Datenschutz

Datenschutzerklärung

Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO):
Julia Kalder, Bold Bloom
c/o Autorenglück #80461
Albert-Einstein-Str. 47, 02977 Hoyerswerda
E-Mail: info@bold-bloom.com

1. Zwecke, Datenkategorien, Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten, um die Plattform bereitzustellen, Sicherheit zu gewährleisten, Support zu leisten und Verträge abzuwickeln. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO (z. B. Systemsicherheit, Missbrauchsvermeidung). Erforderliche Kategorien:

• Zugriffsdaten in Server-Logs (IP-Adresse, Zeitpunkt, URL, User-Agent) zur Stabilität und IT-Sicherheit.
• Login-Aktivitätsprotokolle (IP-Adresse, ungefähre GeoIP-Standorte, Geräteinformationen) zur Sicherheitsüberwachung.
• Registrierungs- und Kontodaten (Name, E-Mail, Rollen, Spracheinstellungen), Authentifizierungstokens und Sitzungskennungen.
• Nutzungs- und Inhaltsdaten in der Plattform (Team- und Klientendaten, Notizen, Stimmungs- und Feedbackantworten, Dateien, Termin- und Kalendereinträge, Statusinformationen).
• Kommunikations- und Supportdaten (Anfragen, Protokolle, E-Mail-Verkehr).
• Abrechnungs- und Zahlungsdaten im Rahmen von Stripe (z. B. Name, Zahlungsart, Rechnungen).

GeoIP-Abfragen erfolgen nur nach ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und werden über den Dienst ip-api.com durchgeführt. Die Einwilligung kann jederzeit in den Einstellungen widerrufen werden; dabei werden gecachte Standortdaten gelöscht.

2. Empfänger und Weitergabe

Daten werden nur weitergegeben, soweit dies zur Vertragsdurchführung, für Sicherheit oder aufgrund gesetzlicher Pflichten erforderlich ist. Eingesetzte Auftragsverarbeiter sind vertraglich nach Art. 28 DSGVO gebunden, insbesondere:

• EU-basierter Hosting- und Infrastruktur-Dienstleister für Server, Datenbanken und Backups.
• Stripe Payments Europe Ltd. für Zahlungsabwicklung; dabei können Übermittlungen in die USA erfolgen (Standardvertragsklauseln).
• PayPal (Europe) S.à r.l. et Cie, S.C.A. als alternativer Zahlungsdienstleister im DE-Checkout (Standardvertragsklauseln).
• E-Mail-Dienstleister (Postmark/Wildbit LLC oder Amazon Web Services, Inc. je nach Konfiguration, jeweils mit Standardvertragsklauseln) für System-E-Mails.
• Google LLC für OAuth-/Kalender-Integrationen (Standardvertragsklauseln).
• Slack Technologies LLC und Microsoft Corporation (Microsoft Teams) für optionale Outbound-Webhook-Benachrichtigungen (Standardvertragsklauseln).
• Functional Software, Inc. (Sentry) für Fehler-Tracking sowie Better Stack (Logtail) für Log-Aggregation; PII wird vor der Übertragung pseudonymisiert/maskiert (Standardvertragsklauseln).
• KI-Anbieter für die optionale AI Session Proposal-Funktion (BYOK): OpenAI, L.L.C., Anthropic, PBC, sowie Google LLC (Gemini API) — jeweils USA, Standardvertragsklauseln. Die Funktion ist nur für zahlende Coaches mit dem Plan-Entitlement ai-session-proposal verfügbar; die Übermittlung von coaching-bezogenen Inhalten erfolgt nur nach ausdrücklicher Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO (Coaching-Notizen sind im Privacy-First-Wizard standardmäßig auf "drop" gesetzt).
• ip-api.com (Kloudend Ltd., Vereinigtes Königreich) für die Standortbestimmung aus IP-Adressen bei Login-Sitzungen. Diese Funktion wird nur bei ausdrücklicher Einwilligung des Nutzers aktiviert. Übermittelte Daten: IP-Adressen; Zweck: Anzeige des ungefähren Standorts für Sicherheitszwecke (Erkennung ungewöhnlicher Anmeldungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzerklärung: https://ip-api.com/docs/legal. Die Einwilligung kann jederzeit in den Kontoeinstellungen widerrufen werden; dabei werden gecachte Standortdaten gelöscht.

Bold Bloom führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO (Records of Processing Activities, ROPA), das alle Verarbeitungszwecke, Datenkategorien, Empfänger, Drittlandtransfers und Aufbewahrungsfristen dokumentiert. Das ROPA wird mindestens jährlich überprüft und ist auf Anfrage an die oben genannte Kontaktadresse einsehbar.

Mit jedem hier genannten Auftragsverarbeiter besteht eine schriftliche Beauftragung gemäß Art. 28 Abs. 3 DSGVO. Die Vertragsnachweise (Standard-DPA-URL des jeweiligen Anbieters, Datum der DPA-Annahme, DPA-Version, interner Vertrags-Owner und nächstes Prüfungsdatum) werden in einem internen Auftragsverarbeitungsregister (Sub-Processor DPA Register) gepflegt und mindestens jährlich überprüft. Das Register wird auf begründete Anfrage zur Einsichtnahme bereitgestellt.

3. Drittlandübermittlungen

Eine Übermittlung in Drittländer (insb. USA) erfolgt nur, wenn dies für die oben genannten Zwecke erforderlich ist. Wir nutzen hierfür die EU-Standardvertragsklauseln oder vergleichbare Garantien. Auf Anfrage stellen wir entsprechende Nachweise zur Verfügung.

4. Speicherdauer

Daten werden gelöscht, sobald sie für die Zwecke nicht mehr erforderlich sind und keine Aufbewahrungspflichten bestehen. Eine detaillierte Übersicht über unsere Aufbewahrungsfristen finden Sie in unserer Datenaufbewahrungsrichtlinie. Grundsätze: Anwendungsprotokolle nach 14 Tagen; App-Aktivitätsprotokolle nach 30 Tagen; Login-Aktivitätsprotokolle werden 90 Tage gespeichert; Betrugssignale nach 90 Tagen; E-Mail-Zustellereignisse nach 90 Tagen; Sitzungsdaten nach 30 Tagen; Audit-Protokolle nach 365 Tagen; Konten und Inhalte spätestens 30 Tage nach Kündigung, sofern kein rechtlicher Aufbewahrungsgrund entgegensteht; Abrechnungsunterlagen gemäß HGB/AO bis zu 10 Jahren; Supportanfragen nach 365 Tagen; Backups nach 7 Tagen.

5. Cookies und lokale Speicherung

Wir setzen technisch notwendige Cookies (z. B. Session, CSRF, Sprache, Consent-Speicher) ein. Optionale Analytics-/Tracking-Cookies werden nur nach deiner ausdrücklichen Einwilligung über den Cookie-Banner geladen. Deine Auswahl wird je Sprache (Locale) gespeichert und kann jederzeit im Banner oder in den Einstellungen geändert werden.

6. Rechte der Betroffenen

Sie haben jederzeit Rechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO). Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Formale DSGVO-Anfragen: Um Ihre Rechte formell auszuüben, können Sie über unser DSGVO-Antragsformular eine Anfrage einreichen. Wir werden innerhalb von 30 Tagen gemäß Art. 12 Abs. 3 DSGVO auf Ihre Anfrage reagieren. Sollten Sie bereits ein Konto haben, können Sie Ihre Anfragen auch in Ihren Kontoeinstellungen verfolgen.

Wenn Sie Daten berichtigen möchten, die Sie nicht direkt bearbeiten können (z. B. Sitzungsnotizen, historische Feedback-Daten, Audit-Logs oder Abrechnungsangaben), nutzen Sie bitte die Berichtigungsanfrage und geben Sie aktuellen sowie gewünschten Wert an. Wir prüfen die Anfrage und dokumentieren die Entscheidung.

Wenn Sie die Verarbeitung einschränken lassen möchten, können Sie eine Anfrage nach Art. 18 DSGVO stellen. Während der Einschränkung bleibt die Speicherung erhalten, aber Verarbeitungen werden auf notwendige Zwecke begrenzt. Eine Aufhebung können Sie später ebenfalls anfragen.

Beschwerden richten Sie an die zuständige Datenschutzaufsicht (z. B. LDI NRW) oder jede andere Aufsichtsbehörde.

7. Sicherheit

Wir schützen Daten durch TLS-Verschlüsselung, Verschlüsselung gespeicherter Daten, rollenbasierte Zugriffe, Protokollierung, Härtung der Systeme, Backup- und Wiederherstellungsprozesse sowie Zugriffsbeschränkungen nach dem Need-to-know-Prinzip.

8. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Im Rahmen von Coaching-Sitzungen können sensible Daten verarbeitet werden, darunter Sitzungsnotizen, Stimmungserfassungen und Wellness-Feedback, die Informationen über die psychische oder physische Gesundheit enthalten können. Die Verarbeitung dieser besonderen Kategorien personenbezogener Daten erfolgt auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie bei der Registrierung erteilen.

Diese Daten werden ausschließlich für Coaching-Zwecke verwendet und sind durch zusätzliche technische Maßnahmen (anwendungsseitige Feldverschlüsselung nach Art. 9 DSGVO, rollenbasierte Zugriffskontrollen, Datenisolierung pro Coach) geschützt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Löschung Ihres Kontos beantragen.

Diese Verarbeitung wurde einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO unterzogen. Die DPIA dokumentiert Rechtsgrundlage, Risiko- und Maßnahmenbewertung sowie den Review-Zeitplan; sie wird auf Anfrage an die oben genannte Kontaktadresse bereitgestellt.

9. Verantwortlichkeit und Änderungen

Für Geschäftskund:innen stellen wir einen Auftragsverarbeitungsvertrag bereit. Wir passen diese Hinweise an, wenn technische oder rechtliche Änderungen dies erfordern. Letzte Aktualisierung: 20.05.2026.

Fragen zum Datenschutz richten Sie bitte an info@bold-bloom.com.