Datenschutz
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie der nachfolgenden Datenschutzerklärung.
Datenerfassung auf dieser Website
Wer ist verantwortlich?
Die Datenverarbeitung auf dieser Website erfolgt durch die Idana AG. Kontaktdaten finden Sie im Impressum und unter Abschnitt 2.
Wie erfassen wir Ihre Daten?
Zum einen durch Ihre Mitteilung an uns (z. B. Kontaktformulare, Chat). Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (technische Daten wie Browser, Betriebssystem, Uhrzeit des Zugriffs).
Wofür nutzen wir Ihre Daten?
Ein Teil dient der fehlerfreien Bereitstellung der Website. Andere Daten werden – nach Ihrer Einwilligung – zur Analyse des Nutzerverhaltens und für Marketingzwecke verwendet.
Welche Rechte haben Sie?
Sie haben umfangreiche Rechte bezüglich Ihrer Daten – Details unter Abschnitt 3.
Einwilligungspflichtige Dienste
Beim Besuch unserer Website können Sie über unser Consent-Management-Tool (Borlabs Cookie) wählen, welche Dienste Daten erheben dürfen. Statistik- und Marketing-Dienste werden erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Ihre Einstellungen können Sie jederzeit über den Link in der Fußzeile oder unter Abschnitt 6 dieser Erklärung ändern.
2. Verantwortliche Stelle & Datenschutzbeauftragter
Verantwortliche Stelle
Idana AG
Ellen-Gottlieb-Straße 19
79106 Freiburg i. Br.
E-Mail: [email protected]
Telefon: +49 761 6006784-0
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Datenschutzbeauftragter
Hans-Christian Mack
Idana AG, Ellen-Gottlieb-Straße 19, 79106 Freiburg i. Br.
E-Mail: [email protected]
3. Ihre Rechte
Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) – über Herkunft, Empfänger und Zweck Ihrer gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) – unrichtiger Daten
- Löschung (Art. 17 DSGVO) – Ihrer gespeicherten Daten
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) – in einem gängigen, maschinenlesbaren Format
- Widerspruch (Art. 21 DSGVO) – insbesondere gegen Direktwerbung
- Widerruf erteilter Einwilligungen – jederzeit mit Wirkung für die Zukunft, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unseren Datenschutzbeauftragten unter [email protected].
Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für die Idana AG ist regelmäßig zuständig der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg:
www.baden-wuerttemberg.datenschutz.de
4. Allgemeine Hinweise
SSL-/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an „https://“ in der Adresszeile und dem Schloss-Symbol in Ihrem Browser.
Speicherfristen
Sofern in dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wird, verbleiben Ihre Daten bei uns, bis der Zweck der Datenverarbeitung entfällt oder Sie Ihre Einwilligung widerrufen. Zwingende gesetzliche Aufbewahrungsfristen bleiben unberührt.
5. Hosting & Infrastruktur
5.1 Raidboxes (Webhosting)
Diese Website wird bei der Raidboxes GmbH, Hafenweg 22, 48155 Münster, Deutschland gehostet. Raidboxes verarbeitet in unserem Auftrag Server-Log-Dateien, die Ihr Browser automatisch übermittelt:
- IP-Adresse
- Browsertyp und -version, Betriebssystem
- Referrer-URL, Hostname, Uhrzeit der Anfrage
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der sicheren und effizienten Bereitstellung unserer Website.
Auftragsverarbeitung: Wir haben mit Raidboxes einen Auftragsverarbeitungsvertrag (AVV) geschlossen.
Speicherdauer der Server-Logs: 7 Tage.
Kein Drittlandtransfer – alle Daten verbleiben in Deutschland.
5.2 Cloudflare (CDN & Web Analytics)
Wir nutzen Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA als Content Delivery Network (CDN) für schnellere Auslieferung und DDoS-Schutz. Zusätzlich setzen wir Cloudflare Web Analytics ein – einen cookielosen Analysedienst, der aggregierte Seitenaufrufdaten über ein JavaScript-Beacon (auf Basis der Performance API) erhebt, ohne individuelle Nutzerprofile zu erstellen.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an Sicherheit, Performance und der Analyse der Website-Nutzung in aggregierter Form.
Drittlandtransfer: Cloudflare Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich gelten Standardvertragsklauseln (SCCs).
6. Cookies & Consent-Management
6.1 Borlabs Cookie (Consent-Tool)
Zur Verwaltung Ihrer Cookie-Einwilligungen setzen wir Borlabs Cookie ein (Anbieter: Borlabs – Benjamin A. Bornschein, Rübenkamp 32, 22305 Hamburg).
Borlabs Cookie speichert einen technisch notwendigen Cookie (borlabs-cookie) in Ihrem Browser, in dem Ihre erteilten oder widerrufenen Einwilligungen gespeichert werden. Diese Daten werden nicht an Dritte weitergegeben.
Rechtsgrundlage: Technisch notwendig – keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG).
Speicherdauer: 1 Jahr (oder bis Sie Ihre Cookie-Einstellungen manuell löschen).
6.2 Popup Maker
Wir setzen das WordPress-Plugin Popup Maker ein, um Ihnen Hinweisfenster (z. B. Hinweise auf Inhalte wie E-Books) anzuzeigen. Wenn Sie ein Popup schließen, wird ein funktionaler Cookie (pum-*) gesetzt, damit das Popup nicht erneut erscheint.
Rechtsgrundlage: Technisch notwendig – keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG), da der Cookie ausschließlich die ausdrückliche Nutzerhandlung (Schließen des Popups) speichert.
Speicherdauer: 1 Tag.
6.3 Cookie-Übersicht
Die folgende Tabelle gibt einen Überblick über die wichtigsten eingesetzten Cookies. Eine stets aktuelle und vollständige Liste können Sie jederzeit in den Details unseres Consent-Tools (Borlabs Cookie) einsehen.
Technisch notwendige Cookies (ohne Einwilligung):
| Cookie | Dienst | Zweck | Laufzeit |
|---|---|---|---|
| borlabs-cookie | Borlabs Cookie | Speicherung Ihrer Consent-Entscheidung | 1 Jahr |
| pum-* | Popup Maker | Popup-Anzeige-Status | 1 Tag |
Funktionale Cookies (bei Formular-Interaktion):
| Cookie | Dienst | Zweck | Laufzeit |
|---|---|---|---|
| _GRECAPTCHA | Google reCAPTCHA | Spam-Schutz bei Formularnutzung | 6 Monate |
Statistik-Cookies (nur nach Einwilligung):
| Cookie | Dienst | Zweck | Laufzeit |
|---|---|---|---|
| _ga | Google Analytics 4 | Unterscheidung von Nutzern | 2 Jahre |
| _ga_* | Google Analytics 4 | Session-Status | 2 Jahre |
Marketing-Cookies (nur nach Einwilligung):
| Cookie | Dienst | Zweck | Laufzeit |
|---|---|---|---|
| __hstc | HubSpot | Besucher-Tracking | 13 Monate |
| hubspotutk | HubSpot | Besucher-Identifikation | 13 Monate |
| __hssrc | HubSpot | Session-Erkennung | Session |
| __hssc | HubSpot | Session-Tracking | 30 Min. |
| _gcl_au | Google Ads | Conversion-Verknüpfung | 90 Tage |
| li_sugr | Browser-Identifikation | 3 Monate | |
| bcookie | Browser-ID | 1 Jahr | |
| UserMatchHistory | Anzeigen-Synchronisation | 30 Tage | |
| _uetsid | Microsoft Bing | Session-Tracking | 1 Tag |
| _uetvid | Microsoft Bing | Besucher-ID | 13 Monate |
| MUID | Microsoft Bing | Microsoft-Benutzer-ID | 1 Jahr |
7. Kontaktaufnahme
7.1 Kontaktformulare (HubSpot Forms)
Unsere Kontaktformulare werden über HubSpot Forms bereitgestellt (siehe Abschnitt 10 für Details zu HubSpot). Wenn Sie uns per Formular eine Anfrage senden, werden Ihre Angaben zur Bearbeitung der Anfrage und für Anschlussfragen bei uns gespeichert.
Das Formular-Widget wird vor Erteilung einer Cookie-Einwilligung geladen und setzt dabei keine Cookies. Zum Spam-Schutz wird bei Formular-Interaktion Google reCAPTCHA geladen (siehe Abschnitt 11).
Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) bzw. Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Speicherdauer: Bis Sie uns zur Löschung auffordern oder der Zweck entfällt. Gesetzliche Aufbewahrungsfristen bleiben unberührt.
7.2 Live-Chat (HubSpot Conversations)
Wir bieten einen Live-Chat über HubSpot Conversations an. Wenn Sie den Chat nutzen, werden Ihre Nachrichten und die damit verbundenen Metadaten (Zeitpunkt, Seite) in unserem HubSpot CRM gespeichert.
Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO).
Aktivierung: Das Chat-Widget wird erst nach Cookie-Einwilligung (Kategorie „Marketing“) geladen.
7.3 E-Mail & Telefon
Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage gespeichert. Eine Weitergabe an Dritte erfolgt nicht ohne Ihre Einwilligung.
Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO).
8. Analyse & Statistiken
8.1 Google Analytics 4
Diese Website nutzt Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wir nutzen GA4 mit EU-fokussierter Datenerhebung – Ihre Daten werden über EU-Server (region1.analytics.google.com) verarbeitet.
GA4 arbeitet ereignisbasiert. IP-Adressen werden standardmäßig anonymisiert und nicht vollständig gespeichert.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – wird erst nach Zustimmung über Borlabs Cookie aktiviert.
Drittlandtransfer: Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Auftragsverarbeitung: AVV mit Google abgeschlossen.
Opt-out: Sie können Google Analytics jederzeit über Ihre Cookie-Einstellungen deaktivieren oder das Browser-Add-on von Google installieren.
8.2 HubSpot Analytics
Im Rahmen unserer HubSpot-Nutzung (siehe Abschnitt 10) wird HubSpot Analytics zur Auswertung des Nutzerverhaltens eingesetzt.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Aktivierung: Erst nach Cookie-Einwilligung (Kategorie „Marketing“).
8.3 Aurora Heatmap
Wir setzen das WordPress-Plugin Aurora Heatmap ein, um anonymisierte Klick- und Scroll-Daten zu erfassen. Die Verarbeitung erfolgt ausschließlich lokal auf unserem Server; es werden keine Daten an Dritte übermittelt und keine Cookies gesetzt.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Verbesserung der Benutzerfreundlichkeit.
9. Marketing & Werbung
Die folgenden Dienste werden ausschließlich nach Ihrer Einwilligung über unser Consent-Management-Tool aktiviert.
9.1 Google gtag.js
Im Rahmen unserer HubSpot-Integration (Abschnitt 10) wird die JavaScript-Bibliothek gtag.js der Google Ireland Limited geladen. Diese Bibliothek dient als technische Grundlage für Google Analytics 4 (Abschnitt 8.1) und Google Ads Conversion-Tracking (Abschnitt 9.2). Sie wird ausschließlich nach Ihrer Einwilligung über Borlabs Cookie aktiviert und setzt keine eigenen Cookies.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
9.2 Google Ads & Conversion-Tracking
Wir nutzen Google Ads Conversion-Tracking der Google Ireland Limited, um die Wirksamkeit unserer Werbeanzeigen zu messen. Dabei wird ein Cookie gesetzt, wenn Sie über eine Google-Anzeige auf unsere Website gelangen.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Drittlandtransfer: Google LLC ist DPF-zertifiziert.
9.3 LinkedIn Insight Tag & Ads
Wir setzen den LinkedIn Insight Tag und LinkedIn Ads Pixel der LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland ein. Damit messen wir Conversions und können LinkedIn-Nutzer gezielt ansprechen.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Drittlandtransfer: LinkedIn Corporation (USA) ist DPF-zertifiziert.
Weitere Informationen: LinkedIn Datenschutzerklärung
9.4 Microsoft Advertising (Bing UET)
Wir nutzen das Universal Event Tracking (UET) von Microsoft Advertising (Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) zur Conversion-Messung.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Drittlandtransfer: Microsoft Corporation (USA) ist DPF-zertifiziert.
Weitere Informationen: Microsoft Datenschutzerklärung
9.5 HubSpot Marketing-Dienste
Neben Analytics (Abschnitt 8.2) nutzen wir folgende HubSpot-Marketing-Funktionen:
- HubSpot Ads Pixel – Conversion-Tracking für Werbekampagnen
- HubSpot CTAs & Web Interactives – Interaktive Elemente und Call-to-Actions
- HubSpot E-Mail-Marketing – Newsletter und Marketing-E-Mails (nur nach separater Einwilligung)
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Details zu HubSpot: Siehe Abschnitt 10.
10. HubSpot — CRM & Marketing-Plattform
Wir nutzen die integrierte Marketing- und CRM-Plattform von HubSpot.
Anbieter: HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA
EU-Niederlassung: HubSpot Ireland Limited, 2nd Floor 30 North Wall Quay, Dublin 1, Irland
EU-Datenhaltung
Wir nutzen HubSpot mit EU-Datenresidenz. Die Daten werden auf Servern in der Europäischen Union verarbeitet (Rechenzentrum-Region: eu1). Wir weisen darauf hin, dass einzelne Sub-Processors von HubSpot auch außerhalb der EU ansässig sein können.
Eingesetzte Funktionen
- Kontaktformulare (HubSpot Forms) – Abschnitt 7.1
- Live-Chat (HubSpot Conversations) – Abschnitt 7.2
- Analytics & Tracking – Abschnitt 8.2
- Ads Pixel, CTAs, E-Mail-Marketing – Abschnitt 9.5
- CRM (Kontaktmanagement)
Rechtsgrundlagen
- Formulare & Chat: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO)
- Analytics, Tracking & Marketing: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- CRM: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Verwaltung von Kundenbeziehungen
Drittlandtransfer
HubSpot Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich haben wir Standardvertragsklauseln (SCCs) vereinbart.
Auftragsverarbeitung: Wir haben mit HubSpot einen Auftragsverarbeitungsvertrag (Data Processing Agreement) abgeschlossen.
Sub-Processors: HubSpot Sub-Processor-Liste
Datenschutzerklärung: HubSpot Privacy Policy
11. Spam-Schutz
11.1 Google reCAPTCHA
Unsere Kontaktformulare (HubSpot Forms) nutzen Google reCAPTCHA zum Schutz vor automatisiertem Spam. reCAPTCHA wird nicht beim Seitenaufruf geladen, sondern erst bei Interaktion mit einem Kontaktformular (Lazy Loading beim Öffnen des Formular-Modals).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Verarbeitung: Google verarbeitet die reCAPTCHA-Daten als Auftragsverarbeiter in unserem Auftrag.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) am Schutz vor Spam und Missbrauch. Zugriff auf das Endgerät nach § 25 Abs. 2 TDDDG (unbedingt erforderlich für den vom Nutzer gewünschten Dienst).
Drittlandtransfer: Google LLC ist DPF-zertifiziert.
Weitere Informationen: Google Datenschutzerklärung
12. Eingebettete Inhalte & Social Sharing
12.1 YouTube
Auf einigen Seiten betten wir Videos von YouTube ein (Anbieter: Google Ireland Limited). Die Einbindung erfolgt nach Möglichkeit über den erweiterten Datenschutzmodus (youtube-nocookie.com) und zusätzlich über den Borlabs Content Blocker – Videos werden erst nach Ihrer Einwilligung geladen.
Ohne Ihre Einwilligung wird kein Kontakt zu YouTube-Servern hergestellt. Nach Einwilligung können Daten an YouTube/Google übertragen und Cookies gesetzt werden.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Drittlandtransfer: Google LLC ist DPF-zertifiziert.
Weitere Informationen: Google Datenschutzerklärung
12.2 Shariff (Social-Media-Sharing)
Für Social-Media-Sharing-Buttons setzen wir das Shariff-Plugin ein. Shariff implementiert einen datenschutzfreundlichen 2-Klick-Mechanismus: Beim Laden der Seite wird kein Kontakt zu sozialen Netzwerken hergestellt. Erst wenn Sie aktiv auf einen Sharing-Button klicken, werden Daten an den jeweiligen Dienst übertragen.
Rechtsgrundlage: Einwilligung durch aktive Nutzerhandlung (Klick).
12.3 Weitere externe Inhalte
Auf einzelnen Seiten betten wir Stellenausschreibungen über den Dienst JOIN (JOIN Solutions AG, Schönhauser Allee 36, 10435 Berlin, Deutschland) ein. Zudem können weitere externe Inhalte eingebettet sein (z. B. Bewertungswidgets von TrustIndex). Diese werden über den Borlabs Content Blocker geschützt und erst nach Ihrer Einwilligung geladen.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
13. Datenübermittlung in Drittländer
Einige der oben genannten Dienste haben ihren Sitz in den USA. Für die von uns eingesetzten US-Anbieter gelten:
- EU-US Data Privacy Framework (DPF): Google, HubSpot, LinkedIn, Microsoft und Cloudflare sind unter dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 DPF-zertifiziert.
- Standardvertragsklauseln (SCCs): Mit Google, HubSpot und Cloudflare haben wir ergänzend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen.
Stand: März 2026