Datenschutzerklärung

1. Verantwortliche Stelle und Kontakt

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO (Datenschutz-Grundverordnung) für die Datenverarbeitungen auf der Second-Level-Domain zacklack.de einschließlich aller zugehörigen Subdomains ist:

Name: Cédric
Anschrift: Auf Anfrage, kontaktieren sie uns unter unserer E-Mail Adresse.
Telefon: Auf Anfrage, kontaktieren sie uns unter unserer E-Mail Adresse.
E-Mail: webmaster@zacklack.de

Es ist kein Datenschutzbeauftragter bestellt, da die gesetzlichen Voraussetzungen einer Bestellpflicht nicht vorliegen (Art. 37 DSGVO). Bei Fragen zum Datenschutz können Sie sich daher direkt an den Verantwortlichen wenden.

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet Begriffe im Sinne der DSGVO. Zur besseren Verständlichkeit werden wichtige datenschutzrechtliche Begriffe vorab erläutert (vgl. Art. 4 DSGVO):

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder besonderen Merkmalen identifiziert werden kann. Dazu gehören z.B. Name, Anschrift, E-Mail-Adresse, aber auch IP-Adressen oder Gerätekennungen.
• Betroffene Person: Jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden (also z.B. Sie als Besucher*in dieser Website).
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, egal ob automatisiert oder manuell, wie etwa das Erheben, das Erfassen, die Organisation, das Speichern, das Anpassen oder Verändern, das Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, der Abgleich, die Verknüpfung, Einschränkung, das Löschen oder die Vernichtung von Daten.
• Verantwortlicher: Die Person oder Stelle, die allein oder gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – hier also der oben genannte Webseitenbetreiber.
• Auftragsverarbeiter: Eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Beispiel: Ein externer Dienstleister, der in unserem Auftrag Daten hostet.
• Empfänger: Eine Person oder Stelle, der personenbezogene Daten offengelegt werden – unabhängig davon, ob es sich um einen Dritten im datenschutzrechtlichen Sinne handelt oder nicht (Art. 4 Nr. 9 DSGVO). Behörden, die im Rahmen eines gesetzlichen Auftrags Daten erhalten, gelten jedoch nicht als Empfänger.
• Dritter: Jede Person oder Stelle außerhalb der betroffenen Person, des Verantwortlichen, des Auftragsverarbeiters und der Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, Daten zu verarbeiten.
• Einwilligung: Jede freiwillig und in informierter Weise durch eine eindeutige bestätigende Handlung abgegebene Willensbekundung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DSGVO). Eine Einwilligung kann gemäß Art. 7 DSGVO jederzeit für die Zukunft widerrufen werden.

3. Gegenstand und Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten auf der Domain zacklack.de und allen zugehörigen Subdomains erhoben werden, zu welchen Zwecken wir diese Daten verwenden und wie wir sie verarbeiten. Sie gilt für alle Webseiten-Inhalte unter zacklack.de einschließlich Unterseiten und Subdomains (insbesondere legal.zacklack.de für rechtliche Hinweise, quiz.zacklack.de für interaktive Quiz-Angebote, cedric.zacklack.de als persönliche Portfolio-Seite des Betreibers, sowie weitere Dienste wie privat.zacklack.de, wakapi.zacklack.de etc.).

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften – insbesondere der DSGVO, dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie der ePrivacy-Richtlinie 2002/58/EG – und dieser Datenschutzerklärung.

Bitte beachten Sie, dass wir uns vorbehalten, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Einführung neuer Dienste oder Änderungen der Rechtslage. Die jeweils aktuelle Fassung wird an dieser Stelle veröffentlicht.

4. Allgemeine Hinweise zur Datenverarbeitung auf unserer Website

Umfang der Verarbeitung: Wir verarbeiten personenbezogene Daten unserer Nutzer nur, soweit dies zur Bereitstellung eines funktionsfähigen Webangebots sowie unserer Inhalte und Leistungen erforderlich ist. Grundsätzlich erfolgt die Nutzung unserer Website ohne aktive Angabe personenbezogener Daten durch Sie (es existieren keine klassischen Benutzerkonten oder Formulareingaben für öffentliche Nutzer). Dennoch werden bei der Nutzung – vor allem technisch bedingt – einige Daten automatisch verarbeitet (siehe unten). Sofern Sie bestimmte geschützte Bereiche nutzen (Login-Bereich) oder unsere interaktiven Dienste aufrufen, kann es zur Verarbeitung weiterer Daten (z.B. Ihrer E-Mail-Adresse zur Verifikation) kommen. In keinem Fall erfolgt eine Verarbeitung Ihrer Daten zu Werbezwecken oder Profilbildung ohne Ihre ausdrückliche Einwilligung.

Rechtsgrundlagen: Soweit wir für Verarbeitungsvorgänge eine Einwilligung von Ihnen einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich (z.B. Nutzung eines von uns angebotenen Dienstes, für den Sie sich registriert haben), erfolgt sie auf Basis von Art. 6 Abs. 1 lit. b DSGVO. In den meisten Fällen stützen wir die Datenverarbeitung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO – etwa unser Interesse an der technisch fehlerfreien Bereitstellung und Sicherheit der Website, an der Verbesserung unseres Angebots oder der Beantwortung von Anfragen. In solchen Fällen prüfen wir stets, dass keine überwiegenden Interessen oder Grundrechte Ihrerseits entgegenstehen. Zudem werden im erforderlichen Umfang die spezialgesetzlichen Regelungen des TTDSG berücksichtigt (siehe insbesondere § 25 TTDSG für den Einsatz von Cookies und ähnlichen Technologien). Technisch notwendige Cookies oder Zugriffe, die ausschließlich der Übertragung einer Nachricht oder der Bereitstellung eines von Ihnen gewünschten Dienstes dienen, erfolgen auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG (keine Einwilligung erforderlich). Für alle anderen Fälle holen wir eine Einwilligung nach § 25 Abs. 1 TTDSG ein (etwa über eine Cookie-Einwilligung, sofern nicht bereits durch die Konfiguration des Browsers erteilt).

Sicherheitsmaßnahmen: Wir haben umfangreiche technische und organisatorische Maßnahmen getroffen, um Ihre Daten nach dem Stand der Technik zu schützen. Dennoch weisen wir darauf hin, dass die Datenübertragung im Internet stets Sicherheitslücken aufweisen kann (vgl. Erwägungsgrund 49 DSGVO) – ein absoluter Schutz ist nicht garantiert. Insbesondere bei der Übertragung von Daten via Internet (z.B. Kommunikation per E-Mail) kann kein lückenloser Schutz vor dem Zugriff Dritter gewährleistet werden. Wir bitten Sie, dies bei der Nutzung unseres Webangebots zu berücksichtigen.

Weitergabe in Drittländer: Wo wir Dienste von Anbietern außerhalb der EU/EWR einsetzen (insbesondere in den USA), stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist. Für bestimmte US-Dienstleister besteht ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO – diese sind unter dem EU–US Data Privacy Framework zertifiziert, wodurch die Europäische Kommission ein angemessenes Schutzniveau in den USA anerkennt. Wo wir auf nicht zertifizierte Anbieter zurückgreifen, erfolgen Übermittlungen auf Grundlage von Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DSGVO und ggf. zusätzlichen Maßnahmen. Wir weisen jedoch darauf hin, dass in solchen Fällen ein gewisses Restrisiko bestehen kann, da US-Behörden unter Umständen Zugriff auf personenbezogene Daten nehmen können (Stichwort CLOUD Act); dies wurde auch durch das Schrems II-Urteil des EuGH hervorgehoben. Sollte keine der genannten Garantien greifen, holen wir Ihre ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO ein, bevor wir Daten in ein unsicheres Drittland übermitteln.

Im Folgenden erläutern wir im Detail, welche Datenverarbeitungsvorgänge stattfinden, wenn Sie unser Webangebot nutzen, und nennen die jeweiligen Zwecke, Rechtsgrundlagen, Empfänger und Schutzmaßnahmen.

5. Bereitstellung der Website und Server-Logfiles

Beschreibung der Verarbeitung: Bei jedem Aufruf unserer Website zacklack.de (inklusive ihrer Subdomains) verarbeitet unser System automatisiert folgende Informationen von Ihrem Endgerät:

• Log-Daten: Dazu zählen die IP-Adresse Ihres Geräts, Datum und Uhrzeit des Zugriffs, die aufgerufene Seite/Datei und URL (Request), der HTTP-Statuscode, die übertragene Datenmenge, Browsertyp und Version, das verwendete Betriebssystem, die zuvor besuchte Seite (Referrer-URL, falls übermittelt) sowie ggf. weitere technische Informationen (wie z.B. Spracheinstellung des Browsers). Diese Daten fallen automatisch an, wenn Ihr Browser eine Webseite anfragt.
• Hosting und Infrastruktur: Unsere Website wird über folgende Infrastrukturen bereitgestellt: Cloudflare Pages (ein Hosting-Dienst der Cloudflare, Inc., USA), ein selbst verwalteter Server mit Coolify (Open-Source-Hosting-Software) sowie ein cloudbasiertes Backend auf Railway (Railway, Inc., USA). Die anfallenden Log-Daten können daher von diesen Infrastruktur-Anbietern verarbeitet werden, die in unserem Auftrag handeln (als Auftragsverarbeiter). Cloudflare fungiert zusätzlich als Content Delivery Network (CDN) und Web Application Firewall (WAF) vor unserem Angebot – d.h. Ihre Webanfragen laufen zunächst durch das globale Cloudflare-Netzwerk, welches schädliche Anfragen filtert und Inhalte zwischenspeichert. Dabei werden Protokolldaten über Ereignisse in deren Netzwerk aufgezeichnet. Cloudflare verarbeitet diese Informationen in ihren Haupt-Rechenzentren in den USA und Europa für einen begrenzten Zeitraum. Insbesondere speichert Cloudflare im Rahmen eines Bot-Managements die IP-Adressen der auf unsere Seiten zugreifenden Endgeräte, um zwischen menschlichen Zugriffen und automatisierten Bots zu unterscheiden und missbräuchliche Anfragen (z.B. DDoS-Angriffe oder Scraping) abzuwehren. Hierzu setzt Cloudflare auch ein Cookie "__cf_bm" (bot management) mit kurzer Lebensdauer (i.d.R. 30 Minuten) auf Ihrem Gerät, das technisch notwendig ist, um Ihren Request im Cloudflare-Netz zu identifizieren (dies dient ausschließlich der Funktionssicherheit und nicht dem Tracking; vgl. § 25 Abs. 2 Nr. 2 TTDSG).

• Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA (Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München als EU-Vertreter) – für CDN, DNS und Sicherheitsdienste. Cloudflare empfängt Ihre IP-Adresse und die oben genannten Verbindungsdaten, um die Anfrage zu verarbeiten. Diese Daten können in Cloudflare-Rechenzentren außerhalb Deutschlands (u.a. USA) zwischengespeichert werden; Cloudflare ist jedoch nach dem EU–US Data Privacy Framework zertifiziert und garantiert damit ein angemessenes Datenschutzniveau. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung.
• Railway, Inc. (USA) – Plattform zur Bereitstellung unseres Backend-Servers. Ihre Anfrage (inkl. IP, angefragter URL etc.) wird an unsere Anwendung weitergeleitet, die auf Railway gehostet ist. Railway verarbeitet diese Daten technisch als Host unseres Servers. Wir haben mit Railway einen Vertrag zur Auftragsverarbeitung (Data Processing Agreement) abgeschlossen. (Hinweis: Railway ist ein US-Dienst; bei Datenübertragung in die USA stützen wir uns auf Standardvertragsklauseln, da uns keine DPF-Zertifizierung bekannt ist – siehe Abschnitt zu Drittländern oben.)
• Strato AG, Pascalstraße 10, 10587 Berlin, Deutschland als Hosting-Partner für unsere Domain sowie als E-Mail-Provider. Wenn Sie unsere Website aufrufen oder uns eine E-Mail senden, werden die dabei anfallenden personenbezogenen Daten über die Server von Strato verarbeitet. Dazu zählen insbesondere technische Verbindungsdaten (etwa die IP-Adresse in Server-Logfiles) sowie Inhalte und Metadaten der E-Mail-Kommunikation. Strato agiert in diesem Zusammenhang als Auftragsverarbeiter in unserem Auftrag; wir haben mit Strato einen Vertrag zur Auftragsverarbeitung abgeschlossen, um die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen. Die Datenverarbeitung findet ausschließlich in Rechenzentren innerhalb Deutschlands statt (Standorte u. a. Berlin und Karlsruhe), sodass keine Übermittlung in Drittländer erfolgt. Weitere Informationen können Sie der Datenschutzerklärung von Strato entnehmen. Der Einsatz von Strato erfolgt auf Grundlage unserer berechtigten Interessen an einer sicheren, stabilen und effizienten Bereitstellung unseres Online-Angebots sowie der E-Mail-Kommunikation (Art. 6 Abs. 1 lit. f DSGVO). Sofern Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, Kontaktdaten, Inhalt der Nachricht) zum Zweck der Bearbeitung Ihres Anliegens. Soweit Ihre Anfrage mit der Anbahnung oder Erfüllung eines Vertrags zusammenhängt, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage für die Verarbeitung. In allen anderen Fällen stützen wir die Verarbeitung auf unser vorgenanntes berechtigtes Interesse an der effektiven Kommunikation mit Anfragenden (Art. 6 Abs. 1 lit. f DSGVO). Die im Zuge der E-Mail-Korrespondenz anfallenden Daten verbleiben bei uns bzw. auf den Servern von Strato, bis der Zweck der Kommunikation erreicht ist und keine gesetzlichen Aufbewahrungspflichten mehr bestehen. Das bedeutet, dass wir Ihre Nachrichten nach abgeschlossener Bearbeitung Ihres Anliegens löschen, sofern Sie nicht einer früheren Löschung zustimmen oder gesetzliche Aufbewahrungsfristen eine längere Speicherung erforderlich machen. Eine Weitergabe der Inhalte Ihrer E-Mails an Dritte erfolgt nicht ohne Ihre ausdrückliche Einwilligung.
• Eigenes Serverhosting (Coolify): Teile unseres Angebots werden auf einer selbst gehosteten Infrastruktur betrieben, die wir mit der Open-Source-Software Coolify verwalten. Dieses System läuft auf mehreren Server, darunter ein Server mit einem i7-12650H, sowie diversen älteren Servern um Redundanz zu gewährleisten, alle Server befinden sich unter unserer Kontrolle (Standort Berlin - Deutschland - EU), so dass hier keine externen Empfänger auftreten. Die Log-Daten werden auf diesem Server gespeichert und unterliegen denselben Zwecken und Löschfristen wie insgesamt beschrieben.

6. Zugriffsgeschützte Bereiche und Authentifizierung (Cloudflare Zero Trust)

Beschreibung der Verarbeitung: Einige Subdomains unseres Angebots sind nicht öffentlich zugänglich, sondern durch einen vorgeschalteten Anmeldeprozess geschützt (Cloudflare Zero Trust Access). Beispielsweise erfordert privat.zacklack.de eine Authentifizierung, um interne Inhalte anzuzeigen. Den Zugang regeln wir über Cloudflare Access, einen Dienst von Cloudflare, Inc. Dieser Dienst überprüft, ob ein Besucher sich erfolgreich als berechtigter Nutzer ausgewiesen hat. Die Authentifizierung erfolgt OIDC-basiert über ausgewählte Identitätsanbieter (OAuth-Login) oder alternativ durch E-Mail-Code-Verifizierung. Konkret bieten wir zur Anmeldung die Möglichkeit, sich mit einem bestehenden Konto bei Google oder GitHub anzumelden (OAuth 2.0 Login), oder einen Einmal-Code an eine berechtigte E-Mail-Adresse senden zu lassen (One-Time Pin per Email):

• OAuth-Login (Google/GitHub): Wenn Sie diese Option wählen, werden Sie auf die Anmeldeseite des jeweiligen Anbieters weitergeleitet. Dort können Sie sich mit Ihren Zugangsdaten einloggen. Unser System erhält anschließend vom Anbieter eine Rückmeldung, ob die Authentifizierung erfolgreich war, sowie bestimmte Basis-Informationen aus Ihrem Profil beim Anbieter (typischerweise Ihren Namen und Ihre E-Mail-Adresse). Im Rahmen der Cloudflare Access Integration erhalten wir vor allem Ihre E-Mail-Adresse übermittelt, ggf. auch Ihren Anzeigenamen, um Sie als berechtigten Nutzer zu identifizieren. Google LLC (1600 Amphitheatre Parkway, Mountain View, CA, USA – vertreten in der EU durch Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) bzw. GitHub, Inc. (88 Colin P Kelly Jr St, San Francisco, CA, USA – Tochtergesellschaft der Microsoft Corp.) erfahren dabei, dass Sie sich bei unserem Dienst anmelden möchten. Es gelten die Datenschutzbestimmungen der jeweiligen Anbieter, auf die wir im Rahmen des OAuth-Login hinweisen. Wir selbst speichern keine OAuth-Zugangsdaten; wir erhalten lediglich von Cloudflare die benötigten Informationen (E-Mail-Adresse, Authentifizierungstoken), um den Zugang zu gewähren. Cloudflare Access setzt nach erfolgreicher Anmeldung ein Sitzungs-Cookie (CF_Authorization) in Ihrem Browser, das ein JSON Web Token enthält. Dieses Cookie bestätigt gegenüber unserer Website Ihre Zugangsberechtigung und hat eine begrenzte Gültigkeitsdauer. Es handelt sich um ein technisch notwendiges Cookie, da ohne dieses der geschützte Bereich nicht zugänglich wäre (§ 25 Abs. 2 TTDSG).
• E-Mail-Code-Login: Alternativ können berechtigte Nutzer einen einmaligen Login-Code per E-Mail erhalten. Hierbei gibt der Nutzer auf der Cloudflare-Access-Seite seine E-Mail-Adresse ein. Ist die Adresse in unserer Zugangsberechtigten-Liste (Access Policy) hinterlegt, sendet Cloudflare im Auftrag ein E-Mail mit einem Bestätigungscode an diese Adresse. (Cloudflare nutzt hierfür einen eigenen Mail-Server; die E-Mail-Adresse des Nutzers wird somit bei Cloudflare und dessen E-Mail-Dienstleistern verarbeitet, um den Code zuzustellen.) Der Nutzer gibt den Code auf der Website ein und erhält bei Erfolg ebenfalls das CF_Authorization-Cookie gesetzt. In diesem Prozess verarbeiten wir die eingegebene E-Mail-Adresse sowie den Zeitpunkt der Anmeldung. Die E-Mail-Adresse dient ausschließlich der Versendung des Logincodes und der Zugangskontrolle. Wir führen keine darüber hinausgehende Speicherung durch, außer in Protokollen zur Nachvollziehbarkeit von Zugriffen (siehe unten).

7. Nutzung von Drittanbieter-Ressourcen (Scripts, Fonts und Icons)

Unser Webangebot bindet an einigen Stellen extern gehostete Ressourcen ein, um die Seiten ansprechend und funktional zu gestalten. Dabei handelt es sich insbesondere um Schriftarten und Icons. Beim Aufruf solcher Ressourcen von Drittanbietern wird – technisch bedingt – Ihre IP-Adresse an den Drittanbieter übertragen, damit dieser die Inhalte an Ihren Browser ausliefern kann. Ihre IP-Adresse ist nach herrschender Meinung als personenbezogenes Datum zu qualifizieren, da theoretisch ein Personenbezug über Ihren Internet-Provider herstellbar ist. Wir achten darauf, den Einsatz externer Ressourcen datenschutzfreundlich zu gestalten und nutzen wo möglich lokale Kopien, um unnötige Datenübermittlungen zu vermeiden. Im Einzelnen:

• Google Fonts: Unsere Website verwendet teilweise Schriftarten von Google Fonts. Diese Schriften sind teils lokal auf unserem Webserver eingebunden, in manchen Fällen werden sie jedoch direkt vom Server des Anbieters Google nachgeladen. Anbieter ist Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Google Ireland ist verantwortlich für EU-Benutzer; der Mutterkonzern ist Google LLC, USA). Wenn Ihr Browser eine Google-Schrift von deren Server lädt, verbindet er sich zu Google und übermittelt dabei Ihre IP-Adresse und welche Seite Sie besuchen. Nach einem Urteil des LG München vom 20.01.2022 stellt eine solche Übermittlung ohne Einwilligung einen Verstoß gegen das Recht auf informationelle Selbstbestimmung dar, da die IP-Adresse personenbezogen ist und Google Fonts auch ohne direkten Abruf (durch lokalen Host) genutzt werden könnte. Wir haben daher ein berechtigtes Interesse, diese Übermittlung zu vermeiden. Soweit möglich, hosten wir Google Fonts lokal, sodass bei Aufruf unserer Seiten in der Regel keine Verbindung zu Google aufgebaut wird. Sollte in Ausnahmefällen doch eine Einbindung über Google-Server erfolgen (etwa aus technischen Gründen oder bei Nutzung bestimmter Unterseiten), erfolgt dies nur mit Ihrer vorherigen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG (z.B. über unsere Cookie/Consent-Einstellungen). Ohne eine solche Einwilligung werden keine extern gehosteten Google Fonts nachgeladen. – Hinweis: Google erklärt, dass bei Nutzung von Google Fonts keine Cookies gesetzt und die übertragenen Font-Anfragen getrennt von anderen Google-Diensten ausgewertet werden. Dennoch werden Daten in die USA übertragen. Google ist unter dem Data Privacy Framework zertifiziert, wodurch ein angemessenes Niveau sichergestellt ist. Weitere Informationen finden Sie in der Datenschutzerklärung von Google (https://policies.google.com/privacy).
• Icons von svgrepo.com und lucide-react: Zur Darstellung von Icons und Symbolen verwendet unsere Seite Bibliotheken wie lucide-react (Open-Source-Icon-Bibliothek) und Grafiken von svgrepo.com. Lucide-react ist in unsere Webanwendung integriert und wird lokal aus dem eigenen Code bereitgestellt – hierbei findet keine Datenübertragung an Dritte statt, da die Icons im Rahmen unseres Webcodes gerendert werden. Daneben nutzen wir in Einzelfällen Icons/Grafiken von svgrepo.com (Betreiber: SVG Repo, voraussichtlich ansässig in den USA oder einem Drittland). Wenn solche Grafiken nicht bei uns gehostet sind, sondern direkt von svgrepo-CDN geladen werden, erhält der Betreiber bei Abruf Ihre IP-Adresse und ggf. Browser-Informationen. Wir haben auch hier ein Interesse, Datenübermittlungen gering zu halten. Soweit machbar, werden SVG-Grafiken von uns heruntergeladen und lokal gehostet. Sollte eine Live-Einbindung von svgrepo erforderlich sein, holen wir – falls es sich nicht um eine technisch zwingende Auslieferung handelt – zuvor Ihre Zustimmung ein. Ansonsten binden wir externe Icons nur ein, wenn sie technisch erforderlich sind (Rechtsgrundlage dann Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 TTDSG, wobei unser Interesse die einheitliche Darstellung des Designs ist). – Empfängerhinweis: Bei Aufruf von svgrepo.com-Ressourcen werden Daten an Server außerhalb der EU übertragen (der Anbieter unterliegt nicht der DSGVO, soweit ersichtlich). Dies erfolgt nur mit Einwilligung oder im geringstmöglichen Umfang. Bitte beachten Sie die Datenschutzerklärung auf svgrepo.com für weitere Infos.

8. Nutzung externer APIs und Datenquellen

Unsere Website bindet an manchen Stellen externe Datenquellen über APIs (Programmierschnittstellen) ein, um Ihnen aktuelle Informationen bereitzustellen (z.B. Wetterdaten oder öffentliche Verkehrsauskunft). Wenn Sie solche Funktionen nutzen, wird Ihr Browser eine Anfrage an den jeweiligen API-Anbieter stellen. Dabei werden – analog zu Abschnitt 5 – bestimmte technische Daten (insb. Ihre IP-Adresse) an den API-Anbieter übermittelt, und je nach Art der Anfrage können auch inhaltliche Parameter (wie eine Standortangabe oder eine Suchanfrage) übermittelt werden. Wir bemühen uns, Ihre personenbezogenen Daten auch hierbei zu schützen, z.B. durch Anonymisierung von Anfragen, wann immer möglich. Im Detail nutzen wir folgende APIs:

• Open-Meteo Wetterdaten: Für die Anzeige von Wetterinformationen (z.B. in Projekten) verwenden wir die API von Open-Meteo (OpenMeteo GmbH, Hintere Schilligmatte 6, 6463 Bürglen, Schweiz). Wenn Sie eine Seite aufrufen, die Wetterdaten anzeigt, fragt unser System die benötigten Wettervorhersagen von api.open-meteo.com ab. Hierbei wird typischerweise der geographische Standort (z.B. Koordinaten oder Ortsname) in der Anfrage übermittelt, um das ortsspezifische Wetter zu erhalten. Open-Meteo erhält durch diesen Abruf Ihre IP-Adresse und die Parameter der Anfrage. Open-Meteo speichert nach eigenen Angaben keine personenbezogenen Daten dauerhaft und teilt keine persönlichen Informationen mit Dritten. Technisch werden IP-Adressen möglicherweise kurzfristig in Server-Logfiles gehalten, etwa um Missbrauch (zu hohe Abrufraten) zu erkennen; laut Open-Meteo werden solche Logdaten jedoch nach 90 Tagen gelöscht. Die Wetterdaten selbst werden uns zurückgeliefert und im Browser angezeigt. Eine weitergehende Verarbeitung Ihrer Daten durch uns findet nicht statt. – Datentransfer Schweiz: Die Schweiz gilt datenschutzrechtlich als Drittland mit angemessenem Schutzniveau (Angemessenheitsbeschluss der EU-Kommission liegt vor), sodass die Übermittlung Ihrer Anfrage an Open-Meteo zulässig ist.

• BVG-ÖPNV-Daten: In unserem Projekt quiz.zacklack.de oder anderen experimentellen Seiten binden wir unter Umständen Informationen des öffentlichen Nahverkehrs (Fahrpläne, Verbindungsabfragen) ein. Hierzu nutzen wir die API der Berliner Verkehrsbetriebe (BVG) bzw. des Verkehrsverbundes Berlin-Brandenburg (VBB). Konkret könnten wir einen Dienst wie v6.bvg.transport.rest (eine öffentliche inoffizielle BVG-API) nutzen. Wenn Sie eine solche Funktion (z.B. „Finde die nächste Verbindung") nutzen, wird Ihr Browser eine Anfrage an die BVG/VBB-API stellen, die z.B. Start- und Zielhaltestelle oder eine Liniennummer enthält. Die BVG-Server erhalten dadurch Ihre IP-Adresse und die Anfrageinhalte. Diese Daten werden dort verarbeitet, um die passenden Auskünfte (z.B. nächste Abfahrtszeiten) zurückzusenden. Nach unserem Verständnis werden dabei keine persönlichen Profile gebildet – die Anfrage dient ausschließlich der Live-Auskunft. Die BVG unterliegt als öffentliches Unternehmen den Datenschutzbestimmungen des Bundes und Landes Berlin; personenbezogene Daten werden gemäß deren Datenschutzerklärung behandelt. Wir erhalten von der API lediglich die angeforderten Informationen und zeigen sie an; wir speichern keine persönlichen Daten des Nutzers bei dieser Funktion.

9. Analytik und Reichweitenmessung (Umami Analytics)

Wir setzen ein Web-Analysewerkzeug ein, um die Nutzung unseres Webangebots auszuwerten und es stetig verbessern zu können. Anders als gängige Dienste (z.B. Google Analytics) handelt es sich hierbei um eine datenschutzfreundliche, selbst gehostete Lösung namens Umami Analytics.

Beschreibung der Verarbeitung: Umami erfasst bei Seitenaufruf bestimmte Nutzungsdaten, darunter insbesondere: welche Seite aufgerufen wurde, zu welchem Zeitpunkt, von welcher vorherigen Seite der Besucher kam (Referrer), welches Land der Zugriff ungefähr zuzuordnen ist (anhand der IP, die jedoch nicht gespeichert, sondern nur zur Geolokalisierung in Länder aufgelöst und dann verworfen wird) sowie technische Informationen zum Browser/Endgerät (User-Agent, Bildschirmgröße). Persönlich identifizierende Informationen erhebt Umami dabei nicht – das heißt, es werden keine vollständigen IP-Adressen gespeichert, keine Cookies gesetzt, keine Geräte-ID oder ähnliches genutzt, um einen wiederkehrenden Besucher zu erkennen. Alle erfassten Datenpunkte werden unmittelbar aggregiert und anonymisiert. Beispielsweise sehen wir statistisch, welche unserer Seiten wie oft besucht wurden, aus welchem Land Zugriffe kommen und welche Browser benutzt wurden. Wir können jedoch nicht nachvollziehen, welche Seiten ein individueller Nutzer im Detail besucht hat. Es findet keinerlei geräteübergreifendes Tracking statt. Umami arbeitet komplett ohne Cookies und respektiert den „Do-Not-Track"-Header Ihres Browsers (d.h. wenn Sie in Ihrem Browser die Einstellung gesetzt haben, nicht getrackt zu werden, wird Umami Ihren Besuch gar nicht erst erfassen). Wir betreiben Umami auf eigener Server-Infrastruktur (keine Datenübermittlung an Dritte). Die Analysedaten werden in einer Datenbank gespeichert (gehostet in unserem Verantwortungsbereich, siehe Hosting unter Abschnitt 5 – aktuell nutzen wir hierfür die MongoDB Atlas Cloud-Datenbank, Standort Frankfurt, verwaltet durch MongoDB, Inc. als Auftragsverarbeiter).

Zweck: Zweck der Nutzung von Umami ist die Reichweitenmessung und Verbesserung unseres Webangebots. Wir erfahren durch die anonymen Statistiken z.B., welche Inhalte besonders gefragt sind oder welche Browserspezifikationen wir berücksichtigen müssen. Dies hilft uns, technische Optimierungen vorzunehmen und Inhalte nutzerfreundlicher zu gestalten. Da wir keinerlei persönliche Profile bilden, erfolgt die Analyse rein auf aggregierter Ebene zur Erfolgsmessung unserer Seiten (z.B. Anzahl Besucher pro Tag, beliebtesten Unterseiten, etc.).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der fortlaufenden Verbesserung unseres Online-Angebots und Auswertung der Nutzung in datenschutzkonformer Weise). Wir haben bewusst eine Lösung gewählt, die DSGVO- und ePrivacy-konform arbeitet und keine Einwilligung erfordert, da keine personenbezogenen Daten im Sinne der DSGVO verarbeitet werden. Die DSK (Konferenz der Datenschutzaufsichtsbehörden) hat klargestellt, dass für truly anonymisierte Analytics keine Einwilligungspflicht besteht. Dennoch respektieren wir Ihren Willen: haben Sie Do-Not-Track aktiviert, bleibt Ihr Besuch komplett ungezählt. Selbstverständlich können Sie der Analyse auch sonst jederzeit widersprechen – dazu genügt z.B. das Setzen eines Opt-Out-Headers oder der Nutzung von Browser-Blocking (da Umami keine Cookies nutzt, gibt es kein klassisches Opt-Out-Cookie; aber wie erwähnt werden Sie bei DNT gar nicht erst erfasst).

Empfänger: Die Analytics-Daten werden nicht an Dritte weitergegeben. Weder wir noch Umami teilen die Statistiken mit externen Anbietern. Die Daten liegen auf unserem Server bzw. in unserer Datenbank (MongoDB Atlas im Rahmen der Auftragsverarbeitung). MongoDB könnte als technischer Dienstleister im Wartungsfall Zugang erlangen, ist jedoch vertraglich gebunden und selbst DSGVO-konform zertifiziert (u.a. nach ISO 27001, und es bestehen EU-Standardvertragsklauseln mit dem Anbieter). Es findet keine Übermittlung in Drittstaaten an unbekannte Empfänger statt, da wir die Kontrolle über die Daten behalten. (MongoDB mit Sitz in den USA ist Auftragsverarbeiter; durch Serverstandort EU und vertragliche SCC ist ein angemessenes Schutzniveau gewährleistet. Ein Restrisiko kann theoretisch durch US-Behördenzugriff bestehen, siehe Abschnitt Drittländer, doch die Daten sind anonym und wenig aussagekräftig.)

Speicherdauer: Die Rohdaten der Seitenaufrufe (die bereits anonym sind) werden in unserer Datenbank für unbestimmte Zeit gespeichert, um langfristige Trends zu analysieren. Eine regelmäßige Löschung ist derzeit nicht vorgesehen, da keine personenbezogenen Informationen enthalten sind. Sollten wir feststellen, dass ältere Statistikdaten nicht mehr benötigt werden, können wir diese entfernen, ohne Auswirkungen auf Ihre Rechte, da kein Personenbezug vorliegt. Sie haben gleichwohl das Recht, uns zu fragen, ob Daten zu Ihrer Person in den Statistiken enthalten sind – wir können dies nur insoweit beantworten, dass grundsätzlich keine identifizierenden Daten vorliegen. Einzelne Seitenaufrufe lassen sich nicht auf Sie zurückführen, daher ist ein Berichtigungs- oder Löschbegehren hier abstrakt kaum anwendbar (siehe dazu auch Ihre Rechte unten).

10. Google Search Console (Website-Analyse durch Google)

Wir nutzen Google Search Console, einen kostenlosen Dienst von Google, der uns hilft, die Präsenz unserer Website in den Google-Suchergebnissen zu überwachen und zu optimieren. In diesem Zusammenhang möchten wir der Vollständigkeit halber erwähnen, wie Daten verarbeitet werden, obwohl dieser Dienst keine direkten personenbezogenen Daten unserer Webseitenbesucher an uns weitergibt.

Beschreibung und Umfang: Die Search Console liefert uns aggregierte Auswertungen darüber, bei welchen Suchbegriffen unsere Seite in Google erschienen ist, wie oft darauf geklickt wurde, welche durchschnittliche Position erzielt wurde, sowie technische Berichte (z.B. ob alle Seiten erfolgreich von Google indexiert werden konnten). Diese Daten stammen ausschließlich von Google selbst – genauer gesagt aus den Interaktionen der Nutzer mit der Google-Suchmaschine. Sobald ein Nutzer von der Google-Suche auf unsere Webseite klickt, enden die Erhebungen der Search Console. Google erfasst also die Suchanfrage und den Klick, stellt uns diese Information aber nur in zusammengefasster Form bereit (etwa: wie oft ein bestimmter Suchbegriff zu unserer Seite führte). Wir erhalten keine personenbezogenen Daten einzelner Nutzer, insbesondere keine IP-Adressen, keine individuellen Suchhistorien oder ähnliches. Es ist uns nicht möglich, über die Search Console einen bestimmten Besucher unserer Website zu identifizieren. Google selbst kennt natürlich den Nutzer (sofern angemeldet) bzw. zumindest dessen IP/Browser – das bleibt aber auf Seiten von Google und unterliegt deren Kontrolle.

Zweck: Unser berechtigtes Interesse liegt darin, die Auffindbarkeit unserer Website zu verbessern und technische Probleme im Zusammenhang mit der Google-Indexierung zu erkennen. Die Search Console hilft z.B. festzustellen, ob bestimmte Seiten nicht in den Suchindex aufgenommen wurden oder für welche Inhalte wir bei Nutzern Anklang finden. Diese Informationen nutzen wir zur Suchmaschinenoptimierung (SEO) und Verbesserung der Inhalte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unseres Webauftritts). Da über die Search Console keine Nutzerbezogenen Daten von unserer Website aus erhoben werden, sondern Google uns eigene Auswertungen bereitstellt, greifen hier die Pflichten der DSGVO nur sehr eingeschränkt. Wir erfassen selbst in diesem Rahmen keine personenbezogenen Besucherinformationen. Die Nutzung der Google-Suche durch Endnutzer unterliegt den Nutzungsbedingungen und der Datenschutzerklärung von Google – der Nutzer hat insoweit gegenüber Google eingewilligt, dass seine Suchaktionen analysiert werden. Für uns erfolgt die Bereitstellung der aggregierten Reports datenschutzkonform, ohne dass besondere Einwilligungen einzuholen wären.

Empfänger: Empfänger der personenbezogenen Daten (Suchbegriffe, IP etc.) ist hier primär Google selbst. Google tritt uns gegenüber nur als Datenquellen-Bereitsteller auf, nicht als Auftragsverarbeiter. Die Google Ireland Ltd. (Irland) ist Verantwortliche für die Datenverarbeitung im Rahmen der Google-Dienste in Europa. Wir erhalten von Google lediglich Auswertungen über ein passwortgeschütztes Konto. In diesem Konto sind keine personenbezogenen Daten der Nutzer enthalten, lediglich aggregierte Leistungsdaten unserer Website. Wir behandeln diese Reports vertraulich und teilen sie nicht mit Unbefugten. Google speichert die Rohdaten der Suchanfragen gemäß der eigenen Datenschutzerklärung; darauf haben wir keinen Einfluss. Eine Übermittlung von personenbezogenen Daten aus der Search Console an uns oder andere Dritte findet nicht statt.

Hinweis: Streng genommen müsste die Nutzung der Search Console nicht in der Datenschutzerklärung aufgeführt werden, da sie – wie erläutert – keine Verarbeitungen personenbezogener Daten durch uns an den Website-Besuchern beinhaltet. Wir erwähnen den Dienst dennoch aus Transparenzgründen. Für weitere Informationen, wie Google mit Ihren Daten umgeht, verweisen wir auf die allgemeine Datenschutzerklärung von Google (https://policies.google.com) und die Hilfeseiten zur Search Console.

11. Weitere Empfänger von Daten und eingesetzte Auftragsverarbeiter

Neben den bereits genannten speziellen Empfängern (Hosting-Provider, Cloudflare, API-Betreiber etc.) können im Rahmen des Betriebs dieser Website weitere Stellen Daten erhalten, sei es im Rahmen einer Auftragsverarbeitung oder einer gesetzlichen Verpflichtung. Eine Übersicht:

• E-Mail-Kommunikation: Wenn Sie uns eine E-Mail schreiben (z.B. an eine der angegebenen Kontaktadressen wie admin@zacklack.de), verarbeiten wir Ihre E-Mail-Adresse und die von Ihnen übermittelten Informationen zum Zweck der Bearbeitung Ihrer Anfrage. Solche E-Mails liegen auf den Servern unseres E-Mail-Providers (z.B. imap.zacklack.de, betrieben durch [den Mail-Dienst, ggf. ebenfalls Cloudflare oder einen anderen Provider]) und werden von uns vertraulich behandelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Anfragen zu beantworten); sofern die Kontaktaufnahme auf den Abschluss eines Vertrags abzielt oder in Zusammenhang mit einem bestehenden Nutzungsverhältnis steht, auch Art. 6 Abs. 1 lit. b DSGVO. Wir geben E-Mail-Inhalte nicht ohne Ihre Einwilligung weiter. Bitte beachten Sie, dass die Übertragung von E-Mails unverschlüsselt erfolgen kann – nutzen Sie auf Wunsch PGP o.ä. für sensitive Inhalte.
• Datenbanken: Für die Speicherung von Daten im Hintergrund nutzen wir Datenbankdienste. Bereits genannt wurden db4free.net (ein Test-MySQL-Dienst, betrieben in Österreich) und MongoDB Atlas (Cloud-Datenbankdienst von MongoDB, Inc., mit Servern in der EU). Diese Dienste fungieren als Auftragsverarbeiter, indem sie für uns Daten hosten. Die MySQL-Datenbank bei db4free.net verwenden wir ausschließlich für nicht-kritische Testdaten und Entwicklungszwecke – es werden hier in der Regel keine produktiven Personendaten dauerhaft gespeichert. Da db4free.net ein Community-Projekt ist, das den österreichischen Datenschutzgesetzen unterliegt, gehen wir von einem verantwortungsvollen Umgang aus; jedoch ist zu beachten, dass es sich nicht um einen professionellen Dienst mit SLA handelt, sondern um einen kostenlosen Testservice (wir speichern dort keine sensiblen Informationen). Die MongoDB Atlas-Datenbank hostet u.a. die Daten unseres Umami-Analytics-Tools und ggf. anderer Dienste. MongoDB hat als Unternehmen seinen Sitz in den USA; durch Rechenzentrumsstandorte in Deutschland/Europa und vertragliche Garantien (Standardklauseln) wird ein angemessenes Datenschutzniveau zugesichert. Empfänger dieser Daten ist technisch MongoDB, Inc. (Auftragsverarbeiter). Wir behalten jedoch die alleinige Kontrolle über die Daten und MongoDB darf sie nicht zu eigenen Zwecken auswerten.
• Sonstige Dienstleister: Gelegentlich bedienen wir uns weiterer externer Tools im Rahmen der Website, z.B. für Entwicklungszwecke (Continuous Deployment Tools, Status-Monitoring via Uptime Kuma, etc.). Solche Tools könnten im Einzelfall Logdaten einsehen (z.B. wenn unser Statusmonitor erkennt, dass die Seite down ist, protokolliert er Zeit und Grund). Diese technischen Meta-Daten betreffen aber keine Nutzerinhalte und enthalten höchstens Server-Statusinformationen. Sollte eine Verarbeitung personenbezogener Daten durch solche Tools stattfinden, geschieht dies ebenfalls auf Basis von Auftragsverarbeitungsverträgen und innerhalb zulässiger Grenzen.
• Gesetzliche Offenlegung: Schließlich können wir verpflichtet sein, Daten an Behörden, Gerichte oder andere öffentliche Stellen weiterzugeben, sofern eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO). Beispielsweise auf Anfrage der Strafverfolgungsbehörden im Rahmen geltenden Rechts oder zur Gefahrenabwehr. In solchen Fällen erfolgt die Herausgabe nur im gesetzlichen Rahmen und nach sorgfältiger Prüfung.

12. Speicherdauer und Löschung

Wir verarbeiten und speichern personenbezogene Daten grundsätzlich nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Entfällt der Verarbeitungszweck oder läuft eine vorgeschriebene Aufbewahrungsfrist ab, werden die personenbezogenen Daten routinemäßig gesperrt oder gelöscht. Die konkreten Speicherdauern haben wir in den vorigen Abschnitten jeweils angegeben, soweit möglich. Zur Zusammenfassung:

• Server-Logs (IP-Adressen): kurzfristige Speicherung, i.d.R. automatische Löschung oder Anonymisierung binnen 7 bis 30 Tagen, sofern kein sicherheitsrelevantes Ereignis eine längere Aufbewahrung erfordert.
• Zugriffsdaten Cloudflare: temporär, wenige Tage; Cookies (Cloudflare) verfallen nach Minuten.
• Authentifizierungsdaten: Sitzungscookies bis Logout/Expiry; Anmeldeprotokolle wenige Tage bis wenige Wochen bei Cloudflare.
• Analytics-Daten (Umami): unbegrenzt, jedoch anonymisiert (keine Personenbeziehbarkeit, daher keine Löschung erforderlich im DSGVO-Sinne; wir behalten uns vor, Altdaten zu entfernen).
• Kontakt-E-Mails: Aufbewahrung solange die Konversation andauert. Geschäftsbriefe könnten nach Handels- und Steuerrecht 6 bis 10 Jahre aufbewahrungspflichtig sein – wobei rein privater Schriftverkehr nicht diesen Pflichten unterliegt. Wir prüfen im Einzelfall, ob und wie lange eine E-Mail aufzubewahren ist.
• API-Anfragen: keine Speicherung personenbezogener Parameter unsererseits. Externe API-Logs siehe entsprechende Datenschutzhinweise (Open-Meteo 90 Tage Logs, BVG unbekannt – wahrscheinlich kurzzeitig).
• Datenbankeinträge: Sofern in unseren Datenbanken personenbezogene Inhalte gespeichert würden (derzeit kaum der Fall), löschen wir diese auf Anfrage oder sobald der Zweck entfällt. Testdaten auf db4free werden regelmäßig bereinigt.

13. Ihre Rechte als betroffene Person

Als von einer Datenverarbeitung betroffene Person im Sinne der DSGVO stehen Ihnen – vorbehaltlich der gesetzlichen Voraussetzungen – die folgenden Rechte zu, die Sie jederzeit formlos uns gegenüber geltend machen können:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie das Recht auf Auskunft über diese Daten und auf weitere Informationen, u.a. die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger und die geplante Speicherdauer bzw. Kriterien für deren Festlegung. Sie haben auch das Recht, eine Kopie dieser Daten zu erhalten. (Bitte beachten Sie: Das Auskunftsrecht ist ggf. durch die Rechte Dritter oder gesetzliche Ausnahmen eingeschränkt.)
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten verlangen. Ferner steht Ihnen das Recht zu, die Vervollständigung unvollständiger Daten zu fordern.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das sogenannte „Recht auf Vergessenwerden". Sie können von uns verlangen, dass wir Ihre personenbezogenen Daten löschen, sofern die Verarbeitung nicht (mehr) erforderlich ist. Dies ist insbesondere der Fall, wenn der Zweck der Verarbeitung entfallen ist, Sie eine erteilte Einwilligung widerrufen haben und es an einer anderweitigen Rechtsgrundlage fehlt, Sie Widerspruch gegen eine Verarbeitung eingelegt haben und keine überwiegenden berechtigten Gründe vorliegen, oder wenn die Daten unrechtmäßig verarbeitet wurden. Bitte beachten Sie, dass dem Löschverlangen gesetzliche Aufbewahrungspflichten entgegenstehen können – in solchen Fällen sperren wir die Daten zunächst und löschen sie nach Fristablauf.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, solange die Richtigkeit der Daten, die von Ihnen bestritten wurde, überprüft wird, wenn Sie statt Löschung bei unrechtmäßiger Verarbeitung die Einschränkung bevorzugen, wenn wir die Daten nicht mehr benötigen, Sie sie aber zur Geltendmachung von Rechtsansprüchen benötigen, oder wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe überwiegen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben – bei Vorliegen der gesetzlichen Voraussetzungen – das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln. Soweit technisch machbar, können Sie auch eine direkte Übertragung von uns zu einem anderen Verantwortlichen verlangen. Dieses Recht gilt nur, sofern die Datenverarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b DSGVO) beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, die wir auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) vornehmen. Legen Sie Widerspruch ein, werden wir Ihre Daten nicht weiterverarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Hinweis: Gegen Direktwerbung könnten Sie ebenfalls Widerspruch einlegen, allerdings betreiben wir keine Direktwerbung mit Ihren Daten.
• Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Wenn Sie uns eine Einwilligung zur Verarbeitung personenbezogener Daten erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt. Nach Widerruf werden wir die betroffenen Datenverarbeitungen einstellen, soweit nicht eine andere Rechtsgrundlage greift. Beispiele: Sie können etwa die Einwilligung zur Einbindung externer Fonts oder zur Analyse jederzeit in den Cookie-Einstellungen widerrufen.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder andere Datenschutzgesetze verstößt, steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Sie können dies bei der Aufsichtsbehörde des EU-Mitgliedstaats Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes tun. In Berlin ist die zuständige Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Alt-Moabit 59-61, 10555 Berlin, E-Mail: mailbox@datenschutz-berlin.de. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

14. Weitere Hinweise und Schlussbestimmungen

Keine automatisierten Entscheidungen im Einzelfall: Wir nutzen keine Ihrer personenbezogenen Daten für automatisierte Entscheidungen oder Profiling im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkungen entfalten oder Sie ähnlich erheblich beeinträchtigen. Alle beschriebenen Verarbeitungen dienen den oben genannten Zwecken und beinhalten kein automatisiertes Entscheidungsfindungssystem.

Datensicherheit: Wir schützen unsere Website und sonstigen Systeme durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen. Beispielsweise nutzen wir HTTPS-Verschlüsselung durchgängig (erkennbar am "https://" in der URL und dem Schloss-Symbol im Browser). Bitte aktualisieren Sie Ihren Browser regelmäßig, um bekannte Sicherheitslücken zu vermeiden, die außerhalb unseres Einflussbereichs liegen.

Externe Links: Unser Webangebot enthält ggf. Links zu externen Webseiten Dritter (etwa zu Social-Media-Profilen des Betreibers oder zu Referenzen). Diese Seiten unterliegen eigenen Datenschutzbestimmungen. Für den Inhalt und die Datenverarbeitung auf verlinkten Seiten ist allein der jeweilige Betreiber verantwortlich. Beim Klick auf einen externen Link werden möglicherweise bereits Daten an den Zielseitenbetreiber übertragen (z.B. Referrer, Ihre IP-Adresse). Wir empfehlen, die Datenschutzinformationen der verlinkten Seiten zu konsultieren.

Fragen zum Datenschutz: Sollten Sie Fragen oder Anliegen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten durch unser Webangebot haben, zögern Sie bitte nicht, uns zu kontaktieren. Wir nehmen den Datenschutz ernst und beantworten gerne alle Ihre Anfragen.

Stand dieser Datenschutzerklärung: 17. April 2025.

Wir behalten uns vor, den Inhalt dieser Datenschutzerklärung jederzeit zu aktualisieren. Dies kann beispielsweise bei Anpassungen unseres Webangebots oder bei sich ändernder Rechtslage erforderlich werden. Die jeweils aktuelle Erklärung finden Sie auf dieser Seite. Bitte informieren Sie sich bei erneutem Besuch über Änderungen.

Vielen Dank für Ihr Vertrauen und dafür, dass Sie sich die Zeit genommen haben, sich ausführlich über den Datenschutz auf zacklack.de zu informieren. Wir hoffen, wir konnten alle relevanten Informationen verständlich und dennoch juristisch präzise vermitteln. Bei Rückfragen stehen wir gerne zur Verfügung.