Datenschutzhinweise

1. Verantwortlicher

Verantwortlich für die in diesen Datenschutzhinweisen beschriebene Datenverarbeitung ist:

Tobias Grawinkel (nuuminds)
Driesener Straße 8 B
D-10439 Berlin

Diese Hinweise gelten für meine Website, öffentliche Smart Audits, Kontaktaufnahmen sowie den eingeloggten Bereich der nuuminds-Plattform.

2. Rechtsgrundlagen, Zwecke und Speicherdauer

Ich verarbeite personenbezogene Daten nur, wenn dafür eine passende Rechtsgrundlage besteht. Je nach Vorgang stütze ich mich insbesondere auf:

• Art. 6 Abs. 1 lit. b DSGVO für vertragliche oder vorvertragliche Vorgänge, z. B. wenn du ein öffentliches Angebot anforderst, einen Termin buchen möchtest oder Funktionen im eingeloggten Bereich nutzt.
• Art. 6 Abs. 1 lit. a DSGVO für Verarbeitungen, in die du ausdrücklich einwilligst, insbesondere Matomo-Analytics und optionale Marketing-Einwilligungen.
• Art. 6 Abs. 1 lit. f DSGVO für den sicheren und stabilen Betrieb, Missbrauchsabwehr, Support, Dokumentation und die Durchsetzung oder Abwehr rechtlicher Ansprüche.
• § 25 TDDDG für Speicherungen oder Zugriffe auf Informationen in deinem Endgerät, soweit dies einschlägig ist.

Speicherdauer

Soweit in den folgenden Abschnitten keine speziellere Frist genannt wird, speichere ich personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist. Danach lösche ich sie, sofern keine gesetzlichen Aufbewahrungspflichten oder überwiegenden berechtigten Interessen entgegenstehen.

Deine Rechte

Du hast nach Maßgabe der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

• Auskunft über deine gespeicherten personenbezogenen Daten
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten
• Löschung oder Einschränkung der Verarbeitung, soweit die gesetzlichen Voraussetzungen vorliegen
• Datenübertragbarkeit, soweit die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
• Beschwerde bei einer Datenschutzaufsichtsbehörde

Wenn du Fragen zu deinen Rechten oder zu einer konkreten Verarbeitung hast, melde dich bitte unter den oben genannten Kontaktdaten.

3. Website und öffentliche Angebote

Technische Bereitstellung der Website

Beim Aufruf der Website verarbeite ich technisch erforderliche Verbindungs- und Serverdaten, insbesondere IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene URL, Referrer, Browsertyp und Betriebssystem. Diese Verarbeitung ist erforderlich, um die Website auszuliefern, die Sicherheit zu gewährleisten, Fehler zu analysieren und Missbrauch abzuwehren.

Für Hosting und Backend nutze ich Google Firebase. Cloud Functions in diesem Projekt laufen in der Region europe-west3; laut den offiziellen Firebase-Hinweisen können Service-Daten jedoch auf globaler Google-Infrastruktur verarbeitet werden.

Weitere Informationen: Firebase Privacy & Security.

Erforderliche Cookies und Browser-Speicher

Ich nutze nur die Speichertechniken, die für Consent, Darstellung und einzelne UI-Funktionen tatsächlich gebraucht werden. Dazu gehören insbesondere:

• Consent-Speicher: "cookieBannerDisplayed", "essentialCookiesAccepted", "analyticalCookiesAccepted" und "consentId", damit ich deine Cookie-Entscheidung speichern und dokumentieren kann.
• Theme-Einstellung: das Cookie "theme" und "localStorage.theme", damit dein Darstellungsmodus erhalten bleibt.
• Session-Speicher:"sessionStorage" für rein sitzungsbezogene UI-Hilfen, z. B. beim ersten Login oder für Hash-Navigation.

Wenn du im Cookie-Banner eine Auswahl triffst, dokumentiere ich diese serverseitig mit einer Consent-ID, den gewählten Kategorien, Zeitstempel und der aufgerufenen Seite. Consent-Cookies werden derzeit für 60 Tage gesetzt, das Theme-Cookie für bis zu ein Jahr. localStorage bleibt gespeichert, bis du die Einstellung änderst oder löschst; sessionStorage endet mit der Browsersitzung. Serverseitige Consent-Protokolle werden bis zu 365 Tage gespeichert.

Rechtsgrundlage sind § 25 Abs. 2 TDDDG für die erforderlichen Speicherungen auf deinem Endgerät sowie Art. 6 Abs. 1 lit. f DSGVO für die serverseitige Dokumentation deiner Auswahl.

Reichweitenmessung mit Matomo

Ich nutze Matomo für die Reichweitenmessung nur dann, wenn du im Cookie-Banner ausdrücklich in Analyse einwilligst. Die Matomo-Instanz ist selbst gehostet; für die Infrastruktur der Instanz nutze ich ALL-INKL.COM.

Matomo ist so konfiguriert, dass keine Tracking-Cookies gesetzt werden. Trotzdem handelt es sich nicht um vollständig anonyme, sondern nur um datensparsam gestaltete Reichweitenmessung. Rechtsgrundlage ist daher deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

Weitere Informationen: BfDI Informationen zu Matomo und ALL-INKL.COM.

Kontakt und Kommunikation

Wenn du mich per Formular, E-Mail oder Telefon kontaktierst, verarbeite ich die von dir übermittelten Angaben, insbesondere Name, Unternehmen, E-Mail-Adresse, Telefonnummer, Betreff und Nachricht, um dein Anliegen zu bearbeiten und gegebenenfalls nachzufassen.

Für Nachrichten, die über Website-Funktionen versendet werden, nutze ich Resend als E-Mail-Dienstleister. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit deine Anfrage auf eine Leistung, ein Angebot oder einen Vertrag zielt, ansonsten Art. 6 Abs. 1 lit. f DSGVO.

Kommunikationsdaten speichere ich, solange dies für die Bearbeitung erforderlich ist und solange gesetzliche Aufbewahrungspflichten bestehen. Weitere Informationen: Resend Privacy Policy.

Kostenlose Smart Audits

Bei öffentlichen Smart Audits wie dem KI-Readiness-Check verarbeite ich die von dir eingegebenen Antworten sowie die Angaben aus dem Ergebnisformular. Dazu gehören insbesondere:

• Antworten auf die Audit-Fragen sowie daraus abgeleitete Scores und Stufen
• Name, Unternehmen und geschäftliche E-Mail-Adresse
• Status deiner Bestätigung im letzten Schritt sowie eine ggf. optionale Marketing-Einwilligung
• pseudonymisierte technische Daten zur Missbrauchsabwehr, insbesondere IP-basierte Rate-Limit-Informationen

Nach dem Absenden erhältst du einen individuellen Ergebnis-Link per E-Mail. Der Link ist 90 Tage gültig. Die zugrunde liegenden Lead-Magnet-Daten sind auf eine automatische Löschung nach 365 Tagen konfiguriert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit du das Audit als von dir angeforderte Leistung nutzt, sowie Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsabwehr und technische Qualitätssicherung. Eine optionale Marketing-Einwilligung stützt sich auf Art. 6 Abs. 1 lit. a DSGVO.

Externe Terminbuchung

Wenn du einen Buchungslink anklickst, wirst du auf eine externe Terminbuchungsseite von Google Calendar weitergeleitet. Vor dem Klick wird keine Verbindung zu Google Calendar aufgebaut.

Wenn du aus einem Smart-Audit-Ergebnis heraus buchst, übergebe ich zusätzlich die Parameter `stage`, `score` und eine gekürzte Ergebnis-ID (`auditId`), damit ich das Gespräch vorbereiten kann. Diese Angaben sind nicht anonym, sondern nur pseudonymisiert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Für die weitere Verarbeitung auf der Google-Seite gilt die Datenschutzerklärung von Google. Aktueller Buchungslink: https://calendar.app.google/MEgSwfVFgHjmgJD1A.

4. Plattform und Kundenzugänge

B2B-Zugänge und Kontodaten

Der eingeloggte Bereich richtet sich an Nutzerinnen und Nutzer von Kundenunternehmen. Die für die Anlage und Verwaltung eines Zugangs erforderlichen Stammdaten erhalte ich typischerweise von deinem Unternehmen oder einer autorisierten Ansprechperson.

• Name, geschäftliche E-Mail-Adresse und Unternehmenszuordnung
• Rolle, Zugriffsrechte und freigeschaltete Module
• Nutzungs-, Lern- oder Teilnahmeinformationen innerhalb der gebuchten Leistungen
• optionale Profildaten und hochgeladene Medien wie Avatar oder Firmenlogo

Je nach Vertragskonstellation beruht diese Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO. Wenn dein Zugang durch dein Unternehmen bereitgestellt wird, kann dein Unternehmen für Teile der damit verbundenen Verarbeitung eigene ergänzende Informationen bereitstellen.

Kontodaten speichere ich grundsätzlich für die Dauer des Zugangs und der zugrunde liegenden Geschäftsbeziehung; gesetzliche Aufbewahrungspflichten bleiben unberührt.

Anmeldung, Sicherheit und Missbrauchsabwehr

Die Anmeldung erfolgt per Einmalcode (OTP), der an die geschäftliche E-Mail-Adresse gesendet wird. Dafür nutze ich Firebase Authentication und Resend.

Zur Absicherung gegen Missbrauch verarbeite ich pseudonymisierte IP-basierte Rate-Limit-Informationen, technisch notwendige Request-Buckets und sicherheitsrelevante Authentifizierungsprotokolle. Kurzfristige Rate-Limit-Daten werden in der Regel innerhalb einer Stunde automatisch gelöscht. Sicherheitsrelevante Audit-Logs zur Authentifizierung werden bis zu 365 Tage gespeichert.

Nach den offiziellen Firebase-Hinweisen wird Firebase Authentication ausschließlich aus US-Rechenzentren betrieben. Rechtsgrundlage sind Art. 6 Abs. 1 lit. b DSGVO für die Durchführung des Logins sowie Art. 6 Abs. 1 lit. f DSGVO für IT-Sicherheit und Missbrauchsabwehr. Weitere Informationen: Firebase Privacy & Security und Resend Privacy Policy.

Support im eingeloggten Bereich

Im eingeloggten Bereich kannst du Support-Anfragen senden. Dabei verarbeite ich deine Account-Kontaktdaten, die gewählte Kategorie, einen optionalen Bereich, deine Nachricht, gegebenenfalls Schweregrad oder Wichtigkeit, die aktuelle Seite sowie einen reduzierten Gerätehinweis (Browser / Betriebssystem), um dein Anliegen zu beantworten und technische Probleme nachzuvollziehen.

Support-Anfragen werden per E-Mail über Resend an meine Support-Adresse zugestellt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Support-Nachrichten speichere ich, solange dies zur Bearbeitung, Dokumentation oder Erfüllung gesetzlicher bzw. vertraglicher Pflichten erforderlich ist.

Medien, Dateien und Videowiedergabe

Für Dateien, Bilder und Videos nutze ich Bunny.net. Beim Abruf von Medien verarbeitet Bunny insbesondere Verbindungsdaten wie IP-Adresse, Zeitpunkt und technische Geräte- oder Browserinformationen; bei Uploads werden außerdem die von dir übermittelten Dateien verarbeitet.

Bunny arbeitet als Medien- und CDN-Anbieter mit globaler Infrastruktur und Unterauftragsverarbeitern. Deshalb kann eine Verarbeitung auch außerhalb der EU bzw. des EWR stattfinden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: Bunny.net Privacy Policy und Bunny.net Subprocessors.

5. Empfänger und internationale Datenübermittlungen

Je nach Vorgang setze ich externe Dienstleister und Plattformen ein. Empfänger können insbesondere sein:

• Google Firebase: für Hosting, Firestore, Cloud Functions und Authentication. Laut den offiziellen Firebase-Hinweisen können Service-Daten auf globaler Google-Infrastruktur verarbeitet werden; Firebase Authentication wird ausschließlich aus US-Rechenzentren betrieben. Weitere Informationen: Firebase Privacy & Security und Firebase Data Processing Terms.
• Resend: für OTP-Codes, Ergebnis-E-Mails sowie Kontakt- und Support-Nachrichten. Dabei werden mindestens E-Mail-Adresse, technische Versand-Metadaten und Nachrichteninhalte verarbeitet. Weitere Informationen: Resend Privacy Policy und Resend DPA.
• Bunny.net: für Medien- und Videoauslieferung. Je nach Abrufpfad kann eine Verarbeitung über globale CDN-Strukturen und Unterauftragsverarbeiter erfolgen. Weitere Informationen: Bunny.net Privacy Policy und Bunny.net Subprocessors.
• ALL-INKL.COM: als Infrastruktur-Anbieter für die selbst gehostete Matomo-Instanz. Weitere Informationen: All-Inkl Datenschutzinformationen.
• Google Calendar: nur dann, wenn du einen externen Buchungslink anklickst. Für die weitere Verarbeitung auf der Google-Seite gilt die Datenschutzerklärung von Google: Google Privacy Policy.

Ich minimiere die übermittelten Daten auf das für den jeweiligen Zweck Erforderliche. Soweit Anbieter globale Infrastruktur oder Drittlandverarbeitungen vorsehen, orientiere ich mich an den von diesen Anbietern bereitgestellten vertraglichen und organisatorischen Datenschutzgarantien.

6. Social Media und externe Profile

Auf dieser Website sind keine eingebetteten Social Plugins oder Like-Buttons aktiv. Es gibt lediglich externe Links zu meinen Profilen bzw. Kontaktwegen bei LinkedIn, Instagram, X und WhatsApp.

Wenn du einen solchen Link anklickst oder eines meiner Profile direkt aufrufst, verarbeitet der jeweilige Anbieter deine Daten in eigener Verantwortung. Ich kann dort lediglich öffentlich sichtbare Interaktionen oder aggregierte Statistiken erhalten.

Rechtsgrundlage für meine Präsenz auf diesen Plattformen ist Art. 6 Abs. 1 lit. f DSGVO. Wenn du nicht möchtest, dass WhatsApp Daten über dich verarbeitet, nutze bitte E-Mail oder Telefon.

• LinkedIn: Datenschutzerklärung
• Instagram: Datenschutzerklärung
• X: Datenschutzerklärung
• WhatsApp: Datenschutzerklärung