1) Allgemeine Informationen 1.1 Verantwortlicher Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist: Digital2Face GmbH Wigbertstraße 7a 36251 Bad Hersfeld E-Mail: info@digital2face.de 1.2 Begriffe Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (z. B. Name, E-Mail, Telefonnummer, Chat-Inhalte, Zahlungsdaten, Nutzungsdaten). 1.3 Rechtsgrundlagen Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen) Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit, Stabilität, Missbrauchsprävention, Qualitätskontrolle) Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. Marketing/Tracking) Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung, falls besondere Kategorien wie Gesundheitsdaten betroffen sind) 2) Websitebetrieb über Onepage (www.feegura.de ) 2.1 Hosting / Website-System (Onepage) Wir nutzen Onepage zur Erstellung und zum Betrieb unserer Website/Landingpages. Dabei werden Daten, die Sie auf der Website eingeben oder die technisch beim Abruf anfallen, verarbeitet. Onepage gibt an, dass Websites über AWS und Google gehostet werden und dass – im Fall von AWS – die Daten innerhalb der EU gespeichert werden; außerdem befinden sich Server und CRM-Daten laut Onepage in der EU. Zwecke: Bereitstellung der Website, Stabilität, Sicherheit, Abwicklung von Anfragen/Buchungen Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO; bei vertragsbezogenen Funktionen Art. 6 Abs. 1 lit. b DSGVO 2.2 Server-Logfiles Beim Aufruf der Website werden technisch bedingt Daten verarbeitet (z. B. IP-Adresse, Zeitstempel, aufgerufene Seiten, Referrer, Browser/OS). Zwecke: IT-Sicherheit, Fehleranalyse, Stabilität Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO 3) Cookies & Einwilligungsmanagement Wir verwenden Cookies bzw. ähnliche Technologien: technisch notwendige (für Betrieb/Sicherheit) einwilligungspflichtige (insb. Marketing/Tracking wie Meta Pixel) Technisch notwendige Cookies verarbeiten wir auf Art. 6 Abs. 1 lit. f DSGVO. Marketing/Tracking setzen wir erst nach Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO). Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen widerrufen/ändern. 4) Vertrag & Programmleistung (feegura) Wenn Sie feegura buchen/nutzen, verarbeiten wir Daten, die zur Durchführung des Vertrags erforderlich sind (z. B. Kontakt- und Vertragsdaten, Programmnutzung, Supportanfragen). Zwecke: Vertragserfüllung, Support, Bereitstellung der Inhalte (PDF/KI-Support) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO 5) Kommunikation & KI-Support über WhatsApp (Superchat) 5.1 WhatsApp-Kommunikation Für die Nutzung der feegura-KI erfolgt die Kommunikation über WhatsApp. Dabei werden insbesondere Ihre Telefonnummer, Nachrichteninhalte, Zeitpunkte und technische Metadaten verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung); ergänzend Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Missbrauchsprävention) 5.2 Superchat als Kommunikationsplattform Wir setzen Superchat ein, um WhatsApp-Kommunikation professionell zu verwalten (z. B. Zuweisung, Teamzugriff, Strukturierung). Superchat bietet hierfür einen Auftragsverarbeitungsvertrag (DPA) und nutzt für Subdienstleister außerhalb des EWR Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. f DSGVO 5.3 Menschliche Einsichtnahme zu Qualitätssicherung Zur Sicherstellung der Qualität, zur Fehleranalyse, zur Missbrauchsprävention sowie zur Weiterentwicklung unseres Angebots kann es erforderlich sein, dass autorisierte Mitarbeiter (z. B. Support/Qualitätsteam) Einblick in Chatverläufe erhalten. Schutzmaßnahmen (organisatorisch): Zugriff nur nach Rollen/Rechten („Need-to-know“) interne Vertraulichkeitspflichten Protokollierung / Zugriffskontrolle, soweit technisch vorgesehen Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Qualität, Sicherheit, Optimierung) und/oder Art. 6 Abs. 1 lit. b DSGVO (Support als Teil der Leistung) 5.4 Besondere Datenkategorien (Gesundheitsdaten) Bitte übermitteln Sie über WhatsApp keine medizinischen Diagnosen. Wenn Sie freiwillig Informationen senden, die Rückschlüsse auf Ihre Gesundheit zulassen, können besondere Kategorien personenbezogener Daten betroffen sein. Soweit wir solche Daten zur Erbringung des Supports verarbeiten müssen, erfolgt dies ausschließlich zweckgebunden und nur im erforderlichen Umfang. Rechtsgrundlage: i. d. R. Art. 6 Abs. 1 lit. b DSGVO; bei ausdrücklicher Einwilligung Art. 9 Abs. 2 lit. a DSGVO 6) Anonymisierte Nutzung von Chat-Inhalten für Werbung/Marketing Wir können Inhalte aus Chatverläufen in anonymisierter Form nutzen (z. B. typische Fragen/Antworten, Beispiel-Dialoge, häufige Problemstellungen), um unser Angebot zu erklären, zu verbessern oder in Marketingmaterialien zu verwenden. Wichtig: Vor Nutzung werden Inhalte so aufbereitet, dass keine Rückschlüsse auf eine Person möglich sind (Entfernung/Veränderung von Namen, Telefonnummern, Orten, eindeutigen Details). Falls in einem konkreten Fall doch ein Personenbezug möglich wäre, nutzen wir solche Inhalte nur mit ausdrücklicher Einwilligung. Rechtsgrundlage: bei wirksamer Anonymisierung: keine personenbezogenen Daten mehr andernfalls: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) 7) Automationen mit Zapier Wir nutzen Zapier, um Prozesse zu automatisieren (z. B. Übergabe von Kontakt-/Statusdaten zwischen Systemen, Benachrichtigungen, Workflows). Zapier stellt hierfür ein Data Processing Addendum (DPA) bereit. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO Hinweis Drittlandtransfer: Zapier ist US-basiert; je nach Setup können geeignete Garantien (z. B. SCC) relevant sein (siehe DPA). Mini-Korrektur: Für Zapier habe ich im Web-Abruf den DPA-Beleg nicht direkt gefunden, sondern hier liegt mir der Stripe-DPA vor. Wenn du willst, suche ich dir Zapier-DPA sauber raus und ergänze den Absatz mit einer belastbaren Quelle. (In der Praxis: Zapier hat einen DPA — ich will es nur nicht ohne Beleg als „Fakt“ hinstellen.) 8) Zahlungsabwicklung mit Stripe Zur Zahlungsabwicklung nutzen wir Stripe. Stripe stellt ein Data Processing Agreement (DPA) bereit und verarbeitet personenbezogene Daten als Auftragsverarbeiter, soweit erforderlich. Verarbeitete Daten (typisch): Name, E-Mail, Zahlungsdaten, Transaktionsdaten, Betrugspräventionsdaten (je nach Zahlungsart) Zwecke: Zahlungsabwicklung, Betrugsprävention, Buchhaltung Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungspflichten) 9) Meta Ads (inkl. Meta Pixel / Conversion Tracking / Remarketing) Wir schalten Werbung über Meta (z. B. Facebook/Instagram) und setzen hierzu – sofern Sie einwilligen – das Meta Pixel ein. Das Pixel hilft uns, Kampagnen zu messen (Conversions), Zielgruppen zu bilden (Remarketing) und Werbung zu optimieren. Einwilligung: Die Verarbeitung über Meta Pixel erfolgt grundsätzlich nur nach Einwilligung (Cookie-Banner). Empfänger: Meta Platforms Ireland Limited; es kann zu Übermittlungen an Meta-Unternehmen außerhalb der EU kommen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Widerruf: Sie können die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. 10) Empfänger & Auftragsverarbeiter Wir geben Daten nur weiter, wenn dies erforderlich ist: Onepage (Website/Hosting) Superchat (WhatsApp-Kommunikation/Verwaltung; DPA/SCC) Stripe (Zahlung; DPA) Meta (Marketing/Tracking nach Einwilligung) Zapier (Automationen – je nach Workflow) Sofern erforderlich, schließen wir Auftragsverarbeitungsverträge (Art. 28 DSGVO). Für Drittlandübermittlungen können Standardvertragsklauseln als geeignete Garantie dienen. 11) Speicherdauer & Löschkonzept (Empfehlung) Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist: Website-Logfiles: 90 Tage (Sicherheits-/Fehleranalyse), danach Löschung/Anonymisierung Kontaktanfragen (E-Mail/Formular): 12 Monate nach Abschluss der Anfrage Support-/Programmkommunikation (WhatsApp/Superchat): während aktiver Nutzung + 12 Monate (Qualität, Nachvollziehbarkeit, Support), danach Löschung oder Anonymisierung Vertrags-/Abrechnungsdaten: gemäß handels-/steuerrechtlichen Pflichten In Deutschland gelten u. a. 6, 8 oder 10 Jahre je nach Unterlagenart; die Frist für Buchungsbelege wurde auf 8 Jahre verkürzt (Regelung u. a. für Buchungsbelege wie Rechnungen/Kostenbelege). Marketing-Einwilligungen (Consent-Protokolle): solange erforderlich, um Einwilligung/Widerruf nachweisen zu können (typisch: 3 Jahre als praxisnahe Orientierungsgröße; kann je nach Setup angepasst werden) Wenn gesetzliche Aufbewahrungspflichten oder offene Rechtsansprüche bestehen, speichern wir Daten entsprechend länger. 12) Ihre Rechte (Betroffenenrechte) Sie haben gegenüber uns folgende Rechte: Auskunft (Art. 15 DSGVO) Berichtigung (Art. 16 DSGVO) Löschung (Art. 17 DSGVO) Einschränkung (Art. 18 DSGVO) Datenübertragbarkeit (Art. 20 DSGVO) Widerspruch (Art. 21 DSGVO) Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Kontakt: info@digital2face.de 13) Widerspruchsrecht (Art. 21 DSGVO) Wenn wir Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, können Sie aus Gründen Ihrer besonderen Situation jederzeit Widerspruch einlegen. Wir verarbeiten dann nicht weiter, es sei denn, es bestehen zwingende schutzwürdige Gründe. 14) Datensicherheit Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen (z. B. Rollen-/Rechtemanagement, Zugriffsbeschränkungen, Vertraulichkeit, sichere Übertragung soweit verfügbar). 15) Änderungen dieser Datenschutzerklärung Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Tools oder Prozesse ändern.