Onlinekurs PME für Angehörige von Menschen mit Demenz

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist:

Cogthera GmbH Goethestraße 28 80336 München

Vertreten durch den Geschäftsführer Johannes Funk.

Telefon: +49 89 9607 1914 E-Mail: info@cogthera.de

Eingetragen im Handelsregister des Amtsgerichts München unter HRB 275887.

2. Datenschutzbeauftragter

Wir haben für unser Unternehmen einen externen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter:

IITR Datenschutz GmbH Dr. Sebastian Kraska Marienplatz 2 80331 München

Telefon: +49 89 18917360 E-Mail: email@iitr.de

Bei Fragen zum Umgang mit Ihren personenbezogenen Daten können Sie sich jederzeit direkt an unseren Datenschutzbeauftragten wenden.

3. Erhebung und Nutzung personenbezogener Daten

Wir verarbeiten personenbezogene Daten ausschließlich zu den nachfolgend beschriebenen Zwecken und auf Grundlage der jeweils angegebenen Rechtsgrundlage. Eine Übersicht aller Verarbeitungen mit Rechtsgrundlage und Speicherdauer finden Sie in Abschnitt 4.

3.1 Beim Aufruf unserer Website

Beim Aufruf unserer Website werden durch unseren Hosting-Dienstleister automatisch technische Daten erfasst, die Ihr Browser an unseren Server übermittelt:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene Seite bzw. Datei,
  • Referrer-URL (zuvor besuchte Seite),
  • Browsertyp und Browserversion,
  • verwendetes Betriebssystem und Gerätetyp.

Diese Daten sind technisch erforderlich, damit Inhalte korrekt ausgeliefert werden können, und dienen darüber hinaus der Gewährleistung der IT-Sicherheit (Erkennung und Abwehr von Angriffen, Missbrauchsanalyse). Eine Zusammenführung mit anderen Datenquellen oder eine personenbezogene Auswertung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website).

3.2 Bei der Registrierung eines Nutzerkontos

Zur Nutzung des Onlinekurses Progressive Muskelentspannung für Angehörige von Menschen mit Demenz ist die Einrichtung eines Nutzerkontos erforderlich. Wir verarbeiten dabei folgende Daten:

  • Vorname und Nachname (für die personalisierte Ansprache und für die Ausstellung des Teilnahmezertifikats),
  • E-Mail-Adresse (als Kennung des Kontos und für den E-Mail-Versand),
  • Passwort (in gehashter Form; das Klartextpasswort ist uns nicht bekannt),
  • Zeitpunkt der Registrierung sowie der E-Mail-Bestätigung.

Vor der Aktivierung Ihres Kontos versenden wir eine Bestätigungs-E-Mail an die angegebene Adresse, um sicherzustellen, dass diese Ihnen tatsächlich zuzuordnen ist. Bestätigen Sie die Adresse nicht innerhalb von 30 Tagen, wird das angelegte Konto automatisch gelöscht (siehe Abschnitt 5).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags und Durchführung vorvertraglicher Maßnahmen).

3.3 Während der Kursteilnahme

Im Rahmen der Kursnutzung verarbeiten wir die zur Durchführung und Dokumentation des Kurses erforderlichen Daten:

  • Kursfortschritt (bearbeitete Module und Schritte, Zeitpunkte der Bearbeitung),
  • Antworten auf Wissens- und Reflexionsfragen,
  • Abschlussstatus und Zeitpunkt des Kursabschlusses,
  • das auf Grundlage der erfolgreichen Teilnahme erstellte Teilnahmezertifikat (PDF mit Name und Abschlussdatum).

Diese Daten sind erforderlich, um Ihnen den Kursinhalt im richtigen Ablauf bereitzustellen, Ihren Fortschritt zwischen Sitzungen zu speichern und nach erfolgreichem Abschluss ein Teilnahmezertifikat auszustellen. Das Zertifikat können Sie für eine Erstattung durch Ihre gesetzliche Krankenkasse nach § 20 SGB V verwenden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).

3.4 E-Mail-Versand

Wir versenden im Rahmen des Kurses folgende automatisierten E-Mails an die von Ihnen angegebene Adresse:

  • Bestätigungs-E-Mail nach der Registrierung,
  • Hinweis-E-Mail an dem Tag, an dem ein neues Modul für Sie freigeschaltet wird,
  • Benachrichtigung über die Bereitstellung des Teilnahmezertifikats nach Kursabschluss,
  • Vorwarnung 14 Tage vor der automatischen Löschung Ihres Kontos (siehe Abschnitt 5),
  • bei Bedarf: E-Mails zur Wiederherstellung des Passworts.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Bestätigungs-, Modul-Freischaltungs-, Zertifikats- und Passwort-E-Mails; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Transparenz vor einer Datenlöschung) für die 14-Tage-Vorwarnung.

3.5 Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren (z. B. unter info@cogthera.de), verarbeiten wir die von Ihnen mitgeteilten Daten — typischerweise Ihre E-Mail-Adresse, Ihren Namen sowie den Inhalt Ihrer Nachricht — ausschließlich zur Bearbeitung Ihres Anliegens. Eine Weitergabe an Dritte erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage einen Vertragsbezug hat; im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

3.6 Bei der Bestellung und Bezahlung

Bei kostenpflichtigen Bestellungen wickeln wir die Zahlung über den Zahlungsdienstleister Stripe ab. Im Bestellprozess erfassen wir die für die Vertragsabwicklung und Rechnungsstellung erforderlichen Daten:

  • Vor- und Nachname, Rechnungsanschrift,
  • E-Mail-Adresse,
  • gewähltes Zahlungsmittel sowie die zugehörigen Zahlungsdaten,
  • bestellter Kurs, Bestellzeitpunkt, Rechnungsbetrag und Transaktions-ID.

Die eigentlichen Zahlungsdaten (Kreditkartennummer, Kontoverbindung, SEPA-Mandatsdaten) werden direkt im Browser an Stripe übertragen und gelangen zu keinem Zeitpunkt auf unsere Server. Wir erhalten von Stripe lediglich eine Bestätigung über den Zahlungsstatus sowie eine pseudonyme Transaktionskennung. Details zu Stripe finden Sie in Abschnitt 6.4.

Rechnungen erstellen wir nach Eingang der Zahlung und stellen sie Ihnen per E-Mail bzw. zum Download im Nutzerkonto bereit. Die Rechnungsdaten werden für die Dauer der gesetzlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO — i. d. R. 10 Jahre) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags und vorvertraglicher Maßnahmen) für die Bestell- und Zahlungsabwicklung; Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten) für die Aufbewahrung der Rechnungs- und Buchhaltungsdaten.

4. Rechtsgrundlagen je Verarbeitungszweck

Die folgende Übersicht fasst die in Abschnitt 3 beschriebenen Verarbeitungen mit ihrer jeweiligen Rechtsgrundlage zusammen.

ZweckRechtsgrundlageSpeicherdauer (vereinfacht)
Auslieferung der Website, IT-Sicherheit (Server-Logs)Art. 6 Abs. 1 lit. f DSGVOlängstens 7 Tage
Anlage und Verwaltung des NutzerkontosArt. 6 Abs. 1 lit. b DSGVOsiehe Abschnitt 5
Durchführung des Kurses, Speicherung von Fortschritt und AntwortenArt. 6 Abs. 1 lit. b DSGVOsiehe Abschnitt 5
Ausstellung und Bereitstellung des TeilnahmezertifikatsArt. 6 Abs. 1 lit. b DSGVOsiehe Abschnitt 5
Bestätigungs-, Modul-Freischaltungs-, Zertifikats- und Passwort-E-MailsArt. 6 Abs. 1 lit. b DSGVOVersandprotokoll längstens 30 Tage
Vorwarnung 14 Tage vor automatischer LöschungArt. 6 Abs. 1 lit. f DSGVOVersandprotokoll längstens 30 Tage
Bearbeitung von Anfragen per E-MailArt. 6 Abs. 1 lit. b bzw. lit. f DSGVObis zur Erledigung des Anliegens, anschließend Löschung
Bestell- und Zahlungsabwicklung (Stripe)Art. 6 Abs. 1 lit. b DSGVObis zum Abschluss der Zahlung; Transaktionskennung anschließend bei Stripe gemäß deren Aufbewahrungsfristen
Rechnungs- und BuchhaltungsdatenArt. 6 Abs. 1 lit. c DSGVO i. V. m. § 257 HGB, § 147 AO10 Jahre
Reichweitenmessung (Google Analytics 4 via Google Tag Manager)Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSGsiehe Abschnitt 7
Einwilligungsverwaltung (Klaro)Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht aus Art. 7 Abs. 1 DSGVO)12 Monate
Nachweis der Löschung (deletion_log)Art. 6 Abs. 1 lit. c DSGVO i. V. m. ZPP-Vorgaben5 Jahre nach Löschung

5. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die in Abschnitt 3 genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorsehen. Anschließend werden die Daten automatisch gelöscht.

5.1 Aufbewahrungsfristen für Konto- und Kursdaten

Wir setzen eine automatisierte Löschroutine ein, die täglich prüft, welche Konten zu löschen sind. Maßgeblich sind folgende Fristen:

NutzergruppeLöschung erfolgt
Sie haben den Kurs abgeschlossenein Jahr nach dem Abschlussdatum
Sie haben sich registriert, den Kurs aber nicht abgeschlossen13 Monate nach der Registrierung
Sie haben sich registriert, die E-Mail-Adresse aber nicht innerhalb von 30 Tagen bestätigt30 Tage nach der Registrierung

Mit der Löschung werden Ihr Nutzerkonto, alle damit verknüpften Kursdaten (Fortschritt, Antworten, Zertifikat) sowie das im Speicher abgelegte Zertifikats-PDF endgültig entfernt. Eine Wiederherstellung ist anschließend technisch nicht mehr möglich.

5.2 Vorwarnung 14 Tage vor der Löschung

Bestätigte Konten erhalten 14 Tage vor der geplanten Löschung eine Vorwarnung per E-Mail. In dieser E-Mail teilen wir Ihnen das genaue Löschdatum mit und weisen Sie darauf hin, Ihr Teilnahmezertifikat — falls noch nicht geschehen — vorher herunterzuladen. Konten, deren E-Mail-Adresse nie bestätigt wurde, erhalten keine Vorwarnung, da wir die Erreichbarkeit der Adresse in diesem Fall nicht voraussetzen können.

5.3 Nachweis der Löschung (deletion_log)

Zum Nachweis der ordnungsgemäßen Umsetzung dieser Löschpolitik gegenüber Aufsichtsstellen — insbesondere im Rahmen der Zertifizierung als IKT-Angebot nach § 20 SGB V durch die Zentrale Prüfstelle Prävention (ZPP) — speichern wir nach jeder Löschung einen Audit-Eintrag mit folgenden Informationen:

  • kryptographischer Hash (SHA-256) der gelöschten E-Mail-Adresse,
  • Grund der Löschung (Frist abgelaufen, vom Nutzer veranlasst etc.),
  • Zeitpunkt der Löschung.

Dieser Eintrag enthält keine Klarnamen und keine Kontaktinformationen. Da der Hash technisch ein pseudonymisiertes Datum darstellt (Erwägungsgrund 26 DSGVO), wird der Eintrag nach Ablauf von 5 Jahren ebenfalls automatisch gelöscht. Diese Frist orientiert sich an den Nachweispflichten gegenüber der ZPP.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. den Vorgaben der ZPP für IKT-Angebote.

5.4 Server-Logs

Die in Abschnitt 3.1 beschriebenen Server-Logs werden längstens 7 Tage gespeichert und anschließend gelöscht.

5.5 Vorzeitige Löschung auf Wunsch

Sie können Ihr Konto und alle damit verknüpften Daten jederzeit selbst löschen, ohne die genannten Fristen abwarten zu müssen. Die Funktion finden Sie nach dem Login unter „Konto” → „Konto löschen”. Weitere Hinweise zu Ihren Rechten finden Sie in Abschnitt 11.

6. Auftragsverarbeiter

Zur Erbringung unseres Angebots setzen wir sorgfältig ausgewählte technische Dienstleister ein. Mit jedem dieser Dienstleister haben wir einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen, der die Verarbeitung Ihrer Daten ausschließlich nach unseren Weisungen und unter Einhaltung der einschlägigen datenschutzrechtlichen Anforderungen sicherstellt.

6.1 Supabase — Datenbank, Authentifizierung und Speicherung

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992 (Vertragspartner für die EU); Hosting innerhalb der Europäischen Union (Frankfurt am Main, Deutschland).

Supabase betreibt für uns die Datenbank, die Nutzerauthentifizierung sowie die Speicherung der Teilnahmezertifikate. Verarbeitet werden alle in Abschnitt 3.2 und 3.3 genannten Konto- und Kursdaten.

Das Hosting erfolgt ausschließlich in einem Rechenzentrum in der Europäischen Union. Eine Übermittlung in Drittländer findet im Regelbetrieb nicht statt; Subunternehmer von Supabase mit Sitz außerhalb der EU werden ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO eingebunden.

Weitere Informationen: https://supabase.com/privacy

6.2 Netlify — Hosting und Edge-Funktionen

Anbieter: Netlify, Inc., 512 2nd Street, Suite 200, San Francisco, CA 94107, USA.

Netlify stellt das Hosting unserer Website sowie die Ausführung serverseitiger Funktionen (Edge Functions) bereit. Verarbeitet werden insbesondere die in Abschnitt 3.1 genannten Server-Logs sowie alle Anfragen, die Sie beim Aufruf der Website oder bei der Nutzung des Kurses an unsere Server senden.

Eine Übermittlung in die USA ist mit der Nutzung des Dienstes verbunden. Netlify ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend haben wir mit Netlify die EU-Standardvertragsklauseln (SCC) in der aktuellen Fassung abgeschlossen. Datenübertragungen zu Netlify erfolgen ausschließlich verschlüsselt (TLS).

Weitere Informationen: https://www.netlify.com/privacy/

6.3 Google Workspace — E-Mail-Versand

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Vertragspartner für die EU); technische Verarbeitung durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Wir nutzen Google Workspace für den Versand der in Abschnitt 3.4 beschriebenen automatisierten E-Mails. Übermittelt werden dabei die E-Mail-Adresse der empfangenden Person sowie der jeweilige Nachrichteninhalt.

Eine Übermittlung in die USA ist mit der Nutzung des Dienstes verbunden. Google ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten die mit Google vereinbarten EU-Standardvertragsklauseln (SCC).

Weitere Informationen: https://policies.google.com/privacy

6.4 Stripe — Zahlungsabwicklung

Anbieter: Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (Vertragspartner für die EU); technische Verarbeitung erfolgt durch die Muttergesellschaft Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.

Stripe wickelt für uns die Zahlungen ab (siehe Abschnitt 3.6). Verarbeitet werden Name, Rechnungsanschrift, E-Mail-Adresse, die Daten des gewählten Zahlungsmittels (z. B. Kreditkartennummer, IBAN), Betrag, Bestell- bzw. Transaktionskennung sowie die IP-Adresse und Geräteinformationen zur Betrugsprävention (Stripe Radar).

Rolle von Stripe: Stripe handelt für die in unserem Auftrag durchgeführte Verarbeitung der Bestelldaten als Auftragsverarbeiter (Art. 28 DSGVO; ein entsprechender Vertrag ist Bestandteil der Stripe-Nutzungsbedingungen). Hinsichtlich der eigentlichen Zahlungsabwicklung und der Erfüllung gesetzlicher Pflichten (insbesondere nach PSD2, Geldwäschegesetz, KYC-Anforderungen) ist Stripe eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Diese Verarbeitungen unterliegen ausschließlich den Datenschutzhinweisen von Stripe.

Stripe Checkout (Weiterleitung): Für die Zahlung werden Sie aus dem Bestellprozess auf eine von Stripe gehostete Bezahlseite (checkout.stripe.com) weitergeleitet. Die Eingabe der Zahlungsdaten erfolgt ausschließlich auf dieser Stripe-Seite, sodass die Zahlungsdaten direkt an Stripe und zu keinem Zeitpunkt an uns übertragen werden (PCI-DSS-konforme Verarbeitung bei Stripe). Auf unseren eigenen Seiten wird hierfür kein Stripe-JavaScript eingebunden; eine Übermittlung Ihrer Daten (einschließlich Ihrer IP-Adresse) an Stripe findet erst mit dem Aufruf der Stripe-Bezahlseite statt. Ohne diese Weiterleitung ist eine Bezahlung technisch nicht möglich. Nach Abschluss oder Abbruch der Zahlung werden Sie auf unsere Seite zurückgeleitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betrugsprävention). Hinsichtlich der von Stripe in eigener Verantwortung verarbeiteten Daten sind die Rechtsgrundlagen in den Stripe-Datenschutzhinweisen aufgeführt.

Drittlandtransfer: Eine Übermittlung in die USA ist mit der Nutzung des Dienstes verbunden. Stripe, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten die zwischen Stripe und uns vereinbarten EU-Standardvertragsklauseln (SCC).

Weitere Informationen: https://stripe.com/de/privacy

6.5 Hinweis: Auftragsverarbeitung ist keine Weitergabe an Dritte

Die in den Abschnitten 6.1 bis 6.4 genannten Dienstleister sind, soweit sie als Auftragsverarbeiter tätig werden, keine eigenständigen Empfänger Ihrer Daten im Sinne einer Datenweitergabe. Sie verarbeiten die Daten ausschließlich in unserem Auftrag, auf unsere Weisung und auf Grundlage der vertraglichen Verpflichtungen aus Art. 28 DSGVO. Eine Weitergabe Ihrer Daten an Dritte zu deren eigenen Zwecken erfolgt nicht; sollte eine solche Weitergabe in Ausnahmefällen erforderlich werden (etwa aufgrund gesetzlicher Verpflichtungen), informieren wir Sie hierüber gesondert und holen, soweit erforderlich, Ihre Einwilligung ein.

7. Cookies und ähnliche Technologien

Wir setzen auf unserer Website Cookies und vergleichbare Technologien (z. B. Einträge im Local Storage des Browsers) ein. Cookies sind kleine Textdateien, die beim Aufruf einer Website auf Ihrem Endgerät gespeichert werden.

Wir unterscheiden zwischen technisch notwendigen Cookies, die für den Betrieb der Website unerlässlich sind, und solchen, die wir ausschließlich mit Ihrer Einwilligung einsetzen.

7.1 Technisch notwendige Cookies

Diese Cookies sind erforderlich, damit Sie sich anmelden, im eingeloggten Bereich Ihren Kurs nutzen und das Angebot sicher bedienen können. Ohne diese Cookies funktioniert die Website nicht; sie können daher nicht abgewählt werden.

Eingesetzt werden insbesondere:

Cookie / EintragZweckSpeicherdauer
Supabase-Auth-Tokens (sb-...-auth-token)Authentifizierung im eingeloggten Bereich, automatisches Erneuern der Anmeldungbis zur Abmeldung bzw. zum Ablauf der Sitzung
Klaro-Einwilligungseintrag (klaro)Speicherung Ihrer Einwilligungsentscheidung (siehe 7.4)12 Monate

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderliche Speicherung bzw. Abruf) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. c DSGVO für den Einwilligungseintrag (Nachweispflicht aus Art. 7 Abs. 1 DSGVO).

7.2 Reichweitenmessung mit Google Analytics 4 (einwilligungspflichtig)

Sofern Sie eingewilligt haben, setzen wir Google Analytics 4 zur Reichweitenmessung und Optimierung unseres Angebots ein. Hierzu werden Cookies (u. a. _ga, _ga_<ID>) und vergleichbare Identifikatoren auf Ihrem Endgerät gespeichert sowie Informationen über Ihre Nutzung an Google übertragen. Die IP-Adresse wird vor der Auswertung gekürzt (IP-Anonymisierung).

Details zum Anbieter und zur Datenübermittlung in die USA finden Sie in Abschnitt 8.1.

Rechtsgrundlage: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7.3 Google Tag Manager (einwilligungspflichtig)

Wir nutzen den Google Tag Manager zur Einbindung und Steuerung von Tags auf unserer Website (insbesondere von Google Analytics 4, siehe 7.2). Der Tag Manager selbst erhebt nach unserer Konfiguration keine personenbezogenen Daten; technisch ruft Ihr Browser jedoch beim Laden des Tag Managers eine Ressource von Google ab, wobei Ihre IP-Adresse an Google übermittelt wird. Aus diesem Grund laden wir den Tag Manager erst, nachdem Sie eingewilligt haben.

Details zum Anbieter und zur Datenübermittlung in die USA finden Sie in Abschnitt 8.2.

Rechtsgrundlage: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7.4 Einwilligungsverwaltung mit Klaro

Zur Einholung, Verwaltung und Dokumentation Ihrer Einwilligung in nicht zwingend erforderliche Cookies setzen wir das Open-Source-Consent-Tool Klaro! der KIProtect GmbH, Engeldamm 64b, 10179 Berlin, ein. Klaro wird auf unseren eigenen Servern bereitgestellt; eine Übermittlung an externe Server findet nicht statt.

Klaro speichert Ihre Einwilligungsentscheidung lokal in Ihrem Browser. Verarbeitet werden insbesondere der Einwilligungsstatus je Dienst, der Zeitpunkt der Entscheidung sowie eine Versionskennung der zum Zeitpunkt geltenden Cookie-Konfiguration. Die Speicherung dient dem Nachweis nach Art. 7 Abs. 1 DSGVO und der korrekten Wiedervorlage Ihrer Auswahl bei späteren Besuchen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht aus Art. 7 Abs. 1 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer rechtskonformen Einwilligungsverwaltung).

7.5 Widerruf Ihrer Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Klicken Sie hierzu auf den Link „Cookie-Einstellungen” im Footer unserer Website; das Klaro-Fenster öffnet sich erneut, und Sie können Ihre Auswahl anpassen oder vollständig widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Alternativ können Sie alle Cookies über die Einstellungen Ihres Browsers löschen.

8. Drittanbieter (Detailangaben)

Die folgenden Drittanbieter setzen wir ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG ein. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen” im Footer unserer Website mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 7.5).

8.1 Google Analytics 4

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Vertragspartner für die EU); technische Verarbeitung durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Wir nutzen Google Analytics 4 (GA4), einen Webanalysedienst, um die Nutzung unserer Website statistisch auszuwerten und unser Angebot fortlaufend zu verbessern. GA4 verarbeitet zu diesem Zweck insbesondere folgende Daten:

  • gekürzte IP-Adresse (IP-Anonymisierung ist aktiviert),
  • aufgerufene Seiten und Zeitpunkte der Aufrufe,
  • Verweildauer und Interaktionen mit der Seite,
  • Browser- und Geräteinformationen, ungefähre Region (auf Basis der gekürzten IP-Adresse),
  • eine pseudonyme, von GA4 generierte Geräte- bzw. Sitzungskennung.

Eine Zusammenführung dieser Daten mit anderen bei uns verarbeiteten Konto- oder Kursdaten findet nicht statt; eine Personalisierung von Werbung („Google Signals”, Werbefunktionen) haben wir deaktiviert.

Im Rahmen der Verarbeitung kommt es zu einer Übermittlung von Daten in die USA. Google ist nach dem EU-US Data Privacy Framework zertifiziert (Adäquanzbeschluss der EU-Kommission vom 10. Juli 2023); ergänzend gelten die zwischen Google und uns vereinbarten EU-Standardvertragsklauseln (SCC).

Speicherdauer bei Google: Ereignisdaten 2 Monate, Nutzerdaten 14 Monate; anschließend automatische Löschung durch Google.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung).

Weitere Informationen: https://policies.google.com/privacy

8.2 Google Tag Manager

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Vertragspartner für die EU); technische Verarbeitung durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Wir nutzen den Google Tag Manager, um die in Abschnitt 8.1 beschriebenen Tracking-Tags strukturiert in unsere Website einzubinden und zu steuern. Der Tag Manager selbst setzt nach unserer Konfiguration keine eigenen Cookies und erhebt keine personenbezogenen Daten zu Analyse- oder Werbezwecken; allerdings übermittelt Ihr Browser beim Laden des Tag Managers technisch unvermeidbar Ihre IP-Adresse sowie Browser- und Geräteinformationen an Google. Aus diesem Grund laden wir den Tag Manager ausschließlich, nachdem Sie hierzu eingewilligt haben.

Im Rahmen der Verarbeitung kommt es zu einer Übermittlung von Daten in die USA. Hinsichtlich der Garantien für die Drittlandübermittlung gelten die Ausführungen in Abschnitt 8.1 entsprechend.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung).

Weitere Informationen: https://policies.google.com/privacy

9. Datenübermittlung in Drittländer

Soweit personenbezogene Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, sorgen wir vor jeder Übermittlung dafür, dass ein dem europäischen Datenschutzrecht entsprechendes Schutzniveau gewährleistet ist.

Konkret betrifft dies die in Abschnitt 6.2 (Netlify), Abschnitt 6.3 (Google Workspace), Abschnitt 6.4 (Stripe) sowie Abschnitt 8 (Google Analytics 4 und Google Tag Manager) genannten Verarbeitungen. Die Übermittlung erfolgt jeweils auf einer der folgenden Grundlagen:

  • Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) für die USA in Form des am 10. Juli 2023 in Kraft getretenen EU-US Data Privacy Framework, soweit der jeweilige Empfänger zertifiziert ist (dies gilt für Google, Netlify und Stripe),
  • ergänzend EU-Standardvertragsklauseln in der Fassung des Durchführungsbeschlusses (EU) 2021/914 (Art. 46 Abs. 2 lit. c DSGVO),
  • technische und organisatorische Schutzmaßnahmen, insbesondere Transportverschlüsselung (TLS) sowie Verschlüsselung bzw. Pseudonymisierung im Ruhezustand, soweit für den jeweiligen Dienst möglich.

Eine Kopie der jeweils einschlägigen Garantien können Sie über die in Abschnitt 2 genannten Kontaktdaten unseres Datenschutzbeauftragten anfordern.

10. Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre personenbezogenen Daten gegen unbeabsichtigte Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Hierzu zählen insbesondere:

  • durchgängige Transportverschlüsselung (TLS) für die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern,
  • Verschlüsselung gespeicherter Daten im Ruhezustand bei unseren Auftragsverarbeitern,
  • rollenbasiertes Zugriffsmanagement und Beschränkung des Zugriffs auf personenbezogene Daten auf das für die jeweilige Aufgabe erforderliche Maß,
  • Speicherung von Passwörtern ausschließlich in gehashter Form,
  • laufende Aktualisierung eingesetzter Komponenten zur Schließung bekannter Sicherheitslücken,
  • regelmäßige Überprüfung und Anpassung der Schutzmaßnahmen an den Stand der Technik.

11. Ihre Rechte

Im Hinblick auf die Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen die folgenden Rechte zu. Zur Geltendmachung genügt eine formlose Mitteilung an info@cogthera.de oder an unseren Datenschutzbeauftragten (Abschnitt 2). Wir bearbeiten Ihre Anfrage unverzüglich, spätestens jedoch innerhalb der gesetzlichen Fristen.

11.1 Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten und auf die in Art. 15 DSGVO im Einzelnen aufgeführten Informationen.

11.2 Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger Daten und gegebenenfalls die Vervollständigung unvollständiger Daten zu verlangen.

11.3 Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, soweit einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt und keine gesetzliche Aufbewahrungspflicht oder ein anderer Ausschlussgrund nach Art. 17 Abs. 3 DSGVO entgegensteht. Sie können Ihr Konto und sämtliche damit verknüpften Daten jederzeit selbst löschen unter „Konto” → „Konto löschen” im eingeloggten Bereich.

11.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, unter den in Art. 18 DSGVO genannten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

11.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt.

11.6 Widerspruch (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit zu widersprechen. Wir verarbeiten die Daten anschließend nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

11.7 Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht (insbesondere Reichweitenmessung gemäß Abschnitt 7.2 und 7.3), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Den Widerruf Ihrer Cookie-Einwilligung erklären Sie über den Link „Cookie-Einstellungen” im Footer unserer Website. Den Widerruf Ihrer Einwilligung in die Verarbeitung Ihrer Konto- und Kursdaten erklären Sie praktisch durch Löschung Ihres Kontos unter „Konto” → „Konto löschen”. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt jeweils unberührt.

11.8 Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu. Für uns als bayerisches Unternehmen ist zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach Telefon: +49 (0) 981 180093-0 Telefax: +49 (0) 981 180093-800 E-Mail: poststelle@lda.bayern.de Web: https://www.lda.bayern.de

Sie können sich darüber hinaus an jede andere Datenschutz-Aufsichtsbehörde im EWR wenden, insbesondere an die Behörde Ihres üblichen Aufenthaltsorts oder Ihres Arbeitsplatzes.

12. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO findet nicht statt. Insbesondere erfolgt weder eine automatisierte Bewertung Ihres Kursfortschritts mit rechtlicher Wirkung noch eine sonstige Entscheidung, die Sie in vergleichbarer Weise erheblich beeinträchtigt.

13. Herkunft der Daten

Wir erheben sämtliche personenbezogenen Daten unmittelbar bei Ihnen — entweder durch Ihre Eingaben (z. B. bei der Registrierung oder im Kursverlauf) oder automatisch durch Ihren Browser bei Aufruf unserer Seiten. Eine Erhebung Ihrer Daten aus öffentlich zugänglichen Quellen oder bei Dritten findet nicht statt.

14. Änderungen dieses Datenschutzhinweises

Wir passen diesen Datenschutzhinweis an, wenn dies aufgrund technischer Weiterentwicklungen unseres Angebots, geänderter rechtlicher Anforderungen oder neuer Erkenntnisse der Aufsichtsbehörden erforderlich wird. Maßgeblich ist jeweils die zum Zeitpunkt Ihres Besuchs auf unserer Website veröffentlichte Fassung. Wesentliche Änderungen, die eine erneute Einwilligung erforderlich machen, holen wir gesondert ein.

15. Stand dieses Datenschutzhinweises

Diese Fassung des Datenschutzhinweises ist gültig ab dem 05.05.2026.