Datenschutzerklärung

Stand: 22.07.2025



1. Verantwortlicher

Pikodocs Services GmbH, Eulenstraße 72, 22763 Hamburg, Deutschland. Sie erreichen uns unter der Telefonnummer +040 288019-72 oder per E-Mail an support@pikodocs.de. Der Verantwortliche trifft alle wesentlichen Entscheidungen zur Datenverarbeitung.



2. Datenschutzbeauftragter

Unser Datenschutzbeauftragter, Andre El-Bakly, steht Ihnen bei Fragen zum Schutz Ihrer Daten zur Verfügung. Sie können ihn postalisch unter der oben genannten Adresse oder per E-Mail an andre@pikodocs.de kontaktieren.



3. Begriffe

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ usw. entsprechen den Definitionen in Art. 4 DSGVO.



4. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken und auf diesen Rechtsgrundlagen:

  • Bereitstellung des Portals / Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): z. B. Anlage und Verwaltung von B2B-Konten, Supportanfragen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): z. B. Einsatz nicht technisch notwendiger Cookies/Tracking-Technologien, WhatsApp-/E-Mail-Marketing.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): z. B. handels- und steuerrechtliche Aufbewahrungspflichten.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): z. B. IT-Sicherheit, Missbrauchsprävention, Reichweitenmessung in pseudonymisierter Form.


5. Hosting und Server-Logfiles

Hosting-Anbieter: SiteGround Spain S.L., Calle Prim 19, 28004 Madrid, Spanien, sowie SiteGround Hosting EOOD, 6 Olimpiyska Str., 1766 Sofia, Bulgarien (Rechenzentren u. a. in der EU/USA via Google Cloud).

Verarbeitete Daten: IP-Adresse, Datum/Uhrzeit, Zeitzone, angeforderte URL, HTTP-Statuscode, Referrer, Browser-/Betriebssysteminformationen, Sprache.

Zwecke: Auslieferung der Website, Stabilität, IT-Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: 14 Tage; danach Anonymisierung oder Löschung.



6. Cookies & ähnliche Technologien (§ 25 TDDDG)

Wir verwenden Cookies und vergleichbare Technologien (z. B. Local Storage, Pixel):

  • Technisch notwendige Technologien – erforderlich, um den Dienst bereitzustellen (z. B. Login-Status, Consent-Cookie). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.
  • Nicht notwendige/Marketing- oder Statistik-Technologien – werden erst nach Ihrer Einwilligung eingesetzt (§ 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO).

Consent-Management: Wir verwenden Cookiebot by Usercentrics (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark; Usercentrics GmbH, Sendlinger Str. 7, 80331 München) als Consent-Management-Plattform. Cookiebot blockiert nicht notwendige Skripte (z. B. GA4, Hotjar, Lucky Orange) bis zu Ihrer Einwilligung und speichert Ihre Auswahl in einem Consent-Cookie. Der native Shopify-Banner wird ergänzend nur für Shopify‑eigene Cookies/Pixels eingesetzt. Sie können Ihre Auswahl jederzeit in den „Cookie-Einstellungen“ ändern.

Beispielhafte Übersicht eingesetzter Technologien:

Kategorie
Technologie
Anbieter
Zweck
Laufzeit
Rechtsgrundlage
Essenziell
consent_state / shopify_privacy_*
Shopify International Ltd.
Speicherung Ihrer Einwilligungspräferenzen
1 Jahr
§25 Abs.2 TDDDG / Art.6 Abs.1 f DSGVO
Statistik
Google Analytics 4
Google Ireland Ltd. / Google LLC (USA)
Reichweitenmessung
14 Monate
§25 Abs.1 TDDDG / Art.6 Abs.1 a DSGVO
Statistik/UX
Hotjar
Hotjar Ltd. (Malta)
Heatmaps, Recordings, Feedback
365 Tage
§25 Abs.1 TDDDG / Art.6 Abs.1 a DSGVO
Statistik/UX
Lucky Orange
Lucky Orange LLC (USA)
Session-Recordings, Heatmaps, Chats
60 Tage
§25 Abs.1 TDDDG / Art.6 Abs.1 a DSGVO
Marketing/Kommunikation
WhatsApp Business API (via Keaz)
WhatsApp Ireland Ltd./Meta Platforms Inc. (USA); Pocket Agency GmbH (DE)
Versand von Support-/Marketing-Nachrichten
abhängig vom Chatverlauf, max. 12 Monate
§25 Abs.1 TDDDG / Art.6 Abs.1 a DSGVO


7. Kontaktaufnahme (E-Mail, Telefon, Formular)

Bei Kontaktaufnahme verarbeiten wir die von Ihnen mitgeteilten Daten (z. B. Name, E-Mail, Telefonnummer, Inhalt).

Zweck: Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertraglich) bzw. lit. f DSGVO (allgemeine Anfragen).

Speicherdauer: 3 Jahre nach Abschluss der Anfrage (Verjährungsfristen), sofern keine längeren gesetzlichen Pflichten bestehen.



8. Support & Kommunikation über Keaz / WhatsApp

Wir nutzen Keaz, eine Lösung der Pocket Agency GmbH, Eisenacher Str. 1, 10777 Berlin, zur Kundenkommunikation (Support) und zum Versand von Informationen/Werbung über WhatsApp.

Datenarten: Telefonnummer, Name/Profilname, Nachrichteninhalte, Metadaten (Zeitstempel), ggf. Medien.

Zwecke: Support (Art. 6 Abs. 1 lit. b DSGVO), Versand von werblichen Informationen (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung).

Einwilligung & Widerruf: Einwilligung erfolgt z. B. durch Opt-In via WhatsApp-Keyword (z. B. "START"). Widerruf jederzeit möglich (z. B. Nachricht „STOP“).

Empfänger/Drittlandtransfer: WhatsApp Ireland Ltd. (EU) und Meta Platforms Inc. (USA) im Rahmen der WhatsApp Business API; Pocket Agency GmbH als Auftragsverarbeiter. Für Übermittlungen in die USA greifen das EU‑US Data Privacy Framework bzw. Standardvertragsklauseln.

Speicherdauer: Chatverläufe werden spätestens 12 Monate nach letzter Interaktion gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.



9. Registrierung / B2B-Nutzerkonto

Für Ärzte und Kliniken bieten wir ein B2B-Konto. Dabei verarbeiten wir die im Registrierungsformular als Pflichtfeld gekennzeichneten Daten.

Zwecke: Einrichtung und Verwaltung des Kontos, Abrechnung, Vertragsdurchführung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Löschung: Spätestens 3 Monate nach Beendigung des Vertragsverhältnisses – sofern dem keine gesetzlichen Aufbewahrungsfristen oder berechtigte Interessen entgegenstehen.

B2C-Endnutzer: erhalten kein Nutzerkonto.



10. Newsletter / E-Mail-Marketing (Brevo)

Wir versenden Newsletter über Brevo (Sendinblue SAS), 106 boulevard Haussmann, 75008 Paris, Frankreich.

Verfahren: Double-Opt-In mit Protokollierung der Anmeldung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. § 7 UWG.

Widerruf: Über den Abmeldelink in jeder E-Mail möglich.

Tracking: Brevo erfasst Öffnungs- und Klickraten mittels Zählpixeln und personalisierten Links. Rechtsgrundlage ist Ihre Einwilligung; Sie können dem Tracking widersprechen, indem Sie den Newsletter abbestellen oder die Anzeige von Bildern in Ihrem E-Mail-Client deaktivieren.

Speicherdauer: Bis zum Widerruf; Nachweis der Einwilligung wird 3 Jahre nach letzter Nutzung bzw. Widerruf aufbewahrt (Beweiszwecke).



11. Webanalyse & UX-Tools

Google Analytics 4

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Reichweitenanalyse, Nutzungsverhalten.

Rechtsgrundlage: Einwilligung.

Datenarten: IP-Adresse (gekürzt), User-ID, Events, Geräteinformationen.

Speicherdauer: Nutzer- und Ereignisdaten 14 Monate (Option gewählt, Reset bei neuer Aktivität aktiviert).

Opt-Out: Über Cookie-Einstellungen sowie Browser-Add-on:

https://tools.google.com/dlpage/gaoptout

Hotjar

Anbieter: Hotjar Ltd., Level 2, St. Julian's Business Centre, 3 Elia Zammit Street, St. Julian's STJ 3155, Malta.

Zweck: Heatmaps, Session-Recordings, Feedback-Umfragen.

Rechtsgrundlage: Einwilligung.

Speicherdauer: 365 Tage ab Erhebung.

Lucky Orange

Anbieter: Lucky Orange LLC, 8665 W 96th St, Suite 100, Overland Park, KS 66212, USA.

Zweck: Session-Recordings, Heatmaps, Live-Chat, Conversion-Funnel.

Rechtsgrundlage: Einwilligung.

Speicherdauer: 60 Tage (konfiguriert).

Opt-Out: Über Cookie-Einstellungen.



12. Zahlungsabwicklung (Mollie)

Für Zahlungen nutzen wir Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande.

Zweck: Zahlungsabwicklung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

Datenarten: Zahlungsdaten, Rechnungsdaten, Name, ggf. Adresse.

Speicherdauer: Entsprechend gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre nach § 147 AO / § 257 HGB). Mollie bewahrt bestimmte Daten zudem auf Grundlage regulatorischer Pflichten (z. B. Geldwäschegesetz) auf.



13. Empfänger / Auftragsverarbeiter

Wir setzen Dienstleister (Art. 28 DSGVO) u. a. in folgenden Bereichen ein:

  • Hosting/Infra: SiteGround Spain S.L. / SiteGround Hosting EOOD
  • Consent-/Cookie-Management: Shopify Banner + Cookiebot by Usercentrics
  • Support/WhatsApp: Pocket Agency GmbH (Keaz)
  • Newsletter: Brevo (Sendinblue SAS)
  • Analyse/UX: Google Ireland Ltd./Google LLC; Hotjar Ltd.; Lucky Orange LLC
  • Zahlung: Mollie B.V.

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.



14. Datenübermittlungen in Drittländer

Sofern Daten an Empfänger außerhalb des EWR (insbesondere USA) übermittelt werden, stellen wir ein angemessenes Datenschutzniveau sicher (Art. 44 ff. DSGVO):

  • EU‑US Data Privacy Framework (DPF): z. B. Google LLC, Meta Platforms Inc.
  • Standardvertragsklauseln (SCCs): wenn kein Angemessenheitsbeschluss vorliegt (z. B. Lucky Orange LLC).
  • Zusätzlich setzen wir – soweit erforderlich – technische und organisatorische Maßnahmen (z. B. IP‑Anonymisierung, Verschlüsselung) ein.


15. Speicherdauer & Löschung

Wir löschen oder anonymisieren personenbezogene Daten, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten bestehen. Konkrete Fristen:

  • Server-Logs: 14 Tage
  • Support-/Kontaktanfragen: 3 Jahre nach abschließender Bearbeitung
  • WhatsApp/Keaz-Chats: max. 12 Monate nach letzter Interaktion
  • Newsletter-/Marketingdaten (inkl. Einwilligungsnachweise): bis Widerruf + 3 Jahre (Beweiszwecke)
  • GA4-Rohdaten: 14 Monate (eingestellt)
  • Hotjar-Daten: 365 Tage ab Erhebung
  • Lucky Orange-Daten: 60 Tage
  • B2B-Konten: 3 Monate nach Vertragsende (sofern keine Pflichten entgegenstehen)
  • Vertrags-/Rechnungsdaten: 6 Jahre (§ 257 HGB) bzw. 10 Jahre (§ 147 AO)


16. Ihre Rechte (Betroffenenrechte)

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21 DSGVO) – insbesondere gegen Direktwerbung
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte können Sie uns jederzeit kontaktieren (siehe oben).



17. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist in der Regel: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg, Tel.: +49 40 42854-4040, E-Mail:{" "} mailbox@datenschutz.hamburg.de .



18. Pflicht zur Bereitstellung von Daten

Soweit die Bereitstellung personenbezogener Daten für einen Vertragsabschluss oder bestimmte Funktionen erforderlich ist, weisen wir Sie beim Erheben darauf hin. Ohne Bereitstellung können bestimmte Leistungen nicht genutzt werden.



19. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung i. S. v. Art. 22 DSGVO findet nicht statt. Profiling zu Marketingzwecken erfolgt nur mit Ihrer Einwilligung (z. B. durch Tracking-Tools) und in pseudonymisierter Form. Sie können dem jederzeit widersprechen.{" "}



20. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen gem. Art. 32 DSGVO, um Ihre Daten vor Verlust, Zerstörung oder unbefugtem Zugriff zu schützen (z. B. Zugriffskontrollen, Verschlüsselung, Backup-Prozesse).