Datenschutzerklärung

Grundlegendes

Diese Datenschutzerklärung informiert Sie über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten auf der Website klickplayer.com sowie innerhalb der Software-as-a-Service-Plattform „KlickPlayer" der Altenburger Bahnmüller Webperformance UG (haftungsbeschränkt), Jurastraße 27/1, 72072 Tübingen (nachfolgend „wir" oder „Betreiber").

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln diese vertraulich und entsprechend der gesetzlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Definitionen der verwendeten Begriffe (z. B. „personenbezogene Daten" oder „Verarbeitung") finden Sie in Art. 4 DSGVO.

Wir verarbeiten personenbezogene Daten nach dem Grundsatz „Privacy by Default": IP-Adressen der Endnutzer werden nicht erfasst; es werden keine Tracking-Cookies eingesetzt; Session-IDs werden ausschließlich im sessionStorage des Browsers gespeichert und automatisch beim Schließen des Tabs gelöscht.

Verantwortlicher

Altenburger Bahnmüller Webperformance UG (haftungsbeschränkt)

Jurastraße 27/1, 72072 Tübingen

HRB 782656, Amtsgericht Tübingen

Geschäftsführer: Kevin Bahnmüller, Maximilian Altenburger

E-Mail: support@klickplayer.de

Datenschutzbeauftragter

Rainer Deyhle

Diplom-Jurist

Fachkraft für Datenschutz

Pischekstr. 9, 70184 Stuttgart

Tel.: 0176 – 822 700 97 / 0711 – 2195 9994

info@datenschutzbeauftragter-dsgvo-stuttgart.de

Hosting und technische Infrastruktur

Unsere Website und die KlickPlayer-Plattform werden über folgende Dienstleister bereitgestellt:

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855 Luxemburg, Luxemburg (EU)

Zweck: Hosting der KlickPlayer-Webanwendung (Frontend, statische Assets) und serverseitiger API-Endpunkte (Next.js über AWS App Runner).

Verarbeitungsstandort: AWS-Region eu-central-1 (Frankfurt, Deutschland) – verbindlich konfiguriert.

Verarbeitete Datenkategorien: Technische Metadaten (User-Agent, URL, HTTP-Header); keine Kerndaten (keine Kundendaten oder Leadview-Formulardaten).

Drittlandtransfer: Keiner – Amazon Web Services EMEA SARL ist ein EU-Unternehmen; die Verarbeitung findet ausschließlich in der EU (Frankfurt/DE) statt.

Zertifizierungen: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018 | DPA

Supabase Inc.

970 Trestle Glen Rd, Oakland, CA 94610, USA

Zweck: PostgreSQL-Datenbank, Authentifizierungsservice (Supabase Auth / JWT), Row Level Security und Echtzeit-Funktionen.

Verarbeitungsstandort: AWS eu-central-1 (Frankfurt, Deutschland) – verbindlich konfiguriert; keine Replikation in andere Regionen.

Verarbeitete Datenkategorien: Alle personenbezogenen Kerndaten (Konten, Leads, Kampagnen, Interaktionsdaten, Authentifizierungsdaten).

Drittlandtransfer: Datenhaltung ausschließlich in der EU (Frankfurt); SCC gemäß Art. 46 Abs. 2 lit. c DSGVO für den Unternehmenstransfer (Supabase Inc. als US-Unternehmen).

Zertifizierungen: SOC 2 Type II, ISO 27001 (AWS) | DPA

BunnyWay d.o.o. (bunny.net)

Cesta komandanta Staneta 4a, 1215 Medvode, Slowenien (EU)

Zweck: Speicherung und Auslieferung von Video-Assets (Content Delivery Network). Keine personenbezogenen Kerndaten (keine Formulardaten, keine Authentifizierungsdaten) werden über bunny.net verarbeitet.

Verarbeitungsstandort: EU-primär (Frankfurt/DE, Amsterdam, Wien); globale CDN-Präsenz möglich. CDN-Logs enthalten technische Verbindungsdaten (aggregiert, kein Personenbezug).

Drittlandtransfer: Keiner (EU-Unternehmen, primäre Verarbeitung in der EU).

Zertifizierungen: ISO 27001 | DPA

Stripe Payments Europe, Ltd.

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (EU)

Zweck: Abwicklung von Zahlungen und Abonnements. Stripe agiert für die Zahlungsabwicklung teilweise als eigenständig Verantwortlicher gemäß PCI-DSS.

Verarbeitungsstandort: EU (Dublin); US-Backup-Rechenzentren für Ausfallsicherheit.

Verarbeitete Datenkategorien: Zahlungsdaten (Kreditkarte via Stripe.js), Rechnungsadresse, E-Mail, Abonnementstatus. Keine Video- oder Interaktionsdaten. KlickPlayer speichert keine Kartendaten.

Drittlandtransfer: Im Rahmen der PCI-DSS-konformen Zahlungsabwicklung möglich; SCC und EU-U.S. Data Privacy Framework als Rechtsgrundlage.

Zertifizierungen: PCI DSS Level 1, SOC 2 Type II, ISO 27001 | DPA

Resend Inc.

254 Chapman Rd, Ste 208, Newark, DE 19702, USA

Zweck: Versand von transaktionalen E-Mail-Benachrichtigungen bei Einreichung des Kontaktformulars (interne Weiterleitung an uns als Betreiber).

Verarbeitungsstandort: EU-Region Ireland (eu-west-1) – verbindlich konfiguriert.

Verarbeitete Datenkategorien: E-Mail-Adresse, Telefonnummer (optional), Nachricht aus dem Kontaktformular. Keine Video-, Kampagnen- oder Authentifizierungsdaten.

Drittlandtransfer: Keiner – die Datenverarbeitung findet ausschließlich in der EU (Ireland) statt.

Zertifizierungen: SOC 2 Type II | DPA

Beim Aufruf unserer Website werden durch die genannten Dienstleister automatisch technische Zugriffsdaten erhoben (Server-Logfiles), insbesondere Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Referrer-URL, Browser-Typ und Betriebssystem. Diese Daten sind für den Betrieb technisch erforderlich und werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden gemäß den Aufbewahrungsfristen der jeweiligen Hosting-Anbieter in der Regel maximal 30 Tage gespeichert.

SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung (HTTPS, TLS 1.2+) für alle Datenübertragungen zwischen Client und Server. Sämtliche Daten, die Sie an diese Website übermitteln – beispielsweise bei der Registrierung oder Nutzung der Plattform – können nicht von Dritten mitgelesen werden. Eine unverschlüsselte Übertragung personenbezogener Daten ist technisch ausgeschlossen.

Cookies und Speichertechnologien

Wir setzen keine Tracking-Cookies, keine Marketing-Cookies und keine Cookies zur Reichweitenmessung ein.

Folgende Speichertechnologien werden ausschließlich für technisch erforderliche Zwecke verwendet:

  • Authentifizierungs-Cookies (Supabase Auth): Werden gesetzt, wenn Sie sich in das KlickPlayer-Dashboard einloggen, um Ihre Sitzung aufrechtzuerhalten. Ohne diese Cookies ist die Nutzung des geschützten Bereichs nicht möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. § 25 Abs. 2 TDDDG (technisch erforderlich).
  • sessionStorage (Videoplayer): Beim Abspielen eines eingebetteten KlickPlayer-Videos wird eine zufällig generierte Sitzungskennung (Session-ID) im sessionStorage des Browsers abgelegt. Diese dient ausschließlich dazu, mehrfache Zählungen innerhalb derselben Browser-Sitzung zu vermeiden. Die Kennung wird automatisch gelöscht, sobald der Browser-Tab geschlossen wird. Kein direkter Personenbezug ohne weitere Verknüpfung. Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderlich).

localStorage wird nicht verwendet. IP-Adressen der Endnutzer werden explizit nicht erfasst. Ein Cookie-Banner ist aufgrund des ausschließlichen Einsatzes technisch erforderlicher Speicherzugriffe nicht notwendig.

Nutzerkonto und Dashboard

Zur Nutzung der KlickPlayer-Plattform ist die Erstellung eines Nutzerkontos erforderlich. Hierbei werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert via bcrypt)
  • Ggf. Vor- und Nachname sowie Firmenname

Die Verarbeitung erfolgt zur Durchführung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Ihre Kontodaten werden bei Supabase in der Region Frankfurt/DE gespeichert und bei Löschung des Kontos vollständig und automatisch entfernt (CASCADE-Löschung aller zugehörigen Projekte, Kampagnen, Analysen und Leads).

Administrative Zugriffe auf die Plattform durch unsere Geschäftsführer erfolgen ausschließlich mit Mehrfaktorauthentifizierung (MFA) und werden über Supabase Audit-Logs protokolliert.

Abonnements und Zahlungsabwicklung

Für die Nutzung kostenpflichtiger Tarife werden Zahlungen über Stripe Payments Europe, Ltd. (Dublin, Irland) abgewickelt. Dabei werden folgende Daten verarbeitet:

  • Zahlungsdaten (Kreditkarte via Stripe.js, PCI-konform)
  • Rechnungsadresse
  • E-Mail-Adresse
  • Abonnementstatus

KlickPlayer speichert keine Kartendaten. Zahlungsdaten werden direkt und ausschließlich an Stripe übermittelt. Stripe ist für die Zahlungsabwicklung PCI DSS Level 1 zertifiziert und agiert teilweise als eigenständig Verantwortlicher. In unserem System wird lediglich der Abonnementstatus (z. B. aktiv / abgelaufen) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Abrechnungsdaten unterliegen gesetzlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB).

Interaktiver Videoplayer („KlickPlayer")

Standardmodus (ohne Kampagne)

Wird ein KlickPlayer-Video auf einer Website eingebettet und abgespielt, werden bei jedem Videoabruf folgende Daten verarbeitet und in der Supabase-Datenbank gespeichert:

  • Datum und Uhrzeit des Abrufs
  • Browser- und Geräteinformationen (User-Agent)
  • Referrer-URL: die vom Browser übermittelte verweisende Webseite; im Kampagnenmodus wird die Referrer-URL serverseitig um einen synthetischen Kurzlink ergänzt, um die Attribution bei Weiterleitungen sicherzustellen (augmentierter Referrer)
  • Sitzungskennung (Session-ID): zufällig generierte Kennung, die clientseitig im sessionStorage des Browsers gespeichert und beim Schließen des Tabs automatisch gelöscht wird; fehlt dieser Wert (z. B. nach Tab-Neustart), wird serverseitig eine neue ID generiert; kein direkter Personenbezug ohne weitere Verknüpfung
  • Sekundengenau erfasste Wiedergabesegmente (Start- und Endposition, in max. 30-Sekunden-Abschnitten) in der Tabelle watch_segments
  • Sitzungszusammenfassung in der Tabelle leadviews_v2: für jeden Videoabruf wird unabhängig vom Kampagnenmodus eine Sitzungszusammenfassung mit Session-ID, View-Type, User-Agent, Referrer, Wiedergabe- und Interaktionsdaten sowie ggf. Kampagnenzuordnung gespeichert
  • Interaktionen innerhalb des Videos (z. B. Klicks auf Schaltflächen)

Tracking-Steuerung:

KlickPlayer-Nutzer (Auftraggeber) können das Tracking pro Videoprojekt über ein tracking_enabled-Flag deaktivieren. Bei deaktiviertem Tracking werden keine Wiedergabe- oder Interaktionsdaten erfasst.

Nicht erfasst:

  • ✕ Keine IP-Adressen (explizit deaktiviert, im Code auf null gesetzt)
  • ✕ Keine Cookies
  • ✕ Kein localStorage
  • ✕ Keine personenbezogene Profilbildung
  • ✕ Keine Weitergabe an Dritte zu Werbezwecken

Die Wiedergabedaten werden ohne direkten Personenbezug erhoben und dienen der funktionalen Bereitstellung des Videoplayers sowie der Auswertung im Auftrag des einbettenden Betreibers. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung) sowie § 25 Abs. 2 TDDDG (technisch erforderlicher Speicherzugriff für sessionStorage).

Kampagnenmodus (mit Kampagnen-Link)

Wird ein KlickPlayer-Video über einen individuellen Kampagnen-Link (Short-Code) aufgerufen, werden zusätzlich zu den oben genannten Daten folgende Informationen verarbeitet:

  • Kampagnenzuordnung über den individuellen Kurzlink (Short-Code)
  • Zuordnung zu einer bestimmten Kampagne und einem Kampagnen-Link
  • Klickzählung auf den Kampagnen-Link
  • Gegebenenfalls von Ihnen im Video eingegebene Angaben über Leadview-Formulare (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachricht)

Auch im Kampagnenmodus werden keine IP-Adressen erfasst oder gespeichert und keine Tracking-Cookies eingesetzt. Die Sitzungskennung wird primär clientseitig im sessionStorage gespeichert und beim Schließen des Tabs gelöscht; bei fehlendem Wert wird serverseitig eine neue Session-ID generiert. Im Kampagnenmodus wird die HTTP-Referrer-URL um einen synthetischen Kurzlink ergänzt (augmentierter Referrer), um die kampagnenübergreifende Attribution auch bei Weiterleitungen sicherzustellen.

Die Kampagnenauswertung dient der Analyse der Nutzung sowie der Auswertung von Nutzerinteraktionen im Auftrag des einbettenden Websitebetreibers (Auftragsverarbeitung gemäß Art. 28 DSGVO). Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (sofern vom einbettenden Websitebetreiber eingeholt) sowie § 25 Abs. 1 TDDDG. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Leadview-Formulare

KlickPlayer ermöglicht es, in Videos eingebettete Leadview-Formulare zu integrieren, über die Endnutzer freiwillig eigene Daten eingeben können. Dabei können folgende Datenkategorien erfasst werden:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Freitextnachrichten
  • Sonstige vom einbettenden Betreiber konfigurierte Felder

Diese Daten werden ausschließlich im Auftrag des jeweiligen Websitebetreibers (Auftraggeber) verarbeitet, der für die Erhebung der Rechtsgrundlage (z. B. Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO) verantwortlich ist. KlickPlayer verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO und gibt sie nicht an Dritte weiter.

KlickPlayer erhebt keine Daten besonderer Kategorien gemäß Art. 9 oder Art. 10 DSGVO. Sofern ein Websitebetreiber über Leadview-Formulare solche Daten erhebt, ist er dafür selbst verantwortlich.

Leadview-Formulardaten werden sicher in der Supabase-Datenbank (Region Frankfurt/DE, verschlüsselt AES-256 at rest) gespeichert und sind durch Row Level Security strikt nur dem jeweiligen Auftraggeber zugänglich. Bei Löschung des zugehörigen Videoprojekts werden alle Formulardaten automatisch entfernt.

Webhooks

KlickPlayer-Nutzer können optional Webhooks konfigurieren, die bei bestimmten Ereignissen (z. B. Video-Abschluss, Interaktion, Formularabsendung) ausgelöst werden. Die dabei übermittelten Daten umfassen Wiedergabedauer, Interaktionsdaten, User-Agent und Sitzungszeitstempel. IP-Adressen werden nicht an Webhooks übermittelt. Der Websitebetreiber ist für den Empfang und die Verarbeitung der Webhook-Daten selbst verantwortlich.

Schriftarten

Diese Website verwendet die Schriftarten Inter und Montserrat. Die Schriftarten werden über Next.js zur Build-Zeit heruntergeladen und von unserem eigenen Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google-Servern beim Besuch der Website statt. Es werden keine Daten an Google übermittelt.

Kontaktformular

Wenn Sie uns über das Kontaktformular kontaktieren, werden die von Ihnen eingegebenen Daten (E-Mail-Adresse, Telefonnummer optional, Nachricht) zur Bearbeitung Ihrer Anfrage verarbeitet. Pflichtfeld ist die E-Mail-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Die eingegebenen Daten werden in unserer Supabase-Datenbank (Frankfurt/DE) gespeichert. Zusätzlich wird beim Eingang einer Anfrage eine interne Benachrichtigungs-E-Mail über den Dienst Resend Inc. versendet. Die Verarbeitung erfolgt in der EU-Region Ireland (eu-west-1). Ein Drittlandtransfer findet nicht statt. Bei diesem Versand werden E-Mail-Adresse, Telefonnummer (sofern angegeben) und Nachrichteninhalt an Resend übertragen. Weitere Informationen: Resend DPA.

Die von Ihnen eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern oder der Zweck für die Datenspeicherung entfällt.

Empfänger und Drittlandtransfers

Empfänger personenbezogener Daten sind ausschließlich die unter „Hosting und technische Infrastruktur" genannten Dienstleister. Eine Weitergabe an Dritte zu Werbe- oder Marketingzwecken findet nicht statt. Die folgende Tabelle gibt einen Überblick über die Datenkategorien, Verarbeitungsstandorte und Rechtsgrundlagen für etwaige Drittlandsübermittlungen gemäß Art. 44 ff. DSGVO:

DatenkategorieAnbieterStandortDrittlandRechtsgrundlage
Konten, Leads, Kampagnen, Auth-DatenSupabase Inc.AWS eu-central-1 Frankfurt/DENein (EU)Art. 6 I lit. b DSGVO; SCC Modul 2
Frontend, HTTP-Header, URLAmazon Web Services EMEA SARLeu-central-1 Frankfurt/DENein (EU)Art. 6 I lit. b DSGVO
Video-Assets, CDN-LogsBunnyWay d.o.o.EU-primär (Frankfurt/DE)Nein (EU)Art. 6 I lit. b DSGVO
Zahlungs- und RechnungsdatenStripe Payments EuropeEU (Dublin); US-BackupEingeschränktSCC Art. 46 II lit. c; EU-U.S. DPF; PCI-DSS
Kontaktformular-Daten (E-Mail, Tel., Nachricht)Resend Inc.eu-west-1 Ireland (EU)Nein (EU)Art. 6 I lit. f DSGVO

SCC = EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 (Modul 2: Controller-to-Processor) | EU-U.S. DPF = EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023)

Speicherdauer

  • Kontodaten: Werden gespeichert, solange das Nutzerkonto besteht. Bei Löschung des Kontos werden alle Daten (Projekte, Kampagnen, Analysen, Leads) vollständig und automatisch per CASCADE-Löschung entfernt.
  • Videoplayer-Daten (Wiedergabe, Interaktionen): Werden so lange gespeichert, wie das zugehörige Videoprojekt existiert. Bei Projektlöschung automatische Entfernung.
  • Kampagnendaten: Werden so lange gespeichert, wie die Kampagne aktiv ist bzw. das zugehörige Videoprojekt existiert. Bei Löschung des Projekts werden alle zugehörigen Daten automatisch entfernt (CASCADE).
  • Leadview-Formulardaten: Werden so lange gespeichert, wie das zugehörige Videoprojekt existiert. Bei Projektlöschung automatische Entfernung.
  • Sitzungskennung (sessionStorage): Wird automatisch beim Schließen des Browser-Tabs gelöscht. Keine serverseitige Speicherung über den Request hinaus.
  • Video-Assets (bunny.net): Werden über die KlickPlayer-API automatisch gelöscht, wenn das zugehörige Videoprojekt entfernt wird.
  • Server-Logfiles: Werden gemäß den Aufbewahrungsfristen der jeweiligen Hosting-Anbieter gespeichert (in der Regel max. 30 Tage).
  • Backup-Daten (Supabase/AWS): Supabase-Backups werden automatisch nach der Aufbewahrungsfrist des Anbieters gelöscht. Auf ausdrückliche Anforderung kann eine vollständige Löschung auch aus Backup-Systemen beantragt werden.
  • Abrechnungsdaten: Unterliegen gesetzlichen Aufbewahrungspflichten (§ 147 AO: 10 Jahre; § 257 HGB: 6 Jahre).

Sicherheit der Verarbeitung

Wir treffen gemäß Art. 32 DSGVO technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, die dem aktuellen Stand der Technik entsprechen:

  • Transportverschlüsselung (TLS 1.2+) für alle Verbindungen
  • Verschlüsselte Speicherung at rest (AES-256) bei AWS/Supabase (Region Frankfurt/DE) und bunny.net
  • Rollenbasierte Zugriffskontrollen (RBAC, Least-Privilege-Prinzip)
  • Row Level Security (RLS) in der Datenbank zur strikten Isolation von Nutzerdaten – jeder Nutzer kann ausschließlich auf seine eigenen Daten zugreifen
  • Mehrfaktorauthentifizierung (MFA) für alle administrativen Zugriffe
  • IP-Adressen der Endnutzer werden explizit nicht erfasst (im Code deaktiviert / auf null gesetzt)
  • Automatisierte Datenbankbackups über AWS S3 (eu-central-1); Point-in-Time-Recovery (PITR) ist ab dem Supabase Pro-Plan verfügbar und bei aktivem kostenpflichtigem Plan konfiguriert
  • Supabase Audit-Logging: Alle Datenbankzugriffe und API-Anfragen werden protokolliert (verfügbar ab dem Supabase Pro-Plan, bei aktivem kostenpflichtigem Plan konfiguriert)
  • Regelmäßige Überprüfung von Abhängigkeiten auf Sicherheitslücken (GitHub Dependabot / npm audit); kritische Schwachstellen (CVSS ≥ 7,0) werden innerhalb von 72 Stunden adressiert
  • Deployments über kontrollierten CI/CD-Prozess; direkte Produktiveingriffe auf autorisiertes Personal beschränkt und protokolliert
  • Mandantenfähige Architektur: Daten verschiedener Nutzer sind logisch strikt voneinander getrennt

Datenpannen und Incident-Response

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne gemäß Art. 4 Nr. 12 DSGVO) informieren wir die zuständige Aufsichtsbehörde unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO), sofern die Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Sofern die Datenpanne voraussichtlich zu einem hohen Risiko führt, benachrichtigen wir auch die betroffenen Personen unverzüglich (Art. 34 DSGVO).

Unser Incident-Response-Prozess sieht folgende Eskalationsstufen vor: (1) Ersterkennung und interne Bestätigung (0–2 Std.); (2) Erstmeldung an betroffene Auftraggeber mit vorläufiger Einschätzung (2–24 Std.); (3) Detailmeldung mit bestätigtem Umfang und Ursachenanalyse (24–72 Std.); (4) Post-Incident-Review innerhalb von 14 Tagen nach Abschluss des Vorfalls mit schriftlicher Dokumentation.

Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

  • Auskunft (Art. 15 DSGVO) – Recht auf Auskunft über die verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) – Recht auf Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) – Recht auf Löschung Ihrer Daten
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO) – Recht auf Widerspruch gegen die Verarbeitung auf Grundlage eines berechtigten Interesses
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – insbesondere beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@klickplayer.de

Nicht eingesetzte Dienste

Zur Klarstellung: Diese Website und der KlickPlayer setzen keine der folgenden Dienste ein: Google Analytics, Google Tag Manager, Google Fonts (extern), Facebook Pixel, Hotjar, Matomo, Mixpanel, Werbenetzwerke oder sonstige Tracking- bzw. Remarketing-Dienste Dritter. Es findet kein Profiling statt.

Stand: 9. April 2026