Datenschutzerklärung

1. Verantwortlicher für diese Website

Dejan Anđelkovic, geschäftlich auftretend unter der Marke „Sublis“
Putzbrunnerstr. 121
81739 München
E-Mail: dejan.andjelkovic@sublis.de

1a. Rollenverteilung bei Daten aus dem Chat-Widget

Sublis wird auf den Websites von Handwerks- und Servicebetrieben (nachfolgend „Provider“) als eingebettetes Chat-Widget eingesetzt. Bei den dort eingegebenen Endkunden-Daten gilt folgende Rollenverteilung gemäß Art. 4 Nr. 7 und Art. 28 DSGVO:

• Für die Endkunden-Daten (Name, E-Mail, Telefon, Terminwunsch, Anliegen-Beschreibung, Adresse), die ein potenzieller Endkunde in das Chat-Widget eines Providers einträgt, ist der jeweilige Provider Datenschutz-Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Der Provider entscheidet über Zwecke und Mittel der Verarbeitung dieser Daten in seinem Geschaeftsbetrieb.
• Sublis verarbeitet diese Endkunden-Daten ausschließlich im Auftrag des jeweiligen Providers als Auftragsverarbeiter nach Art. 28 DSGVO. Mit jedem Provider wird vor Aufnahme der Verarbeitung ein schriftlicher Auftragsverarbeitungsvertrag (AVV) geschlossen.
• Für die Daten der Provider selbst (Login-Daten, Telegram-IDs, OAuth-Tokens, AVV-Vertragsdaten) sowie für Daten aus dem Besuch dieser Website (sublis.de) ist Sublis selbst Verantwortlicher.

Wenn Sie als Endkunde Auskunft, Berichtigung oder Löschung Ihrer Daten verlangen möchten (Abschnitt 12), wenden Sie sich grundsätzlich direkt an den Provider, dessen Website das Widget angezeigt hat. Sublis unterstützt den Provider als Auftragsverarbeiter bei der Erfüllung dieser Anfragen.

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
• Inhaltsdaten (Nachrichten, Terminwünsche, Serviceanfragen)
• Nutzungsdaten (aufgerufene Seiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (IP-Adressen, Browser-Typ)
• Kalender-Daten (Termine, Kalender-Event-IDs bei Google/Microsoft)

Betroffene Personen

• Nutzer der Website und des Chat-Widgets (Endkunden)
• Registrierte Handwerks- und Servicebetriebe (Provider)
• Mitarbeiter der registrierten Betriebe

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich (z. B. Terminanfragen, Lead-Verwaltung).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich (z. B. Sicherheit, Analyse, Betrieb der Plattform).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sofern wir eine Einwilligung einholen (z. B. Kalender-Integration).

4. Chat-Widget und Terminanfragen (Auftragsverarbeitung)

Das Sublis-Chat-Widget wird auf der Website des jeweiligen Providers eingebunden. Wenn Sie als Endkunde eine Terminanfrage stellen, werden Ihre Daten im Auftrag des Providers verarbeitet (vgl. Abschnitt 1a, Art. 28 DSGVO). Sublis stellt nur die technische Infrastruktur für die Anfrage-Verarbeitung bereit.

Erfasste Daten bei einer Terminanfrage:

• Name
• E-Mail-Adresse
• Telefonnummer
• Gewünschter Service / Gewerk
• Terminwunsch (Datum und Uhrzeit)
• Adresse (Straße, Postleitzahl, Ort) bei Vor-Ort-Terminen
• Freitext-Nachricht (Anliegen-Beschreibung)
• Optionale Bild- oder Sprachnachrichten (max. 3 Fotos, max. 60s Voice)

Konkrete Verarbeitungszwecke

• Übermittlung der Terminanfrage an den Provider via Telegram
• Speicherung im Auftrags-Dashboard des Providers
• Versand automatischer Bestätigungs- und Erinnerungs-E-Mails an Sie als Endkunde
• Eintrag eines bestätigten Termins in den verbundenen Kalender des Providers (Google / Microsoft)
• Versand einer Bewertungsanfrage nach dem Termin (optional, durch Provider abschaltbar)

Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Maßnahmen zwischen Ihnen und dem Provider (Art. 6 Abs. 1 lit. b DSGVO).
Speicherdauer: Die Daten werden für die Dauer der Geschäftsbeziehung zwischen Ihnen und dem Provider gespeichert. Nach Vertragsende stellt Sublis die Daten dem Provider 30 Tage zum Export bereit, danach werden sie gelöscht. Gesetzliche Aufbewahrungsfristen (z. B. nach HGB / AO) bleiben unberührt.

5. Telegram-Integration

Für die Benachrichtigung der Provider-Betriebe nutzen wir die Telegram Bot API. Dabei werden folgende Daten an Telegram übermittelt:

• Telegram-Chat-ID des Providers
• Lead-Informationen (Name, Service, Terminwunsch)

Anbieter: Telegram FZ-LLC, Dubai, Vereinigte Arabische Emirate.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Hinweis: Es erfolgt eine Datenübermittlung in ein Drittland. Telegram speichert Nachrichten auf Servern außerhalb der EU.

6. Kalender-Integration (Google & Microsoft)

Provider können ihre Google- oder Microsoft-Kalender verbinden. Dabei werden Termine (Datum, Uhrzeit, Kundenname, Service) in den verbundenen Kalender eingetragen.

Google: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung: policies.google.com/privacy.
Microsoft: Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Datenschutzerklärung: privacy.microsoft.com.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Verbindung wird aktiv durch den Provider hergestellt und kann jederzeit widerrufen werden.
Verarbeitete Daten: OAuth2-Tokens (Access + Refresh), Kalender-Event-IDs, Termindetails.

Datenweitergabe (Empfänger) von Google-Nutzerdaten: Über die Google Calendar API erhaltene Daten (OAuth-Tokens, Kalender-Events) werden ausschließlich an folgende Empfänger weitergegeben:

• Hetzner Online GmbH (unser Hosting-Anbieter, siehe Abschnitt 8) — technische Speicherung und Verarbeitung auf Servern in Deutschland. Auftragsverarbeitungsvertrag (AVV) liegt vor.
• Google selbst — Synchronisation der vom Provider angelegten Termine zurück in den Google-Kalender des Providers.

Sublis erfüllt die Google API Services User Data Policy einschließlich der Limited Use Requirements. Daten aus der Google Calendar API werden:

• NICHT an sonstige Dritte verkauft, übertragen oder offengelegt;
• NICHT für Werbezwecke verwendet;
• NICHT zum Trainieren von KI-/Machine-Learning-Modellen verwendet;
• NICHT von Menschen eingesehen, außer (a) mit ausdrücklicher Zustimmung des Providers, (b) zu Sicherheitszwecken (z. B. Untersuchung von Missbrauch), (c) zur Erfüllung gesetzlicher Verpflichtungen oder (d) für aggregierte/anonymisierte Zwecke im Rahmen interner Operationen.

Die gleichen Grundsätze gelten analog für über die Microsoft Graph API erhaltene Outlook-Kalenderdaten.

7. E-Mail-Versand (Brevo)

Für den Versand von E-Mails (Onboarding, Terminbestätigungen) nutzen wir den Dienst Brevo (ehemals Sendinblue).

Anbieter: Brevo (Sendinblue GmbH), Köpenicker Str. 126, 10179 Berlin, Deutschland.
Verarbeitete Daten: E-Mail-Adresse, Name, E-Mail-Inhalt.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

8. Hosting

Unsere Website und Dienste werden bei Hetzner Online GmbH gehostet.

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Verarbeitete Daten: Alle im Rahmen der Nutzung anfallenden Daten (Inhaltsdaten, Nutzungsdaten, Meta-Daten).
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Ein Auftragsverarbeitungsvertrag (AVV) mit Hetzner liegt vor.

9. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol.

10. Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch übermittelt:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL
• IP-Adresse (anonymisiert)
• Uhrzeit der Serveranfrage

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: Log-Dateien werden nach 30 Tagen automatisch gelöscht.

11. Cookies

Unsere Website verwendet keine Tracking-Cookies und keine Analyse-Tools von Drittanbietern. Es werden ausschließlich technisch notwendige Sitzungsdaten im Browser gespeichert (localStorage für Dashboard-Login-Tokens).

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — technisch notwendig für den Betrieb der Anwendung.

12. Ihre Rechte

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
• Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: dejan.andjelkovic@sublis.de.

13. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

14. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.