Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

PST Visionary Advice LTD
Exegerseos, Blue Serenity Complex 18
7560 Pervolia, Larnaka, Republic of Cyprus
Registration No. HE 459320
E-Mail: info@pst.cy

Director & weitere Angaben siehe Impressum.

2. Welche Daten wir verarbeiten

2.1 Beim Besuch der Webseite (Server-Logs)

Beim Aufruf der Seiten erhebt unser Hosting-Provider automatisch Informationen, die der Browser übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, abgerufene Inhalte, übertragene Datenmenge, Browser-Typ und -Version, Betriebssystem, Referrer-URL. Speicherdauer: maximal 30 Tage (Hosting-bedingt), danach Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb).

2.2 Bei der Registrierung & Nutzung

Für die Nutzung der Schulungs-Inhalte ist ein Account erforderlich. Verarbeitet werden: E-Mail-Adresse, Passwort (gesalzen und gehasht, niemals im Klartext), letzter Login-Zeitpunkt, freigeschaltete Schulungen, optionale 2FA-Konfiguration. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahme).

2.3 Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies, die für den Login-Mechanismus erforderlich sind:

• EFDKI – Session-Cookie zur Aufrechterhaltung der Anmeldung (Lifetime: bis zu 30 Tage, SameSite=Lax, HttpOnly, Secure).
• EFDKI_REMEMBER – nur bei aktivierter „Eingeloggt bleiben"-Funktion: Long-Lived-Token (90 Tage), erlaubt automatische Re-Anmeldung nach Session-Ablauf.

Keine Tracking-, Analyse- oder Werbe-Cookies. Keine Drittanbieter-Cookies. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderliche Cookies).

2.4 Watermarks in Schulungs-Inhalten

Beim Aufruf von Schulungs-Inhalten (HTML, Handouts) wird die E-Mail-Adresse des angemeldeten Nutzers als dezentes Watermark in das Material eingespielt. Zweck: Schutz vor unautorisierter Weitergabe. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Urheberrechtsschutz).

3. Hosting und Auftragsverarbeitung

Die Webseite und Datenbank werden gehostet bei All-Inkl.com (KAS - Anbieter, Sitz Deutschland). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Server-Standort: Deutschland.

4. Zahlungsabwicklung über Stripe

Für die Abwicklung von Käufen setzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe") als Auftragsverarbeiter ein. Mit Stripe besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA), der bei Anmeldung über das Stripe-Dashboard automatisch akzeptiert wird, gemäß Art. 28 DSGVO.

4.1 Welche Daten Stripe verarbeitet

Beim Start eines Bezahlvorgangs übermitteln wir an Stripe: E-Mail-Adresse des Käufers, gewähltes Paket, Kaufpreis. Die eigentlichen Zahlungsdaten (Kartennummer, IBAN, etc.) gibt der Käufer direkt auf der von Stripe gehosteten Checkout-Seite ein — diese Daten erreichen unseren Server zu keinem Zeitpunkt und werden bei uns auch nicht gespeichert. Stripe übermittelt uns lediglich den Zahlungsstatus, die anonymisierte Stripe-Customer-ID, das Herkunftsland (für Tax-Berechnung), die abgeführte Umsatzsteuer und ggf. die Umsatzsteuer-ID des Käufers (bei B2B-Käufen mit Reverse-Charge).

4.2 Stripe Tax

Stripe Tax berechnet die geltende Umsatzsteuer automatisch auf Basis des Käufer-Standorts und der hinterlegten Steuerregeln. Für Käufer mit Sitz in Zypern gilt der zypriotische Standardsteuersatz; für Käufer in anderen EU-Mitgliedstaaten greift die EU-Fernverkaufsregel (OSS) bzw. bei B2B-Käufen mit gültiger USt-ID das Reverse-Charge-Verfahren. Stripe stellt die Rechnung mit ausgewiesener Umsatzsteuer direkt an den Käufer aus.

4.3 Rechtsgrundlage und Drittland

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Kaufvertrags). Stripe Payments Europe Ltd. hat ihren Sitz in der EU (Irland); ein Datentransfer in Drittländer findet im Rahmen der internen Stripe-Konzernstruktur statt (Stripe Inc., USA) und ist durch EU-Standardvertragsklauseln sowie das EU-US Data Privacy Framework abgesichert. Details: stripe.com/de/privacy.

4.4 Speicherdauer auf unserer Seite

Bestellbezogene Daten (Bestellnummer, Paket, Preis, Stripe-Transaktions-IDs, abgeführte Steuer) speichern wir bei uns für die Dauer der gesetzlichen Aufbewahrungspflichten nach zypriotischem Handels- und Steuerrecht (in der Regel 7 Jahre). Stripe selbst speichert die vollständigen Zahlungsdaten nach eigener Vorgabe; siehe Stripe-Datenschutzerklärung.

4b. Newsletter und Lead-Management

Wenn du dich für unseren Newsletter anmeldest, eine Live-Schulungs-Anfrage stellst, einen Kauf taetigst oder über andere Kanäle (LinkedIn, Werbeanzeigen) mit uns in Kontakt trittst, verarbeiten wir die folgenden Daten zum Zweck der Kontaktpflege und gegebenenfalls Versendung von Newsletter-Mails.

4b.1 Welche Daten

• Pflicht: E-Mail-Adresse
• Freiwillig: Name, Firma, Rolle (Steuerberater / Anwalt / KMU-Geschäftsführer / etc.), Interessensgebiete
• Technisch: IP-Adresse und User-Agent zum Zeitpunkt der Anmeldung (DSGVO-Nachweispflicht nach Art. 7), UTM-Parameter (utm_source, utm_campaign) wenn aus Werbe-Kampagnen
• Consent-Beweis: Zeitpunkt der Einwilligung, Wortlaut der zugestimmten Erklärung (Versionierung), Zeitpunkt der Double-Opt-In-Bestätigung
• Verhaltensdaten (intern): Status (neu / kontaktiert / qualifiziert / Kunde / abgemeldet), interne Tags und Notizen, automatisch berechneter Score (0-100)

Open-Tracking, Klick-Tracking, Tracking-Pixel: Werden derzeit nicht eingesetzt. Sollten wir das künftig einführen, wird die Datenschutzerklärung vorab aktualisiert und die Einwilligung neu eingeholt.

4b.2 Rechtsgrundlage

• Newsletter-Anmeldung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) mit Double-Opt-In-Verfahren. Widerruf jederzeit gemäß Art. 7 Abs. 3 DSGVO (1-Klick-Link in jeder Mail oder formlos per E-Mail).
• Live-Schulungs-Anfrage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme).
• Kauf-Kontakte: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Werbliche Mails an Kunden nur nach separater Einwilligung (siehe DOI oben).
• Importierte Leads: nur mit dokumentierter Rechtsgrundlage. Werbliche Mails ausschließlich nach erfolgreicher DOI-Bestätigung.

4b.3 Double-Opt-In-Verfahren (DOI)

Nach der Anmeldung erhältst du eine Bestätigungs-Mail mit einem einmaligen Link. Dein Datensatz wird erst nach Klick auf diesen Link aktiv und du erhältst Newsletter-Mails. Der Bestätigungslink ist 48 Stunden gültig. Wenn du nicht bestätigst, bleibt dein Eintrag ohne aktive Verarbeitung gespeichert und wird nach 30 Tagen automatisch gelöscht (mit Ausnahme des Unsubscribe-Tokens, siehe 4b.5).

4b.4 Abmeldung

Jede Newsletter-Mail enthält einen 1-Klick-Abmelde-Link (RFC 8058 List-Unsubscribe-Header). Ein einziger Klick genügt — kein Login, kein Formular, keine Begründung. Alternativ kannst du dich formlos per E-Mail an info@pst.cy abmelden. Die Abmeldung wird sofort wirksam und alle laufenden Mail-Sequenzen werden abgebrochen.

4b.5 Speicherdauer

Aktive Newsletter-Abonnenten: solange die Einwilligung besteht. Nach Widerruf: Löschung der personenbezogenen Daten innerhalb von 30 Tagen, mit Ausnahme von:

• dem Unsubscribe-Token und der E-Mail-Adresse in gesalzener Form — als Sperrliste, um erneute Werbeanschreiben durch Wiederanlage zu verhindern (berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO)
• dem Consent-Nachweis (Zeitpunkt, Wortlaut, IP) für die Dauer von 3 Jahren als Beweis für Aufsichtsbehörden (Art. 7 DSGVO + zypriotisches Datenschutzgesetz)

4b.6 Versand-Dienstleister

Newsletter-Mails werden über den SMTP-Server unseres Hosting-Providers All-Inkl.com versendet (Server-Standort: Deutschland). Es findet kein Datentransfer in Drittländer statt. Es werden keine externen Newsletter-Tools wie Mailchimp, Sendinblue etc. eingesetzt.

4b.7 Automatisierte Entscheidungsfindung

Wir berechnen intern einen Lead-Score (0-100) auf Basis der Datenpunkte aus 4b.1. Dieser Score wird ausschliesslich für interne Priorisierung verwendet — es findet keine automatisierte Entscheidungsfindung mit Rechtswirkung im Sinne von Art. 22 DSGVO statt. Du hast jederzeit das Recht auf Auskunft über deinen Score (Art. 15 DSGVO).

5. Speicherdauer

Account-Daten werden gespeichert, solange der Account besteht. Nach Löschung des Accounts werden alle personenbezogenen Daten innerhalb von 30 Tagen anonymisiert oder gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (handelsrechtlich / steuerrechtlich) entgegenstehen.

6. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Für die Geltendmachung Ihrer Rechte genügt eine formlose E-Mail an die im Impressum genannte Adresse. Zuständige Aufsichtsbehörde des Verantwortlichen: Office of the Commissioner for Personal Data Protection, 1 Iasonos Street, 1082 Nicosia, Cyprus (dataprotection.gov.cy). Sie können sich zusätzlich an die Aufsichtsbehörde Ihres EU-Wohnsitzes wenden.

7. Sicherheit

Die Übertragung erfolgt verschlüsselt über HTTPS/TLS. Passwörter werden mit bcrypt (PASSWORD_BCRYPT) gehasht. 2FA via TOTP ist optional verfügbar. Die Server-Infrastruktur ist gegen automatisierte Angriffe gehärtet (Rate-Limiting, CSRF-Schutz, Content-Security-Policy).