Datenschutzerklärung

Allgemeine Hinweise

Diese Datenschutzerklärung erklärt, welche personenbezogenen Daten erhoben werden, wofür sie genutzt werden und auf welcher Rechtsgrundlage dies geschieht.

Verantwortliche Stelle

Grünhage AI GmbH
Maria-Matray-Straße 18
10318 Berlin
Vertreten durch: Dr. Otto Dietz
Telefon: 030/91546636
E-Mail: datenschutz@gruenhage.ai

Ansprechpartner: Dr. Otto Dietz (Kontaktdaten wie oben angegeben)

Hosting & Bereitstellung der Webseite

Webflow

• Anbieter: Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, USA
• Beschreibung: Hostinganbieter und Baukastensystem für Webseiten
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (wenn Einwilligung abgefragt wird)
• Datenübertragung in Drittländer: Webflow ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert
• Auftragsverarbeitung: DPA-Vertrag geschlossen

Cloudflare (als Teil von Webflow)

• Anbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA
• Beschreibung: Unterauftragnehmer von Webflow für Content Delivery Network (CDN) und Schutz vor Angriffen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
• Datenübertragung in Drittländer: Cloudflare ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert

ScoreApp

• Anbieter: ScoreApp (Hyper Targeted Marketing Limited), C/O Hillier Hopkins LLP, First Floor, Radius House, 51 Clarendon Road, Watford, United Kingdom, WD17 1HP
• Beschreibung: Hosting von Scorecards und Selbsttests; Verarbeitung von Eingaben, Antworten und Kontaktdaten (Vorname, Nachname, E-Mail-Adresse)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Hosting); Art. 6 Abs. 1 lit. a DSGVO (aktive Teilnahme mit ausdrücklicher Einwilligung)
• Datenübertragung in Drittländer: Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich
• Auftragsverarbeitung: DPA-Vertrag geschlossen

Analyse & Marketing

Google Analytics 4

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Beschreibung: Analyse des Verhaltens von Webseitenbesuchern (Seitenaufrufe, Verweildauer)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung erforderlich)
• Datenübertragung in Drittländer: Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; Standardvertragsklauseln (SCCs) vorhanden
• Auftragsverarbeitung: Auftragsverarbeitungsvertrag geschlossen

Meta-Pixel

• Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland
• Beschreibung: Messung des Erfolgs von Werbeanzeigen auf Meta-Plattformen (Facebook, Instagram); Konversionsmessung und Retargeting; Nutzung von erweitertem Abgleich
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung erforderlich)
• Datenübertragung in Drittländer: Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert
• Gemeinsame Verantwortlichkeit: Betreiber und Meta sind gemeinsam verantwortlich (Details im Meta Controller Addendum)

Kommunikation & Organisation

Terminbuchung mit Google Calendar

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Beschreibung: Möglichkeit zur Vereinbarung von Terminen über Google Calendar-Buchungsseite; Verarbeitung von Name, E-Mail-Adresse, Wunschtermin
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (ausdrückliche Einwilligung erforderlich)
• Datenübertragung in Drittländer: Daten werden an Google LLC in den USA übertragen; Google ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert
• Auftragsverarbeitung: AVV-Vertrag für Google Workspace geschlossen

Einsatz von KI-Anwendungen (Voice Agents)

Spracheingaben werden analysiert; nach Gesprächsabschluss wird eine Zusammenfassung an den Betreiber übertragen und auf Servern gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (ausdrückliche, widerrufbare Einwilligung erforderlich)

Für „Grünhage AI": Verarbeitung von Audio-Daten, Metadaten und Transkripten zur Beantwortung von Anfragen; Nutzer werden gebeten, keine sensiblen Daten zu teilen.

Für „nalea" (mit Gesundheitsdaten): Nutzer können potenziell sensible Gesundheitsdaten teilen (Informationen zur Schwangerschaft, Wohlbefinden, medizinische Fragen). Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung zur Verarbeitung von besonderen Kategorien personenbezogener Daten).

1. ElevenLabs

• Anbieter: ElevenLabs Inc., 169 Madison Ave #2284, New York, NY 10016, USA
• Besonderheiten: „Zero PII"-Modus; Audiodaten, Metadaten und Transkripte werden unmittelbar nach der Verarbeitung gelöscht; nicht zum Training der KI verwendet
• Datenübertragung in Drittländer: Verarbeitung in den USA; ElevenLabs ist NICHT nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert
• Rechtliche Grundlage für Datenübertragung: Standardvertragsklauseln (SCCs) und ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO
• Sicherheitswarnung: Ohne DPF-Zertifizierung können Risiken bestehen, z. B. durch möglichen Zugriff von US-Sicherheitsbehörden trotz SCCs
• Auftragsverarbeitung: DPA-Vertrag mit SCCs geschlossen

2. Gemini (Google)

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Auftragsverarbeitung: AVV-Vertrag geschlossen; ElevenLabs nutzt Google als Unterauftragnehmer
• Datenübertragung in Drittländer: Daten werden an Google-Server in den USA übertragen; Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert

Mitgliederbereich mit Memberstack für nalea

• Anbieter: Memberstack, Inc., 2261 Market Street #4239, San Francisco, CA 94114, USA
• Beschreibung: Verwaltung von Mitgliedschaften und geschützten Mitgliederbereichen
• Verarbeitete Daten: Stammdaten (Name, E-Mail-Adresse, Passwort, Zahlungsstatus); freiwillig zusätzliche Profilinformationen, die Gesundheitsdaten enthalten können (errechneter Geburtstermin, Notizen zum Schwangerschaftsverlauf, Gesprächsinhalte)
• Besonderer Hinweis zu Gesundheitsdaten: Unterliegen höchstem DSGVO-Schutzniveau; Verarbeitung nur zur Bereitstellung personalisierter Funktionen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags für Stammdaten); Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für freiwillig eingegebene Gesundheitsdaten; jederzeit widerrufbar)
• Datenübertragung in Drittländer: Memberstack verarbeitet auf US-Servern; NICHT nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert
• Rechtliche Grundlage für Datenübertragung: Standardvertragsklauseln (SCCs) und ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO
• Sicherheitswarnung: Ohne DPF-Zertifizierung können Risiken bestehen, z. B. durch möglichen Zugriff von US-Sicherheitsbehörden trotz SCCs
• Auftragsverarbeitung: DPA-Vertrag mit SCCs geschlossen

Personenbezogene Daten verbleiben bei dem Unternehmen, bis der Zweck der Datenverarbeitung entfällt. Bei Löschaufforderung oder Widerruf der Einwilligung werden Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. Handels- oder Steuerrecht) entgegenstehen.

Für Cookie-Daten: Die genaue Speicherdauer jedes einzelnen Cookies ist im Cookie-Banner detailliert aufgeführt (verfügbar über den Consent-Manager).

Das Unternehmen nutzt keine automatisierte Entscheidungsfindung im engeren Sinne, die rechtliche Wirkung oder erhebliche Beeinträchtigung gemäß Art. 22 DSGVO entfaltet.

Hinweis zum Profiling: Analyse- und Marketing-Tools wie Google Analytics und Meta-Pixel verarbeiten Daten zur Analyse von Nutzerverhalten und Erstellung von Nutzergruppen für Werbezwecke (Profiling). Diese Verarbeitung erfolgt ausschließlich auf Grundlage zuvor erteilter Einwilligung.

Betroffene Personen können ihre Rechte durch formlose Nachricht an die in Abschnitt 1 genannten Kontaktdaten ausüben:

• Recht auf Auskunft (Art. 15 DSGVO): Auskunft über verarbeitete personenbezogene Daten
• Recht auf Berichtigung (Art. 16 DSGVO): Unverzügliche Berichtigung unrichtiger Daten
• Recht auf Löschung (Art. 17 DSGVO): Löschung von Daten, sofern keine rechtlichen Pflichten entgegenstehen
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen Einschränkung der Datenverarbeitung
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Aushändigung automatisiert verarbeiteter Daten in gängigem, maschinenlesbarem Format
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit Widerruf erteilter Einwilligung mit Wirkung für die Zukunft (Rechtmäßigkeit bisheriger Verarbeitung bleibt unberührt)
• Recht auf Beschwerde (Art. 77 DSGVO): Beschwerde bei Aufsichtsbehörde, insbesondere in Mitgliedstaat des gewöhnlichen Aufenthalts, Arbeitsplatzes oder Ort des mutmaßlichen Verstoßes

Primär zuständige Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de)

Widerspruchsrecht (Art. 21 DSGVO)

• Recht auf Widerspruch gegen Verarbeitung aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) aus Gründen der besonderen persönlichen Situation
• Recht auf Widerspruch gegen Datenverarbeitung zu Direktwerbungszwecken (gilt auch für damit verbundenes Profiling)

Die Datenschutzerklärung kann bei Änderungen der Datenverarbeitungen oder der rechtlichen Lage angepasst werden. Die aktuelle Version ist auf dieser Webseite verfügbar.

1. Datenverarbeitung durch soziale Netzwerke und gemeinsame Verantwortlichkeit

Das Unternehmen betreibt öffentlich zugängliche Profile bei sozialen Netzwerken. Das Unternehmen und der Plattformbetreiber sind gemeinsam nach Art. 26 DSGVO verantwortlich.

Verantwortlichkeitsaufteilung:

• Unternehmen: Inhalte der Posts und direkte Kommunikation (z. B. Nachrichten)
• Plattformbetreiber: Allgemeine Datenverarbeitung des Nutzerverhaltens (Tracking, Analyse, Werbung)

Plattformbetreiber können Nutzerverhalten umfassend analysieren durch Cookies, IP-Adressen-Erfassung (auch ohne Login). Sie erstellen Nutzerprofile für interessenbezogene Werbung. Das Unternehmen hat begrenzte Einflussmöglichkeiten.

2. Zwecke und Rechtsgrundlagen

Zwecke: Online-Präsenz, Öffentlichkeitsarbeit, Kommunikation mit Besuchern und potenziellen Kunden.

Rechtsgrundlage des Unternehmens: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Rechtsgrundlagen der Plattformbetreiber: Eigene Rechtsgrundlagen (üblicherweise Art. 6 Abs. 1 lit. a DSGVO – Einwilligung bei Registrierung)

3. Eingesetzte soziale Netzwerke

Meta (Facebook und Instagram)

• Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland
• Gemeinsame Verantwortlichkeit: Controller Addendum verfügbar
• Datenübertragung in die USA: Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; Standardvertragsklauseln (SCCs) vorhanden; Restrisiko durch US-Behördenzugriffsrechte kann nicht vollständig ausgeschlossen werden

LinkedIn

• Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland
• Gemeinsame Verantwortlichkeit: Page Insights Joint Controller Addendum verfügbar
• Datenübertragung in die USA: LinkedIn Corporation ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; Standardvertragsklauseln (SCCs) vorhanden; Restrisiko kann nicht vollständig ausgeschlossen werden

4. Geltendmachung Ihrer Rechte

Aufgrund gemeinsamer Verantwortlichkeit können Betroffenenrechte sowohl dem Unternehmen als auch dem jeweiligen Plattformbetreiber gegenüber geltend gemacht werden.

• Für allgemeine Datenverarbeitung durch die Plattform (Analysen): Plattformbetreiber ist alleiniger Ansprechpartner
• Für vom Unternehmen direkt verarbeitete Daten (z. B. Löschung von Kommentaren): Unternehmen ist Ansprechpartner