Stand: Juni 2025
Wir freuen uns über Ihren Besuch auf unserer Website grz-digital.de. Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie darüber, welche personenbezogenen Daten wir im Rahmen der Nutzung unserer Website und der angebotenen Funktionen verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies erfolgt. Diese Datenschutzerklärung gilt für die Website grz-digital.de und alle damit verbundenen Online-Angebote. Sie berücksichtigt die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) sowie der aktuellen Empfehlungen der Datenschutzkonferenz (DSK) in Deutschland.
Verantwortlicher für die Datenverarbeitung:
GRZ Digital GbR (nachfolgend „wir“ oder „uns“)
Im Baumgarten 28, 36179 Bebra
info@grz-digital.de
(Weitere Informationen finden Sie in unserem Impressum .)
Wir sind als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung Ihrer personenbezogenen Daten auf dieser Website zuständig. Bei Fragen zum Datenschutz können Sie uns unter den oben genannten Kontaktdaten erreichen.
Hinweis: Da unser Unternehmen nach geltendem Recht nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, haben wir keinen Datenschutzbeauftragten benannt. Bei Anliegen zum Datenschutz wenden Sie sich bitte direkt an uns als Verantwortlichen.
Als Nutzer unseres Webangebots haben Sie nach der DSGVO verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten. Sie können uns unter den oben angegebenen Kontaktdaten jederzeit formlos kontaktieren, um diese Rechte auszuüben. Im Einzelnen haben Sie folgende Rechte:
Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche Daten wir über Sie gespeichert haben und wie diese verarbeitet werden.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige oder unvollständige personenbezogene Daten berichtigen zu lassen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit die Verarbeitung nicht mehr erforderlich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung Ihrer Daten verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder – soweit technisch machbar – deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten, die wir auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) vornehmen, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen. Insbesondere können Sie jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten zu Zwecken der Direktwerbung einlegen; in diesem Fall werden wir Ihre Daten nicht mehr für diese Zwecke nutzen.
Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Wenn Sie uns eine Einwilligung zur Datenverarbeitung erteilt haben (z. B. für Cookies oder Kontaktaufnahme), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt hiervon unberührt.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Datenverarbeitung durch uns zu beschweren. Zuständig ist in der Regel die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes. Für uns ist dies z. B. die Landesbeauftragte für den Datenschutz Brandenburg, Stahnsdorfer Damm 77, 14532 Kleinmachnow, E-Mail: poststelle@lda.brandenburg.de.
Wir verarbeiten personenbezogene Daten der Nutzer nur, wenn hierfür eine gesetzliche Rechtsgrundlage besteht. Im Rahmen dieser Datenschutzerklärung informieren wir Sie jeweils bei den einzelnen Verarbeitungsvorgängen über die einschlägige Rechtsgrundlage. Grundsätzlich kommen – je nach Art der Verarbeitung – insbesondere folgende Grundlagen in Betracht:
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Wenn Sie uns eine ausdrückliche Einwilligung erteilen, bestimmte Daten zu bestimmten Zwecken zu verarbeiten (z. B. zum Tracking via Cookies oder zur Kontaktaufnahme), ist diese Einwilligung die Rechtsgrundlage der Verarbeitung.
Vertrag oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung Ihrer Daten zur Erfüllung eines Vertrags mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin erforderlich ist (z. B. Bearbeitung einer Anfrage über unser Kontaktformular zur Anbahnung eines Vertrags), stützen wir die Verarbeitung hierauf.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): In manchen Fällen sind wir gesetzlich verpflichtet, bestimmte Daten zu verarbeiten (z. B. Aufbewahrung von geschäftlichen Unterlagen gemäß Handels- oder Steuerrecht).
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Soweit erforderlich, verarbeiten wir Daten auf Basis einer Interessensabwägung, d. h. unseres berechtigten Interesses. Dies erfolgt nur, wenn Ihre Grundrechte und -freiheiten nicht überwiegen. Beispiele dafür sind die Gewährleistung der IT-Sicherheit und des Betriebs unserer Website, die Verwendung bestimmter technischer Tools zur effizienteren Verwaltung der Website oder die Kommunikation mit Bestandskunden zu Service-Updates. Unser berechtigtes Interesse wird jeweils im Kontext erläutert.
Keine automatisierten Entscheidungen im Einzelfall / kein Profiling: Wir nutzen keine Ihrer personenbezogenen Daten für automatisierte Entscheidungen im Einzelfall im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlich erheblicher Weise beeinträchtigen. Sollten wir in Zukunft Profiling oder automatisierte Entscheidungsfindung einsetzen, werden wir Sie hierüber vorab informieren und die erforderlichen Einwilligungen einholen.
Unsere Website wird bei IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) als Hosting-Provider betrieben. IONOS stellt die Server-Infrastruktur (Rechenzentrum) zur Verfügung, auf der unsere Website und die damit verbundenen Daten gespeichert sind. Mit IONOS haben wir einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen (e-recht24.de), um sicherzustellen, dass Ihre personenbezogenen Daten dort in Einklang mit den Datenschutzvorschriften verarbeitet werden. IONOS verarbeitet die Daten unserer Website-Besucher nur nach unserer Weisung und für die in dieser Erklärung genannten Zwecke.
Verarbeitete Daten: Beim Besuch unserer Website übermittelt Ihr Browser automatisch Nutzungsdaten, die von IONOS in sogenannten Server-Logfiles temporär gespeichert werden. Zu diesen Log-Daten gehören z. B.:
IP-Adresse des anfragenden Geräts,
Datum und Uhrzeit des Zugriffs,
angeforderte Seite/Datei (URL und Pfad),
HTTP-Statuscode der Server-Antwort,
ggf. Datenmenge (Bytes) und Ladezeit,
Referrer-URL (Webseite, von der aus Sie zu uns gelangt sind, sofern übertragen),
Browsertyp/ -version und Betriebssystem des zugreifenden Geräts (User-Agent).
Nach Angaben von IONOS können in den Logs z. B. auch anfragende Domainnamen und anonymisierte IP-Adressen enthalten seine-recht24.de. Diese Log-Daten verwenden wir ausschließlich für technische Überwachungs- und Sicherheitszwecke, insbesondere um Angriffsversuche zu erkennen und abzuwehren, die Stabilität und Integrität der Server zu gewährleisten sowie die Auslastung zu analysieren. Eine Zusammenführung dieser Logdaten mit anderen Datenquellen wird von uns nicht vorgenommen, und wir ziehen aus den Logfiles keine Rückschlüsse auf Ihre Person. IP-Adressen werden bei IONOS zudem in der Regel nur verkürzt (anonymisiert) gespeichert; vollständige IP-Adressen werden höchstens im Ereignis eines sicherheitsrelevanten Vorfalls kurzzeitig vorgehalten.
Speicherdauer der Logfiles: Die Server-Logdaten werden von uns nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist. Sofern keine sicherheitsrelevanten Auffälligkeiten festgestellt werden, werden die Logfiles in der Regel nach spätestens [7 Tagen] automatisch gelöscht oder anonymisiert. Sollten bestimmte Daten zu Beweiszwecken länger benötigt werden (z. B. zur Aufklärung eines Cyberangriffs), erfolgt die Löschung erst nach endgültiger Klärung des Vorfalls.
Rechtsgrundlage: Die Verarbeitung dieser Zugriffsdaten erfolgt auf Grundlage unseres berechtigten Interesses an der technischen Bereitstellung und Sicherheit unserer Webdienste (Art. 6 Abs. 1 lit. f DSGVO). Das Führen von Logfiles ist für den sicheren Betrieb der Website notwendig. Dies steht im Einklang mit den Vorgaben der Datenschutzaufsichtsbehörden, solange die Daten sparsam verwendet und zeitnah gelöscht werden.
Wir haben bei der Wahl der Hosting-Option darauf geachtet, dass die Server in Deutschland bzw. der EU stehen, damit Ihre Daten dem strengen EU-Datenschutzniveau unterliegen (e-recht24.de). IONOS betreibt Rechenzentren u. a. in Deutschland (z. B. Frankfurt, Berlin) und wir nutzen vorzugsweise diese Standorte. Alle Daten auf unseren Webservern (z. B. Inhalte der Website, Daten aus Formularen) werden gemäß dem Stand der Technik geschützt (u. a. durch Firewalls, Verschlüsselung und regelmäßige Backups). IONOS setzt seinerseits technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, unbefugtem Zugriff etc. zu schützen. Unsere Website ist zudem über eine SSL/TLS-Verschlüsselung (erkennbar an „https://“ in der Adresszeile) gesichert, sodass Daten, die Sie an uns übermitteln, unterwegs verschlüsselt sind.
Unsere Website verwendet Cookies, um bestimmte Funktionen bereitzustellen und Ihr Nutzererlebnis zu verbessern. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir unterscheiden dabei zwischen:
Technisch notwendigen Cookies: Diese Cookies sind erforderlich, damit die Website und ihre Kernfunktionen funktionieren (z. B. Session-IDs, Einstellungen im Warenkorb oder zum Login). Solche Cookies setzen wir ohne vorherige Einwilligung, da sie gemäß § 25 Abs. 2 TTDSG von der Einwilligungspflicht ausgenommen sind (unbedingt erforderliche Speicherung).
Präferenz- und Statistik-Cookies (optional): Diese Cookies helfen uns, die Nutzung der Website zu analysieren und zu verstehen (z. B. Google Analytics, siehe unten), oder speichern Ihre freiwilligen Einstellungen. Sie werden nur gesetzt, wenn Sie uns hierfür Ihre Einwilligung erteilen.
Marketing- und Tracking-Cookies (optional): Hierbei handelt es sich um Cookies, die zu Werbezwecken oder zur Nachverfolgung Ihres Nutzerverhaltens über Websites hinweg dienen (z. B. Google Ads Conversion-Cookies oder ggf. Social-Media-Tracking). Auch diese werden nur bei Vorliegen Ihrer Einwilligung verwendet.
Beim ersten Besuch unserer Website (und ggf. in regelmäßigen Abständen) fragen wir Sie über ein Cookie-Banner nach Ihrer Zustimmung zur Nutzung nicht notwendiger Cookies. Sie können dort auswählen, welchen Kategorien Sie zustimmen möchten. Erst nach Ihrer aktiven Auswahl werden entsprechende Cookies gesetzt (sog. Opt-In-Verfahren).
Cookie-Einwilligungs-Tool (Complianz): Wir nutzen das WordPress-Plugin „Complianz | GDPR/CCPA Cookie Consent“ der Complianz B.V. (Niederlande) als Consent-Management-Plattform. Dieses Tool blendet das Cookie-Banner ein und protokolliert Ihre Auswahl. Dabei wird in Ihrem Browser ein Cookie gespeichert (z. B. complianz_consent), das Ihre Präferenzen (Einwilligung oder Ablehnung bestimmter Cookie-Kategorien) festhält. Dieser Cookie ist technisch notwendig, um Ihre Entscheidung zu speichern, und hat eine begrenzte Laufzeit (typischerweise ca. 1 Jahr). Das Consent-Tool erhebt selbst keine personenbezogenen Daten außer den Einwilligungsinformationen. Die Datenverarbeitung durch Complianz erfolgt auf unseren Servern, es findet keine Weiterleitung an den Plugin-Anbieter statt.
Rechtsgrundlage: Das Einblenden des Cookie-Banners und Speichern Ihrer Einstellungen erfolgt zur Erfüllung unserer rechtlichen Verpflichtungen aus Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 25 TTDSG (Nachweis und Einholung von Einwilligungen). Nicht notwendige Cookies setzen wir ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie haben jederzeit die Möglichkeit, Ihre Cookie-Einstellungen über den entsprechenden Button/Link auf unserer Website (z. B. „Cookie-Einstellungen“ im Footer) zu ändern oder erteilte Einwilligungen mit Wirkung für die Zukunft zu widerrufen.
Weitere Informationen zu den eingesetzten Cookies (Name, Zweck, Speicherdauer) finden Sie in unserer Cookie-Richtlinie (sofern verfügbar) bzw. werden Ihnen im Cookie-Banner angezeigt.
Hinweis: Sie können Cookies auch generell in Ihrem Browser löschen oder blockieren. Bitte beachten Sie jedoch, dass die vollständige Deaktivierung von Cookies zu Einschränkungen in der Funktionalität unserer Website führen kann.
Wenn Sie mit uns in Kontakt treten – sei es über die Website oder auf anderen Wegen – verarbeiten wir Ihre personenbezogenen Daten zur Bearbeitung der Anfrage und gegebenenfalls zur weiteren Kommunikation. Nachfolgend erläutern wir die Datenverarbeitung bei den verschiedenen Kontaktmöglichkeiten.
Auf unserer Website bieten wir ein Kontaktformular an, über das Sie uns Nachrichten senden können. Das Formular wird mittels des WordPress-Plugins Contact Form 7 bereitgestellt. Wenn Sie das Kontaktformular nutzen, werden je nach Eingabefeldern folgende Daten erhoben:
Name (Pflichtfeld, damit wir Sie ansprechen können),
E-Mail-Adresse (Pflichtfeld, um Ihnen antworten zu können),
Nachrichtentext (Ihr konkretes Anliegen),
ggf. weitere Angaben wie Betreff, Telefonnummer o. ä., falls im Formular vorgesehen und von Ihnen freiwillig angegeben.
Beim Absenden des Formulars werden außerdem technische Metadaten mitgesendet, wie der Zeitpunkt der Absendung und die aktuelle Seite, von der das Formular abgesendet wurde (Referrer). Ihre IP-Adresse wird nicht mitgesendet oder gespeichert durch das Formular (Contact Form 7 speichert standardmäßig keine Formulardaten in der Datenbank, sondern sendet sie lediglich per E-Mail an uns).
Zweck der Verarbeitung: Wir verwenden die von Ihnen über das Formular mitgeteilten Daten ausschließlich, um Ihr Anliegen zu bearbeiten und mit Ihnen in diesem Zusammenhang Kontakt aufzunehmen. Dies schließt gegebenenfalls auch die Weiterleitung an interne zuständige Stellen (z. B. Fachabteilungen) ein. Die Daten werden nicht für Werbezwecke genutzt, es sei denn, Sie haben ausdrücklich um Informationen gebeten.
Übermittlung und Speicherung: Die Formulardaten werden uns in der Regel als E-Mail zugestellt. Unsere E-Mail-Server werden ebenfalls von IONOS gehostet oder über einen sicheren Mail-Dienst betrieben, sodass die Daten während der Übertragung verschlüsselt sind (TLS). Wir speichern Ihre Nachricht in unserem E-Mail-Postfach, um sie beantworten zu können und für eventuelle Rückfragen bereitzuhalten. Eine darüber hinausgehende Speicherung (z. B. in einer Website-Datenbank) findet nicht statt.
Speicherdauer: Die via Kontaktformular erhaltenen Daten werden von uns gelöscht, sobald Ihre Anfrage abschließend bearbeitet wurde und keine weiteren Kommunikationsanlässe bestehen. Sollte aus der Anfrage ein Vertragsverhältnis entstehen oder die Korrespondenz für die Anbahnung/Erfüllung eines Vertrags relevant sein, können wir die Korrespondenz entsprechend der gesetzlichen Aufbewahrungspflichten (bis zu 6 oder 10 Jahre) speichern. Reine Anfragen ohne Vertragsbezug löschen wir in der Regel nach spätestens 6 Monaten, sofern keine weitere Kommunikation mehr erforderlich ist.
Rechtsgrundlage: Die Verarbeitung der von Ihnen eingegebenen Daten erfolgt – abhängig vom Inhalt Ihrer Anfrage – entweder zur Durchführung vorvertraglicher Maßnahmen bzw. zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), sofern Ihre Anfrage auf den Abschluss eines Vertrags abzielt oder mit einem bestehenden Vertrag zusammenhängt, oder auf Basis unseres berechtigten Interesses, Anfragen von Website-Besuchern zu beantworten (Art. 6 Abs. 1 lit. f DSGVO). Dieses berechtigte Interesse besteht etwa bei allgemeinen Anfragen ohne Vertragsbezug. Haben Sie uns im Formular freiwillig zusätzliche Angaben gemacht, so willigen Sie konkludent in deren Verarbeitung zu dem Zweck der Anfragebearbeitung ein (Art. 6 Abs. 1 lit. a DSGVO). Ihre Einwilligung können Sie jederzeit durch eine Nachricht an uns widerrufen; wir werden dann Ihre Anfrage soweit möglich anonym bearbeiten oder einstellen.
Sie können uns auch über die bereitgestellte E-Mail-Adresse oder telefonisch kontaktieren. In diesem Fall verarbeiten wir die von Ihnen mitgeteilten Daten (E-Mail-Inhalt bzw. Telefongesprächsnotizen sowie Ihre Kontaktdaten wie Absender-E-Mail, Telefonnummer, Name sofern übermittelt).
Zweck und Rechtsgrundlage: Die Verarbeitung dieser Daten erfolgt ausschließlich zur Kommunikation mit Ihnen und Bearbeitung Ihres jeweiligen Anliegens. Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b DSGVO (wenn die Kommunikation zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erfolgt, z. B. Angebotserstellung) oder Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Sofern Sie uns aus eigenem Antrieb kontaktieren, dürfen wir davon ausgehen, dass eine Verarbeitung Ihrer mitgeteilten Daten in Ihrem Sinne liegt.
Vertraulichkeit: Bitte beachten Sie, dass unverschlüsselte E-Mails im Internet gewisse Risiken bergen können. Unsere Mail-Server unterstützen TLS-Verschlüsselung; dennoch empfehlen wir, besonders sensible Informationen nicht unverschlüsselt per E-Mail zu versenden.
Speicherung: Inhalte aus E-Mails bewahren wir im Rahmen üblicher Geschäftskorespondenz auf. Gelöschte E-Mails können in Backups noch eine Zeit lang vorhanden sein, werden aber nach Ablauf der Backup-Fristen endgültig entfernt. Telefonische Anfragen dokumentieren wir in der Regel nur, falls dies für die weitere Bearbeitung nötig ist (z. B. Gesprächsnotizen bei Supportfällen). Eine Aufzeichnung von Telefonaten erfolgt nicht, es sei denn, wir würden Sie zuvor ausdrücklich um Einwilligung bitten (derzeit nicht der Fall).
Die Kriterien für die Speicherdauer entsprechen denen beim Kontaktformular: Reine Anfragen löschen wir nach Erledigung; geschäftsrelevante Kommunikation bewahren wir entsprechend der gesetzlichen Pflichten auf.
Wir bieten bestehenden Kunden und interessierten Nutzern ggf. die Möglichkeit, mit uns über den Messenger-Dienst WhatsApp in Kontakt zu treten (z. B. für schnellen Support oder Anfragen). Anbieter dieses Dienstes ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Wenn Sie mit uns per WhatsApp kommunizieren, gelten die Datenschutzbestimmungen von WhatsApp zusätzlich. Bitte beachten Sie, dass WhatsApp (als Unternehmen des Meta-Konzerns) in diesem Zuge personenbezogene Daten verarbeitet, einschließlich Ihrer bei WhatsApp registrierten Telefonnummer, der Kommunikationsinhalte und Metadaten (wie Zeitpunkt, beteiligte Nutzer etc.).
Art der Nutzung: Wir verwenden WhatsApp Business ausschließlich für die Kommunikation auf Ihre Initiative hin. Das heißt, wir schreiben Sie nicht ohne Anlass per WhatsApp an, sondern nutzen diesen Kanal nur, wenn Sie uns über WhatsApp kontaktieren oder dies ausdrücklich wünschen. Wenn Sie uns per WhatsApp anschreiben, speichern wir Ihre Telefonnummer in unserem WhatsApp-Adressbuch sowie den Chat-Verlauf, soweit dies für die Kommunikation erforderlich ist. Wir werden Ihre WhatsApp-Nummer nicht für werbliche Zwecke nutzen oder an Dritte weitergeben.
Datensicherheit: WhatsApp-Nachrichten sind zwischen den Endgeräten Ende-zu-Ende-verschlüsselt. Jedoch hat WhatsApp als Service Zugriff auf bestimmte Metadaten und nutzt möglicherweise die Information, dass Sie mit unserem Unternehmenskonto chatten, zu eigenen Zwecken. Wir haben keinen vollständigen Einfluss auf die Datenverarbeitung bei WhatsApp. Bitte senden Sie uns keine hochsensiblen Daten (z. B. Bankdaten, Gesundheitsdaten) über WhatsApp. Nutzen Sie dafür sicherere Kommunikationswege (z. B. Telefon oder E-Mail).
Rechtsgrundlage: Wenn Sie uns per WhatsApp kontaktieren, erfolgt die Datenverarbeitung Ihrer übermittelten Daten zur Beantwortung Ihrer Anfrage auf Basis Ihrer impliziten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. – sofern es um Vertragsangelegenheiten geht – zur Vertragserfüllung oder vorvertraglichen Kommunikation (Art. 6 Abs. 1 lit. b DSGVO). Sie können die Kommunikation über WhatsApp jederzeit abbrechen und uns auch einen Widerruf der weiteren Nutzung Ihrer Daten über diesen Kanal mitteilen. Wir werden dann die Unterhaltung beenden und – soweit möglich – Ihre Daten bei uns löschen.
Datenübermittlung in Drittländer: WhatsApp speichert und verarbeitet Daten auch in den USA. WhatsApp Inc. (USA) ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Stand Juli 2023) und damit verpflichtet, die EU-Datenschutzstandards einzuhalten. Außerdem bestehen mit WhatsApp Standarddatenschutzklauseln als Garantien für ein angemessenes Datenschutzniveau. Dennoch weisen wir darauf hin, dass bei der Nutzung von WhatsApp bestimmte Risiken nicht ausgeschlossen werden können – siehe Abschnitt Datenübermittlung in Drittländer unten. Die WhatsApp Ireland Ltd. hat mit uns zudem (automationsgestützt) einen Auftragsverarbeitungsvertrag geschlossen, soweit wir WhatsApp zur Kommunikation mit Kunden nutzen.
Speicherdauer: Chat-Verläufe bei WhatsApp bleiben auf unseren Geräten gespeichert, bis der Zweck erfüllt ist oder Sie uns zur Löschung auffordern. Sie können von uns jederzeit die manuelle Löschung einzelner Chats verlangen. Unabhängig davon löschen wir WhatsApp-Kommunikation regelmäßig, wenn ein Chat abgeschlossen ist (z. B. Supportfall gelöst). Beachten Sie, dass die Löschung auf unserem Gerät nicht unbedingt eine Löschung bei WhatsApp oder auf Ihrem Gerät bewirkt.
(Weitere Informationen finden Sie in der Datenschutzrichtlinie von WhatsApp.)
Für virtuelle Besprechungen oder Live-Kommunikation mit Kunden nutzen wir bei Bedarf Microsoft Teams, einen Dienst der Microsoft Corporation. Bei der Teilnahme an einem Microsoft-Teams-Meeting werden je nach Nutzung verschiedene Daten verarbeitet:
Meeting-Metadaten: z. B. Thema, Uhrzeit, Dauer des Meetings, Teilnehmer-Adressen (E-Mail)
Audio- und Videodaten: falls Sie Mikrofon oder Kamera aktivieren, werden Ihre Stimme und ggf. Bild/Video an die anderen Teilnehmer übertragen. Sie können frei entscheiden, ob Sie Kamera/Mikro einschalten.
Chat-Beiträge: wenn Sie die Chat-Funktion nutzen, wird Ihre getippte Nachricht für alle Teilnehmer sichtbar und von uns gespeichert.
Bildschirmfreigaben: falls Sie Inhalte teilen, werden diese übertragen.
Zweck: Die Datenverarbeitung erfolgt zur Durchführung des Online-Meetings (Besprechung, Beratung, Webinar etc.), an dem Sie auf Ihre Anfrage hin oder im Rahmen einer Vertragsbeziehung teilnehmen. Wir verwenden Teams beispielsweise für Kundentermine oder Support-Besprechungen online.
Datenschutz bei Microsoft: Microsoft Teams ist Teil von Microsoft 365. Mit Microsoft besteht ein Vertrag zur Auftragsverarbeitung. Die Daten der Meeting-Teilnehmer (Name, E-Mail, Kommunikationsinhalte) werden auf Microsoft-Servern verarbeitet. Soweit möglich, nutzen wir Rechenzentren in der EU (Microsoft gibt an, EU-Daten weitgehend in EU-Rechenzentren zu halten). Dennoch kann nicht ausgeschlossen werden, dass im Rahmen der Wartung oder durch den Mutterkonzern Microsoft Corp. (USA) ein Zugriff auf die Daten aus den USA erfolgt. Microsoft Corporation hat sich dem EU-U.S. Data Privacy Framework (DPF) angeschlossen und ist entsprechend zertifiziert (policies.google.com). Damit hat Microsoft zugesichert, die Datenschutz-Prinzipien der EU auch für übermittelte Daten aus der EU einzuhalten. Zusätzlich basieren unsere Vertragsbedingungen mit Microsoft auf den EU-Standardvertragsklauseln, um ein adäquates Datenschutzniveau sicherzustellen.
Rechtsgrundlage: Nimmt ein (potenzieller) Kunde an einem Teams-Meeting teil, erfolgt die Datenverarbeitung je nach Zusammenhang zur Vertragserfüllung/vorvertraglichen Kommunikation (Art. 6 Abs. 1 lit. b DSGVO) oder auf Grundlage unseres berechtigten Interesses an einer effizienten und ortsunabhängigen Kommunikation (Art. 6 Abs. 1 lit. f DSGVO). Sofern wir Sie zu einem Meeting einladen, steht es Ihnen frei, dieses anzunehmen – durch Ihre Teilnahme willigen Sie konkludent in die genannte Verarbeitung ein (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit beenden, indem Sie das Meeting verlassen.
Hinweis: Aufzeichnungen von Meetings erfolgen nur, wenn wir das vorab mit Ihnen abstimmen und Ihre Einwilligung dazu einholen. Im Normalfall zeichnen wir keine Meetings auf und protokollieren Inhalte nur in Form von schriftlichen Notizen, falls nötig.
Wir unterhalten Profile in sozialen Netzwerken (derzeit z. B. Facebook und Instagram), um mit Kunden und Interessenten zu kommunizieren und über unsere Leistungen zu informieren. Auf unserer Website finden Sie im Footer einfache Verlinkungen zu unseren entsprechenden Social-Media-Seiten (erkennbar an den jeweiligen Icons). Hierbei handelt es sich nicht um eingebettete Plugins oder iFrames der sozialen Netzwerke, sondern lediglich um Hyperlinks. Das bedeutet: Solange Sie diese Links nicht anklicken, werden keine Daten an Facebook/Instagram & Co. übertragen. Erst wenn Sie aktiv auf ein Social-Media-Icon klicken, verlassen Sie unsere Website und werden zu unserem Profil beim entsprechenden Netzwerk weitergeleitet. Dort gelten die Datenschutzbestimmungen des jeweiligen Plattformbetreibers.
Datenschutz auf Social-Media-Plattformen: Bitte beachten Sie, dass wir auf die Datenverarbeitung durch die sozialen Netzwerke keinen Einfluss haben. Wenn Sie bei einem Netzwerk (wie Facebook oder Instagram, betrieben von Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland) eingeloggt sind und unsere Seite dort besuchen, kann der Plattformbetreiber dies Ihrem Benutzerkonto zuordnen. Auch wenn Sie nicht eingeloggt sind oder gar keinen Account besitzen, können die Plattformen beim Aufruf unserer Seite Daten erheben (z. B. durch Cookies oder Fingerprinting). In der Regel erstellen die Betreiber Nutzungsprofile und verwenden die Daten für Marktforschung und Werbezwecke. Nähere Informationen entnehmen Sie bitte den jeweiligen Datenschutzerklärungen von Facebook bzw. Instagram.
Gemeinsame Verantwortlichkeit (Facebook/Instagram): Für den Betrieb einer Facebook-Fanpage oder Instagram-Business-Seite gelten wir und Meta eventuell als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO hinsichtlich der sogenannten Seiten-Insights-Daten. Das bedeutet, Meta stellt uns anonymisierte Statistiken zur Nutzung unserer Seite zur Verfügung, wofür Meta gewisse personenbezogene Daten der Besucher verarbeitet. Wir haben mit Meta eine entsprechende Vereinbarung abgeschlossen (Page Controller Addendum), die u. a. festlegt, dass Meta primär für die Erfüllung der Betroffenenrechte bezüglich Insights-Daten zuständig ist. Sie können Ihre Rechte daher sowohl uns gegenüber als auch gegenüber Meta geltend machen. Meta hat dazu Informationen bereitgestellt (Facebook-Seiten-Insights-Ergänzung).
Interaktionen auf unseren Profilen: Wenn Sie mit uns über unsere Social-Media-Seiten interagieren (z. B. Beiträge kommentieren, Nachrichten schicken, „Gefällt mir“ klicken), verarbeiten wir diese Informationen, um darauf zu reagieren und ggf. mit Ihnen in Kontakt zu treten. Die von Ihnen dort veröffentlichten Inhalte (z. B. Kommentare) bleiben auf der Plattform sichtbar, bis Sie sie löschen oder wir sie im Rahmen unserer Moderationsrechte entfernen (etwa bei Verstößen).
Rechtsgrundlage: Unsere Präsenz in sozialen Netzwerken und die damit verbundene Datenverarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer zeitgemäßen Unternehmensdarstellung und Kommunikation mit Nutzern (Art. 6 Abs. 1 lit. f DSGVO). Soweit Sie uns auf den Plattformen eine Anfrage stellen (z. B. per Direct Message), erfolgt die Verarbeitung zur Beantwortung wie bei einer normalen Kontaktanfrage (Art. 6 Abs. 1 lit. b oder f DSGVO).
Hinweis zu Tracking durch Social-Media: Auf unserer Website setzen wir keine eingebetteten Social-Media-Plugins ein (wie z. B. „Gefällt mir“-Buttons, Share-Plugins), die bereits beim Seitenaufruf Daten an die Netzwerke senden könnten. Es findet somit kein verstecktes Social-Media-Tracking auf unserer Website statt. Nur durch Ihren bewussten Klick auf unsere Social-Links gelangen Sie zu den externen Plattformen.
Wir nutzen auf unserer Website den Service Calendly zur Online-Terminvereinbarung. Calendly ermöglicht es Ihnen, direkt über unsere Website einen verfügbaren Termin für ein Gespräch oder Meeting mit uns zu buchen. Beim Klick auf die entsprechende Schaltfläche („Termin buchen“ o. ä.) wird entweder ein Kalender-Widget von Calendly angezeigt oder Sie werden auf unsere Terminbuchungsseite bei Calendly weitergeleitet.
Anbieter: Calendly wird bereitgestellt von der Calendly LLC, 271 17th St NW, 10th Floor, Atlanta, GA 30363, USA. Für Nutzer in der EU ist Calendly ein externer Dienstleister, der personenbezogene Daten verarbeitet, um den Terminplanungsdienst bereitzustellen. Mit Calendly haben wir einen Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO geschlossen (e-recht24.de) (e-recht24.de), in dem sich Calendly zum Schutz der Nutzerdaten verpflichtet (u. a. wird geregelt, welche Daten verarbeitet werden, zu welchem Zweck, wie lange gespeichert und welche Pflichten Calendly hat). Dieses Vertragswerk enthält auch die aktuellen EU-Standardvertragsklauseln und Hinweise zum Datenschutzrahmen.
Welche Daten werden erfasst: Wenn Sie einen Termin über Calendly buchen möchten, werden Sie aufgefordert, bestimmte Angaben zu machen. In der Regel sind dies:
Name (Vor- und Nachname, damit wir Sie zuordnen und ansprechen können),
E-Mail-Adresse (damit wir Ihnen die Terminbestätigung und ggf. einen Terminlink zusenden können),
ggf. Telefonnummer (falls der Termin telefonisch stattfinden soll oder wir Rückfragen haben),
gewählter Terminzeitpunkt (Datum und Uhrzeit, automatisch erfasst durch Ihre Auswahl im Kalender),
optional können weitere Felder vorhanden sein, je nach Art des Termins (z. B. Betreff, Nachricht an uns mit Ihrem Anliegen).
Calendly verarbeitet diese Daten, um den Termin in unserem Kalender einzutragen und Bestätigungs-/Erinnerungsnachrichten zu versenden. Sie erhalten in der Regel eine E-Mail-Bestätigung mit allen Termindetails. Ihre Daten werden für uns auf den Servern von Calendly gespeichert (z. B. in unserem Calendly-Konto und Kalender)resonio.com. Wir verwenden die Angaben ausschließlich für die Terminvereinbarung und Vorbereitung des Meetings.
Zweck: Die Einbindung von Calendly dient dazu, Ihnen eine komfortable Möglichkeit zu bieten, selbst einen passenden Termin mit uns zu finden, ohne umständlichen E-Mail-Verkehr. Gleichzeitig erleichtert es uns die Terminplanung. Die Datenverarbeitung erfolgt zur Organisation und Durchführung des von Ihnen gewünschten Termins.
Calendly’s Datenschutzniveau: Die von Calendly erhobenen Daten werden in der Regel auf Servern in den USA verarbeitet. Die USA gelten datenschutzrechtlich als sogenanntes Drittland, in dem nicht per se das gleiche Datenschutzniveau wie in der EU herrscht. Allerdings gibt es inzwischen einen Angemessenheitsbeschluss der EU-Kommission für die USA im Rahmen des neuen EU-U.S. Data Privacy Framework. Wichtig zu wissen: Dieser gilt nur für Unternehmen, die entsprechend zertifiziert sind (e-recht24.de). Calendly LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (e-recht24.de), d. h. Calendly hat sich verpflichtet, die Datenschutz-Grundsätze der DSGVO auch bei Datenübermittlungen in die USA einzuhalten. Damit ist eine Datenübertragung an Calendly grundsätzlich zulässig (e-recht24.de). Zusätzlich stützt Calendly Datentransfers auf die erwähnten Standardvertragsklauseln. Laut dem Calendly-Datenverarbeitungsnachtrag hält sich Calendly an die DPF-Verpflichtungen und garantiert ein angemessenes Datenschutzniveau (calendly.com). Nichtsdestotrotz weisen Aufsichtsbehörden darauf hin, dass bei Datenübermittlungen in die USA verbleibende Risiken (z. B. Zugriffsmöglichkeiten US-amerikanischer Behörden) nie vollständig ausgeschlossen werden können – siehe dazu Abschnitt Datenübermittlung in Drittländer.
Cookie-Einsatz: Calendly setzt nach unserer Kenntnis keine eigenständigen Tracking-Cookies über das eingebettete Termin-Widget, abgesehen von technisch notwendigen Cookies. Allerdings kann nicht völlig ausgeschlossen werden, dass Calendly bestimmte funktionale Cookies verwendet, um z. B. Ihre Sitzung aufrechtzuerhalten. Sollten Cookies für die Terminbuchung erforderlich sein, holen wir über unser Cookie-Banner Ihre Einwilligung ein (Kategorie „funktionale Cookies“). Calendly selbst gibt an, Cookies nur zu verwenden, soweit dies für die angebotenen Dienste nötig ist. Wir haben das Calendly-Widget so eingebunden, dass es erst aktiv geladen wird, wenn Sie es öffnen (also nicht automatisch beim Besuch der Seite). Somit findet keine Datenerhebung durch Calendly statt, bevor Sie nicht freiwillig den Terminplaner nutzen.
Speicherdauer: Ihre im Rahmen einer Terminbuchung eingegebenen Daten bleiben bei uns so lange gespeichert, bis der Termin stattgefunden hat und etwaige Nachbearbeitungen abgeschlossen sind. Unmittelbar nach dem Termin überprüfen wir, ob die Daten noch benötigt werden. In der Regel löschen wir personenbezogene Termindaten kurz nach Terminabwicklung, sofern keine weitere Vertragsanbahnung oder -beziehung daraus entsteht. Falls der Termin z. B. zu einem Angebot oder Auftrag führt, können wir die Kontaktdaten weiter in unseren Systemen führen. Andernfalls werden Name, E-Mail usw. aus Calendly gelöscht. Calendly bietet uns die Möglichkeit, Termin-Daten manuell oder automatisiert zu entfernen. Wir nutzen diese Funktionen, um keine unnötigen personenbezogenen Daten bei Calendly zu lagern. Bitte beachten Sie, dass Sie auch von sich aus Termine stornieren können; in diesem Fall werden Ihre Daten ebenfalls automatisch gelöscht bzw. nach den Standardfristen bei Calendly entfernt.
Rechtsgrundlage: Die Verarbeitung Ihrer Daten für die Terminbuchung erfolgt im Kern auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Indem Sie freiwillig Ihre Daten eingeben und auf „Termin bestätigen“ klicken, willigen Sie in die Verwendung dieser Daten zum Zweck der Terminvereinbarung ein. Diese Einwilligung können Sie jederzeit widerrufen, etwa durch eine Nachricht an uns – wir würden dann den Termin stornieren und Ihre Daten löschen. Soweit die Terminvereinbarung als vorvertragliche Maßnahme zu werten ist (z. B. Beratungstermin für eine mögliche Beauftragung), dient auch Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Unsere Einbindung von Calendly selbst stützen wir zudem auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), nämlich einen effizienten und kundenfreundlichen Ablauf der Terminplanung sicherzustellen. Dieses Interesse überwiegt aus unserer Sicht nicht Ihre Rechte, da die Nutzung von Calendly für Sie freiwillig ist.
(Weitere Informationen finden Sie in der Datenschutzerklärung von Calendly und im Data Processing Addendum von Calendly .)
Auf unserer Website präsentieren wir Kundenreferenzen – etwa in Form von Erfolgsgeschichten, Zitaten, Bewertungen oder Projektbeispielen unserer bisherigen Kunden. Dies soll Interessenten einen Eindruck von unserer Arbeit vermitteln. Dabei achten wir darauf, den Datenschutz unserer Referenzgeber zu wahren:
Personenbezogene Referenzen: Sofern wir personenbezogene Angaben in den Referenzen verwenden (z. B. den Namen einer Person, ihre Funktion im Unternehmen, eventuell ein Foto oder ein wörtliches Zitat), geschieht dies ausschließlich mit vorheriger Zustimmung der betroffenen Person. Wir holen dafür eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ein, in der die Person der Veröffentlichung auf unserer Website zustimmt. Diese Einwilligung umfasst die konkreten Daten (Name, Foto etc.) und kann von der Person jederzeit mit Wirkung für die Zukunft widerrufen werden. Im Falle eines Widerrufs entfernen wir die entsprechende Referenz umgehend von unserer Website.
Unternehmensbezogene Referenzen: In manchen Fällen zeigen wir lediglich den Firmennamen oder das Logo eines Kunden (ohne personenbezogene Daten). Die Verwendung von Unternehmenskennzeichen zu Referenzzwecken stützen wir auf unser berechtigtes Interesse an Marketing und Außendarstellung (Art. 6 Abs. 1 lit. f DSGVO). Hierbei werden in der Regel keine personenbezogenen Daten verarbeitet, außer es handelt sich um Ein-Personen-Unternehmen, bei denen der Firmenname mit dem Personennamen identisch ist – in solchen Fällen behandeln wir es wie personenbezogene Daten und holen ebenfalls Einwilligungen ein.
Inhalte der Referenzen: Die Aussagen der Kunden (Testimonials) haben wir vor Veröffentlichung mit den Kunden abgestimmt. Teilweise verlinken wir auch auf externe Quellen (z. B. Kundenwebsite oder Social-Media-Postings), falls eine Referenz dort ursprünglich veröffentlicht wurde. Bei solchen Verlinkungen gelten natürlich die Datenschutzregeln der jeweiligen externen Seite.
Zweck der Verarbeitung: Die Veröffentlichung von Referenzen dient Werbe- und Informationszwecken in eigener Sache. Interessenten sollen anhand echter Beispiele die Qualität unserer Leistungen einschätzen können. Wir verarbeiten und veröffentlichen dabei nur die notwendigen Daten (typischerweise Name, ggf. Foto und Aussage der Referenzperson, sowie Unternehmensname). Überflüssige Details werden weggelassen.
Speicherdauer: Die Referenzen bleiben grundsätzlich solange auf der Website, bis sie für uns nicht mehr relevant sind oder bis der Betroffene die Einwilligung widerruft bzw. um Entfernung bittet. Wir überprüfen die Aktualität der Referenzen in regelmäßigen Abständen. Bei Widerruf oder Beendigung der Zusammenarbeit mit dem Kunden entfernen wir die Referenz zeitnah.
Rechtsgrundlage: Für namentliche Referenzen mit Zitat/Foto – wie oben erwähnt – ist die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) maßgeblich. Für rein firmenbezogene Erwähnungen stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Öffentlichkeitsarbeit). Unser Interesse liegt darin, unsere Leistungen transparent darzustellen; dem steht typischerweise kein überwiegendes schutzwürdiges Interesse entgegen, zumal primär Unternehmensdaten genutzt werden. Sollte im Einzelfall doch ein personenbezogenes Bezug entstehen, behandeln wir es wie eine Einwilligungssache.
Wir legen Wert auf eine gute Betreuung unserer Bestandskunden. Daher informieren wir unsere bestehenden Vertragskunden gelegentlich über Änderungen unserer Services, wichtige Fehlerbehebungen oder neue Funktionen und Angebote, die in Zusammenhang mit den von Ihnen bereits genutzten Leistungen stehen. Dies erfolgt in der Regel per E-Mail oder telefonisch im Rahmen der Kundenbetreuung. Hierbei verarbeiten wir Ihre Kontaktdaten, die Sie uns im Zuge der Geschäftsbeziehung zur Verfügung gestellt haben (z. B. Ihre E-Mail-Adresse, Ihren Namen und Angaben zum gebuchten Service).
Beispiele: Wir senden z. B. eine Benachrichtigung, wenn es eine relevante Aktualisierung unserer digitalen Dienstleistungen gibt, die Ihre Nutzung verbessern könnte, oder wenn wir neue ergänzende Angebote haben, die für Ihr Unternehmen nützlich sein könnten. Auch größere Änderungen unserer Geschäftsbedingungen oder Datenschutzbestimmungen, die Bestandskunden betreffen, teilen wir auf diesem Weg mit.
Kein genereller Newsletter: Wir versenden keine regelmäßigen Werbe-Newsletter an Personen, die nicht bereits in einer Kundenbeziehung zu uns stehen. Unerwünschte Werbung erhalten Sie von uns nicht. Die Informationen an Bestandskunden beschränken sich auf kontextspezifische Neuigkeiten rund um die bereits in Anspruch genommenen Leistungen (Bestandskundenprivileg).
Rechtsgrundlage: Die Kontaktaufnahme mit Bestandskunden zu Informations- und Werbezwecken erfolgt auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO und im Rahmen der Ausnahmeregelung des § 7 Abs. 3 UWG (deutsches Gesetz gegen den unlauteren Wettbewerb). Nach § 7 Abs. 3 UWG ist E-Mail-Werbung gegenüber bestehenden Kunden zulässig, sofern wir die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Dienstleistung erhalten haben, die Werbung sich auf ähnliche Waren oder Dienstleistungen von uns bezieht, der Kunde dem nicht widersprochen hat und wir bei Ersterhebung der Adresse sowie bei jeder Mail klar auf die Widerspruchsmöglichkeit hinweisen. Diese Voraussetzungen beachten wir strikt. Unser berechtigtes Interesse liegt darin, unsere Kunden über Weiterentwicklungen auf dem Laufenden zu halten und die Kundenbindung zu stärken. Wir achten darauf, Umfang und Frequenz dieser Mitteilungen gering zu halten (keine „Spam“-Belästigung). Selbstverständlich respektieren wir jederzeit Ihren Wunsch, solche Informationen nicht mehr zu erhalten.
Widerspruchsmöglichkeit: Sie können jederzeit der Verwendung Ihrer Kontaktdaten zu Direktwerbungszwecken widersprechen (Art. 21 Abs. 2 DSGVO). Einen entsprechenden Hinweis finden Sie in jeder E-Mail, die Sie dazu von uns erhalten (meist ein Abbestellen-Link oder der Hinweis, uns formlos Bescheid zu geben). Nach Ihrem Widerspruch werden wir Ihre E-Mail-Adresse in einen internen Sperrvermerk aufnehmen, um sicherzustellen, dass Sie keine weiteren derartigen E-Mails von uns bekommen. Die Rechtmäßigkeit der bereits versandten Nachrichten bis zum Widerspruch bleibt unberührt.
Speicherdauer: Kontaktdaten von Bestandskunden halten wir für die Dauer der Kundenbeziehung gespeichert. Nach Vertragsende oder bei länger inaktiven Kunden löschen wir diese Daten bzw. schränken sie ein, sofern keine anderweitigen Aufbewahrungspflichten bestehen. Wenn Sie der Nutzung Ihrer Daten für Kundeninformationen widersprechen, werden wir Ihre Daten für diesen Zweck umgehend sperren (für die restliche Vertragsdauer aber ggf. noch für notwendige Servicekontakte nutzen).
Wir möchten unsere Website fortlaufend verbessern und an die Bedürfnisse der Besucher anpassen. Außerdem nutzen wir Online-Marketing, um unsere Dienstleistungen bekannt zu machen. Zu diesen Zwecken setzen wir – nur mit Ihrer Einwilligung – bestimmte Analysetools und Werbetechnologien ein, insbesondere Dienste von Google über das Plugin Site Kit (siehe unten). In diesem Abschnitt erläutern wir die eingesetzten Dienste im Einzelnen.
Hinweis: Die hier beschriebenen Tracking- und Werbe-Dienste (Google Analytics, Google Ads etc.) werden nur aktiviert, nachdem Sie im Cookie-Banner Ihre Zustimmung zu Statistik bzw. Marketing-Cookies gegeben haben. Wenn Sie keine Einwilligung erteilen, bleiben diese Dienste deaktiviert (Google’s Consent Mode sorgt dafür, dass in diesem Fall nur stark eingeschränkte, anonymisierte Daten fließen). Sie können Ihre Entscheidung jederzeit ändern (siehe oben Cookies und Einwilligungs-Management).
Unsere Website benutzt Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics erfasst Daten über Ihr Nutzerverhalten auf unserer Website und hilft uns so zu verstehen, wie die Seite genutzt wird. Dies ermöglicht uns, Inhalte zu optimieren und für Sie relevanter zu gestalten.
Erfasste Daten durch Analytics:
Bei Nutzung von Google Analytics werden u. a. folgende Arten von Daten verarbeitet:
Nutzungsdaten: z. B. besuchte Seiten auf unserer Website, Verweildauer auf Seiten, Klickpfade, Scroll-Verhalten, die zuvor besuchte Webseite (Referrer), technische Informationen zu Ihrem Browser und Endgerät (Browsertyp, Betriebssystem, Bildschirmauflösung).
ungekürzte/gekürzte IP-Adresse: Google Analytics empfängt Ihre IP-Adresse, um die ungefähre geografische Region zu bestimmen. IP-Anonymisierung ist bei uns aktiviert (Google Analytics 4 anonymisiert IPs standardmäßig (dr-datenschutz.de). Dabei wird die IP-Adresse noch vor einer weiteren Verarbeitung gekürzt, so dass kein direkter Personenbezug mehr möglich ist.
Online-Kennungen: Google Analytics verwendet eindeutige Kennungen (IDs), z. B. eine zufällige Client-ID, die in einem Cookie gespeichert wird, um wiederkehrende Besucher zu erkennen. Diese ID ist pseudonym und dient dazu, Interaktionen einem Gerät/Nutzer zuzuordnen. Die Standard-Lebensdauer solcher Analytics-Cookies beträgt bei GA4 in der Regel 6 Monate, kann aber durch neue Besuche verlängert werden.
Events: Google Analytics 4 arbeitet ereignis-basiert. Das heißt, es zeichnet bestimmte Ereignisse auf (z. B. „Seite geladen“, „Button geklickt“, „Formular abgeschickt“). Wir haben Consent Mode aktiviert, d. h. ohne Ihre Einwilligung werden nur minimalste Daten erfasst (z. B. ein Event, dass jemand die Seite besucht hat, ohne Cookies oder Identifikatoren zu setzen). Bei erteilter Einwilligung werden umfangreichere Events protokolliert.
Geräte-/Browserinformationen: z. B. Spracheinstellung, Browsertyp, Betriebssystem, Internetanbieter (über IP grob ableitbar).
Keine Profilerstellung über Websites hinweg: Google Analytics verwendet die Daten nur für unsere Analytics-Auswertung dieser Website. Es findet kein übergreifendes Tracking auf anderen Websites durch uns statt. Allerdings kann Google die Analytics-Daten mit anderen Informationen (z. B. Ihrem Google-Account, falls Sie gleichzeitig eingeloggt sind) unter eigenen Bedingungen zusammenführen. Darauf haben wir keinen Einfluss, und in unseren Einstellungen haben wir keine Verknüpfung mit persönlichen Google-Nutzerkonten aktiviert.
Konfiguration für Datenschutz: Wir haben Google Analytics datenschutzfreundlich konfiguriert:
IP-Anonymisierung: wie erwähnt, wird Ihre IP-Adresse gekürzt verarbeitet (bei IPv4 werden die letzten Stellen genullt, bei IPv6 eine Teilsequenz) (dr-datenschutz.de).
Speicherdauer: Wir haben die Ereignisdaten-Aufbewahrung auf 2 Monate begrenzt und die Aufbewahrung von Nutzerdaten (z. B. Nutzer-IDs) auf 14 Monate eingestellt. Bei neuer Aktivität kann Google Analytics diese Frist erneut beginnen lassen (Reset bei wiederkehrendem Nutzer), jedoch maximal bis zu den 14 Monaten. Ältere Analytics-Daten werden automatisch gelöscht.
Werbefunktionen: Google Analytics 4 ist mit Werbefunktionen kompatibel. Bei uns ist die Option „personalisierte Werbung“ in Analytics aktiv, was bedeutet, dass – sofern Sie eingewilligt haben – Analytics-Daten genutzt werden können, um Ihnen personalisierte Werbung über Google-Dienste zu zeigen. Dies umfasst z. B. die Einbindung von demographischen Merkmalen (Interessen, Altersgruppen) oder die Bildung von Zielgruppen für Google Ads (siehe nächster Abschnitt). Wichtig: Diese Werbefunktion wird nur aktiv, wenn Sie sowohl in Statistik- als auch Marketing-Cookies eingewilligt haben. Ansonsten bleibt Ihr Analytics-Datensatz rein für statistische Zwecke.
Consent Mode: Google’s Consent Mode ist implementiert, sodass Google-Analytics-Skripte bei fehlender Einwilligung in einen „gefilterten“ Modus schalten. Ohne Zustimmung werden keine Analytics-Cookies gesetzt und nur anonymisierte Messwerte (wie Anzahl der Aufrufe) übermittelt (datenschutz-generator.de). Dies hilft uns grob den Traffic zu messen, ohne gegen Cookie-Regeln zu verstoßen, respektiert aber Ihre Entscheidung.
Datenempfänger: Google Analytics wird technisch durch Google Irland bereitgestellt, aber die erhobenen Daten können zur Verarbeitung auch in die USA an Google LLC übertragen werden. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert (policies.google.com), sodass für diese Datenübermittlung ein angemessenes Datenschutzniveau anerkannt ist. Zudem haben wir mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen, in dem auch die EU-Standardvertragsklauseln enthalten sind. Google verwendet die Daten ausschließlich in unserem Auftrag. Laut Google’s Aussagen sind die Analytics-Daten nicht dazu bestimmt, individuelle Personen zu identifizieren, und IP-Adressen werden nicht dauerhaft gespeichert (dr-datenschutz.de). Dennoch besteht bei Transfers in die USA ein Restrisiko, wie im Abschnitt Datenübermittlung in Drittländer erwähnt.
Widerspruch / Opt-Out: Sie können Ihre Einwilligung zur Webanalyse jederzeit widerrufen, indem Sie die Cookie-Einstellungen erneut aufrufen und die Kategorie „Statistik“ deaktivieren. Alternativ können Sie folgende Maßnahmen ergreifen, um das Tracking zu unterbinden:
Browser-Add-on: Google stellt ein Opt-Out-Browser-Plugin zur Verfügung, das Sie installieren können. Es verhindert, dass Google Analytics Daten über Ihren Besuch sammelt. (Download und Infos hier: https://tools.google.com/dlpage/gaoptout )
Do-Not-Track: Wenn Ihr Browser die „Do Not Track“-Funktion unterstützt und Sie diese aktiviert haben, berücksichtigen wir dies. Unser Cookie-Banner würde bei erkannten DNT-Signalen analytische Cookies standardmäßig deaktiviert lassen.
Geräteeinstellungen bei Smartphones (für plattformübergreifendes Tracking): Sie können in Ihrem mobilen Betriebssystem einstellen, dass keine Werbe-IDs gesendet werden sollen.
Rechtsgrundlage: Google Analytics wird auf unserer Website nur mit Ihrer ausdrücklichen Einwilligung eingesetzt (Art. 6 Abs. 1 lit. a DSGVO). Beim ersten Besuch fragen wir Sie im Cookie-Banner danach. Ohne Ihre Zustimmung bleibt Analytics inaktiv. Sie haben jederzeit das Recht, Ihre Einwilligung zu verweigern oder zu widerrufen. Wir stützen uns nicht auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für das Tracking, da nach aktueller Rechtslage und DSK-Meinung für nicht essentielle Trackingmaßnahmen eine Einwilligung erforderlich ist.
(Weitere Infos: Google Analytics Nutzungsbedingungen und Datenschutz bei Google finden Sie hier und hier .)
Wir nutzen im Rahmen von Google Site Kit auch Google Ads Dienste, insbesondere das Google Ads Conversion-Tracking. Wenn Sie über eine Google-Anzeige auf unsere Website gelangt sind (z. B. eine von uns geschaltete Werbeanzeige bei Google Search oder im Google Display-Netzwerk), kann Google Ads einen Cookie auf Ihrem Gerät setzen, der eine Conversion-ID enthält. Diese dient dazu, Erfolgsmessung durchzuführen – z. B. zu erkennen, ob Sie nach dem Klick auf die Anzeige eine bestimmte Aktion auf unserer Seite durchführen (etwa eine Anfrage absenden oder einen Termin buchen). So können wir die Wirksamkeit unserer Google-Anzeigen bewerten.
Funktionsweise des Conversion-Trackings: Wenn Sie auf eine unserer Google-Anzeigen klicken, speichert Google einen Cookie (namens z. B. __gcl_aw oder ähnlich) auf Ihrem Gerät. Besuchen Sie dann unsere Webseite und erfüllen eine zuvor von uns definierte Zielhandlung (Conversion), erkennt Google über ein auf unserer Seite eingebundenes Skript dieses Ereignis und verknüpft es mit Ihrer vorherigen Anzeige-Interaktion. Uns werden in der Google-Ads-Oberfläche statistische Auswertungen bereitgestellt (z. B. wie viele Nutzer, die auf die Anzeige X geklickt haben, haben danach das Kontaktformular abgesendet). Wir erhalten jedoch keine Informationen, mit denen wir Sie persönlich identifizieren könnten. Wir sehen lediglich anonyme Zahlen. Google selbst könnte den Weg nachvollziehen, sofern Sie z. B. bei Google angemeldet sind, aber diese personenbezogenen Daten werden uns nicht zugänglich gemacht.
Remarketing-Funktion: Zusätzlich kann Google Ads die Remarketing-Funktion nutzen, wenn wir diese aktiviert haben. Remarketing bedeutet, dass Besuchern unserer Seite – die sich für unsere Leistungen interessiert haben – später gezielt unsere Werbung auf anderen Websites im Google-Displaynetzwerk oder bei Google-Suchergebnissen gezeigt wird. Hierzu kann Google beim Besuch unserer Seite Ihre Interaktion erfassen (z. B. welche Unterseiten Sie angesehen haben) und Sie einer Zielgruppenliste zuordnen. Dies erfolgt über Cookies oder ähnliche Techniken (z. B. Device-Fingerprinting). Wir können in Google Ads bestimmte Kriterien für solche Zielgruppen definieren (z. B. „alle Besucher der Preis-Seite“ oder „alle, die länger als X Sekunden auf der Seite waren“). Später wird dann von Google versucht, diese Personen online mit passenden Anzeigen erneut anzusprechen. Auch hier erfolgt die Erkennung pseudonym über Cookies oder IDs.
Datenschutz und Einwilligung: Die beschriebenen Google-Ads-Funktionen werden nur aktiv, wenn Sie Marketing-Cookies erlauben. Ohne Ihre Einwilligung wird kein Conversion-Cookie gesetzt und es wird auch kein Remarketing betrieben. Ihre Entscheidung für oder gegen Marketing-Cookies können Sie im Cookie-Banner treffen und jederzeit ändern.
Datenverarbeitung und -weitergabe: Durch Google Ads können folgende Daten verarbeitet werden:
Cookie-ID für Conversion: eindeutige ID, die den Anzeigenklick markiert.
Zeitpunkt des Klicks und der Conversion: um Zeitdifferenz zu messen.
Geräte- und Browserdaten: um sicherzustellen, dass Klick und Conversion vom selben Gerät/Browser stammen.
Besuchte Seiten/Events auf unserer Website: falls Remarketing eingesetzt wird, die Info, welche Seiten Sie besucht haben.
Google-Konto Info: Falls Sie währenddessen mit Ihrem Google-Konto angemeldet sind und personalisierte Werbung aktiviert haben, kann Google die Daten mit Ihrem Account verbinden und z. B. geräteübergreifend tracken. Das ist aber Googles eigene Datenverarbeitung, auf die wir keinen Einfluss haben. Wir selbst erhalten nur aggregierte Daten.
Die Daten werden von Google (Google Ireland Ltd. und möglicherweise Google LLC, USA) verarbeitet. Google LLC (USA) ist DPF-zertifiziert (policies.google.com) und somit werden Daten, die in die USA fließen, auf Basis des Data Privacy Framework und Standardvertragsklauseln geschützt.
Rechtsgrundlage: Auch hier gilt: Die Verarbeitung erfolgt ausschließlich mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Im Cookie-Banner wird diese z. B. durch Auswahl der Kategorie Marketing eingeholt. Sie können die Einwilligung jederzeit widerrufen, indem Sie die Cookie-Einstellungen ändern oder das Browser-Add-on zur Werbe-Deaktivierung verwenden (siehe unten).
Widerspruchsmöglichkeiten: Neben dem generellen Widerruf Ihrer Einwilligung (Opt-Out) über unser Cookie-Tool können Sie auch auf anderen Wegen dem personalisierten Google-Tracking widersprechen:
Google-Einstellungen: Wenn Sie ein Google-Konto haben, können Sie in den Werbeeinstellungen Ihres Google-Accounts die Personalisierung von Werbung deaktivieren. Dann wird Google Ihnen keine personalisierten Anzeigen mehr anzeigen (weder von uns noch von anderen).
Opt-Out-Cookie: Sie können ein Opt-Out-Cookie setzen lassen, welches verhindert, dass Google in Ihrem Browser in Zukunft Conversion-Cookies setzt. Nutzen Sie dafür z. B. die Opt-Out-Funktion von der Network Advertising Initiative oder die Seite YourAdChoices (dort Google auswählen).
Browser-Plugin: Google bietet unter Umständen ein Browser-Plug-in an (siehe Google Analytics Opt-Out), das auch Google Ads abdeckt.
Beachten Sie, dass Sie diese Einstellungen pro Gerät/Browser vornehmen müssen.
Aufbewahrung: Die durch uns gesetzten Google-Conversion-Cookies haben eine begrenzte Gültigkeit (oft 30 Tage für Conversion-Cookie). Remarketing-Kisten (Listen) laufen meist nach 540 Tagen ab, sofern wir sie nicht kürzer definieren. Wir selbst speichern keine personenbezogenen Daten zu einzelnen Ad-Klicks, nur die aggregierten Berichte in Google Ads.
(Weitere Infos finden Sie in der Datenschutzrichtlinie für Google-Werbung sowie in den Hinweisen von Google zum Datenschutz bei Werbediensten.)*
Wir nutzen den Google Tag Manager (bereitgestellt von Google Ireland Limited). Dies ist ein Tool, mit dem wir Website-Skripte zentral verwalten und laden können. Der Tag Manager selbst verarbeitet keine personenbezogenen Daten, er dient lediglich dazu, die oben genannten Dienste (Google Analytics, Google Ads Tracking) effizient einzubinden.
Der Tag Manager setzt keine eigenen Cookies und sammelt keine Nutzerdaten. Er sorgt lediglich dafür, dass die erforderlichen Code-Snippets der anderen Dienste zum richtigen Zeitpunkt nachgeladen werden – und das auch nur, wenn Sie die entsprechenden Einwilligungen erteilt haben. Der Tag Manager respektiert unser Consent-Management: z. B. wird das Analytics-Skript nur geladen, wenn Sie „Statistik“ zugestimmt haben.
Datenübermittlung: Aus technischer Notwendigkeit wird beim Abruf des Tag Manager-Skripts Ihre IP-Adresse an Google übermittelt, um den Dienst auszuliefern. Der Tag Manager lädt von einem Google-Server (der sich auch außerhalb der EU befinden kann). Google gibt an, dass der Tag Manager selbst nur minimal erforderliche Daten zur Bereitstellung erhebt und keine Analytics-Daten einsehen kann.
Rechtsgrundlage: Wir setzen den Tag Manager auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer effizienten Verwaltung der Website-Tags ein. Da der Tag Manager selbst keine personenbezogenen Daten trackt, sehen wir hier kein Risiko für Ihre Rechte. Sollte der Tag Manager allerdings als Vermittler die anderen Dienste laden, geschieht dies – wie erklärt – erst nach Ihrer Einwilligung in jene Dienste.
Mehr Informationen zum Tag Manager finden Sie hier: https://marketingplatform.google.com/about/tag-manager/.
Über das Plugin Google Site Kit haben wir zudem unsere Website mit Google Search Console und Google PageSpeed Insights verbunden:
Search Console: Dies ist ein Tool, das uns statistische Daten darüber liefert, wie unsere Website in der Google-Suche performt (z. B. welche Suchbegriffe zu unserer Seite geführt haben, wie oft unsere Seiten in den Suchergebnissen angezeigt und geklickt wurden). Für Website-Besucher werden dabei keine personenbezogenen Daten erhoben. Die Search Console bezieht sich auf aggregierte Daten aus der Google-Suche. Es werden keine individuellen Nutzerprofile erstellt, lediglich Gesamtmetriken, die uns helfen, unsere Sichtbarkeit zu verstehen. Für Sie als Besucher hat dies keine Auswirkung; es findet auch kein Tracking statt. Die Search Console Daten sind ohnehin Daten, die Google in seinem System hat, unabhängig von Ihrem Besuch, und sie werden uns nur in aggregierter Form bereitgestellt.
PageSpeed Insights: Dieses Tool misst die technische Performance unserer Website (Ladezeiten, Optimierungspotential). Es kann automatisch Messungen durchführen, wenn wir das Plugin nutzen. Dabei ruft ggf. Google’s PageSpeed-Service unsere Website ab, um Geschwindigkeitstests durchzuführen. Es werden hierbei keine personenbezogenen Nutzerinformationen verarbeitet, da es sich um synthetische Tests handelt. Es könnte sein, dass PageSpeed Insights temporär die IP des Test-Servers bei Google in unseren Logs hinterlässt (als hätte ein Googlebot die Seite besucht). Aber für Sie als Besucher spielt das keine Rolle.
Site Kit selbst handelt hier eher als Schnittstelle, um uns diese Berichte im WordPress-Backend anzuzeigen. Keiner dieser Dienste setzt Cookies bei den Besuchern oder sammelt zusätzliche Daten der Nutzer. Daher erwähnen wir sie nur der Vollständigkeit halber.
Unsere Website basiert auf WordPress und verwendet einige zusätzliche Plugins für Design, Funktionalität und Verwaltung. Wir informieren Sie hier über diese Tools, soweit sie datenschutzrelevant sind, d. h. personenbezogene Daten verarbeiten oder an Drittanbieter senden. Nicht alle installierten Plugins berühren Ihre Daten – manche wirken rein im Admin-Bereich oder lokal auf dem Server. Wir führen sie dennoch auf, um volle Transparenz zu bieten:
Diese Website wurde mit dem Page Builder „Elementor“ (und Elementor Pro) gestaltet. Elementor ist ein Plugin der Firma Elementor Ltd. (Israel), das uns erlaubt, Seiten per Drag-and-Drop zu bauen. Für Sie als Besucher bewirkt Elementor keine eigenständige Datenerhebung. Es werden keine besonderen Cookies durch Elementor gesetzt noch Daten an den Hersteller übermittelt, wenn Sie unsere Seite besuchen. Das Plugin lädt alle Inhalte direkt von unserem Server.
Mögliche externe Ressourcen: In manchen Fällen lädt Elementor externe Ressourcen, z. B. Web-Fonts oder Icons. Wir haben darauf geachtet, dass Schriftarten und Icons lokal auf unserem Server eingebunden sind, um keine unnötigen Verbindungen zu Drittservern (wie Google Fonts) aufzubauen. Sollte Elementor in älteren Versionen Google Fonts direkt laden, haben wir dies gemäß aktueller Rechtsprechung deaktiviert, um Ihre IP-Adresse nicht an Google zu übertragen. Nach unserem Kenntnisstand werden derzeit keine solchen externen Ressourcen durch Elementor nachgeladen, die datenschutzrechtlich bedenklich wären.
Rechtsgrundlage: Die Nutzung von Elementor erfolgt zur Vertragserfüllung bzw. Darstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. b DSGVO) und aus berechtigtem Interesse an einer ansprechenden, effizienten Gestaltung (Art. 6 Abs. 1 lit. f DSGVO). Für Sie als Nutzer entstehen daraus keine zusätzlichen Cookies oder Tracking.
Wir verwenden das Plugin „Admin and Site Enhancements“ (kurz ASE) auf unserer WordPress-Seite. Dieses Plugin dient hauptsächlich dazu, das Backend (die Administrationsoberfläche) komfortabler zu machen und kleinere Verbesserungen an der Seite vorzunehmen (z. B. eigene Codeschnipsel einzubinden oder Admin-Menüs zu ordnen). Für Website-Besucher hat ASE keine Auswirkungen: Es sammelt keine Besucherdaten, sendet nichts an Dritte und setzt keine Cookies im Frontend. Alle Funktionen wirken sich nur für Administratoren/Redakteure aus, die im Backend arbeiten.
Daher ist ASE datenschutzrechtlich neutral in Bezug auf Besucher. Wir erwähnen es hier nur der Vollständigkeit halber.
Unsere Website nutzt das Plugin LiteSpeed Cache zur Leistungsoptimierung (Caching). Dieses Plugin stammt von LiteSpeed Technologies (USA) und arbeitet mit dem Dienst QUIC.cloud CDN zusammen.
Caching-Funktion: LiteSpeed Cache erstellt Kopien (Cache) der Website-Inhalte, um diese schneller ausliefern zu können. Das bedeutet, wenn viele Benutzer die gleiche Seite aufrufen, kann sie aus dem Cache bereitgestellt werden, statt jedes Mal neu vom Server generiert zu werden. Diese Cache-Dateien liegen auf unserem Server bzw. im CDN und enthalten in der Regel keine personenbezogenen Informationen, sondern nur öffentliche Seitendaten. Wenn Sie z. B. ein Formular ausfüllen, wird dies natürlich nicht gecached. Persönliche Inhalte werden nie zwischengespeichert.
QUIC.cloud CDN: Um die Ladezeiten weiter zu verbessern, können statische Inhalte unserer Seite (wie Bilder, CSS/JS-Dateien) über das Content Delivery Network (CDN) von QUIC.cloud ausgeliefert werden. Ein CDN hat Server an verschiedenen globalen Standorten; wenn Sie unsere Seite besuchen, werden die Dateien möglicherweise von einem geografisch näher gelegenen Server geladen. Dabei erfährt der jeweilige CDN-Server zwangsläufig Ihre IP-Adresse, da er ja die Anfrage von Ihrem Browser erhält, und er liefert die Datei aus. Die IP-Adresse kann als personenbezogenes Datum gelten. QUIC.cloud gibt an, diese IP-Adressen nur zur Bereitstellung des Dienstes und zu Sicherheitszwecken kurzzeitig zu speichern (z. B. um Angriffe zu erkennen). QUIC.cloud verarbeitet die Daten als Auftragsverarbeiter für uns, und wir haben (bzw. LiteSpeed hat) entsprechende Datenverarbeitungsvereinbarungen getroffen (quic.cloudquic.cloud).
Standort der CDN-Server: QUIC.cloud betreibt eine weltweite Server-Infrastruktur. Wir haben in den Einstellungen bevorzugt, dass europäische Nutzer möglichst über europäische Nodes bedient werden. Dennoch kann technisch nicht ganz ausgeschlossen werden, dass z. B. ein US-Server kontaktiert wird, wenn es die Routing-Performance erfordert. QUIC.cloud Inc. hat seinen Sitz in den USA. Soweit dort Daten (wie IPs in Logs) verarbeitet werden, geschieht dies auf Basis von Standardvertragsklauseln laut eigener Aussage von QUIC.cloud (viewclub.at). Uns ist nicht bekannt, ob QUIC.cloud selbst DPF-zertifiziert ist; wir behandeln es daher vorsorglich als Auftragsverarbeiter mit SCC-Absicherung.
Rechtsgrundlage: Die Nutzung von Caching und CDN erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer zuverlässigen, schnellen Auslieferung der Website. Die Verbesserung der Ladezeiten liegt sowohl in unserem als auch in Ihrem Interesse, und die dabei verarbeiteten Daten (v. a. IP-Adressen) werden nur technisch notwendig und kurzfristig verwendet. Wir haben Ihre Rechte berücksichtigt, indem wir z. B. EU-Server priorisieren und keine unnötigen Daten an das CDN geben (Personenbezogenes wird nie via CDN geschickt).
Widerspruch: Der CDN-Einsatz ist essenziell für die Funktionsfähigkeit und Geschwindigkeit der Seite. Wenn Sie dies nicht wünschen, steht Ihnen als einzige Alternative der Verzicht auf die Nutzung unserer Website frei, da ansonsten die Inhalte nicht korrekt ausgeliefert werden könnten. Das ist vergleichbar mit der IP-Übermittlung an einen Webhoster – unvermeidbar, wenn man eine Website aufruft.
(Weitere Infos zum Datenschutz bei QUIC.cloud finden Sie in deren Privacy Policy .)
Unsere Website wird technisch mittels des Dienstes ManageWP (einem Service von GoDaddy.com) gewartet und verwaltet. ManageWP ermöglicht es uns, Backups zu erstellen, Updates einzuspielen, die Sicherheit zu überwachen und die Performance der Website zu prüfen – und das über ein zentrales Dashboard für viele Webseiten.
Datenverarbeitung durch ManageWP: Das ManageWP Worker-Plugin ist auf unserer Seite installiert und verbindet sich regelmäßig mit den ManageWP-Servern, um beispielsweise ein Backup in deren Cloud zu speichern oder Statusinformationen zu liefern. Dabei können verschiedenste Daten aus unserer WordPress-Installation übertragen werden, z. B.:
Website-Inhalte und Datenbank: für Backups wird im Grunde die gesamte Website (Dateien und Datenbank, die alle Inhalte und Einstellungen enthält) kopiert. In der Datenbank könnten auch personenbezogene Daten liegen (z. B. Beiträge, Kommentare, Benutzerkonten). Diese Backup-Daten werden verschlüsselt bei ManageWP gespeichert.
Statusinformationen: das Plugin meldet z. B., welche Plugins installiert sind, welche Version WordPress hat, ob Updates verfügbar sind, Besucher-Statistiken (sofern im Dashboard aktiviert) etc. Hierbei können auch aggregierte Nutzungszahlen oder IP-Adressen im Rahmen von Sicherheitsüberprüfungen übertragen werden (z. B. meldet ManageWP, wenn verdächtige Login-Versuche stattfinden).
Benutzerkonto: Um ManageWP zu nutzen, haben wir dort ein Konto. ManageWP verarbeitet die E-Mail-Adresse und Kontaktdaten unseres Admins, was aber für Website-Besucher irrelevant ist.
Weitergabe und Auftragsverarbeitung: ManageWP ist ein Dienst der GoDaddy.com, LLC, 14455 N. Hayden Rd, Scottsdale, AZ, USA. Wir haben mit dem Anbieter eine Vereinbarung zur Auftragsverarbeitung geschlossen, da ManageWP in unserem Auftrag Daten unserer Website verarbeitet. Laut den Datenschutzinformationen von ManageWP erfolgen internationale Datenübertragungen an deren Standorte auf Basis von Standardvertragsklauselnviewclub.at. GoDaddy bzw. ManageWP ist unseres Wissens nach nicht separat DPF-zertifiziert, stützt sich aber auf die vertraglichen Garantien.
Zweck: Die Verwendung von ManageWP dient der Website-Pflege und -Sicherheit. Unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) besteht darin, die Seite aktuell, sicher und funktionsfähig zu halten. ManageWP hilft uns, potenzielle Probleme schnell zu erkennen (Uptime-Monitor, Security-Checks) und Ausfälle oder Datenverluste zu vermeiden (Backups). Damit schützen wir letztlich auch die Daten der Nutzer, denn ein gut gewarteter Webauftritt reduziert Risiken von Datenschutzverletzungen (z. B. durch Hackerangriffe aufgrund veralteter Software).
Auswirkung für Nutzer: Theoretisch könnten in den Backups oder Logs, die ManageWP verarbeitet, auch personenbezogene Nutzerdaten enthalten sein – z. B. wenn Sie uns per Formular kontaktiert haben, wäre diese Anfrage evtl. in der Datenbank und somit im Backup. ManageWP hat jedoch kein eigenes Interesse an diesen Daten und nutzt sie nicht zu eigenen Zwecken; sie liegen verschlüsselt auf deren Server und werden nach unser Vorgabe gelöscht. Wir haben eingestellt, dass Backups regelmäßig rotieren und ältere automatisch gelöscht werden, sodass Daten nicht länger als nötig bei ManageWP liegen. Aktive Überwachungstools (wie Besucherstatistiken) via ManageWP haben wir entweder deaktiviert oder sie laufen anonymisiert.
Speicherdauer: Backups bei ManageWP werden (je nach Einstellung) für einen begrenzten Zeitraum vorgehalten (z. B. 2 Wochen), danach automatisch gelöscht. Wir nutzen die Backups rein für Notfälle. Status- und Protokolldaten werden ebenfalls nach einiger Zeit gelöscht.
Rechtsgrundlage: Die Datenverarbeitung durch ManageWP erfolgt im berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) wie oben beschrieben. Eine Einwilligung der Nutzer ist hierfür nicht erforderlich, da es sich um eine technisch-administrative Maßnahme handelt, die keine direkte Auswirkung auf die Privatsphäre der Seitenbesucher hat (über das normale Maß einer Hosting-Dienstleistung hinaus).
(Weiterführende Infos: ManageWP Datenschutzerklärung unter managewp.com/privacy ; ManageWP Data Processing Addendum unter managewp.com/data-processing-addendum viewclub.at.)
Da unsere Website bei IONOS gehostet ist, nutzen wir auch die IONOS Sicherheitsfunktionen und das Single Sign-On für den Admin-Bereich. Diese Funktionen sind primär für uns als Betreiber relevant:
IONOS Websecurity: IONOS stellt Schutzmechanismen wie Web Application Firewalls, DDoS-Schutz etc. zur Verfügung. Dabei kann es vorkommen, dass verdächtige Zugriffe automatisch erkannt und blockiert werden. In solchen Fällen könnte Ihre IP-Adresse auf einer Sperrliste landen, wenn sie z. B. Teil eines offensichtlichen Angriffsmusters war. Diese Verarbeitung erfolgt vollautomatisch durch IONOS zum Schutz aller Kunden. Wir haben darauf keinen direkten Einfluss, außer dass wir die Security Features aktiviert haben.
Single Sign-On (SSO): IONOS bietet uns an, dass wir uns mit einem zentralen IONOS Account in verschiedene Dienste einloggen können, darunter ggf. auch ins Website-Backend. Sollte dieses Feature aktiv sein, hat es keinen direkten Einfluss auf Sie als Besucher – es betrifft nur unseren Admin-Login-Prozess. Falls z. B. das WordPress-Login via IONOS SSO geht, könnten technisch Cookies von IONOS gesetzt werden, aber diese würden nur bei Admins auftauchen, nicht bei normalen Besuchern.
Datenschutz-Aspekt: Für Besucher gibt es hier kaum Berührungspunkte. Eventuell relevant ist der Punkt, dass IONOS in den Logfiles (siehe oben Hosting) und im Security-Monitoring IP-Adressen auswertet. Sollte eine IP als auffällig eingestuft werden (z. B. viele fehlgeschlagene Login-Versuche), speichert IONOS diese Information vermutlich länger, um künftige Angriffe abzuwehren. Das dient jedoch Ihrer und unserer Sicherheit.
Rechtsgrundlage: Die Einbindung der Sicherheitsmechanismen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Website und der Benutzerdaten vor Angriffen).
Unsere Website nutzt die WordPress Consent API, eine Schnittstelle, die es Plugins und Skripten ermöglicht, das Consent-Management zu respektieren. Diese API ist im Kern ein Teil von WordPress (bzw. Plugins wie Complianz unterstützen sie), um zwischen unserem Cookie-Consent-Tool und den einzelnen Diensten zu vermitteln.
Funktionsweise: Wenn Sie im Cookie-Banner z. B. „Statistik erlaubt“ wählen, meldet unser Consent-Plugin dies an die WP Consent API. Alle Plugins/Tools, die diese API unterstützen, wissen dann: OK, analytische Cookies dürfen gesetzt werden. Wenn Sie „Ablehnen“ klicken, erfahren die betroffenen Skripte ebenfalls davon und bleiben inaktiv. Die Consent API selbst speichert keine personenbezogenen Daten – sie stellt nur technische Funktionen bereit, um den Consent-Status abzufragen.
Datenschutz: Es fließen hierbei keine zusätzlichen Daten. Die API hilft lediglich, Ihre Einwilligungsentscheidungen site-intern konsequent umzusetzen. Es ist also ein datenschutzförderndes Feature.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an DSGVO-konformer Umsetzung von Cookie-Einwilligungen) bzw. lit. c DSGVO (Erfüllung rechtlicher Pflichten), da wir damit den Anforderungen der DSGVO/TTDSG nachkommen.
Wie Sie den obigen Erläuterungen entnehmen können, werden im Rahmen einiger Dienste Daten in Staaten außerhalb der Europäischen Union (EU)/des Europäischen Wirtschaftsraums (EWR) übertragen, insbesondere in die USA. Dies betrifft z. B. die Einbindung von Google-Diensten (Analytics, Ads, Tag Manager) und von Calendly, ggf. auch Teile der CDN- oder ManageWP-Nutzung. Wir sind uns bewusst, dass der Europäische Gerichtshof in den sogenannten „Schrems II“-Entscheidungen das Datenschutzniveau in den USA als potentiell unzureichend bewertet hat, insbesondere weil US-Behörden unter Umständen auf personenbezogene Daten zugreifen können, ohne dass EU-Bürger hiergegen angemessene Rechtsbehelfe haben.
Unsere Maßnahmen zum Schutz: Wir übertragen personenbezogene Daten in ein Drittland nur unter Einhaltung der Art. 44 ff. DSGVO. Konkret setzen wir – je nach Dienst – folgende Mechanismen ein:
Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework): Für Datenübermittlungen in die USA greifen wir – soweit möglich – auf das neue EU-U.S. Data Privacy Framework (DPF) zurück. Einige unserer US-Dienstleister sind nach diesem Rahmenwerk zertifiziert. Dazu zählen u. a. Google LLC (policies.google.com) und Calendly LLC (e-recht24.de) (Stand 2024). Ein EU-Angemessenheitsbeschluss vom 10. Juli 2023 bestätigt, dass für nach DPF zertifizierte Unternehmen in den USA ein angemessenes Datenschutzniveau besteht ( ldi.nrw.dee-recht24.de). Wichtig: Der DPF gilt nur für solche US-Unternehmen, die entsprechend zertifiziert sind (ldi.nrw.de). Wir prüfen daher vor einer Übermittlung, ob unser Partner gelistet ist (ldi.nrw.de). Bei Google und Calendly ist dies der Fall. Diese Unternehmen haben sich vertraglich verpflichtet, die Prinzipien des Datenschutzrahmens einzuhalten.
Standardvertragsklauseln: Für alle Fälle, in denen kein Angemessenheitsbeschluss greift (z. B. wenn ein Dienst nicht DPF-zertifiziert ist oder es um andere Länder geht), stützen wir die Übermittlung auf die Standarddatenschutzklauseln (Standard Contractual Clauses – SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO (viewclub.at). Diese Vertragsklauseln verpflichten den Empfänger der Daten zu einem mit EU-Recht vergleichbaren Datenschutzniveau. Unsere Dienstleister wie ManageWP (GoDaddy) und ggf. QUIC.cloud operieren unter diesen Klauseln (viewclub.at). Wir haben entsprechende DPA (Data Processing Addendums) abgeschlossen, die diese Klauseln beinhalten.
Zusätzliche Schutzmaßnahmen: Wo nötig, treffen wir weitere Vorkehrungen, z. B. Verschlüsselung der Daten (etwa bei Backups via ManageWP), Einschränkung der weitergegebenen Daten auf das notwendige Minimum (Data Minimization) und interne Richtlinien zur Prüfung von Behördenanfragen. So speichern wir z. B. Analysedaten pseudonymisiert und mit kurzer Speicherfrist, um den Personenbezug zu reduzieren.
Restrisiko: Wir weisen dennoch darauf hin, dass ein Restrisiko bei Drittlandsübermittlungen – insbesondere in die USA – besteht. Insbesondere können US-Behörden aufgrund dortiger Gesetze (z. B. FISA 702, Executive Order 12333) möglicherweise auf übermittelte Daten zugreifen, ohne dass Sie als EU-Bürger davon erfahren oder gerichtlich dagegen vorgehen können (piwik.propiwik.pro). Auch der neue EU-US Datenschutzrahmen steht unter Beobachtung und könnte angefochten werden. Die deutschen Aufsichtsbehörden haben zwar Anwendungshinweise zum neuen Angemessenheitsbeschluss veröffentlicht, behalten sich aber vor, die Rechtmäßigkeit zu prüfen (ldi.nrw.deldi.nrw.de).
Wir achten darauf, diese Risiken so gering wie möglich zu halten – etwa indem wir, wo machbar, europäische Alternativen nutzen oder Daten nur verschlüsselt speichern, sodass Dritte wenig damit anfangen könnten. Sollten Sie dennoch Bedenken gegen bestimmte Datenübermittlungen haben, können Sie Ihre Einwilligung hierfür verweigern (etwa keine Marketing-Cookies zustimmen) oder uns mitteilen. Wir werden dann versuchen, Ihnen alternative Lösungen anzubieten.
Auskunft: Auf Anfrage stellen wir gerne detailliert zur Verfügung, welche Garantien im Einzelnen für eine bestimmte Drittlandübermittlung bestehen (Art. 13 Abs. 1 lit. f DSGVO).
Wir verarbeiten und speichern personenbezogene Daten grundsätzlich nur so lange, wie es zur Erreichung des jeweiligen Zwecks erforderlich ist. Danach werden die Daten gemäß den gesetzlichen Vorschriften gelöscht oder in ihrer Verarbeitung eingeschränkt (gesperrt). Im Folgenden geben wir einen Überblick über die typischen Speicherfristen verschiedener Datenkategorien auf unserer Website:
Server-Logfiles: wie oben erwähnt, automatische Löschung oder Anonymisierung nach ca. 7 Tagen, sofern keine sicherheitsrelevanten Vorkommnisse vorliegen.
Kontaktanfragen (E-Mail/Formular): Speicherung bis zur abschließenden Beantwortung Ihrer Anfrage. Werden aus der Anfrage vertragliche Beziehungen, bewahren wir die Kommunikation bis zum Ende der Geschäftsbeziehung auf. Reine Interessenten-Anfragen ohne Folge löschen wir nach spätestens 6 Monaten.
Termindaten über Calendly: Nutzung bis zum stattgefundenen Termin. Kurz danach löschen wir Ihre Daten aus unserem Calendly-Account (bzw. deaktivieren den Termin mitsamt Daten). Etwaige E-Mail-Einladungen verbleiben in unserem Mail-Archiv so lange wie üblich (s.u.).
Kundenkonto- und Vertragsdaten: (Sofern wir welche außerhalb der Website führen) für die Dauer der Vertragsbeziehung. Nach Vertragsende werden die Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen gelöscht. Relevante Geschäftsunterlagen (Rechnungen, Angebote) bewahren wir entsprechend der handels- und steuerrechtlichen Vorgaben 6 bzw. 10 Jahre auf (§ 147 AO, § 257 HGB).
Newsletter-Daten: (Wir versenden zwar aktuell keinen Newsletter an Fremde; falls das künftig geschieht:) Ihre E-Mail bleibt für Newsletterversand gespeichert, bis Sie sich abmelden. Danach wird sie auf eine Sperrliste gesetzt, um künftige Mailings auszuschließen.
Bestandskunden-Infos: Solange Sie Kunde sind, dürfen wir Ihre Kontaktdaten dafür nutzen. Sobald Sie kein Kunde mehr sind oder widersprechen, werden diese Verwendungszwecke eingestellt. Die E-Mail-Adresse kann in einer Sperrliste weitergespeichert werden, um sicherzustellen, dass kein Versand erfolgt (berechtigtes Interesse an Einhaltung des Widerspruchs).
Analysedaten (Google Analytics): Die rohen Analytics-Daten werden bei Google wie genannt nach spätestens 14 Monaten gelöscht. Wir selbst speichern keine personenbezogenen Analysedaten lokal. Aggregierte Berichte (ohne Personenbezug) stehen uns länger zur Verfügung.
Werbedaten (Google Ads): Cookies für Conversion-Tracking löschen sich meist nach 30 Tagen. Remarketing-Listen laufen spätestens nach 18 Monaten aus. Solche Daten verbleiben eher bei Google; wir speichern lokal nichts dazu.
Cookies: Session-Cookies (z. B. für technische Zwecke) löschen sich beim Schließen des Browsers. Permanente Cookies (z. B. Consent-Cookie, Analytics-Cookies) haben Ablaufzeiten von wenigen Tagen bis zu 12 Monaten, je nach Zweck. Sie können Cookies jederzeit manuell löschen (Browser-Einstellungen).
ManageWP Backups: Backups werden bei ManageWP gemäß unserer Einstellung ca. 2 Wochen aufbewahrt. Lokal gehaltene Backups (wenn vorhanden) sind ebenfalls zeitlich limitiert.
Social-Media-Kommunikation: Wenn Sie uns z. B. auf Facebook schreiben, gelten dortige Speicherregeln. Wir löschen Nachrichten auf Social Media, wenn kein Bedarf mehr besteht. Öffentliche Kommentare bleiben prinzipiell unbegrenzt sichtbar, bis Sie oder wir sie entfernen.
Sollten im Einzelfall andere Fristen zur Anwendung kommen, werden wir dies beim jeweiligen Punkt erwähnt haben. Wenn nicht, können Sie gerne bei uns nachfragen.
Nach Ablauf der genannten Fristen werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und/oder wir kein berechtigtes Interesse an einer weiteren Speicherung mehr haben. In Fällen, in denen eine Löschung aufgrund gesetzlicher Aufbewahrungspflichten (z. B. steuerliche Aufbewahrung) zunächst nicht möglich ist, schränken wir die Verarbeitung ein (d. h. die Daten werden gesperrt und nur noch für den Pflichtzweck aufbewahrt).
Diese Datenschutzerklärung hat den Stand vom Juni 2025. Wir überprüfen sie regelmäßig auf Aktualität und Rechtskonformität. Aufgrund geänderter Umstände (z. B. Weiterentwicklung unserer Website, Einführung neuer Dienste/Technologien oder geänderte Rechtslage durch Gesetz oder behördliche Vorgaben) kann es notwendig werden, die Datenschutzerklärung anzupassen.
Wesentliche Änderungen werden wir auf der Website deutlich kenntlich machen (z. B. Hinweisbanner oder Mitteilung im Änderungsprotokoll). Die jeweils aktuelle Fassung ist stets hier auf grz-digital.de/datenschutz abrufbar. Ältere Versionen können Sie bei uns anfordern.
Bitte informieren Sie sich regelmäßig an dieser Stelle über den aktuellen Inhalt unserer Datenschutzinformationen. Bei konkreten Fragen zum Datenschutz können Sie sich jederzeit an uns wenden.
Vielen Dank für Ihr Vertrauen!
Diese Datenschutzerklärung können Sie speichern und ausdrucken. Bei Fragen oder Anliegen zum Datenschutz zögern Sie bitte nicht, uns zu kontaktieren.