Datenschutzerklärung

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Hemkemeier & Awad GbR
Mühlstraße 41
71229 Leonberg
Deutschland

Telefon: 01523 622 77 41
E-Mail: info@mpu-base.de

Ein betrieblicher Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht erfüllt sind.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website mpu-base.de sowie für die Nutzung der dort angebotenen digitalen MPU-Vorbereitungsplattform (Registrierung, Login, Dashboard, Zahlung, optionale Coaching-Vermittlung). Sie ergänzt unsere AGB; in § 8 AGB ist die maximale Speicherdauer Ihrer Plattformdaten geregelt.

3. Welche personenbezogenen Daten wir verarbeiten

3.1 Technische Daten beim Besuch der Website (Hosting / Logfiles)

Beim Aufruf unserer Website erhebt unser Hosting-Anbieter automatisch:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite bzw. angeforderte Ressource
• Browsertyp und -version, Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website). Diese Daten werden in der Regel nach spätestens 30 Tagen gelöscht, sofern keine höhere Aufbewahrung aus Sicherheitsgründen erforderlich ist.

3.2 Registrierung und Login

Für die Nutzung der Plattform erforderlich:

• E-Mail-Adresse und Passwort (Authentifizierung)
• Bei Registrierung optional übermittelte Angaben: Vorname, Nachname, gewählte Führerscheinklassen, MPU-Grund (Alkohol / Drogen / Punkte / Straftaten)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie ggf. Einwilligung bei optionalen Angaben (Art. 6 Abs. 1 lit. a DSGVO).

3.3 Nutzung der Plattform (Dashboard)

Im Rahmen der Plattformnutzung können folgende Daten anfallen und werden von uns verarbeitet:

• Profil: Name, Geburtsdatum, Adresse, Telefon, E-Mail; Führerscheindaten (Klassen, Sperrfrist, Führerscheinstelle, Entzug der Fahrerlaubnis); MPU-Anlass (Alkohol/Drogen/Punkte, Deliktdatum, ggf. BAK); Angaben zu Abstinenz (Beginn, Nachweise, Entzug, Therapie, Suchtberatung)
• Anamnesebogen: freiwillig eingegebene gesundheits- und lebenslaufbezogene Angaben (siehe Abschnitt zu besonderen Kategorien)
• Persönlichkeitscluster-Assessment: Ihre Antworten zur Selbsteinordnung (nur zur Anzeige für Sie, keine Bewertung durch uns)
• Journal-Einträge, Beratungsnotizen, MPU-Planer: von Ihnen eingegebene Texte und Termine
• Fortschrittsdaten: Kursfortschritt (Alkohol/Drogen-Module), Streak, Achievements, tägliche Quiz-Ergebnisse – ausschließlich zur Anzeige und Motivation, keine Lernerfolgskontrolle
• Gutachter-Simulation / Reaktionstests / Sehtest: Ihre Eingaben und Testergebnisse werden lokal in Ihrem Konto gespeichert, wir werten sie nicht aus
• Hochgeladene Dokumente: z. B. Abstinenznachweise, behördliche Bescheide – werden ausschließlich in Ihrem passwortgeschützten Bereich gespeichert und nicht an Dritte weitergegeben (außer Sie erteilen eine ausdrückliche Vollmacht)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); bei sensiblen Daten (Gesundheit, ggf. strafrechtliche Bezüge) Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a, ggf. § 26 Abs. 3 BDSG / Art. 10 DSGVO).

3.4 Zahlung (Stripe)

Die Zahlung erfolgt über Stripe. An Stripe werden übermittelt: E-Mail-Adresse, Ihre Nutzer-ID (zur Zuordnung des Zahlungserfolgs). Die eigentliche Zahlungsabwicklung (Kartendaten etc.) erfolgt direkt bei Stripe; wir speichern keine Kreditkartendaten. Wir speichern lediglich eine Stripe-Kunden-ID in Ihrem Profil, um Zahlungen zuzuordnen.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Stripe ist Auftragsverarbeiter; Stripe kann Daten in den USA verarbeiten (angemessene Garantien gemäß Art. 46 DSGVO).

3.5 Coaching-Vermittlung und Datenweitergabe an Berater (§§ 16, 22 AGB)

Wenn Sie über die Plattform ein 1:1 MPU-Coaching buchen oder einem Berater zugewiesen werden, erhält der Berater Zugriff auf bestimmte Ihrer Plattformdaten (z. B. Name, Kursfortschritt, Testergebnisse). Sie können über die Datenschutz-Einstellungen im Dashboard individuell steuern, welche Datenkategorien Ihr Berater einsehen kann (z. B. Kursfortschritt, Testergebnisse, Anamnesebogen, Journal, Persönlichkeitscluster).

Der Berater verarbeitet Ihre Daten als eigenverantwortliche Stelle im Sinne der DSGVO (Art. 4 Nr. 7) für seine eigene Coaching-Tätigkeit. Der Vertrag kommt zwischen Ihnen und dem Berater zustande; für dessen weitergehende Datenverarbeitung gelten dessen eigene Datenschutzhinweise.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Zugangsbereitstellung; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für optionale Datenkategorien, die Sie im Dashboard freischalten.

3.6 Registrierung und Nutzung als Berater

Bei der Registrierung als MPU-Berater verarbeiten wir: Firmenname, E-Mail-Adresse, Kontakttelefon. Im Rahmen der Berater-Nutzung fallen zusätzlich an:

• Profildaten: Beschreibung, Spezialisierungen, Qualifikationen, Profilbild, Video-Link
• Transaktionsdaten: Provisionsabrechnungen, Umsatzstatistiken, Stripe Connect-Konto-ID
• Kundenverwaltung: Zugewiesene Kunden, Beratungsnotizen, Terminverläufe
• Kalender-Integrationen: OAuth-Tokens für Google Calendar / Microsoft Calendar (verschlüsselt gespeichert, nur zur Terminsynchro)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

3.7 Besondere Kategorien (Art. 9 und Art. 10 DSGVO)

Im Anamnesebogen und ggf. im Profil können Sie Angaben machen, die als Gesundheitsdaten (z. B. Alkohol-/Drogenkonsum, Abstinenz, Therapie) oder als Daten über strafrechtliche Verurteilungen/Ordnungswidrigkeiten (Art. 10 DSGVO) gelten. Diese verarbeiten wir ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO i. V. m. § 26 Abs. 3 BDSG). Ohne diese Einwilligung können Sie die Plattform nutzen; bestimmte Funktionen (z. B. Anamnesebogen) setzen die Angabe voraus.

3.8 Abstinenznachweis-Tracker (optional, mit gesonderter Einwilligung)

Im Dashboard bieten wir Ihnen den optionalen Abstinenznachweis-Tracker an. Damit können Sie einzelne Test-Termine (Urin-, Haar- oder Blutuntersuchungen) zur Vorlage bei der Begutachtungsstelle dokumentieren. Die Nutzung ist freiwillig; ohne Aktivierung des Trackers werden keinerlei zusätzliche Daten verarbeitet.

Welche Daten verarbeiten wir, wenn Sie den Tracker aktivieren?

• Test-Metadaten: Art des Tests (Urin EtG, Urin THC, Urin Multi, Haar EtG, Haar THC, Blut PEth, Sonstiges), Datum der Probennahme, Name des Labors, Angabe ob CTU-akkreditiert, Status (geplant / durchgeführt / Befund vorhanden)
• Optionale Befund-Dateien: Von Ihnen hochgeladene PDF-, JPG- oder PNG-Dateien mit Laborbefunden (max. 5 MB pro Datei)
• Optionale Notizen: Freier Text, den Sie zu jedem einzelnen Test hinterlegen
• Sichtbarkeitseinstellung: Pro Test, ob ein zugewiesener Berater den Eintrag sehen darf

Diese Daten gelten nach Art. 9 Abs. 1 DSGVO als besondere Kategorien personenbezogener Daten (Gesundheitsdaten) und unterliegen einem erhöhten Schutzstandard.

Rechtsgrundlage: Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung holen wir vor der ersten Nutzung des Trackers über einen separaten Bestätigungsdialog ein. Ohne aktive Einwilligung werden keine Daten gespeichert.

Speicherort: Die Test-Metadaten werden in unserer Supabase-Datenbank verarbeitet (Auftragsverarbeiter, Verarbeitung in der EU/EWR). Hochgeladene Befund-Dateien werden im geschützten Supabase-Storage-Bucket „user-docs“ abgelegt und sind nur über authentifizierten Zugriff abrufbar.

Wer hat Zugriff?

• Sie selbst – jederzeit, in vollem Umfang
• Ein Ihnen zugewiesener Berater – nur, wenn Sie die Sichtbarkeit für den jeweiligen Test aktiviert haben (Standardmäßig aktiviert; pro Eintrag deaktivierbar)
• MPU-Base als Verantwortlicher zur technischen Bereitstellung und für Support-Anfragen Ihrerseits

Eine Weitergabe an Dritte – insbesondere an Behörden, Begutachtungsstellen, Versicherungen oder Arbeitgeber – findet nicht statt. Den Export Ihrer Tracker-Daten als ZIP-Archiv (z. B. zur Vorlage bei der Begutachtungsstelle) lösen ausschließlich Sie selbst aus. Wir übermitteln keine Daten an die Begutachtungsstelle.

Speicherdauer: Tracker-Einträge bleiben so lange gespeichert, wie Sie es wünschen, längstens jedoch bis zur Löschung Ihres Kontos oder bis zur Löschung des einzelnen Eintrags durch Sie selbst. Beim Löschen eines Eintrags wird auch eine eventuell hochgeladene Befund-Datei aus dem Storage entfernt. Mit der Löschung Ihres Kontos werden alle Tracker-Daten unwiderruflich gelöscht.

Erinnerungs-E-Mails: Wenn Ihr letzter dokumentierter Test länger als 5 Wochen zurückliegt, erhalten Sie automatisch eine Erinnerungs-E-Mail. Diese können Sie über Ihre Konto-Einstellungen jederzeit deaktivieren.

Widerruf der Einwilligung: Sie können Ihre Einwilligung zur Tracker-Nutzung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. Den Widerruf können Sie durch Löschen aller Einträge im Tracker, durch Löschen Ihres Kontos oder per E-Mail an info@mpu-base.de erklären.

4. Zwecke der Verarbeitung

• Bereitstellung, technische Betreibung und Sicherheit der Website und der Plattform
• Vertragsdurchführung (Zugang, Speicherung Ihrer Eingaben, Zahlungsabwicklung)
• Kommunikation mit Ihnen (Support, E-Mail-Bestätigungen, Nachrichten zwischen Kunde und Berater)
• Erfüllung gesetzlicher Pflichten (z. B. steuerrechtliche Aufbewahrung)
• Vermittlung zwischen Kunden und MPU-Beratern sowie Bereitstellung der vom Kunden freigegebenen Daten an den zugewiesenen Berater
• Provisionsabrechnung und Zahlungsabwicklung über Stripe Connect für Berater
• Berater-Kalenderintegration zur Terminverwaltung (nur bei aktiver Einrichtung durch den Berater)

5. Speicherdauer

Personenbezogene Daten aus der Plattformnutzung (Profil, Anamnesebogen, Journal, Fortschritt, hochgeladene Dokumente etc.) speichern wir gemäß unseren AGB (§ 8) für maximal 24 Monate nach Ende des letzten Vertragsverhältnisses und löschen sie danach, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Von dieser Löschfrist ausgenommen: Aufbewahrungspflichten (z. B. Rechnungen und buchungsrelevante Unterlagen in der Regel 10 Jahre nach Ablauf des Kalenderjahres gemäß § 147 AO; Einwilligungsnachweise bis zum Ablauf von Verjährungsfristen).

Logfiles: in der Regel bis zu 30 Tagen. Sie können Ihr Konto und alle zugehörigen Daten jederzeit vor Ablauf der 24 Monate über die Funktion „Konto löschen“ im Dashboard unwiderruflich löschen lassen.

Berater-Daten: Nach Beendigung des Berater-Vertragsverhältnisses (Kündigung oder Deaktivierung gemäß §§ 24, 25 AGB) werden die Berater-Profildaten und Kundenzuweisungen unverzüglich gelöscht. Transaktions- und Abrechnungsdaten werden für die Dauer der gesetzlichen Aufbewahrungspflichten (in der Regel 10 Jahre gemäß § 147 AO) aufbewahrt und danach gelöscht.

Abstinenznachweis-Tracker (Abschnitt 3.8): Tracker-Einträge bleiben so lange gespeichert, wie Sie es wünschen, längstens jedoch bis zur Löschung Ihres Kontos. Sie können einzelne Einträge jederzeit selbst löschen; mit dem Löschen eines Eintrags wird auch die zugehörige Befund-Datei entfernt.

6. Empfänger und Auftragsverarbeiter

Eine Weitergabe Ihrer Daten erfolgt nur, soweit erforderlich und gesetzlich zulässig:

• Supabase (Auth, Datenbank, Hosting, Speicher für hochgeladene Dokumente): Auftragsverarbeiter im Sinne von Art. 28 DSGVO; Verarbeitung kann in der EU/EWR erfolgen.
• Stripe / Stripe Connect (Zahlungsabwicklung für Kunden und Berater): Auftragsverarbeiter; Verarbeitung kann auch in Drittländern (z. B. USA) erfolgen, mit angemessenen Garantien gemäß Art. 46 DSGVO.
• MPU-Berater (auf der Plattform registrierte Coaches): Bei Zuweisung eines Kunden an einen Berater erhält dieser Zugriff auf die vom Kunden freigegebenen Daten (vgl. Abschnitt 3.5). Der Berater verarbeitet die Daten als eigenverantwortliche Stelle (Art. 4 Nr. 7 DSGVO), nicht als Auftragsverarbeiter des Anbieters.
• Google Ireland Limited (Google Analytics 4, Google Ads, nur bei Einwilligung): statistische Webseitenanalyse und Conversion-Tracking; Verarbeitung kann in den USA erfolgen (EU-US Data Privacy Framework).
• Meta Platforms Ireland Limited (Meta Pixel für Facebook und Instagram, nur bei Einwilligung): Conversion-Tracking, Reichweiten- und Wirkungsmessung von Werbeanzeigen, Bildung von Custom Audiences und Lookalike Audiences. Sitz: 4 Grand Canal Square, Dublin 2, Irland. Verarbeitung kann auch in den USA durch die Meta Platforms, Inc. erfolgen; angemessene Garantien gemäß Art. 46 DSGVO bzw. EU-US Data Privacy Framework werden zugrunde gelegt.
• Google / Microsoft (nur bei Berater-Kalender-Integration): OAuth-Tokens zur Terminsynchro. Es werden keine Kundendaten an Google oder Microsoft übermittelt, sondern ausschließlich Termindaten des Beraters.

Es erfolgt keine Weitergabe an Werbenetzwerke, Datenhändler oder zu Werbezwecken.

7. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO) – Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen; über die Funktion „Konto löschen“ im Dashboard löschen wir Ihr Konto und die zugeordneten Daten.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) – Unter den gesetzlichen Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, dass wir Ihnen Ihre Daten in einem gängigen, maschinenlesbaren Format übermitteln.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – Eine einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Widerspruch (Art. 21 DSGVO) – Sofern wir auf Grundlage von Art. 6 Abs. 1 lit. f verarbeiten, können Sie aus Gründen Ihrer besonderen Situation Widerspruch einlegen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@mpu-base.de. Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde für Datenschutz zu beschweren, z. B.:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein (Art. 32 DSGVO), um Ihre Daten gegen unbefugten Zugriff, Verlust und Missbrauch zu schützen, u. a.:

• Verschlüsselte Übertragung (HTTPS/TLS)
• Zugriff auf die Plattform nur nach Authentifizierung (Login)
• Speicherung sensibler Daten in geschützten Datenbanken und Speicherbereichen mit Zugriffsbeschränkung
• Verträge zur Auftragsverarbeitung mit Supabase und Stripe

9. Cookies und Tracking

Wir verwenden nur technisch notwendige Cookies (z. B. Anmeldestatus), die für den Betrieb der Website und der Plattform erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Darüber hinaus setzen wir Google Analytics 4 (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) ein, um die Nutzung unserer Website statistisch auszuwerten und unser Angebot zu verbessern. Google Analytics wird nur geladen, wenn Sie dem über unseren Cookie-Hinweis ausdrücklich zustimmen (Opt-in). Ohne Ihre Einwilligung werden keine Analyse-Cookies gesetzt und keine Daten an Google übermittelt.

Bei Einwilligung werden folgende Daten erhoben: IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Geräte- und Browserinformationen, Herkunft (Referrer). Google kann diese Daten in den USA verarbeiten; es gelten angemessene Garantien gemäß Art. 46 DSGVO (EU-US Data Privacy Framework). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen; beim nächsten Besuch wird der Cookie-Hinweis erneut angezeigt.

9.1 Meta Pixel (Facebook / Instagram)

Wir nutzen den Meta Pixel der Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland; im Folgenden „Meta“), um die Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram zu messen, Conversions zuzuordnen und zielgerichtete Werbung an Personen auszuspielen, die unsere Website bereits besucht haben (Custom Audiences) sowie an Personen mit ähnlichen Interessen (Lookalike Audiences).

Der Meta Pixel wird ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Hinweis geladen. Ohne Ihre Einwilligung wird kein Skript von Meta-Servern abgerufen, kein Cookie gesetzt und keine Daten an Meta übermittelt.

Bei erteilter Einwilligung erhebt der Pixel folgende Daten und übermittelt sie an Meta: IP-Adresse (in der Regel gekürzt), Browser- und Geräteinformationen, Seitenaufrufe, Verweildauer, ausgeführte Aktionen (sogenannte „Standard-Events“, z. B. PageView, CompleteRegistration nach Abschluss einer Registrierung), Pixel-ID sowie eine pseudonyme Nutzerkennung. Sind Sie gleichzeitig bei Facebook oder Instagram angemeldet, kann Meta die Daten Ihrem dortigen Konto zuordnen.

Meta verarbeitet die Daten als eigenverantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO. Mit Meta besteht eine Vereinbarung über gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO (siehe Controller Addendum). Eine Übermittlung in die USA durch die Meta Platforms, Inc. kann nicht ausgeschlossen werden; angemessene Garantien werden über das EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 DSGVO sichergestellt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG).

Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookies in Ihrem Browser löschen oder Ihre Werbeeinstellungen direkt bei Meta anpassen (facebook.com/settings?tab=ads). Weitere Informationen finden Sie in der Datenschutzerklärung von Meta.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen (z. B. bei Änderungen der Rechtslage oder des Angebots). Die jeweils aktuelle Version finden Sie auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie, soweit erforderlich, gesondert informieren.