Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Ausführliche Informationen entnehmen Sie den nachfolgenden Abschnitten dieser Datenschutzerklärung. Wir erläutern, welche Daten wir erheben, zu welchem Zweck dies geschieht und welche Rechte Sie haben.

Datenerfassung auf dieser Website

Verantwortlich für die Datenverarbeitung ist der Websitebetreiber (siehe Hinweis zur verantwortlichen Stelle). Daten werden zum einen erhoben, wenn Sie uns diese mitteilen (z. B. im Kontaktformular). Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst (z. B. Browsertyp, Betriebssystem, Zeitpunkt des Aufrufs).

Ein Teil der Daten dient der fehlerfreien Bereitstellung der Website; andere Daten können zur Sicherheit oder – bei Einwilligung – zur Auswertung des Nutzerverhaltens genutzt werden.

Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Zudem steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2. Hosting und Content Delivery Network (CDN)

Diese Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Dabei werden technische Verbindungsdaten (z. B. IP‑Adresse, Browser‑Informationen, Zugriffszeitpunkte, Referrer) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (sichere, effiziente Bereitstellung). Es besteht ein Auftragsverarbeitungsvertrag inkl. EU‑Standardvertragsklauseln.

Zusätzlich zu den Standardvertragsklauseln ist Vercel Inc. im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

Eingesetzte Auftragsverarbeiter/Anbieter: Vercel (Hosting), Resend (E‑Mail‑Versand), hCaptcha (Spam‑Schutz), Neon (Consent‑Logs), Upstash (Rate‑Limiting), Vercel Analytics (Web‑Analyse). Details folgen in den jeweiligen Abschnitten.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Beachten Sie, dass Datenübertragungen im Internet (z. B. E-Mail-Kommunikation) Sicherheitslücken aufweisen können.

Hinweis zur verantwortlichen Stelle

SAFORMANCE GmbH
Fabriciusstraße 93
22177 Hamburg
Telefon: +49 176 24931115
E-Mail: info@saformance.de
Verantwortlich für die Datenverarbeitung auf dieser Website ist der oben genannte Anbieter.

Speicherdauer

Sofern in dieser Erklärung keine speziellere Speicherdauer genannt ist, verbleiben Daten bei uns, bis der Zweck entfällt. Bei berechtigtem Löschersuchen oder Widerruf löschen wir Ihre Daten, sofern keine anderen rechtlichen Gründe dagegensprechen (z. B. steuer- oder handelsrechtliche Pflichten).

Hinweise zur Datenweitergabe in die USA

Wir setzen Dienste von Anbietern aus den USA ein (u. a. Vercel, Resend, hCaptcha, Upstash und Neon). US-Unternehmen können zur Herausgabe von Daten an Behörden verpflichtet sein. Soweit ein Anbieter im EU‑US Data Privacy Framework (DPF) zertifiziert ist, stützen wir die Übermittlung primär auf den Angemessenheitsbeschluss nach Art. 45 DSGVO; ergänzend vereinbaren wir EU‑Standardvertragsklauseln als subsidiäre Sicherung. Bei nicht zertifizierten Konstellationen greifen wir auf EU‑Standardvertragsklauseln und zusätzliche Schutzmaßnahmen zurück.

Widerruf und Widerspruch

Viele Verarbeitungen sind nur mit Ihrer Einwilligung möglich; diese können Sie jederzeit widerrufen. Gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen (Art. 21 DSGVO). Bei Direktwerbung können Sie jederzeit widersprechen.

Beschwerderecht

Im Falle datenschutzrechtlicher Verstöße steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu, z. B. beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.

Recht auf Datenübertragbarkeit

Daten, die wir auf Grundlage einer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, können Sie in einem gängigen, maschinenlesbaren Format an sich oder an Dritte herausverlangen, soweit technisch machbar.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt HTTPS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an „https://“ und dem Schloss-Symbol im Browser. So sind übermittelte Daten vor unbefugtem Mitlesen geschützt.

4. Datenerfassung auf der Website

Cookies / Local Storage & Consent-Management

Wir verwenden Cookies und Local‑Storage‑Einträge. Technisch notwendige Cookies setzen wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; soweit eine Einwilligung abgefragt wird, verarbeiten wir auf Basis von Art. 6 Abs. 1 lit. a DSGVO. Sie können Cookies in Ihrem Browser steuern; die Funktionalität der Website kann dann eingeschränkt sein.

Für die Verwaltung Ihrer Auswahl nutzen wir ein Consent-Management-Tool (vanilla-cookieconsent). Damit steuern wir die Kategorien „notwendig“, „sicherheit“ (z. B. hCaptcha) und „statistik“ (z. B. Vercel Analytics).

Namen: saformance_consent_preferences (Local Storage), saformance_consent_id, saformance_consent_sig sowie saformance_consent_state und saformance_consent_event_queue_v1 (Local Storage) – Anbieter: SAFORMANCE GmbH – Zweck: Speichert den aktuellen Zustimmungsstatus, eine pseudonyme Consent-ID, deren Integritätsschutz sowie den lokalen Zustand der Consent-Kategorien und bei kurzzeitigen Übertragungsfehlern eine pseudonyme Warteschlange für den verzögerten Versand von Consent-Ereignissen – Speicherdauer: bis zu 365 Tage (1 Jahr) bzw. bis zur erfolgreichen Übertragung oder Löschung im Browser – Typ: notwendige Cookies / Local Storage.

Ihre Auswahl können Sie jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern. Zusätzlich speichern wir die Entscheidung im Local Storage, damit das Banner bei wiederholten Besuchen nicht erneut erscheint. Für den Nachweis Ihrer Einwilligung protokollieren wir serverseitig pseudonyme Consent-Ereignisse (consent_id, Kategorien, Policy-Version, Zeitstempel). Es werden keine IP-Adressen, Namen oder E-Mail-Adressen gespeichert. Die Logs werden wöchentlich bereinigt und spätestens nach 365 Tagen (1 Jahr) gelöscht.

Die Consent-Ereignisse werden in einer managed PostgreSQL-Datenbank bei Neon gespeichert.

Mit Neon, LLC besteht ein Auftragsverarbeitungsvertrag inkl. EU‑Standardvertragsklauseln. Zusätzlich zu den Standardvertragsklauseln ist Neon, LLC im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

Anfrage per E-Mail oder Telefon

Wenn Sie uns per E‑Mail oder Telefon kontaktieren, verarbeiten wir Ihre Angaben (z. B. Name, Kontakt, Nachricht) zur Bearbeitung Ihres Anliegens. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation) oder Ihre Einwilligung, sofern abgefragt.

Die Daten verbleiben bei uns, bis Sie löschen lassen, Ihre Einwilligung widerrufen oder der Zweck entfällt; gesetzliche Aufbewahrungspflichten bleiben unberührt.

E-Mail-Versand über Resend

Für das Kontaktformular nutzen wir Resend der Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Plus Five Five, Inc. verarbeitet die eingegebenen Daten ausschließlich zur Zustellung Ihrer Anfrage in unserem Auftrag (Art. 28 DSGVO).

Wir haben mit Resend einen Auftragsverarbeitungsvertrag inkl. EU-Standardvertragsklauseln geschlossen. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung Ihrer Anfrage) und, soweit Einwilligung erforderlich, Art. 6 Abs. 1 lit. a DSGVO. Sie können alternativ per Telefon oder E-Mail Kontakt aufnehmen.

Zusätzlich zu den Standardvertragsklauseln ist Plus Five Five, Inc. im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

Spam-Schutz (Vercel BotID)

Zum Schutz unseres Kontaktformulars nutzen wir Vercel BotID, um automatisierte Form‑Submissions zu erkennen. BotID wird auf Seiten mit Kontaktformular clientseitig initialisiert, damit geschützte Formularanfragen serverseitig bewertet werden können; ein Einsatz zu Werbe- oder Profiling-Zwecken erfolgt nicht.

Dabei werden technische Signale und Request-Metadaten (z. B. Header, Zeitstempel) verarbeitet; nach heutigem Stand setzen wir keine Cookies und keinen Local Storage ein. Eine dauerhafte Speicherung durch uns findet nicht statt; die Prüfung erfolgt transient.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Missbrauchsabwehr). Falls BotID blockiert oder nicht verfügbar ist, greifen wir auf hCaptcha (nach Einwilligung) zurück; andernfalls bieten wir alternative Kontaktwege an.

Der Dienst wird von Vercel Inc. bereitgestellt. Mit Vercel besteht ein Auftragsverarbeitungsvertrag inkl. EU‑Standardvertragsklauseln. Zusätzlich zu den Standardvertragsklauseln ist Vercel Inc. im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

Captcha-Schutz (hCaptcha)

Um automatisierte Anfragen zu blockieren, laden wir nach Ihrer Einwilligung den Dienst hCaptcha (Intuition Machines, Inc., 350 Alabama St, San Francisco, CA 94110, USA). Ohne Zustimmung wird hCaptcha nicht geladen; in diesem Fall bieten wir alternative Kontaktwege (E‑Mail, Telefon, WhatsApp).

hCaptcha verarbeitet u. a. IP‑Adresse, Browser-/Geräteinformationen, Referrer und Zeitstempel, um missbräuchliche Zugriffe zu erkennen. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Wir haben mit hCaptcha einen Auftragsverarbeitungsvertrag inkl. EU‑Standardvertragsklauseln abgeschlossen; Cookies können bis zu 12 Monate bestehen.

Zusätzlich zu den Standardvertragsklauseln ist Intuition Machines, Inc. im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

Einen Widerruf berücksichtigen wir sofort – das Captcha wird nicht mehr geladen, bis Sie erneut zustimmen. Weitere Informationen finden Sie unter https://www.hcaptcha.com/privacy.

Rate-Limiting & Missbrauchsabwehr

Zum Schutz des Kontaktformulars vor automatisierten Massenanfragen speichern wir die anfragende IP‑Adresse in gehashter Form (HMAC) und prüfen Zugriffe gegen ein Rate‑Limit. Zweck ist die Aufrechterhaltung von Verfügbarkeit und Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

Zur technischen Umsetzung setzen wir Upstash, Inc. als Auftragsverarbeiter ein. Mit Upstash besteht ein Auftragsverarbeitungsvertrag inkl. EU‑Standardvertragsklauseln. Zusätzlich zu den Standardvertragsklauseln ist Upstash, Inc. im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

5. Web-Analyse (Vercel Analytics)

Wir nutzen Vercel Analytics (Vercel Inc., USA), um aggregierte Nutzungsstatistiken zu erhalten. Erfasst werden u. a. aufgerufene URLs, Zeitstempel, Referrer, verkürzte IP-Adresse, Geräte- und Browser-Informationen. Die Daten dienen der technischen Optimierung und Sicherheit der Website. Der Dienst wird im Produktivbetrieb nur geladen, wenn Sie in den Cookie-Einstellungen die Kategorie „Statistik“ aktivieren.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Einwilligung jederzeit über die „Cookie-Einstellungen“ widerrufen; danach wird Analytics nicht mehr geladen.

Zur technischen Nachweisbarkeit protokollieren wir den Einwilligungsstatus für Vercel Analytics pseudonym (ohne IP, Name oder E-Mail). Speicherdauer: 365 Tage (1 Jahr).

Mit Vercel besteht ein Auftragsverarbeitungsvertrag inkl. EU‑Standardvertragsklauseln. Zusätzlich zu den Standardvertragsklauseln ist Vercel Inc. im EU‑US Data Privacy Framework (DPF) nach Art. 45 DSGVO zertifiziert, was als primäre Transfergrundlage dient. Die SCCs bestehen ergänzend als subsidiäre Sicherung.

6. Plugins und Tools

Webfonts

Schriftarten (Space Grotesk) werden lokal über Next.js eingebunden. Es werden dabei keine Anfragen an Google gestellt und keine personenbezogenen Daten an Google übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung).

Google Maps (externer Link)

Im Kontaktbereich verlinken wir auf Google Maps zur Anfahrt. Erst beim Anklicken des Links werden Daten an Google übermittelt. Anbieter: Google Ireland Limited / Google LLC (USA). Informationen zum Datenschutz finden Sie unter https://policies.google.com/privacy.

WhatsApp Chat

Über den Button „WhatsApp Chat“ werden Sie auf den Dienst WhatsApp (Meta Platforms) weitergeleitet. Dabei können Verbindungsdaten (IP-Adresse, Geräteinformationen) an WhatsApp/Meta in den USA oder UK übertragen werden. Für die Kommunikation über WhatsApp gelten die Nutzungs- und Datenschutzbedingungen von WhatsApp. Alternativ können Sie uns per Telefon oder E-Mail kontaktieren.

Stand: 04.04.2026