Datenschutzerklärung

Datenschutzerklärung

Stand: März 2026 | datenschutz.guide

Diese Datenschutzerklärung gilt auch für folgende Domains, die durch dasselbe Impressum abgedeckt werden: data-protection-commissioner.de | externer-datenschutzbeauftragter.website | C4mulo5.de

1. Vorwort

Der Schutz Ihrer personenbezogenen Daten ist für Datenschutz.Guide ein zentrales Anliegen – und das nicht nur als gesetzliche Pflicht, sondern als gelebte Überzeugung. Als externer Datenschutzbeauftragter, der seit 2018 Unternehmen in Datenschutzfragen begleitet, verarbeite ich Daten stets mit dem Bewusstsein, welche Verantwortung damit einhergeht. Transparenz ist dabei kein leeres Versprechen, sondern Teil meines beruflichen Selbstverständnisses.

Diese Datenschutzerklärung informiert Sie umfassend und transparent darüber, welche personenbezogenen Daten auf der Website datenschutz.guide sowie den unter demselben Impressum geführten Domains erhoben, verarbeitet und genutzt werden. Sie erfahren, auf welcher Rechtsgrundlage dies geschieht, wie lange Daten gespeichert werden, welche Rechte Sie als betroffene Person haben und an wen Sie sich wenden können, wenn Sie Fragen oder Beschwerden haben.

Die vorliegende Erklärung wurde auf Grundlage der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) sowie weiterer einschlägiger Rechtsvorschriften erstellt. Sie ersetzt keine individuelle Rechtsberatung und gibt keine Rechtsgarantien.

Die Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert, insbesondere wenn neue Dienste eingesetzt, bestehende Dienste geändert oder gesetzliche Anforderungen angepasst werden. Die jeweils aktuelle Fassung ist unter https://datenschutz.guide/datenschutzerklaerung/ abrufbar.

2. Begriffsbestimmungen

Die nachfolgenden Begriffsbestimmungen entsprechen den Definitionen gemäß Art. 4 DSGVO. Sie dienen dem Verständnis dieser Datenschutzerklärung und werden im Folgenden in ihrer rechtlichen Bedeutung verwendet.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Als identifizierbar gilt eine Person, die direkt oder indirekt – insbesondere mittels Kennnummern wie IP-Adressen, Standortdaten oder Online-Kennungen – identifiziert werden kann. Auf dieser Website zählen dazu insbesondere Name, E-Mail-Adresse, IP-Adresse, Bestelldaten, Kundenkonto-Daten sowie im Rahmen von Beratungsmandaten auch Unternehmens- und Kontaktdaten von Geschäftspartnern.

Betroffene Person

Betroffene Person ist jede natürliche Person, deren personenbezogene Daten durch den Verantwortlichen verarbeitet werden (Art. 4 Nr. 1 DSGVO). Im Kontext dieser Website sind dies insbesondere Website-Besucher, Kunden des Online-Shops, Schulungsteilnehmer, Interessenten und Mandanten der Datenschutzberatung.

Verarbeitung

Verarbeitung bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, gleichgültig ob mit oder ohne Hilfe automatisierter Verfahren. Dazu zählen insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Verbreiten, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten (Art. 4 Nr. 2 DSGVO).

Verantwortlicher

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Verantwortlicher für datenschutz.guide ist Nico Eberhardt (vgl. Abschnitt 4).

Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Mit allen Auftragsverarbeitern werden schriftliche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen, die die weisungsgebundene Verarbeitung, geeignete Sicherheitsmaßnahmen und die Einhaltung der Datenschutzgrundsätze sicherstellen.

Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht (Art. 4 Nr. 9 DSGVO). Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags Daten erhalten, gelten dabei nicht als Empfänger.

Dritter

Dritter ist jede natürliche oder juristische Person außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (Art. 4 Nr. 10 DSGVO).

Einwilligung

Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DSGVO). Auf dieser Website erfolgt die Einholung von Einwilligungen (z. B. für Analyse-Cookies) über das CCM19-Cookie-Consent-Tool.

Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel (Art. 4 Nr. 4 DSGVO). Auf dieser Website findet kein Profiling statt, das rechtliche Wirkung entfaltet oder erhebliche Beeinträchtigungen verursacht.

Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können (Art. 4 Nr. 5 DSGVO). Beispielsweise werden IP-Adressen bei Google Analytics vor der Übertragung pseudonymisiert (IP-Masking).

3. Rechte der betroffenen Person

Als betroffene Person stehen Ihnen nach der DSGVO umfangreiche Rechte zu, die Sie gegenüber dem Verantwortlichen geltend machen können. Anfragen zur Ausübung dieser Rechte richten Sie bitte an die in Abschnitt 4 genannten Kontaktdaten. Anfragen werden unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeitet (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen kann diese Frist um weitere zwei Monate verlängert werden; Sie werden darüber informiert.

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf folgende Informationen: die Verarbeitungszwecke, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft der Daten (wenn nicht bei Ihnen erhoben) sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling. Sie haben außerdem das Recht, eine Kopie der Daten zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen – auch mittels einer ergänzenden Erklärung.

Recht auf Löschung – „Recht auf Vergessenwerden” (Art. 17 DSGVO)

Sie haben das Recht zu verlangen, dass personenbezogene Daten, die Sie betreffen, unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft: Die Daten sind für die Zwecke nicht mehr notwendig, für die sie erhoben wurden; Sie widerrufen Ihre Einwilligung; Sie legen Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe vor; die Daten wurden unrechtmäßig verarbeitet; oder die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z. B. steuerrechtliche Aufbewahrungsfristen) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, wenn die Richtigkeit der Daten von Ihnen bestritten wird (für die Dauer der Prüfung), die Verarbeitung unrechtmäßig ist und Sie statt der Löschung eine Einschränkung verlangen, der Verantwortliche die Daten nicht mehr benötigt, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen benötigen, oder Sie Widerspruch nach Art. 21 DSGVO eingelegt haben (für die Dauer der Prüfung, ob berechtigte Gründe des Verantwortlichen Ihre Interessen überwiegen).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, personenbezogene Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Dieses Recht gilt, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern dies technisch machbar ist.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, die Sie betreffen und die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Der Verantwortliche verarbeitet die Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Soweit personenbezogene Daten verarbeitet werden, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung zu diesem Zweck einzulegen (Art. 21 Abs. 2 DSGVO). Auf dieses Widerspruchsrecht wird an den entsprechenden Stellen dieser Datenschutzerklärung gesondert hingewiesen.

Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Der Widerruf von Cookie-Einwilligungen ist jederzeit über das CCM19-Tool (Cookie-Einstellungs-Link im Footer) möglich.

Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, werden auf dieser Website nicht ausschließlich durch automatisierte Verarbeitung einschließlich Profiling getroffen. Vgl. auch Abschnitt 26 dieser Erklärung.

Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde ist in Abschnitt 29 dieser Datenschutzerklärung angegeben.

4. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Datenschutz.Guide
Inhaber: Nico Eberhardt
Pfotenhauerstr. 65
01307 Dresden
Deutschland

Telefon: +49 (0) 351 31409830
E-Mail: info@Datenschutz.Guide
Website: https://datenschutz.guide
Impressum: https://datenschutz.guide/impressum/

USt-IdNr.: DE322494963
Finanzamt Dresden-Süd
Verantwortlicher i. S. d. § 18 MStV: Nico Eberhardt, erreichbar unter info(at)Datenschutz.Guide

Berufshaftpflichtversicherung: Hiscox SA, Niederlassung für Deutschland, Hauptbevollmächtigter: Robert Dietrich, Arnulfstraße 31, 80636 München

Nico Eberhardt ist gewerblich tätig als externer Datenschutzbeauftragter (seit 2018), Hinweisgeberschutzberater, Datenschutz-Auditor und -Schulungsanbieter. Er entwickelt eigene WordPress-Plugins für die eigene Website-Infrastruktur und betreibt mehrere thematische Fachplattformen. Auf datenschutz.guide konzentriert sich die Tätigkeit ausschließlich auf Datenschutzberatung, -beauftragung, -dokumentation und -schulung sowie den Vertrieb entsprechender digitaler Produkte.

5. Cookies

Diese Website verwendet sogenannte Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät (Computer, Smartphone, Tablet) gespeichert werden und beim nächsten Besuch der Website ausgelesen werden können. Sie dienen dazu, Einstellungen zu speichern, das Nutzungsverhalten zu analysieren oder externe Dienste einzubinden.

Die rechtliche Grundlage für den Einsatz von Cookies, die auf dem Endgerät des Nutzers gespeichert oder aus diesem ausgelesen werden, ergibt sich aus § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Für die anschließende Verarbeitung der durch Cookies erhobenen Daten gilt ergänzend die DSGVO, insbesondere Art. 6 Abs. 1 DSGVO.

5.1 Technisch notwendige Cookies

Technisch notwendige Cookies sind solche, ohne die der Betrieb der Website nicht oder nicht ordnungsgemäß möglich ist. Sie werden ohne Ihre Einwilligung gesetzt, da sie gemäß § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich sind, um einen ausdrücklich gewünschten Dienst bereitzustellen. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer funktionsfähigen Website) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bei Shop-Nutzung).

Zu den technisch notwendigen Cookies auf dieser Website gehören insbesondere: der WordPress-Session-Cookie zur Aufrechterhaltung der Sitzung, WooCommerce-Warenkorb-Cookies (woocommerce_cart_hash, woocommerce_items_in_cart), Authentifizierungs-Cookies für eingeloggte Nutzer (wordpress_logged_in_…), CSRF-Schutzmechanismen sowie der Cookie, der Ihre Einwilligungsentscheidung im CCM19-Banner speichert. Session-Cookies werden am Ende der Browser-Sitzung automatisch gelöscht; persistente Cookies (z. B. für die Einwilligungsspeicherung) verbleiben bis zu 12 Monate.

5.2 Statistik- und Analyse-Cookies (Google Analytics)

Diese Cookies werden ausschließlich nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Details zu Google Analytics finden Sie in Abschnitt 21.1 dieser Datenschutzerklärung. Sie können Ihre Einwilligung jederzeit über den Cookie-Einstellungs-Link im Footer dieser Website oder über den nachfolgenden CCM19-Widget-Bereich widerrufen.

5.3 Marketing- und Drittanbieter-Cookies

Cookies von Drittanbietern (z. B. für eingebettete YouTube-Videos) werden ausschließlich nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Ohne Ihre Einwilligung werden keine solchen Cookies gesetzt und keine Verbindungen zu entsprechenden externen Servern aufgebaut. Details zu eingebetteten YouTube-Inhalten finden Sie in Abschnitt 21.3.

5.4 Verwaltung von Cookie-Einstellungen (CCM19)

Zur Einholung, Verwaltung und Dokumentation von Cookie-Einwilligungen wird auf dieser Website das professionelle Consent-Management-Tool CCM19 eingesetzt. Anbieter ist die papoo Software & Media GmbH, Gudenauer Weg 125, 53127 Bonn, Deutschland. CCM19 ist ein deutsches Produkt; alle Verarbeitungen finden ausschließlich auf Servern in Deutschland statt. Eine Übermittlung von Daten in Drittländer findet nicht statt.

Bei Ihrem ersten Besuch der Website erscheint der CCM19-Banner, über den Sie Ihre Einwilligung für die verschiedenen Cookie-Kategorien (Essenziell, Statistik, Marketing, Externe Medien) erteilen oder verweigern können. Ihre Auswahl wird gespeichert. CCM19 protokolliert dabei folgende Daten: den Zeitpunkt der Einwilligungsentscheidung, Ihre konkrete Auswahl (akzeptiert/abgelehnt je Kategorie), eine intern generierte anonymisierte Einwilligungs-ID sowie eine verkürzte/anonymisierte IP-Adresse. Diese Protokolldaten dienen ausschließlich dem Nachweis der erteilten Einwilligung gemäß Art. 7 Abs. 1 DSGVO und werden nach 24 Monaten gelöscht.

Rechtsgrundlage für die Protokollierung: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung zur Nachweisführung). Sie können Ihre Einstellungen jederzeit über den Cookie-Einstellungs-Link im Footer dieser Website ändern oder widerrufen.

Weitere Informationen zu CCM19: https://ccm19.de/datenschutzerklaerung-und-cookies/

5.5 Aktuelle Cookie-Übersicht und Einstellungen

Die nachfolgende Übersicht listet alle auf dieser Website deklarierten Cookies und ähnlichen Technologien. Sie können Ihre Einwilligung hier direkt anpassen:

Über den Browser können Cookies jederzeit auch manuell gelöscht oder deaktiviert werden. Bitte beachten Sie, dass die Deaktivierung technisch notwendiger Cookies die Funktionsfähigkeit der Website und des Online-Shops beeinträchtigen kann.

6. Maßgebliche Rechtsgrundlagen

Für jede Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage erforderlich. Die auf dieser Website und im Rahmen der Beratungstätigkeit relevanten Rechtsgrundlagen sind:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung

Wenn Sie Ihre Einwilligung zur Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben haben. Dies gilt insbesondere für den Einsatz von Analyse-Cookies (Google Analytics) sowie die Einbindung bestimmter externer Dienste (eingebettete YouTube-Videos, externe Karten). Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen

Die Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen oder auf Ihren Wunsch hin vorvertragliche Maßnahmen durchzuführen. Diese Grundlage gilt insbesondere für die Bestellabwicklung im Online-Shop (Kauf von Datenschutz-Vorlagen, Schulungszugängen), die Kundenkontoverwaltung, die Erbringung von Datenschutzberatungsleistungen, die Durchführung von Schulungsverträgen sowie die Kommunikation im Rahmen von Vertragsverhandlungen.

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung

Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen. Dies betrifft insbesondere handels- und steuerrechtliche Aufbewahrungspflichten (§§ 257 HGB, 147 AO) sowie die Nachweis- und Informationspflichten nach der DSGVO selbst, insbesondere den Nachweis erteilter Einwilligungen nach Art. 7 Abs. 1 DSGVO.

Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Berechtigte Interessen auf dieser Website sind insbesondere: der sichere und stabile Betrieb der Website (Logfiles, Sicherheitsmaßnahmen), die Beantwortung von Kontaktanfragen, die Suchmaschinenoptimierung über Google Search Console, die Verlinkung zu eigenen YouTube-Kanälen sowie die Direktverlinkung zu beruflichen Netzwerken (XING, LinkedIn). Die jeweilige Abwägung ist in den entsprechenden Abschnitten erläutert. Auf das Widerspruchsrecht nach Art. 21 DSGVO wird hingewiesen (vgl. Abschnitt 3).

§ 25 TDDDG – Cookies und Endeinrichtungen

§ 25 Abs. 1 TDDDG erfordert für das Speichern und Auslesen von Informationen auf Endeinrichtungen eine Einwilligung, sofern dies nicht technisch unbedingt erforderlich ist. § 25 Abs. 2 Nr. 2 TDDDG enthält eine Ausnahme für technisch notwendige Speichervorgänge. Das TDDDG ist die deutsche Umsetzung der ePrivacy-Richtlinie und bildet – ergänzend zur DSGVO – die spezifische Grundlage für den Einsatz von Cookies.

§ 26 BDSG – Beschäftigtendatenschutz

Für die Verarbeitung von Daten im Bewerbungsverfahren gilt ergänzend § 26 BDSG i. V. m. Art. 88 DSGVO. Danach dürfen personenbezogene Daten von Bewerbern verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Art. 38 Abs. 5 DSGVO – Verschwiegenheitspflicht des Datenschutzbeauftragten

Im Rahmen der Tätigkeit als externer Datenschutzbeauftragter für Mandanten erlangt Nico Eberhardt Kenntnis von personenbezogenen Daten und Verarbeitungstätigkeiten der Mandanten. Diese Daten unterliegen der gesetzlichen Verschwiegenheitspflicht des Datenschutzbeauftragten gemäß Art. 38 Abs. 5 DSGVO und werden nicht für eigene Zwecke von Datenschutz.Guide verwendet. Die Verarbeitung mandantenseitiger Daten im Rahmen der DSB-Tätigkeit erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des DSB-Mandatsverhältnisses).

Weitere einschlägige Vorschriften

Ergänzend zu den genannten Normen sind insbesondere das Hinweisgeberschutzgesetz (HinSchG) für die Beratungsleistungen zur Einrichtung von Meldestellen sowie das Digitale-Dienste-Gesetz (DDG) als Nachfolger des TMG relevant, soweit sie datenschutzrechtliche Bezüge aufweisen.

7. SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte – zum Beispiel Kontaktanfragen, Bestellvorgänge, Anmeldedaten und Zahlungsinformationen, die Sie als Seitenbesucher an den Betreiber senden – eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://” auf „https://” wechselt und ein Schloss-Symbol in Ihrem Browser erscheint.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an den Betreiber übermitteln, nicht von Dritten mitgelesen werden. Die Verschlüsselung schützt insbesondere über die Kontaktformulare übermittelte personenbezogene Daten, Zugangsdaten zum Kundenkonto sowie Zahlungsinformationen beim Kaufabschluss im Shop.

Der Einsatz von TLS-Verschlüsselung ist eine technische und organisatorische Maßnahme (TOM) gemäß Art. 32 Abs. 1 lit. a DSGVO und dient der Gewährleistung der Sicherheit der Verarbeitung. Als Datenschutz-Fachseite gilt für datenschutz.guide selbstverständlich, was wir auch unseren Mandanten empfehlen: state-of-the-art Verschlüsselung nach aktuellem Stand der Technik.

8. Sicherheitsmaßnahmen

Gemäß Art. 32 DSGVO trifft der Betreiber dieser Website geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen werden regelmäßig überprüft und an den aktuellen Stand der Technik angepasst.

8.1 Technische Maßnahmen

Transportverschlüsselung: Die gesamte Kommunikation zwischen Browser und Server erfolgt über TLS/SSL-verschlüsselte Verbindungen (HTTPS). Zugangskontrollen: Administrations- und Backend-Zugänge sind durch sichere, individuelle Passwörter und, wo technisch möglich, durch Zwei-Faktor-Authentifizierung (2FA) abgesichert. Regelmäßige Updates: WordPress-Kern, installierte Themes und Plugins werden regelmäßig aktualisiert, um bekannte Sicherheitslücken zu schließen. Datensicherung (Backup): Regelmäßige Backups des Websiteinhalts und der Datenbank werden erstellt und sicher aufbewahrt, sodass im Schadensfall eine Wiederherstellung möglich ist. Sicherheits-Plugin: Auf dieser Website wird ein WordPress-Sicherheits-Plugin eingesetzt, das eine Web Application Firewall (WAF), Brute-Force-Schutz sowie die Protokollierung verdächtiger Zugriffe umfasst. Die dabei verarbeiteten IP-Adressen und Zugriffsdaten werden ausschließlich zu Sicherheitszwecken verarbeitet.

8.2 Organisatorische Maßnahmen

Datensparsamkeit: Es werden nur Daten erhoben und gespeichert, die für den jeweiligen Zweck tatsächlich erforderlich sind. Zugriffskonzept: Zugang zu personenbezogenen Daten wird nur autorisierten Personen gewährt. Auftragsverarbeitungsverträge: Mit allen externen Dienstleistern, die Zugang zu personenbezogenen Daten haben, werden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen. Verarbeitungsverzeichnis: Als Verantwortlicher wird ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO geführt. Regelmäßige Überprüfung: Die Sicherheitsmaßnahmen werden regelmäßig überprüft und an den aktuellen Stand der Technik angepasst.

9. Zusammenarbeit mit Auftragsverarbeitern, gemeinsam Verantwortlichen und Dritten

Sofern personenbezogene Daten an andere Personen oder Unternehmen (Auftragsverarbeiter, gemeinsam Verantwortliche oder Dritte) übermittelt werden, geschieht dies nur auf Grundlage einer gesetzlichen Erlaubnis – insbesondere wenn die Übermittlung zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO), auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeiter sind Dienstleister, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeiten. Mit allen Auftragsverarbeitern werden schriftliche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen, die die weisungsgebundene Verarbeitung, geeignete Sicherheitsmaßnahmen und die Einhaltung der Datenschutzgrundsätze sicherstellen.

Auf dieser Website kommen folgende Kategorien von Auftragsverarbeitern oder Dritten zum Einsatz: der Hosting-Anbieter all-inkl.com (Auftragsverarbeiter, Serverstandort Deutschland), Google LLC / Google Ireland Limited (Auftragsverarbeiter für Analytics; eigenständig Verantwortlicher für andere Google-Dienste), PayPal (eigenständiger Verantwortlicher im Sinne der DSGVO) sowie die beruflichen Netzwerke XING und LinkedIn (eigenständig Verantwortliche).

10. Übermittlungen in Drittländer

Einige der auf dieser Website eingesetzten Dienste übertragen personenbezogene Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA. Ein angemessenes Datenschutzniveau wird in diesen Fällen durch folgende Garantien sichergestellt:

EU-US Data Privacy Framework (Angemessenheitsbeschluss)

Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) erlassen (Durchführungsbeschluss (EU) 2023/1795). Unternehmen, die nach dem DPF zertifiziert sind, bieten ein Schutzniveau, das als dem europäischen gleichwertig anerkannt ist. Google LLC und PayPal sind unter dem DPF zertifiziert. Für zertifizierte Unternehmen ist daher ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorhanden.

Standardvertragsklauseln (SCC)

Soweit kein Angemessenheitsbeschluss vorliegt oder als ergänzende Garantie werden die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914) eingesetzt. Diese verpflichten den Empfänger im Drittland zur Einhaltung des europäischen Datenschutzniveaus.

Hinweis auf Restrisiken

Trotz bestehender Garantien verbleibt bei Übermittlungen in die USA ein potenzielles Restrisiko, da US-amerikanische Behörden unter bestimmten Voraussetzungen Zugriff auf Daten verlangen können (z. B. nach dem FISA 702 oder Executive Order 12333). Durch das DPF wurden Rechtsbehelfsmechanismen für betroffene EU-Bürger eingeführt (Data Protection Review Court). Sie sind berechtigt, dieses Restrisiko bei Ihrer Entscheidung über die Erteilung von Einwilligungen zu berücksichtigen.

11. Registrierung und Kundenkonto

Sie haben die Möglichkeit, sich auf dieser Website zu registrieren und ein Kundenkonto anzulegen. Dies ist insbesondere für die Nutzung des Online-Shops, den Zugriff auf erworbene digitale Produkte und Schulungszugänge sowie die Verwaltung von Bestellungen sinnvoll. Die Registrierung erfolgt freiwillig; Käufe können auch ohne Kundenkonto als Gastkauf abgewickelt werden.

Bei der Registrierung werden folgende personenbezogene Daten erhoben: Vor- und Nachname, E-Mail-Adresse, ggf. Unternehmensname (für B2B-Kunden), Rechnungsanschrift, sowie das von Ihnen gewählte Passwort (gespeichert in verschlüsselter Form). Bei der erstmaligen Anmeldung wird außerdem die IP-Adresse sowie Datum und Uhrzeit der Registrierung zu Sicherheitszwecken protokolliert.

Die Rechtsgrundlage für die Verarbeitung der bei der Registrierung erhobenen Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vorbereitung und Durchführung eines Vertragsverhältnisses). Die Angabe der Pflichtfelder ist zur Kontoerstellung zwingend notwendig; die Nichtbereitstellung hat zur Folge, dass kein Kundenkonto angelegt werden kann.

Ihr Kundenkonto bleibt gespeichert, bis Sie es löschen oder die Löschung beim Verantwortlichen beantragen. Sie können Ihr Konto über den Bereich „Mein Konto” selbst löschen. Hiervon unberührt bleiben gesetzliche Aufbewahrungspflichten (z. B. §§ 257 HGB, 147 AO), die eine Löschung von Bestelldaten für bis zu zehn Jahre ausschließen können.

12. Änderungen und Aktualisierungen der Datenschutzerklärung

Der Betreiber dieser Website behält sich vor, diese Datenschutzerklärung jederzeit zu ändern, um sie an veränderte Rechtslagen, gerichtliche oder behördliche Entscheidungen, neue technische Gegebenheiten oder neue auf der Website eingesetzte Dienste anzupassen. Als Datenschutz-Fachportal wird diese Erklärung besonders sorgfältig gepflegt und zeitnah aktualisiert, sobald sich relevante Änderungen ergeben.

Bei wesentlichen Änderungen, die Ihre Rechte oder die Verarbeitungszwecke betreffen, wird der Betreiber Sie – soweit möglich und erforderlich – gesondert informieren. Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist unter https://datenschutz.guide/datenschutzerklaerung/ abrufbar. Das Datum der letzten Aktualisierung ist am Anfang dieser Datenschutzerklärung angegeben.

13. Kontaktmöglichkeiten über die Internetseite

13.1 Kontaktformular und Angebotsanfragen (WPForms)

Auf dieser Website steht ein Kontaktformular sowie ein dediziertes Angebotsanfrageformular zur Verfügung, das über das WordPress-Plugin WPForms bereitgestellt wird. Wenn Sie diese Formulare nutzen, werden die von Ihnen eingegebenen Daten – mindestens Name und E-Mail-Adresse sowie der Inhalt Ihrer Nachricht – an den Betreiber übermittelt und verarbeitet.

Im Rahmen der Angebotsanfrage zu Datenschutzleistungen werden typischerweise erhoben: Name und Funktion des Ansprechpartners, Name und Anschrift des Unternehmens, Branche und Mitarbeiterzahl (für die Einschätzung der DSB-Pflicht), Art der gewünschten Leistung (externer DSB, Audit, Schulung, Dokumentation) sowie ggf. Angaben zu bestehenden Datenschutzstrukturen. WPForms ist eine Software, deren Code lokal auf dem Server des Betreibers bei all-inkl.com läuft. Formularübermittlungen werden auf dem Server des Betreibers gespeichert. Eine Weitergabe an WPForms Inc. (USA) findet nicht statt.

Die Verarbeitung Ihrer Daten aus den Kontaktformularen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen) sowie bei vorvertraglichen oder vertraglichen Anfragen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet und danach gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13.2 Kooperationsanfragen

Über die Seite /kooperationsanfragen-2/ können Kooperationspartner (z. B. andere Datenschutzberater, IT-Dienstleister, Anwälte) strukturierte Anfragen einreichen. Die dabei erhobenen Daten (Unternehmensangaben, Kontaktdaten, Beschreibung des Kooperationsinteresses) werden zur Prüfung und Bearbeitung der Kooperationsanfrage genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

13.3 Kontakt per E-Mail und Telefon

Sie können den Verantwortlichen direkt per E-Mail (info@Datenschutz.Guide) oder telefonisch (+49 351 31409830) kontaktieren. In diesem Fall werden die mit der E-Mail oder dem Anruf übermittelten personenbezogenen Daten – insbesondere E-Mail-Adresse, Name und Nachrichteninhalt – verarbeitet. Die Verarbeitung dient ausschließlich der Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO bei vertraglichen Anfragen.

Hinweis zur Datensparsamkeit: Bitte teilen Sie im Rahmen Ihrer Kontaktanfrage nur die personenbezogenen Daten mit, die für die Bearbeitung Ihrer Anfrage tatsächlich erforderlich sind. Übermitteln Sie keine sensiblen personenbezogenen Daten Dritter (z. B. Ihrer Mitarbeiter oder Kunden) per unverschlüsselter E-Mail.

14. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

Der Betreiber dieser Website verarbeitet personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungsfristen einer Löschung entgegenstehen, werden die Daten routinemäßig gelöscht oder gesperrt.

Gesetzliche Aufbewahrungspflichten können einer sofortigen Löschung entgegenstehen. Insbesondere bestehen folgende Fristen: Handels- und steuerrechtliche Unterlagen (Rechnungen, Buchungsbelege, Verträge): 10 Jahre gemäß §§ 257 Abs. 1 HGB, 147 Abs. 1 AO. Geschäftsbriefe (einschließlich E-Mails mit Vertragscharakter): 6 Jahre gemäß § 257 Abs. 1 Nr. 2, 3 HGB. Während dieser Aufbewahrungsfristen werden die Daten gesperrt, d. h. nicht mehr aktiv verarbeitet, sondern lediglich für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt.

Die konkreten Speicherdauern für die einzelnen Verarbeitungsvorgänge sind in den jeweiligen Abschnitten dieser Datenschutzerklärung angegeben. Eine Gesamtübersicht findet sich in Abschnitt 24.

15. Bestellabwicklung im Online-Shop, digitale Produkte und Kundenkonto

15.1 WooCommerce-Shop

Auf dieser Website wird ein Online-Shop betrieben, über den digitale Datenschutz-Produkte und -Dienstleistungen erworben werden können. Der Shop wird über das WordPress-Plugin WooCommerce bereitgestellt. Im Rahmen der Bestellabwicklung werden folgende personenbezogene Daten verarbeitet: Rechnungsanschrift (Vor- und Nachname, ggf. Unternehmensname und Umsatzsteuer-ID für B2B, Straße, Postleitzahl, Ort, Land), Lieferanschrift (falls abweichend), E-Mail-Adresse (für Bestellbestätigung und Downloadlink), Telefonnummer (freiwillig), Zahlungsdaten (werden nicht direkt gespeichert, sondern über den Zahlungsdienstleister PayPal verarbeitet), Bestellinformationen (Artikel, Menge, Preis, Datum), IP-Adresse sowie Datum und Uhrzeit der Bestellung.

Die Verarbeitung dieser Daten ist zur Vertragserfüllung zwingend erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne Angabe der Pflichtfelder (Name, Anschrift, E-Mail) ist eine Bestellung nicht möglich. WooCommerce-Bestelldaten werden lokal auf dem Server des Hosting-Anbieters all-inkl.com gespeichert.

15.2 Digitale Produkte (DSGVO-Vorlagen, Musterdokumente, Checklisten)

Der Hauptanteil des Shop-Sortiments besteht aus digitalen Produkten für den Datenschutzbereich, insbesondere: DSGVO-konforme Datenschutzerklärungsvorlagen, Musterverträge für Auftragsverarbeitung (AVV), Vorlagen für das Verarbeitungsverzeichnis (VVT), Datenschutzrichtlinien und interne Datenschutzanweisungen, TOMs-Dokumentationsvorlagen, Löschkonzept-Vorlagen, Checklisten für DSGVO-Audits sowie Schulungsunterlagen für Mitarbeiterschulungen. Nach erfolgreicher Bestellung werden diese Produkte über einen persönlichen Download-Link bereitgestellt, der über das Kundenkonto oder per E-Mail zugänglich ist. Es werden keine Nutzungsdaten über den tatsächlichen Download oder die Verwendung der Dokumente erfasst. Download-Links sind zeitlich und auf die bestellende Person begrenzt; eine Weitergabe ist nicht gestattet.

15.3 Online-Schulungen und Schulungszugänge (schulung.jetzt)

Schulungszugänge, die über den Shop auf datenschutz.guide erworben werden, gewähren Zugang zur Schulungsplattform schulung.jetzt. Diese Plattform wird ebenfalls vom Verantwortlichen (Nico Eberhardt) betrieben. Es handelt sich nicht um einen Drittanbieter, sondern um eine eigene Plattform des Betreibers. Bei der Nutzung der Schulungsplattform werden folgende Daten verarbeitet: Kursanmeldungen und -buchungsdaten, Kursfortschritt (aufgerufene Lerneinheiten, Testergebnisse), Abschlussdaten und ggf. ausgestellte Zertifikate sowie Logins und Sitzungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für den Schulungsvertrag). Schulungsdaten werden für die Dauer des aktiven Zugangs und darüber hinaus soweit gespeichert, wie Qualifikationsnachweise oder gesetzliche Aufbewahrungspflichten dies erfordern.

15.4 Kundenkonto (Bereich „Mein Konto”)

Das Kundenkonto ermöglicht die Verwaltung von Bestellungen, den Zugriff auf digitale Downloads (mit zeitlich unbegrenztem Downloadrecht für erworbene Produkte), die Einsicht in Rechnungen sowie die Verwaltung von Schulungszugängen. Details zur Registrierung und Speicherdauer: vgl. Abschnitt 11 dieser Datenschutzerklärung.

15.5 Bestelldaten und Speicherdauer

Bestelldaten werden nach Abschluss des Vertragsverhältnisses und vollständiger Bezahlung für die Dauer der gesetzlichen Aufbewahrungsfristen aufbewahrt: steuerrelevante Unterlagen (Rechnungen, Buchungsbelege) für 10 Jahre gemäß §§ 257 HGB, 147 AO; Geschäftsbriefe für 6 Jahre gemäß § 257 HGB. Während dieser Fristen werden die Daten gesperrt und ausschließlich für den gesetzlich vorgeschriebenen Zweck verwendet.

16. Vertragliche Leistungen als Datenschutzbeauftragter und Berater

Datenschutz.Guide erbringt im Rahmen der selbstständigen Tätigkeit von Nico Eberhardt eine Reihe von Datenschutz-Dienstleistungen, die auf dieser Website beworben und direkt angeboten werden. Für jede Leistungskategorie gelten spezifische datenschutzrechtliche Rahmenbedingungen. Gemeinsam gilt: Verarbeitete Daten werden ausschließlich zur Erbringung der jeweiligen Leistung genutzt, nicht für Werbezwecke profiliert und nicht ohne Rechtsgrundlage an Dritte weitergegeben. Die Rechtsgrundlage für die leistungsbezogene Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO. Steuerrelevante Unterlagen werden für 10 Jahre aufbewahrt (§§ 257 HGB, 147 AO), sonstige Geschäftskorrespondenz für 6 Jahre (§ 257 HGB).

16.1 Externer Datenschutzbeauftragter (Art. 37 ff. DSGVO)

Nico Eberhardt ist seit 2018 als externer Datenschutzbeauftragter (DSB) gemäß Art. 37 DSGVO tätig. Im Rahmen dieser Tätigkeit werden zur Vertragsanbahnung und -durchführung folgende Daten des Auftraggebers verarbeitet: Name, Funktion und Kontaktdaten der betrieblichen Ansprechpartner beim Auftraggeber, Unternehmensname und -anschrift, Bankverbindung für die Abrechnung der DSB-Leistungen sowie der gesamte Kommunikationsverlauf im Zusammenhang mit der DSB-Tätigkeit (E-Mails, Besprechungsnotizen, Berichte).

Besonderheit der DSB-Tätigkeit: Im Rahmen der Ausübung der Funktion als externer Datenschutzbeauftragter erlangt der Betreiber zwangsläufig Kenntnis von personenbezogenen Daten, die beim Auftraggeber verarbeitet werden – beispielsweise aus Datenschutzvorfällen, Betroffenenanfragen, Auditergebnissen und dem Verarbeitungsverzeichnis des Mandanten. Diese Daten unterliegen der gesetzlichen Verschwiegenheitspflicht des Datenschutzbeauftragten gemäß Art. 38 Abs. 5 DSGVO und werden ausschließlich zur Erfüllung der DSB-Aufgaben genutzt. Eine Verwendung für eigene Zwecke von Datenschutz.Guide findet nicht statt. Eine Weitergabe an Dritte findet ausschließlich dann statt, wenn dies gesetzlich vorgeschrieben ist (z. B. Kontakt zur Aufsichtsbehörde im Auftrag des Mandanten nach Art. 39 Abs. 1 lit. e DSGVO).

16.2 Datenschutz-Audits und DSGVO-Beratung

Im Rahmen von Datenschutz-Audits (Erst-Audits, Folgeaudits, anlassbezogene Audits) und der allgemeinen DSGVO-Beratung verarbeitet der Betreiber Daten des Auftraggebers, die zur Prüfung und Bewertung der Datenschutzkonformität erforderlich sind. Dazu gehören insbesondere: bestehende Datenschutzdokumentationen des Auftraggebers (Verarbeitungsverzeichnis, TOMs, AV-Verträge), Informationen über eingesetzte IT-Systeme und Anwendungen, Angaben zu Geschäftsprozessen mit Personenbezug sowie ggf. anonymisierte oder pseudonymisierte Datensätze zur Illustrierung von Verarbeitungstätigkeiten. Diese Informationen werden ausschließlich für die Durchführung des Audits oder der Beratungsleistung genutzt. Audit-Berichte und Beratungsunterlagen werden im Auftrag des Kunden erstellt; die entsprechenden Arbeitsdokumente werden nach Abschluss des Auftrags und Ablauf der Aufbewahrungsfristen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

16.3 DSGVO-Dokumentation (Verarbeitungsverzeichnis, TOMs, AV-Verträge, Löschkonzept)

Der Betreiber erstellt und überarbeitet im Kundenauftrag DSGVO-Dokumentationen. Im Rahmen dieser Tätigkeit werden Angaben zu den Verarbeitungstätigkeiten des Auftraggebers verarbeitet. Die erstellten Dokumente (z. B. Verarbeitungsverzeichnis, Datenschutzrichtlinien, TOM-Dokumentation) werden dem Auftraggeber übergeben und verbleiben in dessen Verantwortungsbereich. Der Betreiber speichert Arbeitskopien für die Dauer des Beratungsmandats sowie – zu Nachweiszwecken – für die gesetzliche Aufbewahrungsfrist von 6 Jahren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

16.4 Hinweisgeberschutzberatung und Einrichtung von Meldestellen (HinSchG)

Als ausgebildeter Hinweisgeberschutzberater unterstützt der Betreiber Unternehmen bei der rechtssicheren Einrichtung interner Meldestellen gemäß dem Hinweisgeberschutzgesetz (HinSchG). Zur Vertragsanbahnung und -erbringung werden Daten des Auftraggebers (Ansprechpartner, Unternehmensangaben, Informationen über bestehende Melde- und Compliance-Strukturen) verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Besonderheit: Im Rahmen der Einrichtung und ggf. des Betriebs einer Meldestelle kann der Betreiber Kenntnis von vertraulichen Hinweisen und den darin enthaltenen personenbezogenen Daten (Hinweisgeber, beschuldigte Personen, Zeugen) erlangen. Diese unterliegen der strengen Vertraulichkeitspflicht nach § 8 HinSchG und werden nicht offengelegt. Der Betreiber tritt insoweit regelmäßig als Auftragsverarbeiter des beauftragenden Unternehmens auf.

16.5 Datenschutz-Schulungen (Präsenz und Online)

Der Betreiber bietet Datenschutz-Schulungen für Unternehmen und Einzelpersonen an – sowohl als Inhouse-Schulungen (beim Auftraggeber vor Ort oder per Videokonferenz) als auch als Online-Kurse über die Schulungsplattform schulung.jetzt. Im Rahmen der Schulungsplanung und -durchführung werden folgende Daten verarbeitet: Namen und Kontaktdaten der Teilnehmer, Unternehmensangaben (bei Firmenbuchungen), Buchungsdaten und Zahlungsinformationen, Teilnahmestatus und ggf. Testergebnisse sowie ausgestellte Teilnahmenachweise und Zertifikate.

Bei unternehmensseitig gebuchten Schulungen handelt der Betreiber als Auftragsverarbeiter des Unternehmens; mit dem Unternehmen wird ein entsprechender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen. Teilnahmebescheinigungen und Qualifikationsnachweise werden auf Wunsch dauerhaft aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Schulungsvertrag). Seit Ende 2025 bildet der Betreiber auch angehende Datenschutzfachleute aus; für diese Ausbildungsverhältnisse gelten dieselben Datenschutzgrundsätze.

17. Externe Zahlungsdienstleister

17.1 PayPal

Im Online-Shop wird PayPal als Zahlungsdienstleister eingesetzt. Anbieter ist die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, 2449 Luxemburg. Wenn Sie die Zahlung per PayPal wählen, werden die für die Zahlungsabwicklung erforderlichen Daten – insbesondere Ihr Name, Ihre Anschrift, Ihre E-Mail-Adresse und die Bestellsumme – an PayPal übermittelt. PayPal ist in diesem Rahmen eigenständiger Verantwortlicher im Sinne der DSGVO und verarbeitet diese Daten nach eigenen Datenschutzbestimmungen. PayPal kann Ihre Daten für eigene Zwecke nutzen, insbesondere zur Betrugsprävention, Bonitätsprüfung und zur Abwicklung des Zahlungsvorgangs, und kann Daten an Auskunfteien weitergeben.

Die Übermittlung Ihrer Daten an PayPal erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Da PayPal seinen europäischen Sitz in Luxemburg hat, finden reguläre Übermittlungen in Drittländer im Sinne von Kapitel V DSGVO in der Regel nicht statt. Etwaige Datenweitergaben an die US-amerikanische PayPal LLC sind durch das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert.

Datenschutzerklärung PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Auf das Widerspruchsrecht nach Art. 21 DSGVO gegenüber der Nutzung Ihrer Daten durch PayPal für Direktmarketingzwecke wird hingewiesen. Die entsprechenden Einstellungen können direkt im PayPal-Konto vorgenommen werden.

18. Datenschutzhinweise im Bewerbungsverfahren

Bewerbungen für eine Mitarbeit oder Kooperation bei Datenschutz.Guide können per E-Mail oder über das Kontaktformular eingereicht werden. Im Rahmen des Bewerbungsverfahrens werden folgende personenbezogene Daten erhoben und verarbeitet: Name, Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift), Lebenslauf, Angaben zum beruflichen Werdegang und zu Qualifikationen (insbesondere Datenschutz-Zertifizierungen, technische Kenntnisse), Zeugnisse und Referenzen sowie sonstige freiwillig mitgeteilte Daten.

Die Rechtsgrundlage für die Verarbeitung von Bewerberdaten ist § 26 Abs. 1 BDSG i. V. m. Art. 88 DSGVO. Bewerberdaten werden ausschließlich zum Zweck der Durchführung des Bewerbungsverfahrens verarbeitet und nicht an Dritte weitergegeben. Bei Ablehnung der Bewerbung werden die Daten nach Abschluss des Verfahrens und Ablauf einer angemessenen Frist – in der Regel sechs Monate nach Zugang der Absage – gelöscht. Sollte die betroffene Person in eine längere Speicherung eingewilligt haben (Bewerber-Pool), erfolgt die Löschung nach Widerruf der Einwilligung oder spätestens nach zwei Jahren.

19. Hosting und E-Mail-Versand

Die Website datenschutz.guide wird bei dem deutschen Hosting-Anbieter ALL-INKL.COM – Neue Medien Münnich (Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf) gehostet. all-inkl.com ist ein in Deutschland ansässiger Anbieter, dessen Rechenzentren sich ausschließlich in Deutschland befinden. Mit all-inkl.com besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Im Rahmen des Hostings verarbeitet all-inkl.com in unserem Auftrag alle Daten, die beim Betrieb dieser Website anfallen: Webseiteinhalte und -dateien (WordPress-Installation, Themes, Plugins, Medien), Datenbankdaten (WordPress-Datenbank inklusive Nutzer-, Bestell- und Kundendaten), E-Mail-Postfächer, Server-Logfiles sowie ggf. Backup-Dateien.

E-Mails, die über die Domain datenschutz.guide versandt und empfangen werden, laufen über die E-Mail-Server von all-inkl.com. Für transaktionale E-Mails (z. B. Bestellbestätigungen, Passwort-Reset, Download-Links) nutzt WooCommerce den WordPress-internen E-Mail-Versand über den Webserver.

Die Rechtsgrundlage für die Verarbeitung im Rahmen des Hostings ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer professionellen, sicheren Website) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit Shop-Funktionen genutzt werden). Da all-inkl.com seinen Sitz in Deutschland hat, findet keine Übermittlung in Drittländer statt.

Datenschutzinformationen all-inkl.com: https://all-inkl.com/datenschutzinformationen/

20. Erhebung von Zugriffsdaten und Logfiles

Der Betreiber dieser Website – vertreten durch seinen Hosting-Anbieter all-inkl.com – erhebt und speichert automatisch bei jedem Zugriff auf die Website Informationen in sogenannten Server-Logfiles. Diese Daten werden automatisch vom Browser des Besuchers übermittelt und umfassen:

  • IP-Adresse des zugreifenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und ggf. zuvor besuchte Seite (Referrer)
  • Name und Version des verwendeten Browsers (User-Agent)
  • Übertragene Datenmenge und HTTP-Statuscode
  • Verwendetes Betriebssystem

Die Erfassung dieser Daten erfolgt automatisch beim Aufbau einer Verbindung zum Webserver. Eine aktive Eingabe durch den Besucher ist nicht erforderlich. Logfile-Daten werden nicht mit anderen Datenquellen zusammengeführt und nicht zur Erstellung von Nutzerprofilen verwendet.

Die Verarbeitung dieser Daten dient dem sicheren und stabilen Betrieb der Website, der Erkennung und Analyse von Angriffen und Missbrauch sowie der technischen Fehlerdiagnose. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Websitebetrieb). Die Logfiles werden nach spätestens 30 Tagen gelöscht, sofern keine sicherheitsrelevante Notwendigkeit einer längeren Speicherung besteht (z. B. laufende Ermittlungen bei festgestellten Angriffen).

Auf das Widerspruchsrecht nach Art. 21 DSGVO wird hingewiesen. Sofern keine zwingenden schutzwürdigen Gründe für die Verarbeitung bestehen, die Ihre Interessen überwiegen, wird die Verarbeitung auf Ihren Widerspruch hin eingestellt.

21. Einbindung von Diensten und Inhalten Dritter

21.1 Google-Dienste (Site Kit, Analytics, Search Console)

Auf dieser Website ist das WordPress-Plugin Google Site Kit aktiv, über das folgende Google-Dienste eingebunden sind:

Google Analytics (mit IP-Anonymisierung): Google Analytics ist ein Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, Mountain View, CA 94043, USA). Mit Google Analytics werden pseudonymisierte Nutzungsstatistiken erhoben, um die Website zu verbessern. Die dabei erfassten Informationen – darunter die pseudonymisierte IP-Adresse, aufgerufene Seiten, Verweildauer, Herkunft des Besuchers und Geräteinformationen – werden an Server von Google übertragen und dort gespeichert. Auf dieser Website ist die IP-Anonymisierung (IP-Masking) aktiviert, sodass Ihre IP-Adresse vor der Übertragung um das letzte Oktett gekürzt wird. Die Aufbewahrungsdauer der Analytics-Daten ist auf 14 Monate eingestellt; danach werden sie automatisch gelöscht. Die Nutzung von Google Analytics erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit über das CCM19-Tool widerrufen.

Google Search Console: Die Google Search Console liefert aggregierte Suchdaten (Suchanfragen, Klickraten, Positionen in den Suchergebnissen) für diese Website. Die Search Console verarbeitet dabei keine personenbezogenen Daten einzelner Website-Besucher direkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Suchmaschinenoptimierung).

Für alle Google-Dienste gilt: Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework (Google LLC ist zertifiziert) abgesichert.

Datenschutzerklärung Google: https://policies.google.com/privacy?hl=de

Opt-out-Möglichkeit: https://tools.google.com/dlpage/gaoptout?hl=de

21.2 Google Fonts (lokal gehostet)

Auf dieser Website werden Google Fonts zur einheitlichen Darstellung von Schriftarten verwendet. Google Fonts werden lokal auf dem Webserver des Hosting-Anbieters all-inkl.com eingebunden. Beim Aufruf der Website findet keine Verbindung zu den Servern von Google statt, und es werden keine Daten an Google übertragen. Datenschutzrechtliche Bedenken im Zusammenhang mit Google Fonts (wie sie bei externer Einbindung bestehen könnten, vgl. LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20) bestehen daher nicht.

21.3 YouTube-Videos (eingebettete Inhalte)

Auf einzelnen Seiten dieser Website können YouTube-Videos eingebettet sein. Der Betreiber unterhält eigene YouTube-Kanäle (UCGblj9WB499PdFy0jGSFQ2Q und UCUGb0_PsHViR64CLn4VbcGQ), über die Datenschutz-Inhalte und Schulungsvideos veröffentlicht werden. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Eingebettete YouTube-Videos werden auf dieser Website erst nach Ihrer aktiven Einwilligung geladen. Ohne Einwilligung wird lediglich eine Vorschau angezeigt; die Verbindung zu YouTube-Servern wird erst nach Ihrer Bestätigung (Klick auf das Video oder Erteilung der Einwilligung für „Externe Medien” im CCM19-Banner) hergestellt. Erst dann werden Daten – insbesondere Ihre IP-Adresse sowie ggf. Cookies – an YouTube übertragen. YouTube kann dabei Nutzungsprofile erstellen, insbesondere wenn Sie in Ihrem Google-Konto eingeloggt sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework abgesichert.

Datenschutzerklärung YouTube/Google: https://policies.google.com/privacy?hl=de

21.4 Eigene WordPress-Plugins (lokal, keine externe Datenübertragung)

Auf dieser Website werden eigens entwickelte WordPress-Plugins eingesetzt, darunter das Barrierefreiheits-Widget sowie das C4mulo5-Theme-Plugin. Diese Plugins wurden ausschließlich für den Betrieb der eigenen Website-Infrastruktur entwickelt und verarbeiten Daten ausschließlich lokal auf dem Server des Hosting-Anbieters all-inkl.com. Es findet keine Datenübertragung an externe Drittunternehmen statt. Es werden keine externen Serververbindungen hergestellt (kein „Telefonieren nach Hause”) und kein Tracking durch diese Plugins durchgeführt. Vom Benutzer individuell vorgenommene Barrierefreiheits-Einstellungen werden lokal im Browser gespeichert (LocalStorage) und nicht an den Server übermittelt.

22. Datenschutzbestimmungen zu Einsatz und Verwendung von YouTube, XING und LinkedIn

Diese Website enthält Verlinkungen zu Profilen des Betreibers auf beruflichen Netzwerken und der Videoplattform YouTube. Sofern auf dieser Website Inhalte dieser Plattformen eingebettet werden (z. B. YouTube-Videos), geschieht dies erst nach Erteilung Ihrer Einwilligung (vgl. Abschnitt 21.3). Allein durch das Aufrufen dieser Website – ohne Aktivierung externer Medien – findet keine Datenübertragung an diese Plattformen statt.

22.1 YouTube

Der Betreiber ist auf YouTube vertreten und betreibt dort eigene Kanäle mit Datenschutz-Inhalten und Schulungsvideos. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Für den Betrieb der YouTube-Kanäle gelten die Datenschutzbestimmungen von Google. Google kann dabei Nutzungsprofile erstellen und Daten für eigene Zwecke, insbesondere für Werbung, nutzen. Rechtsgrundlage für die Präsenz auf YouTube: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbreitung von Fachinhalten und der Außendarstellung). Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework abgesichert.

Datenschutzerklärung Google/YouTube: https://policies.google.com/privacy?hl=de

22.2 XING

Soweit der Betreiber auf XING vertreten ist, gilt: Anbieter ist die New Work SE, Dammtorstraße 30, 20354 Hamburg, Deutschland. XING ist ein deutsches Unternehmen; Drittlandübermittlungen finden in der Regel nicht statt. Wenn Sie über einen Link die XING-Präsenz des Betreibers aufrufen, verarbeitet XING Daten nach eigenen Datenschutzbestimmungen. Rechtsgrundlage für die Verlinkung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der beruflichen Vernetzung und Außendarstellung).

Datenschutzerklärung XING: https://privacy.xing.com/de/datenschutzerklaerung

22.3 LinkedIn

Soweit der Betreiber auf LinkedIn vertreten ist: Anbieter ist die LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland (Muttergesellschaft: LinkedIn Corporation, USA). LinkedIn kann Nutzungsprofile erstellen und Daten für Werbezwecke und zur Personalisierung nutzen. Für den Betrieb von LinkedIn-Unternehmensseiten kann ggf. eine gemeinsame Verantwortlichkeit mit LinkedIn gemäß Art. 26 DSGVO bestehen (ähnlich wie bei Facebook-Fanpages nach EuGH-Rechtsprechung). Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework (LinkedIn/Microsoft ist zertifiziert) und Standardvertragsklauseln abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Datenschutzerklärung LinkedIn: https://www.linkedin.com/legal/privacy-policy

23. Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden

Soweit die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird, sind die verfolgten berechtigten Interessen im Einzelnen:

Betrieb und Sicherung der Website: Der Betreiber hat ein berechtigtes Interesse daran, die Website sicher, stabil und funktionsfähig zu betreiben und Angriffe (z. B. DDoS, Brute-Force, SQL-Injection) abzuwehren. Dies rechtfertigt die Verarbeitung von IP-Adressen und technischen Zugriffsdaten in Logfiles sowie durch Sicherheits-Plugins.

Bearbeitung von Kontaktanfragen: Der Betreiber hat ein berechtigtes Interesse daran, eingehende Anfragen zu bearbeiten und zu beantworten, auch wenn diese nicht unmittelbar auf einen Vertragsschluss abzielen.

Suchmaschinenoptimierung und Reichweite: Die Nutzung der Google Search Console dient dem berechtigten Interesse an der Sichtbarkeit der Website und damit der wirtschaftlichen Darstellung des Beratungsangebots gegenüber Unternehmen, die einen Datenschutzbeauftragten suchen.

Verlinkung zu eigenen YouTube-Kanälen und beruflichen Netzwerken: Das berechtigte Interesse besteht in der Möglichkeit, fachliche Datenschutz-Inhalte auf gängigen Plattformen zu verbreiten und potenzielle Mandanten sowie Kooperationspartner zu erreichen.

Nachweis der Einhaltung datenschutzrechtlicher Pflichten: Die Protokollierung von Einwilligungen sowie die Aufbewahrung von Vertragskorrespondenz dient dem berechtigten Interesse an der Nachweisbarkeit der Rechtmäßigkeit von Verarbeitungen gegenüber Aufsichtsbehörden und Gerichten.

Bei allen Verarbeitungen auf Grundlage berechtigter Interessen wurde eine Abwägung zwischen den Interessen des Verantwortlichen und den schutzwürdigen Interessen, Grundrechten und Grundfreiheiten der betroffenen Personen vorgenommen. Es wurde festgestellt, dass die berechtigten Interessen überwiegen, insbesondere weil die betroffenen Personen die Verarbeitung vernünftigerweise erwarten können (vgl. Erwägungsgrund 47 DSGVO) und die Verarbeitungen auf das erforderliche Mindestmaß beschränkt sind.

Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (Art. 21 DSGVO). Bitte wenden Sie sich dazu an die in Abschnitt 4 genannten Kontaktdaten.

24. Dauer, für die die personenbezogenen Daten gespeichert werden

Personenbezogene Daten werden nur so lange gespeichert, wie es der jeweilige Verarbeitungszweck erfordert und keine gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen. Im Überblick gelten folgende Speicherdauern:

Server-Logfiles und Sicherheitsprotokolle: bis zu 30 Tage; bei Sicherheitsvorfällen ggf. länger bis zur Klärung.

Kontaktanfragen (Kontaktformular, E-Mail) ohne Vertragsabschluss: bis zu 12 Monate nach Abschluss der Bearbeitung.

Kontaktanfragen mit Vertragsanbahnung: bis zu 3 Jahre nach Ende der Kommunikation (regelmäßige Verjährungsfrist).

Bewerberdaten (bei Ablehnung): bis zu 6 Monate nach Zugang der Absage.

Bewerberdaten (Bewerber-Pool mit Einwilligung): bis zu 24 Monate oder bis zum Widerruf der Einwilligung.

WooCommerce-Bestelldaten und Rechnungen: steuerrelevante Unterlagen für 10 Jahre gemäß §§ 257 HGB, 147 AO.

Geschäftsbriefe und sonstige Vertragskorrespondenz: für 6 Jahre gemäß § 257 HGB.

Kundenkonto-Daten: bis zur Löschung des Kontos, mindestens jedoch für die Dauer geltender Aufbewahrungspflichten.

CCM19-Einwilligungsnachweise: bis zu 24 Monate nach Erteilung der Einwilligung.

Google Analytics-Daten: 14 Monate; danach automatische Löschung durch Google Analytics.

Schulungsdaten (schulung.jetzt): für die Dauer des aktiven Schulungszugangs; Teilnahmenachweise und Zertifikate ggf. dauerhaft auf Wunsch des Nutzers.

DSB-Mandatsdaten und Beratungsunterlagen: für die Dauer des Mandats sowie nach dessen Ende für die steuerrechtliche Aufbewahrungsfrist von 10 Jahren (Rechnungen) bzw. 6 Jahren (Korrespondenz).

25. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Die Bereitstellung personenbezogener Daten ist in einigen Fällen gesetzlich (z. B. steuerrechtliche Vorschriften) oder vertraglich (z. B. Bestellabwicklung) vorgeschrieben. Im Einzelnen:

Online-Shop / Bestellung: Die Angabe von Name, Anschrift und E-Mail-Adresse ist zur Durchführung eines Kaufvertrags über digitale Produkte oder Schulungszugänge erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne diese Angaben ist eine Bestellabwicklung nicht möglich. Die Nichtbereitstellung führt dazu, dass kein Kaufvertrag geschlossen werden kann.

Kontaktformular: Die Angabe eines Namens und einer E-Mail-Adresse ist erforderlich, um Ihre Anfrage bearbeiten und beantworten zu können. Ohne diese Angaben ist eine Rückkontaktaufnahme nicht möglich. Die Bereitstellung ist freiwillig; die Folge der Nichtbereitstellung ist, dass keine Antwort erfolgen kann.

Google Analytics: Die Einwilligung in die Nutzung von Google Analytics ist vollständig freiwillig. Die Nichtbereitstellung der Einwilligung hat keine Auswirkungen auf die Nutzbarkeit der Website; alle Inhalte sind auch ohne Einwilligung zugänglich.

Kundenkonto: Die Angabe der Pflichtfelder bei der Registrierung ist zur Erstellung des Kundenkontos erforderlich. Die Nichtbereitstellung führt dazu, dass kein Kundenkonto angelegt werden kann; der Kauf im Shop als Gastkauf bleibt möglich.

Datenschutzberatungsmandat (externer DSB): Die Bereitstellung von Unternehmens- und Kontaktdaten ist zur Begründung und Durchführung des Mandatsverhältnisses erforderlich. Die Nichtbereitstellung führt dazu, dass kein Beratungsvertrag geschlossen werden kann.

Schulungsvertrag: Name und Kontaktdaten sind zur Abwicklung des Schulungsvertrags und zur Ausstellung von Teilnahmenachweisen erforderlich.

26. Bestehen einer automatisierten Entscheidungsfindung

Auf dieser Website werden keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO getroffen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Es findet kein Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO statt.

Google Analytics kann im Rahmen seiner Analyse-Funktionen ein technisches Profiling über das aggregierte Nutzungsverhalten auf der Website erstellen. Dieses Profiling dient jedoch ausschließlich der Website-Analyse und statistischen Auswertung und führt nicht zu individualisierten Entscheidungen gegenüber einzelnen Personen.

27. Hinweis zur EU-KI-Verordnung (AI Act / VO (EU) 2024/1689)

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates über künstliche Intelligenz (EU AI Act) ist am 1. August 2024 in Kraft getreten und wird schrittweise bis 2027 vollständig anwendbar. Sie legt harmonisierte Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der EU fest und klassifiziert KI-Systeme nach ihrem Risikopotenzial.

Als Datenschutz-Fachdienstleister beobachtet Datenschutz.Guide die Entwicklungen rund um den EU AI Act besonders aufmerksam, da der Einsatz von KI-Systemen erhebliche Datenschutzrelevanz haben kann und die Beratung von Mandanten zu KI-bezogenen Datenschutzfragen zum Leistungsspektrum gehört.

Auf dieser Website und im Rahmen der Beratungstätigkeit werden zum gegenwärtigen Zeitpunkt keine KI-Systeme eingesetzt, die unter die Hochrisikokategorien des Art. 6 i. V. m. Anhang III EU AI Act fallen. Sollten künftig KI-gestützte Werkzeuge eingesetzt werden (z. B. KI-basierte Dokumentenprüfung, automatisierte Datenschutz-Analysen), wird der Betreiber die Anforderungen des EU AI Acts einhalten und diese Datenschutzerklärung entsprechend aktualisieren.

28. Hinweis zum EU Data Act (VO (EU) 2023/2854)

Die Verordnung (EU) 2023/2854 über harmonisierte Regeln für einen fairen Datenzugang und eine faire Datennutzung (EU Data Act) ist am 11. Januar 2024 in Kraft getreten und wird ab September 2025 schrittweise anwendbar. Der EU Data Act regelt primär den Zugang zu und die Nutzung von Daten, die durch die Nutzung vernetzter Produkte und damit zusammenhängender Dienste erzeugt werden.

Als Datenschutz-Fachportal verfolgt Datenschutz.Guide die Entwicklung des EU Data Acts eng und berät Mandanten bei Bedarf auch zu dessen Anforderungen. Für die auf dieser Website primär verarbeiteten personenbezogenen Daten (Website-Besucher, Kunden, Schulungsteilnehmer, Mandanten) gelten vorrangig DSGVO und BDSG. Soweit der EU Data Act auf Verarbeitungen dieser Website Anwendung findet – z. B. im Bereich digitaler Dienste –, wird der Betreiber die entsprechenden Anforderungen einhalten.

29. Beschwerderecht und Beschwerdestelle

Sie haben das Recht, sich gemäß Art. 77 DSGVO bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch den Verantwortlichen zu beschweren. Eine Beschwerde kann bei jeder Aufsichtsbehörde innerhalb der Europäischen Union eingereicht werden, üblicherweise bei der Behörde am gewöhnlichen Aufenthaltsort des Beschwerdeführers, am Arbeitsort oder am Ort des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde am Sitz des Verantwortlichen (Freistaat Sachsen):

Sächsische Datenschutz- und Transparenzbeauftragte
Maternistraße 17
01067 Dresden
Postanschrift: Postfach 11 01 32, 01330 Dresden
Telefon: +49 351 85471-101
Telefax: +49 351 85471-109
E-Mail: post@sdtb.sachsen.de
Website: https://www.datenschutz.sachsen.de/

Die Beschwerde kann formlos oder über das auf der Website der Aufsichtsbehörde bereitgestellte Beschwerdeformular eingereicht werden. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Ergänzend wird auf das Recht hingewiesen, gemäß Art. 79 DSGVO gerichtlichen Rechtsschutz gegen den Verantwortlichen zu suchen, wenn Sie der Ansicht sind, dass Ihre Rechte aus der DSGVO verletzt wurden.

Stand: März 2026 | datenschutz.guide | Nico Eberhardt | USt-IdNr.: DE322494963

Datenschutz.Guide

Datenschutz geht alle an.

© 2026 Datenschutz.Guide. Projektarbeiten-dresden.de.

Impressum.
Datenschutzerklärung.
Barrierefreiheits-Erklärung gemäß BFSG .