet, die wir selbst erstellen oder hochladen. Darunter können sich personenbezogene Informationen befinden, etwa wenn wir in einer Präsentation Referenzprojekte mit Ansprechpartnern benennen (Name, Firma, ggf. Foto) oder interne Teamvorstellungen mit Namen und Bildern erstellen. Zudem verarbeitet Canva die Account-Daten unserer Mitarbeiter (Name, E-Mail-Login) sowie ggf. Metadaten zu den erstellten Designs (Erstellungsdatum, verwendete Vorlagen etc.).

Rechtsgrundlage: Soweit wir Canva einsetzen, um vertragliche Pflichten gegenüber Kunden zu erfüllen – beispielsweise die Erstellung von im Vertrag vereinbarten Schulungsunterlagen oder Ergebnispräsentationen – erfolgt die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. b DSGVO. In allen anderen Fällen stützen wir den Einsatz auf Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an einer effizienten und professionellen Gestaltung von Kommunikationsmaterial haben. Dieses Interesse deckt auch marketingbezogene Gestaltungen ab, solange keine überwiegenden Rechte der betroffenen Personen entgegenstehen. Falls in Ausnahmefällen in Designs Personenabbildungen oder personenbezogene Zitate verwendet werden, holen wir zuvor die Einwilligung der Betroffenen ein (Art. 6 Abs. 1 lit. a DSGVO, ggf. KunstUrhG). Übermittlung in Drittstaaten: Canva hat seinen Sitz in Australien. Personenbezogene Daten können daher in Australien (und potenziell auf Servern in den USA oder anderen Ländern, soweit Canva global Cloud-Dienste nutzt) verarbeitet werden. Australien verfügt derzeit über keinen Angemessenheitsbeschluss der EU. Wir haben mit Canva jedoch – soweit verfügbar – einen Auftragsverarbeitungsvertrag geschlossen. Laut Auskunft des Anbieters werden EU-Daten möglichst in regionalen Rechenzentren gespeichert; eine vollständige Drittstaatenübermittlung kann aber nicht ausgeschlossen werden. Wir gewährleisten durch Standardvertragsklauseln den erforderlichen Schutz.

Speicherdauer: Entwürfe und Projekte in Canva werden von uns regelmäßig überprüft. Personenbezogene Inhalte in Grafiken (z. B. Namen, Fotos) werden nach Verwendungszweck entweder finalisiert und herausgegeben oder bei Nichtgebrauch gelöscht. Unsere internen Design-Projekte, die nicht mehr benötigt werden, löschen wir aus unserem Canva-Account. Canva kann bestimmte Nutzungsdaten (z. B. Team-Aktivitäten) für Systemzwecke vorhalten; diese unterliegen den vertraglichen Löschfristen gemäß unserer Vereinbarung mit Canva.

Loom (Videoaufzeichnungen und -kommunikation)

Anbieter: Loom, Inc., 140 2nd Street, 3rd Floor, San Francisco, CA 94105, USA. Zweck der Verarbeitung: Wir verwenden Loom, um kurze Videos aufzuzeichnen, die wir für die interne Kommunikation oder für den Austausch mit unseren Kunden nutzen. Mit Loom erstellen wir z. B. Video-Nachrichten, Tutorials oder Produktdemonstrationen, die wir per Link teilen können. Dies ermöglicht es uns, komplexe Sachverhalte visuell und persönlich zu erläutern, ohne dass alle Teilnehmer gleichzeitig online sein müssen. Typische Einsatzszenarien sind die Beantwortung von Kundenfragen per aufgezeichnetem Screencast, interne Schulungsvideos für neue digitale Tools oder Projekt-Updates, die wir als Video an Kunden versenden. Verarbeitete Daten: Bei der Nutzung von Loom entstehen Video- und Audiodaten, die je nach Aufzeichnung unsere Mitarbeiter (Bildschirmaufnahme, Stimme, ggf. Webcam-Bild) zeigen. Sollte in einem Video auf Kundendaten Bezug genommen werden (z. B. demonstrieren wir etwas anhand von echten Projektdaten), können auch diese Informationen im Video sichtbar sein. Zusätzlich generiert Loom automatische Transkripte der aufgezeichneten Sprache, um Untertitel bereitzustellen. In diesen Transkripten können personenbezogene Daten aus dem gesprochenen Inhalt erscheinen. Darüber hinaus verarbeitet Loom die Account-Daten unserer Nutzer (Name, E-Mail der Mitarbeiter) und technische Nutzungsdaten (Zeitpunkt der Aufzeichnung, geteilte Links, Aufrufe durch Empfänger).

Rechtsgrundlage: Die Erstellung von Videos mit Kundenbezug erfolgt im Regelfall zur Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), wenn wir etwa im Rahmen eines laufenden Beratungsprojekts dem Kunden Ergebnisse oder Anleitungen per Video zukommen lassen. Unsere Kunden erwarten in solchen Fällen diese Form der Kommunikation als Teil der Leistung. Soweit wir Loom für interne Zwecke oder allgemeine Kommunikation einsetzen, stützen wir dies auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter und moderner Kommunikation sowie Schulung). Sollte im Einzelfall eine Aufzeichnung auch andere Personen betreffen (etwa ein aufgenommenes Meeting mit Dritten), holen wir zuvor deren Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO) und/oder bieten alternativ konventionelle Kommunikationswege an. Übermittlung in Drittstaaten: Loom speichert die erstellten Videos auf Servern in den USA. Bei Nutzung des Dienstes werden die darin eingegebenen und aufgezeichneten Daten in die USA übertragen und dort verarbeitet. Loom, Inc. ist kein EU-Unternehmen; wir haben jedoch einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen. Die Übermittlung in die USA erfolgt auf Grundlage der Standardvertragsklauseln als geeignete Garantie. Bitte beachten Sie, dass die USA als Drittland nach Einschätzung des EuGH kein mit der EU vergleichbares Datenschutzniveau bieten (siehe Hinweis unter Punkt 2). Insbesondere besteht die Möglichkeit, dass US-Behörden auf die bei Loom gespeicherten Daten zugreifen, ohne dass europäische Betroffene hiergegen gerichtlich vorgehen könnten. Wir treffen nach Möglichkeit zusätzliche Maßnahmen (z. B. Ende-zu-Ende-Verschlüsselung der Videos, wo umsetzbar), um Ihre Daten zu schützen.

Speicherdauer: Die mit Loom erstellten Videos verbleiben in unserem Loom-Account, bis wir sie löschen. Wir bewerten regelmäßig, welche Aufzeichnungen noch benötigt werden. Videos, die z. B. nur temporär zur Beantwortung einer konkreten Frage dienten, werden zeitnah nach Versand gelöscht. Generell gilt: Inhalte mit personenbezogenen Daten werden von uns nicht länger aufbewahrt als nötig. Auf Wunsch des Betroffenen löschen wir ein Video natürlich umgehend. Loom löscht die Inhalte auf unseren Auftrag hin vollständig.

Google Workspace (E-Mail, Kalender, Cloud-Tools)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. (Mutterunternehmen: Google LLC, Mountain View, CA, USA). Zweck der Verarbeitung: Wir nutzen Google Workspace als cloud-basierte Office-Lösung für unsere tägliche Kommunikation und Büroorganisation. Google Workspace umfasst u. a. Gmail (E-Mail-Dienst), Google Kalender, Google Drive (Cloud-Speicher für Dokumente), Google Docs/Sheets/Slides (Textdokumente, Tabellen, Präsentationen), Google Meet (Videokonferenzen) sowie ggf. Google Voice (Telefonie) und weitere Tools. Die Zwecke der Datenverarbeitung sind vielfältig: Kommunikation: Der E-Mail-Dienst ermöglicht uns den Austausch mit Kunden, Partnern und Lieferanten. Eingehende und ausgehende E-Mails werden auf den Google-Servern gespeichert. Kontakt- und Terminverwaltung: Im Google Kalender organisieren wir Termine (z. B. Beratungsgespräche, Workshops) unter Speicherung von Teilnehmernamen, E-Mail-Adressen und Kalenderzeiten. Dokumentenerstellung und -ablage: In Google Drive und den zugehörigen Apps erstellen und speichern wir Dokumente, Tabellen und Präsentationen, die projektspezifische Informationen (z. B. Berichte, Konzeptpapiere, Auswertungen) enthalten können – darunter auch personenbezogene Daten unserer Kunden (Namen, geschäftliche Kontaktdaten, Projektdetails) sofern für die Zusammenarbeit nötig. Interne Zusammenarbeit: Google Workspace dient auch der internen Kommunikation und Effizienz (z. B. gemeinsame Bearbeitung von Dokumenten im Team, Aufgabenverwaltung). Sprachanrufe: Falls wir Google Voice verwenden, werden Anrufprotokolle (Rufnummern, Uhrzeit, Dauer) und evtl. Voicemail-Aufzeichnungen über Google verarbeitet. Verarbeitete Daten: Je nach Dienst innerhalb von Google Workspace werden unterschiedliche Datenkategorien verarbeitet. Im Einzelnen: E-Mail: E-Mail-Inhalte einschließlich Anhängen, Absender-/Empfängername, E-Mail-Adressen, Betreffzeilen, Zeitstempel. Auch in E-Mails übermittelte personenbezogene Daten (z. B. Signaturangaben wie Name, Titel, Kontaktdaten, Vertrags- oder Rechnungsinformationen) werden auf den Google-Servern gespeichert. Kalender: Namen und E-Mail-Adressen der Meeting-Organisatoren und Teilnehmer, Terminbeschreibung (die ggf. Projektnamen oder Orte enthalten kann), Datum/Uhrzeit und Ort der Termine, sowie sonstige Eingaben im Termin (z. B. Agenda-Notizen). Drive/Docs: Inhalte von Dokumenten, Tabellen und Präsentationen, die wir dort erstellen oder ablegen. Hier können alle Arten personenbezogener Daten enthalten sein, abhängig vom Dokument (z. B. eine Kundenkontaktliste mit Namen und Telefonnummern, ein Projektbericht mit Nennung von Beteiligten, Finanzdaten in Tabellen, Fotos/Grafiken mit Personenbezug etc.). Meet (Videokonferenz): Falls genutzt, Video- und Audiodaten der Teilnehmer während Online-Meetings (wir zeichnen Meet-Sitzungen jedoch nicht auf, außer wir weisen ausdrücklich darauf hin und holen Zustimmung ein). Meeting-Metadaten (Teilnehmerliste, Dauer, Chat-Protokolle) können anfallen. Voice: Telefonnummern der Anrufer/Angerufenen, Zeitpunkt und Dauer von Anrufen, Sprachnachrichten-Inhalte. Allgemein: Nutzungs- und Protokolldaten im Workspace (Logins, IP-Adressen, Geräteinformationen) können von Google zum Zwecke der Leistungserbringung und Sicherheit erfasst werden.

Rechtsgrundlage: Die Verarbeitung personenbezogener Daten in Google Workspace erfolgt zum großen Teil zur Erfüllung vertraglicher Pflichten uns gegenüber unseren Kunden (Art. 6 Abs. 1 lit. b DSGVO). Dies umfasst z. B. die Kommunikation per E-Mail zur Vorbereitung und Durchführung von Beratungsprojekten, den Austausch von Dokumenten oder das Vereinbaren von Terminen – all dies sind notwendige Vorgänge, um unsere vertraglichen Leistungen zu erbringen. Soweit wir Google Workspace für interne Verwaltungszwecke nutzen (z. B. interne E-Mails, Dokumentation), berufen wir uns auf Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an einer effizienten und einheitlichen Business-Infrastruktur haben. Dieses berechtigte Interesse ist insbesondere im B2B-Kontext und bei unternehmensinternen Daten anwendbar. In Fällen, in denen gesetzliche Aufbewahrungspflichten einschlägig sind (z. B. Archivierung geschäftlicher E-Mails als Handelsbriefe nach HGB), stützt sich die Speicherung zudem auf Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Übermittlung in Drittstaaten: Bei der Nutzung von Google Workspace werden Daten auf den Servern von Google gespeichert. Diese Server befinden sich weltweit, einschließlich innerhalb der EU (Google betreibt Rechenzentren in Europa) und in den USA. Google Ireland hat als europäischer Vertragspartner seinen Sitz in Irland; eine Weitergabe an Google LLC in den USA kann jedoch nicht ausgeschlossen werden. Wir haben mit Google einen Datenverarbeitungsvertrag geschlossen, der die EU-Standardvertragsklauseln enthält. Google LLC ist zudem nach dem EU–US Data Privacy Framework zertifiziert, sodass grundsätzlich ein angemessenes Datenschutzniveau anerkannt wird. Dennoch weisen wir darauf hin, dass bei einer Übertragung in die USA theoretisch ein Zugriff US-amerikanischer Behörden auf gespeicherte Daten möglich ist. Google sichert vertraglich zu, die anwendbaren Datenschutzgrundsätze einzuhalten und hat weitreichende Sicherheitsmaßnahmen implementiert.

Speicherdauer: Die in Google Workspace verarbeiteten Daten speichern wir grundsätzlich so lange, wie es für den jeweiligen Zweck erforderlich ist. Konkret: E-Mails und geschäftliche Korrespondenz unterliegen den gesetzlichen Aufbewahrungsfristen (in der Regel 6 Jahre für handels- und steuerrechtlich relevante Korrespondenz). Kalender-Einträge werden laufend aktualisiert; Vergangene Termine können periodisch bereinigt werden, sofern sie keine weitere Relevanz haben. Dokumente in Google Drive, die personenbezogene Kundendaten enthalten, löschen oder archivieren wir nach Abschluss des Projekts bzw. wenn sie nicht mehr benötigt werden. Sprachnachrichten in Google Voice werden nach Abhören und Erledigung der Anfrage zeitnah gelöscht. Insgesamt orientieren wir uns an dem Grundsatz, personenbezogene Daten in unserer Cloud-Umgebung nur so lange zu speichern, wie ein legitimer Zweck oder eine Pflicht hierfür besteht. Datensicherheit: Google Workspace entspricht hohen Sicherheitsstandards (u. a. Verschlüsselung der Datenübertragung, optionale Ende-zu-Ende-Verschlüsselung für E-Mails via S/MIME, Zwei-Faktor-Authentifizierung für Benutzerkonten). Google ist ISO 27001 zertifiziert und verpflichtet sich, geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen. Wir haben in den Workspace-Einstellungen zusätzliche Sicherheitsvorkehrungen aktiviert (z. B. Einschränkung externer Freigaben, Logging von Administratorzugriffen). Trotzdem verbleibt – wie bei jeder Cloud-Lösung – ein Restrisiko, das wir durch sorgfältiges Rechtemanagement und regelmäßige Sicherheitsüberprüfungen so gering wie möglich halten.

Calendly (Online-Terminvereinbarung)

Anbieter: Calendly LLC, 271 17th St NW, Atlanta, GA 30363, USA. Zweck der Verarbeitung: Für die Online-Terminvereinbarung bieten wir das Tool Calendly an. Über Calendly können Kunden und Interessenten eigenständig Beratungstermine mit uns vereinbaren, indem sie in einem Online-Kalender verfügbare Zeiten auswählen. Die Datenverarbeitung durch Calendly dient dem Zweck, den Terminfindungsprozess zu automatisieren und zu vereinfachen (Nutzerfreundlichkeit). So sparen beide Seiten Zeit bei der Abstimmung von Terminen und Missverständnisse werden vermieden. Verarbeitete Daten: Wenn Sie einen Termin über Calendly buchen, erhebt Calendly die hierfür notwendigen Daten: Pflichtangaben sind in der Regel Name, E-Mail-Adresse und ggf. der Grund des Termins (Nachrichtentext). Optional kann auch nach Telefonnummer oder weiteren Details gefragt werden, wenn dies für den Termin relevant ist. Zusätzlich erfasst Calendly automatisiert technische Informationen, wenn die Buchungsseite genutzt wird – hierzu zählen IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp, Betriebssystem und ggf. Standortdaten. Calendly verwendet Cookies und ähnliche Technologien auf der Buchungsseite, um die Funktion zu ermöglichen und Missbrauch vorzubeugen. Die Cookie-Nutzung erfolgt erst nach Ihrer Einwilligung über unseren Cookie-Banner (Rechtsgrundlage hierfür: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO).

Rechtsgrundlage: Die Verarbeitung Ihrer eingegebenen Termin-Daten erfolgt zur Durchführung vorvertraglicher Maßnahmen bzw. zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, da die Terminvereinbarung der Vorbereitung unserer Beratungsleistung dient. Wenn Sie einen Termin mit uns buchen, kommt dadurch faktisch ein (noch unentgeltlicher) Beratungstermin-Vertrag zustande, dessen Abwicklung die genannten Daten erfordert. Die Verwendung von Cookies/Tracking durch Calendly auf unserer Webseite stützen wir – soweit technisch notwendig – auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionierenden Terminbuchungs-Seite). Für nicht notwendige Cookies holen wir wie erwähnt Ihre Einwilligung ein. Übermittlung in Drittstaaten: Die Nutzung von Calendly kann eine Übertragung Ihrer Daten in die USA mit sich bringen. Für die USA besteht seit Juli 2023 zwar ein Angemessenheitsbeschluss der EU-Kommission (Trans-Atlantic Data Privacy Framework, TADPF); Calendly ist jedoch nicht nach diesem Framework zertifiziert. Wir stützen daher die Übermittlung Ihrer Daten an Calendly auf die EU-Standardvertragsklauseln als geeignete Garantie. Diese wurden im Rahmen des Auftragsverarbeitungsvertrags mit Calendly vereinbart. Dennoch können wir auch hier ein Restrisiko im Hinblick auf mögliche Zugriffe US-amerikanischer Stellen nicht gänzlich ausschließen (siehe allgemeine Hinweise unter Punkt 2).

Speicherdauer: Die in Calendly eingegebenen Daten verwenden wir ausschließlich für die Terminorganisation. Sie werden auf unserer Seite nicht dauerhaft gespeichert, sondern verbleiben primär bei Calendly. Wir exportieren relevante Termininformationen in unser internes Kalendersystem (Google Kalender) zur weiteren Verwendung. Bei Calendly selbst werden Ihre Buchungsdaten so lange vorgehalten, bis wir sie dort löschen. In der Regel bereinigen wir unser Calendly-Konto regelmäßig von veralteten Termindaten. Wenn Sie Ihren Termin absagen oder nachdem der Termin verstrichen ist, werden die Daten nicht mehr aktiv genutzt. Gesetzliche Aufbewahrungsfristen (z. B. für geschäftliche Korrespondenz in E-Mails, die ggf. Terminbestätigungen enthalten) bleiben unberührt.

LexOffice (Buchhaltung und Rechnungswesen)

Anbieter: Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland. Zweck der Verarbeitung: Wir nutzen LexOffice als cloudbasiertes Buchhaltungsprogramm für unsere Finanz- und Rechnungsprozesse. Über LexOffice erstellen und versenden wir Angebote und Rechnungen, verwalten unsere Kunden- und Lieferantenstammdaten und erledigen die laufende Buchhaltung (Erfassung von Einnahmen/Ausgaben, Belegablage, Banking). Das Tool dient somit der Vertragsabwicklung in finanzieller Hinsicht, insbesondere der Abrechnung unserer Beratungsleistungen und Erfüllung gesetzlicher Pflichten im Rechnungswesen. Verarbeitete Daten: In LexOffice werden Stammdaten unserer Kunden und Geschäftspartner verarbeitet, darunter Firmenname, Ansprechpartner (Name, Titel), Geschäftsanschrift, E-Mail-Adresse, Kundennummer und ggf. Telefonnummer. Im Rahmen von Rechnungen und Angeboten werden die Leistungs- bzw. Produktbeschreibungen, Preise, Steuerbeträge, Zahlungsfristen etc. erfasst, die indirekt Rückschlüsse auf die Geschäftsbeziehung zulassen. Zudem verarbeitet LexOffice Zahlungsinformationen: z. B. Bankverbindungen (IBAN/BIC) auf Rechnungen oder Zahlungsstatus (Eingang einer Zahlung, Offene Posten). Eingehende Zahlungen können über die angebundene Bankfunktion automatisiert zugeordnet werden – hierbei werden Kontotransaktionsdaten (Kontoinhaber, Verwendungszweck, Betrag, Datum) verarbeitet. Auch eingescannte Belege und Rechnungen von Lieferanten, die möglicherweise personenbezogene Daten enthalten (z. B. Name eines Ansprechpartners auf einer Lieferantenrechnung), speichern wir in LexOffice.

Rechtsgrundlage: Die Datenverarbeitung in LexOffice erfolgt überwiegend zur Erfüllung rechtlicher Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO, insbesondere aus dem Steuer- und Handelsrecht (Abgabenordnung, HGB). Wir sind gesetzlich verpflichtet, Buchführungsunterlagen korrekt zu führen und Rechnungen i. d. R. zehn Jahre aufzubewahren. Zudem ist Art. 6 Abs. 1 lit. b DSGVO einschlägig, da die Verarbeitung der genannten Daten zur Erfüllung der Verträge mit unseren Kunden notwendig ist – ohne Rechnungsstellung und Zahlungseinzug könnten wir den Vertrag nicht abwickeln. Soweit wir Auswertungen zur Finanzplanung vornehmen oder die Software zur Effizienzsteigerung in der Buchhaltung nutzen, kann ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Geschäftsverwaltung) herangezogen werden. Übermittlung in Drittstaaten: LexOffice wird von einem deutschen Unternehmen betrieben. Nach unserer Kenntnis werden alle Daten in Rechenzentren innerhalb Deutschlands bzw. der EU gespeichert. Eine Übermittlung in Drittstaaten findet im Rahmen von LexOffice nicht statt. Unsere Finanzdaten liegen somit auf Servern mit Standort in der EU. Es bestehen Auftragsverarbeitungsbedingungen mit dem Anbieter, die den EU-Datenschutz standardmäßig sicherstellen.

Speicherdauer: In LexOffice gespeicherte Buchhaltungsdaten werden mindestens für die Dauer der gesetzlichen Aufbewahrungsfristen gespeichert. Rechnungen, Buchungsbelege und steuerrelevante Daten halten wir 10 Jahre (bis zum Ende des zehnten Kalenderjahres nach ihrer Entstehung) gespeichert, entsprechend § 147 AO und § 257 HGB. Geschäftliche Korrespondenz (z. B. Angebote) bewahren wir 6 Jahre auf. Nach Ablauf dieser Fristen werden die Daten von uns gelöscht, sofern kein neuer Aufbewahrungsgrund vorliegt. In Fällen, in denen Sie von Ihrem Recht auf Löschung Gebrauch machen, prüfen wir, ob eine vorzeitige Löschung einzelner Daten möglich ist, ohne gesetzlichen Vorgaben zu widersprechen. Die Nutzung von LexOffice selbst erfolgt fortlaufend; wir sorgen aber durch organisatorische Maßnahmen dafür, dass personenbezogene Daten dort nicht unnötig länger stehen bleiben als erforderlich.

Close (Customer-Relationship-Management)

Anbieter: Close, Inc. (Close CRM), 5 Lucerne Street, Suite 2, San Francisco, CA 94103, USA. Zweck der Verarbeitung: Wir setzen Close CRM als Kundenverwaltungssystem (CRM) ein, um unsere Vertriebs- und Kundenbetreuungsprozesse zu organisieren. Im CRM pflegen wir Informationen zu Interessenten (Leads) und Bestandskunden. Die Zwecke der Verarbeitung sind insbesondere: Vertrieb/Marketing (Verfolgung von Kontaktanfragen, Nachhalten von Angebotsphasen, Erinnerungen für Folgetelefonate), Kundenbeziehungsmanagement (Dokumentation von Kontaktverläufen, z. B. welche Kommunikation bereits stattfand, wann ein Kunde zuletzt betreut wurde) sowie Vertragsabwicklung (z. B. Hinterlegung von Vertragsinformationen, Laufzeiten, Projektstatus). Kurz gesagt ermöglicht uns das CRM eine zentrale und strukturierte Sicht auf alle Kundeninteraktionen, was der Effizienz und Qualität unserer Geschäftsbeziehungen dient. Verarbeitete Daten: Im Close CRM speichern wir pro Kontakt typischerweise folgende Kategorien personenbezogener Daten: Stammdaten (Name der Kontaktperson, Titel, Firma, Position), Kontaktdaten (geschäftliche Adresse, E-Mail-Adresse, Telefonnummer), Kommunikationshistorie (Protokolle von Telefonaten, Inhalte von E-Mails oder Gesprächsnotizen, die für den Geschäftsverlauf relevant sind), Vertriebsinformationen (z. B. ob und wann ein Angebot unterbreitet wurde, welche Produkte/Dienstleistungen von Interesse sind, Notizen zur Bedarfsanalyse) und vertragliche Details (etwa Start- und Enddatum von Verträgen, vereinbarte Konditionen – soweit relevant für Kundenbetreuung). Falls wir über das CRM aktive Kommunikationsfunktionen nutzen (z. B. E-Mail-Versand oder Telefonie-Integration), werden auch die entsprechenden Meta-Daten erfasst: Sende- und Empfangszeitpunkte von E-Mails, Anrufdauer, Beteiligte etc. Eventuelle E-Mail-Inhalte oder Telefonmitschnitte würden – sofern überhaupt genutzt – ebenfalls personenbezogene Daten enthalten, z. B. Gesprächsinhalte, werden aber nur im Rahmen der Kundenhistorie abgelegt.

Rechtsgrundlage: Die Verarbeitung von Kunden- und Interessentendaten in Close CRM erfolgt je nach Status der betroffenen Person aus unterschiedlicher Rechtsgrundlage. Für bestehende Kunden ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) einschlägig, da das CRM der Betreuung und Erfüllung unserer vertraglichen Pflichten dient – etwa, um Ansprechpartner zu verwalten oder servicebezogene Vorgänge zu dokumentieren. Für potenzielle Kunden (Leads) stützen wir die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an der Organisation unseres Vertriebs und der Ansprache von Interessenten haben. Dieses Interesse deckt typischerweise auch moderate Marketingmaßnahmen wie Follow-up-E-Mails oder Anrufe bei zuvor angefragten Interessenten ab. Selbstverständlich beachten wir dabei die Grenzen des UWG (Gesetz gegen den unlauteren Wettbewerb) für werbliche Ansprache. Sollten wir aus unserem CRM heraus Newsletter versenden (derzeit nicht der Fall), geschieht dies nur mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie haben zudem jederzeit das Recht, der Verarbeitung Ihrer Daten zum Zweck der Direktwerbung zu widersprechen (Art. 21 Abs. 2 DSGVO) – wir werden Ihre Kontaktdaten dann umgehend in eine Sperrliste aufnehmen und nicht weiter zu Marketingzwecken nutzen. Übermittlung in Drittstaaten: Close, Inc. ist ein Anbieter mit Hauptsitz in den USA. Die von uns im CRM gespeicherten Daten werden auf Cloud-Servern in den USA gespeichert und verarbeitet. Close hat nach eigener Aussage zahlreiche Sicherheitsmaßnahmen implementiert (SOC 2-Zertifizierung) und ist GDPR-konform ausgestaltet. Wir haben mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abgeschlossen. Die Übermittlung stützen wir auf die Standardvertragsklauseln der EU. Da die USA kein von der EU als angemessen anerkanntes Datenschutzniveau haben (siehe Punkt 2), gelten die dort genannten Restrisiken entsprechend auch hier. Der Anbieter verpflichtet sich vertraglich, eventuelle Auskunftsersuchen von US-Behörden – sofern möglich – an uns weiterzugeben und nur herauszugeben, wenn er rechtlich dazu gezwungen ist. Vollständig ausschließen lässt sich ein Zugriff jedoch nicht.

Speicherdauer: Wir pflegen die Daten in unserem CRM nach dem Grundsatz der Datenminimierung. Interessentendaten, mit denen länger kein Kontakt oder Geschäftsabschluss zustande gekommen ist, löschen wir nach einer angemessenen Zeit (spätestens nach 2 Jahren ohne Interaktion), sofern keine anderweitige Berechtigung zur längeren Aufbewahrung vorliegt. Kundendaten in der CRM-Datenbank behalten wir für die Dauer der aktiven Geschäftsbeziehung und darüber hinaus so lange vor, wie dies zur Wahrung unserer berechtigten Interessen erforderlich ist – etwa um bei späteren neuen Anfragen die Historie zu kennen oder um eventuelle Gewährleistungs- oder Haftungsansprüche bearbeiten zu können. In der Regel überprüfen wir Kundenkontakte, die inaktiv geworden sind, nach [z. B. 3–5 Jahren] und löschen bzw. anonymisieren sie, sofern keine Aufbewahrungsgründe mehr bestehen. Unabhängig davon kommen wir einem Löschverlangen natürlich jederzeit nach, soweit dem keine gesetzlichen Pflichten entgegenstehen. Zwingende handels- und steuerrechtliche Aufbewahrungspflichten (für z. B. rechnungsrelevante Korrespondenz) bleiben unberührt – solche Daten werden ggf. bis zu 10 Jahre archiviert, aber in der aktiven CRM-Anwendung gesperrt.

Make (Automatisierungsplattform)

Wir nutzen Make (ehemals Integromat) zur Automatisierung und Vernetzung verschiedener Anwendungen und Prozesse. Anbieter ist die Make s.r.o., Novákových 1954/20a, 180 00 Prag 8, Tschechische Republik. Make ermöglicht die Verknüpfung und Synchronisation von Funktionen unserer Website mit anderen von uns genutzten Systemen, um Arbeitsabläufe effizient zu gestalten und zu beschleunigen. Dabei können im Rahmen der automatisierten Workflows personenbezogene Daten verarbeitet werden, die für den jeweiligen Prozess erforderlich sind – z. B. Kontakt- und Bestandsdaten (Namen, E-Mail-Adressen u. ä.), Inhaltsdaten aus Formularen oder Nachrichten sowie technische Nutzungsdaten (wie IP-Adresse oder Zeitstempel eines Vorgangs). Die Verarbeitung über Make erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der effektiven Gestaltung unserer Geschäftsprozesse und der schnellen Bearbeitung von Kundenanliegen. Soweit der Einsatz von Make zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen Ihnen gegenüber erforderlich ist (beispielsweise zur automatisierten Abwicklung einer von Ihnen angeforderten Leistung), ist Art. 6 Abs. 1 lit. b DSGVO zusätzliche Rechtsgrundlage.

Wir haben mit dem Anbieter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen, der sicherstellt, dass Make Ihre personenbezogenen Daten nur nach unseren Weisungen und im Einklang mit den EU-Datenschutzstandards verarbeitet. Datenübermittlungen in Drittstaaten außerhalb der EU können im Zusammenhang mit Make nicht ausgeschlossen werden (z. B. falls Make Cloud-Infrastruktur oder Subunternehmer in den USA einsetzt). In solchen Fällen gewährleisten wir durch EU-Standardvertragsklauseln nach Art. 46 DSGVO und ggf. weitere Garantien, dass ein angemessenes Datenschutzniveau bei der Übermittlung Ihrer Daten gewährleistet ist. Personenbezogene Daten werden über Make nur so lange gespeichert, wie es für den jeweiligen Zweck der Automatisierung erforderlich ist. In der Regel werden die Daten nach Abschluss des automatisierten Vorgangs umgehend gelöscht bzw. nicht dauerhaft auf den Systemen von Make gespeichert. Lediglich technische Protokolldaten zur Sicherstellung der Funktionsfähigkeit können zeitweilig vorgehalten werden. Gesetzliche Aufbewahrungsfristen bleiben unberührt – d. h. soweit bestimmte Daten aufgrund gesetzlicher Pflichten (etwa nach Handels- oder Steuerrecht) länger aufzubewahren sind, erfolgt die Löschung erst nach Ablauf dieser Fristen.

Zapier

Wir setzen Zapier ein, um verschiedene Funktionen, Datenbanken und Tools mit unserer Website und unseren internen Systemen zu verbinden und Daten zwischen ihnen automatisiert auszutauschen. Anbieter ist Zapier Inc., 548 Market Street #62411, San Francisco, CA 94104-5401, USA. Zapier ermöglicht es uns beispielsweise, Inhalte oder Daten automatisch von einem System in ein anderes zu übertragen und somit Arbeitsabläufe nahtlos zu integrieren – etwa wenn Inhalte, die wir auf unserer Website erfassen, automatisch an verbundene Anwendungen (z. B. Social-Media-Plattformen oder CRM-Systeme) weitergeleitet oder Daten aus Marketing- und Analyse-Tools exportiert werden. Je nach Anwendungsfall verarbeitet Zapier dabei personenbezogene Daten aus den beteiligten Systemen. Dies kann Inhaltsdaten unserer Website (z. B. Texteingaben aus Formularen), Nutzerdaten (wie Ihre Kontaktinformationen oder Kundenkennungen) sowie technische Daten (wie Protokolldaten, IP-Adressen und Zeitstempel für durchgeführte Aktionen) umfassen, soweit dies zur jeweiligen Automation erforderlich ist. Die Nutzung von Zapier erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer effizienten Integration und Optimierung der eingesetzten Tools und Abläufe. Durch den Einsatz von Zapier können wir manuelle Prozesse reduzieren und die Zuverlässigkeit der Datenverarbeitung erhöhen. Sofern wir in bestimmten Fällen um Ihre Einwilligung bitten (z. B. wenn durch Zapier integrierte Dienste Cookies setzen oder auf Informationen auf Ihrem Endgerät zugreifen, § 25 Abs. 1 TTDSG), verarbeiten wir Ihre Daten insoweit auf Basis von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist freiwillig und kann von Ihnen jederzeit mit Wirkung für die Zukunft widerrufen werden. Mit Zapier haben wir einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) geschlossen, der Zapier zur datenschutzkonformen Verarbeitung der in unserem Auftrag übermittelten Daten verpflichtet. Zapier verarbeitet Daten auf Servern in den USA. Eine Übermittlung Ihrer personenbezogenen Daten in die Vereinigten Staaten oder andere Drittstaaten findet daher im Rahmen der Nutzung von Zapier statt. Wir stützen diese Übermittlungen auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 DSGVO, um ein dem europäischen Datenschutz entsprechendes Niveau sicherzustellen. Zapier hat sich zudem den Regelungen des EU‑US Data Privacy Framework unterworfen, wodurch ein angemessenes Schutzniveau für Datenübertragungen in die USA bestätigt ist. Die von Zapier eingesetzten Schutzmaßnahmen gewährleisten, dass Ihre Daten auch bei einer Verarbeitung in den USA im Einklang mit den Anforderungen der DSGVO behandelt werden. Personenbezogene Daten werden über Zapier nur so lange gespeichert, wie dies für die beschriebenen Zwecke der Datenübertragung und -integration erforderlich ist. Konkret werden die jeweiligen Datensätze nach erfolgreicher Synchronisation oder Übertragung an das Zielsystem in Zapier nicht dauerhaft vorgehalten, sondern im Anschluss an den automatisierten Vorgang gelöscht bzw. nur kurzfristig (etwa zu Fehleranalyse- oder Protokollzwecken) zwischengespeichert. Unberührt bleiben gesetzliche Pflichten zur Aufbewahrung bestimmter Daten; solche Daten werden entsprechend den gesetzlichen Fristen gesichert gespeichert und nach Fristablauf gelöscht.

n8n

Wir verwenden n8n, einen Workflow-Automatisierungsdienst der n8n GmbH, Borsigstraße 27, 10115 Berlin, Deutschland, um verschiedene Dienste und Anwendungen mit unserer Website und unseren internen Systemen zu verbinden und automatisierte Arbeitsabläufe zu erstellen. Über n8n können z. B. Formulardaten, die Sie auf unserer Website eingeben, automatisch an andere von uns genutzte Anwendungen weitergeleitet oder bestimmte Vorgänge zwischen verschiedenen Systemen abgestimmt werden. Dies erleichtert uns die schnelle Weiterverarbeitung Ihrer Eingaben und optimiert interne Abläufe. Im Rahmen dieser Workflows verarbeitet n8n personenbezogene Daten abhängig vom jeweiligen Szenario: insbesondere Daten, die Sie auf unserer Website eingeben (z. B. Name, E-Mail-Adresse, Anfrage- oder Formulardaten und sonstige Informationen, die Sie uns übermitteln) sowie ggf. relevante Daten aus unseren internen Systemen (z. B. Kundennummern oder Statusinformationen). Daneben können auch technische Metadaten (wie IP-Adressen oder Zeitangaben) anfallen, soweit diese für die Verbindung der Systeme und den Betrieb von n8n erforderlich sind.

Rechtsgrundlage für den Einsatz von n8n ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer effizienten, fehlerfreien und automatisierten Abwicklung unserer Geschäftsprozesse. Durch n8n können wir wiederkehrende Vorgänge beschleunigen und Ressourcen schonen, was letztlich auch Ihnen zugutekommt (z. B. durch schnellere Bearbeitung Ihrer Anliegen). Soweit die Nutzung von n8n im Einzelfall der Erfüllung eines Vertrags mit Ihnen oder der Durchführung vorvertraglicher Maßnahmen dient – etwa wenn Ihre Anfrage automatisiert an ein internes System zur Vertragserfüllung weitergeleitet wird – beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO. Mit der n8n GmbH haben wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen, der sicherstellt, dass n8n die Daten unserer Websitebesucher ausschließlich nach unseren Weisungen und im Rahmen der geltenden Datenschutzgesetze verarbeitet. Als in Deutschland entwickelte und gehostete Plattform erfolgt die Datenverarbeitung bei n8n grundsätzlich innerhalb der EU bzw. des Europäischen Wirtschaftsraums. Sollte n8n im Rahmen seiner Cloud-Dienste oder durch Einbindung von Unterauftragnehmern doch personenbezogene Daten in einen Drittstaat (z. B. die USA) übertragen, geschieht dies nur unter Anwendung von EU-Standardvertragsklauseln und ggf. zusätzlicher Schutzmechanismen, um ein angemessenes Datenschutzniveau zu gewährleisten. Auch n8n hat sich vertraglich zur Einhaltung der europäischen Datenschutzstandards verpflichtet. Die über n8n abgewickelten personenbezogenen Daten werden nur so lange gespeichert, wie dies für den jeweiligen automatisierten Vorgang oder Workflow erforderlich ist. In vielen Fällen findet die Verarbeitung in Echtzeit statt, ohne dass n8n die Daten darüber hinaus dauerhaft speichert. Eventuell werden Protokolldaten (Logs) zum technischen Nachweis oder zur Fehlerbehebung kurzfristig vorgehalten. Sobald der Zweck der Verarbeitung entfällt – spätestens mit Abschluss der betreffenden Automation oder endgültigen Bearbeitung Ihres Anliegens – werden die personenbezogenen Daten im Rahmen von n8n gelöscht, sofern nicht ausnahmsweise gesetzliche Aufbewahrungspflichten eine längere Speicherung erforderlich machen.

Typeform

Auf unserer Website sind interaktive Online-Formulare via Typeform eingebunden, um z. B. Umfragen, Anfragen oder Anmeldungen benutzerfreundlich zu erfassen. Anbieter dieses Dienstes ist die Typeform S.L., Carrer Bac de Roda, 163, 08018 Barcelona, Spanien. Typeform ermöglicht es uns, Formulare und Fragebögen ansprechend zu gestalten und die von Ihnen dort eingegebenen Daten direkt auf den Servern von Typeform zu speichern und auszuwerten. Wenn Sie ein solches Formular ausfüllen, werden sämtliche Eingaben – wie etwa Ihr Name, Ihre E-Mail-Adresse, Telefonnummer und andere von Ihnen gemachte Angaben sowie Ihre Antworten auf die gestellten Fragen – an Typeform übermittelt und dort für uns zur Weiterverarbeitung bereitgehalten. Zusätzlich kann Typeform aus technischen Gründen Nutzungsdaten erheben, etwa Ihre IP-Adresse, Browsertyp, Datum/Uhrzeit des Zugriffs und ggf. Cookies in Ihrem Browser setzen, um die Formularfunktion bereitzustellen und Missbrauch vorzubeugen. Diese technischen Informationen werden von Typeform ausschließlich zur Dienstbereitstellung und Sicherheit verwendet und mit Ihren Formulardaten zusammengeführt, soweit dies erforderlich ist. Wir nutzen Typeform auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer effizienten und nutzerfreundlichen Erhebung von Informationen durch Online-Formulare. Durch den Einsatz eines externen spezialisierten Formular-Dienstes können wir sicherstellen, dass Ihre Eingaben zuverlässig erfasst und weiterverarbeitet werden, was der Qualität unseres Kundenkontakts und unserer Dienstleistungen dient. Sofern wir Sie im Zusammenhang mit Typeform um Einwilligung bitten (z. B. über unser Cookie-/Consent-Banner, falls Typeform Cookies oder ähnliche Technologien einsetzt), erfolgt die Datenverarbeitung insoweit auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Mit Typeform wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen, der sicherstellt, dass Typeform die über unsere Formulare erfassten personenbezogenen Daten ausschließlich in unserem Auftrag und nach unseren Weisungen verarbeitet. Typeform speichert die Formulardaten grundsätzlich auf Servern innerhalb der EU. Allerdings kann nicht ausgeschlossen werden, dass im Rahmen der Dienstleistung Daten auch in Drittstaaten (insbesondere durch die Nutzung von Cloud-Infrastruktur, z. B. Amazon Web Services) verarbeitet werden. Soweit Typeform personenbezogene Daten außerhalb der EU oder des EWR übermittelt, haben wir durch Standardvertragsklauseln nach Art. 46 DSGVO vertraglich vereinbart, dass ein angemessenes Datenschutzniveau sichergestellt ist. Typeform verpflichtet sich darin, die europäischen Datenschutzanforderungen auch bei einer etwaigen Verarbeitung in den USA oder anderen Ländern einzuhalten. Die über Typeform erhobenen Daten werden so lange gespeichert, wie dies für den Zweck der jeweiligen Formular-Erhebung erforderlich ist. Konkret verbleiben Ihre Eingaben bei uns bzw. in der Typeform-Datenbank, bis Sie uns zur Löschung auffordern (z. B. durch Widerruf Ihrer Anfrage), eine von Ihnen erteilte Einwilligung zur Datenspeicherung widerrufen oder der Verarbeitungszweck entfällt. Letzteres ist regelmäßig der Fall, wenn Ihr Anliegen abschließend bearbeitet wurde und keine weitere Notwendigkeit zur Aufbewahrung der Informationen besteht. Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungspflichten – bleiben unberührt. Das bedeutet, dass wir bestimmte über Typeform erhaltene Daten, die z. B. für die Vertragsdurchführung oder aus handels- und steuerrechtlichen Gründen erforderlich sind, trotz eines Löschersuchens solange speichern, wie es die gesetzlichen Fristen vorsehen.

ChatGPT (OpenAI)

Wir nutzen ChatGPT, einen KI-basierten Sprachassistenz- und Textgenerierungsdienst des Anbieters OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA (nachfolgend OpenAI). ChatGPT wird von uns eingesetzt, um bestimmte Kommunikations- und Analyseaufgaben automatisiert zu unterstützen. Beispielsweise kann ChatGPT verwendet werden, um Kundenanfragen in natürlicher Sprache zu beantworten, bei der Erstellung von Textinhalten zu helfen oder Daten auszuwerten. Durch die Einbindung dieser KI-Technologie können wir Ihre Anliegen noch schneller und umfassender bearbeiten und die Interaktion mit unseren Kunden sowie interne Geschäftsprozesse effizienter gestalten. Im Zusammenhang mit ChatGPT werden personenbezogene Daten verarbeitet, soweit Sie uns solche im Rahmen einer Chat- oder Texteingabe mitteilen oder wir solche Daten zur Verarbeitung an den Dienst übergeben. Konkret verarbeitet ChatGPT den Inhalt Ihrer Anfragen und Mitteilungen – also sämtliche von Ihnen eingegebenen Texte, die möglicherweise personenbezogene Informationen enthalten (wie z. B. Namen, Kontaktdaten oder sonstige Angaben zu Ihrer Person oder Dritten, die Sie in der Anfrage nennen). Zudem werden bei der Nutzung technisch bedingt Verbindungs- und Nutzungsdaten an OpenAI übermittelt, darunter insbesondere Geräte-/Browserinformationen, Zeit und Datum der Anfrage sowie ggf. die IP-Adresse, von der die Anfrage abgesendet wurde. Diese technischen Daten benötigt OpenAI, um den Dienst bereitzustellen und die Sicherheit und Funktionsfähigkeit (z. B. Missbrauchserkennung) zu gewährleisten. Wir übermitteln an ChatGPT keine sensiblen personenbezogenen Daten (wie besondere Kategorien nach Art. 9 DSGVO) und bitten Sie, in freien Anfragen ebenfalls keine sensiblen Informationen einzugeben. Die Rechtsgrundlage für den Einsatz von ChatGPT ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer innovativen und effizienten Kommunikation sowie Datenverarbeitung. Der KI-Einsatz ermöglicht es uns, Kundenanfragen schneller und rund um die Uhr zu beantworten, komplexe Informationen verständlich aufzubereiten und insgesamt unseren Service zu verbessern. Soweit die Nutzung von ChatGPT direkt der Erfüllung eines Vertrags mit Ihnen dient oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z. B. wenn wir ChatGPT einsetzen, um eine von Ihnen gestellte Anfrage zu Ihrem Vertrag automatisiert zu beantworten), stützen wir die Verarbeitung ergänzend auf Art. 6 Abs. 1 lit. b DSGVO. Für die Nutzung der OpenAI-Dienste haben wir einen Auftragsverarbeitungsvertrag (Data Processing Addendum) mit OpenAI nach Art. 28 DSGVO abgeschlossen. Darin verpflichtet sich OpenAI, die von uns übermittelten personenbezogenen Daten ausschließlich nach unseren Weisungen und unter Einhaltung der europäischen Datenschutzvorgaben zu verarbeiten. Bei der Verwendung von ChatGPT werden Ihre Eingaben zur Verarbeitung an Server von OpenAI in den USA übertragen. Damit erfolgt eine Datenübermittlung in einen Drittstaat außerhalb der EU/EWR. Wir haben mit OpenAI die EU-Standardvertragsklauseln abgeschlossen, um bei diesen Transfers ein dem EU-Recht entsprechendes Datenschutzniveau vertraglich abzusichern. OpenAI hat sich zudem verpflichtet, die europäischen Datenschutzprinzipien umzusetzen und bietet für seine Geschäftskunden zusätzliche Einstellungen an (etwa die Möglichkeit, die Verwendung der Daten zu Trainingszwecken zu deaktivieren oder eine regionale Datenverarbeitung zu wählen). Diese Maßnahmen stellen sicher, dass die Verarbeitung durch ChatGPT in einem Rahmen erfolgt, der den Anforderungen der DSGVO gerecht wird, auch wenn die Server in den USA stehen. OpenAI speichert die übermittelten Inhalte grundsätzlich nur so lange, wie dies für die Bereitstellung des Dienstes und interne Sicherheitszwecke erforderlich ist. Nach Angaben von OpenAI werden Chat- und Anfrage-Daten, sofern die Einstellung zur Nicht-Verwendung für KI-Training aktiviert ist, maximal 30 Tage vorgehalten und anschließend automatisch gelöscht. Wir selbst speichern etwaige Chat-Verläufe oder von ChatGPT generierte Antworten, die Ihre Person betreffen, nur solange, wie dies für die Bearbeitung Ihres Anliegens notwendig ist. Ist der Zweck erfüllt – z. B. Ihre Frage vollständig beantwortet und der Vorgang abgeschlossen – werden die entsprechenden Daten aus unseren Systemen entfernt. Gesetzliche Aufbewahrungspflichten bleiben auch hier unberührt; sollten Inhalte der Kommunikation unter handels- oder steuerrechtliche Aufbewahrungsvorschriften fallen (etwa weil sie Teile unserer Geschäftskorrespondenz sind), speichern wir diese im gesetzlich vorgeschriebenen Umfang und löschen sie nach Ablauf der Fristen. Bitte beachten Sie, dass Sie jederzeit das Recht haben, Auskunft über die zu Ihrer Person bei uns gespeicherten ChatGPT-Daten zu erhalten sowie eine Löschung oder Einschränkung der Verarbeitung zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen.

6. Speicherdauer und Löschung

Wir haben in den Kontoeinstellungen von OpenAI ausdrücklich deaktiviert, dass Chat-Verläufe zu Trainingszwecken verwendet werden. Es erfolgt daher keine Nutzung Ihrer Daten zur Weiterentwicklung der KI-Modelle.

Soweit in dieser Datenschutzerklärung nicht bereits spezifische Speicherfristen genannt wurden, gilt allgemein: Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es zur Erreichung des jeweiligen Zwecks erforderlich ist oder wir gesetzlich zur Aufbewahrung verpflichtet sind. Entfällt der Verarbeitungszweck und bestehen keine gesetzlichen Aufbewahrungspflichten mehr, löschen wir die Daten routinemäßig. Wir haben in den Kontoeinstellungen von OpenAI ausdrücklich deaktiviert, dass Chat-Verläufe zu Trainingszwecken verwendet werden. Es erfolgt daher keine Nutzung Ihrer Daten zur Weiterentwicklung der KI-Modelle.

Im Einzelnen können sich folgende typische Aufbewahrungsfristen ergeben:

Vertrags- und Kundendaten: Während der laufenden Geschäftsbeziehung und anschließend gemäß gesetzlicher Vorgaben. Vertragsunterlagen und mit dem Vertrag im Zusammenhang stehende Kommunikation bewahren wir im Regelfall 6 Jahre auf (vgl. § 257 HGB für Handelsbriefe). In steuerrechtlich relevanten Fällen (z. B. Rechnungen, buchungsrelevante Belege) erfolgt eine Aufbewahrung für 10 Jahre (vgl. § 147 AO). Buchhaltungsdaten: Siehe oben – Finanz- und Rechnungsdaten mindestens 10 Jahre. Bewerbungsunterlagen: (Für den Fall, dass Sie sich bei uns bewerben) üblicherweise 6 Monate nach Abschluss des Bewerbungsverfahrens, falls keine Einstellung erfolgt. Diese Information wird hier der Vollständigkeit halber erwähnt; ein konkreter Bezug zum Beratungsgeschäft besteht nur, wenn Bewerbungen eingehen. Newsletter-Daten: Bis zum Widerruf Ihrer Einwilligung. Nach einer Abmeldung vom Newsletter können wir Ihre E-Mail-Adresse aus technischen Gründen noch bis zu 30 Tage in einer Sperrliste vorhalten, um den versehentlichen weiteren Versand auszuschließen. Analysedaten (Webtracking): Siehe Abschnitt 3.2 – aktuell 14 Monate. Sonstige Anfragen (z. B. über Kontaktformular oder E-Mail): Bis zur abschließenden Beantwortung Ihrer Anfrage. Sofern die Korrespondenz zu keinem Vertragsverhältnis führt, löschen wir die Kommunikation nach spätestens 2 Jahren. Zählt die Kommunikation jedoch als Handels- oder Geschäftsbrief, gilt wiederum die 6-Jahres-Frist. Falls im Einzelfall noch Ansprüche geltend gemacht werden könnten (z. B. aus einem bereits beendeten Vertragsverhältnis Gewährleistungsansprüche innerhalb der gesetzlichen Fristen), können relevante personenbezogene Daten bis zum Ablauf der dafür vorgesehenen Verjährungsfristen aufbewahrt werden, um unsere Rechte zu wahren. Die Daten werden in solchen Fällen jedoch für eine andere Nutzung gesperrt.

7. Datensicherheit

Wir treffen umfassende technische und organisatorische Maßnahmen (TOMs), um Ihre personenbezogenen Daten vor Verlust, Missbrauch, unberechtigtem Zugriff oder Veröffentlichung zu schützen. Dazu gehören unter anderem die Verwendung von modernen Verschlüsselungstechnologien bei der Übertragung (SSL/TLS-Verschlüsselung auf unserer Website erkennbar am “https://” in der Adresszeile), regelmäßige Software-Updates, Firewalls und Zugriffsbeschränkungen auf Daten nach dem Need-to-know-Prinzip. Externe Dienstleister wurden sorgfältig ausgewählt und sind vertraglich zur Einhaltung der Datenschutzstandards verpflichtet (siehe Auftragsverarbeitung in Abschnitt 2). Unsere Mitarbeiter werden regelmäßig im Datenschutz geschult und auf Vertraulichkeit verpflichtet. Trotz aller Sorgfalt kann keine Internetübertragung absolut sicher gestaltet werden. Daher weisen wir darauf hin, dass die Übermittlung von Informationen über das Internet stets gewisse Risiken birgt. Wir verbessern jedoch kontinuierlich unsere Sicherheitsmaßnahmen entsprechend der technologischen Entwicklung, um Ihre Daten bestmöglich zu schützen.

8. Ihre Rechte als betroffene Person

Sie haben als von der Datenverarbeitung betroffene Person die folgenden Rechte, die Sie uns gegenüber jederzeit unentgeltlich ausüben können: 

Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir von Ihnen gespeichert haben. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger und geplante Dauer der Speicherung bzw. die Kriterien für deren Festlegung. 

Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung falscher oder Vervollständigung unvollständiger, bei uns gespeicherter personenbezogener Daten zu verlangen. Recht auf Löschung (Art. 17 DSGVO): Sie können unter den gesetzlichen Voraussetzungen verlangen, dass wir Ihre personenbezogenen Daten löschen. Dies ist z. B. der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder Sie eine erteilte Einwilligung widerrufen haben. Beachten Sie, dass bestimmte Daten z. B. aufgrund gesetzlicher Aufbewahrungspflichten nicht sofort gelöscht werden dürfen; in solchen Fällen erfolgt eine Einschränkung der Verarbeitung. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, solange die Richtigkeit der Daten von Ihnen bestritten wird, eine unrechtmäßige Verarbeitung stattgefunden hat (und statt Löschung eine Einschränkung begehrt wird) oder wir die Daten zur Geltendmachung von Rechtsansprüchen noch benötigen, Sie aber sonst ein Löschrecht hätten. 

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen – oder, soweit technisch machbar, einem von Ihnen benannten Dritten – die uns von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausgeben. Dies gilt, sofern die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Recht auf Widerspruch (Art. 21 DSGVO): Verarbeiten wir Ihre Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) oder für Direktwerbung, haben Sie das Recht, Widerspruch gegen diese Verarbeitung einzulegen. Bei Widerspruch werden wir Ihre Daten nicht weiter für diese Zwecke verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Insbesondere dem Einsatz Ihrer Daten zu Direktwerbezwecken können Sie jederzeit ohne Angabe von Gründen widersprechen – im Falle eines Widerspruchs werden wir die Verarbeitung Ihrer Daten zu Werbezwecken einstellen.

Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Wenn Sie uns eine Einwilligung zur Datenverarbeitung erteilt haben (z. B. für Newsletter oder für die Aufzeichnung eines Meetings), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs.

Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Sie können dies bei der für uns zuständigen Behörde ([Name und Anschrift der zuständigen Behörde]) oder jeder anderen Aufsichtsbehörde innerhalb der EU tun.

Zur Geltendmachung Ihrer Rechte können Sie sich formlos an uns wenden (per E-Mail oder postalisch an unsere oben angegebene Anschrift). Bitte geben Sie dabei ausreichend Informationen an, damit wir Ihr Anliegen zuordnen können. Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb der gesetzlichen Frist von einem Monat, bearbeiten und Ihnen Auskunft über die erfolgten Maßnahmen geben.

9. Keine automatisierte Entscheidungsfindung

Wir verwenden keine automatisierten Entscheidungen im Einzelfall im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Das heißt, es findet keine vollautomatische Verarbeitung Ihrer Daten statt, bei der ein Computerprogramm ohne menschliche Überprüfung eine Entscheidung über Sie trifft (z. B. Scoring, Profiling zur Analyse persönlicher Aspekte). Sollte sich dies in Zukunft ändern (etwa durch den Einsatz neuer Tools), werden wir Sie hierüber gesondert informieren und die gesetzlichen Vorgaben beachten.

10. Betroffenenrechte

Sie haben das Recht: gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen; gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen; gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist; gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen; gemäß Art. 20 DSGVO Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen; gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (https://www.datenschutz-berlin.de/).

11. Widerspruchsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen.

12. Einbindung von YouTube-Videos

Wir haben YouTube-Videos der YouTube LLC, 901 Cherry Ave, San Bruno, California 94066, USA, einer Tochtergesellschaft der Google LLC („YouTube“), in unser Online-Angebot eingebunden, die auf youtube.com gespeichert sind und von unserer Website aus direkt abspielbar sind. Durch den Besuch auf der Website erhält YouTube die Information, dass Sie die entsprechende Unterseite unserer Website aufgerufen haben. Zudem werden die unter § 3 dieser Erklärung genannten Daten übermittelt. Dies erfolgt unabhängig davon, ob YouTube ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind oder ob kein Benutzerkonto besteht. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet. Wenn Sie die Zuordnung mit Ihrem Profil bei YouTube nicht wünschen, müssen Sie sich vor Aktivierung des Buttons ausloggen. YouTube speichert Ihre Daten als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung seiner Website. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Nutzer) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über Ihre Aktivitäten auf unserer Website zu informieren. Ihnen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile, wobei Sie sich zur Ausübung dessen an YouTube richten müssen. Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch YouTube erhalten Sie in der Datenschutzerklärung. Dort erhalten Sie auch weitere Informationen zu Ihren Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre: https://www.google.de/intl/de/policies/privacy.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um rechtlichen Änderungen oder Erweiterungen unserer Dienstleistungen Rechnung zu tragen. Die jeweils aktuelle Version ist auf unserer Website verfügbar. Falls wir wesentliche Änderungen vornehmen, die eine Benachrichtigung erforderlich machen (etwa weil Ihre Einwilligung erneut eingeholt werden muss), werden wir Sie darüber proaktiv informieren.