Datenschutzhinweise. Einfach erklärt.
Die meisten Datenschutzerklärungen beginnen mit dem Satz “Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst.” Google findet dazu rund 156.000 Treffer. Oha, es scheint, als gehören solche Erklärungen zu den am häufigsten kopierten Texten im Internet. Wir starten erst mal gar nicht mit solchen Phrasen und versuchen statt dessen, den juristischen Kauderwelsch auf ein Minimum zu reduzieren. Was wir Ihnen hier erzählen? Warum wir personenbezogene Daten erfassen, wie wir diese erfassen und speichern, was wir damit tun und wie diese verarbeitet werden. Zu guter Letzt dann auch noch, wer bei uns dafür verantwortlich ist.
Und ja, natürlich gehen wir verantwortungsvoll mit Ihren Daten um, ganz selbstverständlich und so gut es eben möglich ist: Trotz Verschlüsselung und der Einhaltung der nachfolgenden Erklärung ist nichts wirklich 100% sicher, Sicherheitslücken gibt’s bekanntlich überall.
Warum wir Daten auf unserer Website erfassen. Und wie.
Wofür nutzen wir Ihre Daten ?
Machen wir es kurz, was der Gesetzgeber unter personenbezogenen Daten versteht, ist so ziemlich auf jeder Internetseite ausführlich dargestellt. Sie schreiben uns über unser Kontaktformular an? Dann haben wir Ihre persönlichen Daten, logisch, sonst können wir Sie ja gar nicht kontaktieren. Sie rufen unsere Internetseite auf? Dann kennen wir Ihre IP-Adresse, quasi Ihren digitaler Fingerabdruck. Letzteres können Sie nicht verhindern, das ist einfach so, ohne das funktioniert das Internet in weiten Teilen nicht, ohne diese könnten wir Ihnen unsere Website überhaupt nicht zur Verfügung stellen. Unser Server benötigt ganz wie bei der Briefpost schlicht und einfach einen Adressaten.
Wir nutzen Ihre Daten dazu, um eine Analyse Ihres Nutzerverhaltens zu erstellen - welche Seiten Sie besonders interessieren und welche Ihnen so langweilig erscheinen, dass Sie sie gleich wieder wegklicken. Wir bauen Websites, also sind wir in diesem Punkt wissbegierig. Dann gibt es noch die logfiles - wenn unsere Seite einen Fehler produziert, helfen uns diese Daten zu sehen, mit welcher Browsertechnik unsere Seite sich schwer tut. Das war’s dann aber auch schon, für mehr nutzen wir Ihre Daten nicht.
SSL- bzw. TLS-Verschlüsselung
Klar, alle Daten zwischen Ihrem Browser und dem Webserver verschlüsseln wir, okay, eigentlich sollte man das gar nicht mehr erwähnen müssen, das ist heute selbstverständlich. Sie erkennen das daran, dass die Adresse in der Browserzeile mit “https://” statt “http://” beginnt. Und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn Sie da draufklicken, können Sie alles Mögliche über das Zertifikat erfahren: Unter anderem, dass es sich um ein Zertifikat von Let's Encrypt handelt und wie lange es noch gültig ist.
Was wir auf unserer Website alles von Ihnen erfahren und speichern.
Cookies
Dieses Thema ist komplex, darüber könnte man eine Bachelorarbeit schreiben. Macht die Sache aber nicht interessanter. Kommen Cookies zum Einsatz, muss man - so will es das Gesetz - erklären, wofür sie da sind und warum sie nicht böse sind. Auch wir setzen solche Cookie "Kekse" ein, deshalb kommt hier der obligatorische Abschnitt dazu.
Nix krach, kawumm. Cookies richten auf Ihrem Rechner keinen Schaden an, sie setzen sich nicht wie Alexa in Ihr Wohn- oder Schlafzimmer und enthalten auch keine Viren. Cookies sind einfach nur kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Diese dienen schlicht dazu, unseren Internetauftritt benutzerfreundlich und effektiv zu machen. Verschiedene Funktionen unserer Website - wie bspw. der Kunden-Login - wären ohne Cookies so nicht umsetzbar gewesen, die Rechtmäßigkeit des Einsatzes begründen wir daher vorschriftsmäßig mit Art. 6 Abs. 1 (f) DSGVO.
Egal ob es Ihnen passt oder nicht, ein paar sogenannte "Session-Cookies" setzen wir ungefragt, ohne Einwilligung:
| Name | Beschreibung | Dauer |
|---|---|---|
| JSESSIONID | Speichert die Konfiguration der Nutzerparameter über die Seitenaufrufe. | Ablauf nach Sitzung |
| CFID und CFTOKEN | Eine sequentielle Client-Kennung sowie ein zufälliges Sicherheitstoken mit Zufallszahlen um die Sitzung zwischen Server und Client über mehrere Seitenaufrufe aufrechtzuerhalten. | Ablauf nach Sitzung |
| cw_conversation | Wird verwendet, um die Konversation aufrechtzuerhalten, wenn der Besucher durch die Webseiten navigiert bzw. die Website später erneut besucht. | 1 Jahr |
| _chatwoot_session | Wird verwendet, um die Sitzung des Besuchers zu erhalten. | Ablauf nach Sitzung |
"Oha ..." hier wittern die Datenschutzjunkies unter Ihnen bestimmt schon einen Rechtsverstoß: "... jubeln die uns da etwa ungefragt Tracking- (bzw. Marketing-) Cookies unter?" Denn bekanntermaßen fand es das EuGH nicht in Ordnung, wenn nicht höflich vorab gefragt wird, ob diese Cookies überhaupt gesetzt werden dürfen (was jetzt unmissverständlich im TTDSG geregelt wurde). Nope, machen wir echt nicht. Zwar lieben wir den Verfolgungswahn, haben das aber rechtskonform hinbekommen. Die oben aufgeführten Cookies sind technisch einfach notwendig. Übrigens, nach Ende Ihres Besuchs verschwinden alle Cookies automatisch im Nirvana.
Diese krümeligen Textdateien finden Sie dennoch furchterregend? OK, dann eben weg damit: Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und genau steuern können, ob bzw. welche Cookies gespeichert werden sollen und wenn ja, wie lange. Wenn Sie Cookies nicht erlauben, müssen Sie allerdings davon ausgehen, dass unsere Website nur eingeschränkt funktioniert.
Server-Log-Dateien
Dass wir Ihre IP-Adressen benötigen, damit wir die aufgerufene Seite an Ihren Browser schicken können, hatten wir schon erwähnt. Zusammen mit den IP-Adressen erhalten wir aber noch diese weitere Daten von Ihnen, die wir in unserer Datensammelwut allesamt in sogenannten Log-Dateien speichern, dazu gehört Ihr Browser bzw. der Client, den Sie verwenden und welche Seite Sie wann aufgerufen haben. Mit diesen Daten machen wir normalerweise gar nichts (es sei denn, irgendetwas funktioniert nicht oder unberechtigte Zugriffe erfordern, dass wir die Daten einsehen), diese werden insbesondere nicht mit anderen Datenquellen zusammengewürfelt oder an Dritte weitergegeben. Nach vier Wochen zerhäckseln wir die logs automatisch. Dank digitalem Shredder. Dann ist alles weg. Die obligatorische Rechtsgrundlage, auf die wir uns diesbezüglich berufen: Art. 6 Abs. 1 (b) DSGVO. Gut, jetzt wissen Sie das auch.
Kontaktformular
Ein Kontaktformular befindet sich auch auf unserer Website. Damit Sie uns eine Anfrage zukommen lassen, ohne, dass Sie uns dazu eine Email schreiben müssen. Weil wir glauben, dass es Besucher gibt, die es einfach einfacher finden, über diesen Weg mit uns in Kontakt zu treten. Wenn Sie das Formular absenden - welch Überraschung - erhalten wir diese Daten und diese werden tatsächlich bei uns gespeichert. OK, wir wissen, das dürfen wir nicht, machen wir trotzdem, aber nur wenn Sie uns dazu eine Einwilligung geben (steht in Art. 6 Abs. 1 (a) DSGVO).
Die Daten löschen wir, sobald wir Ihre Anfrage abschließend beantwortet haben. Daten an andere weitergeben? Nee, wieso denn auch!? Und wenn Sie uns je eine Anfrage geschickt haben und wollen, dass wir Ihre Daten sofort löschen oder Sie die Einwilligung zur Speicherung widerrufen, dann sagen oder schreiben Sie uns das. Erledigen wir umgehend und lassen Sie dann auch fortan in Ruhe.
Registrierung auf dieser Website
Es gibt auf dieser Website einen Login, der ist aber nur für unsere Kunden da, es gibt keine Möglichkeit, sich hierfür zu registrieren. Deshalb gibt's dazu auch nix zu sagen. Thema beendet.
Wir wollen lernen, was wir besser machen können.
Was nutzt uns eine tolle Website, wenn die Besucher nicht finden, was Sie suchen? Oder etwas finden, was Sie nicht wissen wollen? Überhaupt gar nichts. Der Besucher ist lost. Verständlicherweise wollen wir die Schwachstellen auf unserer Website identifizieren, um das Nutzererlebnis verbessern zu können.
Google Analytics? Hatten wir, ist aber komplett rausgeflogen. Egal wie wir es eingebunden hatten, ohne Einwilligung geht nix. Nicht mal mit einem Proxy dazwischen oder mit Salt und Hash verschlüsselten IP Adressen. Also: Konto geschreddert. Jetzt setzen wir die selbstgehostete Analysesoftware Matomo ein, die uns verrät, welche Seiten angeschaut wurden, wie lange die Besucher verweilen und wie sie auf unsere Seite gestoßen sind. Das Ganze funktioniert komplett ohne Cookies, des Weiteren haben wir Matomo datenschutzkonform konfiguriert gemäß Art. 6 Abs. 1 (f) DSGVO.
Drittanbieter, die von uns Ihre IP Adresse erhalten
Die Überschrift schreit schon nach “Waaaas, die geben IP Adressen weiter? Vielleicht sogar an US-Unternehmen?” Das hört sich dramatisch an, weil’s personenbezogene Daten sind - aber, versprochen, so schlimm ist es gar nicht. Ja, tatsächlich, wir setzen verschiedene US basierte Dienste ein, die das Nutzererlebnis auf der Seite verbessern (bspw., weil sie dann schneller geladen wird und weniger Datenvolumen verbraucht).
Fangen wir mal mit Cloudinary an, ist ein Dienst zum Optimieren der Bilder in Echtzeit. Coole Sache, blöderweise dürfen wir das aber nicht, denn normalerweise wird dazu Ihre IP Adresse an Cloudinary (Cloudinary Inc., 111 W Evelyn Ave Suite 206, Sunnyvale, California 94086; wir haben keine Ahnung, wem die Anschrift an der Stelle etwas bringen könnte, aber vielleicht wollen Sie denen ja mal 'ne Postkarte aus dem Urlaub schicken) übertragen. Also haben wir einen Proxy dazwischen gehängt, Problem gelöst, möglicherweise kennt der US Geheimdienst unsere Server IP schon auswendig. Oder auch nicht, weil die unsere Website wahrscheinlich Null Komma Null juckt.
Weiter geht’s, dann gibt es noch Instagram, wir zeigen über deren API Bilder aus unserem Instagram Konto an. Und ja, Instagram scheint es mit dem europäischen Datenschutz nicht so genau zu nehmen (Instagram LLC, vertreten durch Adam Mosseri, 1601 Willow Rd, Menlo Park CA 94025, USA; Sie kennen Menlo Park nicht? Dann wussten Sie vermutlich auch nicht, dass Thomas Edison in dem Ort die Glühbirne erfunden hat?), aber das munkelt man ja eh. Was die dort mit den Daten tun? Keinen blassen Schimmer. Ha, wenn Ihnen jetzt als Abmahnanwalt die Eurozeichen in den Augen funkeln, weil das Übertragen der IP-Adresse an Instagram ohne Einwilligung des Nutzers ja ein gefundenes Fressen für ein böses Schreiben mit 'ner fetten Rechnung ist ... bäääätsch, können Sie knicken. Weil wir nämlich auch hier einen Proxy eingebunden haben, der nur die IP-Adresse unseres Servers zu Instagram überträgt.
Damit Sie’s wissen, als Nutzer haben Sie Rechte.
Sie wollen wissen, was wir von Ihnen wissen?
Keine Sorge, viel wissen wir nicht. Fragen Sie uns, wir teilen es Ihnen zeitnah mit, auch, woher wir die Daten haben. Selbstverständlich löschen wir Ihre Daten, wenn Sie das möchten. Zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum bzw. der nachfolgenden angegebenen Adresse an uns wenden.
Hinweis zur verantwortlichen Stelle
Ja, wir haben einen Datenschutzverantwortlichen, an den Sie sich wenden können, wenn Sie Fragen zu Ihren erhobenen Daten haben:
Telefon: 07082 948344
E-Mail: datenschutz@webcontact.de
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Haben Sie einen Beleg dafür, dass wir uns an diese Erklärung nicht halten und Ihre Daten missbräuchlich verwendet oder weitergegeben wurden, steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde, dem Landesdatenschutzbeauftragten Baden-Württemberg zu.
Recht auf Datenübertragbarkeit
OK, wenn man den unserer Meinung nach undurchsichtigen Datenkomposthaufen von facebook vor Augen hat, mag der Art. 20 der DSGVO Sinn machen, dass man von einem Dienst seine personenbezogenen Daten auf einen anderen Anbieter übertragen lassen kann. Aber kommen Sie bloß nicht auf die Idee, dass wir die von Ihnen an uns über das Kontaktformular übermittelten Daten (also Ihren Namen) elektronisch an einen anderen Anbieter schicken sollen, das machen wir ganz bestimmt nicht. Vorher löschen wir Ihre Daten nämlich. Dann können Sie uns auch nicht bei der Aufsichtsbehörde anschwärzen.
Was es sonst noch so zu sagen gibt …
Widerspruch gegen Werbe-Mails
Um es klar zu sagen, wir widersprechen ausdrücklich, dass uns irgendjemand unsere veröffentlichten Adressdaten abgreift, um uns irgendwelchen sinnlosen Kram zuzusenden. Abgesehen davon bringt das auch gar nix. Wir haben einen guten Spam-Filter und setzen solche Adressen auf unsere Blacklist.
Steht hier irgendwo etwas Falsches?
Das ganze Datenschutzthema ist echt nicht leicht zu durchblicken, dennoch haben wir versucht, die wesentlichen Punkte so darzustellen, dass nachvollziehbar ist, wie wir mit den personenbezogenen Daten umgehen. Haben wir etwas vergessen oder falsch dargestellt? Dann wäre es echt nett, wenn uns jemand wissen lässt, dass unser Datenschutzbeauftragter keine Leuchte ist. Verbesserungsvorschläge sind herzlich willkommen, die wir selbstverständlich gerne aufnehmen und umsetzen. Denn Abmahnungen deshalb rauszuhauen ist, naja, Sie wissen schon - sagen wir “nicht nett”.