Datenschutzerklärung für Spotwave Studio 1. Allgemeine Hinweise zur Datenverarbeitung Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Diese Datenschutzerklärung informiert Sie umfassend über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf unserer Website spotwave.studio sowie auf unseren Social-Media-Auftritten (siehe Abschnitt 11). Rechtliche Grundlagen Wir verarbeiten personenbezogene Daten im Einklang mit: • Datenschutz-Grundverordnung (DSGVO) • Bundesdatenschutzgesetz (BDSG) • Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) Grundsätze der Datenverarbeitung Wir verpflichten uns zur Einhaltung der Datenschutzgrundsätze nach Art. 5 DSGVO: • Verarbeitung nur mit gültiger Rechtsgrundlage oder Ihrer Einwilligung • Transparenz gegenüber betroffenen Personen • Zweckbindung und Datenminimierung • Gewährleistung der Datensicherheit durch geeignete technische und organisatorische Maßnahmen (insbesondere SSL/TLS-Verschlüsselung) Ihre Rechte im Überblick Als betroffene Person haben Sie umfangreiche Rechte. Diese sind in Abschnitt 13 detailliert beschrieben. 2. Verantwortlicher für die Datenverarbeitung Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist: Spotwave Studio eGbR Philip Noah Knapp, Gianni Seeger Bierwiesenstraße 2 72770 Reutlingen Deutschland Kontakt: Telefon: +49 175 8651302 E-Mail: info@spotwave.studio Datenschutzbeauftragter Wir haben einen externen Datenschutzbeauftragten nach Art. 37 DSGVO benannt: EasyDataSec GmbH Maximilian Schneider Gerbergasse 3 72534 Hayingen Deutschland Kontakt: Telefon: +49 151 42045299 E-Mail: info@easydatasec.de Bei allen Fragen und Anregungen zum Datenschutz können Sie sich jederzeit direkt an unseren Datenschutzbeauftragten wenden. Ihre Anfragen werden vertraulich behandelt. „Verantwortliche Stelle" ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). 3. Erfassung allgemeiner Daten beim Website-Besuch Kurz gesagt: Beim Besuch unserer Website werden automatisch technische Daten in Server-Logfiles erfasst. Diese Daten sind für den sicheren Betrieb der Website notwendig. Folgende Daten werden bei jedem Seitenaufruf verarbeitet • IP-Adresse des Nutzers (anonymisiert) • Datum und Uhrzeit des Zugriffs • Aufgerufene URL und übertragene Datenmenge • Browsertyp und -version • Betriebssystem • Referrer-URL (zuvor besuchte Seite) • HTTP-Statuscodes und Server-Antworten Details Zweck Technische Bereitstellung der Website, Gewährleistung der Systemsicherheit, Erkennung und Abwehr von Cyberangriffen, Fehlerdiagnose Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am ordnungsgemäßen und sicheren Betrieb der Website) Speicherdauer Maximal 30 Tage, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erfordern Widerspruchsrecht Technisch nicht möglich, da die Verarbeitung für den Website-Betrieb erforderlich ist 4. Hosting Unsere Website wird bei einem externen Dienstleister gehostet. Sämtliche Daten, die auf unserer Website erfasst werden, werden auf den Servern des Hosters verarbeitet und gespeichert. Onepage (Hosting und Website-Builder) Wir nutzen Onepage als Website-Builder und Hosting-Plattform. Sämtliche personenbezogene Daten, die Sie auf unserer Website eingeben (zum Beispiel über das Kontaktformular) oder die automatisch beim Website-Besuch erfasst werden, werden auf den Servern von Onepage verarbeitet und gespeichert. Anbieter Onepage GmbH, Neue Rothofstr. 13-19, 60313 Frankfurt am Main, Deutschland Verarbeitete Daten IP-Adressen, Server-Logfiles, Zugriffsdaten, Formulareingaben, Website-Inhalte Zweck Bereitstellung und sicherer Betrieb der Website-Infrastruktur Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer professionellen Bereitstellung unserer Website) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung Keine (deutscher Anbieter) Datenschutzerklärung onepage.io/de/datenschutzerklarung Speicherdauer Solange für den Betrieb der Website erforderlich oder gesetzliche Aufbewahrungsfristen bestehen 5. Cookies und Consent-Management Unsere Website verwendet Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und bestimmte Funktionen ermöglichen. Cookie-Kategorien Kategorie Beschreibung Einwilligung nötig? Essentielle Cookies Für Grundfunktionen der Website erforderlich (z. B. Speicherung Ihrer Cookie-Einstellungen) Nein Funktionale Cookies Erweiterte Funktionalitäten (z. B. Sprache, eingebettete Inhalte) Ja Performance- und Analyse-Cookies Auswertung des Nutzerverhaltens zur Website-Optimierung Ja Marketing-Cookies Personalisierte Werbung und Conversion-Tracking Ja Consent-Management durch Onepage Auf unserer Website setzen wir das integrierte Consent-Management-Tool von Onepage ein, um Ihre Einwilligung zur Speicherung bestimmter Cookies einzuholen und datenschutzkonform zu dokumentieren. Einwilligungspflichtige Cookies und Tracking-Technologien werden erst nach Ihrer aktiven Einwilligung geladen. Verarbeitete Daten: Einwilligungsstatus, Cookie-Präferenzen, Zeitstempel der Einwilligung, anonymisierte IP-Adresse Eingesetzte Onepage-Cookies Cookie-Name Zweck Typ Speicherdauer one_consent_settings Speichert Ihre Cookie-Einwilligungen Essentiell, First-Party Bis zum Widerruf one_stats_metadata Speichert anonyme Metadaten zur Nutzungsanalyse Onepage, First-Party Session Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einholung und Dokumentation der Einwilligung) in Verbindung mit § 25 TDDDG. Widerruf jederzeit möglich: Sie können Ihre erteilte Einwilligung jederzeit über die Cookie-Einstellungen auf unserer Website widerrufen oder anpassen. 6. Analyse-Tools Zur Optimierung unserer Website und unseres Angebots setzen wir Analyse-Tools ein. Diese werden nur nach Ihrer ausdrücklichen Einwilligung aktiviert. Onepage Analytics Onepage Analytics ist ein integriertes Webanalyse-Tool, das anonyme Nutzungsstatistiken über Besucher unserer Website erfasst. Anbieter Onepage GmbH, Neue Rothofstr. 13-19, 60313 Frankfurt am Main, Deutschland Verarbeitete Daten Anonyme Metadaten zum Besucherverhalten, aufgerufene Seiten, Verweildauer, technische Informationen (Browser, Gerät) Zweck Anonyme Nutzungsanalyse zur Optimierung unseres Webangebots Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Webanalyse) Drittlandübermittlung Keine (deutscher Anbieter) Speicherdauer Maximal 14 Monate Google Analytics 4 Wir nutzen Google Analytics 4 zur statistischen Auswertung des Nutzerverhaltens auf unserer Website. Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA) Zweck Analyse der Website-Nutzung, Optimierung des Angebots, Erstellung von Statistiken Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung USA, abgesichert über das EU-US Data Privacy Framework (DPF). Google ist DPF-zertifiziert: dataprivacyframework.gov Datenschutzerklärung policies.google.com/privacy Speicherdauer Maximal 14 Monate Verarbeitete Datenkategorien: • IP-Adresse (anonymisiert / gekürzt) • Geräte-Informationen (Browser, Betriebssystem) • Aufgerufene Seiten und Verweildauer • Klick- und Scrollverhalten • Herkunfts-URL (Referrer) • Ungefährer Standort (basierend auf IP) Eingesetzte Cookies: Cookie-Name Zweck Speicherdauer _ga Unterscheidung von Nutzern 2 Jahre _gat Drosselung der Anfragerate 1 Minute _gid Unterscheidung von Nutzern 24 Stunden Widerspruchsrecht: Sie können die Erfassung über unsere Cookie-Einstellungen widerrufen oder das Browser-Plugin von Google nutzen: tools.google.com/dlpage/gaoptout Google Tag Manager Wir nutzen den Google Tag Manager zur Verwaltung unserer Tracking-Skripte (Container-ID: GTM-TT4J9J3N). Der Google Tag Manager selbst erfasst keine personenbezogenen Daten, sondern dient ausschließlich der technischen Verwaltung der eingebundenen Tools (z. B. Google Analytics, Google Ads, Meta Pixel). Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Verarbeitete Daten Anonymisierte IP-Adresse zur technischen Auslieferung Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Verwaltung von Website-Tags). Die über den Tag Manager geladenen Tools werden nur nach Ihrer Einwilligung aktiviert. Drittlandübermittlung USA, abgesichert über das EU-US Data Privacy Framework (DPF) Datenschutzerklärung policies.google.com/privacy Leadinfo (B2B-Besucher-Identifikation) Kurz gesagt: Leadinfo erkennt anhand der IP-Adresse, welche Unternehmen unsere Website besucht haben. Einzelne Personen werden dabei nicht identifiziert. Wir nutzen den Lead-Generation-Service von Leadinfo. Dieser erkennt Besuche von Unternehmen auf unserer Website anhand von IP-Adressen und gleicht diese mit einer Datenbank öffentlich zugänglicher Unternehmensinformationen ab. So können wir nachvollziehen, welche Firmen unsere Website besucht haben. Anbieter Leadinfo B.V., Rivium Quadrant 141, 2909 LC Capelle aan den IJssel, Niederlande Zweck B2B-Lead-Generierung und Identifikation interessierter Unternehmen Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 TDDDG (Einwilligung) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung Keine (EU-Anbieter, Sitz in den Niederlanden) Datenschutzerklärung leadinfo.com/de/rechtliches/datenschutz/ Speicherdauer Maximal 12 Monate Verarbeitete Datenkategorien: • IP-Adresse (wird nicht dauerhaft gespeichert) • Öffentlich verfügbare Unternehmensinformationen (Firmenname, Adresse, Branche) • Nutzungsverhalten auf der Website (besuchte Seiten, Verweildauer) • Domains aus Formulareingaben (zur Verbesserung der Service-Qualität) Eingesetzte Cookies: Leadinfo setzt zwei First-Party-Cookies zur Auswertung des Nutzerverhaltens. Diese werden nicht mit anderen Informationen verknüpft und nicht an Dritte weitergegeben. Opt-out: Sie können der Datenerfassung jederzeit unter folgendem Link widersprechen: leadinfo.com/en/opt-out 7. Marketing-Tools und Conversion-Tracking Zur Messung der Wirksamkeit unserer Werbekampagnen und zur Optimierung unserer Marketing-Maßnahmen setzen wir Marketing- und Tracking-Tools ein. Diese werden ausschließlich nach Ihrer ausdrücklichen Einwilligung aktiviert. Meta Pixel (Facebook und Instagram) Wir nutzen den Meta Pixel (ID: 2133656990497142) zur Messung von Conversions unserer Werbekampagnen auf Facebook und Instagram. Über den Pixel kann nachvollzogen werden, welche Handlungen Nutzer nach dem Klick auf eine Meta-Werbeanzeige auf unserer Website durchführen. Anbieter Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Mutterkonzern: Meta Platforms, Inc., USA) Zweck Conversion-Tracking, Custom Audiences, Lookalike-Audiences und Retargeting Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 TDDDG (Einwilligung) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung USA, abgesichert über das EU-US Data Privacy Framework (DPF). Meta ist DPF-zertifiziert. Datenschutzerklärung facebook.com/privacy/policy Speicherdauer Bis zu 180 Tage, danach Anonymisierung Verarbeitete Datenkategorien: • IP-Adresse • Pixel-ID und Cookie-Daten • Conversion-Events (z. B. Formularabsendungen, Seitenaufrufe) • Geräte- und Browser-Informationen • Facebook-Nutzer-ID (sofern bei Facebook angemeldet) Eingesetzte Cookies: Cookie-Name Anbieter Speicherdauer Zweck _fbp Facebook 4 Monate Identifikation von Browsern für Werbezwecke Hinweis zu US-Übermittlungen: Trotz DPF-Zertifizierung können US-Behörden grundsätzlich auf die übermittelten Daten zugreifen. Gemeinsame Verantwortlichkeit: Hinsichtlich der Erhebung und Übermittlung von Daten besteht eine gemeinsame Verantwortlichkeit mit Meta gem. Art. 26 DSGVO. Details: facebook.com/legal/controller_addendum Widerspruchsrecht: Widerruf der Einwilligung über unsere Cookie-Einstellungen oder über die Facebook-Werbeeinstellungen: facebook.com/settings?tab=ads Google Ads Conversion-Tracking Wir nutzen das Conversion-Tracking von Google Ads zur Messung des Erfolgs unserer Werbekampagnen bei Google. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen und dort eine bestimmte Aktion ausführen (z. B. Absenden des Kontaktformulars), wird dies über einen Cookie an Google übermittelt. Anbieter Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Zweck Messung der Werbe-Performance, Optimierung von Google-Ads-Kampagnen, Remarketing Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 TDDDG (Einwilligung) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung USA, abgesichert über das EU-US Data Privacy Framework (DPF) Datenschutzerklärung policies.google.com/privacy Speicherdauer Maximal 540 Tage Verarbeitete Datenkategorien: • Click-ID (GCLID) • Conversion-Events und Goal-Completions • IP-Adresse • Geräte- und Browser-Informationen Widerspruchsrecht: Widerruf der Einwilligung über unsere Cookie-Einstellungen oder die Google-Werbeeinstellungen: adssettings.google.com 8. Eingebundene Inhalte Dritter Elfsight Google Bewertungen Widget Auf unserer Website ist ein Widget des Anbieters Elfsight zur Darstellung unserer Google-Bewertungen eingebunden. Beim Aufruf der Seite werden Daten an Elfsight übermittelt, um das Widget bereitzustellen. Anbieter Elfsight, LLC, Paronyana str 19/3, 201, Yerevan 0015, Armenien Zweck Anzeige unserer Google-Bewertungen auf der Website zur Vertrauensbildung Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 TDDDG (Einwilligung) sowie Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung für Drittlandübermittlung) Drittlandübermittlung Armenien (siehe Hinweis unten) sowie ggf. USA (Google) Datenschutzerklärung elfsight.com/privacy-policy/ Speicherdauer Gemäß den Cookie-Laufzeiten bzw. bis zum Widerruf der Einwilligung Verarbeitete Datenkategorien: • IP-Adresse • Browser- und Geräteinformationen • Referrer-URL • Interaktionen mit dem Widget Eingesetzte Cookies (über Elfsight bzw. Cloudflare als Sicherheitsdienst von Elfsight): Cookie-Name Anbieter Typ Speicherdauer Zweck elfsight_viewed_recently Elfsight Funktional Langfristig Funktionaler Cookie _cfuvid Cloudflare Session Session Sicherheits-Cookie zur Rate-Limiting-Identifikation __cf_bm Cloudflare Session Session Bot-Management-Cookie zum Schutz vor automatisiertem Traffic m Stripe Marketing 10 Jahre Wird über Elfsight gesetzt (Stripe ist Zahlungsdienstleister von Elfsight zur Anbieterabrechnung) Wichtiger Hinweis zur Drittlandübermittlung nach Armenien: Bei der Nutzung des Elfsight-Widgets werden personenbezogene Daten nach Armenien übermittelt. Für Armenien liegt kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vor. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie auf Basis Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Es besteht das Risiko, dass armenische Behörden auf Ihre Daten zugreifen können und durchsetzbare Rechte sowie wirksame Rechtsbehelfe möglicherweise nicht in vollem Umfang gewährleistet sind. Hinweis zu Google: Beim Laden der Bewertungen können zusätzlich Daten an Google übermittelt werden (Anbieter: Google Ireland Limited; Drittlandübermittlung USA über EU-US Data Privacy Framework). Widerspruchsrecht: Widerruf der Einwilligung jederzeit über unsere Cookie-Einstellungen. 9. Kontaktmöglichkeiten und Formulare Wenn Sie mit uns in Kontakt treten, verarbeiten wir Ihre personenbezogenen Daten zur Bearbeitung Ihrer Anfrage und für eventuelle Rückfragen. Kontaktformular auf /termin Auf unserer Terminanfrage-Seite (spotwave.studio/termin) können Sie über ein Kontaktformular eine Anfrage an uns senden. Verarbeitete Datenkategorien: • Name (Pflichtfeld) • E-Mail-Adresse (Pflichtfeld) • Telefonnummer (Pflichtfeld) • Land (Pflichtfeld) • Zeitstempel der Übermittlung • IP-Adresse (technisch bedingt) Zweck Bearbeitung Ihrer Terminanfrage, Kontaktaufnahme zur Vereinbarung eines Erstgesprächs, Vertragsanbahnung Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragsanbahnung) Datenempfänger Speicherung auf den Servern unseres Website-Anbieters Onepage (siehe Abschnitt 4) und parallel automatische Übermittlung an unser CRM-System LeadTable (siehe Abschnitt 10) Speicherdauer: Wir speichern Ihre Daten, solange sie zur Bearbeitung Ihres Anliegens und für etwaige Anschlussfragen erforderlich sind. Kommt eine Geschäftsbeziehung zustande, gelten die gesetzlichen Aufbewahrungsfristen (insbesondere 6 bzw. 10 Jahre nach HGB und AO). Andernfalls werden die Daten spätestens 12 Monate nach dem letzten Kontakt gelöscht, sofern keine Einwilligung zur weiteren Speicherung vorliegt. E-Mail-Kontakt Wenn Sie uns per E-Mail an info@spotwave.studio kontaktieren, werden Ihre Angaben (E-Mail-Adresse, Name, Nachrichteninhalt) zur Bearbeitung der Anfrage gespeichert. E-Mail-Hosting-Anbieter IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung Keine (deutscher Anbieter) Datenschutzerklärung ionos.de/terms-gtc/datenschutzerklaerung/ Telefonkontakt Bei telefonischer Kontaktaufnahme über +49 175 8651302 werden Ihre Kontaktdaten und Gesprächsinhalte – soweit für die Bearbeitung Ihres Anliegens erforderlich – gespeichert. Eine Aufzeichnung des Gesprächs findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). 10. CRM-System LeadTable Zur Verwaltung und Bearbeitung Ihrer Kontaktanfragen sowie zur Pflege unserer Kundenbeziehungen nutzen wir das CRM-System LeadTable. Anfragen über unser Kontaktformular werden automatisch in LeadTable übertragen. Anbieter Katiba Technology UG (haftungsbeschränkt), Heisinger Straße 12, 87437 Kempten (Allgäu), Deutschland (Software „LeadTable") Zweck Strukturierte Verwaltung von Leads und Kundenanfragen, effiziente Bearbeitung und Nachverfolgung Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Kundenbeziehungsmanagement) Auftragsverarbeitung Vertrag gem. Art. 28 DSGVO besteht Drittlandübermittlung Datenspeicherung erfolgt ausschließlich auf Servern in Deutschland. Im Rahmen des E-Mail-Versands können nicht-personenbezogene Daten gemäß Auftragsverarbeitungsvertrag außerhalb der EU verarbeitet werden. Datenschutzerklärung lead-table.com/datenschutz Speicherdauer Siehe Abschnitt 9 (Kontaktformular) Verarbeitete Datenkategorien: • Name, E-Mail-Adresse, Telefonnummer, Land • Inhalt der Anfrage und Kommunikationshistorie • Status und Notizen zur Bearbeitung der Anfrage 11. Unsere Social-Media-Auftritte Diese Datenschutzerklärung gilt auch für unsere Profile auf den nachfolgend aufgeführten Social-Media-Plattformen. Über diese Profile informieren wir über unsere Leistungen, teilen Content und treten in Austausch mit Interessenten und Kunden. Übersicht unserer Profile Plattform Profil Anbieter Instagram @spotwave.studio Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland Facebook Spotwave Studio auf Facebook Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland TikTok @spotwave.studio TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, D02 T380, Irland LinkedIn Spotwave Studio auf LinkedIn LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland YouTube Spotwave Studio auf YouTube Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Allgemeine Hinweise zur Datenverarbeitung auf Social-Media-Plattformen Wichtig: Wenn Sie unsere Social-Media-Profile besuchen, verarbeiten die jeweiligen Plattformbetreiber automatisch personenbezogene Daten von Ihnen. Auf diese Verarbeitung haben wir nur sehr eingeschränkten Einfluss. Wir können nicht garantieren, wie die Plattformen die Daten konkret verwenden, an wen sie diese weitergeben und für wie lange sie diese speichern. Welche Daten werden typischerweise verarbeitet? • IP-Adresse und Geräteinformationen (Browser, Betriebssystem) • Standortdaten (sofern aktiviert) • Inhalte Ihrer Interaktionen mit unserem Profil (Likes, Kommentare, geteilte Inhalte, Direktnachrichten, Klicks) • Bei eingeloggten Nutzern: Profildaten (Name, Profilbild, Verbindungen, Interessen) • Nutzungsverhalten (Verweildauer, angesehene Beiträge) Zweck der Verarbeitung durch die Plattformen: • Bereitstellung der Plattform-Funktionen • Reichweitenmessung und Analyse-Statistiken • Personalisierte Werbung und Inhalte • Marktforschung • Verknüpfung mit weiteren Nutzerdaten zur Profilbildung Rechtsgrundlage für unseren Social-Media-Auftritt: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zeitgemäßen Außendarstellung und Kommunikation mit unserer Zielgruppe). Soweit Sie als Nutzer aktiv mit uns in Kontakt treten (z. B. per Direktnachricht oder Kommentar), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Gemeinsame Verantwortlichkeit (Joint Controllership) Für die Erhebung und Verarbeitung sogenannter „Insights-Daten" (anonymisierte statistische Auswertungen über Besucher unserer Profile) sind wir und der jeweilige Plattformbetreiber gemeinsam verantwortlich im Sinne von Art. 26 DSGVO. Die Plattformbetreiber stellen uns aggregierte Statistiken (z. B. Reichweite, Demografie, Interaktionen) zur Verfügung, ohne dass wir auf die zugrundeliegenden personenbezogenen Daten zugreifen können. Mit folgenden Anbietern bestehen entsprechende Vereinbarungen über gemeinsame Verantwortlichkeit: Plattform Vereinbarung zur gemeinsamen Verantwortlichkeit Meta (Facebook, Instagram) facebook.com/legal/terms/page_controller_addendum LinkedIn legal.linkedin.com/pages-joint-controller-addendum Hinweis: Für die Ausübung Ihrer Betroffenenrechte gegenüber den Plattformen wenden Sie sich am besten direkt an die jeweiligen Anbieter, da diese den umfassendsten Zugriff auf Ihre Daten haben. Selbstverständlich können Sie sich auch an uns wenden – wir leiten Ihre Anfrage dann an den zuständigen Anbieter weiter. Drittlandübermittlung Die Mutterkonzerne der Plattformbetreiber haben ihren Sitz in den USA bzw. China (TikTok). Bei der Nutzung der Plattformen werden personenbezogene Daten in diese Drittländer übermittelt. Plattform Drittland Rechtsgrundlage Meta (Facebook, Instagram) USA EU-US Data Privacy Framework (DPF) – Meta ist DPF-zertifiziert LinkedIn USA EU-US Data Privacy Framework (DPF) – LinkedIn ist DPF-zertifiziert YouTube (Google) USA EU-US Data Privacy Framework (DPF) – Google ist DPF-zertifiziert TikTok Vereinigtes Königreich, Singapur, USA (Mutterkonzern ByteDance, China) Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO Hinweis zu Risiken: Bei Übermittlungen in die USA bzw. an TikTok bestehen grundsätzlich Risiken, dass Behörden dieser Länder auf Ihre Daten zugreifen können, ohne dass Sie hiergegen wirksame Rechtsbehelfe haben. Datenschutzerklärungen der Plattformen Detaillierte Informationen zur Datenverarbeitung durch die jeweiligen Plattformen finden Sie in den dortigen Datenschutzerklärungen: • Instagram / Meta: facebook.com/privacy/policy • Facebook / Meta: facebook.com/privacy/policy • TikTok: tiktok.com/legal/page/eea/privacy-policy/de • LinkedIn: linkedin.com/legal/privacy-policy • YouTube / Google: policies.google.com/privacy Ihre Rechte und Einstellungsmöglichkeiten Sie können das Tracking durch die Plattformen weitgehend einschränken, indem Sie: • Sich vor dem Besuch unserer Profile aus Ihrem jeweiligen Plattform-Account ausloggen • Tracking-Cookies in Ihrem Browser blockieren oder löschen • Werbeeinstellungen direkt bei der jeweiligen Plattform anpassen: o Meta-Werbeeinstellungen: facebook.com/settings?tab=ads o TikTok-Einstellungen: tiktok.com/privacy/overview o LinkedIn-Einstellungen: linkedin.com/psettings/privacy o Google-Werbeeinstellungen: adssettings.google.com Direkter Kontakt über Social Media Wenn Sie uns über die Kommentar- oder Nachrichtenfunktion der Plattformen kontaktieren, verarbeiten wir Ihre Angaben (z. B. Profilname, Nachrichteninhalt) zur Beantwortung Ihrer Anfrage. Bitte beachten Sie, dass diese Nachrichten auch über die Server der jeweiligen Plattform laufen und dort gespeichert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenkommunikation). Speicherdauer: Wir speichern Ihre Nachrichten, solange sie zur Bearbeitung Ihres Anliegens erforderlich sind, längstens jedoch 12 Monate nach dem letzten Kontakt. 12. Drittlandübermittlungen – Zusammenfassung Bei der Nutzung einiger der oben beschriebenen Dienste werden personenbezogene Daten in Drittländer außerhalb der Europäischen Union übermittelt. Wir haben für alle Drittlandübermittlungen geeignete Garantien gemäß Kapitel V DSGVO getroffen: Anbieter Land Rechtsgrundlage Drittlandtransfer Google (Analytics, Ads, Tag Manager, YouTube) USA EU-US Data Privacy Framework (DPF) Meta (Pixel, Facebook, Instagram) USA EU-US Data Privacy Framework (DPF) LinkedIn USA EU-US Data Privacy Framework (DPF) TikTok Vereinigtes Königreich, Singapur, USA (ByteDance, China) Standardvertragsklauseln (SCC) Elfsight Armenien Standardvertragsklauseln (SCC) + ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) Hinweis zu Risiken bei Drittlandübermittlungen: Bei Übermittlungen in die USA, nach Armenien sowie in den Einflussbereich chinesischer Behörden (TikTok / ByteDance) besteht grundsätzlich das Risiko, dass Behörden dieser Länder auf Ihre Daten zugreifen können, ohne dass Sie hiergegen wirksame Rechtsbehelfe haben. Wir weisen ausdrücklich darauf hin, dass Sie selbst entscheiden, ob Sie der Übermittlung Ihrer Daten in diese Länder durch Erteilung Ihrer Einwilligung im Cookie-Banner zustimmen bzw. durch Besuch unserer Social-Media-Auftritte in Kauf nehmen. 13. Rechte der betroffenen Personen Sie haben bezüglich der Verarbeitung Ihrer personenbezogenen Daten umfangreiche Rechte. Diese können Sie jederzeit unentgeltlich gegenüber uns geltend machen. So erreichen Sie uns: Wenden Sie sich für die Ausübung Ihrer Rechte jederzeit an info@spotwave.studio oder direkt an unseren Datenschutzbeauftragten unter info@easydatasec.de Ihre Rechte im Überblick

Recht Artikel Was es bedeutet Auskunft Art. 15 DSGVO Erfahren, welche Daten wir über Sie verarbeiten Berichtigung Art. 16 DSGVO Falsche Daten korrigieren oder ergänzen lassen Löschung Art. 17 DSGVO Verlangen, dass Ihre Daten gelöscht werden Einschränkung Art. 18 DSGVO Verarbeitung Ihrer Daten temporär einschränken Datenübertragbarkeit Art. 20 DSGVO Ihre Daten in einem maschinenlesbaren Format erhalten Widerspruch Art. 21 DSGVO Der Verarbeitung Ihrer Daten widersprechen Widerruf Art. 7 Abs. 3 DSGVO Eine erteilte Einwilligung zurückziehen Beschwerde Art. 77 DSGVO Sich bei einer Aufsichtsbehörde beschweren Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten. Ist dies der Fall, haben Sie Anspruch auf Auskunft über die Verarbeitungszwecke, die Datenkategorien, die Empfänger, die geplante Speicherdauer, das Bestehen Ihrer Rechte sowie die Herkunft der Daten. Recht auf Berichtigung (Art. 16 DSGVO) Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Recht auf Löschung – „Recht auf Vergessenwerden" (Art. 17 DSGVO) Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der gesetzlichen Löschungsgründe vorliegt (z. B. Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung, unrechtmäßige Verarbeitung). Das Recht besteht nicht, soweit die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung von Rechtsansprüchen erforderlich ist. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, insbesondere wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt. Widerspruchsrecht (Art. 21 DSGVO) Wichtig: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Dies gilt insbesondere auch für Direktwerbung und damit verbundenes Profiling. Bei einem Widerspruch werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Den Widerruf können Sie zum Beispiel über unser Cookie-Banner, per E-Mail oder schriftlich erklären. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg Königstraße 10a 70173 Stuttgart Telefon: +49 711 615541-0 E-Mail: poststelle@lfdi.bwl.de Website: baden-wuerttemberg.datenschutz.de Keine automatisierte Entscheidungsfindung

Wir setzen keine automatisierten Entscheidungsverfahren einschließlich Profiling im Sinne von Art. 22 DSGVO ein. 14. Datensicherheit Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen. Konkrete Schutzmaßnahmen • SSL/TLS-Verschlüsselung: Unsere Website nutzt eine SSL- bzw. TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung an der Adresszeile des Browsers (https://) und am Schloss-Symbol. • Zugriffskontrollen: Nur befugte Mitarbeiter haben Zugang zu personenbezogenen Daten. • Auftragsverarbeitungsverträge: Mit allen Auftragsverarbeitern bestehen Verträge gem. Art. 28 DSGVO. Trotz aller Maßnahmen können wir keinen absoluten Schutz garantieren, da die Datenübertragung im Internet (z. B. per E-Mail) grundsätzlich Sicherheitslücken aufweisen kann. 15. Aktualität und Änderung dieser Datenschutzerklärung Diese Datenschutzerklärung wird regelmäßig an aktuelle rechtliche und technische Entwicklungen angepasst. Bei wesentlichen Änderungen werden wir Sie auf geeignete Weise informieren. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.