Zum Hauptinhalt springen
SHE-Optimized

RECHTLICHES

Datenschutzerklärung.

§ 1 Verantwortlicher und Kontakt

Verantwortliche Stelle für die Verarbeitung personenbezogener Daten auf dieser Website und im Rahmen unserer Coaching-Leistungen im Sinne des Art. 4 Nr. 7 DSGVO ist:

Dream-bit UG (haftungsbeschränkt)
Marke: SHE-OPTIMIZED
Fischerstraße 16/1
72124 Pliezhausen
Deutschland

Telefon: +49 (0) 7127 / 9313-165
E-Mail: [email protected]

Vertreten durch den Geschäftsführer: Güney Jung

§ 2 Datenschutzbeauftragte oder Datenschutzbeauftragter

Eine Verpflichtung zur Bestellung einer oder eines Datenschutzbeauftragten allein nach der Personenzahl-Schwelle des § 38 BDSG (in der Regel 20 Personen) besteht für SHE-OPTIMIZED nicht. Da die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (Gesundheitsdaten) jedoch eine Kerntätigkeit des Coachings ist, kann eine Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO greifen. Wir prüfen diese Pflicht laufend und passen diese Erklärung an, sobald eine Bestellung erfolgt.

Derzeit ist keine oder kein Datenschutzbeauftragte(r) bestellt. Anfragen zum Datenschutz richtet die Klientin an die unter § 1 genannte Adresse.

§ 3 Allgemeine Hinweise zur Datenverarbeitung

(1) SHE-OPTIMIZED verarbeitet personenbezogene Daten der Klientin nur, soweit dies für die Erbringung der Coaching-Leistung, die Anbahnung des Vertrages oder die Erfüllung gesetzlicher Pflichten erforderlich ist und eine Rechtsgrundlage nach Art. 6 oder Art. 9 DSGVO vorliegt.

(2) Wir folgen den Grundsätzen der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO).

(3) Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

§ 4 Welche Daten wir verarbeiten und auf welcher Rechtsgrundlage

Wir verarbeiten die folgenden Kategorien personenbezogener Daten der Klientin. Die jeweilige Rechtsgrundlage, der Zweck, die Empfänger und die Speicherdauer sind je Kategorie ausgewiesen.

a) Stammdaten. Name, Anschrift, E-Mail, Telefonnummer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Zweck: Identifikation, Vertragsabwicklung, Korrespondenz.
Speicherdauer: bis 3 Jahre nach Vertragsende (§ 195 BGB).

b) Bewerbungs- und Onboarding-Daten. Antworten der Klientin im Bewerbungs- und Onboarding-Formular.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
Zweck: Eignungsprüfung, Match-Entscheidung.
Speicherdauer: bei Ablehnung 6 Monate, bei Vertragsschluss siehe Buchstabe a.

c) Gesundheitsdaten — Zyklus. Zykluslänge, Phasenmarker, Symptomprotokolle.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.
Zweck: individuelle Coaching-Reflexion entlang des infradianen Rhythmus.
Empfänger: ausschließlich der Coach; Speicherort Google Workspace Drive (siehe § 6).
Speicherdauer: aktive Vertragsdauer; auf Wunsch der Klientin sofortige Löschung; sonst 3 Jahre nach Vertragsende.

d) Gesundheitsdaten — Biomarker und Laborwerte. Befunde, die die Klientin selbst aus ihrer ärztlichen oder heilpraktischen Versorgung mitbringt und uns zur Verfügung stellt.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.
Zweck: Kontextualisierung im Coaching-Gespräch.
Empfänger: ausschließlich der Coach; keine Weitergabe an Labore, Ärztinnen oder Heilpraktikerinnen.
Speicherdauer: wie unter Buchstabe c.

e) Gesundheitsdaten — Anamnese und Selbstauskünfte. Vorerkrankungen, Medikation, ärztliche Diagnosen, soweit von der Klientin selbst mitgeteilt.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.
Zweck: Wahrnehmung der Triage-Pflicht (Verweis an Ärztin oder Heilpraktikerin in indizierten Fällen).
Empfänger: ausschließlich der Coach.
Speicherdauer: wie unter Buchstabe c.

f) Kommunikationsverläufe — WhatsApp. Textnachrichten, Sprachnachrichten, Bilder und Dokumente, die die Klientin im Coaching-Verlauf an uns übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und — soweit Gesundheitsbezug besteht — Art. 9 Abs. 2 lit. a DSGVO.
Zweck: asynchrone Coaching-Kommunikation.
Empfänger: Meta Platforms Ireland Ltd. und Meta Platforms, Inc. (USA); siehe § 6 und § 7.
Speicherdauer: aktive Vertragsdauer; geräteseitige Lösch-Routine alle 6 Monate.

g) Zahlungsdaten. Bank- oder Kartendaten, Rechnungs-Historie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 147 AO und § 257 HGB.
Zweck: Zahlungsabwicklung, Buchhaltung, Erfüllung steuerrechtlicher Aufbewahrungspflichten.
Empfänger: Zahlungsdienstleister Mollie B.V. (EU; siehe § 6 lit. e), Steuerberatung.
Speicherdauer: 6 Jahre für Belege, 10 Jahre für Bücher (§ 147 AO; § 257 HGB).

h) Server-Logfiles. IP-Adresse, Zeitstempel, Browsertyp, Betriebssystem, aufgerufene URL, Referrer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität der Website).
Zweck: Betrieb, Sicherheit und Fehlerdiagnose der Website.
Empfänger: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (Serverstandort EU, kein Drittland); siehe § 6.
Speicherdauer: 7 bis 30 Tage.

i) Cookies. Ausschließlich technisch notwendige Cookies; siehe § 11.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.
Zweck: Bereitstellung der Grundfunktionalität der Website.
Speicherdauer: je nach Cookie-Typ; siehe § 11.

j) Warteliste-Daten. E-Mail-Adresse, optional Vorname, Zeitstempel und Nachweis (Hash) der Einwilligung sowie eine gehashte IP-Adresse zur Einwilligungs-Dokumentation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — nicht lit. b, da der Eintrag auf der Warteliste keinen Vertrag begründet und freiwillig erfolgt.
Zweck: Aufnahme auf die Warteliste, Benachrichtigung bei Platzvergabe.
Empfänger: Plus Five Five, Inc. (Marke Resend), USA — Versand und Segment-Verwaltung der Warteliste-Mails (siehe § 6 und § 7).
Speicherdauer: bis zum Widerruf der Einwilligung oder bis zur Platzvergabe.
Kein Gesundheits- oder intent-Feld. Die Warteliste erhebt kein gesundheitsbezogenes Feld; insbesondere wird keinintent-Feld (z. B. „Perimenopause“ oder „Zyklus-Unregelmäßigkeit“) erhoben. Es findet daher auf der Warteliste keine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO statt. Sollte künftig ein solches Feld eingeführt werden, setzt dies eine gesonderte ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO voraus.

§ 5 Besondere Hinweise zur Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

(1) Im Rahmen unseres 1:1-Coachings verarbeiten wir besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO. Dazu zählen insbesondere:

— Daten zum Hormon- und Menstruationszyklus (Zykluslänge, Phasenmarker, Symptomprotokolle),
— Biomarker und Laborwerte, die die Klientin selbst aus ihrer ärztlichen oder heilpraktischen Versorgung mitbringt und uns zur Verfügung stellt,
— Selbstauskünfte zu Vorerkrankungen, Medikation und ärztlichen Diagnosen,
— daraus entstehende Coaching-Notizen und Recherche-Antworten.

(2) Rechtsgrundlage. Rechtsgrundlage dieser Verarbeitung ist ausschließlich die ausdrückliche Einwilligung der Klientin nach Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung wird im Onboarding gesondert eingeholt; sie ist freiwillig, granular nach Verarbeitungszweck und jederzeit widerruflich.

(3) Zweckbindung und Negativ-Abgrenzung. Die Verarbeitung dient ausschließlich der individuellen Coaching-Begleitung der Klientin auf Lebensstil-Ebene. Eine medizinische Diagnostik, eine Befundinterpretation, eine Therapieempfehlung oder eine Verschreibung wird durch SHE-OPTIMIZED nicht erbracht. SHE-OPTIMIZED ist kein Heilberuf im Sinne des Heilpraktikergesetzes, kein Arzt und keine psychotherapeutische Einrichtung. Klinische Entscheidungen — einschließlich Diagnostik, Befundinterpretation und Therapieempfehlung — liegen ausschließlich bei der Klientin und ihrer Ärztin oder Heilpraktikerin.

(4) Selbst-Upload-Prinzip. Laborwerte und Befunde liefert die Klientin uns aus eigener Initiative aus ihrer eigenen ärztlichen oder heilpraktischen Beziehung. SHE-OPTIMIZED tritt zu keinem Zeitpunkt mit Laboren oder Heilberufs-Ausübenden in einen Datenaustausch zur Klientin, vermittelt keine Lab-Termine und erhält keine Empfehlungs-Provisionen.

(5) Granularität der Einwilligung. Die Einwilligungserklärung trennt mindestens die folgenden Zwecke:

a) Verarbeitung der Gesundheitsdaten zur individuellen Coaching-Begleitung,
b) Speicherung der Daten in Cloud-Diensten mit Drittlandbezug (siehe § 7),
c) Übermittlung der Daten über WhatsApp und Voice-Memos (siehe § 6).

Eine Verarbeitung der Daten zu Aggregat-, Forschungs-, Marketing- oder Trainings-Zwecken erfolgt nicht und wird nur auf Grundlage einer gesonderten Einwilligung erfolgen.

(6) Widerruflichkeit. Die Klientin kann ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO). Der Widerruf ist formfrei möglich; die in § 1 genannte E-Mail-Adresse genügt.

(7) Datenschutz-Folgenabschätzung. Wegen der systematischen und umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO für SHE-OPTIMIZED mit hoher Wahrscheinlichkeit verpflichtend. Wir führen diese Datenschutz-Folgenabschätzung durch und dokumentieren sie.

§ 6 Empfänger und Auftragsverarbeiter

(1) Wir geben personenbezogene Daten der Klientin nur weiter, wenn dies für die Erbringung des Coachings erforderlich ist und eine Rechtsgrundlage besteht. Empfänger sind:

a) Meta Platforms Ireland Ltd. und Meta Platforms, Inc. (WhatsApp). Die Coaching-Kommunikation erfolgt asynchron über WhatsApp. Inhalte (Text, Sprachnachrichten, Bilder) werden auf den Servern von Meta verarbeitet. WhatsApp setzt eine Ende-zu-Ende-Verschlüsselung der Nachrichteninhalte ein; Metadaten (Zeitpunkt, Teilnehmer, Geräte- und Telefonnummern-Identifikatoren) sind dadurch nicht abgedeckt und werden von Meta verarbeitet. Die deutschen Datenschutz-Aufsichtsbehörden haben mehrfach darauf hingewiesen, dass die Auftragsverarbeitungs-Bedingungen von Meta einzelne DSGVO-Anforderungen nicht vollständig abdecken. Wir machen die Klientin im Onboarding gesondert auf dieses Restrisiko aufmerksam und holen ihre gesonderte ausdrückliche Einwilligung ein. Auf Wunsch der Klientin nutzen wir ausschließlich datenschutzfreundlichere Kommunikationskanäle (z. B. Signal, Threema oder eine Coaching-Plattform mit EU-Hosting). Datenschutzhinweise von WhatsApp / Meta: https://www.whatsapp.com/legal/privacy-policy-eea

b) Google Ireland Ltd. und Google LLC (Google Workspace, Google Drive). Coaching-Notizen, hochgeladene Befunde und Akten werden in Google Drive innerhalb eines Google-Workspace-Tenants gespeichert. Mit Google besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Datenschutzhinweise von Google: https://policies.google.com/privacy

c) Hetzner Online GmbH (Hosting). Die Website und die zugehörige Datenbank werden bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet (Serverstandort EU, kein Drittland). Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

d) Plus Five Five, Inc. (Marke Resend). Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA, versendet in unserem Auftrag Transaktions- und Warteliste-E-Mails und verwaltet die Warteliste-Segmente. Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Resend ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; ergänzend bestehen Standardvertragsklauseln (SCC). Zum Drittlandtransfer siehe § 7.

e) Mollie B.V. (Zahlungsdienstleister). Die Zahlungsabwicklung erfolgt über die Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande. Mollie ist innerhalb der EU ansässig; mit Mollie besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Es findet kein Drittlandtransfer statt (Verarbeitung innerhalb der EU). Soweit Mollie zahlungsdienstrechtlich als eigenverantwortliche Stelle handelt, verarbeitet Mollie Zahlungsdaten im Rahmen seiner eigenen Datenschutzerklärung.

f) Steuerberatung und Buchhaltung. Buchhaltungsrelevante Daten werden zur Erfüllung gesetzlicher Aufbewahrungspflichten an unsere Steuerberatung übermittelt (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 147 AO und § 257 HGB). Die Steuerberatung unterliegt der berufsrechtlichen Verschwiegenheitspflicht.

g) Berufshaftpflicht-Versicherer. Eine Übermittlung personenbezogener Daten an unseren Berufshaftpflicht-Versicherer erfolgt ausschließlich im Schadenfall und nur im erforderlichen Umfang.

h) Behörden. Im gesetzlich gebotenen Umfang.

(2) Keine Übermittlung an Heilberufs-Ausübende. Eine Übermittlung der Gesundheitsdaten der Klientin an Labore, Ärztinnen, Heilpraktikerinnen oder andere medizinische Leistungserbringer findet durch SHE-OPTIMIZED nicht statt. Befunde, die im Coaching besprochen werden, hat die Klientin selbst aus ihrer eigenen ärztlichen oder heilpraktischen Beziehung eingebracht; SHE-OPTIMIZED ist insoweit nicht Empfängerin einer Datenübermittlung vom Labor.

§ 7 Drittlandtransfer (USA)

(1) Folgende Empfänger verarbeiten personenbezogene Daten in oder mit Bezug zu den USA:

— Meta Platforms, Inc. (WhatsApp),
— Google LLC (Google Workspace und Google Drive),
— Plus Five Five, Inc. (Marke Resend; E-Mail- und Warteliste-Versand).

(2) Primärer Übermittlungsmechanismus: Angemessenheitsbeschluss (Art. 45 DSGVO). Für die Datenübermittlung in die USA besteht seit dem 10. Juli 2023 die Angemessenheitsentscheidung der EU-Kommission zum EU-U.S. Data Privacy Framework (DPF) nach Art. 45 DSGVO. Der Übermittlungsmechanismus ist je Empfänger unterschiedlich:
— Google LLC (Google Workspace / Google Drive) ist unter dem DPF zertifiziert; die Übermittlung stützt sich vorrangig auf den Angemessenheitsbeschluss (Art. 45 DSGVO).
— Plus Five Five, Inc. (Marke Resend) ist unter dem DPF zertifiziert; die Übermittlung stützt sich vorrangig auf den Angemessenheitsbeschluss (Art. 45 DSGVO).
— Meta Platforms, Inc. (WhatsApp): Die DPF-Zertifizierung deckt die hier maßgebliche Verarbeitung nur eingeschränkt ab. Wir stützen die Übermittlung an Meta daher vorrangig auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; dies entspricht dem unter § 6 lit. a beschriebenen Restrisiko. Die ausdrückliche gesonderte Einwilligung der Klientin wird zusätzlich eingeholt.

(3) Hilfsweise: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Ergänzend und für den Fall, dass die Angemessenheitsentscheidung wegfällt oder angefochten wird, bestehen mit den genannten Anbietern Standardvertragsklauseln der EU-Kommission als geeignete Garantie nach Art. 46 DSGVO.

(4) Subsidiär: Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Lediglich nachrangig — und ausschließlich für den Fall, dass weder der Angemessenheitsbeschluss noch die Standardvertragsklauseln greifen — stützen wir die Übermittlung auf die ausdrückliche Einwilligung der Klientin. Wir weisen darauf hin, dass die Ausnahme nach Art. 49 Abs. 1 lit. a DSGVO nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA-Guidelines 2/2018) und der Auffassung der Datenschutzkonferenz (DSK) nur gelegentliche und nicht wiederholte Übermittlungen trägt; sie ist deshalb kein geeigneter Primäranker für die fortlaufende Nutzung von WhatsApp und wird nur als subsidiärer Auffangtatbestand herangezogen.

(5) Restrisiko-Hinweis und DPF-Verfahrensstand. Trotz DPF und SCC besteht im Falle einer Datenübermittlung in die USA ein nicht vollständig auszuschließendes Restrisiko, insbesondere durch Zugriffsmöglichkeiten US-amerikanischer Sicherheitsbehörden auf Grundlage von Section 702 FISA. Wir weisen darauf hin, dass die Angemessenheitsentscheidung zum DPF Gegenstand laufender gerichtlicher Verfahren auf EU-Ebene ist: Das Gericht der Europäischen Union hat den DPF mit Urteil vom 3. September 2025 (Rechtssache Latombe) bestätigt; gegen diese Entscheidung ist ein Rechtsmittel zum Europäischen Gerichtshof anhängig. Bei einem Wegfall der Angemessenheitsentscheidung stützen wir die Verarbeitung unverzüglich auf die Standardvertragsklauseln und — subsidiär — auf die Einwilligung der Klientin und passen diese Erklärung an.

§ 8 Speicherdauer und Löschkonzept

(1) Wir speichern personenbezogene Daten der Klientin nur so lange, wie dies für die jeweilige Verarbeitung erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO).

(2) Konkret gelten folgende Aufbewahrungsfristen:

— Stammdaten: bis 3 Jahre nach Vertragsende (§ 195 BGB).
— Bewerbungsdaten bei Ablehnung: 6 Monate (Beweisfunktion gegen Diskriminierungsvorwürfe).
— Gesundheitsdaten: aktive Vertragsdauer; auf Wunsch der Klientin sofortige Löschung; sonst 3 Jahre nach Vertragsende (Art. 5 Abs. 1 lit. e DSGVO).
— WhatsApp-Kommunikation: aktive Vertragsdauer; geräteseitige Lösch-Routine alle 6 Monate.
— Zahlungsdaten: 6 Jahre für Belege, 10 Jahre für Bücher (§ 147 AO; § 257 HGB).
— Server-Logfiles: 7 bis 30 Tage.

(3) Klarstellung zu § 630f BGB. Wir betonen ausdrücklich, dass für SHE-OPTIMIZED die ärztliche Aufbewahrungspflicht von 10 Jahren nach § 630f BGB nicht gilt, da SHE-OPTIMIZED kein Heilberuf ist und keinen Behandlungsvertrag im Sinne des § 630a BGB abschließt. Die Aufbewahrung von Gesundheitsdaten richtet sich daher allein nach Art. 5 Abs. 1 lit. e DSGVO und der Einwilligung der Klientin.

§ 9 Deine Rechte als betroffene Person

Als betroffene Person hast Du gegenüber SHE-OPTIMIZED die folgenden Rechte. Du kannst sie jederzeit formfrei über die in § 1 genannten Kontaktdaten geltend machen.

a) Auskunftsrecht (Art. 15 DSGVO). Du hast das Recht zu erfahren, ob und welche Deiner Daten wir verarbeiten, zu welchem Zweck und an welche Empfänger.

b) Recht auf Berichtigung (Art. 16 DSGVO). Unrichtige Daten lassen wir auf Deinen Hinweis unverzüglich berichtigen.

c) Recht auf Löschung (Art. 17 DSGVO). Du kannst die Löschung Deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten — insbesondere nach § 147 AO und § 257 HGB — entgegenstehen.

d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Du kannst die Einschränkung der Verarbeitung verlangen, während wir z. B. die Richtigkeit Deiner Daten prüfen.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Du kannst die von Dir bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder an einen anderen Verantwortlichen übermitteln lassen.

f) Widerspruchsrecht (Art. 21 DSGVO). Du kannst der Verarbeitung Deiner Daten aus Gründen, die sich aus Deiner besonderen Situation ergeben, widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO gestützt ist.

g) Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO). Du kannst eine erteilte Einwilligung — insbesondere zur Verarbeitung Deiner Gesundheitsdaten nach Art. 9 Abs. 2 lit. a DSGVO — jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

h) Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO). Siehe § 10.

§ 10 Beschwerderecht bei der Aufsichtsbehörde

Du hast nach Art. 77 DSGVO das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Behörde Deines gewöhnlichen Aufenthalts, Deines Arbeitsplatzes oder die Behörde am Ort des mutmaßlichen DSGVO-Verstoßes.

Für SHE-OPTIMIZED zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Tel. +49 711 615541-0
E-Mail: [email protected]
https://www.baden-wuerttemberg.datenschutz.de

§ 11 Cookies und Tracking auf dieser Website

(1) Diese Website setzt Cookies und vergleichbare Techniken nur ein, soweit dies nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) zulässig ist. Das TDDDG hat zum 13. Mai 2024 das vormalige TTDSG abgelöst; § 25 ist inhaltsgleich.

(2) Technisch notwendige Cookies. Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Website unabdingbar sind (§ 25 Abs. 2 Nr. 2 TDDDG). Eine Einwilligung ist hierfür nicht erforderlich. Rechtsgrundlage für die anschließende Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. f DSGVO.

(3) Reichweitenmessung mit Umami. Zur statistischen Auswertung der Websitenutzung setzen wir Umami ein — eine selbst gehostete Analyse-Software (Server: umami.dream-bit.de, betrieben innerhalb der dream-bit-Infrastruktur in der EU). Umami arbeitet cookiefrei und speichert oder liest keine Informationen auf deinem Endgerät; eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich. IP-Adressen werden anonymisiert verarbeitet; es findet kein seitenübergreifendes Tracking und keine Bildung personenbezogener Nutzerprofile statt. Erfasst werden ausschließlich aggregierte Nutzungsdaten — etwa aufgerufene Seiten, Verweildauer, Scrolltiefe und Klicks auf Schaltflächen. Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten Gestaltung und Reichweitenmessung der Website (Art. 6 Abs. 1 lit. f DSGVO).

(4) Kein Marketing-Pixel. Ein Marketing-Pixel oder Re-Targeting-Cookies setzen wir nicht ein. Sollten wir künftig einwilligungsbedürftige Werkzeuge einsetzen, holen wir zuvor eine Einwilligung nach § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO ein und passen diese Erklärung an.

§ 12 Datensicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten der Klientin angemessen zu schützen. Bei besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO wenden wir ein erhöhtes Schutzniveau an. Konkret:

— TLS-Verschlüsselung (HTTPS) für die gesamte Website,
— Ende-zu-Ende-Verschlüsselung der WhatsApp-Inhalte (Inhalts-, nicht Metadaten-Ebene),
— Zugriffsbeschränkung auf die Coaching-Akten (Need-to-know),
— Zwei-Faktor-Authentifizierung für alle internen Zugänge,
— verschlüsselte Backups und dokumentiertes Rotations-Konzept,
— dokumentiertes Lösch-Konzept entsprechend § 8,
— Verfahren zur Meldung von Datenpannen nach Art. 33 und Art. 34 DSGVO innerhalb von 72 Stunden.

§ 13 Änderung dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich die Verarbeitung ändert oder neue rechtliche Vorgaben dies erfordern. Für die jeweilige Verarbeitung gilt die zum Zeitpunkt der Verarbeitung veröffentlichte Fassung.

§ 14 Stand

Stand dieser Datenschutzerklärung: 2026-06-08. Version 2.0.

SHE-Optimized
ImpressumDatenschutzAGBStartseite

© 2026 SHE-OPTIMIZED.