Allgemeine Hinweise

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen und unsere Dienstleistungen nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an der Zeichenfolge „https://“ und dem Schloss-Symbol in Ihrer Browserzeile.

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können – sofern Sie einwilligen – zur Analyse Ihres Nutzerverhaltens oder zu Werbezwecken verwendet werden.

Name und Kontaktdaten des Verantwortlichen

Verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO ist:

3W Medical GmbH
Bretonischer Ring 4-6
85630 Grasbrunn bei München
Deutschland

Vertreten durch den Geschäftsführer:
Dr. med. Johannes Wiesholler

HRB: 281297, Amtsgericht München
USt-ID: DE358283477
Steuernummer: 114/140/11820
Telefon: +49 (0) 8106 - 890 3997
E-Mail: medical@dein-gesundheitszeugnis.de

Datenschutzbeauftragter

Wir haben einen Datenschutzbeauftragten benannt:

Stefan Böttjer
Wasserburger Landstraße 16
85598 Baldham
Telefon: 08106-8903689
E-Mail: datenschutz@acaas.eu

Allgemeine Hinweise zu Rechtsgrundlagen

Sofern Sie in die Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. – sofern besondere Kategorien personenbezogener Daten verarbeitet werden – auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO.

Sofern Sie in die Speicherung von Cookies oder in den Zugriff auf Informationen in Ihr Endgerät (z. B. via Device Fingerprinting) eingewilligt haben, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TTDSG. Die Einwilligung ist jederzeit widerrufbar.

Sind Ihre Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir Ihre Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit eine rechtliche Verpflichtung zu erfüllen ist, verarbeiten wir Ihre Daten auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Darüber hinaus kann eine Verarbeitung auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.

Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten

Wir verwenden unter anderem Softwareservices und Dienstleister (Auftragnehmer) von Unternehmen mit Sitz in den USA und/oder in sonstigen Drittstaaten, die datenschutzrechtlich nicht als sicher eingestuft werden. Wenn diese Tools/Dienstleister eingesetzt werden, kann es zu einer Übermittlung personenbezogener Daten in Drittstaaten und zu einer Verarbeitung dort kommen.

Soweit erforderlich, sichern wir Drittstaatentransfers durch geeignete Garantien nach Art. 46 DSGVO ab (insbesondere Standardvertragsklauseln der Europäischen Kommission, derzeit Durchführungsbeschluss (EU) 2021/914). Darüber hinaus prüfen wir im Rahmen eines Transfer Impact Assessment (TIA) das Schutzniveau und vereinbaren/implementieren ggf. zusätzliche technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen).

Wir weisen darauf hin, dass in Drittstaaten – insbesondere den USA – kein mit der EU vergleichbares Datenschutzniveau garantiert werden kann und Behörden ggf. auf Daten zugreifen können, ohne dass ein mit der EU vergleichbarer Rechtsschutz besteht.

Shopify, Hosting & Infrastruktur

1. Datenerfassung bei Besuch der Website (Server-Logfiles)

a) Umfang der Verarbeitung
Bei der rein informatorischen Nutzung der Website werden durch den Webserver automatisch Daten erfasst, die Ihr Browser an uns übermittelt (Server-Logfiles). Dazu gehören insbesondere:
- besuchte Seiten
- Datum und Uhrzeit des Zugriffs
- übertragene Datenmenge
- Referrer-URL (Quelle/Verweis)
- verwendeter Browser und Betriebssystem
- IP-Adresse (ggf. in anonymisierter Form)
Diese Daten werden technisch benötigt, um die Website auszuliefern und die Sicherheit des Betriebs zu gewährleisten.

b) Zweck der Verarbeitung
Zwecke sind die technische Bereitstellung der Website, die Gewährleistung von Stabilität und Sicherheit sowie die Fehleranalyse. Eine Auswertung zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer und funktionsfähiger Website).

e) Empfänger oder Kategorien von Empfängern
Empfänger sind interne Stellen (z. B. IT/Administration) sowie die von uns eingesetzten Hosting- und Infrastruktur-Dienstleister (siehe nachfolgende Verarbeitungstätigkeiten, insbesondere Shopify).

f) Drittstaatenübermittlung
Eine Drittstaatenübermittlung kann je nach eingesetztem Hosting-/Infrastruktur-Dienstleister nicht ausgeschlossen werden (siehe jeweilige Verarbeitungstätigkeit). Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Server-Logfiles werden grundsätzlich nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist; eine längere Speicherung kann zur Aufklärung von Missbrauchs- oder Sicherheitsvorfällen erfolgen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO einlegen (Art. 21 DSGVO).
Die Verarbeitung der Server-Logfiles ist für den technischen Betrieb der Website erforderlich; ein Widerspruch ist daher praktisch nur möglich, indem Sie die Website nicht weiter nutzen.

i) Bereitstellungspflicht
Die Bereitstellung der vorgenannten Daten (insbesondere IP-Adresse) ist technisch erforderlich, um die Website aufrufen zu können.

2. Webhosting über Shopify

a) Umfang der Verarbeitung
Wir hosten unsere Website bei Shopify. Anbieter ist Shopify International Ltd., Intertrust Ireland 2nd Floor, 1-2 Victoria Buildings, Haddington Road, Dublin 4, D04 XN32, Irland.
Im Rahmen des Hostings verarbeitet Shopify technische Nutzungsdaten (z. B. IP-Adresse, Logfiles) sowie – soweit Sie Bestellungen tätigen – Bestelldaten und Kontaktdaten.

b) Zweck der Verarbeitung
Zweck ist die Bereitstellung, der Betrieb und die technische Wartung der Website sowie die Durchführung von Bestellungen über den Shop.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Darstellung/Betrieb).
Sofern eine Einwilligung für bestimmte Technologien abgefragt wird: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Shopify als Auftragsverarbeiter (AVV). Weitere Informationen: https://www.shopify.com/de/legal/datenschutz

f) Drittstaatenübermittlung
Je nach Datenfluss kann eine Übermittlung in Drittländer (insb. USA/Kanada) nicht ausgeschlossen werden. Drittstaatentransfers werden – soweit erforderlich – über geeignete Garantien (z. B. Standardvertragsklauseln) abgesichert. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Zwecken des Hostings; im Übrigen gelten die Angaben unter „Speicherdauer“ sowie ggf. gesetzliche Aufbewahrungsfristen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerspruch gegen technisch notwendige Hosting-Verarbeitung ist nur durch Nichtnutzung der Website möglich. Im Übrigen siehe Widerruf/Einwilligungsverwaltung im Cookie-Consent-Tool.

i) Bereitstellungspflicht
Ohne Bereitstellung der Daten ist ein Betrieb der Website bzw. eine Bestellung technisch nicht möglich.

3. Content Delivery Network (CDN) – Cloudflare

a) Umfang der Verarbeitung
Wir nutzen ein Content Delivery Network von Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA. Dabei können insbesondere IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Inhalte und technische Browser-/Geräteinformationen verarbeitet werden.

b) Zweck der Verarbeitung
Zweck ist die schnellere und stabilere Auslieferung von Inhalten sowie der Schutz und die Absicherung des Webangebots (z. B. gegen Angriffe).

c) Rechtsgrundlagen
Die Datenverarbeitung wird auf Art. 6 Abs. 1 lit. f DSGVO gestüzt.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Cloudflare als Auftragsverarbeiter (AVV).

f) Drittstaatenübermittlung
Drittstaatenübermittlung: USA. Cloudflare hat sich dem EU–US Data Privacy Framework angeschlossen; zusätzlich können – soweit erforderlich – Standardvertragsklauseln eingesetzt werden. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach technischen Erfordernissen (Caching/Logdaten) und wird auf das notwendige Maß beschränkt.

h) Widerspruchs- und Beseitigungsmöglichkeit
Ein Widerspruch ist praktisch nur möglich, indem Sie die Website nicht nutzen.

i) Bereitstellungspflicht
Für Performance und Schutz der Website ist die Verarbeitung technisch erforderlich.

Cookies, Consent & Kontaktaufnahme

4. Cookies und ähnliche Technologien

a) Umfang der Verarbeitung
Unsere Internetseiten verwenden Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir nutzen Session-Cookies (werden nach Ende des Besuchs gelöscht) und permanente Cookies (bleiben gespeichert, bis sie gelöscht werden).
Teilweise können auch Cookies von Drittunternehmen eingesetzt werden (Third-Party-Cookies), z. B. zur Abwicklung von Zahlungsdienstleistungen oder zu Analyse-/Werbezwecken.

b) Zweck der Verarbeitung
Zwecke sind die Bereitstellung technisch notwendiger Funktionen (z. B. Warenkorb), die Optimierung der Website sowie – sofern Sie einwilligen – Analyse und Werbung.

c) Rechtsgrundlagen
Notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO. Einwilligungspflichtige Cookies/Technologien: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG.

e) Empfänger oder Kategorien von Empfängern
Empfänger sind – je nach eingesetztem Cookie/Tool – die jeweiligen Anbieter der in dieser Datenschutzerklärung genannten Dienste.

f) Drittstaatenübermittlung
Je nach Anbieter kann eine Übermittlung in Drittländer (insb. USA) erfolgen. Details finden Sie in den jeweiligen Verarbeitungstätigkeiten. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Session-Cookies werden nach Ende des Besuchs gelöscht; permanente Cookies verbleiben bis zur Löschung durch Sie oder automatischen Löschung durch den Browser. Konkrete Laufzeiten ergeben sich aus den Einstellungen des jeweiligen Cookies/Tools.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Ihren Browser so einstellen, dass Sie über Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies ausschließen oder das automatische Löschen der Cookies beim Schließen des Browsers aktivieren.
Sie können Einwilligungen zudem jederzeit über das Cookie-Consent-Tool widerrufen; bei Deaktivierung kann die Funktionalität der Website eingeschränkt sein.

i) Bereitstellungspflicht
Die Bereitstellung technisch notwendiger Cookies ist für bestimmte Websitefunktionen erforderlich; Analyse-/Marketing-Cookies sind optional.

5. Einwilligungsmanagement (Cookie-Consent) mit PANDECTES.IO

a) Umfang der Verarbeitung
Wir nutzen die Consent-Technologie von PANDECTES.IO, Harju maakond, Kuusalu vald, Pudisoo küla, Männimäe/1, 74626, Estland. Dabei werden insbesondere verarbeitet: Ihre Einwilligung(en) bzw. deren Widerruf, IP-Adresse, Browser-/Geräteinformationen sowie Zeitpunkt des Besuchs. PANDECTES setzt zudem ein Cookie, um die Einwilligung zuordnen zu können. Weitere Informationen: https://pandectes.io/privacy-policy/

b) Zweck der Verarbeitung
Zweck ist die Einholung, Verwaltung und Dokumentation Ihrer Einwilligungen für den Einsatz bestimmter Cookies/Technologien.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einwilligungsverwaltung/Nachweis) sowie – soweit einschlägig – § 25 TTDSG.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist PANDECTES.IO als Auftragsverarbeiter (AVV).

f) Drittstaatenübermittlung
Drittstaatenübermittlung ist bei diesem Anbieter (EU/Estland) grundsätzlich nicht beabsichtigt.

g) Dauer der Speicherung
Die Daten werden gespeichert, bis Sie uns zur Löschung auffordern, das Consent-Cookie löschen oder der Zweck entfällt; zwingende gesetzliche Aufbewahrungspflichten bleiben unberührt.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Einwilligungen jederzeit über das Cookie-Consent-Tool widerrufen sowie Cookies in Ihrem Browser löschen.

i) Bereitstellungspflicht
Ohne Einwilligungsabfrage können einwilligungspflichtige Technologien nicht eingesetzt werden; notwendige Cookies bleiben davon unberührt.

6. Kontaktaufnahme über Kontaktformular

a) Umfang der Verarbeitung
Bei Nutzung des Kontaktformulars verarbeiten wir die von Ihnen eingegebenen Angaben (insb. Name, Kontaktdaten, Nachricht/Anfrageinhalt) sowie Metadaten zur Bearbeitung der Anfrage.

b) Zweck der Verarbeitung
Zweck ist die Bearbeitung Ihrer Anfrage sowie Kommunikation für Anschlussfragen.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (vertragliche/ vorvertragliche Anfragen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern abgefragt).

e) Empfänger oder Kategorien von Empfängern
Empfänger sind interne zuständige Stellen; eine Weitergabe an Dritte erfolgt grundsätzlich nicht ohne Rechtsgrundlage.

f) Drittstaatenübermittlung
Eine Drittstaatenübermittlung ist im Rahmen der Kontaktbearbeitung grundsätzlich nicht beabsichtigt.

g) Dauer der Speicherung
Daten werden gelöscht, sobald der Zweck entfällt (z. B. nach abschließender Bearbeitung), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können der Verarbeitung widersprechen, soweit sie auf Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 21 DSGVO), oder eine Einwilligung jederzeit widerrufen.

i) Bereitstellungspflicht
Die Bereitstellung der Daten ist für die Bearbeitung Ihrer Anfrage erforderlich; ohne diese Angaben kann die Anfrage ggf. nicht bearbeitet werden.

7. Kontaktaufnahme per E-Mail, Telefon oder Telefax

a) Umfang der Verarbeitung
Wenn Sie uns per E-Mail, Telefon oder Telefax kontaktieren, verarbeiten wir Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Kontaktdaten, Anfrageinhalt).

b) Zweck der Verarbeitung
Zweck ist die Bearbeitung Ihres Anliegens und Kommunikation.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (vertragliche/ vorvertragliche Kommunikation) oder Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern abgefragt).

e) Empfänger oder Kategorien von Empfängern
Empfänger sind interne zuständige Stellen; ggf. IT-Dienstleister im Rahmen des Hostings.

f) Drittstaatenübermittlung
Keine Drittstaatenübermittlung beabsichtigt; abhängig von eingesetzten Dienstleistern möglich (z. B. Hosting).

g) Dauer der Speicherung
Daten werden gelöscht, sobald der Zweck entfällt; gesetzliche Aufbewahrungsfristen bleiben unberührt.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerspruch/Widerruf wie bei Kontaktformular.

i) Bereitstellungspflicht
Bereitstellung ist erforderlich, um Ihr Anliegen zu bearbeiten.

III

Bestellabwicklung & Zahlungsdienste

8. Datenverarbeitung zur Bestellabwicklung

a) Umfang der Verarbeitung
Im Rahmen von Bestellungen verarbeiten wir insbesondere Bestelldaten, Vertrags-/Abrechnungsdaten, Kommunikationsdaten sowie ggf. Kontaktdaten für Mitteilungen über geschuldete Aktualisierungen (Waren mit digitalen Elementen/digitale Produkte).

b) Zweck der Verarbeitung
Zwecke sind die Anbahnung, der Abschluss und die Durchführung von Verträgen (Bestellabwicklung) sowie die Erfüllung gesetzlicher Informationspflichten (z. B. Aktualisierungen).

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

d) Berechtigte Interessen
Soweit ergänzend Art. 6 Abs. 1 lit. f DSGVO herangezogen wird (z. B. Nachweisführung/Schutz vor Missbrauch), gilt:
Der Verantwortliche hat ein berechtigtes Interesse daran, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten, um zu gewährleisten, dass seine Produkt- und Dienstleistungsinformationen online abrufbar sind.

e) Empfänger oder Kategorien von Empfängern
Empfänger können Zahlungsdienstleister (siehe nachfolgende Verarbeitungstätigkeiten), ggf. Kreditinstitute sowie IT-/Hosting-Dienstleister sein.

f) Drittstaatenübermittlung
Je nach Zahlungsdienstleister können Drittstaatenübermittlungen (insb. USA) erfolgen; Details siehe jeweilige Verarbeitungstätigkeit.

g) Dauer der Speicherung
Speicherdauer richtet sich nach Vertrag und gesetzlichen Aufbewahrungsfristen (insb. Handels-/Steuerrecht).

h) Widerspruchs- und Beseitigungsmöglichkeit
Soweit Verarbeitung zur Vertragserfüllung erforderlich ist, besteht kein Widerspruchsrecht; bei optionalen Verarbeitungen gelten Widerspruch/Widerruf entsprechend.

i) Bereitstellungspflicht
Für Vertragsschluss/-durchführung ist die Bereitstellung der notwendigen Daten erforderlich; andernfalls ist eine Bestellung nicht möglich.

9. Zahlungsabwicklung – Apple Pay

a) Umfang der Verarbeitung
Bei Auswahl von Apple Pay (Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Irland) werden die im Bestellvorgang mitgeteilten Zahlungs- und Bestellinformationen in verschlüsselter Form an Apple übermittelt. Apple verarbeitet u. a. Geräteaccountnummer und transaktionsspezifische Sicherheitscodes; Apple bewahrt anonymisierte Transaktionsdaten (ungefährer Kaufbetrag, Datum/Uhrzeit, Erfolg der Transaktion) auf.

b) Zweck der Verarbeitung
Zweck ist die Abwicklung der Zahlung und Bestätigung des Zahlungserfolgs.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO.

d) Berechtigte Interessen
Soweit ergänzend berechtigte Interessen (z. B. Betrugsprävention) betroffen sind, gilt: Der Verantwortliche hat ein berechtigtes Interesse daran, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten, um zu gewährleisten, dass seine Produkt- und Dienstleistungsinformationen online abrufbar sind.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Apple sowie ggf. der Zahlungsdienstleister der in Apple Pay hinterlegten Zahlungskarte.

f) Drittstaatenübermittlung
Je nach Datenfluss kann eine Drittstaatenverarbeitung nicht ausgeschlossen werden. Hinweise: https://support.apple.com/de-de/HT203027. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Apple und den gesetzlichen Aufbewahrungsfristen des Verantwortlichen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können diese Zahlungsart jederzeit im Bestellprozess abwählen; weitere Einstellungen ggf. in „Wallet & Apple Pay“.

i) Bereitstellungspflicht
Für Nutzung von Apple Pay ist die Bereitstellung der hierfür erforderlichen Daten erforderlich.

10. Zahlungsabwicklung – Google Pay

a) Umfang der Verarbeitung
Bei Auswahl von Google Pay (Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland) werden Bestellinformationen an Google übermittelt; Google übermittelt eine Transaktionsnummer (Token) zur Verifikation. Google kann vorgangsspezifische Informationen (Datum, Uhrzeit, Betrag, Händlerinformationen, verwendete Zahlungsmethode etc.) erheben und auswerten.

b) Zweck der Verarbeitung
Zweck ist die Abwicklung der Zahlung und Verifikation der Transaktion; zusätzlich Optimierung/Funktionserhaltung des Google Pay-Dienstes.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung); für bestimmte Auswertungen nach Angaben von Google Art. 6 Abs. 1 lit. f DSGVO.

d) Berechtigte Interessen
Soweit Google oder wir Vorgangsdaten zur Verifizierung/Optimierung auf Art. 6 Abs. 1 lit. f DSGVO stützen, gilt:
Der Verantwortliche hat ein berechtigtes Interesse daran, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten, um zu gewährleisten, dass seine Produkt- und Dienstleistungsinformationen online abrufbar sind.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google sowie ggf. das hinterlegte Zahlungsinstitut.

f) Drittstaatenübermittlung
Personenbezogene Daten werden ggf. in den USA verarbeitet. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Google und gesetzlichen Aufbewahrungsfristen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Google Pay jederzeit im Bestellprozess abwählen und Einstellungen in Ihrem Google-Konto vornehmen.

i) Bereitstellungspflicht
Für Nutzung von Google Pay ist die Bereitstellung der hierfür erforderlichen Daten erforderlich.

11. Zahlungsabwicklung – Klarna (inkl. ggf. Bonitätsprüfung)

a) Umfang der Verarbeitung
Bei Auswahl von Klarna (Klarna Bank AB, Sveavägen 46, 111 34 Stockholm, Schweden) werden Zahlungsdaten und Bestellinformationen übermittelt. Je nach Zahlungsart können weitere personenbezogene Daten (z. B. Geburtsdatum, Telefonnummer) verarbeitet werden. Bei bestimmten Zahlungsarten kann eine Bonitätsprüfung erfolgen; dabei können Identitäts- und Bonitätsinformationen von Auskunfteien einbezogen werden (siehe: credit_rating_agencies).

b) Zweck der Verarbeitung
Zweck ist die Zahlungsabwicklung; ggf. Feststellung der Zahlungsfähigkeit/Bonitätsprüfung zur Risikominimierung.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bonitätsprüfung / Forderungsausfallvermeidung).

d) Berechtigte Interessen
Zur Vermeidung von Zahlungsausfällen und zur Feststellung der Zahlungsfähigkeit besteht ein berechtigtes Interesse.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Klarna; ggf. Auskunfteien/Bonitätsdienstleister (siehe Klarna-Hinweise).

f) Drittstaatenübermittlung
Drittstaatenübermittlung ist bei Klarna (EU/Schweden) grundsätzlich nicht beabsichtigt; abhängig von Unterauftragnehmern möglich. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Klarna sowie gesetzlichen Aufbewahrungsfristen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können der Bonitätsprüfung jederzeit widersprechen; Klarna kann Daten weiter verarbeiten, soweit dies zur vertragsgemäßen Zahlungsabwicklung erforderlich ist.

i) Bereitstellungspflicht
Für Nutzung der jeweiligen Klarna-Zahlungsart ist die Bereitstellung der Daten erforderlich.

12. Zahlungsabwicklung – PayPal

a) Umfang der Verarbeitung
Bei Auswahl von PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg) werden Zahlungsdaten und Bestellinformationen an PayPal übermittelt. Bei bestimmten Zahlungsarten können zusätzlich persönliche Daten zur Bonitätsprüfung verarbeitet werden.

b) Zweck der Verarbeitung
Zweck ist die Zahlungsabwicklung; ggf. Bonitätsprüfung.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. f DSGVO (Bonitätsprüfung).

d) Berechtigte Interessen
Vermeidung von Zahlungsausfällen.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist PayPal; ggf. Auskunfteien/Bonitätsdienstleister nach Vorgaben von PayPal.

f) Drittstaatenübermittlung
Drittstaatenübermittlung kann nicht ausgeschlossen werden (z. B. konzernintern); nähere Informationen ergeben sich aus den PayPal-Datenschutzhinweisen. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von PayPal sowie gesetzlichen Aufbewahrungsfristen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können diese Zahlungsart im Bestellprozess abwählen; weitere Einstellungen ggf. in Ihrem PayPal-Konto.

i) Bereitstellungspflicht
Für Nutzung von PayPal ist die Bereitstellung der hierfür erforderlichen Daten erforderlich.

13. Zahlungsabwicklung – Shopify Payments

a) Umfang der Verarbeitung
Bei Nutzung von Shopify Payments (Shopify International Limited, Victoria Buildings, 1-2 Haddington Road, Dublin 4, D04 XN32, Irland) werden Zahlungsdaten (z. B. Name, Anschrift, Karten-/Bankdaten, Transaktionsnummer) und Bestellinformationen verarbeitet und an Shopify Payments übermittelt.

b) Zweck der Verarbeitung
Zweck ist die Zahlungsabwicklung im Rahmen der Bestellung.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b, lit. f DSGVO.

d) Berechtigte Interessen
Betrugsprävention.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Shopify Payments; ggf. nachgelagerte Zahlungsnetzwerke/Banken.

f) Drittstaatenübermittlung
Drittstaatenübermittlung kann abhängig von Datenflüssen/Unterauftragnehmern nicht ausgeschlossen werden; Shopify sichert Transfers ggf. über geeignete Garantien ab. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Shopify Payments sowie gesetzlichen Aufbewahrungsfristen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können diese Zahlungsart im Bestellprozess abwählen.

i) Bereitstellungspflicht
Für Nutzung ist die Bereitstellung der hierfür erforderlichen Daten erforderlich.

14. Zahlungsabwicklung – Sofortüberweisung

a) Umfang der Verarbeitung
Bei Nutzung von Sofortüberweisung (Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden) werden Zahlungsdaten und Bestellinformationen an Klarna übermittelt.

b) Zweck der Verarbeitung
Zweck ist die Zahlungsabwicklung.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b, lit. f DSGVO.

d) Berechtigte Interessen
Sichere Transaktionsabwicklung.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Klarna (Sofortüberweisung).

f) Drittstaatenübermittlung
Drittstaatenübermittlung ist grundsätzlich nicht beabsichtigt; abhängig von Unterauftragnehmern möglich. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Klarna und gesetzlichen Aufbewahrungsfristen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können diese Zahlungsart im Bestellprozess abwählen.

i) Bereitstellungspflicht
Für Nutzung ist die Bereitstellung der hierfür erforderlichen Daten erforderlich.

Google & Meta

15. Google Tag Manager

a) Umfang der Verarbeitung
Wir setzen den Google Tag Manager ein (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Der Tag Manager dient der Einbindung/Verwaltung weiterer Tools. Der Tag Manager selbst erstellt keine Nutzerprofile, speichert keine Cookies und nimmt keine eigenständigen Analysen vor, kann jedoch Ihre IP-Adresse erfassen (Übermittlung an Google-Mutterunternehmen in den USA möglich).

b) Zweck der Verarbeitung
Zweck ist die einfache Einbindung und Verwaltung von Tracking-, Statistik- und sonstigen Tools auf der Website.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. f DSGVO; sofern eine Einwilligung abgefragt wurde: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google; ggf. verbundene Unternehmen/Unterauftragnehmer.

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach dem Zweck; konkrete Speicherfristen ergeben sich aus den nachgelagerten Tools.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Einwilligungen über das Cookie-Consent-Tool widerrufen.

i) Bereitstellungspflicht
Der Einsatz für nicht notwendige Zwecke ist optional (Einwilligung).

16. Google AdSense

a) Umfang der Verarbeitung
Wir nutzen Google AdSense (Google Ireland Limited). Google AdSense verwendet Cookies und Web-Beacons, wodurch u. a. IP-Adresse und Nutzungsinformationen verarbeitet werden. Informationen können an Server von Google (auch Google LLC in den USA) übertragen werden.

b) Zweck der Verarbeitung
Zweck ist die Einbindung und Auswertung von Werbeanzeigen auf der Website.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

d) Berechtigte Interessen
Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung. Ergänzend gilt:
Der Verantwortliche hat ein berechtigtes Interesse daran, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten, um zu gewährleisten, dass seine Produkt- und Dienstleistungsinformationen online abrufbar sind.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google; ggf. weitere Empfänger, soweit gesetzlich erforderlich oder als Auftragsverarbeiter von Google tätig.

f) Drittstaatenübermittlung
Drittstaatenübermittlung möglich (USA). Google hat sich dem EU–US Data Privacy Framework angeschlossen. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Cookie-/Tool-Einstellungen und den Vorgaben von Google.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Ihre Einwilligung jederzeit im Cookie-Consent-Tool widerrufen.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung wird Google AdSense nicht eingesetzt.

17. Google Analytics (inkl. Google-Signale)

a) Umfang der Verarbeitung
Wir nutzen Google Analytics (Google Ireland Limited). Google Analytics verarbeitet Nutzungsdaten (z. B. Seitenaufrufe, Verweildauer, Herkunft, Betriebssystem) und kann Cookies/Device-Fingerprinting einsetzen. Die Informationen werden in der Regel an Server von Google in den USA übertragen.
Zusätzlich nutzen wir Google-Signale: Wenn Sie in einem Google-Konto eingeloggt sind, können Besucherdaten mit Ihrem Google-Konto verknüpft und für personalisierte Werbung sowie Statistiken genutzt werden.

b) Zweck der Verarbeitung
Zweck ist die Analyse des Nutzerverhaltens, die Optimierung unseres Webangebots sowie die Erstellung statistischer Auswertungen.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google; wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen.

f) Drittstaatenübermittlung
Drittstaatenübermittlung möglich (USA); ggf. Standardvertragsklauseln und zusätzliche Maßnahmen. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Google-Analytics-Einstellungen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Ihre Einwilligung jederzeit im Cookie-Consent-Tool widerrufen; zudem können Sie die Erfassung z. B. per Browser-Einstellungen/Opt-out-Möglichkeiten reduzieren.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung wird Google Analytics nicht eingesetzt.

18. Google Ads

a) Umfang der Verarbeitung
Wir nutzen Google Ads (Google Ireland Limited) zur Schaltung von Werbeanzeigen. Dabei können personenbezogene Daten (z. B. Cookie-/Online-Kennungen, IP-Adresse, Standortdaten, Interessen) verarbeitet und ggf. an Google LLC in den USA übermittelt werden.

b) Zweck der Verarbeitung
Zweck ist die Bewerbung unseres Angebots in der Google-Suche und auf Drittwebseiten sowie die Erfolgsmessung und Optimierung von Werbekampagnen.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google; ggf. verbundene Unternehmen/Unterauftragnehmer.

f) Drittstaatenübermittlung
Drittstaatenübermittlung möglich (USA). Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Google-Ads-Einstellungen und eingesetzten Cookies/Tags.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung über das Cookie-Consent-Tool; personalisierte Werbung kann zudem in Google-Einstellungen deaktiviert werden.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung wird Google Ads nicht eingesetzt.

19. Google Ads Remarketing

a) Umfang der Verarbeitung
Wir nutzen Google Ads Remarketing, um Besucher unseres Online-Angebots Zielgruppen zuzuordnen und interessenbezogene Werbung im Google-Werbenetzwerk auszuspielen. Dazu können Cookies/IDs geräteübergreifend verarbeitet werden, insbesondere wenn Sie ein Google-Konto nutzen.

b) Zweck der Verarbeitung
Zweck ist Retargeting/Remarketing und die Ausspielung personalisierter Werbebotschaften.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google.

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Google-Einstellungen und Cookie-Laufzeiten.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung im Cookie-Consent-Tool; personalisierte Werbung kann in Google-Einstellungen deaktiviert werden.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung wird Remarketing nicht eingesetzt.

20. Zielgruppenbildung mit Kundenabgleich (Google Customer Match)

a) Umfang der Verarbeitung
Zur Zielgruppenbildung können wir Kundendaten (z. B. E-Mail-Adressen, Telefonnummern) aus Kundenlisten an Google übermitteln. Google verschlüsselt diese Daten (Hashing) und gleicht sie mit bestehenden Google-Konten ab, um passende Werbebotschaften auszuspielen.

b) Zweck der Verarbeitung
Zweck ist die interessengerechte werbliche Ansprache (Kundenabgleich).

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google.

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach dem Zweck und den Vorgaben von Google; Listen werden nur solange vorgehalten, wie für Kampagnen erforderlich.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung jederzeit möglich; danach wird der Kundenabgleich für die widerrufene Person beendet.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung erfolgt kein Kundenabgleich.

21. Google Ads Conversion-Tracking

a) Umfang der Verarbeitung
Wir nutzen Conversion-Tracking, um nachzuvollziehen, ob Nutzer nach Klick auf eine Anzeige bestimmte Seiten besuchen. Hierzu setzt Google ein Cookie (typisch 30 Tage Laufzeit) und erstellt Conversion-Statistiken. Details: policies.google.com/technologies/partner-sites

b) Zweck der Verarbeitung
Zweck ist die Erfolgsmessung und Optimierung von Werbekampagnen sowie faire Abrechnung von Werbekosten.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Google.

f) Drittstaatenübermittlung
Drittstaatenübermittlung möglich (USA); ggf. Standardvertragsklauseln/weitere Garantien. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Cookie-Laufzeit typischerweise 30 Tage; weitere Speicherdauern nach Google-Einstellungen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung im Cookie-Consent-Tool; dauerhafter Widerspruch gegen Cookies möglich über Browser-Plugin: My-Ad-Center-Help/answer/12155656

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung kein Conversion-Tracking.

22. Meta (Facebook) Pixel

a) Umfang der Verarbeitung
Wir nutzen das Facebook-Pixel der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Dabei kann das Verhalten von Seitenbesuchern nachverfolgt werden, insbesondere nach Klick auf Facebook-Werbeanzeigen. Meta kann Daten in die USA und andere Drittländer übertragen. Für die Erfassung und Übermittlung der Daten sind wir und Meta gemeinsam verantwortlich (Art. 26 DSGVO).

b) Zweck der Verarbeitung
Zweck ist Konversionsmessung, statistische Auswertung, Marktforschung und Optimierung von Werbemaßnahmen.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Meta; ggf. weitere Empfänger nach Vorgaben von Meta.

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Meta und den Cookie-/Event-Einstellungen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung im Cookie-Consent-Tool; weitere Einstellungen über Meta-Werbeeinstellungen möglich.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung wird das Pixel nicht eingesetzt.

23. Meta (Facebook) Conversion API

a) Umfang der Verarbeitung
Wir nutzen die Facebook Conversion API (Meta Platforms Ireland Limited). Dabei werden Interaktionen (z. B. Seitenaufrufe, Zeitpunkte, IP-Adresse, User-Agent sowie ggf. spezifische Ereignisdaten wie Warenkorbinhalte) serverseitig an Meta übermittelt. Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO für Erfassung/Übermittlung.

b) Zweck der Verarbeitung
Zweck ist die Verbesserung und Messung der Werbeperformance bei Meta (Konversionen, Attribution, Optimierung).

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG (Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Meta.

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer nach Vorgaben von Meta und den Event-Einstellungen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung im Cookie-Consent-Tool.

i) Bereitstellungspflicht
Freiwillig; ohne Einwilligung wird die Conversion API nicht eingesetzt.

Betriebliche Systeme & Social Media

24. Order Printer Pro

a) Umfang der Verarbeitung
Zur Erstellung und Bereitstellung von Rechnungen sowie weiteren Dokumenten nutzen wir die Shopify-App Order Printer Pro. Anbieter ist: Shop Circle Ltd, One Kingdom Street, Paddington Central, London W2 6BD, Vereinigtes Königreich. Website: https://shopcircle.co
Dabei werden insbesondere folgende personenbezogene Daten verarbeitet:
- Name und Vorname
- Rechnungs- und Lieferadresse
- Kontaktinformationen
- Bestell- und Transaktionsdaten

b) Zweck der Verarbeitung
Order Printer Pro greift auf Bestell-, Transaktions- und Fulfillment-Daten aus unserem Shopify-Shop zu, um daraus Rechnungen, Lieferscheine und weitere Dokumente zu generieren.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. c DSGVO (berechtigtes Interesse). Sofern eine Einwilligung abgefragt wurde (z. B. für Cookies/Tracking): Art. 6 Abs. 1 lit. b DSGVO

d) Berechtigte Interessen
Die Verarbeitung erfolgt zur Vertragserfüllung sowie zur Erfüllung gesetzlicher Verpflichtungen gemäß (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Order Printer Pro.

f) Drittstaatenübermittlung
Eine Drittstaatenübermittlung personenbezogener Daten in das Vereinigte Königreich kann nicht ausgeschlossen werden. Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Die Daten werden nicht dauerhaft durch den Anbieter gespeichert, sondern bei Bedarf aus Shopify abgerufen und nach der Verarbeitung zur Dokumentenerstellung wieder verworfen.

h) Widerspruchs- und Beseitigungsmöglichkeit
Ein Widerspruch ist praktisch nur möglich, indem Sie die Website nicht nutzen.

i) Bereitstellungspflicht
Ohne Bereitstellung der Daten ist eine Bestellung technisch nicht möglich.

25. DATEV Buchhaltungsexpert Pro

a) Umfang der Verarbeitung
Wir nutzen den Service der cloudbasierten Buchhaltungssoftware des folgenden Anbieters:
DATEV eG
Paumgartnerstr. 6-14, 90429
Nürnberg, Deutschland

b) Zweck der Verarbeitung
Zweck ist die die Erledigung der Buchhaltung durch verarbeitet Eingangs- und Ausgangsrechnungen sowie ggf. auch die Bankbewegungen unseres Unternehmens, um Rechnungen automatisch zu erfassen, zu den Transaktionen zu matchen und hieraus in einem teilautomatisierten Prozess die Finanzbuchhaltung zu erstellen.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. f DSGVO

d) Berechtigte Interessen
Sofern hierbei auch personenbezogene Daten verarbeitet werden, erfolgt die Verarbeitung auf Basis des berechtigten Interesses an einer effizienten Organisation und Dokumentation der Geschäftsvorgänge.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist DATEV.

f) Drittstaatenübermittlung
Drittstaatenübermittlung ist bei diesem Anbieter (EU/Estland) grundsätzlich nicht beabsichtigt.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von DATEV

h) Widerspruchs- und Beseitigungsmöglichkeit
Widerruf der Einwilligung im Cookie-Consent-Tool; dauerhafter Widerspruch gegen Cookies möglich über Browser-Plugin: My-Ad-Center-Help/answer/12155656

i) Bereitstellungspflicht
Ohne Bereitstellung der Daten ist eine Bestellung technisch nicht möglich.

26. Audio- und Videokonferenzen (Microsoft Teams)

a) Umfang der Verarbeitung
Für die Kommunikation setzen wir Online-Konferenz-Tools ein. Dabei werden u. a. verarbeitet: E-Mail-Adresse/Telefonnummer, Dauer, Beginn/Ende der Teilnahme, Teilnehmeranzahl, Metadaten, technische Daten (IP-Adresse, Geräte-IDs, Betriebssystem, Client-Version, Kameratyp, Mikrofon/Lautsprecher) sowie Inhalte, die im Tool geteilt werden (Chat, Dateien, Whiteboards, Aufzeichnungen – soweit genutzt).
Wir setzen insbesondere Microsoft Teams ein (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA).

b) Zweck der Verarbeitung
Zweck ist die Durchführung von Video-/Audiokonferenzen zur Kommunikation und Leistungserbringung sowie Vereinfachung/Beschleunigung der Kommunikation.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO; sofern Einwilligung abgefragt: Art. 6 Abs. 1 lit. a DSGVO.

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Microsoft als Auftragsverarbeiter (AVV).

f) Drittstaatenübermittlung
Drittstaatenübermittlung: USA; Absicherung – soweit erforderlich – über geeignete Garantien (z. B. Standardvertragsklauseln). Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Die unmittelbar von uns erfassten Daten werden gelöscht, sobald der Zweck entfällt. Auf Speicherdauern bei Microsoft zu eigenen Zwecken haben wir keinen Einfluss.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können der Verarbeitung widersprechen, soweit sie auf Art. 6 Abs. 1 lit. f DSGVO beruht; andernfalls ist eine Teilnahme/Kommunikation ggf. nicht möglich.

i) Bereitstellungspflicht
Für die Teilnahme ist die Bereitstellung der hierfür erforderlichen Daten erforderlich.

28. Bewerberdaten

a) Umfang der Verarbeitung
Bei Bewerbungen verarbeiten wir Bewerbungsdaten wie Kontakt- und Kommunikationsdaten, Bewerbungsunterlagen, Notizen aus Gesprächen etc.

b) Zweck der Verarbeitung
Zweck ist die Entscheidung über die Begründung eines Beschäftigungsverhältnisses sowie – bei erfolgreicher Bewerbung – die Durchführung des Beschäftigungsverhältnisses.

c) Rechtsgrundlagen
§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO, ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

d) Berechtigte Interessen
Soweit ergänzend berechtigte Interessen (z. B. Nachweis im Streitfall) einschlägig sind, gilt:
Der Verantwortliche hat ein berechtigtes Interesse daran, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten, um zu gewährleisten, dass seine Produkt- und Dienstleistungsinformationen online abrufbar sind.

e) Empfänger oder Kategorien von Empfängern
Empfänger sind nur interne Personen, die an der Bearbeitung der Bewerbung beteiligt sind.

f) Drittstaatenübermittlung
Drittstaatenübermittlung ist nicht beabsichtigt.

g) Dauer der Speicherung
Bei Ablehnung/Zurückziehung speichern wir Bewerbungsdaten in der Regel bis zu 6 Monate nach Abschluss des Verfahrens; danach Löschung/Vernichtung, sofern keine längere Aufbewahrung erforderlich ist.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können eine erteilte Einwilligung jederzeit widerrufen und der Verarbeitung widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.

i) Bereitstellungspflicht
Die Bereitstellung der Bewerbungsdaten ist für die Teilnahme am Bewerbungsverfahren erforderlich.

29. Facebook-Unternehmensseite als externer Informationsdienst

a) Umfang der Verarbeitung
Wir betreiben eine Facebook-Unternehmensseite und nutzen hierfür die Plattform der Facebook Ireland Ltd. (Meta). Beim Besuch erfasst Meta u. a. IP-Adresse und Cookie-Informationen und stellt uns statistische Informationen zur Nutzung der Seite bereit. Meta kann Daten in Länder außerhalb der EU übertragen.

b) Zweck der Verarbeitung
Zweck ist Öffentlichkeitsarbeit, Information über das Unternehmen/Angebot und Kommunikation über die Plattform.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

e) Empfänger oder Kategorien von Empfängern
Empfänger ist Meta (Facebook).

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Speicherdauer richtet sich nach den Vorgaben von Meta; auf die Speicherdauer bei Meta haben wir keinen Einfluss.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Betroffenenrechte grundsätzlich sowohl gegenüber uns als auch gegenüber Meta geltend machen; Sie können Tracking reduzieren, indem Sie sich abmelden und Cookies löschen.

i) Bereitstellungspflicht
Die Nutzung ist freiwillig; Informationen sind alternativ über unsere Website abrufbar.

30. Unsere Social-Media-Auftritte (Facebook und Instagram)

a) Umfang der Verarbeitung
Wir unterhalten öffentlich zugängliche Profile in sozialen Netzwerken (Facebook und Instagram; Anbieter: Meta Platforms Ireland Limited). Soziale Netzwerke wie Facebook, Instagram, Twitter/X etc. können Ihr Nutzerverhalten in der Regel umfassend analysieren, wenn Sie deren Website oder eine Website mit integrierten Social-Media-Inhalten (z. B. Like-Buttons oder Werbebannern) besuchen. Beim Besuch unserer Social-Media-Präsenzen werden zahlreiche datenschutzrelevante Verarbeitungsvorgänge ausgelöst; dabei können Cookies gesetzt, IP-Adressen verarbeitet und – bei Login – der Besuch Ihrem Nutzerkonto zugeordnet werden.

b) Zweck der Verarbeitung
Zweck ist Öffentlichkeitsarbeit, Kommunikation, Marketing und Information über unsere Angebote.

c) Rechtsgrundlagen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Präsenz). Analyseprozesse der Netzwerke können auf abweichenden Rechtsgrundlagen beruhen (z. B. Einwilligung).

e) Empfänger oder Kategorien von Empfängern
Empfänger sind die jeweiligen Plattformbetreiber (Meta) und deren Unterauftragnehmer.

f) Drittstaatenübermittlung
Es gilt der „Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten“ entsprechend.

g) Dauer der Speicherung
Die unmittelbar von uns verarbeiteten Daten löschen wir, sobald der Zweck entfällt; auf Speicherdauer bei den Plattformbetreibern haben wir keinen Einfluss.

h) Widerspruchs- und Beseitigungsmöglichkeit
Sie können Ihre Rechte grundsätzlich sowohl gegenüber uns als auch gegenüber dem Plattformbetreiber geltend machen. Werbeeinstellungen können Sie in Ihrem Nutzerkonto anpassen.

i) Bereitstellungspflicht
Die Nutzung ist freiwillig.

Belehrungssystem der 3W Medical GmbH

31. Datenverarbeitung im Rahmen der Erstellung von Gesundheitszeugnissen (app.3wmedical.de)

a) Umfang der Verarbeitung
Bei der Bestellung von Gesundheitszeugnissen verarbeitet der Verantwortliche Bestell- und Adressinformationen, die nach Abschluss einer Bestellung im Shopify-Onlineshop automatisiert an app.3wmedical.de übertragen werden. Dazu gehören insbesondere: Bestell-ID, Bestellpositionen, gebuchte Leistungen, Rechnungs- und/oder Lieferdaten (z. B. Name, Anschrift), Kontaktinformationen (z. B. E-Mail-Adresse, Telefonnummer – sofern im Rahmen der Bestellung angegeben) sowie technische Metadaten zur Validierung (z. B. HMAC-Signatur). Im Rahmen der technischen Absicherung und Fehleranalyse können außerdem Protokolldaten anfallen (z. B. Zeitpunkt der Anfrage, Verarbeitungsstatus, ggf. IP-Adresse des anfragenden Systems).

b) Zweck der Verarbeitung
Personenbezogene Daten werden verarbeitet, um Bestellungen entgegenzunehmen und die vereinbarte Leistung zu erbringen, z.B. zur Bereitstellung von Kursen oder Erstellung von Gesundheitszeugnissen, sowie zur Abrechnung der Leistung.

c) Rechtsgrundlagen
Die Verarbeitung erfolgt im Regelfall auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrages) für die Abwicklung der Bestellung und die Bereitstellung der gebuchten Leistungen. Soweit erforderlich, erfolgt die Verarbeitung außerdem auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

d) Berechtigte Interessen
Der Verantwortliche hat ein berechtigtes Interesse daran, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten, um einen sicheren, dokumentierbaren und automatisierten Bestell- und Bereitstellungsprozess zu gewährleisten, die die gebuchten Leistungen bereitstellen zu können und um seine Systeme vor Betrug und Cyberangriffen zu schützen.

e) Empfänger oder Kategorien von Empfängern
Der Verantwortliche verarbeitet die Daten intern. Externe Empfänger bzw. Kategorien von Empfängern sind: Shopify als Auftragsverarbeiter, Microsoft Azure als Hosting-/Infrastrukturdienstleister. Eine Weitergabe an weitere Dritte erfolgt nicht, soweit sie nicht für die technische Abwicklung oder Vertragserfüllung erforderlich ist.

f) Drittstaatenübermittlung
Personenbezogene Daten werden nicht in Drittstaaten verarbeitet. Die Verarbeitung im Hauptsystem erfolgt in Deutschland.

g) Dauer der Speicherung
Bestell- und Abwicklungsdaten werden für die Dauer der Vertragsdurchführung gespeichert. Darüber hinaus können gesetzliche Aufbewahrungspflichten (z. B. handels- und steuerrechtliche Pflichten) eine längere Speicherung erforderlich machen. Technische Protokolldaten werden – sofern gespeichert – nur so lange vorgehalten, wie es für die Sicherstellung des Betriebs, die Fehleranalyse und die IT-Sicherheit erforderlich ist.

h) Widerspruchs- und Beseitigungsmöglichkeit
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einlegen (Art. 21 DSGVO). Im Übrigen richten sich Möglichkeiten der Löschung bzw. Einschränkung nach den gesetzlichen Vorgaben und etwaigen Aufbewahrungspflichten.

i) Bereitstellungspflicht
Die Bereitstellung der Bestelldaten ist für den Abschluss und die Durchführung des Vertrages sowie für die Bereitstellung der gebuchten Leistungen erforderlich. Ohne diese Daten ist eine ordnungsgemäße Abwicklung der Bestellung und Bereitstellung der Leistungen in der Regel nicht möglich.
Weitere Details zur Verarbeitung im nachgelagerten Hauptsystem (Onboarding, Kursdurchführung, Zertifikatsprozess) ergeben sich aus den dortigen Datenschutzhinweisen.

32. Datenverarbeitung mit Microsoft Azure (Microsoft Cloud)

a) Umfang der Verarbeitung
Der Verantwortliche nutzt die IT-Infrastruktur der Microsoft Azure Cloud-Plattform (Microsoft) für den Betrieb von IT-Infrastruktur (z. B. Hosting, Datenbanken, Backup/Recovery, Protokollierung/Monitoring, Netzwerk- und Sicherheitsdienste) der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Carmanhall and Leopardstown, Dublin 18, D18 P521, Irland.
Dabei können insbesondere folgende personenbezogene Daten verarbeitet werden – abhängig von der konkreten Nutzung:
- Stammdaten/Kontaktdaten (z. B. Name, E-Mail-Adresse, Benutzerkennung),
- Inhaltsdaten (z. B. Eingaben in Formularen, Dokumente/Anhänge, Kommunikationsinhalte – soweit über unsere Systeme verarbeitet),
- Nutzungs- und Protokolldaten (z. B. Zugriffszeiten, Logfiles, Geräte-/Browserinformationen),
- Meta-/Kommunikationsdaten (z. B. IP-Adresse, technische Kennungen),
- ggf. Vertrags-/Abrechnungsdaten sowie Support-/Ticketdaten.

b) Zweck der Verarbeitung
Die Verarbeitung erfolgt zum Zweck der Bereitstellung, dem Betrieb und der Wartung unserer Anwendungen/IT-Systeme, der sicheren Speicherung und Verarbeitung von Daten (inkl. Backups und Wiederherstellung), und der Überwachung der Systemstabilität und -sicherheit (Monitoring/Logging). Außerdem nutzt der Verantwortliche die Microsoft Azure Plattform zur Fehleranalyse, Support und Optimierung der IT-Services und zum Schutz vor Missbrauch, Angriffen und unberechtigten Zugriffen (IT-Sicherheit).

c) Rechtsgrundlagen
Soweit personenbezogene Daten zur Durchführung eines Vertrags oder vorvertraglicher Maßnahmen verarbeitet werden: Art. 6 Abs. 1 lit. b DSGVO. Soweit die Verarbeitung zur Erfüllung rechtlicher Pflichten erforderlich ist (z. B. Nachweis-, Dokumentationspflichten): Art. 6 Abs. 1 lit. c DSGVO. Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erfolgt (z. B. Bereitstellung der Dienstleistungen, Vertragserfüllung, IT-Sicherheit, wirtschaftlicher Betrieb von IT-Infrastruktur): Art. 6 Abs. 1 lit. f DSGVO. Sofern im Einzelfall eine Einwilligung erforderlich ist (z. B. für bestimmte Zusatzfunktionen): Art. 6 Abs. 1 lit. a DSGVO.

e) Empfänger oder Kategorien von Empfängern
Microsoft Ireland Operations Limited bzw. verbundene Unternehmen der Microsoft Corporation als Anbieter der Azure-Dienste als Auftragsverarbeiter.

f) Drittstaatenübermittlung
Eine Verarbeitung kann – abhängig von Tenant-Konfiguration, Supportfall und gewählten Regionen – auch in Drittländern (insbesondere USA) nicht ausgeschlossen werden, etwa im Rahmen von Support-/Wartungsleistungen. Soweit eine Drittlandübermittlung stattfindet, erfolgt sie auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie ggf. zusätzlicher technischer und organisatorischer Maßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkungen).

g) Dauer der Speicherung
Personenbezogene Daten werden grundsätzlich nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist. Im Übrigen richtet sich die Speicherdauer nach gesetzlichen Aufbewahrungsfristen und der Erforderlichkeit zur Vertragserfüllung bzw. Rechtsdurchsetzung.

h) Widerspruchs- und Beseitigungsmöglichkeit
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Betroffene aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch einlegen (Art. 21 DSGVO).
Eine vollständige „Beseitigung“ der Verarbeitung ist bei zwingend notwendigen Cloud-Betriebsprozessen ggf. nicht möglich; wir prüfen dann die Interessenlage und setzen – soweit möglich – alternative Maßnahmen um (z. B. Einschränkung bestimmter Funktionen, Löschung nach Ablauf von Fristen).

i) Bereitstellungspflicht
Die Bereitstellung personenbezogener Daten ist vertraglich erforderlich.

33. Technischer Betrieb und Auftragsverarbeitung für die Systeme „Identity" und „neuralnetwork"

Im Rahmen der Kurs- und Zertifikatsprozesse werden zwei eigenständige externe Systeme eingesetzt: das Identitätsprüfungssystem „Identity" sowie das Quiz- und Prüfungssystem „neuralnetwork". Programmierung, technischer Betrieb und laufende Wartung beider Systeme werden vollständig durch folgenden Auftragsverarbeiter erbracht:

ACAAS AI Solutions I.K.E. Stefan Boettjer Lastehnous 34, 72100 Agios Nikolaos, Kreta, Griechenland
E-Mail: datenschutz@acaas.eu

Die Hauptserver beider Systeme werden durch ACAAS AI Solutions bei DigitalOcean (Rechenzentrumsstandort Frankfurt am Main, Deutschland) betrieben. Sämtliche Daten werden somit innerhalb der Europäischen Union gehostet.

Beide Systeme nutzen zur Erfüllung ihrer jeweiligen Aufgaben die OpenAI API (Programmierschnittstelle). Hierzu wird ausdrücklich darauf hingewiesen:
- Die Datenverarbeitung erfolgt ausschließlich über die OpenAI API – nicht über die öffentlich zugängliche ChatGPT-Oberfläche.
- OpenAI verwendet die über die API übermittelten Daten nicht zum Training seiner KI-Modelle.
- Die Verarbeitung erfolgt gemäß den OpenAI-Nutzungsbedingungen für API-Kunden sowie auf Grundlage eines abgeschlossenen Auftragsverarbeitungsvertrags (Data Processing Agreement / DPA) mit OpenAI.

Zwischen dem Verantwortlichen und der ACAAS AI Solutions I.K.E. besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, der den datenschutzkonformen Betrieb beider Systeme sicherstellt.
Die nachfolgenden Abschnitte 34 und 35 beschreiben die jeweiligen Verarbeitungstätigkeiten der beiden Systeme im Einzelnen.

34. Identitätsprüfung über das System „Identity"

a) Beschreibung des Systems
Das System „Identity" dient der automatisierten Überprüfung der Identität von Teilnehmern im Rahmen von Kurs- und Zertifikatsprozessen. Ziel ist es sicherzustellen, dass die Person, die einen Kurs abschließt und ein Zertifikat erhält, tatsächlich diejenige Person ist, die sich dafür angemeldet hat. Dies ist insbesondere bei behördlich anerkannten Schulungsnachweisen (z. B. nach §§ 42, 43 IfSG) von besonderer Bedeutung.
Der Einsatz von KI-Technologie in diesem System ist erforderlich, um eine zuverlässige und effiziente Dokumentprüfung zu ermöglichen. Die KI unterstützt dabei die automatisierte Erkennung und Klassifikation von Ausweisdokumenten (z. B. ob es sich um einen gültigen Reisepass, Personalausweis o. ä. handelt) sowie den Abgleich des Live-Fotos mit dem Dokumentfoto. Dies dient dem Schutz vor Missbrauch und der Gewährleistung eines verlässlichen Prüfergebnisses, wie es manuell in diesem Umfang und dieser Geschwindigkeit nicht wirtschaftlich darstellbar wäre.

b) Umfang der Verarbeitung
Im Rahmen der Identitätsprüfung werden folgende personenbezogene Daten verarbeitet:
- Bilddaten: Ein Live-Foto (Selfie) der betroffenen Person, aufgenommen über die Kamera des Endgeräts im Browser, sowie ein Foto eines gültigen Ausweisdokuments (z. B. Reisepass, Personalausweis, Führerschein, Aufenthaltstitel).
- Pseudonymisierte Zuordnungsdaten: Jede Verifikationssitzung wird über eine pseudonymisierte Kennung (Hash-Schlüssel) zugeordnet, die keine Rückschlüsse auf den Klarnamen der Person zulässt.
- Technische Daten: Zeitstempel der Prüfvorgänge, Anzahl der Versuche, Sitzungsstatus sowie IP-Adresse und Browserinformationen im Rahmen der technischen Nutzung.
- Prüfergebnisse: Das Ergebnis der Verifikation (z. B. „bestätigt" oder „manuelle Prüfung erforderlich") sowie ein Referenzwert, der an das Hauptsystem zur Kursfreischaltung übermittelt wird.

Der biometrische Abgleich zwischen Live-Foto und Dokumentfoto (Gesichtserkennung) erfolgt ausschließlich lokal auf dem europäischen Server – diese Daten werden nicht an OpenAI übermittelt.
Zur Prüfung der Dokumentechtheit und -klassifikation werden sowohl das Live-Foto (Selfie) als auch das Foto des Ausweisdokuments an die OpenAI API übermittelt. Der Zweck dieser Übermittlung ist ausschließlich die automatisierte Feststellung, ob es sich beim Selfie um eine echte Live-Aufnahme handelt (und nicht z. B. ein abfotografiertes Bild) und ob das vorgelegte Dokument ein zulässiges, gültiges Ausweisdokument ist.
Da das Ausweisdokument als Bild übermittelt wird, können auf dem Bild naturgemäß personenbezogene Daten sichtbar sein (z. B. Name, Geburtsdatum, Ausweisnummer). OpenAI ist jedoch per Verarbeitungsanweisung ausdrücklich angewiesen, keine personenbezogenen Detaildaten zu extrahieren oder zurückzugeben. Es werden ausschließlich strukturierte Prüfergebnisse zurückgeliefert (z. B. Dokumenttyp, Gültigkeit, Ausstellungsland). Darüber hinaus ist OpenAI gemäß dem abgeschlossenen Data Processing Agreement (DPA) verpflichtet, die übermittelten Daten nicht für eigene Zwecke zu verwenden und nicht zum Training von KI-Modellen einzusetzen.

c) Zweck der Verarbeitung
- Durchführung der Identitätsprüfung im Rahmen von Kurs- und Zertifikatsprozessen,
- Vermeidung von Missbrauch (z. B. Teilnahme durch unberechtigte Personen),
- Dokumentation des Prüfergebnisses und Freischaltung nachgelagerter Prozessschritte (z. B. Zertifikatsausstellung).

d) Rechtsgrundlagen
- Art. 6 a DSGVO Einwilligung bzgl. der Verarbeitung von Ausweisdaten in Verbindung mit § 20 Personalausweisgesetz
- Art. 9 Abs. 2 DSGVO Ausdrückliche Einwilligung bzgl. biometrischer Daten
- Art. 49 Abs. 1 b DSGVO Einwilligung bzgl. der Datenverarbeitung in Drittstaaten bei der Echtheitsprüfung von Ausweisen.
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Identitätsprüfung ist Bestandteil des Vertrags über die Teilnahme an Schulungen.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Soweit die Identitätsprüfung zur ordnungsgemäßen Ausstellung behördlich relevanter Teilnahmezertifikate (z. B. nach §§ 42, 43 IfSG) erforderlich ist.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Betrugs- und Missbrauchsvermeidung sowie Sicherstellung eines verlässlichen Nachweises.

e) Berechtigte Interessen
Das berechtigte Interesse liegt darin, Betrug und Missbrauch zu verhindern, die Integrität der Prüfprozesse zu gewährleisten und einen verlässlichen Nachweis über die Identitätsprüfung führen zu können. Die Interessen und Grundrechte der betroffenen Personen werden im Rahmen einer Interessenabwägung berücksichtigt; die Verarbeitung erfolgt nur, soweit sie erforderlich ist und keine überwiegenden schutzwürdigen Interessen entgegenstehen.

f) Empfänger oder Kategorien von Empfängern
- ACAAS AI Solutions I.K.E. als Auftragsverarbeiter (technischer Betrieb, Hosting, Wartung).
- DigitalOcean (Rechenzentrum Frankfurt a. M.) als Infrastrukturdienstleister.
- OpenAI als Auftragsverarbeiter für die KI-gestützte Dokumentklassifikation (über die API, auf Grundlage eines DPA).
- Interne Fachabteilungen, die den Verifikationsstatus benötigen (z. B. Prüfungsabteilung, Support).

g) Drittstaatenübermittlung
Soweit OpenAI Dienste aus Drittländern (insbesondere USA) bereitstellt, findet eine Drittlandübermittlung statt. Diese erfolgt nur im erforderlichen Umfang und auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln und ergänzende technische/organisatorische Maßnahmen). Die Zuordnung der Prüfvorgänge erfolgt ausschließlich über pseudonymisierte Kennungen (Hash-Schlüssel). Die an OpenAI übermittelten Bilddaten (Selfie und Ausweisdokument) werden nur zum Zweck der Dokumentklassifikation und Echtheitsanalyse verarbeitet; OpenAI ist vertraglich verpflichtet, keine personenbezogenen Daten aus den Bildern zu extrahieren, zu speichern oder für andere Zwecke zu verwenden.

h) Dauer der Speicherung
- Selfie- und Dokumentbilder werden nur temporär verarbeitet und nach kurzer Frist (standardmäßig 30 Minuten) automatisch gelöscht.
- In eng begrenzten Ausnahmefällen können Bilddaten für Prüfzwecke (Audit) bis zu 24 Stunden vorgehalten und anschließend automatisch gelöscht werden.
- Ist eine manuelle Nachprüfung erforderlich, werden die Bilder verschlüsselt gespeichert; die Speicherdauer richtet sich nach der Erforderlichkeit der Prüfung und den internen Löschregeln.
- Prüfergebnisse (Status) werden gemäß den Aufbewahrungsfristen des Hauptsystems gespeichert.

i) Widerspruchs- und Beseitigungsmöglichkeit
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, kann Widerspruch nach Art. 21 DSGVO eingelegt werden. Eine Unterbindung der Identitätsprüfung kann dazu führen, dass der Kurs- bzw. Zertifikatsprozess nicht abgeschlossen werden kann, wenn die Identitätsprüfung rechtlich oder vertraglich erforderlich ist. Im Übrigen können Betroffene Löschung oder Einschränkung der Verarbeitung nach Maßgabe der gesetzlichen Voraussetzungen verlangen. Temporäre Bilddaten werden unabhängig davon automatisch gelöscht.

j) Bereitstellungspflicht
Die Bereitstellung der Daten (insbesondere Selfie und Ausweisdokument) ist erforderlich, um die Identität im Rahmen des Kurs- bzw. Zertifikatsprozesses nachzuweisen. Ohne Bereitstellung kann die Identitätsprüfung nicht durchgeführt und der Prozess (z. B. Zertifikatsausstellung) nicht abgeschlossen werden.

35. Quiz- und Prüfungssystem „neuralnetwork"

a) Beschreibung des Systems
Das System „neuralnetwork" stellt ein mehrsprachiges Quiz- und Prüfungssystem bereit, über das Teilnehmer im Rahmen von Kurs- und Schulungsprozessen Wissensabfragen und Abschlussprüfungen absolvieren. Ziel ist es, eine verlässliche und faire Leistungsüberprüfung zu gewährleisten.
Der Einsatz von KI-Technologie in diesem System dient dazu, die Antworten der Teilnehmer nicht nur maschinell als „richtig" oder „falsch" zu bewerten, sondern im Anschluss eine verständliche, pädagogisch aufbereitete Rückmeldung in der jeweiligen Sprache des Teilnehmers zu erzeugen. So erhalten Teilnehmer nach jeder Frage eine individuelle Erklärung, die das Verständnis des Lernstoffs fördert – ein Mehrwert, der ohne KI-Unterstützung in diesem Umfang und in dieser Sprachvielfalt nicht darstellbar wäre.

b) Umfang der Verarbeitung
Im Rahmen des Quiz- und Prüfungssystems werden folgende personenbezogene Daten verarbeitet:
- Pseudonymisierte Zuordnungsdaten: Jede Quizsitzung wird über eine pseudonymisierte Kennung (Hash-Schlüssel) zugeordnet, die vom Hauptsystem übergeben wird. Eine Zuordnung zum Klarnamen erfolgt im System „neuralnetwork" selbst nicht.
- Sitzungsdaten: Gewählte Sprache, Fragenstatus (beantwortet/offen), Anzahl der Versuche, Prüfungsstatus (bestanden/nicht bestanden).
- Antwortdaten: Die vom Teilnehmer gewählten Antworten auf die Quizfragen. Diese werden zusammen mit der jeweiligen Frage an die OpenAI API übermittelt, um eine individuelle Rückmeldung zu generieren.
- Technische Daten: IP-Adresse und Browserinformationen im Rahmen der technischen Nutzung, Sitzungscookies.

An die OpenAI API werden ausschließlich die Quizfragen und die gewählten Antworten übermittelt – keine Namen, Kontaktdaten oder sonstigen personenidentifizierenden Informationen. Die KI erhält somit keinen Zugriff auf die Identität des Teilnehmers.

c) Zweck der Verarbeitung
- Durchführung von Wissensabfragen und Abschlussprüfungen im Rahmen von Kurs- und Schulungsprozessen,
- Erzeugung verständlicher, individueller Rückmeldungen zu den Antworten der Teilnehmer (in der jeweiligen Sprache),
- Feststellung des Prüfungsergebnisses und Weiterleitung des Status an das Hauptsystem zur Kursfreischaltung bzw. Zertifikatsausstellung.

d) Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Durchführung der Wissensabfrage und Prüfung ist Bestandteil des Vertrags über die Teilnahme an Schulungen.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Soweit die Prüfung zur ordnungsgemäßen Ausstellung behördlich relevanter Teilnahmezertifikate (z. B. nach §§ 42, 43 IfSG) erforderlich ist.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sicherstellung einer verlässlichen und fairen Leistungsüberprüfung, Missbrauchsvermeidung, Systemstabilität.

e) Berechtigte Interessen
Das berechtigte Interesse liegt darin, eine faire und nachvollziehbare Leistungsüberprüfung sicherzustellen, die Integrität des Prüfungsprozesses zu gewährleisten und Manipulationsversuche zu erkennen. Die Interessen und Grundrechte der betroffenen Personen werden berücksichtigt.

f) Empfänger oder Kategorien von Empfängern
- ACAAS AI Solutions I.K.E. als Auftragsverarbeiter (technischer Betrieb, Hosting, Wartung).
- DigitalOcean (Rechenzentrum Frankfurt a. M.) als Infrastrukturdienstleister.
- OpenAI als Auftragsverarbeiter für die KI-gestützte Antwortbewertung und Rückmeldung (über die API, auf Grundlage eines DPA).
- Interne Fachabteilungen, die das Prüfungsergebnis benötigen.

h) Dauer der Speicherung
- Sitzungsdaten (Fragenstatus, Versuche, Spracheinstellung) werden nur für die Dauer der aktiven Sitzung vorgehalten und anschließend gelöscht.
- Das Prüfungsergebnis (bestanden/nicht bestanden) wird als Statusmeldung an das Hauptsystem übermittelt. Eine dauerhafte Speicherung personenbezogener Daten im System „neuralnetwork" selbst erfolgt nicht.

i) Widerspruchs- und Beseitigungsmöglichkeit
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, kann Widerspruch nach Art. 21 DSGVO eingelegt werden. Ohne Teilnahme am Quiz kann der Kurs- bzw. Zertifikatsprozess ggf. nicht abgeschlossen werden, wenn die Prüfung vertraglich oder rechtlich vorgesehen ist.

j) Bereitstellungspflicht
Die Teilnahme am Quiz und die Beantwortung der Fragen sind erforderlich, um den Kurs erfolgreich abzuschließen und ein Zertifikat zu erhalten.

36. Zertifikatserstellung, Verifikation und Versand

a) Umfang der Verarbeitung
Im Rahmen der Zertifikatserstellung und -zustellung werden insbesondere folgende personenbezogene Daten verarbeitet:
- Zertifikatsinhalte: Vorname, Nachname, Geburtsdatum, Kursart, Ausstellungsdatum, verantwortlicher Arzt sowie ggf. weitere gesetzlich vorgeschriebene Angaben.
- Einwilligungsdaten: Vor der Zertifikatsausstellung bestätigt der Teilnehmer mehrere gesetzlich bzw. vertraglich erforderliche Erklärungen (z. B. Kenntnisnahme über das Tätigkeitsverbot nach § 42 IfSG, Aufklärungsbestätigung, Eigenständigkeitserklärung). Der Zeitpunkt jeder Bestätigung wird gespeichert.
- Verifikationsdaten: Für jedes ausgestellte Zertifikat wird ein Verifikationsdatensatz angelegt, der die spätere Echtheitsprüfung durch Behörden und Arbeitgeber ermöglicht. Das Zertifikat enthält einen QR-Code, über den die Echtheit online überprüft werden kann.
- Versanddaten: E-Mail-Adresse des Teilnehmers, Zustellinformationen sowie Versandprotokolle.
- Technische Daten: Zertifikats-ID (pseudonymisierte Kennung), Abschlussstatus, Zeitstempel.

b) Zweck der Verarbeitung
- Erstellung des Zertifikats nach erfolgreichem Abschluss des Kurses und der Prüfung,
- Einholung und Dokumentation der gesetzlich bzw. vertraglich erforderlichen Erklärungen des Teilnehmers vor Zertifikatsausstellung,
- Versand des Zertifikats per E-Mail an die vom Teilnehmer angegebene E-Mail-Adresse,
- Sicherstellung der späteren Echtheitsprüfung und Verifizierbarkeit des Zertifikats (z. B. durch Behörden oder Arbeitgeber über den im Zertifikat enthaltenen QR-Code),
- Erfüllung rechtlicher Nachweis- und Dokumentationspflichten gegenüber Behörden und Auftraggebern (insbesondere §§ 42, 43 IfSG).

c) Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Erstellung und Zustellung des Zertifikats ist Bestandteil des Vertrags über die Kursteilnahme.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Die Zertifikatsausstellung und die zugehörige Dokumentation dienen der Erfüllung gesetzlicher Nachweis- und Dokumentationspflichten (z. B. nach §§ 42, 43 IfSG).
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sicherstellung der Nachvollziehbarkeit, Fälschungssicherheit und Missbrauchsvermeidung.

d) Berechtigte Interessen
Das berechtigte Interesse liegt darin, einen verlässlichen und fälschungssicheren Nachweis über den erfolgreichen Kursabschluss zu erbringen, der von Behörden und Arbeitgebern überprüft werden kann. Dies dient zugleich dem Schutz der betroffenen Personen vor missbräuchlicher Verwendung ihrer Zertifikate. Die Interessen und Grundrechte der betroffenen Personen werden im Rahmen einer Interessenabwägung berücksichtigt.

e) Empfänger oder Kategorien von Empfängern
- Microsoft Azure (Datenbankdienstleister): Die Zertifikats-, Verifikations- und Teilnehmerdaten werden in einer Datenbank gespeichert, die bei Microsoft Azure (Rechenzentrumsstandort innerhalb der EU) betrieben wird.
- SMTP2GO (E-Mail-Versanddienstleister): Der Versand des Zertifikats per E-Mail erfolgt über den Dienstleister SMTP2GO.
- Beauftragte Ärzte/Betriebsärzte, soweit diese fachlich für die Zertifikatsausstellung verantwortlich zeichnen.
- Behörden und Arbeitgeber, soweit diese das Zertifikat über den QR-Code verifizieren (hierbei werden ihnen nur die zur Echtheitsprüfung erforderlichen Angaben angezeigt).
- Ggf. der Auftraggeber (z. B. Arbeitgeber oder Einrichtung), sofern dies im Rahmen der Buchung vorgesehen ist.
- Eine Kopie der Versand-E-Mail wird zu internen Dokumentations- und Supportzwecken archiviert.

f) Drittstaatenübermittlung
Die Datenbank wird bei Microsoft Azure innerhalb der Europäischen Union betrieben. Soweit Microsoft oder SMTP2GO zur Leistungserbringung Dienste aus Drittländern (insbesondere USA) einsetzen, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln und ergänzende technische/organisatorische Maßnahmen).

37. Ergänzende Angaben zur Verarbeitung über die OpenAI API

Die allgemeinen Rahmenbedingungen der OpenAI-API-Nutzung (API statt ChatGPT-Oberfläche, kein Modelltraining, DPA) sind in Abschnitt 35 dargelegt. Art und Umfang der jeweils an OpenAI übermittelten Daten, Rechtsgrundlagen sowie die Drittstaatenübermittlung sind in den Abschnitten 36 (Identity) und 37 (neuralnetwork) beschrieben. Der vorliegende Abschnitt ergänzt systemübergreifende Angaben.

a) Dauer der Speicherung bei OpenAI
Gemäß den API-Nutzungsbedingungen speichert OpenAI API-Eingaben und -Ausgaben für einen begrenzten Zeitraum (in der Regel bis zu 30 Tage) zu Zwecken der Missbrauchserkennung; anschließend werden sie gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Eine darüber hinausgehende Speicherung oder Nutzung zum Modelltraining findet nicht statt.

b) Datensicherheit
Es werden technische und organisatorische Maßnahmen umgesetzt, um den Schutz personenbezogener Daten bei der Nutzung der OpenAI API zu gewährleisten. Dazu gehören insbesondere:
- Minimierung der an die API übermittelten personenbezogenen Daten,
- Pseudonymisierung durch Verwendung von Hash-Schlüsseln anstelle von Klardaten,
- Sicherstellung, dass kein Opt-in zum Modelltraining mit den übermittelten Daten erfolgt.

VII

Ihre Rechte als betroffene Person

Die Internetseiten der 3W MEDICAL GmbH wurden nach bestem Wissen und mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen.

Sie haben als betroffene Person nach der Datenschutz-Grundverordnung (DSGVO) insbesondere die folgenden Rechte:

• Auskunft (Art. 15 DSGVO):
Sie können eine Bestätigung darüber verlangen, ob wir personenbezogene Daten zu Ihrer Person verarbeiten. Ist dies der Fall, haben Sie u. a. Anspruch auf Auskunft über die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger bzw. Kategorien von Empfängern, die geplante Speicherdauer bzw. deren Kriterien sowie über Ihre weiteren Rechte. Zudem haben Sie Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 DSGVO).

• Widerspruch (Art. 21 DSGVO):
Sofern wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einlegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Erfolgt die Verarbeitung zu Direktwerbezwecken, können Sie jederzeit ohne Begründung widersprechen; in diesem Fall werden die Daten nicht mehr für diese Zwecke verarbeitet.

• Berichtigung (Art. 16 DSGVO):
Sie können die unverzügliche Berichtigung unrichtiger personenbezogener Daten verlangen. Außerdem können Sie die Vervollständigung unvollständiger Daten verlangen – auch durch eine ergänzende Erklärung.

• Löschung (Art. 17 DSGVO):
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit die gesetzlichen Voraussetzungen vorliegen (z. B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, oder Sie wirksam Widerspruch eingelegt haben). Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist, z. B. zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

• Einschränkung der Verarbeitung (Art. 18 DSGVO):
Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten (für die Dauer der Prüfung), wenn die Verarbeitung unrechtmäßig ist, Sie aber statt Löschung die Einschränkung verlangen, oder wenn wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.

• Unterrichtung (Art. 19 DSGVO):
Wenn Sie Ihr Recht auf Berichtigung, Löschung oder Einschränkung geltend gemacht haben, sind wir verpflichtet, allen Empfängern, denen wir Ihre Daten offengelegt haben, dies mitzuteilen, sofern dies nicht unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist. Sie können zudem verlangen, über diese Empfänger unterrichtet zu werden.

• Datenübertragbarkeit (Art. 20 DSGVO):
Sie haben das Recht, personenbezogene Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und – soweit technisch machbar – zu verlangen, dass wir diese Daten einem anderen Verantwortlichen direkt übermitteln. Dieses Recht gilt, soweit die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO):
Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

• Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO):
Sie haben das Recht, jederzeit Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Zuständig ist insbesondere die Datenschutzaufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

• Für den Verantwortlichen ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27 (Schloss), 91522 Ansbach.

Allgemeine Hinweise

Name und Kontaktdaten des Verantwortlichen

Datenschutzbeauftragter

Allgemeine Hinweise zu Rechtsgrundlagen

Hinweis zur Datenweitergabe in die USA und sonstige Drittstaaten

1. Datenerfassung bei Besuch der Website (Server-Logfiles)

2. Webhosting über Shopify

3. Content Delivery Network (CDN) – Cloudflare

4. Cookies und ähnliche Technologien

5. Einwilligungsmanagement (Cookie-Consent) mit PANDECTES.IO

6. Kontaktaufnahme über Kontaktformular

7. Kontaktaufnahme per E-Mail, Telefon oder Telefax

8. Datenverarbeitung zur Bestellabwicklung

9. Zahlungsabwicklung – Apple Pay

10. Zahlungsabwicklung – Google Pay

11. Zahlungsabwicklung – Klarna (inkl. ggf. Bonitätsprüfung)

12. Zahlungsabwicklung – PayPal

13. Zahlungsabwicklung – Shopify Payments

14. Zahlungsabwicklung – Sofortüberweisung

15. Google Tag Manager

16. Google AdSense

17. Google Analytics (inkl. Google-Signale)

18. Google Ads

19. Google Ads Remarketing

20. Zielgruppenbildung mit Kundenabgleich (Google Customer Match)

21. Google Ads Conversion-Tracking

22. Meta (Facebook) Pixel

23. Meta (Facebook) Conversion API

24. Order Printer Pro

25. DATEV Buchhaltungsexpert Pro

26. Audio- und Videokonferenzen (Microsoft Teams)

28. Bewerberdaten

29. Facebook-Unternehmensseite als externer Informationsdienst

30. Unsere Social-Media-Auftritte (Facebook und Instagram)

31. Datenverarbeitung im Rahmen der Erstellung von Gesundheitszeugnissen (app.3wmedical.de)

32. Datenverarbeitung mit Microsoft Azure (Microsoft Cloud)

33. Technischer Betrieb und Auftragsverarbeitung für die Systeme „Identity" und „neuralnetwork"

34. Identitätsprüfung über das System „Identity"

35. Quiz- und Prüfungssystem „neuralnetwork"

36. Zertifikatserstellung, Verifikation und Versand

37. Ergänzende Angaben zur Verarbeitung über die OpenAI API

Barrierefreiheit

Navigation & Interaktion

Kontrast & Farben

Text & Typografie

Erweiterte Funktionen