I. Verantwortlicher Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie weiterer datenschutzrechtlicher Bestimmungen ist: Healing Humans GmbH Frankfurter Ring 193a 80807 München Deutschland Vertreten durch den Geschäftsführer: Andreas Eichmeier E-Mail: andi@healing-humans.de II. Betroffenenrechte Betroffene Personen haben folgende Rechte hinsichtlich der sie betreffenden personenbezogenen Daten: 1. Recht auf Auskunft gemäß Art. 15 DSGVO 2. Recht auf Berichtigung gemäß Art. 16 DSGVO 3. Recht auf Löschung gemäß Art. 17 DSGVO 4. Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO 5. Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO 6. Recht auf Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO 7. Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. III. Verarbeitung personenbezogener Daten beim Besuch der Website Beim rein informatorischen Besuch unserer Website, ohne dass Nutzer aktiv Informationen übermitteln, werden automatisch folgende personenbezogene Daten erfasst und in sogenannten Server-Logfiles gespeichert: • IP-Adresse des zugreifenden Systems • Datum und Uhrzeit des Zugriffs inkl. Zeitzone • Inhalt der Anfrage (konkrete Unterseite) • Zugriffsstatus / HTTP-Statuscode • jeweils übertragene Datenmenge • Website, von der die Anfrage kommt (Referrer) • Browsertyp, Version und verwendetes Betriebssystem • Hostname des zugreifenden Rechners • Name und URL der abgerufenen Datei • Protokollversion Diese Daten sind technisch erforderlich, um die Website funktionsfähig anzuzeigen, die Stabilität und Sicherheit zu gewährleisten sowie Cyberangriffe nachverfolgen zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: Die Speicherdauer richtet sich nach den Vorgaben unseres Hosting-Anbieters (ALL-INKL.COM – https://all-inkl.com). Eine längere Speicherung erfolgt ausschließlich in anonymisierter Form. IV. Einsatz von Cookies und ähnlichen Technologien (TTDSG) Wir verwenden Cookies und ähnliche Technologien (z. B. Local Storage, Session Storage, Pixel). Diese Technologien dienen: • zur Gewährleistung der Funktionsfähigkeit der Website • zur Nutzeridentifikation bei Accountnutzung • zur statistischen Analyse • zur Reichweitenmessung • zur Bereitstellung externer Inhalte • zu Marketing- und Advertising-Zwecken (personenbezogene Werbung nur nach Einwilligung) 1. Technisch notwendige Cookies Diese Cookies sind für den Betrieb der Website erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG. 2. Cookies / Tracking mit Einwilligung Hierunter fallen insbesondere: • Analyse-Cookies • Marketing-/Werbe-Cookies • Cookies von Vimeo • Pixel von Meta, TikTok, Google • Cookies für Zahlungsdienstleister • Cookies für externe Tools (Jotform, Kalenderanbieter etc.) Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG. Einwilligungen erfolgen über unseren Cookie-Banner und können dort jederzeit widerrufen werden. V. Kontaktaufnahme (Formular / E-Mail) Bei Kontaktaufnahme über ein Kontaktformular oder per E-Mail werden verarbeitet: • Name • E-Mail-Adresse • übermittelte Inhalte • Metadaten der E-Mail • technische Logdaten (Mailserver) Zwecke: Bearbeitung der Anfrage und Archivierung bei gesetzlichen Aufbewahrungspflichten. Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/Vertrag) • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Speicherdauer: Daten werden gelöscht, sobald die Anfrage abschließend geklärt ist, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. VI. Einbettung von Vimeo-Videos Wir binden Videos über die Plattform Vimeo Inc., 555 West 18th Street, New York, NY 10011, USA ein. Dabei werden folgende Daten an Vimeo übermittelt: • IP-Adresse • Datum und Uhrzeit des Zugriffs • besuchte Seite • technische Daten (Browser, Betriebssystem) • ggf. Cookie-Daten (falls im Cookie-Banner zugestimmt) Vimeo kann Daten über die Nutzung des Videos einem Nutzerprofil zuordnen, sofern Sie dort eingeloggt sind. Vimeo setzt zudem Cookies und Tracking-Technologien, sofern Sie im Cookie-Banner zugestimmt haben. Rechtsgrundlagen: • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Darstellung und Funktion) • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in Cookies/Tracking) Vimeo übermittelt Daten in die USA auf Grundlage der EU-Standardvertragsklauseln (SCC). VII. Einsatz von Jotform Wir verwenden Formularfunktionen des Dienstleisters Jotform Inc. Für Nutzer aus der EU erfolgt die Datenverarbeitung über Server innerhalb der Europäischen Union. Verarbeitete Daten: • Name • E-Mail-Adresse • Telefonnummer (falls abgefragt) • Inhalte der Eingaben • technische Metadaten (IP-Adresse, Browser, Zugriffszeit) Zwecke der Verarbeitung: • Erhebung von Buchungs-, Kontakt- oder Bewerbungsinformationen • Formularabwicklung • Dokumentation von Eingaben Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-durchführung) • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Formularverarbeitung) • Art. 6 Abs. 1 lit. a DSGVO (wenn freiwillige Angaben oder Marketing-Einwilligungen übermittelt werden) Jotform agiert im Rahmen eines Auftragsverarbeitungsverhältnisses gemäß Art. 28 DSGVO. Datenschutzerklärung von Jotform: https://www.jotform.com/privacy/ VIII. Einsatz von Calendly Zur Terminvereinbarung nutzen wir „Calendly“, bereitgestellt durch: Calendly LLC, 115 E Main St Ste A1B, Buford, GA 30518, USA Verarbeitete Daten: • Name • E-Mail-Adresse • Datum und Uhrzeit des Termins • freiwillige Zusatzangaben • technische Daten (IP-Adresse, Browserinformationen) Zwecke: Planung, Organisation und Durchführung von Terminen. Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO (Termin im Zusammenhang mit Vertrag) • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Terminverwaltung) • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei freiwilligen Zusatzangaben) Calendly kann Daten in die USA übertragen; Grundlage sind Standardvertragsklauseln (SCC). Datenschutzerklärung: https://calendly.com/privacy IX. Einsatz von YouCanBook.me Wir nutzen zusätzlich Terminbuchungsfunktionen des Anbieters: YouCanBook.me Ltd. Bedford i-Lab, Stannard Way, Priory Business Park, Bedford, MK44 3RZ, United Kingdom Verarbeitete Daten: • Name • E-Mail-Adresse • Terminwünsche • zusätzliche Eingabefelder • technische Daten (IP-Adresse, Zeitzone etc.) Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO • Art. 6 Abs. 1 lit. f DSGVO • Art. 6 Abs. 1 lit. a DSGVO (bei freiwilligen Angaben) Datenschutzerklärung: https://youcanbook.me/privacy X. Google-Dienste Wir setzen Google-Dienste ein, bereitgestellt durch: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Dabei können Daten an Google-Server in den USA übertragen werden, basierend auf Standardvertragsklauseln (SCC). 1. Google Analytics (falls eingesetzt) Google Analytics verwendet Cookies, um Nutzungsdaten zu erfassen, darunter: • IP-Adresse (gekürzt/anonymisiert) • Nutzungsverhalten • besuchte Seiten • Geräteinformationen • Browserdaten • Interaktionen mit Inhalten Wir verwenden Analytics mit IP-Anonymisierung („anonymizeIP“) aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner). Zwecke: Statistische Analyse, Optimierung der Website, Reichweitenmessung. Speicherdauer: Google speichert Daten bis zu 14 Monaten – je nach Konfiguration. 2. Google Tag Manager Der Tag Manager selbst verarbeitet keine personenbezogenen Daten, ermöglicht aber das Laden weiterer Tracking-Tags. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an wirtschaftlichem Betrieb der Website). 3. Google Ads / Conversion Tracking Falls eingesetzt, verwendet Google Ads Cookies zur Erfolgsmessung von Werbeanzeigen. Verarbeitete Daten: • Interaktionen mit Anzeigen • Conversion-Daten • Cookie-Identifier • IP-Adresse (verkürzt) • Browserdaten Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). 4. Google Web Fonts Zur einheitlichen Darstellung nutzen wir Google Web Fonts. Beim Aufruf unserer Website lädt Ihr Browser Web Fonts von Google-Servern. Daten: •IP-Adresse • angefragte Schriftartdateien Zweck: Technisch notwendige Darstellung von Schriftarten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. XI. Newsletterversand Wir versenden Newsletter mit werblichen Inhalten nur auf Grundlage einer ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder — bei Bestandskunden — gemäß § 7 Abs. 3 UWG. 1. Double-Opt-In • Anmeldung erfolgt mit E-Mail-Adresse • Bestätigungs-E-Mail (Double-Opt-In) • Protokollierung von Anmeldedatum, IP-Adresse, Einwilligungstext 2. Verarbeitung Bei Newsletterversand verarbeiten wir: • E-Mail-Adresse • Name (optional) • Öffnungsraten • Klickverhalten • technische Versanddaten Newsletter werden über einen externen Versanddienstleister versendet (z. B. Mailchimp o. Ä.). Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Widerruf der Einwilligung Abmeldung jederzeit über den Link in jeder E-Mail. XII. Marketing- und Tracking-Technologien (Meta Pixel, TikTok Pixel, Google Ads Remarketing) Wir nutzen datenbasierte Werbesysteme ausschließlich auf Grundlage einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 TTDSG. 1. Meta (Facebook/Instagram) Pixel Bereitgestellt durch Meta Platforms Ireland Ltd. Erfasste Daten: • IP-Adresse • Cookie-ID • Interaktionen • besuchte Seiten • Pixel-Ereignisse (z. B. PageView, Lead, Purchase) Keine Datenübertragung ohne Einwilligung. Meta nutzt SCC für Übermittlungen in die USA. 2. TikTok Pixel Erfasst ähnliche Daten wie Meta Pixel. Verantwortlicher: TikTok Technology Limited (EU). Auslandsübertragung über SCC. Verarbeitung nur mit Einwilligung. 3. Google Ads Remarketing Erlaubt zielgerichtete Werbung basierend auf Nutzerverhalten. Verarbeitung nur mit Cookie-Einwilligung. XIII. Social-Media-Unternehmensseiten Wir betreiben Unternehmenspräsenzen auf: • Facebook • Instagram • TikTok • YouTube • LinkedIn Bei Besuch solcher Seiten erfolgt eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und dem jeweiligen Plattformanbieter. Plattformen verarbeiten u. a.: • IP-Adresse • Gerätedaten • Interaktionen • Profilinformationen (falls eingeloggt) Wir erhalten lediglich aggregierte Statistiken ("Insights"). Datenschutzrichtlinien: • Meta: https://www.facebook.com/privacy/explanation •TikTok: https://www.tiktok.com/legal/page/eea/privacy-policy • YouTube/Google: https://policies.google.com/privacy • LinkedIn: https://www.linkedin.com/legal/privacy-policy XIV. Zahlungsdienstleister und Bestellabwicklung (Stripe, PayPal, Klarna, Copecart, Ablefy) Zur Abwicklung von Bestellungen, Buchungen und Zahlungen setzen wir verschiedene Zahlungs- und Vertragsabwicklungsdienstleister ein. Dabei werden personenbezogene Daten verarbeitet, die zur Durchführung des Vertrags, zur Bereitstellung digitaler Inhalte oder zur Zahlungsabwicklung erforderlich sind. Verarbeitete Daten können insbesondere sein: • Name • Rechnungs- und Lieferadresse • E-Mail-Adresse • Zahlungsart • Transaktionsdaten • Bestell- und Vertragsdaten • IP-Adresse • Zeitpunkt der Bestellung • Geräte- und Browserdaten • Bankverbindung (maskiert), Kreditkarteninformationen (tokenisiert) Die Daten werden ausschließlich verarbeitet, soweit dies zur Abwicklung des Vertragsverhältnisses erforderlich ist. 1. Stripe Zahlungen können über den Zahlungsanbieter Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, erfolgen. Stripe verarbeitet: • Zahlungsdaten • Rechnungsinformationen • technische Daten zur Betrugsprävention • Informationen über die Zahlungsberechtigung Stripe kann Daten zur Risikoprüfung in die USA übertragen. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC). Datenschutz von Stripe: https://stripe.com/privacy Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). 2. PayPal Für bestimmte Zahlungsarten nutzen wir PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg. PayPal verarbeitet: • Zahlungsdaten • Identitätsdaten • Bonitätsdaten (wenn erforderlich) • Bank- oder Kreditkartendaten PayPal kann Bonitätsprüfungen durchführen. Datenübermittlung in Drittländer erfolgt auf Basis geeigneter Garantien (SCC). Datenschutz von PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. 3. Klarna Wir können Zahlungsarten der Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden bereitstellen. Klarna verarbeitet u. a.: • Identitätsdaten • Anschrift • Zahlungsdaten • Historische Zahlungsausfälle • Bonitätsinformationen Klarna nimmt eine Bonitätsprüfung vor, wenn erforderlich. Datenschutz von Klarna: https://www.klarna.com/de/datenschutz/ Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (erforderlich für Zahlungsabwicklung). 4. Copecart Einige Produkte verkaufen wir über CopeCart GmbH, Ufnaustraße 10, 10553 Berlin. Copecart übernimmt: • Vertragsabwicklung • Rechnungsstellung • Zahlungsabwicklung • Bereitstellung von Kaufbelegen • technische Abwicklung der Bestellstrecke Copecart fungiert bei Nutzung als eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Datenschutz Copecart: https://copecart.com/privacy Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. 5. Ablefy Für digitale Buchungsstrecken, Vertragsunterlagen, Self-Checkout-Prozesse und Zugänge zu digitalen Produkten nutzen wir Ablefy (Anbieter gemäß Angaben des Dienstleisters). Ablefy verarbeitet Daten in unserem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO). Verarbeitete Daten umfassen u. a.: • Bestelldaten • Vertragsunterlagen • Zahlungsstatus • digitale Zugangsberechtigungen • Identitäts- und Kontaktangaben Wir haben mit Ablefy einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Rechtsgrundlage für alle Zahlungsdienstleister: • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) • Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention, Sicherheit) • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten) XV. Speicherdauer Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Bestimmungen dies verlangen. Insbesondere gelten folgende Fristen: • Rechnungs- und Buchhaltungsdaten: 10 Jahre (gem. § 147 AO, § 257 HGB) • Vertragsdaten: bis zum Ablauf gesetzlicher Verjährungsfristen (regelmäßig 3 Jahre) • Marketingdaten: bis zum Widerruf der Einwilligung • Server-Logfiles: gemäß Hoster-Richtlinie, i. d. R. 7–14 Tage • Newsletterdaten: bis zum Widerruf der Einwilligung • Support-/Kontaktanfragen: nach Erledigung und Ablauf möglicher Aufbewahrungsfristen Wenn der Zweck entfällt und keine gesetzlichen Pflichten entgegenstehen, werden die Daten gelöscht. XVI. Datensicherheit Wir ergreifen umfangreiche technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer personenbezogenen Daten, insbesondere gegen: • Verlust • unbefugten Zugriff • Manipulation • Offenlegung • Zerstörung Zu unseren Maßnahmen gehören u. a.: • SSL-/TLS-Verschlüsselung der gesamten Website • verschlüsselte Datenübertragung zu externen Dienstleistern • Zugriffsbeschränkungen (Role-based Access Control) • regelmäßige Sicherheitsaudits • AV-Verträge mit allen Auftragsverarbeitern • verschlüsselte Backups • Firewalls und Intrusion Detection Systeme Die Sicherheit wird entsprechend der technologischen Entwicklung fortlaufend verbessert. XVII. Änderungen dieser Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung anzupassen, insbesondere: • bei neuen gesetzlichen Vorgaben, • bei Änderungen unserer Dienste, • bei Erweiterung unserer technischen Systeme, • oder bei Nutzung neuer Dienstleister. Es gilt stets die auf dieser Website veröffentlicht aktuelle Fassung. XVIII. Schlussklausel Sollten einzelne Bestimmungen dieser Datenschutzerklärung unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung wird durch eine solche ersetzt, die dem Sinn der ursprünglichen Bestimmung am nächsten kommt.