Datenschutzerklärung

Gemäß Art. 13 & 14 DS-GVO · Stand: März 2026 · Version 3.0 · Gültig für: cerebra-labs.com

1. Name und Kontaktdaten des Verantwortlichen

Verantwortlicher i.S.d. Art. 4 Ziff. 7 DS-GVO:

Tabelle

Unternehmen	CEREBRA Laboratories AG
Handelsregister	HRB 6686 · Amtsgericht Weiden i.d.OPf.
Anschrift	Hetzenrichter Weg 15, e-House Weiden · 92637 Weiden i.d. Oberpfalz · Deutschland
Vorstand (CEO)	Prof. Dr. Dr. Qeis Kamran (Ph.D.), MBA-GM, MBA-PPM, EMBL-HSG, LL.M., M.Sc.
E-Mail	q.kamran@cerebra-labs.com
Website	https://cerebra-labs.com

2. Datenschutzbeauftragter

CEREBRA Laboratories AG ist nach aktuellem Stand gemäß § 38 BDSG i.V.m. Art. 37 DS-GVO nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und keine umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DS-GVO erfolgt.

Datenschutzanfragen richten Sie bitte an den Verantwortlichen unter der oben genannten Adresse mit dem Betreff „Datenschutz". Sobald die gesetzlichen Schwellenwerte überschritten werden oder klinische Gesundheitsdaten in großem Umfang verarbeitet werden, wird ein externer Datenschutzbeauftragter bestellt und diese Erklärung entsprechend aktualisiert.

3. Datenarten, Verarbeitungszwecke und betroffene Personen

3.1 Verarbeitete Datenkategorien (Art. 13 Abs. 1 lit. c DS-GVO)

Nutzungsdaten (Zugriffszeiten, besuchte Seiten, Klickpfade, Sitzungsdauer)
Bestandsdaten (Name, akademischer Titel, Organisation, Anschrift)
Kontaktdaten (E-Mail-Adresse, Telefonnummer)
Kommunikationsdaten (IP-Adresse, HTTP-Header, User-Agent, Referrer)
Vertragsdaten (bei Kooperations- und Lieferantenbeziehungen)
Inhaltsdaten (Formulareingaben, Blog-Kommentare, Newsletter-Präferenzen)
Technische Diagnosedaten (Server-Logfiles, Fehlerberichte)

3.2 Verarbeitungszwecke (Art. 13 Abs. 1 lit. c DS-GVO)

Bereitstellung, Betrieb und Sicherung der Website
Beantwortung von Kontakt- und Kooperationsanfragen
Versand des wissenschaftlichen Newsletters (CEREBRA Research Update)
Statistische Analyse und Optimierung des Webangebots
Erfüllung vertraglicher und vorvertraglicher Pflichten
Einhaltung gesetzlicher Aufbewahrungs- und Dokumentationspflichten
Abwehr von Angriffen auf die Serverinfrastruktur

3.3 Kategorien betroffener Personen (Art. 13 Abs. 1 lit. e DS-GVO)

Besucher und Nutzer der Website (nachfolgend „Nutzer")
Interessenten, potenzielle Kooperationspartner und Investoren
Bewerber
Kunden und Lieferanten (juristische und natürliche Personen)
Beschäftigte von Partnereinrichtungen

4. Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DS-GVO)

Art. 6 Abs. 1 lit. a DS-GVO – Einwilligung: Sofern Sie uns Ihre ausdrückliche Einwilligung erteilt haben (z. B. Newsletter-Abonnement, nicht-essentielle Cookies). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Art. 6 Abs. 1 lit. b DS-GVO – Vertragserfüllung: Wenn die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Art. 6 Abs. 1 lit. c DS-GVO – Rechtliche Verpflichtung: Bei gesetzlichen Aufbewahrungspflichten (§ 257 HGB: 6 Jahre; § 147 AO: 10 Jahre).
Art. 6 Abs. 1 lit. f DS-GVO – Berechtigtes Interesse: Für den sicheren Betrieb der Website, Beantwortung von Anfragen, Beweissicherung und statistische Auswertung, soweit Ihre Interessen oder Grundrechte nicht überwiegen.

5. Weitergabe an Dritte und Datenübermittlung in Drittstaaten

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur auf Basis der in Abschnitt 4 genannten Rechtsgrundlagen, insbesondere zur Vertragserfüllung, aufgrund gesetzlicher Verpflichtung oder gerichtlicher Anordnung.

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein (Art. 28 DS-GVO), die vertraglich gebunden sind und Daten ausschließlich nach unserer Weisung verarbeiten.

Bei Übermittlungen in Drittländer außerhalb des EWR erfolgt dies auf Basis von:

EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss EU 2021/914
Angemessenheitsbeschluss der EU-Kommission, sofern vorliegend (z. B. EU-US Data Privacy Framework, Beschluss 10.07.2023 für zertifizierte US-Unternehmen)
Ausdrücklicher Einwilligung gemäß Art. 49 Abs. 1 lit. a DS-GVO als letztes Mittel

Wir weisen darauf hin, dass in Drittstaaten ohne Angemessenheitsbeschluss ein Risiko des Behördenzugriffs bestehen kann, gegen das ggf. kein wirksamer Rechtsbehelf existiert.

6. Speicherdauer und Löschung

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Verarbeitungszweck entfällt, die

Einwilligung widerrufen wurde oder berechtigten Interessen widersprochen wurde – es sei denn,

gesetzliche Aufbewahrungspflichten stehen entgegen:

  
    Tabelle
    
        Kategorie
        Speicherfrist / Rechtsgrundlage
    
        Server-Logfiles
        90 Tage · Art. 6 Abs. 1 lit. f DS-GVO (Sicherheit)
    
        Kontaktanfragen
(allgemein)
        Bis zur abschließenden Klärung des Sachverhalts
    
        Kontaktanfragen (Vertrag)
        2 Jahre nach Vertragsende · § 195 BGB
    
        Geschäftsbriefe / E-Mails
        6 Jahre · § 257 Abs. 1 HGB
    
        Buchungsbelege /
Rechnungen
        10 Jahre · § 147 Abs. 1 AO
    
        Newsletter-Abonnement
        Bis zum Widerruf; danach anonymisierte Statistik
    
        Cookie-Einwilligungen
        3 Jahre · Art. 5 Abs. 2 DS-GVO (Rechenschaftspflicht)
    
        Blog-Kommentar-IPs
        90 Tage · Art. 6 Abs. 1 lit. f DS-GVO
    
        Bewerbungsunterlagen
        6 Monate nach Absage · § 15 AGG; länger mit Einwilligung

7. Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf unserer Website verarbeiten wir automatisch folgende technische Daten:

IP-Adresse (nach 7 Tagen auf /24-Subnetz-Ebene anonymisiert)
Datum, Uhrzeit und Zeitzone des Zugriffs
Browsertyp, -version und -sprache
Betriebssystem und Gerätetyp
Abgerufene URL und HTTP-Statuscode
Übertragene Datenmenge
Referrer-URL (zuvor besuchte Seite)
Internet-Service-Provider

Eine Zusammenführung mit anderen personenbezogenen Daten findet nicht statt. Logfiles werden 90 Tage gespeichert und danach automatisch gelöscht, es sei denn, sie werden zur Beweissicherung bei Sicherheitsvorfällen benötigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse: sicherer und stabiler Betrieb).

8. Cookies und Tracking-Technologien

8.1 Cookie-Kategorien

Technisch notwendige Cookies: Unverzichtbar für Grundfunktionen (Session, Sicherheits-Token). Keine Einwilligung erforderlich; Rechtsgrundlage Art. 6 Abs. 1 lit. f DS-GVO.
Statistik-Cookies (z. B. Google Analytics GA4): Nur nach Ihrer Einwilligung; Rechtsgrundlage Art. 6 Abs. 1 lit. a DS-GVO.
Marketing- / Drittanbieter-Cookies: Nur nach Ihrer Einwilligung; Rechtsgrundlage Art. 6 Abs. 1 lit. a DS-GVO.

Ihre Einwilligung in nicht-essentielle Cookies erteilen Sie beim ersten Websitebesuch über unser Consent-Management-Tool (Usercentrics). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 17).

8.2 Cookie-Einstellungen im Browser

Sie können die Speicherung von Cookies in Ihren Browser-Einstellungen einschränken oder verhindern.

Anleitungen:

Chrome: support.google.com/chrome/answer/95647
Firefox: support.mozilla.org/de/kb/cookies-und-website-daten-in-firefox-loschen
Safari: support.apple.com/de-at/guide/safari/sfri11471/mac
Microsoft Edge: support.microsoft.com/de-at/help/4027947

9. Consent Management Platform – Usercentrics

Wir nutzen die Consent Management Platform (CMP) von Usercentrics GmbH, Sendlinger Str. 7, 80331 München, zur rechtskonformen Einholung und Dokumentation von Einwilligungen (Art. 5 Abs. 2, Art. 7 DSGVO).

  
    Tabelle
    
        Datenkategorien Cookies
        Cookies, Besuchsdatum/-uhrzeit, Gerät, Browser, anonymisierte IP, Optin/
Opt-out-Status
    
        Zweck
        Nachweis und Verwaltung von Einwilligungen; Einhaltung gesetzlicher
Rechenschaftspflichten
    
        Rechtsgrundlage
        Art. 6 Abs. 1 lit. c DS-GVO (Rechenschaftspflicht) · lit. f (berechtigtes
Interesse)
    
        Speicherdauer
        3 Jahre (Verjährungsfrist § 195 BGB)
    
        Auftragsverarbeitung
        Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO abgeschlossen
    
        Datenschutzerklärung
        usercentrics.com/privacy-policy

10. Google Analytics 4

Wir setzen Google Analytics 4 (Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse des Nutzerverhaltens ein – ausschließlich nach Ihrer Einwilligung.

  
    Tabelle
    
        Datenkategorien
        Anonymisierte IP (letztes Oktet gekürzt), pseudonymisierte Client-ID,
Ereignisdaten
    
        Zweck
        Nutzungsanalyse, Reichweitenmessung, Optimierung der Website
    
        Rechtsgrundlage
        Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung über Usercentrics)
    
        Drittlandsübermittlung
        USA · EU-US Data Privacy Framework (Google LLC zertifiziert) · SCC
als Zusatzsicherung
    
        Speicherdauer
        Ereignisdaten: 14 Monate (kürzeste GA4-Einstellung, so konfiguriert)
    
        Auftragsverarbeitung
        AVV nach Art. 28 DS-GVO / Google Data Processing Addendum
abgeschlossen
    
        Konfiguration
        IP-Anonymisierung aktiv · Datenweitergabe an Google-Signale
deaktiviert · Werbe-Personalisierung deaktiviert
    
        Opt-Out
        Widerruf jederzeit über Usercentrics oder Browser-Plugin:
tools.google.com/dlpage/gaoptout

11. Google Maps

Wir binden Google Maps (Google Ireland Limited) zur Standortdarstellung ein – nur nach Ihrer Einwilligung über Usercentrics. Beim Laden der Karte wird eine Verbindung zu Google-Servern hergestellt; dabei können IP-Adresse und Standortdaten übertragen werden.

  
    Tabelle
    
        Rechtsgrundlage
        Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung)
    
        Drittlandsübermittlung
        USA · EU-US Data Privacy Framework / SCC
    
        Speicherdauer
        Cookies bis zu 6 Monate
    
        Weitere Informationen
        policies.google.com/privacy

12. Kontaktaufnahme

12.1 Kontaktformular und E-Mail

Wenn Sie uns per Kontaktformular oder E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage verarbeitet. Wir können Ihre Angaben in einem CRMSystem speichern.

  
    Tabelle
    
        Rechtsgrundlage
        Art. 6 Abs. 1 lit. b DS-GVO (Vertragsanbahnung) · lit. f (berechtigtes
Interesse an Anfragenbearbeitung)
    
        Speicherdauer
        Bis zur abschließenden Klärung; bei Vertragsbezug 2 Jahre nach
Vertragsende; handelsrechtlich 6 Jahre (§ 257 HGB)

12.2 Telefon

Bei telefonischer Kontaktaufnahme wird Ihre Rufnummer zur Gesprächsabwicklung und Rückrufm.glichkeit verarbeitet. Unberechtigte Werbeanrufe werden gesperrt und jährlich auf die Notwendigkeit der Sperrung überprüft. Sie können die Übermittlung Ihrer Rufnummer durch Anrufen mit unterdrückter Nummer verhindern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DS-GVO; bei Vertragszielen lit. b DS-GVO.

13. Newsletter (CEREBRA Research Update)

Unser Newsletter informiert über Forschungsergebnisse, Publikationen, Veranstaltungen und Unternehmensneuigkeiten. Das Abonnement erfolgt ausschließlich per Double-Opt-in-Verfahren gemäß §7 Abs. 2 Nr. 3 UWG:

5. Schritt 1 – Anmeldung: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail mit Aktivierungslink.

6. Schritt 2 – Bestätigung: Erst nach Klick auf den Bestätigungslink wird Ihre Adresse in den Verteiler aufgenommen.

7. Nicht bestätigt: Erfolgt kein Klick innerhalb von 24 Stunden, werden die Anmeldedaten gesperrt und nach 40 Tagen automatisch gelöscht.

  
    Tabelle
    
        Datenkategorien
        E-Mail-Adresse (Pflicht) · Name (freiwillig) · Anmelde-IP · Zeitstempel
des Double-Opt-ins · Öffnungs- und Klickverhalten (pseudonymisiert)
    
        Rechtsgrundlage
        Versand: Art. 6 Abs. 1 lit. a DS-GVO i.V.m. § 7 Abs. 2 Nr. 3 UWG ·
Protokollierung: Art. 6 Abs. 1 lit. f DS-GVO
    
        Tracking
        Web-Beacons / Tracking-Pixel (pseudonymisiert); keine Verknüpfung mit
anderen personenbezogenen Daten
    
        Speicherdauer
        Während des aktiven Abonnements; nach Abmeldung anonymisierte
Statistik
    
        Widerruf / Abmeldung
        Jederzeit über den Abmeldelink im Newsletter oder per E-Mail an
q.kamran@cerebra-labs.com
    
        Versanddienstleister
        Auf Anfrage; Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO liegt vor

14. Soziale Medien

14.1 Unternehmensprofile

CEREBRA Laboratories AG unterhält Profile auf sozialen Netzwerken. Für die Verarbeitung Ihrer Daten durch die Plattformbetreiber gelten deren Datenschutzerklärungen. Im Rahmen der Fanpage-Verantwortlichkeit (Art. 26 DS-GVO, EuGH C-210/16) sind wir bei Facebook/Instagram gemeinsam mit Meta Platforms Ireland Ltd. verantwortlich.

  
    Tabelle
    
        LinkedIn
        LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2 ·
linkedin.com/legal/privacy-policy
    
        X (Twitter)
        X Corp., 1355 Market Street, San Francisco, CA 94103, USA ·
twitter.com/de/privacy
    
        Facebook
        Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2 ·
facebook.com/about/privacy
    
        Instagram
        Meta Platforms Ireland Ltd. · help.instagram.com/519522125107875
    
        XING
        New Work SE, Am Strandkai 1, 20457 Hamburg ·
privacy.xing.com/de/datenschutzerklaerung

14.2 Social-Media-Plug-ins (Shariff-Zwei-Klick-Lösung)

Wir verwenden die datenschutzfreundliche Shariff-Lösung (heise.de / Heise Medien GmbH & Co. KG, Karl-Wiechert-Allee 10, 30625 Hannover). Soziale Plug-ins werden erst nach Ihrer aktiven Aktivierung geladen.Bis zu diesem Zeitpunkt werden keine personenbezogenen Daten an die jeweiligen Netzwerke übertragen.

Rechtsgrundlage bei Aktivierung: Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung). Widerruf durch Deaktivierung des Schalters jederzeit möglich.

15. Google Ads, AdSense, Remarketing

CEREBRA Laboratories AG setzt in der aktuellen Betriebsphase keine Google-Werbedienste (Google Ads, AdSense, Remarketing) ein. Sollten diese Dienste künftig aktiviert werden, wird diese Datenschutzerklärung vor deren Einsatz entsprechend ergänzt und das Consent-Management-Tool aktualisiert.

16. Automatisierte Entscheidungsfindung und Profiling

Im Rahmen des Website-Betriebs setzen wir keine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO ein, die rechtliche oder ähnlich bedeutsame Wirkung für Sie entfaltet.

Hinweis für künftige klinische Anwendungen: Die KI-gestützten diagnostischen Verfahren von CEREBRADX (multimodale Demenz-Früherkennung) unterliegen im klinischen Einsatz einer separaten Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DS-GVO sowie einer gesonderten Patienteninformation gemäß Art. 13/14 DS-GVO, MDR und den Anforderungen des EU AI Act (Hochrisiko-KI-System nach Anhang III).

17. Technische und organisatorische Maßnahmen (Art. 25, 32 DS-GVO)

Wir haben dem Stand der Technik entsprechende Sicherheitsmaßnahmen implementiert:

TLS/SSL-Verschlüsselung für alle Datenübertragungen (HTTPS)
Verschlüsselung von Datenbankzugängen und API-Schnittstellen
Zugriffskontrollen nach Need-to-know-Prinzip und Rollenkonzept
Regelmäßige Sicherheitsupdates und Patch-Management
Protokollierung sicherheitsrelevanter Ereignisse
Pseudonymisierung und Anonymisierung, wo technisch möglich
Regelmäßige .berprüfung und Fortschreibung der TOMs

18. Ihre Rechte als betroffene Person (Art. 15–21, 77 DS-GVO)

8. Auskunftsrecht (Art. 15 DS-GVO): Bestätigung und Auskunft über gespeicherte

personenbezogene Daten, Verarbeitungszwecke, Empfängerkategorien, geplante Speicherdauer

und Herkunft der Daten.

9. Recht auf Berichtigung (Art. 16 DS-GVO): Berichtigung unrichtiger oder Vervollständigung

unvollständiger Daten.

10. Recht auf Löschung (Art. 17 DS-GVO): Löschung Ihrer Daten, sofern keine vorrangigen

Aufbewahrungspflichten oder sonstigen Verarbeitungsgrundlagen bestehen.

11. Recht auf Einschränkung (Art. 18 DS-GVO): Einschränkung der Verarbeitung unter den

Voraussetzungen des Art. 18 Abs. 1 lit. a–d DS-GVO.

12. Recht auf Datenübertragbarkeit (Art. 20 DS-GVO): Erhalt Ihrer Daten in einem gängigen,

maschinenlesbaren Format oder Übermittlung an einen anderen Verantwortlichen.

13. Widerspruchsrecht (Art. 21 DS-GVO): Widerspruch gegen die auf Art. 6 Abs. 1 lit. f gestützte

Verarbeitung jederzeit möglich. Bei Direktwerbung besteht ein absolutes Widerspruchsrecht.

14. Widerrufsrecht (Art. 7 Abs. 3 DS-GVO): Jederzeit erteilte Einwilligung mit Wirkung für die Zukunft

widerrufen, ohne dass die Rechtmäßigkeit bisheriger Verarbeitung berührt wird.

15. Beschwerderecht (Art. 77 DS-GVO): Beschwerde bei der zuständigen Datenschutz-

Aufsichtsbehörde.

Zur Ausübung Ihrer Rechte wenden Sie sich an: q.kamran@cerebra-labs.com (Betreff: „Datenschutz –Betroffenenanfrage").

Zuständige Aufsichtsbehörde:

  
    Tabelle
    
        Behörde
        Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
    
        Anschrift
        Promenade 18 · 91522 Ansbach
    
        Website
        https://www.lda.bayern.de
    
        E-Mail
        poststelle@lda.bayern.de

19. Blog-Funktion und Kommentare

Sofern eine Blog-Funktion angeboten wird, können Sie öffentliche Kommentare hinterlassen. Die Angabe der E-Mail-Adresse ist Pflicht (wird nicht veröffentlicht); alternativ kann ein Pseudonym verwendet werden.

  
    Tabelle
    
        Datenkategorien
        Pseudonym/Name · E-Mail-Adresse · Kommentarinhalt · IP-Adresse ·
Zeitstempel
    
        Rechtsgrundlage
        Art. 6 Abs. 1 lit. b DS-GVO (Vertrag) · lit. f (berechtigtes Interesse an
Beweissicherung)
    
        Speicherdauer IP
        90 Tage
    
        E-Mail-Adresse
        Bis zur Löschung des Kommentars oder auf Antrag früher

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, die Verarbeitungspraktiken oder die eingesetzten Dienste ändern. Die jeweils aktuelle Version ist unter cerebra-labs.com/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail. Das Datum der letzten Aktualisierung ist am Kopf dieses Dokuments angegeben.