Sortiert: erst alle 🟢 (DSGVO-konform), dann 🟠 Bank & Zahlung, danach 🔴 Gesundheitsdaten.
| Datenkategorie | Typische Beispiele | Hosting außerhalb EU erlaubt? | Rechtliche Voraussetzung | Empfohlene Maßnahmen | Praxis-Bewertung |
|---|---|---|---|---|---|
| 🟢 Allgemeine Website-Daten | IP, Cookies, einfache Formulare, Newsletter-Opt-ins | Ja | DPA/AVV + SCC/DPF + Transparenz | Cookie-Banner, SSL, Drittlandhinweis | Konform bei korrekter Info |
| 🟢 Marketing & CRM | Name, E‑Mail, Tel., Chat-/Formulardaten (GHL) | Ja | DPA/AVV + SCC + Einwilligung/Zweck | Löschfristen, Rollen/Rechte, Protokolle | GHL/HubSpot etc. üblich |
| 🟢 Vertrags‑ & Buchungsdaten | Reservierungen, Rechnungsdaten | Ja | DPA + SCC; klare Zweckbindung | Datenminimierung, Protokollierung | DSGVO‑konform in Standard‑Systemen |
| 🟢 KI‑Sprachassistenz (Eva Voice) | Sprachaufzeichnung, Transkript | Ja (bei Einwilligung) | DPA + SCC + DSGVO‑Transparenz | Kurzinfo beim Start, Opt‑in, Löschfristen | DSGVO‑konform bei Zustimmung |
| 🟢 Statistische/Anonyme Daten | Aggregierte KPIs, anonymisierte Reports | Ja | Keine Personenbeziehbarkeit | Anonymisierung/Aggregation | Immer konform |
| 🟠 Bank‑ & Zahlungsdaten | IBAN, Kreditkarte, Transaktionen | Nur mit starkem Schutz | DPA + SCC + DSFA + Verschlüsselung | Tokenisierung, E2E‑Verschlüsselung | Nur geprüfte Payment‑Provider |
| 🔴 Gesundheitsdaten | Patienten‑/Behandlungsdaten | Nein (außer anonymisiert) | EU‑Hosting; Art. 9 DSGVO | Strenge Zugriffe, DSFA‑Pflicht | EU/DE‑Server nötig |
Verweise: GHL Data Processing Agreement · EU‑AI‑Act (Infos der EU)
Hinweis: Diese Matrix ist eine vereinfachte Orientierung. Maßgeblich sind die gesetzlichen Texte (DSGVO, AI‑Act) und deine konkreten Verträge/Technik (DPA, SCC, DSFA).