Datenschutzerklärung

Rechtmäßigkeit (Art. 5 Abs. 1 lit. a, Art. 6 DSGVO)

Wir verarbeiten personenbezogene Daten ausschließlich auf einer gesetzlichen Grundlage (insb. Vertrag/Vertragserfüllung, Einwilligung, berechtigte Interessen, rechtliche Pflichten). Bei Einwilligungen informieren wir vorab, dokumentieren die Zustimmung nachweisbar (Zeitstempel/Scope) und ermöglichen jederzeitigen Widerruf mit Wirkung für die Zukunft.

Zweckbindung (Art. 5 Abs. 1 lit. b)

Daten werden nur zu eindeutig festgelegten, legitimen Zwecken verarbeitet (z. B. Website-Bereitstellung, Kontaktformular-Bearbeitung, Supportkommunikation). Zweckänderungen prüfen wir nach Art. 6 Abs. 4 DSGVO (Kompatibilitätsprüfung).

Transparenz (Art. 5 Abs. 1 lit. a, Art. 12–14)

Wir informieren klar und verständlich über Zwecke, Rechtsgrundlagen, Speicherdauern, Empfänger, Drittlandbezüge, Rechte der Betroffenen sowie über die Freiwilligkeit/Pflicht zur Bereitstellung. Änderungen dieser Erklärung werden versioniert und auf der Website veröffentlicht.

Datenminimierung (Art. 5 Abs. 1 lit. c)

Wir erheben nur Daten, die für die jeweilige Funktion erforderlich sind. Die Website verzichtet bewusst auf Tracking/Analytics und Marketing-Cookies. Verarbeitet werden ausschließlich technisch notwendige Daten.

Speicherbegrenzung (Art. 5 Abs. 1 lit. e)

Wir speichern Daten nur so lange, wie es für die Zwecke nötig ist oder gesetzliche Pflichten bestehen. Konkrete Fristen und Löschkonzepte sind in Kapitel 10 beschrieben.

Richtigkeitsprinzip (Art. 5 Abs. 1 lit. d)

Wir treffen angemessene Maßnahmen, damit gespeicherte Daten sachlich richtig und aktuell sind. Korrekturen werden auf Anfrage vorgenommen.

Schutzziele (Art. 5 Abs. 1 lit. f, Art. 32)

Wir gewährleisten Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung in Transit (TLS), Server-seitige Sicherheit, Zugriffskontrollen (Least Privilege), Protokollierung/Audit, Server-Härtung/Firewalls, Backup-/Recovery-Konzepte, Verfahren zur Incident-Response inkl. Meldungen nach Art. 33/34 DSGVO. Details in Kapitel 11.

Vertraulichkeit auf der Website

Keine Weitergabe von Kontaktdaten ohne ausdrückliche Zustimmung. Minimale Datenverarbeitung durch bewussten Verzicht auf Tracking.

Zugriff durch Dritte

Auftragsverarbeiter handeln weisungsgebunden auf Basis von Art. 28 DSGVO und entsprechenden Vereinbarungen; Sub-Prozessoren werden kontrolliert eingebunden (siehe Kapitel 8–9).

By Design (Art. 25 Abs. 1)

Die Website ist so konzipiert, dass möglichst wenig personenbezogene Daten verarbeitet werden (kein Tracking, minimale Logfiles, bewusster Verzicht auf Analytics).

By Default (Art. 25 Abs. 2)

Datenschutzfreundliche Voreinstellungen: Kein Tracking aktiviert, keine Marketing-Cookies, keine Analytics, minimale Server-Logs.

Accountability (Art. 5 Abs. 2)

Wir dokumentieren Verarbeitungen (Verzeichnis nach Art. 30), steuern Rechtsgrundlagen/Einwilligungen, prüfen bei Bedarf DPIA (Art. 35) und schulen Prozesse für Betroffenenrechte, Löschungen und Incidents.

6.1.1 Verarbeitete Protokolldaten (typisch)

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs (Zeitstempel)
• Abgerufene Ressource/URL, HTTP-Methode (z. B. GET/POST)
• Statuscode (z. B. 200, 404, 500), übertragene Datenmenge
• Referrer-URL (die zuvor besuchte Seite, falls vom Browser übermittelt)
• Benutzeragent (Browser-/Betriebssystem-Typ und Version, Endgerätetyp)
• Fehler-/Diagnoseeinträge in Fehlerprotokollen (z. B. Fehlerverfolgung bei Serverfehlern)
• Serverseitige Schutzsignale (z. B. Rate-Limit-Treffer, Firewall-Events, Bot-/Spam-Indikatoren)

• Keine Inhaltsauswertung: Es findet keine Analyse der Inhalte Ihrer Eingaben zu Marketing-/Profilingzwecken statt.
• Keine Zusammenführung mit anderen Datenquellen (z. B. App-Nutzungsdaten).

6.1.2 Zwecke der Verarbeitung

• Betrieb & Funktionsfähigkeit der Website, Auslieferung der Inhalte
• Sicherheit/Abwehr von Angriffen, Missbrauchs- und Betrugsprävention (z. B. DDoS-Erkennung, Bot-Abwehr, Firewall-Regeln)
• Fehleranalyse & Stabilität, Performance-Monitoring, Kapazitätsplanung
• Nachvollziehbarkeit bei technischen Störungen und rechtswidrigen Zugriffen

6.1.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – sicherer, stabiler Websitebetrieb und Abwehr von Angriffen
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – sofern und soweit wir gesetzlich verpflichtet sind, Daten auf Anordnung bereit- oder vorzuhalten (z. B. im Rahmen von Ermittlungen)

6.1.4 Aufbewahrungszeit & Löschung

• Zugriffsprotokolle: kurzfristige Aufbewahrung zum technischen Betrieb (i. d. R. 7–14 Tage).
• Fehlerprotokolle/Sicherheitsereignisse: Speicherung bis zur Behebung/Aufklärung des Vorfalls; bei Sicherheitsvorfällen kann eine temporäre Verlängerung erforderlich sein.
• Danach Löschung oder Anonymisierung (z. B. Kürzung der IP-Adresse).

Konkrete Fristen richten sich nach der technischen Notwendigkeit beim Hosting-Betrieb; es erfolgt keine längerfristige Aufbewahrung zu Marketing-Zwecken.

6.1.5 Empfänger & Auftragsdatenverarbeitung

• Hosting-/Betriebsdienstleister (Rechenzentrum/Managed Hosting) als Auftragsverarbeiter gem. Art. 28 DSGVO – Verarbeitung streng zweckgebunden nach Weisung.
• IT-Sicherheitsdienstleister (falls eingeschaltet) im Rahmen von Störungs-/Incident-Analysen – ebenfalls auftragsverarbeitet.
• Behörden/Strafverfolgung – nur im gesetzlich vorgesehenen Rahmen und bei entsprechender Verpflichtung.

6.1.6 Trennung von anderen Daten / Keine Profilbildung

• Server-Logfiles werden getrennt von sonstigen nutzerbezogenen Daten geführt (z. B. Kontaktformulardaten, siehe 6.2).
• Keine Profilbildung, keine webseitenübergreifende Verfolgung, keine Marketing-/Analysezwecke.

6.1.7 Sicherheit der Datenverarbeitung

• TLS-Verschlüsselung (HTTPS) für Transportwege
• Härtung & Firewalling auf Server-/Anwendungsebene, Rate-Limiting, Bot-/Spam-Schutz
• Zugriffs-/Rollenprinzip (Need-to-Know), Administrations-Zugriffe protokolliert
• Regelmäßige Updates/Patches (Website, Server-Stack)

In Verbindung mit Abschnitt 6.4 (Cookies & Tracking) bestätigen wir, dass keine Analytics-/Marketing-Cookies gesetzt und keine Dritt-Tracker geladen werden.

6.2.1 Funktionsbeschreibung (Website)

• Kontaktformular: Übermittlung der Formularfelder an den Webserver; sofortige Weiterleitung als E-Mail an unsere Zielpostfächer.
• Kein Ticket-System: Es existiert kein separates Helpdesk; Vorgänge werden als E-Mails bearbeitet.
• Keine DB-Ablage: Formularinhalte werden nicht persistent auf der Website gespeichert (ausgenommen kurzzeitige technische Pufferspeicher/Fehler-Queues, sofern erforderlich).

6.2.2 Verarbeitete Daten (Inhalte)

• Pflicht-/Freiwilligfelder (formularabhängig): Name (optional), E-Mail-Adresse, Betreff, Nachricht; optional Telefonnummer/Anhang, wenn bereitgestellt.
• Metadaten: Versand-/Empfangszeit, technische Header (Message-ID, Routing), Zustellstatus.
• Serverlogs (siehe 6.1): Zeitpunkt, IP, User-Agent nur im Rahmen des Webseitenaufrufs (Betrieb/Sicherheit).

Bitte keine sensiblen Inhalte: Übermitteln Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) über das Formular/E-Mail, es sei denn, dies ist erforderlich und ausdrücklich gewünscht (siehe 6.2.9).

6.2.3 Zwecke

• Bearbeitung Ihrer Anfrage, Rückfragen und Kommunikation.
• Nachweis und Dokumentation der Vorgangsbearbeitung, soweit erforderlich.
• Sicherstellung der Zustellbarkeit/Fehleranalyse (ProtonMail-Versandlogs).

6.2.4 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), wenn die Anfrage auf Vertragsbezug/Nutzung abzielt.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für allgemeine Kommunikation, Supportorganisation sowie IT-Sicherheit/Zustellbarkeit (minimale Protokolle).
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht), sofern Aufbewahrung/Nachweis gesetzlich erforderlich ist (nur soweit personenbezogen).
• Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO bei freiwilliger Übermittlung sensibler Daten (ausdrückliche Einwilligung erforderlich).

6.2.5 Empfänger / Auftragsverarbeiter

• ProtonMail (Proton AG, Schweiz) – für den E-Mail-Versand des Formulars (angemessenes Datenschutzniveau nach Art. 45 DSGVO; keine planmäßige Drittlandübermittlung).
• Mail-Provider/Mail-Clients – Zustellung/Abholung der E-Mails (Transport-TLS).
• Keine Weitergabe zu Werbe-/Analysezwecken; keine sonstigen Dritten, außer wenn rechtlich verpflichtet (Behörden/Strafverfolgung).

6.2.6 Aufbewahrungszeit & Löschung

• E-Mail-Postfach: Keine automatische Löschung; manuelle Löschung nach Problemlösung.
• ProtonMail-Versandlogs: Nach ProtonMail-Richtlinien (siehe Datenschutzerklärung von Proton AG).
• Rechts-/Nachweispflichten: Soweit einschlägig (z. B. Korrespondenz mit Vertragsbezug), Aufbewahrung nach gesetzlichen Fristen; sonst Löschung nach Zweckerreichung.

6.2.7 Sicherheit

• Transportverschlüsselung: Formular → Server → ProtonMail → Zielpostfach via TLS/Ende-zu-Ende-Verschlüsselung.
• Spam-/Missbrauchsschutz: Validierungen/CSRF-Schutz (ohne Tracking); keine Marketing-Pixel.
• Zugriffsschutz: Zugriff nur für befugte Personen (Need-to-Know), Administrationszugriffe protokolliert; starke Passwörter/MFA.

6.2.8 Freiwilligkeit & Folgen der Nichtbereitstellung

• Die Angabe Ihrer E-Mail-Adresse und einer Nachricht ist für die Bearbeitung erforderlich. Ohne ausreichende Angaben ist eine sinnvolle Rückmeldung ggf. nicht möglich.
• Alternativen: Direkter Versand per E-Mail oder Post (siehe Kontakte in Abschnitt 2.2).

6.2.9 Besondere Kategorien (Art. 9 DSGVO)

• Bitte keine sensiblen Daten (z. B. Gesundheitsdaten) per Formular/E-Mail übermitteln.
• Falls dies ausnahmsweise erforderlich ist, erfolgt die Verarbeitung nur mit Ihrer ausdrücklichen Einwilligung allein zum Zweck der Anliegenbearbeitung; danach Löschung, sofern keine Pflichtgründe entgegenstehen.

6.2.10 Transparenzhinweise (Verweise)

• ProtonMail (Datenverarbeitung in der Schweiz; angemessenes Datenschutzniveau): Weitere Informationen unter https://proton.me/legal/privacy
• E-Mail-Sicherheit: E-Mails sind durch ProtonMail Ende-zu-Ende-verschlüsselt. Zusätzliche PGP/SMIME-Verschlüsselung möglich, wenn Sie besonders schützenswerte Inhalte senden.

6.3.1 Status

• Auf der Website ist keine Registrierung für Besucher vorgesehen.
• Es werden keine Nutzerkonten für Website-Funktionen (z. B. Kommentare, Shop, Kundenbereich) angeboten.
• Es sind keine benutzerrelevanten Datenverarbeitungen für Website-Logins implementiert.

6.3.2 Aktuelle Datenverarbeitung

• Da keine Registrierung auf der Website möglich ist, findet keine entsprechende Verarbeitung (Erhebung, Speicherung oder Nutzung von Registrierungsdaten) statt.
• Es werden keine Passwörter, keine Benutzerprofile und keine Social-Logins auf der Website verarbeitet.

6.3.3 Vorausschau (falls künftig aktiviert)

Sollte künftig eine optionale Website-Registrierung eingeführt werden (z. B. für Support-Portal, Kundenbereich, Schulungsmaterial), gelten – erst ab Aktivierung – entsprechende Datenschutzgrundsätze. Vor dem Start werden wir diese Datenschutzerklärung aktualisieren und – sofern erforderlich – Einwilligungen einholen.

6.4.1 Einsatzübersicht

• Keine Tracking-/Analyse-Cookies, keine Marketing-/Retargeting-Cookies, keine Drittanbieter-Pixels.
• Technisch notwendige Cookies (z. B. Session, CSRF/Sicherheits-Tokens, Spracheinstellungen).
• Kein Consent-Management erforderlich, da keine optionalen Tracking-Kategorien aktiv sind.

6.4.2 Technisch notwendige Cookies (Beispiele)

• Sitzungs-/Security-Cookies: zur Auslieferung der Seite, Sitzungssteuerung, CSRF-Schutz.
• Spracheinstellungs-Cookie: speichert Ihre gewählte Sprache (Deutsch/Englisch).
• Eigenschaften: rein funktional, kein Tracking über Websites hinweg, keine Profilbildung.

6.4.3 Keine Statistik-/Marketing-Cookies

• Es werden keine Dienste wie Google Analytics, Facebook Pixel, Hotjar o. Ä. geladen.
• Externe Inhalte/Fonts werden self-hosted eingebunden, damit keine zusätzlichen Tracking-Cookies gesetzt werden.
• Bei zukünftiger Einführung optionaler Dienste erfolgt vorher: 1. Aktualisierung dieser Datenschutzerklärung, 2. Einholung einer Einwilligung über entsprechendes Consent-Management.

6.4.4 Rechtsgrundlagen

• Technisch notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, funktionsfähigem Betrieb).
• Optional-Kategorien (derzeit keine aktiv): würden ausschließlich auf Basis Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) gesetzt.

6.4.5 Kontrolle & Internetbrowser-Einstellungen

• Browser-Einstellungen: Sie können Cookies auf Browser-Ebene löschen/blockieren.
• Folgen: Bei Blockierung aller Cookies können bestimmte Website-Funktionen (z.B. Spracheinstellungen) nicht mehr funktionieren.
• Die Website bleibt grundsätzlich auch ohne Cookies nutzbar.

6.4.6 Aufbewahrungszeiten & Löschung

• Sitzungs-Cookies: Session-basiert (bis Browser-Schließen).
• Spracheinstellungs-Cookie: 30 Tage, danach automatische Löschung.
• Vorzeitige Löschung: jederzeit durch Browser-Einstellungen möglich.

Transparenz & Nachweis

Einwilligungen werden klar erläutert, pro Zweck eingeholt und protokolliert (Zeitpunkt, Umfang/Scope). Bei optionalen Diensten wird entsprechendes Consent-Management eingesetzt.

Widerruf

jederzeit mit Wirkung für die Zukunft möglich – über Website-Einstellungen (falls zukünftig optionale Dienste angeboten werden), sowie über Browser-Einstellungen (Cookies).

Folgen eines Widerrufs

Funktionsfähigkeit der Website bleibt grundsätzlich erhalten; die jeweils betroffene optionale Funktion (z. B. erweiterte Analytics, Marketing-Tools) wird nicht mehr genutzt.

Ergänzend (Deutschland/ePrivacy): § 25 TTDSG

• Für das Speichern/Auslesen von Informationen auf Endgeräten (z. B. Cookies, Tracking-IDs) ist – außerhalb technisch notwendiger Fälle – grundsätzlich vorherige Einwilligung erforderlich.
• Unser Einsatz: nur technisch notwendige Cookies (Session, Spracheinstellungen), keine Statistik-/Marketing-Cookies (6.4).

Grundsatz

Wir verarbeiten keine besonderen Kategorien (Art. 9 Abs. 1 DSGVO) außer wenn Sie diese freiwillig in Kontaktformularen oder E-Mails übermitteln (z. B. Gesundheitsdaten bei support-relevanten Anfragen).

Rechtsgrundlage

Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), erteilt durch Ihre freiwillige Angabe; die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet.

Verarbeitung

• Keine systematische Erhebung sensibler Daten.
• Keine Übermittlung solcher Inhalte an Dritte ohne ausdrückliche Zustimmung.
• Keine Verarbeitung zu medizinischen Zwecken, keine Profilbildung auf Basis sensibler Daten.
• Löschung nach Zweckerreichung (Bearbeitung der Anfrage), sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Bewerbungsverfahren (nur falls genutzt, siehe 15)

Soweit Bewerber freiwillig sensible Angaben machen, Verarbeitung ebenfalls nur nach Art. 9 Abs. 2 lit. a DSGVO; ergänzend § 26 BDSG (Deutschland) für Beschäftigtendaten.

8.1.1 Rolle, Vertrag & Geltungsbereich

• Rolle: ProtonMail verarbeitet E-Mail-Kommunikation als eigener Verantwortlicher für die E-Mail-Infrastruktur. Wir nutzen ProtonMail für geschäftliche Kommunikation und Kontaktformular-Weiterleitung.
• Vertragliche Grundlage: Nutzungsvertrag mit Proton AG inkl. deren Datenschutzerklärung und Geschäftsbedingungen.
• Weisungsgebundenheit: ProtonMail agiert als eigenverantwortlicher E-Mail-Provider, nicht als Auftragsverarbeiter im klassischen Sinne.

8.1.2 Verarbeitungsgegenstand & Datenkategorien

• Inhaltsdaten: E-Mail-Inhalte aus Kontaktformular-Übermittlungen (Name optional, E-Mail-Adresse, Betreff, Nachricht).
• Kommunikationsdaten: E-Mail-Korrespondenz zwischen uns und Website-Besuchern.
• Metadaten: E-Mail-Header, Zeitstempel, Routing-Informationen.
• Konto-Daten: Unsere geschäftlichen E-Mail-Adressen und Konto-Informationen.

8.1.3 Zwecke der Verarbeitung

• Bereitstellung der E-Mail-Infrastruktur für geschäftliche Kommunikation.
• Weiterleitung und Speicherung von Kontaktformular-Anfragen.
• Ermöglichung sicherer, verschlüsselter E-Mail-Kommunikation.
• Betriebssicherheit und Spam-/Missbrauchsschutz auf E-Mail-Ebene.

8.1.4 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) für die Bearbeitung von Kontaktanfragen.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für sichere geschäftliche Kommunikation und IT-Sicherheit.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht) soweit Aufbewahrung/Nachweis gesetzlich erforderlich ist.

8.1.5 Standort & internationale Übermittlungen

• Primärer Verarbeitungsort: Schweiz (Proton AG, Genf).
• Rechtlicher Status: Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach Art. 45 DSGVO.
• Keine planmäßigen Drittlandübermittlungen außerhalb des angemessenen Datenschutzniveaus.
• Server-Standorte: Ausschließlich in der Schweiz (keine Cloud-Anbieter in Drittländern).

8.1.6 Technische & organisatorische Maßnahmen (TOMs)

• Ende-zu-Ende-Verschlüsselung: Alle E-Mails werden automatisch verschlüsselt.
• Zero-Access-Architektur: ProtonMail kann E-Mail-Inhalte nicht im Klartext einsehen.
• Transport-Verschlüsselung: TLS für alle Verbindungen.
• Server-Sicherheit: Physische Sicherheit in Schweizer Rechenzentren, Zugriffskontrolle, Überwachung.
• Compliance: SOC 2 Type II, ISO 27001 Zertifizierungen.

8.1.7 Speicherdauern & Löschung

• E-Mail-Postfach: Keine automatische Löschung durch ProtonMail; manuelle Verwaltung durch uns.
• Unsere Löschpraxis: E-Mails werden nach Zweckerreichung (Bearbeitung der Anfrage) gelöscht, spätestens nach 2 Jahren.
• Gesetzliche Aufbewahrung: Soweit handels-/steuerrechtliche Aufbewahrungspflichten bestehen.
• ProtonMail-Logs: Minimale Verbindungslogs für Sicherheitszwecke, begrenzte Aufbewahrung.

8.1.8 Betroffenenrechte & Transparenz

• Auskunft/Löschung/Berichtigung: Anfragen werden direkt von uns bearbeitet.
• ProtonMail-Support: Bei technischen Fragen zur E-Mail-Infrastruktur.
• Transparenz: Vollständige Informationen in der ProtonMail-Datenschutzerklärung.
• Beschwerderecht: Bei ProtonMail-Datenschutzbeauftragten oder Schweizer Aufsichtsbehörde.

8.1.9 Besondere Hinweise & Kontrollen

• Hohe Sicherheit: Ende-zu-Ende-Verschlüsselung und Zero-Access-Architektur bieten zusätzlichen Schutz.
• Freiwilligkeit: Nutzung des Kontaktformulars ist freiwillig; alternative Kontaktwege verfügbar.
• Keine Marketing-Nutzung: E-Mail-Adressen werden nicht für Newsletter/Marketing verwendet.
• PGP-Unterstützung: Zusätzliche Verschlüsselung bei besonders sensiblen Inhalten möglich.

8.1.10 Verweise & weitere Informationen

• ProtonMail Datenschutzerklärung: https://proton.me/legal/privacy
• ProtonMail Transparenzbericht: https://proton.me/legal/transparency
• Schweizer Datenschutzrecht: https://www.edoeb.admin.ch/

8.2.1 Rolle & Geltungsbereich

• Rolle: Der Hosting-Anbieter verarbeitet technische Daten als Auftragsverarbeiter gem. Art. 28 DSGVO.
• Geltungsbereich: Bereitstellung der Server-Infrastruktur für impressum.gobbltech.com.
• Vertragliche Grundlage: Auftragsverarbeitungsvertrag (AVV) mit entsprechenden technischen und organisatorischen Maßnahmen.

8.2.2 Verarbeitete Datenkategorien

• Server-Logfiles: IP-Adressen, Zeitstempel, aufgerufene URLs, HTTP-Status-Codes.
• Technische Metadaten: User-Agent, Referrer, übertragene Datenmenge.
• Sicherheitslogs: Firewall-Events, Angriffserkennung, Rate-Limiting-Daten.
• Performance-Daten: Ladezeiten, Server-Auslastung (anonymisiert).

8.2.3 Zwecke & Rechtsgrundlagen

• Zwecke: Website-Bereitstellung, technischer Betrieb, Sicherheit, Fehleranalyse.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Website-Betrieb).
• Interessenabwägung: Technische Notwendigkeit überwiegt minimal invasive Datenverarbeitung.

8.2.4 Technische & organisatorische Maßnahmen

• Verschlüsselung: TLS 1.3 für alle Verbindungen, verschlüsselte Speicherung.
• Zugriffskontrolle: Rollenprinzip, Multi-Faktor-Authentifizierung, Audit-Logs.
• Netzwerksicherheit: Firewalls, DDoS-Schutz, Intrusion Detection.
• Backup & Recovery: Verschlüsselte Backups, Disaster Recovery Pläne.
• Compliance: ISO 27001, SOC 2 oder vergleichbare Zertifizierungen.

8.2.5 Speicherdauern & Löschung

• Zugriffs-Logs: 7-14 Tage für technischen Betrieb.
• Sicherheitslogs: Bis zur Behebung von Sicherheitsvorfällen.
• Error-Logs: Bis zur Problembehebung, maximal 30 Tage.
• Automatische Löschung: Nach Ablauf der technischen Aufbewahrungsfristen.

8.2.6 Standort & Datenschutzniveau

• Server-Standort: Europäische Union (Deutschland/Frankreich/Niederlande).
• Keine Drittlandübermittlung: Alle Daten verbleiben in der EU.
• DSGVO-Compliance: Vollständige Einhaltung europäischer Datenschutzstandards.

8.3.1 Content Delivery Network (CDN) - falls eingesetzt

• Zweck: Beschleunigung der Website-Auslieferung durch geografisch verteilte Server.
• Datenverarbeitung: Anonymisierte Performance-Daten, keine Tracking-Cookies.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Performance).
• Standort: Nur EU-basierte CDN-Anbieter mit DSGVO-Compliance.

8.3.2 SSL-Zertifikat-Anbieter

• Zweck: Bereitstellung und Verwaltung von SSL/TLS-Zertifikaten.
• Datenverarbeitung: Domain-Validierung, technische Metadaten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit).
• Typische Anbieter: Let's Encrypt, DigiCert (mit entsprechenden Garantien).

8.3.3 Domain-Registrar

• Zweck: Registrierung und Verwaltung der Domain gobbltech.com.
• Datenverarbeitung: WHOIS-Daten, technische DNS-Verwaltung.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht zur Domain-Registrierung).
• Datenschutz: WHOIS-Privacy-Schutz bei persönlichen Daten aktiviert.

Primäre Verarbeitung

Die Hauptverarbeitung (Website-Hosting, Server-Logs, Kontaktformular) erfolgt ausschließlich in der Europäischen Union.

Minimale internationale Übermittlungen

Lediglich die E-Mail-Kommunikation über ProtonMail erfolgt in die Schweiz, die über einen EU-Angemessenheitsbeschluss verfügt.

Keine Tracking-Übermittlungen

Da wir bewusst auf Tracking, Analytics und Marketing-Tools verzichten, entfallen die typischen Drittland-Übermittlungen an US-amerikanische Tech-Konzerne.

Angemessenes Datenschutzniveau

Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach Art. 45 DSGVO. Übermittlungen an ProtonMail (Proton AG, Schweiz) sind daher ohne zusätzliche Garantien zulässig.

Übermittelte Datenkategorien

E-Mail-Inhalte aus Kontaktformular-Übermittlungen und geschäftlicher Korrespondenz.

Zusätzlicher Schutz

ProtonMail bietet Ende-zu-Ende-Verschlüsselung und Zero-Access-Architektur, wodurch ein Datenschutzniveau erreicht wird, das über die DSGVO-Mindestanforderungen hinausgeht.

Rechtlicher Rahmen

Schweizer Datenschutzrecht (nDSG) bietet ein mit der DSGVO vergleichbares Schutzniveau. ProtonMail unterliegt zudem strengen Schweizer Gesetzen zum Schutz der Privatsphäre.

Server-Standorte

Alle Website-Server befinden sich in der Europäischen Union (Deutschland/Frankreich/Niederlande).

Datenresidenz

Website-Daten (Server-Logs, technische Daten, temporäre Dateien) verbleiben vollständig in der EU.

Keine Drittlandübermittlungen

Für den Website-Betrieb erfolgen keine Übermittlungen in Länder außerhalb der EU/EWR.

EU-Compliance

Alle Hosting-Dienstleister sind vollständig DSGVO-konform und unterliegen europäischem Datenschutzrecht.

Bewertungsrahmen

Sollten künftig Dienste mit internationalen Datenübermittlungen eingeführt werden, erfolgt vorab eine Angemessenheitsprüfung und Transfer-Impact-Assessment.

Schutzmechanismen

• EU-Angemessenheitsbeschlüsse (Art. 45 DSGVO) für Länder mit vergleichbarem Datenschutzniveau
• EU-Standardvertragsklauseln (SCC) nach Art. 46 lit. c DSGVO
• EU-US Data Privacy Framework (DPF) für zertifizierte US-Anbieter
• Zusätzliche technische/organisatorische Maßnahmen (TOMs) als Safeguards

Technische Schutzmaßnahmen

• Ende-zu-Ende-Verschlüsselung bei der Datenübertragung
• Verschlüsselung ruhender Daten (at rest)
• Pseudonymisierung und Datenminimierung
• EU-Proxy-Architekturen zur IP-Abschirmung
• Starke Authentifizierung und Zugriffskontrolle

Keine US-Tech-Konzerne

Bewusster Verzicht auf Google Analytics, Facebook Pixel, Amazon Web Services und ähnliche Dienste, die regelmäßig zu problematischen Drittlandübermittlungen führen.

Keine Tracking-Netzwerke

Keine Einbindung von Werbenetzwerken, Social Media Plugins oder Marketing-Tools mit internationalen Datenflüssen.

Self-Hosting-Ansatz

Fonts, JavaScript-Bibliotheken und CSS-Frameworks werden selbst gehostet, um externe Abhängigkeiten und ungewollte Datenübermittlungen zu vermeiden.

Privacy by Design

Architekturentscheidungen folgen dem Grundsatz der Datenminimierung und berücksichtigen internationale Datenschutzrisiken von Beginn an.

Informationsrechte

Sie haben das Recht, über alle internationalen Übermittlungen Ihrer Daten informiert zu werden (Art. 13, 14 DSGVO).

Widerspruchsrecht

Bei Übermittlungen auf Basis berechtigter Interessen können Sie der Verarbeitung widersprechen (Art. 21 DSGVO).

Widerruf von Einwilligungen

Sollten künftig optionale Dienste mit Drittlandübermittlung auf Basis von Einwilligungen angeboten werden, können Sie diese jederzeit widerrufen.

Beschwerderecht

Bei Bedenken zu internationalen Datenübermittlungen können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden (siehe Abschnitt 2.5).

Rechtsentwicklung

Wir verfolgen aktiv Änderungen im internationalen Datenschutzrecht und passen unsere Praxis entsprechend an.

Angemessenheitsbeschlüsse

Änderungen bei EU-Angemessenheitsbeschlüssen (z.B. für die Schweiz, UK) werden berücksichtigt und dokumentiert.

Dokumentation

Diese Datenschutzerklärung wird bei Änderungen der internationalen Datenflüsse zeitnah aktualisiert.

Transparenz-Verpflichtung

Wesentliche Änderungen bei internationalen Übermittlungen werden proaktiv kommuniziert.

Zugriffs-Logs (Access-Logs)

IP-Adressen, Zeitstempel, aufgerufene URLs, HTTP-Status-Codes, User-Agent, Referrer

Speicherdauer: 7-14 Tage für technischen Betrieb

Zweck: Website-Funktionsfähigkeit, Performance-Monitoring

Automatische Löschung nach Ablauf der Aufbewahrungsfrist

Fehler-Logs (Error-Logs)

Serverfehler, Anwendungsfehler, Debugging-Informationen

Speicherdauer: Bis zur Problembehebung, maximal 30 Tage

Zweck: Fehleranalyse, Stabilitätsverbesserung

Manuelle Löschung nach Problembehebung oder automatisch nach 30 Tagen

Sicherheits-Logs

Firewall-Events, Angriffserkennung, Rate-Limiting-Daten, Bot-Detection

Speicherdauer: Bis zur Behebung/Aufklärung des Sicherheitsvorfalls

Zweck: IT-Sicherheit, Angriffsabwehr, Incident-Response

Löschung nach Vorfallsaufklärung, bei längeren Investigations max. 90 Tage

Kontaktformular-Daten

Name (optional), E-Mail-Adresse, Betreff, Nachrichteninhalt

Speicherdauer: Bearbeitung der Anfrage + 2 Jahre

Zweck: Anliegenbearbeitung, Nachvollziehbarkeit

Manuelle Löschung nach Zweckerreichung, spätestens nach 2 Jahren

E-Mail-Korrespondenz (ProtonMail)

Geschäftliche E-Mail-Kommunikation, Support-Anfragen

Speicherdauer: Keine automatische Löschung in ProtonMail

Zweck: Geschäftskommunikation, Support, Dokumentation

Manuelle Verwaltung: Löschung nach Problemlösung oder bei Inaktivität

Gesetzliche Aufbewahrungspflichten

Geschäftskorrespondenz mit Vertragsbezug oder steuerlicher Relevanz

Speicherdauer: Nach handels-/steuerrechtlichen Vorschriften (6-10 Jahre)

Zweck: Compliance, Nachweis- und Dokumentationspflichten

Automatische Löschung nach Ablauf der gesetzlichen Fristen

Session-Cookies (technisch notwendig)

Sitzungs-ID, CSRF-Tokens, temporäre Sicherheitsdaten

Speicherdauer: Bis zum Schließen des Browsers (Session-basiert)

Zweck: Sicherheit, Sitzungssteuerung, CSRF-Schutz

Automatische Löschung beim Browser-Schließen

Spracheinstellungs-Cookie

Gewählte Sprache (Deutsch/Englisch)

Speicherdauer: 30 Tage

Zweck: Benutzerfreundlichkeit, Sprachpersistenz

Automatische Löschung nach 30 Tagen oder manuell über Browser-Einstellungen

Keine Tracking-Cookies

Es werden bewusst keine Analytics-, Marketing- oder Tracking-Cookies eingesetzt

Speicherdauer: Nicht zutreffend

Zweck: Datenschutzfreundlicher Website-Betrieb

Nicht erforderlich

Server-seitiger Cache

Zwischengespeicherte Website-Inhalte, CSS, JavaScript, Bilder

Speicherdauer: Nach Update/Deployment oder maximal 7 Tage

Zweck: Performance-Optimierung, schnellere Ladezeiten

Automatische Aktualisierung bei Inhaltsänderungen

Temporäre Verarbeitungsdateien

Upload-Puffer, Verarbeitungs-Queues, temporäre Konfigurationsdateien

Speicherdauer: Wenige Minuten bis Stunden

Zweck: Technische Verarbeitung, Fehlerbehandlung

Automatische Bereinigung nach Verarbeitungsende

Website-Backups

Vollständige Website-Snapshots (Code, Konfiguration, Inhalte)

Speicherdauer: 30 Tage (täglich), 12 Monate (wöchentlich)

Zweck: Disaster Recovery, Datenschutz bei Systemausfall

Rotationsbasierte Löschung nach Backup-Schema

Datenbank-Backups (falls vorhanden)

Strukturelle Datenbank-Snapshots (keine Benutzerdaten bei dieser Website)

Speicherdauer: 7 Tage (Point-in-Time-Recovery)

Zweck: Datenverlust-Prävention, schnelle Wiederherstellung

Überschreibung im Rotationszyklus nach 7 Tagen

Backup-Sicherheit

Alle Backups sind verschlüsselt und zugriffsbeschränkt

Speicherdauer: Entsprechend der jeweiligen Backup-Kategorie

Zweck: Schutz vor unbefugtem Zugriff auf Backup-Daten

Sichere Löschung mit Überschreibung der Verschlüsselungskeys

Log-Rotation

Automatische Löschung alter Logfiles nach definierten Zeiträumen

Täglich um 2:00 Uhr (Serverzeit)

• Access-Logs: 14 Tage
• Error-Logs: 30 Tage
• Security-Logs: 90 Tage (bei aktiven Incidents)

Cache-Bereinigung

Automatische Löschung veralteter Cache-Dateien

Alle 6 Stunden

• Page-Cache: 7 Tage
• Asset-Cache: Nach Deployment
• Temporäre Dateien: 24 Stunden

Session-Bereinigung

Automatische Löschung abgelaufener Session-Daten

Alle 2 Stunden

• Aktive Sessions: 24 Stunden ohne Aktivität
• Expired Sessions: Sofortige Löschung
• Orphaned Session-Files: 48 Stunden

Betroffenenanfragen (Art. 17 DSGVO)

Manuelle Bearbeitung von Löschanträgen

Bearbeitung innerhalb von 30 Tagen nach Antragstellung

• E-Mail-Korrespondenz aus ProtonMail-Postfach
• Kontaktformular-bezogene Daten
• Alle mit der Person verknüpften Daten

Schriftliche Bestätigung der durchgeführten Löschung

Regelmäßige Aufbewahrungsprüfung

Quartalsweise Überprüfung gespeicherter Daten

Alle 3 Monate

• Identifikation nicht mehr benötigter Daten
• Überprüfung von Aufbewahrungsfristen
• Proaktive Löschung veralteter Daten
• Dokumentation der Löschaktivitäten

Notfall-Löschungen

Sofortige Löschung bei Sicherheitsvorfällen oder rechtlichen Anforderungen

Innerhalb von 24 Stunden

Vollständige Dokumentation mit Zeitstempel und Begründung

DSGVO-Grundsätze

• Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung)
• Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung)
• Art. 17 DSGVO (Recht auf Löschung)
• Art. 32 DSGVO (Sicherheit der Verarbeitung)

Technische Notwendigkeit

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Sicherer Website-Betrieb, Fehleranalyse, IT-Sicherheit

Gesetzliche Aufbewahrungspflichten

Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

• Handelsrechtliche Aufbewahrung (HGB): 6-10 Jahre
• Steuerrechtliche Aufbewahrung (AO): 10 Jahre
• Dokumentationspflichten bei Einwilligungen: Dauer der Verarbeitung + 3 Jahre

Zugriffs- und Rollenkontrollen

• Klare Rollen und Verantwortlichkeiten: Least-Privilege-Prinzip für alle Systemzugriffe
• Administrator-Zugriff: Nur für wenige berechtigte Personen nach Need-to-Know-Prinzip
• Regelmäßige Rechtereview: Quartalsweise Überprüfung und Rezertifizierung von Berechtigungen
• Sofortiger Rechtsentzug: Bei Rollenwechsel oder Austritt von Personen

Datenverarbeitung und -minimierung

• Datenminimierung: Erhebung und Speicherung nur notwendiger Daten
• Keine sensiblen Daten: Bewusster Verzicht auf Erhebung besonderer Kategorien
• Trennung von Datentypen: Server-Logs getrennt von Kontaktdaten
• Klassifizierung: Klare Kategorisierung nach Sensibilität und Schutzbedarf

Auftragsverarbeitung und Lieferanten

• Auftragsverarbeitungsverträge (AVV): Mit allen externen Dienstleistern nach Art. 28 DSGVO
• Sorgfältige Anbieterauswahl: Bevorzugung EU-basierter Anbieter mit hohen Datenschutzstandards
• Sub-Prozessor-Kontrolle: Genehmigung und Überwachung von Unterauftragnehmern
• Regelmäßige Compliance-Prüfung: Überprüfung der Vertragseinhaltung

Richtlinien und Schulungen

• Sicherheitsrichtlinien: Dokumentierte Verfahren für Datenschutz und IT-Sicherheit
• Regelmäßige Schulungen: Sensibilisierung zu Phishing, Passwort-Sicherheit, Datenschutz
• Change Management: Code-Reviews und kontrollierte Deployment-Prozesse
• Vorfallsmanagement: Dokumentierte Abläufe für Sicherheitsvorfälle und Breach-Meldungen

TLS-Verschlüsselung

• HTTPS durchgängig: Alle Verbindungen zur Website ausschließlich über TLS 1.3
• HSTS (HTTP Strict Transport Security): Erzwungene HTTPS-Nutzung über Browser-Policy
• Sichere Cipher-Suiten: Nur moderne, starke Verschlüsselungsalgorithmen
• Perfect Forward Secrecy (PFS): Schutz auch bei Kompromittierung langfristiger Schlüssel

Zertifikats-Management

• Gültige SSL-Zertifikate: Automatische Erneuerung über Let's Encrypt oder kommerzielle CA
• Certificate Transparency: Überwachung ausgestellter Zertifikate über CT-Logs
• OCSP Stapling: Effiziente Zertifikatsstatus-Prüfung
• Sichere Konfiguration: Nur unterstützte TLS-Versionen und -Methoden

Netzwerk-Sicherheit

• Firewall-Schutz: Web Application Firewall (WAF) gegen gängige Angriffe
• Rate-Limiting: Schutz vor DDoS und Brute-Force-Angriffen
• IP-Filtering: Geografische und bekannte Threat-IP-Blockierung
• Intrusion Detection: Automatische Erkennung anomaler Netzwerkaktivitäten

Server-seitige Verschlüsselung

• Festplatten-Verschlüsselung: AES-256 Encryption für alle Speichermedien
• Datenbank-Verschlüsselung: Verschlüsselung ruhender Daten auf DB-Ebene
• Sichere Schlüsselverwaltung: Getrennte Speicherung und Rotation von Verschlüsselungsschlüsseln
• Temporäre Dateien: Verschlüsselung auch für Cache- und temporäre Verarbeitungsdateien

Backup-Sicherheit

• Verschlüsselte Backups: End-to-End-Verschlüsselung aller Backup-Daten
• Geografische Redundanz: Backups an mindestens zwei physisch getrennten Standorten
• Sichere Übertragung: Verschlüsselte Verbindungen für Backup-Transfer
• Zugriffskontrolle: Streng limitierter und protokollierter Backup-Zugriff

Passwort- und Authentifizierung-Sicherheit

• Starke Hashing-Verfahren: bcrypt oder Argon2 für alle gespeicherten Passwörter
• Salt-Verfahren: Individuelle Salts für jeden Passwort-Hash
• Keine Klartext-Speicherung: Niemals Passwörter im Klartext gespeichert
• Sichere Session-Verwaltung: Kryptographisch starke Session-Token

Administrative Zugriffe

• Multi-Faktor-Authentifizierung (MFA): Verpflichtend für alle Admin-Accounts
• Starke Passwort-Richtlinien: Mindestens 12 Zeichen, Komplexitätsanforderungen
• IP-Beschränkungen: Admin-Zugriff nur von autorisierten IP-Bereichen
• Session-Timeouts: Automatische Abmeldung bei Inaktivität

Benutzer-Authentifizierung

• Sichere Session-Cookies: HttpOnly, Secure, SameSite-Attribute
• CSRF-Schutz: Token-basierter Schutz vor Cross-Site Request Forgery
• Brute-Force-Schutz: Account-Sperrung nach mehreren Fehlversuchen
• Login-Protokollierung: Überwachung verdächtiger Anmeldeversuche

Rechteverwaltung

• Principle of Least Privilege: Minimale erforderliche Rechte für jeden Zugriff
• Rollenbasierte Zugriffskontrolle: Klar definierte Rollen und Berechtigungen
• Regelmäßige Zugriffsreviews: Vierteljährliche Überprüfung aller Berechtigungen
• Sofortige Deaktivierung: Bei Verdacht auf Kompromittierung oder Rollenwechsel

System-Überwachung

• 24/7 Monitoring: Kontinuierliche Überwachung aller kritischen Systeme
• Performance-Monitoring: Überwachung von Ladezeiten und Systemauslastung
• Verfügbarkeitsprüfung: Automatische Erkennung von Ausfällen und Störungen
• Capacity Planning: Proaktive Planung für Lastspitzen und Wachstum

Sicherheits-Monitoring

• Intrusion Detection System (IDS): Automatische Erkennung von Angriffsversuchen
• Log-Analyse: Kontinuierliche Auswertung von Sicherheitslogs
• Anomalie-Erkennung: Automatische Identifikation ungewöhnlicher Aktivitäten
• Threat Intelligence: Integration aktueller Bedrohungsinformationen

Wartung und Updates

• Regelmäßige Sicherheitsupdates: Zeitnahe Installation kritischer Patches
• Vulnerability Management: Systematische Bewertung und Behebung von Schwachstellen
• Change Management: Kontrollierte und dokumentierte Systemänderungen
• Rollback-Verfahren: Schnelle Wiederherstellung bei fehlerhaften Updates

Erkennung und Bewertung

• Kontinuierliche Überwachung: 24/7 Monitoring sicherheitsrelevanter Ereignisse
• Automatische Alerting: Sofortige Benachrichtigung bei kritischen Ereignissen
• Incident-Klassifizierung: Bewertung nach Schweregrad und Auswirkung
• Eskalationsverfahren: Klare Zuständigkeiten und Kommunikationswege

Eindämmung und Analyse

• Sofortige Isolation: Trennung betroffener Systeme vom Netzwerk
• Beweissicherung: Forensische Sicherung relevanter Logs und Systemzustände
• Root-Cause-Analyse: Systematische Ursachenforschung
• Schadensbewertung: Einschätzung der Auswirkungen auf personenbezogene Daten

Meldeverfahren (Art. 33/34 DSGVO)

• Aufsichtsbehörde (Art. 33): Meldung binnen 72 Stunden nach Kenntnis
• Betroffene (Art. 34): Unverzügliche Information bei hohem Risiko
• Dokumentation: Vollständige Aufzeichnung im Datenschutz-Verletzungsregister
• Nachverfolgung: Kontinuierliche Updates über Maßnahmen und Fortschritte

Wiederherstellung und Verbesserung

• Systemwiederherstellung: Kontrollierte Wiederinbetriebnahme nach Bereinigung
• Lessons Learned: Analyse und Dokumentation gewonnener Erkenntnisse
• TOM-Anpassung: Verbesserung der Sicherheitsmaßnahmen basierend auf Vorfällen
• Schulungsanpassung: Aktualisierung von Trainings und Prozessen

Rechtliche Compliance

• DSGVO-Konformität: Vollständige Einhaltung aller DSGVO-Anforderungen
• BDSG-Compliance: Beachtung nationaler Datenschutzbestimmungen
• TTDSG-Konformität: Einhaltung der Telekommunikations-Telemedien-Datenschutz-Gesetz
• TMG-Compliance: Beachtung telemedienrechtlicher Vorschriften

Technische Standards

• ISO 27001: Orientierung an internationalem IT-Sicherheitsstandard
• BSI IT-Grundschutz: Beachtung deutscher IT-Sicherheitsempfehlungen
• OWASP Top 10: Schutz vor den häufigsten Web-Anwendungsrisiken
• Common Criteria: Berücksichtigung von Sicherheitskriterien bei Systemdesign

Regelmäßige Bewertungen

• Jährliche Sicherheitsaudit: Umfassende Überprüfung aller Sicherheitsmaßnahmen
• Vulnerability Assessments: Quartalsweise Schwachstellen-Scans
• Penetration Testing: Jährliche externe Sicherheitstests
• Datenschutz-Folgenabschätzung: Bei wesentlichen Systemänderungen

Kontaktdaten

Mitteilung der korrekten Daten per E-Mail oder Kontaktformular

Berichtigung unverzüglich nach Verifikation

E-Mail-Korrespondenz

Korrektur oder Ergänzung bestehender E-Mail-Kommunikation

Original-E-Mails können zur Nachvollziehbarkeit aufbewahrt werden

E-Mail-Daten

Löschung aus ProtonMail-Postfach und allen lokalen Speichern

Unverzüglich nach Bestätigung der Berechtigung

Kontaktformular-Daten

Löschung aller gespeicherten Formular-Eingaben und Metadaten

Backups werden im nächsten Rotationszyklus überschrieben

Server-Logs

Löschung IP-adressbezogener Einträge soweit technisch möglich

Alternativ: Anonymisierung durch IP-Kürzung

Verfügbare Formate

• CSV für strukturierte Daten
• PDF für E-Mail-Korrespondenz
• JSON für maschinenlesbare Formate

Direktübertragung

Soweit technisch machbar und verhältnismäßig

Unter Beachtung der Rechte Dritter

Server-Logs

Verarbeitung aufgrund berechtigter Interessen (IT-Sicherheit)

Interessenabwägung zwischen Ihren Rechten und unserem Sicherheitsinteresse

Mögliche Anonymisierung statt vollständiger Einstellung

Keine Direktwerbung

Diese Website betreibt keine Direktwerbung oder Marketing-E-Mails

Daher ist dieser Aspekt des Widerspruchsrechts nicht anwendbar

Kontaktformular-/E-Mail-Daten

Vollständige Einsicht in gespeicherte Korrespondenz

Berichtigung durch neue E-Mail mit korrekten Daten

Löschung aus Postfach und allen Backups

Server-Logs

Auskunft über IP-bezogene Einträge (soweit zuordenbar)

Löschung oder Anonymisierung IP-bezogener Daten

Technische Grenzen bei bereits anonymisierten Logs

Bei Kenntnis einer Datenverarbeitung Minderjähriger:

• Unverzügliche Kontaktaufnahme zur Klärung der Umstände
• Einstellung weiterer Datenverarbeitungen für diese Person
• Prüfung der Löschung gespeicherter Daten
• Information der Erziehungsberechtigten (falls kontaktierbar)

Löschung von Minderjährigendaten:

Unverzügliche Löschung aller gespeicherten Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen

E-Mail-Korrespondenz, Kontaktformular-Daten, Server-Logs (soweit zuordenbar)

Vertretungsberechtigung

Erziehungsberechtigte können alle Betroffenenrechte für ihre minderjährigen Kinder geltend machen.

Wir prüfen die Vertretungsberechtigung vor Auskunftserteilung oder Maßnahmen.

Ausübbare Rechte:

• Auskunft über verarbeitete Daten des Kindes
• Berichtigung unrichtiger Daten
• Löschung der Daten des Kindes
• Einschränkung der Verarbeitung
• Widerspruch gegen die Verarbeitung

Kontaktverfahren:

Anfragen per E-Mail an gobbltech@proton.me

Betreff: "Minderjährige - Datenschutzanfrage"

Nachweis der Erziehungsberechtigung und Identifikation des betroffenen Kindes

Website-Gestaltung

• Geschäftliche/professionelle Ausrichtung der Inhalte
• Keine spielerischen oder kinder-ansprechenden Elemente
• Klare Kennzeichnung als Geschäfts-Website
• Fokus auf geschäftliche Kontaktaufnahme

Technische Maßnahmen

• Keine Tracking oder Profilbildung die Kinder betreffen könnte
• Minimale Datenerhebung generell
• Sichere Datenverarbeitung und -speicherung
• Regelmäßige Überprüfung der Datenbestände

Kontaktanfragen

Alle Anfragen über das Kontaktformular oder per E-Mail werden von Menschen bearbeitet

Individuelle Prüfung und Beantwortung nach Ermessen

Support-Fälle

Technische oder datenschutzrechtliche Anfragen werden manuell und individuell bearbeitet

Keine automatisierten Antworten oder Entscheidungen

E-Mail-Bewerbung

TLS-Verschlüsselung beim Transport zwischen Mailservern

Für sensible Inhalte empfehlen wir PGP-Verschlüsselung oder postalische Zusendung

Kontaktformular

HTTPS/TLS-Verschlüsselung zur Website

Weiterleitung als verschlüsselte E-Mail an unser Postfach

Postalischer Versand

An die Adresse in Abschnitt 2.2

Sichere physische Aufbewahrung

Nicht erfolgreiche Bewerbungen:

Löschung nach 6 Monaten ab Verfahrensende

Beantwortung von Nachfragen und Rechtsschutz (AGG)

Gesetzliche Aufbewahrungspflichten bleiben unberührt

Talent-Pool (nur mit Einwilligung):

Längere Aufbewahrung nur mit separater, freiwilliger Einwilligung

Aufbewahrung für bis zu 12 Monate

Widerruf jederzeit möglich mit sofortiger Löschung

Erfolgreiche Bewerbungen:

Überführung in die Personalakte

Separate Datenschutzinformation für Beschäftigte

Website-Benachrichtigung

Prominente Hinweisleiste bei wesentlichen Änderungen

Anzeige für mindestens 30 Tage nach Inkrafttreten

Direkte Kontaktaufnahme

Bei laufender E-Mail-Korrespondenz Information über relevante Änderungen

Kurze E-Mail mit Link zur aktualisierten Datenschutzerklärung

Auskunftsersuchen (Art. 15 DSGVO)

Vollständige Auskunft über gespeicherte personenbezogene Daten

Bearbeitung innerhalb von 30 Tagen nach Identitätsprüfung

Bereitstellung in strukturiertem, maschinenlesbarem Format

Berichtigungsanträge (Art. 16 DSGVO)

Korrektur unrichtiger oder unvollständiger Daten

Unverzügliche Berichtigung nach Verifikation

Bestätigung der durchgeführten Berichtigung

Löschanträge (Art. 17 DSGVO)

Vollständige Löschung personenbezogener Daten

Prüfung von Aufbewahrungspflichten und Ausnahmetatbeständen

Schriftliche Bestätigung der durchgeführten Löschung

Anfragen durch Dritte

Vollmacht oder Nachweis der Vertretungsberechtigung erforderlich

Besondere Verfahren für Erziehungsberechtigte minderjähriger Kinder

Erhöhte Verifikationsanforderungen zum Schutz der Betroffenen

E-Mail-Verschlüsselung

Ende-zu-Ende-Verschlüsselung durch ProtonMail

PGP-Verschlüsselung für zusätzliche Sicherheit verfügbar

Öffentlicher PGP-Schlüssel auf Anfrage verfügbar

Website-Sicherheit

TLS 1.3-Verschlüsselung für alle Website-Kommunikation

CSRF-Schutz und sichere Formularübertragung

Keine dauerhafte Speicherung sensibler Daten im Web-Interface