Wie personenbezogene Daten in der Praxis Stefan Epping verarbeitet werden — transparent, vollständig, nachvollziehbar.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
(1) Wir verarbeiten personenbezogene Daten unserer Klienten, Interessenten und Webseitenbesucher grundsätzlich nur, soweit dies zur Bereitstellung unserer Leistungen sowie zur Beantwortung von Anfragen erforderlich ist oder soweit der Klient hierin ausdrücklich eingewilligt hat.
(2) Rechtsgrundlagen. Soweit für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person eingeholt wird, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei Verarbeitungen zur Erfüllung eines Vertrags dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Soweit eine Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage. Für besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) gilt zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).
(1) Das CRM-System des Beraters wird auf einem dedizierten Server bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, betrieben. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
(2) Beim Aufruf der Anwendung werden technisch notwendige Server-Logdaten verarbeitet (IP-Adresse, Datum/Uhrzeit, abgerufene Ressource, User-Agent). Diese Logs werden nach maximal 7 Tagen gelöscht oder anonymisiert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit).
(1) Über das Onboarding-Formular auf www.stefan-epping.de/aufnahme erheben wir folgende Angaben:
(2) Einwilligungen. Im Formular werden folgende Einwilligungen erhoben:
| Einwilligung | Inhalt | Erhebung |
|---|---|---|
consent_data | Verarbeitung der Stamm- und Geburtsdaten zum Zweck der Beratung | Pflicht — kombinierte Box |
consent_ai | Pseudonymisierte Verarbeitung der Geburtsdaten zur maschinellen Auswertung (siehe Ziffer 8) | Pflicht — kombinierte Box |
consent_contact | Kontaktaufnahme per E-Mail zur Terminorganisation | Pflicht — kombinierte Box |
consent_recording | Audio-/Video-Aufzeichnung von Mentoring-Sitzungen | optional, eigene Box |
consent_newsletter | Versand des Newsletters mit Impulsen zur Biografiearbeit (siehe Ziffer 6) | optional, eigene Box |
Die drei für die Beratung erforderlichen Einwilligungen (consent_data, consent_ai, consent_contact) werden zur Lesbarkeit in einer kombinierten Pflicht-Checkbox erhoben, deren Text die drei Bestandteile ausdrücklich benennt. Die Auswertung durch KI und der E-Mail-Kontakt sind für die Hauptleistung (Geburtsmusteranalyse und Beratung) untrennbar erforderlich. Die Nachweis-Granularität nach Art. 7 Abs. 1 DSGVO bleibt voll erhalten: jeder Bestandteil wird in consent_log einzeln protokolliert. Die optionalen Einwilligungen (consent_recording, consent_newsletter) sind ausdrücklich von der Hauptleistung entkoppelt (Art. 7 Abs. 4 DSGVO).
(3) Nachweis und Dokumentation. Jede einzelne Einwilligung wird zum Zeitpunkt des Absendens des Formulars in einer revisionssicheren Tabelle (consent_log) gespeichert mit: Einwilligungstyp, IP-Adresse, Zeitstempel. Damit kommt der Berater seiner Nachweispflicht nach Art. 7 Abs. 1 DSGVO nach. Auf Verlangen erhält der Klient eine Kopie der zu seiner Person gespeicherten Einwilligungen.
(4) Widerruf. Jede Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden — formlos per E-Mail an info@stefan-epping.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
(5) Bestätigungslink (Double-Opt-In). Vor Freischaltung des Formulars wird an die angegebene E-Mail-Adresse ein Bestätigungslink gesendet. Damit stellen wir sicher, dass die E-Mail-Adresse tatsächlich Ihnen gehört. IP-Adresse und Zeitstempel der Bestätigung werden gespeichert (opt_in_ip, Tabelle contact).
(1) Soweit Sie im Aufnahmeformular oder im Verlauf der Beratung Angaben zu Ihrer Gesundheit, zu Symptomen, zu psychischen Belastungen oder zu früheren Diagnosen machen, handelt es sich um besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO.
(2) Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung umfasst die Speicherung im CRM des Beraters, nicht jedoch die Übermittlung an externe KI-Dienste (siehe Ziffer 8).
(3) Die Daten werden nicht zu automatisierten Entscheidungen oder Profilbildung im Sinne von Art. 22 DSGVO verwendet.
(4) Sie können jederzeit verlangen, dass diese Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(1) Für den E-Mail-Versand (Bestätigungs-, Termin-, Sequenz- und Newsletter-E-Mails) nutzen wir den Dienst Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin / Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich). Mit Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Den Newsletter mit Impulsen zur Biografiearbeit (ca. 1× monatlich) versenden wir ausschließlich an Empfänger, die hierin ausdrücklich eingewilligt haben (separate Checkbox consent_newsletter im Aufnahmeformular oder zusätzliche schriftliche Einwilligung). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO sowie § 7 Abs. 2 UWG. Die Einwilligung kann jederzeit durch den Abmelde-Link am Ende jeder E-Mail oder formlos per E-Mail an info@stefan-epping.de widerrufen werden. Die Anmeldung zur Beratung sowie die Lieferung etwaiger Lead-Magneten (z. B. kostenlose Dossiers) sind unabhängig vom Newsletter-Bezug — es findet keine Kopplung im Sinne von Art. 7 Abs. 4 DSGVO statt.
Die Datenschutzerklärung von Brevo ist abrufbar unter: brevo.com/de/legal/privacypolicy. Der zugehörige Auftragsverarbeitungsvertrag (Data Processing Agreement) ist abrufbar unter: brevo.com/de/legal/dpa.
(2) Tracking in versendeten E-Mails. Soweit Sie in eine laufende Sequenz eingebucht sind oder Kampagnen-Mails erhalten, verwenden wir technische Hilfsmittel zur Erfolgsmessung:
Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie mit Anmeldung zu einer Sequenz erteilen. Sie können das Tracking deaktivieren, indem Sie in Ihrem Mailprogramm das automatische Laden externer Bilder ausschalten oder sich aus der Sequenz austragen (Abmelde-Link in jeder E-Mail).
(1) Google Calendar. Der Berater synchronisiert seine Beratungstermine mit Google Calendar (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland). Synchronisiert werden: Termin-Titel mit Vor- und Nachname des Klienten, Datum, Uhrzeit, Dauer sowie ggf. ein interner Notiztext. Inhaltliche Beratungsdetails (Gesundheitsdaten, Sitzungsinhalte, biografische Marker) werden nicht an Google Calendar übermittelt. Die Verarbeitung erfolgt im Rahmen des Google-Workspace-Accounts des Beraters auf Grundlage des Workspace-DPA (Auftragsverarbeitung nach Art. 28 DSGVO). Rechtsgrundlage für die Übermittlung des Klientennamens ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Terminorganisation).
(2) Google Maps / Geocoding. Zur Auflösung von Geburtsorten in geografische Koordinaten nutzen wir die Geocoding-Schnittstelle von Google Maps. Übermittelt wird ausschließlich der Ortsname, keine personenbeziehbaren Angaben.
(3) Mit Google besteht ein Auftragsverarbeitungsvertrag (Google Workspace Data Processing Amendment). Google ist unter dem EU-US Data Privacy Framework zertifiziert (siehe Ziffer 11).
(1) Zur Vorbereitung von Beratungssitzungen nutzt der Berater den Dienst Google NotebookLM (Google Ireland Ltd. / Google LLC, USA). NotebookLM ist ein KI-basiertes System, das auf Grundlage hochgeladener Dokumente Zusammenfassungen und thematische Strukturierungen erstellt.
(2) Was wird übertragen? Pro Klient wird in NotebookLM ein eigenes Notebook angelegt. Der Notebook-Titel besteht aus einem pseudonymen Identifikator (Hash-Wert auf Basis der Geburtsdaten, kein Klarname). In das Notebook werden vom Berater manuell ausgewählte Inhalte hochgeladen, beispielsweise:
Diese Inhalte können personenbezogene Daten und ggf. besondere Kategorien (Gesundheitsdaten) enthalten.
(3) Rechtsgrundlage. Die Übermittlung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (consent_ai im Onboarding-Formular). Soweit besondere Kategorien personenbezogener Daten betroffen sind, beruht die Einwilligung zusätzlich auf Art. 9 Abs. 2 lit. a DSGVO.
(4) Pseudonymisierung, nicht Anonymisierung. Die Daten sind zwar im Notebook-Titel nicht mit Ihrem Klarnamen verbunden; durch die Inhalte (Geburtsdaten, Themen, biografische Marker) ist eine Re-Identifikation jedoch grundsätzlich möglich. Es handelt sich daher rechtlich weiterhin um personenbezogene Daten (Erwägungsgrund 26 DSGVO).
(5) Auftragsverarbeitung und Drittlandübermittlung. NotebookLM wird im Rahmen des Google-Workspace-Accounts des Beraters genutzt. Mit Google besteht ein Auftragsverarbeitungsvertrag (Google Workspace Data Processing Amendment, Art. 28 DSGVO). Eine Nutzung der hochgeladenen Inhalte zu Trainingszwecken durch Google ist nach den Workspace-DPA-Bedingungen ausgeschlossen. Google verarbeitet Daten ggf. auch in den USA; Google ist unter dem EU-US Data Privacy Framework zertifiziert (siehe Ziffer 11).
(6) Löschung. Wenn Sie Ihre Einwilligung widerrufen oder die Löschung Ihrer Daten verlangen, löscht der Berater die im CRM gespeicherten Daten unverzüglich. Beim Löschen eines Klient-Datensatzes im CRM wird auch das zugehörige NotebookLM-Notebook bei Google automatisch mitentfernt. Sollte die Übermittlung an Google ausnahmsweise technisch scheitern (Netzfehler, Sitzungsproblem), wird das verbleibende Notebook vom Berater manuell nachgelöscht.
(1) Auf der Website wird auf den externen Buchungsdienst Calendly (Calendly LLC, 271 17th St NW, Suite 1000, Atlanta, GA 30363, USA) per Link verwiesen (calendly.com/eppingstefan/kl). Eine Einbettung der Calendly-Plattform per iframe oder vergleichbarer Technologie findet nicht statt; Cookies oder sonstige Tracking-Elemente von Calendly werden auf der Website des Beraters nicht gesetzt.
(2) Erst nach Klick auf den Buchungs-Link gelangen Sie auf die Calendly-Plattform. Calendly erhebt dort eigenständig Daten, insbesondere IP-Adresse, Browserkennung, gewählte Termine sowie die von Ihnen eingegebenen Kontaktdaten (Vor- und Nachname, E-Mail-Adresse, ggf. Telefonnummer). Für die Datenverarbeitung auf der Calendly-Plattform ist ausschließlich Calendly verantwortlich. Einzelheiten finden Sie in der Datenschutzerklärung von Calendly: calendly.com/de/pages/privacy.
(3) Soweit Buchungsdaten von Calendly an den Berater zurückübermittelt werden (Name, E-Mail, gewählter Termin), verarbeitet der Berater diese Daten zur Terminorganisation auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung). Mit Calendly besteht ein Auftragsverarbeitungsvertrag.
(4) Calendly überträgt Daten in die USA. Calendly ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023).
(1) Mentoring- und Ausbildungssitzungen können nach ausdrücklicher Einwilligung des Klienten als Audio aufgezeichnet werden (consent_recording). Zweck der Aufzeichnung ist die Nachbereitung durch den Klienten sowie die Qualitätssicherung der Methode.
(2) Die Aufnahmen werden ausschließlich auf den Systemen des Beraters gespeichert und nicht an Dritte weitergegeben.
(3) Aufnahmen werden bis zum Widerruf der Einwilligung oder bis zum Ende des Mandats (Begriff siehe Ziffer 12) aufbewahrt; danach werden sie gelöscht. Auf Verlangen werden Aufnahmen jederzeit auch früher gelöscht.
(1) Soweit wir personenbezogene Daten an Empfänger außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) übermitteln, geschieht dies nur, sofern:
(2) Für Übermittlungen in die USA stützen wir uns auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Folgende von uns eingesetzte Anbieter sind unter dem DPF zertifiziert:
Eine aktuelle Liste der zertifizierten Unternehmen finden Sie unter: dataprivacyframework.gov.
Begriff Mandatsende. Die Beratung in der hermetischen Biografiearbeit ist ihrem Wesen nach auf eine längerfristige, oft über Jahre fortlaufende Begleitung angelegt. Solange das Mandat besteht, werden die zur Beratung erforderlichen Daten weiter aufbewahrt — diese fortlaufende Aufbewahrung ist Bestandteil der angebotenen Begleitung und damit zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b DSGVO). Das Mandat endet entweder (a) durch ausdrückliche schriftliche Kündigung des Klienten oder Widerruf seiner Einwilligungen oder (b) automatisch nach sieben Jahren ohne jeglichen Kontakt zwischen Klient und Berater. Mit Mandatsende beginnen die in der folgenden Tabelle genannten Nach-Aufbewahrungsfristen.
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Stammdaten aktiver Klienten | bis Mandatsende + 10 Jahre | § 147 AO / § 257 HGB |
| Onboarding-Daten ohne Vertragsschluss | 90 Tage nach letztem Kontakt | berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Gesundheitsdaten / Anamnese | bis Widerruf der Einwilligung oder Mandatsende | Art. 9 Abs. 2 lit. a (Einwilligung) |
| Sitzungs-Aufzeichnungen | bis Widerruf der Einwilligung oder Mandatsende | Einwilligung |
| E-Mail-Tracking-Logs (Open / Click) | 24 Monate | berechtigtes Interesse |
| Server-Logs | max. 7 Tage | berechtigtes Interesse |
Einwilligungsprotokoll (consent_log) | bis 3 Jahre nach Mandatsende | Art. 7 Abs. 1 (Nachweispflicht) |
| NotebookLM-Notebooks | manuell durch Berater bei Mandatsende / auf Verlangen | Einwilligung |
Hinweis zur Umsetzung: Die Löschungen am Mandatsende erfolgen derzeit durch den Berater; eine technische Automatisierung wird schrittweise eingeführt.
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Zur Ausübung dieser Rechte genügt eine formlose E-Mail an info@stefan-epping.de.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Diensteangebots aktuell zu halten. Maßgeblich ist die jeweils auf dieser Website veröffentlichte Fassung.