2. Einleitung und Geltungsbereich

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten die DFS Facility Service GmbH im Rahmen der Nutzung dieser Website https://dfs-facility-service.de und unserer Online‑Services erhebt, zu welchen Zwecken diese Daten verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Sie als betroffene Person haben. Sie enthält zudem Hinweise zu den eingesetzten Drittanbietern und zur technischen Umsetzung unseres Consent‑Managements. Bei Fragen oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter info@dfs-facility-service.de.

3. Begriffsbestimmungen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ und „Einwilligung“ werden im Sinne der Datenschutz‑Grundverordnung (DSGVO) verwendet.

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der DSGVO (insbesondere Art. 6), des Bundesdatenschutzgesetzes (BDSG) sowie des TTDSG für telekommunikations‑ und telemedienbezogene Dienste. Je nach Verarbeitungszweck kommen folgende Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung),
• Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags),
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen),
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

5. Kategorien verarbeiteter Daten und Verarbeitungszwecke

5.1 Websitebesuch und Server‑Logfiles

Verarbeitete Daten: IP‑Adresse (anonymisiert, soweit technisch möglich), Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, übertragene Datenmenge, HTTP‑Status, Browsertyp und -version, Betriebssystem, Referrer URL, Hostname des zugreifenden Endgeräts.

Zweck: Betrieb, Sicherheit, Fehleranalyse, Abwehr von Angriffen, Optimierung der Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Standardmäßig 7 Tage; bei Sicherheitsvorfällen längere Speicherung zur Beweissicherung.

5.2 Kontaktanfragen und E‑Mail‑Kommunikation

Verarbeitete Daten: Name, E‑Mail‑Adresse, Telefonnummer, Nachrichtentext, ggf. weitere freiwillig übermittelte Angaben.

Zweck: Beantwortung von Anfragen, Vertragsanbahnung, Kundenbetreuung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Bis zur Erledigung der Anfrage; längere Speicherung nur bei berechtigtem Interesse oder gesetzlichen Aufbewahrungspflichten.

5.3 Bewerbungen

Verarbeitete Daten: Bewerbungsunterlagen einschließlich Lebenslauf, Anschreiben, Zeugnisse, Kontaktdaten, ggf. Angaben zu Qualifikationen und beruflicher Laufbahn.

Zweck: Durchführung des Bewerbungsverfahrens, Auswahlentscheidung.

Rechtsgrundlage: § 26 BDSG i.V.m. Art. 6 DSGVO.

Hinweis zu besonderen Kategorien personenbezogener Daten: Bewerbungsunterlagen dürfen keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) enthalten, es sei denn, Sie übermitteln diese ausdrücklich oder sie sind gesetzlich erforderlich. Soweit besondere Kategorien verarbeitet werden, erfolgt dies nur mit Ihrer ausdrücklichen Einwilligung oder auf gesetzlicher Grundlage; der Zugriff ist auf die Personalverantwortlichen beschränkt.

Speicherdauer: Standardmäßig 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zu längerer Speicherung vorliegt oder gesetzliche Pflichten entgegenstehen.

5.4 Vertragsabwicklung und Kundenverwaltung

Verarbeitete Daten: Firmenname, Ansprechpartner, Adressen, Bankverbindungen, Leistungsdaten, Rechnungsdaten, Korrespondenz.

Zweck: Erfüllung vertraglicher Pflichten, Abrechnung, Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Handels‑ und steuerrechtliche Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre).

5.5 Marketing und Direktwerbung

Verarbeitete Daten: Kontaktdaten, Kommunikationshistorie, Einwilligungsstatus.

Zweck: Versand von Newslettern, Informationen zu Produkten und Dienstleistungen, Einladungen.

Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, soweit gesetzlich zulässig.

Speicherdauer: Bis zum Widerruf der Einwilligung oder Widerspruch gegen Direktwerbung.

6. Cookies und Consent Management

Wir verwenden Cookies und ähnliche Technologien. Zur rechtskonformen Steuerung und Protokollierung von Einwilligungen setzen wir ein Consent Management Platform (CMP) ein.

6.1 Technische Umsetzung und Blockierung

Alle nicht‑technisch notwendigen Cookies und Tracking‑Skripte werden technisch blockiert und erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Die Einwilligung wird protokolliert (Datum, Uhrzeit, Umfang) und ist jederzeit widerrufbar über die Cookie‑Einstellungen oder die Datenschutzerklärung.

6.2 Kategorien von Cookies

• Notwendig: Unbedingt erforderliche Cookies für die Funktionalität der Website (z. B. Session‑Cookies, Sicherheitsfunktionen). Keine Einwilligung erforderlich.
• Präferenzen: Speichern Ihrer Einstellungen (z. B. Sprache).
• Statistik: Anonyme Nutzungsdaten zur Verbesserung der Website (z. B. Matomo). Nur nach Einwilligung.
• Marketing: Cookies zur Reichweitenmessung und zielgerichteter Ansprache. Nur nach Einwilligung.

6.3 Widerruf und Verwaltung

Sie können Ihre Einwilligungen jederzeit über die Cookie‑Einstellungen auf der Website widerrufen oder einzelne Kategorien deaktivieren. Der Widerruf wirkt für die Zukunft; bereits erfolgte Datenverarbeitungen bleiben rechtmäßig.

7. Analyse, Statistik und eingesetzte Tools

Primärtool: Matomo (self‑hosted), betrieben auf Servern in Deutschland. Matomo ist so konfiguriert, dass IP‑Adressen anonymisiert werden; es werden keine personenbezogenen Daten an Dritte übermittelt. Matomo‑Cookies und clientseitige Tracking‑Skripte werden nur nach Ihrer Einwilligung aktiviert.

Als datenschutzfreundliche Ergänzung werden serverseitig anonymisierte Betriebskennzahlen zur kurzfristigen Überwachung genutzt; diese Daten sind nicht personenbeziehbar und werden nach 7 Tagen gelöscht.

Derzeit wird kein Google Analytics eingesetzt. Sollte zukünftig ein Drittanbieter‑Analytics eingeführt werden, erfolgt dies nur nach ausdrücklicher Einwilligung und mit dokumentierter datenschutzfreundlicher Konfiguration.

8. Eingebundene Inhalte, Social Media und weitere Dienste

8.1 Hosting und Infrastruktur

Die Website wird bei einem deutschen Hosting‑Provider betrieben; Serverstandort: Deutschland / EU. Mit dem Hostinganbieter besteht ein schriftlicher Vertrag zur Auftragsverarbeitung (AVV). TLS/SSL ist für die gesamte Website aktiviert; Backups werden verschlüsselt erstellt.

8.2 Schriftarten (Fonts)

Schriftarten werden lokal auf dem Server gehostet. Dadurch werden beim Seitenaufruf keine Verbindungen zu externen Font‑Servern (z. B. Google Fonts) hergestellt.

8.3 Karten, Videos und externe Medien

Derzeit werden keine interaktiven Google Maps oder eingebetteten YouTube‑Videos verwendet. Anfahrtsinformationen werden als statische, lokal gehostete Inhalte bereitgestellt. Sollte interaktiver Content zukünftig eingebunden werden, erfolgt dies nur nach ausdrücklicher Einwilligung.

8.4 Social Media

Verlinkungen zu unseren Profilen auf Facebook und Instagram sind vorhanden. Social Plugins werden nicht automatisch geladen; eine Aktivierung erfolgt nur nach Ihrer Einwilligung. Beim Besuch externer Plattformen gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

8.5 Bot‑Schutz / Captchas

Google reCAPTCHA wird nicht eingesetzt. Formularschutz erfolgt serverseitig oder mit datenschutzfreundlichen Captcha‑Verfahren, die ohne Drittanbieter auskommen.

8.6 Newsletter und CRM

Newsletterversand (sofern angeboten) erfolgt über Sendinblue; Sendinblue wird mit einem AVV genutzt und ist so konfiguriert, dass Datenverarbeitung in der EU erfolgt, sofern technisch möglich. Newsletter werden nur nach Double‑Opt‑In versendet; Abmeldemöglichkeiten sind in jedem Newsletter enthalten.

8.7 Zahlungsdienstleister

Derzeit werden keine Zahlungen über die Website abgewickelt. Sollte zukünftig ein Zahlungsdienstleister integriert werden, erfolgt dies mit datenschutzkonformer Konfiguration und AVV; Zahlungsdaten werden nur an den Zahlungsdienstleister übermittelt und nicht von uns gespeichert, sofern nicht ausdrücklich vereinbart.

8.8 Live‑Chat / Terminbuchung

Derzeit sind keine Live‑Chat‑ oder externen Terminbuchungstools aktiv. Falls solche Dienste eingeführt werden, werden sie mit AVV und datenschutzfreundlicher Konfiguration eingebunden und in dieser Datenschutzerklärung ergänzt.

9. Auftragsverarbeitung und Drittlandübermittlungen

Mit allen externen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten (z. B. Hosting, CMP, Newsletter‑Provider, CRM), bestehen schriftliche Vereinbarungen zur Auftragsverarbeitung (AVV). Eine Übersicht der Auftragsverarbeiter und der jeweils verarbeiteten Datenkategorien stellen wir auf Anfrage zur Verfügung.

Soweit Daten in Länder außerhalb des Europäischen Wirtschaftsraums (Drittstaaten) übermittelt werden, erfolgt dies nur, wenn ein angemessenes Datenschutzniveau besteht oder geeignete Garantien wie Standardvertragsklauseln (SCC) vorliegen. Konkrete Informationen zu Drittlandübermittlungen einzelner Dienste sind in die Detailübersicht am Ende dieser Erklärung dokumentiert.

10. Datensicherheit (konkret)

Wir treffen technische und organisatorische Maßnahmen (TOM), um personenbezogene Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen. Zu den Maßnahmen gehören unter anderem:

• TLS 1.2 / 1.3 für die verschlüsselte Übertragung von Daten;
• AES‑256‑verschlüsselte Backups mit regelmäßigen, automatisierten Sicherungen;
• Rollenbasierte Zugriffskontrolle und Zwei‑Faktor‑Authentifizierung (2FA) für administrative Zugänge;
• Regelmäßige Sicherheitsupdates und Patch‑Management für Server, CMS und Plugins;
• Monitoring und Protokollierung sicherheitsrelevanter Ereignisse; jährliche Penetrationstests oder vergleichbare Sicherheitsüberprüfungen;
• Mitarbeiterschulungen und Vertraulichkeitsvereinbarungen.

Trotz aller Maßnahmen kann absolute Sicherheit nicht garantiert werden.

11. Speicherdauer und Löschung (konkret)

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Typische Fristen:

• Server‑Logfiles: 7 Tage (Ausnahme: Sicherheitsvorfall, dann längere Speicherung zur Beweissicherung).
• Kontaktanfragen: Bis zur Erledigung; danach Löschung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Bewerbungen: 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zu längerer Speicherung vorliegt.
• Vertragsunterlagen: Handels‑ und steuerrechtliche Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre).

Löschungen werden technisch durch geplante, automatisierte Jobs umgesetzt; Löschvorgänge werden protokolliert und sind revisionssicher dokumentiert.

12. Rechte der betroffenen Personen

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch (Art. 21 DSGVO) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO). Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@dfs-facility-service.de. Wir beantworten Anfragen unverzüglich und spätestens innerhalb eines Monats; bei komplexen Fällen kann diese Frist um zwei Monate verlängert werden; über eine Verlängerung informieren wir Sie rechtzeitig.

13. Beschwerderecht bei Aufsichtsbehörde

Unabhängig von anderen Rechtsbehelfen haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Behörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen.

14. Widerspruchsrecht bei Direktwerbung

Soweit personenbezogene Daten für Direktwerbung verarbeitet werden, können Sie jederzeit Widerspruch gegen die Verarbeitung für Zwecke der Direktwerbung einlegen. Nach Ausübung des Widerspruchs werden die betreffenden Daten nicht mehr für diese Zwecke verarbeitet.

15. Automatisierte Entscheidungen und Profiling

Derzeit verwenden wir keine automatisierten Entscheidungsprozesse einschließlich Profiling, die rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen. Sollte sich dies ändern, werden wir Sie gesondert informieren und ggf. erforderliche Einwilligungen einholen.

16. Kinder und Jugendliche

Unsere Angebote richten sich nicht an Kinder unter 16 Jahren. Wir verarbeiten wissentlich keine personenbezogenen Daten von Kindern. Sollten uns Daten von Kindern übermittelt worden sein, werden wir diese unverzüglich löschen, sobald wir Kenntnis davon erlangen.

17. Datenschutzvorfälle und Meldeverfahren

Wir haben interne Prozesse zur Erkennung, Bewertung und Meldung von Datenschutzvorfällen implementiert. Im Falle eines meldepflichtigen Datenschutzvorfalls informieren wir die zuständige Aufsichtsbehörde und betroffene Personen gemäß den gesetzlichen Vorgaben.

18. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Änderungen der Verarbeitung oder Rechtslage angepasst. Die jeweils aktuelle Version ist auf der Website verfügbar. Letzte Aktualisierung: 14.12.2025.

19. Praktische Umsetzung & Compliance‑Checkliste (Kurzüberblick)

Bereits umgesetzt (Stand: Veröffentlichung):

• Hosting in Deutschland mit schriftlichem AVV;
• Matomo (self‑hosted) mit IP‑Anonymisierung;
• Cookiebot als CMP mit Protokollierung der Einwilligungen und Script‑Blocking;
• Schriftarten lokal gehostet;
• Sendinblue für Newsletter mit AVV und Double‑Opt‑In.

Offene Prüf‑ und Dokumentationspunkte:

1. Export und Archivierung der CMP‑Protokolle (Einwilligungsnachweise).
2. Nachweis der Matomo‑Konfiguration (IP‑Anonymisierung, keine PII‑Erfassung)