Datenschutz­erklärung.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die natürliche Person:

Alexander Hertle
Neon Arc (Einzelunternehmen)
Pfarrer-Walser-Str. 3
87544 Blaichach
Telefon: +49 176 9138 5260
E-Mail: kontakt@seitengold.com
USt-IdNr.: DE316546247

Alexander Hertle betreibt das Einzelunternehmen unter der Firma „Neon Arc“. Die Sub-Brand „Seitengold“ (seitengold.com) ist Teil desselben Geschäftsbetriebs.

Hinweis zum Datenschutzbeauftragten: Alexander Hertle betreibt das Einzelunternehmen mit insgesamt weniger als 20 ständig mit Datenverarbeitung beschäftigten Personen und ist daher nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (Art. 37 DSGVO i.V.m. § 38 BDSG). Der Inhaber (Alexander Hertle) ist gleichzeitig Datenschutz-Verantwortlicher für alle Tätigkeiten unter der Firma „Neon Arc“ (einschließlich der Sub-Brand „Seitengold“) und erreichbar unter den oben genannten Kontaktdaten.

2. Übersicht der Verarbeitungen

Die folgende Übersicht zeigt die Arten der verarbeiteten Daten und die Zwecke der Verarbeitung.

Arten der verarbeiteten Daten

• Bestandsdaten (z. B. Namen, Adressen)
• Kontaktdaten (z. B. E-Mail, Telefonnummern)
• Inhaltsdaten (z. B. Texteingaben in Formularen, Chat-Nachrichten, Konfigurator-Briefings)
• Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeit)
• Meta-/Kommunikationsdaten (z. B. IP-Adressen, Browsertyp)

Kategorien betroffener Personen

• Kunden und Interessenten
• Besucher der Website
• Nutzer des Kontaktformulars und Konfigurators
• Nutzer des KI-Chatbots

3. Hosting und Infrastruktur

Diese Website wird auf dedizierten virtuellen Servern (VPS) der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet.

• Anbieter: Hetzner Online GmbH, Deutschland
• Datenstandort: Deutschland (Falkenstein)
• AVV: Abgeschlossen gemäß Art. 28 DSGVO
• Zweck: VPS-Hosting, Docker-Container, Reverse Proxy (Traefik)

Beim Besuch unserer Website erfasst der Hoster automatisch Informationen in sogenannten Server-Log-Dateien:

• IP-Adresse des zugreifenden Rechners
• Datum und Uhrzeit der Anfrage
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und Betriebssystem
• Übertragenes Datenvolumen

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bzw. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Aufbewahrungsdauer: Server-Log-Dateien werden nach spätestens 30 Tagen automatisch gelöscht.

3.1 Datenbank-Layer (PostgreSQL via Supabase, EU-Region)

Persistierte Inhalte (Konfigurator-Briefings, Newsletter-Anmeldungen, Consent-Logs, Inquiries) werden in einer PostgreSQL-Datenbank gespeichert, die durch Supabasebereitgestellt wird. Vertragspartner ist die zuständige Supabase-Gesellschaft nach Maßgabe der Region-Auswahl; im konkreten Setup ist die Datenbank auf der EU-Region eu-central-1 (Frankfurt am Main, Deutschland) gehostet, technisch betrieben durch Amazon Web Services EMEA SARL (Luxemburg) als Sub-Verarbeiter.

• Anbieter / Vertragspartner: Supabase (Mutter Supabase Inc., USA; EU-Vertragsabwicklung über Supabase Pte. Ltd. nach Region-Auswahl)
• Sub-Verarbeiter: Amazon Web Services EMEA SARL, Luxemburg, Region eu-central-1 Frankfurt
• Datenstandort: Frankfurt, Deutschland (EU)
• AVV gemäß Art. 28 DSGVO: Supabase Data Processing Addendum (DPA) abgeschlossen, einschließlich Standardvertragsklauseln (SCC 2021/914) für etwaige USA-Konstellationen (Support, Backup-Replikation)
• Verschlüsselung: TLS 1.3 in-transit, AES-256 at-rest

Drittland-Hinweis:Die operative Datenverarbeitung erfolgt ausschließlich auf AWS-Frankfurt (EU). Für administrative Fernzugriffe (Support-Tickets, Notfall-Wartung, Backup-Replikation in geographische Sekundär-Regionen) können gemäß Supabase-DPA Standardvertragsklauseln (SCC 2021/914) greifen; Transfer-Impact-Assessment ist auf Anfrage einsehbar. Eine routinemäßige Drittland-Übermittlung der Customer-Briefings außerhalb des EU/EWR-Datenraums findet im Standardbetrieb nicht statt.

3.2 Cache-Layer (Redis auf Hetzner)

Für Rate-Limiting, Session-Caches und temporäre Scan-Ergebnis-Caches setzen wir eine selbst-administrierte Redis-Instanz ein, die im selben Hetzner-Datacenter (Falkenstein) wie unser Web-Server betrieben wird. Es handelt sich nicht um einen externen Cache-Provider.

3.3 Binäre Inhalte (lokaler Hetzner-VPS-Speicher + Object Storage)

Direkt-Uploads aus dem Konfigurator (Logos und Bilder, die Sie via Drag-and-Drop oder Datei-Auswahl im 12-Schritte- Konfigurator hochladen) werden auf der lokalen Disk-Partition unseres VPS bei Hetzner Online GmbH (Falkenstein, Deutschland) im Verzeichnis .inquiries/<projekt-id>/uploads/abgelegt. Diese Inhalte werden zusätzlich als E-Mail-Anhang an unsere Operator-Adresse via SMTP an das All-Inkl-Mailrelay (siehe Sektion 11) versendet, damit das Briefing-Material vollständig in Ihrer Anfrage-Mail vorliegt. TOMs gemäß Art. 32 DSGVO: TLS 1.3 in transit, MIME-Whitelist + 10 MB-Cap server-side, Disk-Quota-Überwachung, automatisierte Löschung nach 180 Tagen.

Generierte Binär-Artefakte(PDF-Reports aus dem Scanner-Workflow, Build-Snapshots, später persönlich nachgereichte Hi-Res-Assets) werden zusätzlich in Hetzner Object Storage (S3-kompatibles Storage, Endpoint fsn1.your-objectstorage.com) abgelegt. Verantwortlicher Anbieter: Hetzner Online GmbH (siehe Sektion 3 oben).

• Datenstandort: Falkenstein, Deutschland (EU)
• AVV: abgedeckt durch den bestehenden Hetzner-AVV (Art. 28 DSGVO)
• Datenkategorien: Logos, Bilder, PDF-Reports, Build-Artefakte — KEINE Klartextspeicherung von Konfigurator-Briefing-Texten oder PII (diese liegen in Sektion 3.1 PostgreSQL)
• Server-side Filter: MIME-Whitelist (PNG, JPG, WebP, SVG, PDF), 10 MB pro Datei, max. 10 Logo-Uploads + 15 Bilder-Uploads pro Briefing
• Verschlüsselung: TLS 1.3 in-transit; bucket-seitige AES-256-Verschlüsselung at-rest für Object-Storage; lokale VPS-Disk je nach Server-Setup gem. Hetzner-Cloud-Konfiguration
• Aufbewahrung: automatisierte Löschung des kompletten Projekt-Folders (inkl. Uploads) nach 180 Tagen ohne Vertragsschluss durch täglichen Cron-Lauf /api/cron/gdpr-cleanup; bei Vertragsschluss verlagert sich die Aufbewahrung auf die Werkvertrags-Phase (siehe § 7)

4. Maßgebliche Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen der DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Die betroffene Person hat ihre Einwilligung für einen oder mehrere Zwecke gegeben. Beispiele: Analytics-Cookies, KI-Chatbot, Newsletter.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Die Verarbeitung dient der Vertragserfüllung oder vorvertraglichen Maßnahmen. Beispiele: Konfigurator-Briefing, Kontaktanfragen, Angebote.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)— Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z. B. steuerliche Aufbewahrungspflichten).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Die Verarbeitung wahrt berechtigte Interessen des Verantwortlichen. Beispiele: Website-Sicherheit, Spam-Schutz, Webanalyse.

5. Cookies und Einwilligungsmanagement

Wir setzen Cookies und vergleichbare Technologien (localStorage) ein, um Funktionen unserer Website bereitzustellen. Wir unterscheiden zwischen folgenden Kategorien:

• Notwendige Cookies:Erforderlich für die Grundfunktionen der Website (z. B. Speicherung Ihrer Cookie-Präferenz, Session-Management). Diese werden ohne Ihre Einwilligung gesetzt.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Analyse-Cookies: Helfen uns zu verstehen, wie Besucher die Website nutzen. Werden NUR nach Ihrer Einwilligung gesetzt.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Funktionale Cookies: Ermöglichen erweiterte Funktionen wie den KI-Chatbot. Eine Aktivierung erfolgt erst nach Ihrer Zustimmung.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen im Footer dieser Website aufrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.

6. Kontaktformular und E-Mail-Kommunikation

Wenn Sie uns über das Kontaktformular oder per E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Telefonnummer optional, Nachricht) zum Zwecke der Bearbeitung Ihrer Anfrage verarbeitet.

Der E-Mail-Versand erfolgt via Nodemailer (Open-Source-Library) über den SMTP-Server unseres deutschen Hosting-/Domain-Providers All-Inkl (KAS Server e.K., Friedersdorf, Deutschland). Es kommt kein externer E-Mail-Marketing-Dienstleister wie Mailchimp, SendGrid, Resend oder Brevo zum Einsatz; All-Inkl agiert ausschließlich als technischer SMTP-Mail-Versand-Auftragsverarbeiter gemäß Art. 28 DSGVO (siehe Sektion 21 AVV-Liste). Daten werden ausschließlich innerhalb Deutschlands verarbeitet und nicht an Drittländer übermittelt.

Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) bzw. berechtigtes Interesse an der Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO).

Aufbewahrungsdauer: Ihre Anfrage wird für die Dauer der Bearbeitung und darüber hinaus für 6 Monate gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten (steuerrechtlich: 6–10 Jahre) entgegenstehen.

7. Konfigurator-Briefing (12-Schritte-Wizard)

Bei Nutzung unseres 12-Schritte-Konfigurators erfassen wir die folgenden Datenkategorien:

• Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefon (optional), Firmenname
• Projekt-Briefing: Branche, Zielgruppe, Wettbewerber, Brand-Identität, Tonalität, Material- und Raum-Metaphern
• Design-Präferenzen: Farb-Wünsche, Typografie-Wahl, Mood-Referenzen, Inspirationsquellen, Don'ts
• Direkt-Uploads (Logos und Bilder): Im Konfigurator können Sie Logos (max. 10) und Bilder (max. 15) direkt via Drag-and-Drop oder Datei-Auswahl hochladen. Erlaubte Dateitypen: PNG, JPG, WebP, SVG, PDF. Maximal 10 MB pro Datei. Diese Binärdaten werden a) lokal auf unserer Hetzner-VPS-Disk im verschlüsselten Verzeichnis .inquiries/<projekt-id>/uploads/ abgelegt (siehe Sektion 3.3) und b) zusätzlich als Anhang einer Briefing-E-Mail an unsere Operator-Adresse versendet (max. 15 MB Gesamt-Anhang). Die Metadaten (Dateiname, Größe, MIME-Typ) werden in der PostgreSQL-Datenbank persistiert; die Binärdaten selbst NICHT in der Datenbank.
• Inhalte: Texte, Feature-Wünsche, gewünschte Page-Liste
• Lieferdaten: gewünschter Liefertermin, Tier-Auswahl, Budget-Indikation
• Technische Metadaten: IP-Adresse (für Rate-Limiting + Spam-Schutz), Zeitstempel, Referrer
• B2B-Confirm-Akt (Beweisführung): Beim Submit auf Schritt 12 erfassen wir die explizite Bestätigung Ihres Unternehmer-Status (§ 14 BGB) zusammen mit Zeitstempel und IP-Adresse zum Confirm-Zeitpunkt. Diese Daten werden in der projekt-spezifischen audit-meta.json persistiert und dienen ausschließlich der Beweisführung im Streitfall (BGH I ZR 218/19 — entkoppelte Pflicht-Bestätigung). Rechtsgrundlage: berechtigtes Interesse an Beweisführung (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 286 ZPO + Art. 5 Abs. 2 DSGVO Rechenschaftspflicht). Speicherdauer identisch mit Briefing-Daten (§ 7 dieser Erklärung).

Diese Daten werden ausschließlich zur Erstellung Ihres Webdesign-Angebots und zur Vertragsanbahnung verwendet. Strukturierte Briefing-Inhalte (Texte, Felder, JSON) werden in der PostgreSQL-Datenbank auf Supabase EU-Region (siehe Sektion 3.1) gespeichert; direkt im Konfigurator hochgeladene Binärdaten (Logos, Bilder) auf der lokalen Hetzner-VPS-Disk (Sektion 3.3) und zusätzlich als E-Mail-Anhang an unseren Operator. Später persönlich nachgereichte Hi-Res-Assets oder PDF-Generate werden in Hetzner Object Storage Falkenstein (Sektion 3.3) abgelegt. Eine Übermittlung an Dritte außerhalb dieser benannten Auftrags-Verarbeiter findet nicht statt.

Werkvertrags-Phase (NACH Vertragsabschluss): Für die anschließende Erstellung Ihrer Webseite kommt unsere Inhouse-Build-Pipeline zum Einsatz, die ausschließlich auf EU-Infrastruktur betrieben wird. Etwaige zusätzliche Sub-Verarbeiter für Build-Tools werden vor Aktivierung in § 21 AVV-Liste aufgenommen und Sie als aktiver Newsletter-/Konfigurator-Lead gemäß § 15 dieser Erklärung proaktiv informiert. Vor Vertragsabschluss bleibt das Konfigurator-Briefing in unserer EU-Infrastruktur. Tech-Stack-Details: siehe AGB § 3a Liefer-Stack.

Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der Erstellung eines belastbaren Angebots (Art. 6 Abs. 1 lit. f DSGVO) und an technischer Spam-/Missbrauchs-Prävention.

Aufbewahrungsdauer (differenziert):

• Bei Vertragsschluss:Bis zur Vertragsbeendigung zuzüglich der steuer- und handelsrechtlichen Aufbewahrungspflichten (§ 257 HGB: 6 Jahre für Geschäftsbriefe; § 147 AO: 10 Jahre für buchhaltungsrelevante Belege).
• Wenn kein Vertrag zustande kommt:Spätestens 6 Monatenach letzter Kommunikation werden Briefing-Daten gelöscht; der komplette Projekt-Folder inklusive aller hochgeladenen Logos und Bilder (.inquiries/<projekt-id>/uploads/) wird automatisiert nach 180 Tagenrekursiv entfernt (technisches Löschkonzept: API-Cron /api/cron/gdpr-cleanupmit täglichem Lauf  0 4 * * * auf dem Hetzner-Server, plus Cleanup-Skript scripts/gdpr-cleanup.mjs). Sie können jederzeit die vorzeitige Löschung per E-Mail an kontakt@seitengold.com anfordern (Art. 17 DSGVO).
• Honeypot-/Spam-Submissions:sofortige Verwerfung, keine Speicherung über die Logfile-Aufbewahrung (30 Tage) hinaus.

Profiling/Automatisierte Einzelfallentscheidung: findet nicht statt. Die Tier-Empfehlung im Konfigurator ist eine rein regelbasierte, deterministische Berechnung; sie löst keinen automatisierten Vertrag aus (Art. 22 DSGVO greift nicht).

8. KI-Chatbot (Mistral AI) — AI-Act Art. 50 Transparenz

Auf unserer Website setzen wir einen KI-basierten Chatbot ein. Die Verarbeitung Ihrer Eingaben erfolgt durch Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich.

• Anbieter: Mistral AI SAS, Frankreich (EU-Mitgliedstaat)
• Datenstandort: EU (Frankreich) — kein Drittlandtransfer
• AVV gemäß Art. 28 DSGVO: abgeschlossen
• Modell: Mistral Large / Mistral Medium (LLM, statistische Sprachverarbeitung)
• Zweck: Beantwortung Ihrer Fragen rund um Seitengold-Services
• Klassifikation nach EU AI Act (VO (EU) 2024/1689): Limited-Risk-AI-System (Generative AI mit Mensch-Maschine-Interaktion); Transparenz-Pflichten gemäß Art. 50

Der Chatbot wird erst nach Ihrer ausdrücklichen Einwilligungaktiviert. Beim Öffnen des Chat-Widgets sehen Sie einen separaten Consent-Hinweis mit kompaktem Daten-Verarbeitungs- Block (EU-Datenraum-Hinweis, Mistral-AVV-Hinweis, Auto-Disclaimer); erst nach aktiver "Chatten"-Bestätigung wird die LLM-API technisch freigeschaltet. Diese Einwilligung ist unabhängig vom Cookie-Banner und wird lokal im Browser (localStorage-Schlüsselseitengold:chat-consent:v1) gespeichert; sie können sie jederzeit über die Browser-Storage-Verwaltung widerrufen. Vor Ihrer Zustimmung werden keine Daten an Mistral übermittelt. Wir speichern Ihre Chat-Eingaben nicht dauerhaft auf eigenen Servern; sie werden ausschließlich live für die Generierung der Antwort an Mistral übermittelt und dort nicht für ein Modell-Re-Training verwendet (vertraglich zugesichert per Mistral-Enterprise-DPA).

Transparenz-Hinweise (AI-Act Art. 50):

• Sie interagieren erkennbar mit einem KI-System, nicht mit einer natürlichen Person. Das ist im Chat-Widget visuell (Avatar "KI", Disclaimer-Footer) ausgewiesen.
• Die Antworten des KI-Chatbots sind statistisch generiert und können fehlerhaft, veraltet oder unvollständig sein ("Halluzinationen"). Sie sind keine verbindliche Auskunft, keine Rechtsberatung, keine Steuerberatung, keine medizinische Beratung. Bei rechtlich oder kaufmännisch relevanten Fragen empfehlen wir zwingend die Konsultation eines Fachberaters.
• Der Chatbot greift auf einen vorgegebenen System-Prompt mit Seitengold-Kontextdaten zu (z. B. Tier-Preise, Service-Beschreibungen, FAQ-Antworten). Er hat keinen Zugriff auf Ihre Konfigurator-Eingaben oder Kontaktdaten.
• Eingaben werden nicht zur Profilbildung oder zum Training fremder Modelle verwendet (Anti-Prompt-Injection-Schutzschicht aktiv; technische Pen-Tests dokumentiert).
• KI-Fallback-Kette (derzeit deaktiviert): Unsere Code-Basis enthält eine optionale Fallback-Konfiguration für alternative LLM-Anbieter (Google Gemini, Groq, Ollama-lokal). Diese Fallbacks sind im aktuellen Produktiv-Betrieb technisch deaktiviert (Feature-Flag ALLOW_LLM=falsesowie nicht gesetzte API-Keys für diese Anbieter). Sollte einer dieser Fallbacks jemals aktiviert werden, gilt: vorab AVV-Abschluss, Erweiterung dieser Datenschutzerklärung um den entsprechenden Sub-Verarbeiter, Aufnahme in § 21 AVV-Liste, sowie Information aktiver Newsletter- und Konfigurator-Leads gemäß § 15 dieser Datenschutzerklärung. Aktuell fließen Eingaben ausschließlich an Mistral AI (EU).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für die Aktivierung; berechtigtes Interesse an der Bereitstellung des Services (Art. 6 Abs. 1 lit. f DSGVO) für den Betrieb der KI-Schicht.

Widerruf: Über die Cookie-Einstellungen im Footer jederzeit mit Wirkung für die Zukunft möglich.

Die Haftung des Anbieters für Schäden, die aus dem Vertrauen auf KI-generierte Aussagen entstehen, richtet sich nach § 7 unserer AGB und ist auf Vorsatz und grobe Fahrlässigkeit sowie die Verletzung wesentlicher Vertragspflichten beschränkt.

9. DSGVO-Scanner / Website-Check (RDG-§-2-Konformität)

Unser kostenloser Website-Check analysiert die von Ihnen eingegebene URL technisch-indikativ auf DSGVO-, Security- und SEO-Aspekte. Wir verarbeiten dabei folgende Datenkategorien:

• Die geprüfte URL (öffentlich zugänglich; keine personenbezogenen Daten von Dritten — die geprüfte Site liegt in Ihrer Verantwortung)
• Ihre IP-Adresse (für Rate-Limiting; pseudonymisiert über LRU-Bucket-Hash, nicht zur Profilbildung)
• Scan-Ergebnisse (gecached für maximal 24 h zur Performance-Optimierung; danach automatisch verworfen)
• User-Agent-Header (für Browser-Kompatibilitäts-Statistiken; keine Speicherung > 30 Tage)

Rechtsgrundlage: Berechtigtes Interesse an der Bereitstellung des kostenlosen Service (Art. 6 Abs. 1 lit. f DSGVO); berechtigtes Interesse an Spam-/Missbrauchs-Prävention (Art. 6 Abs. 1 lit. f DSGVO).

Was der Scanner NICHT tut: Er führt keine aktiven Penetrationstests, keine Exploits, keinen Auth-Bypass, keinen Massen-Scan ohne Ihre konkrete URL-Eingabe. Jede Scan-Anfrage ist user-initiiert, einmalig, idempotent.

9.1 Datenfluss eines Scans — was geht an wen

Wenn Sie eine URL einreichen, ruft unser Scanner serverseitig folgende externen Quellen auf, um die Prüfung durchzuführen. Diese Calls erfolgen von unserem Hetzner-Server aus (nicht aus Ihrem Browser); die jeweiligen Empfänger sehen daher die IP-Adresse unseres Servers und die von Ihnen eingegebene URL, jedoch nicht Ihre IP-Adresse:

Drittland-Bewertung:Cloudflare, Google Safe Browsing und PhishTank verarbeiten die geprüfte URL in den USA. Da der Scanner ausschließlich öffentlich zugängliche URLsverarbeitet (nicht Ihre privaten / pseudonymisierten Endpoints) und die Empfänger ausschließlich die Server-IP von Seitengold und nicht Ihre Browser-IP sehen, ist die DSGVO-relevante Drittland-Übermittlung (Art. 44 ff. DSGVO) auf den Domain-Charakter selbst beschränkt. Nichtsdestotrotz informieren wir hier transparent über den Datenfluss, weil die von Ihnen eingegebene URL der Verarbeitung zugrunde liegt. Eine vollständige Liste der Sub-Verarbeiter finden Sie in § 21 AVV-Liste.

Falls Sie einen Scan ohne Drittland-API-Calls wünschen: Anstelle des automatisierten Web-Scanners können Sie uns formlos per E-Mail an kontakt@seitengold.com kontaktieren. Wir prüfen die angefragte URL dann manuell mit EU-Tools (ohne Cloudflare DoH, ohne Google Safe Browsing, ohne PhishTank) und liefern Ihnen die Befunde innerhalb der gesetzlich vorgesehenen Fristen (vgl. Art. 12 DSGVO).

10. Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik. Ziel ist ein dem Risiko angemessenes Schutzniveau.

Zu den Maßnahmen gehören insbesondere:

• SSL/TLS-Verschlüsselung aller Datenübertragungen (HTTPS)
• Regelmäßige Software-Updates und Sicherheits-Patches
• Zugriffsbeschränkungen und Rollenverwaltung
• Automatisierte Backups und Disaster-Recovery-Maßnahmen
• Rate Limiting und Spam-Schutz für Formulare
• Content Security Policy (CSP) Header, HSTS, Cross-Origin-Headers

11. Schriftarten (Lokal gehostet)

Diese Website nutzt Schriftarten, die beim Build-Prozess heruntergeladen und lokal von unserem Hetzner-Server ausgeliefert werden (next/font). Im First-Party-Site-Asset-Loading findet keine Verbindung zu Google Fonts oder anderen externen Schrift-CDNsstatt. Ihre IP-Adresse wird nicht an Drittanbieter übermittelt. Hinweis: Bei consent-aktivierten Google-Maps-Embeds (§ 16) lädt der Maps-iframe ggf. eigene Google-Fonts aus dem Google-CDN — diese unterliegen den Google-Maps-Datenschutzbestimmungen (§ 16).

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

12. Rechte der betroffenen Personen

Ihnen stehen als betroffene Person nach der DSGVO verschiedene Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen. Den Widerruf können Sie über unsere Cookie-Einstellungen oder per E-Mail an kontakt@seitengold.com vornehmen.

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

14. Aufbewahrung und Löschung (Übersicht)

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die fristen-spezifischen Aufbewahrungs-Regeln pro Verarbeitungs-Zweck finden Sie in der jeweiligen Detail-Sektion (Server-Logfiles → § 3, Kontaktformular → § 6, Konfigurator-Briefing → § 7, Newsletter → § 20).

Konsolidierte Aufbewahrungsfristen-Tabelle

• Server-Logs: 30 Tage (anonymisiert)
• Kontaktanfragen: 6 Monate nach Abschluss der Bearbeitung, sofern keine längere Aufbewahrung erforderlich
• Konfigurator-Briefings ohne Vertragsabschluss: spätestens 6 Monate (automatisierter Cleanup via scripts/gdpr-cleanup.mjs)
• Konfigurator-Briefings mit Vertragsabschluss: Bis zur Vertragsbeendigung zzgl. steuer-/handelsrechtliche Aufbewahrungspflichten (§ 257 HGB: 6 Jahre für Geschäftsbriefe; § 147 AO: 10 Jahre für buchhaltungsrelevante Belege)
• Cookie-Einwilligung (cc_cookie): 182 Tage (oder bis zum Widerruf in den Cookie-Einstellungen)
• Newsletter-Abonnenten: bis zur Abmeldung + 30 Tage Suppression-Liste, dann vollständige Löschung
• Geschäftliche Korrespondenz / Rechnungen: 6 Jahre (§ 257 HGB) bzw. 10 Jahre bei steuerlich relevanter Korrespondenz (§ 147 AO)
• Datenpannen-Dokumentation (Art. 33 Abs. 5 DSGVO): mindestens 5 Jahre intern aufbewahrt (Nachweis-Pflicht)

Sie können jederzeit die vorzeitige Löschung Ihrer Daten anfordern (Art. 17 DSGVO „Recht auf Vergessenwerden“), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Anfrage an kontakt@seitengold.com.

15. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Fassung kann jederzeit auf dieser Seite abgerufen werden.

Versionierung: Wir dokumentieren wesentliche Änderungen mit einer Versions-Nummer und einem Stand-Datum (siehe Header dieser Seite). Bei materiellen Änderungen — insbesondere Hinzufügung neuer Auftragsverarbeiter, Aufnahme von Drittland-Übermittlungen oder neuen Verarbeitungs-Zwecken — werden registrierte Newsletter-Empfänger und aktive Konfigurator-Leads proaktiv per E-Mail informiert.

Bei Bedarf an einer historischen Fassung dieser Datenschutzerklärung (z. B. für Audit-Zwecke) wenden Sie sich an kontakt@seitengold.com — wir halten alte Versionen versioniert vor.

16. Übermittlung in Drittländer (Schrems-II / Art. 44–49 DSGVO)

Standardfall — Browsing ohne Drittland-Übermittlung: Beim normalen Besüchen dieser Website (Öffnen einer Seite, Lesen, Konfigurator-Eingabe, Kontaktformular) findet keine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EU/EWR-Datenraums) statt. Der visitor-facing Tech-Stack ist auf EU-Datenraum-Konformität ausgelegt:

• Hosting: Hetzner Online GmbH, Falkenstein, Deutschland (EU)
• Datenbank: Supabase EU-Region Frankfurt (siehe Sektion 3.1, EU)
• Object-Storage: Hetzner Object Storage, Falkenstein (siehe Sektion 3.3, EU)
• KI-Chatbot: Mistral AI SAS, Paris, Frankreich (EU)
• E-Mail-Versand: Nodemailer + KAS Server e.K. SMTP (DE)
• Self-Hosted-Analytics (Umami): Hetzner-DE-Server (siehe Sektion 17)
• Schriftarten: lokal gehostet (siehe Sektion 11)

Konditionale Drittland-Übermittlungen:In drei spezifischen Konstellationen kommt es zu Datenflüssen außerhalb des EU-Datenraums. Wir nennen sie hier transparent:

1. Bei aktiver Scanner-Nutzung — Sub-Verarbeiter Cloudflare / Google Safe Browsing / PhishTank (USA): Wenn Sie unseren kostenlosen Scanner nutzen, werden die von Ihnen eingegebene Domainsowie der Hostname (NICHT Ihre IP-Adresse) an die in § 9.1 dieser Erklärung benannten Drittländer übermittelt. Die Empfänger sehen ausschließlich unsere Server-IP, nicht Ihre Browser-IP. Schutzgarantien: Cloudflare und Google sind DPF-zertifiziert; PhishTank operiert unter SCC. Eine Reduce-Variante des Scanners ohne Drittland-Calls kann jederzeit per E-Mail angefragt werden (siehe § 9.1).
2. Bei Auftragserteilung mit KI-Bilder-Bedarf — Sub-Verarbeiter Midjourney Inc. (USA, SCC): Sofern im Rahmen des Werkvertrages KI-generierte Bilder eingesetzt werden, werden strukturierte Stil- und Branchen-Prompts (z. B. Adjektive, Material-Metaphern, Branchen-Tags) an Midjourney Inc. übertragen. Schutz-Garantien: Standardvertragsklauseln (SCC 2021/914) im Annex zum Midjourney-Pro/Mega-Vertrag (DE-Variante). Es fließt keine Klartext-PII des Kunden oder seiner Endkunden in die Prompts ein. Details siehe AGB § 9a (3).
3. Bei Einwilligung — Google Analytics 4 / Google Maps (USA, DPF): Sofern Sie diese Kategorie im Cookie-Banner aktiv akzeptieren (siehe Sektion 18 + 22).

Detail-Beschreibung Google-Analytics-Drittland-Mechanik (nur bei Consent):

Wenn Sie über den Cookie-Banner aktiv die Kategorie Analyse-Cookies akzeptieren, aktivieren wir Google Analytics 4 (siehe Sektion 18). Hierdurch erfolgt eine Übermittlung von Verarbeitungs-Daten an die Google Ireland Limited (Hauptverarbeiter für EU); eine Weiterleitung an die Google LLC, USA kann je nach Service-Konfiguration erfolgen. Die USA gelten nach EuGH C-311/18 (Schrems-II, 16.07.2020) nicht als sicheres Drittland im Sinne von Art. 45 DSGVO.

Schutzgarantien (Art. 46 DSGVO):

• EU-US Data Privacy Framework (DPF, ab 10.07.2023): Google LLC ist DPF-zertifiziert; die EU-Kommission hat per Angemessenheitsbeschluss C(2023) 4745 (10.07.2023) ein angemessenes Datenschutz-Niveau festgestellt — gilt jedoch nur für DPF-zertifizierte US-Empfänger.
• EU-Standardvertragsklauseln (SCC) 2021/914: fallback für Konstellationen außerhalb des DPF.
• Transfer-Impact-Assessment (TIA, EDSA Recommendations 01/2020 v2.0): durchgeführt; ergänzende technische Maßnahmen aktiv (GA4 anonymisiert IP-Adressen technisch standardmäßig durch Truncation auf den letzten Octet/Block vor Speicherung; Consent Mode v2 mit Default-State denied;send_page_view: false bis Consent erteilt; kein Cross-Site-User-ID-Tracking; kein Demographics-Reporting; kein Server-Side-Tag-Manager).
• Widerruf: Einwilligung jederzeit über die Cookie-Einstellungen im Footer widerrufbar; bei Widerruf wird der Drittlandtransfer sofort eingestellt (Consent-Mode-v2 setztanalytics_storage auf denied).

Wenn Sie keinerlei Drittland-Übermittlung wünschen, lehnen Sie im Cookie-Banner einfach Analyse-Cookies ab. Die Kernfunktion der Website (Konfigurator, Kontaktformular, Chatbot) ist davon unabhängig nutzbar.

17. Self-Hosted Web-Analytics (Umami)

Zur statistischen Auswertung des Website-Besuchs setzen wir eine selbst-gehostete Instanz von Umami Analytics (Open-Source, MIT-License, Quelle: umami.is) ein.

• Anbieter: selbst betrieben (kein externer Dienstleister im Datenschutz-Sinne)
• Datenstandort: Hetzner Online GmbH, Falkenstein, Deutschland
• Domain: metrics.seitengold.com — brand-eigene Subdomain, geroutet auf unseren Umami-Server im Hetzner-Datacenter Falkenstein/Nürnberg
• Datenkategorien: aggregierte Seitenaufrufe, Referrer (Domain-Ebene), Browser-Familie, Bildschirm-Auflösung, Land (Länder-Code, kein City-Level-Tracking), Verweildauer pro Seite (Sekunden)
• Keine personenbezogenen Daten: Umami nutzt einen täglich rotierenden Hash aus IP-Adresse + User-Agent statt Cookies; eine Re-Identifikation einzelner Nutzer ist nicht möglich
• Speicherdauer: aggregierte Statistiken 36 Monate (zu Trend-Analyse); Einzelevent-Logs 90 Tage

Rechtsgrundlage: Berechtigtes Interesse an einer datensparsamen, DSGVO-konformen First-Party-Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO). Da keine personenbezogenen Daten und keine Cookies verarbeitet werden, ist nach § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG) keine Einwilligung erforderlich (Cookie-loses, technisch-erforderliches Reichweiten-Tracking; vgl. DSK-Orientierungshilfe Telemedien 2021, Ziff. 4.4.2).

Widerspruch (Art. 21 DSGVO): Sie können dem Tracking jederzeit widersprechen, indem Sie:

• den Hostnamen metrics.seitengold.comvia Browser-Erweiterung (z. B. uBlock Origin), System-Firewall oder DNS-Blocker (z. B. Pi-hole) blockieren — Ihr Browser übermittelt dann keine Daten an unseren Umami-Server, und wir können nichts erfassen;
• in Ihrem Browser Do Not Track oder Global Privacy Control (GPC) aktivieren — unsere Umami-Instanz ist serverseitig so konfiguriert, dass diese Header respektiert werden (Track Do Not Track: aus, Track GPC: aus, IP-Anonymisierung: an). Eine Bestätigung des aktuellen Konfigurationsstands erhalten Sie auf Anfrage;
• uns formlos per E-Mail an kontakt@seitengold.com kontaktieren — wir nehmen Ihren Browser-/Geräte-Hash vom jeweiligen Tag in eine serverseitige Ignore-Liste auf, sodass weitere Aufrufe Ihres Geräts statistisch nicht mehr gezählt werden. Da Umami täglich rotierende Hashes nutzt und keine Cookies setzt, ist eine permanente Wiedererkennung über mehrere Tage hinweg ohnehin technisch ausgeschlossen.

18. Optional: Google Analytics 4 (nur nach Einwilligung)

Sofern Sie über den Cookie-Banner die Kategorie Analyse-Cookiesaktiv akzeptieren, aktivieren wir zusätzlich zu unserer First-Party-Analytics auch Google Analytics 4 (GA4) für detailliertere User-Journey-Analysen.

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (EU-Hauptverarbeiter)
• Konzern-Mutter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Daten-Empfänger USA: Google LLC (DPF-zertifiziert nach Angemessenheitsbeschluss C(2023) 4745)
• AVV gemäß Art. 28 DSGVO: abgeschlossen ("Google Ads Data Processing Terms", Stand 2024)
• Datenkategorien: pseudonymisierte Client-ID (zufällige Token in _ga/_ga_*-Cookies), Seitenaufrufe, Verweildauer, Geräte- und Browser-Daten, anonymisierte IP-Adresse (gekürzt auf /24-IPv4 bzw. /80-IPv6 vor Speicherung), Referrer
• Konfiguration (technisch): Consent Mode v2 mit Default-State denied für ad_storage/ad_user_data/ad_personalization; send_page_view: false bis Consent erteilt; Server-Side-Tag-Manager nicht aktiv; kein Demographics-Reporting; kein User-ID-Tracking
• Speicherdauer (GA4-Property-Setting): 14 Monate (Minimum); danach automatische Löschung der Event-Daten in der Google-Datenbasis
• Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG
• Widerruf: jederzeit über Cookie-Einstellungen im Footer; bei Widerruf wird Consent Mode v2 sofort auf denied gesetzt — das Script bleibt zwar geladen, sendet aber keinerlei Daten mehr an Google
• Browser-Add-on: Google bietet ein Opt-out-Browser-Add-on unter tools.google.com/dlpage/gaoptout

Eine Übersicht zur GA4-Datenverarbeitung bietet Google unter policies.google.com/privacy sowie unter support.google.com/analytics/answer/6004245.

19. Konkrete Cookie-Tabelle (Art. 13 DSGVO + § 25 TDDDG)

Folgende Cookies und vergleichbare Technologien (localStorage/ sessionStorage) werden auf dieser Website eingesetzt. Die Liste wird bei Änderungen am Tech-Stack aktualisiert (Stand: April 2026).

Hinweis: Diese Tabelle gibt den Stand zum Veröffentlichungsdatum wieder. Konkret im Browser gesetzte Cookies können Sie jederzeit selbst über die Browser-Entwicklertools (F12 → Application/Storage → Cookies) einsehen. Sollten Sie Cookies vorfinden, die hier nicht aufgeführt sind, bitten wir um Hinweis an kontakt@seitengold.com — wir prüfen und ergänzen umgehend.

20. Newsletter (Double-Opt-In, § 7 Abs. 2 UWG)

Sofern Sie sich für unseren Newsletter anmelden, verarbeiten wir Ihre E-Mail-Adresse und optional Ihren Namen für den Versand projekt- oder branchen-relevanter Inhalte (z. B. Case-Studies, neue Service-Tier-Releases, technische Updates).

Double-Opt-In-Verfahren:

1. Sie geben Ihre E-Mail im Newsletter-Formular ein.
2. Sie erhalten eine Bestätigungs-E-Mail mit einem Aktivierungs-Link (Token-basiert, 48 Stunden gültig).
3. Erst nach Klick auf den Link wird Ihre Anmeldung aktiviert. Bis dahin werden keine Newsletter-Inhalte versendet.
4. Nicht-bestätigte Anmeldungen werden nach 48 Stunden automatisch gelöscht.

Rechtsgrundlage:Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) i. V. m. § 7 Abs. 2 UWG (Verbot unzumutbarer Belästigung — Schutz durch Double-Opt-In).

Versand-Infrastruktur: Nodemailer-Library auf Hetzner-DE (Application-Layer) → SMTP-Verbindung zu unserem deutschen Hosting-Provider All-Inkl (KAS Server e.K., Friedersdorf, DE; siehe Sektion 21 AVV-Liste). Kein externer E-Mail-Marketing-Provider (kein Mailchimp/SendGrid/Brevo/Resend); keine Drittland-Übermittlung.

Speicherdauer:bis zu Ihrer Abmeldung; danach 30 Tage Sperr-/Suppression-Liste (technische Schutz-Maßnahme gegen versehentliche Re-Anmeldung), dann vollständige Löschung.

Abmeldung: jederzeit über den Abmelde-Link am Ende jeder Newsletter-E-Mail oder per formloser Nachricht an kontakt@seitengold.com. Eine Begründung ist nicht erforderlich. Die Abmeldung ist kostenfrei und führt zu keinerlei Nachteil.

Wir nutzen Ihre E-Mail-Adresse nicht für andere Zwecke als den von Ihnen abonnierten Newsletter (kein Cross-Selling, kein Re-Targeting, keine Weitergabe an Werbe-Partner).

21. Auftragsverarbeiter-Liste (Art. 28 DSGVO — vollständig)

Im Sinne maximaler Transparenz nennen wir hier alle aktiven Auftragsverarbeiter (Service-Anbieter, die personenbezogene Daten in unserem Auftrag verarbeiten):

Hinweis Werkvertrags-Phase:Midjourney wird ausschließlich nach Auftragserteilung im Rahmen unseres Werkvertrages (BGB § 631) als Build-Sub-Verarbeiter für KI-Bildgenerierung tätig. Vor Vertragsabschluss fließen keine Briefing-Daten an diesen Anbieter. Eine vollständige Beschreibung des Build-Tool-Stacks finden Sie in unseren AGB § 3a Liefer-Stack und § 7c KI-Verordnung.

Hinweis Scanner-Phase:Cloudflare, Google LLC (Safe Browsing) und PhishTank werden nur dann angesprochen, wenn ein Visitor aktiv den Scanner nutzt. Beim regulären Lesen unserer Website werden diese Sub-Verarbeiter nicht eingebunden.

Bei Aufnahme zukünftiger Dienstleister werden wir diese Liste sowie die betreffende Sektion dieser Datenschutzerklärung vor Aktivierung anpassen und — soweit consent-basiert — den Cookie-Banner um die entsprechende Kategorie erweitern.

Eine Kopie der einzelnen AVV können Sie auf Anfrage und nach Glaubhaftmachung Ihres berechtigten Interesses (z. B. als Aufsichtsbehörde, betroffene Person mit konkreter Anfrage) erhalten. Anfrage an kontakt@seitengold.com.

22. Eingebettete Inhalte (Google Maps Iframe auf /kontakt)

Auf der Kontakt-Seite (/kontakt) kann optional eine Google-Maps-Karte als Iframe eingebettet werden, um Ihnen die Anfahrt zu unserer Postanschrift zu visualisieren.

• Anbieter: Google Ireland Limited (Hauptverarbeiter EU)
• Datenstandort: EU + ggf. USA (DPF-Mechanismus)
• Aktivierung: nur nach expliziter Einwilligung in der Cookie-Banner-Kategorie "Marketing & externe Inhalte" (Service: Google Maps); per-Service-Granularität ist dort wählbar
• Datenkategorien: Ihre IP-Adresse + Standort-Anfrage werden bei Iframe-Aufruf an Google übermittelt
• Rechtsgrundlage: Einwilligung Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG
• Widerruf: Cookie-Einstellungen im Footer; bei Widerruf bleibt die /kontakt-Seite vollständig nutzbar — die Karte wird durch eine statische Adress-Ansicht ersetzt

Alternative ohne Drittland-Einbindung: Sie finden die Adresse unverändert im Impressum sowie auf der Kontakt-Seite als klar lesbarer Text. Eine Iframe-Aktivierung ist für die Kontakt-Aufnahme nicht erforderlich.

23. Datenpannen-Kommunikation (Art. 33/34 DSGVO)

Im Falle einer Datenpanne mit Risiko für die Rechte und Freiheiten natürlicher Personen werden wir die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden ab Bekanntwerden informieren. Bei voraussichtlich hohem Risiko werden wir die betroffenen Personen unverzüglich gemäß Art. 34 DSGVO benachrichtigen.

Unsere internen Prozesse hierzu folgen dem Datenpannen-Runbook nach Art. 33 Abs. 5 DSGVO (Sofortmaßnahmen Stunde 0–1, Eskalations-Trigger, Risiko-Bewertung nach EDSA Guidelines 9/2022, Forensik, Behörden-Meldung, Betroffenen-Information, interne Lessons-Learned).

Meldung von Sicherheits-Vorfällen durch Sie: Sollten Sie Hinweise auf eine Sicherheitslücke oder einen Datenleak im Zusammenhang mit dieser Website haben, melden Sie diese bitte direkt an kontakt@seitengold.com oder über unsere security.txt. Wir bestätigen den Eingang innerhalb von 24 Stunden und arbeiten an Klärung und ggf. Mitigation.