Verantwortlicher Corinna Stark GeistReichLeben Pappelstieg 7 22846 Norderstedt E-Mail: info@geistreichleben.de 1. Einleitung / Überblick 1.1. Mit dieser Datenschutzerklärung informiere ich (GeistReichLeben) Dich über Art, Umfang und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten auf meiner Website geistreicheleben.de sowie bei der Kommunikation über die genannten Dienste. 1.2. Der Schutz Deiner personenbezogenen Daten ist mir ein wichtiges Anliegen. Ich beachte bei allen Prozessen die einschlägigen gesetzlichen Vorgaben, insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG), soweit anwendbar. 1.3. Ich handle nach dem Grundsatz „Datenminimierung“ und „Privacy by Design / Privacy by Default“: Daten werden nur in dem Umfang erhoben und verarbeitet, wie es für den jeweiligen Zweck erforderlich ist. 1.4. Falls in der Erklärung Begriffe wie „Verarbeitung“, „Auftragsverarbeitung“ etc. verwendet werden, orientiere ich mich an den Definitionen der DSGVO. 2. Rechtsgrundlagen der Datenverarbeitung Die Verarbeitung Deiner personenbezogenen Daten erfolgt auf einer der folgenden Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern Du uns Deine Einwilligung zu einem bestimmten Zweck (z. B. Newsletterversand, Tracking-Tools) gegeben hast. Vertragserfüllung / vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), wenn die Verarbeitung erforderlich ist, um Leistungen oder Dienste, die Du angefordert hast (z. B. Buchung, Terminvereinbarung, Zahlungsabwicklung), zu erbringen. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), sofern ich oder ein Dritter ein berechtigtes Interesse an der Verarbeitung hat, und Deine Interessen, Grundrechte und Grundfreiheiten nicht überwiegen. Beispiel: Interessen an sicherem und störungsfreiem Betrieb der Website, Marktanalysen oder Direktwerbung (sofern Du nicht widersprichst). Rechtspflicht (Art. 6 Abs. 1 lit. c DSGVO), wenn ich gesetzlich zur Verarbeitung verpflichtet bin (z. B. steuerrechtliche Aufbewahrungspflichten). 3. Erhobene Daten / Datenarten & Zwecke Nachfolgend erläutere ich, welche Datenkategorien ich verarbeite, zu welchen Zwecken und mit welchen Diensten: 3.1. Protokoll- und Nutzungsdaten (Server-Logfiles) Bei jedem Zugriff auf meine Website erheben meine Server automatisch Daten (z. B. IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer, verwendeter Browser, Betriebssystem). Zweck: Gewährleistung eines störungsfreien Betriebs, Sicherheitsüberwachung, Fehlermeldungen, Betriebsstatistiken. Rechtsgrundlage: berechtigtes Interesse. Speicherdauer: in der Regel 7–30 Tage, sofern nicht aus Sicherheitsgründen längere Speicherung erforderlich ist. 3.2. Kommunikation via WhatsApp Wenn Du über WhatsApp mit mir kommunizierst (z. B. zur Anfrage, Terminabstimmung), werden Deine Telefonnummer und ggf. weitere Nachrichteninhalte verarbeitet. Zweck: Kommunikation und Bearbeitung Deiner Anfragen. Rechtsgrundlage: Einwilligung oder berechtigtes Interesse (je nach Kontext). Hinweis: Ich verwende WhatsApp als externen Dienst. Die Datenübermittlung bzw. Speicherung erfolgt dabei unter den Datenschutzbedingungen von WhatsApp / Meta. Bitte informiere Dich zusätzlich bei WhatsApp/Meta über deren Datenschutzregelungen. 3.3. Formulare (Jotform) Wenn Du auf der Website Formulare beantwortest (z. B. Kontaktformular, Umfragen), werden von Dir eingegebene Daten (Name, E-Mail, Nachricht, weitere Angaben) über den Dienst Jotform verarbeitet. Zweck: Bearbeitung Deiner Anfrage, Kontaktaufnahme. Rechtsgrundlage: Einwilligung oder Vertragserfüllung. Hinweis: Ich habe mit Jotform einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen, um den Datenschutz zu gewährleisten. 3.4. Terminvereinbarung (Calendly) Wenn Du über Calendly einen Termin bei mir buchst, werden die notwendigen Angaben (z. B. Name, E-Mail, ggf. Telefon) übermittelt. Zweck: Terminorganisation und -abwicklung. Rechtsgrundlage: Einwilligung oder Vertragserfüllung. Auch hier existiert idealerweise ein AV-Vertrag mit Calendly. 3.5. Facebook Connect / Meta-Login Wenn Du Dich (sofern angeboten) über Facebook Connect (Meta-Login) anmeldest oder mit Deinem Facebook-Konto interagierst, werden von Facebook bzw. Meta bestimmte Profildaten (z. B. Name, E-Mail-Adresse, Profilbild) an mich übertragen. Zweck: Vereinfachter Login, Nutzerkonto-Verknüpfung. Rechtsgrundlage: Einwilligung. Ich empfehle, nach Möglichkeit nur das Minimum an Daten anzufordern und klare Hinweise zu geben, welche Daten übertragen werden. Es sollte ein AV-Vertrag bzw. eine entsprechende Datenverarbeitungsvereinbarung mit Meta bestehen. 3.6. ProvenExpert Wenn Du Bewertungen oder Feedback über ProvenExpert abgibst bzw. ich auf verfügbare Bewertungen zurückgreife, können Daten wie Name, Bewertungstext, Bewertungsdatum verarbeitet werden. Zweck: Reputation, Kundenmeinungen, Serviceoptimierung. Rechtsgrundlage: Einwilligung oder berechtigtes Interesse. Ich habe eine Vereinbarung zur Auftragsverarbeitung mit ProvenExpert oder kläre, unter welchen Bedingungen Daten verarbeitet werden dürfen. 3.7. Google Tag Manager, Analytics, Ads, Conversion-Tracking & Meta-Pixel Ich setze verschiedene Tracking- und Analyse-Tools ein, um das Nutzerverhalten (anonymisiert / ggf. pseudonymisiert) zu analysieren und Werbemaßnahmen zu steuern: Google Analytics: Zur Analyse des Nutzerverhaltens (Seitenaufrufe, Verweildauer, Absprungraten etc.). Google Ads / Conversion-Tracking: Zur Messung von Werbeerfolgen (z. B. welche Anzeigen zu Conversions führen). Google Tag Manager: Zum Einbinden und Steuern von Tags / Skripten (z. B. Analytics, Pixel). Meta-Pixel (ehemals Facebook Pixel): Zur Messung von Interaktionen auf der Website, Retargeting, Optimierung von Kampagnen. Zweck: Optimierung der Website, zielgerichtetes Marketing, Erfolgsmessung. Rechtsgrundlage: Einwilligung (sofern erforderlich) oder berechtigtes Interesse, sofern ein Opt-out oder Widerspruch möglich ist. Ich biete Dir (möglichst über ein Consent-Management / Cookie-Banner) die Gelegenheit, nicht zwingendes Tracking abzulehnen. Zudem habe ich mit Google / Meta die erforderlichen Vereinbarungen (z. B. Datenverarbeitung, Auftragsverarbeitung) abgeschlossen und ggf. IP-Anonymisierung aktiviert. 3.8. ClickFunnels Wenn ich ClickFunnels zur Gestaltung von Funnels (Landingpages, Sales-Funnels) nutze, dann werden dort von Besuchern eingegebene Daten verarbeitet (z. B. E-Mail-Adressen, Formular-Einträge, Conversion-Daten). Zweck: Marketing, Verkaufsförderung, Nutzerführung. Rechtsgrundlage: Einwilligung oder berechtigtes Interesse. Auch hier sollte ein AV-Vertrag mit ClickFunnels bestehen. Zudem müssen Datenschutz- und Cookie-Hinweise auf den Funnelseiten vorhanden sein. 3.9. CleverReach (Newsletter) Wenn Du Dich für meinen Newsletter anmeldest, erhebe ich E-Mail-Adresse, Name (optional) und ggf. weitere freiwillige Angaben. Ich verwende hierfür den Dienst CleverReach. Zweck: Versand von Newslettern, Updates, Angeboten. Rechtsgrundlage: Einwilligung (Double-Opt-In). Du kannst den Newsletter jederzeit abbestellen (Abmeldelink im Newsletter). Ein AV-Vertrag mit CleverReach ist abgeschlossen. 3.10. Podigee (Podcasts) Wenn ich Podcasts über Podigee veröffentliche, werden dort ggf. Metadaten (Titel, Beschreibung, ggf. Hörerdaten, Statistiken) verarbeitet. Zweck: Podcast-Veröffentlichung, Statistik, Hörer-Analysen. Rechtsgrundlage: berechtigtes Interesse oder Einwilligung (je nach Daten). Podigee kann Nutzungsstatistiken bereitstellen, ohne personenbezogene Daten im Klartext zu übermitteln. 3.11. Zapier (Automatisierungen) Wenn ich Zapier für Automatisierungsprozesse (z. B. Verknüpfung von Formularsystemen, Newsletter, Kalender etc.) nutze, werden Daten (z. B. E-Mail, Name, Formularfelder) zwischen Systemen übermittelt. Zweck: Automatisierte Workflows, Effizienzsteigerung, Datenweiterleitung. Rechtsgrundlage: Einwilligung oder berechtigtes Interesse (je nach Prozess). Ich stelle sicher, dass nur notwendige Daten übermittelt werden und schließe ggf. AV-Vereinbarungen mit Zapier oder nutze datenschutzfreundliche Konfigurationen. 3.12. Zahlungsdienste & Plattformen (Digistore24, ablefy / ehemals elopage, sonstige Zahlungsdienste) Wenn Du Angebote, Produkte oder Leistungen über meine Website kaufst, können folgende Dienste zum Einsatz kommen: Digistore24 ablefy (ehemals elopage) (ggf. weitere Zahlungsdienstleister, z. B. Kreditkarte, PayPal, SEPA usw.) Dabei werden Zahlungsdaten (z. B. Zahlungsadresse, E-Mail-Adresse, Bestelldaten) verarbeitet. Zweck: Abwicklung der Zahlungen, Vertragserfüllung, Rechnungsstellung. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b) und ggf. berechtigtes Interesse (z. B. Betrugsprävention). Ich achte darauf, dass Zahlungsdienstleister datenschutzkonform arbeiten, idealerweise mit AV-Verträgen und sicheren Schnittstellen. Verschlüsselter Zahlungsverkehr: Die Kommunikation und Übermittlung der Zahlungsdaten erfolgt über sichere Verfahren (z. B. TLS / SSL). 3.13. Zoom (Online-Meetings, Webinare) Wenn Du an Online-Meetings oder Webinaren via Zoom teilnimmst, werden personenbezogene Daten verarbeitet, z. B. Name, E-Mail-Adresse, ggf. Ton-/Videoaufnahmen (sofern aktiviert), Chat-Inhalte, IP-Adresse. Zweck: Durchführung der Treffen, Moderation, ggf. Aufzeichnung (nur mit vorheriger Einwilligung). Rechtsgrundlage: Einwilligung oder Vertragserfüllung. Ich informiere Dich transparent, welche Daten während des Meetings gesammelt werden und – falls Aufzeichnungen erfolgen – hole ich vorab Deine ausdrückliche Einwilligung ein. 4. Dauer der Speicherung / Löschung Ich speichere personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben (z. B. steuer- und handelsrechtliche Vorschriften). Nach Wegfall des Zwecks werden die Daten gelöscht oder anonymisiert. Beispielsweise: Nutzungs- / Logdaten: meist wenige Wochen. Formulardaten: bis zur Erledigung oder Prüfung bzw. auf Wunsch. Vertrags- / Zahlungsdaten: entsprechend handels- / steuerrechtlicher Fristen (z. B. 10 Jahre). Newsletterdaten: solange Du den Newsletter abonniert hast oder bis zur Abmeldung. 5. Weitergabe / Empfängerkategorien & Drittanbieter 5.1. Auftragsverarbeitung (AV) Ich habe mit vielen der genannten Dienste (z. B. Jotform, Calendly, CleverReach, Zoom, ClickFunnels, Zapier etc.) Verträge zur Auftragsverarbeitung abgeschlossen, in denen geregelt ist, dass diese Anbieter personenbezogene Daten nur gemäß meinen Weisungen und unter Einhaltung datenschutzrechtlicher Standards verwenden. 5.2. Drittanbieter / Empfänger Je nach Funktion werden Daten ggf. an Dritte weitergegeben, z. B.: Zahlungsdienstleister (Digistore24, ablefy, Banken, Zahlungsabwickler) für Zahlungsabwicklung Analyse- und Werbedienste (Google, Meta, etc.) Automatisierungsdienste (Zapier) Meeting-/Videoplattform (Zoom) Bewertungsportale (ProvenExpert) In allen Fällen achte ich darauf, dass nur notwendige Daten weitergegeben werden, und dass der Empfänger den Datenschutzanforderungen genügt (Vertrag, Sicherheitsmaßnahmen). 5.3. Übermittlung in Drittländer Wenn Daten außerhalb der EU / des EWR übertragen werden (z. B. bei Nutzung von US-Anbietern), stelle ich durch geeignete technische und organisatorische Maßnahmen sicher, dass ein angemessenes Datenschutzniveau herrscht (z. B. Standardvertragsklauseln, EU-US Data Privacy Framework, Privacy Shield-Äquivalente, zusätzliche Verschlüsselung). 6. Cookies / Tracking & Widerspruchsmöglichkeiten 6.1. Cookies und ähnliche Technologien Ich setze Cookies, Web-Beacons, Pixel und ähnliche Technologien ein, um Funktionen zu ermöglichen, das Nutzererlebnis anzupassen, Analysen durchzuführen oder Marketingmaßnahmen auszusteuern. Manche davon sind technisch notwendig, andere dienen statistischen oder kommerziellen Zwecken. 6.2. Einwilligung & Opt-Out Für nicht notwendige Cookies / Tracking (z. B. Google Analytics, Meta-Pixel) biete ich Dir über ein Consent-Management-Tool (Cookie-Banner) die Wahl, diese abzulehnen oder zu erlauben. Du kannst Deine Einwilligung jederzeit widerrufen oder einzelne Dienste deaktivieren. 6.3. Widerspruch gegen Werbung / Tracking Neben dem Cookie-Mechanismus biete ich ggf. zusätzlich Opt-out-Möglichkeiten (z. B. Do-not-track-Signale, Opt-out-Links bei Google / Meta). Auch wenn Du Dich gegen personalisierte Werbung entscheidest, können ggf. weiterhin anonymisierte oder kontextbezogene Werbung geschaltet werden. 7. Rechte der betroffenen Personen Dir stehen nach der DSGVO verschiedene Rechte zu, die ich im Folgenden erläutere: Auskunftsrecht (Art. 15 DSGVO): Du kannst Auskunft darüber verlangen, welche personenbezogenen Daten ich über Dich speichere, zu welchen Zwecken, an wen sie weitergegeben werden, wie lange sie gespeichert werden etc. Berichtigungsrecht (Art. 16 DSGVO): Du hast das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen. Löschungsrecht (Art. 17 DSGVO, „Recht auf Vergessenwerden“): Du kannst unter bestimmten Voraussetzungen die Löschung Deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst in bestimmten Fällen verlangen, dass die Verarbeitung eingeschränkt wird. Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du kannst verlangen, dass ich Dir die von Dir bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittle oder an einen anderen Verantwortlichen sende. Widerspruchsrecht (Art. 21 DSGVO): Du kannst jederzeit aus Gründen, die sich aus Deiner besonderen Situation ergeben, gegen die Verarbeitung personenbezogener Daten Widerspruch einlegen – insbesondere gegen Direktwerbung / Profiling. Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Falls Du eine Einwilligung gegeben hast (z. B. für Newsletter, Tracking), kannst Du diese jederzeit mit Wirkung für die Zukunft widerrufen. Beschwerderecht bei Aufsichtsbehörde (Art. 77 DSGVO): Du hast das Recht, Dich bei einer Datenschutzaufsichtsbehörde zu beschweren (in Deinem Fall z. B. die Landesdatenschutzbehörde Schleswig-Holstein oder eine andere zuständige Behörde). Zur Ausübung dieser Rechte kannst Du Dich jederzeit an mich (oben genannte Kontaktdaten) wenden. Ich werde Deinen Antrag fristgerecht – in der Regel binnen eines Monats – prüfen und beantworten. 8. Sicherheit & technische / organisatorische Maßnahmen Ich setze angemessene technische und organisatorische Maßnahmen ein, um Deine personenbezogenen Daten vor Verlust, Manipulation, unbefugtem Zugriff oder unberechtigter Verarbeitung zu schützen (z. B. TLS/SSL-Verschlüsselung, Zugriffsbeschränkungen, Pseudonymisierung, regelmäßige Sicherheitsupdates). Ich prüfe und passe diese Maßnahmen fortlaufend an den Stand der Technik an. 9. Aktualisierung dieser Datenschutzerklärung Diese Datenschutzerklärung wird regelmäßig überprüft, ggf. aktualisiert und an geänderte rechtliche, technische oder betriebliche Anforderungen angepasst. Die jeweils aktuelle Fassung ist auf meiner Website verfügbar. 10. Besondere Hinweise & Hinweise zum Einsatz einzelner Dienste Nachfolgend ergänzende Hinweise zu einigen der genannten Dienste und Tools: WhatsApp / Meta: Bitte beachte, dass WhatsApp / Meta eigene Datenschutzbestimmungen hat. Wenn Du über WhatsApp kommunizierst, gelten zusätzlich deren Bedingungen. Google / Meta / Facebook / Ads / Pixel / Analytics etc.: Ich nutze in diesem Zusammenhang auch Anonymisierungs-/Pseudonymisierungsoptionen (z. B. IP-Anonymisierung) sofern möglich. Auftragsverarbeitung: Für alle Dienste, bei denen ich Dritten personenbezogene Daten übermittle (z. B. Jotform, Calendly, CleverReach, Zoom, ClickFunnels, Zapier etc.), wurde geprüft, ob AV-Verträge notwendig sind, und sofern erforderlich abgeschlossen. Aufbewahrungspflichten: Zahlungs- und Vertragsdaten werden im Rahmen gesetzlicher Vorschriften (Steuer-, Handelsrecht etc.) länger aufbewahrt. Einwilligungspflichtige Funktionen: Funktionen wie Newsletter, Tracking etc. werden nur nach ausdrücklicher Einwilligung aktiviert (sofern erforderlich). Dokumentationspflicht: Ich dokumentiere Einwilligungen, Löschanfragen, Auskunftsanfragen etc. gemäß datenschutzrechtlichen Anforderungen.