1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Brandschutz K&K, Kevin Kujat & Chris Marvin Letz GbR
Wenzlower Dorfstraße 74
14778 Wenzlow
Telefon: +49 33833 75 99 91
E-Mail allgemein: kontakt@brandschutz-kundk.de
E-Mail Datenschutz: info@brandschutz-kundk.de
Webseite: www.brandschutz-kundk.de

Vertretungsberechtigte Gesellschafter: Kevin Kujat und Chris Marvin Letz (jeweils einzelvertretungsberechtigt — Vertretungsregelung siehe Impressum).

2. Datenschutzbeauftragter

Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die Brandschutz K&K GbR beschäftigt weniger als 20 ständig mit automatisierter Datenverarbeitung befasste Personen (§ 38 Abs. 1 BDSG ist nicht einschlägig). Eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO im Rahmen einer Kerntätigkeit (Art. 37 Abs. 1 lit. c DSGVO) findet nicht statt; auch eine regelmäßige systematische Überwachung Betroffener in großem Umfang (Art. 37 Abs. 1 lit. b DSGVO) erfolgt nicht. Anfragen zum Datenschutz richten Sie bitte an: info@brandschutz-kundk.de.

3. Allgemeine Hinweise zur Datenverarbeitung

3.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Kundinnen und Kunden, Interessentinnen und Interessenten, Beschäftigten unserer Auftraggeber sowie unserer eigenen Beschäftigten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Webseite sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung der betroffenen Person. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3.2 Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Für besondere Datenkategorien zusätzlich Art. 9 Abs. 2 lit. a DSGVO.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten), dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage. Das berechtigte Interesse wird in den jeweiligen Abschnitten konkretisiert.

Soweit Beschäftigtendaten unserer Mandanten verarbeitet werden, ist Rechtsgrundlage im Mandantenverhältnis § 26 Abs. 1 und 3 BDSG bzw. Art. 9 Abs. 2 lit. h DSGVO i. V. m. den arbeitsmedizinischen und arbeitsschutzrechtlichen Vorgaben (insbesondere ASiG, ArbSchG, DGUV Vorschrift 2).

3.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Eine zusammenfassende Übersicht der Aufbewahrungsfristen findet sich in Ziffer 20.

4. Rechte der betroffenen Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO), insbesondere gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO sowie gegen Direktwerbung
• Recht, eine erteilte Einwilligung jederzeit für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos an info@brandschutz-kundk.de. Zur sicheren Zuordnung kann eine Identitätsprüfung erforderlich sein.

5. Beschwerderecht / Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde am Sitz der Brandschutz K&K GbR ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Telefon: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de
Internet: www.lda.brandenburg.de

Sie können sich auch an die Aufsichtsbehörde am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes wenden.

6. Hosting und technische Bereitstellung der Webseite

Die Webseite www.brandschutz-kundk.de wird auf eigenen Servern der Hetzner Online GmbH gehostet.

6.1 Webhosting (Hetzner)

Auftragsverarbeiter:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Die Server stehen in Rechenzentren in Deutschland (Nürnberg / Falkenstein). Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist die technische Bereitstellung einer sicheren und performanten Webseite.

6.2 Domain (IONOS)

Soweit die Domain-Verwaltung über die IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland erfolgt, werden hierbei lediglich technische Registrierungsdaten (Domaininhaber, technischer Kontakt) verarbeitet, die keine Webseiten-Besucher betreffen. Eine Auftragsverarbeitungsvereinbarung mit IONOS liegt vor.

6.3 E-Mail-Server (IONOS)

Der E-Mail-Verkehr der Domain @brandschutz-kundk.de wird über die IONOS SE (Adresse siehe oben) abgewickelt. Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Eingehende und ausgehende E-Mails werden auf den IONOS-Servern verarbeitet und gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) und Art. 6 Abs. 1 lit. f DSGVO (effiziente, kompromittierungsresistente Geschäftskommunikation).

6.4 Datenbankserver

Personenbezogene Daten aus Kunden- und Auftragsverwaltung werden in einer eigenen Datenbankinstanz verarbeitet, die auf einem separaten Server der Hetzner Online GmbH (Standort Deutschland) betrieben wird. Eine Übermittlung in Drittländer findet nicht statt.

6.5 Subdomain auftrag.brandschutz-kundk.de (Auftragsportal)

Die Subdomain auftrag.brandschutz-kundk.de, über die das Auftrags- und Buchungsportal der K&K erreichbar ist (siehe Ziffer 6a), wird ebenfalls auf eigenen Servern der Hetzner Online GmbH (Adresse siehe 6.1) mit Serverstandort in Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO; eine Drittlandsübermittlung erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Vertragsanbahnung und -erfüllung sowie berechtigtes Interesse an einer sicheren, performanten Plattform).

6a. Auftrags- und Buchungsportal und Online-Wartungsanfragen

6a.1 Übersicht und betroffene Plattformen

Zur Anbahnung, Bestätigung und Verwaltung von Wartungs-, Reparatur-, Verkaufs-, Beratungs- und Beauftragtenleistungen (siehe Ziffern 13 bis 15) betreiben wir zusätzlich zur Hauptwebseite folgende Plattformkomponenten:

Auftragsportal und Wartungs-Anfrageformular werden nachfolgend gemeinsam als „Plattform“ bezeichnet.

6a.2 Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten über die Plattform zu folgenden Zwecken:

a) Vertragsanbahnung und Angebotserstellung auf Grundlage einer Anfrage des Kunden;
b) Übermittlung des Angebots an den Kunden (in Textform und mit Bestätigungs-Link auf das Auftragsportal);
c) elektronische Annahme des Angebots durch den Kunden über das Auftragsportal sowie die beweissichere Protokollierung dieser Annahme im Rahmen eines Annahme-Protokolls (siehe 6a.3 lit. d);
d) Auftrags-, Termin- und Wartungsmanagement, insbesondere Disposition, Bereitstellung von Wartungserinnerungen und Statusinformationen;
e) Kommunikation zum Auftrag (Nachfragen, Terminänderungen, Klärung technischer oder fachlicher Fragen);
f) Manipulations- und Betrugsabwehr sowie Beweissicherung im Streitfall (insbesondere zur Abwehr unberechtigter Bestreitens des Vertragsschlusses);
g) technische Bereitstellung, Stabilität und Sicherheit der Plattform (Logfiles, Sicherheitsereignisse).

6a.3 Verarbeitete Datenkategorien

Wir verarbeiten — je nach genutzter Funktion — insbesondere folgende Datenkategorien:

a) Stammdaten der Kundin/des Kunden (bei Privatkunden: Vorname, Nachname, ggf. Anrede; bei gewerblichen Kunden zusätzlich Firmenname, Rechtsform, Ansprechperson, Funktion, ggf. USt-IdNr.);
b) Kontakt- und Standortdaten (Anschrift der Liegenschaft bzw. Lieferanschrift, Telefonnummer, E-Mail-Adresse);
c) Auftrags- und Angebotsdaten (Bezeichnung der angefragten Leistung, Mengenangaben, gewünschte Termine, Bemerkungen, Bezugnahme auf bisherige Wartungen, Geräte- und Anlagenbezeichnungen);
d) Annahme-Protokoll zur Beweissicherung des elektronischen Vertragsschlusses, insbesondere

• IP-Adresse, von der die Annahme abgegeben wurde,
• Datum und Uhrzeit der Annahme (Zeitstempel),
• Browser- und Gerätekennung (User-Agent),
• ggf. weitere technische Geräte-Charakteristiken, soweit sie automatisch im HTTP-Header übermittelt werden,
• kryptografischer Hash des angenommenen Angebots im Verfahren SHA-256 zur fälschungssicheren Verknüpfung der Annahme mit dem konkret vorgelegten Vertragstext;
  e) Termin- und Kalenderdaten (vereinbarte Wartungs- und Begehungstermine, Vor-Ort-Zeitfenster, Statusangaben);
  f) Kommunikationsdaten (Inhalte und Metadaten der über die Plattform abgewickelten Nachrichten zum jeweiligen Auftrag);
  g) technische Protokolldaten (Aufruf-Logs des Auftragsportals; weitergehende Logfile-Verarbeitung siehe Ziffer 7);
  h) Account- bzw. Login-Daten ausschließlich für Beschäftigte der K&K (Admin-Bereich des Auftragsportals): E-Mail-Adresse, Passwort-Hash, Anmelde- und Authentifizierungs­merkmale im Rahmen der rollenbasierten Zugriffs­verwaltung, Login-Zeitstempel.

Soweit über das Wartungs-Anfrageformular ergänzende Angaben übermittelt werden (z. B. Anzahl Feuerlöscher, Bestandsdaten), werden diese den unter Buchstabe c genannten Auftragsdaten zugeordnet.

6a.4 Rechtsgrundlagen

a) Art. 6 Abs. 1 lit. b DSGVO für die Verarbeitung der unter 6a.3 Buchstaben a) bis c) und e) bis f) genannten Daten zur Vertragsanbahnung, Angebotserstellung, Vertragsannahme und -erfüllung sowie zur Termin- und Auftragsverwaltung;

b) Art. 6 Abs. 1 lit. f DSGVO für die unter 6a.3 Buchstabe d) genannten Annahme-Protokoll-Daten; das berechtigte Interesse liegt in der manipulationsgeschützten Beweissicherung des elektronischen Vertragsschlusses (insbesondere zur Abwehr unberechtigten Bestreitens, zur Verhinderung von Identitätsmissbrauch und zur revisionssicheren Dokumentation gegenüber Versicherern und Auditoren). Eine vergleichbare Verarbeitungstätigkeit wird von den Aufsichtsbehörden als zulässig angesehen, soweit sie sich auf das technisch Erforderliche beschränkt und in der Datenschutzerklärung transparent dokumentiert ist; die Verhältnismäßigkeit wurde durch interne Interessenabwägung geprüft. Ferner stützen wir die unter 6a.3 Buchstabe g) genannten technischen Protokolldaten auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien und sicheren Bereitstellung der Plattform);

c) Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB sowie den werkvertraglichen Verjährungsregeln (insbesondere §§ 195, 199, 634a BGB) für die Aufbewahrung der Auftrags-, Annahme- und Abrechnungsdaten zur Erfüllung handels- und steuerrechtlicher Pflichten;

d) für die Verarbeitung der unter 6a.3 Buchstabe h) genannten Beschäftigten-Login-Daten (eigene Beschäftigte der K&K im Admin-Bereich) zusätzlich § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Beschäftigungsverhältnisses).

6a.5 Empfänger

a) Innerhalb der K&K erhalten ausschließlich diejenigen Beschäftigten Zugriff auf die Auftrags-, Termin- und Annahmedaten, die für die Bearbeitung des jeweiligen Auftrags zuständig sind („need-to-know“-Prinzip).
b) Steuerberater und Wirtschaftsprüfer der K&K erhalten Auftrags- und Abrechnungsdaten im Rahmen ihrer gesetzlichen und vertraglichen Aufgaben (Berufsverschwiegenheitspflicht).
c) Soweit zur Auftragsabwicklung der Einsatz von Subunternehmern oder Honorarkräften erforderlich ist, gilt Ziffer 16.
d) Externe Dienstleister des Auftragsportals — insbesondere ein etwaiger technischer Hosting-Anbieter der Subdomain sowie etwaige E-Mail-Versanddienstleister für die Zustellung von Angeboten und Bestätigungen — werden als Auftragsverarbeiter im Sinne des Art. 28 DSGVO behandelt; entsprechende Auftragsverarbeitungsvereinbarungen sind abgeschlossen oder werden vor Inbetriebnahme abgeschlossen.

Eine Übermittlung von Auftrags- oder Annahme-Daten an die Schwestergesellschaft Novaura-Care GmbH findet nicht statt; die in Ziffer 12 geregelte Vermittlung von Schulungen ist hiervon zu unterscheiden.

6a.6 Drittlandsübermittlung

Eine Übermittlung in Drittländer (Länder außerhalb des Europäischen Wirtschaftsraums) findet im Rahmen der Plattform nicht statt. Sowohl das Hosting der Subdomain auftrag.brandschutz-kundk.de als auch der transaktionale Mailversand (siehe Tabelle in Ziffer 6a.5) erfolgen ausschließlich in Deutschland. Etwaige Drittlandsbezüge im Zusammenhang mit auf der Hauptdomain eingebundenen Drittinhalten (insbesondere Google-Dienste) sind in Ziffer 10 dieser Erklärung gesondert geregelt; sie betreffen die Plattform nicht.

6a.7 Speicherdauer

6a.8 Technische und organisatorische Maßnahmen

Wir sichern die Plattform durch insbesondere folgende technische und organisatorische Maßnahmen im Sinne der Art. 24, 25 und 32 DSGVO ab:

• TLS-Verschlüsselung sämtlicher Verbindungen zum Auftragsportal und zum Wartungs-Anfrageformular (HTTPS, HSTS, sichere Cipher-Suites);
• HTTP-Sicherheitsheader auf der Subdomain (insb. X-Frame-Options: SAMEORIGIN, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Strict-Transport-Security);
• Trennung von Admin- und Kundenbereich im Auftragsportal; der Admin-Bereich ist hinter einer Login-Wand mit individueller Authentifizierung erreichbar;
• Rollenbasierte Zugriffsverwaltung mit individuellen Zugangsdaten sowie angemessene Zugriffs- und Authentifizierungs­kontrollen im Admin-Bereich des Auftragsportals;
• Passwort-Hashing nach dem Stand der Technik (z. B. bcrypt/argon2) für Beschäftigten-Konten;
• Rollen- und Rechtekonzept im Auftragsportal („need-to-know“-Prinzip);
• Server-Standort innerhalb Deutschlands (Hetzner; siehe 6.1 und 6.5);
• regelmäßige Backups der Auftragsdaten auf gesonderter Speicherinfrastruktur sowie geprüfte Wiederherstellungsverfahren;
• Protokollierung sicherheitsrelevanter Ereignisse und regelmäßige Auswertung;
• Software-Updates und Sicherheitspatches im üblichen Wartungszyklus.

Weitere Einzelheiten enthält das interne Verzeichnis von Verarbeitungstätigkeiten der K&K (Art. 30 DSGVO).

6a.9 Cookies und vergleichbare Technologien auf der Subdomain

Auf der Subdomain auftrag.brandschutz-kundk.de werden ausschließlich technisch erforderliche Cookies und vergleichbare Speichermechanismen eingesetzt, die zum Betrieb der Anwendung — insbesondere zur Aufrechterhaltung der Login-Session im Admin-Bereich, zur sicheren Übermittlung des Bestätigungs-Tokens im Kundenbereich sowie zur Sicherung gegen Cross-Site-Request-Forgery — zwingend benötigt werden. Diese werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung gespeichert.

Sollten künftig zusätzliche, nicht technisch erforderliche Technologien auf der Subdomain eingesetzt werden (z. B. Analyse, Marketing, eingebundene Drittinhalte), wird hierfür vorab eine Einwilligung über das Consent-Management-Tool Real Cookie Banner (siehe Ziffer 8) eingeholt; die Subdomain wird in diesem Fall in den Geltungsbereich des Banners einbezogen.

Footer-Verlinkung zu den Pflichtinformationen der Hauptdomain. Eine eigenständige Impressum- oder Datenschutz-Seite auf der Subdomain auftrag.brandschutz-kundk.de wird nicht vorgehalten; stattdessen sind im Footer der Subdomain anklickbare Hyperlinks zu den auf der Hauptdomain www.brandschutz-kundk.de veröffentlichten Pflichtinformationen — Impressum, Datenschutzerklärung, AGB und Widerrufsbelehrung — eingebunden. Die Einbindung dieser Footer-Links wird vom Webseitenbetreiber/Entwicklungs­team als Umsetzungspflicht laufend sichergestellt.

6a.10 Rechte der betroffenen Person; Wahrnehmung

Die in Ziffer 4 genannten Rechte der betroffenen Person — insbesondere Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch nach Art. 21 DSGVO gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (insbesondere gegen die Annahme-Protokollierung, soweit zulässig) — können jederzeit gegenüber den in Ziffer 1 genannten Kontaktstellen geltend gemacht werden. Auf die in Ziffer 5 genannte Beschwerdemöglichkeit bei der Datenschutz-Aufsichtsbehörde wird hingewiesen.

7. Server-Logfiles

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse (gekürzt, soweit technisch möglich, oder spätestens nach 7 Tagen gelöscht)

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Webseitenbetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung seiner Webseite — hierzu müssen die Server-Logfiles erfasst werden.

Speicherdauer: max. 7 Tage, sofern keine sicherheitsrelevanten Vorfälle (z. B. Angriffe) eine längere Speicherung erfordern.

8. Cookies und vergleichbare Technologien — Real Cookie Banner

Unsere Webseite verwendet sogenannte Cookies sowie ähnliche Technologien (z. B. localStorage, Pixel). Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

8.1 Einwilligungsmanagement

Wir setzen das Consent-Management-Tool Real Cookie Banner des Anbieters

devowl.io GmbH
Tucholskystraße 30
50825 Köln
Deutschland
Webseite: devowl.io/de/

ein. Real Cookie Banner ermöglicht es Ihnen, eine informierte Einwilligung in den Einsatz von einwilligungspflichtigen Cookies und Diensten zu erteilen, abzulehnen oder Ihre Einwilligung jederzeit anzupassen oder zu widerrufen.

Real Cookie Banner verarbeitet zur Dokumentation Ihrer Einwilligung (Stichwort: Einwilligungs-Nachweis nach Art. 7 Abs. 1 DSGVO) folgende Daten:

• anonymisierte IP-Adresse (letztes Oktett gelöscht)
• Datum und Uhrzeit der Einwilligung bzw. Ablehnung
• Browser-Informationen
• URL der Seite, auf der die Einwilligung erteilt wurde
• anonymisierte, zufällige Kennung der Einwilligung
• der Einwilligungsstatus, der als technisches Cookie auf Ihrem Endgerät gespeichert wird

Die Daten werden gelöscht, sobald sie für die Zwecke der Dokumentation nicht mehr erforderlich sind und Sie uns zur Löschung auffordern. Eine Übermittlung an Dritte erfolgt nicht. Real Cookie Banner verarbeitet die Daten ausschließlich auf unseren eigenen Servern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht zum Einwilligungs-Nachweis nach Art. 7 Abs. 1 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzkonformen Webseitenbereitstellung).

8.2 Technisch erforderliche Cookies

Einige Cookies sind technisch zwingend erforderlich, damit unsere Webseite funktioniert (z. B. Speicherung der Einwilligungs-Entscheidung, Session-Management). Diese werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung gespeichert.

8.3 Einwilligungspflichtige Cookies und Dienste

Alle nicht technisch erforderlichen Cookies und Dienste (z. B. eingebettete Videos, Karten, Tracking) werden ausschließlich nach Ihrer aktiven Einwilligung gemäß § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO gesetzt. Eine vollständige, tagesaktuelle Auflistung aller eingesetzten Cookies und Dienste finden Sie in unseren Cookie-Einstellungen, die Sie jederzeit über den Link „Cookie-Einstellungen“ im Footer der Webseite (Trigger: #cookie-banner) öffnen und anpassen können.

8.4 Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen erneut öffnen und Ihre Auswahl ändern. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

9. Verschlüsselung (SSL/TLS)

Diese Webseite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die Sie an uns als Webseitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

10. Eingebundene Inhalte und Dienste auf der Webseite

10.1 Google Fonts (lokal)

Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten sogenannte Web Fonts. Die Google Fonts sind lokal installiert auf unserem Hetzner-Server (siehe Ziffer 6.1). Eine Verbindung zu Servern von Google wird beim Aufruf unserer Webseite nicht aufgebaut; eine Übermittlung Ihrer IP-Adresse an Google findet nicht statt. Es liegt insoweit kein Drittlandsbezug vor.

10.2 Elementor (Webseiten-Baukasten)

Unsere Webseite wird mit dem Webseiten-Baukasten Elementor der Elementor Ltd., Israel, betrieben. Elementor wird ausschließlich lokal auf unserem Webserver ausgeführt; eine Übermittlung von Besucher-Daten an die Elementor Ltd. erfolgt nicht. Soweit Elementor das Accessibility-Widget („Bedienungshilfen-Widget“) einbindet, das nutzerspezifische Anzeige-Präferenzen lokal im Browser speichert, erfolgt dies erst nach aktiver Einwilligung gemäß § 25 Abs. 1 TDDDG (Auswahl im Cookie-Banner).

10.3 Google Tag Manager (GTM)

Wir setzen den Google Tag Manager zur zentralen Verwaltung und Auslieferung von Tags und Tracking-Schnipseln auf der Webseite ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (EU-Vertretung). Muttergesellschaft ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Verwaltung und bedingte Auslieferung anderer Tags (z. B. Google Analytics, Google Ads), abhängig von der jeweiligen Einwilligung im Cookie-Banner.

Datenkategorien: Aufruf-bezogene Daten (IP-Adresse — gekürzt im Rahmen des jeweiligen Zieldienstes, soweit unterstützt — sowie Browser- und Gerätedaten, Online-Kennungen, Referrer, Uhrzeit des Aufrufs). Der GTM selbst speichert nach Anbieterangabe keine Cookies; er steuert lediglich die nachgelagerten Dienste.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Consent-Management-Tool Real Cookie Banner, siehe Ziffer 8). Ohne Ihre Einwilligung werden über GTM keine einwilligungs­pflichtigen Tags geladen.

Drittlandsübermittlung: Bei der Auslieferung der vom GTM gesteuerten Tags kann eine Übermittlung von Daten an Server der Google LLC in den USA erfolgen. Rechtsgrundlage hierfür ist der Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (Art. 45 DSGVO); Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Subsidiär stützt sich die Übermittlung auf EU-Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO mit ergänzenden technischen und organisatorischen Schutzmaßnahmen.

Speicherdauer: Der GTM selbst speichert nach Anbieterangabe keine Cookies mit dauerhafter Geltung; die Speicherdauer der nachgelagerten Dienste richtet sich nach den jeweiligen Unterziffern dieses Abschnitts.

Widerruf: Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer der Webseite widerrufen (Trigger: #cookie-banner).

Anbieterdokumentation: Datenschutzerklärung von Google.

10.4 Google Analytics 4 (GA4)

Wir setzen Google Analytics 4 zur statistischen Auswertung des Nutzungsverhaltens auf der Webseite ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Muttergesellschaft ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Reichweiten- und Nutzungsanalyse zur Optimierung der Webseite (welche Inhalte werden wie häufig und in welchem Kontext aufgerufen, wie sind Besucherströme und Verweildauern verteilt).

Datenkategorien: IP-Adresse (von Google verkürzt verarbeitet; IP-Anonymisierung ist in GA4 standardmäßig aktiv), Online-Kennungen (Geräte- und Pseudo-User-ID), Browser- und Gerätedaten, Referrer, aufgerufene Seiten und Ereignisse (Page-Views, Klicks), Sitzungsdauer, ungefähre Standortinformation (auf Land/Region-Ebene).

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Real Cookie Banner, siehe Ziffer 8). Ohne Ihre Einwilligung werden weder GA4-Cookies gesetzt noch Messdaten an Google übermittelt.

Drittlandsübermittlung: Übermittlung an Server der Google LLC in den USA; Rechtsgrundlage Angemessenheits­beschluss EU-US Data Privacy Framework (Art. 45 DSGVO; Google LLC DPF-zertifiziert), subsidiär Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO mit ergänzenden Schutzmaßnahmen.

Speicherdauer: In GA4 ist die Aufbewahrungsdauer für nutzerbezogene Daten konfigurierbar (typische Werte: 2 oder 14 Monate); wir verwenden die Einstellung 2 Monate, soweit nicht zur Verfolgung des Auswertungszwecks ein längerer Zeitraum erforderlich ist. Aggregierte, nicht personenbezogene Berichte werden darüber hinaus dauerhaft im GA4-Konto gespeichert.

Widerruf: Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen (Trigger: #cookie-banner). Zusätzlich können Sie das Opt-out-Browser-Add-on von Google nutzen: tools.google.com/dlpage/gaoptout.

Anbieterdokumentation: Datenschutzerklärung von Google.

10.5 Google Maps

Wir binden auf einzelnen Seiten Karten des Dienstes Google Maps ein, um Standorte und Anfahrtsbeschreibungen darzustellen. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Muttergesellschaft ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Anzeige interaktiver Karten und Routenplanung.

Datenkategorien: IP-Adresse, Browser- und Gerätedaten, ungefähre Standortinformation, Referrer; bei eingeloggten Google-Konten zusätzlich die Konto-Kennung (sofern Sie bei Google angemeldet sind).

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Real Cookie Banner, siehe Ziffer 8). Bevor Sie eingewilligt haben, wird Google Maps auf den betreffenden Seiten nicht geladen; stattdessen wird eine Platzhalter-Darstellung mit dem Einwilligungsdialog angezeigt.

Drittlandsübermittlung: Übermittlung an Server der Google LLC in den USA; Rechtsgrundlage Angemessenheits­beschluss EU-US Data Privacy Framework (Art. 45 DSGVO; Google LLC DPF-zertifiziert), subsidiär Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer: richtet sich nach den Speicherfristen, die Google für seine Karten- und Standortdienste anwendet (siehe Anbieterdokumentation).

Widerruf: über „Cookie-Einstellungen“ im Footer (Trigger: #cookie-banner).

Anbieterdokumentation: Datenschutzerklärung von Google.

10.6 Google Ads / Conversion-Tracking

Wir setzen Google Ads einschließlich des zugehörigen Conversion-Trackings zur Erfolgsmessung unserer Werbeanzeigen ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Muttergesellschaft ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Messung des Erfolgs unserer Online-Werbung — insbesondere die Zuordnung von Webseiten-Interaktionen (z. B. Absenden einer Wartungsanfrage) zu vorausgegangenen Klicks auf Google-Ads-Anzeigen — sowie ggf. das Schalten personalisierter Werbung.

Datenkategorien: Conversion-Event-Daten (welche Aktion auf der Webseite ausgelöst wurde, Zeitstempel), Online-Kennungen (Google-Ads-Cookie, Geräte-ID, Click-ID „GCLID“), Browser- und Gerätedaten, Referrer, ungefähre Standortinformation.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Real Cookie Banner, siehe Ziffer 8). Ohne Ihre Einwilligung werden weder Ads-Cookies gesetzt noch Conversion-Daten übermittelt.

Drittlandsübermittlung: Übermittlung an Server der Google LLC in den USA; Rechtsgrundlage Angemessenheits­beschluss EU-US Data Privacy Framework (Art. 45 DSGVO; Google LLC DPF-zertifiziert), subsidiär Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer: Conversion-Cookies werden nach Anbieterangabe in der Regel für 90 Tage gesetzt; aggregierte Berichte sind im Ads-Konto darüber hinaus dauerhaft verfügbar.

Widerruf und Werbepersonalisierung: Sie können die Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen (Trigger: #cookie-banner). Die Personalisierung von Werbung durch Google können Sie zusätzlich in den Google-Werbeeinstellungen anpassen: adssettings.google.com.

Anbieterdokumentation: Datenschutzerklärung von Google.

10.7 Eingebettete YouTube-Videos

Soweit auf einzelnen Seiten YouTube-Videos eingebettet sind, erfolgt die Einbindung im erweiterten Datenschutzmodus (youtube-nocookie.com) des Anbieters YouTube (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Eine Übermittlung an YouTube findet erst beim Klick auf das Vorschaubild und nach vorheriger Einwilligung gemäß § 25 Abs. 1 TDDDG / Art. 6 Abs. 1 lit. a DSGVO statt.

Beim Abspielen werden Daten an Server von Google in den USA übermittelt. Rechtsgrundlage hierfür ist der Angemessenheits­beschluss EU-US Data Privacy Framework (Art. 45 DSGVO; Google LLC DPF-zertifiziert), subsidiär Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Anbieterdokumentation: Datenschutzerklärung von Google. Mehr zum erweiterten Datenschutzmodus: support.google.com/youtube.

11. Kontaktaufnahme

11.1 Kontakt per E-Mail oder Telefon

Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden Ihre Angaben (Name, Kontaktdaten, Inhalt der Nachricht) zum Zweck der Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Rechtsgrundlage:

• bei Anfragen mit Vertragsbezug: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen, Vertragserfüllung)
• bei sonstigen Anfragen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Anfragen)

Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage; bei vertraglich oder gesetzlich vorgeschriebenen Aufbewahrungsfristen (z. B. § 147 AO, § 257 HGB) bis zu deren Ablauf.

11.2 Kontaktformular

Soweit auf unserer Webseite ein Kontaktformular zur Verfügung gestellt wird, werden die in das Formular eingegebenen Daten (Name, Kontaktdaten, Anfrageninhalt) auf unserem Hetzner-Server gespeichert und ausschließlich zur Bearbeitung der Anfrage verwendet. Eine Weitergabe an Dritte erfolgt nicht ohne Ihre Einwilligung.

Die per Kontaktformular erhobenen Daten werden gelöscht, sobald die Anfrage erledigt ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11.3 KI-Telefonassistent (Placetel AI)

Für die Annahme und Vorbearbeitung telefonischer Anliegen setzen wir einen KI-gestützten Telefonassistenten („Voice Agent“) ein. Dieser nimmt Anrufe entgegen, erkennt Ihr Anliegen und unterstützt bei Standardvorgängen (z. B. Erfassung von Kursanfragen, Statusauskunft zu einer Buchung, Aufnahme von Umbuchungs-, Stornierungs- oder Rückrufwünschen, Versand eines Buchungslinks). Die abschließende Bearbeitung erfolgt stets nach manueller Prüfung durch unsere Mitarbeiterinnen und Mitarbeiter. Dabei verarbeiten wir die von Ihnen genannten Angaben, insbesondere Name, Telefonnummer, E-Mail-Adresse, ggf. Firma und Anschrift, Angaben zum gewünschten Kurs sowie Buchungs-/Vorgangsnummern. Zusätzlich wird eine textliche Gesprächszusammenfassung und ggf. ein Text-Transkript erstellt. Ihre Spracheingabe wird zur Erkennung Ihres Anliegens verarbeitet;

Audioaufnahmen werden in unseren Systemen nicht gespeichert.

Gesundheitsdaten werden durch den KI-Telefonassistenten nicht erhoben oder gespeichert. Beginnt ein Anrufer, gesundheitsbezogene Angaben zu
machen, unterbricht der Assistent und leitet das Gespräch an einen Mitarbeiter weiter.

Der Telefonassistent wird durch Broadsoft Germany GmbH (Marke „Placetel“), Lothringer Straße 56, 50677 Köln als Auftragsverarbeiter bereitgestellt. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO; die Verarbeitung erfolgt ausschließlich nach unseren Weisungen. Für den Betrieb des KI-Assistenten setzt der Anbieter den Unterauftragsverarbeiter Miyon AG Hosting innerhalb der EU) ein.

Soweit der Anbieter weitere Unterauftragsverarbeiter einsetzt, deren Verarbeitung in einem Drittland (insbesondere den USA) erfolgt, ist diese durch geeignete Garantien im Sinne der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) abgesichert. Sprachaufnahmen des Gesprächs werden nur erstellt, sofern dies ausdrücklich aktiviert ist; in unseren Systemen werden keine Audioaufnahmen gespeichert.

Rechtsgrundlage:
bei Anfragen mit Vertragsbezug: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen, Vertragserfüllung); bei sonstigen Anfragen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Anfragen); soweit Sie eine Anfrage über einen Bestätigungslink (Double-Opt-in) bestätigen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: bis zur abschließenden Bearbeitung Ihres Anliegens; bei gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB) bis zu deren Ablauf. Ein etwaiges Text-Transkript wird spätestens nach 90 Tagen automatisch gelöscht.

Keine ausschließlich automatisierte Entscheidung (Art. 22 DSGVO):
Umbuchungen, Stornierungen und vergleichbare Vorgänge werden vor Durchführungstets manuell durch unsere Mitarbeiter geprüft und bestätigt.

12. Vermittlung von Schulungen an die Novaura-Care GmbH

12.1 Übersicht

Anfragen und Buchungen zu Erste-Hilfe-, Brandschutz- und Arbeitsschutzschulungen, die über unsere Webseite, Telefon oder E-Mail bei uns eingehen, werden ausschließlich für die Schwestergesellschaft Novaura-Care GmbH (Grüninger Dorfstraße 14, 14778 Wenzlow, HRB Potsdam 41302) entgegengenommen. Vertragspartner für sämtliche Schulungen ist ausschließlich die Novaura-Care GmbH.

12.2 Rolle und Rechtsgrundlage

Soweit wir Schulungsanfragen entgegennehmen und Buchungs-, Termin-, Teilnehmer- oder Abrechnungsdaten an die Novaura-Care GmbH weiterleiten, handeln wir als Auftragsverarbeiter der Novaura-Care GmbH im Sinne von Art. 28 DSGVO. Eine entsprechende Auftragsverarbeitungsvereinbarung zwischen der Brandschutz K&K GbR und der Novaura-Care GmbH besteht und regelt insbesondere die zulässigen Verarbeitungszwecke, die technischen und organisatorischen Maßnahmen sowie die Pflichten beider Seiten.

Soweit Daten über eine API direkt in die Buchungs- und Lernsoftware der Novaura-Care GmbH übertragen werden, erfolgt dies ausschließlich auf der Grundlage und im Rahmen dieser Auftragsverarbeitungsvereinbarung.

12.3 Datenkategorien

Im Rahmen der Vermittlung werden insbesondere folgende Daten verarbeitet:

• Stammdaten (Name, Vorname, ggf. Geburtsdatum für Zertifikate)
• Kontaktdaten (E-Mail, Telefon, Anschrift)
• Buchungsdaten (gewünschter Kurs, Termin, Ort)
• Abrechnungsdaten (für gewerbliche Auftraggeber: Firmenname, Rechnungsanschrift, USt-IdNr.)
• bei Schulungen mit Bescheinigungspflicht ggf. Berufs- oder Funktionsangaben

12.4 Verantwortlichkeit für Schulungsteilnahme und Zertifikate

Verantwortlicher für die eigentliche Durchführung der Schulung, die Ausstellung der Zertifikate sowie die anschließende Speicherung der Schulungs- und Zertifikatsdaten ist die Novaura-Care GmbH. Die hierfür geltende Datenschutzerklärung finden Sie unter https://www.novaura.de/datenschutz/.

13. Wartungs-, Reparatur- und Verkaufsleistungen

Bei der Durchführung von Wartungs-, Reparatur- und Verkaufsleistungen (insbesondere Feuerlöscher, Wandhydranten, Steigleitungen, Löschwasserbrunnen, Rauch- und Wärmeabzugsanlagen, Brand- und Rauchschutztüren) verarbeiten wir folgende Daten:

• Stammdaten des Auftraggebers (Name, Firma, Anschrift)
• Kontaktdaten (Telefon, E-Mail)
• Objekt- und Standortdaten (Adresse, Gebäudeteil, Zugang)
• Auftragsdaten (Art, Umfang, Termin der Leistung)
• bei Wartungen: Geräte- und Inspektionshistorie (Seriennummer, letzte Prüfung, Mängel, Maßnahmen)
• bei Reparaturen / Ersatzteilen: Art der Beanstandung, eingesetzte Ersatzteile
• bei Privatkunden: ggf. Daten zu im Haushalt anwesenden Personen, soweit für die Terminierung relevant
• Abrechnungs- und Zahlungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung). Für die Aufbewahrung von Prüfberichten und Rechnungen Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO und § 257 HGB.

Empfänger: Bei der Lieferung von Ersatzteilen oder Geräten Versanddienstleister (z. B. DHL, DPD, UPS). Bei der Beauftragung kooperierender Fachbetriebe (Subunternehmer) — siehe Ziffer 16. Steuerberater und Wirtschaftsprüfer im Rahmen ihrer gesetzlichen Aufgaben.

Speicherdauer: Auftrags- und Wartungsdaten werden bis zum Ende der zuwendungsrechtlichen Gewährleistungs- und Verjährungsfristen gespeichert. Rechnungs- und Buchungsbelege werden gemäß § 147 AO und § 257 HGB acht Jahre (für nach dem 31.12.2024 entstandene Belege) bzw. zehn Jahre (für vor dem 01.01.2025 entstandene Belege) aufbewahrt.

14. Baulicher Brandschutz und Brandschutzberatung

Bei Brandschutzberatungen, Brandschutzkonzepten, Begehungen und baulichen Brandschutzleistungen verarbeiten wir zusätzlich:

• Gebäude- und Nutzungsdaten (Lagepläne, Grundrisse, Brandschutzkonzepte, Nutzerzahlen)
• ggf. Daten zu im Objekt tätigen oder anwesenden Personen
• Abstimmungs- und Korrespondenzdaten mit Bauherren, Architekten, Behörden, Sachverständigen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für die Beteiligung an behördlichen Verfahren oder die Erfüllung baurechtlicher Pflichten Art. 6 Abs. 1 lit. c DSGVO.

Empfänger: Bauherren, beauftragte Architekten, Fachplaner, Behörden, Sachverständige — jeweils nur soweit für die Auftragsdurchführung oder gesetzliche Mitwirkungspflichten erforderlich. Zur Einbindung kooperierender Fachfirmen siehe Ziffer 16.

Speicherdauer: Beratungsdokumentation und Konzepte werden für die Dauer der bauordnungsrechtlichen Aufbewahrungspflichten, längstens zehn Jahre nach Projektabschluss, aufbewahrt. Rechnungs- und Buchungsbelege siehe Ziffer 20.

15. Externer Brandschutzbeauftragter und externe Fachkraft für Arbeitssicherheit

15.1 Zweck und Datenkategorien

Im Rahmen unserer Tätigkeit als externer Brandschutzbeauftragter (Bsb) gemäß DGUV Information 205-003 sowie als externe Fachkraft für Arbeitssicherheit (Sifa) gemäß § 6 ASiG und DGUV Vorschrift 2 verarbeiten wir personenbezogene Daten von Beschäftigten unserer Mandantenunternehmen, soweit dies zur ordnungsgemäßen Erfüllung der Bestellung erforderlich ist. Hierzu gehören:

• Name, Vorname, Funktion, Abteilung, Standort
• Daten zu Arbeitsplatzgefährdungen (Tätigkeitsbeschreibung, Arbeitsmittel, Arbeitsstoffe)
• Daten zu erlittenen Arbeits- und Wegeunfällen (Hergang, Verletzungsbild, Folgen), zur Erfüllung der Pflichten nach § 6 ArbSchG und § 21 SGB VII
• Daten zu arbeitsmedizinischen Vorsorgen (Vorliegen, Art der Vorsorge — keine Befundinhalte ohne ausdrückliche Einwilligung)
• Daten zu arbeitsschutzrelevanten Eignungsfeststellungen (z. B. G25, G41 — nur Vorliegen, nicht Befundinhalte)
• Daten aus Unterweisungen und Begehungen (Teilnahme, Inhalte, Mängel)

Soweit hierbei besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet werden (insbesondere Gesundheitsdaten), erfolgt die Verarbeitung ausschließlich, soweit dies für die Erfüllung der gesetzlichen Pflichten im Bereich des Arbeitsrechts, des Sozialschutzes und des Arbeits- und Gesundheitsschutzes der Beschäftigten erforderlich ist.

15.2 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b und f DSGVO i. V. m. dem Bestellungsvertrag mit dem Mandantenunternehmen (für reine Stammdaten und Auftragsdurchführung)
• Art. 6 Abs. 1 lit. c DSGVO i. V. m. ArbSchG, ASiG, DGUV V2, BetrSichV, DGUV V14, ArbStättV (für Pflichten aus dem Arbeitsschutzrecht)
• Art. 9 Abs. 2 lit. b und h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b und Nr. 2 BDSG sowie § 26 Abs. 3 BDSG für die Verarbeitung besonderer Kategorien
• bei freiwilligen Eignungsuntersuchungen ggf. zusätzlich Art. 9 Abs. 2 lit. a DSGVO i. V. m. Einwilligung der/des Beschäftigten

15.3 Verantwortlichkeit und Datenflüsse

Verantwortlicher für die Beschäftigtendaten ist und bleibt grundsätzlich das Mandantenunternehmen. Die Brandschutz K&K GbR wird im Rahmen der externen Bestellung als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig, soweit dies die Aufgabenwahrnehmung erfordert. Eine entsprechende Auftragsverarbeitungsvereinbarung wird mit jedem Mandantenunternehmen geschlossen.

Soweit wir kraft Gesetzes oder berufsrechtlicher Pflichten als eigenständig Verantwortlicher handeln (z. B. Pflicht zur eigenständigen Aufzeichnung von Begehungen, Stellungnahmen oder Empfehlungen), ist dies in der Vereinbarung gesondert ausgewiesen.

15.4 Empfänger

Empfänger sind, soweit erforderlich:

• das Mandantenunternehmen (Geschäftsleitung, Personalabteilung, Betriebsrat — letzterer im Rahmen seiner Mitbestimmungsrechte)
• die zuständige Berufsgenossenschaft / Unfallkasse
• staatliche Aufsichtsbehörden (z. B. Gewerbeaufsicht)
• gegebenenfalls die zuständige Bauaufsicht, Brandschutzdienststelle, Berufsfeuerwehr
• arbeitsmedizinische Dienste, sofern in die Maßnahme eingebunden

15.5 Speicherdauer

Es gelten die für das jeweilige Pflichtdokument einschlägigen gesetzlichen und unfallversicherungsrechtlichen Aufbewahrungsfristen, insbesondere DGUV V1, ArbSchG, BetrSichV, BioStoffV, GefStoffV. Dokumentationen zu Begehungen, Unterweisungen und Stellungnahmen werden mindestens für die Dauer der laufenden Bestellung und drei Jahre nach Beendigung der Bestellung aufbewahrt; gesetzlich vorgeschriebene längere Fristen bleiben unberührt.

15.6 Datenschutz-Folgenabschätzung

Aufgrund der regelmäßigen Verarbeitung besonderer Datenkategorien im Beschäftigungskontext im großen Umfang ist je Mandant eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen oder die Übernahme bestehender DSFA des Mandanten zu vereinbaren. Hierzu wird mit jedem Mandanten gesondert ein abgestimmtes Vorgehen festgelegt.

16. Einsatz von Subunternehmern und Honorarkräften

Zur Erfüllung unserer Aufträge setzen wir bei Bedarf folgende externe Kräfte ein:

16.1 Honorarkräfte / freiberufliche Sachverständige und Techniker

Honorarkräfte (z. B. freiberufliche Brandschutztechniker, Sachverständige, Berater), die im Rahmen einzelner Aufträge eingebunden werden, werden als Auftragsverarbeiter im Sinne von Art. 28 DSGVO behandelt, soweit sie personenbezogene Daten unserer Auftraggeber oder deren Beschäftigter verarbeiten. Es besteht jeweils eine schriftliche Auftragsverarbeitungsvereinbarung mit der Honorarkraft.

Die Honorarkräfte sind vertraglich verpflichtet:

• zur Einhaltung der DSGVO und des BDSG
• zur Wahrung der Vertraulichkeit (NDA, Verschwiegenheitsvereinbarung)
• zur Umsetzung angemessener technischer und organisatorischer Maßnahmen
• zur ausschließlichen Nutzung der Daten für die vereinbarten Auftragszwecke
• zur Löschung oder Rückgabe der Daten nach Beendigung des Einsatzes

16.2 Kooperierende Fachbetriebe (Subunternehmer)

Bei Auftragsspitzen, speziellen Gewerken (z. B. Türsysteme, RWA-Anlagen) oder geographischer Entfernung greifen wir auf kooperierende Fachbetriebe (Subunternehmer) zurück. Hier wird differenziert:

• Soweit der Fachbetrieb eigenständig als Werkunternehmer im Verhältnis zu unserem Auftraggeber auftritt, ist er insoweit eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Eine reine Datenweitergabe an ihn erfolgt nur auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und ist dem Auftraggeber gegenüber offengelegt.
• Soweit der Fachbetrieb für uns als Auftragsverarbeiter tätig wird, besteht eine schriftliche Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO.

16.3 Konzerninterne Datenflüsse

Mit der Schwestergesellschaft Novaura-Care GmbH besteht eine getrennte Datenverarbeitung mit klar abgegrenzten Verantwortlichkeiten (siehe Ziffer 12). Eine darüber hinausgehende konzerninterne Datenübermittlung — insbesondere zu Marketingzwecken — findet nicht statt.

17. Videoüberwachung an unseren Standorten

Soweit an unseren Standorten in nicht öffentlich zugänglichen Bereichen eine Videoüberwachung zum Schutz vor Diebstahl und Vandalismus erfolgt, finden Sie die nach Art. 13 DSGVO erforderlichen Pflichtinformationen — einschließlich Zweck, Rechtsgrundlage, Speicherdauer und Kontaktmöglichkeiten — unmittelbar vor Ort durch deutlich sichtbare Hinweisschilder sowie auf Anfrage in einem ergänzenden Informationsdokument. Eine Videoüberwachung von Kundenbereichen, Sozial-, Sanitär- oder Pausenräumen sowie von ständigen Arbeitsplätzen findet nicht statt.

18. Bewerbungen

Soweit Sie sich initiativ oder auf eine Stellenausschreibung bei uns bewerben (z. B. per E-Mail an kontakt@brandschutz-kundk.de), verarbeiten wir Ihre Bewerbungsdaten (Stammdaten, Lebenslauf, Anschreiben, Zeugnisse, Qualifikationsnachweise, ggf. Lichtbild — soweit von Ihnen mitgeschickt) zum Zweck der Durchführung des Bewerbungsverfahrens.

Rechtsgrundlage: § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beschäftigungsverhältnisses). Bei besonderen Datenkategorien (z. B. Gesundheitsdaten, falls für die Tätigkeit relevant) zusätzlich Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG.

Speicherdauer: Bewerbungsunterlagen werden nach Abschluss des Bewerbungsverfahrens spätestens nach sechs Monaten gelöscht, sofern Sie nicht ausdrücklich in eine längere Speicherung („Talentpool“) eingewilligt haben oder ein Beschäftigungsverhältnis zustande kommt. Im Falle eines Beschäftigungsverhältnisses werden die Unterlagen zur Personalakte genommen.

19. Datenübermittlung in Drittländer

Eine Datenübermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (sog. Drittländer) findet derzeit grundsätzlich nicht statt.

Soweit eine Drittlandsübermittlung im Einzelfall erfolgt (z. B. bei der Nutzung freigeschalteter Drittinhalte wie eingebetteten YouTube-Videos im erweiterten Datenschutzmodus), geschieht dies nur unter den Voraussetzungen der Art. 44 ff. DSGVO und nur

• bei Bestehen eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45 DSGVO — insbesondere EU-US Data Privacy Framework für DPF-zertifizierte Empfänger),
• bei Vorliegen geeigneter Garantien (Art. 46 DSGVO — insbesondere EU-Standardvertragsklauseln mit zusätzlichen Schutzmaßnahmen), oder
• nach Ihrer informierten Einwilligung im Einzelfall (Art. 49 Abs. 1 lit. a DSGVO).

Für die Verarbeitung im Rahmen des Auftrags- und Buchungsportals sowie des Wartungs-Anfrageformulars (Ziffer 6a) gelten ergänzend die dortigen Ausführungen zum Drittlandsbezug; insbesondere wird darauf hingewiesen, dass der konkrete Hosting-Anbieter der Subdomain auftrag.brandschutz-kundk.de und etwaige eingesetzte Versand- und Notification-Dienste vor Live-Schaltung verbindlich zu benennen und im Hinblick auf Art. 44 ff. DSGVO zu prüfen sind. Bis zur abschließenden Klärung dieser Punkte werden über die Plattform keine personenbezogenen Daten in unsichere Drittländer übermittelt.

20. Speicherdauer und Aufbewahrungsfristen

21. Automatisierte Entscheidungsfindung / Profiling

Eine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

22. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 20.06.2026. Durch die Weiterentwicklung unserer Webseite und Angebote darüber oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Webseite unter https://www.brandschutz-kundk.de/datenschutz/ von Ihnen abgerufen und ausgedruckt werden.