1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)
Gründungs- und Unternehmensnetzwerk Deutschland e.V.
c/o Postflex #10242, Emsdettener Str. 10, 48268 Greven
E-Mail: info@startupwelt.com
Vertreten durch: Sandro Beck, 1. Vorsitzender (einzelvertretungsberechtigt)
Registergericht: Amtsgericht Steinfurt, VR 2086
Für Anfragen zum Datenschutz wenden Sie sich bitte an: info@startupwelt.com
2. Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich erlaubt oder durch Ihre ausdrückliche Einwilligung gedeckt ist. Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Alle erhobenen Daten werden auf Servern innerhalb der Europäischen Union verarbeitet, soweit nachfolgend nichts anderes angegeben ist.
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO: Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung oder vorvertragliche Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO: Erfüllung rechtlicher Verpflichtungen
- Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse
3. Hosting und Serverbetrieb (Strato AG)
Anbieter
Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin
Zweck der Verarbeitung
Betrieb und Bereitstellung der Rechtseiten (Impressum, AGB, Datenschutzerklärung) auf startupwelt.com. Bei jedem Aufruf der Website werden durch den Hosting-Anbieter automatisch sogenannte Server-Logfiles erhoben und gespeichert. Über die Strato-SMTP-Infrastruktur werden zudem unsere transaktionalen E-Mails (z.B. Vertrags- und Rechnungsbegleitmails) versendet.
Verarbeitete Daten
IP-Adresse (anonymisiert), Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten und Dateien, übertragene Datenmenge, HTTP-Statuscode. Beim E-Mail-Versand: Absender-/Empfänger-Adresse, Betreff, Nachrichteninhalt und Zustellprotokolle.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und störungsfreien Betrieb der Website); für den E-Mail-Versand zusätzlich Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer
Server-Logfiles werden spätestens nach 7 Tagen automatisch gelöscht, soweit keine sicherheitsrelevante Auswertung erforderlich ist.
Auftragsverarbeitung
Mit der Strato AG besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Server befinden sich ausschließlich innerhalb der Europäischen Union.
3a. Website-Betrieb und Landing Pages (Onepage.io)
Anbieter
Onepage.io GmbH, Wiesenhüttenplatz 25, 60329 Frankfurt am Main, Deutschland.
Zweck der Verarbeitung
Betrieb und Bereitstellung der Homepage sowie der Landing Pages auf startupwelt.com. Beim Aufruf der über Onepage.io bereitgestellten Seiten werden durch den Anbieter automatisch Server-Logfiles erhoben und gespeichert.
Verarbeitete Daten
IP-Adresse, Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, HTTP-Statuscode. Onepage.io speichert zu Debugging-Zwecken bei 1 % der Nutzer IP-Adresse, Requestart und Statuscode; diese Daten werden nicht dauerhaft vorgehalten.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und störungsfreien Betrieb der Website).
Auftragsverarbeitung
Mit Onepage.io GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (abrufbar unter https://onepage.io/de/avv). Die Infrastruktur basiert auf AWS (Amazon Web Services, EU-Region) und Google Cloud (EU-Region). Beide Muttergesellschaften sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert, sodass ein etwaiger konzerninterner Datentransfer in die USA auf Art. 45 DSGVO gestützt werden kann.
Weitere Informationen
https://onepage.io/de/datenschutzerklarung
3b. Bild- und Audio-Hosting (Cloudinary)
Anbieter
Cloudinary Ltd., 6201 America Center Drive, Suite 220, San Jose, CA 95002, USA, mit israelischer Niederlassung 20 Aharon Bart St., Building C, 2nd floor, Petah Tikva, 4951448, Israel.
Zweck der Verarbeitung
Bereitstellung von Bild- und Audio-Inhalten (Content Delivery Network), die in unsere Website, Landing Pages und insbesondere in unsere transaktionalen und Marketing-E-Mails eingebettet sind (z.B. Mail-Vorschaubilder, Audio-Versionen einzelner Lerneinheiten). Beim Abruf dieser Inhalte werden durch den Anbieter automatisch Verbindungsdaten verarbeitet.
Verarbeitete Daten
IP-Adresse, Browsertyp und -version, Referrer-URL, Datum und Uhrzeit des Abrufs, aufgerufenes Asset, HTTP-Statuscode.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an performanter und zuverlässiger Auslieferung medialer Inhalte).
Datenübertragung in Drittländer
Cloudinary verarbeitet Daten in den USA und Israel. Israel verfügt über einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO. Für die Datenverarbeitung in den USA dienen Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO als Rechtsgrundlage.
Auftragsverarbeitung
Mit Cloudinary Ltd. besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen
https://cloudinary.com/privacy
3c. Cloud-Speicher und Audit-Logs (Google Drive / Google Sheets)
Anbieter
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Zweck der Verarbeitung
Wir nutzen Google Drive und Google Sheets in zwei Funktionen:
- Bereitstellung von Lernmaterialien: Einzelne PDF-Dokumente und Audio-Dateien werden über Google Drive ausgeliefert. Beim Abruf dieser Inhalte verarbeitet Google automatisch Verbindungsdaten.
- Audit-Log zur Vertrags- und Consent-Dokumentation: Die im Rahmen des Bestellprozesses erhobenen Einwilligungs- und Vertragsdaten (siehe § 9a) werden in einem geschützten Google Sheet protokolliert.
Verarbeitete Daten
Beim Abruf von Lernmaterialien: IP-Adresse, Browsertyp und -version, Referrer-URL, Datum und Uhrzeit des Abrufs. Im Audit-Log: die in § 9a beschriebenen Vertrags- und Beweissicherungsdaten.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Bereitstellung gebuchter Lernmaterialien); Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 312f BGB (rechtliche Verpflichtung zur Vertragsbestätigung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung).
Datenübertragung in Drittländer
Eine Verarbeitung kann auch in den USA erfolgen. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich gelten Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.
Auftragsverarbeitung
Mit Google Ireland Limited besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Sheet-basierten Audit-Logs sind durch Zugriffsbeschränkungen geschützt; Vertrags- und Consent-Daten sind über die in § 9a beschriebene Speicherdauer hinaus nicht zweckwidrig zugänglich.
Speicherdauer
Lernmaterialien-Verbindungsdaten werden gemäß den Google-Logging-Richtlinien gespeichert. Die Vertrags- und Consent-Daten im Audit-Log werden gemäß § 147 Abs. 3 AO und § 257 Abs. 4 HGB zehn Jahre aufbewahrt und anschließend gelöscht.
Weitere Informationen
https://policies.google.com/privacy
4. Kontaktformular und E-Mail-Kontakt
Verarbeitete Daten
Name, E-Mail-Adresse, Betreff, Nachrichteninhalt sowie Datum und Uhrzeit der Anfrage.
Zweck der Verarbeitung
Bearbeitung und Beantwortung von Anfragen, die über das Kontaktformular oder direkt per E-Mail eingehen.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen) für allgemeine Kontaktanfragen.
Speicherdauer
Anfragen werden nach abschließender Bearbeitung gelöscht, spätestens jedoch nach 3 Jahren, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Weitergabe
Eine Weitergabe an Dritte erfolgt nicht, soweit dies nicht zur Bearbeitung Ihrer Anfrage erforderlich ist.
5. Webanalyse: Google Analytics 4 (GA4)
Anbieter
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Zweck der Verarbeitung
Analyse des Nutzerverhaltens auf der Website zur Optimierung des Angebots und der Nutzerfreundlichkeit. Es werden pseudonymisierte Nutzungsprofile erstellt.
Verarbeitete Daten
IP-Adresse (wird vor Speicherung gekürzt und anonymisiert), Seiten- und Klickpfade, Verweildauer, Absprungrate, Herkunft des Besuchs (Referrer), Geräte- und Browserinformationen, ungefährer Standort (Land/Region). GA4 wird auf unserer Website ohne Google Signals, ohne Werbepersonalisierung und mit deaktivierter Datenfreigabe an Google betrieben. Eine Verknüpfung mit Google-Werbenetzwerken findet nicht statt.
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google Analytics 4 wird erst nach Erteilung Ihrer ausdrücklichen Einwilligung über unseren Cookie-Consent-Banner aktiviert. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Datenübertragung in Drittländer
Google verarbeitet Daten auch in den USA. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Zertifizierungsdatum abrufbar unter https://www.dataprivacyframework.gov). Als weitere Absicherung sind Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) vereinbart. Die IP-Anonymisierung ist aktiviert.
Opt-out
Sie können die Erfassung durch Google Analytics verhindern, indem Sie Ihre Einwilligung im Cookie-Banner widerrufen oder das Browser-Add-on unter https://tools.google.com/dlpage/gaoptout installieren.
Speicherdauer
Nutzerdaten werden in GA4 standardmäßig nach 14 Monaten gelöscht. Diese Einstellung ist in unserem GA4-Konto aktiviert. Aggregierte, nicht mehr personenbezogene Berichtsdaten können darüber hinaus gespeichert werden.
Auftragsverarbeitung
Mit Google Ireland Limited besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen
https://policies.google.com/privacy
6. Schriftarten (Google Fonts)
Anbieter
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Zweck der Verarbeitung
Wir verwenden Schriftarten des Dienstes Google Fonts zur einheitlichen typografischen Darstellung unserer Website und unserer transaktionalen und Marketing-E-Mails. Beim Aufruf einer Seite oder beim Öffnen einer E-Mail mit eingebundener Google-Font wird die Schriftart vom Server von Google geladen, sofern sie nicht bereits im Browser-Cache vorliegt.
Verarbeitete Daten
IP-Adresse, Browsertyp und -version, Referrer-URL, Datum und Uhrzeit des Abrufs, angeforderte Schriftart.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, performanten typografischen Darstellung).
Datenübertragung in Drittländer
Google verarbeitet Daten auch in den USA. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Zertifizierungsdatum abrufbar unter https://www.dataprivacyframework.gov). Als weitere Absicherung sind Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Weitere Informationen
https://policies.google.com/privacy sowie https://developers.google.com/fonts/faq/privacy
7. E-Mail-Marketing und Freemium-E-Mail-Kurs (ActiveCampaign)
Anbieter
ActiveCampaign, LLC, 1 N Dearborn St, Chicago, IL 60602, USA.
Zweck der Verarbeitung
Versand des kostenlosen E-Mail-Kurses sowie weiterer Informations- und Marketing-E-Mails an Interessenten und Kursteilnehmer. Segmentierung und Personalisierung von E-Mail-Kommunikation auf Basis von Nutzerverhalten und Kursfortschritt.
Verarbeitete Daten
Vorname, E-Mail-Adresse, Anmeldedatum und -uhrzeit, IP-Adresse zum Zeitpunkt der Anmeldung, Öffnungs- und Klickverhalten in E-Mails, Kursfortschrittsdaten, Ergebnisse aus interaktiven Selbsttests (Ampel-Score und Kategorieergebnisse aus dem Gründungsbereitschafts-Selbsttest).
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Anmeldung erfolgt ausdrücklich per Double-Opt-in-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungsmail. Erst nach Klick auf den Bestätigungslink wird Ihre Anmeldung wirksam. Den Einwilligungsnachweis (Zeitstempel, IP-Adresse, Bestätigungslink) speichern wir zu Dokumentationszwecken gemäß Art. 7 Abs. 1 DSGVO.
Widerrufsrecht
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Abmeldelink in jeder E-Mail nutzen oder uns eine formlose Nachricht an info@startupwelt.com senden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Datenübertragung in Drittländer
ActiveCampaign verarbeitet Daten in den USA. Als Rechtsgrundlage dienen Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit ActiveCampaign besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Speicherdauer
Ihre Daten werden in ActiveCampaign gespeichert, solange Sie den E-Mail-Kurs aktiv beziehen oder in eine weitere Kommunikation eingewilligt haben. Nach Widerruf Ihrer Einwilligung werden Ihre Daten spätestens innerhalb von 30 Tagen vollständig gelöscht.
E-Mail-Tracking (Öffnungs- und Klickpixel)
Unsere Marketing- und Kurs-E-Mails können ein unsichtbares Zählelement (Tracking-Pixel) enthalten, das uns mitteilt, ob und wann eine E-Mail geöffnet wurde (Öffnungsrate) und ob darin enthaltene Links angeklickt wurden (Klickrate). Diese Verarbeitung erfolgt auf dem Endgerät des Empfängers und bedarf einer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung erteilen Sie mit der Anmeldung zum E-Mail-Kurs oder Newsletter per Double-Opt-in. Sie können dieser Verarbeitung jederzeit widersprechen, indem Sie sich über den Abmeldelink in jeder E-Mail abmelden oder uns eine formlose Nachricht an info@startupwelt.com senden. Nach Widerruf erfolgt kein weiteres Tracking.
Weitere Informationen
https://www.activecampaign.com/legal/privacy-policy
8. Online-Kursplattform (Memberspot)
Anbieter
Memberspot GmbH, Bülowstraße 66, 10783 Berlin, Deutschland.
Zweck der Verarbeitung
Bereitstellung und Verwaltung des passwortgeschützten Mitgliederbereichs für Kursteilnehmer. Speicherung von Lernfortschritt, Kursinhalten und Zugangsdaten.
Verarbeitete Daten
Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt), Anmeldedatum, Lernfortschritt und abgeschlossene Lektionen, IP-Adresse bei Login, technische Gerätedaten (Browsertyp, Betriebssystem).
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Bereitstellung des gebuchten Kurses).
Auftragsverarbeitung
Mit Memberspot GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union.
Speicherdauer
Zugangsdaten und Kursfortschritt werden für die Dauer des aktiven Kurszugangs gespeichert. Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten gesperrt und ausschließlich zur Erfüllung gesetzlicher Aufbewahrungspflichten gemäß Art. 17 Abs. 3 lit. b DSGVO i.V.m. § 147 AO und § 257 HGB vorgehalten (max. 10 Jahre für steuerrelevante Daten). Eine aktive Verarbeitung zu anderen Zwecken findet nach Vertragsende nicht mehr statt. Nach Ablauf der Aufbewahrungsfrist werden die Daten vollständig gelöscht.
9. Zahlungsabwicklung (Stripe)
Anbieter
Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (für EU-Kunden). Muttergesellschaft: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
Zweck der Verarbeitung
Sichere Abwicklung von Zahlungen für kostenpflichtige Kurse und Mitgliedschaften.
Verarbeitete Daten
Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsdaten (Kreditkarten- oder SEPA-Daten; diese werden direkt an Stripe übermittelt und nicht auf unseren Servern gespeichert), Transaktionsbetrag und -datum, IP-Adresse.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Zahlungsabwicklung).
Eigenverantwortliche Verarbeitung
Stripe verarbeitet Zahlungsdaten als eigenverantwortlicher Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Wir haben keinen Zugriff auf vollständige Zahlungsdaten (nur maskierte Kartennummern). Stripe ist nach PCI DSS Level 1 zertifiziert. Für Auskunfts- und Löschanfragen bezüglich bei Stripe gespeicherter Zahlungsdaten wenden Sie sich bitte direkt an Stripe: privacy@stripe.com oder https://stripe.com/de/privacy.
Verknüpfung mit unserem Bestellprozess (Sitzungs-ID)
Beim Klick auf „Weiter zur Zahlung“ wird in unserem Bestellformular eine eindeutige, pseudonyme Sitzungs-ID nach
dem Muster sw-{Zeitstempel}-{Zufallszeichenfolge} erzeugt und im Stripe-Checkout als
client_reference_id mitgegeben. Diese ID enthält selbst keine personenbezogenen Daten, ermöglicht uns
aber nach erfolgter Zahlung, Ihren Stripe-Vorgang dem zuvor erteilten Einwilligungs-Datensatz (siehe § 9a)
zuzuordnen — eine Voraussetzung der Vertragsbestätigungspflicht nach § 312f BGB.
Datenübertragung in Drittländer
Stripe Payments Europe, Ltd. verarbeitet Daten primär in der EU/Irland. Eine Übertragung in die USA kann im Rahmen des konzerninternen Datenaustauschs erfolgen; Stripe LLC ist nach dem EU-US Data Privacy Framework zertifiziert. Zusätzlich gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Speicherdauer
Zahlungsdaten werden entsprechend der gesetzlichen Aufbewahrungspflichten (10 Jahre gemäß § 147 AO) gespeichert.
Weitere Informationen
9a. Vertrags- und Consent-Dokumentation (§ 312f BGB)
Zweck der Verarbeitung
Bei der Bestellung digitaler Inhalte sind wir nach § 312f BGB verpflichtet, Ihre ausdrückliche Zustimmung zur sofortigen Vertragsausführung sowie die Kenntnisnahme des Erlöschens des Widerrufsrechts (§ 356 Abs. 5 BGB) zu dokumentieren. Hierzu protokollieren wir den Einwilligungs-Vorgang revisionssicher.
Verarbeitete Daten
Beim Absenden des Bestellformulars: pseudonyme Sitzungs-ID, Zeitstempel (Server- und Client-Zeit), User-Agent (Browserkennung), Referrer-URL, Sprache, Status der Einwilligungs-Checkboxen (AGB-Zustimmung, Widerrufsverzicht), Hash-Wert des angezeigten Einwilligungstextes (SHA-256), Produktkennung und Preis. Nach erfolgreicher Zahlung wird der Datensatz ergänzt um: E-Mail-Adresse aus dem Stripe-Checkout, Stripe-Sitzungskennung sowie ein Sendezeitstempel der Vertragsbestätigungs-E-Mail.
Rechtsgrundlage
Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der rechtlichen Verpflichtung aus § 312f BGB) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer revisionssicheren Beweissicherung des erteilten Widerrufsverzichts).
Speicherort und beteiligte Dienste
Der Einwilligungs-Datensatz wird über die Automatisierungsplattform Make (siehe § 10) entgegengenommen und in einem geschützten Google Sheet (siehe § 3c) protokolliert. Eine Übermittlung an Dritte außerhalb dieser Auftragsverarbeitungs-Kette erfolgt nicht.
Speicherdauer
Da der Einwilligungs-Datensatz unmittelbarer Bestandteil der Vertragsdokumentation ist, wird er gemäß § 147 Abs. 3 AO und § 257 Abs. 4 HGB zehn Jahre aufbewahrt und anschließend gelöscht.
Hinweis zur Vertragsbestätigung
Sie erhalten nach Vertragsschluss eine Vertragsbestätigungs-E-Mail nach § 312f BGB, die unter anderem eine Vorgangs-ID enthält. Mit dieser ID können Sie bei Rückfragen zu Ihrer Bestellung Ihren Vorgang gegenüber uns eindeutig identifizieren.
10. Prozessautomatisierung (Make)
Anbieter
Celonis SE, Theresienstraße 6, 80333 München, Deutschland (Anbieter des Make-Dienstes; AVV: „Celonis Data Processing Agreement for Make", Stand Mai 2024).
Zweck der Verarbeitung
Automatisierte Übertragung von Daten zwischen den eingesetzten Systemen (z.B. Stripe zu ActiveCampaign, Memberspot zu ActiveCampaign) zur Prozessoptimierung und Reduzierung manueller Dateneingaben.
Verarbeitete Daten
Vorname, Nachname, E-Mail-Adresse, Kaufdaten, Kurszugangsstatus. Make agiert dabei als reines Datendurchleitungssystem und speichert keine Daten dauerhaft.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Verarbeitung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Auftragsverarbeitung
Mit Celonis SE besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO („Celonis Data Processing Agreement for Make", abrufbar unter make.com/data-processing-agreement.pdf). Die Datenverarbeitung erfolgt primär auf Servern in der Europäischen Union. Eine Datenübertragung in die USA kann im Rahmen des konzerninternen Austauschs erfolgen; als Grundlage gelten Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.
10a. Online-Terminbuchung (meetergo)
Anbieter
meetergo GmbH, Hauptstraße 44, 40789 Monheim am Rhein, Deutschland (HRB 104381, Amtsgericht Düsseldorf).
Zweck der Verarbeitung
Bereitstellung einer Online-Terminbuchungs-Funktion für Strategiegespräche und Beratungstermine. Über einen meetergo-Buchungslink können Interessenten und Mitglieder selbstständig einen Termin in unserem Kalender wählen.
Verarbeitete Daten
Name, E-Mail-Adresse, ausgewähltes Terminfenster, ggf. freiwillige Angaben aus dem Buchungsformular, IP-Adresse, Browsertyp und -version, Datum und Uhrzeit der Buchung.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Terminkoordination).
Auftragsverarbeitung
Mit meetergo GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union.
Speicherdauer
Buchungsdaten werden für die Dauer der Termin-Vor- und Nachbereitung gespeichert und spätestens nach 12 Monaten gelöscht, soweit keine vertraglichen oder gesetzlichen Aufbewahrungspflichten entgegenstehen.
Weitere Informationen
https://www.meetergo.com/de/datenschutz
11. Buchhaltung und Rechnungswesen (Lexware Office)
Anbieter
Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg im Breisgau, Deutschland.
Zweck der Verarbeitung
Erstellung von Rechnungen, Verwaltung von Buchungsdaten und Erfüllung steuerrechtlicher Aufbewahrungspflichten.
Verarbeitete Daten
Name, Anschrift, E-Mail-Adresse, Zahlungsinformationen soweit rechnungsrelevant, Transaktionsdaten.
Rechtsgrundlage
Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen, insbesondere § 147 AO, § 257 HGB, § 14 UStG).
Auftragsverarbeitung
Mit Haufe-Lexware GmbH & Co. KG besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Daten werden ausschließlich auf Servern in Deutschland verarbeitet.
Speicherdauer
Rechnungs- und steuerrelevante Daten werden gemäß § 147 Abs. 3 AO und § 257 Abs. 4 HGB zehn Jahre aufbewahrt und anschließend gelöscht.
12. Social-Media-Präsenz
Wir betreiben Präsenzseiten auf den nachfolgend genannten Social-Media-Plattformen. Der Besuch dieser Seiten und jede Interaktion mit unseren Inhalten unterliegt den jeweiligen Datenschutzbestimmungen der Plattformbetreiber. Wir weisen darauf hin, dass Sie diese Plattformen grundsätzlich eigenverantwortlich und auf eigenes Risiko nutzen.
LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Beim Besuch unserer LinkedIn-Seite verarbeitet LinkedIn Ireland Unlimited Company personenbezogene Daten. Wir haben als Seitenbetreiber gemäß der EuGH-Entscheidung (C-210/16) eine Mitverantwortlichkeit für die Verarbeitung von Seitenstatistiken (Page Insights). Mit LinkedIn Ireland besteht ein Page Insights Joint Controller Addendum gemäß Art. 26 DSGVO (abrufbar unter https://www.linkedin.com/legal/pages-joint-controller-addendum). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
https://www.linkedin.com/legal/privacy-policy
Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Als Betreiber einer Instagram-Präsenz sind wir gemeinsam mit Meta für die Verarbeitung von Insights-Daten verantwortlich (Mitverantwortlichkeit gemäß Art. 26 DSGVO). Mit Meta besteht eine Page Controller Addendum-Vereinbarung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
https://privacycenter.instagram.com/policy
Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Als Betreiber einer Facebook-Seite (Fanpage) sind wir gemäß EuGH-Urteil C-210/16 und dem Beschluss des BVerwG (1 C 28.19) gemeinsam mit Meta verantwortlich für die Erhebung von Nutzerdaten im Rahmen der Seitenstatistiken. Mit Meta besteht eine Page Controller Addendum-Vereinbarung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
https://www.facebook.com/privacy/policy
YouTube
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA). Beim Besuch unseres YouTube-Kanals verarbeitet Google Ireland Limited personenbezogene Daten. Als Kanalinhaber besteht eine Mitverantwortlichkeit für die Verarbeitung von Kanalstatistiken gemäß Art. 26 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Außendarstellung und Reichweitenmessung). Daten können in die USA übertragen werden; Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; zudem gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
https://policies.google.com/privacy
13. Cookies und Einwilligungsmanagement
Was sind Cookies?
Cookies sind kleine Textdateien, die Ihr Browser auf Ihrem Endgerät speichert, wenn Sie unsere Website besuchen. Sie dienen dazu, bestimmte Einstellungen oder Informationen zu speichern und beim nächsten Besuch wiederzuerkennen.
Technisch notwendige Cookies
Diese Cookies sind für den Betrieb der Website unbedingt erforderlich (z.B. Session-Cookies, Speicherung Ihrer Cookie-Einstellungen). Sie werden ohne Einwilligung gesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.
Analyse-Cookies (Google Analytics 4)
Diese Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Rechtsgrundlage: § 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO.
Cookie-Einstellungen ändern
Sie können Ihre Cookie-Einwilligung jederzeit über den Cookie-Banner auf unserer Website anpassen oder widerrufen. Alternativ können Sie Cookies in Ihrem Browser deaktivieren oder löschen. Bitte beachten Sie, dass die Deaktivierung bestimmter Cookies die Funktionalität der Website beeinträchtigen kann.
Einwilligungsmanagement-Tool (Consent Management Platform)
Zur Einholung, Verwaltung und Dokumentation Ihrer Cookie-Einwilligungen setzt diese Website ein Consent-Management-Tool (CMP) ein. Das Tool speichert Ihre Einwilligungsentscheidungen und stellt sicher, dass nicht-notwendige Cookies und Tracking-Technologien erst nach Ihrer ausdrücklichen Zustimmung aktiviert werden. Ihre Einwilligungsentscheidung wird lokal in Ihrem Browser gespeichert und kann jederzeit über den Cookie-Banner widerrufen oder angepasst werden. Rechtsgrundlage für den Betrieb des CMP selbst: § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der rechtssicheren Einholung und Dokumentation von Einwilligungen).
Eingesetztes CMP: Onepage.io GmbH, Wiesenhüttenplatz 25, 60329 Frankfurt am Main, Deutschland. Das integrierte Cookie-Consent-Banner von Onepage.io speichert Ihre Einwilligungsentscheidung lokal im Browser. Es werden keine personenbezogenen Daten an Onepage.io übermittelt, die über den regulären Website-Betrieb (§ 3a) hinausgehen. Datenschutzinformationen des Anbieters: https://onepage.io/de/datenschutzerklarung
14. Ihre Rechte als betroffene Person (Art. 15 ff. DSGVO)
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer gespeicherten personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten, und Auskunft über diese Daten sowie weitere Informationen (Verarbeitungszwecke, Empfänger, Speicherdauer etc.) zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen und keine Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen vorliegen (z.B. bestrittene Richtigkeit, unrechtmäßige Verarbeitung, benötigt zur Rechtsverfolgung).
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.
Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2 DSGVO)
Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit und ohne Angabe von Gründen Widerspruch gegen die Verarbeitung Ihrer Daten für solche Werbezwecke einzulegen; dies gilt auch für das Profiling, soweit es mit Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, werden Ihre personenbezogenen Daten unverzüglich und ohne Ausnahme nicht mehr für diese Zwecke verarbeitet. Den Widerspruch können Sie formlos per E-Mail an info@startupwelt.com richten oder den Abmeldelink in jeder Marketing-E-Mail nutzen.
Kein Profiling und keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Wir treffen keine automatisierten Entscheidungen einschließlich Profiling gemäß Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Die Segmentierung in ActiveCampaign dient ausschließlich der Personalisierung von E-Mail-Inhalten und entfaltet keine rechtlichen oder ähnlich erheblichen Wirkungen.
Beschwerderecht (Art. 77 DSGVO)
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Gemäß Art. 77 Abs. 1 DSGVO können Sie sich an jede Aufsichtsbehörde wenden, insbesondere an die Behörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für uns als Verantwortlichen zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2-4, 40213 Düsseldorf
Telefon: +49 211 38424-0
https://www.ldi.nrw.de
Geltendmachung Ihrer Rechte
Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: info@startupwelt.com. Wir beantworten Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen kann diese Frist um weitere zwei Monate verlängert werden.
15. Datensicherheit
Diese Website und alle eingesetzten Systeme nutzen SSL-/TLS-Verschlüsselung zur sicheren Übertragung von Daten zwischen Ihrem Browser und unserem Server. Eine verschlüsselte Verbindung ist an der Adresszeile Ihres Browsers erkennbar (https:// sowie Schloss-Symbol).
Wir treffen angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten gemäß Art. 32 DSGVO, insbesondere zum Schutz gegen unbefugten Zugriff, Verlust, Zerstörung oder Weitergabe. Im Falle einer Datenschutzverletzung, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir Sie gemäß Art. 34 DSGVO unverzüglich und in klarer, verständlicher Sprache informieren. Die Meldung an die zuständige Aufsichtsbehörde erfolgt gemäß Art. 33 DSGVO innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit sich rechtliche Rahmenbedingungen ändern oder neue Verarbeitungsvorgänge hinzukommen. Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar. Das Datum der letzten Aktualisierung ist am Anfang des Dokuments ausgewiesen.
Bei wesentlichen Änderungen, die Ihre Einwilligungen oder Rechte betreffen, werden wir Sie gesondert informieren (z.B. per E-Mail oder durch einen deutlichen Hinweis auf der Website).