Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 12. November 2024

Verantwortlicher

SPANNRIT GmbH
Industriestraße 3
63801 Kleinostheim

Vertretungsberechtigte Personen: Geschäftsführer: Roland Katzer
E-Mail-Adresse: info@spannrit.de
Telefon: 06027 40640
Impressum: Impressum

Kontakt Datenschutzbeauftragter

Unseren betrieblichen Datenschutzbeauftragten Herrn Dr. Marschall (GDPC GbR) erreichen Sie telefonisch unter der Rufnummer +49 (0) 561 830 99 165, per Post unter der o.g. Adresse mit dem Zusatz – Datenschutzbeauftragter – sowie per E-Mail unter datenschutz@spannrit.de.

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie. Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die Eckpfeiler der sicheren Datenübertragung im Internet. Diese Technologien verschlüsseln die Informationen, die zwischen der Website oder App und dem Browser des Nutzers (oder zwischen zwei Servern) übertragen werden, wodurch die Daten vor unbefugtem Zugriff geschützt sind. TLS, als die weiterentwickelte und sicherere Version von SSL, gewährleistet, dass alle Datenübertragungen den höchsten Sicherheitsstandards entsprechen. Wenn eine Website durch ein SSL-/TLS-Zertifikat gesichert ist, wird dies durch die Anzeige von HTTPS in der URL signalisiert. Dies dient als ein Indikator für die Nutzer, dass ihre Daten sicher und verschlüsselt übertragen werden.

Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass diese an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt beziehungsweise ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z. B. mit IT-Aufgaben beauftragte Dienstleister gehören oder Anbieter von Diensten und Inhalten, die in eine Website eingebunden sind. In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab.

Datenübermittlung innerhalb der Organisation: Wir können personenbezogene Daten an andere Abteilungen oder Einheiten innerhalb unserer Organisation übermitteln oder ihnen den Zugriff darauf gewähren. Sofern die Datenweitergabe zu administrativen Zwecken erfolgt, beruht sie auf unseren berechtigten unternehmerischen und betriebswirtschaftlichen Interessen oder erfolgt, sofern sie zur Erfüllung unserer vertragsbezogenen Verpflichtungen erforderlich ist beziehungsweise wenn eine Einwilligung der Betroffenen oder eine gesetzliche Erlaubnis vorliegt.

Internationale Datentransfers

Datenverarbeitung in Drittländern: Sofern wir Daten in einem Drittland (d. h., außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben. Sofern das Datenschutzniveau in dem Drittland mittels eines Angemessenheitsbeschlusses anerkannt wurde (Art. 45 DSGVO), dient dieser als Grundlage des Datentransfers. Im Übrigen erfolgen Datentransfers nur dann, wenn das Datenschutzniveau anderweitig gesichert ist, insbesondere durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO), ausdrückliche Einwilligung oder im Fall vertraglicher oder gesetzlich erforderlicher Übermittlung (Art. 49 Abs. 1 DSGVO). Im Rahmen des sogenannten „Data Privacy Framework" (DPF) hat die EU-Kommission das Datenschutzniveau ebenfalls für bestimmte Unternehmen aus den USA im Rahmen des Angemessenheitsbeschlusses vom 10.07.2023 als sicher anerkannt. Die Liste der zertifizierten Unternehmen als auch weitere Informationen zu dem DPF können Sie der Website des Handelsministeriums der USA unter www.dataprivacyframework.gov (in Englisch) entnehmen.

Bekanntgabe von Personendaten ins Ausland: Gemäß dem Schweizer DSG geben wir personenbezogene Daten nur dann ins Ausland bekannt, wenn ein angemessener Schutz der betroffenen Personen gewährleistet ist (Art. 16 Schweizer DSG). Im Rahmen des sogenannten „Data Privacy Framework" (DPF) hat die Schweiz das Datenschutzniveau für bestimmte Unternehmen aus den USA im Rahmen des Angemessenheitsbeschlusses vom 07.06.2024 als sicher anerkannt.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Dies betrifft Fälle, in denen der ursprüngliche Verarbeitungszweck entfällt oder die Daten nicht mehr benötigt werden. Ausnahmen von dieser Regelung bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erfordern.

Insbesondere müssen Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung notwendig ist zur Rechtsverfolgung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen, entsprechend archiviert werden.

Bei mehreren Angaben zur Aufbewahrungsdauer oder Löschungsfristen eines Datums, ist stets die längste Frist maßgeblich.

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Aufbewahrung und Löschung von Daten: Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:
- 10 Jahre – Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Buchungsbelege und Rechnungen (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 u. 4, Abs. 4 HGB).
- 6 Jahre – Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 2, 3, 5 AO, § 257 Abs. 1 Nr. 2 u. 3, Abs. 4 HGB).
- 3 Jahre – Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche zu berücksichtigen, werden für die Dauer der regulären gesetzlichen Verjährungsfrist von drei Jahren gespeichert (§§ 195, 199 BGB).

Rechte der betroffenen Personen

Rechte der betroffenen Personen aus der DSGVO: Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen.
Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
Beschwerde bei Aufsichtsbehörde: Entsprechend den gesetzlichen Vorgaben und unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs, haben Sie ferner das Recht, bei einer Datenschutzaufsichtsbehörde, insbesondere einer Aufsichtsbehörde im Mitgliedstaat, in dem Sie sich gewöhnlich aufhalten, der Aufsichtsbehörde Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, eine Beschwerde einzulegen, wenn Sie der Ansicht sein sollten, dass die Verarbeitung der Ihre Person betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Rechte der betroffenen Personen nach dem Schweizer DSG: Ihnen stehen als betroffene Person nach Maßgabe der Vorgaben des Schweizer DSG die folgenden Rechte zu:

Recht auf Auskunft: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Personendaten verarbeitet werden, und auf Erhalt derjenigen Informationen, die erforderlich sind, damit Sie Ihre Rechte nach diesem Gesetz geltend machen können und eine transparente Datenbearbeitung gewährleistet ist.
Recht auf Datenherausgabe oder -übertragung: Sie haben das Recht, die Herausgabe Ihrer Personendaten, die Sie uns bekanntgegeben haben, in einem gängigen elektronischen Format zu verlangen.
Recht auf Berichtigung: Sie haben das Recht, die Berichtigung der Sie betreffenden unrichtigen Personendaten zu verlangen.
Recht auf Widerspruch, Löschung und Vernichtung: Sie haben das Recht, der Verarbeitung Ihrer Daten zu widersprechen, sowie zu verlangen, dass die Sie betreffenden Personendaten gelöscht oder vernichtet werden.

Geschäftliche Leistungen

Wir verarbeiten Daten unserer Vertrags- und Geschäftspartner, z. B. Kunden und Interessenten (zusammenfassend als „Vertragspartner" bezeichnet), im Rahmen von vertraglichen und vergleichbaren Rechtsverhältnissen sowie damit verbundenen Maßnahmen und im Hinblick auf die Kommunikation mit den Vertragspartnern (oder vorvertraglich), etwa zur Beantwortung von Anfragen.

Wir verwenden diese Daten, um unsere vertraglichen Verpflichtungen zu erfüllen. Dazu gehören insbesondere die Pflichten zur Erbringung der vereinbarten Leistungen, etwaige Aktualisierungspflichten und Abhilfe bei Gewährleistungs- und sonstigen Leistungsstörungen. Zudem verarbeiten wir die Daten auf Grundlage unserer berechtigten Interessen an einer ordnungsgemäßen und betriebswirtschaftlichen Geschäftsführung.

Wir löschen die Daten nach Ablauf gesetzlicher Gewährleistungs- und vergleichbarer Pflichten, d. h. grundsätzlich nach vier Jahren, es sei denn, dass die Daten in einem Kundenkonto gespeichert werden, z. B., solange sie aus gesetzlichen Gründen der Archivierung aufbewahrt werden müssen (etwa für Steuerzwecke im Regelfall zehn Jahre).

Verarbeitete Datenarten: Bestandsdaten; Zahlungsdaten; Kontaktdaten; Vertragsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Leistungsempfänger und Auftraggeber; Interessenten; Geschäfts- und Vertragspartner.
Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen; Kommunikation; Büro- und Organisationsverfahren.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Bestellformulare, E-Commerce und Auslieferung: Wir verarbeiten die Daten unserer Kunden, um ihnen die Auswahl, den Erwerb, bzw. die Bestellung der gewählten Produkte, Waren sowie verbundener Leistungen, als auch deren Bezahlung und Zustellung zu ermöglichen; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).
Technische Dienstleistungen: Wir verarbeiten die Daten unserer Kunden sowie Auftraggeber, um ihnen die Auswahl, den Erwerb bzw. die Beauftragung der gewählten Leistungen oder Werke sowie verbundener Tätigkeiten als auch deren Bezahlung und Zurverfügungstellung zu ermöglichen; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Geschäftsprozesse und -verfahren

Personenbezogene Daten von Auftraggebern – darunter Kunden oder Geschäftspartner sowie weitere Dritte – werden im Rahmen vertraglicher sowie vergleichbarer Rechtsverhältnisse und vorvertraglicher Maßnahmen verarbeitet. Diese Datenverarbeitung unterstützt und erleichtert betriebswirtschaftliche Abläufe in Bereichen wie Kundenmanagement, Vertrieb, Zahlungsverkehr, Buchhaltung und Projektmanagement.

Verarbeitete Datenarten: Bestandsdaten; Zahlungsdaten; Kontaktdaten; Inhaltsdaten; Vertragsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten; Protokolldaten; Bonitätsdaten.
Betroffene Personen: Leistungsempfänger und Auftraggeber; Interessenten; Kommunikationspartner; Geschäfts- und Vertragspartner; Kunden; Nutzer; Beschäftigte.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Kundenmanagement und CRM: Verfahren, die im Rahmen des Kundenmanagements und Customer-Relationship-Managements erforderlich sind; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Allgemeiner Zahlungsverkehr: Verfahren, die bei der Durchführung von Zahlungsvorgängen, der Überwachung von Bankkonten und der Kontrolle von Zahlungsströmen erforderlich sind; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Buchhaltung, Kreditorenbuchhaltung, Debitorenbuchhaltung: Verfahren, die bei der Erfassung, Bearbeitung und Kontrolle von Geschäftsvorgängen im Bereich der Kreditoren- und Debitorenbuchhaltung erforderlich sind; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Marketing, Werbung und Absatzförderung: Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Öffentlichkeitsarbeit: Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Im Rahmen der Geschäftstätigkeit eingesetzte Anbieter und Services

Im Rahmen unserer Geschäftstätigkeit nutzen wir unter Beachtung der gesetzlichen Vorgaben zusätzliche Dienste, Plattformen, Schnittstellen oder Plug-ins von Drittanbietern (kurz „Dienste").

DATEV: Software für Buchhaltung, Kommunikation mit Steuerberatern sowie Behörden und mit Belegspeicherung; Dienstanbieter: DATEV eG, Paumgartnerstr. 6–14, 90429 Nürnberg, Deutschland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: www.datev.de; Datenschutzerklärung: Datenschutz DATEV; Grundlage Drittlandtransfers: Schweiz – Angemessenheitsbeschluss (Deutschland).

Zahlungsverfahren

Im Rahmen von Vertrags- und sonstigen Rechtsbeziehungen bieten wir den betroffenen Personen effiziente und sichere Zahlungsmöglichkeiten an und setzen hierzu neben Banken und Kreditinstituten weitere Dienstleister ein (zusammenfassend „Zahlungsdienstleister").

Zu den durch die Zahlungsdienstleister verarbeiteten Daten gehören Bestandsdaten, wie z. B. der Name und die Adresse, Bankdaten, wie z. B. Kontonummern oder Kreditkartennummern, Passwörter, TANs und Prüfsummen sowie die Vertrags-, Summen- und empfängerbezogenen Angaben. Die eingegebenen Daten werden jedoch nur durch die Zahlungsdienstleister verarbeitet und bei diesen gespeichert. D. h., wir erhalten keine konto- oder kreditkartenbezogenen Informationen, sondern lediglich Informationen mit Bestätigung oder Negativbeauskunftung der Zahlung.

Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Bereitstellung Onlineangebot auf gemietetem Speicherplatz: Für die Bereitstellung unseres Onlineangebotes nutzen wir Speicherplatz, Rechenkapazität und Software, die wir von einem entsprechenden Serveranbieter (auch „Webhoster" genannt) mieten oder anderweitig beziehen; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Erhebung von Zugriffsdaten und Logfiles: Der Zugriff auf unser Onlineangebot wird in Form von sogenannten „Server-Logfiles" protokolliert. Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL und im Regelfall IP-Adressen und der anfragende Provider gehören. Logfile-Informationen werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder anonymisiert; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
1&1 IONOS: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z. B. Speicherplatz und/oder Rechenkapazitäten); Dienstanbieter: 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: www.ionos.de; Datenschutzerklärung: Datenschutz IONOS; Grundlage Drittlandtransfers: Schweiz – Angemessenheitsbeschluss (Deutschland).

Einsatz von Cookies

Unter dem Begriff „Cookies" werden Funktionen, die Informationen auf Endgeräten der Nutzer speichern und aus ihnen auslesen, verstanden. Wir verwenden Cookies gemäß den gesetzlichen Vorschriften. Dazu holen wir, wenn erforderlich, vorab die Zustimmung der Nutzer ein. Ist eine Zustimmung nicht notwendig, setzen wir auf unsere berechtigten Interessen. Die Einwilligung kann jederzeit widerrufen werden.

Speicherdauer: Im Hinblick auf die Speicherdauer werden die folgenden Arten von Cookies unterschieden:

Temporäre Cookies (auch: Session- oder Sitzungscookies): Temporäre Cookies werden spätestens gelöscht, nachdem ein Nutzer ein Onlineangebot verlassen und sein Endgerät (z. B. Browser oder mobile Applikation) geschlossen hat.
Permanente Cookies: Permanente Cookies bleiben auch nach dem Schließen des Endgeräts gespeichert. So können beispielsweise der Log-in-Status gespeichert und bevorzugte Inhalte direkt angezeigt werden, wenn der Nutzer eine Website erneut besucht. Sofern wir Nutzern keine expliziten Angaben zur Art und Speicherdauer von Cookies mitteilen, sollten sie davon ausgehen, dass diese permanent sind und die Speicherdauer bis zu zwei Jahre betragen kann.

Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-out): Nutzer können die von ihnen abgegebenen Einwilligungen jederzeit widerrufen und zudem einen Widerspruch gegen die Verarbeitung entsprechend den gesetzlichen Vorgaben, auch mittels der Privatsphäre-Einstellungen ihres Browsers, erklären.

Verarbeitete Datenarten: Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten).
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung: Wir setzen eine Einwilligungs-Management-Lösung ein, bei der die Einwilligung der Nutzer zur Verwendung von Cookies oder zu den im Rahmen der Einwilligungs-Management-Lösung genannten Verfahren und Anbietern eingeholt wird. Die Dauer der Speicherung der Einwilligung beträgt bis zu zwei Jahre; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).
BorlabsCookie: Einwilligungsmanagement: Verfahren zur Einholung, Protokollierung, Verwaltung und des Widerrufs von Einwilligungen, insbesondere für den Einsatz von Cookies und ähnlichen Technologien; Dienstanbieter: Ausführung auf Servern und/oder Computern unter eigener datenschutzrechtlichen Verantwortlichkeit; Website: borlabs.io/borlabs-cookie. Weitere Informationen: Es werden eine individuelle Nutzer-ID, Sprache sowie Arten der Einwilligungen und der Zeitpunkt ihrer Abgabe serverseitig und im Cookie auf dem Gerät der Nutzer gespeichert.

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen (bestellsystem.spannrit.net). Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Nutzername, Passwort sowie eine E-Mail-Adresse).

Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung.

Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten; Protokolldaten.
Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Kontakt- und Anfrageverwaltung

Bei der Kontaktaufnahme mit uns (z. B. per Post, Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Kommunikationspartner.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Kontaktformular: Bei Kontaktaufnahme über unser Kontaktformular, per E-Mail oder anderen Kommunikationswegen, verarbeiten wir die uns übermittelten personenbezogenen Daten zur Beantwortung und Bearbeitung des jeweiligen Anliegens. Wir nutzen diese Daten ausschließlich für den angegebenen Zweck der Kontaktaufnahme und Kommunikation; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Videokonferenzen, Onlinemeetings, Webinare und Bildschirm-Sharing

Wir setzen Plattformen und Anwendungen anderer Anbieter (nachfolgend bezeichnet als „Konferenzplattformen") zu Zwecken der Durchführung von Video- und Audio-Konferenzen, Webinaren und sonstigen Arten von Video und Audio-Meetings ein.

Durch Konferenzplattformen verarbeitete Daten: Im Rahmen der Teilnahme an einer Konferenz verarbeiten die Konferenzplattformen personenbezogene Daten der Teilnehmer. Zu den verarbeiteten Daten gehören Daten zur Person (Vorname, Nachname), Kontaktinformationen (E-Mail-Adresse, Telefonnummer), Zugangsdaten, Profilbilder, Angaben zur beruflichen Stellung/Funktion, die IP-Adresse des Internetzugangs, Angaben zu den Endgeräten der Teilnehmer, deren Betriebssystem, dem Browser sowie Informationen zu den inhaltlichen Kommunikationsvorgängen, d. h. Eingaben in Chats sowie Audio- und Videodaten.

Protokollierung und Aufnahmen: Falls Texteingaben, Teilnahmeergebnisse sowie Video- oder Audioaufnahmen protokolliert werden, wird dies den Teilnehmern im Vorwege transparent mitgeteilt und sie werden – soweit erforderlich – um eine Zustimmung gebeten.

Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Microsoft Teams: Audio- und Videokonferenzen, Chat, Dateifreigabe, Integration mit Office 365-Anwendungen, Echtzeit-Zusammenarbeit an Dokumenten, Kalenderfunktionen, Aufgabenverwaltung, Bildschirmfreigabe, optionale Aufzeichnung; Dienstanbieter: Microsoft Irland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: microsoft.com/de-de/microsoft-teams; Datenschutzerklärung: Datenschutz Microsoft; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).

Cloud-Dienste

Wir nutzen über das Internet zugängliche und auf den Servern ihrer Anbieter ausgeführte Softwaredienste (sogenannte „Cloud-Dienste", auch bezeichnet als „Software as a Service") für die Speicherung und Verwaltung von Inhalten.

Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Microsoft Clouddienste: Cloudspeicher, Cloudinfrastrukturdienste und cloudbasierte Anwendungssoftware; Dienstanbieter: Microsoft Irland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: microsoft.com/de-de; Datenschutzerklärung: Datenschutz Microsoft; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).

Webanalyse, Monitoring und Optimierung

Die Webanalyse (auch als „Reichweitenmessung" bezeichnet) dient der Auswertung der Besucherströme unseres Onlineangebots. Darüber hinaus werden die IP-Adressen der Nutzer gespeichert, jedoch nutzen wir ein IP-Masking-Verfahren (d. h. Pseudonymisierung durch Kürzung der IP-Adresse) zum Schutz der Nutzer.

Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse).
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Google Analytics: Wir verwenden Google Analytics zur Messung und Analyse der Nutzung unseres Onlineangebotes auf der Grundlage einer pseudonymen Nutzeridentifikationsnummer. Google Analytics protokolliert und speichert keine individuellen IP-Adressen für EU-Nutzer. Analytics stellt jedoch grobe geografische Standortdaten bereit. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Sicherheitsmaßnahmen: IP-Masking; Datenschutzerklärung: policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Opt-Out-Plugin; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).
Google Tag Manager: Wir verwenden den Google Tag Manager, eine Software von Google, die es uns ermöglicht, sogenannte Website-Tags zentral über eine Benutzeroberfläche zu verwalten. Der Google Tag Manager selbst erstellt keine Nutzerprofile, speichert keine Cookies mit Nutzerprofilen und führt keine eigenständigen Analysen durch; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Datenschutzerklärung: policies.google.com/privacy; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).

Präsenzen in sozialen Netzwerken (Social Media)

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und verarbeiten in diesem Rahmen Nutzerdaten, um mit den dort aktiven Nutzern zu kommunizieren oder Informationen über uns anzubieten. Wir weisen darauf hin, dass dabei Nutzerdaten außerhalb des Raumes der Europäischen Union verarbeitet werden können.

Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Instagram: Soziales Netzwerk, ermöglicht das Teilen von Fotos und Videos, das Kommentieren und Favorisieren von Beiträgen, Nachrichtenversand, Abonnieren von Profilen und Seiten; Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: www.instagram.com; Datenschutzerklärung: privacycenter.instagram.com/policy; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).
Facebook-Seiten: Profile innerhalb des sozialen Netzwerks Facebook – Wir sind gemeinsam mit Meta Platforms Ireland Limited für die Erhebung (jedoch nicht die weitere Verarbeitung) von Daten der Besucher unserer Facebook-Seite (sog. „Fanpage") verantwortlich; Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: www.facebook.com; Datenschutzerklärung: facebook.com/privacy/policy; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).
LinkedIn: Soziales Netzwerk – Wir sind gemeinsam mit LinkedIn Irland Unlimited Company für die Erhebung (jedoch nicht die weitere Verarbeitung) von Daten der Besucher verantwortlich, die zur Erstellung der „Page-Insights" (Statistiken) unserer LinkedIn-Profile genutzt werden; Dienstanbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: www.linkedin.com; Datenschutzerklärung: linkedin.com/legal/privacy-policy; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland); Widerspruchsmöglichkeit (Opt-Out): linkedin.com/psettings/guest-controls/retargeting-opt-out.

Plug-ins und eingebettete Funktionen sowie Inhalte

Wir binden Funktions- und Inhaltselemente in unser Onlineangebot ein, die von den Servern ihrer jeweiligen Anbieter (nachfolgend als „Drittanbieter" bezeichnet) bezogen werden. Dabei kann es sich zum Beispiel um Grafiken, Videos oder Stadtpläne handeln (nachfolgend einheitlich als „Inhalte" bezeichnet).

Die Einbindung setzt immer voraus, dass die Drittanbieter dieser Inhalte die IP-Adresse der Nutzer verarbeiten, da sie ohne IP-Adresse die Inhalte nicht an deren Browser senden könnten. Drittanbieter können ferner sogenannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons" bezeichnet) für statistische oder Marketingzwecke einsetzen.

Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Google Fonts (Bezug vom Google Server): Bezug von Schriften (und Symbolen) zum Zwecke einer technisch sicheren, wartungsfreien und effizienten Nutzung von Schriften und Symbolen im Hinblick auf Aktualität und Ladezeiten. Dem Anbieter der Schriftarten wird die IP-Adresse des Nutzers mitgeteilt, damit die Schriftarten im Browser des Nutzers zur Verfügung gestellt werden können; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: fonts.google.com; Datenschutzerklärung: policies.google.com/privacy; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).
Google Maps: Wir binden die Landkarten des Dienstes „Google Maps" des Anbieters Google ein. Zu den verarbeiteten Daten können insbesondere IP-Adressen und Standortdaten der Nutzer gehören; Dienstanbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Website: mapsplatform.google.com; Datenschutzerklärung: policies.google.com/privacy; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).
YouTube-Videos: Videoinhalte; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO); Website: www.youtube.com; Datenschutzerklärung: policies.google.com/privacy; Widerspruchsmöglichkeit (Opt-Out): Opt-Out-Plugin; Grundlage Drittlandtransfers: EU/EWR – Data Privacy Framework (DPF), Schweiz – Angemessenheitsbeschluss (Irland).

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.

Stand: 12. November 2024

Preamble

With the following privacy policy, we would like to inform you about the types of your personal data (hereinafter also referred to as "data") we process, for what purposes and to what extent. The privacy policy applies to all personal data processing carried out by us, both in the context of providing our services and in particular on our websites, in mobile applications and within external online presences, such as our social media profiles (hereinafter collectively referred to as "online offering").

The terms used are not gender-specific.

Last updated: 12 November 2024

Controller

SPANNRIT GmbH
Industriestraße 3
63801 Kleinostheim

Authorised representatives: Managing Director: Roland Katzer
E-mail address: info@spannrit.de
Phone: 06027 40640
Legal Notice: Impressum

Data Protection Officer

You can reach our company data protection officer Mr Dr Marschall (GDPC GbR) by phone at +49 (0) 561 830 99 165, by post at the above address with the addition – Data Protection Officer – and by e-mail at datenschutz@spannrit.de.

Relevant Legal Bases

Relevant legal bases under the GDPR: Below you will find an overview of the legal bases of the GDPR on which we process personal data. Please note that in addition to the GDPR, national data protection regulations may apply in your country or our country of residence. Should specific legal bases also be relevant in individual cases, we will inform you of these in the privacy policy.

Consent (Art. 6(1)(a) GDPR) – The data subject has given consent to the processing of personal data relating to them for one or more specific purposes.
Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR) – Processing is necessary for the performance of a contract to which the data subject is party, or to take steps at the request of the data subject prior to entering into a contract.
Legal obligation (Art. 6(1)(c) GDPR) – Processing is necessary for compliance with a legal obligation to which the controller is subject.
Legitimate interests (Art. 6(1)(f) GDPR) – Processing is necessary for the purposes of the legitimate interests pursued by the controller or a third party, unless such interests are overridden by the interests or fundamental rights and freedoms of the data subject.

National data protection regulations in Germany: In addition to the GDPR, national regulations on data protection apply in Germany. These include in particular the Act on Protection against Misuse of Personal Data in Data Processing (Federal Data Protection Act – BDSG). The BDSG contains specific regulations in particular on the right of access, the right to erasure, the right to object, the processing of special categories of personal data, processing for other purposes and transmission as well as automated decision-making in individual cases including profiling. State data protection laws of the individual federal states may also apply.

Security Measures

We take appropriate technical and organisational measures in accordance with the legal requirements, taking into account the state of the art, the implementation costs and the nature, scope, context and purposes of the processing as well as the varying likelihood and severity of the risk to the rights and freedoms of natural persons, in order to ensure a level of protection appropriate to the risk.

The measures include in particular safeguarding the confidentiality, integrity and availability of data by controlling physical and electronic access to the data as well as the access, input, transmission, safeguarding of availability and their separation. Furthermore, we have established procedures that ensure the exercise of data subjects' rights, the deletion of data and responses to data security incidents. We also take the protection of personal data into account when developing or selecting hardware, software and processes in accordance with the principle of data protection, through technology design and privacy-friendly default settings.

TLS/SSL encryption technology (HTTPS): In order to protect the data of users transmitted via our online services from unauthorised access, we use TLS/SSL encryption technology. Secure Sockets Layer (SSL) and Transport Layer Security (TLS) are the cornerstones of secure data transmission on the internet. These technologies encrypt the information transmitted between the website or app and the user's browser (or between two servers), protecting the data from unauthorised access. TLS, as the more advanced and secure version of SSL, ensures that all data transmissions comply with the highest security standards. When a website is secured by an SSL/TLS certificate, this is signalled by the display of HTTPS in the URL, serving as an indicator to users that their data is being transmitted securely and in encrypted form.

Transmission of Personal Data

In the course of our processing of personal data, it may be transmitted to or disclosed to other bodies, companies, legally independent organisational units or persons. Recipients of this data may include, for example, service providers commissioned with IT tasks or providers of services and content integrated into a website. In such cases, we comply with the legal requirements and in particular conclude corresponding contracts or agreements with the recipients of your data that serve to protect your data.

Data transmission within the organisation: We may transmit personal data to other departments or units within our organisation or grant them access to it. Where data transfer is for administrative purposes, it is based on our legitimate business and commercial interests or is carried out where necessary for the fulfilment of our contract-related obligations or where the consent of the data subjects exists or legal permission is given.

International Data Transfers

Data processing in third countries: If we process data in a third country (i.e. outside the European Union (EU) or the European Economic Area (EEA)), or if the processing takes place within the context of using third-party services or disclosing or transmitting data to other persons, bodies or companies, this is done only in accordance with legal requirements. If the level of data protection in the third country has been recognised by means of an adequacy decision (Art. 45 GDPR), this serves as the basis for the data transfer. In all other cases, data transfers take place only if the level of data protection is otherwise guaranteed, in particular through standard contractual clauses (Art. 46(2)(c) GDPR), explicit consent or in the case of contractual or legally required transmission (Art. 49(1) GDPR). Within the framework of the so-called "Data Privacy Framework" (DPF), the EU Commission has also recognised the level of data protection for certain companies from the USA as safe within the scope of the adequacy decision of 10 July 2023. The list of certified companies as well as further information on the DPF can be found on the website of the US Department of Commerce at www.dataprivacyframework.gov.

Disclosure of personal data abroad: In accordance with the Swiss FADP, we only disclose personal data abroad if an adequate level of protection for the data subjects concerned is guaranteed (Art. 16 Swiss FADP). Within the framework of the "Data Privacy Framework" (DPF), Switzerland has recognised the level of data protection for certain companies from the USA as safe within the scope of the adequacy decision of 7 June 2024.

General Information on Data Storage and Deletion

We delete personal data that we process in accordance with legal requirements as soon as the underlying consents are revoked or no further legal bases for processing exist. This applies to cases where the original processing purpose ceases to apply or the data is no longer required. Exceptions to this rule exist where legal obligations or special interests require longer retention or archiving of the data.

In particular, data that must be retained for commercial or tax law reasons, or whose storage is necessary for the pursuit of legal claims or for the protection of the rights of other natural or legal persons, must be archived accordingly.

Where multiple retention periods or deletion deadlines are specified for data, the longest period shall always prevail.

Further notes on processing operations, procedures and services:

Retention and deletion of data: The following general deadlines apply to retention and archiving under German law:
- 10 years – Retention period for books and records, annual financial statements, inventories, accounting vouchers and invoices (§ 147(3) in conjunction with (1) nos. 1, 4 and 4a AO, § 14b(1) UStG, § 257(1) nos. 1 and 4, (4) HGB).
- 6 years – Other business documents: received commercial or business letters, other documents insofar as they are relevant for taxation purposes (§ 147(3) in conjunction with (1) nos. 2, 3, 5 AO, § 257(1) nos. 2 and 3, (4) HGB).
- 3 years – Data required to take account of potential warranty and liability claims is stored for the duration of the regular statutory limitation period of three years (§§ 195, 199 BGB).

Rights of Data Subjects

Rights of data subjects under the GDPR: As a data subject under the GDPR, you have various rights, which arise in particular from Arts. 15 to 21 GDPR:

Right to object: You have the right to object at any time, on grounds relating to your particular situation, to the processing of personal data concerning you which is based on Art. 6(1)(e) or (f) GDPR, including profiling based on those provisions. Where personal data concerning you is processed for direct marketing purposes, you have the right to object at any time to the processing of personal data concerning you for the purposes of such marketing.
Right to withdraw consent: You have the right to withdraw consents granted at any time.
Right of access: You have the right to request confirmation as to whether data concerning you is being processed and to obtain information about that data as well as further information and a copy of the data in accordance with legal requirements.
Right to rectification: In accordance with legal requirements, you have the right to request that data concerning you be completed or that inaccurate data concerning you be rectified.
Right to erasure and restriction of processing: In accordance with legal requirements, you have the right to request that data concerning you be erased immediately, or alternatively, in accordance with legal requirements, to request restriction of the processing of the data.
Right to data portability: You have the right to receive data concerning you that you have provided to us in a structured, commonly used and machine-readable format in accordance with legal requirements, or to demand that it be transmitted to another controller.
Right to lodge a complaint with a supervisory authority: In accordance with legal requirements and without prejudice to any other administrative or judicial remedy, you also have the right to lodge a complaint with a data protection supervisory authority, in particular a supervisory authority in the Member State of your habitual residence, your place of work or the place of the alleged infringement, if you consider that the processing of personal data relating to you infringes the GDPR.

Rights of data subjects under the Swiss FADP: As a data subject under the Swiss Federal Act on Data Protection (FADP), you are entitled to the following rights:

Right of access: You have the right to request confirmation as to whether personal data concerning you is being processed and to receive the information necessary to enable you to assert your rights under this Act and to ensure transparent data processing.
Right to data portability: You have the right to request that personal data concerning you that you have disclosed to us be handed over in a commonly used electronic format.
Right to rectification: You have the right to request rectification of inaccurate personal data concerning you.
Right to object, erasure and destruction: You have the right to object to the processing of your data and to demand that personal data concerning you be erased or destroyed.

Business Services

We process data of our contractual and business partners, e.g. customers and interested parties (collectively referred to as "contractual partners"), within the framework of contractual and comparable legal relationships as well as associated measures and in the context of communication with the contractual partners (or pre-contractually), e.g. to answer enquiries.

We use this data to fulfil our contractual obligations. These include in particular the obligations to provide the agreed services, any update obligations and remedies in the event of warranty and other service disruptions. We also process the data on the basis of our legitimate interests in proper and commercially sound business management.

We delete the data after expiry of statutory warranty periods and comparable obligations, i.e. generally after four years, unless the data is stored in a customer account, e.g. as long as it must be retained for legal archiving reasons (e.g. for tax purposes, generally ten years).

Types of data processed: Inventory data; payment data; contact data; contract data; usage data; meta, communication and procedural data.
Data subjects: Recipients of services and clients; interested parties; business and contractual partners.
Purposes of processing: Provision of contractual services and fulfilment of contractual obligations; security measures; communication; office and organisational procedures.
Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR); Legal obligation (Art. 6(1)(c) GDPR); Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Order forms, e-commerce and delivery: We process our customers' data to enable them to select, purchase or order the chosen products, goods and related services as well as their payment and delivery; Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR).
Technical services: We process the data of our customers and clients to enable them to select, purchase or commission the chosen services or works and related activities as well as their payment and provision; Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR).

Business Processes and Procedures

Personal data of clients – including customers or business partners as well as other third parties – is processed within the framework of contractual and comparable legal relationships and pre-contractual measures. This data processing supports and facilitates business processes in areas such as customer management, sales, payments, accounting and project management.

Types of data processed: Inventory data; payment data; contact data; content data; contract data; usage data; meta, communication and procedural data; log data; creditworthiness data.
Data subjects: Recipients of services and clients; interested parties; communication partners; business and contractual partners; customers; users; employees.
Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR); Legitimate interests (Art. 6(1)(f) GDPR); Legal obligation (Art. 6(1)(c) GDPR).

Further notes on processing operations, procedures and services:

Customer management and CRM: Procedures required within the context of customer management and customer relationship management; Legal bases: Performance of a contract (Art. 6(1)(b) GDPR), Legitimate interests (Art. 6(1)(f) GDPR).
General payment transactions: Procedures required in the performance of payment transactions, monitoring of bank accounts and control of payment flows; Legal bases: Performance of a contract (Art. 6(1)(b) GDPR), Legitimate interests (Art. 6(1)(f) GDPR).
Accounting, accounts payable, accounts receivable: Procedures required for recording, processing and monitoring business transactions in the area of accounts payable and receivable; Legal bases: Performance of a contract (Art. 6(1)(b) GDPR), Legal obligation (Art. 6(1)(c) GDPR), Legitimate interests (Art. 6(1)(f) GDPR).
Marketing, advertising and sales promotion: Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).
Public relations: Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).

Providers and Services Used in the Course of Business

In the course of our business activities, we use additional services, platforms, interfaces or plug-ins from third-party providers (hereinafter referred to as "services") in compliance with legal requirements.

DATEV: Software for accounting, communication with tax consultants and authorities, and document storage; Service provider: DATEV eG, Paumgartnerstr. 6–14, 90429 Nuremberg, Germany; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: www.datev.de; Privacy policy: Privacy DATEV; Basis for third-country transfers: Switzerland – Adequacy decision (Germany).

Payment Procedures

Within the framework of contractual and other legal relationships, we offer data subjects efficient and secure payment options and use banks and credit institutions as well as other service providers (collectively referred to as "payment service providers").

Data processed by payment service providers includes inventory data such as name and address, bank data such as account numbers or credit card numbers, passwords, TANs and checksums as well as contract, sum and recipient-related information. The data entered is, however, only processed by the payment service providers and stored with them. This means we do not receive account or credit card-related information but only information confirming or rejecting payment.

Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR); Legitimate interests (Art. 6(1)(f) GDPR).

Provision of the Online Offering and Web Hosting

We process users' data in order to be able to provide them with our online services. For this purpose, we process the user's IP address, which is necessary to transmit the content and functions of our online services to the user's browser or device.

Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Provision of online offering on rented storage space: For the provision of our online offering, we use storage space, computing capacity and software that we rent or otherwise obtain from a corresponding server provider (also called "web hoster"); Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).
Collection of access data and log files: Access to our online offering is logged in the form of so-called "server log files". Server log files may include the address and name of the web pages and files accessed, date and time of access, data volumes transferred, notification of successful access, browser type and version, the user's operating system, referrer URL, IP addresses and the requesting provider. Log file information is stored for a maximum of 30 days and then deleted or anonymised; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).
1&1 IONOS: Services in the field of provision of information technology infrastructure and related services (e.g. storage space and/or computing capacity); Service provider: 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Germany; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: www.ionos.de; Privacy policy: Privacy IONOS; Basis for third-country transfers: Switzerland – Adequacy decision (Germany).

Use of Cookies

Cookies are understood to mean functions that store and retrieve information on users' devices. We use cookies in accordance with legal requirements. Where necessary, we obtain the prior consent of users. Where consent is not required, we rely on our legitimate interests. Consent can be withdrawn at any time.

Storage duration: With regard to storage duration, the following types of cookies are distinguished:

Temporary cookies (also: session cookies): Temporary cookies are deleted at the latest after a user has left an online offering and closed their device (e.g. browser or mobile application).
Permanent cookies: Permanent cookies remain stored even after the device is closed. For example, login status can be saved and preferred content can be displayed directly when the user revisits a website. Where we do not provide users with explicit information on the type and storage duration of cookies, they should assume that these are permanent and that the storage duration may be up to two years.

General notes on withdrawal and objection (opt-out): Users may withdraw consents they have given at any time and also declare an objection to processing in accordance with legal requirements, including through the privacy settings of their browser.

Types of data processed: Meta, communication and procedural data.
Data subjects: Users (e.g. website visitors, users of online services).
Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Consent (Art. 6(1)(a) GDPR).

Further notes on processing operations, procedures and services:

Processing of cookie data on the basis of consent: We use a consent management solution in which users' consent is obtained for the use of cookies or for the procedures and providers mentioned in the consent management solution. The storage duration of the consent is up to two years; Legal bases: Consent (Art. 6(1)(a) GDPR).
BorlabsCookie: Consent management: procedure for obtaining, recording, managing and withdrawing consent, in particular for the use of cookies and similar technologies; Service provider: Operated on servers and/or computers under own data protection responsibility; Website: borlabs.io/borlabs-cookie. Further information: An individual user ID, language, types of consent and the time of their submission are stored server-side and in the cookie on users' devices.

Registration, Login and User Account

Users can create a user account (bestellsystem.spannrit.net). During registration, users are informed of the required mandatory information, which is processed for the purpose of providing the user account on the basis of contractual obligation. The data processed includes in particular login information (username, password and an e-mail address).

In the context of using our registration and login functions and the use of the user account, we store the IP address and the time of the respective user action.

Types of data processed: Inventory data; contact data; content data; usage data; log data.
Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR); Legitimate interests (Art. 6(1)(f) GDPR).

Contact and Enquiry Management

When contacting us (e.g. by post, contact form, e-mail, telephone or via social media) and within the context of existing user and business relationships, the information provided by the enquiring persons is processed to the extent necessary for answering the contact enquiries and any measures requested.

Types of data processed: Inventory data; contact data; content data; usage data; meta, communication and procedural data.
Data subjects: Communication partners.
Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR).

Further notes on processing operations, procedures and services:

Contact form: When contacting us via our contact form, by e-mail or other communication channels, the personal data transmitted to us is processed to answer and handle the respective matter. We use this data exclusively for the stated purpose of contact and communication; Legal bases: Performance of a contract and pre-contractual enquiries (Art. 6(1)(b) GDPR), Legitimate interests (Art. 6(1)(f) GDPR).

Video Conferences, Online Meetings, Webinars and Screen Sharing

We use platforms and applications from other providers (hereinafter referred to as "conference platforms") for the purpose of conducting video and audio conferences, webinars and other types of video and audio meetings.

Data processed by conference platforms: In the context of participating in a conference, conference platforms process personal data of participants. Data processed includes information about the person (first name, surname), contact information (e-mail address, telephone number), access data, profile pictures, information about professional position/function, the IP address of the internet connection, information about participants' devices, their operating system, the browser and information about the content of communications, i.e. entries in chats and audio and video data.

Logging and recordings: Where text entries, participation results and/or video or audio recordings are logged, this will be communicated transparently to participants in advance and they will be asked for consent where required.

Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Microsoft Teams: Audio and video conferencing, chat, file sharing, integration with Office 365 applications, real-time document collaboration, calendar functions, task management, screen sharing, optional recording; Service provider: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: microsoft.com/de-de/microsoft-teams; Privacy policy: Privacy Microsoft; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).

Cloud Services

We use software services accessible via the internet and running on their providers' servers (so-called "cloud services", also referred to as "Software as a Service") for the storage and management of content.

Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Microsoft Cloud Services: Cloud storage, cloud infrastructure services and cloud-based application software; Service provider: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: microsoft.com/de-de; Privacy policy: Privacy Microsoft; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).

Web Analytics, Monitoring and Optimisation

Web analytics (also referred to as "reach measurement") is used to evaluate the flow of visitors to our online offering. IP addresses of users are stored, however we use an IP masking procedure (i.e. pseudonymisation by truncating the IP address) to protect users.

Security measures: IP masking (pseudonymisation of IP address).
Legal bases: Consent (Art. 6(1)(a) GDPR); Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Google Analytics: We use Google Analytics to measure and analyse the use of our online offering on the basis of a pseudonymous user identification number. Google Analytics does not log or store individual IP addresses for EU users. Analytics does, however, provide rough geographic location data. Service provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland; Legal bases: Consent (Art. 6(1)(a) GDPR); Security measures: IP masking; Privacy policy: policies.google.com/privacy; Opt-out: Opt-Out Plugin; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).
Google Tag Manager: We use Google Tag Manager, a software from Google that allows us to manage so-called website tags centrally via a user interface. Google Tag Manager itself does not create user profiles, store cookies with user profiles or carry out independent analyses; Service provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland; Legal bases: Consent (Art. 6(1)(a) GDPR); Privacy policy: policies.google.com/privacy; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).

Social Media Presences

We maintain online presences within social networks and process user data in this context in order to communicate with users active there or to offer information about us. We point out that user data may be processed outside the territory of the European Union.

Legal bases: Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Instagram: Social network, enables sharing of photos and videos, commenting on and favouriting posts, sending messages, subscribing to profiles and pages; Service provider: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Ireland; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: www.instagram.com; Privacy policy: privacycenter.instagram.com/policy; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).
Facebook pages: Profiles within the social network Facebook – We are jointly responsible with Meta Platforms Ireland Limited for the collection (but not the further processing) of data from visitors to our Facebook page (so-called "fan page"); Service provider: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Ireland; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: www.facebook.com; Privacy policy: facebook.com/privacy/policy; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).
LinkedIn: Social network – We are jointly responsible with LinkedIn Ireland Unlimited Company for the collection (but not the further processing) of data from visitors used to create "page insights" (statistics) of our LinkedIn profiles; Service provider: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: www.linkedin.com; Privacy policy: linkedin.com/legal/privacy-policy; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland); Opt-out: linkedin.com/psettings/guest-controls/retargeting-opt-out.

Plug-ins and Embedded Functions and Content

We integrate functional and content elements into our online offering that are obtained from the servers of their respective providers (hereinafter referred to as "third-party providers"). These may be, for example, graphics, videos or maps (hereinafter uniformly referred to as "content").

Integration always requires that the third-party providers of this content process the IP address of users, as without the IP address they could not send the content to their browsers. Third-party providers may also use so-called pixel tags (invisible graphics, also referred to as "web beacons") for statistical or marketing purposes.

Legal bases: Consent (Art. 6(1)(a) GDPR); Legitimate interests (Art. 6(1)(f) GDPR).

Further notes on processing operations, procedures and services:

Google Fonts (retrieved from Google server): Retrieval of fonts (and symbols) for the purpose of technically secure, maintenance-free and efficient use of fonts and symbols with regard to currency and loading times. The font provider is informed of the user's IP address so that the fonts can be made available in the user's browser; Service provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland; Legal bases: Legitimate interests (Art. 6(1)(f) GDPR); Website: fonts.google.com; Privacy policy: policies.google.com/privacy; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).
Google Maps: We integrate the maps of the "Google Maps" service provided by Google. Data processed may include in particular IP addresses and location data of users; Service provider: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Ireland; Legal bases: Consent (Art. 6(1)(a) GDPR); Website: mapsplatform.google.com; Privacy policy: policies.google.com/privacy; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).
YouTube videos: Video content; Service provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland; Legal bases: Consent (Art. 6(1)(a) GDPR); Website: www.youtube.com; Privacy policy: policies.google.com/privacy; Opt-out: Opt-Out Plugin; Basis for third-country transfers: EU/EEA – Data Privacy Framework (DPF), Switzerland – Adequacy decision (Ireland).

Changes and Updates

We ask you to regularly inform yourself about the content of our privacy policy. We adapt the privacy policy as soon as changes to the data processing carried out by us make this necessary. We will inform you as soon as the changes require a cooperation action on your part (e.g. consent) or other individual notification.

Where we provide addresses and contact information of companies and organisations in this privacy policy, please note that the addresses may change over time and please verify the details before contacting them.

Last updated: 12 November 2024