1 | Geltungsbereich
6. Mouseflow
Diese Website verwendet Mouseflow der Mouseflow ApS, Flaesketorvet 68, 1711 Kopenhagen, Dänemark: ein Webanalyse-Tool, das wertvolle Informationen darüber liefert, wie Nutzer mit dieser Website interagieren und sich auf ihr bewegen. Hierbei handelt es sich nicht um eine Videoaufzeichnung deines Bildschirms, sondern um eine digitale Rekonstruktion deiner Interaktionen auf der Webseite. Die gesammelten Informationen werden verwendet, um die Website schneller und benutzerfreundlicher zu gestalten. Mouseflow bietet Funktionen wie Sitzungswiedergabe, Heatmaps, Trichteranalysen, Formularanalysen, Feedback-Umfragen, Nutzerreisen und ähnliche Funktionen.
Mouseflow kann deine Klicks, Mausbewegungen, Scrollverhalten, besuchte Seiten, Verweildauer auf der Website, Browser- und Betriebssysteminformationen, Gerätetyp (Desktop/Tablet/Smartphone), Bildschirmauflösung, Besuchertyp (Erstbesuch/Wiederkehrer), Referrer, anonymisierte IP-Adresse, Standort (Stadt/Land), Antworten auf Feedback-Umfragen, bevorzugte Sprache und ähnliche Metadaten erfassen. Persönliche Eingaben in Formularfeldern (z. B. Namen oder Kontaktdaten) werden durch eine automatische Maskierung nicht erfasst. Die mit Mouseflow erhobenen Daten werden nicht zur persönlichen Identifizierung der Besucher dieser Website verwendet. Mouseflow erfasst keine Informationen auf Seiten, auf denen es nicht installiert ist, und verfolgt oder sammelt keine Daten außerhalb deines Webbrowsers. Wir haben mit dem Anbieter einen Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen; das Datenhosting erfolgt innerhalb der EU.
Weitere Informationen über Mouseflow und seine Dienstleistungen findest du unter: https://www.mouseflow.com.
Die Datenschutzerklärung von Mouseflow findest du under: https://mouseflow.com/legal/company/privacy-policy/.
Die Rechtsgrundlage für das Setzen von Mouseflow-Cookies sowie für die nachfolgende Verarbeitung der erhobenen Daten (Nutzung, Analyse und Speicherung) ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG für das Setzen von Cookies). Du kannst diese Einwilligung jederzeit über unsere Cookie-Einstellungen unter AllyTime mit Wirkung für die Zukunft widerrufen. Alternativ kannst du hier widersprechen: https://mouseflow.com/opt-out.
7. Kontaktaufnahme per E-Mail oder Kontaktformular
Bei deiner Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von dir mitgeteilten Daten (E-Mail-Adresse, ggf. Name und Telefonnummer) von uns gespeichert, um deine Fragen zu beantworten und dein Anliegen zu bearbeiten. Diese Angaben dienen uns zur Konkretisierung deiner Anfrage und zur verbesserten Abwicklung deines Anliegens. Eine Mitteilung dieser Angaben erfolgt ausdrücklich auf freiwilliger Basis. Rechtsgrundlage ist entweder die Erfüllung einer Vertragspflicht, Maßnahmen zur Vertragsanbahnung oder unser berechtigtes Interesse an der Bereitstellung eines Kontaktformulars (Art. 6 Abs. 1 lit. b und lit. f DSGVO). Du bist weder verpflichtet, uns über das Kontaktformular oder per E-Mail zu kontaktieren noch personenbezogene Daten anzugeben. Wenn du deine personenbezogenen Daten nicht angibst, können wir deine Anfrage möglicherweise nicht bearbeiten. Andernfalls wird es keine Konsequenzen für dich geben.
8. Abschluss und Durchführung von Verträgen, Vertragsanbahnung
Zum Abschluss bzw. zur Durchführung von Verträgen, insbesondere Berater- und Nutzungsverträge für unsere Software-Anwendungen (auch online über den Registrierungsprozess auf unserer Website oder in unserer App), mit dir verarbeiten wir dich betreffende personenbezogene Daten, u.a. Name, Alter und deine E-Mail-Adresse. Im Rahmen der Vertragsdurchführung kann es auch zur Verarbeitung von Gesundheitsdaten kommen, sofern du uns z.B. in Beratungsgesprächen aktuelle oder vergangene Befunde mitteilst. Gesundheitsdaten verarbeiten wir nur, sofern du uns vorher deine Einwilligung erteilt hast. Rechtsgrundlage ist in diesem Fall Art. 9 Abs. 2 lit. a), Art. 6 Abs. 1 lit. a) DSGVO. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft z.B. per E-Mail an die unter Ziffer 1 angegebene E-Mail-Adresse widerrufen.
Wenn du über unser Kontaktformular einen Termin vereinbarst, verarbeiten wir deine E-Mail-Adresse, den Betreff, ggf. Vor- und Nachnamen von dir oder einem/einer Angehörigen, deine Anrede und deine Telefonnummer sowie weitere Angaben, die du uns freiwillig und optional über das Kontaktformular zur Verfügung stellst, um einen Termin mit dir zu vereinbaren. Die Rechtsgrundlage für die Verarbeitung deiner personenbezogenen Daten ist jeweils Art. 6 Abs. 1 lit. b DSGVO. Der Zweck der Verarbeitung liegt in der Begründung und Durchführung der vertraglichen Beziehung zu dir einschließlich vorvertraglicher Maßnahmen zur Vertragsanbahnung. Dafür ist die Bereitstellung deiner personenbezogenen Daten erforderlich. Du bist nicht verpflichtet, deine personenbezogenen Daten bereitzustellen, sofern du diese jedoch nicht bereitstellst, ist die Begründung und Durchführung der vertraglichen Beziehung nicht möglich. Sonst ergeben sich für dich keine Konsequenzen.
Darüber hinaus verarbeiten wir, soweit dies zur Anbahnung oder Durchführung von Vertragsverhältnissen erforderlich ist, auch Daten von Personen, zu denen kein (unmittelbares) Vertragsverhältnis besteht. So können wir deine Daten verarbeiten, wenn du ein Familienmitglied eines/einer Klient:in, ein:e Vertreter:in, Ansprechpartner:in oder Mitarbeiter:in eines Unternehmens bist, welches unser:e Vertragspartner:in ist. Rechtsgrundlage ist in diesem Fall unser berechtigtes Interesse an der Anbahnung oder Durchführung des jeweiligen Vertragsverhältnisses (Art. 6 Abs. 1 Buchst. f DSGVO). Wenn du detaillierte Informationen zur Interessenabwägung wünschst, wende dich bitte an unsere:n Datenschutzbeauftragte:n.
Zahlungsdienste
Wir binden Zahlungsdienste von Drittunternehmen auf unserer Website und in unserer App über unseren Dienstleister cituro GmbH (siehe auch Ziffer 15) ein. Wenn du einen Kauf bei uns tätigst, werden deine Zahlungsdaten (z. B. Name, Zahlungssumme, Kontoverbindung, Kreditkartennummer) vom Zahlungsdienstleister zum Zwecke der Zahlungsabwicklung verarbeitet. Für diese Transaktionen gelten die jeweiligen Vertrags- und Datenschutzbestimmungen des jeweiligen Anbieters, den du ausgewählt hast. Der Einsatz der Zahlungsdienstleister erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b) DSGVO (Vertragsabwicklung) sowie im Interesse eines möglichst reibungslosen, komfortablen und sicheren Zahlungsvorgangs (Art. 6 Abs. 1 lit. f) DSGVO). Soweit für bestimmte Handlungen deine Einwilligung abgefragt wird, ist Art. 6 Abs. 1 lit. a) DSGVO Rechtsgrundlage der Datenverarbeitung; Einwilligungen sind jederzeit für die Zukunft widerrufbar. Sofern die Zahlungsdienste Cookies setzen, ist Rechtsgrundlage ebenfalls deine Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO.
Folgende Zahlungsdienste / Zahlungsdienstleister setzen wir im Rahmen dieser Website ein:
9. Soziale Netzwerke
Unsere Website enthält Links zu sozialen Netzwerken (LinkedIn und Instagram). Diese Dienste werden ausschließlich von Drittanbietern betrieben. Wenn du den Links folgst, werden ggf. Informationen, insbesondere deine IP-Adresse und weitere Geräteinformationen an diese Anbieter übermittelt. Wir setzen für Links zu sozialen Netzwerken die sog. „Zweiklick-Lösung” ein. Das heißt, wenn du unsere Seite besuchst, werden grundsätzlich keine personenbezogenen Daten weitergegeben. Nur wenn du auf einen der Social-Share Buttons klickst, werden Daten an den jeweiligen Anbieter übermittelt. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch den Anbieter sowie deine diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutze deiner Privatsphäre entnimmst du bitte den Datenschutzhinweisen des jeweiligen Anbieters. Diese findest du hier:
Instagram LLC, 1601 Willow Rd, Menlo Park CA 94025, USA
https://help.instagram.com/155833707900388
LinkedIn Corporation, 2029 Stierlin Court, Mountain View, California 94043, USA
http://www.linkedin.com/legal/privacy-policy/
10. Gemeinsame Verantwortlichkeit mit Betreibern sozialer Netzwerke
Wir unterhalten Unternehmensseiten auf den sozialen Netzwerken von Instagram und LinkedIn. Als Betreiber dieser Seiten sind wir für die Erhebung (jedoch nicht für die weitere Verarbeitung) der Daten von Besucher:innen unserer Unternehmensseiten gemeinsam mit dem jeweiligen Betreiber des sozialen Netzwerks
Zu den erhobenen Daten gehören
Wir haben mit dem jeweiligen Betreiber des sozialen Netzwerks eine spezielle Vereinbarung abgeschlossen:
Instagram: “Informationen zu Seiten-Insights”,
https://www.facebook.com/legal/terms/page_controller_addendum
LinkedIn: “Page Insights Joint Controller Addendum"
https://legal.linkedin.com/pages-joint-controller-addendum
In diesen wird jeweils insbesondere geregelt, welche Sicherheitsmaßnahmen der Betreiber beachten muss und in der sich der Betreiber bereit erklärt hat, die Betroffenenrechte zu erfüllen (d. h. Nutzer:innen können z. B. Auskünfte oder Löschungsanfragen direkt an den/die Betreiber:in des sozialen Netzwerks richten).
Die Rechte der Besucher:innen (insbesondere auf Auskunft, Löschung, Widerspruch und Beschwerde bei der Aufsichtsbehörde) werden durch die Vereinbarungen mit dem jeweiligen Betreiber nicht eingeschränkt. Du kannst deine Rechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde) sowohl gegenüber uns als auch gegenüber dem jeweiligen Betreiber des sozialen Netzwerks geltend machen.
Es besteht bei Instagram und LinkedIn die Möglichkeit, dass einige der erfassten Informationen auch außerhalb der Europäischen Union in den USA verarbeitet werden. Die LinkedIn Corporation sowie die Meta Platforms, Inc sind nach dem Data Privacy Framework zertifiziert (siehe auch Ziffer 15).
Weitere Informationen zum Umgang mit personenbezogenen Daten findest du in den Datenschutzhinweisen von Instagram und LinkedIn.
11. Datenverarbeitung bei einer Bewerbung auf eine Stelle bei uns
Du kannst dich bei uns per E-Mail oder postalisch bewerben. Innerhalb des Bewerbungsprozesses, unabhängig davon, ob die Bewerbung per E-Mail oder postalisch erfolgt, verarbeiten wir deine personenbezogenen Daten, in der Regel Name, Adresse, E-Mail, Telefonnummer, Familienstand, Qualifikation, ggf. weitere persönliche Informationen aus deinem Anschreiben und Lebenslauf sowie Dateianhänge (u.a. Lebenslauf und Zeugnisse), die du ggf. beifügst. Die Verarbeitung erfolgt zum Zweck der Kontaktaufnahme und zur Bewertung deiner Eignung für die Stelle, auf die du dich bewirbst. Rechtsgrundlage ist § 26 Abs. 1, Abs. 8 S. 2 BDSG oder § 26 Abs. 2, Abs. 8 S. 2 BDSG. Bleibt deine Bewerbung erfolglos, werden diese Daten sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht, wenn du nicht ausdrücklich einer längeren Speicherung zugestimmt hast. Schließen wir einen Anstellungsvertrag mit einem/einer Bewerber:in, werden die übermittelten Daten zum Zwecke der Abwicklung des Beschäftigungsverhältnisses unter Beachtung der gesetzlichen Vorschriften gespeichert. Du bist nicht dazu verpflichtet, uns deine personenbezogenen Daten mitzuteilen. Wir weisen dich allerdings darauf hin, dass deine Bewerbung nicht berücksichtigt werden kann, wenn du uns deine personenbezogenen Daten nicht zur Verfügung stellst. Weitere Konsequenzen entstehen für dich nicht.
12. Datenverarbeitung beim Einsatz eines Videokonferenzdienstes
Gegebenenfalls setzen wir für Telefonate und online Meetings mit dir einen Videokonferenzdienst eines Drittanbieters ein. Wenn du an solchen Meetings teilnimmst, werden gegebenenfalls Informationen an den jeweiligen Anbieter übermittelt. Deine Teilnahme an einem solchen Meeting ist freiwillig. Wir stellen dir gern bei Bedarf einen anderen Kommunikationsweg mit uns zur Verfügung.
Die Rechtsgrundlage für die Verarbeitung deiner personenbezogenen Daten im Rahmen von Online- Meetings ist Art. 6 Abs. 1 Buchst. b DSGVO (wenn wir das Meeting zur Durchführung einer vertraglichen Beziehung mit dir abhalten) oder Art. 6 Abs. 1 Buchst. f DSGVO (wenn wir das Meeting zu sonstigen geschäftlichen Zwecken durchführen); im letztgenannten Fall liegt unser berechtigtes Interesse darin, funktionale und in der Nutzung weit verbreitete Tools für Videokonferenzdienste einsetzen zu können, um mit Dritten (z.B. Bewerber, Mitarbeitern von externen Dienstleistern oder Partnern) effizient kommunizieren zu können.
Wir zeichnen Videokonferenzen und Telefonkonferenzen nicht auf. Videokonferenzen sind nach dem Stand der Technik gesichert und Ende-zu-Ende verschlüsselt, sofern der Drittanbieter dies technisch in der konkreten Situation anbietet.
Soweit wir für die technische Durchführung den Dienst “Microsoft Teams” oder „Zoom“ nutzen, gilt das Folgende: Der von uns eingesetzte Dienstleister ist im Fall von „Microsoft Teams“ die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA, im Fall von „Zoom“ die Zoom Video Communications, Inc., 55 Almaden Boulevard, Suite 600, San Jose, CA 95113 (gemeinsam Drittanbieter). Die Drittanbieter verarbeiten dabei in unserem Auftrag personenbezogene Daten der Teilnehmer, insbesondere die IP-Adresse, E-Mail-Adressen, Namen und ggf. weitere dienstbezogene Daten, und speichert diese für die Dauer der Videokonferenz oder, sofern du die Dienste darüberhinausgehend nutzt, für die Dauer der Nutzung. Die Drittanbieter sind von uns ordnungsgemäß als Auftragsverarbeiter auf die Einhaltung des Datenschutzes verpflichtet. Die Drittanbieter können die Daten auch außerhalb des Europäischen Wirtschaftsraums verarbeiten (siehe dazu unter Übermittlung von personenbezogenen Daten an Dritte und in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR). Microsoft Corporation und Zoom Voice Communications, Inc. sind nach dem Data Privacy Framework zertifiziert.
13. Datenverarbeitung beim Einsatz von Instant-Messaging-Diensten
Wir bieten dir die Möglichkeit, über den Messenger-Dienst WhatsApp mit uns in Kontakt zu treten.
Solltest du über den Messenger-Dienst WhatsApp Kontakt mit uns aufnehmen, übermittelst du uns damit automatisch deine Mobilnummer.
Die Nutzung dieser Instant-Messaging-Dienste ist freiwillig. Dir stehen andere Kommunikationswege mit uns zur Verfügung. So findest du z.B. in unserem Impressum unsere E-Mail-Adresse und Telefonnummer.
Für den europäischen Raum ist das Unternehmen WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland verantwortlich. WhatsApp erhält Zugriff auf Metadaten, die im Rahmen der Kommunikation entstehen (z.B. Absender, Empfänger und Zeitpunkt). WhatsApp teilt personenbezogene Daten seiner Nutzer mit dem in den USA ansässigen Mutterkonzern Meta Platforms, Inc. Weitere Informationen zur Datenverarbeitung findest du in der WhatsApp-Datenschutzrichtlinie unter: https://www.whatsapp.com/legal/privacy-policy-eea. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details findest du hier: https://www.whatsapp.com/legal/business-data-transfer-addendum.
Bitte beachte, dass Aufsichtsbehörden dem Messenger-Dienst WhatsApp kritisch gegenüberstehen. Dies liegt insbesondere an dem oben bereits erwähnten Austausch personenbezogener Daten innerhalb der Meta-Gruppe zum anderen an Datenübermittlungen in die USA.
Die Rechtsgrundlage für die Verarbeitung deiner personenbezogenen Daten im Rahmen von Chats ist Art. 6 Abs. 1 Buchst. b DSGVO (wenn der Chat zur Durchführung einer vertraglichen Beziehung mit dir geführt wird) oder Art. 6 Abs. 1 Buchst. f DSGVO (wenn wir den Chat zu sonstigen geschäftlichen Zwecken durchführen); im letztgenannten Fall liegt unser berechtigte Interesse darin, funktionale und in der Nutzung weit verbreiteten Instant-Messaging-Dienste einsetzten zu können, um effizient kommunizieren zu können.
Die Chats sind Ende-zu-Ende verschlüsselt, sofern der Drittanbieter dies technisch in der konkreten Situation anbietet.
14. Nutzung unserer App für Apple und Android
Beim Herunterladen und Verwenden unserer App werden personenbezogene Daten, wie in diesem Abschnitt beschrieben, verarbeitet. Nachfolgend findest du Informationen über die Rechtsgrundlage, die Zwecke, ggf. die berechtigten Interessen und die Notwendigkeit der Verarbeitung deiner personenbezogenen Daten.
14.1 App Stores
Unsere Website enthält Links zu App-Stores (z.B. Google Play Store für Android oder Apple App Store für iOS). Diese Dienste werden ausschließlich von Dritten betrieben. Wenn du den Links folgst, können Informationen an diese Anbieter weitergegeben werden. Dies geschieht nur, wenn du auf einen App Store Button klickst. Über Zweck und Umfang der Datenverarbeitung sowie deine Rechte und Einstellungsmöglichkeiten verweisen wir auf die Datenschutzerklärung des jeweiligen Anbieters:
Google Inc., 1600 Amphitheater Parkway, Mountainview, California 94043, USA
https://policies.google.com/privacy?hl=en&gl=de
Apple Inc., One Apple Park Way, Cupertino, California, USA, 95014
https://www.apple.com/legal/privacy/
14.2 Herunterladen der App
Beim Herunterladen unserer App erhebt der jeweilige App Store-Anbieter personenbezogene Daten, insbesondere Benutzername, E-Mail-Adresse, Kundennummer, Zeitpunkt des Herunterladens, ggf. Zahlungsinformationen und individuelle Gerätekennziffer. Für die Zwecke und Umfang der Datenverarbeitung wird auf die Datenschutzerklärung des Anbieters verwiesen.
Google Play Store (Android): Google LLC., 1600 Amphitheater Parkway, Mountainview, California 94043, USA
https://policies.google.com/privacy?hl=en&gl=de
App Store (iOS): Apple Inc., One Apple Park Way, Cupertino, California, USA, 95014
https://www.apple.com/legal/privacy/
14.3 Rechtsgrundlage, Zweck und Notwendigkeit der Verarbeitung deiner personenbezogenen Daten
Wir verarbeiten deine personenbezogenen Daten zur Erfüllung unserer Verpflichtungen aus den Beratungs- und Nutzungsbedingungen (Art. 6 Abs. 1 lit. b) DSGVO). Wir können auch personenbezogene Daten auf der Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) in dem nachfolgend beschriebenen Umfang verarbeiten. Du bist weder zum Herunterladen noch zur Nutzung der unserer App verpflichtet. Wenn du keine personenbezogenen Daten angibst, kannst du möglicherweise bestimmte oder alle Funktionen unserer App nicht nutzen. Andernfalls ergeben sich keine Konsequenzen für dich.
14.4 Verwendung der App
Wenn du unsere App nutzt, verarbeiten wir deine personenbezogenen Daten, insbesondere
Sprachnachrichten werden zunächst mittels einer lokal auf unseren eigenen Servern betriebenen Spracherkennungssoftware transkribiert. Transkripte sowie Textnachrichten werden vor einer weiteren Analyse nach dem Stand der Technik anonymisiert, bevor sie weiterverarbeitet werden (siehe auch ausführlich zum KI-Assistenten Ziffer 1.2 der Allgemeinen Nutzungsbedingungen). Zur Erstellung der Zusammenfassungen kommt Google Cloud Vertex AI (Gemini) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland zum Einsatz. Es werden ausschließlich anonymisierte Daten an diesen externen Dienstleister weitergegeben. Wir haben mit dem Anbieter einen Vertrag zur Auftragsverarbeitung abgeschlossen. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union. Zusammenfassungen und Transkripte werden auf unseren Servern gespeichert. Für die Verarbeitung personenbezogener Daten im Rahmen von Magic Sessions gelten gesondert die Ausführungen in Ziffer 14.9.
14.5 Berechtigungen
Für die vollständige Nutzung unserer App sind für die folgenden Zwecke Zugriffsberechtigungen auf bestimmte Funktionen/Dienste deines Gerätes erforderlich:
Beim ersten Start der App oder wenn ein Dienst der App den Zugriff auf bestimmte Funktionen deines Gerätes erfordert, wirst du um deine Zustimmung gebeten.
Weitere Informationen zu den spezifischen Daten, auf die bei der Autorisierung des Zugangs zu bestimmten Funktionen zugegriffen werden kann und wie du deine Einwilligung widerrufen oder bestätigen kannst, findest du unter den folgenden Links:
For Android: https://support.google.com/googleplay/answer/6014972?p=app_permissions&rd=1&hl=en
For iOS: https://www.apple.com/privacy/manage-your-privacy/ and Apple Security White Paper Page 75.
14.6 Content Delivery Network
Wir verwenden bunny.net des Anbieters BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien als Content Delivery Network (CDN). Der Einsatz von bunny.net dient dazu, die Stabilität, Geschwindigkeit und Verfügbarkeit der Inhalte in der App zu erhöhen In der App bereitgestellte Inhalte werden vom bunny.net-Netwerk bereitgestellt.
Sämtliche personenbezogene Daten werden anonymisiert und nicht an Dritte übermittelt.
Weitere Informationen, wie bunny.net mit Daten umgeht, findest du auf der bunny.net-Webseite unter https://bunny.net/gdpr und https://bunny.net/privacy.
Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit f) DSGVO. Unser berechtigtes Interesse besteht in der Verbesserung der Geschwindigkeit und Verfügbarkeit unserer App.
14.7 Mixpanel
Wir nutzen in der APP das Tool „Mixpanel“ der Mixpanel, Inc., Pier 1, Bay 2, the Embarcadero, San Francisco, CA 94111 zur Analyse der Nutzung der App und ihrer Inhalte. An Mixpanel wird nur eine User-ID übermittelt; damit bleibst du als Nutzer anonym. Dieser User-ID werden bestimmte Aktivitäten in unserer App zugeordnet. Mit Hilfe dieser Informationen ermitteln wir die aufgerufene Seite in der App, die Verweildauer auf einzelnen Seiten der App, Häufigkeit und Zeitpunkt des Aufrufs der Seiten der App sowie Interaktionen mit der App. Darüber hinaus kommt es zu keinem Zugriff auf Informationen, die bereits auf deinem Endgerät (Smartphone, Tablet) gespeichert sind.
Rechtsgrundlage ist gemäß Art. 6 Abs. 1 lit f) DSGVO unser berechtigtes Interesse an der Bereitstellung einer funktionsfähigen App und deren Verbesserung. Aufgrund der anonymen Nutzung von Mixpanel werden keine personenbezogenen Daten an Mixpanel, Inc. übermittelt. Mixpanel, Inc. ist jedoch nach dem Data Privacy Framework zertifiziert. Übermittlungen personenbezogener Daten an Mixpanel, Inc. wären daher derzeit rechtssicher möglich.
14.8 Jitsi meet
Für Videoanrufe über unsere App verwenden wir jitsi meet. Dabei werden Nutzerdaten von dir erfasst und zwischengespeichert um die Teilnahme an dem Videoanruf gewährleisten zu können. Die Datenverarbeitung erstreckt sich auf personenbezogenen Daten, die in Pflichtfelder eingegeben (Vorname und Name) und darüber hinaus Nutzerinformationen (z.B. Konferenzdaten einschließlich den Anzeigenamen, Chatverlauf und Dauer der Teilnahme), technische Daten (z.B. IP-Adressen, Cookie-Einstellungen) sowie ggf. Sprach- und Videodaten. Diese werden nur für den Zeitraum des Videoanrufs zwischengespeichert. Eine Speicherung über die Dauer des Videoanrufs hinaus oder eine Weitergabe der Daten an Dritte findet nicht statt. Die Protokolldaten werden nach vier Wochen gelöscht. Die Videoanrufe werden nicht aufgezeichnet.
Rechtsgrundlage ist die Durchführung unseres Beratungsverhältnisses gemäß Art. 6 Abs. 1 lit. b) DSGVO sowie unser berechtigtes an einer effizienten Kommunikation mit dir (Art. 6 Abs. 1 lit. f) DSGVO).
14.9 Magic Sessions (KI-gestützte Reflexionsübungen)
Wir bieten in der App das optionale Feature “Magic Sessions” an, bei dem du mit einer Künstlichen Intelligenz in Form einer Chat-ähnlichen Oberfläche interagieren kannst. Ziel ist die Unterstützung bei der Selbstreflexion. Das Feature ergänzt die Arbeit mit deiner Psychologin, ersetzt diese jedoch nicht und stellt keine Psychotherapie oder medizinische Beratung dar. Bitte gib keine Informationen ein, die eine unmittelbare Krisenintervention erfordern; wende dich in solchen Fällen an die bekannten Notfallnummern.
Verarbeitete Daten:
Zweck der Verarbeitung:
Rechtsgrundlage:
Da deine Freitext-Eingaben Gesundheitsdaten (Art. 9 DSGVO) enthalten können, erfolgt die Verarbeitung ausschließlich auf Basis deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung wird vor der ersten Nutzung des Features aktiv von dir eingeholt. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft in den App-Einstellungen widerrufen. Nach einem Widerruf ist die Nutzung von Magic Sessions nicht mehr möglich, bis die Einwilligung erneut erteilt wird. Du kannst deine Einwilligung zur Nutzung von Magic Sessions (inkl. der Verarbeitung von Gesundheitsdaten durch KI) jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann direkt in den App-Einstellungen unter [Einstellungen > Magic Sessions > Einwilligung widerrufen] erfolgen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Nach dem Widerruf werden keine neuen Session-Daten mehr verarbeitet. Bereits gespeicherte Sessions bleiben bis zu deiner Löschungsanfrage oder Konto-Löschung erhalten, sofern keine anderen Rechtsgrundlagen (z. B. gesetzliche Aufbewahrungspflichten) greifen.
Einsatz von KI und Auftragsverarbeitung:
Zur Durchführung der Magic Sessions setzen wir das KI-Modell Gemini der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, ein. Google verarbeitet deine Eingaben über den Dienst Google Cloud Vertex AI als unser Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Wir haben mit Google das Cloud Data Processing Addendum (CDPA) abgeschlossen.
Die KI verarbeitet ausschließlich deine Freitext-Eingaben der aktuellen Session (vollständiger Verlauf) sowie Zusammenfassungen vergangener Sessions. Alle anderen Daten – wie Mood-Tracking, Nutzungsverhalten, Consent-Status und Session-Verlauf – werden ausschließlich in unserem Backend-System verarbeitet und nicht an den KI-Anbieter übermittelt.
Wir nutzen ausschließlich die EU-Region europe-west3 (Frankfurt, Deutschland) von Google Cloud Vertex AI. Deine Daten werden vollständig auf Servern innerhalb des Europäischen Wirtschaftsraums verarbeitet und gespeichert. Ein Zugriff durch oder eine Übermittlung von (Meta-)Daten an die Muttergesellschaft Google LLC mit Sitz in den USA kann dabei jedoch nicht ausgeschlossen werden. Für diesen Fall ist das Datenschutzniveau durch die Zertifizierung der Google LLC unter dem EU-U.S. Data Privacy Framework sowie durch den Abschluss von EU-Standardvertragsklauseln abgesichert. Google verwendet deine Daten standardmäßig nicht zum Training eigener KI-Modelle.
Speicherung und Löschung:
Deine Session-Inhalte werden gespeichert und sind für dich im Verlauf abrufbar. Sie werden gelöscht, sobald du dein Konto löschst – soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Nutzung von Session-Zusammenfassungen zur Qualitätssicherung und Produktoptimierung: Die gespeicherten Zusammenfassungen deiner Magic Sessions werden vor einer Nutzung zu internen Statistik- oder Analysezwecken mittels automatisierter Verfahren zur Erkennung und Entfernung personenbezogener Angaben (Anonymisierung) verarbeitet. Die Rechtsgrundlage für diesen Anonymisierungsschritt ist deine oben genannte ausdrückliche Einwilligung. Erst nach dieser Verarbeitung werden die Zusammenfassungen aggregiert ausgewertet. Ziel ist die Verbesserung der Wirksamkeit unserer Angebote sowie die Weiterentwicklung des Features. Eine Auswertung auf Einzelpersonenebene findet nicht statt.
15. Online Terminbuchungssystem
Wir nutzen zur Vereinbarung von Terminen etwa für Beratungs- oder Vorgespräche mit dir das online Terminbuchungssystem cituro der cituro GmbH, Peter-Dörfler-Straße 30, 86199 Augsburg. Dazu verarbeiten wir deinen Vor- und Nachnamen, deine E-Mail-Adresse und Telefonnummer, um mit dir einen Termin zu vereinbaren, dich an diesen Termin zu erinnern oder mit dir Terminänderungen zu vereinbaren. Außerdem verwenden wir die Online-Bezahlfunktion von cituro bei deiner online Terminbuchung (siehe dazu auch oben Ziffer 8 Zahlungsdienstleister). Deine Zahlungsdaten (z. B. Name, Zahlungssumme, Kontoverbindung, Kreditkartennummer) werden dabei verarbeitet. Außerdem wird uns in deinem Termin angezeigt, ob du gezahlt hast.
Mit dem Anbieter cituro GmbH haben wir einen Auftragsverarbeitungsvertrag abgeschlossen, der die Anforderungen des Art. 28 DSGVO erfüllt.
16. Datenübermittlung an Dritte und in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR)
Eine Übermittlung deiner Daten an Dritte findet grundsätzlich nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet, die Datenweitergabe ist zur Durchführung des Vertragsverhältnisses erforderlich oder du hast zuvor ausdrücklich in die Weitergabe deiner Daten eingewilligt. Soweit unsere Dienstleister mit deinen personenbezogenen Daten in Berührung kommen, stellen wir im Rahmen der Auftragsverarbeitung gem. Art. 28 DSGVO sicher, dass diese die Vorschriften der Datenschutzgesetze in gleicher Weise einhalten. Bitte beachte auch die jeweiligen Datenschutzhinweise der Anbieter.
Wir legen Wert darauf, deine Daten innerhalb der Europäischen Union (EU)/des Europäischen Wirtschaftsraums (EWR) zu verarbeiten. Mit Ausnahme der in den Ziffern 5, 6, 10, 11, 13 und 14 dargestellten Verarbeitungen geben wir deine Daten nicht an Empfänger:innen mit Sitz außerhalb der EU oder des EWR weiter. Bitte beachte, dass bei Datenübermittlungen in Drittstaaten außerhalb des EWR gemäß Kapitel V der DSGVO ein angemessenes Datenschutzniveau bei den Empfängern gewährleistet sein muss. Die meisten der von uns genutzten US-Provider sind im Rahmen des EU-US-Datenschutzabkommens (Data Privacy Famework) zertifiziert, so dass eine sichere Datenübermittlung an diese US-Provider möglich ist. Wir haben im Rahmen dieser Datenschutzerklärung jeweils angegeben, ob der jeweilige Anbieter nach dem Data Privacy Framework zertifiziert ist. Eine vollständige Liste der nach dem Data Privacy Framework zertifizierten Unternehmen kann unter folgendem Link abgerufen werden:
https://www.dataprivacyframework.gov/s/participant-search. Ist ein Anbieter nicht nach dem Data Privacy Framework zertifiziert, ist er vertraglich durch die EU-Standardvertragsklauseln zur datenschutzkonformen Datenverarbeitung verpflichtet. Bitte beachte, dass es in den USA grundsätzlich strengere Regelungen für staatliche Überwachungsprogramme gibt, die als Voraussetzung für die Angemessenheitsentscheidung der Europäischen Kommission erlassen wurden. Diese strengeren Voraussetzungen für den Datenzugriff im Rahmen von Überwachungsprogrammen durch US-Geheimdienste sind auch bei Datenübermittlungen an nicht zertifizierte US-Unternehmen zu berücksichtigen und werden in der Regel dazu führen, dass die Datenübermittlung nach der DSGVO möglich ist. Bei Fragen hierzu wende dich bitte an unseren Datenschutzbeauftragten.
17. Datensicherheit
Wir haben umfangreiche technische und betriebliche Schutzvorkehrungen getroffen, um deine Daten vor zufälligen oder vorsätzlichen Manipulationen, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst. Zum Schutz der personenbezogenen Daten unserer Nutzer:innen benutzen wir ein sicheres Online-Übertragungsverfahren, die sogenannte “Secure Socket Layer” (SSL)-Übertragung. Du erkennst dies daran, dass an dem Adressbestandteil http:// ein “s” angehängt ist (“https://”) bzw. ein grünes, geschlossenes Schloss-Symbol im Browser angezeigt wird. Durch Anklicken des Symbols erhältst du Informationen über das verwendete SSL-Zertifikat. Die SSL-Verschlüsselung gewährleistet die sichere und vollständige Übertragung deiner Daten.
18. Löschung
Wir löschen deine personenbezogenen Daten, sobald diese für die zuvor benannten Zwecke der Verarbeitung nicht mehr erforderlich sind, im Falle eines Widerspruchs keine zwingenden schutzwürdigen Gründe von AllyWell entgegenstehen oder im Falle eines Widerrufs keine sonstige Rechtsgrundlage für die Verarbeitung besteht. In bestimmten Fällen, z.B. wenn eine gesetzliche Aufbewahrungspflicht besteht, werden deine personenbezogenen Daten zunächst gesperrt und mit Ablauf der Aufbewahrungsfrist gelöscht. Nähere Informationen zur Aufbewahrung von Cookie-Daten kannst du den jeweiligen Abschnitten zu den Cookies und Analyse-Tools entnehmen. Die personenbezogenen Daten der/des Klient:innen werden gelöscht, wenn das Beratungsverhältnis nicht mehr besteht und sofern der Löschung keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Insbesondere sind handels- und steuerrechtliche Aufbewahrungsfristen zu beachten (bis zu 10 Jahre) und eine Speicherung personenbezogener Daten kann zur Verteidigung gegen Rechtsansprüche erforderlich sein (bis zu 30 Jahre).
19. Deine Rechte als betroffene Person
Das Datenschutzrecht gewährt dir eine Reihe von Rechten in Bezug auf Daten, die deine Person betreffen (sogenannte Betroffenenrechte). Allgemein sind dies
Außerdem kannst du Widerspruch gegen die Verarbeitung, wenn diese auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Art. 6 Abs. 1 lit. e DSGVO beruht (Art. 21 Absatz 1 DSGVO) oder zu Zwecken der Direktwerbung erfolgt (Art. 21 Abs. 2 DSGVO), erheben, wobei du, außer im Fall der Direktwerbung, einen besonderen Grund darlegen musst.
Ob und inwieweit diese Rechte im Einzelfall vorliegen, und welchen Bedingungen gelten, ergibt sich aus dem Gesetz, d.h. aus der DSGVO und dem BDSG. Du hast zudem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren. Wenn du Fragen oder Beschwerden zum Datenschutz bei Allywell hast, empfehlen wir dir, dich zunächst an unsere:n Datenschutzbeauftragte:n zu wenden (siehe dazu die Kontaktdaten unter Ziffer.
20. Keine automatisierte Einzelfallentscheidung
Wir verwenden deine personenbezogenen Daten nicht für automatisierte Einzelfallentscheidungen im Sinne von Art. 22 Abs. 1 DSGVO, d.h. Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Auswirkungen auf dich haben.
Der Einsatz von KI im Rahmen von Magic Sessions (Ziffer 14.9) stellt keine automatisierte Einzelfallentscheidung in diesem Sinne dar: Die KI generiert Reflexionsfragen und Impulse zur Unterstützung der Selbstreflexion. Es werden keine Entscheidungen getroffen, die rechtliche oder vergleichbar erhebliche Auswirkungen auf die betroffene Person haben. Die Inhalte der Sessions dienen ausschließlich deiner persönlichen Begleitung; die Deutungshoheit und Entscheidungsgewalt über dein Handeln verbleibt jederzeit bei dir.
21. Änderung der Datenschutzerklärung
Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern ggf. Änderungen in unserer Datenschutzerklärung. Die Datenschutzerklärung wird dann entsprechend angepasst. Die aktuellste Version findest du immer auf unserer Website.
Stand: Mai 2026
