Datenschutzerklärung für die Website

Stand: 05.09.2025

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir verarbeiten, wenn Sie unsere Website besuchen und die dort angebotenen Telemedien nutzen. Sie erfahren insbesondere, welche Tools wir einsetzen, auf welcher rechtlichen Grundlage dies geschieht, ob und in welchem Umfang auf Informationen in Ihrer Endeinrichtung zugegriffen wird und welche Rechte Ihnen zustehen.

Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO ist das im Impressum genannte Unternehmen. Dort finden Sie auch unsere vollständigen Kontaktangaben. Sofern ein Datenschutzbeauftragter bestellt ist, sind dessen Kontaktdaten ebenfalls im Impressum unter Datenschutz aufgeführt.

Hosting, Zugriffsdaten und Server-Logfiles

Wenn Sie unsere Website aufrufen, verarbeitet unser Hosting-Anbieter technisch notwendige Daten, damit die Seiten angezeigt und sicher betrieben werden können. Dazu gehören die IP-Adresse, Datum und Uhrzeit des Abrufs, die angeforderte Ressource und URL, die Referrer-URL, der HTTP-Statuscode, die übertragene Datenmenge sowie der verwendete Browser und das Betriebssystem (User-Agent). Diese Verarbeitung dient der Auslieferung der Website, der Stabilität und IT-Sicherheit sowie der Missbrauchs- und Störungsprävention und beruht auf Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden in der Regel innerhalb von sieben bis vierzehn Tagen gelöscht oder anonymisiert, sofern keine sicherheitsrelevante Auswertung erforderlich ist. Unser Hosting-Anbieter handelt dabei als Auftragsverarbeiter nach Art. 28 DSGVO.

Kontaktaufnahme per Formular oder E‑Mail

Wenn Sie uns über ein Formular oder per E‑Mail kontaktieren, verarbeiten wir Ihre Angaben (etwa Name, Kontaktdaten, Inhalte der Nachricht, Zeitstempel und technische Metadaten), um Ihre Anfrage zu bearbeiten und die Kommunikation zu dokumentieren. Je nach Kontext stützen wir dies auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche oder vertragliche Kommunikation) oder auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation). Wir löschen die Daten, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Endgerätezugriffe (Cookies, Local Storage und ähnliche Technologien)

Soweit für Funktionen unserer Website Informationen auf Ihrer Endeinrichtung gespeichert oder ausgelesen werden, ist hierfür grundsätzlich eine Einwilligung nach § 25 Abs. 1 TDDDG erforderlich. Davon gibt es enge Ausnahmen: Der Zugriff ist ohne Einwilligung zulässig, wenn er ausschließlich der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dient oder unbedingt erforderlich ist, um einen von Ihnen ausdrücklich gewünschten Telemediendienst bereitzustellen (§ 25 Abs. 2 TDDDG). Ihre Einwilligungen verwalten Sie über unsere Consent-Management-Plattform (CMP); dort können Sie erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Den Link zu den Cookie-Einstellungen finden Sie im Seitenfuß.

Reichweitenmessung und Analyse mit Google Analytics (GA4)

Wir setzen Google Analytics (GA4) der Google Ireland Limited, Dublin, ein; die Muttergesellschaft ist Google LLC, USA. Google Analytics hilft uns zu verstehen, wie unsere Website genutzt wird, damit wir Inhalte, Usability und Stabilität verbessern können. Hierzu werden Ereignisse und Interaktionen (zum Beispiel Seitenaufrufe, Scrolls, Klicks), Sitzungsdauer, ungefähre Geolokation, technische Merkmale von Gerät und Browser sowie Referrer‑ und Kampagnendaten verarbeitet; es kommen pseudonyme Kennungen wie die Client‑ID zum Einsatz. GA4 speichert nach aktuellem Stand keine vollständigen IP‑Adressen; die IP‑Anonymisierung ist aktiviert. Da Google Analytics für den Betrieb der Website nicht unbedingt erforderlich ist, wird es nur nach Ihrer Einwilligung geladen; der Zugriff auf die Endeinrichtung erfolgt daher auf Grundlage des § 25 Abs. 1 TDDDG, die anschließende Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit in den Cookie‑Einstellungen widerrufen. Die Aufbewahrung von Ereignisdaten innerhalb der GA4‑Property beträgt, je nach Konfiguration, zwei oder vierzehn Monate; Cookie‑Laufzeiten im Browser (zum Beispiel _ga) können bis zu zwei Jahre betragen. Datenübermittlungen an Google LLC in die USA erfolgen, soweit einschlägig, auf Grundlage eines Angemessenheitsbeschlusses (EU‑U.S. Data Privacy Framework) und ergänzend auf Basis der Standardvertragsklauseln sowie zusätzlicher Schutzmaßnahmen. Mit Google bestehen Datenverarbeitungsvereinbarungen nach Art. 28 DSGVO. Alternativ zum Widerruf über die unsere Consentverwaltung können Sie ein Browser‑Add‑on zur Deaktivierung verwenden; dessen Wirkung ist auf das jeweilige Gerät und Profil beschränkt.

Tag‑Management mit Google Tag Manager

Zur Verwaltung von Skripten und Mess‑Tags nutzen wir den Google Tag Manager der Google Ireland Limited; die Muttergesellschaft ist Google LLC, USA. Der Tag Manager selbst setzt nach aktuellem Stand keine eigenen Cookies und erstellt keine Nutzerprofile, ermöglicht aber das Nachladen weiterer Tags. Nicht zwingend erforderliche Tags werden von uns erst nach Ihrer Einwilligung ausgelöst. Der Betrieb des Containers beruht auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Tag‑Management). Das Laden nicht notwendiger Tags erfolgt ausschließlich auf Grundlage des § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Soweit Daten in Drittländer übermittelt werden, gelten die zu Google Analytics dargestellten Garantien.

Schutz vor Missbrauch und Spam mit Google reCAPTCHA

Um unsere Formulare vor automatisierten und missbräuchlichen Eingaben zu schützen, verwenden wir Google reCAPTCHA der Google Ireland Limited; die Muttergesellschaft ist Google LLC, USA. reCAPTCHA analysiert Interaktionen (zum Beispiel Maus‑ und Tastaturbewegungen), Geräte‑ und Browserinformationen, Referrer und ggf. vorhandene Google‑Cookies, um festzustellen, ob eine Eingabe von einem Menschen stammt. Da reCAPTCHA regelmäßig nicht zwingend erforderliche Cookies oder Fingerprinting‑Techniken nutzt, laden wir es nur nach Ihrer Einwilligung. Der Endgerätezugriff erfolgt dann auf Grundlage des § 25 Abs. 1 TDDDG; die nachgelagerte Verarbeitung personenbezogener Daten stützt sich auf Art. 6 Abs. 1 lit. a DSGVO. Ohne Einwilligung stellen wir, soweit technisch möglich, alternative, weniger eingriffsintensive Schutzmechanismen bereit. Soweit Daten in die USA übertragen werden, gelten die oben genannten Garantien.

Schriftarten über Bunny Fonts (CDN)

Für eine schnelle und einheitliche Darstellung unserer Website laden wir Webfonts über Bunny Fonts des EU‑Anbieters BunnyWay d.o.o. aus Slowenien. Beim Abruf der Schriftdateien übermittelt Ihr Browser die IP‑Adresse, den Zeitpunkt, die angeforderte Ressource sowie den User‑Agent an das CDN. Nach derzeitigem Stand setzt Bunny Fonts keine eigenen Cookies. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an einer performanten und stabilen Schriftbereitstellung haben und zugleich unsere Serverlast reduzieren. Wir bevorzugen eine Auslieferung über europäische Knotenpunkte; alternativ können Schriften lokal gehostet werden.

US Privacy User Signal Mechanism (USP API)

Zur korrekten Umsetzung von Datenschutzpräferenzen für Besucher aus US‑Jurisdiktionen verwenden wir die USP API, mit der ein standardisiertes Privacy‑ bzw. Opt‑out‑Signal an eingebundene Dienste übermittelt wird. Dabei werden in erster Linie ein Privacy‑String und technische Metadaten verarbeitet. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO, da sie dem rechtskonformen Betrieb unseres Consent‑ und Präferenz‑Managements dient. Die USP API selbst greift nicht auf Informationen in Ihrer Endeinrichtung zu; für nachgeladene Tools gelten die in dieser Erklärung beschriebenen Einwilligungserfordernisse.

Empfänger der Daten

Je nach Einsatzszenario erhalten IT‑ und Hosting‑Dienstleister, Anbieter von Consent‑Management, Analyse‑ und Sicherheitsdienste sowie CDN‑Anbieter Zugriff auf Daten, soweit dies zur Erbringung ihrer Leistungen erforderlich ist. Hierzu gehören insbesondere Google (Analytics, Tag Manager, reCAPTCHA) und Bunny (Fonts/CDN). Soweit Daten in Drittländer übermittelt werden, stellen wir die Voraussetzungen der Art. 44 ff. DSGVO sicher, etwa durch einen Angemessenheitsbeschluss, Standardvertragsklauseln und zusätzliche technische und organisatorische Maßnahmen.

Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur solange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Pflichten bestehen. Die konkrete Aufbewahrung von Cookies und Local‑Storage‑Einträgen richtet sich nach Ihrer Auswahl in unserer Consent-Management-Lösung sowie nach den in unseren Tools konfigurierten Zeiträumen. In Google Analytics werden Ereignisdaten – je nach Einstellung – zwei oder vierzehn Monate aufbewahrt. Logfiles beim Hosting werden üblicherweise nach sieben bis vierzehn Tagen gelöscht oder anonymisiert.

Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen. Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Darüber hinaus haben Sie das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen, insbesondere am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes.

Sicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Dazu zählen eine durchgängige TLS‑Verschlüsselung, Härtungs‑ und Update‑Prozesse, Zugriffsbeschränkungen nach dem Need‑to‑know‑Prinzip, Rollen‑ und Berechtigungskonzepte sowie die Protokollierung und regelmäßige Überprüfung sicherheitsrelevanter Ereignisse.

Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Technik oder unsere Verarbeitungen ändern. Die jeweils aktuelle Fassung ist auf dieser Website abrufbar.

Produktspezifische Datenschutzhinweise (Service Privacy Notice) – Hosted SIM / SMS‑Weiterleitung

Stand: 05.09.2025

Diese Hinweise ergänzen die Website‑Datenschutzerklärung um die Verarbeitung personenbezogener Daten im Zusammenhang mit unserem Dienst „Hosted SIM / SMS‑Weiterleitung" einschließlich des Admin‑Dashboards. Für Kommunikationsinhalte, also den eigentlichen SMS‑Text, und für Verkehrsdaten wie Absender‑ und Empfängernummern, Zeitpunkte, Routing‑ und Zustellinformationen gilt das Fernmeldegeheimnis nach dem Telekommunikation‑Digitale‑Dienste‑Datenschutz‑Gesetz (TDDDG). Dieses Spezialgesetz geht insoweit den allgemeinen Regelungen der DSGVO vor; die DSGVO gilt ergänzend für sonstige Verarbeitungen wie Kundenkonto, Support und Abrechnung.

Verantwortlicher und Aufsichten

Verantwortlicher ist das im Impressum genannte Unternehmen. Für TK‑spezifische Fragen – insbesondere Fernmeldegeheimnis, Verkehrsdaten und Endgerätezugriffe durch TK‑Anbieter – ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Für übrige datenschutzrechtliche Fragen sind die nach Landesrecht zuständigen Aufsichtsbehörden zuständig.

Verarbeitete Daten im Dienst

Zur Erbringung des Dienstes verarbeiten wir Kommunikationsinhalte (den SMS‑Text), die ausschließlich kurzfristig zwischengespeichert werden, um die Weiterleitung technisch zu ermöglichen. Darüber hinaus fallen Verkehrsdaten wie Absender‑ und Empfängernummern, Zeitpunkte des Eingangs und der Weiterleitung, Routing‑ und Zustellinformationen sowie gegebenenfalls IP‑Adressen bei API‑Zugriffen an. Für die Vertragsdurchführung und Abrechnung verarbeiten wir Kundenstammdaten, Vertrags‑ und Tarifinformationen, Nutzungsnachweise in aggregierter Form sowie Rechnungs‑ und Zahlungsdaten. Für den sicheren Betrieb und die Administration speichern wir außerdem Konfigurationen (zum Beispiel Weiterleitungsregeln, Empfängereinstellungen), API‑Schlüssel, Nutzerkonten und Rollen sowie Audit‑Logs administrativer Vorgänge. Sicherheits‑ und Missbrauchserkennungen (etwa Anomalien, Rate‑Limits, Sperrlisten) werden rein zweckgebunden verwendet.

Zwecke und Rechtsgrundlagen

Telekommunikationsbezogene Verarbeitungen unterliegen dem TDDDG. Das Fernmeldegeheimnis verpflichtet uns, Inhalte und nähere Umstände der Telekommunikation strikt vertraulich zu behandeln; Kenntnisnahmen sind nur zulässig, soweit sie für die Diensterbringung erforderlich oder rechtlich angeordnet sind. Verkehrsdaten werden nur verarbeitet, soweit dies für Verbindungsaufbau, Aufrechterhaltung, Entgeltabrechnung oder für Fehler‑ und Missbrauchsbearbeitung erforderlich ist; im Übrigen müssen sie unverzüglich gelöscht oder anonymisiert werden. Ergänzend gilt die DSGVO: Die Anlage und Verwaltung Ihres Kundenkontos, die Bereitstellung des Dienstes und der Support stützen sich auf Art. 6 Abs. 1 lit. b DSGVO. Rechtliche Verpflichtungen – etwa handels‑ und steuerrechtliche Aufbewahrungen – beruhen auf Art. 6 Abs. 1 lit. c DSGVO. Maßnahmen zur IT‑ und Netzsicherheit, zur Abwehr und Durchsetzung von Ansprüchen sowie zur Missbrauchsprävention erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Optionale Funktionen (beispielsweise eine über die technische Erforderlichkeit hinausgehende Aufbewahrung von Inhalten, sofern angeboten) setzen Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO voraus.

Empfänger der Daten

Zur Erbringung des Dienstes arbeiten wir mit Telekommunikations‑Carriern und SMS‑Gateways zusammen. Außerdem setzen wir Hosting‑ und Infrastrukturprovider, Monitoring‑ und Supportdienstleister sowie Zahlungs‑ und Abrechnungsdienstleister ein. Innerhalb unseres Unternehmens erhalten nur Personen Zugriff, die diesen für ihre Aufgaben benötigen (Need‑to‑know). Behördenzugriffe erfolgen ausschließlich auf gesetzlicher Grundlage; wir dokumentieren solche Offenlegungen und informieren unsere Kunden, soweit dies rechtlich zulässig ist.

Speicher‑ und Löschfristen

SMS‑Inhalte werden grundsätzlich lediglich kurzfristig zwischengespeichert und in der Regel innerhalb von 24 Stunden automatisiert gelöscht, sofern keine technische Erforderlichkeit oder gesetzliche Pflicht entgegensteht. Verkehrsdaten werden unverzüglich gelöscht, sobald sie für die Erbringung des Dienstes, die Abrechnung oder die Fehler‑ bzw. Missbrauchsbearbeitung nicht mehr erforderlich sind. Soweit Verkehrsdaten für Abrechnungszwecke nötig sind, können sie bis zu sechs Monate nach Rechnungsversand gespeichert werden; bei Einwendungen bis zur abschließenden Klärung. Vertrags‑ und Abrechnungsunterlagen bewahren wir entsprechend der handels‑ und steuerrechtlichen Vorgaben in der Regel sechs bzw. zehn Jahre auf. Protokoll‑ und Sicherheitsdaten löschen wir nach risikobasierten Fristen; wenn sie Sicherheitsvorfälle dokumentieren, bewahren wir sie bis zur Klärung bzw. im Rahmen der gesetzlichen Verjährungsfristen auf.

Endgerätezugriffe im Produktkontext (Dashboard/Portal)

Für den Login, die sichere Sitzungsverwaltung und den CSRF‑Schutz verwenden wir technisch notwendige Cookies, die für die Bereitstellung des ausdrücklich gewünschten Dienstes erforderlich sind; hierfür ist keine Einwilligung nach § 25 Abs. 2 TDDDG notwendig. Nicht notwendige Komponenten – etwa Analyse im Dashboard oder reCAPTCHA am Login‑ oder Support‑Formular – laden wir erst nach Ihrer Einwilligung. Zur Steuerung der Skripte nutzen wir den Google Tag Manager; dieser setzt selbst keine eigenen Cookies, kann aber – abhängig von Ihrer Entscheidung in der CMP – weitere Tags laden. Für Formularschutz setzen wir reCAPTCHA ein, das erst nach Einwilligung geladen wird oder, falls Sie nicht einwilligen, durch weniger eingriffsintensive Schutzmechanismen ersetzt werden kann. Soweit wir für das Dashboard Analysefunktionen vorsehen, erfolgt deren Einsatz ausschließlich einwilligungsbasiert. Webfonts stellen wir über Bunny Fonts bereit oder alternativ lokal, um Drittzugriffe zu vermeiden.

Internationale Datenübermittlungen

Wenn wir Dienste von Google einsetzen, kann eine Übermittlung an Google LLC in den USA erfolgen. Solche Übermittlungen stützen wir – soweit verfügbar – auf den Angemessenheitsbeschluss (EU‑U.S. Data Privacy Framework) und ergänzend auf die Standardvertragsklauseln sowie zusätzliche technische und organisatorische Schutzmaßnahmen. Bunny Fonts wird von einem EU‑Anbieter bereitgestellt; wir bevorzugen die Auslieferung über europäische Knotenpunkte oder hosten Schriften alternativ lokal.

Sicherheit, TOMs und Vertraulichkeit

Wir sichern Kommunikationsinhalte und Verkehrsdaten durch ein Bündel technischer und organisatorischer Maßnahmen ab. Dazu gehören Verschlüsselung in Transit und – wo möglich – in Ruhe, strenge Zugriffskontrollen mit Rollen‑ und Berechtigungskonzept, detaillierte Protokollierung und regelmäßige Überprüfung von Zugriffsereignissen, Härtung und Updates der Systeme, Netzwerksegmentierung, Notfall‑ und Wiederherstellungsprozesse sowie verpflichtende Vertraulichkeit und Schulungen für Mitarbeitende. Interne Zugriffe auf Kommunikationsinhalte sind strikt reglementiert, werden protokolliert und regelmäßig kontrolliert; eine Nutzung über die Diensterbringung hinaus ist unzulässig.

Rechte betroffener Personen

Sie können Ihre Rechte nach Art. 12 bis 22 DSGVO geltend machen, insbesondere auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft. Bei TK‑spezifischen Daten sind die Vorgaben des Fernmeldegeheimnisses zu beachten; wir erfüllen Betroffenenrechte im gesetzlich zulässigen Rahmen. Beschwerden können Sie – je nach Gegenstand – beim BfDI oder der für den Sitz des Verantwortlichen zuständigen Landesdatenschutzaufsicht einreichen.

Pflicht zur Bereitstellung und automatisierte Entscheidungen

Eine gesetzliche Pflicht zur Bereitstellung personenbezogener Daten besteht nicht. Für den Vertragsabschluss und die Nutzung des Dienstes sind jedoch bestimmte Angaben erforderlich, beispielsweise Vertrags‑ und Abrechnungsdaten oder Authentifizierungsdaten. Eine ausschließlich automatisierte Entscheidungsfindung findet nicht statt. Sollten wir künftig automatisierte Entscheidungen einsetzen, informieren wir hierüber vorab transparent, einschließlich Angaben zur Logik und den absehbaren Auswirkungen.

Änderungen dieser Service Privacy Notice

Wir aktualisieren diese Hinweise, wenn sich Technik, Verarbeitungszwecke oder Rechtslage ändern. Die aktuelle Fassung ist im Kundenbereich und auf unserer Website abrufbar.