Datenschutzerklärung
Stand: Mai 2026
Datenschutz auf einen Blick
Allgemeine Hinweise
Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln sie vertraulich entsprechend der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Diese Erklärung erläutert, welche Daten wir auf kassel-bd.de und im Kundenportal portal.kassel-bd.de erheben, wie wir sie verarbeiten und welche Rechte Ihnen zustehen.
Verschlüsselung
Unsere Websites nutzen TLS-Verschlüsselung (HTTPS). Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol Ihres Browsers und am Präfix
https:// in der Adresszeile.Keine Tracking-Cookies, kein Marketing-Pixel
Wir setzen keine Analyse-, Marketing- oder Remarketing-Cookies ein. Kein Google Analytics, kein Facebook Pixel, kein LinkedIn Insight Tag, kein Hotjar. Schriften und Bilder werden direkt von unserem Server ausgeliefert (kein Google Fonts CDN). Im Kundenportal werden ausschließlich technisch notwendige Session-Cookies eingesetzt (siehe Abschnitt „Kundenportal").
Verantwortliche Stelle
Verantwortlich für die Datenverarbeitung
Jonas Meyer & Dayan Hindermann GbR
(Kassel Business Digital)
Universitätsplatz 12
34127 Kassel
Deutschland
(Kassel Business Digital)
Universitätsplatz 12
34127 Kassel
Deutschland
Vertretungsberechtigte Gesellschafter
Jonas Meyer, Dayan Hindermann
Kontakt
Telefon: 0561 82793704
E-Mail: [email protected]
E-Mail: [email protected]
Datenschutzbeauftragter
Aufgrund unserer Unternehmensgröße sind wir gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Anliegen rund um den Datenschutz richten Sie bitte an die oben genannte Kontaktadresse.
Hosting & Infrastruktur
Webhosting (Hostinger)
Unsere Websites werden auf einem dedizierten VPS bei Hostinger International Ltd. gehostet. Der Server steht in einem Rechenzentrum innerhalb der Europäischen Union.
Anbieter: Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler und sicherer Bereitstellung).
Auftragsverarbeitung: Mit Hostinger besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Content Delivery Network (Cloudflare)
Wir nutzen Cloudflare als Content Delivery Network (CDN), Reverse Proxy und Schutz gegen DDoS- und Bot-Angriffe. Anfragen an unsere Websites werden zunächst über das globale Netzwerk von Cloudflare geleitet. Dabei werden technische Verbindungsdaten (insbesondere IP-Adresse, User-Agent, Zeitstempel der Anfrage, Referer) verarbeitet, um Sicherheitsbedrohungen abzuwehren und Inhalte performant auszuliefern.
Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.
Datenübermittlung in Drittländer: Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und schneller Auslieferung).
Auftragsverarbeitung: Mit Cloudflare besteht ein DPA gemäß Art. 28 DSGVO.
Server-Logfiles
Bei jedem Aufruf erfasst unser Server automatisch folgende Daten:
- IP-Adresse des anfragenden Rechners (gekürzt protokolliert)
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Verwendeter Browser und Betriebssystem
- Referrer-URL (vorher besuchte Seite)
Zweck: Bereitstellung der Website, Erkennung und Abwehr von Angriffen, Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Maximal 7 Tage; bei sicherheitsrelevanten Vorfällen länger, bis zur Aufklärung.
Kontaktformular & Anfragen
Erhobene Daten
Wenn Sie uns über das Kontaktformular oder per E-Mail eine Anfrage senden, verarbeiten wir folgende Daten:
- Vorname und Nachname (Pflichtfeld)
- E-Mail-Adresse (Pflichtfeld)
- Telefonnummer (freiwillig)
- Unternehmen (freiwillig)
- Nachricht / Anliegen
- Bestätigung der Datenschutzerklärung (Checkbox)
Datenfluss & Auftragsverarbeiter
Ihre Formulardaten werden über folgende Verarbeitungskette geleitet:
1. n8n (selbst-gehostet): Empfang der Formulardaten auf einer von uns selbst betriebenen n8n-Instanz auf unserem Hostinger VPS in der EU. Es findet keine Weitergabe an Dritte statt; ein separater AV-Vertrag ist daher nicht erforderlich.
2. Resend (E-Mail-Versand): Resend, Inc. versendet in unserem Auftrag zwei E-Mails — eine Benachrichtigung an uns sowie eine Eingangsbestätigung an Sie. Resend ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln (SCC) und ein DPA gemäß Art. 28 DSGVO.
3. Notion (CRM): Anschließend wird die Anfrage in unserem CRM bei Notion Labs, Inc., USA gespeichert, damit wir den Bearbeitungsstand nachvollziehen können. Notion ist nach dem EU-US Data Privacy Framework zertifiziert; es besteht ein DPA gemäß Art. 28 DSGVO.
Rechtsgrundlage & Zweck
Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen, Beantwortung Ihrer Anfrage) sowie Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über die Datenschutz-Checkbox im Formular). Sie können Ihre Einwilligung jederzeit widerrufen — schreiben Sie uns dazu an [email protected].
Kundenportal (portal.kassel-bd.de)
Zweck und Zugang
Unser Kundenportal dient dem Austausch von Verträgen, Projektständen und Dokumenten mit unseren Vertragspartnern. Der Zugang ist passwortlos über einen einmaligen Anmeldelink (Magic Link), der per E-Mail an Ihre hinterlegte Adresse versendet wird. Es werden ausschließlich technisch notwendige Session-Cookies gesetzt — diese sind für den Login zwingend erforderlich und bedürfen keiner gesonderten Einwilligung (§ 25 Abs. 2 Nr. 2 TTDSG).
Verarbeitete Daten
- Name und E-Mail-Adresse zur Authentifizierung
- Unternehmenszugehörigkeit, Rolle (z. B. Inhaber:in / Mitarbeiter:in)
- Vertragstexte, Versionen und elektronische Signaturen (einfache elektronische Signatur gemäß eIDAS-VO)
- Audit-Log: Zeitpunkt, IP-Adresse und User-Agent bei sicherheitsrelevanten Aktionen (Login, Vertragsunterzeichnung)
Datenbank (Supabase)
Die Daten des Kundenportals werden in einer Postgres-Datenbank bei Supabase Inc. gespeichert. Wir betreiben das Projekt in der EU-Region (Frankfurt, Deutschland) — die Daten verlassen den europäischen Wirtschaftsraum nicht.
Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992 (EU-Datacenter via AWS Frankfurt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Bereitstellung des Portals).
Auftragsverarbeitung: Mit Supabase besteht ein DPA gemäß Art. 28 DSGVO.
E-Mail-Versand (Resend)
Magic-Link-E-Mails sowie Benachrichtigungen aus dem Portal werden über Resend, Inc. versendet (siehe Abschnitt „Kontaktformular"). Es bestehen DPF-Zertifizierung, SCC und DPA.
Speicherdauer
Vertragsdaten werden für die Dauer der Geschäftsbeziehung sowie der gesetzlichen Aufbewahrungspflichten (in der Regel 6 bis 10 Jahre nach §§ 147 AO, 257 HGB) gespeichert. Audit-Logs werden 12 Monate aufbewahrt, danach automatisch gelöscht. Kontodaten von Personen, die das Portal nicht mehr nutzen, werden auf Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Indexierung
Das Kundenportal ist mit
noindex, nofollow markiert und wird von Suchmaschinen nicht indexiert.Interne Datenverarbeitung
Auftragsverarbeiter & Tools
Zur Erbringung unserer Dienstleistungen setzen wir folgende Software ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO:
Notion (CRM, Projektmanagement): Notion Labs, Inc., USA. EU-US Data Privacy Framework zertifiziert.
Lexware (Buchhaltung): Haufe-Lexware GmbH & Co. KG, Munzinger Str. 9, 79111 Freiburg, Deutschland. Verarbeitung ausschließlich innerhalb der EU.
Resend (transaktionaler E-Mail-Versand): Resend, Inc., USA. EU-US Data Privacy Framework zertifiziert. Standardvertragsklauseln vorhanden.
Calendly (Terminbuchung): Calendly LLC, Atlanta, GA, USA. EU-US Data Privacy Framework zertifiziert. Standardvertragsklauseln und DPA gemäß Art. 28 DSGVO verfügbar.
n8n (Workflow-Automation): Selbst-gehostet auf unserem Hostinger VPS in der EU; keine Drittweitergabe.
Terminbuchung (Calendly)
Wenn Sie auf einen „Erstgespräch vereinbaren"-Button klicken, öffnet sich ein Buchungs-Modal mit einem iframe der Plattform Calendly (Calendly LLC, 271 17th St NW, Atlanta, GA 30363, USA). Calendly verarbeitet bei der Buchung: Name, E-Mail-Adresse, gewähltes Zeitfenster sowie ggf. freiwillig angegebene Zusatzinformationen. Der iframe wird erst geladen, wenn Sie aktiv auf einen Buchungs-Button klicken — vorher findet keine Datenübertragung an Calendly statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen — Terminanbahnung).
Datenübermittlung: Calendly LLC sitzt in den USA. Die Übermittlung ist durch das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert. Mit Calendly besteht zudem ein DPA gemäß Art. 28 DSGVO.
Datenschutzerklärung Calendly: calendly.com/privacy
Videokonferenzen (Google Meet)
Für vereinbarte Online-Meetings nutzen wir Google Meet (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Verarbeitet werden Metadaten, Bild- und Tondaten der Teilnehmenden, Chat-Nachrichten sowie ggf. ein Aufzeichnungsstatus. Eine Aufzeichnung erfolgt nur mit ausdrücklicher Einwilligung aller Teilnehmenden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche oder vertragliche Maßnahmen).
Datenübermittlung: Google Ireland sitzt im EWR. Datenflüsse zu Google LLC (USA) sind durch das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert.
Zahlungsabwicklung
Die Bezahlung unserer Leistungen erfolgt per SEPA-Überweisung auf Basis von uns gestellter Rechnungen. Es werden keine Online-Zahlungsdienste (PayPal, Stripe o. ä.) auf dieser Website eingesetzt. Bankdaten werden ausschließlich zur Abwicklung der Forderung verarbeitet.
Suchmaschinen & Indexierung
Google Search Console & Bing Webmaster
Wir betreiben unsere Website-Indexierung über Google Search Console (Google Ireland Limited) und Bing Webmaster Tools (Microsoft Ireland Operations Ltd.). Diese Dienste laden keine Skripte oder Cookies in Ihren Browser. Sie liefern uns aggregierte Auswertungen zu Suchanfragen und Klicks, mit denen unsere Website in den Suchergebnissen sichtbar ist. Personenbezogene Profile einzelner Besucher entstehen dabei nicht.
Google Unternehmensprofil
Wir betreiben ein Unternehmensprofil bei Google (Google Ireland Limited). Wenn Sie unser Profil aufrufen, werden Daten direkt zwischen Ihnen und Google verarbeitet — wir haben darauf keinen Einfluss. Hinweise zum Datenschutz von Google: policies.google.com/privacy.
Ihre Rechte (Betroffenenrechte)
Ihre Datenschutzrechte
Ihnen stehen folgende Rechte zu:
- Auskunft über Ihre bei uns gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Kontakt zur Ausübung Ihrer Rechte
Eine formlose E-Mail an [email protected] genügt. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.
Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: 0611 1408-0
datenschutz.hessen.de
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: 0611 1408-0
datenschutz.hessen.de
Aufbewahrungsfristen
Server-Logfiles
Maximal 7 Tage; bei sicherheitsrelevanten Vorfällen länger, bis zur Aufklärung.
Kontaktanfragen
Löschung nach Abschluss der Bearbeitung, spätestens nach 6 Monaten, sofern keine Geschäftsbeziehung entsteht.
Vertragsdaten & Audit-Logs (Kundenportal)
Vertragsdaten: Dauer der Geschäftsbeziehung zzgl. gesetzlicher Aufbewahrungsfristen. Audit-Logs: 12 Monate.
Rechnungs- und Buchhaltungsdaten
10 Jahre (§ 147 AO).
Geschäftsbriefe
6 Jahre (§ 257 HGB).
Aktualität und Änderungen
Stand: Mai 2026
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen abbildet. Für Ihren erneuten Besuch gilt dann die aktualisierte Fassung. Wesentliche Änderungen kommunizieren wir aktiv.