Datenschutzerklärung

2. Einleitung und Geltungsbereich

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten die DFS Facility Service GmbH im Rahmen der Nutzung dieser Website https://dfs-facility-service.de und unserer Online‑Services erhebt, zu welchen Zwecken diese Daten verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Sie als betroffene Person haben. Sie enthält zudem Hinweise zu den eingesetzten Drittanbietern und zur technischen Umsetzung unseres Consent‑Managements. Bei Fragen oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter info@dfs-facility-service.de.

3. Begriffsbestimmungen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ und „Einwilligung“ werden im Sinne der Datenschutz‑Grundverordnung (DSGVO) verwendet.

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der DSGVO (insbesondere Art. 6), des Bundesdatenschutzgesetzes (BDSG) sowie des TTDSG für telekommunikations‑ und telemedienbezogene Dienste. Je nach Verarbeitungszweck kommen folgende Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung),
• Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags),
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen),
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

5. Kategorien verarbeiteter Daten und Verarbeitungszwecke

5.1 Websitebesuch und Server‑Logfiles

Verarbeitete Daten: IP‑Adresse (anonymisiert, soweit technisch möglich), Datum und Uhrzeit des Zugriffs, aufgerufene Seiten, übertragene Datenmenge, HTTP‑Status, Browsertyp und -version, Betriebssystem, Referrer URL, Hostname des zugreifenden Endgeräts.

Zweck: Betrieb, Sicherheit, Fehleranalyse, Abwehr von Angriffen, Optimierung der Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Standardmäßig 7 Tage; bei Sicherheitsvorfällen längere Speicherung zur Beweissicherung.

5.2 Kontaktanfragen und E‑Mail‑Kommunikation

Verarbeitete Daten: Name, E‑Mail‑Adresse, Telefonnummer, Nachrichtentext, ggf. weitere freiwillig übermittelte Angaben.

Zweck: Beantwortung von Anfragen, Vertragsanbahnung, Kundenbetreuung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Bis zur Erledigung der Anfrage; längere Speicherung nur bei berechtigtem Interesse oder gesetzlichen Aufbewahrungspflichten.

5.3 Bewerbungen

Verarbeitete Daten: Bewerbungsunterlagen einschließlich Lebenslauf, Anschreiben, Zeugnisse, Kontaktdaten, ggf. Angaben zu Qualifikationen und beruflicher Laufbahn.

Zweck: Durchführung des Bewerbungsverfahrens, Auswahlentscheidung.

Rechtsgrundlage: § 26 BDSG i.V.m. Art. 6 DSGVO.

Hinweis zu besonderen Kategorien personenbezogener Daten: Bewerbungsunterlagen dürfen keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) enthalten, es sei denn, Sie übermitteln diese ausdrücklich oder sie sind gesetzlich erforderlich. Soweit besondere Kategorien verarbeitet werden, erfolgt dies nur mit Ihrer ausdrücklichen Einwilligung oder auf gesetzlicher Grundlage; der Zugriff ist auf die Personalverantwortlichen beschränkt.

Speicherdauer: Standardmäßig 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zu längerer Speicherung vorliegt oder gesetzliche Pflichten entgegenstehen.

5.4 Vertragsabwicklung und Kundenverwaltung

Verarbeitete Daten: Firmenname, Ansprechpartner, Adressen, Bankverbindungen, Leistungsdaten, Rechnungsdaten, Korrespondenz.

Zweck: Erfüllung vertraglicher Pflichten, Abrechnung, Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Handels‑ und steuerrechtliche Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre).

5.5 Marketing und Direktwerbung

Verarbeitete Daten: Kontaktdaten, Kommunikationshistorie, Einwilligungsstatus.

Zweck: Versand von Newslettern, Informationen zu Produkten und Dienstleistungen, Einladungen.

Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, soweit gesetzlich zulässig.

Speicherdauer: Bis zum Widerruf der Einwilligung oder Widerspruch gegen Direktwerbung.

6. Cookies und Consent Management

Wir verwenden Cookies und ähnliche Technologien. Zur rechtskonformen Steuerung und Protokollierung von Einwilligungen setzen wir ein Consent Management Platform (CMP) ein.

6.1 Technische Umsetzung und Blockierung

Alle nicht‑technisch notwendigen Cookies und Tracking‑Skripte werden technisch blockiert und erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Die Einwilligung wird protokolliert (Datum, Uhrzeit, Umfang) und ist jederzeit widerrufbar über die Cookie‑Einstellungen oder die Datenschutzerklärung.

6.2 Kategorien von Cookies

• Notwendig: Unbedingt erforderliche Cookies für die Funktionalität der Website (z. B. Session‑Cookies, Sicherheitsfunktionen). Keine Einwilligung erforderlich.
• Präferenzen: Speichern Ihrer Einstellungen (z. B. Sprache).
• Statistik: Anonyme Nutzungsdaten zur Verbesserung der Website (z. B. Matomo). Nur nach Einwilligung.
• Marketing: Cookies zur Reichweitenmessung und zielgerichteter Ansprache. Nur nach Einwilligung.

6.3 Widerruf und Verwaltung

Sie können Ihre Einwilligungen jederzeit über die Cookie‑Einstellungen auf der Website widerrufen oder einzelne Kategorien deaktivieren. Der Widerruf wirkt für die Zukunft; bereits erfolgte Datenverarbeitungen bleiben rechtmäßig.

7. Analyse, Statistik und eingesetzte Tools

7.1 Consent Management und Aktivierung von Tracking-Tools

Für den Einsatz von Analyse- und Statistik-Tools (z. B. Google Analytics 4, ggf. Matomo) verwenden wir ein Consent Management System (CMP). Alle nicht technisch notwendigen Cookies und Skripte werden erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Die Einwilligung wird protokolliert (Datum, Uhrzeit, Umfang) und kann jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen auf dieser Website widerrufen werden.

Rechtsgrundlage für den Einsatz von Analyse-Tools ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Setzen/Auslesen von Cookies und ähnlichen Technologien). Ohne Einwilligung findet kein Tracking durch diese Tools statt.

7.2 Google Analytics 4 (GA4)

Wir setzen auf dieser Website den Webanalysedienst Google Analytics 4 ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Für bestimmte Verarbeitungen kann auch die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, Verantwortliche sein.

Google Analytics 4 verwendet Cookies und ähnliche Technologien, die – sofern Sie eingewilligt haben – eine Analyse der Nutzung unserer Website ermöglichen. Die durch das Tracking erfassten Informationen über Ihre Nutzung dieser Website werden in der Regel an Server von Google übertragen und dort gespeichert. Dabei können auch Übermittlungen in die USA stattfinden.

In Google Analytics 4 ist die IP-Anonymisierung standardmäßig aktiviert. Ihre IP-Adresse wird von Google innerhalb der EU bzw. des EWR gekürzt und nur in anonymisierter Form weiterverarbeitet. Eine direkte Personenbeziehbarkeit ist dadurch nicht mehr möglich.

Verarbeitete Datenkategorien:
– IP-Adresse (in anonymisierter Form)
– Geräteinformationen (z. B. Browsertyp, Betriebssystem, Bildschirmauflösung)
– Nutzungsdaten (z. B. aufgerufene Seiten, Klickpfade, Verweildauer, Scroll-Verhalten)
– Herkunftsdaten (z. B. Referrer-URL, ungefähre Region)
– technische Ereignisse (z. B. Ladezeiten, Fehler)

Zwecke der Verarbeitung:
– Reichweitenmessung und statistische Auswertung der Nutzung unserer Website
– Optimierung von Inhalten, Struktur und Performance
– Auswertung der Wirksamkeit von Online-Kampagnen

Rechtsgrundlage:
Die Nutzung von Google Analytics 4 erfolgt ausschließlich auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf dieser Website widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Datenübermittlung in Drittländer:
Es ist nicht ausgeschlossen, dass Daten von Google auch in die USA übertragen werden. Für die USA besteht derzeit kein mit der EU vergleichbares Datenschutzniveau. Google stützt sich für solche Übermittlungen auf geeignete Garantien, z. B. EU-Standardvertragsklauseln. Dennoch kann nicht ausgeschlossen werden, dass US-Behörden auf Daten zugreifen. Hierauf weisen wir ausdrücklich hin.

Speicherdauer:
Die in Google Analytics 4 gespeicherten Nutzungsdaten werden von uns so konfiguriert, dass sie nach 14 Monaten automatisch gelöscht oder anonymisiert werden. Aggregierte, nicht mehr personenbeziehbare Auswertungen können darüber hinaus länger vorgehalten werden.

Weitere Informationen:
Weitere Informationen zur Datenverarbeitung durch Google finden Sie in der Datenschutzerklärung von Google unter https://policies.google.com/privacy und in den Informationen zu Google Analytics unter https://support.google.com/analytics.

7.3 Matomo (optional, falls weiterhin genutzt)

Sofern Matomo weiterhin eingesetzt wird, erfolgt die Verarbeitung wie folgt:

Wir verwenden zusätzlich das Webanalyse-Tool Matomo (self-hosted), betrieben auf Servern in Deutschland. Matomo ist so konfiguriert, dass IP-Adressen anonymisiert werden und keine personenbezogenen Daten an Dritte übermittelt werden. Matomo-Cookies und clientseitige Tracking-Skripte werden nur nach Ihrer Einwilligung aktiviert.

Verarbeitete Datenkategorien:
– anonymisierte IP-Adresse
– Nutzungsdaten (z. B. aufgerufene Seiten, Klickpfade, Verweildauer)
– technische Informationen (z. B. Browsertyp, Betriebssystem)

Zweck:
– statistische Auswertung der Nutzung der Website
– Optimierung von Inhalten und Struktur

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung über das CMP). Ohne Einwilligung findet kein Tracking durch Matomo statt.

Speicherdauer:
Die Daten werden in der Regel nach 13 Monaten anonymisiert oder gelöscht. Aggregierte, nicht mehr personenbeziehbare Statistiken können länger vorgehalten werden.

Hinweis:
Falls Matomo nicht mehr eingesetzt wird, wird dieser Abschnitt entsprechend entfernt oder angepasst.

8. Eingebundene Inhalte, Social Media und weitere Dienste

8.1 Hosting und Infrastruktur

Die Website wird bei einem deutschen Hosting‑Provider betrieben; Serverstandort: Deutschland / EU. Mit dem Hostinganbieter besteht ein schriftlicher Vertrag zur Auftragsverarbeitung (AVV). TLS/SSL ist für die gesamte Website aktiviert; Backups werden verschlüsselt erstellt.

8.2 Schriftarten (Fonts)

Schriftarten werden lokal auf dem Server gehostet. Dadurch werden beim Seitenaufruf keine Verbindungen zu externen Font‑Servern (z. B. Google Fonts) hergestellt.

8.3 Karten, Videos und externe Medien

Derzeit werden keine interaktiven Google Maps oder eingebetteten YouTube‑Videos verwendet. Anfahrtsinformationen werden als statische, lokal gehostete Inhalte bereitgestellt. Sollte interaktiver Content zukünftig eingebunden werden, erfolgt dies nur nach ausdrücklicher Einwilligung.

8.4 Social Media

Verlinkungen zu unseren Profilen auf Facebook und Instagram sind vorhanden. Social Plugins werden nicht automatisch geladen; eine Aktivierung erfolgt nur nach Ihrer Einwilligung. Beim Besuch externer Plattformen gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

8.5 Bot‑Schutz / Captchas

Google reCAPTCHA wird nicht eingesetzt. Formularschutz erfolgt serverseitig oder mit datenschutzfreundlichen Captcha‑Verfahren, die ohne Drittanbieter auskommen.

8.6 Newsletter und CRM

Newsletterversand (sofern angeboten) erfolgt über Sendinblue; Sendinblue wird mit einem AVV genutzt und ist so konfiguriert, dass Datenverarbeitung in der EU erfolgt, sofern technisch möglich. Newsletter werden nur nach Double‑Opt‑In versendet; Abmeldemöglichkeiten sind in jedem Newsletter enthalten.

8.7 Zahlungsdienstleister

Derzeit werden keine Zahlungen über die Website abgewickelt. Sollte zukünftig ein Zahlungsdienstleister integriert werden, erfolgt dies mit datenschutzkonformer Konfiguration und AVV; Zahlungsdaten werden nur an den Zahlungsdienstleister übermittelt und nicht von uns gespeichert, sofern nicht ausdrücklich vereinbart.

8.8 Live‑Chat / Terminbuchung

Derzeit sind keine Live‑Chat‑ oder externen Terminbuchungstools aktiv. Falls solche Dienste eingeführt werden, werden sie mit AVV und datenschutzfreundlicher Konfiguration eingebunden und in dieser Datenschutzerklärung ergänzt.

9. Auftragsverarbeitung und Drittlandübermittlungen

Mit allen externen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten (z. B. Hosting, CMP, Newsletter‑Provider, CRM), bestehen schriftliche Vereinbarungen zur Auftragsverarbeitung (AVV). Eine Übersicht der Auftragsverarbeiter und der jeweils verarbeiteten Datenkategorien stellen wir auf Anfrage zur Verfügung.

Soweit Daten in Länder außerhalb des Europäischen Wirtschaftsraums (Drittstaaten) übermittelt werden, erfolgt dies nur, wenn ein angemessenes Datenschutzniveau besteht oder geeignete Garantien wie Standardvertragsklauseln (SCC) vorliegen. Konkrete Informationen zu Drittlandübermittlungen einzelner Dienste sind in die Detailübersicht am Ende dieser Erklärung dokumentiert.

10. Datensicherheit (konkret)

Wir treffen technische und organisatorische Maßnahmen (TOM), um personenbezogene Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen. Zu den Maßnahmen gehören unter anderem:

• TLS 1.2 / 1.3 für die verschlüsselte Übertragung von Daten;
• AES‑256‑verschlüsselte Backups mit regelmäßigen, automatisierten Sicherungen;
• Rollenbasierte Zugriffskontrolle und Zwei‑Faktor‑Authentifizierung (2FA) für administrative Zugänge;
• Regelmäßige Sicherheitsupdates und Patch‑Management für Server, CMS und Plugins;
• Monitoring und Protokollierung sicherheitsrelevanter Ereignisse; jährliche Penetrationstests oder vergleichbare Sicherheitsüberprüfungen;
• Mitarbeiterschulungen und Vertraulichkeitsvereinbarungen.

Trotz aller Maßnahmen kann absolute Sicherheit nicht garantiert werden.

11. Speicherdauer und Löschung (konkret)

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Typische Fristen:

• Server‑Logfiles: 7 Tage (Ausnahme: Sicherheitsvorfall, dann längere Speicherung zur Beweissicherung).
• Kontaktanfragen: Bis zur Erledigung; danach Löschung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Bewerbungen: 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zu längerer Speicherung vorliegt.
• Vertragsunterlagen: Handels‑ und steuerrechtliche Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre).

Löschungen werden technisch durch geplante, automatisierte Jobs umgesetzt; Löschvorgänge werden protokolliert und sind revisionssicher dokumentiert.

12. Rechte der betroffenen Personen

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch (Art. 21 DSGVO) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO). Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@dfs-facility-service.de. Wir beantworten Anfragen unverzüglich und spätestens innerhalb eines Monats; bei komplexen Fällen kann diese Frist um zwei Monate verlängert werden; über eine Verlängerung informieren wir Sie rechtzeitig.

13. Beschwerderecht bei Aufsichtsbehörde

Unabhängig von anderen Rechtsbehelfen haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Behörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen.

14. Widerspruchsrecht bei Direktwerbung

Soweit personenbezogene Daten für Direktwerbung verarbeitet werden, können Sie jederzeit Widerspruch gegen die Verarbeitung für Zwecke der Direktwerbung einlegen. Nach Ausübung des Widerspruchs werden die betreffenden Daten nicht mehr für diese Zwecke verarbeitet.

15. Automatisierte Entscheidungen und Profiling

Derzeit verwenden wir keine automatisierten Entscheidungsprozesse einschließlich Profiling, die rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen. Sollte sich dies ändern, werden wir Sie gesondert informieren und ggf. erforderliche Einwilligungen einholen.

16. Kinder und Jugendliche

Unsere Angebote richten sich nicht an Kinder unter 16 Jahren. Wir verarbeiten wissentlich keine personenbezogenen Daten von Kindern. Sollten uns Daten von Kindern übermittelt worden sein, werden wir diese unverzüglich löschen, sobald wir Kenntnis davon erlangen.

17. Datenschutzvorfälle und Meldeverfahren

Wir haben interne Prozesse zur Erkennung, Bewertung und Meldung von Datenschutzvorfällen implementiert. Im Falle eines meldepflichtigen Datenschutzvorfalls informieren wir die zuständige Aufsichtsbehörde und betroffene Personen gemäß den gesetzlichen Vorgaben.

18. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Änderungen der Verarbeitung oder Rechtslage angepasst. Die jeweils aktuelle Version ist auf der Website verfügbar. Letzte Aktualisierung: 14.12.2025.

19. Praktische Umsetzung & Compliance‑Checkliste (Kurzüberblick)

Bereits umgesetzt (Stand: Veröffentlichung):

• Hosting in Deutschland mit schriftlichem AVV;
• Matomo (self‑hosted) mit IP‑Anonymisierung;
• Cookiebot als CMP mit Protokollierung der Einwilligungen und Script‑Blocking;
• Schriftarten lokal gehostet;
• Sendinblue für Newsletter mit AVV und Double‑Opt‑In.

Offene Prüf‑ und Dokumentationspunkte:

1. Export und Archivierung der CMP‑Protokolle (Einwilligungsnachweise).
2. Nachweis der Matomo‑Konfiguration (IP‑Anonymisierung, keine PII‑Erfassung)