Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger anwendbarer Datenschutzgesetze ist:

2. Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht für uns derzeit nicht.

Für Fragen zur Verarbeitung Ihrer personenbezogenen Daten und zur Wahrnehmung Ihrer Datenschutzrechte erreichen Sie uns unter:

Alternativ können Sie sich auch an den Verantwortlichen unter den in Ziffer 1 genannten Kontaktdaten wenden.

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Vorgaben. Dabei beachten wir insbesondere die Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz, Speicherbegrenzung und Integrität gemäß Art. 5 DSGVO.

Soweit wir personenbezogene Daten verarbeiten, erfolgt dies auf Grundlage einer der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person (z. B. für Analyse-Cookies, Web-Tracking und Newsletter)
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (z. B. Algorithmus-basierte Analyse, Optimierungsempfehlung, Vorbereitung und Versand der Wahlerklärungen an die Krankenkassen)
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (z. B. steuer- und handelsrechtliche Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (z. B. IT-Sicherheit, Logfiles, Direktwerbung an Bestandskunden im Rahmen § 7 Abs. 3 UWG)

Wir geben personenbezogene Daten nur weiter, wenn dies gesetzlich erlaubt ist, zur Vertragserfüllung erforderlich ist, eine Einwilligung vorliegt oder externe Dienstleister Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO verarbeiten.

Im Bereich der Zahlungsabwicklung können eingesetzte Zahlungsdienstleister als eigenständig Verantwortliche im Sinne der DSGVO handeln. In diesen Fällen richtet sich die Verarbeitung nach den jeweils eigenen Datenschutzerklärungen dieser Anbieter.

4. Server-Logfiles

Beim Aufruf unserer Website erfasst und speichert unser Webserver automatisch Informationen in Server-Logfiles, die Ihr Browser übermittelt. Dabei werden insbesondere folgende Daten verarbeitet:

• IP-Adresse des anfragenden Endgeräts
• Datum und Uhrzeit des Abrufs
• abgerufene URL (Seitenpfad und ggf. Query-Parameter)
• Referrer-URL (sofern vorhanden)
• verwendeter Browser und Betriebssystem (User-Agent)
• HTTP-Statuscode und übertragene Datenmenge

Die IP-Adresse wird nach spätestens 7 Tagen anonymisiert bzw. gelöscht. Die übrigen Log-Einträge werden nach maximal 30 Tagen automatisch gelöscht.

Die Verarbeitung dient der Sicherstellung des technischen Betriebs der Website, der Erkennung und Abwehr von Angriffen sowie der Fehlerdiagnose.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Websitebetrieb).

5. Schnellrechner (unverbindliche Schätzung)

Auf unserer Website bieten wir einen interaktiven Schnellrechner an, mit dem Interessenten eine unverbindliche Schätzung ihres Einsparpotenzials ermitteln können. Dabei werden folgende Eingaben verarbeitet:

• Anzahl der Mitarbeitenden bzw. Größenklasse des Unternehmens
• Bruttolohnsumme (Schätzwert)
• aktuelle Krankenkasse (optional)
• voraussichtliches Krankheitsprofil (z. B. branchenübliche Fehltagsquote)

Die eingegebenen Werte werden ohne Personenbezug aggregiert und ausschließlich zur Berechnung und Anzeige einer unverbindlichen Schätzung auf Ihrem Endgerät verwendet. Es erfolgt keine dauerhafte Speicherung personenbezogener Daten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines informativen Kalkulationswerkzeugs).

6. Rollenverständnis bei der Datenverarbeitung

Soweit wir im Rahmen unserer Plattform Daten im Auftrag unserer Kunden verarbeiten, handeln wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Dies betrifft insbesondere die Verarbeitung hochgeladener Lohndaten im Rahmen der Analysefunktionen des U1-Optimierers.

Die datenschutzrechtliche Verantwortung für die Rechtmäßigkeit der Verarbeitung von Beschäftigtendaten gegenüber den jeweiligen Beschäftigten liegt grundsätzlich beim jeweiligen Arbeitgeber bzw. Kunden als Verantwortlichem.

Mit allen Kunden, die uns im Rahmen der Plattformnutzung personenbezogene Daten zur Verarbeitung überlassen, schließen wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO ab. Der vollständige Auftragsverarbeitungsvertrag (AVV) ist auf unserer Plattform abrufbar und wird mit der Registrierung verbindlich vereinbart.

Im Bereich der Zahlungsabwicklung setzen wir Stripe ein. Stripe handelt in Bezug auf die von ihm durchgeführte Zahlungsverarbeitung als eigenständig Verantwortlicher im Sinne der DSGVO und nicht als unser Auftragsverarbeiter. Weitere Einzelheiten hierzu finden Sie in Ziffer 24.

7. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten vor Verlust, Manipulation, unberechtigtem Zugriff und sonstigen Risiken zu schützen. Hierzu gehören insbesondere:

• verschlüsselte Datenübertragung per TLS 1.2 oder höher
• rollenbasierte Zugriffskontrolle (RBAC) nach dem Least-Privilege-Prinzip
• Multi-Faktor-Authentifizierung für administrative Zugänge
• verschlüsselte Datensicherungen (AES-256) mit geografischer Redundanz
• Passwortspeicherung ausschließlich in gehashter Form
• Protokollierung sicherheitsrelevanter Vorgänge
• Pseudonymisierung, soweit dies technisch möglich und sachlich sinnvoll ist
• regelmäßige Bereinigung und Löschung nicht mehr erforderlicher Daten

8. Registrierung und Nutzerkonto

Im Rahmen der Registrierung und Nutzung eines Nutzerkontos verarbeiten wir insbesondere folgende Daten:

• Firmenname
• Vor- und Nachname des Ansprechpartners
• E-Mail-Adresse
• Passwort in gehashter Form
• Anzahl der Mitarbeitenden bzw. Größenklasse
• Branche, soweit freiwillig angegeben
• Rechnungsempfänger-Name und Rechnungsempfänger-E-Mail, soweit angegeben
• Registrierungszeitpunkt

Zweck der Verarbeitung ist die Einrichtung und Verwaltung des Nutzerkontos sowie die Erbringung der vertraglich vereinbarten Leistungen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Die Daten werden grundsätzlich für die Dauer des bestehenden Nutzerkontos gespeichert. Nach Löschung des Kontos werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Aufgrund unseres 37-tägigen Backup-Rotationszyklus können Daten in verschlüsselten Sicherungskopien für bis zu 37 Tage nach der aktiven Löschung noch vorhanden sein.

9. Anmeldung und Session-Verwaltung

Bei der Anmeldung und Nutzung geschützter Plattformbereiche verarbeiten wir folgende Daten:

• E-Mail-Adresse
• Passwort zur Authentifizierung
• Session-Kennzeichen
• Zeitpunkt der letzten Anmeldung

Die Verarbeitung dient der Authentifizierung, der sicheren Nutzung des Nutzerkontos und der Aufrechterhaltung eingeloggter Sitzungen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der sicheren Bereitstellung der Plattform.

Sitzungsdaten werden nach 30 Tagen automatisch ungültig bzw. gelöscht, sofern keine vorherige Beendigung der Sitzung erfolgt.

10. Sicherheitsprotokollierung (Audit-Log)

Zur Gewährleistung der IT-Sicherheit und zur Nachvollziehbarkeit sicherheitsrelevanter Vorgänge protokollieren wir bestimmte Aktionen innerhalb der Plattform.

Dabei können insbesondere folgende Daten verarbeitet werden:

• interne Unternehmens-ID bzw. Konto-Referenz
• Aktionstyp, z. B. Login, fehlgeschlagener Login-Versuch oder Freigabehandlung
• Zeitstempel

Im Audit-Log werden keine Passwörter und grundsätzlich keine Klarnamen gespeichert. Die Protokollierung dient der Erkennung von Missbrauch, der technischen Fehlerdiagnose sowie der Absicherung unserer Systeme.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Audit-Log-Daten werden grundsätzlich nach 90 Tagen gelöscht, sofern keine längere Aufbewahrung im Einzelfall zur Aufklärung konkreter Sicherheitsvorfälle erforderlich ist.

11. Kontaktformular und Kontaktaufnahme per E-Mail

Wenn Sie uns über ein Kontaktformular oder per E-Mail kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten, insbesondere:

• Vor- und Nachname
• Firma
• E-Mail-Adresse
• Telefonnummer, soweit freiwillig angegeben
• Anliegen-Kategorie
• Nachrichtentext

Die Verarbeitung erfolgt zur Bearbeitung und Beantwortung Ihrer Anfrage.

Rechtsgrundlage ist bei vertragsbezogenen oder vorvertraglichen Anfragen Art. 6 Abs. 1 lit. b DSGVO, im Übrigen Art. 6 Abs. 1 lit. f DSGVO.

Nachrichten aus dem Kontaktformular werden in den E-Mail-Postfächern unseres Unternehmens verarbeitet und gespeichert. Eine gesonderte Datenbankspeicherung erfolgt nicht. Die E-Mail-Postfächer werden auf Serverinfrastruktur der Hetzner Online GmbH in Deutschland betrieben.

Soweit keine gesetzliche Aufbewahrungspflicht besteht und die Anfrage erledigt ist, löschen wir entsprechende Anfragen grundsätzlich innerhalb von 6 Monaten.

12. E-Mail-Verifikation und transaktionale E-Mails

Wir verarbeiten E-Mail-Adressen und technische Verifikations- bzw. Reset-Token, um die Sicherheit und Funktionsfähigkeit unserer Plattform zu gewährleisten.

Hierzu gehören insbesondere folgende E-Mails:

• E-Mail-Verifikation nach Registrierung
• Passwort-zurücksetzen-E-Mails
• Willkommens-E-Mails
• Benachrichtigungen über bereitstehende Analyseergebnisse
• Benachrichtigungen zu abgeschlossenen Optimierungsschritten
• partnerbezogene System- und Zugangsmails
• interne administrative Benachrichtigungen

Rechtsgrundlage ist grundsätzlich Art. 6 Abs. 1 lit. b DSGVO, bei internen administrativen Benachrichtigungen zusätzlich Art. 6 Abs. 1 lit. f DSGVO.

Der Versand transaktionaler E-Mails erfolgt im Produktivbetrieb ausschließlich über den SMTP-Relay-Dienst der 1&1 Internet SE (IONOS) in Deutschland.

Verifikationstoken sind in der Regel 24 Stunden gültig. Passwort-Reset-Token sind in der Regel 1 Stunde gültig. Abgelaufene Token werden regelmäßig gelöscht oder technisch entwertet.

13. Lohndatenanalyse (Verarbeitung im Auftrag)

Die zentrale Funktion des U1-Optimierers besteht in der Analyse hochgeladener Lohndaten zur Ermittlung wirtschaftlich sinnvoller U1-Tarifkonstellationen.

Dabei gilt ein datensparendes Verarbeitungskonzept:

• hochgeladene Dateien werden vor der Übertragung soweit möglich bereits im Browser vorverarbeitet
• offensichtlich nicht erforderliche direkte Identifikatoren werden vor der weiteren Verarbeitung ausgeschlossen
• Vor- und Nachnamen von Mitarbeitenden werden von uns nicht gespeichert
• Sofern Vor- oder Nachnamen von Mitarbeitenden versehentlich in einer Upload-Datei enthalten sind, werden diese bereits im Upload- bzw. Vorverarbeitungsschritt ausgesondert und weder in die Analyse übernommen noch gespeichert.
• der Server verarbeitet nur definierte und für die Analyse erforderliche Whitelist-Felder
• Rohdateien werden nicht dauerhaft gespeichert
• wir empfehlen ausdrücklich die Verwendung von Pseudonymen oder Kürzeln anstelle personenbezogener Bezeichnungen

Je nach Upload und Kontokonfiguration können insbesondere folgende Daten verarbeitet werden:

• Mitarbeiter-Bezeichner in Form eines Kürzels, Pseudonyms oder sonstigen nicht unmittelbar personenbezogenen Identifikators
• Jahresbruttolohn je Krankenkasse
• Institutionskennzeichen (IK-Nummer) je beteiligter Krankenkasse
• historische Krankheitstage der Mitarbeiter aus dem aktuellen und/oder Vorjahr
• daraus abgeleitete Prognose der erwarteten Krankheitstage für das nächste Kalenderjahr
• Beschäftigungstyp
• aktuelle Krankenkasse
• berechnete optimale Tarif- bzw. Krankenkassenkonstellation
• berechnetes Einsparpotenzial

Soweit der Arbeitgeber in hochgeladenen Daten personenbezogene Beschäftigtendaten verarbeitet oder an uns übermittelt, erfolgt unsere Verarbeitung im Auftrag des jeweiligen Arbeitgebers. Die Rechtsgrundlage der Verarbeitung im Verhältnis zwischen Arbeitgeber und Beschäftigten liegt beim jeweiligen Arbeitgeber.

Die Daten werden ausschließlich kontobezogen verarbeitet und nicht an andere Arbeitgeber oder unbeteiligte Dritte weitergegeben.

Kontobezogene Analysedaten können durch den Nutzer gelöscht werden. Die Speicherung erfolgt für die Vertragsdauer zuzüglich der gesetzlichen Aufbewahrungsfristen (max. 10 Jahre, § 257 HGB, § 147 AO).

Sofern hochgeladene Lohndaten Krankheitstage oder vergleichbare Arbeitsfehltage enthalten, können diese als Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO einzustufen sein, da sie Rückschlüsse auf den Gesundheitszustand der betroffenen Beschäftigten zulassen. Für solche Daten gilt das grundsätzliche Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO.

Die Verarbeitung dieser Daten erfolgt ausschließlich im Auftrag des jeweiligen Arbeitgebers als datenschutzrechtlich Verantwortlichem. Die Rechtsgrundlage für die Verarbeitung im Verhältnis zu den betroffenen Beschäftigten obliegt dem jeweiligen Arbeitgeber, typischerweise auf Grundlage von § 26 Abs. 3 BDSG i. V. m. Art. 9 Abs. 2 lit. b DSGVO. Arbeitgeber sind im Rahmen des Auftragsverarbeitungsvertrags verpflichtet sicherzustellen, dass eine entsprechende Rechtsgrundlage nach Art. 9 DSGVO für die Übermittlung dieser Daten besteht.

Soweit möglich, erfolgt die Verarbeitung solcher Daten in aggregierter oder pseudonymisierter Form.

Wir empfehlen ausdrücklich, anstelle konkreter Fehltagszahlen ausschließlich aggregierte oder pseudonymisierte Kennzahlen hochzuladen, soweit dies für die Analyse ausreichend ist.

Wir verarbeiten solche Daten ausschließlich auf explizite Weisung des Arbeitgebers als datenschutzrechtlich Verantwortlichem. Eine eigenständige Nutzung, Auswertung oder Weitergabe dieser Gesundheitsdaten durch uns erfolgt nicht. Arbeitgeber sind verpflichtet, uns nur Daten zu übermitteln, für deren Verarbeitung eine gültige Rechtsgrundlage nach Art. 9 DSGVO vorliegt.

14. Analyseergebnisse und Kontodaten

Im Nutzerkonto verarbeiten wir Analyseergebnisse und verknüpfte Kontodaten, insbesondere:

• berechnete Einsparpotenziale
• empfohlene Tarif- und Krankenkassenkonstellationen
• Bearbeitungs- und Freigabestatus
• aggregierte Lohndaten-Kennzahlen

Die Verarbeitung dient der Bereitstellung der Analyseergebnisse, der Nachverfolgung des Bearbeitungsstands und der Durchführung der vertraglich geschuldeten Leistungen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Die Speicherung erfolgt grundsätzlich bis zur Löschung durch den Nutzer oder bis zur Auflösung des Kontos; anschließend werden die Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Aufgrund unseres 37-tägigen Backup-Rotationszyklus können Daten in verschlüsselten Sicherungskopien für bis zu 37 Tage nach der aktiven Löschung noch vorhanden sein.

15. Provisionsfreigabe-Protokollierung

Wenn Nutzer eine Provisionsvereinbarung oder sonstige rechtserhebliche Freigabehandlungen verbindlich bestätigen, protokollieren wir folgende Daten:

• IP-Adresse zum Zeitpunkt der Freigabe
• Browser-Kennung bzw. User-Agent
• Zeitstempel
• interne Konto- oder Unternehmensreferenz

Die Verarbeitung dient der Dokumentation des Vertragsschlusses, der Nachweisbarkeit rechtserheblicher Erklärungen und dem Schutz vor Missbrauch oder späteren Streitigkeiten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

IP-Adresse und Browser-Kennung (User-Agent) werden für 6 Monate nach Vertragsende gespeichert. Zeitstempel und interne Konto- oder Unternehmensreferenz werden für 3 Jahre nach Vertragsende aufbewahrt, soweit keine längere gesetzliche Aufbewahrung erforderlich ist.

16. Freischaltung und automatischer Versand der Wahlerklärungen

Nach Zahlung der erfolgsbasierten Vergütung (20 % der prognostizierten Beitragsersparnis) wird der vollständige Optimierungsbericht für den Auftraggeber freigeschaltet und der automatische Versand der Wahlerklärungen an die jeweils zuständigen gesetzlichen Krankenkassen ausgelöst.

Hierzu werden die freigeschalteten Optimierungsdaten an die jeweils zuständige Krankenkasse übermittelt. Die Übermittlung umfasst insbesondere die für den Wechsel des U1-Erstattungssatzes erforderlichen Angaben zum Arbeitgeber und zur gewählten Tarifkonstellation.

Die zuständigen gesetzlichen Krankenkassen (Sozialversicherungsträger) sind in diesem Zusammenhang keine Auftragsverarbeiter, sondern eigenverantwortliche Stellen im Sinne der DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO i. V. m. §§ 1, 9 Aufwendungsausgleichsgesetz (AAG).

17. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Eine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung gegenüber einzelnen Beschäftigten im Sinne von Art. 22 DSGVO findet nicht statt.

Unser Algorithmus zur U1-Tarifoptimierung dient ausschließlich der Entscheidungsvorbereitung: Er berechnet auf Basis der hochgeladenen Daten die wirtschaftlich optimale Tarif- und Krankenkassenkonstellation und stellt das Ergebnis dem Auftraggeber als Entscheidungsgrundlage bereit.

Die tatsächliche Tarifumstellung wird erst nach ausdrücklicher Freischaltung durch den Auftraggeber (Zahlung der erfolgsbasierten Vergütung) wirksam und dann in Form von Wahlerklärungen an die zuständigen Krankenkassen übermittelt. Die Plattform trifft keine Entscheidungen gegenüber einzelnen Beschäftigten; alle relevanten Entscheidungen verbleiben ausschließlich beim Arbeitgeber.

18. Partner-Programm

Im Rahmen des Partner-Programms verarbeiten wir insbesondere folgende Daten:

• Firmenname bzw. Rechtsname
• Name des Ansprechpartners
• E-Mail-Adresse
• Telefonnummer
• Geschäftsadresse
• Bankverbindung
• Steuerdaten, insbesondere Steuer- oder Umsatzsteuer-Identifikationsnummer
• Partnertyp
• Zuordnungs-, Abrechnungs- und Provisionsdaten

Die Verarbeitung dient der Durchführung des Partnerprogramms, der Verwaltung von Mandantenzuordnungen, der Provisionsabrechnung, der Erstellung von Gutschriften sowie der Kommunikation mit Partnern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Bank- und Steuerdaten verarbeitet werden, ist zusätzlich Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage.

Soweit handels- oder steuerrechtliche Pflichten bestehen, speichern wir die entsprechenden Daten für die gesetzlich vorgeschriebenen Zeiträume, insbesondere gemäß § 257 HGB und § 147 AO, regelmäßig bis zu 10 Jahre.

19. Rechnungsstellung und Vertragsabwicklung

Zur Abwicklung unserer Vertragsbeziehungen und zur ordnungsgemäßen Rechnungsstellung verarbeiten wir insbesondere:

• Name und Anschrift des Rechnungsempfängers
• E-Mail-Adresse für die Rechnungszustellung
• Umsatzsteuer-Identifikationsnummer, soweit vorhanden
• Rechnungsbetrag
• Leistungszeitraum
• abrechnungsrelevante Vertragsdaten

Die Verarbeitung erfolgt zur Vertragserfüllung sowie zur Erfüllung handels- und steuerrechtlicher Pflichten.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. c DSGVO.

Rechnungs- und Buchhaltungsunterlagen werden entsprechend den gesetzlichen Vorgaben regelmäßig 10 Jahre aufbewahrt.

20. Support-Tickets

Wenn Sie Support-Anfragen stellen, verarbeiten wir insbesondere:

• Betreff und Kategorie
• Nachrichteninhalt
• interne Zuordnung zum Nutzerkonto
• Zeitstempel
• Bearbeitungsstatus

Die Verarbeitung dient der Bearbeitung technischer und fachlicher Rückfragen sowie der Vertragserfüllung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Support-bezogene Inhalte werden grundsätzlich 12 Monate nach Abschluss des jeweiligen Tickets gelöscht, spätestens jedoch innerhalb von 30 Tagen nach Kontoauflösung, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen im Einzelfall entgegenstehen.

21. Newsletter

Soweit wir einen Newsletter anbieten, verarbeiten wir zu diesem Zweck folgende Daten:

• E-Mail-Adresse
• Bestätigungszeitpunkt (Double-Opt-In)
• IP-Adresse zum Zeitpunkt der Anmeldung (zur Nachweisbarkeit der Einwilligung)

Die Anmeldung zum Newsletter erfolgt ausschließlich über ein Double-Opt-In-Verfahren: Nach der Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail, in der Sie Ihre Anmeldung durch einen Klick auf einen Bestätigungslink aktiv bestätigen müssen. Erst nach dieser Bestätigung wird Ihre E-Mail-Adresse in den Verteiler aufgenommen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG.

Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Nutzen Sie dazu den Abmeldelink am Ende jedes Newsletters oder wenden Sie sich an datenschutz@u1-optimierer.de.

22. Interne Seitenaufrufzählung

Zur internen Messung der Nutzung einzelner Seiten und Funktionen können wir vollständig anonymisierte Seitenaufrufdaten verarbeiten, insbesondere:

• aufgerufener URL-Pfad
• Zeitpunkt des Abrufs

Dabei werden nach unserem aktuellen Konzept keine IP-Adressen, keine User-Agents, keine Standortdaten und keine sonstigen personenbezogenen Identifikatoren in dieser internen Zählung gespeichert. Die Daten dienen ausschließlich der internen Produktverbesserung.

Soweit tatsächlich kein Personenbezug besteht, findet die DSGVO auf diese Daten nicht Anwendung. Die Information erfolgt aus Transparenzgründen.

23. Cookies und Session-Speicher

Wir setzen Cookies und vergleichbare Technologien (z. B. localStorage) in vier Kategorien ein. Die Einwilligungspflichtigen Kategorien werden ausschließlich nach Ihrer ausdrücklichen Zustimmung über unseren Cookie-Banner aktiviert. Ihre Einstellungen können Sie jederzeit über den Button „Cookie-Einstellungen" im Footer ändern oder widerrufen (§ 25 TDDDG; Art. 7 Abs. 3 DSGVO).

Kategorie 1 – Notwendig (immer aktiv)

Diese Cookies sind für den technisch sicheren Betrieb der Website unverzichtbar (Authentifizierung, Sitzungsverwaltung, Sicherheit). Sie werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG).

Der Session-Cookie (connect.sid) wird mit den Flags HttpOnly; Secure; SameSite=Strict gesetzt und in Produktionsumgebungen ausschließlich verschlüsselt über HTTPS übertragen.

Im Checkout-Bereich kann Stripe eigene, für die Zahlungsabwicklung technisch erforderliche Cookies setzen. Nähere Informationen finden Sie in der Datenschutzerklärung von Stripe (https://stripe.com/de/privacy).

Kategorie 2 – Statistik (nur mit Ihrer Einwilligung)

Diese Kategorie umfasst Dienste zur anonymisierten Auswertung der Website-Nutzung, um unser Angebot technisch und inhaltlich zu verbessern. Sie wird ausschließlich nach Ihrer Einwilligung aktiviert.

Google Analytics 4 anonymisiert IP-Adressen standardmäßig; eine vollständige IP-Adresse wird von Google nicht gespeichert. Für diese Property ist die EU-Datenspeicherung aktiviert. Google Analytics wird im Consent-Mode v2 betrieben — ohne Einwilligung verbleiben alle Signale im Zustand denied. Weitere Informationen: https://policies.google.com/privacy.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Kategorie 3 – Marketing (nur mit Ihrer Einwilligung)

Diese Kategorie umfasst Cookies und Pixel für personalisierte Werbung und Reichweitenmessung. Sie wird ausschließlich nach Ihrer Einwilligung aktiviert.

Google LLC ist im EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: https://policies.google.com/privacy.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Kategorie 4 – Externe Medien (nur mit Ihrer Einwilligung)

Diese Kategorie ermöglicht die Einbindung externer Inhalte wie Videos oder interaktive Karten. Sie wird ausschließlich nach Ihrer Einwilligung aktiviert.

YouTube-Inhalte werden ausschließlich nach Ihrer Einwilligung geladen. Bis zur Erteilung der Einwilligung werden keine Verbindungen zu Google-Servern hergestellt. Weitere Informationen: https://policies.google.com/privacy.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

24. Technische Dienstleister, Hosting und Zahlungsabwicklung

Für den Betrieb unserer Plattform nutzen wir technische Dienstleister und externe Anbieter, die personenbezogene Daten im erforderlichen Umfang verarbeiten.

A. Auftragsverarbeiter (Art. 28 DSGVO)

Google LLC (Google Analytics 4)

1&1 Internet SE (IONOS)

Hetzner Online GmbH

Functional Software, Inc. (Sentry)

OpenStreetMap Foundation (Nominatim)

Neon, Inc. (Datenbanktreiber – nur Entwicklungsumgebung)

GitHub, Inc. (Quellcode- und Issue-Verwaltung)

B. Eigenständig Verantwortliche im Zahlungsverkehr

Stripe, Inc.

25. Webfonts

Auf unserer Website verwenden wir Schriftarten (Webfonts), die ausschließlich lokal von unseren eigenen Servern geladen werden. Die Schriftdateien liegen im WOFF2-Format auf unserer Server-Infrastruktur und werden beim Seitenaufruf direkt von dort ausgeliefert.

Es findet keine Übermittlung Ihrer IP-Adresse an Drittanbieter statt. Wir nutzen weder Google Fonts noch sonstige extern gehostete Schriftartendienste, die eine Verbindung zu Servern außerhalb unserer Infrastruktur herstellen würden.

Da keine personenbezogenen Daten an Dritte übermittelt werden, bedarf dieser Vorgang keiner gesonderten Rechtsgrundlage im Sinne der DSGVO.

26. Datenverarbeitung innerhalb Deutschlands, der EU und internationale Datenübermittlungen

Die Verarbeitung personenbezogener Daten erfolgt für den Betrieb unserer Plattform grundsätzlich auf Serverinfrastruktur in Deutschland. Soweit eingesetzte externe Dienstleister ihren Sitz in einem Drittland außerhalb der EU/des EWR haben, erfolgen Datenübermittlungen ausschließlich auf Grundlage der Art. 44 ff. DSGVO.

Folgende Drittlandtransfers finden statt:

Das EU-US Data Privacy Framework (DPF) ist ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO, der seit Juli 2023 in Kraft ist. Der Europäische Gerichtshof hat den DPF bislang nicht beanstandet; die Kommission hat im Oktober 2024 eine erste Folgenabschätzung vorgenommen, die zu keiner Beanstandung geführt hat. Datenübermittlungen an DPF-zertifizierte Empfänger können daher auf Art. 45 DSGVO gestützt werden, solange die Zertifizierung aufrechterhalten und der Angemessenheitsbeschluss gültig ist.

Sie haben das Recht, auf Anfrage Informationen über die jeweils eingesetzten Transfermechanismen zu erhalten. Bitte wenden Sie sich hierzu an datenschutz@u1-optimierer.de.

27. Ihre Rechte als betroffene Person

Sie haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

• Recht auf Auskunft gemäß Art. 15 DSGVO
• Recht auf Berichtigung gemäß Art. 16 DSGVO
• Recht auf Löschung gemäß Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
• Recht auf Widerspruch gegen Verarbeitungen gemäß Art. 21 DSGVO (siehe Ziffer 28)
• Recht auf Widerruf einer erteilten Einwilligung gemäß Art. 7 Abs. 3 DSGVO (siehe Ziffer 29)
• Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde gemäß Art. 77 DSGVO (siehe Ziffer 30)

Zur Ausübung Ihrer Rechte können Sie uns unter kontakt@u1-optimierer.de oder datenschutz@u1-optimierer.de kontaktieren.

28. Widerspruchsrecht

Im Fall eines berechtigten Widerspruchs verarbeiten wir die betreffenden personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Ihren Widerspruch können Sie an kontakt@u1-optimierer.de oder datenschutz@u1-optimierer.de richten.

29. Widerruf der Einwilligung

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO) beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt (Art. 7 Abs. 3 DSGVO).

Ihren Widerruf können Sie erklären:

• Per E-Mail an datenschutz@u1-optimierer.de
• Für Analyse- und Tracking-Cookies: über den Button „Cookie-Einstellungen" im Footer dieser Website
• Für den Newsletter: über den Abmeldelink am Ende jeder Newsletter-E-Mail

Bitte beachten Sie: Der Widerruf der Einwilligung ist vom Widerspruchsrecht nach Art. 21 DSGVO (siehe Ziffer 28) zu unterscheiden. Das Widerspruchsrecht betrifft Verarbeitungen auf Grundlage berechtigter Interessen (lit. f), während der Widerruf die einwilligungsbasierte Verarbeitung (lit. a) beendet.

30. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für uns zuständige Aufsichtsbehörde ist:

31. Server-seitiges Reichweiten-Messsystem

Wir betreiben ein eigenes, server-seitiges Reichweiten-Messsystem zur Analyse der Nutzung unserer Website. Dieses System wurde DSGVO-konform konzipiert und arbeitet ohne Cookies und ohne Cross-Visit-Tracking.

Was gespeichert wird

• Anonymisierter IP-Hash (HMAC-SHA256 mit tagesbasiertem Salt — nicht rückführbar auf die IP-Adresse; nach Tagesablauf kein Cross-Visit-Tracking mehr möglich)
• Aufgerufener Seitenpfad
• Zugriffskanal (z. B. organisch, direkt, Referral, Social, AI, E-Mail, Paid, intern)
• UTM-Parameter, soweit vom Nutzer über URLs übergeben (utm_source, utm_medium, utm_campaign)
• Gerätetyp (Desktop, Mobil, Tablet) — ermittelt aus dem User-Agent-String
• Bot-Kennzeichnung (automatische Erkennung von Crawler-Traffic)
• SSR- oder SPA-Kennzeichnung (Server- vs. clientseitige Anfrage)
• Bundesland-Kürzel (z. B. „BY" für Bayern) — aus der IP-Adresse mittels lokaler Geolokalisierungs-Datenbank abgeleitet; ausschließlich für IP-Adressen mit Herkunftsland Deutschland; für nicht-deutsche IP-Adressen wird kein Wert gespeichert
• Wochensalt-Hash (HMAC-SHA256 mit ISO-Wochen-Salt) — wochenstabiler Besucherhash zur Erkennung wiederkehrender Besuche innerhalb eines 7-Tage-Fensters; nach Ablauf der Kalendarwoche kein Tracking mehr möglich
• Wiederkehrender-Besucher-Kennzeichen (boolescher Wert: wahr, wenn derselbe Wochensalt-Hash innerhalb der letzten 7 Tage bereits einmal gesehen wurde)

Was NICHT gespeichert wird

• Die vollständige IP-Adresse wird zu keinem Zeitpunkt dauerhaft gespeichert; die IP wird ausschließlich zur Hashberechnung und Bundesland-Ableitung herangezogen und danach sofort verworfen
• Keine Stadtebene, keine Postleitzahl, keine Koordinaten — ausschließlich das Bundesland-Kürzel (16 mögliche Werte)
• Keine Cookies oder Fingerprinting-Techniken
• Kein tagesübergreifendes oder wochenübergreifendes Cross-Visit-Tracking (der tagesbasierte IP-Hash und der Wochensalt-Hash werden jeweils nach Ablauf des betreffenden Zeitraums neu generiert)
• Keine User-IDs, keine persistenten Nutzerprofile

Bundesland-Ableitung aus IP-Adresse

Zur Ermittlung der regionalen Herkunft auf Bundesland-Ebene wird die IP-Adresse des anfragenden Endgeräts serverseitig mit einer lokal vorgehaltenen Geolokalisierungs-Datenbank (geoip-lite, basierend auf MaxMind-Daten) abgeglichen. Dieser Vorgang findet ausschließlich im Arbeitsspeicher statt; es erfolgt kein Netzwerkaufruf zu einem externen Dienst. Nach der Ableitung des Bundesland-Kürzels wird die IP-Adresse sofort verworfen. Gespeichert wird ausschließlich das zweistellige Bundesland-Kürzel (z. B. „BY", „NW"). Für IP-Adressen außerhalb Deutschlands wird kein Wert gespeichert.

Wochensalt-Hash und Wiederkehrender-Besucher-Erkennung

Zusätzlich zum tagesbasierten IP-Hash wird ein wochenstabiler HMAC-SHA256-Hash berechnet, der auf der ISO-Kalenderwoche als Salt-Schlüssel basiert (z. B. „2026-W19"). Dieser Hash ermöglicht es festzustellen, ob von derselben IP-Adresse innerhalb der letzten 7 Tage bereits ein Seitenaufruf stattgefunden hat (Wiederkehrender-Besucher-Erkennung). Nach Ablauf der Kalenderwoche wird ein neuer Salt verwendet; ein wochenübergreifendes Tracking ist technisch ausgeschlossen. Es werden keine Sitzungs-IDs, Cookies oder persistente Kennzeichen verwendet.

Rechtsgrundlage und Zweck

Rechtsgrundlage ist TDDDG § 25 Abs. 2 Nr. 2 (kein Einwilligungserfordernis mangels Speicherung im Endgerät) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung und Optimierung unserer Website). Die Verarbeitung dient der internen Reichweitenmessung, der Analyse von Traffic-Kanälen und regionaler Herkunft sowie der Verbesserung des Nutzererlebnisses.

Speicherdauer

Rohdaten (analytics_events, einschließlich Bundesland-Kürzel und Wochensalt-Hash) werden nach 30 Tagen automatisch gelöscht. Aggregierte Tagesstatistiken (anonymisiert, ohne IP-Hash oder Wochensalt-Hash) werden bis zu 365 Tage aufbewahrt.

32. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Wir behalten uns vor, diese Datenschutzerklärung mit Wirkung für die Zukunft anzupassen, wenn sich rechtliche, technische oder organisatorische Änderungen ergeben. Maßgeblich ist die jeweils auf unserer Website veröffentlichte Fassung.