Datenschutzerklärung

Stand: 27.05.2026 · Version 4.1 · Gültig für durandigitalsolutions.de

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Telefon: +49 981 180093-0, E-Mail: poststelle@lda.bayern.de, Website: www.lda.bayern.de.

Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist für unser Unternehmen nicht erforderlich (Art. 37 DSGVO). Bei datenschutzrechtlichen Fragen wende dich bitte direkt an uns über info@durandigitalsolutions.de.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der geltenden Datenschutzvorschriften (DSGVO und BDSG). Folgende Grundsätze leiten unsere Datenverarbeitung:

• Zweckbindung: Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben.
• Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck notwendig sind.
• Transparenz: Du wirst über alle wesentlichen Verarbeitungsvorgänge informiert.
• Sicherheit: Wir schützen deine Daten durch geeignete technische und organisatorische Maßnahmen.
• Datensparsamkeit by design: Statistik- und Marketing-Cookies werden auf dieser Website aktuell nicht eingesetzt. Es findet kein Tracking, keine Profilbildung und keine Übermittlung an Analyse- oder Werbedienste statt.

3. Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Für die Absendung des Briefing-Formulars und das Double-Opt-In-Verfahren sowie für nicht-essenzielle Cookies (falls nach Zustimmung eingesetzt).
• Art. 6 Abs. 1 lit. b DSGVO – Vertragsanbahnung / Vertragserfüllung: Für die Bearbeitung deiner Anfrage und die Zusendung des angeforderten PDF-Briefings.
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Für technisch notwendige Server-Logs, sichere Bereitstellung der Website, Speicherung deiner Cookie-Entscheidung sowie für den Nachweis erteilter Einwilligungen (IP-Adresse und Zeitstempel beim Double-Opt-In).
• Art. 44 ff. DSGVO – Drittlandtransfer: Für mögliche Übermittlungen in Drittländer (siehe Abschnitt 10).

4. Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser Hosting-Dienstleister (Firebase Hosting, siehe Abschnitt 5) automatisch technische Daten in sogenannten Server-Logfiles. Folgende Daten werden hierbei erhoben:

• IP-Adresse des aufrufenden Rechners
• Datum und Uhrzeit des Zugriffs
• Übertragene Datenmenge
• Aufgerufene Ressource (URL)
• Browser-Typ und Browser-Version
• Verwendetes Betriebssystem
• Referrer-URL (zuletzt besuchte Seite)

Diese Server-Logfiles werden ausschließlich zur sicheren Bereitstellung der Website ausgewertet. Eine Zusammenführung dieser Logdaten mit anderen personenbezogenen Datenbeständen (etwa den Briefing-Lead-Daten in Firestore, siehe Abschnitt 6) findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website). Die Logdaten werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind, spätestens jedoch nach 30 Tagen.

5. Hosting durch Google Firebase

Diese Website wird gehostet bei Firebase, einem Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) sowie deren Muttergesellschaft Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Konkret nutzen wir folgende Firebase-Komponenten:

• Firebase Hosting — Auslieferung der statischen Dateien dieser Website (HTML, CSS, Bilder, JavaScript) über ein globales Content-Delivery-Network.
• Cloud Functions — Serverlose Verarbeitung der Briefing-Anfragen (siehe Abschnitt 6). Region: europe-west1 (Belgien, EU).
• Cloud Firestore — Datenbank-Dienst zur kurzzeitigen Speicherung der Briefing-Leads (siehe Abschnitt 6). Region: eur3 (Europäische Union, multi-region).

Bei der Auslieferung der Website werden technisch erforderliche Daten verarbeitet (siehe Abschnitt 4). Es findet kein Tracking, keine Analyse und keine Profilbildung statt.

Speicherort: Cloud Functions und Firestore-Datenbank sind so konfiguriert, dass die Verarbeitung der Briefing-Daten in EU-Rechenzentren stattfindet. Bei der Auslieferung statischer Inhalte über das Firebase Hosting CDN kann es technisch bedingt zu Datenübermittlungen an Server außerhalb der EU kommen (siehe Abschnitt 10).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und schnellen Bereitstellung dieser Website). Mit Google haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Datenschutzerklärung Google: policies.google.com/privacy

6. Briefing-Formular und Double-Opt-In-Verfahren

Auf dieser Website findest du ein Briefing-Formular, über das du kostenfrei und unverbindlich unser PDF-Projekt-Briefing anfordern kannst. Die Abwicklung erfolgt nach dem Double-Opt-In-Verfahren: Nach dem Absenden des Formulars erhältst du eine Bestätigungs-E-Mail mit einem Link. Erst wenn du diesen Link anklickst, gilt deine Einwilligung als erteilt und du erhältst das PDF-Briefing.

6.1 Welche Daten werden verarbeitet?

Beim Absenden des Briefing-Formulars werden folgende Daten verarbeitet:

• Pflichtangaben: Name, E-Mail-Adresse, Bestätigung deiner Einwilligung zur Datenschutzerklärung.
• Optionale Angaben: Firma / Organisation, kurze Nachricht zum Projekt.
• Technische Daten (zum Einwilligungsnachweis): IP-Adresse, User-Agent (Browser-Kennung), Zeitstempel der Anfrage und der späteren Bestätigung. Diese Daten dienen ausschließlich dem Nachweis der erteilten Einwilligung und werden nicht zu Marketing- oder Tracking-Zwecken ausgewertet.

6.2 Auftragsverarbeiter und technischer Ablauf

An der Verarbeitung sind folgende Auftragsverarbeiter beteiligt:

• Google Firebase (Cloud Functions & Firestore) — Empfang des Formulars und Speicherung des Leads.
  Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
  Region: Cloud Functions europe-west1 (Belgien), Firestore eur3 (EU multi-region).
  AVV nach Art. 28 DSGVO geschlossen. Möglicher Drittlandtransfer in die USA siehe Abschnitt 10.
• Brevo (E-Mail-Versand)
  Anbieter: Brevo GmbH (vormals Sendinblue GmbH), Köpenicker Straße 126, 10179 Berlin, Deutschland (HRB 133191 B, Amtsgericht Charlottenburg).
  Mutterkonzern: Sendinblue SAS, 17 rue de Salneuve, 75017 Paris, Frankreich.
  Server-Standort: primär in Rechenzentren in Deutschland; ergänzende Dienste (z. B. Versandprotokollierung, Spam- und Bounce-Handling) können gemäß Brevo-Datenschutzerklärung weitere Rechenzentren in der EU einbeziehen.
  Zweck: Versand der Bestätigungs-E-Mail (Double-Opt-In) und der nachfolgenden PDF-Briefing-E-Mail.
  AVV nach Art. 28 DSGVO geschlossen.
  Datenschutzerklärung Brevo: www.brevo.com/de/legal/privacypolicy

Der Ablauf im Detail:

1. Du sendest das Briefing-Formular ab. Die Daten gehen an eine Cloud Function in der EU-Region europe-west1.
2. Die Cloud Function legt einen vorläufigen Lead-Eintrag in Firestore an (Felder: Name, E-Mail, Firma, Nachricht, IP, User-Agent, Zeitstempel, Bestätigungs-Token).
3. Über Brevo wird dir eine Bestätigungs-E-Mail mit einem Link zugestellt.
4. Klickst du den Link an, wird der Lead in Firestore als „bestätigt" markiert und das PDF-Briefing per E-Mail über Brevo an dich versendet.
5. Bestätigst du den Link nicht, wird der vorläufige Lead-Eintrag spätestens nach 7 Tagen automatisch gelöscht.

6.3 Zweck und Rechtsgrundlage

Zweck: Versand des angeforderten PDF-Briefings, Nachweis der Einwilligung, Schutz vor missbräuchlicher Nutzung des Formulars (Anti-Spam).

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Checkbox im Formular sowie Bestätigung des Double-Opt-In-Links) für die Verarbeitung deiner Stamm- und Nachrichtendaten.
• Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses) für die Bearbeitung deiner Projekt-Anfrage.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die Speicherung von IP-Adresse, User-Agent und Zeitstempel zum Zweck des Einwilligungsnachweises und zum Schutz vor missbräuchlicher Nutzung (Rate-Limiting / Anti-Spam).

6.4 Speicherdauer

• Nicht bestätigte Anfragen: automatische Löschung nach spätestens 7 Tagen.
• Bestätigte Anfragen (Lead-Eintrag in Firestore): Speicherung bis zum Abschluss der Konversation, längstens jedoch 12 Monate ab Bestätigung. Danach erfolgt die Löschung. Bei vertragsrelevanten Vorgängen können gesetzliche Aufbewahrungsfristen entgegenstehen (siehe Abschnitt 12).
• E-Mail-Versand bei Brevo: Die transaktionalen Versanddaten werden bei Brevo gemäß deren Datenschutzerklärung verarbeitet; die zugestellte E-Mail liegt anschließend in deinem Postfach und in unserem Postfach (siehe Abschnitt 7).

6.5 Widerruf der Einwilligung

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sende uns dafür einfach eine formlose E-Mail an info@durandigitalsolutions.de. Wir löschen daraufhin deinen Lead-Eintrag unverzüglich, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

7. E-Mail-Empfang und STRATO

Im Verlauf des Briefing-Prozesses erhalten wir eine Kopie deiner Anfrage als E-Mail in unser Postfach. Dieses E-Mail-Postfach wird gehostet bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Mit STRATO besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Speicherort: Rechenzentrum in Deutschland.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung deiner Anfrage) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am professionellen E-Mail-Empfang).

Datenschutzerklärung STRATO: strato.de/datenschutz

8. Cookies und lokaler Speicher

8.1 Cookie-Kategorien — Übersicht

Beim ersten Besuch unserer Website wird dir ein Cookie-Banner angezeigt. Auf dieser Website werden aktuell keine nicht-essenziellen Cookies eingesetzt. Sollten zukünftig Statistik- oder Marketing-Cookies eingebunden werden, geschieht dies ausschließlich nach deiner aktiven Einwilligung (sogenanntes „Opt-In" gemäß EuGH-Urteil C-673/17 „Planet49" und § 25 Abs. 1 TDDDG). Die folgenden Kategorien sind im Banner vorgesehen:

• Essentiell (immer aktiv) — Technisch notwendige Speicher-Einträge. Hierzu zählt ausschließlich der Eintrag dds_cookie_consent_v1, der deine Cookie-Entscheidung im LocalStorage deines Browsers speichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.
• Statistik (standardmäßig deaktiviert) — Diese Kategorie ist im Banner für eine zukünftige Verwendung vorbereitet. Stand der Veröffentlichung dieser Datenschutzerklärung setzen wir keine Statistik- oder Analyse-Cookies ein. Sollte sich dies ändern, werden wir diese Datenschutzerklärung vorab entsprechend anpassen.
• Marketing (standardmäßig deaktiviert) — Diese Kategorie ist im Banner für eine zukünftige Verwendung vorbereitet. Stand der Veröffentlichung dieser Datenschutzerklärung setzen wir keine Marketing- oder Tracking-Cookies für Werbezwecke ein. Es findet kein Profiling, keine personalisierte Werbung und kein Retargeting statt.

8.2 Aktuell eingesetzter Speicher-Eintrag

Stand dieser Datenschutzerklärung setzt diese Website ausschließlich den folgenden Eintrag ein:

• dds_cookie_consent_v1 — LocalStorage, dauerhaft. Speichert in JSON-Form deine Cookie-Entscheidung (Zustimmung zu Statistik / Marketing), die Version des Banners sowie den Zeitstempel der Entscheidung. Es werden keine personenbezogenen Daten an Dritte übertragen.

Du kannst diesen Eintrag jederzeit löschen, indem du die Browser-Daten für diese Website löschst. Über den Link „Cookie-Einstellungen" im Footer kannst du das Cookie-Banner jederzeit erneut anzeigen lassen und deine Auswahl anpassen.

9. Schriften und externe Inhalte

Wir setzen keine externen Schriftarten ein (insbesondere keine Google Fonts, die von externen Google-Servern geladen würden). Alle für die Darstellung der Website notwendigen Schriften, Bilder und Icons werden direkt von unserem Server ausgeliefert.

Wir setzen außerdem ein:

• Keine Analyse-Tools (z. B. Google Analytics, Matomo, Plausible)
• Keine Social-Media-Plugins
• Keine Werbung und keine Werbenetzwerke
• Keine externen Karten-Dienste (z. B. Google Maps)
• Keine eingebetteten Videos von Drittanbietern

10. Drittlandtransfer und Standardvertragsklauseln

Bei der Bereitstellung dieser Website über Firebase Hosting (siehe Abschnitt 5) sowie bei der Verarbeitung der Briefing-Daten über Google-Cloud-Dienste (siehe Abschnitt 6) kann es technisch bedingt zu Datenübermittlungen an Google-Server außerhalb der Europäischen Union, insbesondere in die USA, kommen.

Für diese Übermittlungen stützen wir uns auf folgende Garantien:

• EU-US Data Privacy Framework (DPF, Art. 45 DSGVO): Google LLC ist nach dem aktuellen Angemessenheitsbeschluss der Europäischen Kommission (DPF) zertifiziert.
• Standardvertragsklauseln (SCC, Art. 46 DSGVO): Ergänzend bestehen mit Google die EU-Standardvertragsklauseln in der aktuell gültigen Fassung (Durchführungsbeschluss (EU) 2021/914).
• Auftragsverarbeitungsverträge (Art. 28 DSGVO): Mit allen genannten Anbietern haben wir Auftragsverarbeitungsverträge geschlossen.

Die Verarbeitung der Briefing-Lead-Daten in Firestore selbst ist auf EU-Regionen konfiguriert (Region eur3). Brevo (Abschnitt 6) verarbeitet Daten primär in Deutschland.

11. Keine automatisierten Entscheidungen / kein Profiling

Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO statt. Insbesondere führen wir kein Profiling, keine Bonitätsbewertung und keine algorithmische Entscheidungsfindung über Personen durch.

Hinweis zur Anti-Spam-Logik: Beim Briefing-Formular werden technische Mechanismen wie Rate-Limiting (begrenzte Anzahl Anfragen pro E-Mail-Adresse innerhalb eines Zeitfensters) eingesetzt. Diese Mechanismen dienen ausschließlich der Missbrauchsprävention und stellen keine automatisierte Entscheidung im Sinne des Art. 22 DSGVO dar, da sie weder rechtliche Wirkung gegenüber der betroffenen Person entfalten noch sie in vergleichbarer Weise erheblich beeinträchtigen.

12. Speicherdauer

• Server-Logfiles: Max. 30 Tage (Firebase Hosting), danach automatische Löschung.
• Nicht bestätigte Briefing-Anfragen (Firestore): Automatische Löschung nach spätestens 7 Tagen.
• Bestätigte Briefing-Anfragen (Firestore): Bis zu 12 Monate ab Bestätigung, danach automatische Löschung.
• E-Mails im Postfach: Bis zum Abschluss der Konversation; bei vertragsrelevanten Vorgängen 6 bzw. 10 Jahre (Aufbewahrungspflichten nach § 257 HGB bzw. § 147 AO).
• Cookie-Consent-Eintrag: Dauerhaft im LocalStorage deines Browsers (kein Server).

13. Ihre Rechte (DSGVO Art. 15–21)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten. Alle Anfragen richte bitte an info@durandigitalsolutions.de. Wir antworten in der Regel innerhalb von 30 Tagen.

• Auskunftsrecht (Art. 15 DSGVO): Auskunft über alle gespeicherten personenbezogenen Daten.
• Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger oder unvollständiger Daten.
• Recht auf Löschung (Art. 17 DSGVO): Löschung deiner Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung deiner Daten.
• Datenübertragbarkeit (Art. 20 DSGVO): Deine Daten in einem maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Datenverarbeitung auf Basis berechtigter Interessen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren — dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.

14. Datensicherheit

Wir verwenden geeignete technische und organisatorische Maßnahmen zum Schutz deiner Daten (Art. 32 DSGVO):

• Verschlüsselung: Alle Datenübertragungen erfolgen über TLS/SSL (HTTPS); HSTS aktiviert.
• Sichere HTTP-Header: Referrer-Policy, X-Content-Type-Options, X-Frame-Options und Permissions-Policy sind serverseitig gesetzt.
• Datenminimierung: Wir erheben nur die für den jeweiligen Zweck erforderlichen Daten.
• Honeypot-Schutz: Das Briefing-Formular verfügt über ein unsichtbares Spam-Schutz-Feld.
• Rate-Limiting: Wiederholte Anfragen von derselben E-Mail-Adresse werden serverseitig begrenzt, um Missbrauch zu verhindern.
• Double-Opt-In: Versand des PDF-Briefings erfolgt erst nach ausdrücklicher Bestätigung deiner E-Mail-Adresse.
• EU-Hosting: Cloud Functions und Datenbank sind auf EU-Regionen konfiguriert.
• Regelmäßige Überprüfung: Wir überprüfen unsere Sicherheitsmaßnahmen regelmäßig.

Im unwahrscheinlichen Fall einer Datenschutzverletzung werden wir die zuständige Aufsichtsbehörde (BayLDA) und betroffene Personen gemäß Art. 33/34 DSGVO unverzüglich informieren.

15. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 27.05.2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Version ist stets unter durandigitalsolutions.de/datenschutz.html abrufbar.