3. Datenverarbeitung auf der Website
3.1 Webseitenaufruf & Server-Logs
Bei jedem Aufruf unserer Website übermittelt Ihr Browser automatisch Informationen an unsere Server, die wir in sogenannten Server-Log-Dateien speichern. Dies umfasst IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene URL, verwendeter Browser und Betriebssystem, Referrer-URL sowie übertragene Datenmenge.
Wir haben ein berechtigtes Interesse an der Sicherstellung des stabilen und sicheren Betriebs der Website. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Daten werden nach spätestens 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht.
3.2 E-Mail-Newsletter
Wir versenden Newsletter und Marketing-E-Mails über zwei voneinander getrennte Kanäle:
Wir haben ein berechtigtes Interesse an der Sicherstellung des stabilen und sicheren Betriebs der Website. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Daten werden nach spätestens 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht.
3.2 E-Mail-Newsletter
Wir versenden Newsletter und Marketing-E-Mails über zwei voneinander getrennte Kanäle:
Kanal
Tool / Anbieter
Empfängerkreis
Rechtsgrundlage
Nutzer-Newsletter
Brevo (Sendinblue SAS, Paris, FR)
App-Nutzerinnen und Website-Abonnentinnen
Bestandskundschaft: Art. 6 I f DSGVO (Direktwerbung, Ewgr. 47)Sonstige: Art. 6 I a DSGVO (Einwilligung)
B2B-Kommunikation & HR
HubSpot (HubSpot Inc., USA)
Unternehmenskontakte, Bewerberinnen, Partnerinnen — nicht App-Nutzerdaten
Art. 6 I f DSGVO; Drittlandtransfer: EU-US Data Privacy Framework (DPF)
Brevo verarbeitet Öffnungs- und Klickraten ausschliesslich aggregiert (kein individuelles Nutzertracking). Für den Versand über Brevo gilt § 25 Abs. 1 TDDDG, soweit Tracking-Pixel gesetzt werden — die Nutzung erfolgt auf Einwilligungsbasis. Jede E-Mail enthält einen einfachen Abmeldelink. Die Verarbeitung durch Brevo erfolgt innerhalb der EU.
Wir nutzen externe Dienste für Hosting und schnelle Auslieferung unserer Website. Dabei werden Meta-/Kommunikationsdaten (z. B. IP-Adresse, Nutzungs- und Inhaltsdaten) übermittelt. Rechtsgrundlage ist in allen Fällen Art. 6 Abs. 1 S. 1 lit. f DSGVO — wir haben ein berechtigtes Interesse daran, ausreichende Speicher- und Auslieferungskapazitäten bereitzustellen.
3.3 Hosting & Content Delivery Networks (CDN)
Dienst
Anbieter & Sitz
Datenverarbeitung
Drittlandtransfer
Webflow (Hosting)
Webflow, Inc., 398 11th St., San Francisco, CA 94103, US
AUS-Server; Meta-/Kommunikationsdaten
Angemessenheitsbeschluss (EU-US DPF)
Vercel (CDN)
Vercel Inc., 340 S Lemon Ave Unit 4133, Walnut, CA 91789, USA
Datenverarbeitung auf EU-Servern; US-Unternehmen
Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO
Cloudflare (CDN)
Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, US
AUS-Server; Meta-/Kommunikationsdaten
Angemessenheitsbeschluss (EU-US DPF)
Amazon Cloud
Front (CDN)Amazon Web Services, Inc., P.O. Box 81226 Seattle, WA 98108, US
AUS-Server; Meta-/Kommunikationsdaten
Angemessenheitsbeschluss (EU-US DPF)
Alle genannten Anbieter sind als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden.
3.4 Kontaktformular
Bei Kontaktaufnahme über unser Webformular speichern wir die eingegebenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt) sowie Meta-/Kommunikationsdaten. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO — wir haben ein berechtigtes Interesse, an uns gerichtete Anfragen zu beantworten. Die Daten werden gelöscht, sobald die Anfrage abschliessend bearbeitet ist und keine gesetzliche Aufbewahrungspflicht entgegensteht.
3.5 Stellenanzeigen & Bewerbungen
Wir veröffentlichen Stellenanzeigen auf unserer Website sowie auf Drittplattformen. Die im Rahmen des Bewerbungsverfahrens erhobenen Daten verarbeiten wir auf Basis von Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 1 BDSG zur Durchführung des Bewerbungsverfahrens. Wir bitten Bewerbende, in Lebenslauf und Anschreiben auf Angaben zu politischen Meinungen, religiösen Überzeugungen oder sonstigen besonderen Datenkategorien zu verzichten. Werden solche Angaben dennoch gemacht, gilt als Rechtsgrundlage die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.Bewerbungsdaten geben wir ausschliesslich an die zuständigen Mitarbeitenden und ggf. Auftragsverarbeiter im Recruiting-Bereich weiter. Nach Abschluss des Verfahrens löschen wir Bewerberdaten spätestens sechs Monate nach Absage, sofern die bewerbende Person nicht in die weitere Speicherung eingewilligt hat (dann bis zu einem Jahr).
3.6 Buchung von Terminen
Über unsere Website können Sie Termine mit uns vereinbaren. Dabei verarbeiten wir die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Wunschtermin) sowie Meta-/Kommunikationsdaten. Die Terminbuchung erfolgt über eine eigene technische Infrastruktur ohne Einbindung externer Buchungstools. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO — wir haben ein berechtigtes Interesse daran, Interessentinnen eine nutzerfreundliche Terminvereinbarung zu ermöglichen.
3.7 Drittanbieter-Dienste
3.7.1 Piwik Pro (Website-Analyse)
Wir setzen Piwik Pro zur Analyse des Nutzungsverhaltens auf unserer Website ein. Anbieter ist Piwik PRO SA, ul. Sw. Antoniego 2/4, 50-073 Breslau, Polen. Piwik Pro verarbeitet Meta-/Kommunikationsdaten (z. B. IP-Adresse, Gerätedaten) ausschliesslich auf Servern innerhalb der EU.
Die Verarbeitung erfolgt auf Basis Ihrer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie sich an support@hermaid.me wenden oder die Einstellungen im Cookie-Banner anpassen. Der Widerruf berührt nicht die Rechtmässigkeit der bis dahin erfolgten Verarbeitung. Weitere Informationen: https://piwikpro.de/datenschutz/
3.7.2 heyData Datenschutz-Siegel
Auf unserer Website ist das Datenschutz-Siegel der heyData GmbH eingebunden. Anbieter ist heyData GmbH, Schützenstraße 5, 10117 Berlin. Der Anbieter verarbeitet Meta-/Kommunikationsdaten (z. B. IP-Adressen) innerhalb der EU; die Daten werden unmittelbar nach Erhebung maskiert, sodass kein Personenbezug mehr besteht.Das Siegel dient dazu, Websitebesucherinnen die Bestätigung unserer Datenschutz-Compliance bereitzustellen und sicherzustellen, dass nur Kundinnen mit bestehendem Vertrag das Zertifikat nutzen. Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendiger Zugriff). Weitere Informationen: https://heydata.eu/datenschutzerklaerung
3.7.3 HubSpot (B2B-Kommunikation & HR)
Für die Verwaltung von Unternehmenskontakten, die Kommunikation mit Geschäftspartnerinnen sowie im Rahmen unserer HR-Prozesse nutzen wir HubSpot. Anbieter ist HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA. HubSpot verarbeitet dabei Kontaktdaten (Name, E-Mail-Adresse, Unternehmen) sowie Kommunikationsdaten. App-Nutzerdaten werden nicht über HubSpot verarbeitet.Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an effizientem B2B-Kontaktmanagement). Drittlandtransfer in die USA: EU-US Data Privacy Framework (DPF). HubSpot ist als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden.
Weitere Informationen: https://legal.hubspot.com/privacy-policy
.svg)
.svg)
