Datenschutzerklärung

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Hemkemeier & Awad GbR
Mühlstraße 41
71229 Leonberg
Deutschland

Telefon: 0155 66316855
E-Mail: info@mpu-base.de

Ein betrieblicher Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht erfüllt sind.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website mpu-base.de sowie für die Nutzung der dort angebotenen digitalen MPU-Vorbereitungsplattform (Registrierung, Login, Dashboard, Zahlung, optionale Coaching-Vermittlung). Sie ergänzt unsere AGB; in § 8 AGB ist die maximale Speicherdauer Ihrer Plattformdaten geregelt.

3. Welche personenbezogenen Daten wir verarbeiten

3.1 Technische Daten beim Besuch der Website (Hosting / Logfiles)

Beim Aufruf unserer Website erhebt unser Hosting-Anbieter automatisch:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite bzw. angeforderte Ressource
• Browsertyp und -version, Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website). Diese Daten werden in der Regel nach spätestens 30 Tagen gelöscht, sofern keine höhere Aufbewahrung aus Sicherheitsgründen erforderlich ist.

3.2 Registrierung und Login

Für die Nutzung der Plattform erforderlich:

• E-Mail-Adresse und Passwort (Authentifizierung)
• Bei Registrierung optional übermittelte Angaben: Vorname, Nachname, gewählte Führerscheinklassen, MPU-Grund (Alkohol / Drogen / Punkte / Straftaten)
• Altersbestätigung: Sie bestätigen bei der Registrierung per Checkbox, mindestens 16 Jahre alt zu sein (Art. 8 DSGVO). Der Zeitpunkt dieser Bestätigung wird gespeichert.
• Einwilligungs-Nachweis (Art. 7 Abs. 1 DSGVO): Zum Zeitpunkt der Registrierung speichern wir folgende Beweisdaten, um Ihre Einwilligung später nachweisen zu können:
  • Zeitstempel (Datum und Uhrzeit) der Einwilligung
  • IP-Adresse zum Zeitpunkt der Einwilligung
  • User-Agent (Browser-/Geräte-Kennung)
  • Exakter Wortlaut der Einwilligungs-Checkbox(en), die Sie angenommen haben — getrennt für Datenschutz-Einwilligung und optionale Marketing-Einwilligung

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie ggf. Einwilligung bei optionalen Angaben (Art. 6 Abs. 1 lit. a DSGVO). Die Speicherung der Einwilligungs-Nachweise erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO (rechtliche Verpflichtung zum Nachweis der Einwilligung).

Widerruf der Einwilligung: Sie können Ihre Marketing-Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — entweder über den Abmelde-Link in jeder Marketing-Mail oder zentral über den Toggle „Marketing-E-Mails" in Ihren Konto-Einstellungen (Art. 7 Abs. 3 DSGVO: Der Widerruf ist so einfach wie die Erteilung).

3.3 Nutzung der Plattform (Dashboard)

Im Rahmen der Plattformnutzung können folgende Daten anfallen und werden von uns verarbeitet:

• Profil: Name, Geburtsdatum, Adresse, Telefon, E-Mail; Führerscheindaten (Klassen, Sperrfrist, Führerscheinstelle, Entzug der Fahrerlaubnis); MPU-Anlass (Alkohol/Drogen/Punkte, Deliktdatum, ggf. BAK); Angaben zu Abstinenz (Beginn, Nachweise, Entzug, Therapie, Suchtberatung)
• Anamnesebogen: freiwillig eingegebene gesundheits- und lebenslaufbezogene Angaben (siehe Abschnitt zu besonderen Kategorien)
• Persönlichkeits-Profil-Assessment: Ihre Antworten zur Selbsteinordnung (nur zur Anzeige für Sie, keine Bewertung durch uns)
• Journal-Einträge, Beratungsnotizen, MPU-Planer: von Ihnen eingegebene Texte und Termine
• Fortschrittsdaten: Kursfortschritt (Alkohol/Drogen-Module), Streak, Achievements, tägliche Quiz-Ergebnisse – ausschließlich zur Anzeige und Motivation, keine Lernerfolgskontrolle
• Gutachter-Simulation / Reaktionstests / Sehtest: Ihre Eingaben und Testergebnisse werden lokal in Ihrem Konto gespeichert, wir werten sie nicht aus
• Keine Datei-Uploads: Wir nehmen bewusst keine Uploads von Dokumenten (z. B. Abstinenznachweisen, Führerschein-Bescheiden, Gerichtsurteilen oder Laborbefunden) entgegen, um die Verarbeitung besonders sensibler Daten zu minimieren (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Solche Dokumente bewahren Sie bitte im Original bei sich auf.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); bei sensiblen Daten (Gesundheit, ggf. strafrechtliche Bezüge) Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a, ggf. § 26 Abs. 3 BDSG / Art. 10 DSGVO).

3.4 Zahlung (Stripe)

Die Zahlung erfolgt über Stripe. An Stripe werden übermittelt: E-Mail-Adresse, Ihre Nutzer-ID (zur Zuordnung des Zahlungserfolgs). Die eigentliche Zahlungsabwicklung (Kartendaten etc.) erfolgt direkt bei Stripe; wir speichern keine Kreditkartendaten. Wir speichern lediglich eine Stripe-Kunden-ID in Ihrem Profil, um Zahlungen zuzuordnen.

Einmalzahlung Premium: Beim Premium-Einmalkauf (12 Monate Vollzugriff) erfolgt eine einmalige Zahlung über Stripe. Es gibt keine wiederkehrenden Abbuchungen und keine automatische Verlängerung. Wir speichern dazu Ihre Stripe-Kunden-ID, das Kaufdatum und das Ablaufdatum Ihres Premium-Zugangs (12 Monate). Rechnungs- und Zahlungsdaten bewahren wir entsprechend der gesetzlichen Aufbewahrungspflichten (insbesondere § 147 AO: in der Regel 10 Jahre nach Ablauf des Kalenderjahres) auf.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); für die langfristige Aufbewahrung von Rechnungsdaten: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB). Stripe ist Auftragsverarbeiter (AVV unterzeichnet); Stripe Payments Europe Ltd. sitzt in Irland, die Muttergesellschaft Stripe, Inc. in den USA. Drittlandtransfers erfolgen auf Grundlage des EU-US Data Privacy Framework (Zertifizierung von Stripe, Inc.) sowie der Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

3.5 Coaching-Vermittlung und Datenweitergabe an Berater (§§ 16, 22 AGB)

Wenn Sie über die Plattform ein 1:1 MPU-Coaching buchen oder einem Berater zugewiesen werden, erhält der Berater Zugriff auf bestimmte Ihrer Plattformdaten. Sie können über die Datenschutz-Einstellungen im Dashboard jederzeit individuell steuern, welche Datenkategorien Ihr Berater einsehen kann.

Privacy-by-Default (Art. 25 DSGVO): Standardmäßig sind für einen Ihnen zugewiesenen Berater nur Daten freigegeben, die zur Beratungsleistung zwingend nötig sind — nämlich Kursfortschritt und Testergebnisse. Die sensibleren Datenkategorien Anamnesebogen (Gesundheitsdaten nach Art. 9 DSGVO), Persönlichkeits-Profil und Journal sind standardmäßig NICHT freigegeben — Sie müssen diese aktiv in den Datenschutz-Einstellungen Ihres Kontos freischalten, falls gewünscht.

Der Berater verarbeitet Ihre Daten als eigenverantwortliche Stelle im Sinne der DSGVO (Art. 4 Nr. 7) für seine eigene Coaching-Tätigkeit. Der Vertrag kommt zwischen Ihnen und dem Berater zustande; für dessen weitergehende Datenverarbeitung gelten dessen eigene Datenschutzhinweise. Ein Datenschutz-Addendum zwischen mpu-base und dem Berater regelt die technische Abgrenzung; der Berater ist selbst für die Einhaltung seiner Datenschutzpflichten verantwortlich.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Zugangsbereitstellung; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für optionale Datenkategorien, die Sie im Dashboard freischalten; bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO.

3.6 Registrierung und Nutzung als Berater

Bei der Registrierung als MPU-Berater verarbeiten wir: Firmenname, E-Mail-Adresse, Kontakttelefon. Im Rahmen der Berater-Nutzung fallen zusätzlich an:

• Profildaten: Beschreibung, Spezialisierungen, Qualifikationen, Profilbild, Video-Link
• Transaktionsdaten: Provisionsabrechnungen, Umsatzstatistiken, Stripe Connect-Konto-ID
• Kundenverwaltung: Zugewiesene Kunden, Beratungsnotizen, Terminverläufe
• Kalender-Integrationen: OAuth-Tokens für Google Calendar / Microsoft Calendar (verschlüsselt gespeichert, nur zur Terminsynchro)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

3.7 Besondere Kategorien (Art. 9 und Art. 10 DSGVO)

Beim Ausfüllen des Anamnesebogens, beim Beantworten von Fragen in der Gutachter-Simulation, dem Fragenkatalog, Probegesprächen, der Generalprobe, dem Abstinenz-Tracker oder im Journal können Sie Angaben machen, die als Gesundheitsdaten (z. B. Alkohol-/Drogenkonsum, Abstinenz, Therapie) oder als Daten über strafrechtliche Verurteilungen/Ordnungswidrigkeiten (Art. 10 DSGVO) gelten. Diese verarbeiten wir ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO i. V. m. § 26 Abs. 3 BDSG).

Reine Konsum-Funktionen benötigen keine Einwilligung: Das Lesen der Kurs-Kapitel, das Absolvieren der Reaktions- und Sehtests, das Tägliche Quiz (Multiple-Choice), der MPU-Planer und der Kostenrechner sind ohne Art. 9 DSGVO-Einwilligung nutzbar, da Sie dort keine sensiblen Gesundheitsangaben eingeben.

Einwilligungs-Erteilung und Nachweis: Vor der ersten Nutzung einer der Eingabe-Funktionen, in der Gesundheitsdaten verarbeitet werden können, zeigen wir Ihnen einen separaten Einwilligungs-Dialog mit einer ausdrücklichen Opt-In-Checkbox. Erst nach Ihrem aktiven Setzen dieses Häkchens werden diese Funktionen freigeschaltet. Die Einwilligung gilt plattformweit für alle genannten Funktionen — Sie müssen sie also nur einmal erteilen. Wir speichern zur Beweisführung:

• Zeitstempel der Einwilligung
• IP-Adresse zum Zeitpunkt der Einwilligung
• Exakter Wortlaut der Checkbox, die Sie angenommen haben
• Version des Einwilligungs-Textes (zur Versionierung bei späteren Textänderungen)

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Einträge über das Dashboard löschen oder Ihr gesamtes Konto löschen. Der Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht.

3.8 Abstinenznachweis-Tracker (optional, mit gesonderter Einwilligung)

Im Dashboard bieten wir Ihnen den optionalen Abstinenznachweis-Tracker an. Damit können Sie einzelne Test-Termine (Urin-, Haar- oder Blutuntersuchungen) zur Vorlage bei der Begutachtungsstelle dokumentieren. Die Nutzung ist freiwillig; ohne Aktivierung des Trackers werden keinerlei zusätzliche Daten verarbeitet.

Welche Daten verarbeiten wir, wenn Sie den Tracker aktivieren?

• Test-Metadaten: Art des Tests (Urin EtG, Urin THC, Urin Multi, Haar EtG, Haar THC, Blut PEth, Sonstiges), Datum der Probennahme, Name des Labors, Angabe ob CTU-akkreditiert, Status (geplant / durchgeführt / Befund vorhanden)
• Keine Befund-Uploads: Befund-Dateien (PDF, Bilder) nehmen wir bewusst nicht entgegen. Die Originalbefunde bleiben bei Ihnen; wir erfassen lediglich, ob ein Befund vorliegt (Statusfeld).
• Optionale Notizen: Freier Text, den Sie zu jedem einzelnen Test hinterlegen
• Sichtbarkeitseinstellung: Pro Test, ob ein zugewiesener Berater den Eintrag sehen darf

Diese Daten gelten nach Art. 9 Abs. 1 DSGVO als besondere Kategorien personenbezogener Daten (Gesundheitsdaten) und unterliegen einem erhöhten Schutzstandard.

Rechtsgrundlage: Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung holen wir vor der ersten Nutzung des Trackers über einen separaten Bestätigungsdialog ein. Ohne aktive Einwilligung werden keine Daten gespeichert.

Speicherort: Die Test-Metadaten werden in unserer Supabase-Datenbank verarbeitet (Auftragsverarbeiter, Verarbeitung in der EU/EWR).

Wer hat Zugriff?

• Sie selbst – jederzeit, in vollem Umfang
• Ein Ihnen zugewiesener Berater – nur, wenn Sie die Sichtbarkeit für den jeweiligen Test aktiv freigegeben haben. Die Freigabe ist standardmäßig deaktiviert (Privacy-by-Default gemäß Art. 25 DSGVO, da es sich um Gesundheitsdaten handelt); Sie müssen sie pro Eintrag bewusst setzen.
• MPU-Base als Verantwortlicher zur technischen Bereitstellung und für Support-Anfragen Ihrerseits

Eine Weitergabe an Dritte – insbesondere an Behörden, Begutachtungsstellen, Versicherungen oder Arbeitgeber – findet nicht statt. Den Export Ihrer Tracker-Daten als ZIP-Archiv (z. B. zur Vorlage bei der Begutachtungsstelle) lösen ausschließlich Sie selbst aus. Wir übermitteln keine Daten an die Begutachtungsstelle.

Speicherdauer: Tracker-Einträge bleiben so lange gespeichert, wie Sie es wünschen, längstens jedoch bis zur Löschung Ihres Kontos oder bis zur Löschung des einzelnen Eintrags durch Sie selbst. Mit der Löschung Ihres Kontos werden alle Tracker-Daten unwiderruflich gelöscht.

Erinnerungs-E-Mails: Wenn Ihr letzter dokumentierter Test länger als 5 Wochen zurückliegt, erhalten Sie automatisch eine Erinnerungs-E-Mail. Diese können Sie über Ihre Konto-Einstellungen jederzeit deaktivieren.

Widerruf der Einwilligung: Sie können Ihre Einwilligung zur Tracker-Nutzung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. Den Widerruf können Sie durch Löschen aller Einträge im Tracker, durch Löschen Ihres Kontos oder per E-Mail an info@mpu-base.de erklären.

3.9 Kostenlose 14 Tage MPU-Vorbereitung (per E-Mail)

Auf unserer Website können Sie sich für eine kostenlose 14 Tage MPU-Vorbereitung per E-Mail anmelden. Die Leistung umfasst (a) ein persönliches Willkommens-Kit als PDF, zugeschnitten auf Ihren MPU-Anlass, sowie (b) eine anschließende E-Mail-Sequenz über 14 Tage mit Gutachter-Tipps, Übungsfragen und Reflexionsimpulsen. Dazu erheben wir folgende Daten:

• Vorname
• E-Mail-Adresse
• MPU-Anlass (Alkohol, Drogen, Punkte oder Straftaten)
• IP-Adresse, User-Agent und Zeitstempel bei Absenden des Formulars (zum Nachweis Ihrer Einwilligung gemäß Art. 7 Abs. 1 DSGVO)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die E-Mail-Zustellung ist Kernbestandteil der angebotenen Leistung („E-Mail-Kurs“); eine Teilnahme ohne E-Mail-Kommunikation ist nicht möglich. Ein Kopplungsverbot nach Art. 7 Abs. 4 DSGVO liegt daher nicht vor. Sie erteilen Ihre Einwilligung durch Absenden des Formulars, Bestätigung der Consent-Checkbox und anschließenden Klick auf den Bestätigungslink in der Double-Opt-In-Mail.

Verarbeitung (Double-Opt-In-Verfahren): Nach Absenden des Formulars speichern wir Ihre Daten zunächst als unbestätigten Eintrag in unserer Supabase-Datenbank (Tabelle „kit_leads“) und senden Ihnen per E-Mail (über Resend, Inc.) einen Bestätigungslink. Dieser Link ist 48 Stunden gültig. Erst nach Ihrem Klick auf den Bestätigungslink (a) markieren wir Ihren Eintrag als bestätigt, (b) senden Ihnen eine separate E-Mail mit dem zeitlich begrenzten Download-Link zum Willkommens-Kit (7 Tage gültig) und (c) übermitteln Ihre Daten an Brevo (Sendinblue) GmbH, um Ihnen die 14-Tage E-Mail-Sequenz mit Vorbereitungstipps zuzustellen (vgl. Abschnitt 6). Ohne Bestätigung findet keine weitere Verarbeitung statt und unbestätigte Einträge werden regelmäßig gelöscht.

Speicherdauer: Unbestätigte Einträge werden spätestens 30 Tage nach Anforderung automatisch gelöscht. Bestätigte Daten werden maximal 24 Monate nach der Bestätigung aufbewahrt, sofern Sie nicht vorher die Löschung verlangen. Sie können sich jederzeit über den Abmelde-Link in jeder E-Mail vom Kurs abmelden; wir stellen dann den Versand weiterer E-Mails sofort ein.

4. Zwecke der Verarbeitung

• Bereitstellung, technische Betreibung und Sicherheit der Website und der Plattform
• Vertragsdurchführung (Zugang, Speicherung Ihrer Eingaben, Zahlungsabwicklung)
• Kommunikation mit Ihnen (Support, E-Mail-Bestätigungen, Nachrichten zwischen Kunde und Berater)
• Erfüllung gesetzlicher Pflichten (z. B. steuerrechtliche Aufbewahrung)
• Vermittlung zwischen Kunden und MPU-Beratern sowie Bereitstellung der vom Kunden freigegebenen Daten an den zugewiesenen Berater
• Provisionsabrechnung und Zahlungsabwicklung über Stripe Connect für Berater
• Berater-Kalenderintegration zur Terminverwaltung (nur bei aktiver Einrichtung durch den Berater)

5. Speicherdauer

Personenbezogene Daten aus der Plattformnutzung (Profil, Anamnesebogen, Journal, Fortschritt, hochgeladene Dokumente etc.) speichern wir gemäß unseren AGB (§ 8) für maximal 24 Monate nach Ende des letzten Vertragsverhältnisses und löschen sie danach, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Von dieser Löschfrist ausgenommen: Aufbewahrungspflichten (z. B. Rechnungen und buchungsrelevante Unterlagen in der Regel 10 Jahre nach Ablauf des Kalenderjahres gemäß § 147 AO; Einwilligungsnachweise bis zum Ablauf von Verjährungsfristen).

Logfiles: in der Regel bis zu 30 Tagen. Sie können Ihr Konto und alle zugehörigen Daten jederzeit vor Ablauf der 24 Monate über die Funktion „Konto löschen“ im Dashboard unwiderruflich löschen lassen.

Vollständige Löschung bei Konto-Löschung (Art. 17 DSGVO): Wenn Sie Ihr Konto löschen, werden folgende Datenbestände unwiderruflich entfernt:

• Alle Plattformdaten (Profil, Anamnesebogen, Journal, Persönlichkeits-Profil, Kursfortschritt, Quiz-Ergebnisse, Karteikarten-Status, Tests, Planer, Einwilligungs-Nachweise)
• Etwaige Alt-Dokumente im Storage, die vor der Abschaltung der Upload-Funktion hochgeladen wurden (Neue Uploads sind nicht mehr möglich)
• Ihr Kontakt-Datensatz bei unserem Newsletter-Dienstleister Brevo (Auftragsverarbeiter) — damit ist sichergestellt, dass Sie auch nach der Konto-Löschung keine weiteren Marketing-E-Mails erhalten
• Kit-Lead-Einträge, die mit Ihrer E-Mail-Adresse verknüpft sind

Nicht gelöscht werden Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (insbesondere Rechnungen und buchungsrelevante Unterlagen für 10 Jahre gemäß § 147 AO) sowie Einwilligungs-Nachweise bis zum Ablauf von Verjährungsfristen (Beweissicherung gemäß Art. 7 Abs. 1 DSGVO).

Daten bei externen Auftragsverarbeitern: Daten, die bereits an Drittanbieter übermittelt wurden (z. B. bereits versendete E-Mails bei Resend, bereits übertragene Pixel/CAPI-Events an Meta/Google), können von uns nach Versand nicht mehr nachträglich widerrufen werden — wohl aber der künftige Versand.

Berater-Daten: Nach Beendigung des Berater-Vertragsverhältnisses (Kündigung oder Deaktivierung gemäß §§ 24, 25 AGB) werden die Berater-Profildaten und Kundenzuweisungen unverzüglich gelöscht. Transaktions- und Abrechnungsdaten werden für die Dauer der gesetzlichen Aufbewahrungspflichten (in der Regel 10 Jahre gemäß § 147 AO) aufbewahrt und danach gelöscht.

Abstinenznachweis-Tracker (Abschnitt 3.8): Tracker-Einträge bleiben so lange gespeichert, wie Sie es wünschen, längstens jedoch bis zur Löschung Ihres Kontos. Sie können einzelne Einträge jederzeit selbst löschen.

6. Empfänger und Auftragsverarbeiter

Eine Weitergabe Ihrer Daten erfolgt nur, soweit erforderlich und gesetzlich zulässig:

• Supabase Inc. (Auth, Datenbank, Hosting, Speicher für hochgeladene Dokumente): Auftragsverarbeiter im Sinne von Art. 28 DSGVO (AVV unterzeichnet). Die Datenverarbeitung unserer Instanz erfolgt in der EU-Region (Frankfurt/Deutschland). Die Supabase Inc. hat ihren Sitz in den USA; für eventuelle Supportzugriffe gelten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Stripe / Stripe Connect (Zahlungsabwicklung für Kunden und Berater): Auftragsverarbeiter; Stripe Payments Europe Ltd. in Irland; Drittlandtransfers zur Stripe, Inc. (USA) auf Grundlage des EU-US Data Privacy Framework sowie Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• MPU-Berater (auf der Plattform registrierte Coaches): Bei Zuweisung eines Kunden an einen Berater erhält dieser Zugriff auf die vom Kunden freigegebenen Daten (vgl. Abschnitt 3.5). Der Berater verarbeitet die Daten als eigenverantwortliche Stelle (Art. 4 Nr. 7 DSGVO), nicht als Auftragsverarbeiter des Anbieters.
• Google Ireland Limited (Google Analytics 4, Google Ads, nur bei Einwilligung): statistische Webseitenanalyse und Conversion-Tracking; Verarbeitung kann in den USA erfolgen (EU-US Data Privacy Framework).
• Meta Platforms Ireland Limited (Meta Pixel für Facebook und Instagram, nur bei Einwilligung): Conversion-Tracking, Reichweiten- und Wirkungsmessung von Werbeanzeigen, Bildung von Custom Audiences und Lookalike Audiences. Sitz: 4 Grand Canal Square, Dublin 2, Irland. Verarbeitung kann auch in den USA durch die Meta Platforms, Inc. erfolgen; angemessene Garantien gemäß Art. 46 DSGVO bzw. EU-US Data Privacy Framework werden zugrunde gelegt.
• Microsoft Corporation (Microsoft Clarity Session-Analyse, nur bei Einwilligung): Verbesserung der Benutzerfreundlichkeit durch anonymisierte Heatmaps und Session-Aufzeichnungen. Sensible Formularfelder (E-Mail, Passwörter, Anamnesebogen, Journal) sind serverseitig maskiert. Sitz: One Microsoft Way, Redmond, WA 98052, USA. EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Google / Microsoft (nur bei Berater-Kalender-Integration): OAuth-Tokens zur Terminsynchro. Es werden keine Kundendaten an Google oder Microsoft übermittelt, sondern ausschließlich Termindaten des Beraters.
• Resend, Inc. (transaktionaler E-Mail-Versand): Wir nutzen Resend für den Versand von Kontobestätigungen, Passwort-Zurücksetzungen und — bei erteilter Marketing-Einwilligung — für E-Mail-Sequenzen mit Tipps zur MPU-Vorbereitung. Übermittelt werden: E-Mail-Adresse, Vorname, MPU-Anlass. Sitz: USA; Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b (Vertragsdurchführung) bzw. Art. 6 Abs. 1 lit. a (Einwilligung für Marketing-Mails). Angemessene Garantien gemäß EU-US Data Privacy Framework.
• Brevo (Sendinblue) GmbH (E-Mail-Marketing für Kit-Leads): Wenn Sie unser kostenloses MPU-Vorbereitungskit anfordern und der Datenverarbeitung zustimmen, werden Ihre Daten (E-Mail-Adresse, Vorname, MPU-Anlass) an Brevo übermittelt, um Ihnen das Kit und — bei erteilter Marketing-Einwilligung — eine automatisierte E-Mail-Sequenz mit Vorbereitungstipps zu senden. Sitz: 7 rue de Madrid, 75008 Paris, Frankreich. Auftragsverarbeiter gemäß Art. 28 DSGVO; Verarbeitung innerhalb der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können sich jederzeit über den Abmelde-Link in jeder E-Mail abmelden.

Es erfolgt keine Weitergabe an Werbenetzwerke, Datenhändler oder zu Werbezwecken.

7. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO) – Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen; über die Funktion „Konto löschen“ im Dashboard löschen wir Ihr Konto und die zugeordneten Daten.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) – Unter den gesetzlichen Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, dass wir Ihnen Ihre Daten in einem gängigen, maschinenlesbaren Format übermitteln.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – Eine einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Widerspruch (Art. 21 DSGVO) – Sofern wir auf Grundlage von Art. 6 Abs. 1 lit. f verarbeiten, können Sie aus Gründen Ihrer besonderen Situation Widerspruch einlegen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@mpu-base.de. Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde für Datenschutz zu beschweren, z. B.:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein (Art. 32 DSGVO), um Ihre Daten gegen unbefugten Zugriff, Verlust und Missbrauch zu schützen, u. a.:

• Verschlüsselte Übertragung (HTTPS/TLS)
• Zugriff auf die Plattform nur nach Authentifizierung (Login)
• Speicherung sensibler Daten in geschützten Datenbanken und Speicherbereichen mit Zugriffsbeschränkung
• Verträge zur Auftragsverarbeitung mit Supabase und Stripe

9. Cookies und Tracking

Wir verwenden nur technisch notwendige Cookies (z. B. Anmeldestatus), die für den Betrieb der Website und der Plattform erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Darüber hinaus setzen wir Google Analytics 4 (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) ein, um die Nutzung unserer Website statistisch auszuwerten und unser Angebot zu verbessern. Google Analytics wird nur geladen, wenn Sie dem über unseren Cookie-Hinweis ausdrücklich zustimmen (Opt-in). Ohne Ihre Einwilligung werden keine Analyse-Cookies gesetzt und keine Daten an Google übermittelt.

Bei Einwilligung werden folgende Daten erhoben: IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Geräte- und Browserinformationen, Herkunft (Referrer). Google kann diese Daten in den USA verarbeiten; es gelten angemessene Garantien gemäß Art. 46 DSGVO (EU-US Data Privacy Framework). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen; beim nächsten Besuch wird der Cookie-Hinweis erneut angezeigt.

9.1 Meta Pixel (Facebook / Instagram)

Wir nutzen den Meta Pixel der Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland; im Folgenden „Meta“), um die Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram zu messen, Conversions zuzuordnen und zielgerichtete Werbung an Personen auszuspielen, die unsere Website bereits besucht haben (Custom Audiences) sowie an Personen mit ähnlichen Interessen (Lookalike Audiences).

Der Meta Pixel wird ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Hinweis geladen. Ohne Ihre Einwilligung wird kein Skript von Meta-Servern abgerufen, kein Cookie gesetzt und keine Daten an Meta übermittelt.

Bei erteilter Einwilligung erhebt der Pixel folgende Daten und übermittelt sie an Meta: IP-Adresse (in der Regel gekürzt), Browser- und Geräteinformationen, Seitenaufrufe, Verweildauer, ausgeführte Aktionen (sogenannte „Standard-Events“, z. B. PageView, CompleteRegistration nach Abschluss einer Registrierung), Pixel-ID sowie eine pseudonyme Nutzerkennung. Sind Sie gleichzeitig bei Facebook oder Instagram angemeldet, kann Meta die Daten Ihrem dortigen Konto zuordnen.

Meta verarbeitet die Daten als eigenverantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO. Mit Meta besteht eine Vereinbarung über gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO (siehe Controller Addendum). Eine Übermittlung in die USA durch die Meta Platforms, Inc. kann nicht ausgeschlossen werden; angemessene Garantien werden über das EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 DSGVO sichergestellt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG).

Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookies in Ihrem Browser löschen oder Ihre Werbeeinstellungen direkt bei Meta anpassen (facebook.com/settings?tab=ads). Weitere Informationen finden Sie in der Datenschutzerklärung von Meta.

9.2 Meta Conversions API

Ergänzend zum Meta Pixel nutzen wir die Meta Conversions API (auch „CAPI“). Hierbei werden bestimmte Ereignisse (z. B. die Registrierung auf unserer Plattform oder ein Kaufabschluss) serverseitig an Meta übermittelt — also von unserem Server direkt an die Server von Meta, nicht über den Browser des Nutzers.

Die Conversions API wird ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Hinweis ausgelöst. Wenn Sie dem Cookie-Hinweis nicht zugestimmt haben, werden keine Daten über die Conversions API an Meta gesendet — auch nicht serverseitig.

Technische Umsetzung (Defense-in-Depth): Die Einwilligungs-Prüfung erfolgt zweistufig: (1) Unser Browser-Skript prüft vor jedem Event-Versand Ihre Cookie-Einwilligung aus dem lokalen Speicher des Browsers; (2) Unsere Server-API akzeptiert nur Events, die einen expliziten Einwilligungs-Flag mitsenden — andernfalls wird das Event verworfen und nicht an Meta weitergeleitet. Dadurch ist sichergestellt, dass auch bei technischen Fehlern oder Browser-Manipulationen keine Daten ohne Einwilligung an Meta gelangen.

Bei erteilter Einwilligung werden folgende Daten serverseitig an Meta übermittelt: E-Mail-Adresse (SHA-256-gehasht), IP-Adresse, Browser-Typ (User-Agent), Meta-Cookies (_fbc, _fbp — soweit vorhanden), Art des Ereignisses (z. B. CompleteRegistration, Purchase) sowie ggf. Bestellwert und Währung. Die Datenübermittlung dient der Zuordnung von Conversions zu Werbeanzeigen (Attribution) und der Optimierung von Werbekampagnen.

Die serverseitige Übermittlung erfolgt ergänzend zum Meta Pixel. Identische Ereignisse werden von Meta automatisch über eine gemeinsame Event-ID dedupliziert, sodass keine doppelte Zählung stattfindet.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG). Es gelten dieselben Widerrufs- und Informationsrechte wie unter Abschnitt 9.1 beschrieben.

9.3 Google Ads Conversion Tracking

Wir nutzen Google Ads Conversion Tracking (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland), um zu messen, welche unserer Werbeanzeigen bei Google zu einer Registrierung oder einem Kauf auf unserer Plattform führen. Das Conversion-Tracking wird über Google Analytics 4 (GA4) realisiert und nur aktiviert, wenn Sie dem über unseren Cookie-Hinweis ausdrücklich zugestimmt haben.

Bei erteilter Einwilligung wird bei einer Conversion (z. B. Registrierung) ein Ereignis an Google übermittelt. Google ordnet dieses Ereignis über die Google Click ID (gclid) — einen Parameter, der automatisch an die URL angehängt wird, wenn Sie auf eine Google-Anzeige klicken — der jeweiligen Anzeige zu. Es werden keine personenbezogenen Daten an Google übermittelt, die eine direkte Identifizierung ermöglichen; die Zuordnung erfolgt pseudonym über die Click ID.

Google kann die Daten in den USA verarbeiten; es gelten angemessene Garantien gemäß Art. 46 DSGVO (EU-US Data Privacy Framework, Standardvertragsklauseln). Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG).

Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen oder Ihre Anzeigeneinstellungen bei Google anpassen (adssettings.google.com).

9.4 Microsoft Clarity (Session-Analyse)

Wir nutzen Microsoft Clarity der Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA), um die Benutzerfreundlichkeit unserer Website zu verbessern. Clarity zeichnet aggregierte Interaktions-Muster auf (z. B. Klick-Pfade, Scroll-Verhalten, Zeitdauer auf Seiten, Heatmaps) und erstellt anonymisierte Session-Aufzeichnungen.

Clarity wird ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Hinweis geladen. Ohne Ihre Einwilligung wird kein Skript von Microsoft-Servern abgerufen und keine Daten an Microsoft übermittelt.

Maskierung sensibler Eingaben: Clarity ist bei uns so konfiguriert, dass sensible Formularfelder (E-Mail-Adressen, Passwörter, Freitext-Eingaben im Anamnesebogen, Journal-Einträge) automatisch maskiert werden. In der Session-Aufzeichnung erscheint statt des tatsächlichen Inhalts nur ein Platzhalter. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) wie Gesundheitsdaten gelangen damit nicht zu Microsoft.

Übermittelte Daten (bei Einwilligung): IP-Adresse (in der Regel gekürzt), Browser- und Geräteinformationen, Seitenaufrufe, Klick- und Scroll-Verhalten, eine pseudonyme Nutzerkennung. Keine direkte Identifizierung der Person möglich.

Drittlandtransfer: Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023); Datenübermittlung erfolgt auf dieser Grundlage sowie gemäß Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG).

Widerruf: Sie können Ihre Einwilligung jederzeit über den Cookie-Banner anpassen; bei Widerruf werden keine weiteren Daten an Microsoft übermittelt. Die Datenschutzhinweise von Microsoft Clarity finden Sie unter privacy.microsoft.com.

9.5 UTM-Parameter und Traffic-Attribution

Wenn Sie unsere Website über einen Link mit sogenannten UTM-Parametern besuchen (z. B. aus einer Werbeanzeige oder einem Newsletter), speichern wir diese Parameter temporär in Ihrem Browser (sessionStorage) und bei einer Registrierung dauerhaft in Ihrem Nutzerkonto. UTM-Parameter enthalten Informationen über die Herkunft Ihres Besuchs (z. B. welche Kampagne, welche Anzeigengruppe), jedoch keine personenbezogenen Daten.

Ebenso speichern wir ggf. die Google Click ID (gclid) oder die Meta Click ID (fbclid), sofern diese in der URL vorhanden sind. Diese IDs ermöglichen es uns, den Erfolg unserer Werbemaßnahmen zu messen. Die Speicherung erfolgt in unserer eigenen Datenbank (Supabase) und stellt eine First-Party-Datenverarbeitung dar — es werden keine Daten an Dritte weitergegeben.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse liegt in der Erfolgsmessung und Optimierung unserer Marketingmaßnahmen. Die Speicherung der Click-IDs in unserer eigenen Datenbank stellt keinen Drittlandtransfer dar.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen (z. B. bei Änderungen der Rechtslage oder des Angebots). Die jeweils aktuelle Version finden Sie auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie, soweit erforderlich, gesondert informieren.