DATENSCHUTZHINWEISE

A. Vorwort

Wir, FemXellence UG, (nachfolgend gemeinsam: "das Unternehmen", "wir" oder "uns") nehmen den Schutz Ihrer personenbezogenen Daten ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.

Uns sind im Rahmen unserer datenschutzrechtlichen Verantwortlichkeit durch das Inkrafttreten der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679; nachfolgend: "DS-GVO") zusätzliche Pflichten auferlegt worden, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie als betroffene Person nachfolgend auch mit "Kunde", "Nutzer", "Sie", "Ihnen" oder "Betroffener" an) sicherzustellen.

Soweit wir entweder alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden, umfasst dies vor allem die Pflicht, Sie transparent über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung zu informieren (vgl. Art. 13 und Art. 14 DS-GVO). Mit dieser Erklärung (nachfolgend: "Datenschutzhinweise") informieren wir Sie darüber, in welcher Weise Ihre personenbezogenen Daten von uns verarbeitet werden.

Um die für Sie relevanten Teile finden zu können, beachten Sie bitte den nachfolgenden Überblick zur Untergliederung der Datenschutzhinweise: [Inhaltsverzeichnis mit den einzelnen Überschriften]

B. Allgemeines

1. Begriffsbestimmungen

Nach dem Vorbild des Art. 4 DS-GVO liegen dieser Datenschutzhinweise folgende Begriffsbestimmungen zugrunde:

• "Personenbezogene Daten" (Art. 4 Nr. 1 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).

• "Verarbeiten" (Art. 4 Nr. 2 DS-GVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.

• "Verantwortlicher" (Art. 4 Nr. 7 DS-GVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

• "Dritter" (Art. 4 Nr. 10 DS-GVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen.

• "Auftragsverarbeiter" (Art. 4 Nr. 8 DS-GVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter.

• "Einwilligung" (Art. 4 Nr. 11 DS-GVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

2. Änderung der Datenschutzhinweise

• Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig auf Anpassungs- oder Ergänzungsbedarf hin überprüft. Über Änderungen werden Sie unterrichtet.
• Diese Datenschutzhinweise haben den Stand von März 2023.

3. Keine Verpflichtung zur Bereitstellung personenbezogener Daten

Wir machen den Abschluss von Verträgen mit uns nicht davon abhängig, dass Sie uns zuvor personenbezogene Daten bereitstellen. Für Sie als Kunde besteht grundsätzlich auch keine gesetzliche oder vertragliche Verpflichtung, uns Ihre personenbezogenen Daten zur Verfügung zu stellen; es kann jedoch sein, dass wir bestimmte Angebote nur eingeschränkt oder gar nicht erbringen können, wenn Sie die dafür erforderlichen Daten nicht bereitstellen. Sofern dies im Rahmen der nachfolgend vorgestellten, von uns angebotenen Produkte ausnahmsweise der Fall sein sollte, werden Sie gesondert darauf hingewiesen.

C. Informationen über die Verarbeitung Ihrer Daten

1. Die Erhebung Sie betreffender personenbezogener Daten

• Bei der Nutzung unserer App werden von uns personenbezogene Daten über Sie erhoben.
• Personenbezogene Daten sind alle Daten, die sich auf Ihre Person beziehen (siehe oben unter Allgemeines). Beispielsweise handelt es sich bei Ihrem Namen, Ihrer Standortdaten, Ihre IP-Adresse, die Gerätekennung, die SIM-Kartennummer, Ihrer Adresse sowie E-Mail-Adresse um personenbezogene Daten, Ihr Fingerabdruck, Bilder, Filme, Audioaufnahmen, aber auch Ihr Nutzerverhalten fällt in diese Kategorie.

2. Rechtsgrundlagen der Datenverarbeitung

• Von Gesetzes wegen ist im Grundsatz jede Verarbeitung personenbezogener Daten verboten und nur dann erlaubt, wenn die Datenverarbeitung unter einen der folgenden Rechtfertigungstatbestände fällt:
• 6 Abs. 1 S. 1 lit. a DS-GVO ("Einwilligung"): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden ist;

• 6 Abs. 1 S. 1 lit. b DS-GVO: Wenn die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf die Anfrage des Betroffenen erfolgen;

• 6 Abs. 1 S. 1 lit. c DS-GVO: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z.B. eine gesetzliche Aufbewahrungspflicht);

• 5 Abs. 1 S. 1 lit. d DS-GVO: Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen;

• 6 Abs. 1 S. 1 lit. e DS-GVO: Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder

• 6 Abs. 1 S. 1 lit. f DS-GVO ("Berechtigte Interessen"): Wenn die Verarbeitung zur Wahrung berechtigter (insbesondere rechtlicher oder wirtschaftlicher) Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die gegenläufigen Interessen oder Rechte des Betroffenen überwiegen (insbesondere dann, wenn es sich dabei um einen Minderjährigen handelt).
• Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn sie von einem der folgenden Rechtfertigungstatbeständen gedeckt sind:

• 25 Abs. 1 TTDSG: Wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO zu erfolgen;

• 25 Abs. 2 Nr. 1 TTDSG: Wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

• 25 Abs. 2 Nr. 2 TTDSG: Wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
• Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils die anwendbare Rechtsgrundlage an. Eine Verarbeitung kann auch auf mehreren Rechtsgrundlagen beruhen.

3. Die beim Download erhobenen Daten

• Beim Download dieser App werden bestimmte dafür erforderlichen Daten zu Ihrer Person an den entsprechenden TestFlight Store (z.B. Apple App Store) übermittelt.
• Insbesondere werden beim Herunterladen die E-Mail-Adresse, der Nutzername, die Kundennummer des herunterladenden Accounts, die individuelle Gerätekennziffer, Zahlungsinformationen sowie der Zeitpunkt des Downloads an den App Store übertragen werden.
• Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store. Dementsprechend sind wir für diese Erhebung und Verarbeitung nicht verantwortlich; die Verantwortung dafür liegt allein beim App Store.

4. Bei der Nutzung erhobenen Daten

• Die Vorzüge unserer App können wir ihnen zwangsläufig nur zur Verfügung stellen, wenn bei der Nutzung von uns bestimmte, für den App-Betrieb erforderliche Daten zu Ihrer Person erhoben werden.5
• Wir erheben diese Daten nur, wenn dies für die Erfüllung des Vertrags zwischen Ihnen und uns erforderlich ist (Art. 6 Abs. 1 lit. b DS-GVO). Ferner erheben wir diese Daten, wenn dies für die Funktionsfähigkeit der App erforderlich ist und Ihr Interesse am Schutz Ihrer personenbezogenen Daten nicht überwiegt (Art. 6 Abs. 1 lit. f DS-GVO) oder wenn Sie in die Erhebung und Verarbeitung einwilligen (Art. 6 Abs. 1 lit. a DS-GVO).

• Wir erheben und verarbeiten folgende Daten von Ihnen:
• Geräteinformationen: Zu den Zugriffsdaten gehören die IP-Adresse, Geräte-ID, Geräteart, gerätespezifische Einstellungen und App-Einstellungen sowie App-Eigenschaften, das Datum und die Uhrzeit des Abrufs, Zeitzone die übertragene Datenmenge und die Meldung, ob der Datenaustausch vollständig war, Absturz der App, Browserart und Betriebssystem. Diese Zugriffsdaten werden verarbeitet, um den Betrieb der App technischen zu ermöglichen;

• Daten, die Sie uns zur Verfügung stellen: Für die Nutzung der App ist die Erstellung eines Nutzerkontos erforderlich. Dafür geben Sie mindestens Ihren Anmeldenamen an.

• Informationen mit Ihrer Einwilligung: Sonstige Informationen (z.B. GPS-Standortdaten) verarbeiten wir, wenn Sie uns dies gestatten.

• Kontaktformulardaten: Bei der Nutzung von Kontaktformularen werden die dadurch übermittelten Daten verarbeitet (z.B. Geschlecht, Name und Vorname, Anschrift, Firma, E-Mail-Adresse und der Zeitpunkt der Übermittlung).
• Sofern für die Verarbeitung der Daten die Speicherung von Informationen in Ihrer Endeinrichtung oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erforderlich ist, ist § 25 Abs. 1, 2 TTDSG hierfür die Rechtsgrundlage.

5. Einsatz von Cookies

• Beim Betrieb unserer App nutzen wir Cookies. Bei Cookies handelt es sich um kleine Textdateien, die auf dem Gerätespeicher Ihres mobilen Endgerätes abgelegt und der von Ihnen verwendeten mobilen App zugeordnet gespeichert werden und durch welche der Stelle, die das Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen und daher keine Schäden anrichten. Sie dienen dazu, unsere App insgesamt nutzerfreundlicher und effektiver, also für Sie angenehmer zu machen.
• Cookies können Daten enthalten, die eine Wiedererkennung des genutzten Geräts möglich machen. Teilweise enthalten Cookies aber auch lediglich Informationen zu bestimmten Einstellungen, die nicht personenbeziehbar sind. Cookies können einen Nutzer aber nicht direkt identifizieren.
• Man unterscheidet zwischen Session-Cookies, die wieder gelöscht werden, sobald Sie ihren Browser schließen und permanenten Cookies, die über die einzelne Sitzung hinaus gespeichert werden. Hinsichtlich ihrer Funktion unterscheidet man bei Cookies wiederum zwischen:
• Technical Cookies: Diese sind zwingend erforderlich, um sich innerhalb der App zu bewegen, grundlegende Funktionen zu nutzen und die Sicherheit der App zu gewährleisten; sie sammeln weder Informationen über Sie zu Marketingzwecken noch speichern sie, welche Webseiten Sie besucht haben;

• Performance Cookies: Diese sammeln Informationen darüber, wie Sie unsere App nutzen, welche Seiten Sie besuchen und z.B. ob Fehler bei der Appnutzung auftreten; sie sammeln keine Informationen, die Sie identifizieren könnten – alle gesammelten Informationen sind anonym und werden nur verwendet, um unsere App zu verbessern und herauszufinden, was unsere Nutzer interessiert;

• Advertising Cookies, Targeting Cookies: Diese dienen dazu, dem Appnutzer bedarfsgerechte Werbung innerhalb der App oder Angebote von Dritten anzubieten und die Effektivität dieser Angebote zu messen; Advertising und Targeting Cookies werden maximal 13 Monate lang gespeichert;

• Sharing Cookies: Diese dienen dazu, die Interaktivität unserer App mit anderen Diensten (z.B. sozialen Netzwerken) zu verbessern; Sharing Cookies werden maximal 13 Monate lang gespeichert.
• Rechtsgrundlage für Cookies, die unbedingt erforderlich sind, um Ihnen den ausdrücklich gewünschten Dienst zur Verfügung zu stellen, ist § 25 Abs. 2 Nr. 2 TTDSG.
• Jeder Einsatz von Cookies, der nicht zwingend technisch erforderlich ist, stellt eine Datenverarbeitung dar, die nur mit einer ausdrücklichen und aktiven Einwilligung Ihrerseits gem. § 25 Abs. 1 TTDSG iVm Art. 6 Abs. 1 S. 1 lit. a DS-GVO erlaubt ist. Dies gilt insbesondere für die Verwendung von Performance, Advertising, Targeting oder Sharing Cookies.8 Darüber hinaus geben wir Ihre durch Cookies verarbeiteten personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.

6. Cookie-Richtlinie

• Weitere Informationen darüber, welche Cookies wir verwenden und wie Sie Ihre Cookie-Einstellungen verwalten und bestimmte Arten von Tracking deaktivieren können, finden Sie in unserer Cookie-Richtlinie Cookie

7. Zeitraum der Datenspeicherung

• Wir löschen Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie nach den erhoben oder verwendet haben (siehe C. 4., 5., 6.), nicht mehr erforderlich sind. In der Regel speichern wir Ihre personenbezogenen Daten für die Dauer des Nutzungs- bzw. des Vertragsverhältnisses über die App. Eine Speicherung Ihrer Daten erfolgt grundsätzlich nur auf unseren Servern in Deutschland, vorbehaltlich einer ggf. erfolgenden Weitergabe nach den Regelungen in F. 1., 2. und 3.
• Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen.
• Von uns eingesetzte Dritte (siehe F. 1.) werden Ihre Daten auf deren System so lange speichern, wie es im Zusammenhang mit der Erbringung der Leistung für uns entsprechend dem jeweiligen Auftrag erforderlich ist.
• Rechtliche Vorgaben zur Aufbewahrung und Löschung personenbezogener Daten bleiben von Vorstehendem unberührt (z.B. § 257 HGB oder § 147 AO). Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht.

8. Datensicherheit

• Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Natur, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der bestehenden Risiken einer Datenpanne (inklusive von deren Wahrscheinlichkeit und Auswirkungen) für den Betroffenen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.
• Nähere Informationen hierzu erteilen wir Ihnen auf Anfrage gerne. Wenden Sie sich hierzu bitte an unseren Datenschutzbeauftragten (siehe D. 1.).

9. Keine automatisierte Entscheidungsfindung (einschließlich Profiling)

• Wir haben nicht die Absicht, von Ihnen erhobene personenbezogene Daten für ein Verfahren zur automatisierten Entscheidungsfindung (einschließlich Profiling) zu verwenden.

10. Zweckänderung

• Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben.
• Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.

D. Verantwortlichkeit für Ihre Daten und Kontakte

1. Verantwortlicher und Kontaktdaten

• Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO sind wir

FEMXCELLENCE UG ( Haftungsbeschränkt)

Königsalle 19

40212 Düsseldorf

contact@nanell.de

• Bei allen Fragen und als Ansprechpartner zum Thema Datenschutz bei uns steht Ihnen unser betrieblicher Datenschutzbeauftragter jederzeit zur Verfügung. Seine Kontaktdaten sind:

heyData GmbH
Gormannstr. 14
10119 Berlin
Tel.: +49 (0) 89 41325320
Email: info@heydata.eu

• Wenden Sie sich an diese Kontaktstelle insbesondere, wenn Sie die Ihnen zustehenden Rechte, die unter Kapitel G erläutert werden, uns gegenüber geltend machen wollen.
• Bei weiteren Fragen oder Anmerkungen zur Erhebung und Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich ebenfalls an die vorbenannten Kontakte.

2. Datenerhebung bei der Kontaktaufnahme

• Wenn Sie mit uns per E-Mail oder über ein Kontaktformular mit uns Kontakt aufnehmen, dann werden Ihre E-Mail-Adresse, Ihr Name und alle weiteren personenbezogenen Daten, die Sie im Zuge der Kontaktaufnahme angegeben haben, von uns gespeichert, damit wir mit Ihnen zur Beantwortung der Frage Kontakt aufnehmen können.
• Diese Daten löschen wir, sobald die Speicherung nicht mehr erforderlich ist. Liegen gesetzliche Aufbewahrungsfristen vor, bleiben die Daten zwar gespeichert, aber wir schränken die Verarbeitung ein.

E. Datenverarbeitung durch Dritte

1. Auftragsdatenverarbeitung

• Es kann vorkommen, dass für einzelne Funktionen unserer App auf beauftragte Dienstleister zurückgegriffen wird. Wie bei jedem größeren Unternehmen, setzen auch wir zur Abwicklung unseres Geschäftsverkehrs externe in- und ausländische Dienstleister ein (z.B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden iSv Art. 28 DS-GVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.
• Folgende Kategorien von Empfängern, bei denen es sich im Regelfall um Auftragsverarbeiter handelt, erhalten ggf. Zugriff auf Ihre personenbezogenen Daten:
• Dienstleister für den Betrieb unserer App und die Verarbeitung der durch die Systeme gespeicherten oder übermittelten Daten (z.B. für Rechenzentrumsleistungen, Zahlungsabwicklungen, IT-Sicherheit). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO, soweit es sich nicht um Auftragsverarbeiter handelt;

• Staatliche Stellen/Behörden, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. c DS-GVO;

• Zur Durchführung unseres Geschäftsbetriebs eingesetzte Personen (z.B. Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO.
• Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.
• Sofern personenbezogene Daten von Ihnen durch uns an unsere Tochtergesellschaften weitergegeben werden oder von unseren Tochtergesellschaften an uns weitergegeben werden (z.B. zu werblichen Zwecken), geschieht dies aufgrund von bestehenden Auftragsverarbeitungsverhältnissen.

2. Externer Dienstleister

Amazon Web Services:- Hosting

Wir nutzen für das Hosting der Datenbank- und Webinhalte den Dienst Amazon Web Services („AWS“) der Amazon Web Services, Inc., P.O. Box 81226, Seattle, WA 98108-1226, USA. Die Daten werden ausschließlich in einem deutschen Rechenzentrum (Frankfurt/Main) gespeichert, das nach ISO 27001, 27017 und 2018 sowie PCI DSS Level 1 zertifiziert ist. Selbstverständlich bestehen unsererseits eng begrenzte Zugriffsrechte und die Daten werden automatisch verschlüsselt. AWS hat sich als Unternehmen dem sog. Privacy Shield-Abkommen angeschlossen. Nähere Informationen zu AWS und zum Datenschutz finden Sie unter  https://aws.amazon.com/de/compliance/eu-data-protection/  sowie unter  https://aws.amazon.com/de/privacy/.

‍

Github

Wir betreiben unsere Webseite/App bei GitHub Pages, daher werden diese Daten von GitHub Inc. verwaltet. Welche Daten von GitHub erfasst werden und wofür diese Daten verwendet werden, können Sie im GitHub Privacy Statement nachlesen.

Github Inc.

88 Colin P Kelly Jr St

San Francisco

CA 94107

USA

Bitte beachten Sie zudem die GitHub Privacy Statement - GitHub Docs.

‍

Google Firebase und Firebase Cloud Messaging

Unsere Website/App nutzt Google Firebase (Google LLC,1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, “Google”). Dieser Dienst verarbeitet u.a. auch personenbezogene Daten. Meist handelt es sich hierbei um „Instance IDs“, die mit einem Zeitstempel versehen sind. Diese IDs werde einem bestimmten Nutzer zugeordnet und erlauben die Verknüpfung von unterschiedlichen Geschehnissen oder Abläufen. Diese Daten geben für uns keinen Rückschluss auf den konkreten Nutzer. Eine Personalisierung erfolgt durch uns nicht. Wir verarbeiten diese zusammengefassten Daten zur Analyse und Optimierung des Nutzungsverhaltens, wie beispielsweise durch die Auswertung von Absturzberichten.

Für Firebase Analytics nutzt Google auch die Werbe-ID des Endgerätes. In den Geräteeinstellungen Ihres Mobilgerätes können Sie die Nutzung der Werbe-ID beschränken.

Für Android: Einstellungen > Google > Anzeigen > Werbe-ID zurücksetzen

Für iOS: Einstellungen > Datenschutz > Werbung > Kein Ad-Tracking

Firebase Cloud Messaging dient dazu, Push-Nachrichten oder sogenannte In-App-Messages (Nachrichten die innerhalb der jeweiligen App angezeigt werden) übermitteln zu können. Dabei wird dem Endgerät eine pseudonymisierte Push-Reference zugeteilt, die den Push-Nachrichten bzw. In-App-Messages als Ziel dient. Diese Funktion kann in den Einstellungen des Endgeräts jederzeit deaktiviert und auch wieder aktiviert werden.

Die Datenschutzerklärung können Sie hier einsehen: https://firebase.google.com/support/privacy/.

Wir nutzen nach Möglichkeit Server mit einem Standort innerhalb der EU. Es ist aber nicht auszuschließen, dass Daten auch in die USA übertragen werden. Die Rechtsgrundlage für die Nutzung von Google Firebase und Firebase Cloud Messaging, ist Ihre Einwilligung gemäß Art. 6 I S. 1 a DSGVO.

‍

Amplitude

Wir verwenden Amplitude, um die Nutzung unserer App besser zu verstehen und um neue Funktionen und Produkte für unsere Kunden zu entwickeln. Amplitude, Inc. (“Amplitude”, “wir” oder “uns”) ist eine Cloud-basierte Produktanalyseplattform, die Kunden hilft, bessere Produkte zu entwickeln. Amplitude respektiert die Privatsphäre des Einzelnen und verpflichtet sich, die Informationen der Besucher der Website (Besucher”) und der natürlichen oder juristischen Personen, die sich für die Nutzung der Produkte und Dienstleistungen von Amplitude registrieren (Kunden”), zu schützen. Anbieter ist die Amplitude Inc., 631 Howard St 5th Floor, San Francisco, CA 94105, US.
Indem Sie mit der Website interagieren oder das Produkt nutzen oder Amplitude anderweitig Informationen zur Verfügung stellen, nehmen Sie zur Kenntnis, dass Ihre persönlichen Daten in die Vereinigten Staaten oder ein anderes Land als das Land Ihres Wohnsitzes übertragen werden können, und Sie stimmen einer solchen Übertragung zu. Um zu gewährleisten, dass Ihre personenbezogenen Daten ein angemessenes Schutz- und Sicherheitsniveau erhalten, hat Amplitude angemessene Schutzmaßnahmen für die grenzüberschreitende Übermittlung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen getroffen. Zu diesen Schutzmaßnahmen kann die Verwendung der von der Europäischen Kommission genehmigten Standardvertragsklauseln gehören, um die Übermittlung Ihrer persönlichen Daten an verbundene Unternehmen oder Dienstleister von Amplitude zu schützen, sofern dies gesetzlich vorgeschrieben ist.
Amplitude hält sich an das EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), die britische Erweiterung des EU-U.S. DPF und das Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), wie vom U.S. Department of Commerce dargelegt. Amplitude hat gegenüber dem US-Handelsministerium bestätigt, dass es die EU-U.S. DPF-Prinzipien in Bezug auf die Verarbeitung personenbezogener Daten einhält, die es aus der Europäischen Union unter Berufung auf die EU-U.S. DPF und aus dem Vereinigten Königreich (und Gibraltar) unter Berufung auf die britische Erweiterung der EU-U.S. DPF erhält. Amplitude hat gegenüber dem U.S. Department of Commerce bestätigt, dass es die Swiss-U.S. DPF Principles in Bezug auf die Verarbeitung von personenbezogenen Daten, die es aus der Schweiz unter Berufung auf die Swiss-U.S. DPF erhält, einhält. Bei Widersprüchen zwischen den Bestimmungen dieser Datenschutzrichtlinie und den EU-US-DSGVO und/oder den US-Schweizerischen Datenschutzgrundsätzen (zusammen die “Datenschutzgrundsätze”) sind die Datenschutzgrundsätze maßgeblich. Um mehr über das Data Privacy Framework (“DPF”) Programm zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.
Für die Handlungen von Dritten, die Amplitude mit der Verarbeitung von Daten in unserem Namen beauftragt, bleibt Amplitude gemäß den DPF-Grundsätzen verantwortlich und haftbar, wenn ein Dritter die personenbezogenen Daten in einer Weise verarbeitet, die nicht mit den DPF-Grundsätzen vereinbar ist, es sei denn, Amplitude weist nach, dass es für das Ereignis, das den Schaden verursacht hat, nicht verantwortlich ist.

‍

WordPress-Plugin Wordfence

Wir nutzen für unsere Website/App Wordfence, einen Dienst der Defiant Inc., 800 5th Ave., Suite 4100, Seattle, WA 98104, USA (www.wordfence.com), um die Sicherheit unserer Website zu erhöhen (z.B. Schutzes vor Brute-Force- und DDoS-Angriffen oder Kommentar-Spam). Hieran besteht ein berechtigtes Interesse unsererseits. Zur Nutzung des Dienstes ist es erforderlich, dass Ihre IP-Adresse an Wordfence übertragen wird. Wordfence wird nur mit Ihrer Einwilligung genutzt (Art. 6 I S. 1 a DSGVO). Es kann nicht ausgeschlossen werden, dass die Verarbeitung der Daten durch Wordfence in den USA stattfindet. Die Datenschutzerklärung von Wordfence können Sie hier einsehen: https://www.wordfence.com/privacy-policy/.

‍

Twilio SendGrid

Wir nutzen für unsere Website/App SendGrid, ein Dienst zur E-Mail Delivery. Dienstanbieter ist das amerikanische Unternehmen Twilio Inc., 889 Winslow St, Redwood City, California 94063, USA.

SendGrid verarbeitet Daten von Ihnen u.a. auch in den USA. Wir weisen darauf hin, dass nach Meinung des Europäischen Gerichtshofs derzeit kein angemessenes Schutzniveau für den Datentransfer in die USA besteht. Dies kann mit verschiedenen Risiken für die Rechtmäßigkeit und Sicherheit der Datenverarbeitung einhergehen.

Als Grundlage der Datenverarbeitung bei Empfängern mit Sitz in Drittstaaten (außerhalb der Europäischen Union, Island, Liechtenstein, Norwegen, also insbesondere in den USA) oder einer Datenweitergabe dorthin verwendet SendGrid sogenannte Standardvertragsklauseln (= Art. 46. Abs. 2 und 3 DSGVO). Standardvertragsklauseln (Standard Contractual Clauses = SCC), sind von der EU-Kommission bereitgestellte Mustervorlagen und sollen sicherstellen, dass Ihre Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn diese in Drittländer (wie beispielsweise in die USA) überliefert und dort gespeichert werden. Durch diese Klauseln verpflichtet sich SendGrid, bei der Verarbeitung Ihrer relevanten Daten das europäische Datenschutzniveau einzuhalten, selbst wenn die Daten in den USA gespeichert, verarbeitet und verwaltet werden. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission. Sie finden den Beschluss und die entsprechenden Standardvertragsklauseln u.a. hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de.

Die Datenverarbeitungsbedingungen (Data Processing Addendum), welche den Standardvertragsklauseln entsprechen, finden Sie unter https://www.twilio.com/legal/data-protection-addendum.

Mehr über die Daten, die durch die Verwendung von SendGrid verarbeitet werden, erfahren Sie in der Privacy Policy auf https://www.twilio.com/legal/privacy.

‍

Prismic

Wir nutzen für unsere Website/App Prismic als Content-Management System ein. Es handlet sich hierbei um einen Dienst der Prismic Networks, Inc. 185 Alewife Brook Parkway, #410 Cambridge, MA 02138 nachfolgend nur „Prismic“ genannt.

Um die Darstellung des Inhalts unseres Internetauftritts zu ermöglichen, wird bei Aufruf unseres Internetauftritts eine Verbindung zu den Prismic-Servern aufgebaut.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO. Unser berechtigtes Interesse liegt in der Optimierung und dem wirtschaftlichen Betrieb unseres Internetauftritts.

Durch die bei Aufruf unseres Internetauftritts hergestellte Verbindung zu Prismic kann Prismic ermitteln, von welcher Website Ihre Anfrage gesendet worden ist und an welche IP-Adresse die Inhalte zu übermitteln sind.

Prismic bietet unter

https://prismic.io/legal/privacy

https://prismic.io/security

weitere Informationen an und weist darauf hin, dass die Datenschutzrichtlinie von Prismic den EU-Datenschutzgesetzen (DSGVO) entspricht.

‍

Shopify

Wir nutzen das Shopsystem des Dienstleisters Shopify International Limited, Victoria Buildings, 2. Etage, 1-2 Haddington Road, Dublin 4, D04 XN32, Irland („Shopify“), zum Zwecke des Hostings und der Darstellung des Online-Shops auf Basis einer Verarbeitung in unserem Auftrag. Sämtliche auf unserer Website erhobenen Daten werden auf den Servern von Shopify verarbeitet. Im Rahmen der vorgenannten Leistungen von Shopify können Daten auch im Rahmen einer weiteren Verarbeitung im Auftrag an die Shopify Inc., 150 Elgin St, Ottawa, ON K2P 1L4, Kanada, Shopify Data Processing (USA) Inc., Shopify Payments (USA) Inc. oder Shopify (USA) Inc. übermittelt werden. Für den Fall der Übermittlung von Daten an die Shopify Inc. in Kanada ist durch Angemessenheitsbeschluss der Europäischen Kommission das angemessene Datenschutzniveau gewährleistet. Die Shopify Data Processing (USA) Inc., Shopify Payments (USA) Inc. und die Shopify (USA) Inc. in den USA sind für das us-europäische Datenschutzübereinkommen „Privacy Shield“ zertifiziert, welches die Einhaltung des in der EU geltenden Datenschutzniveaus gewährleistet.

Weitere Hinweise zum Datenschutz von Shopify erhalten Sie unter der nachstehenden Internetseite: https://www.shopify.de/legal/datenschutz

Eine weitere Verarbeitung auf anderen Servern als den vorgenannten von Shopify findet nur im nachstehend mitgeteilten Rahmen statt.

‍

Terminvereinbarung via calendly

Zur einfachen, schnellen und unkomplizierten Terminvereinbarung setzen wir das Tool calendly ein. Die Nutzung von calendly erfolgt zur Verbesserung unserer Dienstleistung für bestehende und neue Mandanten. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Bei der Verwendung des Tools werden von Ihnen persönliche Daten wie Name, E-Mail-Adresse und Telefonnummer abgefragt. Sie haben außerdem die Möglichkeit, Ihr Anliegen darzustellen und uns weitere Informationen zur Verfügung zu stellen. Wenn Sie das Tool nutzen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Informationen gespeichert und selbstverständlich im Internet übertragen. Die Verarbeitung der eingegebenen Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Für den Umgang mit den durch Verwendung von calendly erfassten Daten gilt diese Datenschutzerklärung sowie die Datenschutzerklärung des Anbieters. Die Datenschutzerklärung von calendly finden Sie unter:

https://calendly.com/pages/privacy

‍

Zahlungsabwicklung mit Stripe

Für Zahlungen in unserer App, ist die Zahlung mit Apple Pay, Debit Karten, Kreditkarte, PayPal und Sofortüberweisung möglich. Anbieterin dieses Zahlungsdienstes ist die Stripe Payments Europe Ltd, Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Ireland. Stripe erhebt Daten wie Name und Adresse sowie Bankdaten wie Zahlungsart, Kreditkartennummer, Kontonummern und Vertragssumme. Zudem setzt Stripe Cookies, um den Zahlvorgang durchzuführen und um die Sicherheit des Zahlungsvorgangs zu gewährleisten.

Wir haben mit Stripe Payments Europe Ltd, Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Ireland eine Vereinbarung über die Datenverarbeitung gem. Art. 28 DS-GVO getroffen. Die Vereinbarung finden Sie hier: https://support.stripe.com/questions/accept-and-download-your-data-processing-agreement-(dpa)-with-stripe.

Wir weisen darauf hin, dass bei der Nutzung von Stripe Daten der Anwenderinnen außerhalb des Raumes der Europäischen Union verarbeitet werden können. Hierdurch können sich für die Anwenderinnen Risiken ergeben, weil so z.B. die Durchsetzung der Rechte der Anwenderinnen erschwert werden könnte. Die Standardvertragsklausel für die Datenübermittlung hat Stripe in seine Verträge implementiert, vgl. https://support.stripe.com/questions/does-stripe-offer-new-standard-contractual-clauses-(sccs). Für eine detaillierte Darstellung der jeweiligen Verarbeitungsformen, die von Stripe vorgenommen werden und der Widerspruchsmöglichkeiten verweisen wir auf die Datenschutzerklärungen und Angaben von Stripe unter https://stripe.com/de/privacy und https://stripe.com/de/guides/general-data-protection-regulation.

Rechtsgrundlage für die Weitergabe der Daten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Weitergabe Ihrer Daten erfolgt ausschließlich zum Zwecke der Zahlungsabwicklung und nur insoweit, als sie hierfür erforderlich ist.

‍

WordPress

Wir nutzen für unsere Website/App WordPress.com, ein Website Baukastensystem. Dienstanbieter ist das amerikanische Unternehmen Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.

WordPress.com verarbeitet Daten u.a. auch in den USA. Wir weisen darauf hin, dass nach Meinung des Europäischen Gerichtshofs derzeit kein angemessenes Schutzniveau für den Datentransfer in die USA besteht. Dies kann mit verschiedenen Risiken für die Rechtmäßigkeit und Sicherheit der Datenverarbeitung einhergehen.

Als Grundlage der Datenverarbeitung bei Empfängern mit Sitz in Drittstaaten (außerhalb der Europäischen Union, Island, Liechtenstein, Norwegen, also insbesondere in den USA) oder einer Datenweitergabe dorthin verwendet WordPress.com von der EU-Kommission genehmigte Standardvertragsklauseln (= Art. 46. Abs. 2 und 3 DSGVO). Diese Klauseln verpflichten WordPress.com, das EU-Datenschutzniveau bei der Verarbeitung relevanter Daten auch außerhalb der EU einzuhalten. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission. Sie finden den Beschluss sowie die Klauseln u.a. hier: https://ec.europa.eu/germany/news/20210604-datentransfers-eu_de.

Mehr über die Daten, die durch die Verwendung von WordPress.com verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://automattic.com/de/privacy/

‍

Withings- Geräten

Wir kaufen Geräte von Withings, die GDPR-konform sind und auch die ISO:27001-Normen einhalten. Die Daten werden anonym gespeichert und alle medizinischen Sicherheitsstandards werden eingehalten. Weitere Einzelheiten finden Sie unter dem Link- https://www.withings.com/de/en/data-security

3. Voraussetzungen der Weitergabe von personenbezogenen Daten an Drittländer

• Im Rahmen unserer Geschäftsbeziehungen können Ihre personenbezogenen Daten an Drittgesellschaften weitergegeben oder offengelegt werden. Diese können sich auch außerhalb des Europäischen Wirtschaftsraums (EWR), also in Drittländern, befinden. Eine derartige Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglichen und geschäftlichen Verpflichtungen und zur Pflege Ihrer Geschäftsbeziehung zu uns (Rechtsgrundlage ist Art. 6 Abs. 1 lit b oder lit. f jeweils iVm Art. 44 ff. DS-GVO). Über die jeweiligen Einzelheiten der Weitergabe unterrichten wir Sie nachfolgend an den dafür relevanten Stellen.
• Einigen Drittländern bescheinigt die Europäische Kommission durch sog. Angemessenheitsbeschlüsse einen Datenschutz, der dem EWR-Standard vergleichbar ist (eine Liste dieser Länder sowie eine Kopie der Angemessenheitsbeschlüsse erhalten Sie hier: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection_en. In anderen Drittländern, in die ggf. personenbezogene Daten übertragen werden, herrscht aber unter Umständen wegen fehlender gesetzlicher Bestimmungen kein durchgängig hohes Datenschutzniveau. Soweit dies der Fall ist, achten wir darauf, dass der Datenschutz ausreichend gewährleistet ist. Möglich ist dies über bindende Unternehmensvorschriften, Standard-Vertragsklauseln der Europäischen Kommission zum Schutz personenbezogener Daten gem. Art. 46 Abs. 1, 2 lit. c DS-GVO (die Standard-Vertragsklauseln von 2021 sind verfügbar unter https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0915&locale-en), Zertifikate oder anerkannte Verhaltenskodizes. Bitte wenden Sie sich an unseren Datenschutzbeauftragten (siehe D. 1.), wenn Sie hierzu nähere Informationen erhalten möchten.

4. Gesetzliche Verpflichtung zur Übermittlung bestimmter Daten

Wir können unter Umständen einer besonderen gesetzlichen oder rechtlichen Verpflichtung unterliegen, die rechtmäßig verarbeiteten personenbezogenen Daten für Dritte, insbesondere öffentlichen Stellen, bereitzustellen (Art. 6 Abs. 1 S. 1 lit. c DS-GVO).

F. Ihre Rechte

1. Auskunftsrecht

• Sie gegenüber uns das Recht im Umfang von Art. 15 DS-GVO, Auskunft über die Sie betreffenden personenbezogenen Daten zu erhalten.
• Hierfür ist ein Antrag von Ihnen erforderlich, der entweder per E-Mail oder postalisch an die oben angegebenen Adressen (siehe D. 1.) zu senden ist.

2. Recht auf Widerspruch gegen die Datenverarbeitung und Widerruf der Einwilligung

• Sie haben gemäß Art. 21 DS-GVO das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
• Gemäß Art. 7 Abs. 3 DS-GVO haben Sie das Recht Ihre einmal (auch vor der Geltung der DS-GVO, d.h. vor dem 25.5.2018) erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen.
• Diesbezüglich wenden Sie sich bitte an die oben angegebene Kontaktstelle (siehe D. 1.).

3. Recht zur Berichtigung und Löschung

• Insoweit Sie betreffende personenbezogene Daten unrichtig sind, haben Sie gemäß Art. 16 DS-GVO das Recht, von uns die unverzügliche Berichtigung zu verlangen. Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebene Kontaktstelle (siehe D. 1.).
• Unter den in Art. 17 DS-GVO genannten Voraussetzungen steht Ihnen das Recht zu, die Löschung Sie betreffender personenbezogener Daten zu verlangen. Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebene Kontaktstelle (siehe D. 1.). Das Recht auf Löschung steht Ihnen insbesondere zu, wenn die fraglichen Daten für die Erhebungs- oder Verarbeitungszwecke nicht mehr notwendig sind, wenn der Datenspeicherungszeitraum (siehe C. 7.) verstrichen ist, ein Widerspruch vorliegt (siehe G. 2.), oder eine unrechtmäßige Verarbeitung vorliegt.

4. Recht auf Einschränkung der Verarbeitung

• Nach Maßgabe des Art. 18 DS-GVO haben Sie das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
• Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebene Kontaktstelle (siehe D. 1.).
• Das Recht auf Einschränkung der Verarbeitung steht Ihnen insbesondere zu, wenn die Richtigkeit der personenbezogenen Daten zwischen Ihnen und uns umstritten ist; das Recht steht Ihnen in diesem Fall für eine Zeitspanne zu, die für die Überprüfung der Richtigkeit erfordert wird. Entsprechendes gilt, wenn die erfolgreiche Ausübung eines Widerspruchsrechts (siehe G. 2.) zwischen Ihnen und uns noch umstritten ist. Dieses Recht steht Ihnen außerdem insbesondere dann zu, wenn Ihnen ein Recht auf Löschung zusteht (siehe G. 3.) und Sie anstelle einer Löschung eine eingeschränkte Verarbeitung verlangen.

5. Recht auf Datenübertragbarkeit

• Nach Maßgabe des Art. 20 DS-GVO haben Sie das Recht, von uns die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format nach Maßgabe zu erhalten.
• Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebene Kontaktstelle (siehe D. 1.).

6. Recht auf Beschwerde bei der Aufsichtsbehörde

• Sie haben gemäß Art. 77 DS-GVO das Recht, sich über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten bei der zuständigen Aufsichtsbehörde zu beschweren.
• Die zuständige Aufsichtsbehörde erreichen Sie unter folgenden Kontaktdaten:

• ‍
• Die Landesbeauftragte für Datenschutz und Informationsfreiheit
  • Bettina Gayk
  • Kavalleriestraße 2-4
  • 40213 Düsseldorf
  • Postanschrift
  • Postfach 20 04 44
  • 40102 Düsseldorf
  • Telefon: 02 11/384 24-0
  • Telefax: 02 11/384 24-999
  • E-Mail: poststelle@ldi.nrw.de‍
  • Homepage: https://www.ldi.nrw.de

‍

PRIVACY POLICY

We, FemXcellence UG, (hereinafter collectively referred to as "the Company," "we," or "us") take the protection of your personal data very seriously and would like to inform you about data protection within our company.

As part of our data protection responsibilities, additional obligations have been imposed on us by the enactment of the EU General Data Protection Regulation (Regulation (EU) 2016/679; hereinafter referred to as "GDPR"). These obligations are designed to ensure the protection of personal data of individuals affected by data processing (hereinafter, we also refer to you as "customer," "user," "you," "your," or "data subject").

Where we decide either alone or jointly with others on the purposes and means of data processing, this mainly involves the obligation to transparently inform you about the nature, scope, purpose, duration, and legal basis of the processing (see Articles 13 and 14 GDPR). With this notice (hereinafter referred to as "Privacy Notice"), we inform you about how your personal data is processed by us.

B. General Information

Definitions

In line with Article 4 of the GDPR, the following definitions are applied in this Privacy Notice:

• "Personal Data" (Art. 4 No. 1 GDPR) refers to any information relating to an identified or identifiable natural person ("Data Subject"). A person is identifiable if they can be identified directly or indirectly, especially by reference to an identifier such as a name, an identification number, online identifiers, location data, or through information relating to their physical, physiological, genetic, mental, economic, cultural, or social identity characteristics. Identifiability can also be established by linking such information with additional knowledge. The form or medium of the information is irrelevant (e.g., photos, video, or audio recordings may also contain personal data).
• "Processing" (Art. 4 No. 2 GDPR) refers to any operation performed on personal data, whether or not by automated means. This includes, in particular, the collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure, or destruction of personal data, as well as any change to the purpose or objective originally intended for data processing.
• "Controller" (Art. 4 No. 7 GDPR) is the natural or legal person, public authority, agency, or other body which, alone or jointly with others, determines the purposes and means of processing personal data.
• "Third Party" (Art. 4 No. 10 GDPR) is any natural or legal person, public authority, agency, or other body other than the data subject, the controller, the processor, and those persons who, under the direct authority of the controller or processor, are authorized to process personal data; this includes other affiliated legal entities.
• "Processor" (Art. 4 No. 8 GDPR) is a natural or legal person, public authority, agency, or other body that processes personal data on behalf of the controller, especially in accordance with their instructions (e.g., IT service providers). In terms of data protection law, a processor is not considered a third party.
• "Consent" (Art. 4 No. 11 GDPR) of the data subject means any freely given, specific, informed, and unambiguous indication of the data subject’s wishes by which they, by a statement or by a clear affirmative action, signify agreement to the processing of personal data relating to them.

Changes to the Privacy Notice

FemXcellence reserves the right to make changes to this Privacy Policy at any time and in our sole discretion, so please check back frequently. If we decide to change our privacy practices, we will post the changes to this Privacy Policy, on the home page of our Site or “Settings” screen of the App, by sending you an e-mail update, and/or any other places we deem appropriate so that you can be made aware of what information we collect, how we use it, and under what circumstances, if any, we disclose it.

No Obligation to Provide Personal Data

We do not make the conclusion of contracts with us contingent upon you providing personal data beforehand. As a customer, you are generally under no legal or contractual obligation to provide us with your personal data; however, it may be the case that we can only offer certain services in a limited capacity or not at all if you do not provide the necessary data. If this is the case with any of the products we offer, you will be informed separately.

‍

C. Information on the Processing of Your Data

Collection of Personal Data Relating to You

When using our app, personal data about you is collected by us. Personal data includes all information related to you as an individual (as defined in the General section above). For example, your name, location data, IP address, device ID, SIM card number, address, and email address are considered personal data, as well as your fingerprint, images, videos, audio recordings, and even your user behavior.

Legal Bases for Data Processing

In principle, any processing of personal data is prohibited by law and is only permitted if the data processing falls under one of the following legal bases:

• Article 6(1)(a) GDPR ("Consent"): When the data subject has given their consent to the processing of personal data relating to them for one or more specific purposes through a clear, informed, and unambiguous statement or action.
• Article 6(1)(b) GDPR: When the processing is necessary for the performance of a contract to which the data subject is a party, or for taking steps prior to entering into a contract at the request of the data subject.
• Article 6(1)(c) GDPR: When the processing is necessary for compliance with a legal obligation to which the controller is subject (e.g., a legal retention obligation).
• Article 6(1)(d) GDPR: When the processing is necessary to protect the vital interests of the data subject or another natural person.
• Article 6(1)(e) GDPR: When the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.
• Article 6(1)(f) GDPR ("Legitimate Interests"): When the processing is necessary for the purposes of legitimate interests pursued by the controller or by a third party, provided that such interests are not overridden by the interests or fundamental rights and freedoms of the data subject (especially if the data subject is a minor).

The storage of information on the user’s end device or access to information already stored on the end device is only permissible if it is covered by one of the following legal bases:

• Section 25(1) TTDSG: When the end user has consented based on clear and comprehensive information. The consent must be given according to Article 6(1)(a) GDPR.
• Section 25(2) No. 1 TTDSG: When the sole purpose is to carry out the transmission of a message over a public telecommunications network.
• Section 25(2) No. 2 TTDSG: When storage or access is strictly necessary to provide the user with a telemedia service that they have explicitly requested.

For the processing operations we carry out, we will specify the applicable legal basis below. A processing operation may be based on more than one legal ground.

Data Collected During Download

When downloading this app, certain necessary data about you is transmitted to the relevant TestFlight store (e.g., Apple App Store). Specifically, when downloading, the email address, username, customer number of the downloading account, the unique device identifier, payment information, and the time of download are transmitted to the app store. We have no influence on the collection and processing of this data; it is carried out solely by the app store you selected. Accordingly, we are not responsible for this data collection and processing; the app store alone is responsible.

Data Collected During Use

We can only provide you with the benefits of our app if certain data necessary for the app's operation is collected during use. We collect this data only when it is necessary for the fulfillment of the contract between you and us (Article 6(1)(b) GDPR). Furthermore, we collect this data when it is necessary for the app’s functionality and your interest in the protection of your personal data does not outweigh this need (Article 6(1)(f) GDPR) or when you consent to the collection and processing (Article 6(1)(a) GDPR).

We collect and process the following data from you:

• Device Information: Access data includes the IP address, device ID, device type, device-specific settings, and app settings as well as app properties, the date and time of access, time zone, the amount of data transmitted, and a message indicating whether the data exchange was complete, app crashes, browser type, and operating system. These access data are processed to enable the technical operation of the app.
• Data You Provide: To use the app, it is necessary to create a user account. You must provide at least your login name.
• Information with Your Consent: We process other information (e.g., GPS location data) if you allow us to do so.
• Contact Form Data: When using contact forms, the data transmitted through them is processed (e.g., gender, first and last name, address, company, email address, and the time of submission).

If the processing of data requires storing information on your end device or accessing information already stored on your end device, the legal basis for this is Section 25(1), (2) TTDSG.

Use of Cookies

We use cookies in the operation of our app. Cookies are small text files that are stored on your mobile device’s storage and associated with the mobile app you are using, through which certain information is transmitted to the party that sets the cookie. Cookies cannot execute programs or transmit viruses to your computer, and therefore cannot cause harm. They serve to make our app more user-friendly and effective, making it more pleasant for you to use.

Cookies may contain data that makes it possible to recognize the device being used. Some cookies only contain information about certain settings that are not personally identifiable. However, cookies cannot directly identify a user.

Cookies are generally divided into session cookies, which are deleted as soon as you close your browser, and permanent cookies, which are stored beyond a single session. In terms of their function, cookies can be further divided into:

• Technical Cookies: These are absolutely necessary to navigate within the app, use basic functions, and ensure the security of the app; they do not collect information about you for marketing purposes, nor do they store information about the websites you have visited.
• Performance Cookies: These collect information about how you use our app, which pages you visit, and, for example, if any errors occur during use; they do not collect information that could identify you—all information collected is anonymous and is used only to improve our app and learn what interests our users.
• Advertising Cookies, Targeting Cookies: These are used to offer app users relevant advertisements within the app or offers from third parties and to measure the effectiveness of these offers; advertising and targeting cookies are stored for a maximum of 13 months.
• Sharing Cookies: These are used to improve the interactivity of our app with other services (e.g., social networks); sharing cookies are stored for a maximum of 13 months.

The legal basis for cookies that are strictly necessary to provide the service you explicitly requested is Section 25(2) No. 2 TTDSG.

Any use of cookies that is not strictly technically necessary constitutes data processing that is only permitted with your express and active consent in accordance with Section 25(1) TTDSG in conjunction with Article 6(1)(a) GDPR. This particularly applies to the use of performance, advertising, targeting, or sharing cookies. Furthermore, we will only share your personal data processed through cookies with third parties if you have given your express consent to this under Article 6(1)(a) GDPR.

Cookie Policy

For more information on which cookies we use and how you can manage your cookie settings and deactivate certain types of tracking, please refer to our Cookie Policy.

Data Retention Period

We delete your personal data as soon as it is no longer necessary for the purposes for which we collected or used it (see sections C.4, C.5, C.6). Generally, we store your personal data for the duration of the usage or contract relationship over the app. Your data is generally stored only on our servers in Germany, subject to any transfer that may occur according to sections F.1, F.2, and F.3.

However, storage may extend beyond the specified period in the event of (impending) legal disputes with you or any other legal proceedings.

Third parties we engage (see F.1) will store your data on their systems as long as it is necessary in connection with providing services for us according to the respective contract.

Legal requirements for the retention and deletion of personal data remain unaffected by the above (e.g., Section 257 HGB or Section 147 AO). When the legally prescribed retention period expires, the personal data will be blocked or deleted unless further storage is required by us and a legal basis exists for it.

Data Security

We use appropriate technical and organizational security measures to protect your data against accidental or intentional manipulation, partial or complete loss, destruction, or unauthorized access by third parties, taking into account the state of the art, the cost of implementation, and the nature, scope, context, and purposes of processing, as well as the existing risks of a data breach (including the likelihood and impact) for the data subject. Our security measures are continuously improved in line with technological developments.

We will gladly provide more information upon request. Please contact our Data Protection Officer for this purpose (see section D.1).

No Automated Decision-Making (Including Profiling)

We do not intend to use any personal data collected from you for automated decision-making processes (including profiling).

Change of Purpose

The processing of your personal data for purposes other than those described will only occur if a legal provision allows this or if you have consented to the changed purpose of data processing.

In the event of further processing for purposes other than those for which the data was originally collected, we will inform you about these other purposes before further processing and provide you with all other relevant information.

D. Responsibility for Your Data and Contacts

1. Data Controller and Contact Information

The entity responsible for processing your personal data within the meaning of Article 4 No. 7 of the GDPR is:

FEMXCELLENCE UG (limited liability)
Königsallee 19
40212 Düsseldorf
Email: contact@nanell.de

For all questions and as a contact person regarding data protection, our company Data Protection Officer is always available to assist you. Their contact details are:

heyData GmbH
Gormannstr. 14
10119 Berlin
Tel.: +49 (0) 89 41325320
Email: info@heydata.eu

Please contact this address especially if you wish to exercise your rights, as explained in Chapter G, with respect to us.

For any further questions or comments regarding the collection and processing of your personal data, please also contact the above-mentioned contacts.

2. Data Collection When Contacting Us

If you contact us via email or through a contact form, your email address, name, and any other personal data you provide during the contact process will be stored by us so that we can respond to your inquiry.

We will delete this data as soon as its storage is no longer necessary. If there are legal retention periods, the data will remain stored, but we will restrict its processing.

E. Data Processing by Third Parties

1. Contract Data Processing

It may happen that we use commissioned service providers for certain functions of our app. Like any larger company, we also use external domestic and international service providers for our business transactions (e.g., in the areas of IT, logistics, telecommunications, sales, and marketing). These providers only act under our instructions and are contractually obligated in accordance with Article 28 GDPR to comply with data protection regulations.

The following categories of recipients, which are generally processors, may have access to your personal data:

• Service Providers for the operation of our app and the processing of data stored or transmitted by the systems (e.g., for data center services, payment processing, IT security). The legal basis for the transfer is Article 6(1)(b) or (f) GDPR, unless they are processors.
• Government Agencies/Authorities, if required to fulfill a legal obligation. The legal basis for the transfer is Article 6(1)(c) GDPR.
• Individuals Involved in Our Business Operations (e.g., auditors, banks, insurers, legal advisors, regulatory authorities, participants in company acquisitions, or the establishment of joint ventures). The legal basis for the transfer is Article 6(1)(b) or (f) GDPR.

Beyond this, we only transfer your personal data to third parties if you have expressly consented to this under Article 6(1)(a) GDPR.

If personal data is transferred by us to our subsidiaries or by our subsidiaries to us (e.g., for promotional purposes), this is done based on existing contract data processing agreements.

2. External Service Providers

• Amazon Web Services (AWS) - Hosting: We use Amazon Web Services ("AWS") by Amazon Web Services, Inc., P.O. Box 81226, Seattle, WA 98108-1226, USA, for hosting database and web content. The data is stored exclusively in a German data center (Frankfurt/Main) certified according to ISO 27001, 27017, and 2018 as well as PCI DSS Level 1. Access rights are tightly restricted, and the data is automatically encrypted. AWS is certified under the Privacy Shield agreement. For more information on AWS and data protection, visit AWS Compliance and AWS Privacy.
• GitHub: We host our website/app with GitHub Pages, which means this data is managed by GitHub Inc. You can find out which data GitHub collects and how it is used in the GitHub Privacy Statement.some text
  • GitHub Inc.
    88 Colin P Kelly Jr St
    San Francisco, CA 94107, USA
• Google Firebase and Firebase Cloud Messaging: Our website/app uses Google Firebase by Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA ("Google"). This service processes personal data such as "Instance IDs," which are timestamped and associated with a specific user to link different events or processes. This data does not allow us to identify the specific user, and no personalization is done by us. We use this aggregated data to analyze and optimize usage behavior, such as evaluating crash reports. For Firebase Analytics, Google also uses the advertising ID of the end device, which can be limited in the device settings of your mobile device. For more information on data processing by Firebase and how to manage your settings, visit Firebase Privacy.
• Amplitude: We use Amplitude to better understand the use of our app and to develop new features and products for our customers. Amplitude, Inc., 631 Howard St 5th Floor, San Francisco, CA 94105, USA, is a cloud-based product analytics platform. Amplitude adheres to the EU-U.S. Data Privacy Framework, the UK extension, and the Swiss-U.S. Data Privacy Framework. For more information, visit Amplitude Privacy.
• WordPress Plugin Wordfence: We use Wordfence, a service by Defiant Inc., 800 5th Ave., Suite 4100, Seattle, WA 98104, USA, to increase the security of our website/app (e.g., protection against brute-force and DDoS attacks or comment spam). The legal basis for the use of Wordfence is your consent (Article 6(1)(a) GDPR). For more information, visit Wordfence Privacy Policy.
• Twilio SendGrid: We use SendGrid, a service for email delivery, provided by Twilio Inc., 889 Winslow St, Redwood City, California 94063, USA. Twilio processes data in the USA, and we point out that the European Court of Justice currently considers the data transfer to the USA to lack adequate protection. Twilio uses Standard Contractual Clauses to ensure compliance with European data protection standards. For more information, visit Twilio Privacy.
• Prismic: We use Prismic as a content management system for our website/app, a service by Prismic Networks, Inc., 185 Alewife Brook Parkway, #410 Cambridge, MA 02138, USA. For more information on Prismic’s data protection, visit Prismic Privacy.
• Shopify: We use the Shopify system provided by Shopify International Limited, Victoria Buildings, 2nd Floor, 1-2 Haddington Road, Dublin 4, D04 XN32, Ireland, for hosting and displaying our online shop. Data may be transmitted to Shopify Inc., Ottawa, Canada, or Shopify (USA) Inc. For more information, visit Shopify Privacy.
• Calendly: We use Calendly for scheduling appointments to improve our service for new and existing clients. The legal basis for using Calendly is our legitimate interest (Article 6(1)(f) GDPR). For more information, visit Calendly Privacy.
• Stripe: We use Stripe Payments Europe Ltd, Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Ireland, for payment processing in our app. Stripe processes data, including outside the European Union, under Standard Contractual Clauses. For more information, visit Stripe Privacy.
• WordPress: We use WordPress.com by Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA, as a website builder. WordPress.com uses Standard Contractual Clauses for data transfer. For more information, visit WordPress Privacy.
• Withings Devices: We purchase GDPR-compliant Withings devices that also comply with ISO:27001 standards. Data is stored anonymously, adhering to medical safety standards. For more information, visit Withings Data Security.

3. Conditions for the Transfer of Personal Data to Third Countries

In the course of our business relationships, your personal data may be transferred to third companies or disclosed. These may be located outside the European Economic Area (EEA), i.e., in third countries. Such processing is carried out solely to fulfill contractual and business obligations and to maintain your business relationship with us (legal basis is Article 6(1)(b) or (f) in conjunction with Articles 44 et seq. GDPR). We inform you about the details of the transfer in the relevant sections below.

Some third countries are certified by the European Commission through so-called adequacy decisions, confirming that their data protection level is comparable to that of the EEA. (A list of these countries and a copy of the adequacy decisions can be found here). In other third countries, where there may be no consistently high level of data protection due to a lack of legal provisions, we ensure that data protection is adequately guaranteed. This can be done through binding corporate rules, the European Commission’s standard contractual clauses to protect personal data in accordance with Article 46(1), (2)(c) GDPR, certificates, or recognized codes of conduct. Please contact our Data Protection Officer (see section D.1) if you would like more information on this.

4. Legal Obligation to Transmit Certain Data

We may be subject to specific legal or statutory obligations that require us to provide lawfully processed personal data to third parties, particularly public authorities (Article 6(1)(c) GDPR).

F. Your Rights

Right to Information

You have the right to obtain information from us about the personal data concerning you, as specified in Article 15 GDPR. To exercise this right, you must submit a request, either via email or postal mail, to the addresses provided above (see Section D.1).

Right to Object to Data Processing and Withdrawal of Consent

According to Article 21 GDPR, you have the right to object at any time to the processing of personal data concerning you. We will stop processing your personal data unless we can demonstrate compelling legitimate grounds for the processing that override your interests, rights, and freedoms, or if the processing serves the establishment, exercise, or defense of legal claims.

Under Article 7(3) GDPR, you have the right to withdraw your consent at any time—whether given before or after the GDPR came into effect on May 25, 2018. This means that you can withdraw your previously given consent for the processing of your personal data for one or more specific purposes. If you withdraw your consent, we may no longer continue the data processing that was based on this consent in the future.

To exercise this right, please contact the contact point provided above (see Section D.1).

Right to Rectification and Deletion

If personal data concerning you is inaccurate, you have the right under Article 16 GDPR to request that we correct it without delay. To make such a request, please contact the contact point provided above (see Section D.1).

Under the conditions specified in Article 17 GDPR, you have the right to request the deletion of personal data concerning you. To exercise this right, please contact the contact point provided above (see Section D.1). You particularly have the right to deletion if the data in question is no longer necessary for the purposes for which it was collected or processed, if the data retention period has expired (see Section C.7), if an objection has been raised (see Section G.2), or if the data has been unlawfully processed.

Right to Restrict Processing

In accordance with Article 18 GDPR, you have the right to request that we restrict the processing of your personal data. To exercise this right, please contact the contact point provided above (see Section D.1).

You have the right to restrict processing, particularly if the accuracy of the personal data is disputed between you and us; in this case, the right applies for the period necessary to verify the accuracy of the data. The same applies if the successful exercise of an objection right (see Section G.2) is still disputed between you and us. You also have this right if you are entitled to deletion (see Section G.3) but request restricted processing instead.

Right to Data Portability

Under Article 20 GDPR, you have the right to receive the personal data concerning you that you have provided to us in a structured, commonly used, and machine-readable format.

To exercise this right, please contact the contact point provided above (see Section D.1).

Right to Lodge a Complaint with a Supervisory Authority

According to Article 77 GDPR, you have the right to lodge a complaint with the competent supervisory authority regarding the collection and processing of your personal data.

The competent supervisory authority can be contacted at the following details:

The State Commissioner for Data Protection and Freedom of Information
Bettina Gayk
Kavalleriestraße 2-4
40213 Düsseldorf
Postal Address:
Postfach 20 04 44
40102 Düsseldorf
Telephone: +49 211/384 24-0
Fax: +49 211/384 24-999
Email: poststelle@ldi.nrw.de
Homepage: https://www.ldi.nrw.de

‍