Datenschutzerklärung

Eine Nutzung der Internetseiten der Kerstin Kragh Coaching ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.

Die Verarbeitung personenbezogener Daten – beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer – erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Mittels dieser Datenschutzerklärung möchten wir die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren sowie über die Ihnen zustehenden Rechte aufklären.

Wir haben als Verantwortliche zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es Ihnen frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Kerstin Kragh Coaching, Inhaberin Kerstin Kragh
Fasangartenstraße 1b, 81737 München, Deutschland
Telefon: +49 177 642 666 9
E-Mail: hallo@kerstin-kragh.de

2. Begriffsbestimmungen

Die Datenschutzerklärung beruht auf den Begrifflichkeiten der DSGVO. Sie soll sowohl für die Öffentlichkeit als auch für unsere Kund:innen und Geschäftspartner:innen einfach lesbar und verständlich sein. Im Folgenden erläutern wir die wichtigsten Begriffe:

• Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten – vom Erheben bis zur Löschung.
• Profiling ist die automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte (z. B. Vorlieben, Verhalten).
• Pseudonymisierung ist die Verarbeitung in einer Weise, die eine Zuordnung zu einer Person ohne zusätzliche Informationen ausschließt.
• Verantwortlicher ist die natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet.
• Auftragsverarbeiter ist die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Einwilligung ist jede freiwillig, informiert und unmissverständlich abgegebene Willensbekundung der Verarbeitung zuzustimmen.

3. Erfassung allgemeiner Server-Daten und Logfiles

Bei jedem Aufruf unserer Internetseite erfasst unser Hosting-System automatisch eine Reihe technischer Informationen in Server-Logfiles: Browsertyp und -version, Betriebssystem, Referrer-URL, aufgerufene Unterseiten, Datum/Uhrzeit des Zugriffs, IP-Adresse (gekürzt oder vollständig je nach Konfiguration), sowie der genutzte Internet-Service-Provider.

Wir ziehen aus diesen Daten keine Rückschlüsse auf Ihre Person. Die Verarbeitung dient ausschließlich (1) der korrekten Auslieferung der Inhalte, (2) der Sicherstellung der dauerhaften Funktionsfähigkeit, (3) der Optimierung unseres Onlineangebots sowie (4) der IT-Sicherheit (z. B. Erkennung von Angriffen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb). Logfiles werden nach spätestens 30 Tagen gelöscht oder anonymisiert.

4. Cookies und vergleichbare Technologien (TDDDG § 25)

Diese Internetseite setzt grundsätzlich nur technisch notwendige Cookies und ähnliche Speichermechanismen (z. B. LocalStorage) ein, die für den Betrieb der Seite und für eingeloggte Mitgliederbereiche unbedingt erforderlich sind. Diese werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung gesetzt.

Sollten wir darüber hinaus nicht-notwendige Cookies oder Skripte einbinden (z. B. für eingebettete Drittinhalte oder Marketing-Tools), holen wir vor deren Aktivierung Ihre ausdrückliche Einwilligung über unser Consent-Management-Tool ein. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

5. Kontaktaufnahme per E-Mail oder Kontaktformular

Bei Kontaktaufnahme per E-Mail oder über ein Kontaktformular werden die übermittelten personenbezogenen Daten (insbesondere Name, E-Mail, Anliegen) ausschließlich zur Bearbeitung Ihrer Anfrage gespeichert. Eine Weitergabe an Dritte erfolgt nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an einer effizienten Bearbeitung). Daten werden gelöscht, sobald sie für den Verarbeitungszweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Mitgliederbereich und Kundenkonto

Für den Zugriff auf gekaufte Online-Programme, Coaching-Pakete oder digitale Produkte ist die Anlage eines persönlichen Nutzerkontos erforderlich. Bei Buchung wird das Konto ggf. automatisch erstellt; Zugangsdaten erhalten Sie per E-Mail. Wir speichern Name, E-Mail-Adresse, Buchungs- und veranstaltungsbezogene Daten (z. B. Lernfortschritt, abgeschlossene Lektionen, Quiz-Ergebnisse, Zertifikate, Termin-Status). Außerdem protokollieren wir aus Sicherheitsgründen die IP-Adresse, Datum und Uhrzeit der Registrierung.

Diese Verarbeitung ist erforderlich, um Ihnen den Zugriff auf Ihre gekauften Inhalte zu ermöglichen und Ihren persönlichen Lernstatus zu speichern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Diese Daten werden in unserer eigenen Datenbank (siehe Abschnitt „Hosting") gespeichert und nicht an Dritte weitergegeben, soweit dies nicht für die Vertragserfüllung notwendig ist.

Sie können die bei der Registrierung angegebenen Daten jederzeit selbst aktualisieren oder Ihr Konto vollständig löschen lassen (siehe Abschnitt „Ihre Rechte").

7. Quiz „Reveal Dynamics" und automatisierte Profilerstellung

Auf unserer Website bieten wir ein kostenloses Quiz an, das Ihre Antworten zu Führungssituationen analysiert und Ihnen ein dominantes Führungsmuster („Pattern") zuordnet (z. B. Kontext-Architekt, Struktur-Lotse, Weichzeichner). Diese Mustererkennung ist eine automatisierte Verarbeitung im Sinne des Art. 22 DSGVO; sie hat jedoch keine rechtliche Wirkung und keine vergleichbare erhebliche Beeinträchtigung für Sie zur Folge. Es findet keine Bonitätsprüfung, Preisdifferenzierung oder Vertragsentscheidung statt.

Verarbeitete Daten: die von Ihnen angegebene E-Mail-Adresse, optional Vor- und Nachname, Ihre 9 Quiz-Antworten, das berechnete Top-Pattern, die Punktverteilung sowie ggf. UTM-Parameter zur Reichweitenmessung. Aus Nachweisgründen speichern wir zusätzlich Datum und IP-Adresse Ihrer Einwilligung („ipAtConsent"); diese wird nach 12 Monaten automatisch gelöscht.

Zwecke: (1) Berechnung und Anzeige Ihres Quiz-Ergebnisses, (2) – sofern Sie zustimmen – Versand des Newsletters mit auf Ihr Pattern abgestimmten Inhalten, (3) Lead-Scoring zur Verbesserung unserer Inhalte. Eine Profilerstellung über diese Zwecke hinaus findet nicht statt.

Rechtsgrundlage: Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie können der Speicherung jederzeit widersprechen und die Löschung Ihrer Daten verlangen (siehe Abschnitt „Ihre Rechte").

7a. Detailprofil-OrderBump (kostenpflichtiges Diagnose-Upgrade)

Käufer:innen unseres Stufe-1-Produkts „Reveal Dynamics Basic" können optional das Detailprofil (29 € regulär / 19 € Evergreen) erwerben. Das Detailprofil ist ein Diagnose-Upgrade auf Coaching-Ebene und besteht aus einem Selbsteinschätzungs-Fragebogen mit 24 Likert-Items + 3 Kontextfragen ohne Freitext-Felder. Es macht keine Aussagen zu psychischer Gesundheit, Krankheit oder medizinisch-psychologischer Diagnose.

Verarbeitete Daten: die 24 Antworten + 3 Kontextantworten, berechnete Score-Mittelwerte je Dynamik (Kontext-Architekt, Struktur-Lotse, Weichzeichner), das ermittelte Hauptprofil und Nebenprofil sowie ein Mischprofil-Marker (wenn die Differenz zwischen den beiden höchsten Werten kleiner als 0,3 ist). Daraus erzeugen wir ein 5-seitiges PDF mit einem standardisierten, statisch-zugewiesenen Profiltext-Mapping (kein KI- oder LLM-Einsatz, kein automatisches Lernen).

Zwecke: (1) Erbringung der vertraglich geschuldeten Diagnose-Leistung, (2) Bereitstellung des PDF-Profils, (3) Re-Test-Möglichkeit nach 90 Tagen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die personalisierte Profilauswertung, abgegeben durch aktiven Start des Fragebogens).

Speicherdauer: Antworten und Ergebnis-Versionen werden 24 Monate nach Ihrer letzten Aktivität anonymisiert (technisches Aggregat bleibt für Statistik-Zwecke ohne Personenbezug). Pro Account werden höchstens die fünf jüngsten Ergebnis-Versionen vollständig gehalten; ältere Versionen werden anonymisiert. Wenn Sie den Fragebogen begonnen, aber nicht abgeschlossen haben, werden Ihre bisherigen Antworten spätestens nach 30 Tagen gelöscht.

Empfänger: ausschließlich unsere eigene Datenbank (Hetzner, DE) und – nach Inbetriebnahme des PDF-Caches – das CDN Bunny.net (EU); keine Übermittlung an Dritte zu Werbezwecken oder Profilerstellung.

Profiling Art. 22: Es findet eine automatisierte Berechnung statt, jedoch keine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung.

Eine vollständige Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist intern dokumentiert. Bei Fragen wenden Sie sich an hallo@kerstin-kragh.de.

7b. Stufe-3 Pattern Operating System – War Room und Person-Profil-Memory

Käufer:innen unseres Stufe-3-Produkts (690 €) erhalten Zugang zum „War Room" – einem Reflexions- und Vorbereitungs-Werkzeug für anstehende oder zurückliegende Führungsgespräche. Im Rahmen dieses Werkzeugs speichern Sie auch personenbezogene Daten Dritter(Stakeholder, Teammitglieder, Vorgesetzte, Kolleg:innen Ihres Führungsumfelds): Klarname, Rolle, eine von Ihnen vermutete Verhaltens-Hypothese und Notizen darüber, welche kommunikativen Anker bei dieser Person bisher getragen haben.

Rechtsgrundlage für die Verarbeitung Dritter-Daten: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die zugehörige Interessensabwägung ist in unserer internen DSFA dokumentiert; sie wird nur durch die unten genannten Schutzmaßnahmen getragen.

Schutzmaßnahmen für Dritte: (1) strikte Zweckbindung ausschließlich für Ihre Coaching-Reflexion, (2) keine Aggregation oder Marketing-Verwendung, (3) kein KI-/LLM-Training, (4) Pseudonym-Empfehlung im UI vor jedem Eintrag, (5) Audit-Log bei jedem administrativen Lesezugriff (in Vorbereitung), (6) Anonymisierung von Klarname und Rolle 24 Monate nach Ihrer letzten War-Room-Aktivität pro Person.

Auskunfts- und Löschanfragen Dritter: Personen, die in Ihrem Account erfasst wurden, können sich an widerspruch@kerstin-kragh.de wenden. Wir prüfen jede Anfrage manuell innerhalb der gesetzlichen Monatsfrist nach Art. 12 Abs. 3 DSGVO und kommen Auskunfts-, Berichtigungs- und Löschpflichten gemäß Art. 15-17 DSGVO nach.

Hinweis an Sie als Klient:in: Sie tragen mit der Eingabe Mitverantwortung dafür, dass Sie keine Daten Dritter erfassen, die gegen Ihre eigenen Vertraulichkeits-, Schweigepflicht- oder Arbeitsrechtspflichten verstoßen. Wir empfehlen, statt Klarnamen Pseudonyme oder Initialen zu verwenden, wann immer das möglich ist.

Speicherdauer: War-Room-Sitzungen 24 Monate ab Erstellung, Person-Profile 24 Monate ab letzter Sitzung mit dieser Person. Danach Anonymisierung der Inhalts- und PII-Felder.

8. Newsletter und E-Mail-Versand (eigenes Email-System auf Mailjet, Double-Opt-In)

Wenn Sie sich für unseren Newsletter anmelden, nutzen wir die hierfür angegebenen Daten (E-Mail-Adresse und ggf. Name) sowie das aus dem Quiz ermittelte Pattern, um Ihnen Informationen zu unseren Angeboten zuzusenden. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach der Anmeldung erhalten Sie eine E-Mail mit einem Bestätigungslink. Erst nach Klick auf diesen Link wird Ihre E-Mail-Adresse in den Newsletter-Verteiler aufgenommen. Wir protokollieren Anmelde- und Bestätigungszeitpunkt, die IP-Adresse zum Zeitpunkt der Bestätigung sowie den Wortlaut der eingewilligten Einwilligungserklärung (Versions-Snapshot), um den Anmeldeprozess gemäß rechtlichen Anforderungen nachweisen zu können.

Eigene Verarbeitung der Inhalte und Sequenzen: Inhalte, Empfängerlisten, Sequenz-Logik, Frequenz-Begrenzung und Bestandskunden-Werbungs-Regeln (UWG § 7 Abs. 3) verarbeiten wir auf unseren eigenen Servern bei der Hetzner Online GmbH (siehe Abschnitt 14). Es kommt kein externes CRM- oder Marketing-Automation-System zum Einsatz.

Versand-Dienstleister: Den technischen Versand (SMTP-Auslieferung, Bounce- und Open-/Click-Tracking) wickeln wir über die Mailjet-Plattform der Sinch Email SAS, 13–13 bis Rue de l'Aubrac, 75012 Paris, Frankreich („Mailjet") ab. Mailjet verarbeitet Ihre Daten ausschließlich auf Servern in der Europäischen Union. Wir haben mit Mailjet einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen (siehe Abschnitt 21. Übersicht aller Auftragsverarbeiter).

Mailjet wertet aus Performance- und Zustellungs-Gründen technische Daten der versendeten E-Mails aus (z. B. Bounces, Spam-Klassifikation, Öffnungs- und Klickraten). Sie können Ihre Einwilligung zum Newsletter-Versand jederzeit per One-Click-Link am Ende jeder E-Mail (RFC 8058 List-Unsubscribe) oder per E-Mail an hallo@kerstin-kragh.de widerrufen.

Weitere Informationen zum Datenschutz bei Mailjet: mailjet.de/datenschutz.

9. Online-Terminbuchung (Cal.com – Eigenbetrieb)

Für Buchungen von Erst-/Bedarfsgesprächen und Coaching-Sessions setzen wir die Open-Source-Software Cal.com ein, die wir auf eigener Infrastruktur in Deutschland selbst betreiben (Domain cal.kerstin-kragh.de, Betrieb auf Hetzner-Servern in der EU – siehe Abschnitt 14). Es findet keine Übermittlung von Buchungsdaten an die Cal.com Inc. (USA) oder andere Drittparteien statt.

Bei einer Buchung verarbeiten wir die von Ihnen eingegebenen Daten (insbesondere Name, E-Mail, gewähltes Zeitfenster, ggf. Anliegen) sowie technische Metadaten (Buchungs-ID, Status) ausschließlich in unserer eigenen Datenbank, um die Terminverwaltung sicherzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Die Online-Sessions selbst finden in der Regel über Zoom oder Microsoft Teams statt. Beim Beitritt zur Videokonferenz werden Ihre Anmeldedaten (z. B. Name, E-Mail, IP-Adresse, Geräteinformationen) durch den jeweiligen Anbieter verarbeitet. Hinweise finden Sie in den Datenschutzerklärungen von Zoom bzw. Microsoft Teams.

10. Zahlungsabwicklung über Stripe

Auf unserer Website bieten wir die Bezahlung via Kreditkarte (MasterCard, Visa, American Express), SEPA-Lastschrift und weitere von Stripe unterstützte Methoden an. Anbieter dieses Zahlungsdienstes ist die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe").

Wenn Sie eine Zahlung über Stripe tätigen, werden Ihre eingegebenen Zahlungsdaten (z. B. Name, Zahlungsbetrag, Kontoverbindung, Kreditkartennummer) direkt an Stripe übermittelt; vollständige Karten- oder Kontodaten verarbeiten wir selbst nicht und speichern sie nicht. Die Übermittlung erfolgt zum Zweck der Zahlungsabwicklung gemäß Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie auf Basis unseres berechtigten Interesses an einer sicheren und effizienten Zahlungsabwicklung (Art. 6 Abs. 1 lit. f DSGVO).

Die Datenverarbeitung kann unter Umständen auch durch die Stripe Inc. in den USA erfolgen. Stripe ist nach dem „EU-US Data Privacy Framework" (DPF) zertifiziert und verpflichtet sich damit zur Einhaltung europäischer Datenschutzstandards. Wir haben mit Stripe einen AVV abgeschlossen. Weitere Informationen: stripe.com/de/privacy.

11. Buchhaltung mit lexoffice

Unsere Buchhaltung und Rechnungsstellung erfolgt über den Dienstleister Haufe-Lexware GmbH & Co. KG, Munzinger Straße 31, 79111 Freiburg („lexoffice"). Hierzu leiten wir Ihre Rechnungsdaten (Name, Anschrift, Rechnungsbetrag, Kaufdatum, ggf. USt-ID) an lexoffice weiter. Die Weitergabe erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten gemäß AO und HGB) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Büroorganisation). Wir haben mit lexoffice einen AVV abgeschlossen. lexoffice verarbeitet Ihre Daten ausschließlich auf Servern in Deutschland. Weitere Informationen: lexoffice.de/datenschutz.

12. Video-Auslieferung über Bunny.net Stream & CDN

Zur Auslieferung unserer Webseite und insbesondere von Videoinhalten unserer Online-Programme nutzen wir das Content Delivery Network und den Streaming-Dienst der BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien („Bunny"). Beim Abruf von Inhalten werden Anfragen über die Bunny-Server geleitet; dabei werden technische Daten (insbesondere IP-Adresse, Browser-Informationen, Zeitstempel, abgerufene Datei) verarbeitet, um den Inhalt sicher und schnell auszuliefern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung). Da Bunny seinen Sitz in der EU hat, findet keine Übermittlung in unsichere Drittstaaten statt. Wir haben mit Bunny einen AVV abgeschlossen. Weitere Informationen: bunny.net/privacy.

13. Reichweitenmessung mit Plausible Analytics

Wir nutzen die cookielose Webanalyse-Lösung Plausible Analytics der Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Plausible verarbeitet ausschließlich aggregierte und anonymisierte Daten (Seitenaufrufe, Referrer, Browser/OS-Klassen, ungefähres Land), setzt keine Cookies und verwendet keine persistenten Identifier. Eine Wiedererkennung einzelner Besucher:innen findet nicht statt. Die Server stehen in der EU.

Obwohl Plausible aufgrund der cookiefreien Funktionsweise und vollständigen Anonymisierung nach herrschender Meinung auch ohne Einwilligung nach § 25 TDDDG eingesetzt werden könnte, laden wir das Plausible-Skript erst nach Ihrer ausdrücklichen Einwilligung über das Consent-Banner. Solange Sie nicht zustimmen, wird kein Skript geladen und keine Verbindung zu Plausible aufgebaut. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Weitere Informationen zur Datenverarbeitung durch Plausible: plausible.io/data-policy.

13a. Meta Pixel und Conversions API (Facebook/Instagram-Tracking)

Wenn Sie im Consent-Banner die Kategorie „Marketing (Meta)" aktivieren, setzen wir das Meta Pixel und die Meta Conversions API (CAPI) der Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland ein. Anbieter außerhalb des EWR ist die Meta Platforms Inc., 1 Hacker Way, Menlo Park, CA 94025, USA. Ohne Ihre Einwilligung wird das Pixel-Skript nicht geladen und es werden keine Daten an Meta übermittelt.

Verarbeitungszweck: Messung der Wirksamkeit unserer Anzeigen auf Facebook/Instagram, Aufbau pseudonymer Custom- und Lookalike-Audiences sowie Optimierung zukünftiger Kampagnen.

Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen, Referrer, aufgerufene Seiten, ausgeführte Ereignisse (z. B. Quiz abgeschlossen, Checkout gestartet, Kauf), die Meta-Browser-Cookies _fbp und _fbc sowie — ausschließlich bei bewusster Handlung (z. B. Checkout) — Ihre mit SHA-256 gehashte E-Mail-Adresse. Die E-Mail-Adresse wird niemals im Klartext an Meta übertragen.

Server-seitige Übermittlung (CAPI): Zusätzlich zum browserbasierten Pixel senden wir ausgewählte Ereignisse (z. B. Lead, Purchase) direkt von unserem Server an Meta. Ziel ist eine verlässlichere Messung trotz Adblockern, Tracking- Schutz oder Cookie-Verlust. CAPI-Events werden ebenfalls nur nach Ihrer Einwilligung gesendet und über eine identische event_id serverseitig mit dem Pixel-Event dedupliziert, damit Meta nicht doppelt zählt.

Rechtsgrundlage: Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

Drittlandstransfer: Meta verarbeitet Daten auch in den USA. Die Meta Platforms Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; zusätzlich haben wir mit Meta die Standardvertragsklauseln der EU-Kommission abgeschlossen. Die Verarbeitung durch Meta erfolgt im Rahmen einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO); die Vereinbarung ist abrufbar unter facebook.com/legal/controller_addendum. Weitere Informationen zum Datenschutz bei Meta: facebook.com/privacy/policy.

Speicherdauer: Pixel-Cookies (_fbp, _fbc) werden nach 90 Tagen vom Browser gelöscht. Die bei Meta gespeicherten Ereignisdaten unterliegen den Meta-eigenen Aufbewahrungsfristen.

13b. Microsoft Advertising UET (Bing/Microsoft Ads)

Wenn Sie im Consent-Banner die Kategorie „Marketing (Microsoft Advertising)" aktivieren, setzen wir das Microsoft Universal Event Tracking (UET) der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland ein. Anbieter außerhalb des EWR ist die Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA. Ohne Ihre Einwilligung wird das UET-Skript nicht geladen und es werden keine Daten an Microsoft übermittelt.

Verarbeitungszweck: Messung der Wirksamkeit unserer Anzeigen auf Microsoft Advertising (Bing, Microsoft-Suchnetzwerk, LinkedIn-Bid-Layer), conversion-basierte Optimierung der Kampagnen sowie pseudonymes Audience-Building für Re-Targeting.

Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen, Referrer, aufgerufene Seiten, ausgeführte Ereignisse (z. B. Bedarfsanalyse- Formular abgesendet, Erstgespräch gebucht) sowie der Microsoft-Klick-Identifikator msclkid. Dieser wird beim Klick auf eine Microsoft-Anzeige automatisch an den Aufruf unserer Webseite angehängt und für die Dauer von 90 Tagen lokal in Ihrem Browser (localStorage) gespeichert, um Ihre Anfrage später dem ursprünglichen Anzeigenklick zuordnen zu können (Conversion-Match).

Server-seitige Übermittlung (UET CAPI): Zusätzlich zum browser­ basierten UET-Tag senden wir bei abgeschlossenen Conversion-Ereignissen (z. B. bestätigte Termin­buchung) das Ereignis direkt von unserem Server an Microsoft — analog zur Meta-Conversions-API. Auch diese serverseitigen Übermittlungen erfolgen nur nach Ihrer Einwilligung und werden über eine identische Ereignis-ID mit dem Browser-Event dedupliziert.

Rechtsgrundlage: Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen — wir löschen dann den lokal gespeicherten msclkid.

Drittlandstransfer: Microsoft verarbeitet Daten auch in den USA. Die Microsoft Corporation ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; zusätzlich nutzt Microsoft die Standardvertragsklauseln der EU-Kommission. Weitere Informationen zum Datenschutz bei Microsoft Advertising: about.ads.microsoft.com/.../privacy-policy.

Speicherdauer: Der msclkid wird nach 90 Tagen automatisch aus dem Browser-Storage entfernt. Die bei Microsoft gespeicherten Ereignisdaten unterliegen den Microsoft-eigenen Aufbewahrungsfristen.

14. Hosting (Hetzner)

Unsere Webseite wird auf Servern in der Europäischen Union gehostet. Eingesetzt wird:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland – für die Auslieferung der Next.js-Anwendung, die PostgreSQL-Datenbank und alle zugehörigen Dienste. Rechenzentrumsstandort ist Deutschland (Nürnberg / Falkenstein). Orchestrierung über die Open-Source-Software Coolify auf dem Hetzner-Server; es werden keine Daten an dritte Cloud-Anbieter übertragen. AVV abgeschlossen.

Hierbei werden Bestands-, Kontakt-, Inhalts-, Vertrags-, Nutzungs-, Meta- und Kommunikationsdaten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und sicheren Bereitstellung) i. V. m. Art. 28 DSGVO.

15. Eingebettete Inhalte (YouTube, LinkedIn, Instagram)

Auf einzelnen Seiten binden wir ggf. Inhalte von Drittanbietern ein (z. B. YouTube-Videos, LinkedIn- oder Instagram-Posts). Diese Einbindungen werden – soweit es sich nicht um statische Vorschaubilder handelt – erst nach Ihrer ausdrücklichen Einwilligung über unser Consent-Banner aktiviert. Vor Ihrer Einwilligung werden keine Daten an die Drittanbieter übertragen.

Sobald Sie eingebettete Inhalte aktivieren, erhalten die jeweiligen Anbieter insbesondere Ihre IP-Adresse und ggf. Cookies, mit denen Sie wiedererkannt werden können. Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

16. Routinemäßige Löschung und Sperrung

Wir verarbeiten und speichern personenbezogene Daten nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist, oder soweit dies durch den europäischen Gesetzgeber oder einen anderen Gesetzgeber in Vorschriften, denen wir unterliegen, vorgesehen ist. Entfällt der Speicherungszweck oder läuft eine gesetzliche Speicherfrist ab (z. B. 10 Jahre für Rechnungen gemäß § 257 HGB, 6 Jahre für Geschäftsbriefe), werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Konkrete Aufbewahrungs- bzw. Löschfristen:

• Quiz-Lead ohne Newsletter-Bestätigung: Löschung nach 30 Tagen
• Quiz-Lead mit Newsletter-Bestätigung: bis Widerruf der Einwilligung
• IP-Adresse zur Einwilligungs-Dokumentation: 12 Monate
• Server-Logfiles: 30 Tage
• Webhook-Roh-Payloads (Stripe, Cal.com-Webhooks intern, Mailjet): 90 Tage
• E-Mail-Versand-Events (Bounces, Öffnungen, Klicks): 24 Monate
• Belege für Bestandskunden-Werbung (UWG § 7 Abs. 3): 3 Jahre nach letzter Verwendung
• Kund:innen-Konten ohne Aktivität: nach 24 Monaten Anschreiben + Löschung
• Rechnungen / Buchhaltungsdaten: 10 Jahre (§ 257 HGB, § 147 AO)

17. Ihre Rechte als betroffene Person

Ihnen stehen nach DSGVO insbesondere folgende Rechte zu, die Sie jederzeit unentgeltlich uns gegenüber geltend machen können (Kontakt: siehe Abschnitt 1):

• Auskunftsrecht (Art. 15 DSGVO) – über die zu Ihrer Person gespeicherten Daten, Verarbeitungszwecke, Empfänger, geplante Speicherdauer, Datenherkunft, Bestehen automatisierter Entscheidungsfindung einschließlich Profiling.
• Recht auf Berichtigung (Art. 16 DSGVO) – unverzügliche Berichtigung unrichtiger Daten.
• Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO) – sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie erhalten Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON).
• Widerspruchsrecht (Art. 21 DSGVO), insbesondere gegen Verarbeitung zur Direktwerbung, einschließlich Profiling, soweit es mit Direktwerbung zusammenhängt.
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – mit Wirkung für die Zukunft.
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO) – zuständig ist für uns das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

Sie können Ihr Auskunfts- und Löschungsrecht bequem über unser Self-Service-Portal ausüben: /datenschutz/auskunft. Wir bestätigen Ihre Identität per E-Mail-Bestätigungslink und stellen Ihnen die Daten als JSON-Export bereit bzw. löschen Ihre Daten kaskadierend in unserer eigenen Datenbank, in der Versandhistorie bei Mailjet (siehe Abschnitt 8) sowie – soweit möglich – beim Zahlungsdienstleister Stripe.

18. Rechtsgrundlagen der Verarbeitung im Überblick

Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung mit Einwilligung (z. B. Newsletter, Profiling-Quiz, Reichweitenmessung mit Plausible, Meta-Pixel).
Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung bzw. vorvertragliche Maßnahmen (z. B. Buchungen, Käufe, Mitgliederbereich).
Art. 6 Abs. 1 lit. c DSGVO: gesetzliche Verpflichtung (z. B. steuerliche Aufbewahrungspflichten).
Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse (z. B. IT-Sicherheit, sichere Hosting-Bereitstellung).

19. Bestehen einer automatisierten Entscheidungsfindung

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung (Art. 22 DSGVO) findet nicht statt. Profiling im Sinne einer automatisierten Auswertung erfolgt ausschließlich im Rahmen unseres Quiz „Reveal Dynamics" (vgl. Abschnitt 7) – dort ausschließlich auf Basis Ihrer Einwilligung und ohne rechtliche oder wirtschaftliche Folgen für Sie.

20. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Hierzu gehören insbesondere TLS-Verschlüsselung sämtlicher Datenübertragungen (HTTPS), strikte Zugriffsrechte auf die Datenbank, signierte Webhooks (HMAC-SHA256), 2-Faktor-Authentifizierung für den Admin-Bereich sowie regelmäßige Sicherheits-Updates. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

21. Übersicht aller Auftragsverarbeiter (DPA / AVV)

Mit den nachfolgenden Auftragsverarbeitern (Art. 28 DSGVO) sind Verträge gemäß DSGVO-Art. 28 abgeschlossen oder befinden sich im Abschluss. Verarbeitete Datenkategorien sind in den jeweiligen vorstehenden Abschnitten dieser Datenschutzerklärung beschrieben:

• Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung; siehe §11.
• Sinch Email SAS (Frankreich, „Mailjet") — E-Mail-Versand (Transactional + Newsletter); siehe §13.
• Plausible Insights OÜ (Estland) — Cookie-loses Web-Analytics; siehe §14.
• Hetzner Online GmbH (Deutschland) — Hosting der Web- und Datenbankserver inkl. Backups; siehe §17.
• Cloudflare, Inc. (USA) — DNS-Auflösung mit Standardvertragsklauseln (Art. 46 DSGVO); siehe §17.
• BunnyWay d.o.o. (Slowenien) — Auslieferung statischer Assets und Video-Streaming (Bunny CDN/Stream); siehe §17.
• haufe-lexware GmbH & Co. KG (Deutschland, „lexoffice") — Rechnungs- und Buchhaltungsdaten; siehe §11.
• Mistral AI SAS (Frankreich) — Verarbeitung von Support-Chat-Eingaben durch unseren Assistenten; siehe §16.

Die jeweils unterzeichneten AVV-Dokumente sowie etwaige Standardvertragsklauseln (SCCs) für Drittland-Übermittlungen stellen wir Ihnen auf Anfrage zur Verfügung — bitte richten Sie Ihre Anfrage an datenschutz@kerstin-kragh.de.

22. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 30.04.2026. Durch die Weiterentwicklung unserer Webseite und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen werden.