Datenschutzerklärung

I. Verantwortlicher

COMES MEDICORUM – Inhaber: Jan Slanina
Ludwigstraße 20, 09113 Chemnitz
Telefon: +49 173 988 27 93
E-Mail: jan.slanina@comes-medicorum.de

II. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der DSGVO/BDSG, wenn:

  • dies zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
  • eine Einwilligung vorliegt (Art. 6 Abs. 1 lit. a DSGVO),
  • eine rechtliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO) oder
  • berechtigte Interessen überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

Wir setzen technische und organisatorische Maßnahmen (TOMs) nach dem Stand der Technik ein (z. B. Verschlüsselung, Zugriffskontrollen, Protokollierung).

III. Zwecke, Datenarten, Rechtsgrundlagen (Überblick)

  1. Web/Hosting/IT-Security (Server-Logs: IP, Timestamp, User-Agent, Referrer) – Art. 6 Abs. 1 lit. f DSGVO.
  2. Kontakt/Anfragen (Stammdaten, Kommunikationsinhalte) – Art. 6 Abs. 1 lit. b/f DSGVO.
  3. Verträge/Leistung (Kunden-, Vertrags-, Abrechnungsdaten) – Art. 6 Abs. 1 lit. b/c DSGVO.
  4. Veranstaltungen (Teilnehmerverwaltung; ggf. Foto/Video) – Art. 6 Abs. 1 lit. b/f DSGVO; Bilder i. d. R. mit Einwilligung.
  5. Online-Befragungen & KI-Auswertung (Rolle/Abteilung, Antworten, Metadaten) – bei Beschäftigten § 26 BDSG oder Einwilligung; bei Nicht-Beschäftigten Art. 6 Abs. 1 lit. a/f DSGVO; Auswertungen primär aggregiert/pseudonymisiert. Keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung.
  6. Newsletter/Marketing – Art. 6 Abs. 1 lit. a/f DSGVO (Widerspruch/Widerruf jederzeit).
  7. Bewerbungen – § 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO.
  8. Finanzplanung & Versicherungsberatung – siehe XIV.

IV. Serverdaten (Logfiles)

Beim Abruf unserer Website fallen automatisiert die unter III.1 genannten Daten an; sie dienen Betrieb/Sicherheit und werden getrennt gespeichert sowie turnusmäßig gelöscht/gekürzt.

V. Cookies, Tracking & Einwilligungen (TDDDG/DSGVO)

1) Grundsatz & Rechtsgrundlage

Wir verwenden technisch notwendige Cookies (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO). Nicht notwendige Cookies/Tracker (Analytics, Marketing, Personalisierung) setzen wir nur mit Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung ist jederzeit widerrufbar über die Cookie-Einstellungen auf unserer Website. Karten werden erst nach Einwilligung in die Kategorie „Karten/Externe Medien“ geladen (2‑Klick‑Lösung). Die Einwilligung kann jederzeit über die Cookie‑Einstellungen widerrufen werden.

2) Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Cookies werden auf Ihrem Endgerät gespeichert. Sie können diese jederzeit in Ihrem Browser löschen, blockieren oder einschränken. Werden Cookies deaktiviert, stehen ggf. nicht alle Funktionen bereit.

3) Opt-Out / Einwilligung widerrufen

  • Cookie-Einstellungen: [Link zu Ihrem Consent-Tool, z. B. "Einstellungen öffnen"]
  • Browser-Add-ons / Anbieter-Opt-Outs: siehe unten je Dienst.
  • Hinweis: Wird der Opt-out-Cookie gelöscht, ist ein erneuter Opt-out nötig.

4) Einzelne Dienste

a) Google Analytics

Wir nutzen Google Analytics (Google Ireland Ltd.; Muttergesellschaft Google LLC, USA). Es kommen Cookies zum Einsatz. Wir nutzen IP-Anonymisierung (anonymizeIp); nur in Ausnahmefällen wird die volle IP an Google-Server in den USA übertragen und dort gekürzt. Zweck: Reichweiten-/Nutzungsanalyse, Optimierung der Website. Rechtsgrundlage: Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). Drittland: USA – Einsatz auf Basis EU-US Data Privacy Framework (soweit zertifiziert) oder SCC; Details im Consent-Tool. Opt-out: Browser-Add-on | Ads Einstellungen | Weitere Infos: Privacy Policy | Analytics Terms (DE)

b) Google Tag Manager (GTM)

Der GTM verwaltet Tags. Laut Google verarbeitet der GTM selbst keine personenbezogenen Daten; er kann jedoch das Auslösen weiterer Tags ermöglichen, die Daten erfassen. Rechtsgrundlage: je nach ausgelöstem Tag; Einwilligungen werden über das Consent-Tool gesteuert. Infos: GTM Use Policy

c) Google Analytics – Displayfunktionen/Remarketing

Wir nutzen ggf. Remarketing, demografische Berichte (Alter, Geschlecht, Interessen) und den kombinierten Einsatz von Erstanbieter- und Drittanbieter-Cookies zur Zielgruppenbildung, Optimierung und Schaltung von Anzeigen. Rechtsgrundlage: Einwilligung. Opt-out: Google Ads-Einstellungen | Brancheweit: YourOnlineChoices | AboutAds Opt-Out

d) Google Ads (inkl. Remarketing/Conversion)

Wir verwenden Google Ads-Funktionen (Remarketing, Interessenkategorien, ähnliche Zielgruppen, Conversion-Messung). Wir erfassen dabei keine direkt identifizierenden Informationen; Google kann Nutzer über Cookies/IDs wiedererkennen. Rechtsgrundlage: Einwilligung. Opt-out: Ads-Einstellungen | Weitere Infos: Privacy Policy

e) Meta/Facebook-Pixel

Wir nutzen das Meta Pixel (Meta Platforms Ireland Ltd.; Muttergesellschaft in den USA), um Conversions zu messen und Zielgruppen für Anzeigen zu bilden. Meta kann Daten Ihrem Profil zuordnen und für eigene Zwecke gem. Meta-Datenrichtlinie verwenden. Rechtsgrundlage: Einwilligung. Drittland: USA – DPF/SCC je nach Zertifizierung; Details im Consent-Tool. Opt-out: Meta-Anzeigeneinstellungen | Infos: Meta-Datenrichtlinie

f) Trustpilot (Bewertungen)

Zur Einholung/Anzeige von Anbieter- und Kundenbewertungen kann Trustpilot (Trustpilot A/S, DK) eingebunden sein. Nach bestimmten Vorgängen können Name und E-Mail zwecks Bewertungsanfrage an Trustpilot übermittelt werden; die Abgabe ist freiwillig. Rechtsgrundlage: Einwilligung oder berechtigtes Interesse. Infos: Trustpilot – User Privacy Policy

g) Mouseflow (UX-Analyse)

Wir setzen Mouseflow (Mouseflow ApS, DK) zur anonymisierten Nutzungsanalyse ein (Mausbewegungen, Klicks, Scrollen, Gerät/Browser, besuchte URLs). Tastatureingaben werden nicht erfasst, und der Login-/Kundenbereich wird nicht ausgewertet. Rechtsgrundlage: Einwilligung (nur bei Auswahl/Kategorie "Services"). Infos/Opt-out: Mouseflow Visitor Privacy Policy

h) Adform (Conversion/Remarketing)

Wir nutzen Adform (Adform A/S, DK) für Conversion-Messung/Remarketing. Beim Kontakt mit einer Adform-Anzeige wird ein Cookie gesetzt. Es werden keine Daten verwendet, die Nutzer unmittelbar identifizieren. Rechtsgrundlage: Einwilligung. Opt out: Adform Opt-out | Infos: Adform Privacy Center

Hinweis: Konkrete Speicherdauern/Anbieter und alle Cookie-IDs entnehmen Sie bitte unserem Consent-Tool (siehe "Cookie-Einstellungen").

VI. Kontakt & Kommunikation

Bei Nutzung des Kontaktformulars/E-Mail verarbeiten wir die von Ihnen eingegebenen Daten (z. B. Name, Anschrift, Telefon, Firma, E-Mail) zur Bearbeitung Ihrer Anfrage. Auf Wunsch nutzen wir Messenger-Dienste nur mit Ihrer vorherigen Bitte/Einwilligung.

Anfragen löschen wir regelmäßig nach 6 Monaten, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen oder eine weitere Korrespondenz erforderlich ist.

VII. Karten-Dienst (HERE Maps)

Wir binden "HERE Maps" (HERE Global B.V., NL) ein. Es können Cookies/Endgerätezugriffe (TDDDG) und Übermittlungen an HERE stattfinden. Sie können dies über die Cookie-Einstellungen steuern oder durch Deaktivierung von JavaScript (dann eingeschränkte Funktion). Nutzungsbedingungen/Datenschutz: HERE – Rechtliche Hinweise & Datenschutz

VIII. Empfänger & Auftragsverarbeitung

Interne Stellen (Need-to-know), Auftragsverarbeiter nach Art. 28 DSGVO (Hosting, E-Mail, CRM, Newsletter, Umfrage/KI, Analytics/Ad-Tech), sowie Dritte (z. B. Event-Partner, Produktpartner in der Beratung) – jeweils nur mit Rechtsgrundlage/Einwilligung. Kategorien von Auftragsverarbeitern stellen wir auf Anfrage bereit.

IX. Drittlandübermittlungen

Außerhalb des EWR verarbeiten wir Daten nur bei Angemessenheitsbeschluss (z. B. EU-US DPF) oder mittels EU-Standardvertragsklauseln (SCC) zzgl. Transfer-Risiko-Bewertung und ggf. Zusatzmaßnahmen. Details je Anbieter sind im Consent-Tool und im Verarbeitungsverzeichnis dokumentiert.

X. Speicherdauer & Löschung

Speicherung nur solange wie für Zwecke/Fristen erforderlich (gesetzliche Aufbewahrungen, Vertragslaufzeiten, Verjährung).

  • Befragungsdaten: projektbezogen befristet; danach Pseudonymisierung/Anonymisierung.
    Beratungs-/Finanzunterlagen: gem. HGB/AO i. d. R. 6–10 Jahre.

XI. Sicherheit (TOMs)

Mindestens TLS 1.2+ in-Transit, AES-256 at-rest (soweit technisch möglich), MFA für Admin-Zugänge, RBAC/Least-Privilege, Protokollierung/Monitoring, tägliche Backups & dokumentierte Recovery-Tests.

XII. Datenschutz-Folgenabschätzung (DSFA)

Wir prüfen neue Verarbeitungen auf DSFA-Pflicht (Art. 35 DSGVO). Bei hohem Risiko (z. B. umfangreiche/strukturierte Beschäftigten-Analysen) führen wir die DSFA durch.

XIII. Social-Media-Auftritte

Für unsere Unternehmens-Fanpages können wir mit dem jeweiligen Anbieter gemeinsam Verantwortliche (Insights) sein. Es gelten zusätzlich die Datenschutzhinweise des Plattformanbieters.

XIV. Finanzplanung & Versicherungsübersichten (inkl. Gesundheitsdaten)

Zweck:

Analyse Ihrer persönlichen/finanziellen Situation (Haushalt, Vermögen, Vorsorge, Absicherung, steuerliche/rentennahen Rahmenwerte soweit freiwillig überlassen), Erstellung von Finanz- und statische Erfassung von Versicherungsübersichten, über Netzwerk- und Produktpartner Absicherungskonzepte, Tarif-/Produktauswahl, Kommunikation mit Produktpartnern (NfH GbR Ludwigstraße 20, Versicherer, Banken, Depotstellen), Dokumentation.

Datenarten:

Stammdaten, Kontakt-/Kommunikationsdaten, Vertrags-/Leistungsdaten, Finanzdaten, Familienstand/Haushalt, Ziele/Risikoprofil; bei Bedarf auch Erhebung von Gesundheitsdaten.

Freiwilligkeit & Rechtsgrundlagen:

Diese Angaben erfolgen freiwillig. Ohne Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verarbeiten wir keine Gesundheitsdaten. Weitere Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag/Anbahnung), Art. 6 Abs. 1 lit. c (rechtl. Pflichten), Art. 6 Abs. 1 lit. f (Dokumentation/Qualität/Abwehr), zudem § 213 VVG für Datenabrufe durch Versicherer.

Empfänger:

je nach Vorgang ausgewählte Produktpartner/Dienstleister/Versicherungsvermittler oder Makler (hier auch Mitglieder der Netzwerkgemeinschaft für Heilberufe, Ludwigstraße 20 in 09113 Chemnitz).

Automatisierung/Profiling:

optionales Scoring/Clustering zur Produktauswahl; keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung.

Widerruf:

Einwilligungen sind jederzeit mit Wirkung für die Zukunft widerrufbar.

XV. Rechte der betroffenen Personen

Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit.

Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e/f DSGVO.

Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.

XVI. Änderungen

Wir passen diese Erklärung an, wenn Dienste, Rechtslage oder Verarbeitungen sich ändern. Die aktuelle Fassung finden Sie stets auf unserer Website.

Stand: September 2025, Chemnitz.

Ergänzung zur Datenschutzerklärung - Online‑Befragungen & (optionale) KI‑Auswertung

Datenschutzerklärung

Befragungen im Rahmen von Kundenprojekten (Praxis-/Teamchecks, Personalgesprächsbögen, Bewerber‑Interviews, Verbesserungsabfragen) sowie eigene COMES‑Befragungen.

1. Ziel & Geltungsbereich

Dieser Abschnitt regelt die Verarbeitung personenbezogener Daten im Rahmen von Online‑Befragungen zur Organisations‑ und Teamentwicklung (z. B. jährliche Praxis-/Stimmungschecks, strukturierte Personalgesprächsbögen, Bewerber‑Interviews, Verbesserungsabfragen) sowie deren Auswertung (inkl. optionaler KI‑gestützter Cluster/Textanalysen). Ergebnisse werden primär aggregiert und – wo zugesagt – anonym berichtet. Es finden keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung statt.

2. Verantwortlichkeit & Rollen

Wir handeln – je nach Projekt – in unterschiedlichen Rollen:

Auftragsverarbeitung (Art. 28 DSGVO):

Die jeweilige Kundenpraxis ist Verantwortliche; COMES MEDICORUM ist Auftragsverarbeiter (Umsetzung nach dokumentierter AV‑Vereinbarung).

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO):

Bei gemeinsam bestimmten Zwecken und Mitteln (z. B. gemeinsames Befragungsdesign, gemeinsame Auswertungsentscheidungen) schließen wir eine Vereinbarung nach Art. 26 mit transparenter Zuständigkeitsregelung.

Eigene Verantwortlichkeit:

Für eigene COMES‑Befragungen (z. B. Newsletter‑Feedback) ist COMES MEDICORUM Verantwortliche.

3. Zwecke der Verarbeitung

  • Organisations‑ und Teamentwicklung, Qualitäts‑ und Zufriedenheitsmessung
  • Vorbereitung/Strukturierung von Personalgesprächen
  • Bewerber‑Interviews/strukturierte Auswahlverfahren
  • Identifikation von Verbesserungspotenzialen, Trendverfolgung
  • Interne Qualitätssicherung, Dokumentation

4. Datenkategorien

  • Rollen-/Strukturdaten: Bereich/Team/Standort/Funktion, Erfahrungsstufe
  • Antwortdaten: Skalen, Auswahlen, Freitexte (sensibler Inhalt wird vermieden/bereinigt)
  • Metadaten: Einladungs‑Token, Zeitpunkt, Status (begonnen/abgeschlossen)
  • Technische Daten auf Umfrage‑Seiten (nur soweit erforderlich): Session‑IDs/Cookies/Local‑Storage, verkürzte IP

5. Rechtsgrundlagen

  • Beschäftigte/Bewerber:innen: § 26 BDSG (inkl. Bewerbungsverfahren), ggf. Art. 6 Abs. 1 lit. b DSGVO
  • Freiwillige Zusatzangaben: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO (Widerruf jederzeit)
  • Externe Teilnehmende (z. B. Kund:innen/Partner): Art. 6 Abs. 1 lit. a oder lit. f DSGVO (Interessenabwägung dokumentiert)

Besondere Kategorien (Art. 9 DSGVO) werden grundsätzlich nicht erhoben; in Ausnahmefällen nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a). Teilnahme ist freiwillig; keine Nachteile bei Nichtteilnahme.

6. Freiwilligkeit, Anonymität & Berichtsschwellen

    Teilnahme stets freiwillig; Opt‑out/Widerruf jederzeit möglich.

    Trennung von Identifikations‑/Kontaktdaten und Antwortdaten; Einsatz pseudonymer Tokens.

    K‑Anonymität: keine Subgruppen‑Berichte bei weniger als 5 Antworten je Filter (empfohlen).

    Personalisierte Auswertungen nur, wenn zweckbedingt erforderlich und transparent kommuniziert (z. B. Bewerber‑Interview).

7. Technik, Cookies & Plattformen (EU‑Hosting)

Umfrage‑Seiten setzen nur technisch erforderliche Endgerätezugriffe/Cookies (§ 25 Abs. 2 Nr. 2 TDDDG) ein; weitergehende Cookies/Tracker nur nach Einwilligung (§ 25 Abs. 1 TDDDG) über ein eigenständiges Consent‑Banner auf der Umfrage‑Subdomain.

Bevorzugte Tools/Plattformen (EU‑Hosting): LimeSurvey (EU‑Server), Matomo (self‑hosted/EU), Microsoft 365 EU (Formulare/Files/SharePoint/OneDrive).

Details inkl. Cookie‑IDs/Speicherdauern werden im Consent‑Banner bzw. in der Dienstleister‑Liste bereitgestellt.

8. Empfänger & Auftragsverarbeiter

    Interne Stellen (Need‑to‑know), Evaluations‑/Projektteam

    IT/Hosting, Umfrage‑/Analyse‑/KI‑Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO)

    Stets aktuelle Dienstleister‑/Subprozessor‑Liste: (enthält Zweck, Rechtsgrundlage, Speicherort, Löschfristen).

9. Drittlandübermittlungen

Standardmäßig keine Drittlandübermittlungen, da EU‑Hosting bevorzugt wird (LimeSurvey/Matomo/M365 EU).

Falls im Einzelfall Drittlandbezug unvermeidbar ist, erfolgt dies nur bei Angemessenheitsbeschluss oder auf Basis von SCC zzgl. Transfer‑Risiko‑Bewertung und ggf. Zusatzmaßnahmen (Details im Projekt‑Steckbrief/Verarbeitungsverzeichnis).

10. Speicherdauer & Löschung

    Projekt‑Rohdaten(pseudonymisiert, potentiell rückführbar): max. 12 Monate nach Projektabschluss.

    Aggregierte/anonymisierte Berichte: 3-5 Jahre zur Trendverfolgung/Dokumentation.

    Bewerbungsdaten: nach Abschluss des Verfahrens i. d. R. 6 Monate (AGG/ArbGG‑Fristen), längere Aufbewahrung nur mit Einwilligung (Talent‑Pool).

11. Automatisierte Entscheidungen/Profiling

    Keine Entscheidungen ausschließlich automatisiert mit Rechtswirkung oder ähnlicher erheblicher Beeinträchtigung.

    Scorings/Cluster dienen ausschließlich als Entscheidungshilfe und werden manuell überprüft.

12. Sicherheit (TOMs – ergänzend)

    Projekt‑IDs statt Namen, getrennte Schlüsselverwaltung

    RBAC/Least‑Privilege, Protokollierung/Monitoring, Verschlüsselung in‑Transit/at‑rest

    Regelmäßige Lösch‑/Anonymisierungsjobs, Subgruppen‑Sperren (< 5)

    Data‑Loss‑Prevention (M365 EU), Härtung von Survey‑Instanzen, regelmäßige Updates/Backups/Recovery‑Tests

13. Betriebsrat/MAV

Bei Befragungen mit Beschäftigtenbezug unterstützen wir die Mitbestimmung (z. B. Betriebsvereinbarung) gemäß § 87 Abs. 1 Nr. 6 BetrVG.

14. Datenschutz‑Folgenabschätzung (Art. 35 DSGVO)

Vor Projektstart prüfen wir, ob eine DSFA erforderlich ist (z. B. regelmäßige, großflächige Beschäftigten‑Analysen mit Leistungsbezug). Falls ja, führen wir diese durch und binden ggf. den/die Datenschutzbeauftragte:n der Kundenpraxis ein.

15. Transparenz‑Kurzhinweis (für den Beginn jeder Umfrage)

Teilnahme freiwillig; keine Nachteile bei Nichtteilnahme. Auswertung aggregiert/anonym; keine Subgruppen‑Berichte bei < 5 Antworten. Datenminimierung: getrennte Speicherung von Kontakt‑ und Antwortdaten; Widerruf/Opt‑out jederzeit über den Link in der Einladung. Verantwortliche/r/Ansprechpartner: [Praxis oder COMES – je nach Rollenmodell]. Löschfristen: Rohdaten 12 Monate, Berichte 3-5 Jahre. Details: [Link auf Datenschutzerklärung/Projekt‑Privacy‑Notice].

16. Versionskontrolle

Diese Ergänzung wird fortlaufend aktualisiert, wenn Tools, Rechtslage oder Prozesse sich ändern. Die aktuelle Fassung ist auf unserer Website verfügbar (siehe Link zur Dienstleister‑/Subprozessor‑Liste)

Stand: September 2025, Chemnitz