Datenschutz
Datenschutzerklärung
Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten auf dieser Webseite einschließlich Kontaktformular, Schutzmechanismen und optionaler OpenStreetMap-Einbettung.
1. Verantwortliche Stelle
Melanie Zeller
Rheinische Straße 49
59269 Beckum
2. Verschlüsselte Übertragung
Die veröffentlichte Webseite soll ausschließlich über eine aktuelle SSL-/TLS-Verschlüsselung bereitgestellt werden. Eine verschlüsselte Verbindung ist üblicherweise am Schloss-Symbol und an „https://“ in der Adresszeile zu erkennen.
3. Hosting und Server-Protokolldaten
Beim Aufruf der Webseite verarbeitet der Hostinganbieter technisch erforderliche Verbindungsdaten. Dazu können IP-Adresse, Datum und Uhrzeit, angeforderte Datei, übertragene Datenmenge, Referrer, Browsertyp und Betriebssystem gehören. Die Verarbeitung erfolgt zur sicheren, stabilen und fehlerfreien Bereitstellung der Webseite auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer und Empfänger richten sich zusätzlich nach dem eingesetzten Hostingvertrag.
4. Lokale Besucherstatistik, Gerätedaten und gekürzte IP-Angaben
Zur technischen Auswertung und Absicherung der Webseite wird eine datensparsame, lokal gespeicherte Besucherstatistik geführt. Erfasst werden Zeitpunkt und aufgerufener Seitenbereich, ein pseudonymisierter Besucherprüfwert, der Gerätetyp, der erkannte Browser, das Betriebssystem, das ermittelte Herkunftsland sowie lediglich ein gekürzter Anfang der IP-Adresse. Bei IPv4-Adressen werden beispielsweise nur die ersten beiden Zahlenblöcke angezeigt; die übrigen Blöcke werden durch „xxx“ ersetzt. Vollständige IP-Adressen und vollständige Browserkennungen werden in der Webseitenstatistik nicht gespeichert.
Die Erkennung von Gerät, Browser und Betriebssystem erfolgt anhand der beim Seitenaufruf technisch übermittelten Browserkennung. Detaillierte Besucherereignisse werden auf die letzten 14 Tage und höchstens 300 Einträge begrenzt und danach automatisch gelöscht. Tagesstatistiken und pseudonymisierte Wiedererkennungswerte werden regelmäßig bereinigt und höchstens 120 Tage vorgehalten.
Zur Ermittlung des Herkunftslands wird zunächst geprüft, ob der Hosting- oder Proxyanbieter bereits einen Ländercode bereitstellt. Andernfalls kann die vollständige IP-Adresse serverseitig und nur für die Länderbestimmung an den Dienst Country unter api.country.is übertragen werden. Die Webseite speichert aus dieser Abfrage ausschließlich den Ländercode beziehungsweise den Ländernamen und einen nicht zurückrechenbaren Cache-Schlüssel, nicht jedoch die vollständige IP-Adresse. Die Länderangabe ist eine technische Schätzung und kann insbesondere bei Mobilfunk, VPN oder Proxy-Verbindungen ungenau sein.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die berechtigten Interessen bestehen in der Reichweitenbeurteilung der Webseite, der technischen Fehleranalyse und der Erkennung ungewöhnlicher oder missbräuchlicher Zugriffe.
5. Technisch notwendige Funktionen und lokale Speicherung
Für die Absicherung des Kontaktformulars und der geschützten Kontaktdaten wird ein technisch notwendiges PHP-Session-Cookie verwendet. Es enthält eine zufällige Sitzungskennung und unterstützt insbesondere CSRF-Schutz, Formularsignaturen und die kontrollierte Anzeige von E-Mail-Adresse und Telefonnummer.
Die Auswahl zu externen Karten wird im lokalen Speicher des Browsers unter dem Eintrag „phoenix_consent_v1“ gespeichert. Dadurch kann die Entscheidung bei späteren Seitenaufrufen berücksichtigt werden. Dieser Eintrag enthält die gewählten Einstellungen und einen Aktualisierungszeitpunkt, jedoch keine Namen oder Kontaktdaten.
6. Kontaktformular und direkte Kontaktaufnahme
Bei einer Anfrage über das Kontaktformular, per E-Mail oder Telefon werden die mitgeteilten Angaben zur Bearbeitung der Anfrage und für mögliche Rückfragen verarbeitet. Rechtsgrundlage ist je nach Inhalt der Anfrage Art. 6 Abs. 1 lit. b DSGVO zur Durchführung vorvertraglicher Maßnahmen oder Art. 6 Abs. 1 lit. f DSGVO für eine effiziente Kommunikation. Eine erteilte Einwilligung kann zusätzlich Art. 6 Abs. 1 lit. a DSGVO als Grundlage haben.
Formularnachrichten werden an das konfigurierte E-Mail-Postfach übermittelt. Zusätzlich protokolliert das geschützte Admin-Dashboard, ob ein Absendeversuch erfolgreich, fehlgeschlagen oder aus Sicherheitsgründen blockiert wurde. Dabei können Name, E-Mail-Adresse, Betreff, gekürzter IP-Anfang, Land, Gerätetyp, Browser, Betriebssystem, technische Fehlergründe und eine Vorgangsnummer angezeigt werden. Der eigentliche Nachrichtentext wird im Dashboard nicht gespeichert. Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet wurde und keine gesetzlichen Aufbewahrungspflichten entgegenstehen; rotierte Ereignisprotokolle werden nach spätestens 45 Tagen entfernt. Über das Formular sollen keine sensiblen medizinischen oder sonstigen besonders schutzbedürftigen Angaben übermittelt werden.
7. Schutz vor Spam und Missbrauch
Zum Schutz des Kontaktformulars werden unter anderem CSRF-Token, zeitlich signierte Formulare, unsichtbare Honeypot-Felder, Größen- und Formatprüfungen, serverseitige Eingabevalidierung, Link- und Spam-Musterprüfungen, Duplikaterkennung sowie zeit- und mengenbezogene Zugriffsbeschränkungen eingesetzt.
Zur Erkennung wiederholter verdächtiger Abrufe wird aus IP-Adresse und Browserkennung mit einem serverseitigen Geheimnis ein nicht zurückrechenbarer Prüfwert gebildet. Die Anwendung speichert dabei keine unverschlüsselte IP-Adresse in ihren eigenen Sicherheitsprotokollen. Protokolliert werden nur ein gekürzter Prüfwert, Zeitpunkt, Ereignisart und technische Blockierungsgründe. Sicherheitsprotokolle werden begrenzt, rotiert und alte Rotationen nach spätestens 30 Tagen entfernt; temporäre Sperrdateien werden regelmäßig bereinigt.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse besteht in der Verhinderung von Spam, automatisierten Angriffen, Missbrauch der Kontaktdaten und Überlastung des E-Mail-Postfachs.
8. Geschützte Anzeige von E-Mail-Adresse und Telefonnummer
E-Mail-Adresse und Telefonnummer stehen nicht als direkt auslesbare Kontaktlinks im öffentlichen HTML-Quelltext. Sie werden erst nach einer bewussten Nutzeraktion über einen gleichursprünglichen, sitzungsgebundenen Abruf bereitgestellt. Abrufe sind mengenmäßig begrenzt. Diese Maßnahme erschwert automatisierte Massenauslesung, kann sie technisch jedoch nicht in jedem Fall vollständig verhindern.
9. OpenStreetMap
Auf der Startseite kann eine interaktive Karte der OpenStreetMap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich, eingebettet werden. Die Karte ist standardmäßig deaktiviert und wird erst geladen, wenn in den Cookie-Einstellungen ausdrücklich „Externe Karten von OpenStreetMap“ aktiviert wurde.
Beim Laden stellt der Browser eine direkte Verbindung zu Servern der OpenStreetMap Foundation her. Dabei können insbesondere IP-Adresse, Browserinformationen, Zeitpunkt und die aufgerufene Seite übertragen werden. Die Verarbeitung erfolgt auf Grundlage der freiwilligen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit über „Cookie-Einstellungen“ widerrufen werden; die Karte wird dann entfernt und nicht weiter geladen.
Datenschutzhinweise der OpenStreetMap Foundation öffnen
10. Externe Links
Externe Webseiten werden erst nach einem bewussten Klick aufgerufen. Ab diesem Zeitpunkt verarbeitet der jeweilige Anbieter Daten in eigener Verantwortung. Für die verlinkten Inhalte und deren Datenschutzpraxis gelten die Hinweise des jeweiligen Anbieters.
11. Empfänger von Daten
Empfänger können der Hostinganbieter, der für den E-Mail-Versand eingesetzte Mailserver beziehungsweise E-Mail-Anbieter, der für die Länderbestimmung eingesetzte Dienst Country sowie – nur nach Einwilligung – die OpenStreetMap Foundation sein. Eine Weitergabe zu Werbezwecken findet durch diese Webseite nicht statt.
12. Rechte betroffener Personen
Im Rahmen der gesetzlichen Voraussetzungen bestehen insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf einer Einwilligung. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.
13. Zuständige Datenschutzaufsichtsbehörde
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
14. Aktualisierung dieser Erklärung
Diese Datenschutzerklärung wird angepasst, wenn sich technische Funktionen, Hosting, Empfänger oder rechtliche Anforderungen ändern.