Datenschutzerklärung.

1. Verantwortlicher

2. Datenschutzbeauftragter

Bei Fragen zum Datenschutz können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden:

E-Mail: [email protected]

3. Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

• Nutzungsdaten (z.B. besuchte Webseiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen)
• Inhaltsdaten (bei Kontaktaufnahme)
• Kontaktdaten (bei Kontaktaufnahme)

Kategorien betroffener Personen

• Nutzer (Besucher der Website)

Zwecke der Verarbeitung

• Bereitstellung des Onlineangebotes und Nutzerfreundlichkeit
• Sicherheitsmaßnahmen
• Reichweitenmessung
• Beantwortung von Kontaktanfragen

4. Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.

5. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere:

• Verschlüsselung der Datenübertragung (TLS/SSL)
• Sichere Serverinfrastruktur
• Regelmäßige Sicherheitsupdates
• Zugangskontrolle zu personenbezogenen Daten

6. Bereitstellung des Onlineangebotes und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

Hetzner (Webhosting und Datenbank)

Wir nutzen die Dienste der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland als Hosting-Anbieter. Sowohl die Anwendung als auch die PostgreSQL-Datenbank werden auf Servern in Deutschland betrieben. Es findet keine Drittlandübermittlung statt.

Weitere Informationen finden Sie in der Datenschutzerklärung von Hetzner.

Hetzner Object Storage (Dateiablage)

Hochgeladene Dokumente und Medien werden im S3-kompatiblen Object Storage der Hetzner Online GmbH (Standort: Deutschland) gespeichert.

Cloudflare (CDN und Bot-Schutz)

Zur Auslieferung statischer Inhalte und zum Schutz vor automatisierten Anfragen nutzen wir die Dienste der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Cloudflare setzt das technisch notwendige Cookie __cf_bm (Bot-Management) für maximal 30 Minuten. Dieses Cookie ist für die Sicherheit der Website erforderlich und unterliegt nicht der Einwilligungspflicht.

Für Datenübermittlungen in die USA bestehen EU-Standardvertragsklauseln (SCC) als geeignete Garantien gem. Art. 46 DSGVO. Weitere Informationen: Datenschutzerklärung von Cloudflare.

Erhobene Daten

• IP-Adresse (gekürzt/anonymisiert)
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• Jeweils übertragene Datenmenge
• Browsertyp und -version
• Betriebssystem
• Referrer URL (zuvor besuchte Seite)

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)

Speicherdauer: Die Logfile-Daten werden nach maximal 30 Tagen gelöscht.

Better-Auth (Authentifizierung)

Für die Nutzerauthentifizierung (Login, Magic-Link, Google OAuth) setzen wir die Open-Source-Bibliothek Better-Auth ein. Die Verarbeitung erfolgt vollständig auf unseren eigenen Servern bei Hetzner in Deutschland. Es werden ein Session-Cookie (httpOnly, SameSite=Lax) sowie die E-Mail-Adresse und ggf. der bei Google OAuth freigegebene Name gespeichert. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Bei Nutzung des Google-Logins werden Daten an die Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA) übermittelt. Drittlandübermittlungen sind durch EU-Standardvertragsklauseln (SCC) abgesichert.

Resend (Transaktions-E-Mails / Magic-Link)

Für den Versand von Magic-Link-Logins und Transaktions-E-Mails nutzen wir die Resend (Deland Labs Inc.), 2261 Market Street #4667, San Francisco, CA 94114, USA. Resend verarbeitet die E-Mail-Adresse, den E-Mail-Inhalt sowie Zustell-Metadaten. Mit Resend besteht ein Auftragsverarbeitungsvertrag (AVV); Drittlandübermittlungen in die USA sind durch EU-Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO abgesichert. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Stripe (Zahlungsabwicklung)

Für die Zahlungsabwicklung kostenpflichtiger Angebote nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Mutterkonzern: Stripe, Inc., USA). Stripe verarbeitet Zahlungsdaten, Rechnungsdaten sowie technische Metadaten zur Betrugsprävention eigenverantwortlich gem. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandübermittlungen in die USA sind durch EU-Standardvertragsklauseln (SCC) abgesichert. Weitere Informationen: Datenschutzerklärung von Stripe.

Sentry (Fehler-Monitoring, Drittlandverarbeitung)

Zur Sicherstellung der technischen Stabilität setzen wir Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) ein. Sentry erhält Fehlerberichte, technische Metadaten (Browser, Betriebssystem, Stack-Trace) sowie gekürzte IP-Adressen. Personenbezogene Daten werden serverseitig vor der Übermittlung gefiltert; eine direkte Verbindung des Browsers zu Sentry wird über einen eigenen Tunnel-Endpunkt vermieden. Es handelt sich um eine Drittlandverarbeitung in den USA; geeignete Garantien bestehen über EU-Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO und einen Auftragsverarbeitungsvertrag (AVV). Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) zur Gewährleistung der Funktionsfähigkeit und Sicherheit des Onlineangebots.

7. Einsatz von Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Es werden keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies eingesetzt.

Technisch notwendige Cookies

Diese Cookies sind für die Grundfunktionen der Website erforderlich und können nicht deaktiviert werden. Konkret setzen wir:

• Better-Auth Session-Cookie - httpOnly, SameSite=Lax, Lebensdauer bis zur Abmeldung bzw. 30 Tage, dient der Aufrechterhaltung der Anmeldung.
• cc_session - nur im internen Adminbereich (/controlcenter), httpOnly, 90 Tage Lebensdauer.
• __cf_bm (Cloudflare Bot-Management) - maximal 30 Minuten, technisch notwendig zur Abwehr automatisierter Anfragen.

Ein Cookie-Banner wird nicht eingesetzt, da ausschließlich technisch notwendige Cookies verwendet werden und unsere Reichweitenmessung (Umami) vollständig cookielos arbeitet.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderliche Cookies); für die anschließende Verarbeitung: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) bzw. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

8. Webanalyse (Umami)

Wir nutzen auf unserer Website eine selbst gehostete Webanalyse-Lösung (Umami Analytics), um anonymisierte Statistiken über die Nutzung unserer Website zu erheben. Diese Analyse dient der Verbesserung unseres Angebots und der Nutzerfreundlichkeit. Umami arbeitet cookielos und verarbeitet keine personenbezogenen Daten im Sinne der DSGVO. Aus diesem Grund wird kein Consent-Banner benötigt. Die Daten werden auf unseren eigenen Servern bei Hetzner in Deutschland gespeichert.

Datenschutzfreundliche Analyse ohne Cookies

Unsere Webanalyse ist bewusst datenschutzfreundlich gestaltet:

• Keine Cookies: Es werden keine Cookies gesetzt oder ausgelesen
• Keine persistente Identifikation: Besucher werden nicht über mehrere Sitzungen hinweg verfolgt
• IP-Anonymisierung: IP-Adressen werden gehasht und nicht im Klartext gespeichert
• Kein Cross-Site-Tracking: Die Daten werden nicht mit anderen Websites verknüpft
• Eigenes Hosting: Die Analysedaten werden auf unseren eigenen Servern in der EU (Frankfurt) gespeichert

Erhobene Daten

Folgende anonymisierte Daten werden erhoben:

• Aufgerufene Seiten und Verweildauer
• Referrer (woher der Besucher kam)
• Ungefährer Standort (Land/Region, basierend auf anonymisierter IP)
• Gerätetyp, Betriebssystem und Browser (ohne eindeutige Identifikation)
• Zeitpunkt des Besuchs

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Unser berechtigtes Interesse liegt in der Verbesserung unseres Webangebots. Da keine personenbezogenen Daten im Sinne der DSGVO verarbeitet werden (vollständige Anonymisierung), ist keine Einwilligung erforderlich.

Speicherdauer: Die anonymisierten Analysedaten werden für statistische Zwecke unbefristet gespeichert.

9. Kontaktaufnahme

Bei der Kontaktaufnahme mit uns (z.B. per E-Mail) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung verarbeitet.

• Verarbeitete Datenarten: Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Meta-/Kommunikationsdaten
• Betroffene Personen: Kommunikationspartner
• Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation
• Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)

10. Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ eine Einschränkung der Verarbeitung der Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht zu verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

11. Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.