Praxisverwaltungs- & Terminmanagementsystem doctorly

Zur effizienten Verwaltung von Patiententerminen, Patientenakte, Abrechnung und weiterer Praxisabläufe nutzen wir die cloudbasierte Praxissoftware doctorly der

doctorly GmbH Donaustraße 44 12043 Berlin (im Folgenden „doctorly“)

doctorly dient insbesondere der

• Online-Terminbuchung für Patienten (sofern aktiviert)

• Internen Terminverwaltung und Kalenderführung

• Dokumentation und Verwaltung von Patientendaten

• Unterstützung bei Abrechnung, eRezept, TI-Anbindung u. ä.

Art der Verarbeitung & Rechtsverhältnis

doctorly verarbeitet die in unserem Auftrag übermittelten personenbezogenen Daten (insbesondere Gesundheitsdaten) ausschließlich als unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir haben mit doctorly einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen, der die strengen Vorgaben der DSGVO sowie die besonderen Anforderungen an die Verarbeitung von Gesundheitsdaten und die ärztliche Schweigepflicht (§ 203 StGB) berücksichtigt.

Verarbeitete Daten (Beispiele – nicht abschließend)

• Stammdaten (Name, Vorname, Geburtsdatum, Adresse, Kontaktdaten)

• Versicherungsdaten (Krankenkassenstatus, Versichertennummer)

• Terminbezogene Daten (Terminzeitpunkt, Behandlungsgrund/Anlassbeschreibung)

• Gesundheitsbezogene Informationen (soweit im Rahmen der Terminbuchung/Verwaltung angegeben)

• Technische Daten (IP-Adresse, Browser-Informationen, Logfiles)

Eine detaillierte Übersicht der verarbeiteten Datenkategorien ergibt sich aus unserem AVV mit doctorly.

Rechtsgrundlage

Die Verarbeitung Ihrer personenbezogenen Daten (einschließlich Gesundheitsdaten) erfolgt auf Grundlage von

• Art. 9 Abs. 2 lit. h) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b) BDSG (Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik, Versorgung oder Behandlung)

• Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung des Behandlungsvertrags / vorvertragliche Maßnahmen)

Die Beauftragung von doctorly als Auftragsverarbeiter bedarf keiner gesonderten Einwilligung. Die Rechtsgrundlage der zugrundeliegenden Verarbeitung (Behandlungsvertrag) genügt.

Datenübermittlung / Drittstaatentransfer

doctorly hostet die Daten nach aktuellem Kenntnisstand ausschließlich in der EU (kein Transfer in unsichere Drittstaaten wie die USA bekannt – Stand Januar 2026). Sollte es in Einzelfällen (z. B. bei Einsatz von Subunternehmern) zu Übermittlungen kommen, erfolgt dies nur unter Einhaltung geeigneter Garantien (EU-Standardvertragsklauseln, Angemessenheitsbeschluss etc.).

Weitere Informationen zur Datenverarbeitung durch doctorly finden Sie in der Datenschutzerklärung des Anbieters: → https://www.doctorly.de/datenschutzerklarung

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch etc.) richten sich grundsätzlich an uns als Verantwortliche. doctorly ist als Auftragsverarbeiter weisungsgebunden und unterstützt uns bei der Erfüllung Ihrer Betroffenenrechte.

Online-Terminbuchung mit Squarespace Acuity Scheduling

Zur Vereinfachung der Terminvereinbarung nutzen wir das Online-Terminbuchungstool Acuity Scheduling (Teil der Squarespace-Plattform) der

Squarespace Ireland Limited Le Pole House, Ship Street Great Dublin 8, Irland (im Folgenden „Squarespace“ / „Acuity Scheduling“)

Die Muttergesellschaft ist die Squarespace, Inc. mit Sitz in New York, USA.

Über Acuity Scheduling können Besucher unserer Website selbstständig Termine buchen, verschieben oder stornieren. Dabei werden personenbezogene Daten direkt in das System eingegeben.

Art der Verarbeitung & Rechtsverhältnis

Squarespace / Acuity Scheduling verarbeitet die übermittelten personenbezogenen Daten ausschließlich als unser Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir haben mit Squarespace den Data Processing Addendum (DPA) abgeschlossen, der automatisch Bestandteil der Squarespace-Nutzungsbedingungen ist. → https://www.squarespace.com/dpa

Verarbeitete Daten (Beispiele – nicht abschließend)

• Stammdaten (Name, Vorname, E-Mail-Adresse, Telefonnummer)

• Terminbezogene Angaben (gewünschter Termin, Terminart/Behandlungsgrund – soweit angegeben)

• Weitere von Ihnen freiwillig eingegebene Informationen (z. B. über individuelle Fragen / Intake-Formulare)

• Technische Daten (IP-Adresse, Browser-Informationen, Zeitpunkt der Buchung)

Welche Daten genau erhoben werden, hängt von Ihrer individuellen Konfiguration des Buchungsformulars ab.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage

• Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung vorvertraglicher Maßnahmen bzw. des Behandlungs-/Beratungsvertrags)

• hilfsweise Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an einer einfachen, nutzerfreundlichen Terminvereinbarung)

Soweit besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erhoben werden, erfolgt die Verarbeitung zusätzlich auf Basis von Art. 9 Abs. 2 lit. h) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b) BDSG (Zwecke der Gesundheitsvorsorge / medizinischen Behandlung).

Datenübermittlung in Drittstaaten (USA)

Squarespace, Inc. hat seinen Hauptsitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt primär auf Grundlage des EU-US Data Privacy Framework (DPF). Squarespace, Inc. ist nach aktuellem Stand DPF-zertifiziert. → Zertifizierung einsehen: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000GnjcAAC

Sollte der DPF in Einzelfällen nicht (mehr) anwendbar sein, greifen die EU-Standardvertragsklauseln (SCCs 2021) als zusätzliche Übermittlungsgarantie.

Weitere Informationen zur Datenverarbeitung finden Sie in der → offiziellen Datenschutzerklärung von Squarespace (deutsch): https://de.squarespace.com/datenschutz → sowie im DPA: https://www.squarespace.com/dpa

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit etc.) richten sich grundsätzlich an uns als Verantwortliche. Squarespace unterstützt uns als Auftragsverarbeiter bei der Erfüllung dieser Rechte (z. B. Datenexport, Löschung von Termin-Datensätzen).

Software zur Remote-Behandlungsplanung – ZEISS Refractive Workplace

Zur digitalen, effizienten und sicheren Planung refraktiver Laserbehandlungen (z. B. SMILE® pro, PRESBYOND®, Femto-LASIK) nutzen wir die Software ZEISS Refractive Workplace der

Carl Zeiss Meditec AG Göschwitzer Straße 51–52 07745 Jena Deutschland (im Folgenden „ZEISS“)

ZEISS Refractive Workplace ist eine cloud- bzw. netzwerkbasierte Planungssoftware, die als Teil des ZEISS Medical Ecosystem (insbesondere mit Anbindung an FORUM®) arbeitet. Sie ermöglicht die Remote-Planung von Behandlungsplänen, die dann digital an die refraktiven Laser (z. B. VISUMAX® 800, MEL® 90) übertragen werden.

Art der Verarbeitung & Rechtsverhältnis

ZEISS verarbeitet die übermittelten personenbezogenen Daten (insbesondere Gesundheitsdaten) in unserem Auftrag ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir haben mit ZEISS einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen, der die strengen Anforderungen der DSGVO, der ärztlichen Schweigepflicht (§ 203 StGB) sowie die besonderen Schutzvorgaben für Gesundheitsdaten (Art. 9 DSGVO) berücksichtigt.

Der genaue Umfang der Verarbeitung, technische und organisatorische Maßnahmen sowie ggf. eingesetzte Subunternehmer ergeben sich aus dem mit ZEISS abgeschlossenen AVV.

Verarbeitete Daten (Beispiele – nicht abschließend)

• Patientenstammdaten (Name, Vorname, Geburtsdatum, Patienten-ID)

• Diagnostische Messdaten (z. B. Topographie, Pachymetrie, Aberrometrie, Biometrie – aus FORUM® übernommen)

• Gesundheitsdaten / refraktive Parameter (Refraktionswerte, Hornhautdaten, geplante Behandlungsparameter)

• Behandlungsplan-Daten (gewählte Verfahren, Laser-Einstellungen, Simulationsergebnisse)

• Technische Protokolldaten (Zugriffszeitpunkte, IP-Adressen der Praxis, Benutzer-IDs)

Welche Daten genau übertragen werden, hängt von der individuellen Konfiguration und dem Umfang der FORUM®-Anbindung ab.

Rechtsgrundlage

Die Verarbeitung Ihrer personenbezogenen Daten (einschließlich besonderer Kategorien von personenbezogenen Daten i.S.d. Art. 9 DSGVO) erfolgt auf Grundlage von

• Art. 9 Abs. 2 lit. h) DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b) BDSG (Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik, Versorgung oder Behandlung im Rahmen der Berufsausübung)

• Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung des Behandlungsvertrags / vorvertragliche Maßnahmen)

Die Beauftragung von ZEISS als Auftragsverarbeiter bedarf keiner gesonderten Einwilligung des Patienten.

Speicherort / Datenübermittlung in Drittstaaten

Nach aktuellem Kenntnisstand (Januar 2026) erfolgt das Hosting der Daten primär in der EU (Deutschland / EU-Rechenzentren). Sollte es in Einzelfällen zu Übermittlungen in Drittstaaten kommen (z. B. bei Subunternehmern), erfolgt dies ausschließlich unter Einhaltung geeigneter Garantien (EU-Standardvertragsklauseln, Binding Corporate Rules oder vergleichbare Mechanismen).

Genauere Angaben zum Speicherort und etwaigen Transfers erhalten Sie auf Anfrage aus unserem AVV mit ZEISS.

Weitere Informationen zur Datenverarbeitung durch ZEISS finden Sie in der allgemeinen → Datenschutzhinweise von ZEISS: https://www.zeiss.com/data-protection/de/home.html

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch etc.) richten sich grundsätzlich an uns als Verantwortliche. ZEISS ist als Auftragsverarbeiter weisungsgebunden und unterstützt uns bei der Erfüllung Ihrer Betroffenenrechte (z. B. Datenexport, Löschung von Behandlungsplänen).

CRM-, Marketing- & Tracking-Tools von HubSpot

Zur Verbesserung unserer Website, für Marketing-Automatisierung, Lead-Generierung, E-Mail-Marketing, Analyse des Nutzerverhaltens und Kundenbeziehungsmanagement nutzen wir die Dienste der

HubSpot, Inc. 25 First Street, 2nd Floor Cambridge, MA 02141 USA (im Folgenden „HubSpot“)

HubSpot stellt uns eine integrierte Plattform (CRM, Marketing Hub, Sales Hub etc.) zur Verfügung. Dabei wird auf unserer Website ein Tracking-Code (HubSpot-Tracking-Pixel/Script) eingebunden.

Art der Verarbeitung & Rechtsverhältnis

HubSpot verarbeitet personenbezogene Daten in unserem Auftrag und ausschließlich als unser Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir haben mit HubSpot das Data Processing Addendum (DPA) abgeschlossen, das automatisch Bestandteil der HubSpot-Nutzungsbedingungen ist. → https://legal.hubspot.com/de/dpa

Verarbeitete Daten (Beispiele – nicht abschließend)

• Technische Zugriffsdaten (IP-Adresse, User-Agent, Referrer-URL, Zeitpunkt)

• Nutzungsdaten (besuchte Seiten, Klicks, Downloads, Scroll-Tiefe, Verweildauer)

• Von Ihnen aktiv übermittelte Daten (z. B. über Kontakt-/Lead-Formulare: Name, E-Mail, Telefon, Firma, Nachricht)

• Cookie- & Tracking-Informationen (HubSpot-Cookies zur Wiedererkennung, Session-Tracking)

• Geräte- und Browser-Informationen

Eine detaillierte Übersicht ergibt sich aus dem DPA und der Datenschutzrichtlinie von HubSpot.

Rechtsgrundlage

Die Nutzung von HubSpot erfolgt auf Grundlage

• Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an effizientem Marketing, Website-Optimierung, Lead-Management und Kundensupport)

• Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung – insbesondere für Tracking-Cookies, personalisierte Werbung, Marketing-E-Mails)

Die Einwilligung wird über unser Consent-Management-Tool eingeholt und kann jederzeit widerrufen werden.

Datenübermittlung in Drittstaaten (USA)

HubSpot, Inc. hat seinen Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt primär auf Grundlage des EU-US Data Privacy Framework (DPF). HubSpot, Inc. ist zertifiziert und verpflichtet sich zur Einhaltung der DPF-Grundsätze. → Zertifizierung einsehen: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TN8pAAG

Sollte der DPF in Einzelfällen nicht anwendbar sein, greifen die EU-Standardvertragsklauseln (SCCs 2021) sowie ergänzende Schutzmaßnahmen (Verschlüsselung, technische/organisatorische Maßnahmen).

Weitere Informationen zur Datenverarbeitung finden Sie in der → HubSpot-Datenschutzrichtlinie (deutsch): https://legal.hubspot.com/de/privacy-policy → DPA: https://legal.hubspot.com/de/dpa

Widerspruchs- & Opt-out-Möglichkeiten

• Über unser Cookie-Einstellungs-Center (Consent-Banner)

• Deaktivierung des Trackings über HubSpot: https://legal.hubspot.com/privacy-policy#opt-out

• Allgemeiner Opt-out für nutzungsbasierte Werbung: http://www.youronlinechoices.com/de/praferenzmanagement/

Meta-Pixel / Besucheraktions-Pixel und Conversions API

Diese Website nutzt zur Konversionsmessung und Optimierung von Werbeanzeigen den Besucheraktions-Pixel (Meta-Pixel) sowie die Meta Conversions API der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Meta“).

Funktionsweise

Das Meta-Pixel ist ein JavaScript-Code-Snippet, das auf unseren Webseiten eingebunden wird. Wenn ein Besucher unsere Website aufruft, stellt das Pixel eine Verbindung zu den Servern von Meta her und übermittelt bestimmte Informationen (z. B. dass die Seite aufgerufen wurde, welche Unterseiten besucht wurden, welche Aktionen ausgeführt wurden wie z. B. Kaufabschluss, Warenkorb hinzufügen, Lead-Formular-Absenden).

Die Conversions API ergänzt das Pixel durch serverseitiges Tracking. Dabei werden ausgewählte Ereignisdaten (Events) direkt von unserem Server an Meta übermittelt – unabhängig von Browser-Einschränkungen, Ad-Blockern oder fehlenden Cookies.

Beide Technologien dienen dazu,

• die Wirksamkeit unserer Facebook-/Instagram-Werbeanzeigen zu messen (Conversion-Tracking)

• Remarketing- und Lookalike-Audiences zu erstellen

• die Ausspielung von Werbung besser auf mutmaßliche Interessen abzustimmen

Verarbeitete Daten (Beispiele – nicht abschließend)

• HTTP-Header-Informationen (u. a. IP-Adresse, User-Agent, Referrer-URL)

• Pixel-spezifische Daten (Pixel-ID, Facebook Cookie-ID bzw. fbp/fbclid)

• Optional: erweiterter Abgleich (E-Mail-Adresse, Telefonnummer, Name, Stadt, PLZ – gehasht)

• Nutzerverhalten auf der Website (besuchte Seiten, Klicks, Käufe, Warenkorbwert etc.)

• Geräte- und Browserinformationen

Eine vollständige Übersicht möglicher Parameter finden Sie in der Meta-Dokumentation: https://developers.facebook.com/docs/marketing-api/conversions-api/parameters

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Soweit mit Hilfe des Meta-Pixels und/oder der Conversions API personenbezogene Daten auf unserer Website erhoben und an Meta weitergeleitet werden, sind wir und die Meta Platforms Ireland Limited gemeinsam Verantwortliche für diese Datenverarbeitung (Art. 26 DSGVO).

Die wesentlichen Inhalte der Vereinbarung über die gemeinsame Verantwortlichkeit (Controller Addendum) können Sie hier einsehen: https://www.facebook.com/legal/controller_addendum

Rechtsgrundlage

Die Nutzung von Meta-Pixel und Conversions API erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 25 Abs. 1 TTDSG.

Die Einwilligung wird über unser Consent-Management-Tool (Cookie-Banner) eingeholt und kann jederzeit mit Wirkung für die Zukunft widerrufen werden (ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird).

Datenübermittlung in Drittstaaten

Meta verarbeitet Ihre Daten teilweise auch in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) sowie ergänzend auf Basis von EU-Standardvertragsklauseln (SCC).

Weitere Informationen zur Datenverarbeitung durch Meta finden Sie in der Datenschutzrichtlinie von Meta: https://www.facebook.com/about/privacy

Widerspruchs-/Opt-out-Möglichkeiten

• Über unser Cookie-Einstellungs-Center (Consent-Banner)

• Über die Meta-Deaktivierungsseite für nutzungsbasierte Werbung: https://www.facebook.com/settings/?tab=ads

• Über die European Interactive Digital Advertising Alliance (EDAA): http://www.youronlinechoices.com/de/praferenzmanagement/

Zahlungsdienstleister Stripe

Zur Abwicklung von Online-Zahlungen (Kredit-/Debitkarte, SEPA-Lastschrift, Apple Pay, Google Pay u. a.) nutzen wir den Zahlungsdienstleister Stripe der

Stripe Payments Europe, Limited 1 Grand Canal Street Lower Grand Canal Dock Dublin 2, Irland (im Folgenden „Stripe“)

sowie – je nach Vertragssitz – der Stripe, LLC, 354 Oyster Point Blvd, South San Francisco, CA 94080, USA (Muttergesellschaft).

Bei Nutzung von Stripe werden im Rahmen des Zahlungsvorgangs personenbezogene Daten direkt von Stripe erhoben und verarbeitet. Wir erhalten von Stripe nur pseudonymisierte Bestätigungen (z. B. „Zahlung erfolgreich“) und keine vollständigen Kartendaten.

Art der Verarbeitung & Rechtsverhältnis

Stripe verarbeitet die im Zahlungsprozess anfallenden Daten

• als unser Auftragsverarbeiter (Art. 28 DSGVO) für die technische Abwicklung der Zahlung in unserem Auftrag und

• teilweise als eigenständiger Verantwortlicher (z. B. Betrugserkennung/Radar, Identitätsprüfung/KYC, Anti-Geldwäsche-Prüfungen, eigene Analysen).

Wir haben mit Stripe den Data Processing Agreement (DPA) abgeschlossen, der automatisch Bestandteil der Stripe-Nutzungsbedingungen ist. → https://stripe.com/legal/dpa

Verarbeitete Daten (Beispiele – nicht abschließend)

• Zahlungsdaten (Kartennummer, Gültigkeitsdatum, CVC – werden direkt bei Stripe erfasst und nie bei uns gespeichert)

• Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Rechnungs-/Lieferadresse)

• Transaktionsdaten (Betrag, Währung, Datum/Uhrzeit, Bestellnummer, Zahlungsmethode)

• Geräte- und Verbindungsdaten (IP-Adresse, Browser/User-Agent, Geräte-ID, Standortdaten)

• Bei Bedarf Identitätsverifizierungsdaten (Ausweisdokumente, Selfies, biometrische Daten – nur bei Stripe)

Eine detaillierte Übersicht finden Sie im Stripe-DPA und in der Stripe-Datenschutzrichtlinie.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage

• Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung des Kauf-/Dienstleistungsvertrags mit Ihnen bzw. vorvertragliche Maßnahmen)

• Art. 6 Abs. 1 lit. c) DSGVO (gesetzliche Verpflichtungen, z. B. Geldwäscheprävention, steuerrechtliche Aufbewahrungspflichten)

• hilfsweise Art. 6 Abs. 1 lit. f) DSGVO (berechtigte Interessen von Stripe an Betrugserkennung, Sicherheit und Zahlungsservice-Optimierung)

Datenübermittlung in Drittstaaten (USA)

Stripe übermittelt personenbezogene Daten teilweise in die USA (an Stripe, LLC). Die Übermittlung erfolgt primär auf Grundlage des EU-US Data Privacy Framework (DPF). Stripe, LLC ist zertifiziert und verpflichtet sich zur Einhaltung der DPF-Prinzipien. → Zertifizierung einsehen: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TQOUAA4&status=Active

Sollte der DPF in Einzelfällen nicht anwendbar sein, greifen die EU-Standardvertragsklauseln (SCCs 2021) sowie ergänzende Schutzmaßnahmen (siehe Stripe Data Transfers Addendum: https://stripe.com/legal/dta).

Weitere Informationen zur Datenverarbeitung durch Stripe finden Sie in der → Datenschutzrichtlinie von Stripe (deutsch): https://stripe.com/de/privacy → sowie im DPA: https://stripe.com/legal/dpa

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch etc.) richten sich

• bei der Zahlungsabwicklung in unserem Auftrag → grundsätzlich an uns als Verantwortliche

• bei Stripe-eigenen Verarbeitungen (z. B. Betrugserkennung, KYC) → direkt an Stripe (dpo@stripe.com)

Automatisierungsplattform Zapier

Zur Automatisierung von Workflows und Datenübertragungen zwischen verschiedenen Anwendungen (z. B. Kontaktformular → CRM, Terminbuchung → E-Mail-Benachrichtigung, Zahlung → Buchhaltung) nutzen wir die Plattform Zapier der

Zapier, Inc. 548 Market St #62411 San Francisco, CA 94104 USA (im Folgenden „Zapier“)

Art der Verarbeitung & Rechtsverhältnis

Zapier verarbeitet die in unseren Workflows („Zaps“) übermittelten personenbezogenen Daten ausschließlich als unser Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir haben mit Zapier das Data Processing Addendum (DPA) abgeschlossen, das automatisch Bestandteil der Zapier-Nutzungsbedingungen ist → https://zapier.com/legal/data-processing-addendum

Verarbeitete Daten (Beispiele – nicht abschließend)

Die genauen Daten hängen von den konfigurierten Zaps ab. Typischerweise können folgende Kategorien betroffen sein:

• Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)

• Kommunikationsdaten (Nachrichten, Formulareingaben, Terminangaben)

• Zahlungs- oder Transaktionsdaten (Betrag, Bestellnummer – pseudonymisiert)

• Nutzungsdaten (IP-Adresse, Zeitpunkt, Geräteinformationen)

• Sonstige von Ihnen oder unseren Tools übermittelte Informationen

Zapier verarbeitet diese Daten nur zur Erfüllung der automatisierten Workflows und speichert sie temporär (üblicherweise 29–69 Tage für Task-History, danach Löschung).

Eine detaillierte Übersicht ergibt sich aus unserem DPA mit Zapier sowie der Subprocessor-Liste: → https://zapier.com/legal/subprocessors

Rechtsgrundlage

Die Beauftragung von Zapier als Auftragsverarbeiter erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f) DSGVO, effiziente, automatisierte und fehlerarme Prozesse in unserem Unternehmen zu betreiben.

Die zugrundeliegende Verarbeitung (z. B. Kontaktaufnahme, Vertragserfüllung) richtet sich nach den jeweiligen Rechtsgrundlagen der verbundenen Dienste (z. B. Art. 6 Abs. 1 lit. b) oder a) DSGVO).

Datenübermittlung in Drittstaaten (USA)

Zapier hat seinen Sitz in den USA und hostet die Daten primär dort (AWS-Server). Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF).

Zapier, Inc. ist zertifiziert und verpflichtet sich zur Einhaltung der DPF-Prinzipien (einschließlich UK-Extension und Swiss-US DPF). → Zertifizierung einsehen: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TNk2AAG&status=Active

Sollte der DPF in Einzelfällen nicht anwendbar sein, greifen die EU-Standardvertragsklauseln (SCCs 2021, Module 2 & 3) als zusätzliche Garantie (integriert im DPA).

Weitere Informationen zur Datenverarbeitung durch Zapier finden Sie in der → Datenschutzerklärung: https://zapier.com/privacy → Data Privacy Overview: https://zapier.com/legal/data-privacy → Data Transfer Impact Assessment: https://zapier.com/legal/data-transfer-impact-assessment

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch etc.) richten sich grundsätzlich an uns als Verantwortliche. Zapier ist als Auftragsverarbeiter weisungsgebunden und unterstützt uns bei der Erfüllung Ihrer Betroffenenrechte (z. B. Datenexport, Löschung aus Task-History).

Domain-Registrierung & Hosting über Domain-Offensive (do.de)

Zur Registrierung, Verwaltung und ggf. dem Hosting von Domains nutzen wir die Dienste der

Domain-Offensive GmbH Körnerweg 19 24103 Kiel Deutschland (im Folgenden „do.de“ oder „Domain-Offensive“)

do.de ist ein akkreditierter Domain-Registrar und bietet neben der Registrierung von Domains (z. B. .de, .com, .net, .eu, .ai, .online u. v. m.) auch Webhosting, SSL-Zertifikate, DynDNS und Schutzfunktionen wie Domain-Safe an.

Art der Verarbeitung & Rechtsverhältnis

Bei der Domainregistrierung werden personenbezogene Daten (insbesondere Stammdaten des Domaininhabers) zwingend an die jeweilige Registry (z. B. DENIC eG für .de-Domains) sowie teilweise an ICANN weitergeleitet.

do.de agiert dabei

• als unser Auftragsverarbeiter (Art. 28 DSGVO) für die Abwicklung der Registrierung, Verwaltung und ggf. des Hostings in unserem Auftrag

• teilweise als Vermittler für die Übermittlung an die Registry/ICANN, die als eigene Verantwortliche (oder gemeinsam Verantwortliche) gelten

Wir haben mit do.de einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Die genauen Regelungen zur Weiterleitung an Registries ergeben sich aus der Datenschutzerklärung von do.de: → https://www.do.de/agb/datenschutz/

Verarbeitete Daten (Beispiele – nicht abschließend)

• Stammdaten des Domaininhabers (Name, Adresse, E-Mail-Adresse, Telefonnummer – sog. WHOIS-Daten)

• Technische Daten (IP-Adresse, Zahlungsdaten, Vertragsdaten)

• Bei Hosting/SSL: Zugriffsdaten (Logfiles, Nutzungsdaten)

Hinweis zu WHOIS: Aufgrund der DSGVO werden personenbezogene Daten in öffentlichen WHOIS-Abfragen für die meisten TLDs anonymisiert oder nur bei berechtigtem Interesse (z. B. Rechtsverfolgung) herausgegeben.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage

• Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung des Vertrags über Domainregistrierung/Hosting mit Ihnen bzw. vorvertragliche Maßnahmen)

• Art. 6 Abs. 1 lit. c) DSGVO (gesetzliche Verpflichtung zur Weiterleitung an Registries/ICANN)

Datenübermittlung in Drittstaaten

Bei bestimmten TLDs (z. B. .com, .net, .ai) erfolgt eine Übermittlung an Registries/ICANN mit Sitz außerhalb der EU (z. B. USA). Die Übermittlung erfolgt auf Grundlage

• EU-Standardvertragsklauseln (SCCs) und/oder

• EU-US Data Privacy Framework (DPF), sofern die jeweilige Stelle zertifiziert ist

do.de selbst hostet primär in Deutschland/EU. Weitere Details finden Sie in der Datenschutzerklärung von do.de.

Weitere Informationen zur Datenverarbeitung durch Domain-Offensive finden Sie hier: → https://www.do.de/agb/datenschutz/

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch etc.) richten sich grundsätzlich an uns als Verantwortliche. do.de unterstützt uns als Auftragsverarbeiter bei der Erfüllung dieser Rechte (z. B. Datenexport, Löschung von Vertragsdaten).

Bei Daten, die direkt an Registries/ICANN übermittelt wurden, richten sich Anfragen ggf. an die jeweilige Registry.

Cloud-Telefonanlage & Anrufassistent mit Aircall

Zur Führung von Telefonaten, Kontaktcenter-Funktionen, Anrufweiterleitung, Voicemail, Anrufaufzeichnung (sofern aktiviert) sowie AI-gestützten Features (z. B. Call-Summaries, Sentiment-Analyse, Voice Agent) nutzen wir die Cloud-Telefonielösung Aircall der

Aircall SAS 45 Rue de Lisbonne 75008 Paris Frankreich (sowie verbundene Unternehmen der Aircall-Gruppe, insb. Aircall.io, Inc., USA)

(im Folgenden „Aircall“)

Aircall stellt eine cloudbasierte VoIP-Telefonanlage bereit, die in unser CRM / unsere Website / unseren Kundenservice integriert wird.

Art der Verarbeitung & Rechtsverhältnis

Aircall verarbeitet die im Rahmen der Telefonie anfallenden personenbezogenen Daten (insbesondere Kommunikationsdaten) ausschließlich als unser Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir haben mit Aircall den Data Processing Agreement (DPA) abgeschlossen, der automatisch Bestandteil der Aircall-Nutzungsbedingungen ist → https://aircall.io/dpa/

Verarbeitete Daten (Beispiele – nicht abschließend)

• Kommunikationsdaten (Telefonnummern ein-/ausgehend, Anrufdauer, Zeitpunkt, Anrufstatus)

• Inhaltsbezogene Daten (bei aktiver Aufzeichnung: Gesprächsaufzeichnung; bei AI-Features: Transkripte, Zusammenfassungen, Sentiment)

• Technische Daten (IP-Adresse, Geräte-Informationen, Logfiles)

• Stammdaten der Nutzer (Ihre internen Benutzer: Name, E-Mail, Rolle)

• Von Anrufern übermittelte Informationen (z. B. in Voicemail oder im Gespräch)

Eine detaillierte Übersicht der Datenkategorien ergibt sich aus unserem DPA mit Aircall sowie der Subprocessor-Liste.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage

• Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung des Vertrags mit Ihnen / vorvertragliche Maßnahmen, z. B. Kundenservice per Telefon)

• Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an effizienter Kommunikation, Qualitätskontrolle, Schulung – soweit Aufzeichnung)

• Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung – insbesondere bei aktiver Anrufaufzeichnung oder AI-Verarbeitung)

Bei Anrufaufzeichnung / AI-Features holen wir vorab eine ausdrückliche Einwilligung ein (automatisierte Ansage) und bieten Widerspruchsmöglichkeit.

Datenübermittlung in Drittstaaten (USA)

Aircall nutzt Infrastruktur (AWS) mit primärem Hosting in Europa (z. B. Deutschland für Aufzeichnungen/Voicemails) und teilweise in den USA (Account-Daten, Analytics etc.).

Übermittlungen in die USA erfolgen auf Grundlage des EU-US Data Privacy Framework (DPF). Aircall.io, Inc. ist zertifiziert und verpflichtet sich zur Einhaltung der DPF-Prinzipien. → Zertifizierung einsehen: https://www.dataprivacyframework.gov/ (Suche nach „Aircall“)

Bei Nichtanwendbarkeit des DPF greifen EU-Standardvertragsklauseln (SCCs 2021) + ergänzende Schutzmaßnahmen (TIA durchgeführt).

Weitere Informationen zur Datenverarbeitung finden Sie in → Aircall Privacy Policy: https://aircall.io/privacy/ → DPA: https://aircall.io/dpa/ → Privacy FAQs: https://aircall.io/privacy-faqs/

Ihre Rechte & Anrufaufzeichnung

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch) richten sich grundsätzlich an uns als Verantwortliche. Aircall unterstützt uns als Auftragsverarbeiter bei der Erfüllung (z. B. Löschung von Aufzeichnungen).

Bei aktiver Anrufaufzeichnung / AI-Verarbeitung:

• Automatische Ansage zu Beginn des Gesprächs

• Möglichkeit zum sofortigen Widerspruch (z. B. „Aufzeichnung stoppen“ sagen oder auflegen)

• Aufzeichnungen werden nur so lange gespeichert, wie für den Zweck erforderlich (

Cookie-Einwilligungs-Management mit CookieYes

Zur Einholung, Verwaltung und Dokumentation von Einwilligungen für Cookies und ähnliche Technologien (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG) nutzt diese Website den Consent-Management-Provider (CMP) CookieYes.

Anbieter: CookieYes Limited 3 Warren Yard, Warren Park Wolverton Mill, Milton Keynes MK12 5NW, United Kingdom (im Folgenden „CookieYes“)

Funktionsweise & Datenverarbeitung

CookieYes stellt ein Consent-Banner/-Layer bereit, über das Besucher ihre Einwilligungen in verschiedene Cookie-Kategorien erteilen, verweigern oder später widerrufen können.

Zur technischen Bereitstellung und korrekten Zuordnung der Einwilligungserklärungen werden beim Aufruf der Website folgende Daten an CookieYes übermittelt und dort (meist nur kurzzeitig) gespeichert:

• Anonymisierte oder pseudonymisierte Consent-ID

• Zeitpunkt der Einwilligung / Widerruf

• IP-Adresse (in gekürzter / anonymisierter Form)

• User-Agent-String (Browser- und Geräteinformationen)

• Referrer-URL

• Gewählte Einstellungen (welche Kategorien akzeptiert / abgelehnt wurden)

Diese Daten dienen ausschließlich dazu,

• die vom Nutzer getroffene Einwilligungsentscheidung nachzuweisen und technisch umzusetzen

• das Banner bei erneutem Besuch nicht erneut anzuzeigen (sofern Einwilligung vorliegt)

• eine revisionssichere Dokumentation der Einwilligungen zu gewährleisten

CookieYes verarbeitet diese Daten als unser Auftragsverarbeiter (Art. 28 DSGVO). Es besteht ein entsprechender Auftragsverarbeitungsvertrag (AVV).

Rechtsgrundlage

Die Verwendung von CookieYes ist erforderlich, um die gesetzliche Pflicht zur Einholung wirksamer Einwilligungen zu erfüllen. Rechtsgrundlage ist daher Art. 6 Abs. 1 lit. c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit § 25 TTDSG sowie hilfsweise unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO, eine datenschutzkonforme, nutzerfreundliche und nachweisbare Einwilligungsverwaltung zu betreiben.

Datenübermittlung in Drittstaaten

Großbritannien gilt seit dem Adequacy Decision der EU-Kommission vom 28. Juni 2021 als Drittland mit einem angemessenen Datenschutzniveau (vergleichbar mit der DSGVO). Eine darüber hinausgehende Übermittlung in unsichere Drittstaaten (z. B. USA) findet nach aktuellem Kenntnisstand von CookieYes nicht statt.

Weitere Informationen zur Datenverarbeitung durch CookieYes finden Sie in der Datenschutzerklärung des Anbieters: https://www.cookieyes.com/privacy-policy/

Widerruf / Änderung der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft ändern oder vollständig widerrufen. Klicken Sie hierzu einfach auf den Link → Cookie-Einstellungen ändern / Cookie-Einstellungen (meist im Footer oder direkt im Banner verlinkt).

Interaktive Formulare & Lead-Funnels mit Heyflow

Zur Erstellung und Einbindung interaktiver Formulare, Multi-Step-Funnels, Quizze oder Landingpages nutzen wir die No-Code-Plattform Heyflow der

Heyflow GmbH Jungfernstieg 49 20354 Hamburg Deutschland (im Folgenden „Heyflow“)

Heyflow ermöglicht die Erstellung benutzerfreundlicher, interaktiver Online-Formulare und Lead-Generierungs-Tools, die nahtlos in unsere Website eingebunden werden können.

Art der Verarbeitung & Rechtsverhältnis

Heyflow verarbeitet die über die Flows erhobenen personenbezogenen Daten ausschließlich als unser Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir haben mit Heyflow einen Auftragsverarbeitungsvertrag (Data Processing Addendum / DPA) abgeschlossen, der automatisch Bestandteil der Heyflow-Nutzungsbedingungen ist. → https://heyflow.com/legal/data-processing-agreement (oder direkt über den Heyflow-Support anfordern)

Verarbeitete Daten (Beispiele – nicht abschließend)

Die genauen Daten hängen von deiner individuellen Flow-Konfiguration ab. Typischerweise können folgende Kategorien betroffen sein:

• Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift – soweit abgefragt)

• Von Ihnen eingegebene freie Texte oder Auswahlen (z. B. Anliegen, Präferenzen)

• Technische Daten (IP-Adresse, Browser-Informationen, Gerätetyp, Zeitpunkt der Interaktion)

• Nutzungsdaten (Abbruchraten, besuchte Flow-Schritte – anonymisiert oder pseudonymisiert)

• Bei aktivierten „Sensitive Fields“: Markierte sensible Daten werden nach Übermittlung permanent gelöscht (Sensitive Tag-Funktion)

Eine detaillierte Übersicht der verarbeiteten Datenkategorien ergibt sich aus unserem DPA mit Heyflow sowie der Subprocessor-Liste.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage

• Art. 6 Abs. 1 lit. b) DSGVO (vorvertragliche Maßnahmen / Erfüllung eines Vertrags – z. B. Kontaktanfrage, Terminvereinbarung)

• Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an einer nutzerfreundlichen, interaktiven und conversion-optimierten Kommunikation mit Website-Besuchern)

• Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung – falls erforderlich, z. B. bei Tracking-Integrationen oder Marketing-Zwecken)

Bei sensiblen personenbezogenen Daten (Art. 9 DSGVO) nur mit ausdrücklicher Einwilligung oder anderer Ausnahme (z. B. Gesundheitsdaten).

Datenübermittlung / Speicherort

Heyflow hostet und verarbeitet alle Daten ausschließlich in der EU (Google Cloud Platform – EU-Rechenzentren). Es findet kein Transfer in unsichere Drittstaaten (z. B. USA) statt.

Heyflow ist vollständig DSGVO-konform, ISO 27001-zertifiziert, führt jährliche Penetrationstests durch und bietet Funktionen wie automatische Löschung nach 6 Monaten (auf Wunsch) sowie den „Sensitive Tag“.

Weitere Informationen zur Datenverarbeitung durch Heyflow finden Sie in der → Datenschutzerklärung: https://heyflow.com/legal/data-privacy → FAQ Data Privacy: https://www.heyflow.help/en/articles/8608215-faq-data-privacy → Data Security Seite: https://heyflow.com/features/data-security/

Ihre Rechte

Ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch etc.) richten sich grundsätzlich an uns als Verantwortliche. Heyflow ist als Auftragsverarbeiter weisungsgebunden und unterstützt uns bei der Erfüllung Ihrer Betroffenenrechte (z. B. Löschung von Flow-Antworten).

Google Analytics

Diese Website nutzt Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“).

Google Analytics 4 ermöglicht die Analyse der Benutzung unserer Website durch Besucher. Dabei werden verschiedene Nutzungs- und Verhaltensdaten pseudonymisiert erhoben und ausgewertet.

Verarbeitete Daten (Beispiele – nicht abschließend)

• Browser- und Gerätetyp

• Betriebssystem

• Herkunft des Besuchers (Referrer)

• Aufgerufene Seiten und Dateien

• Verweildauer auf einzelnen Seiten

• Absprungrate

• Ungefährer Standort (nur Land + Stadt – keine exakte IP-Geolokalisierung mehr)

• Pseudonymisierte User-IDs (bei eingeloggten Nutzern)

• Interaktionen (Klicks, Scrolltiefe, Video-Views etc.)

Die IP-Adresse wird bei Google Analytics 4 direkt nach Erfassung anonymisiert (IP-Masking ist standardmäßig aktiviert). Eine direkte Personenbeziehbarkeit ist damit in der Regel ausgeschlossen.

Rechtsgrundlage

Die Nutzung von Google Analytics erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO i.V.m. § 25 Abs. 1 TTDSG.

Die Einwilligung wird über unser Consent-Management-Tool (Cookie-Banner) eingeholt und kann jederzeit mit Wirkung für die Zukunft widerrufen werden (ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird).

Auftragsverarbeitung & Datenübermittlung in Drittstaaten

Wir haben mit Google einen Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen. → https://business.safety.google/processorterms/

Google verarbeitet Ihre Daten teilweise auch in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Google LLC ist nach aktuellem Stand DPF-zertifiziert. → Zertifizierung einsehen: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI

Sollte der DPF in Einzelfällen nicht (mehr) anwendbar sein, greifen die EU-Standardvertragsklauseln (SCCs 2021, Module 2) sowie ergänzende technische und organisatorische Schutzmaßnahmen (siehe Google Cloud DPA).

Einstellungen & Widerspruchsmöglichkeiten

Sie können Ihre Einwilligung jederzeit ändern oder widerrufen über unseren → Cookie-Einstellungen (Link meist im Footer oder direkt im Banner)

Weitere Widerspruchsmöglichkeiten:

• Browser-Add-on zur Deaktivierung von Google Analyticshttps://tools.google.com/dlpage/gaoptout?hl=de

• Opt-out über die Google-Einstellungen (nutzungsbasierte Werbung deaktivieren) https://adssettings.google.com/authenticated

• Allgemeiner Widerspruch gegen nutzungsbasierte Werbung (EDAA) http://www.youronlinechoices.com/de/praferenzmanagement/

Speicherdauer

Die bei Google Analytics erhobenen Daten werden nach 14 Monaten automatisch gelöscht (Standardeinstellung bei GA4). Sie können diese Frist in den Google Analytics-Einstellungen auch auf 2 Monate verkürzen.

Weitere Informationen zur Datenverarbeitung durch Google im Zusammenhang mit Google Analytics finden Sie hier: → https://policies.google.com/privacy → https://support.google.com/analytics/answer/6004245?hl=de