Zum Inhalt springen

Datenschutzerklärung

Datenschutz, Hinweisgeberschutz, Web & E‑Commerce – lösungsorientiert für KMU.

Datenschutzerklärung

nico-eberhardt.de

Stand: März 2026

1. Vorwort

Der Schutz Ihrer personenbezogenen Daten ist mir ein zentrales Anliegen – und das nicht nur als gesetzliche Pflicht, sondern als gelebte Überzeugung. Als externer Datenschutzbeauftragter, Hinweisgeberschutzberater und Webentwickler mit langjähriger Praxiserfahrung verarbeite ich Daten stets mit dem Bewusstsein, welche Verantwortung damit einhergeht.

Diese Datenschutzerklärung informiert Sie umfassend und transparent darüber, welche personenbezogenen Daten auf der Website nico-eberhardt.de erhoben, verarbeitet und genutzt werden, auf welcher Rechtsgrundlage dies geschieht, welche Rechte Sie als betroffene Person haben und an wen Sie sich wenden können, wenn Sie Fragen oder Beschwerden haben.

Die vorliegende Erklärung wurde auf Grundlage der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) sowie weiterer einschlägiger Rechtsvorschriften erstellt. Sie ersetzt keine individuelle Rechtsberatung.

Ich weise ausdrücklich darauf hin, dass sich die Rechtslage sowie technische Gegebenheiten ändern können. Diese Erklärung wird daher regelmäßig geprüft und bei Bedarf aktualisiert. Die jeweils aktuelle Fassung ist unter https://nico-eberhardt.de/datenschutzerklarung/ abrufbar.

2. Begriffsbestimmungen

Die nachfolgenden Begriffsbestimmungen entsprechen den Definitionen gemäß Art. 4 DSGVO. Sie dienen dem Verständnis dieser Datenschutzerklärung und werden im Folgenden verwendet:

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Als identifizierbar gilt eine Person, die direkt oder indirekt – insbesondere mittels Kennnummern wie IP-Adressen, Standortdaten oder Online-Kennungen – identifiziert werden kann.

Betroffene Person

Betroffene Person ist jede natürliche Person, deren personenbezogene Daten durch den Verantwortlichen verarbeitet werden (Art. 4 Nr. 1 DSGVO).

Verarbeitung

Verarbeitung bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, gleichgültig ob mit oder ohne Hilfe automatisierter Verfahren. Dazu zählen insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Verbreiten, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten (Art. 4 Nr. 2 DSGVO).

Verantwortlicher

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Mit Auftragsverarbeitern werden Verträge gemäß Art. 28 DSGVO abgeschlossen.

Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht (Art. 4 Nr. 9 DSGVO).

Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter deren unmittelbarer Verantwortung zur Verarbeitung personenbezogener Daten befugt sind (Art. 4 Nr. 10 DSGVO).

Einwilligung

Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DSGVO).

Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (Art. 4 Nr. 4 DSGVO).

Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen (Art. 4 Nr. 5 DSGVO).

3. Rechte der betroffenen Person

Als betroffene Person stehen Ihnen nach der DSGVO umfangreiche Rechte zu, die Sie gegenüber dem Verantwortlichen geltend machen können. Ich bearbeite entsprechende Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die im Abschnitt 4 genannten Kontaktdaten.

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf folgende Informationen: die Verarbeitungszwecke, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft der Daten (wenn nicht bei Ihnen erhoben) sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht zu verlangen, dass personenbezogene Daten, die Sie betreffen, unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft: Die Daten sind für die Zwecke nicht mehr notwendig; Sie widerrufen Ihre Einwilligung; Sie legen Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor; die Daten wurden unrechtmäßig verarbeitet; oder die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, wenn die Richtigkeit der Daten von Ihnen bestritten wird (für die Dauer der Prüfung), die Verarbeitung unrechtmäßig ist und Sie statt der Löschung eine Einschränkung verlangen, der Verantwortliche die Daten nicht mehr benötigt, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen benötigen, oder Sie Widerspruch nach Art. 21 DSGVO eingelegt haben (für die Dauer der Prüfung, ob berechtigte Gründe des Verantwortlichen überwiegen).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, personenbezogene Daten, die Sie betreffen und die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Dieses Recht gilt, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, die Sie betreffen und die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen (Art. 21 Abs. 2 DSGVO). Auf dieses Widerspruchsrecht wird an den entsprechenden Stellen dieser Datenschutzerklärung gesondert hingewiesen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Der Widerruf ist so einfach wie die Einwilligung selbst.

Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde ist in Abschnitt 29 dieser Datenschutzerklärung angegeben.

Keine automatisierte Entscheidungsfindung / Kein Profiling im Sinne von Art. 22 DSGVO

Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, werden auf dieser Website nicht ausschließlich durch automatisierte Verarbeitung einschließlich Profiling getroffen (vgl. Abschnitt 26 dieser Erklärung).

4. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Nico Eberhardt

Pfotenhauerstr. 65

01307 Dresden

Deutschland

E-Mail: info@nico-eberhardt.de

Telefon: +49 (0) 351 31409830

USt-IdNr.: DE322494963

Finanzamt Dresden-Süd

Website: https://nico-eberhardt.de

Impressum: https://nico-eberhardt.de/impressum/

Nico Eberhardt ist gewerblich tätig als externer Datenschutzbeauftragter (seit 2018), Hinweisgeberschutzberater, Unternehmensberater, Webentwickler sowie SEO- und E-Commerce-Spezialist. Er entwickelt individuelle WordPress-Plugins im Kundenauftrag und betreibt mehrere thematische Fachplattformen.

5. Cookies

Diese Website verwendet sogenannte Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und beim nächsten Besuch der Website ausgelesen werden können. Sie dienen dazu, Einstellungen zu speichern, das Nutzungsverhalten zu analysieren oder externe Dienste einzubinden.

Die rechtliche Grundlage für den Einsatz von Cookies, die auf dem Endgerät des Nutzers gespeichert oder ausgelesen werden, ergibt sich aus § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Für die anschließende Verarbeitung der durch Cookies erhobenen Daten gilt ergänzend die DSGVO, insbesondere Art. 6 Abs. 1 DSGVO.

5.1 Technisch notwendige Cookies

Technisch notwendige Cookies sind solche, ohne die der Betrieb der Website nicht oder nicht ordnungsgemäß möglich ist. Sie dienen beispielsweise der Aufrechterhaltung der Sitzung (Session-Cookies), der Sicherheit (CSRF-Token), der Speicherung Ihrer Cookie-Präferenzen oder der Funktionsfähigkeit des Warenkorbs. Diese Cookies werden ohne Ihre Einwilligung gesetzt, da sie gemäß § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich sind, um einen ausdrücklich gewünschten Dienst des Nutzers bereitzustellen. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer funktionsfähigen Website) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bei Shop-Nutzung).

Zu den technisch notwendigen Cookies gehören insbesondere: Session-Cookie (WordPress), WooCommerce-Warenkorb-Cookie, CSRF-Schutzmechanismen und der Cookie, der Ihre Einwilligungsentscheidung im Cookie-Banner speichert.

Diese Cookies werden in der Regel am Ende der Browser-Sitzung automatisch gelöscht (Session-Cookies) oder nach einem festgelegten Zeitraum (persistente Cookies, üblicherweise bis zu 12 Monate für die Einwilligungsspeicherung).

5.2 Statistik- und Analyse-Cookies (Google Site Kit / Google Analytics)

Diese Website nutzt Google Analytics über das WordPress-Plugin Google Site Kit. Google Analytics ist ein Webanalysedienst der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (bzw. für den europäischen Raum: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Mit Google Analytics werden pseudonymisierte Nutzungsstatistiken erhoben, um die Website zu verbessern.

Google Analytics setzt Cookies auf Ihrem Endgerät, um Ihr Nutzungsverhalten auf der Website zu analysieren. Die dabei erfassten Informationen – darunter Ihre (verkürzte) IP-Adresse, aufgerufene Seiten, Verweildauer, Herkunft des Besuchers und Geräteinformationen – werden in der Regel an Server von Google in den USA übertragen und dort gespeichert. Auf dieser Website ist die IP-Anonymisierung (sog. IP-Masking) aktiviert, sodass Ihre IP-Adresse vor der Übertragung in die USA um das letzte Oktett gekürzt wird.

Die Nutzung von Google Analytics erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen über den auf der Website vorhandenen Cookie-Banner ändern.

Weitere Informationen finden Sie in der Datenschutzerklärung von Google unter: https://policies.google.com/privacy?hl=de

5.3 Marketing- und Drittanbieter-Cookies

Marketing-Cookies oder Cookies von Drittanbietern (z. B. für eingebettete externe Inhalte wie YouTube-Videos, Social-Media-Einbindungen) werden auf dieser Website nur nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Ohne Ihre Einwilligung werden keine solchen Cookies gesetzt und keine Verbindungen zu entsprechenden externen Servern aufgebaut. Details zu den eingesetzten Drittanbietern finden Sie in den Abschnitten 21 und 22 dieser Datenschutzerklärung.

5.4 Verwaltung von Cookie-Einstellungen

Bei Ihrem ersten Besuch der Website erscheint ein Cookie-Banner, über den Sie Ihre Einwilligung für die verschiedenen Cookie-Kategorien erteilen oder verweigern können. Ihre Auswahl wird gespeichert. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen” im Footer der Website ändern oder widerrufen. Der auf dieser Website eingesetzte Cookie-Banner ist eine eigenentwickelte, lokal auf dem Server des Betreibers gehostete Lösung. Es findet dabei keine Übertragung Ihrer Einwilligungsdaten an externe Drittanbieter statt.

Zusätzlich können Sie Cookies in den Einstellungen Ihres Browsers deaktivieren oder löschen. Bitte beachten Sie, dass die Deaktivierung technisch notwendiger Cookies die Funktionsfähigkeit der Website beeinträchtigen kann.

6. Maßgebliche Rechtsgrundlagen

Für jede Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage erforderlich. Die auf dieser Website relevanten Rechtsgrundlagen sind:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung

Wenn Sie uns Ihre Einwilligung zur Verarbeitung personenbezogener Daten für einen oder mehrere bestimmte Zwecke gegeben haben, ist Art. 6 Abs. 1 lit. a DSGVO die Rechtsgrundlage. Dies gilt insbesondere für den Einsatz von Analyse-Cookies (Google Analytics) sowie die Einbindung bestimmter externer Dienste. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO).

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen

Die Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen, dessen Vertragspartei Sie sind, oder um auf Ihren Wunsch hin vorvertragliche Maßnahmen durchzuführen. Diese Grundlage gilt insbesondere für die Bestellabwicklung im Online-Shop, die Kundenkontoverwaltung und die Kommunikation im Rahmen von Vertragsverhandlungen.

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung

Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt. Dies betrifft insbesondere handels- und steuerrechtliche Aufbewahrungspflichten (§§ 238 ff. HGB, §§ 140 ff. AO) sowie Informationspflichten nach der DSGVO selbst.

Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere: der sichere Betrieb der Website (Logfiles, Sicherheits-Plugin), die Verhinderung von Angriffen, die Kontaktaufnahme per E-Mail sowie die Direktverlinkung zu Social-Media-Plattformen (vgl. EG 47 zur DSGVO).

§ 25 TDDDG – Cookies und Endeinrichtungen

§ 25 Abs. 1 TDDDG erfordert für das Speichern und Auslesen von Informationen auf Endeinrichtungen eine Einwilligung, sofern dies nicht technisch unbedingt erforderlich ist. § 25 Abs. 2 Nr. 2 TDDDG enthält eine Ausnahme für technisch notwendige Speichervorgänge. Das TDDDG ist die deutsche Umsetzung der ePrivacy-Richtlinie und bildet die Grundlage für den Einsatz von Cookies.

§ 26 BDSG – Beschäftigtendatenschutz

Für die Verarbeitung von Daten im Bewerbungsverfahren gilt ergänzend § 26 BDSG i. V. m. Art. 88 DSGVO. Danach dürfen personenbezogene Daten von Beschäftigten oder Bewerbern verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Weitere einschlägige Vorschriften

Ergänzend zu den genannten Normen sind insbesondere das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) sowie das Digitale-Dienste-Gesetz (DDG) relevant, soweit sie datenschutzrechtliche Bezüge aufweisen.

7. SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte – zum Beispiel Anfragen, die Sie als Seitenbesucher an den Betreiber senden – eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://” auf „https://” wechselt und ein Schloss-Symbol in Ihrem Browser erscheint.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an den Betreiber übermitteln, nicht von Dritten mitgelesen werden. Die gesamte Datenübertragung zwischen Ihrem Browser und dem Webserver dieser Website erfolgt verschlüsselt. Dies schützt unter anderem die über Kontaktformulare übermittelten personenbezogenen Daten, Anmeldedaten sowie Zahlungsinformationen.

Der Einsatz von TLS-Verschlüsselung ist eine technische und organisatorische Maßnahme (TOM) gemäß Art. 32 Abs. 1 lit. a DSGVO und dient der Gewährleistung der Sicherheit der Verarbeitung.

8. Sicherheitsmaßnahmen

Gemäß Art. 32 DSGVO trifft der Betreiber dieser Website geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen umfassen unter anderem:

8.1 Technische Maßnahmen

Transportverschlüsselung: Die gesamte Kommunikation zwischen Browser und Server erfolgt über TLS/SSL-verschlüsselte Verbindungen (HTTPS). Zugangskontrollen: Administrations- und Backend-Zugänge sind durch sichere, individuelle Passwörter und, wo technisch möglich, durch Zwei-Faktor-Authentifizierung (2FA) abgesichert. Regelmäßige Updates: WordPress-Kern, installierte Themes und Plugins werden regelmäßig aktualisiert, um bekannte Sicherheitslücken zu schließen. Datensicherung (Backup): Regelmäßige Backups des Websiteinhalts und der Datenbank werden erstellt und sicher aufbewahrt. Web Application Firewall (WAF): Über das Plugin „All-In-One Security” (AIOS) wird eine Web Application Firewall betrieben, die gängige Angriffsmuster (SQL-Injection, Cross-Site-Scripting u. a.) abwehrt. Brute-Force-Schutz: AIOS erkennt und blockiert wiederholte fehlerhafte Anmeldeversuche automatisch. IP-Blocking: Verdächtige IP-Adressen können temporär oder dauerhaft blockiert werden. Logging verdächtiger Zugriffe: AIOS protokolliert sicherheitsrelevante Ereignisse (Angriffsversuche, fehlerhafte Logins) einschließlich IP-Adressen und Zeitstempel. Diese Daten werden ausschließlich für Sicherheitszwecke verarbeitet und nach angemessener Zeit gelöscht.

8.2 Organisatorische Maßnahmen

Datensparsamkeit: Es werden nur Daten erhoben und gespeichert, die für den jeweiligen Zweck tatsächlich erforderlich sind. Zugriffskonzept: Zugang zu personenbezogenen Daten wird nur autorisierten Personen gewährt. Auftragsverarbeitungsverträge: Mit allen externen Dienstleistern, die Zugang zu personenbezogenen Daten haben, werden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen. Regelmäßige Überprüfung: Die Sicherheitsmaßnahmen werden regelmäßig überprüft und an den aktuellen Stand der Technik angepasst.

8.3 Verarbeitung durch das Sicherheits-Plugin AIOS

Das Plugin „All-In-One Security” (AIOS) verarbeitet zur Erfüllung seiner Sicherheitsfunktionen insbesondere IP-Adressen von Besuchern und Angreifern, Zeitstempel von Zugriffen, Benutzernamen bei Anmeldeversuchen sowie HTTP-Anfragedaten (User-Agent, aufgerufene URL). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Website und dem Schutz der darauf verarbeiteten personenbezogenen Daten). Die durch AIOS verarbeiteten Daten werden lokal auf dem Server des Hosting-Anbieters gespeichert und nicht an externe Dritte weitergegeben. Die Protokolldaten werden nach spätestens 30 Tagen gelöscht, sofern keine sicherheitsrelevante Notwendigkeit einer längeren Speicherung besteht.

9. Zusammenarbeit mit Auftragsverarbeitern, gemeinsam Verantwortlichen und Dritten

Sofern personenbezogene Daten an andere Personen oder Unternehmen (Auftragsverarbeiter, gemeinsam Verantwortliche oder Dritte) übermittelt werden, geschieht dies nur auf Grundlage einer gesetzlichen Erlaubnis – insbesondere wenn die Übermittlung nach Art. 6 Abs. 1 lit. b DSGVO für die Vertragserfüllung erforderlich ist, auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeiter sind Dienstleister, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeiten. Mit allen Auftragsverarbeitern werden schriftliche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen, die die weisungsgebundene Verarbeitung, geeignete Sicherheitsmaßnahmen und die Einhaltung der Datenschutzgrundsätze sicherstellen.

Auf dieser Website kommen folgende Kategorien von Auftragsverarbeitern oder Dritten zum Einsatz: der Hosting-Anbieter all-inkl.com (Auftragsverarbeiter), Google LLC / Google Ireland Limited (Auftragsverarbeiter für Analytics; Dritter mit eigener Verantwortlichkeit für andere Google-Dienste), PayPal (eigener Verantwortlicher im Sinne der DSGVO), sowie die Social-Media-Plattformen Facebook, Instagram, YouTube, TikTok, XING und LinkedIn, die im Wesentlichen als eigenständige Verantwortliche handeln.

Gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO können sich ergeben, wenn diese Website Fanpages auf Social-Media-Plattformen betreibt. Einzelheiten dazu finden sich in Abschnitt 22 dieser Datenschutzerklärung.

10. Übermittlungen in Drittländer

Einige der auf dieser Website eingesetzten Dienste übertragen personenbezogene Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA. Ein angemessenes Datenschutzniveau wird in diesen Fällen durch folgende Garantien sichergestellt:

10.1 EU-US Data Privacy Framework (Angemessenheitsbeschluss)

Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) erlassen (Durchführungsbeschluss (EU) 2023/1795). Unternehmen, die nach dem DPF zertifiziert sind, bieten ein Schutzniveau, das als dem europäischen gleichwertig anerkannt ist. Google LLC ist unter dem DPF zertifiziert. Für zertifizierte Unternehmen ist daher ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorhanden.

10.2 Standardvertragsklauseln (SCC)

Soweit kein Angemessenheitsbeschluss vorliegt oder als ergänzende Garantie werden die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914) eingesetzt. Diese verpflichten den Empfänger im Drittland zur Einhaltung des europäischen Datenschutzniveaus.

10.3 Hinweis auf Restrisiken

Trotz bestehender Garantien weisen Übermittlungen in die USA ein potenzielles Restrisiko auf, da US-amerikanische Behörden unter bestimmten Voraussetzungen Zugriff auf Daten verlangen können (z. B. nach dem FISA 702 oder Executive Order 12333). Der Europäische Gerichtshof hat mit seinem Urteil „Schrems II” (C-311/18) auf diese Risiken hingewiesen. Durch das DPF wurden Rechtsbehelfsmechanismen für betroffene EU-Bürger eingeführt (Data Protection Review Court). Sie sind berechtigt, dieses Restrisiko bei Ihrer Entscheidung über die Erteilung von Einwilligungen zu berücksichtigen.

11. Registrierung auf unserer Internetseite

Sie haben die Möglichkeit, sich auf dieser Website zu registrieren und ein Kundenkonto anzulegen. Dies ist insbesondere für die Nutzung des Online-Shops und zur Verwaltung von Bestellungen und Rechnungen sinnvoll. Die Registrierung erfolgt freiwillig; Sie können den Shop auch ohne Kundenkonto nutzen (Gastkauf).

Bei der Registrierung werden folgende personenbezogene Daten erhoben: Vor- und Nachname, E-Mail-Adresse, ggf. Unternehmensname, Rechnungsanschrift und Lieferanschrift, sowie das von Ihnen gewählte Passwort (gespeichert in verschlüsselter Form). Bei der erstmaligen Anmeldung wird außerdem die IP-Adresse sowie Datum und Uhrzeit der Registrierung protokolliert.

Die Rechtsgrundlage für die Verarbeitung der bei der Registrierung erhobenen Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vorbereitung und Durchführung eines Vertragsverhältnisses). Soweit die Registrierung für die Erbringung vertraglicher Leistungen erforderlich ist, ist die Bereitstellung der Pflichtfelder zwingend notwendig. Die Nichtbereitstellung hat zur Folge, dass kein Kundenkonto angelegt werden kann.

Ihr Kundenkonto bleibt gespeichert, bis Sie es löschen oder bis zur Löschung nach gesetzlichen Aufbewahrungsfristen. Sie können Ihr Kundenkonto jederzeit selbst löschen oder die Löschung beim Verantwortlichen beantragen. Hiervon unberührt bleiben gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO), die eine Löschung von Vertragsdaten für einen Zeitraum von bis zu zehn Jahren ausschließen.

12. Änderungen und Aktualisierungen der Datenschutzerklärung

Der Betreiber dieser Website behält sich vor, diese Datenschutzerklärung jederzeit zu ändern, um sie an veränderte Rechtslagen, gerichtliche oder behördliche Entscheidungen, neue technische Gegebenheiten oder neue auf der Website eingesetzte Dienste anzupassen. Bei wesentlichen Änderungen, die Ihre Rechte oder die Verarbeitungszwecke betreffen, wird der Betreiber Sie – soweit möglich und erforderlich – gesondert informieren.

Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist unter https://nico-eberhardt.de/datenschutzerklarung/ abrufbar. Bitte prüfen Sie diese Seite regelmäßig, um über etwaige Änderungen informiert zu bleiben. Das Datum der letzten Aktualisierung ist am Anfang dieser Datenschutzerklärung angegeben.

13. Kontaktmöglichkeit über die Internetseite

13.1 Kontaktformular (WPForms)

Auf dieser Website steht ein Kontaktformular zur Verfügung, das über das WordPress-Plugin WPForms bereitgestellt wird. Wenn Sie das Formular nutzen, werden die von Ihnen eingegebenen Daten – mindestens Ihr Name und Ihre E-Mail-Adresse sowie der Inhalt Ihrer Nachricht – an den Betreiber übermittelt und verarbeitet.

Folgende Daten werden bei der Nutzung des Kontaktformulars erhoben: Name (Pflichtfeld), E-Mail-Adresse (Pflichtfeld), ggf. Telefonnummer (freiwillig), Betreff und Nachrichteninhalt, IP-Adresse, Datum und Uhrzeit der Absendung (für Sicherheits- und Spam-Schutzzwecke). WPForms ist eine Software, deren Code lokal auf dem Server des Betreibers läuft. Formularübermittlungen werden auf dem Server des Betreibers bei all-inkl.com gespeichert. Eine Weitergabe an WPForms Inc. (USA) findet nur statt, sofern Premium-Funktionen (z. B. WPForms Add-ons) genutzt werden, was auf dieser Website nicht der Fall ist.

Die Verarbeitung Ihrer Daten aus dem Kontaktformular erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen) sowie bei vorvertraglichen oder vertraglichen Anfragen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet und danach gelöscht, sofern keine Aufbewahrungspflichten oder weitere Rechtsgrundlagen einer Löschung entgegenstehen.

13.2 Kontakt per E-Mail

Sie können den Betreiber auch direkt per E-Mail kontaktieren (info@nico-eberhardt.de). In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten – insbesondere E-Mail-Adresse, Name und Nachrichteninhalt – verarbeitet. Die Verarbeitung dient ausschließlich der Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO bei vertraglichen Anfragen.

Hinweis zur Datensparsamkeit: Bitte teilen Sie im Rahmen Ihrer Kontaktanfrage nur die personenbezogenen Daten mit, die für die Bearbeitung Ihrer Anfrage tatsächlich erforderlich sind.

14. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

Der Betreiber dieser Website verarbeitet personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungsfristen einer Löschung entgegenstehen, werden die Daten routinemäßig gelöscht oder gesperrt.

Gesetzliche Aufbewahrungspflichten können einer sofortigen Löschung entgegenstehen. Insbesondere bestehen folgende Fristen: Handels- und steuerrechtliche Unterlagen (Rechnungen, Verträge, Buchungsbelege): 10 Jahre gemäß §§ 257 Abs. 1 HGB, 147 Abs. 1 AO. Geschäftsbriefe: 6 Jahre gemäß § 257 Abs. 1 Nr. 2, 3 HGB. Während dieser Aufbewahrungsfristen werden die Daten gesperrt, d. h. nicht mehr aktiv verarbeitet, sondern lediglich aufbewahrt.

Die konkreten Speicherdauern für die einzelnen Verarbeitungsvorgänge sind in den jeweiligen Abschnitten dieser Datenschutzerklärung angegeben (vgl. auch Abschnitt 24).

15. Bestellabwicklung im Onlineshop, Plugin-Lizenzen und Kundenkonto

Auf dieser Website wird ein Online-Shop betrieben, über den WordPress-Plugins als lizenzierte Software, Beratungsleistungen sowie Schulungszugänge erworben werden können. Der Shop wird über das WordPress-Plugin WooCommerce bereitgestellt. Sämtliche Verarbeitungen erfolgen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie – soweit gesetzlich vorgeschrieben – Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

15.1 Allgemeine Bestelldaten (WooCommerce)

Im Rahmen jeder Bestellung werden folgende personenbezogene Daten erhoben und verarbeitet: Vor- und Nachname, ggf. Unternehmensname, Rechnungsanschrift und ggf. abweichende Lieferanschrift, E-Mail-Adresse (Pflicht), Telefonnummer (freiwillig), Bestellinformationen (Artikel, Menge, Preis, Datum), Zahlungsart und Zahlungsstatus sowie IP-Adresse und Zeitstempel der Bestellung. Zahlungsdaten im engeren Sinne (Kartennummern, PayPal-Zugangsdaten) werden ausschließlich durch den jeweils gewählten Zahlungsdienstleister verarbeitet und nicht auf dem Server des Betreibers gespeichert (vgl. Abschnitt 17). WooCommerce speichert Bestelldaten lokal auf dem Server des Hosting-Anbieters all-inkl.com (Auftragsverarbeiter).

Bestelldaten werden nach Abschluss des Vertragsverhältnisses und vollständiger Bezahlung für die Dauer der gesetzlichen Aufbewahrungsfristen aufbewahrt: steuerrelevante Unterlagen (Rechnungen, Buchungsbelege) 10 Jahre gemäß §§ 257 HGB, 147 AO; Geschäftsbriefe und sonstige Vertragsunterlagen 6 Jahre gemäß § 257 HGB.

15.2 Plugin-Verkauf und Lizenzvergabe

Im Shop werden WordPress-Plugins als lizenzierte Software angeboten. Nach Abschluss einer Bestellung wird automatisiert ein individueller Lizenzschlüssel generiert und dem Kunden per E-Mail sowie über das Kundenkonto bereitgestellt. Im Rahmen dieses Prozesses werden folgende Daten verarbeitet: Kundendaten aus der Bestellung (Name, E-Mail-Adresse), der generierte Lizenzschlüssel (pseudonymes Identifikationsmerkmal), die gebuchte Lizenzlaufzeit (Einmalkauf, monatliches oder jährliches Abonnement), die Anzahl der lizenzierten Installationen sowie – sofern vom Kunden bei der Aktivierung übermittelt – die Domain(s) der lizenzierten WordPress-Installation(en).

Die Verarbeitung dieser Daten ist für die Erfüllung des Lizenzvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Die Lizenzdaten werden für die Dauer des aktiven Lizenzvertrags gespeichert und nach Ablauf oder Kündigung unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen gelöscht.

15.3 Lizenzverifizierung / Lizenzserver (NE License Client / Domain-Lock)

Die vom Betreiber verkauften WordPress-Plugins enthalten eine eingebettete Lizenzprüfungskomponente („NE_License_Client”). Diese Komponente kontaktiert automatisiert den Lizenzserver des Betreibers unter https://nico-eberhardt.de. Nachfolgend wird die Datenverarbeitung technisch präzise beschrieben, da sie die WordPress-Installationen der Kunden direkt betrifft.

Technische Endpunkte und übertragene Daten: Der NE_License_Client kommuniziert über folgende REST-API-Endpunkte mit dem Lizenzserver (Basis-URL: /wp-json/ne-license/v1/): Erstens /verify (POST) zur regelmäßigen Lizenzprüfung: Übertragen werden der Lizenzschlüssel, der Domainname der WordPress-Installation (normalisiert, ohne Schema und Trailing-Slash, z. B. meinshop.de) sowie der Plugin-Slug. Diese Anfrage wird vom NE_License_Client maximal einmal alle 24 Stunden ausgelöst und nur dann, wenn ein WordPress-Admin-Seitenaufruf stattfindet – ausdrücklich nicht bei AJAX-Anfragen, WordPress Heartbeat, Cron-Jobs oder REST-Requests. Zweitens /activate (POST) bei manueller Aktivierung durch den WordPress-Administrator: Übertragen werden Lizenzschlüssel, Domainname und Plugin-Slug. Drittens /deactivate (POST) bei manueller Deaktivierung: Übertragen werden Lizenzschlüssel und Domainname. Viertens /update-info/{slug} (GET) für den Update-Mechanismus: Dieser Endpunkt überträgt ausschließlich den Plugin-Slug als URL-Parameter – keine personenbezogenen Daten, keinen Lizenzschlüssel, keine Domain.

Auf dem Lizenzserver gespeicherte Daten: Der Lizenzserver speichert dauerhaft in seiner Datenbank den Lizenzschlüssel (pseudonymes Identifikationsmerkmal ohne direkten Personenbezug), den zugeordneten Kundennamen und die Kunden-E-Mail-Adresse (aus der WooCommerce-Bestellung, vgl. Abschnitt 15.1), den Produktnamen und -slug, den Lizenzstatus (aktiv/inaktiv/abgelaufen), das Ablaufdatum, die maximale und aktuelle Anzahl der Aktivierungen sowie – in der Aktivierungstabelle – den Domainnamen der aktivierten WordPress-Installation mit Zeitstempel der Aktivierung und des letzten Prüfzeitpunkts (last_check, wird maximal stündlich aktualisiert). Die IP-Adresse des anfragenden Servers (des Webservers des Kunden) wird ausschließlich für das serverseitige Rate-Limiting (maximal 60 Anfragen pro Minute) als MD5-Hash in einem kurzlebigen WordPress-Transient (automatisches Ablaufen nach 60 Sekunden) gespeichert und nicht dauerhaft in der Datenbank protokolliert. Eine Zuordnung der IP-Adresse zu einem Kunden ist nach Ablauf dieser 60 Sekunden nicht mehr möglich.

Fehlertoleranz und Gnadenfrist: Bei Nichterreichbarkeit des Lizenzservers gilt eine Gnadenfrist von 7 Tagen, während der das Plugin mit dem zuletzt gecachten Lizenzstatus weiterläuft. Ein exponentielles Backoff-Mechanismus verhindert, dass bei anhaltenden Serverausfällen übermäßig viele Anfragen gesendet werden (Intervalle: 5 Min., 10 Min., 20 Min., bis max. 24 Stunden).

Rechtsgrundlagen und Speicherdauer: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Lizenzvertrags, Sicherstellung der lizenzkonformen Nutzung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Betreibers an der Durchsetzung der Nutzungsbedingungen und am Schutz der entwickelten Software vor Lizenzmissbrauch). Die Aktivierungsdaten (Domain, Zeitstempel) werden für die Dauer des aktiven Lizenzvertrags gespeichert und nach Ablauf, Kündigung oder auf Anfrage gelöscht. Eine Weitergabe an Dritte findet nicht statt.

Hinweis für Plugin-Käufer (Kunden): Der Betreiber ist als Verantwortlicher für die im Rahmen der Lizenzverifizierung verarbeiteten Daten (Lizenzschlüssel, Domain) zuständig. Der Kunde (als Betreiber der WordPress-Installation) trägt die Verantwortung dafür, seine eigenen Website-Besucher und ggf. nachgelagerte Nutzer seiner WordPress-Installation gemäß Art. 13/14 DSGVO über den Einsatz des Plugins und die damit verbundene Kommunikation mit dem Lizenzserver zu informieren, soweit diese Personen davon betroffen sind. In der Regel sind ausschließlich WordPress-Administratoren und die Serverinfrastruktur des Kunden betroffen – nicht die Endnutzer der Website.

15.4 Abonnements (monatliche / jährliche Lizenzen)

Für Plugin-Lizenzen kann zwischen Einmalkauf (sofern angeboten), monatlicher und jährlicher Abonnementlaufzeit gewählt werden. Im Rahmen eines Abonnements werden folgende Daten wiederkehrend verarbeitet: die Zahlungsdaten über den Zahlungsdienstleister PayPal (vgl. Abschnitt 17) für die automatisierte Abbuchung zum Verlängerungsdatum, die Verlängerungshistorie (Datum, Betrag, Zahlungsstatus), der Lizenzstatus (aktiv, abgelaufen, gekündigt) sowie ggf. Kommunikation im Zusammenhang mit Verlängerungs- oder Kündigungsvorgängen.

Die Rechtsgrundlage für die Abonnementverwaltung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Abonnements können jederzeit mit Wirkung zum Ende des laufenden Abrechnungszeitraums gekündigt werden. Nach Kündigung oder Ablauf werden der Lizenzschlüssel deaktiviert sowie die damit verbundenen Kundendaten – soweit keine Aufbewahrungspflichten entgegenstehen – nach Ablauf der gesetzlichen Fristen gelöscht. Für steuerrelevante Buchungen gilt eine Aufbewahrungsfrist von 10 Jahren (§§ 257 HGB, 147 AO).

15.5 Kundenkonto (Mein Konto)

Kunden können auf dieser Website ein Kundenkonto anlegen, über das Bestellhistorie, Lizenzen, Lizenzschlüssel und Abonnementstatus eingesehen und verwaltet werden können. Bei der Registrierung werden Name, E-Mail-Adresse sowie ein selbst gewähltes Passwort (gespeichert in verschlüsselter Form) erhoben. IP-Adresse, Datum und Uhrzeit der Registrierung werden zu Sicherheitszwecken protokolliert. Die Nutzung des Kundenkontos ist freiwillig; Plugin-Käufe sind grundsätzlich auch als Gastkauf möglich. Das Kundenkonto bleibt gespeichert, bis Sie es löschen oder die Löschung beim Betreiber beantragen, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

16. Vertragliche Leistungen

Nico Eberhardt erbringt im Rahmen seiner selbstständigen Tätigkeit eine Reihe von Dienstleistungen, die auf dieser Website beworben und teilweise direkt angeboten werden. Für jede Dienstleistungskategorie gelten spezifische datenschutzrechtliche Rahmenbedingungen. Gemeinsam für alle Leistungsbereiche gilt: Verarbeitete Daten werden ausschließlich zur Erbringung der jeweiligen Leistung genutzt, nicht für Werbezwecke profiliert und nicht ohne Rechtsgrundlage an Dritte weitergegeben. Die Rechtsgrundlage für die leistungsbezogene Verarbeitung ist in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Steuerrelevante Unterlagen werden für 10 Jahre aufbewahrt (§§ 257 HGB, 147 AO), sonstige Geschäftskorrespondenz für 6 Jahre (§ 257 Abs. 1 Nr. 2, 3 HGB).

16.1 Externer Datenschutzbeauftragter (DSGVO-Beratung und -Beauftragung)

Nico Eberhardt ist seit 2018 als externer Datenschutzbeauftragter (DSB) gemäß Art. 37 ff. DSGVO tätig. Im Rahmen dieser Tätigkeit werden zur Vertragsanbahnung und -durchführung folgende Daten des Auftraggebers verarbeitet: Name, Funktion und Kontaktdaten der Ansprechpartner beim Auftraggeber (natürliche Personen), Unternehmensname, Anschrift, Bankverbindung für die Abrechnung sowie der gesamte Kommunikationsverlauf im Zusammenhang mit der DSB-Tätigkeit.

Besonderheit der DSB-Tätigkeit: Im Rahmen der Ausübung der Funktion als externer Datenschutzbeauftragter erlangt der Betreiber zwangsläufig Kenntnis von personenbezogenen Daten, die beim Auftraggeber verarbeitet werden (z. B. Verarbeitungsverzeichnisse, Datenschutzvorfälle, Betroffenenanfragen). Diese Daten unterliegen der gesetzlichen Verschwiegenheitspflicht des Datenschutzbeauftragten gemäß Art. 38 Abs. 5 DSGVO und § 203 StGB analog und werden ausschließlich zur Erfüllung der DSB-Aufgaben und keinesfalls für eigene Zwecke genutzt. Eine Weitergabe an Dritte findet nicht statt, es sei denn, dies ist zur Erfüllung der gesetzlichen Aufgaben des DSB erforderlich (z. B. Kontakt mit der Aufsichtsbehörde auf ausdrückliche Weisung des Auftraggebers).

Anfragen über das Kontaktformular oder per E-Mail zum Thema Datenschutzbeauftragung oder DSGVO-Beratung werden zur Vorbereitung eines Vertragsschlusses verarbeitet (Art. 6 Abs. 1 lit. b DSGVO).

16.2 Hinweisgeberschutzberatung (HinSchG / Meldestellen)

Als ausgebildeter Hinweisgeberschutzberater unterstützt der Betreiber Unternehmen bei der rechtssicheren Einrichtung interner Meldestellen gemäß dem Hinweisgeberschutzgesetz (HinSchG). Zur Vertragsanbahnung und -erbringung werden Daten des Auftraggebers (Ansprechpartner, Unternehmensangaben) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Besonderheit: Im Rahmen der Einrichtung und des Betriebs einer Meldestelle kann der Betreiber Kenntnis von vertraulichen Hinweisen und den darin enthaltenen personenbezogenen Daten (Hinweisgeber, beschuldigte Personen, Zeugen) erlangen. Diese unterliegen der strengen Vertraulichkeitspflicht nach § 8 HinSchG (Schutz der Identität des Hinweisgebers und der betroffenen Personen) und werden nicht offengelegt. Die Verarbeitung solcher Daten erfolgt ausschließlich im Rahmen des erteilten Auftrags und nach den Weisungen des Auftraggebers. Der Betreiber tritt insoweit regelmäßig als Auftragsverarbeiter des beauftragenden Unternehmens auf (Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 10 ff. HinSchG).

16.3 Webentwicklung und WordPress-Plugin-Entwicklung

Der Betreiber entwickelt im Kundenauftrag individuelle WordPress-Plugins sowie Websites und Online-Shops. Zur Vertragsanbahnung und -durchführung werden Kontaktdaten des Auftraggebers, Projektspezifikationen, Zugangsdaten für Entwicklungs- und Testsysteme (sofern vom Kunden bereitgestellt) sowie Kommunikationsverläufe verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Wichtiger Hinweis zu kundenseitig entwickelten Plugins: Plugins, die im Auftrag eines Kunden entwickelt werden, verarbeiten Daten ausschließlich im System des Kunden. Der Betreiber erhält nach Übergabe des Plugins keinen Zugriff auf die vom Plugin verarbeiteten Daten. Die datenschutzkonforme Nutzung des übergebenen Plugins liegt in der Verantwortung des Kunden. Mit Kunden, bei deren Projekt die Weisungsgebundenheit des Betreibers im Sinne von Art. 4 Nr. 8 DSGVO gegeben ist, wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Individuell entwickelte Plugins dürfen ohne ausdrückliche schriftliche Genehmigung nicht weiterverkauft werden.

16.4 SEO, Social Media Management und digitale Sichtbarkeit

Der Betreiber erbringt Leistungen im Bereich Suchmaschinenoptimierung (SEO), Social-Media-Strategie und -Management sowie digitaler Sichtbarkeitsoptimierung. Zur Leistungserbringung werden Zugangsdaten für Analyse- und Verwaltungstools (z. B. Google Search Console, Social-Media-Profile), Auswertungsdaten zur Website-Performance sowie Kommunikationsverläufe verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Werden im Rahmen dieser Leistungen personenbezogene Daten Dritter (z. B. Community-Mitglieder auf Social-Media-Kanälen des Kunden) zugänglich, handelt der Betreiber nach Weisung des Kunden als Auftragsverarbeiter (Art. 28 DSGVO).

16.5 E-Commerce-Beratung und -Management

Der Betreiber berät Unternehmen im Bereich E-Commerce, Online-Shop-Betrieb und digitale Geschäftsmodelle. Zur Leistungserbringung werden Unternehmensdaten, Umsatz- und Prozessdaten (soweit vom Kunden bereitgestellt), Systemzugänge (Shop-Backend, Logistikschnittstellen) sowie Kommunikationsverläufe verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Personenbezogene Daten Dritter (z. B. Kundendaten des Auftraggebers) werden ausschließlich nach Weisung des Auftraggebers und auf Grundlage eines Auftragsverarbeitungsvertrags verarbeitet.

16.6 Schulungen und Ausbildung im Datenschutz (schulung.jetzt)

Seit Ende 2025 bietet der Betreiber Schulungen und Ausbildungsprogramme für angehende Datenschutzfachleute an. Schulungen werden auch über die Plattform schulung.jetzt angeboten. Zur Durchführung von Schulungsverträgen werden folgende Daten verarbeitet: Name und Kontaktdaten der Teilnehmer, Unternehmenszugehörigkeit (sofern unternehmensseitig gebucht), Buchungs- und Teilnahmedaten, Kommunikation im Zusammenhang mit der Schulung sowie – nach Abschluss – Nachweise über die Teilnahme oder erlangte Qualifikationen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für buchhalterisch relevante Daten gelten die gesetzlichen Aufbewahrungsfristen (10 Jahre). Teilnahmebescheinigungen und Qualifikationsnachweise werden nach Vereinbarung für die Dauer der fachlichen Relevanz aufbewahrt.

Datenschutz-Schulungen für Unternehmen: Bei inhouse-Schulungen, die im Auftrag eines Unternehmens für dessen Mitarbeiter durchgeführt werden, verarbeitet der Betreiber die Teilnehmerdaten auf Grundlage des Auftrags des Unternehmens. Zwischen dem Betreiber und dem beauftragenden Unternehmen wird ggf. ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen.

16.7 Unternehmensberatung und Krisenmanagement

Der Betreiber erbringt allgemeine Unternehmensberatungsleistungen, insbesondere Prozessoptimierung, Krisenmanagement und strategische Beratung für KMU. Zur Vertragsanbahnung und -durchführung werden Kontakt- und Unternehmensdaten des Auftraggebers, Projektunterlagen sowie Kommunikationsverläufe verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Informationen, die dem Betreiber im Rahmen einer Krisenberatung anvertraut werden und die personenbezogene Daten Dritter enthalten, werden vertraulich behandelt und nicht weitergegeben.

17. Externe Zahlungsdienstleister

Im Online-Shop werden verschiedene Zahlungsmethoden angeboten. Abhängig von der gewählten Zahlungsart werden personenbezogene Daten an unterschiedliche Zahlungsdienstleister oder Kreditinstitute übermittelt. Gemeinsam gilt für alle Zahlungsarten: Die Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Zahlungsdienstleister und Kreditinstitute verarbeiten die ihnen übermittelten Daten als eigenständige Verantwortliche nach eigenen Datenschutzbestimmungen.

17.1 PayPal

Anbieter ist die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg. Bei Zahlung per PayPal werden Name, Anschrift, E-Mail-Adresse und Bestellbetrag an PayPal übermittelt. PayPal kann diese Daten für eigene Zwecke (Betrugsprävention, Bonitätsprüfung, personalisierte Werbung) nutzen. Da PayPal seinen europäischen Sitz in Luxemburg hat, findet in der Regel keine reguläre Drittlandübermittlung statt; mögliche Datenweitergaben an die US-amerikanische PayPal LLC sind durch das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert.

Datenschutzerklärung PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

17.2 SumUp

Anbieter ist die SumUp Payments Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland (europäischer Sitz). SumUp ist ein Zahlungsdienstleister für Kartenzahlungen und Online-Payments. Bei Zahlung über SumUp werden zur Abwicklung des Zahlungsvorgangs Name, Anschrift, E-Mail-Adresse, Zahlungsbetrag sowie Zahlungsmittelinformationen (verschlüsselt, PCI-DSS-konform) an SumUp übertragen. SumUp verarbeitet diese Daten als eigenständiger Verantwortlicher. Da SumUp seinen europäischen Sitz in Irland hat, findet die Verarbeitung grundsätzlich innerhalb des EWR statt. Eventuelle Drittlandübermittlungen sind durch Standardvertragsklauseln der EU-Kommission abgesichert.

Datenschutzerklärung SumUp: https://sumup.de/datenschutz/

17.3 Banküberweisung (ING Business und Volksbank Dresden-Bautzen)

Sofern die Zahlungsart Vorkasse / Banküberweisung gewählt wird, werden dem Kunden die Bankverbindungsdaten des Betreibers (IBAN, BIC, Kontoinhaber) zur Verfügung gestellt. Für den Empfang von Überweisungen werden folgende Kreditinstitute genutzt: ING-DiBa AG / ING Business (Theodor-Heuss-Allee 106, 60486 Frankfurt am Main) sowie Volksbank Dresden-Bautzen eG (Hauptstraße 1, 02625 Bautzen). Im Rahmen einer Banküberweisung werden die vom Kunden auf dem Überweisungsträger angegebenen Daten (Name des Zahlers, IBAN, Verwendungszweck, Betrag, Datum) durch das Kreditinstitut des Kunden sowie das empfangende Kreditinstitut des Betreibers verarbeitet. Diese Verarbeitung erfolgt auf Grundlage der bankaufsichtsrechtlichen Vorschriften (Zahlungsdiensteaufsichtsgesetz – ZAG, EU-Zahlungsdiensterichtlinie PSD2/PSD3) durch die jeweiligen Kreditinstitute als eigenständige Verantwortliche. Der Betreiber erhält ausschließlich die Gutschriftsbenachrichtigung und den Verwendungszweck; weitergehende Verarbeitungen obliegen den Kreditinstituten.

Datenschutzhinweise ING Business: https://www.ing.de/datenschutz/

Datenschutzhinweise Volksbank Dresden-Bautzen: https://www.volksbank-db.de/service/datenschutz.html

18. Datenschutzhinweise im Bewerbungsverfahren

Bewerbungen können per E-Mail oder über das Kontaktformular auf dieser Website eingereicht werden. Im Rahmen des Bewerbungsverfahrens werden folgende personenbezogene Daten erhoben und verarbeitet: Name, Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift), Lebenslauf, Angaben zum beruflichen Werdegang und zu Qualifikationen, Zeugnisse und Zertifikate sowie sonstige freiwillig mitgeteilte Daten.

Die Rechtsgrundlage für die Verarbeitung von Bewerberdaten ist § 26 Abs. 1 BDSG i. V. m. Art. 88 DSGVO (Verarbeitung für Zwecke des Beschäftigungsverhältnisses). Im Falle einer Einwilligung (z. B. zur Aufnahme in einen Bewerber-Pool für spätere Stellen) ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 26 Abs. 2 BDSG die Rechtsgrundlage.

Bewerberdaten werden ausschließlich zum Zweck der Durchführung des Bewerbungsverfahrens verarbeitet und nicht an Dritte weitergegeben. Bei einer erfolgreichen Bewerbung werden die Daten in die Personalakte übernommen. Bei Ablehnung der Bewerbung werden die Daten nach Abschluss des Bewerbungsverfahrens und Ablauf einer angemessenen Frist – in der Regel sechs Monate nach Zugang der Absage – gelöscht, um dem Betreiber die Möglichkeit zu geben, Fragen im Zusammenhang mit dem Bewerbungsverfahren zu beantworten und um Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) zu erfüllen. Sollte die betroffene Person in eine längere Speicherung eingewilligt haben (Bewerber-Pool), erfolgt die Löschung entsprechend nach Widerruf der Einwilligung oder spätestens nach zwei Jahren.

Sie haben das Recht, Ihre Einwilligung zur Aufnahme in einen Bewerber-Pool jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

19. Hosting und E-Mail-Versand

Die Website nico-eberhardt.de wird bei dem deutschen Hosting-Anbieter all-inkl.com (ALL-INKL.COM – Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf) gehostet. all-inkl.com ist ein in Deutschland ansässiger Anbieter, dessen Rechenzentren sich in Deutschland befinden. Mit all-inkl.com besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Im Rahmen des Hostings verarbeitet all-inkl.com in unserem Auftrag alle Daten, die beim Betrieb dieser Website anfallen: Webseiteinhalte und -dateien (WordPress-Installation, Themes, Plugins, Medien), Datenbankdaten (WordPress-Datenbank inklusive Nutzer- und Bestelldaten), E-Mail-Postfächer, Server-Logfiles sowie ggf. Backup-Dateien.

E-Mails, die über die Domains des Betreibers gesendet und empfangen werden, werden über die E-Mail-Server von all-inkl.com geleitet und dort verarbeitet. all-inkl.com ist insoweit Auftragsverarbeiter. Für transaktionale E-Mails (z. B. Bestellbestätigungen, Passwort-Reset) nutzt WooCommerce den WordPress-internen E-Mail-Versand über den Webserver.

Die Rechtsgrundlage für die Verarbeitung im Rahmen des Hostings ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer professionellen, sicheren Website) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit Shop-Funktionen genutzt werden). Da all-inkl.com seinen Sitz in Deutschland hat, findet keine Übermittlung in Drittländer statt.

Weitere Informationen zum Datenschutz bei all-inkl.com: https://all-inkl.com/datenschutzinformationen/

20. Erhebung von Zugriffsdaten und Logfiles

Der Betreiber dieser Website – vertreten durch seinen Hosting-Anbieter all-inkl.com – erhebt und speichert automatisch bei jedem Zugriff auf die Website Informationen in sogenannten Server-Logfiles. Diese Daten werden automatisch vom Browser des Besuchers übermittelt und umfassen:

  • IP-Adresse des zugreifenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und ggf. zuvor besuchte Seite (Referrer)
  • Name und Version des verwendeten Browsers (User-Agent)
  • Übertragene Datenmenge und HTTP-Statuscode
  • Verwendetes Betriebssystem

Die Erfassung dieser Daten erfolgt automatisch beim Aufbau einer Verbindung zum Webserver. Eine aktive Eingabe durch den Besucher ist nicht erforderlich. Logfile-Daten werden nicht mit anderen Datenquellen zusammengeführt.

Die Verarbeitung dieser Daten dient dem sicheren und stabilen Betrieb der Website, der Erkennung und Analyse von Angriffen und Missbrauch sowie der technischen Fehlerdiagnose. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Logfiles werden nach spätestens 30 Tagen gelöscht, sofern keine sicherheitsrelevante Notwendigkeit einer längeren Speicherung besteht (z. B. laufende Ermittlungen bei festgestellten Angriffen). Ein Personenbezug ist nach Ablauf dieser Frist nicht mehr herstellbar.

Es wird auf Ihr Widerspruchsrecht nach Art. 21 DSGVO hingewiesen. Sofern keine zwingenden schutzwürdigen Gründe für die Verarbeitung bestehen, die Ihre Interessen überwiegen, wird die Verarbeitung auf Ihren Widerspruch hin eingestellt.

21. Einbindung von Diensten und Inhalten Dritter

21.1 Google-Dienste (Site Kit, Analytics, Search Console)

Auf dieser Website ist das WordPress-Plugin Google Site Kit installiert, über das folgende Google-Dienste eingebunden sind:

Google Analytics (mit IP-Anonymisierung): Beschreibung und Rechtsgrundlage siehe Abschnitt 5.2 dieser Datenschutzerklärung.

Google Search Console: Über Google Search Console werden Daten zur Sichtbarkeit der Website in den Google-Suchergebnissen ausgewertet. Die Search Console verarbeitet dabei keine personenbezogenen Daten der Website-Besucher direkt, sondern liefert aggregierte Suchdaten (z. B. Suchanfragen, Klickraten, Positionen). Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Suchmaschinenoptimierung).

Für alle Google-Dienste gilt: Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework (Google LLC ist zertifiziert) abgesichert.

Datenschutzerklärung Google: https://policies.google.com/privacy?hl=de

21.2 Cookie-Consent-Tool (eigene Entwicklung)

Zur Einholung und Verwaltung von Einwilligungen nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO wird auf dieser Website ein selbst entwickelter, lokal auf dem Server gehosteter Cookie-Banner eingesetzt. Dieser wurde vom Betreiber selbst entwickelt und überträgt keine Daten an externe Drittanbieter.

Der Cookie-Banner protokolliert beim Setzen oder Ändern von Einwilligungen: den Zeitpunkt der Einwilligungsentscheidung, die Auswahl (akzeptiert/abgelehnt je Kategorie) sowie eine verkürzte/anonymisierte IP-Adresse (für Nachweiszwecke). Die protokollierten Einwilligungsdaten werden ausschließlich zur Dokumentation und zum Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO verwendet. Die Rechtsgrundlage für diese Protokollierung ist Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung zur Nachweisführung). Protokolldaten werden nach spätestens 24 Monaten gelöscht.

Derzeit sind keine Dienste als relevant bestätigt.

Derzeit sind keine typischen Cookies zu bestätigten Diensten hinterlegt.

21.3 Eigene Plugins (lokal, keine externe Datenübertragung)

Auf dieser Website werden eigens vom Betreiber entwickelte WordPress-Plugins eingesetzt (z. B. das Barrierefreiheits-Widget, das C4mulo5-Theme-Plugin). Diese Plugins wurden ausschließlich für den Betrieb der eigenen Website entwickelt und verarbeiten Daten ausschließlich lokal auf dem Server des Hosting-Anbieters all-inkl.com. Es findet keine Übertragung von Daten an externe Drittunternehmen, keine „Telefon-nach-Hause”-Verbindungen und kein Tracking durch diese Plugins statt. Die dabei verarbeiteten Daten (z. B. individuell gewählte Barrierefreiheitseinstellungen, die lokal im Browser gespeichert werden) verlassen den Browser des Nutzers nicht und werden nicht an Dritte übermittelt.

21.4 Sicherheits-Plugin / Firewall (All-In-One Security – AIOS)

Diese Website setzt das Sicherheits-Plugin „All-In-One Security” (AIOS) ein. Details zu den dabei verarbeiteten Daten und Rechtsgrundlagen sind in Abschnitt 8.3 dieser Datenschutzerklärung ausgeführt.

21.5 Google Fonts (lokal gehostet)

Diese Website verwendet Google Fonts zur einheitlichen Darstellung von Schriftarten. Google Fonts werden auf dieser Website lokal auf dem Webserver des Hosting-Anbieters (all-inkl.com) eingebunden. Beim Abruf der Website findet keine Verbindung zu den Servern von Google statt, und es werden keine Daten an Google übertragen. Datenschutzrechtliche Bedenken bezüglich Google Fonts bestehen daher nicht.

21.6 YouTube-Videos (eingebettete Inhalte)

Auf einzelnen Seiten dieser Website können YouTube-Videos eingebettet sein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Ohne Ihre Einwilligung werden eingebettete YouTube-Videos nicht aktiv geladen. Stattdessen wird eine Vorschau angezeigt, und die Verbindung zu YouTube-Servern wird erst nach Ihrer aktiven Bestätigung (Klick auf das Video oder Erteilung der Einwilligung für „Externe Medien” im Cookie-Banner) hergestellt. Erst dann werden Daten – insbesondere Ihre IP-Adresse – an YouTube übertragen. YouTube kann dabei Cookies auf Ihrem Endgerät setzen und Nutzungsprofile erstellen, insbesondere wenn Sie in Ihrem Google-Konto eingeloggt sind. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework abgesichert.

Datenschutzerklärung Google/YouTube: https://policies.google.com/privacy?hl=de

22. Datenschutzbestimmungen zu Einsatz und Verwendung von Facebook, Instagram, YouTube, TikTok, XING und LinkedIn

Diese Website enthält Verlinkungen zu Profilen des Betreibers auf verschiedenen Social-Media-Plattformen. Sofern auf dieser Website Inhalte dieser Plattformen eingebettet werden (z. B. Videos, Posts), geschieht dies erst nach Erteilung Ihrer Einwilligung (vgl. Abschnitt 21). Allein durch das Aufrufen dieser Website – ohne Aktivierung externer Medien – findet keine Datenübertragung an Social-Media-Plattformen statt.

22.1 Facebook (Meta)

Der Betreiber unterhält ein Profil auf der Plattform Facebook. Anbieter ist die Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Muttergesellschaft: Meta Platforms, Inc., USA). Wenn Sie über einen Link diese Seite besuchen oder mit eingebetteten Facebook-Inhalten interagieren, überträgt Ihr Browser Daten an Facebook, darunter Ihre IP-Adresse und ggf. Seitenpfade. Facebook kann diese Daten für eigene Zwecke nutzen und mit Ihrem Facebook-Konto verknüpfen, sofern Sie eingeloggt sind.

Für Fanpages auf Facebook besteht nach dem EuGH-Urteil „Wirtschaftsakademie Schleswig-Holstein” (C-210/16) und den Leitlinien der Datenschutzbehörden eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) zwischen dem Seitenbetreiber und Meta. Facebook stellt hierfür Informationen über die Nutzung der Fanpage-Statistiken zur Verfügung (sog. „Page Insights”). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Präsentation des Unternehmens) sowie Art. 6 Abs. 1 lit. a DSGVO für einwilligungsbedürftige Inhalte. Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework (Meta ist zertifiziert) und Standardvertragsklauseln abgesichert.

Datenschutzerklärung Meta/Facebook: https://www.facebook.com/privacy/policy/

22.2 Instagram

Der Betreiber ist auf Instagram vertreten. Anbieter ist die Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Es gelten dieselben datenschutzrechtlichen Grundsätze wie für Facebook (s. o.). Instagram-Inhalte werden auf dieser Website nur nach Ihrer Einwilligung aktiv geladen. Instagram kann dabei Cookies setzen und Nutzungsprofile erstellen.

Datenschutzerklärung Instagram: https://www.instagram.com/policy/privacy-policies.html

22.3 YouTube

Der Betreiber ist auf YouTube vertreten und betreibt dort Kanäle. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Details zur Einbindung von YouTube-Videos finden sich in Abschnitt 21.6. Für den Betrieb des YouTube-Kanals gelten die Datenschutzbestimmungen von Google. Google kann dabei Nutzungsprofile erstellen und Daten für Werbezwecke nutzen.

Datenschutzerklärung Google/YouTube: https://policies.google.com/privacy?hl=de

22.4 TikTok

Der Betreiber ist möglicherweise auf TikTok vertreten oder verlinkt zu TikTok-Inhalten. Anbieter im EWR ist die TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland. TikTok verarbeitet Daten zu Werbezwecken und zur Analyse des Nutzerverhaltens. Es besteht ein erhöhtes Risiko der Datenweitergabe an das Mutterunternehmen ByteDance in der Volksrepublik China. Eingebettete TikTok-Inhalte werden auf dieser Website nur nach Ihrer ausdrücklichen Einwilligung geladen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Für Übermittlungen in die Volksrepublik China gibt es keinen Angemessenheitsbeschluss der EU-Kommission; es gelten die Standardvertragsklauseln. Auf das erhöhte Restrisiko wird ausdrücklich hingewiesen.

Datenschutzerklärung TikTok (EWR): https://www.tiktok.com/legal/page/eea/privacy-policy/de

22.5 XING

Der Betreiber ist auf der Plattform XING vertreten. Anbieter ist die New Work SE, Dammtorstraße 30, 20354 Hamburg, Deutschland. XING ist ein deutsches Unternehmen; Drittlandübermittlungen finden in der Regel nicht statt. Wenn Sie über einen Link die XING-Präsenz des Betreibers besuchen, verarbeitet XING Daten nach eigenen Datenschutzbestimmungen.

Datenschutzerklärung XING: https://privacy.xing.com/de/datenschutzerklaerung

22.6 LinkedIn

Der Betreiber unterhält ein Profil auf LinkedIn. Anbieter ist die LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland (Muttergesellschaft: LinkedIn Corporation, USA). LinkedIn verarbeitet Daten zu Profilierungszwecken und kann Mitglieder und Nicht-Mitglieder tracken. Für den Betrieb einer Unternehmensseite besteht ggf. eine gemeinsame Verantwortlichkeit mit LinkedIn (Art. 26 DSGVO, ähnlich wie bei Facebook-Fanpages). Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework (LinkedIn/Microsoft ist zertifiziert) und Standardvertragsklauseln abgesichert.

Datenschutzerklärung LinkedIn: https://www.linkedin.com/legal/privacy-policy

23. Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden

Soweit die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird, sind die verfolgten berechtigten Interessen im Einzelnen:

Betrieb und Sicherung der Website: Der Betreiber hat ein berechtigtes Interesse daran, die Website sicher, stabil und funktionsfähig zu betreiben und Angriffe (z. B. DDoS, Brute-Force, SQL-Injection) abzuwehren. Dies rechtfertigt die Verarbeitung von IP-Adressen und technischen Zugriffsdaten in Logfiles und durch das Sicherheits-Plugin AIOS.

Bearbeitung von Kontaktanfragen: Der Betreiber hat ein berechtigtes Interesse daran, eingehende Anfragen zu bearbeiten und zu beantworten, auch wenn diese nicht unmittelbar auf einen Vertragsschluss abzielen.

Suchmaschinenoptimierung und Reichweite: Die Nutzung der Google Search Console dient dem berechtigten Interesse an der Sichtbarkeit der Website in Suchmaschinen und damit der wirtschaftlichen Darstellung des Angebots.

Verlinkung zu Social-Media-Plattformen: Das berechtigte Interesse besteht in der Möglichkeit, das unternehmerische Angebot auf gängigen Kommunikationsplattformen darzustellen und potenzielle Interessenten zu erreichen.

Nachweis der Einhaltung datenschutzrechtlicher Pflichten: Die Protokollierung von Einwilligungen sowie die Aufbewahrung von Vertragskorrespondenz dient dem berechtigten Interesse an der Nachweisbarkeit der Rechtmäßigkeit von Verarbeitungen.

Bei allen Verarbeitungen auf Grundlage berechtigter Interessen wurde eine Abwägung zwischen den Interessen des Verantwortlichen und den schutzwürdigen Interessen, Grundrechten und Grundfreiheiten der betroffenen Personen vorgenommen. Es wurde festgestellt, dass die berechtigten Interessen überwiegen, insbesondere weil die betroffenen Personen die Verarbeitung vernünftigerweise erwarten können (vgl. Erwägungsgrund 47 DSGVO) und die Verarbeitungen auf das erforderliche Mindestmaß beschränkt sind.

Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (Art. 21 DSGVO). Bitte wenden Sie sich dazu an die im Abschnitt 4 genannten Kontaktdaten.

24. Dauer, für die die personenbezogenen Daten gespeichert werden

Personenbezogene Daten werden nur so lange gespeichert, wie es der jeweilige Verarbeitungszweck erfordert und keine gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen. Im Überblick:

Server-Logfiles und Sicherheitsprotokolle: bis zu 30 Tage, bei Sicherheitsvorfällen ggf. länger (bis zur Klärung).

Kontaktanfragen (Kontaktformular, E-Mail): bis zu 12 Monate nach Abschluss der Bearbeitung, sofern kein Vertrag zustande kommt; bei Vertragsanbahnung bis zu 3 Jahre nach Ende der Kommunikation (Verjährungsfrist).

Bewerberdaten (bei Ablehnung): bis zu 6 Monate nach Zugang der Absage.

Bewerberdaten (Bewerber-Pool mit Einwilligung): bis zu 24 Monate oder bis zum Widerruf der Einwilligung.

Kundendaten und Bestelldaten (WooCommerce): aktive Daten für die Dauer der Geschäftsbeziehung; steuerrelevante Unterlagen (Rechnungen, Buchungsbelege) für 10 Jahre gemäß § 257 HGB / § 147 AO; Geschäftsbriefe für 6 Jahre.

Kundenkonto-Daten: bis zur Löschung des Kontos, mindestens aber für die Dauer geltender Aufbewahrungspflichten.

Cookie-Einwilligungsnachweise: bis zu 24 Monate nach Erteilung der Einwilligung.

Google Analytics-Daten: Die Aufbewahrungsdauer in Google Analytics ist in den Analytics-Einstellungen konfiguriert (standardmäßig 14 Monate); danach werden die Daten automatisch gelöscht.

Sicherheits-Plugin (AIOS): Protokolldaten bis zu 30 Tage.

25. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Die Bereitstellung personenbezogener Daten ist in einigen Fällen gesetzlich (z. B. steuerrechtliche Vorschriften) oder vertraglich (z. B. Bestellabwicklung) vorgeschrieben. Wir klären Sie im Einzelnen darüber auf:

Online-Shop / Bestellung: Die Angabe von Name, Anschrift und E-Mail-Adresse ist zur Durchführung eines Kaufvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne diese Angaben ist eine Bestellabwicklung nicht möglich. Die Nichtbereitstellung führt dazu, dass kein Kaufvertrag geschlossen werden kann.

Kontaktformular: Die Angabe eines Namens und einer E-Mail-Adresse ist erforderlich, um Ihre Anfrage bearbeiten zu können. Ohne diese Angaben ist eine Rückkontaktaufnahme nicht möglich. Die Bereitstellung ist freiwillig, die Folge der Nichtbereitstellung ist, dass keine Antwort erfolgen kann.

Google Analytics: Die Einwilligung in die Nutzung von Google Analytics ist vollständig freiwillig. Die Nichtbereitstellung der Einwilligung hat keine Auswirkungen auf die Nutzbarkeit der Website; Sie können alle Inhalte auch ohne Einwilligung in Analytics abrufen.

Registrierung / Kundenkonto: Die Angabe der Pflichtfelder ist zur Erstellung des Kundenkontos erforderlich. Die Nichtbereitstellung führt dazu, dass kein Kundenkonto angelegt werden kann; die Nutzung des Shops als Gast bleibt möglich.

Bewerbungsverfahren: Die Bereitstellung von Bewerbungsunterlagen ist für die Durchführung des Bewerbungsverfahrens erforderlich. Ohne die notwendigen Angaben kann die Bewerbung nicht berücksichtigt werden.

26. Bestehen einer automatisierten Entscheidungsfindung

Auf dieser Website werden keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO getroffen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Es findet kein Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO statt.

Google Analytics kann im Rahmen seiner Analyse-Funktionen ein technisches Profiling über das aggregierte Nutzungsverhalten auf der Website erstellen. Dieses Profiling dient jedoch ausschließlich der Website-Analyse und statistischen Auswertung und führt nicht zu individualisierten Entscheidungen, die Sie als Person betreffen.

27. Hinweis zur EU-KI-Verordnung (AI Act / VO (EU) 2024/1689)

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates über künstliche Intelligenz (EU AI Act) ist am 1. August 2024 in Kraft getreten und wird schrittweise bis 2027 vollständig anwendbar. Sie legt harmonisierte Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der EU fest.

Auf dieser Website werden zum gegenwärtigen Zeitpunkt keine KI-Systeme eingesetzt, die unter die Hochrisikokategorien des Art. 6 i. V. m. Anhang III EU AI Act fallen. Insbesondere werden keine KI-Systeme zur biometrischen Identifizierung, Bewerbungsselektion oder ähnlichen risikobehafteten Anwendungen betrieben.

Sofern auf dieser Website KI-gestützte Funktionen genutzt werden oder künftig eingesetzt werden (z. B. KI-basierte Chatbots, automatisierte Analysewerkzeuge), wird der Betreiber die Anforderungen des EU AI Acts einhalten und diese Datenschutzerklärung entsprechend aktualisieren. Der Betreiber beobachtet die regulatorische Entwicklung kontinuierlich und passt seine Prozesse entsprechend an.

28. Hinweis zum EU Data Act (VO (EU) 2023/2854)

Die Verordnung (EU) 2023/2854 über harmonisierte Regeln für einen fairen Datenzugang und eine faire Datennutzung (EU Data Act) ist am 11. Januar 2024 in Kraft getreten und wird ab September 2025 schrittweise anwendbar.

Der EU Data Act regelt primär den Zugang zu und die Nutzung von Daten, die durch die Nutzung vernetzter Produkte und damit zusammenhängender Dienste erzeugt werden. Für die auf dieser Website primär verarbeiteten personenbezogenen Daten (Webseitenbesucher, Kundendaten, Kontaktdaten) gelten vorrangig die DSGVO und das BDSG.

Soweit der EU Data Act auf Verarbeitungen dieser Website Anwendung findet – z. B. im Bereich von Maschinendaten oder vernetzten Diensten –, wird der Betreiber die Anforderungen des Data Acts einhalten. Gegenwärtig werden keine Dienste angeboten, die unmittelbar in den Kernregelungsbereich des EU Data Acts fallen. Der Betreiber beobachtet die Entwicklung und Umsetzung des EU Data Acts kontinuierlich.

29. Beschwerderecht und Beschwerdestelle

Sie haben das Recht, sich gemäß Art. 77 DSGVO bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch den Verantwortlichen zu beschweren. Eine Beschwerde kann bei jeder Aufsichtsbehörde innerhalb der Europäischen Union eingereicht werden, üblicherweise bei der Behörde am gewöhnlichen Aufenthaltsort des Beschwerdeführers, am Arbeitsort oder am Ort des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde am Sitz des Verantwortlichen (Freistaat Sachsen):

Sächsische Datenschutz- und Transparenzbeauftragte

Maternistraße 17

01067 Dresden

Postanschrift: Postfach 11 01 32, 01330 Dresden

Telefon: +49 351 85471-101

Telefax: +49 351 85471-109

E-Mail: post@sdtb.sachsen.de

Website: https://www.datenschutz.sachsen.de/

Die Beschwerde kann formlos oder über das auf der Website der Aufsichtsbehörde bereitgestellte Beschwerdeformular eingereicht werden. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Ergänzend wird auf das Recht hingewiesen, gemäß Art. 79 DSGVO gerichtlichen Rechtsschutz gegen den Verantwortlichen zu suchen, wenn Sie der Ansicht sind, dass Ihre Rechte aus der DSGVO verletzt wurden.

— Ende der Datenschutzerklärung —

Stand: März 2026 | nico-eberhardt.de

Nico Eberhardt - Lösungsorientiert · Transparent · Digital

Ich verbinde Datenschutz‑Praxis mit technischer Umsetzung: DSGVO, Hinweisgeberschutz (HinSchG), Webentwicklung, SEO, Social Media und E‑Commerce. Nicht als Bauchladen – sondern als sauber getrennte Schwerpunkte, die im Alltag zusammen funktionieren.

© 2026 Nico Eberhardt - Lösungsorientiert · Transparent · Digital. Built using WordPress and C4mulo5.