1. Verantwortlicher Marc Schemionek MMS Consulting and Commerce LTD Apostolou Pavlou 16 2nd Floor 8046 Paphos Zypern E-Mail: support@livelovebaby.de ⸻ 2. Arten der verarbeiteten Daten Wir verarbeiten – abhängig von der Art der Zusammenarbeit – folgende Datenkategorien: • Bestandsdaten (Name, Adresse) • Kontaktdaten (E-Mail, Telefonnummer) • Vertragsdaten • Zahlungsdaten • Nutzungsdaten (Website) • Kommunikationsdaten • Gesundheitsdaten (besondere Kategorie gem. Art. 9 DSGVO) ⸻ 3. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) Im Rahmen unseres Coachingprogramms verarbeiten wir besondere Kategorien personenbezogener Daten, insbesondere: • Blutwerte • Laborbefunde • Haarmineralanalysen • Hormonprofile • Anamnesedaten • Gesundheitsfragebögen • Coaching-Notizen • Videoaufzeichnungen von Q&A-Calls Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) • Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) Gesundheitsdaten werden: • ausschließlich zur Durchführung des Coachings verarbeitet • nicht zu Marketingzwecken genutzt • nicht an unbefugte Dritte weitergegeben • verschlüsselt gespeichert • nur autorisierten Personen zugänglich gemacht Eine Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union. ⸻ 4. KI-gestützte Auswertung Im Rahmen unserer Leistungen kann eine technische Analyse von Gesundheitsdaten unter Einsatz KI-gestützter Systeme erfolgen. Diese Systeme dienen ausschließlich der: • strukturierten Datenauswertung • Erstellung von Handlungsempfehlungen • Effizienzsteigerung in der Planerstellung Es findet keine vollautomatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung statt. Die finale Bewertung und Empfehlung erfolgt stets durch eine natürliche Person. ⸻ 5. CRM-System & Datenspeicherung Kundendaten werden in einem CRM-System verarbeitet, das: • ausschließlich innerhalb der EU gehostet wird • verschlüsselte Datenspeicherung verwendet • Zwei-Faktor-Authentifizierung einsetzt • ein Rollen- und Rechtekonzept implementiert • regelmäßige Backups innerhalb der EU durchführt Externe Coaches oder Freelancer erhalten nur Zugriff im Rahmen vertraglicher Auftragsverarbeitung gemäß Art. 28 DSGVO. ⸻ 6. Kommunikation (WhatsApp, Telegram, E-Mail) Bei Nutzung von: • WhatsApp Business • Telegram • E-Mail erfolgt die Verarbeitung auf Grundlage: • Art. 6 Abs. 1 lit. b DSGVO (Vertrag) • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Bei Nutzung von WhatsApp kann eine Datenübermittlung an Meta Platforms Ireland Ltd. erfolgen. Wir empfehlen für sensible Gesundheitsdaten ausschließlich die Nutzung unserer gesicherten Plattformen. ⸻ 7. Zoom-Aufzeichnungen Gruppencalls können aufgezeichnet werden. • Aufzeichnung erfolgt nur mit vorheriger Zustimmung. • Speicherung erfolgt ausschließlich auf EU-Servern. • Zugriff erhalten nur berechtigte Teilnehmer. ⸻ 8. Newsletter & Marketing Wir versenden Newsletter nur auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Öffnungs- und Klickraten werden gemessen. Eine Abmeldung ist jederzeit möglich. ⸻ 9. Facebook Pixel & Google Analytics Wir nutzen: • Facebook Pixel • Google Analytics 4 • Google Adsense Die Verarbeitung erfolgt: • nur nach Einwilligung über das Cookie-Banner • mit IP-Masking • pseudonymisiert Gesundheitsdaten werden nicht für Werbetracking verwendet. ⸻ 10. Zahlungsanbieter Die Zahlungsabwicklung erfolgt über: • Thrivecart • Stripe • Apple Pay • Visa • Mastercard • ggf. Digistore Zahlungsdaten werden nicht durch uns gespeichert, sondern direkt beim Zahlungsdienstleister verarbeitet. ⸻ 11. Speicherdauer Datenart Speicherdauer Vertragsdaten 10 Jahre (steuerrechtlich) Gesundheitsdaten 3 Jahre nach Programmende Bewerbungsdaten (nicht angenommen) 6 Monate Newsletterdaten bis Widerruf Trackingdaten max. 24 Monate ⸻ 12. Ihre Rechte Sie haben gemäß Art. 15–21 DSGVO: • Auskunft • Berichtigung • Löschung • Einschränkung • Datenübertragbarkeit • Widerspruch • Widerruf erteilter Einwilligungen Beschwerderecht bei zuständiger Aufsichtsbehörde. ⸻ 13. Sicherheitsmaßnahmen Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere: • TLS-Verschlüsselung • Zugriffsbeschränkungen • Rollen- und Rechtekonzepte • Zwei-Faktor-Authentifizierung • regelmäßige Backups • Serverstandort EU