Webdesign Grimm
Rechtliches

Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir Sie nach Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten wir über Sie verarbeiten, wenn Sie unsere Website webdesign-grimm.de besuchen oder einen unserer Online-Dienste nutzen. Außerdem informieren wir Sie über Ihre Rechte als betroffene Person und darüber, wie Sie diese geltend machen können.

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne von Art. 4 Nr. 7 DSGVO ist:

Bernd Grimm
Web- und Software Solutions Grimm
Vogelanger 5
96158 Frensdorf
Deutschland

Telefon: 09502 4359970
E-Mail: info@webdesign-grimm.de

Aufgrund der Unternehmensgröße (Einzelunternehmen ohne automatisierte Datenverarbeitung in besonderem Umfang nach Art. 37 DSGVO i. V. m. § 38 BDSG) ist die Bestellung eines Datenschutzbeauftragten nicht erforderlich. Anliegen zum Datenschutz richten Sie bitte direkt an die oben genannte E-Mail-Adresse.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen – insbesondere:

  • Vertragsanbahnung und -erfüllung (Art. 6 Abs. 1 lit. b DSGVO): wenn Sie über das Erstkontakt-Formular eine Anfrage stellen oder ein Erstgespräch buchen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): z. B. handels- und steuerrechtliche Aufbewahrungspflichten bei Angeboten und Rechnungen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): z. B. zur sicheren Bereitstellung der Website, zur Abwehr von Angriffen und zur Reichweiten-Attribution ohne Personenbezug zur einzelnen Person hinaus.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): wo wir Sie explizit um Zustimmung bitten, etwa für den Versand der Erstkontakt-Mailserie (Drip-Mails).

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, religiöse oder politische Überzeugungen).

3. Daten, die wir erheben

3.1 Beim bloßen Besuch der Website

Bei jedem Aufruf einer Seite werden technische Daten automatisch an den Server unseres Hosting-Dienstleisters Vercel übertragen und dort für einen begrenzten Zeitraum in Server-Logs gespeichert. Dabei handelt es sich um:

  • aufgerufene URL und HTTP-Status
  • Datum und Uhrzeit des Aufrufs
  • Browser-Typ, Browser-Version und Betriebssystem (aus dem User-Agent)
  • verkürzte IP-Adresse (zur Angriffsabwehr und zur statistischen Auswertung)
  • Referrer-URL (die zuvor besuchte Seite, sofern übermittelt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb der Website).

Speicherdauer: standardmäßig bis zu 30 Tage in Vercels Log-Speicher, danach werden die Daten automatisch gelöscht. Über das bloße Speichern hinaus werten wir die Logs nicht aus, es sei denn, es liegt ein konkreter Anlass vor (z. B. Verdacht auf Angriff).

3.2 Erstkontakt-Formular und Lead-Erfassung

Wenn Sie unser Erstkontakt-Formular nutzen oder einen Site-Audit anfordern, verarbeiten wir folgende von Ihnen aktiv eingegebene Daten:

  • Name (Pflichtfeld)
  • E-Mail-Adresse (Pflichtfeld)
  • von Ihnen ausgewählte Kontakt-Option (Briefing per Mail oder Erstgespräch)
  • Inhalte Ihrer Anfrage und Wizard-Antworten (z. B. Branchen-Selbsteinschätzung, Hebel-Reaktionen, Slider-Scores)
  • bei einem Site-Audit: die von Ihnen genannte Website-URL und die daraus generierten Analyse-Ergebnisse

Daneben erheben wir technische und Quellen-bezogene Daten zum Zeitpunkt Ihrer Anfrage:

  • Quell-Information (auf welcher Seite und ggf. welcher Stadt-Landingpage Sie die Anfrage gestartet haben)
  • Marketing-Attribution: utm_source, utm_medium, utm_campaign, utm_term, utm_content (nur wenn in der URL übergeben)
  • Referrer-URL und User-Agent
  • IP-basiertes Länder-Kennzeichen (z. B. „DE“, „AT“, „CH“) – wir speichern nicht die vollständige IP-Adresse, sondern leiten lediglich das Herkunftsland ab.

Zwecke: Bearbeitung Ihrer Anfrage, Erstellung eines passgenauen Angebots, Attribution der Anfrage zur Quelle (zur Bewertung, welche Inhalte und Kanäle für unsere Zielgruppe relevant sind).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrags auf Ihre Anfrage hin). Für die Marketing-Attribution zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Wirksamkeits-Messung unserer öffentlichen Kommunikation, ohne Profilbildung über Sie als Person).

Speicherdauer: bis zum Abschluss der Anfrage und für die Dauer einer eventuellen Geschäftsbeziehung. Anschließend Aufbewahrung gemäß § 147 AO und § 257 HGB (i. d. R. 6 bzw. 10 Jahre für steuerrelevante Unterlagen). Auf Ihre Aufforderung hin löschen wir Ihre Anfrage-Daten unverzüglich, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (siehe Abschnitt 6).

3.3 Erstkontakt-Mailserie (Drip-Mails)

Wenn Sie der Erstkontakt-Mailserie ausdrücklich zustimmen, senden wir Ihnen über mehrere Wochen mehrere E-Mails mit weiterführenden Inhalten und Hinweisen. Wir verarbeiten dafür Ihre E-Mail-Adresse, Ihren Namen und – ausschließlich zum Zweck der Klick-Validierung (Abwehr von Pre-Fetch-Crawlern bei der Mail-Vorschau) – Ihren User-Agent beim Klick auf Mail-Links.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden – über den Abmelde-Link in jeder Mail oder über den Datenlöschungs-Link, den Sie zusammen mit der ersten Drip-Mail erhalten.

3.4 Termin-Buchung über Cal.com

Für die Buchung eines Erstgesprächs setzen wir das Buchungs-Widget des Dienstleisters Cal.com Inc. ein. Wenn Sie auf einen „Erstgespräch vereinbaren“-Button klicken, wird das Cal.com-SDK von unseren Servern erst nach Ihrem Klick geladen – nicht beim bloßen Besuch der Seite. Beim Laden des SDK setzt Cloudflare (als CDN-Anbieter von Cal.com) einen technisch notwendigen Sicherheits-Cookie (__cf_bm, Cloudflare-Bot-Management) auf der Domain cal.com. Dieser Cookie dient ausschließlich der Bot-Abwehr und hat eine Gültigkeitsdauer von 30 Minuten.

Inhalte der Buchung (Name, E-Mail, gewünschter Termin, ggf. Nachricht) werden direkt an Cal.com übermittelt und dort verarbeitet. Mehr Informationen finden Sie in der Datenschutzerklärung von Cal.com unter cal.com/privacy.

4. Eingesetzte Dienste und Auftragsverarbeiter

Für den Betrieb dieser Website setzen wir die folgenden externen Dienstleister ein. Soweit personenbezogene Daten verarbeitet werden, haben wir mit den Anbietern – wo erforderlich – Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO geschlossen.

4.1 Vercel (Hosting und CDN)

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Vercel betreibt für uns die Website-Auslieferung über ein globales Edge-Netzwerk. Beim Abruf der Seite werden technische Daten (siehe Abschnitt 3.1) übermittelt. Die Auslieferung erfolgt standardmäßig über europäische Edge-Server, technisch bedingte Anfragen können jedoch in das Vercel-Backbone in den USA geroutet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer leistungsfähigen und sicheren Auslieferung). Drittland-Transfer: ja, Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sind mit Vercel vereinbart. Weitere Informationen: vercel.com/legal/privacy-policy.

4.2 Supabase (Datenbank, Authentifizierung, File-Storage)

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Supabase betreibt für uns die Datenbank (PostgreSQL), die Authentifizierung für interne Nutzer und einen File-Storage für Screenshots und Angebots-PDFs. Unser Projekt ist in der EU-Region (AWS Frankfurt bzw. Dublin) gehostet, die Datenverarbeitung findet ausschließlich innerhalb der EU statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung – wir speichern Ihre Anfrage-Daten in dieser Datenbank). Ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO ist abgeschlossen. Weitere Informationen: supabase.com/privacy.

4.3 Cal.com (Termin-Buchung)

Anbieter: Cal.com Inc., 2261 Market Street #4382, San Francisco, CA 94114, USA. Cal.com stellt das Buchungs-Widget für Erstgespräche bereit. Details zum Lade-Verhalten siehe Abschnitt 3.4.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung – Sie buchen einen Termin). Drittland-Transfer: ja, in die USA, abgesichert über Standardvertragsklauseln.

4.4 Resend (Transaktions-E-Mails)

Anbieter: Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Resend versendet für uns die transaktionalen E-Mails – Anfrage-Bestätigung, Drip-Mails, Termin-Erinnerungen, Angebots-Mails und die Lösch-Bestätigung. Empfänger-Adresse, Name und Mail-Inhalt werden an Resend übergeben. Resend speichert Versand-Metadaten (Zustell-Status, Bounces, Klick-Events) zur Qualitätssicherung der Zustellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) bzw. Art. 6 Abs. 1 lit. a DSGVO bei Drip-Mails auf Einwilligungsbasis. Drittland-Transfer: ja, in die USA, abgesichert über Standardvertragsklauseln. Weitere Informationen: resend.com/legal/privacy-policy.

4.5 OpenRouter (KI-Gateway)

Anbieter: OpenRouter, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. OpenRouter routet KI-Anfragen, die wir im Rahmen des Site-Audits stellen, an verschiedene KI-Modell-Anbieter. Übermittelt werden ausschließlich Inhalte der von Ihnen genannten Ziel-Website (öffentlich zugängliche Texte und Strukturen). Es werden keine personenbezogenen Daten aus Ihrer Anfrage an OpenRouter weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer automatisierten Analyse-Qualität). Drittland-Transfer: ja, in die USA, abgesichert über Standardvertragsklauseln und durch Datenminimierung (keine Übertragung personenbezogener Daten).

4.6 Google Gemini API (KI für H1-Paraphrase und Branchen-Klassifikation)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Im Rahmen des Site-Audits nutzen wir das Gemini-Modell für die Paraphrasierung der Überschriften der analysierten Site und für die Branchen-Klassifikation. Übermittelt werden ausschließlich Inhalte der von Ihnen genannten Ziel-Website. Es werden keine personenbezogenen Daten aus Ihrer Anfrage an Google weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer automatisierten Analyse-Qualität). Weitere Informationen: policies.google.com/privacy.

4.7 Self-hosted Schriftarten

Wir verwenden die Schriftarten Inter und Space Grotesk über die Next.js-Schrift-Konvention. Die Schriftarten werden bei jedem Seitenaufruf direkt von unseren Vercel-Servern ausgeliefert – es findet keine Verbindung zu Google Fonts oder anderen externen Schrift-CDNs statt.

5. Cookies und ähnliche Technologien

Wir setzen beim bloßen Besuch der Website keine Cookies und laden keine Drittanbieter-Tracking-Skripte. Es findet kein Web-Analytics-Tracking statt (kein Google Analytics, kein Matomo, kein Plausible, kein Hotjar, kein Meta-Pixel, keine Conversion-Tracker).

Lediglich beim aktiven Klick auf einen „Erstgespräch vereinbaren“-Button wird das Cal.com-Buchungs-Widget geladen, das einen technisch notwendigen Cloudflare-Bot-Management-Cookie setzt (siehe Abschnitt 3.4). Dieser Cookie ist nach § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung zulässig, da er für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes (Termin-Buchung) unbedingt erforderlich ist.

Aus diesem Grund wird auf dieser Website kein Cookie-Banner angezeigt. Wenn wir zukünftig nicht-notwendige Cookies oder Tracker einsetzen sollten, werden wir vorab Ihre Einwilligung über ein entsprechendes Consent-Tool einholen und diese Erklärung anpassen.

6. Ihre Rechte als betroffene Person

Sie haben uns gegenüber jederzeit die folgenden Rechte bezüglich der Sie betreffenden personenbezogenen Daten:

6.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten, zu welchen Zwecken und an wen wir sie ggf. weitergeben. Eine Anfrage genügt formlos an info@webdesign-grimm.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

6.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können verlangen, dass wir unrichtige oder unvollständige Daten über Sie berichtigen oder vervollständigen.

6.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung aller Sie betreffenden personenbezogenen Daten verlangen. Wir haben dafür einen Self-Service-Lösch-Pfad eingerichtet: in jeder von uns versendeten Mail enthält der Fuß einen persönlichen Lösch-Link, über den Sie Ihre Daten ohne Rückfrage löschen können. Alternativ schreiben Sie uns formlos an info@webdesign-grimm.de. Bei einer Löschung entfernen wir alle Ihre Daten aus unserer Datenbank, die zugehörigen Audit-Screenshots aus dem File-Speicher und stoppen alle geplanten Mails. Sie erhalten eine Lösch-Bestätigung per E-Mail.

Ausgenommen sind Daten, deren weitere Aufbewahrung gesetzlich vorgeschrieben ist (z. B. Angebote und Rechnungen nach § 147 AO). In diesem Fall sperren wir die Daten für die weitere Verarbeitung und löschen sie nach Ablauf der gesetzlichen Frist.

6.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können in den in Art. 18 DSGVO genannten Fällen verlangen, dass wir Ihre Daten nur noch eingeschränkt verarbeiten.

6.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, dass wir Ihnen die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen oder direkt an einen anderen Verantwortlichen übermitteln. Eine formlose Anfrage an info@webdesign-grimm.de genügt.

6.6 Widerspruchsrecht (Art. 21 DSGVO)

Wenn wir Daten auf Grundlage eines berechtigten Interesses verarbeiten, können Sie der Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Wir prüfen den Widerspruch und stellen die Verarbeitung ein, sofern keine zwingenden schutzwürdigen Gründe entgegenstehen.

6.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit Sie uns eine Einwilligung erteilt haben (z. B. für die Drip-Mailserie), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen – über den Abmelde-Link in jeder Mail oder formlos an info@webdesign-grimm.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

6.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: 0981 180093-0
E-Mail: poststelle@lda.bayern.de

7. Datensicherheit

Diese Website wird ausschließlich über eine verschlüsselte HTTPS-Verbindung ausgeliefert (TLS, Zertifikat über Let's Encrypt bzw. Vercel-eigenes Zertifikat). Daten zwischen Ihrem Browser und unserem Server sind damit gegen Mitlesen Dritter geschützt. Der Zugang zu unserer Datenbank ist durch Authentifizierung und Row-Level-Security so abgesichert, dass jede Datenzeile nur von den berechtigten Akteuren gelesen oder geschrieben werden kann.

Wir setzen unsere internen Werkzeuge so ein, dass der Zugriff auf personenbezogene Daten auf den unbedingt erforderlichen Umfang beschränkt ist (Principle of Least Privilege).

8. Speicherdauer im Überblick

  • Server-Logs (Vercel): bis zu 30 Tage.
  • Anfrage-Daten ohne Geschäftsabschluss: bis zu 12 Monate nach letztem Kontakt, danach Löschung. Auf Ihren Wunsch hin auch früher.
  • Anfrage-Daten mit Geschäftsabschluss: aufbewahrungspflichtig für die Dauer der Geschäftsbeziehung plus die gesetzlich vorgeschriebenen Aufbewahrungsfristen (i. d. R. 6 bzw. 10 Jahre nach AO und HGB).
  • Audit-Screenshots: 30 bis 90 Tage nach Erstellung, danach automatische Löschung.
  • Drip-Mail-Einwilligung: bis zum Widerruf, anschließend Löschung der Mailadresse aus der Versand-Liste.
  • Termin-Buchungen: bis zum Termin plus 12 Monate für Nachfolge-Korrespondenz.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage ändert oder wir neue Dienste einsetzen, die eine angepasste Information notwendig machen. Den jeweils aktuellen Stand finden Sie auf dieser Seite – das Datum des letzten Updates steht oben.

Stand: 11. Mai 2026