Datenschutzerklärung

Verantwortliche & Kontakt

• Name: Heike Broßwitz
• Anschrift: Schanzenweg 2A, 23564 Lübeck, Deutschland
• E-Mail: heike@quantensprung.me
• Telefon: +49 (0) 173 999 7184
• Rechtsform: Einzelunternehmerin
• Datenschutzbeauftragte(r): nicht bestellt, da die gesetzlichen Voraussetzungen aktuell nicht vorliegen

Zwecke & Rechtsgrundlagen

Ich verarbeite Ihre Daten zu folgenden Zwecken und auf diesen Rechtsgrundlagen der DSGVO:

• Kontaktaufnahme und Beantwortung von Anfragen (Art. 6 Abs. 1 lit. b DSGVO – vorvertragliche Maßnahmen; alternativ lit. f DSGVO bei allgemeinen Anfragen)
• Durchführung von Unterricht, Workshops und Keynotes inkl. Terminabstimmung (Art. 6 Abs. 1 lit. b DSGVO)
• Zahlungsabwicklung und Rechnungsstellung, Erfüllung steuerrechtlicher Pflichten (Art. 6 Abs. 1 lit. b und lit. c DSGVO; HGB/AO)
• Betrieb der Website, IT-Sicherheit und Server-Logfiles (Art. 6 Abs. 1 lit. f DSGVO)
• Zukünftig: Newsletter/Marketing, Analyse- und Marketing-Cookies nur auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Telekommunikation‑Digitale‑Dienste‑Datenschutz‑Gesetz (TDDDG))

Hinweis (berechtigtes Interesse): Für auf Art. 6 Abs. 1 lit. f DSGVO gestützte Verarbeitungen (z. B. Logfiles, E-Mail-Hosting, Social-Links, OpenAI/GitHub ohne Kundendaten) habe ich eine Interessenabwägung (LIA) vorgenommen; diese stelle ich auf Anfrage bereit.

Verarbeitete Datenkategorien

• Kontaktformular: Name, E-Mail, Betreff, Nachricht
• Kommunikation im Vertragskontext: E-Mail-Inhalte und Metadaten
• Zukünftig bei Buchung/Zahlung: Rechnungs- und Zahlungsdaten, IP-Adresse, Buchungsdetails
• Website-Nutzungsdaten: technisch erforderliche Cookies/Logs; optional (nur bei Einwilligung): funktionale, Analytics- und Marketing-Cookies

Hinweis zur Datenherkunft: Ich erhalte personenbezogene Daten in der Regel direkt von Ihnen (z. B. über Formulare, E-Mail). In Einzelfällen stammen Daten aus öffentlichen Quellen (z. B. berufliche Profile), sofern für den jeweiligen Zweck zulässig.

Besondere Kategorien personenbezogener Daten

Mein Angebot richtet sich primär an Erwachsene im Kontext beruflicher und persönlicher Weiterentwicklung. Ich verarbeite keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) gezielt. Ich bitte Sie ausdrücklich darum, mir ohne vorherige Abstimmung keine Gesundheitsdaten oder anderen besonders sensiblen Angaben zu übermitteln. Sollten solche Angaben ausnahmsweise freiwillig übermittelt werden, verarbeite ich sie nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder sofern gesetzlich erlaubt.

Empfänger & Dienstleister

Ich setze sorgfältig ausgewählte Dienstleister ein. Einige Dienste werden als Auftragsverarbeiter nach Art. 28 DSGVO für mich tätig (z. B. Hosting, E-Mail, Rechnungstool). Dabei schließe ich mit diesen Dienstleistern Verträge zur Auftragsverarbeitung, die technische und organisatorische Maßnahmen sowie weitere datenschutzrechtliche Anforderungen festlegen. Andere Dienste agieren als eigene Verantwortliche (z. B. PayPal, Videokonferenzanbieter im Rahmen ihrer Plattformbetriebe), für die deren eigene Datenschutzinformationen gelten.

• Server/Backups: Hetzner Online GmbH (EU/EWR; DPA mit technischen und organisatorischen Maßnahmen (TOMs); ISO 27001; keine Drittlandübermittlung durch Hosting; Auftragsverarbeiter)
• E-Mail-Hosting, Kalender, Cloud/Kollaboration, Videokonferenzen: Microsoft 365 (inkl. Exchange Online/Outlook, Teams) (EU Data Boundary; ggf. internationale Übermittlungen abhängig von Konfiguration; Auftragsverarbeiter). Die Konfiguration von Microsoft 365 ist auf Datenminimierung und ein möglichst hohes Datenschutzniveau ausgerichtet (z. B. Nutzung der EU Data Boundary und Beschränkung optionaler Telemetriefunktionen).
• Videokonferenzen: Zoom Video Communications; Microsoft Teams; Google Meet/Workspace (jeweils EU/ggf. USA; Auftragsverarbeiter bzw. teilweise eigene Verantwortliche je nach Funktion)
• Zahlungsdienst (geplant): PayPal Europe S.à r.l. (Luxemburg; ggf. weltweite Unterauftragsverarbeiter; eigener Verantwortlicher)
• Versionsverwaltung/Backups: GitHub Inc. (USA; überwiegend eigener Verantwortlicher für Plattformbetrieb/Telemetrie; für bestimmte Enterprise‑Leistungen existieren gesonderte DPA‑Regelungen)
• KI-Assistenz für Materialerstellung: OpenAI (USA; Auftragsverarbeiter bei API/Business/Enterprise). Ich nutze OpenAI für die Erstellung und Überarbeitung von Lehr- und Unterrichtsmaterialien. Personenbezogene Daten von Kund:innen werden dabei grundsätzlich nicht übermittelt oder vorab anonymisiert bzw. pseudonymisiert. Soweit ich pseudonymisierte Daten verwende, ist mir bewusst, dass diese weiterhin als personenbezogene Daten gelten und ich sie entsprechend den Vorgaben der DSGVO schütze. Falls ausnahmsweise ein Personenbezug erforderlich sein sollte, hole ich vorher eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ein. Bei Nutzung über die OpenAI‑API/Business/Enterprise fließen Inhalte standardmäßig nicht ins Modelltraining; vertragliche Absicherung erfolgt über DPA/SCC.
• Rechnungs-/Buchhaltungstool: Ein konkretes Rechnungstool ist derzeit noch nicht im Einsatz. Sobald ich einen entsprechenden Dienst nutze, werde ich den Anbieter vorab als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich einbinden und diese Datenschutzerklärung um die entsprechenden Angaben ergänzen.
• Social Media: Facebook/Instagram (Meta), LinkedIn (nur Verlinkungen/Profil-Auftritte; keine eingebetteten Pixel ohne Einwilligung; eigene Verantwortliche)

Hinweis Hosting: Das Hosting meiner Website (Server/Backups) erfolgt bei Hetzner innerhalb der EU/EWR. Für E-Mail-Kommunikation und Kollaboration nutze ich Microsoft 365. Ich habe mit Hetzner eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen. Für das Webhosting bei Hetzner findet keine Drittlandübermittlung statt; bei Microsoft 365 können – abhängig von Konfiguration und Supportprozessen – Übermittlungen in Drittländer (insb. USA) erfolgen, abgesichert nach Art. 44 ff. DSGVO (EU Data Boundary, ggf. SCC/DPF).

Datenübermittlungen in Drittländer

Für das Hosting der Website bei Hetzner findet keine Übermittlung in Drittländer statt; die Verarbeitung erfolgt in Rechenzentren innerhalb der EU/EWR.

Bei der Nutzung von Microsoft 365 (E-Mail, Kalender, Kollaboration, Teams) können – trotz EU Data Boundary – in Einzelfällen Drittlandübermittlungen (z. B. im Rahmen von Support- oder Diagnosedaten) stattfinden. Diese erfolgen auf Grundlage von Art. 44 ff. DSGVO (insb. EU-Standardvertragsklauseln und ggf. EU-U.S. Data Privacy Framework, soweit der jeweilige Microsoft-Dienst erfasst ist).

Bei einzelnen anderen Dienstleistern kann es zu Übermittlungen in Drittländer (insb. USA) kommen. Soweit der jeweilige Dienst am EU-U.S. Data Privacy Framework teilnimmt, erfolgen Übermittlungen in die USA auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO (EU-U.S. Data Privacy Framework). In anderen Fällen stütze ich Übermittlungen in Drittländer auf geeignete Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) und zusätzliche Schutzmaßnahmen. Trotz Schutzmaßnahmen bleibt bei Übermittlungen in die USA ein Restrisiko (Schrems II).

Speicherdauern

• Kontaktanfragen: ca. 1–3 Jahre (sofern kein Vertrag zustande kommt)
• Vertrags- und Kommunikationsdaten mit Buchhaltungsbezug: bis zu 10 Jahre (HGB § 257, AO § 147, GoBD)
• Rechnungsunterlagen: 10 Jahre (HGB § 257, AO § 147, GoBD)
• Newsletterdaten: bis Widerruf (spätestens ca. 3 Jahre nach letztem Kontakt)
• Log-/Statistikdaten (toolabhängig): ca. 6–12 Monate

Cookies/Consent nach TDDDG

• Technisch notwendige Speicher-/Abruftechniken: für Betrieb/Sicherheit der Website zwingend erforderlich; Einsatz nach § 25 Abs. 2 TDDDG (keine Einwilligung erforderlich)
• Zustimmungsbedürftige Speicher-/Abruftechniken (z. B. Cookies, Local Storage): funktional, Analytics, Marketing – nur mit Einwilligung (§ 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO)
• Consent-Management: Über das Consent‑Banner (Eigenlösung) können Sie Kategorien wählen, Einwilligungen erteilen/widerrufen und Einstellungen jederzeit ändern. Nicht erforderliche Skripte/Tags werden bis zur aktiven Einwilligung blockiert (opt‑in‑only). Die Ablehnung ist so einfach wie die Zustimmung. Das Banner bietet auf der ersten Ebene gleichwertige Optionen „Alle akzeptieren“ / „Alle ablehnen“ sowie „Einstellungen“; Gestaltung ohne Nudging (Größe, Farbe, Position). Keine vorausgewählten Einwilligungen.
• Systematik: Die TDDDG‑Einwilligung (§ 25) ist vorgelagert; anschließend stützt sich die Verarbeitung auf Art. 6 DSGVO. Die Datenschutzkonferenz (DSK) stellt klar, dass § 25 TDDDG unabhängig vom Personenbezug greift. Für das Setzen/Nutzen nicht technisch erforderlicher Speicher- und Abruftechniken hole ich eine Einwilligung nach § 25 TDDDG ein (zusätzlich zu Art. 6 Abs. 1 lit. a DSGVO). Der Consent‑Status (Consent‑ID, Zeitstempel, Kategorien) wird serverseitig revisionssicher protokolliert; Consent‑Events werden nachvollziehbar gespeichert; Script‑Loading erfolgt kategorienscharf (Prior‑Consent‑Mode).

Glossar (Speicher-/Abruftechniken): „Speicher-/Abruftechniken“ umfasst Cookies, Local/Session Storage, Pixel sowie vergleichbare Verfahren (z. B. Device‑Fingerprinting).

Online-Unterricht/Kommunikationstools

Für digitale Sitzungen können Zoom, Microsoft Teams oder Google Meet eingesetzt werden. Dabei werden Verbindungs- und Metadaten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Bei reinen Kennenlern-Terminen ohne Vertragsbezug stütze ich mich auf Art. 6 Abs. 1 lit. f DSGVO. Microsoft hat die EU Data Boundary am 26.02.2025 abgeschlossen; die konkrete Datenlokation hängt von meiner Konfiguration und den genutzten Diensten ab. Einzelne Support‑/Diagnosedaten können abhängig von Dienst und Konfiguration gesonderten Regeln unterliegen; meine Einstellungen werden dokumentiert. Auftragsverarbeitungsverträge und geeignete Garantien für etwaige Drittlandübermittlungen (z. B. SCC) sind vereinbart bzw. vorgesehen.

Eine Aufzeichnung von Bild-/Ton-Inhalten (z. B. Mitschnitt von Live-Sessions) erfolgt nur nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). In diesem Fall werden Bild-/Ton-daten sowie ggf. Chat-Beiträge zu dem Zweck verarbeitet, die Session für Teilnehmende nachbereitbar zu machen. Über Zweck, Empfänger (z. B. bereitgestellte Plattform), Speicherdauer und Ihr Widerrufsrecht werden Sie vor Beginn der Aufzeichnung transparent informiert. Ohne eine solche Einwilligung finden keine persistenten Inhaltsaufzeichnungen statt; Inhalte werden dann nur flüchtig zur Übertragung verarbeitet.

Zahlungen & Buchhaltung

Bei künftiger Online-Zahlung werden Daten an PayPal Europe und ggf. verbundene Dienstleister übermittelt (Art. 6 Abs. 1 lit. b DSGVO; für Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO i. V. m. HGB/AO). Für die Buchhaltung wird ein geeignetes EU-Rechnungstool verwendet werden; Details werden nach Auswahl konkretisiert.

Newsletter & Direktwerbung

Newsletter/Marketing erfolgen nur bei aktiver Nutzung und mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 7 UWG). Double-Opt-In wird eingesetzt. Ich protokolliere Einwilligungen (Zeitpunkt, IP/Hash, Inhalt der Erklärung, Bestätigungszeitpunkt) zur Erfüllung der Nachweispflicht (Art. 7 Abs. 1 DSGVO). Die Aufbewahrung der Einwilligungsprotokolle orientiert sich am Zweck der Nachweisführung (regelmäßig bis zu drei Jahre nach letztem Einsatz der Einwilligung). Ein Widerruf ist jederzeit mit Wirkung für die Zukunft möglich (z. B. per Abmeldelink). Ohne Einwilligung erfolgt keine werbliche E-Mail-Kommunikation. Sie können Direktwerbung jederzeit widersprechen (Art. 21 Abs. 2 DSGVO).

Sicherheit der Verarbeitung

Ich treffe Maßnahmen nach Art. 32 DSGVO, u. a.: SSL/TLS-Verschlüsselung, starke Passwörter, schrittweise 2‑Faktor-Authentifizierung, aktuelle Softwarestände, Firewalls/Virenschutz, rollenbasierter Zugriff, Backups (u. a. über Anbieterinfrastrukturen). Zugriff grundsätzlich nur durch die Verantwortliche; organisatorische Unterstützung durch eine benannte Person möglich.

Rechte der betroffenen Personen

Sie haben Rechte nach Art. 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen aus berechtigtem Interesse sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft. Sie können Verarbeitungen, die ich auf berechtigtes Interesse stütze (Art. 6 Abs. 1 lit. f DSGVO), aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Sie können Direktwerbung jederzeit widersprechen (Art. 21 Abs. 2 DSGVO). Zudem besteht ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO), z. B. beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel, E‑Mail: mail@datenschutzzentrum.de, Website: datenschutzzentrum.de.

Zur Bearbeitung Ihrer Anfragen kann ich angemessene Nachweise zur Identitätsprüfung anfordern.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung von Daten im Kontaktformular ist für die Beantwortung Ihrer Anfrage erforderlich. Für Vertragsdurchführung/Zahlung sind die dafür notwendigen Angaben erforderlich. Ohne diese Daten ist keine Bearbeitung bzw. Leistungserbringung möglich. Eine gesetzliche Pflicht zur Bereitstellung besteht im Übrigen nicht.

Automatisierte Entscheidungen/Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

Social-Media-Auftritte & externe Links/Einbettungen

Ich unterhalte Profile bei Facebook/Instagram (Meta) und LinkedIn. Beim Besuch dort gelten die Datenschutzinformationen der jeweiligen Plattformen. Auf der Website verlinke ich Profile extern. Tracking-Pixel/Embeds werden – sofern überhaupt eingesetzt – nur nach Ihrer Einwilligung geladen. Für meine Fanpages bin ich gemeinsam mit dem jeweiligen Anbieter mitverantwortlich (Art. 26 DSGVO); die wesentlichen Inhalte der Vereinbarung stellen die Plattformen bereit (EuGH „Wirtschaftsakademie“, „Fashion ID“). Für Seiten‑Insights bin ich gemeinsam mit Meta Ireland Verantwortliche (Art. 26 DSGVO); maßgeblich ist das „Page Insights Controller Addendum“. Für LinkedIn‑Seiten‑Insights gilt ebenfalls eine gemeinsame Verantwortlichkeit; maßgeblich ist das „Page Insights Joint Controller Addendum“ (legal.linkedin.com).

Externe Inhalte/Plugins

Externe Inhalte (z. B. YouTube/Maps/SoMe‑Widgets) werden erst nach Ihrer Einwilligung geladen (2‑Klick‑Lösung). Rechtsgrundlagen: § 25 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.

Änderungen dieser Datenschutzerklärung

Ich passe diese Erklärung an, wenn sich Rechtslage, Dienste oder Prozesse ändern. Die jeweils aktuelle Fassung finden Sie auf der Website. Stand: 16.11.2025.

Beiblatt A – Dienstleister-Tabelle (Überblick)

Je nach Dienstleister agiert dieser entweder als Auftragsverarbeiter im Sinne von Art. 28 DSGVO (z. B. Hosting, E-Mail, Rechnungstool) oder als eigener Verantwortlicher (z. B. Zahlungsdienstleister wie PayPal). In der nachfolgenden Tabelle ist dies – soweit relevant – kenntlich gemacht oder ergibt sich aus der Art des Dienstes.

Hinweis: „ggf. DPF“ bedeutet, dass eine zusätzliche Absicherung durch Teilnahme am EU‑U.S. Data Privacy Framework in Betracht kommt.

Beiblatt B – Cookie/Tracking-Übersicht