r

Rechtliches

Datenschutzerklärung

Stand: Mai 2026

1Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in den zugehörigen Online-Diensten der Marke r. logistik sowie ihrer weiteren Marken (r. logistik, senior) im Sinne von Art. 4 Nr. 7 DSGVO ist:

RE36 GmbH

Monreposstraße 49
71634 Ludwigsburg, Deutschland
HRB 778903, Amtsgericht Stuttgart
Geschäftsführer: Antonio Rubino, Isabel Rubino
Telefon: +49 7141 6961865
E-Mail Datenschutz: datenschutz@rubino-logistik.de

2Datenschutzbeauftragter

Ein Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Voraussetzungen nach § 38 BDSG nicht erfüllt sind (weniger als 20 Personen mit regelmäßiger automatisierter Verarbeitung personenbezogener Daten, keine besondere Risikoverarbeitung gemäß Art. 35 DSGVO).

Datenschutz-Anfragen richten Sie bitte an datenschutz@rubino-logistik.de. Wir antworten innerhalb der gesetzlichen Frist von 30 Tagen.

3Welche Daten wir verarbeiten

Wir verarbeiten folgende personenbezogene Daten:

A, Anfrage- und Auftragsdaten

  • Stammdaten: Name, E-Mail-Adresse, optional Telefonnummer
  • Adressen: Auszugs- und Einzugsadresse, Stockwerk, Aufzug-Verfügbarkeit, Tragweg
  • Umzugsdaten: Wunschtermin, Service-Level, Anmerkungen, Volumen
  • Inventardaten: Erfasste Möbel und Gegenstände inkl. Volumen-/Gewichts-Schätzung
  • Optional Foto- und Videomaterial Ihrer Räume, nur wenn Sie unsere Foto-Tour bzw. Video-Erfassung aktiv nutzen. Hinweis: Sie sind selbst verantwortlich, dass auf den Aufnahmen keine Dritten ohne deren Einwilligung erkennbar sind.
  • Vertragsdaten bei Auftragsabschluss: Rechnungsanschrift, Zahlungsmodalitäten
  • Schadensfälle: Bei Nutzung des Schadensportals (/claims) erfassen wir Beschreibung, geschätzten Wert und Foto-Dokumentation des Schadens. Diese Daten werden zur Bearbeitung an unseren Verkehrshaftungs-Versicherer weitergegeben (s. § 7).

B, Technische Nutzungsdaten

  • IP-Adresse, vom Webserver (Caddy) zur technischen Bereitstellung empfangen, vor Speicherung im Logfile auf das letzte Oktett gekürzt (z.B. 87.123.45.0). Speicherdauer: max. 14 Tage, danach automatische Rotation.
  • Browser-Typ, Geräte-Kategorie (mobile/desktop/tablet), Spracheinstellung, zur barrierefreien Bereitstellung
  • Aufgerufene Seiten + Zeitstempel, für Statistiken und Stabilität

C, Lead-Quellen-Attribution (UTM-Parameter)

  • Wenn Sie über einen Werbe-Link zu uns kommen (z.B. Google-Anzeige, Newsletter, Empfehlung), werden die UTM-Parameter in der URL (utm_source, utm_medium, utm_campaign, utm_content, utm_term) sowie der Referrer (Herkunfts-URL) einmaligerfasst und mit Ihrer Anfrage verknüpft.
  • Diese Daten werden ausschließlich intern zur Erfolgsmessung unserer Werbung ausgewertet. Sie werden nicht mit Werbenetzwerken (Google, Meta, etc.) re-synchronisiert.

D, Live-Besucher-Statistik

Auf interner Admin-Oberfläche zeigen wir an, wie viele Besucher gerade aktiv auf der Website sind. Dazu sendet Ihr Browser alle 30 Sekunden ein „Heartbeat“ mit:

  • einer zufällig generierten Tab-Session-ID (lebt nur in dem aktuellen Browser-Tab, kein Cookie, kein Local-Storage)
  • der aktuell besuchten Seite (Pfad ohne Query-Parameter)
  • einer groben Geräte-Kategorie (mobile/desktop)
  • einem Land-Code (DE, AT, CH ...) abgeleitet aus Ihrer IP via lokaler Datenbank, die IP selbst wird dabei nicht gespeichert

Diese Daten werden ausschließlich in einem temporären In-Memory-Speicher (Redis) gehalten und nach 60 Sekunden automatisch gelöscht. Es findet keine Persistierung statt, kein Profiling, kein Cross-Site-Tracking.

4Zweck und Rechtsgrundlage

Wir verarbeiten Ihre Daten ausschließlich zu folgenden Zwecken:

  • Angebotserstellung auf Basis Ihrer Eingaben (und ggf. der Foto-/Videoanalyse), Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
  • Vertragsabwicklung bei Annahme des Angebots, Art. 6 Abs. 1 lit. b DSGVO
  • Kommunikation per E-Mail / Telefon zur Klärung offener Punkte, Art. 6 Abs. 1 lit. b DSGVO
  • Sicherer Betrieb der Website (Server-Logs, technische Stabilität), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit + Verfügbarkeit)
  • Erfolgsmessung unserer Werbung über UTM-Parameter und Lead-Source-Attribution, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an wirtschaftlicher Werbung). Sie können der Verarbeitung jederzeit widersprechen, siehe Abschnitt „Ihre Rechte“.
  • Live-Besucher-Statistik in der internen Admin-Oberfläche, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebs-Monitoring). Datenminimal, 60-Sekunden-TTL, kein Personenbezug.
  • Steuerliche und handelsrechtliche Aufbewahrung nach Vertragsabschluss, Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

Wir verarbeiten ausdrücklich KEINE besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) wie Gesundheit, Religion, Weltanschauung etc.

5Hosting und Speicherort

Alle Daten, auch Foto- und Videomaterial, werden auf Servern von Google Cloud Platform in der Region europe-west1 (St. Ghislain, Belgien, EU) gehostet. Die Datenbank und alle Storage-Volumes liegen ausschließlich in der EU.

Speicherort der Datenbank: Belgien (EU). Backups werden ebenfalls ausschließlich in der EU vorgehalten und sind verschlüsselt (AES-256 at-rest).

Auftragsverarbeitungsvertrag (AVV) mit Google Cloud nach Art. 28 DSGVO ist abgeschlossen. Google Cloud Data Processing Addendum.

Der Domain-/E-Mail-Hosting-Anbieter IONOS SE (Elgendorfer Straße 57, 56410 Montabaur, Deutschland) verarbeitet die DNS- und ggf. Postfach-Daten der Domain rubino-logistik.de ausschließlich in Deutschland. AVV nach Art. 28 DSGVO ist abgeschlossen.

6KI-Verarbeitung Ihrer Foto- und Videodaten

Wenn Sie unsere KI-gestützte Inventarerfassung (Foto-Tour oder Video-Aufnahme) nutzen, werden die Aufnahmen zur Möbel-Erkennung an spezialisierte KI-Anbieter übermittelt:

Google Gemini 2.5 Pro (über Vertex AI)

Anbieter: Google Ireland Limited, Gordon House, 4 Barrow St, Dublin 4, Irland
Region: europe-west4 (Niederlande) — ausschließlich EU-Verarbeitung
Zweck: Möbel-Erkennung in Videos und Fotos
Datenfluss: Vertex AI verarbeitet die Aufnahmen ohne sie für Training zu verwenden (Vertex-AI-Bedingung „customer data is not used to train Google's foundation models“).
AVV (DPA) nach Art. 28 DSGVO: abgeschlossen über die Google Cloud Vertex AI Bedingungen.

Vertex AI Multimodal Embeddings

Anbieter: Google Ireland Limited, Dublin, Irland
Region: europe-west4 (Niederlande)
Zweck: Erstellung mathematischer „Fingerabdrücke“ (Embeddings) von Bildausschnitten zur Duplikat-Erkennung über mehrere Räume hinweg. Aus Embeddings lassen sich keine Bilder rekonstruieren.
AVV nach Art. 28 DSGVO: Vertex-AI-Bedingungen.

Anthropic Claude (Sonnet 4.5)

Anbieter: Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA
Zweck: Validierung und Plausibilitätsprüfung der Erkennungs-Ergebnisse, Hilfestellung bei Texten
Drittlandübermittlung in die USA: Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Adäquanzbeschluss vom 10.07.2023); Anthropic ist im DPF-Register zertifiziert. Zusätzlich sind EU-Standardvertragsklauseln (SCCs, Modul 2) Vertragsbestandteil als Fallback-Garantie.
Trainingsausschluss: Anthropic verwendet die Eingaben zahlender API-Kunden gemäß Commercial Terms nicht für Modell-Training.
AVV nach Art. 28 DSGVO: Anthropic DPA ist Vertragsbestandteil.

Sie haben jederzeit das Recht, der KI-Verarbeitung zu widersprechen. In diesem Fall vereinbaren wir einen klassischen Vor-Ort-Termin zur Inventaraufnahme. Schreiben Sie uns einfach an datenschutz@rubino-logistik.de.

7Weitere Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister ein. Mit allen besteht, wo erforderlich, ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

IONOS SE (Hosting + Mail-Versand)

Sitz: Elgendorfer Straße 57, 56410 Montabaur, Deutschland · Zweck: DNS-Hosting der Domain rubino-logistik.de sowie SMTP-Mail-Versand für Bestätigungen, Angebote, Lifecycle-Mails (Welcome, Termin-Reminder, Rechnung, Storno usw.). Absender: noreply@rubino-logistik.de. Verarbeitung ausschließlich in Deutschland. AVV nach Art. 28 DSGVO vorhanden.

Sentry GmbH (Error-Tracking)

Sitz: Krausenstraße 9–10, 10117 Berlin, Deutschland · Zweck: technisches Fehler- und Performance-Monitoring von Backend und Frontend. Datenfluss: Stack-Traces, aufgerufene URL, Browser-/ Geräte-Klasse, Zeitstempel. Wir haben send_default_pii=false aktiv, d.h. keine User-IDs, Cookies, Session-Tokens oder vollständigen IP-Adressen werden übermittelt. Hosting in der EU-Region (Frankfurt / Amsterdam). AVV nach Art. 28 DSGVO vorhanden. Sentry DPA.

Partner-Speditionen (Frachtführer-Subunternehmer)

Zur Durchführung der Transportleistung setzen wir nach §§ 453 ff. HGB Frachtführer mit eigener §3 GüKG-Erlaubnis ein (siehe AGB § 12). Datenfluss an den jeweils beauftragten Subunternehmer: Vor- und Nachname, Auszugs- und Einzugsadresse, Telefon, Termin und Inventar-Eckdaten — ausschließlich soweit für die Auftragsausführung erforderlich (Zweckbindung). Mit jeder eingesetzten Partner-Spedition besteht ein Rahmen-Frachtvertrag mit AVV-Klausel nach Art. 28 DSGVO. Eine aktuelle Liste der eingesetzten Subunternehmer stellen wir auf Anfrage zur Verfügung.

Allianz Versicherungs-AG (Verkehrshaftung)

Sitz: Königinstraße 28, 80802 München, Deutschland · Zweck: Verkehrshaftungs-Versicherung nach § 7a GüKG bzw. §§ 451 ff. HGB. Datenfluss nur im Schadensfall: Vorname und Name, Schadensbeschreibung, geschätzter Wert, Schadens-Fotos, Vertrags-/ Auftragsreferenz. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Schadensregulierung). Verarbeitung in Deutschland.

Google Maps & Distance Matrix

Anbieter: Google Ireland Limited · Zweck: Adress-Geocoding und Entfernungs-Berechnung für Umzugskosten. Übergeben werden ausschließlich die Adressen, keine personenbezogenen Daten wie Namen. Verarbeitung in EU-Region.

OpenStreetMap / Nominatim

Anbieter: OpenStreetMap Foundation, UK · Zweck: Adress-Auto-Vervollständigung im Eingabeformular. Übergeben werden nur Ihre Eingabe-Strings, keine personenbezogenen Daten. Übermittlung auf Grundlage des EU-UK Adäquanzbeschlusses (UK gilt als sicheres Drittland).

QRServer.com (api.qrserver.com)

Zweck: Erzeugung von QR-Codes für den Handy-Wechsel beim Scan. Übergeben wird ausschließlich der temporäre Scan-Link, keine personenbezogenen Daten.

Werbe- und Analyse-Tools (nur mit Cookie-Consent aktiv): Sobald Sie im Cookie-Banner der Kategorie „Marketing" und/oder „Statistik" aktiv zustimmen, kommen folgende Tools zum Einsatz. Vor Zustimmung wird kein Pixel und kein Cookie geladen.

Google Ads (Conversion-Tracking)

Anbieter: Google Ireland Limited, Gordon House, 4 Barrow St, Dublin 4, Irland · Zweck: Erfassung welche unserer Werbeanzeigen tatsächlich zu Anfragen, Scans oder Auftragsabschlüssen führen. Verarbeitete Daten: Geräte-/Browser-Klasse, anonymisierte IP, Klick- und Conversion-Zeitpunkte. Wir nutzen anonymize_ip=true. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner). Drittland-Übermittlung in die USA auf Grundlage des EU-US Data Privacy Framework und SCCs.

Google Analytics 4 (GA4)

Anbieter: Google Ireland Limited · Zweck: statistische Reichweiten-Analyse (Seitenaufrufe, Verweildauer, Geräte-Mix, Funnel-Übergänge). Verarbeitete Daten: anonymisierte IP, Browser-Fingerabdruck (gehasht), Sitzungs-IDs. AVV abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung „Statistik" im Cookie-Banner).

Meta Pixel (Facebook/Instagram-Werbung)

Anbieter: Meta Platforms Ireland Ltd, 4 Grand Canal Square, Dublin 2, Irland · Zweck: Conversion-Tracking für Anzeigen auf Facebook und Instagram, Erstellung von Lookalike-Zielgruppen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung „Marketing"). Drittland-Übermittlung in die USA auf Grundlage SCCs + DPF.

LinkedIn Insight Tag

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland · Zweck: Conversion-Tracking für B2B-Anzeigen (insbesondere Büroumzüge / Unternehmens-Relocation). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung „Marketing").

8Cookies, Local Storage und Werbe-Pixel

Sobald wir Werbe-Kampagnen aktiv schalten, erscheint auf der Website ein Cookie-Banner, in dem du den unten aufgeführten Marketing- und Statistik-Cookies aktiv per Klick zustimmen oder sie ablehnen kannst (TTDSG-konformer Opt-In). Vor deiner Zustimmung wird kein nicht-essenzielles Cookie gesetzt und kein Werbe-Pixel geladen.

Du kannst deine Cookie-Entscheidung jederzeit über den Footer-Link „Cookie-Einstellungen“ ändern oder zurücksetzen.

Marketing-Pixel (nur nach Einwilligung)

  • Google Ads Conversion-Tag der Google Ireland Limited, zur Erfolgsmessung unserer Google-Anzeigen. Aktiviert sich, sobald wir die Conversion-Tag-ID hinterlegen.
  • Meta Pixel der Meta Platforms Ireland Limited, zur Erfolgsmessung unserer Werbung auf Facebook und Instagram. Drittland- übermittlung in die USA auf Basis EU-US Data Privacy Framework (Adäquanzbeschluss vom 10.07.2023) sowie Standardvertragsklauseln.
  • LinkedIn Insight Tag der LinkedIn Ireland Unlimited Company, zur Erfolgsmessung unserer LinkedIn-Anzeigen. Drittland- übermittlung in die USA wie oben.
  • TikTok Pixel der TikTok Technology Limited (Irland), zur Erfolgsmessung unserer TikTok-Anzeigen.

Statistik (nur nach Einwilligung)

  • Google Analytics 4 der Google Ireland Limited, mit aktivierter IP-Anonymisierung und ohne Verknüpfung mit Google-Werbe- Funktionen (allow_google_signals=false). Verarbeitung in EU-Region.

Lead-Portale (UTM-Tracking)

Wenn du über ein Lead-Portal (z.B. Umzugsauktion, MyHammer, Check24, ImmoScout24) zu uns kommst, übergibt das Portal in der URL Marker (UTM-Parameter, Click-IDs wie gclid, fbclid,msclkid). Wir speichern diese Marker einmalig mit deiner Anfrage, damit wir dem Portal später eine Provision korrekt zuordnen können (Art. 6 Abs. 1 lit. b DSGVO bei Provisions-Vertrag mit dem Portal). Diese Erfassung läuft ohne Cookie und ist rein server-seitig.

Technisch notwendige Werte (kein Consent erforderlich)

Wir speichern technisch notwendige Werte im Browser-Local-Storage (Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG):

  • Session-Token (JWT), damit Sie nach Schließen des Browsers Ihren Vorgang fortsetzen können (Token ist 8 Stunden gültig)
  • „Welcome-Screen gesehen“-Flag, damit der Begrüßungs-Screen nicht doppelt erscheint
  • „App-Hinweis dismissed“-Flag, damit ausgeblendete Hinweise nicht wieder auftauchen

Im Browser-Tab (sessionStorage) hält der Browser zusätzlich kurzzeitig eine zufällige Tab-Session-ID für die Live-Besucher-Statistik (siehe Abschnitt 3D), diese verschwindet automatisch beim Schließen des Tabs.

Sie können den Local-Storage in Ihren Browser-Einstellungen jederzeit löschen.

9Speicherdauer und Löschung

Wir speichern Ihre Daten nicht länger als nötig:

Anfragen ohne Auftrag

Automatische Löschung von Stamm- und Anfragedaten nach 90 Tagen ohne Aktivität, Foto- und Videomaterial bereits nach 30 Tagen ohne Aktivität. Sie können jederzeit eine sofortige Löschung anfordern.

Auftrag zustande gekommen

Buchungs-/Rechnungsbelege: 10 Jahre (§ 147 AO, § 257 HGB). Foto- und Videomaterial: zusätzlich 90 Tage nach Auftragsabschluss, außer Sie wünschen ausdrücklich eine längere Aufbewahrung (z. B. für Beweissicherung bei Schadensfällen).

Server-Logs (IP-anonymisiert)

Maximal 14 Tage, danach automatische Rotation und Löschung. IP-Adressen werden bereits beim Schreiben um das letzte Oktett gekürzt.

Live-Besucher-Tracking

60-Sekunden-TTL im Arbeitsspeicher (Redis). Keine Persistierung, keine Backups.

10Bewerbungsdaten (Karriere-Portal)

Wenn Sie sich auf eine ausgeschriebene Stelle bewerben oder eine Initiativbewerbung an uns senden, verarbeiten wir die übermittelten Daten im Rahmen des Bewerbungsverfahrens.

Welche Daten

Pflicht: Name, E-Mail-Adresse. Freiwillig: Telefonnummer und Anschreiben/Motivation. Wir erfragen kein Foto, kein Geburtsdatum, kein Geschlecht und keinen Familienstand — diese Angaben sind für unsere Auswahlentscheidung weder erforderlich noch zulässig (§ 1 AGG).

Zweck der Verarbeitung

Durchführung des Bewerbungsverfahrens (Sichtung der Unterlagen, ggf. Einladung zum Gespräch, Vertragsanbahnung) sowie ggf. Begründung des Beschäftigungsverhältnisses.

Rechtsgrundlage

§ 26 Abs. 1 BDSG i.V.m. Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beschäftigungsverhältnisses). Bei Initiativbewerbungen außerdem Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Identifizierung geeigneter Bewerber:innen).

Speicherdauer

  • Bei Absage oder Einstellung: Bewerbungsunterlagen werden automatisiert nach 6 Monaten nach Verfahrensabschluss gelöscht. Die Frist deckt die zweimonatige Geltendmachungsfrist nach § 15 Abs. 4 AGG sowie eine angemessene Klagezeitraum-Reserve ab.
  • Bei laufendem Verfahren: bis zum Abschluss des Auswahlprozesses; danach gilt obige Frist.
  • Bei Einstellung: relevante Unterlagen wandern in die Personalakte und werden nach den geltenden Aufbewahrungs­fristen des Arbeits-, Steuer- und Sozialversicherungsrechts gespeichert.
  • Initiativbewerbungen: 6 Monate, sofern Sie keiner längeren Speicherung explizit zustimmen.

Empfänger der Daten

Innerhalb der RE36 GmbH: ausschließlich Personen, die am Bewerbungsverfahren beteiligt sind (Geschäftsführung, ggf. Personalverantwortliche). Eine Weitergabe an Dritte erfolgt nicht — außer Sie haben einer solchen ausdrücklich zugestimmt.

Spam-Schutz

Beim Absenden des Bewerbungsformulars wird Ihre IP-Adresse zur Missbrauchsabwehr (Honeypot/Bot-Erkennung) gehasht gespeichert (SHA-256). Eine Re-Identifizierung ist technisch nicht möglich. Außerdem speichern wir den User-Agent-String Ihres Browsers.

Ihre Rechte

Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit sowie auf Beschwerde bei einer Aufsichtsbehörde. Detail siehe Abschnitt 11. Eine Anforderung zur Sofort-Löschung Ihrer Bewerbungsdaten ist formlos per E-Mail an datenschutz@rubino-logistik.de möglich.

Vielfalt & Chancengleichheit: Wir bewerten Bewerbungen ausschließlich nach fachlicher und persönlicher Eignung — unabhängig von Geschlecht, Alter, ethnischer Herkunft, Religion, Weltanschauung, sexueller Identität oder Behinderung (§ 1 AGG). Schwerbehinderte Menschen werden bei gleicher Eignung bevorzugt berücksichtigt.

11Ihre Rechte als Betroffener

Sie haben jederzeit folgende Rechte:

  • Auskunft über Ihre gespeicherten Daten, Art. 15 DSGVO
  • Berichtigung falscher Daten, Art. 16 DSGVO
  • Löschung Ihrer Daten, Art. 17 DSGVO (sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen)
  • Einschränkung der Verarbeitung, Art. 18 DSGVO
  • Datenübertragbarkeit in einem strukturierten, gängigen Format (JSON / CSV), Art. 20 DSGVO
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen, Art. 21 DSGVO
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft, Art. 7 Abs. 3 DSGVO

Self-Service: Wenn Sie über einen unserer Online-Wizards eine Anfrage gestellt haben, können Sie über den Link in Ihrer Bestätigungs-E-Mail im Bereich „Meine Daten“ jederzeit selbst:

  • Ihre gespeicherten Daten als JSON-Export herunterladen
  • eine sofortige Löschung Ihrer Anfrage anfordern (ohne Auftrag), bestätigt automatisch innerhalb von 24 Stunden

Sonstige Anfragen richten Sie bitte an datenschutz@rubino-logistik.de, wir antworten innerhalb von 30 Tagen.

Beschwerderecht bei der Aufsichtsbehörde: Sie haben das Recht, sich beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu beschweren, Königstraße 10a, 70173 Stuttgart, Telefon: 0711/615541-0, E-Mail: poststelle@lfdi.bwl.de.

12Datensicherheit (TOMs)

Wir setzen technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten ein:

  • Transportverschlüsselung: HTTPS / TLS 1.3 für alle Verbindungen, automatisches Zertifikat via Let's Encrypt
  • Verschlüsselung at-rest: AES-256 auf Datenbank- und Storage-Volumes (Google Cloud Persistent Disks)
  • Zugriffskontrolle: Rollenbasiert (Admin / Disponent / Mitarbeiter / Kunde), JWT-Authentifizierung mit 8-Stunden-Ablauf, Passwörter gehasht (PBKDF2)
  • Pseudonymisierung: Interne IDs sind UUIDs ohne Personenbezug; Marken-Trennung über Tenant-IDs
  • IP-Anonymisierung in Server-Logs (letztes Oktett auf 0)
  • Backups verschlüsselt, in der EU, mit kontrollierter Aufbewahrungsdauer
  • Mitarbeiter-Verpflichtung auf Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO
  • Datenpannen-Meldekonzept nach Art. 33 DSGVO (Meldung an Aufsichtsbehörde innerhalb 72h)

13Verzeichnis von Verarbeitungstätigkeiten (VVT)

Wir führen ein internes Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Dieses kann auf Anfrage der Aufsichtsbehörde vorgelegt werden.

14Automatisierte Entscheidungen / Profiling

Es findet keine automatisierte Entscheidung im Einzelfall gemäß Art. 22 DSGVO statt. Die KI-gestützte Möbelerkennung dient ausschließlich der Vorschlags-Erstellung, finale Angebote werden manuell geprüft und freigegeben.

Die UTM-Lead-Source-Attribution dient ausschließlich der internen Werbe-Erfolgsmessung und führt zu keiner rechtlichen oder ähnlich erheblichen Wirkung Ihnen gegenüber.

15Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets aktuellen rechtlichen Anforderungen und Funktionsumfang entspricht. Die jeweils aktuelle Version finden Sie immer auf dieser Seite.

Stand: Mai 2026