1) Einleitung und Kontaktdaten des Verantwortlichen
1.1 Einleitung
Wir freuen uns, dass Sie unsere Website besuchen und bedanken uns für Ihr Interesse. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer Website. Personenbezogene Daten sind hierbei alle Daten, mit denen Sie persönlich identifiziert werden können.
1.2 Verantwortlicher
EPK-Holz GmbH
Kasseler Straße 27b, 34281 Gudensberg, Deutschland
Telefon: 05603 9124900 · E-Mail: info@epk-holz.de
Vertreten durch den Geschäftsführer: Jan-Hendrik Koch
Registergericht: Amtsgericht Fritzlar · HRB 12406 · USt-ID: DE321262371
1.3 Datenschutzbeauftragter
Jan-Hendrik Koch
Kasseler Straße 27b, 34281 Gudensberg, Deutschland
Telefon: 05603 9124900 · E-Mail: info@epk-holz.de
2) Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit und Bereitstellung dieser Website, für Kommunikation sowie zur Anbahnung/Erfüllung von Verträgen erforderlich ist.
Rechtsgrundlagen (je nach Zweck):
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung)
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. IT-Sicherheit, reibungsloser Betrieb, Effizienz)
TTDSG-Hinweis: Das Setzen/Auslesen nicht notwendiger Technologien (z. B. Cookies/Pixel) erfolgt nur nach Einwilligung gem. § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Notwendige Technologien stützen sich auf § 25 Abs. 2 TTDSG.
Pflicht zur Bereitstellung: Soweit Daten zur Vertragserfüllung oder Nutzung bestimmter Funktionen erforderlich sind, ist die Bereitstellung notwendig; ohne diese kann die Leistung nicht erbracht werden.
3) Hosting & Protokolldaten (OnePage)
Diese Website wird bei OnePage gehostet (Auftragsverarbeitung, Art. 28 DSGVO). Beim Aufruf werden Server-Logfiles verarbeitet: aufgerufene URL, Datum/Uhrzeit, Referrer-URL, IP-Adresse, HTTP-Status, übertragene Datenmenge, Browser/OS.
Zweck/Rechtsgrundlage: Betrieb, Stabilität, IT-Sicherheit, Fehleranalyse (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: i. d. R. bis zu 30 Tage. Transportverschlüsselung: TLS/SSL.
Empfänger: OnePage (Hosting/Consent), IT-Sicherheits-/Support-Dienstleister (AV).
4) Cookies, ähnliche Technologien & Consent-Management
Wir nutzen Cookies und ähnliche Technologien (z. B. Local Storage, Pixel). Das OnePage-Consent-Tool zeigt Kategorien/Anbieter an, holt Einwilligungen ein, protokolliert Entscheidungen (Zeitstempel, Status, ggf. anonyme ID) und ermöglicht Widerruf mit Wirkung für die Zukunft.
Notwendig: für Grundfunktionen/Betrieb (§ 25 Abs. 2 TTDSG; anschließende Verarbeitung ggf. Art. 6 Abs. 1 lit. f DSGVO).
Funktional, Statistik, Marketing, Externe Medien: nur nach Einwilligung (§ 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO).
Widerruf/Änderung: jederzeit über „Cookie-Einstellungen“ im Footer.
Speicherdauern: je Tool/Kategorie; Details im Consent-Tool.
5) Kontakt & Kommunikation
Bei Kontakt (Formular, E-Mail, Telefon) verarbeiten wir Ihre Angaben (Name, Kontakt, Inhaltsdaten) zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. lit. f (Kommunikation/Service).
Speicherdauer: bis Abschluss; darüber hinaus nur gem. Aufbewahrungspflichten (6/10 Jahre nach HGB/AO, sofern einschlägig).
Empfänger: Hosting/IT, interne Fachbereiche.
6) Kommunikation über WhatsApp Business
Dienst: WhatsApp Ireland Ltd. (Teil der Meta-Gruppe).
Zweck: Schnelle, direkte Kommunikation mit Personen, die uns über WhatsApp kontaktieren.
Verarbeitete Daten: Telefonnummer, Nachrichteninhalte; ggf. Metadaten durch WhatsApp.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, wenn Sie uns zuerst anschreiben) oder Art. 6 Abs. 1 lit. b DSGVO (vor-/vertragliche Anfragen).
Drittlandtransfer: Mögliche Übermittlung an Meta Platforms, Inc. (USA) auf Grundlage des EU-US Data Privacy Framework (DPF) und/oder Standardvertragsklauseln (SCC).
Datensparsamkeit: Einsatz eines separaten Geräts/Adressbuchs, das nur Kontakte enthält, die uns aktiv über WhatsApp geschrieben haben. So werden unbefugte Übermittlungen vermieden.
Speicherdauer: Chats werden so lange gespeichert, wie zur Bearbeitung Ihres Anliegens erforderlich, und regelmäßig gelöscht, sofern kein anderer Zweck entgegensteht.
7) E-Mail-Marketing / Freebies (Brevo)
Dienst: Brevo (Sendinblue GmbH, DE) als Auftragsverarbeiter. Anmeldung ausschließlich per Double-Opt-In; verarbeitet werden E-Mail, ggf. Name, IP, Zeitpunkte der An-/Bestätigung; optional Öffnungen/Klicks (nur bei Einwilligung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Newsletter), Art. 6 Abs. 1 lit. f DSGVO (Nachweis DOI).
Widerruf: jederzeit per Abmeldelink. Speicherdauer: bis Abmeldung; DOI-Nachweis i. d. R. bis zu 3 Jahre.
8) Online-Terminbuchung (Calendly)
Dienst: Calendly LLC, Atlanta, USA.
Zwecke: Online-Terminvereinbarung, Kalender-Koordination, Kommunikation vor/nach dem Termin.
Verarbeitete Daten: von Ihnen eingegebene Daten (z. B. Name, E-Mail, ggf. Telefon), Terminzeit/-thema, Zeitzone; zudem technische Nutzungsdaten (z. B. IP, Browser-Infos) beim Aufruf der Buchungsseite.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO; für das Laden des eingebetteten Widgets Art. 6 Abs. 1 lit. a DSGVO (vgl. Ziff. 14; 2-Klick/Consent).
Drittlandtransfer: USA auf Basis SCC und/oder EU-US DPF.
Speicherdauer: bis organisatorischer Abschluss/Zweckwegfall.
Empfänger: Calendly (AV), E-Mail/Kalender-Infrastruktur.
9) CRM/Marketing-Automation & Formulare (HubSpot)
Dienst: HubSpot, Inc. (USA). Zwecke: Lead-Erfassung (Formulare/Chat), E-Mail-Workflows, Kampagnen-/Conversion-Auswertung.
Daten: Kontakt- und Nutzungsdaten; Cookies/Tracker nur nach Einwilligung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. a, Art. 6 Abs. 1 lit. f DSGVO.
Drittlandtransfer: SCC/DPF; AV-Vertrag besteht.
Speicherdauer: bis Zweckwegfall/Widerruf (Retention-Regeln).
10) Tag-Management (Google Tag Manager)
Dienst: Google Tag Manager (Google Ireland Ltd.; Google LLC, USA).
Zweck: Verwaltung von Tags; GTM setzt selbst keine Cookies, kann jedoch nur nach Einwilligung Statistik/Marketing-Tags laden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (für nachgeladene Tags). Transfers: USA über SCC/DPF.
11) Webanalyse (Google Analytics 4)
Dienst: Google Analytics 4 (Google Ireland Ltd.; Google LLC, USA).
Zwecke: Reichweiten-, Nutzungs- und Conversion-Analyse mit IP-Anonymisierung; optional Signals/User-IDs.
Daten: Online-Kennungen, Ereignis-/Seitenaufrufe, Geräte/Browser, grobe Standortdaten. Speicherdauer: typ. 2–14 Monate.
Rechtsgrundlage: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Transfers: USA über SCC/DPF.
Widerruf: jederzeit im Consent-Tool.
12) Marketing (Meta Pixel & Conversions API)
Dienst: Meta Platforms Ireland Ltd.; Transfers an Meta Platforms, Inc. (USA).
Zwecke: Erfolgsmessung von Facebook/Instagram-Kampagnen (Conversions), Custom Audiences, Remarketing.
Rechtsgrundlage: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Transfers: USA über DPF/SCC.
Widerruf: jederzeit im Consent-Tool.
13) Google Ads (Conversion/Remarketing)
Wir nutzen Google Ads (Google Ireland Limited; Google LLC, USA), um Anzeigen in der Google-Suche/Netzwerk auszuspielen und deren Erfolg zu messen (z. B. Suchbegriffe, Klicks, Conversions; Zielgruppen-Targeting).
Rechtsgrundlage: § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (widerrufbar).
Transfers: USA über SCC/DPF (Details: policies.google.com/privacy/frameworks, privacy.google.com/businesses/controllerterms/mccs/).
Widerruf: jederzeit im Consent-Tool.
14) Externe Medien (2-Klick-Lösung)
Grundsatz: Externe Inhalte werden erst nach Ihrer Einwilligung geladen (2-Klick).
YouTube (Google): Video-Einbettungen; Datenübertragung erst nach Klick.
Google Maps (Google): Karten/Standorte; Laden erst nach Einwilligung.
(Hinweis zur Calendly-Einbettung: technisch externer Inhalt, Laden erst nach Consent; inhaltliche Verarbeitung siehe Ziff. 8.)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; Transfers: USA SCC/DPF (soweit anwendbar).
15) Web-Schriften (Google Fonts – lokal)
Zur einheitlichen Darstellung nutzen wir lokal bereitgestellte Google Fonts. Es findet kein Abruf von Google-Servern statt.
16) Empfänger/Kategorien & Drittlandübermittlungen
Auftragsverarbeiter: OnePage (Hosting/Consent), Brevo (E-Mail), HubSpot (Automation/CRM), Calendly (Termine), ggf. IT-/Support-Dienstleister.
Eigenständige Anbieter: Google (GA4, Ads, YouTube, Maps, GTM), Meta (Pixel/CAPI), WhatsApp/Meta (Kommunikation).
Drittlandübermittlungen: soweit Dienste in Drittländern (insb. USA) sitzen, erfolgt der Transfer nach Art. 44 ff. DSGVO auf Basis Standardvertragsklauseln (SCC) und/oder EU-US DPF. Informationen/Kopien der Garantien können über die in Ziff. 1 genannten Kontaktdaten angefragt werden.
17) Speicherdauern (Auszug)
Server-Logfiles: i. d. R. bis 30 Tage.
Kontaktkommunikation: bis Abschluss; kaufmännische/steuerliche Unterlagen 6/10 Jahre (sofern einschlägig).
WhatsApp-Chats: bis zur abschließenden Bearbeitung, danach regelmäßige Löschung.
Newsletter (Brevo): bis Abmeldung; DOI-Nachweis bis zu 3 Jahre.
HubSpot/CRM: bis Zweckwegfall/Widerruf (Retention-Regeln).
Calendly: bis organisatorischer Abschluss/Zweckwegfall.
Cookies/Tracker: je Tool/Kategorie (siehe Consent-Tool/Anbieterangaben).
18) Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) jederzeit mit Wirkung für die Zukunft.
Beschwerde: Zuständige Aufsichtsbehörde (insb. Wohnsitz/Arbeitsort oder Sitz des Verantwortlichen). In Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit.
WIDERSPRUCHSRECHT (Art. 21 DSGVO)
Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen Verarbeitungen einlegen, die wir auf Art. 6 Abs. 1 lit. f DSGVO stützen. Bei Direktwerbung haben Sie das Recht, jederzeit Widerspruch einzulegen; danach erfolgt keine Verarbeitung mehr zu Werbezwecken.
19) Automatisierte Entscheidungen/Profiling
Keine automatisierte Entscheidungsfindung i. S. v. Art. 22 DSGVO. Marketing-Profiling erfolgt nur nach Einwilligung (z. B. in HubSpot/GA4/Ads/Meta).
20) Aktualität/Änderungen
Wir passen diese Datenschutzerklärung an, sobald technische, organisatorische oder rechtliche Änderungen dies erfordern. Der jeweils aktuelle Stand ist oben ausgewiesen.