Glowloop („wir", „uns", „unser") verpflichtet sich, Ihre Privatsphäre zu schützen und Ihre personenbezogenen Daten mit Sorgfalt, Transparenz und Respekt zu behandeln. Diese Datenschutzrichtlinie erläutert, wie wir personenbezogene Daten erheben, verwenden, weitergeben und schützen, wenn Sie unsere Website glowloop.io besuchen, unsere Plattform nutzen oder auf andere Weise mit uns interagieren.
Wir sind in mehreren Rechtsordnungen tätig und halten die EU-Datenschutz-Grundverordnung (DSGVO), die britische DSGVO (UK GDPR), das australische Datenschutzgesetz 1988 mit seinen 13 Australian Privacy Principles (APPs) sowie anwendbare US-Bundes- und Landesgesetze zum Datenschutz ein. Wo die Anforderungen zwischen Rechtsordnungen abweichen, wenden wir den jeweils höchsten anwendbaren Standard an.
Kurzzusammenfassung: Wir erheben die Informationen, die Sie uns geben, um unsere Dienste zu erbringen. Wir verkaufen Ihre Daten nicht. Sie können jederzeit deren Löschung beantragen. Bei Fragen schreiben Sie uns an
hello@glowloop.io.
01 Wer wir sind
Der für Ihre personenbezogenen Daten Verantwortliche ist:
Glowloop
Betrieben von: Matthias Schulte
Eingetragene Adresse: Willi-Ricker-Weg 5, 48249 Dülmen, Deutschland
Email: hello@glowloop.io
Website: glowloop.io
Als in Deutschland registriertes Unternehmen unterliegen wir der DSGVO als primärem Datenschutzrahmen. Zusätzlich halten wir die UK GDPR für britische Kunden und das australische Datenschutzgesetz 1988 für australische Kunden ein.
02 Welche Daten wir erheben
2.1 Von Ihnen direkt bereitgestellte Daten
- Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer, Unternehmensname, Website-URL
- Onboarding-Informationen: Unternehmensdetails, Behandlungsarten, Preisgestaltung, bevorzugte Kommunikationskanäle, Buchungssysteminformationen, Markenpräferenzen — erhoben über unser Onboarding-Formular
- Kommunikation: Nachrichten, E-Mails oder Anfragen, die Sie uns senden
- Zahlungsinformationen: Abrechnungsdaten, die von Stripe verarbeitet werden (wir speichern keine Kartennummern direkt)
- Zugangsdaten: Login-E-Mail und Passwort für Ihr Glowloop-Dashboard
2.2 Automatisch erhobene Daten
- Nutzungsdaten: Besuchte Seiten, verwendete Funktionen, auf der Plattform verbrachte Zeit, im Dashboard durchgeführte Aktionen
- Geräte- und technische Daten: IP-Adresse, Browsertyp, Betriebssystem, Gerätetyp, verweisende URLs
- Cookie-Daten: Vollständige Details zur Cookie-Nutzung finden Sie in Abschnitt 13
2.3 Daten Ihrer Kunden (Endnutzerdaten)
Wenn Sie unsere Plattform zur Verwaltung Ihrer Klienten nutzen, übermitteln Sie personenbezogene Daten dieser Personen („Endnutzer"), einschließlich Namen, Telefonnummern, E-Mail-Adressen, Terminhistorie, Behandlungsnotizen und Kommunikationspräferenzen. Sie sind der Verantwortliche für diese Daten. Wir verarbeiten sie ausschließlich in Ihrem Auftrag als Auftragsverarbeiter. Weitere Informationen zur Verantwortlichen/Auftragsverarbeiter-Beziehung finden Sie in Abschnitt 5.
2.4 Daten, die wir nicht erheben
Wir erheben nicht absichtlich sensible personenbezogene Daten wie Gesundheitsakten, Finanzkontodaten, staatliche Identifikationsnummern oder biometrische Daten. Sie sollten solche Daten nicht an unsere Plattform übermitteln, sofern dies nicht durch Ihre Konfiguration erforderlich und mit uns schriftlich vereinbart ist.
03 Wie wir Ihre Daten verwenden
Wir verwenden Ihre personenbezogenen Daten für folgende Zwecke:
- Leistungserbringung: Einrichtung und Betrieb Ihres Glowloop-Kontos, Konfiguration Ihrer Automatisierungen und laufender Support
- Kommunikation: Zusendung von Onboarding-Materialien, Systembenachrichtigungen, Produkt-Updates und Support-Antworten
- Abrechnung und Zahlungen: Verarbeitung Ihrer Abonnementzahlungen über Stripe, Ausstellung von Rechnungen und Verwaltung Ihres Abonnements
- Plattformverbesserung: Analyse von Nutzungsmustern (in aggregierter, anonymisierter Form) zur Verbesserung unserer Dienste
- Rechtliche Compliance: Erfüllung unserer Pflichten aus anwendbaren Gesetzen, Reaktion auf rechtliche Anfragen und Durchsetzung unserer AGB
- Sicherheit: Erkennung, Untersuchung und Verhinderung von Betrug, unbefugtem Zugriff und Missbrauch
- Marketing (mit Einwilligung): Zusendung von Informationen über Glowloop-Funktionen oder -Updates, sofern Sie zugestimmt haben — Sie können jederzeit widersprechen
Wir verkaufen, vermieten oder handeln unter keinen Umständen mit Ihren personenbezogenen Daten zu Marketingzwecken Dritter.
04 Rechtsgrundlagen (EU/UK DSGVO)
Nach DSGVO und UK GDPR benötigen wir eine Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten. Wir stützen uns auf folgende Rechtsgrundlagen:
- Vertrag (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Erfüllung unseres Vertrags mit Ihnen — Erbringung des Glowloop-Dienstes, Zahlungsverarbeitung, Support
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verbesserung unserer Plattform, Betrugserkennung, Aufrechterhaltung der Plattformsicherheit, Versand dienstbezogener Kommunikation. Wir haben geprüft, dass unsere berechtigten Interessen Ihre Rechte nicht überwiegen
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung steuerlicher, buchhalterischer und regulatorischer Verpflichtungen
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Beim Versand von Marketingkommunikation oder der Nutzung nicht notwendiger Cookies. Sie können Ihre Einwilligung jederzeit widerrufen
Für australische Kunden verarbeiten wir personenbezogene Daten gemäß den Australian Privacy Principles — die vollständige APP-Konformitätserklärung finden Sie in Abschnitt 9.
05 Datenweitergabe & Dritte
5.1 Auftragsverarbeitungsverhältnis
Wenn Sie Glowloop zur Verwaltung Ihrer Klienten nutzen, sind Sie der Verantwortliche und wir der Auftragsverarbeiter, der nach Ihren Weisungen handelt. Wir verarbeiten die personenbezogenen Daten Ihrer Klienten nur im für die Erbringung der von Ihnen konfigurierten Dienste notwendigen Umfang. Auf Anfrage stellen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß DSGVO oder australischem Datenschutzgesetz bereit.
5.2 Unterauftragsverarbeiter und Drittdienste
Wir teilen personenbezogene Daten mit folgenden Kategorien von Drittanbietern, die uns bei der Leistungserbringung helfen. Alle Unterauftragsverarbeiter sind durch angemessene Datenschutzvereinbarungen gebunden:
- GoHighLevel: CRM, Pipeline-Management und Automatisierungsinfrastruktur
- Twilio: SMS- und Sprachnachrichtenversand
- Meta (WhatsApp / Instagram): Messaging-Kanalzustellung
- Stripe: Zahlungsverarbeitung (PCI-DSS-konform)
- n8n / Make.com: Workflow-Automatisierung und API-Integration
- Anthropic (Claude API): KI-gestützte Nachrichtengenerierung und Kunden-Gedächtnisfunktionen
- Jotform: Onboarding-Formularerfassung
- Netlify: Website-Hosting
- ImprovMX: E-Mail-Weiterleitung
- Google (Fonts, Kalender-Integrationen): UI-Darstellung und optionale Kalenderfunktionen
5.3 Gesetzliche Offenlegungen
Wir können personenbezogene Daten offenlegen, wenn dies gesetzlich, durch behördliche Anordnung oder zum Schutz unserer Rechte, unseres Eigentums oder der Sicherheit anderer erforderlich ist.
5.4 Unternehmensübertragungen
Wenn Glowloop an einer Fusion, Übernahme oder einem Verkauf von Vermögenswerten beteiligt ist, können Ihre personenbezogenen Daten als Teil dieser Transaktion übertragen werden. Wir informieren Sie per E-Mail und/oder durch einen auffälligen Hinweis auf unserer Website über Änderungen der Eigentümerschaft oder Nutzung Ihrer Daten.
06 Internationale Datenübermittlung
Als international tätiges Unternehmen können Ihre personenbezogenen Daten in Länder außerhalb Ihres Wohnsitzlandes übermittelt und dort verarbeitet werden, einschließlich Deutschland, USA und Australien. Wir stellen sicher, dass alle internationalen Übermittlungen dem anwendbaren Datenschutzrecht entsprechen.
EU / Germany (DSGVO)
Für die Übermittlung personenbezogener Daten aus dem EWR in Drittländer stützen wir uns auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCC) oder übermitteln in Länder mit Angemessenheitsbeschluss. Bei Übermittlungen in die USA stellen wir sicher, dass unsere Unterauftragsverarbeiter dem EU-US Data Privacy Framework angehören.
United Kingdom (UK GDPR)
Für Übermittlungen aus dem Vereinigten Königreich stützen wir uns auf UK International Data Transfer Agreements (IDTAs) oder den UK-Anhang zu den EU-SCCs. Wir übermitteln britische personenbezogene Daten nicht in Länder ohne angemessenes Schutzniveau, sofern keine geeigneten Garantien vorliegen.
Australia (APP 8)
Vor der Weitergabe personenbezogener Daten an ausländische Empfänger treffen wir angemessene Maßnahmen, um sicherzustellen, dass der ausländische Empfänger die Australian Privacy Principles einhält. Wo wir einen gleichwertigen Schutz nicht gewährleisten können, holen wir Ihre Einwilligung ein oder stützen uns auf eine andere anwendbare Ausnahme nach dem Privacy Act 1988.
07 Datenspeicherung
Wir speichern personenbezogene Daten so lange, wie es zur Erfüllung der Erhebungszwecke, zur Einhaltung gesetzlicher Pflichten, zur Beilegung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen erforderlich ist. Konkrete Aufbewahrungsfristen:
- Kontodaten: Aufbewahrt für die Dauer Ihres Abonnements zuzüglich 30 Tage nach Kündigung, danach dauerhaft gelöscht
- Finanzunterlagen: 10 Jahre aufbewahrt gemäß deutschem Handels- und Steuerrecht (§257 HGB, §147 AO)
- Kommunikationsaufzeichnungen: Bis zu 3 Jahre für Support- und Streitbeilegungszwecke aufbewahrt
- Marketing-Einwilligungsaufzeichnungen: Für den Einwilligungszeitraum zuzüglich 3 Jahre aufbewahrt
- Website-Analysedaten: In aggregierter, anonymisierter Form unbegrenzt aufbewahrt; Roh-IP-Daten innerhalb von 90 Tagen gelöscht
Sie können jederzeit die vorzeitige Löschung Ihrer personenbezogenen Daten beantragen, vorbehaltlich vorrangiger gesetzlicher Aufbewahrungspflichten. Ihre Rechte finden Sie in Abschnitt 10.
08 Sicherheit
Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Vernichtung, Veränderung oder Offenlegung. Diese Maßnahmen umfassen:
- Verschlüsselung von Daten bei der Übertragung (TLS/HTTPS) und im Ruhezustand
- Zugriffskontrollen, die den Datenzugriff auf autorisiertes Personal beschränken
- Einsatz seriöser, sicherheitszertifizierter Unterauftragsverarbeiter (einschließlich Stripe für Zahlungsdaten, PCI-DSS-konform)
- Regelmäßige Überprüfung unserer Sicherheitspraktiken mit der Weiterentwicklung der Plattform
Keine Übertragungsmethode im Internet oder elektronische Speicherung ist 100 % sicher. Wir bemühen uns um wirtschaftlich akzeptable Mittel zum Schutz Ihrer Daten, können jedoch keine absolute Sicherheit garantieren. Im Fall einer Datenschutzverletzung, die Ihre Rechte und Freiheiten beeinträchtigt, benachrichtigen wir Sie und die zuständige Aufsichtsbehörde gemäß anwendbarem Recht.
09 Australische Datenschutzgrundsätze (APPs)
Für Kunden und Endnutzer in Australien halten wir die 13 Australian Privacy Principles nach dem Privacy Act 1988 (Cth) in seiner aktuellen Fassung ein. Nachfolgend unsere Konformitätserklärung für jeden APP:
APP 1
Open & Transparent Management
We maintain this Privacy Policy and make it freely available. We handle personal information in accordance with the APPs.
APP 2
Anonymity & Pseudonymity
Where practicable, individuals may interact with us anonymously or using a pseudonym. However, a real identity is required to use our paid services.
APP 3
Collection of Solicited Personal Information
We only collect personal information that is reasonably necessary for our functions. We collect information directly from you where possible.
APP 4
Unsolicited Personal Information
If we receive personal information we did not solicit and could not have collected under APP 3, we will destroy or de-identify it as soon as practicable.
APP 5
Notification of Collection
We notify individuals of the purposes for collecting their personal information, who may access it, and their rights — via this Privacy Policy and at the point of collection.
APP 6
Use or Disclosure of Personal Information
We only use or disclose personal information for the primary purpose of collection, or for a secondary purpose that is directly related and within reasonable expectations.
APP 7
Direct Marketing
We only send direct marketing communications with your consent. Every marketing message includes a clear and functional unsubscribe mechanism. We honor all opt-out requests promptly.
APP 8
Cross-border Disclosure
Before disclosing personal information to overseas recipients, we take reasonable steps to ensure equivalent privacy protection. See Section 6 for details.
APP 9
Government Related Identifiers
We do not collect, use, or disclose government-related identifiers (such as Tax File Numbers or Medicare numbers) unless required by law.
APP 10
Quality of Personal Information
We take reasonable steps to ensure that personal information we collect, use, or disclose is accurate, up-to-date, and complete. You may update your information at any time.
APP 11
Security of Personal Information
We take reasonable steps to protect personal information from misuse, interference, loss, and unauthorized access. See Section 8 for our security measures.
APP 12
Access to Personal Information
You have the right to access personal information we hold about you. We will respond to access requests within 30 days. See Section 11 for how to make a request.
APP 13
Correction of Personal Information
If you believe personal information we hold is inaccurate, out of date, or misleading, you may request correction. We will respond within 30 days.
Australische Datenschutzbeschwerden
Wenn Sie in Australien ansässig sind und eine Beschwerde über den Umgang mit Ihren personenbezogenen Daten haben, kontaktieren Sie uns bitte zuerst unter hello@glowloop.io. Wir antworten innerhalb von 30 Tagen. Bei Unzufriedenheit können Sie eine Beschwerde beim Office of the Australian Information Commissioner (OAIC) unter oaic.gov.au einreichen.
10 Ihre Rechte — EU & UK (DSGVO / UK GDPR)
Wenn Sie sich im Europäischen Wirtschaftsraum oder im Vereinigten Königreich befinden, haben Sie folgende Rechte gemäß DSGVO oder UK GDPR:
- Auskunftsrecht (Art. 15 DSGVO): Anforderung einer Kopie der von uns über Sie gespeicherten personenbezogenen Daten
- Berichtigungsrecht (Art. 16 DSGVO): Anforderung der Berichtigung unrichtiger oder unvollständiger Daten
- Löschungsrecht / „Recht auf Vergessenwerden" (Art. 17 DSGVO): Anforderung der Löschung Ihrer personenbezogenen Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Anforderung der Einschränkung der Verarbeitung Ihrer Daten unter bestimmten Umständen
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format und Übertragung an einen anderen Verantwortlichen
- Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen oder für Direktmarketingzwecke
- Widerrufsrecht: Wo die Verarbeitung auf Einwilligung basiert, können Sie diese jederzeit widerrufen, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu beeinträchtigen
- Recht auf Nichtunterwerfung unter automatisierte Entscheidungsfindung: Wir treffen keine ausschließlich automatisierten Entscheidungen mit erheblichen rechtlichen Auswirkungen auf Sie
Zur Ausübung dieser Rechte kontaktieren Sie uns unter hello@glowloop.io. Wir antworten innerhalb von 30 Tagen (bei komplexen Anfragen verlängerbar auf 90 Tage). Wir können Sie um Identitätsbestätigung bitten, bevor wir tätig werden.
Wenn Sie in Deutschland ansässig sind, haben Sie das Recht, sich bei Ihrer zuständigen Datenschutzbehörde zu beschweren. Im Vereinigten Königreich können Sie sich beim Information Commissioner's Office (ICO) unter ico.org.uk beschweren.
11 Ihre Rechte — Australien
Wenn Sie in Australien ansässig sind, haben Sie nach dem Privacy Act 1988 und den Australian Privacy Principles folgende Rechte:
- Auskunft: Anforderung des Zugangs zu den von uns gespeicherten personenbezogenen Daten (APP 12)
- Berichtigung: Anforderung der Berichtigung unrichtiger, veralteter oder irreführender Daten (APP 13)
- Direktmarketing-Abmeldung: Abmeldung von Direktmarketingkommunikationen jederzeit (APP 7)
- Beschwerde: Beschwerde bei uns oder beim OAIC einreichen, wenn Sie der Meinung sind, dass wir die APPs verletzt haben
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@glowloop.io. Wir antworten innerhalb von 30 Tagen. Bei Unzufriedenheit können Sie den OAIC unter oaic.gov.au oder unter 1300 363 992 kontaktieren.
12 Ihre Rechte — Vereinigte Staaten
Die USA haben kein einheitliches Bundesdatenschutzgesetz. Stattdessen gilt ein wachsendes Flickwerk von Landesdatenschutzgesetzen. Stand 2026 haben über 20 Bundesstaaten umfassende Datenschutzgesetze verabschiedet. Wir halten alle anwendbaren US-Bundes- und Landesgesetze ein. Wenn Ihr Bundesstaat unten nicht aufgeführt ist, haben Sie möglicherweise dennoch Rechte — kontaktieren Sie uns unter hello@glowloop.io.
12.1 Bundesgesetze — Alle US-Einwohner
CAN-SPAM Act
All marketing emails we send include: a clear identification of us as the sender, a physical or electronic mailing address, a clear subject line, and a functioning unsubscribe link. We honor all unsubscribe requests within 10 business days.
TCPA (Telephone Consumer Protection Act)
We obtain prior express written consent before sending marketing SMS messages. Every marketing SMS includes an opt-out instruction (e.g., "Reply STOP to unsubscribe"). We honor all STOP requests immediately. We do not send automated SMS to numbers on the National Do Not Call Registry without consent. TCPA violations carry statutory penalties of $500–$1,500 per message — we take compliance seriously.
COPPA (Children's Online Privacy Protection Act)
Our services are not directed at children under 13. We do not knowingly collect personal information from children under 13. If we learn we have inadvertently done so, we will delete it immediately.
12.2 Bundesstaatliche Datenschutzgesetze
Die folgenden Landesgesetze gewähren Einwohnern spezifische Datenschutzrechte. Wir achten diese Rechte unabhängig von Ihrem Wohnstaat und wenden den höchsten anwendbaren Standard für alle Nutzer an.
California — CCPA / CPRA (California Consumer Privacy Act / California Privacy Rights Act)
California residents have the most comprehensive state privacy rights in the US. Your rights include:
- Right to know: What personal information we collect, the purposes for which we use it, and with whom we share it
- Right to delete: Request deletion of personal information we hold about you, subject to certain exceptions
- Right to correct: Request correction of inaccurate personal information
- Right to opt out of sale/sharing: We do not sell or share your personal information for cross-context behavioral advertising
- Right to limit use of sensitive personal information: You may direct us to use sensitive personal information only for necessary purposes
- Right to non-discrimination: We will not discriminate against you for exercising your CCPA rights
- Right to data portability: Receive your personal information in a usable format
- Shine the Light: California residents may request information about disclosures of personal information to third parties for their direct marketing purposes. We do not make such disclosures.
To submit a CCPA request, contact us at hello@glowloop.io. We will respond within 45 days (extendable by a further 45 days where reasonably necessary). We do not charge a fee for requests unless they are manifestly unfounded or excessive. Enforcement: California Privacy Protection Agency (CPPA) — cppa.ca.gov. Penalties: up to $7,500 per intentional violation.
Virginia — VCDPA (Virginia Consumer Data Protection Act) · Effective January 1, 2023
- Right to access, correct, delete, and obtain a copy of personal data
- Right to opt out of processing for targeted advertising, sale of personal data, and profiling in furtherance of decisions producing legal effects
- Right to appeal a refusal to act on a privacy request
Colorado — CPA (Colorado Privacy Act) · Effective July 1, 2023
- Right to opt out of targeted advertising, sale of personal data, and profiling
- Right to access, correct, delete, and obtain a portable copy of personal data
- Right to appeal
- Universal Opt-Out Mechanisms (UOOMs) honored — including Global Privacy Control (GPC) signals
Connecticut — CTDPA (Connecticut Data Privacy Act) · Effective July 1, 2023
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to appeal
- We honor Global Privacy Control (GPC) signals from Connecticut residents
Texas — TDPSA (Texas Data Privacy and Security Act) · Effective July 1, 2024
- Rights to access, correct, delete, and obtain a copy of personal data
- Right to opt out of the sale of personal data and targeted advertising
- Right to appeal
- Note: Texas law applies to entities processing data of Texas residents without standard revenue thresholds
Oregon — OCPA (Oregon Consumer Privacy Act) · Effective July 1, 2024
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Broad protections for sensitive data including health data
Montana — MTCDPA (Montana Consumer Data Privacy Act) · Effective October 1, 2024
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to appeal
Utah — UCPA (Utah Consumer Privacy Act) · Effective December 31, 2023
- Right to access and delete personal data
- Right to opt out of the sale of personal data and targeted advertising
- Right to obtain a portable copy of personal data
Iowa — ICDPA (Iowa Consumer Data Protection Act) · Effective January 1, 2025
- Right to access and delete personal data
- Right to opt out of the sale of personal data and targeted advertising
- Right to data portability
Delaware — DPDPA (Delaware Personal Data Privacy Act) · Effective January 1, 2025
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Applies to minors under 18 (not 16 as in other states)
New Hampshire — NHPA · Effective January 1, 2025
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to appeal
New Jersey — NJDPA · Effective January 15, 2025
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to appeal
Tennessee — TIPA (Tennessee Information Protection Act) · Effective July 1, 2025
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to appeal
Minnesota — MCDPA · Effective July 31, 2025
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to contest automated decision-making — including explanations of profiling results
Maryland — MODPA (Maryland Online Data Privacy Act) · Effective October 1, 2025
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Stricter "strictly necessary" standard for sensitive data processing
- Geofencing restrictions near sensitive locations
Indiana — INCDPA · Effective January 1, 2026
- Rights to access, correct, delete, and port personal data
- Right to opt out of targeted advertising, sale, and profiling
- Right to appeal
12.3 Bundesstaaten ohne umfassendes Datenschutzgesetz (Stand April 2026)
Residents of states not listed above — including New York, Florida, Illinois, Washington, and others — may still have rights under sector-specific laws (e.g., Illinois BIPA for biometric data, Washington My Health My Data Act for health data). We apply our general privacy standards to all US residents regardless of state law status. Contact us at hello@glowloop.io to submit any privacy request.
12.4 Ausübung Ihrer US-Datenschutzrechte
Zur Ausübung der oben genannten Rechte:
- E-Mail an hello@glowloop.io mit dem Betreff „Datenschutzanfrage — [Ihr Bundesstaat]"
- Wir bestätigen Ihre Anfrage innerhalb von 10 Werktagen
- Wir antworten inhaltlich innerhalb von 45 Tagen (wo gesetzlich zulässig verlängerbar auf 90 Tage)
- Wir können Ihre Identität vor der Bearbeitung Ihrer Anfrage überprüfen
- Wir diskriminieren Sie nicht wegen der Ausübung Ihrer Datenschutzrechte
12.5 E-Mail- und SMS-Abmeldung
Sie können sich jederzeit von Marketing-E-Mails abmelden, indem Sie auf „Abmelden" in einer E-Mail klicken. Von SMS können Sie sich abmelden, indem Sie STOP auf eine SMS antworten. Wir bearbeiten alle Abmeldeanfragen sofort (SMS) oder innerhalb von 10 Werktagen (E-Mail).
12.6 Gesundheitsdaten — HIPAA & Washington My Health My Data Act
HIPAA (Health Insurance Portability and Accountability Act)
Glowloop is a business-to-business SaaS platform. We are not a Covered Entity or Business Associate under HIPAA. We do not store, process, or transmit Protected Health Information (PHI) as defined by HIPAA. Our platform is designed for business operations such as scheduling, client communication, and retention workflows — not for clinical or medical record management. If your use of our platform involves PHI, you are solely responsible for ensuring your own HIPAA compliance. We do not provide a Business Associate Agreement (BAA) unless separately negotiated and executed in writing.
Washington — My Health My Data Act (MHMD) · Effective March 31, 2024
Washington's My Health My Data Act is one of the broadest health data privacy laws in the US — it applies beyond HIPAA and covers any entity that collects consumer health data from Washington residents, regardless of size or revenue threshold. Under this law:
- We do not collect, use, or sell consumer health data as defined by Washington MHMD
- Washington residents have the right to access, delete, and withdraw consent for any health data we may hold
- We do not use geofencing within 2,000 feet of a healthcare facility to collect health data
- If you believe we hold any health data about you, contact us at hello@glowloop.io
12.7 Biometrische Daten — Illinois BIPA
Illinois — BIPA (Biometric Information Privacy Act)
Illinois BIPA is one of the strictest biometric privacy laws globally, with a private right of action and statutory damages of $1,000–$5,000 per violation. We explicitly state: Glowloop does not collect, store, use, or transmit biometric data of any kind — including fingerprints, facial geometry, voiceprints, retina or iris scans, or any other biometric identifier or information. No biometric data is required to use our platform. If this ever changes, we will update this policy and obtain express written consent from all affected individuals before collection.
Washington — My Health My Data Act (MHMDA) · Effective March 31, 2024
Washington's My Health My Data Act is one of the broadest health data privacy laws in the US — it applies to any entity that collects health data from Washington residents, regardless of whether it is covered by HIPAA. "Consumer health data" is broadly defined to include any data that identifies a consumer's attempt to obtain health services, health conditions, and related behavioral data.
- Right to access health data we hold about you
- Right to withdraw consent for collection and sharing of health data
- Right to delete health data
- Right to know with whom health data has been shared
As a platform serving med spas, we may indirectly process health-adjacent data (such as treatment history). We do not sell or share this data. Washington residents may contact us at hello@glowloop.io to exercise any MHMDA rights.
12.6 HIPAA Notice
Important: Glowloop is not a HIPAA-covered entity and does not represent that its platform is HIPAA-compliant. If your med spa is subject to HIPAA (e.g., you qualify as a covered entity or business associate under US law), you are solely responsible for ensuring your use of Glowloop complies with HIPAA requirements. We do not offer a Business Associate Agreement (BAA) as a standard feature. If you require a BAA, please contact us at
hello@glowloop.io to discuss your specific situation. We recommend consulting qualified healthcare compliance counsel to determine your HIPAA obligations before using any third-party platform to store or process protected health information (PHI).
12.7 Biometrische Daten — Illinois BIPA
Glowloop does not collect, store, or process biometric identifiers or biometric information of any kind — including fingerprints, facial geometry, voiceprints, iris scans, or any other biometric data as defined under the Illinois Biometric Information Privacy Act (BIPA) or similar state laws. If you believe biometric data has been inadvertently collected through our platform, please contact us immediately at hello@glowloop.io.
Unser Versprechen: Wir wenden den höchsten anwendbaren Datenschutzstandard für alle US-Nutzer an — nicht nur das von Ihrem Bundesstaat geforderte Minimum. Bei Datenschutzbedenken nehmen wir diese ernst, unabhängig von Ihrem Wohnort.
13 Cookies & Tracking
Unsere Website (glowloop.io) verwendet Cookies und ähnliche Tracking-Technologien. Wir nutzen:
- Notwendige Cookies: Für den Betrieb der Website erforderlich. Können nicht deaktiviert werden.
- Analyse-Cookies: Helfen uns zu verstehen, wie Besucher unsere Website nutzen. Wir verwenden nur anonymisierte, aggregierte Daten. Diese erfordern Ihre Einwilligung in der EU/UK.
- Funktionale Cookies: Speichern Ihre Einstellungen und Präferenzen.
Wir verwenden keine Werbe- oder Tracking-Cookies für Drittanbieter-Werbezwecke. Sie können Cookie-Einstellungen über Ihren Browser verwalten. EU- und UK-Besucher erhalten für nicht notwendige Cookies ein Einwilligungsbanner.
In unsere Website eingebettete Drittanbieterdienste (wie Google Fonts) können eigene Cookies setzen. Wir haben keine Kontrolle über diese Cookies und empfehlen, die Datenschutzrichtlinien dieser Anbieter zu prüfen.
14 Kinderdatenschutz
Unsere Dienste richten sich an Unternehmer und sind nicht für Personen unter 18 Jahren bestimmt. Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 18 Jahren. Sollten wir feststellen, dass wir versehentlich Daten einer minderjährigen Person erhoben haben, löschen wir diese umgehend. Wenn Sie glauben, dass wir Daten einer minderjährigen Person erhoben haben, kontaktieren Sie uns bitte unter hello@glowloop.io.
15 Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologie, gesetzlichen Anforderungen oder andere Faktoren widerzuspiegeln. Bei wesentlichen Änderungen benachrichtigen wir Sie per E-Mail und durch Veröffentlichung der aktualisierten Richtlinie auf dieser Seite mit neuem Gültigkeitsdatum. Wir empfehlen, diese Richtlinie regelmäßig zu überprüfen.
Die weitere Nutzung unserer Dienste nach dem Gültigkeitsdatum einer aktualisierten Datenschutzrichtlinie gilt als Akzeptanz der Änderungen.
16 Kontakt
Bei Fragen, Bedenken oder Anfragen zu dieser Datenschutzrichtlinie oder unseren Datenpraktiken kontaktieren Sie uns bitte:
Glowloop
z.Hd.: Datenschutz
Email: hello@glowloop.io
Website: glowloop.io
Address: Willi-Ricker-Weg 5, 48249 Dülmen, Germany
Wir streben an, alle datenschutzbezogenen Anfragen innerhalb von 30 Tagen zu beantworten. Bei dringenden Angelegenheiten im Zusammenhang mit einem potenziellen Datenschutzverstoß kennzeichnen Sie bitte Ihre E-Mail als dringend.
Aufsichtsbehörden:
Germany: BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) — bfdi.bund.de
United Kingdom: ICO (Information Commissioner's Office) — ico.org.uk
Australia: OAIC (Office of the Australian Information Commissioner) — oaic.gov.au
Diese Datenschutzrichtlinie wurde zuletzt am 4. April 2026 überprüft und aktualisiert. Dieses Dokument dient nur zur Information. Obwohl wir größte Sorgfalt auf Richtigkeit und Konformität verwendet haben, stellt es keine Rechtsberatung dar. Wir empfehlen, einen qualifizierten Rechtsanwalt in Ihrer Rechtsordnung zu konsultieren.