Rechtliches Label

Datenschutzerklärung

Stand: 4. Mai 2026

1. Verantwortlicher im Sinne der DSGVO

Marc Könemann

Friedrich-Karl-Straße 19

28205 Bremen

Deutschland

E-Mail: marc@headbadge.de

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nach Einwilligung der betroffenen Person oder auf einer anderen in Art. 6 DSGVO genannten Rechtsgrundlage.

Soweit im Folgenden nichts anderes angegeben ist, werden Ihre Daten ausschließlich innerhalb der Europäischen Union verarbeitet.

3. Erfassung beim Besuch der Website (Server-Logfiles)

Beim Aufruf unserer Website erfasst der Hosting-Provider automatisch Informationen, die Ihr Browser übermittelt. Diese sind:

  • IP-Adresse
  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer-URL
  • Hostname des zugreifenden Rechners
  • Zeitpunkt des Zugriffs

Zweck: Sicherstellung eines störungsfreien Betriebs, Gewährleistung der Systemsicherheit und -stabilität sowie Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am fehlerfreien und sicheren Betrieb der Website).

Speicherdauer: Diese Daten werden maximal 30 Tage gespeichert und danach automatisch gelöscht.

4. Cookies und Session-Verwaltung

Unsere Website nutzt nur dann Cookies, wenn Sie sich in Ihrem Kundenkonto anmelden. Dabei setzen wir ein einziges, technisch notwendiges Cookie:

Name: payload-token

Zweck: Aufrechterhaltung Ihrer Anmeldung während der Sitzung.

Speicherdauer: 24 Stunden.

Eigenschaften: HTTP-Only, Secure, SameSite.

Dieses Cookie ist zwingend erforderlich, um den Kundenbereich überhaupt nutzen zu können. Ohne das Cookie müssten Sie sich bei jedem Seitenwechsel neu anmelden.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich für einen vom Nutzer ausdrücklich gewünschten Dienst) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wir setzen keine Analyse-, Tracking-, Marketing- oder Drittanbieter-Cookies ein. Ein Cookie-Banner ist daher nicht erforderlich.

5. Kundenkonto und Registrierung

Wenn Sie ein Kundenkonto anlegen oder eine Schulung buchen, verarbeiten wir die dafür erforderlichen Daten.

Erhobene Daten

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (ausschließlich als kryptographischer Hash nach dem Argon2-Verfahren gespeichert; das Klartextpasswort ist uns zu keinem Zeitpunkt bekannt)
  • Telefonnummer (optional)
  • Firma (optional, bei geschäftlicher Nutzung)
  • Rechnungsanschrift (Straße, PLZ, Ort), soweit für die Rechnungsstellung erforderlich
  • Status der E-Mail-Verifizierung
  • Zeitpunkt der Kontoerstellung und der letzten Anmeldung

Registrierungspflicht bei Schulungsbuchungen

Für die Buchung einer Schulung ist ein Kundenkonto erforderlich. Nicht angemeldete Nutzerinnen und Nutzer werden vor Abschluss der Buchung zur Registrierung bzw. Anmeldung geleitet. Das Kundenkonto ist notwendig, um die Buchung eindeutig zuzuordnen, Bestätigungen, Stornierungen und Terminänderungen zuverlässig zuzustellen sowie Ihnen Zugriff auf Ihre Buchungshistorie zu gewähren. Die Registrierung erfolgt separat und beinhaltet eine ausdrückliche Einwilligung zur Datenverarbeitung.

Zweck: Verwaltung des Kundenkontos, Authentifizierung, Kommunikation zu Buchungen, Vertragsabwicklung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).

Speicherdauer

  • Solange ein aktives Kundenkonto besteht
  • Nach Löschung des Kontos oder nach drei Jahren ohne Aktivität werden die Stammdaten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Daten, die Teil einer Rechnung oder eines Buchungsvorgangs sind, unterliegen den gesetzlichen Aufbewahrungsfristen nach § 147 AO und § 257 HGB (siehe Abschnitt „Schulungsbuchungen")

6. Schulungsbuchungen

Bei der Buchung einer Schulung verarbeiten wir zusätzlich die folgenden Daten:

  • Bezug zur gebuchten Schulung (Titel, Datum, Ort)
  • Ausgewählte Schulungstage
  • Anzahl und Namen der Teilnehmerinnen und Teilnehmer
  • Buchungsstatus (angefragt, gebucht, bestätigt, abgesagt, storniert)
  • Buchungszeitpunkt
  • Gegebenenfalls Stornodatum und Person, die die Stornierung veranlasst hat

Zweck: Durchführung des Schulungsvertrags, Teilnehmerverwaltung, Rechnungsstellung, Abwicklung von Stornierungen und Rückerstattungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten aus Steuer- und Handelsrecht).

Speicherdauer

  • Buchungs- und Rechnungsdaten: 10 Jahre nach Ablauf des Kalenderjahres, in dem die Buchung abgeschlossen wurde (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB)
  • Korrespondenz zu nicht zustande gekommenen Buchungen: 6 Jahre (Aufbewahrungspflicht für Handelsbriefe)
  • Stornierte Buchungen verbleiben bis zum Ablauf der jeweiligen Aufbewahrungsfrist gespeichert

7. Mitgebuchte Teilnehmerinnen und Teilnehmer

Wenn Sie eine Schulung auch für weitere Personen buchen (zum Beispiel Mitarbeitende Ihres Unternehmens), erfassen wir für diese Personen Vor- und Nachname sowie E-Mail-Adresse. Für die jeweilige Person wird ebenfalls ein Kundenkonto angelegt, damit sie ihre Buchung verwalten und organisatorische Mitteilungen zur Schulung erhalten kann.

Hinweis an den Buchenden: Mit der Angabe dieser Daten bestätigen Sie, dass Sie berechtigt sind, die genannten Personen zur Schulung anzumelden, und dass die Personen über die Datenverarbeitung durch Headbadge informiert wurden. Betroffene Personen haben jederzeit die Möglichkeit, ihre Rechte (Abschnitt „Ihre Rechte") direkt uns gegenüber geltend zu machen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer geordneten Teilnehmerverwaltung).

8. Transaktions-E-Mails (Buchungsbestätigungen, Verifizierung, Passwort-Reset)

Zur Abwicklung von Buchungen und zur Verwaltung von Kundenkonten versenden wir automatisch generierte E-Mails:

  • Bestätigung einer Buchungsanfrage
  • Buchungsbestätigung, Absage, Stornierung
  • Verifizierung der E-Mail-Adresse bei Registrierung oder Erst-Buchung
  • Passwort-zurücksetzen-Mails
  • Benachrichtigung bei Änderungen zu gebuchten Schulungen (zum Beispiel Terminänderungen)
  • Magic-Link-Mails für den Zugang zum Investor-Portal

Für den zuverlässigen Versand dieser Transaktions-E-Mails nutzen wir den Dienstleister Resend (Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA). Resend verarbeitet die Daten ausschließlich zum Zweck des E-Mail-Versands in unserem Auftrag.

Der konkrete Betrieb erfolgt in der europäischen Region von Resend (Irland). Eine Datenübermittlung in die USA findet im Regelbetrieb nicht statt. Ergänzend ist Resend unter dem EU-U.S. Data Privacy Framework zertifiziert, sodass auch etwaige technische Übermittlungen in die USA gemäß Art. 45 Abs. 3 DSGVO abgesichert wären.

Übermittelte Daten: Empfängername, E-Mail-Adresse, Inhalt und Betreff der Nachricht.

Zweck und Rechtsgrundlage: Durchführung des Vertrags und Kommunikation zu Buchungen, Art. 6 Abs. 1 lit. b DSGVO.

Auftragsverarbeitungsvertrag: Mit Resend besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

9. Newsletter über neue Schulungen

Sie haben die Möglichkeit, unseren Newsletter zu abonnieren. Wir informieren Sie darüber ausschließlich über neu veröffentlichte Schulungstermine und verwandte Angebote.

Anmeldeverfahren (Double-Opt-in): Nach Eintragung Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail mit einem Aktivierungslink. Erst nach Klick auf diesen Link wird Ihre E-Mail-Adresse in den Newsletter-Verteiler aufgenommen. So stellen wir sicher, dass Ihre Anmeldung tatsächlich von Ihnen stammt.

Protokollierung der Einwilligung: Um Ihre Einwilligung gemäß Art. 7 Abs. 1 DSGVO nachweisen zu können, speichern wir den Zeitpunkt der Anmeldung, den Zeitpunkt der Bestätigung sowie Ihre bei der Anmeldung verwendete IP-Adresse.

Zweck: Information über neue Schulungsangebote.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 7 Abs. 2 Nr. 3 UWG.

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Dazu nutzen Sie bitte den Abmeldelink am Ende jeder Newsletter-Mail oder senden eine kurze Nachricht an marc@headbadge.de. Durch den Widerruf wird die Rechtmäßigkeit der bisher erfolgten Verarbeitung nicht berührt.

Speicherdauer: Ihre E-Mail-Adresse wird so lange gespeichert, wie Sie den Newsletter abonniert haben. Nach Abmeldung wird die Adresse aus dem aktiven Verteiler entfernt. Der Nachweis der Einwilligung und des Widerrufs wird für drei Jahre aufbewahrt, um etwaige Rechtsansprüche abwehren zu können.

10. Rechnungsstellung und Buchhaltung

Für die Erstellung von Rechnungen und die Finanzbuchhaltung nutzen wir die Software WISO Mein Büro der Buhl Data Service GmbH, Am Siebertsweiher 3/5, 57290 Neunkirchen, Deutschland, unter anderem in der Cloud-Variante.

Für die Rechnungsstellung übertragen wir die dafür erforderlichen Daten (Name, Rechnungsanschrift, E-Mail-Adresse, gebuchte Leistung, Betrag) in die Software. Im Rahmen der Cloud-Nutzung erfolgt damit auch eine Verarbeitung dieser Daten bei Buhl Data Service.

Zweck: Erstellung und Verwaltung von Rechnungen, Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

Auftragsverarbeitungsvertrag: Mit Buhl Data Service besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Die Datenverarbeitung findet in Deutschland statt.

11. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Nachrichtentext) zur Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen) beziehungsweise Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effektiven Bearbeitung Ihrer Anfrage).

Speicherdauer: Die Daten werden gelöscht, sobald die jeweilige Anfrage abschließend bearbeitet wurde und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. Investor-Portal (eingeschränkt zugängliche Pitch-Bereiche)

Auf einzelnen URLs unter /[project]/investor stellen wir vertrauliches Pitch-Material für persönlich eingeladene Investorinnen und Investoren bereit. Der Zugang erfolgt ausschließlich über einen personalisierten Magic-Link, den wir per E-Mail versenden.

Erhobene Daten

  • Vor- und Nachname und E-Mail-Adresse, durch uns bei der Einladung erfasst
  • Pro Portalaufruf zusätzlich: IP-Adresse, User-Agent (Browser-Kennung), Zeitpunkt des Aufrufs, aufgerufenes Projekt sowie optional die ID des angesehenen Preset-Szenarios

Zweck: Geordnete Übergabe vertraulicher Inhalte an eingeladene Investorinnen und Investoren sowie Nachvollziehbarkeit, wann welcher Zugang genutzt wurde (Audit).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der strukturierten Investorenkommunikation und der Nachvollziehbarkeit der Zugriffe auf vertrauliches Material.

Speicherdauer

  • Stammdaten zum Zugang (Name, E-Mail, Token) bis zum Ablauf des Magic-Links beziehungsweise bis zum Widerruf
  • Audit-Logeinträge werden 90 Tage nach Erstellung automatisch gelöscht. Die Löschung erfolgt durch das Datenbanksystem ohne manuelle Eingriffe

Versand des Magic-Links: Der Versand erfolgt über Resend (siehe Abschnitt 8).

Widerspruchsrecht: Sie können der Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen, indem Sie eine kurze Nachricht an marc@headbadge.de senden. Wir widerrufen den Zugang dann unverzüglich und löschen den zugehörigen Audit-Log.

13. Hosting, Datenbank und Medien

Hosting: Google Cloud

Unsere Website und das Buchungssystem werden auf der Google Cloud Platform betrieben, Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Die Server stehen in der Region europe-west1 (Belgien). Google verarbeitet dabei insbesondere Server-Logdaten (siehe Abschnitt 3).

Mit Google besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO auf Basis des Cloud Data Processing Addendum.

Datenbank: MongoDB Atlas

Die Buchungs-, Konto- und Inhaltsdaten der Website werden in einer MongoDB-Atlas-Datenbank gespeichert. Anbieter: MongoDB Limited, Building Two, Number One, Ballsbridge, 126 Pembroke Road, Dublin 4, Irland. Der Cluster-Standort ist AWS Frankfurt am Main (Deutschland). Es findet keine Übermittlung der Kontoinhalte in Drittländer statt.

Mit MongoDB besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO auf Basis des MongoDB Data Processing Agreement.

Medienspeicherung: Google Cloud Storage

Bilddateien (zum Beispiel Fotos von Dozentinnen und Dozenten oder Schulungsbanner) werden in Google Cloud Storage innerhalb der EU gespeichert. Verantwortlicher Anbieter ist ebenfalls Google Ireland Limited; es gilt derselbe Auftragsverarbeitungsvertrag wie für das Hosting.

14. Übermittlung in Drittländer

Eine regelmäßige Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nicht statt. Alle eingesetzten Auftragsverarbeiter betreiben die für uns genutzten Systeme in der EU.

Soweit ein Auftragsverarbeiter in Einzelfällen (etwa zur Fehlerdiagnose oder in technischen Ausnahmesituationen) auf Infrastruktur in einem Drittland zugreifen müsste, erfolgt dies auf Grundlage geeigneter Garantien im Sinne von Art. 46 DSGVO, insbesondere Standardvertragsklauseln der EU-Kommission, sowie — im Falle von Resend — ergänzend auf Basis der Zertifizierung unter dem EU-U.S. Data Privacy Framework.

15. Datensicherheit

Wir verwenden auf der gesamten Website eine verschlüsselte Verbindung über TLS. Passwörter werden ausschließlich als kryptographischer Hash (Argon2) gespeichert. Zugriffe auf den administrativen Bereich sind zusätzlich durch eine Begrenzung der Anmeldeversuche geschützt.

Magic-Links für das Investor-Portal sind zeitlich befristet und können von uns jederzeit widerrufen werden. Zugriffe auf das Portal werden pro IP-Adresse und Zeitfenster auf eine maximale Anzahl begrenzt, um automatisierte Zugriffsversuche zu erschweren.

Wir laden alle auf der Website verwendeten Schriftarten ausschließlich von unserem eigenen Server. Es findet keine Verbindung zu Drittanbietern wie Google Fonts statt.

16. Ihre Rechte als betroffene Person

Sie haben gegenüber uns die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an marc@headbadge.de.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für uns zuständig ist:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen

Arndtstraße 1

27570 Bremerhaven

https://www.datenschutz.bremen.de

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.