Cannamedical Strains entdecken
logo

Datenschutzerklärung

Stand: 05. Februar 2026

1. Einleitung

Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat bei uns einen besonders hohen Stellenwert. In dieser Datenschutzerklärung informieren wir Sie darüber, wie wir Ihre Daten bei dem Besuch unserer Webseite www.weed.de verarbeiten und welche Rechte Ihnen als betroffener Person zustehen.

Im Rahmen unserer Geschäftstätigkeit werden auf vielfältige Weise personenbezogene Daten von Geschäftspartnern (bei Unternehmen sind das etwa Kontaktpersonen, Mitarbeiter und sonstige einem Geschäftspartner zugehörige Personen), von Kunden unserer Geschäftspartner, von Besuchern unserer Webseite oder unserer Social Media Accounts (insbesondere bei einer Eingabe von Daten auf der Webseite, einer Kontaktaufnahme mittels E-Mail oder Social Media) oder von anderen Personen, die Kontakt zu uns aufnehmen (etwa per Post, E-Mail sowie bei persönlichen Gesprächen) verarbeitet.

Die dabei erhobenen personenbezogenen Daten werden in unserer Verantwortlichkeit verarbeitet. Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten. Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Hinweis zur Rollenverteilung: weed.de betreibt eine Plattform, die Nutzer mit behandelnden Ärzten und abgebenden Apotheken zusammenbringt. Ärzte und Apotheken verarbeiten medizinische Inhalte sowie Behandlungs- und Verordnungsdaten grundsätzlich in eigener datenschutzrechtlicher Verantwortlichkeit. Wir verarbeiten solche Daten nur, soweit dies zur technischen Bereitstellung der Plattform erforderlich ist oder Sie uns solche Daten aktiv bereitstellen (z.B. durch Uploads), und nur im Rahmen der jeweils einschlägigen Rechtsgrundlagen.

2. Verantwortlicher

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung („DS-GVO“) ist:

Tortuga Technologies (Germany) GmbH

Pappelallee 78/79

10437 Berlin

(nachfolgend auch „weed.de“, „wir“ oder „uns“).

Bei Fragen zum Umgang und zum Schutz Ihrer Daten oder zur Ausübung Ihrer Rechte nach dem Datenschutzrecht (siehe Ziffer 5) stehen wir Ihnen gerne per E-Mail unter datenschutz@weed.de zur Verfügung.

Datenschutzbeauftragter: Richard Cowan, Pappelallee 78/79, 10437 Berlin

3. Allgemeines zur Datenverarbeitung

Unsere Datenverarbeitung unterliegt den Regelungen der DS-GVO. Bitte beachten Sie, dass zusätzlich zu den Bestimmungen der DS-GVO nationale Datenschutzbestimmungen in Ihrem oder unserem Wohnsitz- oder Aufenthaltsland gelten können.

Sofern wir personenbezogene Daten an Dritte übermitteln, legen wir großen Wert auf die Einhaltung von Datenschutz-Verpflichtungen nach den Maßstäben der DS-GVO.

3.1. Drittlandstransfer

In Einzelfällen kann nicht ausgeschlossen werden, dass Geschäftspartner, an die wir Daten übermitteln (z.B. IT-Dienstleister), in Ländern ohne einen EU-adäquaten Datenschutz sitzen (sogenannte Drittländer, z.B. USA). In diesen Fällen lassen wir eine Verarbeitung Ihrer Daten in einem Drittland nur dann zu, wenn die besonderen Voraussetzungen der Artikel 44 ff. DS-GVO erfüllt sind.

Dies stellen wir sicher durch:

  • Das Vorliegen eines Angemessenheitsbeschlusses der EU-Kommission (z.B. das „EU-US Data Privacy Framework“, sofern der Empfänger dort zertifiziert ist), oder
  • Den Abschluss von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) mit dem Vertragspartner, ggf. ergänzt durch zusätzliche Sicherheitsmaßnahmen.

3.2. Speicherdauer

Die personenbezogenen Daten betroffener Personen werden gelöscht oder gesperrt, sobald der Zweck der Verarbeitung entfällt. Eine Speicherung über diesen Zeitraum hinaus erfolgt nur, solange dies durch gesetzliche Aufbewahrungspflichten (z.B. handels- oder steuerrechtliche Fristen von 2 bis 10 Jahren) vorgesehen ist oder zur Geltendmachung von bzw. Verteidigung gegen Rechtsansprüche erforderlich ist (Verjährungsfristen bis zu 30 Jahre).

3.3. Datensicherheit

Wir nehmen den Schutz personenbezogener Daten sehr ernst und haben umfassende technische und organisatorische Sicherheitsmaßnahmen getroffen.

Die von uns genutzten Server befinden sich vorwiegend in der EU. Soweit wir Dienstleister nutzen, die Daten auch in Drittländern verarbeiten (siehe unten bei CRM oder Newsletter), stellen wir sicher, dass ein vergleichbares Schutzniveau gewährleistet wird. Wir setzen Maßnahmen wie verschlüsselte Backends und IP-Whitelisting ein, um Daten vor unbefugtem Zugriff zu schützen.

4. Tätigkeiten, bei denen wir Ihre personenbezogenen Daten verarbeiten

Im Folgenden informieren wir Sie darüber, bei welchen Tätigkeiten wir personenbezogene Daten verarbeiten, welche Kategorien von Daten betroffen sind, zu welchen Zwecken dies erfolgt, auf welcher Rechtsgrundlage wir verarbeiten und welche Dienstleister (Dritte) wir hierbei einsetzen.


4.1. Besuch unserer Webseite


4.1.1. Logfiles (Server-Protokolle)

Wenn Sie unsere Webseite besuchen, verarbeiten wir technisch notwendige Daten (z.B. IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Inhalte, Status-Codes, übertragene Datenmenge, Referrer-URL, Browser- und Betriebssysteminformationen), um die Webseite bereitzustellen, Angriffe zu erkennen, Fehler zu beheben und die Systemsicherheit zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DS-GVO (Betrieb und Sicherheit der Webseite); sofern die Nutzung der Webseite im Rahmen einer (vor-)vertraglichen Beziehung erfolgt zudem Art. 6 Abs. 1 S. 1 lit. b DS-GVO.

Speicherdauer: Logfiles werden grundsätzlich für 30 Tage gespeichert und anschließend gelöscht, sofern keine weitere Aufbewahrung zur Aufklärung konkreter Sicherheitsvorfälle erforderlich ist.


4.1.2. Hosting und Infrastruktur (AWS, Vercel, MongoDB Atlas)

Für den Betrieb unserer technischen Infrastruktur setzen wir folgende Dienstleister ein:

• Amazon Web Services (AWS) EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg (Cloud-Infrastruktur, u.a. Compute/Storage).

• Vercel Inc. (Webhosting/Deployment und Auslieferung von Web-Inhalten über Edge/CDN).

• MongoDB Inc. / MongoDB Atlas (Datenbankhosting; Datenverarbeitung in der EU, z.B. in AWS-Regionen innerhalb des EWR).

Die Dienstleister verarbeiten technische Nutzungsdaten sowie – je nach Funktionsbereich – Inhalte und Metadaten, die im Rahmen der Nutzung unserer Plattform anfallen (z.B. Nutzer- und Kontodaten). Soweit dabei Gesundheitsdaten enthalten sein können (z.B. im Zusammenhang mit Verschreibungen/Behandlungsdaten), erfolgt die Verarbeitung ausschließlich nach unseren Weisungen im Rahmen einer Auftragsverarbeitung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertrag/Anbahnung) und Art. 6 Abs. 1 lit. f DS-GVO (stabiler und sicherer Betrieb). Soweit im Einzelfall besondere Kategorien personenbezogener Daten (insb. Gesundheitsdaten) in unserer technischen Infrastruktur verarbeitet werden, erfolgt dies auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DS-GVO), sofern erforderlich. Medizinische Inhalte und Behandlungsdaten werden im Regelfall von den jeweils behandelnden Ärzten und den abgebenden Apotheken in eigener Verantwortlichkeit verarbeitet.

Drittlandtransfer: Wir nutzen nach Möglichkeit Rechenzentrumsstandorte in der EU bzw. im EWR. Zugriffe aus Drittländern (z.B. durch Support, Wartung oder Unterauftragnehmer) können gleichwohl nicht vollständig ausgeschlossen werden. Übermittlungen stützen wir auf geeignete Garantien nach Art. 44 ff. DS-GVO, insbesondere EU-Standardvertragsklauseln (SCC) und – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.1.3. Versand von System- und Transaktions-E-Mails (Amazon SES)

Für den Versand von Transaktions- und System-E-Mails (z.B. Bestätigungen, sicherheitsrelevante Hinweise, Support-Kommunikation) nutzen wir Amazon Simple Email Service (SES). Verarbeitet werden hierbei insbesondere E-Mail-Adresse, Name (falls angegeben), technische Metadaten (z.B. Versandzeitpunkt, Zustellstatus) und der Inhalt der jeweiligen E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertrag/Anbahnung) bzw. Art. 6 Abs. 1 lit. f DS-GVO (sichere und zuverlässige Kommunikation).

Drittlandtransfer: Bei Amazon SES kann ein Drittlandtransfer (z.B. in die USA) nicht ausgeschlossen werden; die Absicherung erfolgt über EU-Standardvertragsklauseln (SCC) bzw. – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF (siehe Ziffer 3.1).


4.1.4. Fehleranalyse und Performance-Monitoring (Sentry)

Zur Analyse von Fehlern, Stabilität und Performance unserer Anwendungen nutzen wir Sentry (Sentry.io). Dabei können technische Daten (z.B. IP-Adresse, Geräte-/Browserinformationen, Zeitstempel, Fehler- und Ereignisdaten) verarbeitet werden. Wir konfigurieren Sentry so, dass Inhalte minimiert werden; dennoch kann nicht vollständig ausgeschlossen werden, dass in Ausnahmefällen auch nutzerbezogene Inhalte in Fehlermeldungen enthalten sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse an Fehlerbehebung und Systemsicherheit).

Drittlandtransfer: Sentry verarbeitet Daten regelmäßig in den USA. Die Absicherung erfolgt über EU-Standardvertragsklauseln (SCC).


4.1.5. Mobile App und Push-Benachrichtigungen (Expo, Apple/Google)

Für den Betrieb unserer mobilen App und Push-Benachrichtigungen nutzen wir die Expo-Plattform. Für den Versand von Push-Nachrichten werden zudem Dienste von Apple (Apple Push Notification Service – APNs) und/oder Google (Firebase Cloud Messaging – FCM) eingesetzt. Verarbeitet werden insbesondere Gerätekennungen bzw. Push-Token sowie technische Metadaten. Inhalte von Push-Nachrichten können einen Gesundheitsbezug haben (z.B. Termin- oder Statusinformationen). Wir gestalten Inhalte so, dass in Push-Benachrichtigungen nach Möglichkeit keine sensiblen Gesundheitsdaten im Klartext enthalten sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Bereitstellung der App-Funktion) und Art. 6 Abs. 1 lit. f DS-GVO (stabile Zustellung). Soweit für bestimmte Benachrichtigungen eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DS-GVO.

Drittlandtransfer: Bei der Nutzung von Expo sowie bei der Zustellung von Push-Nachrichten über APNs/FCM kann eine Verarbeitung in Drittländern (insb. USA) nicht ausgeschlossen werden. Apple und Google verarbeiten hierbei ggf. Daten als eigene Verantwortliche im Rahmen ihrer Push-Dienste. Soweit eine Übermittlung in Drittländer erfolgt, stützen wir diese auf EU-Standardvertragsklauseln (SCC) und – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.1.6. Karten- und Standortfunktionen (Google Maps Platform)

Für Karten- und Standortfunktionen (z.B. zur Anzeige von Standorten) nutzen wir die Google Maps Platform (Google Ireland Limited). Bei Nutzung der Karten können technische Daten (insb. IP-Adresse) sowie ggf. Standortdaten verarbeitet werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DS-GVO (funktionale Darstellung), je nach Einbindung und Konfiguration.

Drittlandtransfer: Eine Verarbeitung in den USA kann nicht ausgeschlossen werden; Absicherung über SCC/DPF.


4.2. CRM-System und Vertrieb (Pipedrive)

Wir nutzen zur Verwaltung unserer B2B-Kundenbeziehungen und Vertriebsprozesse das CRM-System Pipedrive (Pipedrive OÜ, Estland). Verarbeitet werden Kontakt- und Kommunikationsdaten (z.B. Name, E-Mail, Telefon, Firma, Kommunikationshistorie).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (vorvertragliche Maßnahmen/Vertrag) und Art. 6 Abs. 1 lit. f DS-GVO (effiziente Vertriebssteuerung).

Drittlandtransfer: Pipedrive kann Unterauftragnehmer in Drittländern einsetzen; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.3. Identitätsprüfung (Veriff)

Sofern eine Identitätsprüfung erforderlich ist (z.B. zur Missbrauchs-/Betrugsprävention oder regulatorischen Anforderungen), setzen wir Veriff (Veriff OÜ, Estland) ein. Verarbeitet werden je nach Verfahren insbesondere Identifikationsdaten (Name, Geburtsdatum), Ausweisdaten, Ausweiskopie/Foto, Video-/Selfie-Daten sowie Prüf- und Ergebnisdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DS-GVO (rechtliche Verpflichtung) und/oder Art. 6 Abs. 1 lit. f DS-GVO (Betrugsprävention) sowie – soweit erforderlich – Art. 9 Abs. 2 DS-GVO (Verarbeitung besonderer Kategorien).

Drittlandtransfer: Ein Drittlandtransfer kann nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.4. Elektronische Signatur (YouSign)

Für die qualifizierte elektronische Signatur (QES) bzw. elektronische Signaturprozesse nutzen wir YouSign (Frankreich). Dabei werden je nach Signaturprozess insbesondere Identifikations- und Kontaktdaten, Signatur- und Audit-Trail-Daten sowie Dokumentinhalte verarbeitet (die ggf. Gesundheitsdaten enthalten können).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Vertragsdurchführung) und/oder Art. 6 Abs. 1 lit. c DS-GVO (rechtliche Anforderungen) sowie ggf. Art. 9 Abs. 2 DS-GVO.


4.5. Zahlungsabwicklung (Mollie, Viva Pay, GetIvy)

Soweit auf unserer Plattform Zahlungsprozesse stattfinden, erfolgt die Zahlungsabwicklung über Zahlungsdienstleister. Je nach gewählter Zahlungsart setzen wir insbesondere ein:

• Mollie B.V. (Niederlande),

• Viva Pay / Viva Wallet Group (EU),

• GetIvy (Ivy) (EU).

Die Zahlungsdienstleister verarbeiten Zahlungsstammdaten, Transaktionsdaten, ggf. Bank-/Kontodaten, Betrugspräventionsdaten sowie technische Nutzungsdaten. Wir erhalten in der Regel nur Zahlungsbestätigungen bzw. notwendige Abrechnungsinformationen; vollständige Zahlungsdaten werden direkt beim Zahlungsdienstleister verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Zahlungsabwicklung/Vertrag) und Art. 6 Abs. 1 lit. c DS-GVO (z.B. steuer- und handelsrechtliche Pflichten).

Drittlandtransfer: Je nach Anbieter/Unterauftragnehmer kann ein Drittlandtransfer nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.6. Consent-Management und Cookies (Cookiebot)

Zur Verwaltung Ihrer Einwilligungen für Cookies und vergleichbare Technologien nutzen wir Cookiebot (Usercentrics A/S). Cookiebot setzt ein Consent-Cookie und verarbeitet u.a. Ihre IP-Adresse (in gekürzter Form), den Consent-Status, Zeitstempel, Browser-Informationen und eine Consent-ID, um Ihre Auswahl zu dokumentieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DS-GVO (Erfüllung gesetzlicher Pflichten zur Einwilligungsverwaltung, z.B. nach TDDDG) und Art. 6 Abs. 1 lit. f DS-GVO (Nachweis/Verwaltung von Einwilligungen).


4.7. Webanalyse, Conversion-Messung und Marketing (GA4, Triple Whale, Clarity, Pixel)

Wenn Sie eingewilligt haben, setzen wir Analyse- und Marketing-Tools ein, um die Nutzung unserer Webseite zu verstehen, Kampagnen zu messen und Angebote zu optimieren. Hierzu können insbesondere folgende Dienste eingesetzt werden:

• Google Analytics 4 (Google Ireland Limited),

• Triple Whale,

• Microsoft Clarity (Microsoft Corporation),

• Meta Pixel / Facebook Pixel (Meta Platforms Ireland Limited),

• X Ads / Twitter Ads (X Corp.),

• Reddit Ads / Reddit Pixel (Reddit, Inc.).

Verarbeitet werden insbesondere Online-Kennungen (z.B. Cookie-IDs), Nutzungsdaten (Seitenaufrufe, Klickpfade), Geräte-/Browserdaten, ungefähre Standortdaten (Region) sowie Ereignisdaten (z.B. Conversions). Eine Zusammenführung mit Klarnamen findet durch uns nicht statt; Anbieter können jedoch eigene Daten verarbeiten (z.B. zur Betrugsprävention oder in eigenen Netzwerken).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) sowie – für das Speichern/Auslesen von Informationen auf Ihrem Endgerät – die einschlägigen Regelungen des TDDDG. Ohne Einwilligung werden diese Tools nicht gesetzt.

Drittlandtransfer: Bei Anbietern mit Sitz/Servern in Drittländern (insb. USA) kann eine Übermittlung nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.8. Newsletter und Marketing-Automatisierung (Klaviyo, rapidmail)

Für den Versand von Newslettern und die Marketing-Automatisierung nutzen wir die Dienste Klaviyo (USA) sowie rapidmail (Deutschland).

Im Rahmen des Newsletterversands werden insbesondere folgende personenbezogene Daten verarbeitet:

E-Mail-Adresse, ggf. Name, Anmelde- und Protokolldaten (z.B. Double-Opt-In-Nachweis) sowie – sofern Sie hierzu eingewilligt haben – Interaktionsdaten (z.B. Öffnungen und Klicks).

Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z.B. über den Abmeldelink in jeder Newsletter-E-Mail.

Rapidmail wird als Auftragsverarbeiter mit Sitz in Deutschland eingesetzt; eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union findet hierbei nicht statt.

Klaviyo verarbeitet personenbezogene Daten in den USA. Die Übermittlung erfolgt auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (EU-US Data Privacy Framework), sofern Klaviyo entsprechend zertifiziert ist, oder alternativ auf Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC) sowie ggf. ergänzender technischer und organisatorischer Maßnahmen (siehe Ziffer 3.1).


4.9. Kundenservice und Kommunikation (Help Scout, Sipgate, WhatsApp Business)

Für Support-Anfragen und Kommunikation setzen wir Help Scout (Help Scout Inc.), Sipgate (sipgate GmbH) sowie – sofern Sie uns darüber kontaktieren – WhatsApp Business (Meta) ein. Verarbeitet werden hierbei Kontakt- und Kommunikationsdaten (z.B. Name, E-Mail, Telefonnummer, Inhalte von Nachrichten, Metadaten).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Bearbeitung von Anfragen/Vertrag) und Art. 6 Abs. 1 lit. f DS-GVO (effiziente Kundenkommunikation). Soweit Sie WhatsApp nutzen, erfolgt dies auf Ihre Initiative; bitte beachten Sie, dass Meta hierbei eigenständig Daten verarbeitet.

Drittlandtransfer: Bei Help Scout/WhatsApp kann ein Drittlandtransfer (USA) nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.10. Nutzerforschung und Produkt-Feedback (Maze)

Für Nutzerforschung, Usability-Tests und Feedback-Formulare nutzen wir Maze. Dabei können Kontaktdaten (wenn angegeben), Antworten/Feedback-Inhalte sowie technische Nutzungsdaten verarbeitet werden.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO) an der Verbesserung unserer Produkte, je nach Ausgestaltung.

Drittlandtransfer: Je nach Anbieterstruktur kann ein Drittlandtransfer nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.11. Social Login (Facebook/Google/Apple)

Sie können sich ggf. über „Social Login“ bei uns anmelden (Facebook Login, Google Login, Sign in with Apple). In diesem Fall erhalten wir vom jeweiligen Anbieter die für die Anmeldung erforderlichen Daten (z.B. Nutzer-ID, ggf. Name und E-Mail-Adresse) – abhängig von Ihrer Auswahl im jeweiligen Anbieter-Konto.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DS-GVO (Bereitstellung des Login-Verfahrens) und Art. 6 Abs. 1 lit. f DS-GVO (nutzerfreundliche Anmeldung).

Drittlandtransfer: Eine Übermittlung in Drittländer (insb. USA) kann je nach Anbieter nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.12. Eingebettete Inhalte (YouTube, Vimeo)

Wir können Videos über YouTube (Google) oder Vimeo einbetten. Beim Aufruf einer Seite mit eingebettetem Video kann der jeweilige Anbieter technische Daten (insb. IP-Adresse) und Nutzungsdaten verarbeiten. Die Einbindung erfolgt, sofern erforderlich, erst nach Ihrer Einwilligung über unser Consent-Management.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DS-GVO (ansprechende Darstellung), je nach Einbindung und Konfiguration.

Drittlandtransfer: Eine Verarbeitung in den USA kann nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.13. Business Intelligence / Reporting (Metabase Cloud)

Für internes Reporting und Analysen nutzen wir Metabase Cloud. Dabei werden in der Regel pseudonymisierte bzw. aggregierte Daten ausgewertet; soweit personenbezogene Daten enthalten sind, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO (Unternehmenssteuerung) bzw. Art. 6 Abs. 1 lit. b DS-GVO.

Drittlandtransfer: Je nach Anbieter kann ein Drittlandtransfer nicht ausgeschlossen werden; Absicherung über EU-Standardvertragsklauseln (SCC) sowie – sofern der jeweilige Empfänger nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist – auf das DPF.


4.14. Social Media

Wir unterhalten Profile auf verschiedenen Netzwerken (LinkedIn, Instagram/Facebook, YouTube). Soweit wir gemeinsam mit dem jeweiligen Netzwerk über Zwecke der Datenverarbeitung entscheiden (z.B. bei „Insights“/Nutzungsstatistiken), besteht eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO. Weitere Informationen finden Sie in den Datenschutzhinweisen der jeweiligen Anbieter.


4.15. Cookies und Tracking Policy

Weitere Details zu den auf unserer Webseite eingesetzten Cookies/Tools, deren Funktionsdauer und Kategorien sowie Ihre jeweiligen Auswahlmöglichkeiten finden Sie in unserer Cookie- und Tracking Policy unter: https://www.weed.de/cookies


5. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Auskunft (Art. 15 DS-GVO): Sie können Auskunft über Ihre von uns verarbeiteten Daten verlangen.

Berichtigung (Art. 16 DS-GVO): Sie können die Berichtigung unrichtiger oder Vervollständigung Ihrer Daten verlangen.

Löschung (Art. 17 DS-GVO): Sie können die Löschung Ihrer Daten verlangen, soweit nicht gesetzliche Pflichten entgegenstehen.

Einschränkung (Art. 18 DS-GVO): Sie können die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit (Art. 20 DS-GVO): Sie haben das Recht, die Daten in einem gängigen Format zu erhalten.

Widerruf von Einwilligungen (Art. 7 Abs. 3 DS-GVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Widerspruchsrecht (Art. 21 DS-GVO): Soweit wir Daten auf Basis eines berechtigten Interesses verarbeiten, können Sie der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.

Um Ihre Rechte auszuüben, wenden Sie sich bitte per E-Mail an: datenschutz@weed.de. Eine Auskunft über Ihre Daten können Sie auch direkt in Ihrem Profil anfordern: https://www.weed.de/my-weed/benutzer/sicherheits-einstellungen

6. Zuständige Aufsichtsbehörde

Sie haben zudem das Recht, sich bei Fragen oder Beschwerden an eine Datenschutz-Aufsichtsbehörde zu wenden. Die für uns zuständige Behörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Alt-Moabit 59-61

10555 Berlin

Webseite: https://www.datenschutz-berlin.de