Datenschutzerklärung

1. Kontaktadressen

Verantwortung für die Bearbeitung von Personendaten:

Fabian Lang
Wydenstrasse 22
6030 Ebikon
Schweiz
info@codealang.ch

Im Einzelfall kann es andere Verantwortliche für die Bearbeitung von Personendaten oder eine gemeinsame Verantwortlichkeit mit mindestens einem anderen Verantwortlichen geben.

Datenschutzberaterin oder Datenschutzberater

Wir verfügen über die nachfolgende Datenschutzberaterin oder den nachfolgenden Datenschutzberater als Anlaufstelle für betroffene Personen und Behörden bei Anfragen im Zusammenhang mit dem Datenschutz:

Fabian Lang
Wydenstrasse 22
6030 Ebikon
Schweiz
info@codealang.ch

2. Begriffe und Rechtsgrundlagen

2.1 Begriffe

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Eine betroffene Person ist eine Person, über die wir Personendaten bearbeiten.

Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, beispielsweise das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verbreiten, Verknüpfen, Vernichten und Verwenden von Personendaten.

2.2 Rechtsgrundlagen

Wir bearbeiten Personendaten im Einklang mit dem schweizerischen Datenschutzrecht wie insbesondere dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und der Verordnung über den Datenschutz (Datenschutzverordnung, DSV).

3. Art, Umfang und Zweck

Wir bearbeiten jene Personendaten, die erforderlich sind, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Solche Personendaten können insbesondere in die Kategorien von Bestandes- und Kontaktdaten, Browser- und Gerätedaten, Inhaltsdaten, Meta- bzw. Randdaten und Nutzungsdaten, Standortdaten, Verkaufsdaten sowie Vertrags- und Zahlungsdaten fallen.

Wir bearbeiten Personendaten während jener Dauer, die für den jeweiligen Zweck bzw. die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden gelöscht.

Wir können Personendaten durch Dritte bearbeiten lassen. Wir können Personendaten gemeinsam mit Dritten bearbeiten oder an Dritte übermitteln. Bei solchen Dritten handelt es sich insbesondere um spezialisierte Anbieter, deren Leistungen wir in Anspruch nehmen. Wir gewährleisten auch bei solchen Dritten den Datenschutz.

Wir bearbeiten Personendaten grundsätzlich nur mit Einwilligung der betroffenen Personen. Sofern und soweit die Bearbeitung aus anderen rechtlichen Gründen zulässig ist, können wir darauf verzichten, eine Einwilligung einzuholen. Wir können Personendaten beispielsweise ohne Einwilligung bearbeiten, um einen Vertrag zu erfüllen, um rechtlichen Verpflichtungen nachzukommen oder um überwiegende Interessen zu wahren.

Wir bearbeiten ausserdem Personendaten, die wir von Dritten erhalten, aus öffentlich zugänglichen Quellen beschaffen oder bei der Ausübung unserer Aktivitäten und Tätigkeiten erheben, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist.

4. Kommunikation

Wir bearbeiten Personendaten, um mit Dritten kommunizieren zu können. Wir bearbeiten in diesem Rahmen insbesondere Daten, die eine betroffene Person bei der Kontaktaufnahme übermittelt, zum Beispiel per Briefpost oder E-Mail. Wir können solche Daten in einem Adressbuch oder mit vergleichbaren Hilfsmitteln speichern.

Dritte, die Daten über andere Personen übermitteln, sind verpflichtet, den Datenschutz gegenüber solchen betroffenen Personen zu gewährleisten. Dafür muss unter anderem die Richtigkeit der übermittelten Personendaten sichergestellt werden.

5. Datensicherheit

Wir treffen geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Mit unseren Massnahmen gewährleisten wir insbesondere die Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Integrität der bearbeiteten Personendaten, ohne aber absolute Datensicherheit gewährleisten zu können.

Der Zugriff auf unsere Website und unsere sonstige Online-Präsenz erfolgt mittels Transportverschlüsselung (SSL / TLS, insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem kleinen Vorhängeschloss in der Adressleiste.

Unsere digitale Kommunikation unterliegt – wie grundsätzlich jede digitale Kommunikation – der Massenüberwachung ohne Anlass und Verdacht durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den Vereinigten Staaten von Amerika (USA) und in anderen Ländern. Wir können keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen. Wir können auch nicht ausschliessen, dass einzelne betroffene Personen gezielt überwacht werden.

6. Personendaten im Ausland

Wir bearbeiten Personendaten grundsätzlich in der Schweiz. Wir können Personendaten aber auch in andere Staaten bekanntgeben bzw. exportieren, insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen.

Wir können Personendaten in alle Staaten und Territorien auf der Erde sowie anderswo im Universum bekanntgeben, sofern das dortige Recht gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz gewährleistet.

Wir können Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, bekanntgeben, sofern aus anderen Gründen ein geeigneter Datenschutz gewährleistet ist. Ein geeigneter Datenschutz kann beispielsweise durch entsprechende vertragliche Vereinbarungen, auf Grundlage von Standarddatenschutzklauseln oder mit anderen geeigneten Garantien gewährleistet sein. Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Wir geben betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie von Garantien.

7. Rechte von betroffenen Personen

7.1 Datenschutzrechtliche Ansprüche

Wir gewähren betroffenen Personen sämtliche Ansprüche gemäss dem anwendbaren Datenschutzrecht. Betroffene Personen verfügen insbesondere über folgende Rechte:

• Auskunft
• Berichtigung und Einschränkung
• Löschung und Widerspruch
• Datenherausgabe und Datenübertragung

Wir können die Ausübung der Rechte von betroffenen Personen im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern. Wir können betroffene Personen auf allenfalls zu erfüllende Voraussetzungen für die Ausübung ihrer datenschutzrechtlichen Ansprüche hinweisen.

Wir können beispielsweise die Auskunft mit Verweis auf Geschäftsgeheimnisse oder den Schutz anderer Personen ganz oder teilweise verweigern. Wir können beispielsweise auch die Löschung von Personendaten mit Verweis auf gesetzliche Aufbewahrungspflichten ganz oder teilweise verweigern.

Wir können für die Ausübung der Rechte ausnahmsweise Kosten vorsehen. Wir informieren betroffene Personen vorgängig über allfällige Kosten.

Wir sind verpflichtet, betroffene Personen, die Auskunft verlangen oder andere Rechte geltend machen, mit angemessenen Massnahmen zu identifizieren. Betroffene Personen sind zur Mitwirkung verpflichtet.

7.2 Rechtsschutz

Betroffene Personen haben das Recht, ihre datenschutzrechtlichen Ansprüche auf dem Rechtsweg durchzusetzen oder Anzeige bzw. Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde zu erheben.

Datenschutz-Aufsichtsbehörde für Anzeigen von betroffenen Personen gegen private Verantwortliche und Bundesorgane in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).

8. Nutzung der Website bzw. Web-Applikation

8.1 Cookies

Wir können Cookies verwenden. Bei Cookies – eigenen Cookies (First-Party-Cookies) als auch Cookies von Dritten, deren Dienste wir nutzen (Third-Party-Cookies) – handelt es sich um Daten, die im Browser gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein.

Cookies können im Browser temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer.

Cookies ermöglichen insbesondere, einen Browser beim nächsten Besuch unserer Website wiederzuerkennen und dadurch beispielsweise die Reichweite unserer Website zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden.

Cookies können in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden. Ohne Cookies steht unsere Website bzw. Web-Applikation allenfalls nicht mehr in vollem Umfang zur Verfügung. Wir ersuchen – mindestens sofern und soweit erforderlich – aktiv um die ausdrückliche Einwilligung in die Verwendung von Cookies.

8.2 Protokollierung

Wir können für jeden Zugriff auf unsere Website bzw. Web-Applikation und unsere sonstige Online-Präsenz mindestens nachfolgende Angaben protokollieren, sofern diese bei solchen Zugriffen an unsere digitale Infrastruktur übermittelt werden: Datum und Zeit einschliesslich Zeitzone, IP-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebssystem einschliesslich Benutzeroberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seite unserer Website bzw. Web-Applikation einschliesslich übertragener Datenmenge, zuletzt im gleichen Browser-Fenster aufgerufene Webseite (Referer bzw. Referrer).

Wir protokollieren solche Angaben, die auch Personendaten darstellen können, in Logdateien. Die Angaben sind erforderlich, um unsere Online-Präsenz dauerhaft, nutzerfreundlich und zuverlässig bereitstellen zu können. Die Angaben sind ferner erforderlich, um die Datensicherheit gewährleisten zu können – auch durch Dritte oder mit Hilfe von Dritten.

8.3 Zählpixel

Wir können Zählpixel in unsere Online-Präsenz einbinden. Zählpixel werden auch als Web-Beacons bezeichnet. Bei Zählpixeln – auch von Dritten, deren Dienste wir nutzen – handelt es sich üblicherweise um kleine, nicht sichtbare Bilder oder in JavaScript formulierte Skripte, die beim Zugriff auf unsere Online-Präsenz automatisch abgerufen werden. Mit Zählpixeln können mindestens die gleichen Angaben wie in Logdateien erfasst werden.

9. Benachrichtigungen und Mitteilungen

Wir versenden Benachrichtigungen und Mitteilungen per E-Mail und über andere Kommunikationskanäle wie beispielsweise Instant Messaging oder SMS.

9.1 Erfolgs- und Reichweitenmessung

Benachrichtigungen und Mitteilungen können Weblinks oder Zählpixel enthalten, die erfassen, ob eine einzelne Mitteilung geöffnet wurde und welche Weblinks dabei angeklickt wurden. Solche Weblinks und Zählpixel können die Nutzung von Benachrichtigungen und Mitteilungen auch personenbezogen erfassen.

Wir benötigen diese statistische Erfassung der Nutzung für die Erfolgs- und Reichweitenmessung, um Benachrichtigungen und Mitteilungen aufgrund der Bedürfnisse und Lesegewohnheiten der Empfängerinnen und Empfänger effektiv und nutzerfreundlich sowie dauerhaft, sicher und zuverlässig versenden zu können.

9.2 Einwilligung und Widerspruch

Sie müssen grundsätzlich in die Verwendung Ihrer E-Mail-Adresse und Ihrer sonstigen Kontaktadressen einwilligen, es sei denn, die Verwendung ist aus anderen rechtlichen Gründen zulässig.

Sie können grundsätzlich dem Erhalt von Benachrichtigungen und Mitteilungen jederzeit widersprechen. Vorbehalten bleiben erforderliche Benachrichtigungen und Mitteilungen im Zusammenhang mit unseren Aktivitäten und Tätigkeiten.

10. Social Media

Wir sind auf Social Media-Plattformen und anderen Online-Plattformen präsent, um mit interessierten Personen kommunizieren sowie über unsere Aktivitäten und Tätigkeiten informieren zu können. Im Zusammenhang mit solchen Plattformen können Personendaten auch ausserhalb der Schweiz bearbeitet werden.

Es gelten jeweils auch die Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärungen der einzelnen Betreiber solcher Plattformen.

11. Dienste von Dritten

Wir nutzen Dienste von spezialisierten Dritten, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Mit solchen Diensten können wir unter anderem Funktionen und Inhalte in unsere Website einbetten. Bei einer solchen Einbettung erfassen die genutzten Dienste aus technisch zwingenden Gründen mindestens zeitweilig die IP-Adressen der Nutzerinnen und Nutzer.

Für erforderliche sicherheitsrelevante, statistische und technische Zwecke können Dritte, deren Dienste wir nutzen, Daten im Zusammenhang mit unseren Aktivitäten und Tätigkeiten aggregiert, anonymisiert oder pseudonymisiert bearbeiten. Es handelt sich beispielsweise um Leistungs- oder Nutzungsdaten, um den jeweiligen Dienst anbieten zu können.

Dienste von Google: Anbieterinnen: Google LLC (USA) / Google Ireland Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Grundsätze zu Datenschutz und Sicherheit», Datenschutzerklärung, «Google ist der Einhaltung der anwendbaren Datenschutzgesetze verpflichtet», «Leitfaden zum Datenschutz in Google-Produkten», «Wie wir Daten von Websites oder Apps verwenden, auf bzw. in denen unsere Dienste genutzt werden» (Angaben von Google), «Arten von Cookies und ähnliche Technologien, die Google verwendet», «Werbung, auf die du Einfluss hast» («Personalisierte Werbung»).

Dienste von Microsoft: Anbieterinnen: Microsoft Ireland Operations Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR), in der Schweiz und im Vereinigten Königreich / Microsoft Corporation (USA) für Nutzerinnen und Nutzer im Rest der Welt; Allgemeine Angaben zum Datenschutz: «Datenschutz bei Microsoft», «Datenschutz und Privatsphäre», Datenschutzerklärung, «Daten- und Datenschutzeinstellungen».

Dienste von Zoho Mail: E-Mail-Kommunikation; Anbieterin: Zoho Corporation Pvt. Ltd. (Indien) / Zoho Corporation B.V. (Niederlande) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz.

Für den Versand von Benachrichtigungen, Einladungen und sonstigen geschäftsrelevanten Mitteilungen bearbeiten wir E-Mail-Adressen sowie Inhalte der jeweiligen Nachrichten über Zoho Mail.

Die Bearbeitung der Personendaten erfolgt ausschliesslich zum Zweck der Kommunikation im Zusammenhang mit unseren Aktivitäten und Tätigkeiten. Zoho verwendet die Daten nicht für eigene Zwecke.

Je nach Konfiguration können Personendaten auch ausserhalb der Schweiz bzw. des EWR bearbeitet werden. In solchen Fällen stellen wir sicher, dass ein angemessener Datenschutz durch geeignete Garantien gewährleistet ist, insbesondere durch vertragliche Vereinbarungen und Standarddatenschutzklauseln.

Angaben zum Datenschutz: Datenschutzerklärung von Zoho, «Zoho Privacy Policy».

11.1 Digitale Infrastruktur

Wir nutzen Dienste von spezialisierten Dritten, um benötigte digitale Infrastruktur im Zusammenhang mit unseren Aktivitäten und Tätigkeiten in Anspruch nehmen zu können. Dazu zählen beispielsweise Hosting- und Speicherdienste von ausgewählten Anbietern.

Wir nutzen insbesondere:

Supabase: Backend-Plattform (Datenbank, Authentifizierung, Dateispeicherung, Edge Functions); Anbieterin: Supabase Inc. (USA).

Die für den Betrieb unserer Web-Applikation relevanten Personendaten (insbesondere Datenbankinhalte, Authentifizierungsdaten und gespeicherte Dateien) werden in Rechenzentren in der Schweiz verarbeitet und gespeichert.

Supabase kann im Rahmen des technischen Betriebs Meta- und Telemetriedaten (z. B. technische Logs, Metriken zur Systemstabilität und Projektverwaltung) auch ausserhalb der Schweiz bearbeiten. Diese Daten enthalten keine inhaltlichen Nutzerdaten unserer Web-Applikation.

Angaben zum Datenschutz: Datenschutzerklärung von Supabase, «Data Processing Addendum (DPA)».

11.2 Schriftarten

Wir nutzen Dienste von Dritten, um ausgewählte Schriftarten sowie Icons, Logos und Symbole in unsere Website einbetten zu können.

Wir nutzen insbesondere:

Google Fonts: Schriftarten; Anbieterin: Google; Google Fonts-spezifische Angaben: «Ihre Privatsphäre und Google Fonts» («Your Privacy and Google Fonts»), «Datenschutz und Datenerfassung».

11.3 Zahlungen

Wir nutzen spezialisierte Dienstleister, um Zahlungen unserer Kundinnen und Kunden sicher und zuverlässig abwickeln zu können. Für die Abwicklung von Zahlungen gelten ergänzend die Rechtstexte der einzelnen Dienstleister wie Allgemeine Geschäftsbedingungen (AGB) oder Datenschutzerklärungen.

Wir nutzen insbesondere:

Stripe: Abwicklung von Zahlungen; Anbieterinnen: Stripe Inc. (USA) / Stripe Payments Europe Limited (SPEL, Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz sowie teilweise im Vereinigten Königreich / Stripe Payments UK Limited (Vereinigtes Königreich) und Stripe Capital Europe Limited (Irland) teilweise für Nutzerinnen und Nutzer im Vereinigten Königreich; Angaben zum Datenschutz: «Stripe Datenschutz Center» («Stripe Privacy Center»), Datenschutzerklärung, Cookie-Richtlinie.

11.4 Nutzung von Google Calendar

Unsere Web-Applikation ermöglicht es Nutzerinnen und Nutzern, ihren Google Kalender mit unserer Anwendung zu verbinden, um verfügbare Zeitfenster für Terminplanungen zu ermitteln.

Im Rahmen dieser Verbindung greifen wir auf Kalenderinformationen wie belegte und freie Zeiträume, Datum und Uhrzeit von Terminen zu. Inhalte von Kalendereinträgen (z. B. Beschreibungen oder Teilnehmerlisten) werden nicht dauerhaft gespeichert und ausschliesslich zur Durchführung der Terminplanung verwendet. Kalenderdaten werden nur temporär verarbeitet und nicht dauerhaft gespeichert. Nach Abschluss der Terminplanung werden keine Kalenderinformationen auf unseren Systemen aufbewahrt.

Die Verbindung erfolgt über eine von Google bereitgestellte OAuth-Authentifizierung. Dabei werden Zugriffstoken und Refresh-Tokens gespeichert, um den Zugriff auf den Kalender aufrechtzuerhalten. Diese Tokens können jederzeit durch die Nutzerinnen und Nutzer widerrufen werden.

Die Verarbeitung der Kalenderdaten erfolgt ausschliesslich zweckgebunden und nicht zur Erstellung von Nutzungsprofilen. Der Zugriff erfolgt ausschliesslich im Rahmen der von Google bereitgestellten OAuth-Berechtigungen (Scopes), insbesondere für das Lesen von Verfügbarkeiten und Terminzeiten. Ein Zugriff auf vollständige Kalendereinträge oder deren Inhalte erfolgt nicht, sofern dies nicht für die Terminplanung zwingend erforderlich ist.

Die Kalenderdaten werden weder für Werbung noch für Analysezwecke noch zur Weitergabe an Dritte verwendet.

11.5 Nutzung von Microsoft Outlook / Microsoft Graph

Unsere Web-Applikation ermöglicht es Nutzerinnen und Nutzern, ihren Microsoft Outlook Kalender über die Microsoft Graph API zu verbinden.

Dabei werden Kalenderinformationen wie Terminzeiten, Belegungen und Verfügbarkeiten verarbeitet, um freie Zeitfenster anzuzeigen und Termine zu koordinieren. Inhalte von Kalendereinträgen werden nicht dauerhaft gespeichert. Kalenderdaten werden nur temporär verarbeitet und nicht dauerhaft gespeichert. Nach Abschluss der Terminplanung werden keine Kalenderinformationen auf unseren Systemen aufbewahrt.

Die Authentifizierung erfolgt über Microsoft OAuth. Dabei werden Zugriffstoken und Refresh-Tokens gespeichert, um die Verbindung aufrechtzuerhalten. Die Verbindung kann jederzeit durch die Nutzerinnen und Nutzer widerrufen werden.

Die Verarbeitung erfolgt ausschliesslich zur Terminorganisation und nicht zu anderen Zwecken.

Die Kalenderdaten werden weder für Werbung noch für Analysezwecke noch zur Weitergabe an Dritte verwendet.

11.6 GitLab Pages und Versionsverwaltung

Versionsverwaltung und Hosting von Web-Applikationen; Anbieterin: GitLab B.V. (Niederlande) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz / GitLab Inc. (USA) für Nutzerinnen und Nutzer im Rest der Welt.

Wir nutzen GitLab zur Versionsverwaltung des Quellcodes sowie zur Bereitstellung unserer Web-Applikation über GitLab Pages. Dabei können insbesondere technische Daten wie IP-Adressen, Zugriffsdaten, Zeitpunkte von Zugriffen sowie Informationen zum verwendeten Browser und Betriebssystem bearbeitet werden.

Die Bearbeitung dieser Personendaten erfolgt zum Zweck des sicheren, stabilen und zuverlässigen Betriebs unserer Web-Applikation sowie zur Fehleranalyse und Systemüberwachung.

Je nach Ausgestaltung und Nutzung der Dienste können Personendaten auch ausserhalb der Schweiz bzw. des Europäischen Wirtschaftsraums bearbeitet werden. In solchen Fällen stellen wir sicher, dass ein angemessener Datenschutz durch geeignete Garantien gewährleistet ist, insbesondere durch vertragliche Vereinbarungen und Standarddatenschutzklauseln.

Angaben zum Datenschutz: Datenschutzerklärung von GitLab.

12. Datenverarbeitung im Analytics-System

12.1 Zweck der Datenverarbeitung

Triventa erfasst Aktivitätsdaten (Activity Logs) zur Bereitstellung von Analytics-Funktionen und zur Erfüllung von Compliance-Anforderungen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

12.2 Erfasste Daten

Folgende Daten werden im Activity Log gespeichert:

Technische Daten:

• Zeitstempel der Aktivität
• Aktivitätstyp (z.B. "Session erstellt", "Termin bestätigt")
• Session-ID (technische Referenz)
• Company-ID (Zuordnung zu Ihrem Unternehmen)

Personenbezogene Daten (temporär):

• Vorname und Nachname von Partnern und Teilnehmern
• E-Mail-Adressen von Partnern und Teilnehmern
• User-ID des Organizers

Metadaten:

• Kalender-Provider (Google, Outlook) bei Synchronisationen
• Anzahl vorgeschlagener Terminslots
• Status-Informationen (bestätigt, abgelehnt, etc.)

12.3 Aufbewahrungsfristen

Personenbezogene Daten:

• Starter-Plan: 12 Monate ab Erfassung
• Business-Plan: 24 Monate ab Erfassung
• Enterprise-Plan: 24 Monate ab Erfassung

Anonymisierte Daten:

Nach Ablauf der oben genannten Fristen werden personenbezogene Daten automatisch anonymisiert. Anonymisierte Logs werden 10 Jahre aufbewahrt für:

• Langfristige Trendanalysen
• Statistische Auswertungen
• Prozessoptimierung

12.4 Anonymisierungsprozess

Die Anonymisierung erfolgt automatisch durch einen täglichen Prozess:

Anonymisierte Felder:

• Vornamen werden gelöscht (auf null gesetzt)
• Nachnamen werden gelöscht (auf null gesetzt)
• E-Mail-Adressen werden durch [anonymized] ersetzt

Erhaltene Daten:

• Zeitstempel (für Trendanalysen)
• Aktivitätstypen (für Prozessanalysen)
• Technische IDs (für Aggregationen)
• Metadaten ohne Personenbezug (z.B. Anzahl Slots, Provider-Typ)

12.5 Zugriffsberechtigung

• Normale Benutzer: Können nur ihre eigenen Activity Logs einsehen
• Admins: Können alle Activity Logs ihres Unternehmens einsehen
• Keine Bearbeitung: Activity Logs können nicht nachträglich geändert oder gelöscht werden (Audit-Trail-Integrität)

12.6 Datenlöschung

Vollständige Löschung erfolgt bei:

• Löschung Ihres Unternehmens-Accounts: Alle Activity Logs werden unwiderruflich gelöscht
• Ausübung des Rechts auf Löschung (Art. 17 DSGVO): Personenbezogene Daten werden sofort anonymisiert

Keine Löschung bei:

• Löschung einzelner Termine: Activity Logs bleiben für Audit-Zwecke erhalten, werden aber nach Frist anonymisiert

12.7 Datenübermittlung

• Keine Weitergabe an Dritte: Activity Logs werden ausschließlich innerhalb Ihres Unternehmens verarbeitet
• Serverstandort: EU (Supabase-Infrastruktur in Deutschland/EU)
• Keine Drittland-Übermittlung: Alle Daten verbleiben in der EU

12.8 Technische und organisatorische Maßnahmen

• Verschlüsselung: Alle Daten werden verschlüsselt übertragen (TLS) und gespeichert
• Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene
• Audit-Trail: Unveränderliche Logs für Compliance-Nachweise
• Automatisierung: Anonymisierung erfolgt automatisch ohne manuelle Eingriffe
• Backup: Regelmäßige Backups mit gleichen Aufbewahrungsfristen

12.9 Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO): Übersicht über gespeicherte Activity Logs
• Berichtigung (Art. 16 DSGVO): Korrektur fehlerhafter Daten (nur vor Anonymisierung)
• Löschung (Art. 17 DSGVO): Sofortige Anonymisierung personenbezogener Daten
• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Activity Logs (CSV/JSON)
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung

12.10 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Vertragserfüllung (Analytics-Funktionen)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Audit-Trail, Compliance, Prozessoptimierung)
• Art. 25 DSGVO: Datenschutz durch Technikgestaltung (automatische Anonymisierung)
• Art. 32 DSGVO: Sicherheit der Verarbeitung (Verschlüsselung, Zugriffskontrolle)

13. Schlussbestimmungen

Wir haben diese Datenschutzerklärung mit dem Datenschutz-Generator von Datenschutzpartner erstellt.

Wir können diese Datenschutzerklärung jederzeit anpassen und ergänzen. Wir werden über solche Anpassungen und Ergänzungen in geeigneter Form informieren, insbesondere durch Veröffentlichung der jeweils aktuellen Datenschutzerklärung auf unserer Website.