Datenschutzerklärung

Stand: 27. Mai 2026

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Anika Kresken / Gönn dir Glück
Herthastraße 66
50969 Köln
E-Mail-Adresse: kontakt@goenndirglueck.de

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten
• Kontaktdaten
• Inhaltsdaten
• Vertragsdaten
• Nutzungsdaten
• Meta-, Kommunikations- und Verfahrensdaten
• Protokolldaten

Kategorien betroffener Personen

• Leistungsempfänger und Auftraggeber
• Interessenten
• Kommunikationspartner
• Nutzer (z. B. Webseitenbesucher)
• Geschäfts- und Vertragspartner
• Bildungs- und Kursteilnehmer

Zwecke der Verarbeitung

• Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten
• Kommunikation
• Sicherheitsmaßnahmen
• Büro- und Organisationsverfahren
• Feedback
• Bereitstellung des Onlineangebots und Nutzerfreundlichkeit
• Informationstechnische Infrastruktur
• Öffentlichkeitsarbeit

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) — Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) — Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie. Wenn eine Website durch ein SSL-/TLS-Zertifikat gesichert ist, wird dies durch die Anzeige von HTTPS in der URL signalisiert.

Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass diese an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt beziehungsweise ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z. B. mit IT-Aufgaben beauftragte Dienstleister gehören oder Anbieter von Diensten und Inhalten, die in eine Website eingebunden sind. In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab.

Internationale Datentransfers

Datenverarbeitung in Drittländern: Sofern wir Daten in ein Drittland (d. h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermitteln oder dies im Rahmen der Nutzung von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen geschieht, erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben.

Für Datenübermittlungen in die USA stützen wir uns vorrangig auf das Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich haben wir mit den jeweiligen Anbietern Standardvertragsklauseln abgeschlossen, die den Vorgaben der EU-Kommission entsprechen und vertragliche Verpflichtungen zum Schutz Ihrer Daten festlegen.

Bei den einzelnen Diensteanbietern informieren wir Sie darüber, ob sie nach dem DPF zertifiziert sind und ob Standardvertragsklauseln vorliegen. Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen finden Sie auf der Website des US-Handelsministeriums unter https://www.dataprivacyframework.gov/.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Dies betrifft Fälle, in denen der ursprüngliche Verarbeitungszweck entfällt oder die Daten nicht mehr benötigt werden. Ausnahmen von dieser Regelung bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erfordern.

Aufbewahrung und Löschung von Daten: Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

• 10 Jahre — Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (§ 147 Abs. 1 Nr. 1 AO, § 14b UStG, § 257 HGB).
• 8 Jahre — Buchungsbelege, wie z. B. Rechnungen und Kostenbelege (§ 147 Abs. 1 Nr. 4 und 4a AO, § 257 HGB).
• 6 Jahre — Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
• 3 Jahre — Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche oder ähnliche vertragliche Ansprüche und Rechte zu berücksichtigen sowie damit verbundene Anfragen zu bearbeiten (§§ 195, 199 BGB).

Rechte der betroffenen Personen

Rechte der betroffenen Personen aus der DSGVO: Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
• Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
• Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
• Recht auf Berichtigung: Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
• Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ eine Einschränkung der Verarbeitung der Daten zu verlangen.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
• Beschwerde bei Aufsichtsbehörde: Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4, 40213 Düsseldorf
www.ldi.nrw.de

Geschäftliche Leistungen

Wir verarbeiten personenbezogene Daten unserer Vertrags- und Geschäftspartner, etwa Kunden, Auftraggeber, Interessenten, Lieferanten und sonstige Kooperationspartner (zusammenfassend „Vertragspartner"), zur Anbahnung, Durchführung und Abwicklung von Vertragsverhältnissen sowie vergleichbaren Rechtsverhältnissen. Dies umfasst auch vorvertragliche Maßnahmen, die auf Anfrage erfolgen, sowie die Kommunikation im Zusammenhang mit dem jeweiligen Vertragsverhältnis.

Verarbeitet werden insbesondere Stammdaten wie Name, Anschrift und ggf. Firma, Kontaktdaten wie E-Mail-Adresse und Telefonnummer, Vertrags- und Leistungsdaten wie Vertragsgegenstand, Vertragslaufzeit, Bestell- oder Vorgangsnummer, Nutzungs- und Leistungsdaten sowie Kommunikationsinhalte und -historien.

Bildungs- und Schulungsleistungen: Wir verarbeiten die Daten der Teilnehmer unserer Bildungs- und Schulungsangebote (Workshops, Coachings, Trainings, Stärken-Safari), um ihnen gegenüber unsere Schulungsleistungen erbringen zu können. Die hierbei verarbeiteten Daten, die Art, der Umfang, der Zweck und die Erforderlichkeit ihrer Verarbeitung bestimmen sich nach dem zugrundeliegenden Vertrags- und Schulungsverhältnis. Zu den Verarbeitungsformen gehören auch die Leistungsbewertung und die Evaluation unserer Leistungen.

• Verarbeitete Datenarten: Bestandsdaten, Zahlungsdaten, Kontaktdaten, Vertragsdaten.
• Betroffene Personen: Leistungsempfänger und Auftraggeber, Interessenten, Geschäfts- und Vertragspartner, Bildungs- und Kursteilnehmer.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

• Verarbeitete Datenarten: Nutzungsdaten, Meta-, Kommunikations- und Verfahrensdaten (IP-Adressen, Zeitangaben), Protokolldaten (Logfiles).
• Betroffene Personen: Nutzer (Webseitenbesucher).
• Zwecke: Bereitstellung unseres Onlineangebotes, Informationstechnische Infrastruktur, Sicherheitsmaßnahmen.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Eingesetzte Dienste und Anbieter

Vercel (Webhosting): Für die Bereitstellung dieses Onlineangebots nutzen wir die Hosting-Plattform Vercel. Hierbei werden Daten, die für die Auslieferung der Website erforderlich sind, an Vercel-Server übertragen (insbesondere IP-Adressen, Zugriffszeiten, abgerufene Seiten).
Dienstanbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA.
Datenschutzerklärung: https://vercel.com/legal/privacy-policy.
Auftragsverarbeitungsvertrag: https://vercel.com/legal/dpa.
Grundlage Drittlandtransfers: Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Erhebung von Zugriffsdaten und Logfiles: Der Zugriff auf unser Onlineangebot wird in Form von Server-Logfiles protokolliert. Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL und IP-Adressen gehören. Diese Logfiles werden zu Sicherheitszwecken (z. B. zur Aufklärung von missbräuchlichen Zugriffen) eingesetzt. Logfile-Informationen werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder anonymisiert.

Kontakt- und Anfrageverwaltung

Bei der Kontaktaufnahme mit uns (z. B. per Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

• Verarbeitete Datenarten: Kontaktdaten, Inhaltsdaten, Meta-, Kommunikations- und Verfahrensdaten.
• Betroffene Personen: Kommunikationspartner.
• Zwecke: Kommunikation, Organisations- und Verwaltungsverfahren.
• Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Eingesetzte Dienste und Anbieter

Kontaktformular: Bei Nachrichten über unser Kontaktformular werden Name, E-Mail-Adresse, optional Unternehmen sowie der Nachrichtentext verarbeitet, um die Anfrage zu beantworten. Die Daten werden ausschließlich zum angegebenen Zweck verwendet.

Brevo (Versand von Formular-Nachrichten): Zur technischen Zustellung der über das Kontaktformular eingehenden Nachrichten an unser E-Mail-Postfach nutzen wir den Dienst Brevo (vormals Sendinblue). Die im Formular eingegebenen Daten werden in unserem Namen über Brevo als E-Mail an uns versendet.
Dienstanbieter: Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland.
Datenschutzerklärung: https://www.brevo.com/de/legal/privacypolicy/.
Auftragsverarbeitungsvertrag: https://www.brevo.com/de/legal/agtc/.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Microsoft 365 (E-Mail-Versand und -Empfang): Für den Empfang und Versand unserer geschäftlichen E-Mail-Kommunikation nutzen wir Microsoft 365 (E-Mail Essentials). Eingehende und ausgehende E-Mails werden auf Servern von Microsoft verarbeitet und gespeichert.
Dienstanbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland.
Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement.
Auftragsverarbeitungsvertrag: Microsoft Products and Services DPA.
Grundlage Drittlandtransfers: Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Hinweis zu E-Mail-Versand: E-Mails werden im Internet grundsätzlich nicht durchgängig verschlüsselt versendet. Im Regelfall werden E-Mails zwar auf dem Transportweg verschlüsselt, aber (sofern keine Ende-zu-Ende-Verschlüsselung eingesetzt wird) nicht durchgängig auf den Servern der beteiligten Anbieter. Wir können daher für den Übertragungsweg der E-Mails zwischen Absender und Empfänger keine Verantwortung übernehmen.

Stärken-Snapshot (KI-gestützte Reflexion in Workshops)

Im Rahmen unserer Workshops und Teamevents (insb. der „Stärken-Safari") setzen wir den Stärken-Snapshot ein — eine eigene webbasierte Anwendung, die Teilnehmenden anhand einer kurzen Reflexion ein individuelles VIA-basiertes Stärkenprofil generiert. Die Anwendung ist erreichbar unter staerken-snapshot.vercel.app.

• Verarbeitete Datenarten: Vorname (oder Pseudonym), eingegebene Antworten zur Reflexion, generiertes Stärkenprofil, ggf. Peer-Feedback unter Teilnehmenden.
• Betroffene Personen: Teilnehmende von Workshops und Teamevents.
• Zwecke: Erstellung eines persönlichen Stärkenprofils, Reflexion im Workshop-Kontext, optionale Team-Insights (in aggregierter Form).
• Rechtsgrundlagen: Vertragserfüllung mit dem auftraggebenden Unternehmen (Art. 6 Abs. 1 lit. b DSGVO) sowie berechtigte Interessen an einer wirksamen Workshop-Durchführung (Art. 6 Abs. 1 lit. f DSGVO). Soweit erforderlich, holen wir vor dem Workshop eine ausdrückliche Einwilligung der Teilnehmenden ein (Art. 6 Abs. 1 lit. a DSGVO).
• Aufbewahrung: Personenbezogene Daten (Name, Antworten, individuelles Profil, Peer-Feedback) werden spätestens 30 Tage nach Workshop-Ende automatisch gelöscht. Aggregierte Team-Insights ohne Personenbezug können auf Wunsch des auftraggebenden Unternehmens länger aufbewahrt werden. Eine frühere Löschung ist auf Anfrage jederzeit möglich. Audio-Aufnahmen aus optionalen Challenges werden bereits nach 7 Tagen automatisch gelöscht.
• Auftragsverarbeitung: Für die Durchführung der Workshops schließen wir mit dem auftraggebenden Unternehmen vor jedem Workshop eine Vereinbarung zur Datenverarbeitung im Auftrag.

Eingesetzte Dienste und Anbieter

Supabase (Datenbank-Hosting für den Stärken-Snapshot): Speicherung der im Workshop entstehenden Daten (Reflexions-Antworten, Stärkenprofile, Peer-Feedback) erfolgt in einer Postgres-Datenbank von Supabase. Server-Standort: EU (Frankfurt).
Dienstanbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992, Singapur.
Datenschutzerklärung: https://supabase.com/privacy.
Auftragsverarbeitungsvertrag: https://supabase.com/legal/dpa.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Anthropic (KI-Modell Claude für die Reflexionsgespräche und Profilgenerierung): Die im Stärken-Snapshot eingegebenen Antworten werden zur Generierung des individuellen Stärkenprofils an das KI-Modell Claude der Firma Anthropic übermittelt und dort verarbeitet. Anthropic speichert API-Eingaben standardmäßig nicht zum Training.
Dienstanbieter: Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.
Datenschutzerklärung: https://www.anthropic.com/legal/privacy.
Auftragsverarbeitungsvertrag: https://www.anthropic.com/legal/data-processing-addendum.
Grundlage Drittlandtransfers: EU-Standardvertragsklauseln.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Verkauf digitaler Produkte über alfima.io

Wir vertreiben digitale Produkte (E-Books, Workbooks im PDF-Format) über die externe Verkaufsplattform alfima.io. Beim Kauf eines Produkts werden personenbezogene Daten erhoben und verarbeitet, um den Vertrag zu erfüllen (Bereitstellung des Downloads, Rechnungsstellung) und gesetzliche Pflichten zu erfüllen (steuer- und handelsrechtliche Aufbewahrungsfristen).

• Verarbeitete Datenarten: Bestandsdaten (Vor- und Nachname), Kontaktdaten (E-Mail-Adresse, ggf. Rechnungsanschrift), Vertragsdaten (Produkt, Bestelldatum, Preis), Zahlungsdaten (über die Zahlungsdienstleister), Nutzungsdaten (Download-Status), Meta-/Verfahrensdaten (IP-Adresse beim Checkout).
• Betroffene Personen: Kund:innen und Interessent:innen.
• Zwecke: Vertragserfüllung, Bereitstellung der gekauften Inhalte, Rechnungsstellung, Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten.
• Aufbewahrung: Bestelldaten werden gemäß handels- und steuerrechtlichen Aufbewahrungsfristen bis zu 10 Jahre gespeichert (§ 147 AO, § 257 HGB).
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

Eingesetzte Dienste und Anbieter

alfima.io (Verkaufsplattform und Auftragsverarbeiterin): Der Verkauf und die Auslieferung digitaler Produkte erfolgen über die Plattform alfima.io. Alfima verarbeitet in unserem Auftrag Bestelldaten, Zahlungsabwicklung sowie den Download-Prozess.
Dienstanbieter: AFM Ventures GmbH, Stadthausbrücke 1–3, 20355 Hamburg, Deutschland.
Datenschutzerklärung: https://alfima.io/datenschutz/.
Auftragsverarbeitungsvertrag: gemäß Art. 28 DSGVO abgeschlossen.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Sub-Auftragsverarbeiter von alfima.io: Alfima setzt zur Bereitstellung der Plattform weitere Subunternehmer ein, darunter Amazon Web Services (Hosting, EU-Server in Frankfurt), Google Ireland, Meta Platforms Ireland, TikTok Technology Limited, Vimeo, Scaleway, PostHog, KlickTipp und Viper Development. Eine vollständige und aktuelle Liste der Sub-Auftragsverarbeiter ist im Auftragsverarbeitungsvertrag zwischen uns und alfima.io geregelt.

Stripe (Zahlungsdienstleister): Für die Abwicklung von Kreditkarten- und weiteren Online-Zahlungen über die Plattform alfima.io setzen wir den Zahlungsdienstleister Stripe ein. Stripe ist eigenständige verantwortliche Stelle für die Verarbeitung von Zahlungsdaten.
Dienstanbieter (EU): Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Datenschutzerklärung: https://stripe.com/de/privacy.
Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

PayPal (Zahlungsdienstleister): Für Zahlungen via PayPal über die Plattform alfima.io setzen wir den Zahlungsdienstleister PayPal ein. PayPal ist eigenständige verantwortliche Stelle für die Verarbeitung von Zahlungsdaten.
Dienstanbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxembourg.
Datenschutzerklärung: https://www.paypal.com/de/legalhub/privacy-full.
Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Präsenzen in sozialen Netzwerken (Social Media)

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und verarbeiten in diesem Rahmen Nutzerdaten, um mit den dort aktiven Nutzern zu kommunizieren oder Informationen über uns anzubieten.

Wir weisen darauf hin, dass dabei Nutzerdaten außerhalb des Raumes der Europäischen Union verarbeitet werden können. Hierdurch können sich für die Nutzer Risiken ergeben, weil so zum Beispiel die Durchsetzung der Nutzerrechte erschwert werden könnte. Ferner werden die Daten der Nutzer innerhalb sozialer Netzwerke im Regelfall für Marktforschungs- und Werbezwecke verarbeitet.

Für eine detaillierte Darstellung der jeweiligen Verarbeitungsformen und der Widerspruchsmöglichkeiten (Opt-out) verweisen wir auf die Datenschutzerklärungen und Angaben der Betreiber der jeweiligen Netzwerke. Auch im Fall von Auskunftsanfragen und der Geltendmachung von Betroffenenrechten weisen wir darauf hin, dass diese am effektivsten bei den Anbietern geltend gemacht werden können.

Eingesetzte Dienste und Anbieter

Instagram: Soziales Netzwerk, ermöglicht das Teilen von Fotos und Videos, das Kommentieren und Favorisieren von Beiträgen, Nachrichtenversand, Abonnieren von Profilen und Seiten.
Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.
Datenschutzerklärung: https://privacycenter.instagram.com/policy/.
Grundlage Drittlandtransfers: Data Privacy Framework (DPF).
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

LinkedIn: Soziales Netzwerk — Wir sind gemeinsam mit LinkedIn Ireland Unlimited Company für die Erhebung (jedoch nicht die weitere Verarbeitung) von Daten der Besucher verantwortlich, die zur Erstellung der „Page-Insights" (Statistiken) unserer LinkedIn-Profile genutzt werden.
Dienstanbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.
Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy.
Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Begriffsdefinitionen

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Soweit die Begrifflichkeiten gesetzlich definiert sind, gelten deren gesetzliche Definitionen.

• Bestandsdaten: wesentliche Informationen, die für die Identifikation und Verwaltung von Vertragspartnern, Benutzerkonten, Profilen und ähnlichen Zuordnungen notwendig sind (z. B. Name, Kontaktdaten, Geburtsdaten).
• Kontaktdaten: Informationen, die die Kommunikation mit Personen oder Organisationen ermöglichen — Telefonnummern, postalische Adressen, E-Mail-Adressen.
• Inhaltsdaten: Informationen, die im Zuge der Erstellung, Bearbeitung und Veröffentlichung von Inhalten generiert werden — Texte, Bilder, Nachrichten.
• Vertragsdaten: spezifische Informationen, die sich auf die Formalisierung einer Vereinbarung zwischen Parteien beziehen.
• Meta-, Kommunikations- und Verfahrensdaten: Informationen über die Art und Weise, wie Daten verarbeitet, übermittelt und verwaltet werden (z. B. IP-Adressen, Zeitstempel).
• Nutzungsdaten: Informationen, die erfassen, wie Nutzer mit digitalen Produkten interagieren — Seitenaufrufe, Verweildauer, Klickpfade.
• Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Protokolldaten: Informationen über Ereignisse oder Aktivitäten, die in einem System protokolliert wurden (Zeitstempel, IP-Adressen, Fehlermeldungen).
• Verantwortlicher: die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten — Erheben, Speichern, Auswerten, Übermitteln, Löschen.

Grundlage der Datenschutzerklärung: Datenschutz-Generator.de von Dr. Thomas Schwenke. Angepasst an die eingesetzte Infrastruktur (Vercel, Brevo, Microsoft 365, Supabase, Anthropic).