Datenschutz

Datenschutzerklärung

I. Verantwortlicher

COMES MEDICORUM
Inhaber: Jan Slanina
Ludwigstraße 20, 09113 Chemnitz

Telefon: +49 173 988 27 93
E-Mail: jan.slanina@comes-medicorum.de

II. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der DSGVO/BDSG, wenn:

  • dies zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
  • berechtigte Interessen überwiegen (Art. 6 Abs. 1 lit. f DSGVO)
  • eine Einwilligung vorliegt (Art. 6 Abs. 1 lit. a DSGVO),
  • eine rechtliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO) oder

Wir setzen technische und organisatorische Maßnahmen (TOMs) nach dem Stand der Technik ein (z. B. Verschlüsselung, Zugriffskontrollen, Protokollierung)

III. Zwecke, Datenarten, Rechtsgrundlagen (Überblick)

  1. Web/Hosting/IT-Security (Server-Logs: IP, Timestamp, User-Agent, Referrer) – Art. 6 Abs. 1 lit. f DSGVO.
  2. Finanzplanung & Versicherungsberatung – siehe XIV.
  3. Kontakt/Anfragen (Stammdaten, Kommunikationsinhalte) – Art. 6 Abs. 1 lit. b/f DSGVO.
  4. Verträge/Leistung (Kunden-, Vertrags-, Abrechnungsdaten) – Art. 6 Abs. 1 lit. b/c DSGVO.
  5. Veranstaltungen (Teilnehmerverwaltung; ggf. Foto/Video) – Art. 6 Abs. 1 lit. b/f DSGVO; Bilder i. d. R. mit Einwilligung.
  6. Online-Befragungen & KI-Auswertung (Rolle/Abteilung, Antworten, Metadaten) – bei Beschäftigten § 26 BDSG oder Einwilligung; bei Nicht-Beschäftigten Art. 6 Abs. 1 lit. a/f DSGVO; Auswertungen primär aggregiert/pseudonymisiert. Keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung.
  7. Newsletter/Marketing – Art. 6 Abs. 1 lit. a/f DSGVO (Widerspruch/Widerruf jederzeit).
  8. Bewerbungen – § 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO.

    IV. Serverdaten (Logfiles)

    Beim Abruf unserer Website fallen automatisiert die unter III.1 genannten Daten an; sie dienen Betrieb/Sicherheit und werden getrennt gespeichert sowie turnusmäßig gelöscht/gekürzt.

    V. Cookies, Tracking & Einwilligungen (TDDDG/DSGVO)

    1) Grundsatz & Rechtsgrundlage

    Wir verwenden technisch notwendige Cookies (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO). Nicht notwendige Cookies/Tracker (Analytics, Marketing, Personalisierung) setzen wir nur mit Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung ist jederzeit widerrufbar über die Cookie-Einstellungen auf unserer Website. Karten werden erst nach Einwilligung in die Kategorie „Karten/Externe Medien“ geladen (2‑Klick‑Lösung). Die Einwilligung kann jederzeit über die Cookie‑Einstellungen widerrufen werden.

    2) Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

    Cookies werden auf Ihrem Endgerät gespeichert. Sie können diese jederzeit in Ihrem
    Browser löschen, blockieren oder einschränken. Werden Cookies deaktiviert, stehen ggf.
    nicht alle Funktionen bereit.

    3) Opt-Out / Einwilligung widerrufen

    • Cookie-Einstellungen: sind aktuell nicht notwendig, diese Website verwendet keine Cookies
    • Browser-Add-ons / Anbieter-Opt-Outs: siehe unten je Dienst.
    • Hinweis: Wird der Opt-out-Cookie gelöscht, ist ein erneuter Opt-out nötig.

    4) Einzelne Dienste

    a) Google Analytics
    Wir nutzen Google Analytics (Google Ireland Ltd.; Muttergesellschaft Google LLC, USA). Es kommen Cookies zum Einsatz. Wir nutzen IP-Anonymisierun (anonymizeIp); nur in Ausnahmefällen wird die volle IP an Google-Server in den USA übertragen und dort gekürzt. Zweck: Reichweiten-/Nutzungsanalyse, Optimierung der Website. Rechtsgrundlage: Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a
    DSGVO). Drittland: USA – Einsatz auf Basis EU-US Data Privacy Framework (soweit zertifiziert) oder SCC; Details im Consent-Tool. Opt-out: Browser-Add-on | Ads-Einstellungen | Weitere Infos: Privacy Policy | Analytics Terms (DE)

    b) Google Tag Manager (GTM)
    Der GTM verwaltet Tags. Laut Google verarbeitet der GTM selbst keine personenbezogenen Daten; er kann jedoch das Auslösen weiterer Tags ermöglichen, die Daten erfassen. Rechtsgrundlage: je nach ausgelöstem Tag; Einwilligungen werden über das Consent-Tool gesteuert. Infos: GTM Use Policy

    c) Google Analytics – Displayfunktionen/Remarketing
    Wir nutzen ggf. Remarketing, demografische Berichte (Alter, Geschlecht, Interessen) und den kombinierten Einsatz von Erstanbieter- und Drittanbieter-Cookies zur Zielgruppenbildung, Optimierung und Schaltung von Anzeigen. Rechtsgrundlage: Einwilligung. Opt-out: Google Ads-Einstellungen | Brancheweit: YourOnlineChoices | AboutAds Opt-Out

    d) Google Ads (inkl. Remarketing/Conversion)
    Wir verwenden Google Ads-Funktionen (Remarketing, Interessenkategorien, ähnliche Zielgruppen, Conversion-Messung). Wir erfassen dabei keine direkt identifizierenden Informationen; Google kann Nutzer über Cookies/IDs wiedererkennen. Rechtsgrundlage: Einwilligung. Opt-out: Ads-Einstellungen | Weitere Infos: Privacy Policy

    e) Meta/Facebook-Pixel
    Wir nutzen das Meta Pixel (Meta Platforms Ireland Ltd.; Muttergesellschaft in den USA), um Conversions zu messen und Zielgruppen für Anzeigen zu bilden. Meta kann Daten Ihrem Profil zuordnen und für eigene Zwecke gem. Meta-Datenrichtlinie verwenden. Rechtsgrundlage: Einwilligung. Drittland: USA – DPF/SCC je nach Zertifizierung; Details im Consent-Tool. Opt-out: Meta-Anzeigeneinstellungen | Infos:
    Meta-Datenrichtlinie

    f) Trustpilot (Bewertungen)
    Zur Einholung/Anzeige von Anbieter- und Kundenbewertungen kann Trustpilot (Trustpilot A/S, DK) eingebunden sein. Nach bestimmten Vorgängen können Name und E-Mail zwecks Bewertungsanfrage an Trustpilot übermittelt werden; die Abgabe ist freiwillig. Rechtsgrundlage: Einwilligung oder berechtigtes Interesse. Infos: Trustpilot – User Privacy Policy

    g) Mouseflow (UX-Analyse)
    Wir setzen Mouseflow (Mouseflow ApS, DK) zur anonymisierten Nutzungsanalyse ein (Mausbewegungen, Klicks, Scrollen, Gerät/Browser, besuchte URLs). Tastatureingaben werden nicht erfasst, und der Login-/Kundenbereich wird nicht ausgewertet. Rechtsgrundlage: Einwilligung (nur bei Auswahl/Kategorie „Services“). Infos/Opt-out: Mouseflow Visitor Privacy Policy

    h) Adform (Conversion/Remarketing)
    Wir nutzen Adform (Adform A/S, DK) für Conversion-Messung/Remarketing. Beim Kontakt mit einer Adform-Anzeige wird ein Cookie gesetzt. Es werden keine Daten verwendet, die Nutzer unmittelbar identifizieren. Rechtsgrundlage: Einwilligung. Opt-out: Adform Opt-out | Infos: Adform Privacy Center

    Hinweis: Konkrete Speicherdauern/Anbieter und alle Cookie-IDs entnehmen Sie bitte unserem Consent-Tool (siehe „Cookie-Einstellungen“).

    VI. Kontakt & Kommunikation

    Bei Nutzung des Kontaktformulars/E-Mail verarbeiten wir die von Ihnen eingegebenen Daten (z. B. Name, Anschrift, Telefon, Firma, E-Mail) zur Bearbeitung Ihrer Anfrage. Auf Wunsch nutzen wir Messenger-Dienste nur mit Ihrer vorherigen Bitte/Einwilligung.

    Anfragen löschen wir regelmäßig nach 6 Monaten, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen oder eine weitere Korrespondenz erforderlich ist.

    VII. Karten-Dienst (HERE Maps)

    Wir binden „HERE Maps“ (HERE Global B.V., NL) ein. Es können Cookies/Endgerätezugriffe (TDDDG) und Übermittlungen an HERE stattfinden. Sie können dies über die Cookie-Einstellungen steuern oder durch Deaktivierung von JavaScript (dann eingeschränkte Funktion). Nutzungsbedingungen/Datenschutz: HERE – Rechtliche Hinweise & Datenschutz

    VIII. Empfänger & Auftragsverarbeitung

    Interne Stellen (Need-to-know), Auftragsverarbeiter nach Art. 28 DSGVO (Hosting, E-Mail, CRM, Newsletter, Umfrage/KI, Analytics/Ad-Tech), sowie Dritte (z. B. Event-Partner, Produktpartner in der Beratung) – jeweils nur mit Rechtsgrundlage/Einwilligung. Kategorien von Auftragsverarbeitern stellen wir auf Anfrage bereit.

    IX. Drittlandübermittlungen

    Außerhalb des EWR verarbeiten wir Daten nur bei Angemessenheitsbeschluss (z. B. EU-US DPF) oder mittels EU-Standardvertragsklauseln (SCC) zzgl. Transfer-Risiko-Bewertung und ggf. Zusatzmaßnahmen. Details je Anbieter sind im Consent-Tool und im Verarbeitungsverzeichnis dokumentiert.

    X. Speicherdauer & Löschung

    Speicherung nur solange wie für Zwecke/Fristen erforderlich (gesetzliche Aufbewahrungen, Vertragslaufzeiten, Verjährung).

    • Befragungsdaten: projektbezogen befristet; danach Pseudonymisierung/Anonymisierung. Beratungs-/Finanzunterlagen: gem. HGB/AO i. d. R. 6–10 Jahre.

    XI. Sicherheit (TOMs)

    Mindestens TLS 1.2+ in-Transit, AES-256 at-rest (soweit technisch möglich), MFA für Admin-Zugänge, RBAC/Least-Privilege, Protokollierung/Monitoring, tägliche Backups & dokumentierte Recovery-Tests.

    XII. Datenschutz-Folgenabschätzung (DSFA)

    Wir prüfen neue Verarbeitungen auf DSFA-Pflicht (Art. 35 DSGVO). Bei hohem Risiko (z. B. umfangreiche/strukturierte Beschäftigten-Analysen) führen wir die DSFA durch.

    XIII. Social-Media-Auftritte

    Für unsere Unternehmens-Fanpages können wir mit dem jeweiligen Anbieter gemeinsam Verantwortliche (Insights) sein. Es gelten zusätzlich die Datenschutzhinweise des Plattformanbieters.

    XIV. Finanzplanung & Versicherungsübersichten (inkl. Gesundheitsdaten)

    Zweck:
    Analyse Ihrer persönlichen/finanziellen Situation (Haushalt, Vermögen, Vorsorge, Absicherung, steuerliche/rentennahen Rahmenwerte soweit freiwillig überlassen), Erstellung von Finanz- und statische Erfassung von Versicherungsübersichten, über Netzwerk- und Produktpartner Absicherungskonzepte, Tarif-/Produktauswahl, Kommunikation mit Produktpartnern (NfH GbR Ludwigstraße 20, Versicherer, Banken, Depotstellen), Dokumentation.

    Datenarten:
    Stammdaten, Kontakt-/Kommunikationsdaten, Vertrags-/Leistungsdaten, Finanzdaten, Familienstand/Haushalt, Ziele/Risikoprofil; bei Bedarf auch Erhebung von Gesundheitsdaten.

    Freiwilligkeit & Rechtsgrundlagen:
    Diese Angaben erfolgen freiwillig. Ohne Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verarbeiten wir keine Gesundheitsdaten. Weitere Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag/Anbahnung), Art. 6 Abs. 1 lit. c (rechtl. Pflichten), Art. 6 Abs. 1 lit. f (Dokumentation/Qualität/Abwehr), zudem § 213 VVG für Datenabrufe durch Versicherer.

    Empfänger:
    je nach Vorgang ausgewählte Produktpartner/Dienstleister/ Versicherungsvermittler oder Makler (hier auch Mitglieder der Netzwerkgemeinschaft für Heilberufe, Ludwigstraße 20 in 09113 Chemnitz).

    Automatisierung/Profiling:
    optionales Scoring/Clustering zur Produktauswahl; keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung.

    Widerruf:
    Einwilligungen sind jederzeit mit Wirkung für die Zukunft widerrufbar.

    XV. Rechte der betroffenen Personen

    Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit.

    Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e/f DSGVO.

    Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

    Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde

    XVI. Änderungen

    Wir passen diese Erklärung an, wenn Dienste, Rechtslage oder Verarbeitungen sich ändern.
    Die aktuelle Fassung finden Sie stets auf unserer Website.

    Stand: September 2025, Chemnitz.

    Ergänzung zur Datenschutzerklärung – Online‑Befragungen &
    (optionale) KI‑Auswertung

    Geltungsbereich:

    Befragungen im Rahmen von Kundenprojekten (Praxis-/Teamchecks, Personalgesprächsbögen, Bewerber‑Interviews, Verbesserungsabfragen) sowie eigene COMES‑Befragungen.

    1. Ziel & Geltungsbereich

    Dieser Abschnitt regelt die Verarbeitung personenbezogener Daten im Rahmen von Online‑Befragungen zur Organisations‑ und Teamentwicklung (z. B. jährliche Praxis-/Stimmungschecks, strukturierte Personalgesprächsbögen, Bewerber‑Interviews, Verbesserungsabfragen) sowie deren Auswertung (inkl. optionaler KI‑gestützter Cluster/Textanalysen). Ergebnisse werden primär aggregiert und – wo zugesagt – anonym berichtet. Es finden keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung
    statt.

    2. Verantwortlichkeit & Rollen

    Wir handeln – je nach Projekt – in unterschiedlichen Rollen:

    Auftragsverarbeitung (Art. 28 DSGVO):
    Die jeweilige Kundenpraxis ist Verantwortliche; COMES MEDICORUM ist Auftragsverarbeiter (Umsetzung nach dokumentierter AV‑Vereinbarung).

    Gemeinsame Verantwortlichkeit (Art. 26 DSGVO):
    Bei gemeinsam bestimmten Zwecken und Mitteln (z. B. gemeinsames Befragungsdesign, gemeinsame Auswertungsentscheidungen) schließen wir eine Vereinbarung nach Art. 26 mit transparenter Zuständigkeitsregelung.

    Eigene Verantwortlichkeit:
    Für eigene COMES‑Befragungen (z. B. Newsletter‑Feedback) ist COMES MEDICORUM Verantwortliche.

    3. Zwecke der Verarbeitung

    • Organisations‑ und Teamentwicklung, Qualitäts‑ und Zufriedenheitsmessung
    • Vorbereitung/Strukturierung von Personalgesprächen
    • Bewerber‑Interviews/strukturierte Auswahlverfahren
    • Identifikation von Verbesserungspotenzialen, Trendverfolgung
    • Interne Qualitätssicherung, Dokumentation

    4. Datenkategorien

    • Rollen-/Strukturdaten: Bereich/Team/Standort/Funktion, Erfahrungsstufe
    • Antwortdaten: Skalen, Auswahlen, Freitexte (sensibler Inhalt wird vermieden/bereinigt)
    • Metadaten: Einladungs‑Token, Zeitpunkt, Status (begonnen/abgeschlossen)
    • Technische Daten auf Umfrage‑Seiten (nur soweit erforderlich):
    • Session‑IDs/Cookies/Local‑Storage, verkürzte IP

    5. Rechtsgrundlagen

    • Beschäftigte/Bewerber:innen: § 26 BDSG (inkl. Bewerbungsverfahren), ggf. Art. 6 Abs. 1 lit. b DSGVO
    • Freiwillige Zusatzangaben: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO (Widerruf jederzeit)
    • Externe Teilnehmende (z. B. Kund:innen/Partner): Art. 6 Abs. 1 lit. a oder lit. f DSGVO (Interessenabwägung dokumentiert)
    • Besondere Kategorien (Art. 9 DSGVO) werden grundsätzlich nicht erhoben; in Ausnahmefällen nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a). Teilnahme ist freiwillig; keine Nachteile bei Nichtteilnahme

    6. Freiwilligkeit, Anonymität & Berichtsschwellen

    • Teilnahme stets freiwillig; Opt‑out/Widerruf jederzeit möglich.
    • Trennung von Identifikations‑/Kontaktdaten und Antwortdaten; Einsatz pseudonymer Tokens.
    • K‑Anonymität: keine Subgruppen‑Berichte bei weniger als 5 Antworten je Filter (empfohlen).
    • Personalisierte Auswertungen nur, wenn zweckbedingt erforderlich und transparent kommuniziert (z. B. Bewerber‑Interview).

    7. Technik, Cookies & Plattformen (EU‑Hosting)

    Umfrage‑Seiten setzen nur technisch erforderliche Endgerätezugriffe/Cookies (§ 25 Abs. 2 Nr. 2 TDDDG) ein; weitergehende Cookies/Tracker nur nach Einwilligung (§ 25 Abs. 1 TDDDG) über ein eigenständiges Consent‑Banner auf der Umfrage‑Subdomain.

    Bevorzugte Tools/Plattformen (EU‑Hosting): LimeSurvey (EU‑Server), Matomo (self‑hosted/EU), Microsoft 365 EU (Formulare/Files/SharePoint/OneDrive).

    Details inkl. Cookie‑IDs/Speicherdauern werden im Consent‑Banner bzw. in der Dienstleister‑Liste bereitgestellt.

    8. Empfänger & Auftragsverarbeiter

    • Interne Stellen (Need‑to‑know), Evaluations‑/Projektteam
    • IT/Hosting, Umfrage‑/Analyse‑/KI‑Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO)
    • Stets aktuelle Dienstleister‑/Subprozessor‑Liste: (enthält Zweck, Rechtsgrundlage, Speicherort, Löschfristen).

    9. Drittlandübermittlungen

    Standardmäßig keine Drittlandübermittlungen, da EU‑Hosting bevorzugt wird (LimeSurvey/Matomo/M365 EU).

    Falls im Einzelfall Drittlandbezug unvermeidbar ist, erfolgt dies nur bei Angemessenheitsbeschluss oder auf Basis von SCC zzgl. Transfer‑Risiko‑Bewertung und ggf. Zusatzmaßnahmen (Details im Projekt‑Steckbrief/Verarbeitungsverzeichnis).

    10. Speicherdauer & Löschung

    Projekt‑Rohdaten (pseudonymisiert, potentiell rückführbar): max. 12 Monate nach Projektabschluss.

    Aggregierte/anonymisierte Berichte: 3-5 Jahre zur Trendverfolgung/Dokumentation.

    Bewerbungsdaten: nach Abschluss des Verfahrens i. d. R. 6 Monate (AGG/ArbGG‑Fristen), längere Aufbewahrung nur mit Einwilligung (Talent‑Pool).

    11. Automatisierte Entscheidungen/Profiling

    Keine Entscheidungen ausschließlich automatisiert mit Rechtswirkung oder ähnlicher erheblicher Beeinträchtigung.

    Scorings/Cluster dienen ausschließlich als Entscheidungshilfe und werden manuell überprüft.

    12. Sicherheit (TOMs – ergänzend)

    • Projekt‑IDs statt Namen, getrennte Schlüsselverwaltung
    • RBAC/Least‑Privilege, Protokollierung/Monitoring, Verschlüsselung in‑Transit/at‑rest
    • Regelmäßige Lösch‑/Anonymisierungsjobs, Subgruppen‑Sperren (< 5)
    • Data‑Loss‑Prevention (M365 EU), Härtung von Survey‑Instanzen, regelmäßige
    • Updates/Backups/Recovery‑Tests

    13. Betriebsrat/MAV

    Bei Befragungen mit Beschäftigtenbezug unterstützen wir die Mitbestimmung (z. B. Betriebsvereinbarung) gemäß § 87 Abs. 1 Nr. 6 BetrVG.

    14. Datenschutz‑Folgenabschätzung (Art. 35 DSGVO)

    Vor Projektstart prüfen wir, ob eine DSFA erforderlich ist (z. B. regelmäßige, großflächige Beschäftigten‑Analysen mit Leistungsbezug). Falls ja, führen wir diese durch und binden ggf. den/die Datenschutzbeauftragte:n der Kundenpraxis ein.

    15. Transparenz‑Kurzhinweis (für den Beginn jeder Umfrage)

    Teilnahme freiwillig; keine Nachteile bei Nichtteilnahme. Auswertung aggregiert/anonym; keine Subgruppen‑Berichte bei < 5 Antworten. Datenminimierung: getrennte Speicherung von Kontakt‑ und Antwortdaten; Widerruf/Opt‑out jederzeit über den Link in der Einladung. Verantwortliche/r/Ansprechpartner: Jan Slanina. Löschfristen: Rohdaten 12 Monate, Berichte 3-5 Jahre.

    16. Versionskontrolle

    Diese Ergänzung wird fortlaufend aktualisiert, wenn Tools, Rechtslage oder Prozesse sich ändern. Die aktuelle Fassung ist auf unserer Website verfügbar (siehe Link zur Dienstleister‑/Subprozessor‑Liste)

    Stand: September 2025, Chemnitz