Auftragsverarbeitungsvereinbarung (AVV)

1. Vertragsgegenstand und Rechtsgrundlage

Diese Vereinbarung zur Auftragsverarbeitung wird im Rahmen der nachfolgenden vertraglichen Beziehung (Hauptvertrag) geschlossen:

1.1 Vertragsinhalt

Der Auftragnehmer (Inexdu GmbH) stellt dem Auftraggeber (Kunden) eine Software-as-a-Service (SaaS)-Lösung mit der Bezeichnung "BusinessBoost One" zur Verfügung, die als White-Label-Plattform auf Basis von GoHighLevel betrieben wird. Im Rahmen dieser Plattform hat der Auftraggeber die Möglichkeit, personenbezogene Daten zu erheben, zu speichern, zu verarbeiten und zu verwalten.

Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen und gemäß den Weisungen des Auftraggebers.

1.2 Art und Umfang der Datenverarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragnehmer umfasst nachfolgende Tätigkeiten:

1. Erhebung und Speicherung:

· Erfassung und Speicherung von Kontaktinformationen und Kommunikationsverläufen der Kunden des Auftraggebers

· Speicherung von Transaktionsdaten und Nutzungsinformationen der Plattform

2. Verwaltung und Organisation:

· CRM-Funktionen zur Verwaltung von Interessenten und Kundenkontakten

· Organisation und Automatisierung von Marketing- und Vertriebsabläufen

· Speicherung und Kategorisierung von Kundeninteraktionen

3. Kommunikation und Marketing:

· Versand von E-Mails, SMS oder WhatsApp-Nachrichten im Auftrag des Auftraggebers

· Automatisierte Kampagnen, Follow-ups und Newsletter-Versand

· Tracking und Auswertung von Interaktionen zur Optimierung von Marketingmaßnahmen

4. Datenauswertung und Berichterstattung:

· Erstellung von Statistiken und Auswertungen über Kampagnen-Ergebnisse

· Bereitstellung von Analyse-Dashboards zur Performance-Messung

5. Integration von Drittanbietern:

· Schnittstellen zu Zahlungsdienstleistern (z. B. Stripe)

· Nutzung von Kommunikationsanbietern (z. B. Twilio für SMS-Versand)

· Einbindung externer Marketing- und Automatisierungstools

6. Hosting und Datenspeicherung:

· Speicherung der personenbezogenen Daten auf Servern des Unterauftragsverarbeiters GoHighLevel Inc.

· Sicherstellung der Datenverfügbarkeit und Schutzmaßnahmen gegen unbefugten Zugriff

7. Datenlöschung und Anonymisierung:

· Löschung oder Anonymisierung von Daten gemäß den Weisungen des Auftraggebers oder nach Ablauf gesetzlicher Aufbewahrungsfristen

1.3 Kategorien betroffener Personen

· Kunden des Auftraggebers (Interessenten, potenzielle Käufer, Käufer)

· Mitarbeiter des Auftraggebers, soweit deren Daten in der Plattform verarbeitet werden

· Nutzer der Plattform, die sich registrieren oder Anfragen stellen

1.4 Kategorien personenbezogener Daten

· Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Anschrift

· Kommunikationsdaten: E-Mails, Chat-Nachrichten, Telefonnotizen

· Nutzungsdaten: Login-Daten, IP-Adressen, verwendete Funktionen

· Marketing-Daten: Öffnungsraten, Klickraten, Kampagnenreaktionen

· Transaktionsdaten: Kaufhistorie, Rechnungsdaten, Zahlungsvorgänge

1.5 Besondere Kategorien von Daten und Verpflichtungen

Es werden keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen) verarbeitet.

Der Auftraggeber ist verpflichtet sicherzustellen, dass er die erforderlichen Einwilligungen für die Verarbeitung personenbezogener Daten (z. B. für Marketingkommunikation) von seinen Kunden eingeholt hat.

Der Auftragnehmer übernimmt keine rechtliche Verantwortung für die Rechtmäßigkeit der Datenerhebung durch den Auftraggeber.

2. Maßnahmen bei Datenschutzverletzungen

Die Benachrichtigung über eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzüglich, in der Regel innerhalb von 24 Stunden nach Kenntniserlangung, zu erfolgen.

Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO mindestens folgende Angaben enthalten:

· Beschreibung der Art der Datenschutzverletzung, soweit möglich mit Angabe der betroffenen Datenkategorien und der ungefähren Anzahl der betroffenen Personen sowie der ungefähren Anzahl der betroffenen personenbezogenen Datensätze

· Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlauf- oder Kontaktstelle für weitere Informationen

· Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung (z. B. unter Angabe weiterer Details: Identitätsdiebstahl, Vermögensnachteile, etc.)

· Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

3. Unterauftragsverarbeitung

Der Auftragsverarbeiter wählt Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung und Zuverlässigkeit zur Einhaltung der Pflichten aus diesem Vertrag sowie der Eignung der vom Unterauftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

Verarbeitungen personenbezogener Daten, die keinen unmittelbaren Zusammenhang mit der Erbringung der Hauptleistung aus dem Hauptvertrag aufweisen und bei denen der Auftragsverarbeiter die Leistungen Dritter als reine Nebenleistung zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt (z. B. Reinigungs-, Bewachungs-, Wartungs-, Telekommunikations- oder Transportleistungen), stellen keine Unterauftragsverarbeitung im Sinne dieser Vereinbarung dar. Der Auftragsverarbeiter hat jedoch sicherzustellen, z. B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefährdet wird und die Vorgaben dieser Vereinbarung sowie der Datenschutzvorschriften eingehalten werden.

4. Räumlicher Geltungsbereich der Datenverarbeitung

Die Verarbeitung darf in Drittstaaten erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, d. h. insbesondere die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat; oder auf Grundlage von wirksamen Standardschutzklauseln (sog. Standard Contractual Clauses, SCC); oder auf Grundlage von anerkannten verbindlichen internen Datenschutzvorschriften.

Die Genehmigung von Unterauftragsverhältnissen durch den Auftraggeber im Rahmen dieser Vereinbarung erstreckt sich auch auf den räumlichen Bereich der Auftragsverarbeitung.

5. Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

Im Falle einer Inanspruchnahme des Auftragsnehmers durch betroffene Personen, dritte Unternehmen, Stellen oder Behörden hinsichtlich etwaiger Ansprüche aufgrund der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung, verpflichtet sich der Auftraggeber, den Auftragnehmer bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten und unter Berücksichtigung des Verschuldensgrades der Vertragsparteien zu unterstützen.

6. Vertragsdauer, Fortgeltung und Datenlöschung

Laufzeit und Beendigung dieser Vereinbarung richten sich nach der Laufzeit und Beendigung des Hauptvertrages.

Die Kündigung dieser Vereinbarung sowie die Aufhebung dieser Formklausel müssen zumindest in elektronischer Form erfolgen.

Die sich aus dieser Vereinbarung ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Beendigung der Vereinbarung fort, sofern der Auftragnehmer weiterhin die von dieser Vereinbarung umfassten personenbezogenen Daten verarbeitet und die Einhaltung der Pflichten für den Auftragnehmer auch nach Vertragsende zumutbar ist.

Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung und Sicherstellung der technischen und organisatorischen Maßnahmen dienen, sind durch den Auftragnehmer entsprechend den ihm bekannten (oder bekannt sein müssenden) Aufbewahrungs- und Löschungsfristen des Auftraggebers, mindestens jedoch drei Jahre über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer kann die Dokumentationen zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

7. Schlussbestimmungen

Der Gerichtsstand bestimmt sich nach dem Hauptvertrag.

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist der (Wohn-)Sitz des Auftragsnehmers, sofern vom geltenden Gesetz zwingend vorgesehen und der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder wenn der Auftraggeber im Geltungsbereich des anwendbaren Rechts keinen Gerichtsstand hat. Der Auftragnehmer behält sich vor, Ansprüche am gesetzlichen Gerichtsstand geltend zu machen.

Diese Vereinbarung stellt die vollständige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht.

Mit Zustandekommen dieser Vereinbarung werden alle etwaigen früheren Verträge aufgehoben, die zwischen den Vertragsparteien abgeschlossen wurden und die Verarbeitung personenbezogener Daten im Auftrag regeln, sofern diese den gleichen Gegenstand der Auftragsverarbeitung betreffen und sofern zwischen den Vertragsparteien nicht ausdrücklich schriftlich etwas anderes vereinbart wurde.

Änderungen sowie Ergänzungen dieser Vereinbarung, als auch die Aufhebung dieser Formklausel müssen zumindest in elektronischer Form erfolgen.

Sollten eine oder mehrere Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die unwirksamen Bestimmungen werden vielmehr im Wege der ergänzenden Auslegung durch eine solche Regelung ersetzt, die dem von den Vertragsparteien mit der/den unwirksamen Bestimmung/en erkennbar verfolgten wirtschaftlichen Zweck möglichst nahekommt. Sofern die vorbenannte ergänzende Auslegung aufgrund gesetzlich zwingender Vorgaben nicht möglich ist, werden die Vertragsparteien eine ihr entsprechende Regelung vereinbaren.

Diese Vereinbarung ist Bestandteil des Hauptvertrages und wird mit dessen Abschluss wirksam.

Anhang: Technische und organisatorische Maßnahmen (TOM)

Für die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten wird ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko dauerhaft eingedämmt wird.

Organisatorische Maßnahmen

Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten.

· Der Auftragnehmer hat ein angemessenes Datenschutzmanagementsystem bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung.

· Eine geeignete Organisationsstruktur für Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist in unternehmensweite Prozesse und Verfahren integriert.

· Es werden regelmäßig und auch anlasslos System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, durchgeführt.

· Die Entwicklung des Standes der Technik sowie Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept übertragen.

· Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden (Wartungs-, Wach-, Transport- und Reinigungsdienste, freie Mitarbeiter, etc.), werden sorgfältig ausgewählt und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten. Sofern die Dienstleister im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten des Auftraggebers erhalten oder sonst das Risiko eines Zugriffs besteht, werden sie speziell auf Verschwiegenheit und Vertraulichkeit verpflichtet.

· Der Schutz personenbezogener Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt.

· Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und einer eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes und der Datensicherheit nicht mehr aktualisiert wird (z. B. abgelaufene Betriebssysteme).

· Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.

· Es wird ein „papierloses Büro" geführt, d. h. Unterlagen werden grundsätzlich nur digital gespeichert und nur in Ausnahmefällen in Papierform aufbewahrt.

· Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor. Die physische Vernichtung von Dokumenten und Datenträgern erfolgt datenschutzgerecht und entsprechend den gesetzlichen Vorgaben, Branchenstandards und dem Stand der Technik entsprechenden Industrienormen (z. B. nach DIN 66399). Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und soweit zuständig über Vorgaben für die Datenvernichtung oder Gerätevernichtung durch Dienstleister unterrichtet.

· Die Verarbeitung der Daten des Auftraggebers, die nicht entsprechend den Vereinbarungen dieser Vereinbarung gelöscht wurden (z. B. in Folge gesetzlicher Archivierungspflichten), wird im erforderlichen Umfang durch Sperrvermerke und/oder Aussonderung eingeschränkt.

Datenschutz auf Mitarbeiterebene

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass die mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter über die datenschutzrechtlich nötige Sachkenntnis und Zuverlässigkeit verfügen.

· Mitarbeiter werden auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis) verpflichtet.

· Mitarbeiter werden im Hinblick auf den Datenschutz entsprechend den Anforderungen ihrer Funktion sensibilisiert und unterrichtet. Die Schulung und Sensibilisierung wird in angemessenen Zeitabständen oder wenn es die Umstände erfordern wiederholt.

· Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden (Home- und Mobileoffice), werden Mitarbeiter über die speziellen Sicherheitsanforderungen sowie Schutzpflichten in diesen Konstellationen unterrichtet sowie auf deren Einhaltung unter Vorbehalt von Kontroll- und Zugriffsrechten verpflichtet.

· Die an Mitarbeiter ausgegebenen Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen werden nach deren Ausscheiden aus den Diensten des Auftragsnehmers bzw. Wechsel der Zuständigkeiten eingezogen bzw. entzogen.

Zutrittskontrolle

Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nähern, mit denen personenbezogene Daten verarbeitet werden.

· Es werden, bis auf die Arbeitsplatzrechner und mobile Geräte, keine Datenverarbeitungsanlagen in den eigenen Geschäftsräumlichkeiten unterhalten. Die Daten des Auftraggebers werden bei externen Server-Anbietern unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert.

· Es findet eine Personenkontrolle beim Pförtner oder am Empfang statt.

· Besucher dürfen sich nicht frei, sondern nur in Begleitung von Mitarbeitern bewegen.

· Der Zutritt ist durch ein Chipkarten- oder Transponder-Schließsystem gesichert.

· Mitarbeiter werden verpflichtet, Geräte zu sperren oder sie besonders zu sichern, wenn sie ihre Arbeitsumgebung oder die Geräte verlassen.

· Unterlagen (Akten, Dokumente, etc.) werden sicher, z. B. in Aktenschränken oder sonstigen angemessen gesicherten Containern aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert.

· Datenträger werden sicher aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert.

Zugangskontrolle

Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird.

· Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt. Es wird eine Passwort-Management-Software eingesetzt.

· Für den Zugang zu Daten des Auftraggebers wird eine Zwei-Faktor-Authentifizierung verwendet.

· Zugangsdaten werden, wenn deren Benutzer das Unternehmen oder die Organisation des Auftragsnehmers verlassen haben, gelöscht oder deaktiviert.

Interne Zugriffskontrolle und Eingabekontrolle

Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert, entfernt oder sonst verarbeitet worden sind.

· Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogene Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur im erforderlichen Umfang möglich ist. Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen) evaluiert und bei Bedarf aktualisiert.

· Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert.

· Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z. B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept).

Auftragskontrolle, Zweckbindung und Trennungskontrolle

Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten des Auftraggebers getrennt verarbeitet werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Verarbeitung dieser Daten erfolgt.

· Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.

· Mitarbeiter und Beauftragte werden verständlich und deutlich über die Weisungen des Auftraggebers und den zulässigen Verarbeitungsrahmen informiert und entsprechend instruiert. Eine gesonderte Information und Instruktion sind nicht erforderlich, wenn die Einhaltung des zulässigen Rahmens ohnehin, z. B. aufgrund anderweitiger Vereinbarungen oder betrieblicher Übung, verlässlich zu erwarten ist.

· Die Einhaltung von Weisungen des Auftraggebers und des zulässigen Rahmens der Verarbeitung der personenbezogenen Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft.

· Die für die Verarbeitung der personenbezogenen Daten des Auftraggebers geltenden Löschfristen werden innerhalb des Löschkonzepts des Auftragsnehmers, sofern erforderlich gesondert, dokumentiert.

· Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsnehmers logisch getrennt verarbeitet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z. B. in unterschiedlichen Datenbanken oder durch angemessene Attribute).

Anhang: Unterauftragsverarbeiter

Der Auftragnehmer setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein:

GoHighLevel LLC

Zweck: Plattformbetrieb

Amazon Web Services (AWS)

Zweck: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z. B. Speicherplatz und/oder Rechenkapazitäten)

Dienstanbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxemburg

Webseite: https://aws.amazon.com/de/

Datenschutzerklärung: https://aws.amazon.com/de/privacy/

Auftragsverarbeitungsvertrag: https://aws.amazon.com/de/compliance/gdpr-center/

Meta-Pixel und Zielgruppenbildung (Custom Audiences)

Zweck: Mit Hilfe des Meta-Pixels (oder vergleichbarer Funktionen zur Übermittlung von Event-Daten oder Kontaktinformationen mittels Schnittstellen in Apps) ist es dem Unternehmen Meta möglich, die Besucher unserer Webseite als Zielgruppe für die Darstellung von Anzeigen (sogenannte "Meta-Ads") zu bestimmen. Dementsprechend setzen wir das Meta-Pixel ein, um die durch uns geschalteten Meta-Ads nur solchen Nutzern auf Plattformen von Meta und innerhalb der Dienste der mit Meta kooperierenden Partner (so genanntes "Audience Network") anzuzeigen, die auch ein Interesse an unserem Angebot gezeigt haben oder die bestimmte Merkmale aufweisen, die wir an Meta übermitteln (sogenannte "Custom Audiences"). Mit Hilfe des Meta-Pixels möchten wir auch sicherstellen, dass unsere Meta-Ads dem potentiellen Interesse der Nutzer entsprechen und nicht belästigend wirken. Mit Hilfe des Meta-Pixels können wir ferner die Wirksamkeit der Meta-Ads für statistische und Marktforschungszwecke nachvollziehen, indem wir sehen, ob Nutzer nach dem Klick auf eine Meta-Ad auf unsere Webseite weitergeleitet wurden (sogenannte "Konversionsmessung").

Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland

Webseite: https://www.facebook.com

Datenschutzerklärung: https://www.facebook.com/privacy/policy/

Auftragsverarbeitungsvertrag: https://www.facebook.com/legal/terms/dataprocessing

Meta - Zielgruppenbildung via Datenupload

Zweck: Bildung von Zielgruppen für Marketingzwecke - Wir übermitteln Kontaktinformationen (Namen, E-Mail-Adressen und Telefonnummern) in Listenform an Meta zwecks Bildung von Zielgruppen (sog. "Custom Audiences") für eine an den mutmaßlichen Interessen der Nutzer orientierte Anzeige von Inhalten und Werbeinformationen. Die Übermittlung und der Abgleich mit bei Meta vorhandenen Daten erfolgen nicht im Klartext, sondern als so genannte "Hashwerte", also mathematische Abbildungen der Daten. Nach dem Abgleich zwecks Bildung von Zielgruppen werden die Kontaktinformationen gelöscht.

Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland

Webseite: https://www.facebook.com

Datenschutzerklärung: https://www.facebook.com/privacy/policy/

Auftragsverarbeitungsvertrag: https://www.facebook.com/legal/terms/dataprocessing

Erweiterter Abgleich für das Meta-Pixel

Zweck: Zusätzlich zu der Verarbeitung von Event-Daten im Rahmen der Nutzung des Meta-Pixels (oder vergleichbarer Funktionen, z. B. in Apps) werden ebenfalls Kontaktinformationen (einzelne Personen identifizierende Daten wie Namen, E-Mail-Adressen und Telefonnummern) durch Meta innerhalb unserer Webseite erhoben oder an Meta übermittelt. Die Verarbeitung der Kontaktinformationen dient der Bildung von Zielgruppen (sog. "Custom Audiences") für eine an den mutmaßlichen Interessen der Nutzer orientierte Anzeige von Inhalten und Werbeinformationen. Die Erhebung bzw. Übermittlung und der Abgleich mit bei Meta vorhandenen Daten erfolgen nicht im Klartext, sondern als so genannte "Hashwerte". Nach dem Abgleich zwecks Bildung von Zielgruppen werden die Kontaktinformationen gelöscht.

Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland

Auftragsverarbeitungsvertrag: https://www.facebook.com/legal/terms/dataprocessing

Advanced Analytics

Zweck: Analysesoftware, mit deren Hilfe wir die Nutzung und Interaktion mit unseren Angeboten auf oder in Verbindung mit Meta-Plattformen messen (mittels sogenannter Events, wie z. B. das Betrachten von Beiträgen oder das Anklicken von "Gefällt mir"-Buttons) und um demografische Daten über unsere Nutzer zu erhalten (z. B. Altersschnitt, Wohnort, verwendete Sprache). Die Nutzerdaten werden von Meta zu dem Zweck verarbeitet, Inhalte und Anzeigen basierend auf den vermuteten Interessen der Nutzer anzuzeigen. Die Daten werden uns nur in aggregierter, d. h. zusammengefasster Form zur Verfügung gestellt, so dass wir die Daten der einzelnen Nutzer nicht sehen. Wir verwenden die Ergebnisse, um unsere Inhalte und Dienste nutzerorientiert zu gestalten.

Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland

Webseite: https://about.meta.com/

Zweck: Textnachrichten, Sprach- und Videoanrufe, Versenden von Bildern, Videos und Dokumenten, Gruppenchat-Funktion, Ende-zu-Ende-Verschlüsselung für erhöhte Sicherheit

Dienstanbieter: WhatsApp Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland

Webseite: https://www.whatsapp.com/

Datenschutzerklärung: https://www.whatsapp.com/legal

Twilio

Zweck: Cloud-Kommunikationsplattform, mit deren Hilfe z. B. Anrufe programmgesteuert getätigt und empfangen, Textnachrichten gesendet und empfangen sowie andere Kommunikationsfunktionen mithilfe der Webdienst-Schnittstellen ausgeführt werden können

Dienstanbieter: Twilio Ireland Limited, 25 – 28 North Wall Quay, North Wall, Dublin 1, D01 H104, Irland

Webseite: https://www.twilio.com

Datenschutzerklärung: http://www.twilio.com/en-us/legal/privacy

Auftragsverarbeitungsvertrag: https://www.twilio.com/en-us/legal/data-protection-addendum

Google Analytics

Zweck: Wir verwenden Google Analytics zur Messung und Analyse der Nutzung unserer Webseite auf der Grundlage einer pseudonymen Nutzeridentifikationsnummer. Diese Identifikationsnummer enthält keine eindeutigen Daten wie Namen oder E-Mail-Adressen. Sie dient dazu, Analyseinformationen einem Endgerät zuzuordnen, um zu erkennen, welche Inhalte die Nutzer innerhalb eines oder verschiedener Nutzungsvorgänge aufgerufen haben, welche Suchbegriffe sie verwendet haben, diese erneut aufgerufen haben oder mit unserer Webseite interagiert haben. Ebenso werden der Zeitpunkt der Nutzung und deren Dauer gespeichert sowie die Quellen der Nutzer, die auf unsere Webseite verweisen, und technische Aspekte ihrer Endgeräte und Browser. Dabei werden pseudonyme Profile von Nutzern mit Informationen aus der Nutzung verschiedener Geräte erstellt, wobei Cookies eingesetzt werden können. Google Analytics protokolliert und speichert keine individuellen IP-Adressen für EU-Nutzer. Analytics stellt jedoch grobe geografische Standortdaten bereit, indem es die folgenden Metadaten von IP-Adressen ableitet: Stadt (und der abgeleitete Breiten- und Längengrad der Stadt), Kontinent, Land, Region, Subkontinent. Beim EU-Datenverkehr werden die IP-Adressdaten ausschließlich für diese Ableitung von Geolokalisierungsdaten verwendet, bevor sie sofort gelöscht werden.

Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Webseite: https://marketingplatform.google.com/intl/de/about/analytics/

Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse)

Datenschutzerklärung: https://policies.google.com/privacy

Auftragsverarbeitungsvertrag: https://business.safety.google/adsprocessorterms/

Google Analytics (Serverseitige Nutzung)

Zweck: Wir verwenden Google Analytics zur Messung und Analyse der Nutzung unserer Online-Dienste durch die Nutzer. Dabei werden zwar Daten der Nutzer verarbeitet, aber nicht direkt vom Endgerät der Nutzer an Google übermittelt. Insbesondere wird die IP-Adresse der Nutzer nicht an Google übermittelt. Stattdessen werden die Daten zunächst an unseren Server übermittelt, wo die Datensätze der Nutzer unserer internen Nutzeridentifikationsnummer zugeordnet werden. Die anschließende Übermittlung erfolgt nur in dieser pseudonymisierten Form von unserem Server an Google.

Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Webseite: https://marketingplatform.google.com/intl/de/about/analytics/

Datenschutzerklärung: https://policies.google.com/privacy

Auftragsverarbeitungsvertrag: https://business.safety.google/adsprocessorterms/

Stripe

Zweck: Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden)

Dienstanbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA

Webseite: https://stripe.com

Datenschutzerklärung: https://stripe.com/de/privacy

SendGrid

Zweck: E-Mail-Versand und Kommunikationsplattform für Transaktions- und Marketing-E-Mails

Dienstanbieter: Twilio Ireland Limited, 25 – 28 North Wall Quay, North Wall, Dublin 1, D01 H104, Irland