Datenschutzerklärung

1. Überblick und Geltungsbereich

Diese Datenschutzerklärung gilt für das gesamte Online-Angebot der brainification GmbH. Dies umfasst:

  • unsere Unternehmenswebsite unter der Domain brainrooms.de
  • sämtliche Spieleplattformen und Applikationen, die als Subdomains unterhalb von brainrooms.de bereitgestellt werden (z. B. kunde.brainrooms.de, event.brainrooms.de oder play.brainrooms.de).

Durch diese Zusammenfassung stellen wir sicher, dass Sie an zentraler Stelle über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten innerhalb unseres gesamten Ökosystems informiert werden.

Verantwortlicher

brainification GmbH 
Vertreten durch den Geschäftsführer Robert Runge
Essener Str. 3 - 5 
46047 Oberhausen 
E-Mail: datenschutz@brainification.de
Tel.: +49 208 30670950

2. Hosting und technische Infrastruktur

Wir hosten unsere Systeme bei externen Dienstleistern. Die personenbezogenen Daten, die auf dieser Website und den Subdomains erhoben werden, werden auf den Servern dieser Dienstleister gespeichert.

Hosting der Website (brainrooms.de): STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin.

Hosting der Applikationen (Subdomains) & Datenbanken: Für den Betrieb unserer Spieleplattformen und Anwendungen nutzen wir die Cloud-Plattform Heroku (ein Dienst von Salesforce) sowie Datenbanken von MongoDB.

  • Salesforce.com Germany GmbH (Dienst: Heroku), Erika-Mann-Str. 31, 80636 München (Mutterkonzern: Salesforce, Inc., USA).
  • MongoDB Limited (Dienst: MongoDB Atlas), Building Two, Number One Ballsbridge, Dublin 4, Irland.

Zwecke & Rechtsgrundlage: Der Einsatz dieser Hoster erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) sowie im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch professionelle Anbieter (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeitung: Wir haben mit den Anbietern STRATO GmbH, Salesforce.com Germany GmbH und MongoDB Limited jeweils einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Diese stellen sicher, dass die Daten ausschließlich nach unseren Weisungen und unter Einhaltung der strengen europäischen Datenschutzvorgaben verarbeitet werden.

Server-Log-Dateien

Unsere Hoster erheben und speichern automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • IP-Adresse (anonymisiert nach spätestens 7 Tagen)
  • Zeitpunkt des Zugriffs
  • Referrer URL (die zuvor besuchte Seite)
  • Browser und -version
  • Betriebssystem
  • Menge der übertragenen Daten

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung unserer Website.

3. Allgemeine Hinweise und Pflichtinformationen

SSL- bzw. TLS-Verschlüsselung

Sämtliche Kommunikation mit unseren Websites ist verschlüsselt. Dies erkennen Sie am Protokoll „https://“ in der Adresszeile.

Datenübermittlung in die USA und Drittstaaten

Wir verwenden unter anderem Tools von Unternehmen mit Sitz in den USA (Google, Microsoft, Salesforce, Elastic). Wenn diese Tools aktiv sind, können Ihre personenbezogenen Daten an die US-Server der jeweiligen Unternehmen weitergegeben werden. Viele dieser Anbieter sind unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Die EU-Kommission hat festgestellt, dass die USA für zertifizierte Unternehmen ein angemessenes Datenschutzniveau bieten. Sofern ein Anbieter nicht zertifiziert ist, verwenden wir Standardvertragsklauseln (SCC) der EU-Kommission als Garantie.

Ihre Rechte als Betroffene(r)

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit folgende Rechte:

  • Auskunft: Sie können über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung Auskunft verlangen (Art. 15 DSGVO).
  • Widerruf: Sie können eine bereits erteilte Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
  • Berichtigung: Sie können falsche oder unvollständiger Daten jederzeit berichtigen lassen. (Art. 16 DSGVO).
  • Löschung: Sie können Ihre bei uns gespeicherten Daten jederzeit löschen lassen (Art. 17 DSGVO).
  • Einschränkung der Verarbeitung: Unter bestimmten Voraussetzungen haben Sie das Recht auf Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO).
  • Datenübertragbarkeit: Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen (Art. 20 DSGVO).
  • Beschwerderecht: Im Falle von Verstößen gegen die DSGVO steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Die für unser Unternehmen primär zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (öffentliches oder berechtigtes Interesse) erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Legen Sie Widerspruch ein, werden wir Ihre betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruch gegen Direktwerbung: Werden Ihre personenbezogenen Daten von uns verarbeitet, um Direktwerbung (z. B. durch Akquise-Maßnahmen) zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Wenn Sie widersprechen, werden Ihre personenbezogenen Daten anschließend nicht mehr zum Zwecke der Direktwerbung verarbeitet.

Sie können Ihren Widerspruch unter datenschutz@brainrooms.de geltend machen.

Automatisierte Entscheidungsfindung & Profiling

Wir verzichten auf eine automatisierte Entscheidungsfindung einschließlich Profiling i.S.d. §22 DSGVO.

4. Datenerfassung auf unserer Unternehmenswebsite (brainrooms.de)

Cookies & Local Storage

Wir setzen Technologien ein, um Endgeräteinformationen und personenbezogene Daten zu speichern und auszulesen. Die Einholung und Verwaltung Ihrer Einwilligungen erfolgt über das Consent-Management-Tool Cookiebot.

  • Technisch notwendig: Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG.
  • Statistik/Marketing: Rechtsgrundlage ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG bzw. Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über unser Cookie-Management-Tool widerrufen.

Einwilligungsmanagement mit Cookiebot 

Um Ihre Einwilligungen zur Speicherung bestimmter Cookies oder zur Nutzung bestimmter Technologien einzuholen und datenschutzkonform zu dokumentieren, nutzen wir das Consent-Management-Tool Cookiebot. Anbieter ist die Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark. Wenn Sie unsere Website betreten, wird eine Verbindung zu den Servern von Cookiebot hergestellt, um Ihre Einwilligungen und deren Widerruf zu protokollieren. Dabei werden unter anderem Ihre IP-Adresse und Ihre Consent-Daten gespeichert. Der Einsatz erfolgt, um die gesetzlich vorgeschriebenen Einwilligungen für den Cookie-Einsatz einzuholen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

Lokale Schriftarten (Google Fonts)

Wir nutzen Schriftarten von Google ("Google Fonts"), die wir lokal auf unseren eigenen Servern installiert haben. Es findet beim Laden der Schriftarten keine Verbindung zu Servern von Google statt und somit keine Datenübertragung an Google.

Google Analytics

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics 4 (GA4). Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei GA4 werden IP-Adressen standardmäßig nicht protokolliert oder gespeichert, wodurch eine systemseitige Anonymisierung gewährleistet ist. Rechtsgrundlage für die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z.B. Device-Fingerprinting) sowie die anschließende Datenverarbeitung ist Ihre ausdrückliche Einwilligung gemäß § 25 Abs. 1 TDDDG bzw. Art. 6 Abs. 1 lit. a DSGVO. Die verarbeiteten Ereignisdaten werden nach 2 Monaten, Nutzerdaten nach 14 Monaten automatisch gelöscht.

Kontaktaufnahme (E-Mail, Telefon, Formular)

Wenn Sie uns kontaktieren, werden Ihre Angaben inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Wir geben diese Daten nicht an unberechtigte Dritte weiter. Zur effizienten Bearbeitung nutzen wir das CRM-System Close (siehe Abschnitt 5), das als weisungsgebundener Auftragsverarbeiter für uns tätig wird.

Zwecke und Rechtsgrundlage: Die Datenverarbeitung dient der Vertragserfüllung oder vorvertraglichen Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) bzw. unserem berechtigten Interesse an der effizienten Beantwortung Ihres Anliegens (Art. 6 Abs. 1 lit. f DSGVO).

5. Kundenverwaltung / CRM (System "Close")

Zur Verwaltung von Kundenbeziehungen, zur Akquise und zur Organisation unserer Webinare nutzen wir das CRM-System Close. Anbieter: Elastic Inc., PO Box 7775 #69574, San Francisco, CA 94120, USA.

Datenquellen: Wir speichern in Close Daten, die wir von Ihnen erhalten haben (z.B. durch Kontaktaufnahme, Visitenkartentausch oder Webinar-Anmeldung).

Zwecke und Rechtsgrundlage: Die Verarbeitung dient der Anbahnung und Erfüllung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO) sowie unserem berechtigten Interesse an effizientem Vertrieb (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeitung: Wir haben mit dem Anbieter Elastic Inc. einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser stellt sicher, dass die Daten ausschließlich nach unseren Weisungen und unter Einhaltung der strengen europäischen Datenschutzvorgaben verarbeitet werden.

Drittlandtransfer: Elastic Inc. verarbeitet Daten in den USA. Wir haben Standardvertragsklauseln abgeschlossen. Zudem ist Elastic Inc. unter dem EU-U.S. Data Privacy Framework zertifiziert.

6. Webinare

Für die Durchführung von Webinaren nutzen wir die Videokonferenzlösung Microsoft Teams. Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Anmeldung & Durchführung: Wenn Sie sich über unsere Website anmelden, erheben wir Name, Firma und Kontaktdaten. Die Verarbeitung dient der Anbahnung und Erfüllung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO). Melden Sie sich über LinkedIn-Events an, erhalten wir Ihre Daten von LinkedIn. Die Verarbeitung dieser Daten dient ebenfalls der Anbahnung und Erfüllung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO).

Speicherdauer: Anmeldedaten zu Webinaren werden spätestens 3 Monate nach Durchführung gelöscht, sofern keine geschäftliche Beziehung entsteht (Übernahme ins CRM) oder gesetzliche Aufbewahrungspflichten bestehen.

Auftragsverarbeitung: Wir haben mit dem Anbieter Microsoft Ireland Operations Limited einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser stellt sicher, dass die Daten ausschließlich nach unseren Weisungen und unter Einhaltung der strengen europäischen Datenschutzvorgaben verarbeitet werden.

7. E-Mail-Hosting und Kommunikation (Google Workspace)

Wir nutzen für unser E-Mail-Hosting und die Bereitstellung unserer Kommunikationsinfrastruktur die Cloud-Lösung Google Workspace. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zwecke und Rechtsgrundlage: Wenn Sie per E-Mail mit uns in Kontakt treten, werden Ihre Nachrichten und die darin enthaltenen personenbezogenen Daten auf den Servern von Google gespeichert. Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage sowie zur Anbahnung oder Durchführung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO). Zudem haben wir ein berechtigtes Interesse an einer sicheren, ausfallsicheren und professionellen E-Mail-Infrastruktur (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeitung: Wir haben mit dem Anbieter Google Ireland Limited einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser stellt sicher, dass Google die Daten unserer E-Mail-Kommunikation nur nach unseren Weisungen und nicht für eigene Werbezwecke verarbeitet.

Drittlandtransfer: Bei der Nutzung von Google Workspace kann eine Datenübertragung an die Server der Muttergesellschaft Google LLC in den USA stattfinden. Die Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Die EU-Kommission hat festgestellt, dass hierdurch ein angemessenes Datenschutzniveau gewährleistet ist. Zusätzlich sichert Google die Datenverarbeitung durch Standardvertragsklauseln (SCC) ab.

8. Online-Terminbuchungen (Google Reservierungsseiten) 

Zur einfachen und schnellen Vereinbarung von Terminen (z. B. nach vorheriger Kontaktaufnahme) nutzen wir die Terminbuchungsfunktion von Google Workspace. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zwecke und Rechtsgrundlage: Wenn Sie über unsere Reservierungsseite einen Termin buchen, erheben und speichern wir die von Ihnen in das Formular eingegebenen Daten (in der Regel Name, E-Mail-Adresse, den gebuchten Zeitraum sowie ggf. weitere von Ihnen freiwillig angegebene Informationen zum Termin). Die Datenverarbeitung erfolgt zum Zwecke der Terminorganisation und der Vorbereitung oder Durchführung geschäftlicher Besprechungen. Rechtsgrundlage ist die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an einer effizienten und nutzerfreundlichen Terminverwaltung (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeitung und Drittlandtransfer: Da die Terminbuchungsfunktion Teil von Google Workspace ist, erfolgt die Verarbeitung im Rahmen unseres bestehenden Vertrags zur Auftragsverarbeitung (AVV) mit Google. Für etwaige Datenübermittlungen in die USA greifen die Zertifizierung von Google nach dem EU-U.S. Data Privacy Framework (DPF) sowie Standardvertragsklauseln (SCC), wie im Abschnitt "E-Mail-Hosting und Kommunikation" dieser Erklärung näher beschrieben.

9. Datenerfassung auf unseren Spieleplattformen (Subdomains)

Auf Subdomains wie z.B. play.brainrooms.de stellen wir interaktive Anwendungen bereit.

Keine Registrierung

Für die Nutzung unserer Spieleplattformen ist keine Erstellung eines Benutzerkontos (Login) erforderlich. Wir speichern keine Profile, die eine persönliche Identifikation der Spieler durch Dritte ermöglichen würden.

Spieldaten und technischer Ablauf

Um den Spielablauf zu gewährleisten, wird der Fortschritt (z.B. erreichte Level, Punkte) serverseitig temporär gespeichert und Ihrer aktuellen Sitzung zugeordnet. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der sicheren und fehlerfreien technischen Bereitstellung der Plattform für unsere Nutzer und B2B-Kunden. Die Daten werden nicht verwendet, um Sie als natürliche Person über den Zweck des Spiels hinaus zu identifizieren.

Feedback-Funktion

Sie können am Ende einer Maßnahme freiwillig Feedback abgeben.

  • Sternebewertung: Diese wird rein quantitativ und anonymisiert aggregiert. Das beauftragende Kundenunternehmen (Ihr Arbeitgeber/der Veranstalter) erhält hieraus lediglich einen statistischen Durchschnittswert.
  • Freitextfeld: Der Inhalt des Freitextfeldes wird ausschließlich an uns (die brainification GmbH) übermittelt und nicht an das beauftragende Kundenunternehmen weitergegeben. Wir nutzen dieses qualitative Feedback zur kontinuierlichen Verbesserung unserer Spiele und Angebote. Rechtsgrundlage hierfür ist unser berechtigtes Interesse an der Produktoptimierung (Art. 6 Abs. 1 lit. f DSGVO). Bitte tragen Sie in das Freitextfeld keine identifizierenden personenbezogenen Daten (wie Namen oder E-Mail-Adressen) ein.

Die Feedback-Daten können dem jeweiligen Event oder dem beauftragenden Kundenunternehmen zugeordnet werden (z.B. "Feedback aus dem Workshop der Firma XY"), jedoch ohne Rückschluss auf einzelne Personen, sofern Sie keine Namen in das Freitextfeld schreiben.

10. Social Media

Wir unterhalten ein Unternehmensprofil auf dem Karrierenetzwerk LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland). Wenn Sie unser Profil besuchen oder sich für unsere LinkedIn-Events anmelden, verarbeitet LinkedIn Ihre personenbezogenen Daten. Für die Erhebung der Daten und die statistische Auswertung der Nutzung unseres Profils (Page Insights) sind wir gemeinsam mit LinkedIn verantwortlich (Art. 26 DSGVO). Die entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit (Page Insights Joint Controller Addendum) finden Sie hier: https://legal.linkedin.com/pages-joint-controller-addendum. Die Datenverarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer zeitgemäßen Außendarstellung und Kommunikation mit Interessenten und Kunden (Art. 6 Abs. 1 lit. f DSGVO).

11. Speicherdauer (Allgemein)

Soweit in dieser Erklärung keine spezifische Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt, Sie uns zur Löschung auffordern oder Ihre Einwilligung zur Speicherung widerrufen. Zwingende gesetzliche Aufbewahrungsfristen (insb. 6 Jahre für Geschäftsbriefe nach § 257 HGB und 10 Jahre für steuerlich relevante Unterlagen nach § 147 AO) bleiben unberührt.