Datenschutzerklärung
Einleitung
Datenschutzerklärungen sind oft schwer zu lesen. Das verstehen wir. Und möchten es anders machen. Wir
möchten Nutzern mit unserer Datenschutzerklärung eine einfach verständliche Erklärung über die Art und Weise
der Verarbeitung von personenbezogenen Daten durch uns geben. Hierfür gliedern wir unsere
Datenschutzerklärung klar strukturiert für Nutzer auf und zeigen Nutzern zu jedem Themenbereich, ob und wie
wir die personenbezogenen Daten von Nutzern verarbeiten.
Wir erläutern Nutzern in dieser Datenschutzerklärung, ob und wie wir personenbezogene Daten verarbeiten.
Hierbei stellen wir Nutzern sämtliche Verarbeitungsvorgänge dar, die durch uns, durch von uns beauftragte oder
eingebundene Dienste Dritter oder die sonstige Dritte in unserem Auftrag im Rahmen der Nutzung unserer
Website, unserer App, unserer Software, unseres Marktplatzes, unserer Social Media Profile und der hierbei
jeweils verfügbarer Funktionen (nachfolgend zusammen auch „Services“ genannt) vorgenommen werden.
Wir erläutern Nutzern in dieser Datenschutzerklärung, ob und wie wir personenbezogene Daten verarbeiten.
Hierbei stellen wir Nutzern sämtliche Verarbeitungsvorgänge dar, die durch uns, durch von uns beauftragte oder
eingebundene Dienste Dritter oder die sonstige Dritte in unserem Auftrag im Rahmen der Nutzung unserer
Website, unserer App, unserer Software, unseres Marktplatzes, unserer Social Media Profile und der hierbei
jeweils verfügbarer Funktionen (nachfolgend zusammen auch „Services“ genannt) vorgenommen werden.
Inhaltsverzeichnis
Unsere Datenschutzerklärung ist wie folgt aufgebaut
1. Allgemeines - Kurze Einführung zum Gegenstand der Datenschutzerklärung, zum Verantwortlichen und
zum Datenschutzbeauftragen
2. Allgemeine Informationen zur Datenverarbeitung - Informationen dazu, was personenenbezogene
Daten sind, auf welcher rechtlichen Grundlage wir diese verarbeiten oder auch mit Dritten teilen
3. Betroffenenrechte - Informationen zu Nutzer Rechten auf u.a. Auskunft, Löschung oder Widerspruch zu
unserer Datenverarbeitung
4. Angaben zu den verwendeten Cookies und weiterer Technologien - Informationen zur Verwendung
von Cookies und weiterer Technologien, mit bzw. mithilfe derer wir die personenbezogenen Daten von
Nutzern verarbeiten
5. Datenverarbeitung im Zusammenhang mit der Nutzung unserer Services - Informationen zu
unserer Datenverarbeitung in unseren Services selbst
6. Kommunikations Services - Informationen zu Diensten zur Kommunikation sowie zur entsprechenden
Verarbeitung von personenbezogenen Daten
7. Payment Abwicklung - Informationen zur Abwicklung von Zahlungen unter Integration von
Zahlungsdienstleistern und der hierdurch erfolgten Verarbeitung von personenbezogenen Daten
8. Bereitstellung unserer Services - Informationen zu Hostingdienstleistern und den von diesen in
Anspruch genommenen Diensten
9. Tracking & Tools - Informationen zu Diensten, mittels derer wir Nutzern unsere Services bereitstellen
und mittels derer wir die Nutzung unserer Services analysieren
10. Profile auf Social Media - Informationen zu unseren Präsenzen auf den Netzwerken der Sozialen
Medien und der entsprechend hierdurch erfolgten Verarbeitung von personenbezogenen Daten
1. Allgemeines
Der Schutz von personenbezogenen Daten und der Privatsphäre ist uns überaus wichtig. Deshalb möchten wir
Nutzern umfassende Transparenz bezüglich der Verarbeitung von personenbezogenen Daten (DSGVO) sowie
bezüglich der Speicherung von Informationen auf dem Endgerät des Nutzers (TDDDG) bieten. Denn nur, wenn
die Verarbeitung von personenbezogenen Daten und Informationen für Nutzer als betroffene Personen
nachvollziehbar sind, sind sie ausreichend über den Umfang, die Zwecke und den Nutzen der Verarbeitung
informiert.
Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten sowie
für die Speicherung von Informationen auf Endgeräten. Nutzer gilt also sowohl im Rahmen der Erbringung von
Leistungen in unseren Services als auch innerhalb externer Onlinepräsenzen, wie z.B. unserer Social-Media-
Profile.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes
(BDSG) sowie sonstiger datenschutzrechtlicher Vorgaben ist die
Astra
Einzelunternehmer Matija Grujicic
Sprickmannstraße 33
48159 Münster
E-Mail: astra.agentur@gmail.com
Tel.: +49 163 9106971
Im Folgenden „Verantwortlicher“ oder „wir“ genannt.
2. Allgemeine Informationen zur Datenverarbeitung
Zunächst einmal möchten wir Nutzern einleitende Informationen dazu geben, was der Schutz personenbezogener
Daten bedeutet, was personenbezogene Daten sind, wie wir sie verarbeiten und welche Sicherheitsmaßnahmen
wir hierbei anbringen.
2.1 Verarbeitung personenbezogener Daten
Personenbezogene Daten (nachfolgend auch „Daten“) sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise die Folgenden Daten, wobei
klargestellt wird, dass nicht alle diese Daten auch durch unsere Services verarbeitet werden müssen:
• Personaldaten - Name, Alter, Familienstand, Geburtsdatum
• Kommunikationsdaten - Anschrift, Telefonnummer, E-Mail Adresse
• Kontodaten - Konto-, Kreditkartennummer
• Geodaten - IP Adresse & Standortdaten
• Gesundheitsdaten - Gesundheitlicher Zustand, Krankheiten
Das „Verarbeiten“ personenbezogener Daten umfasst beispielsweise die folgenden Maßnahmen:
• Erhebung - Die Erhebung von Daten über Kontaktformulare, per E-Mail oder durch von uns genutzte
Prozesse und Dienste
• Übermittlung - Die Übermittlung von Daten an unsere Dienstleister, eingebundene Dienste oder
sonstige Dritte
• Speicherung - Die Speicherung von Daten in unseren Datenbanken oder auf unseren Servern
• Veränderung - Die Änderung von Daten aufgrund von Änderungen des Namens, des Wohnortes oder
von Angaben in unseren Services
• Löschen - Das Löschen von Daten, wenn wir keine Berechtigung mehr haben, diese zu verarbeiten
2.2 Rechtliche Grundlagen zur Verarbeitung von personenbezogenen Daten
Wir verarbeiten personenbezogene Daten nur innerhalb der rechtlich zulässigen Grenzen. Dazu verpflichtet uns
schon das Gesetz. Insbesondere die DSGVO. Daraus sind wir verpflichtet, Datenverarbeitungsvorgänge immer
auf eine rechtliche Grundlage stützen zu können. Diese rechtlichen Grundlagen sind in Art. 6 Abs. 1 DSGVO
normiert. Im Folgenden nennen wir sämtliche rechtlichen Grundlagen, auf die wir eine Verarbeitung von
personenbezogenen Daten stützen.
• Einwilligung - Art. 6 Abs. 1 lit. a DSGVO: Eine Verarbeitung von Daten erfolgt, wenn Nutzer in diese
Verarbeitung, nach vorheriger ausreichender Information über deren Umfang und Zwecke durch uns,
aktiv, also bspw. durch ein „Opt-In“, eingewilligt haben. Sollten Nutzer ihre Einwilligung widerrufen oder
nicht erteilt haben, so verarbeiten wir Daten unserer Nutzer nicht (mehr) für Zwecke, bei denen wir eine
Einwilligung benötigen.
• Einwilligung für Minderjährige - Art. 8 Abs. 1 S. 2 DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a bzw. in
Verbindung mit Art. 9 Abs. 2 lit. a DSGVO: Eine Verarbeitung von Daten minderjähriger Kinder (unterhalb
von 16 Jahren) erfolgt, wenn Erziehungsberechtigte, nach vorheriger ausreichender Information über
deren Umfang und Zwecke durch uns, hierin aktiv, also bspw. durch ein „Opt-In“, eingewilligt haben.
Sollte die Einwilligung widerrufen worden sein, so verarbeiten wir die Daten nicht (mehr) für Zwecke, bei
denen wir die Einwilligung benötigen.
• Einwilligung besondere Kategorien - Art. 9 Abs. 2 lit. a DSGVO: Eine Verarbeitung von Daten, die in
besondere Kategorien personenbezogener Daten fallen, wie bspw. Gesundheitsdaten, politische
Meinungen etc. (siehe auch Art. 9 Abs. 1 DSGVO) erfolgt, wenn Nutzer in diese Verarbeitung, nach
vorheriger ausreichender Information über deren Umfang und Zwecke durch uns, aktiv, also bspw. durch
ein „Opt-In“, eingewilligt haben. Sollten Nutzer ihre Einwilligung widerrufen oder nicht erteilt haben, so
verarbeiten wir Daten unserer Nutzer nicht (mehr) für Zwecke, bei denen wir eine Einwilligung benötigen.
• Zur Vertragserfüllung - Art. 6 Abs. 1 lit. b: Eine Verarbeitung von Daten erfolgt, wenn sie für die
Erfüllung eines Vertrags zwischen uns oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
ist. Sofern die Verarbeitung zur Vertragserfüllung nicht mehr notwendig ist, verarbeiten wir die
personenbezogenen Daten von Nutzern nicht mehr.
• Erfüllung einer rechtlichen Verpflichtung . Art. 6 Abs. 1 lit. c DSGVO: Eine Verarbeitung von Daten
erfolgt, wenn diese Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir als
Verantwortliche unterliegen.
• Berechtigtes Interesse - Art. 6 Abs. 1 lit. f DSGVO: Eine Verarbeitung von Daten erfolgt, wenn dies zur
Wahrung eines auf unserer Seite liegenden berechtigten Interesses erforderlich ist und hierbei
Interessen oder Grundrechte und Grundfreiheiten der Nutzer, den Schutz von Daten betreffend, nicht
überwiegen.
Personenbezogene Daten werden von uns nur für eindeutige Zwecke verarbeitet (Art. 5 Abs. 1 lit. b DSGVO).
Sobald der Zweck der Verarbeitung wegfällt, werden die personenbezogenen Daten von Nutzern gelöscht oder
durch technische sowie organisatorische Maßnahmen geschützt (z.B. durch Pseudonymisierung).
Gleiches gilt für den Ablauf einer vorgeschriebenen Speicherfrist, vorbehaltlich der Fälle, in denen eine weitere
Speicherung für einen Vertragsabschluss oder Vertragserfüllung notwendig ist. Darüber hinaus kann sich eine
gesetzliche Pflicht zu einer längeren Speicherung oder einer Weitergabe an Dritte (insb. an
Strafverfolgungsbehörden) ergeben. In sonstigen Fällen hängt die Speicherdauer und Art der erhobenen Daten
sowie die Art der Datenverarbeitung davon ab, welche Funktionen Nutzer im Einzelfall nutzt. Gerne geben wir
Nutzern darüber auch im Einzelfall Auskunft, gemäß Art. 15 DSGVO.
2.3 Diese Datenkategorien verarbeiten wir
Datenkategorien sind insbesondere die folgenden Daten:
• Stammdaten (z.B. Namen, Anschriften, Geburtsdaten),
• Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern, Messengerdienste),
• Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos, Inhalte von Dokumenten/Dateien),
• Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kundenkategorie),
• Zahlungsdaten (z.B. Bankverbindungen, Zahlungshistorie, Verwendung sonstiger
Zahlungsdienstleister),
• Nutzungsdaten (z.B. Verlauf in unseren Services, Nutzung bestimmter Inhalte, Zugriffszeiten),
• Verbindungsdaten (z.B. Geräte-Informationen, IP-Adressen, URL-Referrer).
2.4 Diese Sicherheitsmaßnahmen treffen wir
Nach Maßgabe der gesetzlichen Vorgaben und unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der
unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung von Rechten und Freiheiten
treffen wir geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherstellung, dass Daten unserer Nutzer vertraulich, integer und
jederzeit verfügbar gespeichert und verarbeitet werden. Weiterhin gehören Kontrollen des Zugangs zu Daten
sowie des Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihre Trennung von Daten
anderer natürlicher Personen zu den Sicherheitsmaßnahmen, die wir implementieren. Des Weiteren haben wir
Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten (siehe unter Ziff. 3), die Löschung von
Daten und Reaktionen bei einer Gefahr für Daten unserer Nutzer gewährleisten. Ferner berücksichtigen wir den
Schutz personenbezogener Daten bereits bei der Entwicklung unserer Software sowie durch Verfahren die dem
Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
entsprechen.
2.5 So übermitteln oder offenbaren wir personenbezogene Daten gegenüber Dritten
Im Rahmen unserer Verarbeitungsmaßnahmen von personenbezogenen Daten kommt es vor, dass diese Daten
an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder
offengelegt werden. Diese Dritten können z.B. Zahlungsinstitute im Rahmen von Zahlungsvorgängen, mit IT-
Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die wir in unsere Services
eingebunden haben, gehören. Sollten wir die personenbezogenen Daten von Nutzern an Dritte übermitteln oder
offenbaren, beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw.
Vereinbarungen, die dem Schutz von Daten dienen, mit den Empfängern von Daten ab.
2.6 So erfolgt eine Drittlandübermittlung
Sollte in dieser Datenschutzerklärung dargestellt sein, dass wir die personenbezogenen Daten von Nutzern in ein
Drittland, also ein Land außerhalb der EU bzw. außerhalb des EWR, übermitteln, gilt Folgendes. Eine
Drittlandübermittlung erfolgt nur in Übereinstimmung mit den gesetzlichen Vorgaben. Wir sichern Nutzern zu,
dass wir eine vertragliche oder gesetzliche Ermächtigung zur Übermittlung und Verarbeitung von Daten in dem
betreffenden Drittland haben. Darüber hinaus lassen wir Daten unserer Nutzer nur von Dienstleistern in
Drittländern verarbeiten, die aus unserer Sicht ein anerkanntes Datenschutzniveau aufweisen. Das bedeutet,
dass zwischen der EU und dem Land, in dem wir die personenbezogenen Daten von Nutzern übermitteln, z.B.
ein entsprechender Angemessenheitsbeschluss besteht. Ein „Angemessenheitsbeschluss“ ist ein Beschluss, der
von der Europäischen Kommission gemäß Art. 45 DSGVO angenommen wird und durch den festgelegt wird,
dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation
ein angemessenes Schutzniveau für personenbezogene Daten bietet. Alternativ, also bspw. wenn es keinen
Angemessenheitsbeschluss gibt, erfolgt eine Drittlandübermittlung nur, wenn etwa vertragliche Verpflichtungen
zwischen uns und dem Dienstleister im Drittland durch sogenannte Standardvertragsklauseln der EU-Kommission
vorliegen und weitergehende technische Sicherheitsvorkehrungen getroffen wurden, die ein angemessen
gleiches Schutzniveau zu dem in der EU gewährleisten bzw. der Dienstleister im Drittland Datenschutz-
Zertifizierungen vorweisen kann und Daten unserer Nutzer nur gemäß interner Datenschutzvorschriften
verarbeitet werden (Art. 44 bis 49 DSGVO. Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/
law-topic/data-protection/international-dimension-data-protection_de).
Im Rahmen des sogenannten „Data Privacy Framework” („DPF“) hat die EU-Kommission das Datenschutzniveau
für bestimmte Unternehmen aus den USA im Rahmen der Angemessenheitsbeschlusses vom 10.07.2023 als
sicher anerkannt. Eine Liste der zertifizierten Unternehmen als auch weitere Informationen zu dem DPF können
Nutzer der Webseite des Handelsministeriums der USA unter https://www.dataprivacyframework.gov/ (in
Englisch) entnehmen. Wir informieren Nutzer im Rahmen dieser Datenschutzerklärung, welche von uns
eingesetzten Services unter dem Data Privacy Framework zertifiziert sind.
2.7 Löschung von Daten
Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur
Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen (z.B. wenn der
Zweck der Verarbeitung dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind). Sofern die
Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren
Verarbeitung auf diese Zwecke beschränkt. D.h., die Daten werden gesperrt und nicht für andere Zwecke
verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen
oder deren Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum
Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist.
Im Rahmen dieser Datenschutzerklärung informieren wir ggf. zu der Löschung sowie zu der Aufbewahrung von
Daten, die speziell für die jeweiligen Verarbeitungsprozesses gelten.
2.8 Speicherung von und Zugriff auf Daten auf dem Endgerät des Nutzers
Sofern wir von Nutzern keine Einwilligung dazu einholen, erfolgt die Speicherung von oder der Zugriff auf
Informationen auf dem Endgerät des Nutzers gemäß § 25 Abs. 2 Nr. 2 des Gesetzes über den Datenschutz und
den Schutz der Privatsphäre in der Telekommunikation und bei Digitalen Diensten (TDDDG), da die Speicherung
von und der Zugriff auf diese Informationen unbedingt erforderlich ist, um die gewünschten Funktionen unserer
Services zur Verfügung zu stellen. Sofern wir eine Einwilligung dazu einholen, ist die Rechtsgrundlage § 25 Abs.
1 TDDDG. Unsere Services verwenden Cookies, Tokens oder andere Technologien, die ggf. auf Endgeräten
gespeichert werden und ohne die die Bereitstellung unserer Services nicht möglich wäre.
Cookies, Tokens oder andere Technologien sind in der Regel Textdateien, die auf dem Endgerät des Nutzers
gespeichert und von uns und Dritten bei einem Aufruf unserer Services ausgelesen werden können. Viele der
vorgenannten Technologien enthalten eine eigene ID. Eine solche ID ist eine eindeutige Kennung der jeweils
verwendeten Technologie. Nutzer besteht aus einer Zeichenfolge, durch welche Webseiten und Server dem
konkreten Internetbrowser oder dem konkret genutzten Dienst oder Endgerät zugeordnet werden können, in dem
Cookies, Tokens oder andere Technologien gespeichert wurden. Dies ermöglicht es den Betreibern von
Webseiten und Analysediensten, Nutzer als Nutzer zu identifizieren und von anderen zu unterscheiden.
2.9 Auftragsverarbeitung
Sollten wir uns zur Verarbeitung von Daten externer Dienstleister bedienen, werden diese von uns sorgfältig
ausgewählt und beauftragt. Sollte es sich bei den Diensten, die diese Dienstleister erbringen, um
Auftragsverarbeitungen im Sinne von Art. 28 DSGVO handeln, so sind die Dienstleister an unsere Weisungen
gebunden und werden regelmäßig kontrolliert. Dabei entsprechen unsere Auftragsverarbeitungsverträge den
strengen Voraussetzungen des Art. 28 DSGVO sowie den Vorgaben der deutschen Datenschutzbehörden.
3. Betroffenenrechte
Werden personenbezogene Daten unserer Nutzer verarbeitet, sind sie Betroffener i.S.d. DSGVO und es stehen
Nutzern als Nutzer folgende Rechte gegenüber dem Verantwortlichen zu:
3.1 Auskunftsrecht
Nutzer können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die
Nutzer betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Nutzer von dem Verantwortlichen über folgende Informationen
Auskunft verlangen:
• die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
• die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
• die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Nutzer betreffenden
personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
• die geplante Dauer der Speicherung der Nutzer betreffenden personenbezogenen Daten oder, falls
konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der Nutzer betreffenden
personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht
bei der betroffenen Person erhoben werden;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1
und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte
Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die
betroffene Person.
• Nutzern steht das Recht zu, Auskunft darüber zu verlangen, ob die Nutzer betreffenden
personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden.
In diesem Zusammenhang können Nutzer verlangen, über die geeigneten Garantien gemäß Art. 46
DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
3.2 Recht auf Berichtigung
Nutzer haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die
verarbeiteten personenbezogenen Daten, die Nutzer betreffen, unrichtig oder unvollständig sind. Der
Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
3.3 Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Nutzer die Einschränkung der Verarbeitung der Nutzer
betreffenden personenbezogenen Daten verlangen:
• wenn Nutzer die Richtigkeit der Nutzer betreffenden personenbezogenen Daten für eine Dauer
bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu
überprüfen;
• die Verarbeitung unrechtmäßig ist und Nutzer die Löschung der personenbezogenen Daten ablehnen
und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
• der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger
benötigt, Nutzer diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
benötigen, oder
• wenn Nutzer Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und
noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Gründen der Nutzer
überwiegen.
• Wurde die Verarbeitung der Nutzer betreffenden personenbezogenen Daten eingeschränkt, dürfen diese
Daten – von ihrer Speicherung abgesehen – nur mit einer Einwilligung oder zur Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen
natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union
oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Nutzer von
dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
3.4 Recht auf Löschung
3.4.1.
Nutzer können von dem Verantwortlichen verlangen, dass die Nutzer betreffenden personenbezogenen
Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet diese Daten unverzüglich zu
löschen, sofern einer der folgenden Gründe zutrifft:
• Die Nutzer betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf
sonstige Weise verarbeitet wurden, nicht mehr notwendig.
• Nutzer widerrufen eine Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a oder Art. 9
Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
• Nutzer legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine
vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Nutzer legen gemäß Art. 21 Abs. 2
DSGVO Widerspruch gegen die Verarbeitung ein.
• Die Nutzer betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
• Die Löschung der Nutzer betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen
Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der
Verantwortliche unterliegt.
• Die Nutzer betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der
Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
3.4.2.
Hat der Verantwortliche die Nutzer betreffenden personenbezogenen Daten öffentlich gemacht und ist er
gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren
Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die
Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass
Nutzer als betroffene Personen von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder
von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
3.4.3.
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
• zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der
Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die
im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde;
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit.
h und i sowie Art. 9 Ab. 3 DSGVO;
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das in Abs. 1
genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder
ernsthaft beeinträchtigt, oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
3.5 Recht auf Unterrichtung
Haben Nutzer das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem
Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Nutzer betreffenden
personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung
der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen
Aufwand verbunden.
Nutzern steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
3.6 Recht auf Datenübertragbarkeit
Nutzer haben das Recht, die Nutzer betreffenden personenbezogenen Daten, die Nutzer dem Verantwortlichen
bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem
haben Nutzer das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den
Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die
Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf
einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren
erfolgt.
In Ausübung dieses Rechts haben Nutzer ferner das Recht zu erwirken, dass die Nutzer betreffenden
personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt
werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht
beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher
Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
3.7 Widerspruchsrecht
Nutzer haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die
Verarbeitung der Nutzer betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f
DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Nutzer betreffenden personenbezogenen Daten nicht mehr, es sei denn, er
kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und
Freiheiten unserer Nutzer überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen.
Werden die Nutzer betreffenden personenbezogenen Daten verarbeitet, um Nutzernektwerbung zu betreiben,
haben Nutzer das Recht, jederzeit Widerspruch gegen die Verarbeitung der Nutzer betreffenden
personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es
mit solcher Nutzernektwerbung in Verbindung steht.
Widersprechen Nutzer der Verarbeitung für Zwecke der Nutzernektwerbung, so werden die Nutzer betreffenden
personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Nutzer haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft –
ungeachtet der Richtlinie 2002/58/EG – Das Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei
denen technische Spezifikationen verwendet werden.
3.8 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Nutzer haben das Recht, eine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den
Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten
Verarbeitung nicht berührt. Die Verarbeitung ist bis zu einem Widerruf rechtmäßig – der Widerruf wirkt somit erst
auf die Verarbeitung nach Zugang des Widerrufs. Nutzer können den Widerruf formlos per Post oder E-Mail
erklären. Die Verarbeitung von personenbezogenen Daten erfolgt dann nicht mehr, vorbehaltlich der Gestattung
durch eine anderweitige gesetzliche Grundlage. Ist dies nicht der Fall, müssen Daten unserer Nutzer nach dem
Widerruf gemäß Art. 17 Abs. 2 DSGVO unverzüglich gelöscht werden. Das Recht, eine Einwilligung vorbehaltlich
der oben genannten Voraussetzungen zu widerrufen wird gewährleistet.
Der Widerruf ist zu richten an:
Astra
Einzelunternehmer Matija Grujicic
Sprickmannstraße 33
48159 Münster
E-Mail: astra.agentur@gmail.com
Tel.: +49 163 9106971
3.9 Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Nutzern das
Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres
Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Nutzer der Ansicht sind, dass die Verarbeitung
der Nutzer betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den
Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach
Art. 78 DSGVO.
3.10 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling erfolgen nicht.
3.11 Mitteilungspflichten des Verantwortlichen
Sollten anderen Empfängern (Dritte) die personenbezogenen Daten von Nutzern mit Rechtsgrund offengelegt
worden sein, teilen wir jenen jede Berichtigung, Löschung oder Einschränkung der Verarbeitung von
personenbezogenen Daten mit (Art. 16, Art 17 Abs. 1 und Art. 18 DSGVO). Die Mitteilungspflicht entfällt, wenn sie
mit einem unverhältnismäßigen Aufwand verbunden ist oder unmöglich ist. Wir unterrichten Nutzer ferner auf
Verlangen über die Empfänger.
4. Angaben zu den verwendeten Cookies und weiterer Technologien
Wir nutzen Cookies oder weitere Technologien, um unsere Services zu erbringen, auszuwerten und mit den
ausgewerteten Daten Marketing zu betreiben. Cookies sind dabei bspw. kleine Textdateien, die Daten von
besuchten Websites oder Domains enthalten und auf einem Gerät (Computer, Tablet oder Smartphone)
gespeichert werden. Greifen Nutzer auf eine Website zu, sendet der auf einem Gerät gespeicherte Cookie
Informationen an denjenigen, der den Cookie platziert hat.
4.1 So verwenden wir Cookies und weitere Technologien
Wir möchten, dass Nutzer in der Lage sind, eine informierte Entscheidung für oder gegen die Verwendung von
Cookies und weiterer Technologien zu treffen, die für die technischen Eigenschaften der Services nicht unbedingt
erforderlich sind. Daher ermöglichen wir es Nutzern für den Fall, dass wir Cookies und weitere Technologien
einsetzen, die einer Einwilligung bedürfen, im Rahmen einer freiwilligen Entscheidung beim erstmaligen Besuch
unserer Services und danach dauerhaft in entsprechenden Einstellungen zu wählen, welche Cookies und weitere
Technologien Nutzer zulassen. Hierbei gilt stets, dass für den Besuch unserer Services Funktionale Cookies und
weitere Technologien zwingend sind und daher schon über unsere Voreinstellungen zugelassen sind. Statistik
und Marketing Cookies und weitere Technologien sind optional. Nutzer können sie zulassen, indem Nutzer im
Consent Banner in das Setzen dieser Cookies und weiterer Technologien entsprechend einwilligen. Alternativ
können Nutzer Statistik und Marketing Cookies und weitere Technologien ablehnen.
4.2 Speicherdauer von Cookies und weiterer Technologien
Sofern wir Nutzern keine expliziten Angaben zur Speicherdauer von Cookies und weiterer Technologien mitteilen
(z.B. im Rahmen des Consent Banners), können Nutzer davon ausgehen, dass die Speicherdauer bis zu zwei
Jahre betragen kann. Wurden Cookies und weitere Technologien auf Basis einer Einwilligung gesetzt, haben
Nutzer jederzeit die Möglichkeit, eine erteilte Einwilligung zu widerrufen oder der Verarbeitung von Daten durch
Cookie / Technologien zu widersprechen (zusammenfassend als „Opt-Out" bezeichnet).
4.3 Arten von Cookies und weiterer Technologien
Sachlich unterscheiden wir zwischen
• Funktionalen Cookies / Technologien: Diese sind für die grundlegenden technischen Funktionen der
Services erforderlich. Nutzer ermöglichen bspw. einen sicheren Login und die Speicherung des
Fortschritts bei Bestellvorgängen. Weiterhin ermöglichen sie uns bspw. das Speichern von
Anmeldedaten, des Warenkorb-Inhalts und die einheitliche Darstellung von Seiteninhalten.
• Analytische Cookies / Technologien: Diese ermöglichen uns die Analyse der Services, damit wir
deren Leistung messen und verbessern können. Nutzer können persönliche Einstellungen der Statistik
ändern, indem Nutzer auf den entsprechenden Opt-Out Link klicken.
• Marketing Cookies / Technologien: Diese werden von uns verwendet, um Nutzern Werbung zu
unterbreiten, die für Interessen relevant sein könnte. Nutzer ermöglichen bspw. das Teilen von Seiten
über Soziale Netzwerke und das Schreiben von Kommentaren. Ebenso werden Angebote, die den
Interessen der Nutzer entsprechen könnten, angezeigt. Nutzer können persönliche Einstellungen im
Marketing ändern, indem sie auf den entsprechenden Opt-Out Link klicken.
4.4 Einwilligungs Management
Wir nutzen das Einwilligungsmanagement-Tool „Usercentrics“ der Usercentrics GmbH Sendlinger Straße 7
80331 München (nachfolgend auch „Consent-Tool“) im Rahmen der Tracking- und Analysetätigkeiten in unseren
Services. Das Consent-Tool sammelt Logfile- und Einwilligungsdaten. Das Consent-Tools ermöglicht es, Nutzer
über eine Einwilligung zu bestimmten Tags in unseren Services zu informieren und diese einzuholen, zu
verwalten und zu dokumentieren. Wir verarbeiten dabei die folgenden Daten: (1) Consent Daten bzw. Daten der
Einwilligung (anonymisierte Logbuchdaten (Consent ID, Processor ID, Controller ID), Consent Status,
Timestamp), (2) Device Daten bzw. Daten der verwendeten Geräte (u.a. gekürzte IP-Adressen (IP v4, IP v6),
Geräteinformationen, Timestamp), (3) User Daten bzw. Benutzerdaten (u.a. eMail, ID, Browserinformationen,
SettingIDs, Changelog). Die ConsentID (enthält die oben genannten Daten) und der Consent-Status inkl.
Zeitstempel werden in dem lokalen Speicher des Browsers und gleichzeitig auf den von uns eingesetzten Cloud-
Servern gespeichert. Eine weitere Verarbeitung erfolgt nur, wenn Nutzer eine Anfrage auf Auskunftsersuchen
stellen oder die Zustimmung widerrufen. Die Rechtsgrundlage zur Verarbeitung personenbezogener Daten mittels
des Consent-Tools nach der hier genannten Maßgabe resultiert aus unserem berechtigten Interesse sowie zur
Erfüllung rechtlicher Vorgaben und damit aus Art. 6 Abs. 1 lit. f und c DSGVO. Mittels des Consent-Tools möchten
wir gesetzliche Vorgaben zum Datenschutz und zum Tracking erfüllen und damit die Funktionsweise unserer
informationstechnischen Systeme gesetzeskonform und nutzerzentriert aufstellen.
5. Datenverarbeitung im Zusammenhang mit der Nutzung unserer Services
Die Nutzung unserer Services mit all ihren Funktionen geht mit der Verarbeitung von personenbezogenen Daten
einher. Wie genau das geschieht, erläutern wir Nutzern hier.
5 Informatorische Nutzung unserer Services
Das rein informatorische Aufrufen unserer Services erfordert eine Verarbeitung von folgenden
personenbezogenen Daten und Informationen: Gerätetyp und Geräteversion, verwendetes Betriebssystem, IP-
Adresse des Endgeräts, mit dem Nutzer auf unsere Services zugreifen sowie die Uhrzeit des Aufrufs unserer
Services. All diese Informationen werden automatisch von einem Gerät übermittelt, sollten Nutzer dieses nicht
derart konfiguriert haben, dass eine Übermittlung der Informationen unterdrückt wird.
Diese personenbezogenen Daten werden zum Zwecke der Funktionsfähigkeit und Optimierung unserer Services,
sowie zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme verarbeitet. Diese Zwecke
sind zugleich berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO, die Verarbeitung erfolgt somit mit
Rechtsgrund.
6. Kommunikations Services
6.1 Kontaktformular / Kontaktaufnahme per E-Mail
Wir verarbeiten die personenbezogenen Daten von Nutzern, die Nutzer uns im Rahmen der Kontaktaufnahme zur
Verfügung stellen zum Zweck der Beantwortung einer Anfrage, einer E-Mail oder einer Rückrufbitte. Verarbeitete
Datenkategorien sind hierbei Stammdaten, Kontaktdaten, Inhaltsdaten, ggf. Nutzungsdaten, Verbindungsdaten
und ggf. Vertragsdaten. Wir leiten diese Daten im Einzelfall weiter an mit uns verbundene Unternehmen, oder
Dritte, die diese Daten zur Abwicklung von Bestellungen und Buchungen vereinbarungsgemäß verarbeiten
dürfen. Die Rechtsgrundlage der Verarbeitung richtet sich nach dem Zweck der Kontaktaufnahme. Mit einer
Anfrage im Kontaktformular bzw. durch die Kontaktaufnahme per E-Mail erklären Nutzer, dass sie Antworten oder
Informationen zu bestimmten Themen wünschst. Zu diesem Zweck hinterlassen Nutzer auch ihre Daten. Wir
beantworten eine Anfrage wunschgemäß und verarbeiten hierzu Daten unserer Nutzer. Daher basiert die
Berechtigung zur Verarbeitung von Daten auf Art. 6 Abs. 1 lit. b DSGVO, da wir sie zur Beantwortung einer
Anfrage und damit zur Erfüllung des Vertrages hierüber verarbeiten.
6.2 Feedbackformular
Wir verarbeiten die personenbezogenen Daten von Nutzern, die Nutzer uns im Rahmen der Vergabe von
Feedback zur Umsetzung des Feedbacks wie bspw. zur Verbesserung unserer Services, zur Verfügung stellen.
Verarbeitete Datenkategorien sind hierbei Stammdaten, Kontaktdaten, Inhaltsdaten, ggf. Nutzungsdaten,
Verbindungsdaten und ggf. Vertragsdaten. Wir leiten diese Daten im Einzelfall weiter an mit uns verbundene
Unternehmen, oder Dritte, die wir Verbesserung unserer Services einsetzen. Die Rechtsgrundlage der
Verarbeitung richtet sich nach dem Zweck einer Feedback Vergabe. Mit einer Vergabe des Feedbacks erklären
Nutzer, dass sie bspw. eine Verbesserung von Funktionen unserer Services wünschen. Diese Informationen
nehmen wir auf und verarbeiten hierzu Daten unserer Nutzer. Daher basiert die Berechtigung zur Verarbeitung
von Daten auf Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrages.
6.3 Bewertungen & Rezensionen
Wir verarbeiten die personenbezogenen Daten von Nutzern, die Nutzer im Rahmen der Vergabe von
Bewertungen und Rezensionen machen, zur Darstellung einer Bewertungen und Rezensionen in unseren
Services. Verarbeitete Datenkategorien sind hierbei Stammdaten, Kontaktdaten, Inhaltsdaten, ggf.
Nutzungsdaten und Verbindungsdaten. Wir leiten diese Daten im Regelfall nicht an Dritte weiter, sie können aber
grundsätzlich öffentlich in unseren Services durch Dritte eingesehen werden. Die Rechtsgrundlage der
Verarbeitung richtet sich nach dem Zweck einer Bewertung bzw. Rezension. Mit einer Bewertung bzw. Rezension
teilen Nutzer gewisse Erfahrungen, Umstände oder auch Eindrücke, die sie im Rahmen der Nutzung unserer
Services gemacht haben. Diese Informationen nehmen wir auf, um sie den betroffenen Personen oder auch der
Allgemeinheit zugänglich zu machen. Die Möglichkeit zur Bewertung und zur Abgabe von Rezensionen ist
wesentlicher Bestandteil unserer Services. Daher basiert die Berechtigung zur Verarbeitung von Daten auf Art. 6
Abs. 1 lit. b DSGVO zur Erfüllung des Vertrages.
6.4 Terminplanung und Terminbuchung
Wir nutzen in unseren Services die unten genannten Terminplanungs-Tools, um Termine mit Nutzern zu
vereinbaren. Über die Terminplanungs-Tools mit ihren integrierten Online-Kalendern können Nutzer bequem
einen Termin für ein Gespräche anfragen und auswählen. Wenn Nutzer in unseren Services den entsprechenden
Button klicken bzw. wenn Nutzer über einen von uns übermittelten Link (etwa in einer E-Mail) einen Termin
vereinbaren möchten, werden Nutzer automatisch mit unserem Terminaccount den von uns integrierten
Terminplanungs-Tools verbunden. Nach der Wahl des Termins, der Bestätigung und der Eintragung von
Kontaktdaten und Anliegen erhalten Nutzer eine Email mit der Bestätigung des Termins. Sollten die
Terminplanungs-Tools diese Daten in ein Drittland transferieren (bspw. die USA), so geschieht dies nur im
Einzelfall, auf Basis eines mit ihnen geschlossenen Auftragsverarbeitungsvertrags und gemäß mit ihnen
vereinbarter Standard Vertragsklauseln und sonstiger von der DSGVO zugelassenen Sicherheitsmaßnahmen, die
die Sicherheit der Verarbeitung von personenbezogenen Daten mit einem Schutzniveau, der identisch zu dem in
der EU ist, gewährleisten, insbesondere auf Basis des EU-US Data Privacy Framework (DPF). Angaben aus dem
Terminplanungs-Tool-Formular inklusive der von Nutzern dort angegebenen Daten werden zwecks Bearbeitung
einer Anfrage oder zwecks Bearbeitung eines entsprechenden Vertragsverhältnisses bei uns gespeichert. Sollte
eine Anfrage beantwortet sein oder der Zweck entfallen (bspw. das Vertragsverhältnis enden), werden wir Daten
unserer Nutzer, vorbehaltlich vertraglicher oder gesetzlicher Aufbewahrungsmöglichkeiten, zeitnah löschen.
Möchten Nutzer, dass ihre Daten vorzeitig gelöscht werden, können Nutzer uns zur Löschung auffordern bzw.
eine Einwilligung zur Speicherung widerrufen. Zwingende gesetzliche Bestimmungen – insbesondere
Aufbewahrungsfristen – bleiben unberührt. Unsere Rechtsgrundlage zur Nutzung der Terminplanungs-Tools
resultiert aus Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), da wir mit ihnen die Terminplanung vollständig
automatisieren und damit den Prozess für entsprechende Terminanfragen und Gespräche effizienter gestalten
können. Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung mittels der Terminplanungs-Tools Art. 6
Abs. 1 lit. b DSGVO, soweit die Terminplanung im Rahmen unserer Vertragsbeziehungen durchgeführt werden.
Anbieter der von uns eingesetzten Terminplanungs-Tools
Calendly
Calendly, LLC
3423 Piedmont Road NE
Atlanta
GA 30305-1754
United States
https://calendly.com/pages/privacy
GoHighLevel
GoHighLevel, Inc.
1801 N. Lamar St.
Suite 600
Dallas, Texas 75202
United States
6.5 Online Kommunikations-Tools
Wir nutzen Online Kommunikations-Tools, um Telefonkonferenzen, Kundengespräche, Online-Meetings,
Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: „Online-Meetings“). Der Umfang der
Datenverarbeitung hängt hierbei davon ab, zu welchem konkreten Zweck wir das Online-Meeting veranstalten
und welche Angaben zu Daten Nutzer vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.
Inbetrachtkommende Datenkategorien sind hierbei Stammdaten, Kontaktdaten, Inhaltsdaten, ggf. Nutzungsdaten,
Verbindungsdaten und ggf. Vertragsdaten. Empfänger der Daten sind hierbei die von uns eingebundenen und
unten genannten Anbieter von Online Kommunikations-Tools. Sollten diese Anbieter Daten in ein Drittland
transferieren (bspw. die USA), so geschieht dies nur im Einzelfall, auf Basis eines mit ihnen geschlossenen
Auftragsverarbeitungsvertrags und gemäß mit ihnen vereinbarter Standard Vertragsklauseln und sonstiger von
der DSGVO zugelassenen Sicherheitsmaßnahmen, die die Sicherheit der Verarbeitung der personenbezogenen
Daten unserer Nutzermit einem Schutzniveau, der identisch zu dem in der EU ist, gewährleisten, und sofern ein
Datentransfer in die USA erfolgt, insbesondere auf Basis des EU-US Data Privacy Framework (DPF). Unsere
Rechtsgrundlage zur Nutzung von Online Kommunikations-Tools resultiert aus Art. 6 Abs. 1 lit. b DSGVO
(Vertragserfüllung), sofern das Online-Meeting aufgrund von Vertragsverhandlungen bzw. zur Durchführung
unserer vertraglichen Pflichten stattfindet. Sollten wir eine Einwilligung für die Nutzung der Online
Kommunikations-Tools einholen, liegt unsere Rechtsgrundlage in Art. 6 Abs. 1 lit. a DSGVO. Mit den von uns
eingebundenen Online Kommunikations-Tools möchten wir die Kommunikation zwischen uns vollständig
digitalisieren. Online Kommunikations-Tools sollen es ermöglichen, uns im Online-Meeting einen persönlichen
Eindruck voneinander zu verschaffen, der u.a. für eine vertrauensvolle Vertragsbeziehung unerlässlich ist.
Anbieter der von uns eingesetzten Online Kommunikations-Tools
„Zoom“
Zoom Video Communications, Inc.
55 Almaden Blvd
Suite 600
San Jose
CA 95113
United States of America
https://www.zoom.com/de/trust/privacy/privacy-statement/
6.6 LeadConnector (EMail- und SMSKommunikation)
Wir nutzen den Dienst „LeadConnector“ zur Durchführung von FollowupKommunikation mit Interessenten und
Kunden per EMail und SMS. Dabei verarbeiten wir insbesondere Kontaktdaten (z. B. Name, EMailAdresse,
Telefonnummer) sowie Inhaltsdaten. Empfänger der Daten ist hierbei die GoHighLevel Inc., 400 North Saint Paul
Street, Suite 920, Dallas, TX 75201, USA. Der Transfer von Daten in die USA geschieht auf Basis eines mit
GoHighLevel geschlossenen Auftragsverarbeitungsvertrags und gemäß mit ihnen vereinbarter Standard
Vertragsklauseln und sonstiger von der DSGVO zugelassenen Sicherheitsmaßnahmen, die die Sicherheit der
Verarbeitung der personenbezogenen Daten unserer Nutzermit einem Schutzniveau, der identisch zu dem in der
EU ist, gewährleisten, insbesondere auf Basis des EU-US Data Privacy Framework (DPF). Der Rechtsgrund zur
Nutzung von LeadConnector liegt in unserem berechtigten Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Die
Verarbeitung von Daten mittels LeadConnector erfolgt zur Pflege von Kundenbeziehungen, zur Termin und
Statuskommunikation. Sie lehnt sich also an unsere Vertragserfüllung an und wir sind berechtigt, digitale Tools zu
nutzen, mittels derer wir unsere Vertriebskommunikation vereinheitlichen können. Hierbei werden nach
Möglichkeit keine sensiblen personenbezogenen Daten verarbeitet.
7. Payment Abwicklung
Zur Abwicklung von Zahlungsforderungen bieten wir verschiedene Zahlungsmethoden an. Hierfür binden wir die
nachfolgend beschriebenen Payment Service Provider ein. Dies tun wir zum Zweck der ordnungsgemäßen und
bedarfsgerechten Erbringung unserer Leistungen. Verarbeitete Daten sind in diesem Zusammenhang
Nutzungsdaten, Verbindungsdaten, Stammdaten, Zahlungsdaten, Kontaktdaten oder auch Vertragsdaten, wie
z.B. Kontonummern oder Kreditkartennummern, Passwörter, TANs und Prüfsummen sowie die Vertrags-,
Summen- und empfängerbezogenen Angaben. Die Angaben sind erforderlich, um die Transaktionen
durchzuführen. Die eingegebenen Daten werden nur durch die Zahlungsdienstleister verarbeitet und bei diesen
gespeichert. Wir erhalten keine konto- oder kreditkartenbezogenen Informationen, sondern lediglich
Informationen über die Bestätigung oder eine Negativbeauskunftung der Zahlung. Unter Umständen werden
Daten unserer Nutzer seitens der Zahlungsdienstleister an Wirtschaftsauskunfteien übermittelt. Diese
Übermittlung bezweckt die Identitäts- und Bonitätsprüfung. Hierzu verweisen wir auf die AGB und die
Datenschutzhinweise der Zahlungsdienstleister. Die Rechtsgrundlage zur Nutzung der Payment Service Provider
resultiert aus Art. 6 Abs. 1 lit. b DSGVO. Die Nutzern mit unseren Services zugesagten Leistungen und damit die
Erfüllung unserer Vertragspflichten können wir nur erbringen, wenn wir uns für die Abwicklung von
Zahlungsbewegungen Dritten, wie den Payment Service Providern, bedienen. Sollte ein Payment Service
Provider Daten in ein Drittland transferieren (bspw. die USA), so geschieht dies nur im Einzelfall, auf Basis eines
mit ihnen geschlossenen Auftragsverarbeitungsvertrags und gemäß mit ihnen vereinbarter Standard
Vertragsklauseln und sonstiger von der DSGVO zugelassenen Sicherheitsmaßnahmen, die die Sicherheit der
Verarbeitung von personenbezogenen Daten mit einem Schutzniveau, der identisch zu dem in der EU ist,
gewährleisten, insbesondere auf Basis des EU-US Data Privacy Framework (DPF).
Payment Service Provider
Stripe
Wenn Nutzer sich für eine Zahlungsart des Paymentdienstleisters Stripe entscheiden, erfolgt die
Zahlungsabwicklung über den Paymentdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower,
Grand Canal Dock, Dublin, Irland, an den wir im Rahmen des Bestellvorgangs mitgeteilte Informationen nebst
den Informationen über eine Bestellung (Name, Anschrift, Kontonummer, Bankleitzahl, evtl. Kreditkartennummer,
Rechnungsbetrag, Währung und Transaktionsnummer) gemäß Art. 6 Abs. 1 lit. b DSGVO weitergeben. Nähere
Informationen zum Datenschutz von Stripe unter der URL https://stripe.com/de/privacy#translation.
Stripe behält sich vor, eine Bonitätsprüfung auf der Grundlage mathematisch-statistischer Verfahren
durchzuführen, um das berechtigte Interesse an der Feststellung der Zahlungsfähigkeit des Nutzers zu wahren.
Die für eine Bonitätsprüfung notwendigen und im Rahmen der Zahlungsabwicklung erhaltenen
personenbezogenen Daten übermittelt Stripe gegebenenfalls an ausgewählte Auskunfteien, welche Stripe
Nutzern auf Anfrage offenlegt. Die Bonitätsauskunft kann Wahrscheinlichkeitswerte enthalten (sog. Score-Werte).
Soweit Score-Werte in das Ergebnis der Bonitätsauskunft einfließen, haben diese ihre Grundlage in einem
wissenschaftlich anerkannten mathematisch-statistischem Verfahren. In die Berechnung der Score-Werte fließen
unter anderem, aber nicht ausschließlich, Anschriftendaten ein. Das Ergebnis der Bonitätsprüfung in Bezug auf
die statistische Zahlungsausfallwahrscheinlichkeit verwendet Stripe zum Zwecke der Entscheidung über die
Nutzungsberechtigung für die gewählte Zahlungsmethode.
Nutzer können dieser Verarbeitung von Daten jederzeit durch eine Nachricht an Stripe oder die beauftragten
Auskunfteien widersprechen.
Jedoch bleibt Stripe ggf. weiterhin berechtigt, die personenbezogenen Daten von Nutzern zu verarbeiten, sofern
dies zur vertragsgemäßen Zahlungsabwicklung erforderlich ist.
8. Hosting
8.1 Bereitstellung unserer Services
Um Nutzern unsere Services bereitstellen zu können, nehmen wir die Leistungen der unten genannten Hosting
Anbieter in Anspruch. Unsere Services werden von den Servern dieser Hosting Anbieter abgerufen. Zu diesen
Zwecken nehmen wir die Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und
Datenbankdienste sowie Sicherheitsleistungen und technische Wartungsleistungen der Webshosting Anbieter in
Anspruch.
Zu den verarbeiteten Daten gehören alle solche Daten, die Nutzer im Rahmen der Nutzung und Kommunikation
in Verbindung mit ihrem Besuch in unseren Services eingeben bzw. die von Nutzern hierbei erhoben werden
(bspw. IP Adresse). Unsere Rechtsgrundlage zur Nutzung der Hostinganbieter zur Bereitstellung unserer
Services resultiert aus Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
8.2 Empfang und Versand von E-Mails
Die von uns in Anspruch genommenen Leistungen der Hoster kann ebenfalls den Versand, den Empfang sowie
die Speicherung von E-Mails umfassen. Zu diesen Zwecken werden die Adressen der Empfänger von E-Mails
sowie die Absender als auch weitere Informationen betreffend den E-Mailversand (z.B. die beteiligten Provider)
sowie die Inhalte der jeweiligen E-Mails verarbeitet. Die vorgenannten Daten werden u.a. zu Zwecken der
Erkennung von SPAM verarbeitet. E-Mails werden im Internet grundsätzlich nicht verschlüsselt versendet. Im
Regelfall werden E-Mails zwar auf dem Transportweg verschlüsselt, aber (sofern keine Ende-zu-Ende-
Verschlüsselung erfolgt) nicht auf den Servern, von denen sie abgesendet und empfangen werden. Wir können
daher für den Übertragungsweg der E-Mails zwischen dem Absender und dem Empfang auf unserem Server
keine Verantwortung übernehmen. Unsere Rechtsgrundlage zur Nutzung der Hostinganbieter zum Empfang und
Versand von E-Mails resultiert aus Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
8.3 Erhebung von Zugriffsdaten und Logfiles
Wir selbst (bzw. die Hosting Anbieter) erheben Daten zu jedem Zugriff auf den Server (Serverlogfiles). Zu den
Serverlogfiles können Adresse und Name der abgerufenen Services und Dateien, Datum und Uhrzeit des Abrufs,
übertragene Datenmengen, Meldung über erfolgreichen Abruf, Gerätetyp nebst Version, Betriebssystem, Referrer
URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen sowie der anfragende Provider gehören.
Die Serverlogfiles können zum einen zu Zwecken der Sicherheit eingesetzt werden, z.B., um eine Überlastung
der Server zu vermeiden (insbesondere im Fall von missbräuchlichen Angriffen, sogenannten DDoS-Attacken)
und zum anderen, um die Auslastung der Server und ihre Stabilität sicherzustellen. Unsere Rechtsgrundlage zur
Nutzung eines Hostinganbieters zur Erhebung von Zugriffsdaten und Logfiles resultiert aus Art. 6 Abs. 1 lit. f
DSGVO (berechtigtes Interesse).
Die von uns eingesetzten Hosting Anbieter sind die Folgenden:
Wix.com
Wix Online Platforms Limited
1 Grant's Row
Dublin 2 D02HX96
Ireland
GoHighLevel
GoHighLevel, Inc.
1801 N. Lamar St.
Suite 600
Dallas, Texas 75202
9. Tracking & Tools
Um einen reibungslosen technischen Ablauf und eine optimale nutzerfreundliche Verwendung unserer Services
zu gewährleisten, setzen wir folgende Dienste ein:
Google Tag Manager
In unseren Services nutzen wir den Google Tag Manager. Google Tag Manager ist eine Lösung, mit der wir sog.
Website-Tags über eine Oberfläche verwalten und so andere Dienste in unsere Services einbinden können. Der
Google Tag Manager selbst (welches die Tags implementiert) erstellt noch keine Profile und setzt auch keine
Cookies oder andere Technologien auf dem Endgerät des Nutzers. Über die Aktivierung des Google Tag
Managers werden jedoch weitere Google Dienste eingebunden, wie bpsw. Google Analytics. Verarbeitete Daten
sind bei der Einbindung des Google Tag Mangers u.a. Nutzungsdaten & Verbindungsdaten. Empfänger der Daten
ist die Google Ireland Ltd., Gordon House, Barrow Street Dublin 4 Irland. Sollte Google diese Daten in ein
Drittland transferieren (bspw. die USA), so geschieht dies nur im Einzelfall, auf Basis eines mit Google
geschlossenen Auftragsverarbeitungsvertrags und gemäß mit Google vereinbarter Standard Vertragsklauseln und
sonstiger von der DSGVO zugelassenen Sicherheitsmaßnahmen, die die Sicherheit der Verarbeitung von
personenbezogenen Daten mit einem Schutzniveau, der identisch zu dem in der EU ist, gewährleisten,
insbesondere auf Basis des EU-US Data Privacy Framework (DPF). Die Rechtsgrundlage zur Nutzung des
Google Tag Manager ist eine Einwilligung (bspw. über ein Opt-In im Consent Banner), sofern Nutzer uns diese im
Rahmen des Besuches in unseren Services erteilt haben und resultiert daher aus Art. 6 Abs. 1 lit. a DSGVO. Auf
Basis einer Einwilligung können, sofern über den Google Tag Manager weitere Dienste eingebunden werden,
durch Aktivierung des Google Tag Managers Cookies oder ähnliche (Text-)Dateien auf dem Endgerät des Nutzers
gespeichert und hierdurch personenbezogene Daten ausgelesen werden werden. Sollten Nutzer uns die
Einwilligung zur Nutzung von Google Tag Managers nicht erteilt haben (kein Opt-In im Consent Banner bzw.
Widerruf einer Einwilligung), so nutzen wir den Google Tag Manager im Rahmen von Besuchen in unseren
Services nicht (mehr). Im Hinblick auf die Verarbeitung der personenbezogenen Daten durch die eingebundenen
Dienste schaue bitte in unsere Erläuterungen zu den einzelnen Google-Diensten unten. Anbieter des Google Tag
Managers ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Website: https://
marketingplatform.google.com; Datenschutzerklärung: https://policies.google.com/privacy.
Google Search Console
Zum Zwecke der fortlaufenden Optimierung des Google-Rankings unserer Services nutzen wir die Google Search
Console, ein Webanalysedienst von Google.
Durch die Google Search Console können wir Suchanalysen durchführen, welche uns Aufschluss darüber geben,
wie oft unsere Services in den Google-Suchergebnissen erscheint. So können wir unsere Services im Suchindex
überwachen und verwalten.
Im Rahmen der Nutzung der Google Search Console werden keine personenbezogenen Nutzer- bzw.
Trackingdaten verarbeitet oder an Google übermittelt.
Google Fonts
Wir nutzen Google Fonts zum Zweck der persönlicheren Gestaltung unserer Services durch die Google
Schriftarten. Verarbeitete Daten sind hierbei Nutzungsdaten & Verbindungsdaten. Google Fonts werden
bereitgestellt von Google Ireland Ltd., Gordon House, Barrow Street Dublin 4 Irland. Die Daten, die über Google
Fonts verarbeitet werden, bleiben auf den Servern, die von uns oder für uns von Dritten betrieben werden. Eine
Übermittlung an sonstige Dritte findet nicht statt. Die Rechtsgrundlage zur Nutzung von Google Fonts resultiert
aus Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Wir haben ein Interesse daran, Nutzern unsere Services
durch besonders ausgewählte Schriftarten bereitzustellen. Da wir die hierdurch verarbeiteten Daten weder an
Dritte weitergeben noch mit anderen Datenquellen verbinden, sondern allein auf unseren Systemen verarbeiten,
ist das Interesse an einer möglichst integren Behandlung von personenbezogenen Daten nicht über Gebühr
beeinträchtigt.
Google Analytics
Wir nutzen Google Analytics zum Zweck der statistischen Auswertung der Nutzung unserer Services. Die IP-
Adresse wird von uns erhoben, bevor sie von Google noch vor der dauerhaften Speicherung auf deren Servern
durch Kürzung anonymisiert wird. Google Analytics ermöglicht es uns, nachzuvollziehen, wie unsere Services von
Nutzern genutzt werden und wie wir diese dementsprechend verbessern und weiterentwickeln können. So zeigt
Google Analytics beispielsweise, welche Inhalte von Nutzern angeklickt oder wiederholt besucht werden werden.
Verarbeitete Daten sind Nutzungsdaten & Verbindungsdaten. Empfänger der Daten ist hierbei die Google Ireland
Ltd., Gordon House, Barrow Street Dublin 4 Irland (als gemeinsam Verantwortlicher, Art. 26 DSGVO). Sollte
Google diese Daten in ein Drittland transferieren (bspw. die USA), so geschieht dies nur im Einzelfall, auf Basis
eines mit Google geschlossenen Auftragsverarbeitungsvertrags und gemäß mit Google vereinbarter Standard
Vertragsklauseln und sonstiger von der DSGVO zugelassenen Sicherheitsmaßnahmen, die die Sicherheit der
Verarbeitung von personenbezogenen Daten mit einem Schutzniveau, der identisch zu dem in der EU ist,
gewährleisten, insbesondere auf Basis des EU-US Data Privacy Framework (DPF). Die Rechtsgrundlage zur
Nutzung von Google Analytics ist eine Einwilligung (bspw. über ein Opt-In im Consent Banner), sofern Nutzer uns
diese im Rahmen des Besuches in unseren Services erteilt haben und resultiert daher aus Art. 6 Abs. 1 lit. a
DSGVO. Auf Basis einer Einwilligung werden Cookies oder ähnliche (Text-)Dateien auf dem Endgerät des
Nutzers gespeichert und hierdurch personenbezogene Daten ausgelesen werden. Sollten Nutzer uns die
Einwilligung zur Nutzung von Google Analytics nicht erteilt haben (kein Opt-In im Consent Banner bzw. Widerruf
einer Einwilligung), so nutzen wir Google Analytics im Rahmen von Besuchen in unseren Services nicht (mehr).
10. Profile auf Social Media Websites
Wir unterhalten Profile auf den Plattformen der sozialen Netzwerke des Internets und verarbeiten in diesem
Rahmen personenbezogenen Daten, um mit den dort aktiven Nutzern zu kommunizieren oder um Informationen
über uns anzubieten. Wir weisen Nutzer darauf hin, dass Daten unserer Nutzer beim Besuch unserer Profile
außerhalb des Raumes der Europäischen Union verarbeitet werden können. Verantwortlich hierfür sind die
Betreiber der jeweiligen sozialen Netzwerke. Eine detaillierte Darstellung der jeweiligen Verarbeitungsformen und
der Widerspruchsmöglichkeiten (bspw. Opt-Out) können Nutzer in den Datenschutzerklärungen der Betreiber der
jeweiligen sozialen Netzwerke finden.
Bei dem Besuch unserer Social Media Profile kann das Nutzungsverhalten ausgewertet und uns hieraus
gewonnene Informationen mitgeteilt werden („Insights“). Diese Auswertung erfolgt zu Zwecken der
wirtschaftlichen Optimierung und bedarfsgerechten Gestaltung unserer Services. Verarbeitete Datenkategorien
sind hierbei ggf. Stammdaten, ggf. Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Verbindungsdaten. Empfänger
der Daten ist der Anbieter der jeweiligen Social Media Plattform als gemeinsam Verantwortlicher gemäß Art. 26
DSGVO. Die Rechtsgrundlage zur Verarbeitung der Daten nach der hier genannten Maßgabe resultiert aus
unserem berechtigten Interesse und damit aus Art. 6 Abs. 1 lit. f DSGVO. Für die Umsetzung von
Betroffenenrechten ist die jeweilige Social Media Plattform verantwortlich. Über Betroffenenrechte informieren wir
unten bei der Nennung der jeweiligen Social Media Plattform, auf der wir ein Profil unterhlaten. Nutzer können
ihre Rechte auch uns gegenüber geltend machen, wir werden ihre Anfrage dann umgehend an den Betreiber der
Social Media Plattform weiterleiten.
Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Betroffenenrechte:
https://www.facebook.com/legal/terms/information_about_page_insights_data.
Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Betroffenenrechte:
https://privacycenter.instagram.com/policy.
TikTok
tiktok technology limited 10 earlsfort terrace, dublin d02 t380 Irland. Betroffenenrechte: https://www.tiktok.com/
legal/privacy-policy?lang=de-DE.