Datenschutzerklärung

Information nach Art. 12 ff. Datenschutz-Grundverordnung (DSGVO)

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und sonstiger nationaler Datenschutzgesetze ist:

Novaura-Care GmbH vertreten durch den alleinvertretungsberechtigten Geschäftsführer Kevin Kujat Grüninger Dorfstraße 14 14778 Wenzlow Deutschland

Telefon: 033833 / 75 99 92
E-Mail: kontakt@novaura.de
Datenschutzanfragen: datenschutz@novaura.de

Eingetragen im Handelsregister des Amtsgerichts Potsdam unter HRB 41302.

2. Datenschutzbeauftragter

Die Novaura-Care GmbH verarbeitet im Rahmen ihres Hausnotrufdienstes regelmäßig besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (insbesondere Gesundheitsdaten). Hieraus ergibt sich nach Art. 37 Abs. 1 lit. c DSGVO grundsätzlich die Pflicht zur Bestellung eines Datenschutzbeauftragten.

Die Bestellung eines Datenschutzbeauftragten befindet sich derzeit in Vorbereitung. Bis zum Abschluss des Bestellverfahrens richten Sie Anfragen, Auskunftsersuchen und sonstige datenschutzrechtliche Anliegen bitte an:

datenschutz@novaura.de

oder schriftlich an die unter Ziffer 1 genannte Anschrift, Stichwort „Datenschutz“.

Sobald die Bestellung erfolgt ist, werden die Kontaktdaten an dieser Stelle aktualisiert.

3. Allgemeine Hinweise zur Datenverarbeitung

3.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3.2 Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei besonderen Kategorien personenbezogener Daten ergänzend Art. 9 Abs. 2 lit. a DSGVO.

Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt (z. B. handels- und steuerrechtliche Aufbewahrungspflichten), dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4. Speicherdauer / Löschung

Personenbezogene Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde.

Konkret gelten insbesondere folgende Aufbewahrungsfristen:

Datenkategorie Frist Rechtsgrundlage
Buchungsbelege, Rechnungen, Geschäftskorrespondenz (für Belege ab 01.01.2025 entstanden) 8 Jahre § 147 Abs. 3 AO i.V.m. § 257 HGB (i.d.F. des Vierten Bürokratieentlastungsgesetzes)
Buchungsbelege, Rechnungen (für Belege bis 31.12.2024 entstanden) 10 Jahre § 147 Abs. 3 AO a.F.
Handelsbriefe, sonstige Geschäftspapiere 6 Jahre § 257 Abs. 4 HGB / § 147 Abs. 3 AO
DGUV-Ausbildungsdokumentation (Teilnehmerlisten, Lehrgangsnachweise, Prüfungsunterlagen Erste-Hilfe-Ausbildung) 10 Jahre (separat von Buchhaltung) DGUV-Grundsatz 304-001, 309-003 in Verbindung mit QM-Vorgaben QSEH gGmbH
Vertragsdaten ohne steuerliche Relevanz regelmäßig 3 Jahre ab Schluss des Jahres, in dem der Anspruch entstand § 195 i.V.m. § 199 BGB (Regelverjährung)
Server-Logfiles (Host Europe) 7 Tage Art. 6 Abs. 1 lit. f DSGVO
Newsletter-Einwilligungsnachweise (Double-Opt-In-Log) Bis Widerruf zzgl. 3 Jahre zur Abwehr von Ansprüchen Art. 6 Abs. 1 lit. f DSGVO, § 7 UWG
Videoüberwachungs-Aufzeichnungen (Wertschutzlager) 72 Stunden Art. 6 Abs. 1 lit. f DSGVO
Bewerberdaten (im Fall einer Bewerbung) 6 Monate nach Abschluss des Verfahrens § 24 BDSG, § 15 AGG

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht, soweit sie nicht für eine Vertragsanbahnung oder Vertragserfüllung weiterhin erforderlich sind.

5. Empfänger-Kategorien

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nur statt, soweit dies gesetzlich zulässig oder vertraglich erforderlich ist. Die folgenden Kategorien von Empfängern erhalten — jeweils im erforderlichen Umfang — Zugriff auf personenbezogene Daten:

Empfänger / Kategorie Sitz Zweck Rolle
Host Europe GmbH Köln / Deutschland Webhosting, E-Mail-Versand (SMTP), Speicherung der WordPress-Datenbank Auftragsverarbeiter (Art. 28 DSGVO)
Hetzner Online GmbH Gunzenhausen / Nürnberg, Deutschland Hosting des Buchungstools („wp-auftragswesen“) und Moodle-LMS Auftragsverarbeiter (Art. 28 DSGVO)
Stripe Payments Europe, Ltd. Dublin / Irland (Konzernmutter USA) Zahlungsabwicklung Kreditkarte / SEPA Selbständig Verantwortlicher bzw. gemeinsam Verantwortlicher gem. DSGVO; Drittlandsbezug USA
sevDesk GmbH Offenburg / Deutschland Buchhaltung, Rechnungs- und Belegverwaltung Auftragsverarbeiter (Art. 28 DSGVO)
Honorardozentinnen und -dozenten (freiberuflich) jeweils Deutschland / EU Durchführung von Schulungen und Erstellung der Teilnehmerdokumentation Auftragsverarbeiter (Art. 28 DSGVO) — schriftlicher AVV liegt jeweils vor
Google Ireland Limited Dublin / Irland (Mutter: Google LLC, USA) Google Tag Manager, Google Analytics 4, Google Ads, Consent Mode v2 Selbständig Verantwortlicher bzw. Auftragsverarbeiter; Drittlandsbezug USA
Brandschutz K&K, Kevin Kujat & Chris Marvin Letz GbR Wenzlower Dorfstraße 74, 14778 Wenzlow Vermittlung von Buchungen, Weiterleitung der Buchungsdaten über API an die GmbH-Buchungssoftware Auftragsverarbeiter der Novaura-Care GmbH (Art. 28 DSGVO) — schriftlicher AVV liegt vor
Steuerberatung / Wirtschaftsprüfung Deutschland Erfüllung steuer-/handelsrechtlicher Pflichten Berufsgeheimnisträger gem. § 203 StGB
Zuständige Berufsgenossenschaft (VBG) sowie QSEH gGmbH Deutschland Aufsicht, Qualitätssicherung der Ermächtigung 8.2377 Gesetzliche Empfänger (Art. 6 Abs. 1 lit. c DSGVO)
Gerichte, Strafverfolgungsbehörden, Finanzbehörden Deutschland im gesetzlich vorgeschriebenen Umfang Art. 6 Abs. 1 lit. c DSGVO

6. Übermittlung in Drittländer

Im Rahmen der Nutzung von Diensten der Google Ireland Limited und der Stripe Payments Europe Ltd. kann eine Übermittlung personenbezogener Daten an die Konzernmuttergesellschaften in den Vereinigten Staaten von Amerika erfolgen.

Für diese Übermittlung berufen wir uns vorrangig auf den Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (EU-US Data Privacy Framework — DPF) gemäß Art. 45 DSGVO, soweit der jeweilige Empfänger unter dem DPF zertifiziert ist (zu überprüfen unter www.dataprivacyframework.gov/list).

Ergänzend bzw. hilfsweise stützen wir Drittlandtransfers auf Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021) sowie auf ergänzende geeignete Schutzmaßnahmen (z. B. Transportverschlüsselung, IP-Anonymisierung, Pseudonymisierung).

Sie haben das Recht, auf Anfrage eine Kopie der geeigneten Garantien zu erhalten (Art. 46 Abs. 1 DSGVO).

7. Rechte der betroffenen Personen

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene/r im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden, sowie Auskunft über diese Daten und über die in Art. 15 Abs. 1 DSGVO im Einzelnen aufgeführten Informationen.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, soweit einer der in Art. 17 Abs. 1 DSGVO aufgeführten Gründe zutrifft und keine Ausnahme nach Art. 17 Abs. 3 DSGVO (z. B. gesetzliche Aufbewahrungspflichten) entgegensteht.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können unter den Voraussetzungen des Art. 18 DSGVO die Einschränkung der Verarbeitung Sie betreffender personenbezogener Daten verlangen.

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Sie betreffende personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und einem anderen Verantwortlichen zu übermitteln.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Hinweis nach Art. 21 Abs. 4 DSGVO: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden Ihre Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung zu Werbezwecken einzulegen.

7.7 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

7.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg) Stahnsdorfer Damm 77 14532 Kleinmachnow Telefon: +49 (0) 33203 / 356-0 E-Mail: poststelle@lda.brandenburg.de Web: www.lda.brandenburg.de

8. Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

  • IP-Adresse des Nutzers
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite (URL) und HTTP-Statuscode
  • übertragene Datenmenge
  • Referrer-URL (zuvor besuchte Seite)
  • verwendeter Browser, Browser-Sprache und Betriebssystem

Die Daten werden in den Logfiles unseres Hosters (Host Europe GmbH, Köln) gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Auslieferung der Website, der Gewährleistung der IT-Sicherheit, der Aufrechterhaltung der Funktionsfähigkeit unserer informationstechnischen Systeme sowie der Abwehr von Angriffen.

Speicherdauer: 7 Tage, danach werden die Logfiles automatisch gelöscht oder vollständig anonymisiert.

9. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

10.1 Allgemeines zu Cookies

Unsere Website verwendet Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Wir unterscheiden zwischen technisch notwendigen Cookies und Cookies, die einer Einwilligung bedürfen.

Technisch notwendige Cookies (z. B. Session-Cookie der WordPress-Installation, Cookie zur Speicherung Ihrer Cookie-Entscheidung) werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG gesetzt; ergänzend Art. 6 Abs. 1 lit. f DSGVO.

Alle übrigen Cookies und vergleichbare Technologien (z. B. Tracking, Reichweitenmessung, Marketing) werden ausschließlich auf Grundlage Ihrer Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO gesetzt.

Wir nutzen zur Verwaltung der eingesetzten Cookies und ähnlichen Technologien (Tracking-Pixel, Web-Beacons etc.) sowie diesbezüglicher Einwilligungen das Consent-Management-Tool „Real Cookie Banner Pro“ der devowl.io GmbH, Tannet 6, 94539 Grafling (Version 5.2.25, selbst gehostet auf unserer Infrastruktur).

Real Cookie Banner Pro wird lokal auf unseren Servern betrieben. Es findet keine Datenübertragung an die devowl.io GmbH oder Dritte statt. Verarbeitet werden folgende Daten:

  • Ihre Einwilligungs- bzw. Widerrufsentscheidung(en)
  • Ihre IP-Adresse (gekürzt)
  • Browser-Informationen
  • Zeitpunkt Ihres Besuchs
  • Geräteinformationen
  • eingewilligte Banner-Sprache, eingewilligte Dienste und Cookies
  • Einwilligungs-ID (UUID) zur eindeutigen Zuordnung

Diese Daten werden zur Erfüllung unserer Nachweispflicht nach Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO sowie § 25 TDDDG für die Dauer von 3 Jahren in einem Cookie sowie in einer lokalen Datenbank gespeichert.

Rechtsgrundlage: Für die Speicherung des Einwilligungs-Cookies und das Auslesen bereits gesetzter Einwilligungen ist § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich). Für die anschließende Verarbeitung ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung — Nachweispflicht) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO.

Sie können Ihre Einwilligung jederzeit über den Schaltflächenlink „Cookie-Einstellungen“ am Seitenfuß widerrufen oder anpassen.

11. Kontaktaufnahme

11.1 E-Mail-Kontakt und ggf. Kontaktformular

Eine Kontaktaufnahme ist über die bereitgestellten E-Mail-Adressen sowie gegebenenfalls über ein auf der Website verfügbares Kontaktformular möglich. In diesem Fall werden die mit der E-Mail bzw. dem Formular übermittelten personenbezogenen Daten des Nutzers (mindestens: Name, E-Mail-Adresse, Inhalt der Anfrage; gegebenenfalls Telefonnummer) gespeichert.

Zweck: Bearbeitung der Anfrage; gegebenenfalls Vertragsanbahnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen); im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung). Speicherdauer: Bis die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten mehr entgegenstehen (vgl. Ziffer 4).

11.2 Anfragen zum Hausnotrufdienst

Wichtiger Hinweis zu Anfragen rund um unseren Hausnotrufdienst:

Über unsere Website nehmen wir ausschließlich erste Kontakt- und Terminanfragen zum Hausnotrufdienst entgegen. Erfasst werden in diesem ersten Schritt nur allgemeine Kontaktdaten (Name, Anschrift bzw. Postleitzahl, Telefonnummer, E-Mail-Adresse) und ein knapper Anlass der Anfrage.

Wir erheben über die Website keinerlei Gesundheitsdaten oder sonstige besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO. Bitte teilen Sie uns über das Kontaktformular oder per E-Mail keine Diagnosen, Pflegegrade, Medikamente oder sonstigen Gesundheitsinformationen mit.

Die für den Hausnotrufdienst erforderlichen Vertrags- und Gesundheitsdaten erheben wir ausschließlich im Rahmen des persönlichen Beratungsgesprächs bei Ihnen vor Ort. Hierfür übergeben wir Ihnen eine eigenständige Datenschutzinformation zum Hausnotrufdienst sowie die entsprechenden Einwilligungserklärungen nach Art. 9 Abs. 2 lit. a DSGVO.

11.3 KI-Telefonassistent (Placetel AI)

Für die Annahme und Vorbearbeitung telefonischer Anliegen setzen wir einen KI-gestützten Telefonassistenten („Voice Agent“) ein. Dieser nimmt Anrufe entgegen, erkennt Ihr Anliegen und unterstützt bei Standardvorgängen (z. B. Erfassung von Kursanfragen, Statusauskunft zu einer Buchung, Aufnahme von Umbuchungs-, Stornierungs- oder Rückrufwünschen, Versand eines Buchungslinks). Die abschließende Bearbeitung erfolgt stets nach manueller Prüfung durch unsere Mitarbeiterinnen und Mitarbeiter. Dabei verarbeiten wir die von Ihnen genannten Angaben, insbesondere Name, Telefonnummer, E-Mail-Adresse, ggf. Firma und Anschrift, Angaben zum gewünschten Kurs sowie Buchungs-/Vorgangsnummern. Zusätzlich wird eine textliche Gesprächszusammenfassung und ggf. ein Text-Transkript erstellt. Ihre Spracheingabe wird zur Erkennung Ihres Anliegens verarbeitet;

Audioaufnahmen werden in unseren Systemen nicht gespeichert.

Gesundheitsdaten werden durch den KI-Telefonassistenten nicht erhoben oder gespeichert. Beginnt ein Anrufer, gesundheitsbezogene Angaben zu
machen, unterbricht der Assistent und leitet das Gespräch an einen Mitarbeiter weiter.

Der Telefonassistent wird durch Broadsoft Germany GmbH (Marke „Placetel“), Lothringer Straße 56, 50677 Köln als Auftragsverarbeiter bereitgestellt. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO; die Verarbeitung erfolgt ausschließlich nach unseren Weisungen. Für den Betrieb des KI-Assistenten setzt der Anbieter den Unterauftragsverarbeiter Miyon AG Hosting innerhalb der EU) ein.

Soweit der Anbieter weitere Unterauftragsverarbeiter einsetzt, deren Verarbeitung in einem Drittland (insbesondere den USA) erfolgt, ist diese durch geeignete Garantien im Sinne der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) abgesichert. Sprachaufnahmen des Gesprächs werden nur erstellt, sofern dies ausdrücklich aktiviert ist; in unseren Systemen werden keine Audioaufnahmen gespeichert.

Rechtsgrundlage:
bei Anfragen mit Vertragsbezug: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen, Vertragserfüllung); bei sonstigen Anfragen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Anfragen); soweit Sie eine Anfrage über einen Bestätigungslink (Double-Opt-in) bestätigen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: bis zur abschließenden Bearbeitung Ihres Anliegens; bei gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB) bis zu deren Ablauf. Ein etwaiges Text-Transkript wird spätestens nach 90 Tagen automatisch gelöscht.

Keine ausschließlich automatisierte Entscheidung (Art. 22 DSGVO):
Umbuchungen, Stornierungen und vergleichbare Vorgänge werden vor Durchführungstets manuell durch unsere Mitarbeiter geprüft und bestätigt.

Rechtsgrundlage (Website-Anfrage): Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

12. Schulungsbuchung (Buchungstool „wp-auftragswesen“)

Über unsere Website können Sie Brandschutz-, Erste-Hilfe- und sonstige Schulungen direkt buchen. Hierfür betreiben wir ein selbst gehostetes Buchungstool (Plugin „wp-auftragswesen“) auf einem Server der Hetzner Online GmbH (Rechenzentrum Nürnberg, Deutschland).

Verarbeitete Daten:

  • Vor- und Nachname, ggf. Firmenbezeichnung
  • Rechnungs- und Liefer-/Veranstaltungsanschrift
  • E-Mail-Adresse, Telefonnummer
  • gebuchter Kurs / Veranstaltungsort / Teilnehmerzahl
  • Zahlungsart und ggf. UStID
  • Kommunikationshistorie zur Buchung

Zweck: Vertragsabschluss und -durchführung (Schulungsleistung), Abrechnung, Erfüllung steuer- und berufsrechtlicher Pflichten (insbesondere DGUV-Teilnehmerdokumentation).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuer-/berufsrechtliche Pflichten).

Speicherdauer: vgl. Ziffer 4 (insbesondere 8 Jahre § 147 AO, 10 Jahre DGUV-Doku).

12.1 Weiterleitung von Buchungsdaten durch die Brandschutz K&K GbR

Ein Teil der Schulungsbuchungen wird durch die Brandschutz K&K GbR vermittelt. Soweit Sie eine Buchung über die Brandschutz K&K GbR vornehmen, werden die Buchungsdaten über eine technische Schnittstelle (API) an die Buchungssoftware der Novaura-Care GmbH übertragen.

Datenschutzrechtlich agiert die Brandschutz K&K GbR insoweit als Auftragsverarbeiterin der Novaura-Care GmbH im Sinne des Art. 28 DSGVO. Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO bleibt die Novaura-Care GmbH. Zwischen Novaura-Care GmbH und Brandschutz K&K GbR besteht ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO.

13. Zahlungsabwicklung über Stripe

Zur Abwicklung von Zahlungen mit Kreditkarte, SEPA-Lastschrift oder weiteren bei Stripe verfügbaren Zahlungsmethoden setzen wir den Dienst Stripe der Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, ein.

Bei der Auswahl einer Stripe-Zahlungsart werden die zur Zahlungsabwicklung erforderlichen Daten (insbesondere Name, Anschrift, Bank-/Kartendaten, Betrag, Bestelldetails, Geräteinformationen, IP-Adresse) unmittelbar von Stripe im verschlüsselten Verfahren erhoben und verarbeitet. Die Novaura-Care GmbH erhält ausschließlich eine Zahlungsbestätigung und die für die Buchhaltung erforderlichen Stammdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente und sichere Zahlungsabwicklung).

Drittlandtransfer USA: Stripe ist Bestandteil eines transatlantischen Konzerns. Eine Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023, Art. 45 DSGVO) sowie ergänzender Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Weitere Informationen zum Datenschutz bei Stripe: stripe.com/de/privacy.

13.1 PayPal

Bei Zahlung über PayPal werden Ihre Zahlungsdaten im Rahmen der Zahlungsabwicklung
an die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449
Luxemburg, übermittelt.

Übermittelt werden insbesondere Vor- und Nachname, Anschrift, E-Mail-Adresse,
ggf. Telefonnummer sowie die zur Zahlungsabwicklung erforderlichen Vertrags- und
Zahlungsdaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags) sowie
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und
sicheren Zahlungsabwicklung). Soweit für die Zahlungsart eine Einwilligung
erforderlich ist, ist Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO.

PayPal ist datenschutzrechtlich eigenständig Verantwortlicher für die von ihm
vorgenommene Verarbeitung. Weitere Informationen finden Sie in der
Datenschutzerklärung von PayPal unter
https://www.paypal.com/de/webapps/mpp/ua/privacy-full.

14. Newsletter

14.1 Beschreibung und Umfang

Wir betreiben einen eigenen Newsletter-Versand über eine selbst entwickelte Anwendung. Der technische Versand erfolgt über die SMTP-Infrastruktur der Host Europe GmbH (Deutschland).

Verarbeitete Daten:

  • E-Mail-Adresse (Pflichtangabe)
  • Anrede / Vor- und Nachname (freiwillig)
  • Anmelde- und Bestätigungszeitpunkt (Datum, Uhrzeit)
  • IP-Adresse bei Anmeldung und Bestätigung (Double-Opt-In-Log)
  • Verwaltungs-/Statusinformationen (Bounce, Abmeldung)

14.2 Double-Opt-In-Verfahren

Die Anmeldung zum Newsletter erfolgt in einem Double-Opt-In-Verfahren. Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail, in der Sie Ihre Anmeldung durch Klick auf einen Aktivierungslink bestätigen müssen. Erst nach Bestätigung werden Sie in den Verteiler aufgenommen. Dies dient dem Nachweis Ihrer Einwilligung sowie der Verhinderung missbräuchlicher Anmeldungen mit fremden E-Mail-Adressen.

14.3 Rechtsgrundlage und Widerruf

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 7 Abs. 2 Nr. 3 UWG.

Sie können den Newsletter jederzeit abbestellen. Hierzu enthält jeder Newsletter einen One-Click-Abmelde-Link am Ende der E-Mail. Alternativ können Sie uns Ihren Abmeldewunsch jederzeit per E-Mail an info@novaura.de mitteilen.

14.4 Protokollierung

Die Anmelde-IP, der Anmeldezeitpunkt sowie der Bestätigungszeitpunkt werden zum Nachweis der wirksamen Einwilligung im Sinne von Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO und § 7 UWG protokolliert. Eine Speicherung erfolgt bis zur Abmeldung; nach Abmeldung wird der Protokolleintrag noch für maximal 3 Jahre zur Abwehr von Ansprüchen aufbewahrt (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 195 BGB).

15. Google Tag Manager

Diese Website nutzt den Google Tag Manager der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Der Google Tag Manager ist ein technisches System, mit dem wir Website-Tags zentral über eine Benutzeroberfläche einbinden und verwalten. Der Tag Manager selbst (das Skript, das das Tagging steuert) ist cookielos, lädt keine Tracking-Tags ohne Einwilligung und löst weder Cookies aus noch erfasst er personenbezogene Daten, soweit er nicht durch eingewilligte Tags hierzu veranlasst wird.

Im Rahmen des Aufrufs der Domain googletagmanager.com werden jedoch zwingend bestimmte technische Verbindungsdaten (insbesondere die IP-Adresse) an Google übermittelt.

Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Real Cookie Banner). Drittlandtransfer: vgl. Ziffer 6 (DPF / SCC). Weitere Informationen: Datenschutzerklärung von Google.

16. Google Analytics 4

Diese Website nutzt — nach Ihrer Einwilligung — den Webanalysedienst Google Analytics 4 (GA4) der Google Ireland Limited. GA4 verwendet Cookies und vergleichbare Wiedererkennungstechnologien, um die Benutzung der Website durch Sie zu analysieren.

Verarbeitete Daten: insbesondere gekürzte IP-Adresse (IP-Anonymisierung systemseitig aktiv), Geräte- und Browser-Informationen, Referrer-URL, aufgerufene Seiten, Verweildauer, Interaktionsereignisse, eine pseudonyme Client-ID.

Zweck: Statistische Auswertung der Nutzung, Verbesserung des Angebots, Reichweitenmessung.

Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Speicherdauer: 14 Monate (in GA4 entsprechend konfiguriert). Drittlandtransfer: Übermittlung in die USA an Google LLC, abgesichert über DPF und ergänzende SCC (vgl. Ziffer 6).

Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. Zusätzlich können Sie das Opt-out-Browser-Add-on von Google nutzen: tools.google.com/dlpage/gaoptout.

Weitere Informationen: Datenschutzerklärung von Google sowie Datenschutz und Google-Technologien.

17. Google Ads (inkl. Conversion-Tracking und Remarketing)

Diese Website nutzt — nach Ihrer Einwilligung — die Online-Marketing-Dienste Google Ads der Google Ireland Limited, einschließlich Conversion-Tracking und gegebenenfalls Remarketing.

Zweck: Messung des Werbeerfolgs unserer Online-Werbekampagnen, Anzeige interessenbezogener Werbung auf Partnerseiten des Google-Werbenetzwerks.

Verarbeitete Daten: insbesondere Cookie-/Pseudonym-ID, IP-Adresse, Referrer-URL, Conversion-Ereignisse, Geräteinformationen.

Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Drittlandtransfer: USA — abgesichert über DPF und ergänzende SCC (vgl. Ziffer 6).

Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. Personalisierte Werbung kann darüber hinaus zentral in den Google-Werbeeinstellungen deaktiviert werden: adssettings.google.com.

Wir setzen den Google Consent Mode v2 (Einwilligungsmodus, Version 2) ein. Hierbei handelt es sich um eine Schnittstelle, über die unser Consent-Management-Tool (Real Cookie Banner Pro) Ihre Einwilligungsentscheidungen an Google-Dienste (insbesondere Google Tag Manager, Google Analytics 4, Google Ads) signalisiert.

Konkret übermittelt der Consent Mode v2 vier Einwilligungssignale (ad_storage, analytics_storage, ad_user_data, ad_personalization) als „granted“ oder „denied“ an Google. Vor einer aktiven Einwilligung („Default Consent State“) sind sämtliche Signale „denied“; in diesem Modus erhebt Google ausschließlich anonymisierte und aggregierte Pings ohne Cookies und ohne IP-Speicherung. Erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner werden die jeweils freigegebenen Signale auf „granted“ gesetzt und die entsprechenden Verarbeitungen aktiviert.

Zweck: Datenschutzkonforme Steuerung von Google-Diensten in Abhängigkeit von Ihrer Einwilligungsentscheidung; Messung von Reichweite und Werbeerfolg innerhalb der gesetzlichen Grenzen.

Rechtsgrundlage:

  • Für die anonymisierten Default-Pings vor Einwilligung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datenschutzkonformer Messung ohne Endgerätezugriff im Sinne von § 25 TDDDG).
  • Für die einwilligungspflichtigen Funktionen nach „granted“: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO.

Drittlandtransfer: USA — vgl. Ziffer 6.

19. Lern-Management-System (Moodle)

Wir betreiben ein eigenes Lern-Management-System auf Basis von Moodle, gehostet auf einem Server der Hetzner Online GmbH (Rechenzentrum Nürnberg, Deutschland).

Funktionsumfang: Das Moodle dient ausschließlich als digitale Wissensbibliothek für unsere Teilnehmer (Bereitstellung von Schulungsunterlagen, Skripten, Lehrvideos). Es werden keine Online-Prüfungen, keine Online-Tests mit Leistungsbewertung und keine sonstigen prüfungsähnlichen Erfolgskontrollen im Sinne des Fernunterrichtsschutzgesetzes (FernUSG) durchgeführt; die Veranstaltungen unterliegen daher nicht der ZFU-Zulassungspflicht.

Verarbeitete Daten:

  • Anmeldedaten (Vor-/Nachname, E-Mail, Benutzername)
  • Kursteilnahme- und Login-Daten
  • Sitzungs-Cookie MoodleSession (technisch notwendig)

Zweck: Bereitstellung der vertraglich geschuldeten Lerninhalte, Identitäts- und Sitzungsverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für das Session-Cookie zusätzlich § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich).

Plugins / Analytics: Es sind keine externen Analyse-, Tracking- oder Marketing-Plugins in Moodle aktiv. Eine Übermittlung an Dritte findet — außer an den Auftragsverarbeiter Hetzner — nicht statt.

Speicherdauer: Bis 12 Monate nach Beendigung der letzten Kursbeziehung; davon abweichend ergeben sich Aufbewahrungspflichten aus DGUV-Vorgaben (vgl. Ziffer 4).

20.Honorarkräfte, Subunternehmer und Kooperationspartner

Zur Erbringung unserer Leistungen setzen wir Honorarkräfte (z. B. freiberufliche
Dozentinnen und Dozenten) sowie Subunternehmer ein. Soweit diese in unserem Auftrag
und nach unserer Weisung personenbezogene Daten verarbeiten, geschieht dies auf
Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Die eingesetzten
Personen sind zur Vertraulichkeit und zur Einhaltung der datenschutzrechtlichen
Vorgaben verpflichtet.

Bei einzelnen Schulungs- und Ausbildungsangeboten – etwa der Ausbildung von
Erste-Hilfe-Lehrkräften nach den Vorgaben der DGUV – übernehmen wir die Vermittlung
und die Rechnungsstellung über unsere Website, während die eigentliche Durchführung
des Kurses durch einen kooperierenden Bildungsträger mit dessen eigenen Dozentinnen
und Dozenten erfolgt. Soweit wir zu diesem Zweck Ihre Stamm-, Kontakt- und
Buchungsdaten an den durchführenden Bildungsträger übermitteln, ist dieser für die
Durchführung des Kurses sowie die Ausstellung der Teilnahme- und
Qualifikationsnachweise datenschutzrechtlich eigenständig verantwortlich.
Rechtsgrundlage der Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des mit
Ihnen geschlossenen Vertrags).

21. Bild- und Videoaufnahmen während Schulungen

Im Rahmen einzelner Schulungen (z. B. zur Dokumentation, zu Schulungs- oder Marketingzwecken) werden gelegentlich Foto- oder Videoaufnahmen angefertigt, auf denen Teilnehmerinnen und Teilnehmer erkennbar sein können.

Wir fertigen solche Aufnahmen ausschließlich auf Grundlage einer vorherigen, gesonderten und schriftlichen Einwilligung der abgebildeten Person an (Art. 6 Abs. 1 lit. a DSGVO sowie §§ 22, 23 KUG). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Ohne vorliegende Einwilligung wird die jeweilige Person entweder nicht aufgenommen oder vor Veröffentlichung unkenntlich gemacht.

Speicherdauer: Bis zum Widerruf bzw. bis der Verwendungszweck entfällt; spätestens [Frist intern festlegen, z. B. 5 Jahre].

22.Videoüberwachung

Soweit an unseren Standorten in nicht öffentlich zugänglichen Bereichen eine
Videoüberwachung zum Schutz vor Diebstahl und Vandalismus sowie zur Aufklärung
von Straftaten und Schadensereignissen erfolgt, finden Sie die nach Art. 13 DSGVO
erforderlichen Pflichtinformationen – einschließlich Zweck, Rechtsgrundlage
(Art. 6 Abs. 1 lit. f DSGVO), Speicherdauer und Kontaktmöglichkeiten zur Ausübung
Ihrer Betroffenenrechte – unmittelbar vor Ort durch deutlich sichtbare
Hinweisschilder sowie auf Anfrage in einem ergänzenden Informationsdokument.

Eine Videoüberwachung von Kundenbereichen, Sozial-, Sanitär- oder Pausenräumen
sowie von ständigen Arbeitsplätzen findet nicht statt.

Umfang:

  • Nur Bildaufnahmen — keine Tonaufnahmen (kein Eingriff in Art. 10 GG / § 201 StGB).
  • Erfassungsbereich ausschließlich der Innenbereich des abgeschlossenen Lagers; öffentliche Flächen, Verkehrsflächen, Schulungs- und Sozialräume werden nicht erfasst.
  • Hinweisbeschilderung gemäß Art. 13 DSGVO im zweistufigen Verfahren der Aufsichtsbehörden (Stufe-1-Großschild mit Kameragrafik, Verantwortlicher, Zweck und Verweis auf die vollständige Information; Stufe-2-Aushang mit allen Pflicht­angaben nach Art. 13 DSGVO) an jedem Zugang zum Lager angebracht.
  • Speicherdauer: maximal 72 Stunden, danach automatische, unwiderrufliche Überschreibung. Eine längere Speicherung erfolgt nur ausnahmsweise und einzelfallbezogen zur Beweissicherung bei dokumentierten Vorfällen (Strafanzeige, Versicherungsfall).
  • Zugriff auf Live-Bild und Aufzeichnungen ist auf einen eng begrenzten, namentlich benannten Personenkreis innerhalb der Novaura-Care GmbH beschränkt und ausschließlich anlassbezogen zulässig.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse am Schutz unseres Eigentums sowie der Sicherheit der dort gelagerten Gegenstände. Soweit eigene Beschäftigte oder Honorardozenten in dauerhafter Geschäftsbeziehung erfasst werden, ergänzend § 26 Abs. 1 BDSG.

Datenschutz-Folgenabschätzung (DSFA): Da im Erfassungsbereich regelmäßig Beschäftigte und Honorardozenten erfasst werden, besteht eine DSFA-Pflicht nach Art. 35 DSGVO i. V. m. der Muss-Liste der Datenschutzkonferenz (Nr. 11 — Beschäftigten­datenverarbeitung mit potenzieller umfassender Verhaltens- bzw. Leistungs­bewertbarkeit). Die DSFA wurde vor Inbetriebnahme durchgeführt, schriftlich dokumentiert und wird mindestens jährlich überprüft. Sie kommt zu dem Ergebnis, dass die Verarbeitung bei Einhaltung der genannten Schutzmaßnahmen verhältnismäßig ist.

23. Stand und Änderungen dieser Datenschutzerklärung

Stand dieser Datenschutzerklärung: 20.06.2026

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.