1. Datenschutz auf einen Blick Allgemeine Hinweise Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung. Datenerfassung auf dieser Website Wer ist verantwortlich für die Datenerfassung auf dieser Website? Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur Verantwortlichen Stelle“ in dieser Datenschutzerklärung entnehmen. Wie erfassen wir Ihre Daten? Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben. Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten. Wofür nutzen wir Ihre Daten? Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden. Welche Rechte haben Sie bezüglich Ihrer Daten? Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden. Analyse-Tools und Tools von Drittanbietern Beim Besuch dieser Website kann Ihr Surf-Verhalten statistisch ausgewertet werden. Das geschieht vor allem mit sogenannten Analyseprogrammen. Detaillierte Informationen zu diesen Analyseprogrammen finden Sie in der folgenden Datenschutzerklärung. 2. Hosting Externes Hosting Diese Website wird bei einem externen Dienstleister gehostet (Hoster). Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich v. a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten, die über eine Website generiert werden, handeln. Der Einsatz des Hosters erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO). Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Einwilligung ist jederzeit widerrufbar. Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Wir setzen folgenden Hoster ein: Siteground Agencia Española de Protección de Datos C / Jorge Juan, 6 28001-Madrid Auftragsverarbeitung Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet. 3. Allgemeine Hinweise und Pflichtinformationen Datenschutz Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich. Hinweis zur verantwortlichen Stelle Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist: GetBeyondShape GmbH

Alexander Djordjevic Wienerstraße 188 70469 Stuttgart Telefon: 015678204508 E-Mail: mail@getbeyondshape.de Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet. Speicherdauer Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe. Allgemeine Hinweise zu den Rechtsgrundlagen der Datenverarbeitung auf dieser Website Sofern Sie in die Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO, sofern besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeitet werden. Im Falle einer ausdrücklichen Einwilligung in die Übertragung personenbezogener Daten in Drittstaaten erfolgt die Datenverarbeitung außerdem auf Grundlage von Art. 49 Abs. 1 lit. a DSGVO. Sofern Sie in die Speicherung von Cookies oder in den Zugriff auf Informationen in Ihr Endgerät (z. B. via Device-Fingerprinting) eingewilligt haben, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TTDSG. Die Einwilligung ist jederzeit widerrufbar. Sind Ihre Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir Ihre Daten auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO. Des Weiteren verarbeiten wir Ihre Daten, sofern diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Die Datenverarbeitung kann ferner auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen. Über die jeweils im Einzelfall einschlägigen Rechtsgrundlagen wird in den folgenden Absätzen dieser Datenschutzerklärung informiert. Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten Wir verwenden unter anderem Tools von Unternehmen mit Sitz in den USA oder sonstigen datenschutzrechtlich nicht sicheren Drittstaaten. Wenn diese Tools aktiv sind, können Ihre personenbezogene Daten in diese Drittstaaten übertragen und dort verarbeitet werden. Wir weisen darauf hin, dass in diesen Ländern kein mit der EU vergleichbares Datenschutzniveau garantiert werden kann. Beispielsweise sind US-Unternehmen dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z. B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss. Widerruf Ihrer Einwilligung zur Datenverarbeitung Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO) WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN; DIES GILT AUCH FÜR EIN AUF DIESE BESTIMMUNGEN GESTÜTZTES PROFILING. DIE JEWEILIGE RECHTSGRUNDLAGE, AUF DENEN EINE VERARBEITUNG BERUHT, ENTNEHMEN SIE DIESER DATENSCHUTZERKLÄRUNG. WENN SIE WIDERSPRUCH EINLEGEN, WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN ODER DIE VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN (WIDERSPRUCH NACH ART. 21 ABS. 1 DSGVO). WERDEN IHRE PERSONENBEZOGENEN DATEN VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, SO HABEN SIE DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN; DIES GILT AUCH FÜR DAS PROFILING, SOWEIT ES MIT SOLCHER DIREKTWERBUNG IN VERBINDUNG STEHT. WENN SIE WIDERSPRECHEN, WERDEN IHRE PERSONENBEZOGENEN DATEN ANSCHLIESSEND NICHT MEHR ZUM ZWECKE DER DIREKTWERBUNG VERWENDET (WIDERSPRUCH NACH ART. 21 ABS. 2 DSGVO). Beschwerderecht bei der zuständigen Aufsichtsbehörde Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Recht auf Datenübertragbarkeit Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist. SSL- bzw. TLS-Verschlüsselung Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden. Auskunft, Löschung und Berichtigung Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden. Recht auf Einschränkung der Verarbeitung Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen: Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen. Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden. Widerspruch gegen Werbe-E-Mails Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor. 4. Datenerfassung auf dieser Website Cookies Unsere Internetseiten verwenden so genannte „Cookies“. Cookies sind kleine Textdateien und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt. Teilweise können auch Cookies von Drittunternehmen auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Seite betreten (Third-Party-Cookies). Diese ermöglichen uns oder Ihnen die Nutzung bestimmter Dienstleistungen des Drittunternehmens (z. B. Cookies zur Abwicklung von Zahlungsdienstleistungen). Cookies haben verschiedene Funktionen. Zahlreiche Cookies sind technisch notwendig, da bestimmte Websitefunktionen ohne diese nicht funktionieren würden (z. B. die Warenkorbfunktion oder die Anzeige von Videos). Andere Cookies dienen dazu, das Nutzerverhalten auszuwerten oder Werbung anzuzeigen. Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs, zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z. B. für die Warenkorbfunktion) oder zur Optimierung der Website (z. B. Cookies zur Messung des Webpublikums) erforderlich sind (notwendige Cookies), werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert, sofern keine andere Rechtsgrundlage angegeben wird. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von notwendigen Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Sofern eine Einwilligung zur Speicherung von Cookies und vergleichbaren Wiedererkennungstechnologien abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG); die Einwilligung ist jederzeit widerrufbar. Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein. Soweit Cookies von Drittunternehmen oder zu Analysezwecken eingesetzt werden, werden wir Sie hierüber im Rahmen dieser Datenschutzerklärung gesondert informieren und ggf. eine Einwilligung abfragen. Server-Log-Dateien Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind: Browsertyp und Browserversion verwendetes Betriebssystem Referrer URL Hostname des zugreifenden Rechners Uhrzeit der Serveranfrage IP-Adresse Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden. Kontaktformular Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sofern diese abgefragt wurde; die Einwilligung ist jederzeit widerrufbar. Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt. Anfrage per E-Mail, Telefon oder Telefax Wenn Sie uns per E-Mail, Telefon oder Telefax kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sofern diese abgefragt wurde; die Einwilligung ist jederzeit widerrufbar. Die von Ihnen an uns per Kontaktanfragen übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungsfristen – bleiben unberührt. 1. Active Campaing Newsletter – Webinar Hinweis per Mail auf ähnlinche Angebote Berichte / Analyse des Userverhaltens Newsletter und Hinweise auf Webinare und ähnliche Angebote über ActiveCampaign Wir nutzen für den Versand unseres Newsletters sowie für E-Mails mit Hinweisen auf unsere Webinare und ähnliche Angebote den Dienst ActiveCampaign des Anbieters ActiveCampaign, LLC. Über ActiveCampaign verarbeiten wir insbesondere die von Ihnen im Rahmen der Newsletteranmeldung angegebenen Daten, in der Regel Ihre E-Mail-Adresse sowie – soweit von Ihnen angegeben – Ihren Namen, Ihr Unternehmen und weitere freiwillige Angaben. Die Verarbeitung erfolgt, um Ihnen unseren Newsletter, Informationen zu anstehenden Webinaren, fachbezogenen Informationen sowie Hinweise auf ähnliche eigene Angebote zuzusenden. Soweit Sie sich hierfür angemeldet haben, erfolgt die Verarbeitung auf Grundlage Ihrer Einwilligung gemäß § 7 UWG. Soweit im Zusammenhang mit dem Tracking Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden bzw. vergleichbare Tracking-Technologien eingesetzt werden, erfolgt dies auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG. Wir nutzen ActiveCampaign außerdem zur Analyse des Nutzungsverhaltens im Zusammenhang mit unseren E-Mails. Dabei kann nachvollzogen werden, ob und wann eine E-Mail geöffnet wurde, welche Links angeklickt wurden und welche Empfänger mit einzelnen Inhalten besonders interagiert haben. Diese Auswertungen helfen uns, unsere Newsletter, Webinare und sonstigen Informationen bedarfsgerecht zu gestalten, Inhalte zu optimieren und die Relevanz unserer Aussendungen besser einzuschätzen. ActiveCampaign weist darauf hin, dass Öffnungen typischerweise über ein unsichtbares Tracking-Pixel und Klicks über individualisierte Tracking-Links erfasst werden; die Ergebnisse werden den jeweiligen Empfängerprofilen zugeordnet und in Berichten dargestellt. Empfänger der Daten ist ActiveCampaign als unser Auftragsverarbeiter. Mit ActiveCampaign ist ein Vertrag über die Auftragsverarbeitung abgeschlossen bzw. abzuschließen. ActiveCampaign stellt hierfür ein Data Processing Addendum (DPA) zur Verfügung. Eine Verarbeitung personenbezogener Daten kann dabei auch in Drittländern, insbesondere in den USA, nicht ausgeschlossen sein. ActiveCampaign gibt an, für Datenübermittlungen aus dem EWR, dem Vereinigten Königreich und der Schweiz Mechanismen wie das Data Privacy Framework sowie Standardvertragsklauseln bereitzustellen. Ob und in welchem Umfang diese Mechanismen im konkreten Mandat tatsächlich herangezogen werden, sollte anhand der tatsächlichen Account-Konfiguration und der eingesetzten Unterauftragsverarbeiter dokumentiert werden. Die Anmeldung zu unserem Newsletter erfolgt grundsätzlich im Double-Opt-in-Verfahren, damit wir die Anmeldung rechtskonform nachweisen und missbräuchliche Anmeldungen verhindern können. Dabei speichern wir zum Nachweis der Einwilligung den Anmeldezeitpunkt, den Bestätigungszeitpunkt und die jeweils hierbei verwendeten technischen Protokolldaten, soweit dies technisch bereitgestellt wird. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa über den Abmeldelink in jeder E-Mail oder durch Mitteilung an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Ihre Daten werden von uns so lange verarbeitet, wie Ihre Einwilligung besteht. Nach einer Abmeldung vom Newsletter werden Ihre Daten aus dem aktiven Verteiler entfernt; eine weitere Speicherung kann erfolgen, soweit dies erforderlich ist, um eine ehemals erteilte Einwilligung oder einen Widerruf nachzuweisen und rechtliche Ansprüche abzuwehren. Soweit wir personenbezogene Daten zum Zwecke der Direktwerbung verarbeiten, haben Sie zudem das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. 2. Onepage Webseitenbereitstellung über Onepage Für die Erstellung, technische Bereitstellung und Verwaltung unserer Website nutzen wir den Webseitenbaukasten Onepage des Anbieters Onepage GmbH, Hanauer Landstraße 172, 60314 Frankfurt am Main. Über Onepage werden die Inhalte unserer Website erstellt, gehostet und gegenüber den Besuchern ausgeliefert. Dabei können auch personenbezogene Daten verarbeitet werden, die für die technische Bereitstellung und Nutzung der Website erforderlich sind. Hierzu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, Informationen zum verwendeten Browser und Endgerät, Referrer-URL sowie weitere technisch erforderliche Protokoll- und Verbindungsdaten. Die Verarbeitung erfolgt zur stabilen, sicheren und funktionsfähigen Bereitstellung unseres Onlineangebots. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der sicheren und effizienten Bereitstellung unserer Website. Soweit die Verarbeitung für die Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist, ist ergänzend Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage. Soweit über unsere mit Onepage erstellte Website Kontakt- oder Anmeldeformulare eingebunden sind, verarbeiten wir die von Ihnen dort eingegebenen Daten, um Ihre Anfrage zu bearbeiten, Ihre Anmeldung entgegenzunehmen oder das jeweils angefragte Angebot bereitzustellen. Welche Daten hierbei erhoben werden, ergibt sich aus dem jeweils verwendeten Formular. Die Verarbeitung erfolgt dann regelmäßig auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, oder auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, soweit die Bearbeitung sonstiger Anfragen in unserem berechtigten Interesse an einer geordneten Kommunikation mit Interessenten und Kunden liegt. Beruht die Verarbeitung auf einer von Ihnen erteilten Einwilligung, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage. Onepage kann in diesem Zusammenhang als Auftragsverarbeiter für uns tätig werden. Für diesen Fall ist bzw. wird mit Onepage ein Vertrag über Auftragsverarbeitung abgeschlossen. Onepage stellt hierfür einen entsprechenden AV-Vertrag zur Verfügung. Soweit bei der Nutzung von Onepage eine Verarbeitung personenbezogener Daten in Drittländern erfolgt oder Unterauftragsverarbeiter außerhalb der Europäischen Union eingesetzt werden, müssen hierfür geeignete Garantien nach Art. 44 ff. DSGVO bestehen. Der von Onepage bereitgestellte AV-Vertrag sieht für entsprechende Übermittlungen den Einsatz von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO vor, soweit deren Voraussetzungen erfüllt sind. Ob und in welchem Umfang solche Drittlandtransfers im konkreten Setup des Mandanten tatsächlich stattfinden, sollte anhand der real eingesetzten Konfiguration und etwaiger Unterauftragsverarbeiter zusätzlich geprüft und dokumentiert werden. Die Speicherung der Daten erfolgt nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. 3. Meta Pixel & Co Coversion Custom Audience Meta-Pixel, Conversion-Tracking und Custom Audiences Wir nutzen auf unserer Website Meta-Werbe- und Analysetools, insbesondere das Meta Pixel, Funktionen zum Conversion-Tracking sowie zum Aufbau von Custom Audiences. Anbieter dieser Dienste ist für Nutzer im Europäischen Wirtschaftsraum regelmäßig die Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Meta beschreibt die „Meta Business Tools“ als Technologien, die Websitebetreibern helfen, Handlungen von Besuchern nachzuvollziehen, Zielgruppen zu erstellen und Werbekampagnen zu analysieren und zu optimieren. Beim Einsatz des Meta Pixels wird beim Besuch unserer Website eine Verbindung zu Meta-Servern hergestellt. Dabei kann Meta erfassen, dass Sie unsere Website aufgerufen haben und welche Handlungen Sie auf unserer Website vornehmen, etwa den Aufruf bestimmter Seiten, das Absenden eines Formulars oder sonstige von uns definierte Conversions. Auf diese Weise können wir die Wirksamkeit unserer Werbung auf Facebook und Instagram messen, Zielgruppen für Werbeanzeigen bilden und unsere Werbung besser auf die Interessen der Nutzer ausrichten. Meta weist selbst darauf hin, dass das Pixel dazu dient, Conversions zu tracken, Custom Audiences auf Basis von Websiteaktivitäten zu erstellen und Werbekampagnen zu optimieren. In diesem Zusammenhang können insbesondere IP-Adresse, Browser- und Geräteinformationen, Informationen zu Ihrem Nutzungsverhalten, aufgerufene Seiten, Referrer-Informationen sowie pixelbezogene Kennungen und Ereignisdaten verarbeitet und an Meta übermittelt werden. Welche Daten im Einzelnen verarbeitet werden, hängt davon ab, welche Events und Parameter wir konkret implementiert haben. Meta stellt für diese Datenverarbeitung eigene Business-Tools-Bedingungen und Datenschutzregelungen bereit. Wir nutzen die Meta-Tools insbesondere zu folgenden Zwecken: zur Messung von Conversions, also zur Auswertung, ob Nutzer nach einer Werbeanzeige bestimmte Handlungen auf unserer Website vornehmen; zur Reichweiten- und Erfolgsanalyse unserer Werbeanzeigen; zur Bildung von Custom Audiences, also von Zielgruppen aus Personen, die unsere Website besucht oder bestimmte Aktionen vorgenommen haben; sowie zur Ausspielung interessenbezogener Werbung auf Facebook- und Instagram-Plattformen. Diese Art der gezielten Ansprache sozialer Medien wird auch in den Leitlinien des EDPB als Targeting beschrieben. Rechtsgrundlage für den Einsatz des Meta Pixels, für Conversion-Tracking und für den Aufbau von Custom Audiences über das Pixel-Verfahren ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. Art. 7 DSGVO. Soweit durch das Pixel Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden oder vergleichbare Identifier eingesetzt werden, erfolgt dies außerdem auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG. Die deutschen Datenschutzaufsichtsbehörden, insbesondere das BayLDA, stellen ausdrücklich klar, dass Custom Audience über das Pixel-Verfahren nicht ohne vorherige Einwilligung zulässig ist. Soweit im Zusammenhang mit den Meta Business Tools personenbezogene Daten erhoben und an Meta übermittelt werden, sind wir und Meta für diese Erhebung und Übermittlung jedenfalls teilweise gemeinsam verantwortlich. Meta sieht hierfür in seinen Business-Tools-Bedingungen und im Controller Addendum Regelungen zur gemeinsamen Verarbeitung vor. Nach der Rechtsprechung des EuGH kann ein Websitebetreiber bei der Einbindung solcher Meta-/Facebook-Technologien für die Erhebung und Übermittlung personenbezogener Daten gemeinsam mit Meta verantwortlich sein, nicht jedoch ohne Weiteres für jede nachfolgende Verarbeitung durch Meta. Die wesentlichen Informationen zur Vereinbarung über die gemeinsame Verantwortlichkeit stellt Meta in seinem Controller Addendum bereit. Danach übernimmt Meta bestimmte Pflichten, insbesondere im Zusammenhang mit der Wahrnehmung von Betroffenenrechten und der Bereitstellung von Informationen über die Verarbeitung, soweit dies die von Meta verantworteten Verarbeitungsschritte betrifft. Ungeachtet interner Zuständigkeitsregelungen können Betroffene ihre Rechte sowohl gegenüber uns als auch gegenüber Meta geltend machen. Eine Übermittlung personenbezogener Daten an Meta in Drittländer, insbesondere in die USA, kann nicht ausgeschlossen werden. Für solche Übermittlungen verweist Meta in seinen Vertragsunterlagen auf geeignete Transfermechanismen. Ob diese im konkreten Fall vollständig tragfähig sind, hängt von der tatsächlichen Einbindung, den gebuchten Produkten und der jeweils einschlägigen Transfergrundlage ab und sollte mandatsbezogen dokumentiert werden. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Auswahl in unserem Consent-Tool ändern. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Praxishinweis für die Mandatsfassung: Diese Passage ist als belastbares Grundmodul gut geeignet. Je nach tatsächlichem Setup würde ich noch unterscheiden zwischen • Meta Pixel allein, • zusätzlicher Conversions API, • Custom Audience aus Websitebesuchern, • Custom Audience aus Kundenlisten. Gerade Kundenlisten-Custom-Audiences sollten regelmäßig in einer eigenen, separaten Klausel beschrieben werden, weil dort andere Datenkategorien und ein anderer Erhebungsweg betroffen sind. Für die Webseite selbst ist diese Pixel-Klausel so aber bereits sehr gut einsetzbar. Ich kann Ihnen als Nächstes direkt noch eine separate Klausel für Meta Custom Audience aus Kundendaten / Upload-Listen formulieren, damit die Erklärung vollständig sauber getrennt ist. 4. Webinar Jam – Aufzeichnung von Webinar Durchführung von Webinaren über WebinarJam Für die Organisation, technische Durchführung und Nachbereitung unserer Online-Webinare nutzen wir den Dienst WebinarJam des Anbieters Genesis Digital, LLC. Über WebinarJam können Anmeldeseiten, Registrierungsprozesse, Webinarräume sowie begleitende Kommunikations- und Auswertungsfunktionen bereitgestellt werden. Der Anbieter weist in seinen Datenschutz- und Vertragsunterlagen ausdrücklich darauf hin, dass WebinarJam zur Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung eingesetzt wird und hierfür auch ein Data Processing Addendum bereitstellt. Im Rahmen der Nutzung von WebinarJam verarbeiten wir insbesondere die Daten, die Sie uns bei der Anmeldung zu einem Webinar mitteilen, etwa Name, E-Mail-Adresse, gegebenenfalls Unternehmen, Telefonnummer sowie weitere freiwillige Angaben. Darüber hinaus können im Zusammenhang mit der Teilnahme technische Nutzungsdaten verarbeitet werden, etwa IP-Adresse, Zeitpunkt der Registrierung, Zugriffszeitpunkte, Geräte- und Browserinformationen sowie Informationen darüber, ob und wie lange Sie an einem Webinar teilgenommen haben. Je nach konkreter Ausgestaltung des Webinars können außerdem Interaktionsdaten wie Chatbeiträge, Antworten auf Umfragen, gestellte Fragen oder sonstige während der Veranstaltung übermittelte Inhalte verarbeitet werden. Die Verarbeitung erfolgt, um Ihnen die Anmeldung, Teilnahme und Nachbereitung unserer Webinare zu ermöglichen, Ihnen organisatorische Informationen zum Webinar zukommen zu lassen und die Durchführung technisch abzusichern. Soweit das Webinar der Anbahnung oder Durchführung eines Vertragsverhältnisses dient, ist Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der effizienten Durchführung von Online-Veranstaltungen, der Teilnehmerverwaltung sowie der nutzerfreundlichen Präsentation unserer Inhalte. Soweit wir darüber hinaus Ihre Einwilligung einholen, etwa für weitergehende Kommunikationsmaßnahmen oder für optionale Aufzeichnungen, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage. Die WebinarJam-GDPR-Informationen verweisen selbst darauf, dass Kunden für ihre jeweilige Verarbeitungstätigkeit eine tragfähige Rechtsgrundlage benötigen. Soweit wir WebinarJam zur Analyse der Webinarteilnahme und zur Auswertung des Nutzerverhaltens einsetzen, etwa um zu erkennen, ob Anmeldungen erfolgt sind, ob Teilnehmer erschienen sind oder wie stark ein Webinar genutzt wurde, dient dies der Optimierung unserer Webinarangebote, der technischen Verbesserung und der bedarfsgerechten Ansprache von Interessenten. Solche Auswertungen dürfen allerdings nur in dem Umfang erfolgen, in dem hierfür eine geeignete Rechtsgrundlage besteht und etwaige Transparenz- und Einwilligungserfordernisse eingehalten werden. WebinarJam kann in diesem Zusammenhang als Auftragsverarbeiter tätig werden. Der Anbieter stellt hierfür ein Data Processing Addendum (DPA) bereit. In den offiziellen Unterlagen von WebinarJam sind zudem Standardvertragsklauseln für internationale Datenübermittlungen vorgesehen. Da WebinarJam von einem US-Anbieter bereitgestellt wird, kann eine Verarbeitung personenbezogener Daten auch in Drittländern, insbesondere in den USA, nicht ausgeschlossen werden. WebinarJam verweist in seinem DPA auf den Einsatz der EU-Standardvertragsklauseln als geeignete Garantie im Sinne von Art. 46 DSGVO. Unabhängig davon sollte im Mandat stets geprüft und dokumentiert werden, welche konkreten Funktionen genutzt werden und welche Unterauftragsverarbeiter tatsächlich eingebunden sind. In den GDPR-Hinweisen nennt der Anbieter beispielhaft unter anderem Infrastruktur- und Kommunikationsdienstleister wie Amazon Web Services, Rackspace, SendGrid oder Pusher. Ihre Daten werden nur so lange gespeichert, wie dies für die Durchführung und Nachbereitung des jeweiligen Webinars, für die Kommunikation mit den Teilnehmern sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. 5. Twilio Versand von Marketing-SMS über Twilio Für den Versand von SMS-Nachrichten, insbesondere zu Marketing-, Informations- und Erinnerungszwecken, nutzen wir den Dienst Twilio des Anbieters Twilio Inc. Über Twilio können wir SMS an Interessenten und Kunden versenden, den Zustellstatus nachvollziehen und Empfängerpräferenzen – insbesondere An- und Abmeldungen – verwalten. Twilio sieht für seine Services datenschutzrechtliche Vertragsunterlagen, insbesondere ein Data Processing Addendum (DPA), vor. Im Rahmen der Nutzung von Twilio verarbeiten wir insbesondere Ihre Mobilfunknummer, ggf. Ihren Namen, Ihre Einwilligungs- und Präferenzdaten, den Inhalt der versendeten Nachricht, Zeitpunkt des Versands, technische Status- und Zustelldaten sowie Informationen darüber, ob und wann eine Nachricht zugestellt oder auf eine Nachricht reagiert wurde. Soweit Empfänger auf eine SMS antworten, können auch diese Antwortinhalte verarbeitet werden. Die Verarbeitung erfolgt, um SMS-Kampagnen technisch bereitzustellen, Empfängerlisten zu verwalten, Abmeldungen zu beachten und die Zustellung unserer Nachrichten nachvollziehen zu können. Die DPA- und Support-Unterlagen von Twilio beschreiben ausdrücklich die Verarbeitung im Zusammenhang mit Messaging-Services sowie Opt-out-Verwaltung. Soweit wir Ihnen werbliche SMS zusenden, erfolgt die Verarbeitung Ihrer Daten auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. Art. 7 DSGVO. Die Einwilligung muss sich auf den Erhalt von SMS-Marketing beziehen und ist von uns nachweisbar zu dokumentieren. Unabhängig von der datenschutzrechtlichen Grundlage sind außerdem die einschlägigen wettbewerbs- und telekommunikationsrechtlichen Anforderungen an elektronische Direktwerbung zu beachten. Twilio weist in seinen Compliance-Hinweisen selbst darauf hin, dass SMS-Marketing permission-based ist und Nutzer aktiv eingewilligt haben müssen. Wir nutzen Twilio außerdem, um Abmeldungen und Opt-out-Erklärungen technisch umzusetzen. Empfänger können dem Erhalt weiterer SMS jederzeit mit Wirkung für die Zukunft widersprechen bzw. ihre Einwilligung widerrufen, etwa durch eine Nachricht mit einem üblichen Abmeldekennwort wie „STOP“, sofern dies in der jeweiligen Kommunikation vorgesehen ist, oder durch Mitteilung an uns auf anderem Weg. Twilio unterstützt standardisierte Opt-out-Keywords und die Unterdrückung weiterer Nachrichten an abgemeldete Empfänger. Twilio wird für uns regelmäßig als Auftragsverarbeiter tätig. Mit Twilio ist daher ein Vertrag über Auftragsverarbeitung abzuschließen bzw. es gelten die von Twilio bereitgestellten Datenverarbeitungsbedingungen. Twilio veröffentlicht zudem Informationen zu eingesetzten Unterauftragsverarbeitern. Da Twilio ein international tätiger Anbieter ist, kann eine Verarbeitung personenbezogener Daten auch in Drittländern, insbesondere in den USA, nicht ausgeschlossen werden. Twilio sieht in seinem Data Processing Addendum Regelungen zu internationalen Datentransfers vor; nach den Twilio-Unterlagen wurden hierfür insbesondere die EU-Standardvertragsklauseln in die Vertragsdokumentation aufgenommen. Ob im konkreten Mandat daneben weitere Transfermechanismen relevant sind, sollte anhand des tatsächlichen Setups und der genutzten Produkte dokumentiert werden. Ihre Daten werden nur so lange gespeichert, wie dies für den Versand der SMS, die Verwaltung Ihrer Einwilligung bzw. Abmeldung, die technische Nachweisbarkeit der Kommunikation und die Erfüllung gesetzlicher Pflichten erforderlich ist. Nach einem Widerruf oder einer Abmeldung können wir bestimmte Daten weiterhin speichern, soweit dies erforderlich ist, um die Beachtung des Opt-out und den Nachweis einer ehemals erteilten oder widerrufenen Einwilligung sicherzustellen. Diese weitere Speicherung erfolgt dann auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der rechtskonformen Steuerung von Werbekommunikation und der Abwehr rechtlicher Ansprüche. 6. Calendly Terminbuchung über Calendly Für die Vereinbarung von Terminen nutzen wir den Dienst Calendly des Anbieters Calendly LLC, 115 E Main St, Ste A1B, Buford, GA 30518, USA. Über Calendly können Interessenten, Kunden und sonstige Ansprechpartner freie Termine auswählen und direkt buchen. Dabei werden die für die Terminorganisation erforderlichen personenbezogenen Daten verarbeitet. Calendly beschreibt seinen Dienst selbst als cloudbasierten Terminplanungsdienst, der zur Verfügbarkeitsprüfung mit Kalenderdiensten verbunden werden kann. Im Rahmen der Terminbuchung verarbeiten wir insbesondere die von Ihnen eingegebenen oder im Zusammenhang mit der Buchung anfallenden Daten, etwa Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Terminwunsch, Inhalt Ihres Anliegens, Zeitzone sowie gegebenenfalls weitere Angaben, die Sie freiwillig in ein Buchungsformular eintragen. Je nach konkreter Einbindung können außerdem Informationen aus verknüpften Kalenderereignissen verarbeitet werden. Calendly nennt in seinem DPA unter anderem Vor- und Nachname, Titel, Position, Arbeitgeber, Kontaktinformationen, Kalenderereignisdetails sowie ungefähren Standort bzw. Zeitzone als mögliche Kategorien personenbezogener Daten. Die Verarbeitung erfolgt zum Zweck der effizienten Terminorganisation, der Kommunikation im Vorfeld eines Gesprächs, der Durchführung vorvertraglicher Maßnahmen sowie der Durchführung oder Vorbereitung bestehender Vertragsbeziehungen. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Terminbuchung der Anbahnung oder Durchführung eines Vertragsverhältnisses dient. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer einfachen, nutzerfreundlichen und effizienten Organisation von Gesprächen und Terminen. Calendly kann in diesem Zusammenhang als Auftragsverarbeiter für uns tätig werden. Der Anbieter stellt hierfür ein Data Processing Addendum (DPA) zur Verfügung. Zugleich weist Calendly in seinem DPA darauf hin, dass Calendly bestimmte personenbezogene Daten für einzelne eigene Zwecke auch als eigener Verantwortlicher verarbeitet, etwa zur Verwaltung der Kundenbeziehung, zur Sicherheit, zur Missbrauchsverhinderung, zur Einhaltung rechtlicher Pflichten sowie zur Weiterentwicklung der eigenen Dienste. Diese eigene Verarbeitung durch Calendly richtet sich nach den Datenschutzinformationen von Calendly. Soweit wir Calendly über unsere Website einbinden, ist außerdem zu beachten, dass Calendly selbst Cookies und ähnliche Technologien einsetzen kann. Calendly weist ausdrücklich darauf hin, dass bei eingebetteten Diensten und ausgeblendeter eigener Cookie-Banner-Lösung der jeweilige Websitebetreiber selbst dafür verantwortlich ist, den Websitebesuchern einen rechtlich ausreichenden Mechanismus zur Wahrnehmung ihrer Rechte in Bezug auf Calendly-Cookies bereitzustellen. Soweit durch eine Calendly-Einbindung Informationen auf dem Endgerät gespeichert oder ausgelesen werden, ist hierfür grundsätzlich eine Rechtsgrundlage nach § 25 TDDDG erforderlich; soweit erforderlich, erfolgt der Einsatz daher nur nach entsprechender Einwilligung. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann nicht ausgeschlossen werden. Calendly weist in seinen Rechtstexten darauf hin, dass personenbezogene Daten in den USA oder anderen Ländern verarbeitet und gespeichert werden können. Für internationale Datenübermittlungen sieht Calendly in seinem DPA die EU-Standardvertragsklauseln sowie ein UK Addendum vor; außerdem verweist Calendly in seiner Privacy Notice auf eine Zertifizierung nach dem EU-U.S. Data Privacy Framework, der UK Extension und dem Swiss-U.S. DPF. Ob und in welchem Umfang diese Transfermechanismen im konkreten Mandat einschlägig sind, sollte anhand des tatsächlich genutzten Setups dokumentiert werden. Ihre Daten werden nur so lange gespeichert, wie dies für die Terminorganisation, die Durchführung des Gesprächs und gegebenenfalls für die anschließende Bearbeitung Ihres Anliegens erforderlich ist, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Weitere Informationen zur Verarbeitung durch Calendly selbst finden sich in den Datenschutzinformationen des Anbieters. 7. Skool Bereitstellung unserer Community über Skool Für die Bereitstellung und Verwaltung unserer Online-Community nutzen wir die Plattform Skool. Über Skool stellen wir unseren Mitgliedern insbesondere Community-Funktionen, Beiträge, Kommentare, Lerninhalte, gegebenenfalls Gruppenbereiche, Mitgliederprofile sowie Kommunikations- und Interaktionsmöglichkeiten zur Verfügung. Skool beschreibt in seiner Privacy Policy, dass über die Plattform insbesondere Registrierungs-, Nutzungs-, Geräte- und Interaktionsdaten verarbeitet werden können. (skoolco.com) Wenn Sie unserer Community beitreten oder diese nutzen, verarbeiten wir die in diesem Zusammenhang von Ihnen angegebenen oder erzeugten Daten. Hierzu können insbesondere Name, E-Mail-Adresse, Benutzername, Profilangaben, Inhalte von Beiträgen, Kommentaren und Nachrichten, Interaktionen innerhalb der Community, Anmeldedaten, Zeitpunkte von Zugriffen sowie technische Nutzungsdaten wie IP-Adresse, Geräteinformationen, Browserdaten und ähnliche Logdaten gehören. Soweit innerhalb der Community weitere Inhalte hochgeladen oder freiwillige Angaben gemacht werden, verarbeiten wir auch diese Daten zur Bereitstellung der jeweiligen Funktion. Skool nennt in seiner Privacy Policy unter anderem Kontaktinformationen, Account-Daten, IP-Adressen und weitere Geräte- und Nutzungsdaten als verarbeitete Datenkategorien. (skoolco.com) Die Verarbeitung erfolgt zum Zweck der Bereitstellung unserer Community, der Verwaltung von Mitgliedschaften, der Kommunikation mit Mitgliedern, der Bereitstellung von Inhalten, der Förderung des Austauschs innerhalb der Community sowie zur Sicherstellung des technischen Betriebs und der IT-Sicherheit. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Nutzung der Community im Zusammenhang mit einem Vertragsverhältnis oder vorvertraglichen Maßnahmen erfolgt. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der strukturierten Bereitstellung einer geschützten Community-Plattform, der Organisation von Inhalten und der Kommunikation mit Interessenten und Kunden. Soweit darüber hinaus freiwillige Angaben gemacht oder optionale Funktionen genutzt werden und hierfür eine Einwilligung erforderlich ist, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage. (skoolco.com) Soweit Mitglieder innerhalb der Community Beiträge, Kommentare, Reaktionen oder sonstige Inhalte veröffentlichen, werden diese Inhalte für andere Mitglieder der Community sichtbar. Nutzer sollten daher selbst darauf achten, innerhalb der Community keine Informationen zu veröffentlichen, die sie nicht mit anderen Mitgliedern teilen möchten. Welche Inhalte für andere sichtbar sind, richtet sich nach der konkreten Ausgestaltung der Community und den jeweils aktivierten Plattformfunktionen. Nach den öffentlich zugänglichen Angaben von Skool verarbeitet der Anbieter personenbezogene Daten teilweise im Auftrag seiner Kunden. In der Privacy Policy heißt es ausdrücklich, dass Skool personenbezogene Daten, die durch oder für einen Kunden in den Softwareprodukten, Plattformen und Services verarbeitet werden, grundsätzlich als Processor im Auftrag des jeweiligen Kunden verarbeitet und dass Betroffene sich hinsichtlich solcher Daten primär an den jeweiligen Community-Betreiber wenden sollen. (skoolco.com) Soweit Skool auf unserer Veranlassung als technischer Dienstleister für die Bereitstellung der Community eingesetzt wird, ist Skool datenschutzrechtlich grundsätzlich als Auftragsverarbeiter einzuordnen. Wichtiger Praxishinweis: In den öffentlich leicht zugänglichen Unterlagen von Skool ist ein eigenständiger, klar ausgewiesener Auftragsverarbeitungsvertrag (DPA/AVV) derzeit nicht in derselben Transparenz auffindbar wie bei vielen anderen SaaS-Anbietern. Für das Mandat sollte daher vor Einsatz bzw. fortgesetzter Nutzung geprüft und dokumentiert werden, ob ein belastbarer AV-Vertrag verfügbar ist und wirksam einbezogen wurde. Ohne eine solche vertragliche Absicherung besteht aus DSGVO-Sicht ein erhebliches Compliance-Risiko. Die Privacy Policy selbst enthält zwar Aussagen zur Processor-Rolle, ersetzt aber einen AV-Vertrag nach Art. 28 DSGVO regelmäßig nicht. (skoolco.com) Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von Skool nicht ausgeschlossen werden. Skool erklärt in seiner Privacy Policy, dass personenbezogene Daten in den USA verarbeitet werden können und dass für internationale Übermittlungen – soweit erforderlich – angemessene Garantien, insbesondere Standardvertragsklauseln, vorgehalten werden. Ob diese Garantien im konkreten Mandat tatsächlich ausreichend und wirksam eingebunden sind, sollte gesondert geprüft und dokumentiert werden. (skoolco.com) Skool weist außerdem darauf hin, dass auf den Websites und Diensten Cookies, Web Beacons, Pixel und ähnliche Technologien zum Einsatz kommen können, um Nutzungsdaten und Geräteinformationen zu erfassen. Soweit solche Technologien bei der Einbindung oder Nutzung der Community auf unserer Website oder im Zusammenhang mit unserer Community eingesetzt werden und hierfür eine Einwilligung erforderlich ist, erfolgt der Einsatz nur auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG sowie – soweit personenbezogene Daten verarbeitet werden – Art. 6 Abs. 1 lit. a DSGVO. (skoolco.com) Ihre Daten werden nur so lange gespeichert, wie dies für die Bereitstellung der Community, die Verwaltung Ihrer Mitgliedschaft, die Kommunikation innerhalb der Community und die Erfüllung gesetzlicher Pflichten erforderlich ist. Skool gibt an, personenbezogene Daten grundsätzlich nur so lange aufzubewahren, wie dies für den ursprünglichen Zweck der Erhebung oder zur Erfüllung rechtlicher Pflichten erforderlich ist. (skoolco.com) 8. Trello Projekt- und Aufgabenverwaltung über Trello Für die Organisation von Projekten, Aufgaben, Zuständigkeiten und internen Arbeitsabläufen nutzen wir Trello, einen Cloud-Dienst der Atlassian-Gruppe. Über Trello können insbesondere Boards, Listen, Karten, Checklisten, Fälligkeiten, Kommentare, Anhänge und teambezogene Arbeitsstände verwaltet werden. Dabei können auch personenbezogene Daten verarbeitet werden, soweit diese im Rahmen der Projekt- und Aufgabenverwaltung erforderlich sind. Atlassian beschreibt in seinen Datenschutzinformationen allgemein, dass bei der Nutzung seiner Dienste insbesondere Account-, Inhalts-, Nutzungs-, Geräte- und Protokolldaten verarbeitet werden. Im Rahmen der Nutzung von Trello verarbeiten wir insbesondere Name, geschäftliche Kontaktdaten, Benutzerkennungen, Rollen- und Teamzuordnungen, Aufgaben- und Projektinhalte, Kommentare, Dateianhänge, Status- und Bearbeitungsinformationen sowie technische Protokolldaten wie IP-Adresse, Geräte- und Browserinformationen, Zugriffszeitpunkte und Nutzungsdaten. Welche Daten im Einzelfall verarbeitet werden, hängt davon ab, welche Inhalte in Boards und Karten eingetragen und welche Integrationen oder Zusatzfunktionen genutzt werden. Atlassian nennt in seiner Privacy Policy u. a. Inhaltsdaten, technische Daten und Nutzungsdaten als verarbeitete Kategorien. Die Verarbeitung erfolgt zum Zweck der Projektplanung, Aufgabenkoordination, internen Zusammenarbeit, Dokumentation von Arbeitsständen sowie zur effizienten Organisation betrieblicher Abläufe. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer strukturierten, nachvollziehbaren und effizienten Zusammenarbeit innerhalb unseres Unternehmens bzw. mit eingebundenen Ansprechpartnern. Soweit die Nutzung von Trello im Zusammenhang mit der Durchführung vorvertraglicher Maßnahmen oder der Erfüllung eines Vertrags erfolgt, ist ergänzend Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage. Die Atlassian-Dokumentation zum DPA geht ebenfalls davon aus, dass Kunden selbst für die datenschutzrechtliche Zulässigkeit der in den Produkten verarbeiteten personenbezogenen Daten verantwortlich bleiben. Soweit Trello zur Verarbeitung personenbezogener Daten in unserem Auftrag eingesetzt wird, ist Atlassian bzw. der jeweils einschlägige Atlassian-Vertragspartner Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Atlassian stellt hierfür ein Data Processing Addendum (DPA) bereit, das die Verarbeitung von Kundendaten im Zusammenhang mit den Cloud-Produkten regelt. In den Trello-spezifischen GDPR-Informationen wird ausdrücklich darauf hingewiesen, dass das aktuelle DPA die relevanten Mechanismen für die Verarbeitung und Übermittlung von Kundendaten enthält. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von Trello nicht ausgeschlossen werden. Trello weist selbst darauf hin, dass Daten in den USA gespeichert werden, und Atlassian erklärt, internationale Datentransfers über ein belastbares Transferrahmenwerk innerhalb des DPA abzusichern. Nach den offiziellen Unterlagen kommen hierfür insbesondere die EU-Standardvertragsklauseln in Betracht; ergänzend stellt Atlassian eine Data Transfer Impact Assessment-Unterlage zur Verfügung. Ob darüber hinaus weitere Transfermechanismen einschlägig sind, sollte im Mandat anhand des tatsächlich gebuchten Produkts, der Regionseinstellungen und der eingesetzten Unterauftragsverarbeiter dokumentiert werden. Wir nutzen Trello nur in dem Umfang, in dem dies für die genannten organisatorischen Zwecke erforderlich ist. Personenbezogene Daten in Boards, Karten und Anhängen werden nur so lange gespeichert, wie dies für die jeweilige Projekt- oder Aufgabenbearbeitung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Weitere Informationen zur Verarbeitung durch Atlassian finden sich in den Datenschutzinformationen des Anbieters. 9. Pipedrive Kunden- und Vertriebsmanagement über Pipedrive Für die Verwaltung von Interessenten, Kundenkontakten, Verkaufschancen und vertriebsbezogenen Prozessen nutzen wir das CRM-System Pipedrive. Pipedrive ist ein cloudbasierter Dienst zur strukturierten Verwaltung von Kontakt-, Kommunikations- und Vertriebsdaten. Im Rahmen der Nutzung von Pipedrive können personenbezogene Daten verarbeitet werden, soweit dies für die Anbahnung, Durchführung und Dokumentation von Geschäftsbeziehungen erforderlich ist. Pipedrive beschreibt seine Services selbst als cloudbasiertes SaaS-CRM und stellt für die Verarbeitung von Kundendaten ein Data Processing Addendum (DPA) bereit. Im Rahmen der Nutzung von Pipedrive verarbeiten wir insbesondere Stammdaten und Kontaktdaten von Interessenten, Kunden, Geschäftspartnern und Ansprechpartnern, etwa Name, Unternehmen, Position, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse, Anschrift, sowie Kommunikationsinhalte, Notizen, Termininformationen, Vertriebsstatus, Anfragen, Angebots- und Vertragsdaten und sonstige Angaben, die im Rahmen der Geschäftsbeziehung anfallen. Je nach Nutzung können außerdem technische Nutzungsdaten und Metadaten verarbeitet werden, etwa Informationen zu Nutzerkonten, Bearbeitungszeitpunkten oder Aktivitäten innerhalb des Systems. Pipedrive weist in seinen Unterlagen darauf hin, dass die konkreten Kategorien der in den Services gespeicherten personenbezogenen Daten vom jeweiligen Kunden bestimmt werden. Die Verarbeitung erfolgt zum Zweck der Pflege von Kontakten, der Bearbeitung von Anfragen, der Vertriebssteuerung, der Anbahnung und Durchführung von Vertragsverhältnissen, der Dokumentation von Kommunikations- und Bearbeitungsständen sowie der effizienten Organisation unserer Kunden- und Vertriebsprozesse. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Durchführung vorvertraglicher Maßnahmen oder die Erfüllung eines Vertrags erforderlich ist. Soweit die Verarbeitung darüber hinaus der strukturierten Verwaltung von Ansprechpartnern, Kommunikationsvorgängen und Geschäftsbeziehungen dient, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer effizienten, nachvollziehbaren und kundenorientierten Organisation unserer Vertriebs- und Kommunikationsprozesse. Soweit wir Pipedrive zur Verarbeitung personenbezogener Daten in unserem Auftrag einsetzen, ist Pipedrive Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Pipedrive erläutert in seinen GDPR-Informationen ausdrücklich, dass die in Pipedrive gespeicherten Kontakte die Datenbestände des Kunden sind und der Kunde insoweit als Verantwortlicher, Pipedrive hingegen als Auftragsverarbeiter handelt. Die hierfür maßgeblichen Regelungen ergeben sich aus den Nutzungsbedingungen, der Privacy Notice und dem Data Processing Addendum, das nach den aktuellen Angaben unmittelbar in die Vertragsdokumentation einbezogen ist. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von Pipedrive nicht ausgeschlossen werden. Pipedrive weist in seiner Privacy Notice ausdrücklich darauf hin, dass personenbezogene Daten auch in die USA übertragen werden können. Für solche Übermittlungen nennt Pipedrive als Garantien insbesondere die Standardvertragsklauseln der Europäischen Kommission sowie für bestimmte Konstellationen die Teilnahme von Pipedrive Inc. am EU-U.S. Data Privacy Framework und an der UK Extension. Ob diese Mechanismen im konkreten Mandat tatsächlich einschlägig sind, sollte anhand des gebuchten Produkts, des Vertragspartners und der eingesetzten Unterauftragsverarbeiter dokumentiert werden. Pipedrive veröffentlicht außerdem Informationen zu Unterauftragsverarbeitern und weist im Trust Center auf Aktualisierungen seiner DPA- und Privacy-Unterlagen hin. Für ein belastbares Verzeichnis und eine vollständige datenschutzrechtliche Bewertung sollte im Mandat geprüft werden, welche konkreten Funktionen genutzt werden, etwa Kampagnen-, Datenanreicherungs-, Telefonie- oder Integrationsfunktionen, da sich dadurch die verarbeiteten Datenkategorien und Empfängerkreise erweitern können. Ihre Daten werden in Pipedrive nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist, insbesondere für die Pflege von Geschäftsbeziehungen, die Bearbeitung von Anfragen, die Vertragsanbahnung und -durchführung sowie die Erfüllung gesetzlicher Aufbewahrungspflichten. Danach werden die Daten gelöscht oder ihre Verarbeitung eingeschränkt, soweit gesetzliche Pflichten oder berechtigte Interessen einer sofortigen Löschung entgegenstehen. 10. Riverside Audio-, Videoaufzeichnung und Nachbearbeitung über Riverside Für die Durchführung, Aufzeichnung, Bearbeitung und Nachbereitung von Audio- und Videoformaten, insbesondere Interviews, Podcast-, Webinar-, Schulungs- oder sonstigen Content-Produktionen, nutzen wir den Dienst Riverside der RiversideFM, Inc. bzw. der mit ihr verbundenen Unternehmen. Riverside beschreibt seine Plattform als cloudbasierten Dienst zur Aufzeichnung, Bearbeitung und Weiterverarbeitung von Audio- und audiovisuellen Inhalten. Im Rahmen der Nutzung von Riverside können insbesondere Stammdaten und Kontaktdaten der Beteiligten, Zugangsdaten, IP-Adresse, ungefähre Standortdaten auf Basis der IP-Adresse, Geräte- und Browserinformationen, Mikrofon- und Kameradaten, Log- und Aktivitätsdaten, sowie vor allem die im Rahmen der Nutzung entstehenden Audio-, Video- und sonstigen Aufzeichnungsinhalte verarbeitet werden. Hinzu kommen – je nach eingesetzten Funktionen – Transkripte, Untertitel, Bearbeitungsdaten, Metadaten sowie weitere Inhalte, die hochgeladen, geteilt oder innerhalb der Plattform generiert werden. Riverside nennt in seiner Privacy Policy insbesondere Plattformnutzungsdaten, Geräteinformationen, Aktivitätsprotokolle, Session-Daten sowie Customer Data, die im Auftrag des Kunden verarbeitet werden. Die Verarbeitung erfolgt zum Zweck der technischen Durchführung von Aufnahmen, der Erstellung und Bearbeitung audiovisueller Inhalte, der Nachbereitung von Gesprächen oder Veranstaltungen, der Erstellung von Transkripten, Untertiteln und sonstigen Begleitmaterialien sowie der internen oder externen Bereitstellung der produzierten Inhalte. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Durchführung vorvertraglicher Maßnahmen oder eines Vertrags erforderlich ist. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer effizienten, qualitativ hochwertigen und strukturierten Erstellung und Bearbeitung von Audio- und Videoformaten. Soweit für einzelne Verarbeitungen, insbesondere für die Aufzeichnung von Teilnehmern, eine gesonderte Einwilligung erforderlich oder angezeigt ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Riverside weist selbst darauf hin, dass seine Kunden für die rechtmäßige Verarbeitung der über den Dienst verarbeiteten personenbezogenen Daten und für die Erfüllung der jeweils anwendbaren Transparenz- und Einwilligungspflichten verantwortlich sind. Soweit wir Riverside zur Verarbeitung personenbezogener Daten in unserem Auftrag einsetzen, ist Riverside hinsichtlich dieser Customer Data grundsätzlich Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Riverside erklärt in seiner Privacy Policy ausdrücklich, dass Customer Data im Auftrag und nach Weisung des jeweiligen Kunden verarbeitet wird und dass hierfür das Data Processing Addendum maßgeblich ist. Auch die Nutzungsbedingungen verweisen ausdrücklich auf das DPA und ordnen Riverside insoweit als data processor, sub-processor or service provider ein, soweit personenbezogene Daten in den vom Kunden verarbeiteten Inhalten enthalten sind. Riverside bietet außerdem KI-gestützte Funktionen an. Nach den aktuellen offiziellen Angaben können hierbei autorisierte KI-Drittanbieter eingesetzt werden; in der veröffentlichten Subprocessor-Liste nennt Riverside unter anderem OpenAI, ElevenLabs, HeyGen, Pika, Hedra sowie weitere Dienstleister für Audio-, Video- und KI-Funktionen. Darüber hinaus nennt Riverside als Unterauftragsverarbeiter insbesondere Amazon Web Services, Google Cloud, MongoDB, Auphonic und CloudConvert. Welche dieser Dienste im konkreten Mandat tatsächlich genutzt werden, hängt vom gebuchten Funktionsumfang und den aktivierten Features ab. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei Nutzung von Riverside nicht ausgeschlossen werden. Riverside erklärt in seiner Privacy Policy ausdrücklich, dass für Datenübermittlungen aus dem EWR, dem Vereinigten Königreich und der Schweiz in Länder ohne angemessenes Datenschutzniveau Standardvertragsklauseln abgeschlossen werden. Zugleich zeigt bereits die veröffentlichte Subprocessor-Liste, dass mehrere eingesetzte Unterauftragsverarbeiter in den USA, aber auch in Israel, den Philippinen und weiteren Staaten ansässig sind. Für das Mandat sollte daher dokumentiert werden, welche Funktionen tatsächlich eingesetzt werden und auf welche Transfermechanismen sich die konkrete Datenübermittlung stützt. Ihre Daten werden nur so lange gespeichert, wie dies für die Durchführung der Aufnahme, die Bearbeitung, die Nachbereitung, die Bereitstellung der Inhalte sowie zur Erfüllung gesetzlicher Pflichten erforderlich ist. Riverside erklärt, User- und Prospect-Daten so lange aufzubewahren, wie dies für die Bereitstellung der Dienste, die Pflege der Beziehung, die Erfüllung vertraglicher und rechtlicher Pflichten oder zur Abwehr möglicher Streitigkeiten erforderlich ist; für Customer Data verweist Riverside auf die Weisungen des jeweiligen Kunden und die Regelungen des DPA. 11. Zoom Business Account plus AI Agent Videokonferenzen, Online-Meetings und KI-gestützte Funktionen über Zoom Für die Durchführung von Videokonferenzen, Online-Meetings, Besprechungen, Webinaren und sonstiger digitaler Kommunikation nutzen wir Zoom. Anbieter ist je nach Vertragskonstellation ein Unternehmen der Zoom Communications, Inc.-Gruppe. Zoom beschreibt seine Produkte als Dienste für Meetings, Chat, Webinare und kollaborative Funktionen innerhalb von Zoom Workplace; ergänzend stellt Zoom produktspezifische Datenschutzhinweise sowie ein Global Data Processing Addendum bereit. Im Rahmen der Nutzung von Zoom können insbesondere Bestands- und Kontaktdaten wie Name, E-Mail-Adresse, Benutzerkennung, Profilbild und – soweit angegeben – Unternehmen oder Funktion verarbeitet werden. Hinzu kommen Meeting- und Kommunikationsdaten, etwa Termine, Teilnehmerlisten, Chatinhalte, freigegebene Inhalte, Dateien, Reaktionen, Umfrageergebnisse, Whiteboard-Inhalte, Protokoll- und Diagnosedaten, Geräte- und Browserinformationen, IP-Adresse sowie Nutzungs- und Metadaten. Soweit aktiviert, können außerdem Audio- und Videodaten, Aufzeichnungen, Transkripte, Untertitel, Meeting-Zusammenfassungen und sonstige durch KI-Funktionen erzeugte Inhalte verarbeitet werden. Dies entspricht den von Zoom in seiner Privacy Statement, den Privacy Data Sheets und den AI-Companion-Unterlagen beschriebenen Datenkategorien. Die Verarbeitung erfolgt zum Zweck der Durchführung von Besprechungen und Online-Kommunikation, der Organisation der Zusammenarbeit, der Dokumentation von Besprechungsergebnissen, der technischen Bereitstellung und Sicherheit sowie – soweit aktiviert – zur Nutzung KI-gestützter Assistenzfunktionen wie Zusammenfassungen, Transkriptionen, Aufgabenextraktion, Chat-/Fragefunktionen oder agentischer Unterstützung innerhalb von Zoom. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Nutzung für vorvertragliche Maßnahmen oder die Durchführung eines Vertrags erforderlich ist. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer effizienten, sicheren und strukturierten digitalen Kommunikation und Zusammenarbeit. Soweit für einzelne Verarbeitungen – insbesondere für Aufzeichnungen, Transkriptionen, Meeting-Zusammenfassungen, den Einsatz bestimmter KI-Funktionen oder die Verarbeitung besonders sensibler Inhalte – eine gesonderte Einwilligung erforderlich oder im Einzelfall angezeigt ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Zoom weist selbst darauf hin, dass Kunden für die datenschutzrechtliche Zulässigkeit ihrer konkreten Nutzung und für erforderliche Hinweise verantwortlich bleiben. Soweit wir Zoom zur Verarbeitung personenbezogener Daten in unserem Auftrag einsetzen, ist Zoom grundsätzlich Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Zoom stellt hierfür ein Global Data Processing Addendum bereit und veröffentlicht Informationen zu eingesetzten Subprozessoren. Für eine belastbare Mandatsdokumentation sollte geprüft werden, welcher konkrete Zoom-Vertragspartner eingebunden ist und welche Produkte und Zusatzfunktionen tatsächlich genutzt werden. Einsatz von Zoom AI Companion / AI-Agent-Funktionen Soweit wir in Zoom AI Companion, Meeting-Zusammenfassungen, Transkriptionen, Frage-Antwort-Funktionen, den AI-Companion-Panel oder sonstige agentische/AI-Agent-Funktionen aktiviert haben, verarbeitet Zoom die hierfür erforderlichen Inhalte und Kontextdaten, um KI-gestützte Ausgaben zu erzeugen. Dies kann insbesondere Gesprächsinhalte, Chats, freigegebene Inhalte, Transkripte, Meeting-Metadaten sowie – je nach Funktion – weitere Datenquellen und Kontexte umfassen, auf die der jeweilige Nutzer zugreifen darf. Zoom beschreibt, dass Antworten des AI Companion je nach Funktion aus verschiedenen verfügbaren Datenquellen und Kontexten gespeist werden können; bei einzelnen Funktionen können auch Drittanbieter von KI-Modellen eingebunden sein. Zoom erklärt zugleich, dass Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhangs- und sonstige kommunikationsähnliche Kundeninhalte nicht zum Training von Zooms eigenen oder Drittanbieter-KI-Modellen verwendet werden. Diese Aussage gilt nach den offiziellen AI-Companion-Unterlagen auch im Zusammenhang mit den dort beschriebenen AI-Companion-Funktionen. Gleichwohl weist Zoom darauf hin, dass für Features mit Drittmodell-Anbietern die jeweils relevanten Daten an diese Anbieter übermittelt werden können, wenn die Funktion genutzt wird. Wichtiger Transparenzhinweis zu KI-Ausgaben: Zoom weist ausdrücklich darauf hin, dass AI-Companion-Ausgaben fehlerhaft, ungenau, irreführend oder unangemessen sein können. KI-generierte Inhalte sind daher von uns bzw. den Nutzern vor einer weiteren Verwendung inhaltlich zu prüfen. Aus Datenschutzsicht empfiehlt sich zudem, die Nutzung von KI-Funktionen auf solche Anwendungsfälle zu beschränken, in denen keine unnötig sensiblen Daten verarbeitet werden. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von Zoom und erst recht bei aktivierten KI-Funktionen nicht ausgeschlossen werden. Zoom verweist für internationale Datenübermittlungen auf sein Global Data Processing Addendum; außerdem veröffentlicht Zoom eine aktuelle Subprozessorenliste. Für AI-Companion-Funktionen weist Zoom ausdrücklich darauf hin, dass Daten in U.S.-based data centers verarbeitet werden können und bei Nutzung bestimmter Funktionen an Drittanbieter-KI-Modelle weitergegeben werden können. Ob und in welchem Umfang diese Mechanismen im konkreten Mandat einschlägig sind, sollte anhand des gebuchten Produkts, der Admin-Einstellungen und der tatsächlich aktivierten KI-Funktionen dokumentiert werden. Ihre Daten werden nur so lange gespeichert, wie dies für die Durchführung der Kommunikation, die Nachbereitung von Besprechungen, die Dokumentation von Ergebnissen sowie zur Erfüllung gesetzlicher Pflichten erforderlich ist. Für AI-Companion-Funktionen weist Zoom zusätzlich auf administrative Steuerungsmöglichkeiten zu Speicherung, Zugriff und Freigabe etwa von Transkripten und Zusammenfassungen hin. Die konkrete Speicherdauer hängt daher auch von unseren internen Einstellungen und dem gebuchten Funktionsumfang ab. 12. Jotform CLOUD – Datenschutz – Wo hosten die die Daten Senden an den Kunden f Formulare und Datenerfassung über Jotform Für die Bereitstellung und Verwaltung von Online-Formularen nutzen wir den Dienst Jotform. Über Jotform können wir insbesondere Kontaktformulare, Anmeldeformulare, Registrierungsformulare, Umfragen, Bewerbungsformulare und sonstige Eingabemasken erstellen und betreiben. Dabei werden die von Ihnen in ein Formular eingegebenen personenbezogenen Daten sowie technische Nutzungsdaten verarbeitet. Jotform stellt für die Verarbeitung von Formulardaten ein Data Processing Addendum (DPA) bereit und beschreibt, dass Formulardaten grundsätzlich dem jeweiligen Kunden zugeordnet sind. (jotform.com, jotform.com) Im Rahmen der Nutzung von Jotform verarbeiten wir insbesondere die Daten, die Sie in die jeweiligen Formulare eingeben. Dies können je nach Formular insbesondere Name, E-Mail-Adresse, Telefonnummer, Anschrift, Unternehmensangaben, Termin- oder Registrierungsdaten, Nachrichteninhalte, hochgeladene Dateien sowie sonstige freiwillig gemachte Angaben sein. Hinzu kommen technische Metadaten wie IP-Adresse, Zeitpunkte der Übermittlung, Geräte- und Browserinformationen sowie formularbezogene Protokolldaten, soweit dies für die technische Bereitstellung und Sicherheit erforderlich ist. Welche Daten konkret erhoben werden, ergibt sich aus dem jeweils eingesetzten Formular. (jotform.com) Die Verarbeitung erfolgt zum Zweck der Entgegennahme und Bearbeitung Ihrer Anfrage, der Abwicklung von Anmeldungen oder Registrierungen, der Durchführung vorvertraglicher Maßnahmen, der Kommunikation mit Ihnen sowie der technischen und organisatorischen Verwaltung unserer Formulareingaben. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer strukturierten, sicheren und nutzerfreundlichen Erfassung und Bearbeitung von Anfragen und sonstigen Eingaben. Soweit wir für einzelne Formulare eine Einwilligung einholen, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage. Soweit Jotform personenbezogene Daten verarbeitet, die über unsere Formulare erhoben werden, ist Jotform grundsätzlich Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Jotform stellt hierfür ein Data Processing Addendum (DPA) zur Verfügung und weist im Rahmen seiner GDPR-Informationen ausdrücklich darauf hin, dass bei der Erhebung personenbezogener Daten über Kundenformulare der jeweilige Kunde als Verantwortlicher und Jotform als Auftragsverarbeiter agiert. (jotform.com, jotform.com) Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von Jotform nicht ausgeschlossen werden. Jotform bietet zwar die Möglichkeit der EU-Datenhaltung an und weist darauf hin, dass Daten von EU-Nutzern möglichst auf EU-Servern gespeichert werden sollten; zugleich stellt Jotform für internationale Datenübermittlungen ein Transfer Impact Assessment sowie vertragliche Mechanismen wie Standardvertragsklauseln bereit. Ob im konkreten Mandat ausschließlich EU-Datenhaltung genutzt wird und welche Unterauftragsverarbeiter tatsächlich eingebunden sind, sollte gesondert geprüft und dokumentiert werden. (jotform.com, jotform.com) Jotform veröffentlicht außerdem eine Subprozessorenliste. Dort werden unter anderem Amazon Web Services und Google Cloud für Datenspeicherung genannt; bei Nutzung von KI-Funktionen können zusätzlich Anbieter wie OpenAI, Google, Deepgram, ElevenLabs oder Twilio eingebunden werden. Welche Empfänger im konkreten Fall relevant sind, hängt davon ab, welche Jotform-Funktionen tatsächlich eingesetzt werden. (jotform.com) Soweit in Jotform KI-Funktionen, AI Agents, Chatbots oder AI-gestützte Formularfunktionen genutzt werden, ist besondere Vorsicht geboten. Jotform weist in seinen AI-Bedingungen und seiner AI Policy darauf hin, dass für solche Funktionen zusätzliche KI-Anbieter eingebunden werden können. Zugleich erklärt Jotform, dass personenbezogene Daten nicht zum Training der eigenen KI verwendet werden; bei Nutzung bestimmter Drittanbieter-KI-Funktionen können jedoch zusätzliche Datenübermittlungen stattfinden. Für solche Funktionen empfiehlt sich regelmäßig eine gesonderte datenschutzrechtliche Bewertung und gegebenenfalls eine separate Klausel in der Datenschutzerklärung. (jotform.com, jotform.com) Ihre Daten werden nur so lange gespeichert, wie dies für die Bearbeitung Ihres Anliegens, die Durchführung der jeweiligen Anfrage oder Registrierung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. Danach werden die Daten gelöscht oder ihre Verarbeitung eingeschränkt, soweit keine gesetzlichen oder berechtigten Gründe für eine weitere Speicherung bestehen. 13. Whats App als Kommunikationskanal – Kommunikation mit Kunden über WhatsApp Wir nutzen WhatsApp zur Kommunikation mit Interessenten, Kunden und sonstigen Ansprechpartnern. Anbieter ist je nach Nutzungs- und Vertragskonstellation insbesondere WhatsApp Ireland Limited bzw. WhatsApp LLC, jeweils ein Unternehmen der Meta-Gruppe. Die Kommunikation über WhatsApp erfolgt insbesondere zur Beantwortung von Anfragen, zur Terminabstimmung, zur Kundenbetreuung sowie – soweit zulässig – zur Übermittlung von Informationen zu unseren Leistungen. WhatsApp stellt für die geschäftliche Nutzung besondere Vertrags- und Datenschutzunterlagen für WhatsApp Business bereit. Im Rahmen der Kommunikation über WhatsApp verarbeiten wir insbesondere Ihre Mobilfunknummer, Ihren Namen, den Inhalt Ihrer Nachrichten, gegebenenfalls von Ihnen übermittelte Dateien, Bilder, Dokumente oder Sprachnachrichten, sowie Zeitpunkte der Kommunikation und sonstige mit der Kommunikation verbundene Metadaten. Je nach Nutzung des Dienstes können außerdem technische Informationen wie Geräte- und Verbindungsdaten verarbeitet werden. WhatsApp erläutert in seinen Datenschutzunterlagen, dass bei der Nutzung der Dienste verschiedene Nutzungs-, Geräte-, Protokoll- und Kommunikationsmetadaten verarbeitet werden; zugleich weist WhatsApp darauf hin, dass Nachrichteninhalte durch Ende-zu-Ende-Verschlüsselung geschützt sind. Die Verarbeitung erfolgt zum Zweck der Bearbeitung Ihrer Kontaktaufnahme, der Kommunikation im Rahmen bestehender oder angebahnter Vertragsverhältnisse, der Beantwortung von Support- oder Serviceanfragen sowie der allgemeinen kundenbezogenen Kommunikation. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation der Durchführung vorvertraglicher Maßnahmen oder der Erfüllung eines Vertrags dient. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer schnellen, zeitgemäßen und nutzerfreundlichen Kommunikation mit unseren Ansprechpartnern. Soweit wir WhatsApp ausnahmsweise für werbliche Nachrichten einsetzen, erfolgt dies nur auf Grundlage einer hierfür tragfähigen Rechtsgrundlage, insbesondere einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, und unter Beachtung der einschlägigen wettbewerbsrechtlichen Anforderungen. WhatsApp verlangt in seinen Business-Regelwerken selbst, dass Unternehmen erforderliche Hinweise bereitstellen und Nachrichten nur im zulässigen Rahmen versenden. Soweit wir WhatsApp Business oder die WhatsApp Business Platform einsetzen und WhatsApp dabei personenbezogene Daten aus unserer Kundenkommunikation in unserem Auftrag verarbeitet, kann WhatsApp insoweit Auftragsverarbeiter sein. Die aktuellen WhatsApp Business Data Processing Terms regeln ausdrücklich, dass sie gelten, soweit WhatsApp personenbezogene Daten in den Customer Data als Processor für das Unternehmen verarbeitet. Dort werden als typische Datenkategorien insbesondere Kunden-Kontaktinformationen und Kunden, mit denen über WhatsApp kommuniziert wird, genannt. Gleichzeitig ist zu beachten, dass WhatsApp bzw. Meta für bestimmte eigene Verarbeitungsvorgänge eigenständig verantwortlich sein kann. Zudem kann bei einer Verknüpfung eines WhatsApp Business Accounts mit Meta Business Manager oder Entwicklerkonten eine Übermittlung von Nutzungsdaten, Metriken und sonstigen Informationen an Meta erfolgen, etwa für Abrechnung, Analysen, Support und Produktfunktionen. Die genaue datenschutzrechtliche Einordnung hängt daher auch davon ab, ob lediglich die App genutzt wird oder weitergehende Business-/Meta-Integrationen aktiviert sind. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von WhatsApp nicht ausgeschlossen werden. Die aktuellen WhatsApp Business Data Processing Terms und die zugehörigen Data Transfer Addenda sehen für internationale Datenübermittlungen vertragliche Mechanismen vor; bei europäischem Vertragspartner wird insbesondere auf das WhatsApp Business Data Transfer Addendum verwiesen, bei anderen Konstellationen auf weitere Transfer-Addenda. In den FAQ zu den aktualisierten Business Terms wird zudem auf das EU-U.S. Data Privacy Framework Bezug genommen. Ob und in welchem Umfang diese Transfermechanismen im konkreten Mandat tatsächlich einschlägig sind, sollte anhand des tatsächlich genutzten Produkts und Vertragspartners dokumentiert werden. Bitte beachten Sie, dass bei einer Kontaktaufnahme über WhatsApp nicht ausgeschlossen werden kann, dass dabei auch personenbezogene Daten in den Verantwortungsbereich von WhatsApp bzw. Meta gelangen. Wir empfehlen daher, über WhatsApp keine besonders sensiblen Informationen zu übermitteln, sofern dies nicht zwingend erforderlich ist. Für Anliegen mit erhöhtem Vertraulichkeitsbedarf können Sie uns jederzeit auch über andere Kommunikationswege kontaktieren. Diese Empfehlung ist insbesondere deshalb sachgerecht, weil WhatsApp selbst in seinen Business Terms darauf hinweist, dass die Dienste nicht ohne Weiteres auf die Bedürfnisse von Branchen mit erhöhten Vertraulichkeitsanforderungen zugeschnitten sind. Ihre Daten werden von uns nur so lange gespeichert, wie dies für die Bearbeitung Ihrer Anfrage, die Durchführung der Kommunikation und die Erfüllung gesetzlicher Pflichten erforderlich ist. Sofern gesetzliche Aufbewahrungspflichten bestehen oder wir die Kommunikation zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, erfolgt eine weitergehende Speicherung nur in dem hierfür erforderlichen Umfang. Allgemeine Informationen zur Datenverarbeitung durch WhatsApp finden Sie außerdem in den Datenschutzunterlagen des Anbieters. 14. Vimeo Einbindung und Nutzung von Vimeo Wir nutzen Vimeo zur Bereitstellung und Einbindung von Videoinhalten. Anbieter ist Vimeo.com, Inc. bzw. das jeweils für den Dienst einschlägige Vimeo-Unternehmen. Vimeo ermöglicht das Hosting, Streaming und die Einbettung von Videos auf externen Websites. Dabei können beim Aufruf einer Seite mit eingebettetem Vimeo-Video personenbezogene Daten der Websitebesucher verarbeitet werden. Vimeo beschreibt in seiner Privacy Policy allgemein die Verarbeitung von Nutzungs-, Geräte-, Protokoll- und Interaktionsdaten im Zusammenhang mit seinen Diensten. Wenn Sie eine Seite aufrufen, auf der ein Vimeo-Video eingebunden ist, kann eine Verbindung zu Servern von Vimeo hergestellt werden. Dabei können insbesondere IP-Adresse, Informationen zum verwendeten Browser und Endgerät, Zeitpunkt des Aufrufs, Referrer-Informationen sowie Nutzungsdaten über das abgespielte Video verarbeitet werden. Je nach Einbindung und Vimeo-Konfiguration können außerdem Cookies und ähnliche Technologien eingesetzt werden. Vimeo weist ausdrücklich darauf hin, dass sein Player Cookies setzen kann und dass auch bei Verwendung des DNT-Parameters bereits vorhandene Vimeo-Cookies weiterhin an Vimeo übermittelt werden können. Die Verarbeitung erfolgt zum Zweck der ansprechenden Darstellung unseres Online-Angebots, der Bereitstellung von Videoinhalten, der technisch stabilen Auslieferung von Medieninhalten sowie – soweit aktiviert – der Analyse der Nutzung von Videoinhalten. Rechtsgrundlage ist grundsätzlich Art. 6 Abs. 1 lit. a DSGVO, soweit für die Einbindung des Vimeo-Players oder für damit verbundene Cookies und ähnliche Technologien eine Einwilligung erforderlich ist. Soweit durch die Einbindung Informationen auf dem Endgerät gespeichert oder ausgelesen werden, erfolgt dies außerdem auf Grundlage von § 25 Abs. 1 TDDDG. Eine bloß berechtigte Interessenabwägung ist für die übliche Vimeo-Einbettung regelmäßig nur dann tragfähig, wenn tatsächlich keine einwilligungsbedürftigen Technologien eingesetzt werden und die Einbindung technisch entsprechend datensparsam konfiguriert ist. Vimeo selbst weist aber gerade auf mögliche Player-Cookies hin. Datenschutzrechtliche Rollenverteilung Für die übliche Nutzung von Vimeo als Video-Hosting- oder Embed-Dienst ist besonders zu beachten, dass Vimeo nach eigenen Angaben für Self-Serve-Nutzer kein DPA anbietet, weil Vimeo insoweit als eigener Verantwortlicher im Sinne der DSGVO eingeordnet wird. Für bloße Einbettungen des Vimeo-Players verweist Vimeo stattdessen auf die Möglichkeit, Controller-to-Controller Standard Contractual Clauses abzuschließen. Nur für bestimmte Produkte, insbesondere Vimeo Enterprise und Vimeo OTT, stellt Vimeo gesonderte Data Processing Addenda bereit. Für die Standard-Einbettung eines Vimeo-Videos sollte Vimeo daher in der Datenschutzerklärung nicht vorschnell als bloßer Auftragsverarbeiter bezeichnet werden. Soweit wir Vimeo nur zur Einbettung einzelner Videos auf unserer Website nutzen, erfolgt die Datenverarbeitung daher regelmäßig in einer Konstellation, in der Vimeo eigene datenschutzrechtliche Verantwortung trägt. Die weitere Verarbeitung personenbezogener Daten durch Vimeo richtet sich nach den Datenschutzinformationen von Vimeo. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von Vimeo nicht ausgeschlossen werden. Vimeo verweist für den eingebetteten Player auf die Möglichkeit des Abschlusses von Controller-to-Controller Standard Contractual Clauses; für Enterprise-Leistungen besteht zudem ein gesondertes Enterprise DPA. Ob im konkreten Mandat zusätzlich weitere Transfermechanismen einschlägig sind, sollte anhand des tatsächlich genutzten Vimeo-Produkts dokumentiert werden. Soweit wir Videos über Vimeo hosten, können außerdem Sichtbarkeits- und Einbettungseinstellungen genutzt werden, um den Zugriff auf Videos zu beschränken, etwa auf bestimmte Websites, per Passwort oder in nicht gelisteter Form. Vimeo beschreibt hierfür verschiedene Privacy Settings und Möglichkeiten zur Beschränkung der Einbettung. Diese Einstellungen betreffen jedoch in erster Linie die Zugriffskontrolle auf Inhalte und ersetzen keine datenschutzrechtliche Information gegenüber den Nutzern. Ihre Daten werden von uns im Zusammenhang mit Vimeo nur so lange verarbeitet, wie dies für die Bereitstellung der jeweiligen Videoinhalte erforderlich ist. Auf die Speicherdauer und weitere Verarbeitung durch Vimeo haben wir nur im Rahmen der von Vimeo bereitgestellten Einstellungen Einfluss. Ergänzende Informationen zur Datenverarbeitung durch Vimeo finden Sie in den Datenschutz- und Cookie-Hinweisen des Anbieters. 15. Youtube – Einbindung und Nutzung von YouTube-Videos Wir nutzen YouTube zur Einbindung und Wiedergabe von Videoinhalten auf unserer Website. Anbieter des Dienstes ist für Nutzer im Europäischen Wirtschaftsraum und in der Schweiz grundsätzlich Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. YouTube ist ein Dienst der Google-Unternehmensgruppe. Beim Aufruf einer Seite, auf der ein YouTube-Video eingebunden ist, können personenbezogene Daten an Google bzw. YouTube übermittelt und durch diese verarbeitet werden. Die allgemeinen Informationen zur Datenverarbeitung durch Google finden sich in der Google Privacy Policy; die YouTube-Nutzungsbedingungen benennen für den EWR Google Ireland Limited als Diensteanbieter. Wenn Sie eine Seite aufrufen, auf der ein YouTube-Video eingebunden ist, kann eine Verbindung zu Servern von YouTube bzw. Google hergestellt werden. Dabei können insbesondere IP-Adresse, Informationen zum verwendeten Browser und Endgerät, Zeitpunkt des Seitenaufrufs, Referrer-Informationen sowie Nutzungsdaten zum abgespielten Video verarbeitet werden. Sofern Sie gleichzeitig in ein Google- oder YouTube-Konto eingeloggt sind, kann Google den Aufruf unter Umständen Ihrem Nutzerkonto zuordnen. Google erläutert in seiner Privacy Policy allgemein, dass bei der Nutzung seiner Dienste Informationen mit eindeutigen Kennungen dem verwendeten Browser, der App oder dem Gerät zugeordnet werden können. Je nach Art der Einbindung können durch YouTube bzw. Google außerdem Cookies und ähnliche Technologien eingesetzt werden. Google beschreibt offiziell, dass seine Dienste Cookies und ähnliche Technologien unter anderem für Funktionalität, Sicherheit, Leistungsmessung und Werbung verwenden. Für YouTube nennt Google in seiner Cookie-Dokumentation insbesondere Präferenz-Cookies wie etwa solche zur Speicherung von Wiedergabeeinstellungen. Die Verarbeitung erfolgt zum Zweck der ansprechenden Darstellung unseres Online-Angebots, der Bereitstellung von Videoinhalten sowie einer nutzerfreundlichen und effizienten Präsentation unserer Leistungen und Inhalte. Soweit bei der Einbindung von YouTube Informationen auf dem Endgerät gespeichert oder ausgelesen werden oder vergleichbare Technologien zum Einsatz kommen, erfolgt dies nur auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG. Soweit hierbei personenbezogene Daten verarbeitet werden, ist Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Eine Einbindung erfolgt daher grundsätzlich erst nach entsprechender Einwilligung über unser Consent-Management, soweit nicht im Einzelfall eine technisch zwingende, datensparsame Gestaltung ohne einwilligungsbedürftige Technologien sichergestellt ist. Die Einwilligungslösung ist besonders sachgerecht, weil Google den Einsatz von Cookies und ähnlichen Technologien für eingebettete Dienste ausdrücklich beschreibt. Soweit wir YouTube-Videos im sogenannten erweiterten Datenschutzmodus einbinden, verwenden wir für den Player die Domain youtube-nocookie.com. YouTube erläutert hierzu, dass in diesem Modus die Ansicht eines eingebetteten Videos nicht zur Personalisierung von Werbung außerhalb der eigenen Website oder App verwendet wird und dass etwaige in diesem Modus ausgespielte Anzeigen nicht personalisiert sind. Gleichwohl kann es auch in diesem Modus zu einer Datenübermittlung an YouTube bzw. Google kommen, insbesondere sobald das Video abgespielt wird oder eine weitere Interaktion mit dem Player erfolgt. Der erweiterte Datenschutzmodus ersetzt daher keine datenschutzrechtliche Information und macht eine erforderliche Einwilligung nicht automatisch entbehrlich. Soweit wir YouTube lediglich als eingebetteten Videodienst nutzen, ist Google bzw. YouTube hinsichtlich der eigenen Weiterverarbeitung der dadurch erhobenen Daten grundsätzlich nicht bloß unser Auftragsverarbeiter, sondern verarbeitet personenbezogene Daten auch für eigene Zwecke nach Maßgabe der Google-/YouTube-Datenschutzbestimmungen. Eine Einordnung als reiner Auftragsverarbeiter ist für die übliche externe Einbettung von YouTube-Videos daher regelmäßig nicht passend. Dies ergibt sich bereits daraus, dass Google die Datenverarbeitung in seinen eigenen Privacy- und Cookie-Regelungen umfassend als eigene Dienstverarbeitung beschreibt. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere in den USA, kann bei der Nutzung von YouTube nicht ausgeschlossen werden. Google beschreibt in seiner Privacy Policy allgemein, dass Daten auf Servern in verschiedenen Ländern verarbeitet werden können, und stellt für europäische Nutzer zusätzliche Informationen zu den europäischen Datenschutzanforderungen bereit. Für die konkrete Mandatsfassung sollte dokumentiert werden, in welcher Form YouTube eingebunden ist und ob zusätzliche Google-Dienste oder Kontoverknüpfungen betroffen sind. Ihre Daten werden von uns im Zusammenhang mit eingebetteten YouTube-Videos nur so lange verarbeitet, wie dies für die Bereitstellung der jeweiligen Inhalte erforderlich ist. Auf die weitere Verarbeitung personenbezogener Daten durch Google bzw. YouTube haben wir nur begrenzten Einfluss. Ergänzende Informationen finden Sie in den Datenschutzinformationen von Google. 16. Zahlungsabwicklung und Bestellabwicklung über ThriveCart Für die Bereitstellung unseres Bestellprozesses, die technische Abwicklung von Bestellungen, den Checkout sowie die Verwaltung von Bestell- und Transaktionsdaten nutzen wir ThriveCart. Über ThriveCart können Bestellseiten, Checkout-Prozesse, Upsells, Bestellbestätigungen und ähnliche vertriebsbezogene Abläufe bereitgestellt werden. Dabei können personenbezogene Daten verarbeitet werden, die für die Durchführung einer Bestellung und die technische Bereitstellung des Checkout-Prozesses erforderlich sind. ThriveCart veröffentlicht hierfür eigene Vertrags- und Datenschutzunterlagen einschließlich einer Privacy Policy und eines Data Processing Addendum (DPA). Im Rahmen der Nutzung von ThriveCart verarbeiten wir insbesondere Name, E-Mail-Adresse, Rechnungs- und Bestelldaten, gegebenenfalls Unternehmensangaben, gewählte Produkte, Transaktionsinformationen, Zeitpunkte von Bestellungen sowie weitere Daten, die Sie im Rahmen des Bestellvorgangs eingeben. Welche Daten im Einzelfall konkret erhoben werden, hängt von der Ausgestaltung des jeweiligen Checkout-Prozesses ab. Die Verarbeitung erfolgt zum Zweck der Bereitstellung des Bestellformulars, der Durchführung und Dokumentation von Bestellungen, der technischen Abwicklung des Checkouts sowie der Verwaltung kaufbezogener Prozesse. Die in den ThriveCart-Terms integrierte DPA beschreibt den Gegenstand der Verarbeitung als Bereitstellung des Services und des zugehörigen technischen Supports; verarbeitet werden dabei personenbezogene Daten, die in den Dienst eingegeben, dort gespeichert oder über ihn versandt werden. Rechtsgrundlage der Verarbeitung ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist. Soweit darüber hinaus technische Protokollierung, Missbrauchsverhinderung oder organisatorische Verwaltung betroffen sind, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer sicheren, nutzerfreundlichen und effizienten Bestellabwicklung. Soweit ThriveCart personenbezogene Daten in unserem Auftrag zur technischen Bereitstellung des Checkout- und Bestellsystems verarbeitet, ist ThriveCart grundsätzlich Auftragsverarbeiter im Sinne von Art. 28 DSGVO. ThriveCart veröffentlicht hierfür ein Data Processing Addendum, das in die Anbieterbedingungen integriert ist. Eine Verarbeitung personenbezogener Daten in Drittländern kann nicht ausgeschlossen werden. Für die konkrete Mandatsfassung sollte daher geprüft und dokumentiert werden, welcher Vertragspartner eingebunden ist, welche Zahlungsdienstleister an ThriveCart angebunden sind und welche Unterauftragsverarbeiter tatsächlich genutzt werden. Die datenschutzrechtliche Bewertung hängt hier wesentlich vom konkreten Setup ab. Ihre Daten werden nur so lange gespeichert, wie dies für die Durchführung und Dokumentation der Bestellung, die Erfüllung gesetzlicher Pflichten sowie die Abwehr oder Geltendmachung von Ansprüchen erforderlich ist. Hinweis für die Mandatsfassung: Wenn der Mandant ThriveCart zusätzlich für Affiliate-Funktionen, A/B-Tests, Upsells, Automationen oder integrierte Tracking-/Marketing-Funktionen nutzt, sollte dies in einer ergänzenden Klausel gesondert beschrieben werden. 17. Zahlungsabwicklung über PayPal Wir bieten auf unserer Website die Bezahlung über PayPal an. Anbieter ist je nach Nutzungs- und Vertragskonstellation insbesondere PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg, bzw. ein anderes Unternehmen der PayPal-Gruppe. Wenn Sie eine Zahlung über PayPal auswählen, werden die für die Zahlungsabwicklung erforderlichen personenbezogenen Daten an PayPal übermittelt. PayPal beschreibt in seiner Privacy Statement, dass personenbezogene Daten zur Bereitstellung der Services und nach Maßgabe der PayPal-Vertragsdokumente verarbeitet werden. Zu den verarbeiteten Daten können insbesondere Name, Rechnungsadresse, Lieferadresse, E-Mail-Adresse, Telefonnummer, Zahlungsbetrag, Währung, Bestellreferenz, IP-Adresse sowie weitere Transaktions- und Geräteinformationen gehören, soweit dies für die Autorisierung, Durchführung und Absicherung der Zahlung erforderlich ist. Die Verarbeitung erfolgt zum Zweck der Zahlungsabwicklung, der Betrugsprävention, der Risikoprüfung und der Erfüllung vertraglicher Pflichten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Durchführung des Zahlungs- und Bestellvorgangs erforderlich ist. Für die Verarbeitung von Kundendaten im Zusammenhang mit den Payment Services hält PayPal in seinem Data Protection Addendum for Payment Processing Products ausdrücklich fest, dass wir und PayPal jeweils eigenständige Verantwortliche sind und PayPal die Zwecke und Mittel dieser Verarbeitung eigenständig bestimmt; eine gemeinsame Verantwortlichkeit wird dort ausdrücklich verneint. Das bedeutet, dass PayPal die übermittelten Daten nicht lediglich als bloßer Auftragsverarbeiter für uns verarbeitet, sondern auch für eigene regulatorische, risikobezogene, sicherheitsbezogene und zahlungsdienstliche Zwecke. Die weitere Verarbeitung durch PayPal richtet sich daher nach den Datenschutzinformationen und Vertragsbedingungen von PayPal. Eine Verarbeitung personenbezogener Daten in Drittländern kann bei Nutzung von PayPal nicht ausgeschlossen werden. Für die konkrete Mandatsfassung sollte daher geprüft werden, welche PayPal-Produkte eingebunden sind und welche Transfermechanismen sowie konzerninternen Datenflüsse im konkreten Fall einschlägig sind. PayPal veröffentlicht hierzu eigene Datenschutz- und Vertragsunterlagen. Ihre Daten werden von uns nur so lange gespeichert, wie dies für die Durchführung der Zahlung, die Vertragsabwicklung, die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten sowie die Geltendmachung oder Abwehr von Ansprüchen erforderlich ist. 18. Zahlungsabwicklung über Stripe Wir nutzen für die Zahlungsabwicklung den Dienst Stripe. Anbieter ist je nach Vertragskonstellation insbesondere Stripe Payments Europe, Limited bzw. ein Unternehmen der Stripe-Gruppe. Wenn Sie eine Zahlung über unsere Website vornehmen, werden die für die Zahlungsabwicklung erforderlichen personenbezogenen Daten an Stripe übermittelt und dort verarbeitet. Stripe stellt für seine Dienste ein Data Processing Agreement (DPA) bereit und erläutert in seinen Datenschutzunterlagen, dass Stripe je nach Verarbeitung sowohl als Auftragsverarbeiter als auch als eigener Verantwortlicher tätig werden kann. Im Rahmen der Zahlungsabwicklung können insbesondere Name, Rechnungs- und Kontaktdaten, Zahlungsinformationen, Transaktionsbetrag, Währung, Bestellreferenzen, IP-Adresse, Geräte- und Browserinformationen sowie weitere zur Autorisierung und Risikoprüfung erforderliche Daten verarbeitet werden. Die Verarbeitung erfolgt zum Zweck der Durchführung der Zahlung, der Betrugsprävention, der Risikobewertung, der Abwicklung von Rückerstattungen sowie der technischen Bereitstellung der Zahlungsfunktion. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO. Stripe erläutert in seinem DPA ausdrücklich, dass Stripe bei bestimmten Verarbeitungen als Data Processor im Auftrag des Nutzers handelt, bei anderen Verarbeitungen jedoch als Data Controller tätig wird. Für die datenschutzrechtliche Einordnung kommt es daher auf die konkrete Funktion und das genutzte Stripe-Produkt an. Soweit Stripe personenbezogene Daten als Auftragsverarbeiter verarbeitet, ist das Stripe DPA maßgeblich. Stripe weist außerdem darauf hin, dass personenbezogene Daten an verbundene Unternehmen, Dienstleister und – abhängig von den aktivierten Zahlungsmethoden – auch in die jeweiligen Jurisdiktionen der konkreten Zahlungsmethode übermittelt werden können. Stripe veröffentlicht hierzu ein DPA, FAQ zu Standardvertragsklauseln sowie weitere Informationen im Privacy Center. Eine Verarbeitung personenbezogener Daten in Drittländern, insbesondere außerhalb des EWR, kann daher nicht ausgeschlossen werden. Stripe verweist für internationale Datenübermittlungen auf geeignete Mechanismen, insbesondere Standardvertragsklauseln. Ob darüber hinaus weitere Transfermechanismen im konkreten Mandat einschlägig sind, sollte anhand des tatsächlichen Setups und der aktivierten Zahlungsmethoden dokumentiert werden. Ihre Daten werden nur so lange gespeichert, wie dies für die Zahlungsabwicklung, die Erfüllung gesetzlicher Pflichten sowie die Abwehr oder Geltendmachung rechtlicher Ansprüche erforderlich