Datenschutzerklärung

Stand: 27.09.2025 Geltung: www.hmd-reif.de · Hausmeister · Messebau DSGVO · § 25 TDDDG · § 5 DDG

Sie können Ihre Einwilligungen jederzeit ändern oder widerrufen: Cookie-Einstellungen ändern. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Ergänzende technische Hinweise veröffentlichen wir freiwillig unter Transparenz & IT-Sicherheit.

1Datenschutz auf einen Blick
KurzfassungWelche Daten; wofür; Ihre Rechte.

Wir verarbeiten personenbezogene Daten, um diese Website sicher bereitzustellen, Anfragen/Verträge (Hausmeisterservice, Gebäudereinigung, Gartenpflege, Winterdienst, Messebau) zu erfüllen und – nur mit Einwilligung – für Statistik/Marketing/Embeds.

Ihre Rechte (Auszug): Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch (insb. gegen Direktwerbung), Widerruf von Einwilligungen, Beschwerde bei der Aufsichtsbehörde.

2Verantwortliche · Empfänger · Drittlandübermittlungen
PflichtangabenArt. 13 DSGVO

Verantwortliche Stelle: HMD Reif e.K., Inhaberin: Linda Reif, Am Weißiger Bach 135a, 01328 Dresden, Tel. 0351/4902145, E-Mail: info@hmd-reif.de. Datenschutz-Kontakt: Linda Reif.

Datenschutzbeauftragte/r: Derzeit nicht benennungspflichtig nach § 38 BDSG (unter 20 Personen in der Regelverarbeitung).

Empfänger/Kategorien: Hosting/Webador (JouwWeb B.V., NL, Auftragsverarbeiter), IT-Dienstleister/Support, Google Ireland Ltd. (z. B. Firebase/reCAPTCHA) mit Google LLC (USA) als Unterauftragsverarbeiter, Zahlungsdienst/Logistik, Steuer/Recht, Behörden/Gerichte bei Erforderlichkeit.

Drittlandübermittlungen: Für einzelne Dienste (z. B. Google/Firebase, reCAPTCHA, Meta/Facebook) können Übermittlungen in die USA erfolgen. Grundlage: EU-U.S. Data Privacy Framework (sofern zertifiziert) oder EU-Standardvertragsklauseln (SCC) mit Zusatzmaßnahmen; ein Transfer-Impact-Assessment (TIA) ist dokumentiert. Trotz Maßnahmen sind Restrisiken nicht vollständig auszuschließen.

Aufsichtsbehörde (Sachsen): Sächsische Datenschutz- und Transparenzbeauftragte, Maternistraße 17, 01067 Dresden, Tel. +49 351 85471-101, post@sdtb.sachsen.de.

3Rechtsgrundlagen · Speicherfristen · Pflichtangaben
TransparenzArt. 6, Art. 13 Abs. 2 DSGVO

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag/Anbahnung), lit. f (berechtigte Interessen: Betrieb, IT-Sicherheit, direkte Kommunikation), lit. c (gesetzliche Pflichten), lit. a (Einwilligung). Endgerätezugriffe: § 25 Abs. 1 TDDDG (Einwilligung) bzw. § 25 Abs. 2 (technisch erforderlich).

Speicherdauern (Richtwerte): Anfragen bis 12 Monate; Vertrags-/Abrechnungsunterlagen 6–10 Jahre; Server-Logs 30 Tage (hosterabhängig; bei Sicherheitsvorfällen bis Abschluss der Untersuchung); Bewerbungen 6 Monate (Talent-Pool bis 24 Monate bei Einwilligung).

Consent-Protokolle: Erteilte/änderte Einwilligungen (Zeitstempel, Kategorien) werden 12 Monate gespeichert (Art. 7 Abs. 1 DSGVO).

Pflichtangaben: Für Angebote/Verträge notwendige Felder sind als Pflichtfelder gekennzeichnet; ohne sie kann die Leistung ggf. nicht erbracht werden.

4Hosting (Webador/JouwWeb) · Server-Logs · Endgerätezugriffe
Betrieb & SicherheitArt. 6 Abs. 1 b/f DSGVO · § 25 TDDDG

Hosting: Webador/JouwWeb B.V. (NL) verarbeitet u. a. IP-Adresse, Zugriffe, technische Metadaten zur Bereitstellung/Fehleranalyse.

Server-Logs: Browser/OS, Referrer/URL, Zeitstempel, IP (gekürzt wo möglich) – zur Abwehr/Stabilität (Art. 6 Abs. 1 lit. f). Löschung regelmäßig nach 30 Tagen oder bei sicherheitsrelevanten Vorfällen nach Abschluss der Untersuchung.

Endgerätezugriffe: Zugriff auf Informationen in Ihrem Endgerät erfolgt nur, wenn dies technisch erforderlich ist (§ 25 Abs. 2 TDDDG, z. B. Session-Cookies) oder Sie vorher eingewilligt haben (§ 25 Abs. 1, z. B. Statistik/Marketing).

Beispiele Cookies: JWSESSION (Session, erforderlich), JwStickySession (~30 Tage, Lastverteilung). Drittanbieter-Cookies nur nach Opt-in.

4aCookies & Tools – Übersicht
Transparente ListeName · Anbieter · Zweck · Dauer · Rechtsgrundlage
Name Anbieter Zweck Dauer Rechtsgrundlage
JWSESSION Webador/JouwWeb (NL) Session-ID für technisch erforderliche Funktionen Session § 25 Abs. 2 TDDDG (erforderlich), Art. 6 Abs. 1 lit. f DSGVO
JwStickySession Webador/JouwWeb (NL) Lastverteilung/Verfügbarkeit ca. 30 Tage § 25 Abs. 2 TDDDG (erforderlich), Art. 6 Abs. 1 lit. f DSGVO
Plausible (cookielos) Plausible Insights OÜ Reichweitenmessung ohne Cookies/IP-Anonymisierung Art. 6 Abs. 1 lit. f (oder a bei Opt-in)
YouTube / Vimeo Google LLC / Vimeo, Inc. Medieneinbettung (erst nach Opt-in/2-Klick) anbieterspezifisch § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO
reCAPTCHA Enterprise Google LLC/Google Ireland Spam-/Missbrauchsschutz (nur nach Opt-in; sonst ggf. kein Formularversand) anbieterspezifisch § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO

Konkrete Bezeichnungen/Laufzeiten können plattformbedingt variieren. Maßgeblich sind die Einträge in den Cookie-Einstellungen nach Ihrer Auswahl (vor/nach Opt-in).

5Formulare · E-Mail/Telefon · WhatsApp (optional)
AnfragenbearbeitungArt. 6 Abs. 1 b/f

Wir verarbeiten Ihre Angaben zur Bearbeitung der Anfrage/Vertragserfüllung (Art. 6 Abs. 1 lit. b) bzw. zur effizienten Kommunikation (lit. f). Pflichtfelder sind gekennzeichnet.

WhatsApp: Nutzung nur auf ausdrücklichen Wunsch. Kein automatischer Adressbuch-Upload. Alternativen (E-Mail/Telefon) stehen jederzeit bereit.

6Registrierung · Geschützte Bereiche · Rollen
Accounts & BerechtigungenArt. 6 Abs. 1 b/f

Für geschützte Bereiche (z. B. Kunden/Verwalter/Hausmeister/Techniker) verarbeiten wir Registrierungs- und Nutzungsdaten zur Zugriffsverwaltung, Sicherheit und Abrechnung.

7Soziale Medien (2-Klick) · Gemeinsame Verantwortlichkeit
Facebook-PluginsArt. 26 DSGVO

2-Klick-Lösung: Social-Plugins werden nicht automatisch geladen. Erst nach Ihrer Einwilligung und einem zweiten Klick wird der Inhalt eingebunden.

Gemeinsame Verantwortlichkeit: Für die Erhebung/Übermittlung an Meta besteht eine gemeinsame Verantwortlichkeit; für die anschließende Verarbeitung ist Meta eigenständig Verantwortlicher. USA-Transfers können erfolgen (DPF/SCC).

Page Insights (Fanpage): Zuständigkeiten ergeben sich aus dem Page Insights Controller Addendum.

1. Klick: Zustimmung, 2. Klick: Inhalt laden. Erst dann werden Daten an Meta übermittelt.

8Analyse (Plausible) · Werbung (optional)
Plausible (cookielos)Weitere Tools nur nach Opt-in

Plausible Analytics: Aggregierte Reichweitenmessung ohne Cookies/ohne Cross-Device-Tracking; IPs nur gekürzt/Hash. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder Einwilligung (lit. a), je nach Konfiguration.

Weitere Tools (derzeit inaktiv): Google Analytics/Ads, LinkedIn Insight, Bing Ads, Matomo – werden nur bei Aktivierung und nach Einwilligung eingesetzt; IP-Anonymisierung/Fristen werden dann dokumentiert.

9Externe Medien & Schutz (YouTube/Vimeo/OSM · reCAPTCHA)
Embeds nur nach Einwilligung§ 25 TDDDG · Art. 6 Abs. 1 a

Vorbehalt Opt-in: Externe Inhalte/Sicherheitsdienste werden erst nach Ihrer Einwilligung geladen; ohne Einwilligung sind bestimmte Formulare/Funktionen nicht nutzbar.

YouTube (erw. Datenschutz) / Vimeo (DNT): Start löst Verbindungen aus; Einwilligung ggf. erforderlich.

OpenStreetMap/uMap: Karte lädt erst nach Klick (Opt-in); dabei Verarbeitung u. a. der IP durch den Kartenanbieter.

Google reCAPTCHA Enterprise (falls aktiv): Schutz vor Spam/Missbrauch. Wird erst nach Einwilligung geladen.

Web Fonts: Google-Schriften werden lokal bereitgestellt (keine Verbindung zu Google-Servern).

10Unternehmensspezifisch: Vor-Ort & Messebau
Projekt-/ObjektdatenArt. 6 Abs. 1 b/f

Wir verarbeiten Ansprechpartner-, Objekt-/Liegenschaftsdaten, Leistungsumfänge, Termine sowie sachbezogene Fotodokumentation (personenarm, soweit möglich) zur Leistungserbringung/Beweissicherung.

11Firebase & Google Cloud (Portal/Apps)
Auth · Storage · Functions · HostingDPF/SCC + TIA

Daten: Login/E-Mail, Rollen/Rechte, Nutzungs-/Technikdaten (Login-Events), auftrags-/objektbezogene Inhalte/Dateien (personenarm, soweit möglich), Push-Tokens.

Zwecke: Betrieb geschützter Bereiche/Apps, sichere Anmeldung, Datenhaltung, serverseitige Logik, Auslieferung/CDN, Stabilität/Performance.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/f; § 25 TDDDG (erforderliche Endgerätezugriffe); Art. 6 Abs. 1 lit. a für optionale Funktionen.

Drittland: DPF (sofern zertifiziert) oder SCC + Zusatzmaßnahmen; TIA durchgeführt.

12Bewerbungen
§ 26 BDSGSpeicher i. d. R. 6 Monate (Pool bis 24)

Verarbeitung zur Entscheidung über Beschäftigungsverhältnisse (§ 26 BDSG, Art. 6 Abs. 1 lit. b). Einwilligung (Art. 6 Abs. 1 lit. a) für längere Aufbewahrung im Talent-Pool (max. 24 Monate, widerruflich).

AGG-Beweissicherung: Ablehnungsunterlagen speichern wir i. d. R. 6 Monate nach Abschluss des Verfahrens zur Rechtswahrung; anschließend Löschung, sofern keine gesetzlichen Pflichten entgegenstehen.

13Ihre Rechte – ausführlich
Kontakt & FristenArt. 12–22, 77 DSGVO

Kontakt bevorzugt per E-Mail an info@hmd-reif.de. Wir prüfen Ihre Identität und antworten innerhalb eines Monats (verlängerbar um bis zu 2 Monate bei Komplexität). Vorgänge werden dokumentiert.

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21): Sie können jederzeit gegen Verarbeitungen auf Grundlage von berechtigten Interessen Widerspruch einlegen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3): jederzeit mit Wirkung für die Zukunft.
  • Beschwerde (Art. 77)

Direktwerbung (Art. 21 Abs. 2): Sie können der Verarbeitung zu Direktwerbezwecken jederzeit widersprechen; wir stellen sie dann unverzüglich ein.

Exzessive/offenkundig unbegründete Anträge (Art. 12 Abs. 5): Wir können ein angemessenes Entgelt verlangen oder ablehnen.

Widerspruch erklären Einwilligung widerrufen

Hinweis: Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

14Technisch-organisatorische Maßnahmen (TOMs)
SicherheitHTTPS/TLS · 2FA · Least-Privilege
  • HTTPS/TLS, 2FA für Admins, Least-Privilege
  • Updates/Patches, Backups, Sicherheitsprotokollierung
  • AV-Verträge, Vertraulichkeit, Schulung/Sensibilisierung
  • Datenminimierung, Speicherbegrenzung, Löschkonzepte
15Kinder/Jugendliche
AltersgrenzeLöschung bei Kenntnis

Unser Angebot richtet sich an Personen ab 16 Jahren. Unbeabsichtigt erhaltene Daten Minderjähriger werden – soweit keine Pflicht entgegensteht – nach Kenntnis gelöscht.

```html

Transparenz & IT-Sicherheit Freiwillige Offenlegung

Diese Seite ergänzt unsere Datenschutzerklärung und zeigt technische Maßnahmen und Befunde. Sie ist kein Bestandteil der rechtlichen Information, sondern dient der freiwilligen Transparenz.

Sicherheits-Header (Portal/Firebase)

Wir setzen serverseitig u. a. folgende Header (siehe firebase.json): Strict-Transport-Security, Content-Security-Policy, Referrer-Policy, Permissions-Policy, X-Content-Type-Options.

Beispiel-CSP:

default-src 'self';
frame-ancestors 'self';
object-src 'none';
base-uri 'self';
form-action 'self';
img-src 'self' data: https:;
font-src 'self' data: https:;
style-src 'self' 'unsafe-inline' https:;
script-src 'self' 'unsafe-inline' https://plausible.io https://www.google.com https://www.gstatic.com;
connect-src 'self' https://plausible.io https://events.plausible.io;
frame-src 'self' https://www.google.com https://umap.openstreetmap.de https://www.facebook.com

Hinweis: Webador setzt eigene Plattform-Header; vollständige Härtung ist dort nur eingeschränkt möglich.

Externe Scanner-Befunde (Stand 11.09.2025, 10:25 Uhr)

  • Blacklight: 0 Werbetracker, 0 Third-Party-Cookies, kein Fingerprinting/Session-Recording. (Scan vom 11.09.2025, 10:25 Uhr)
  • Webbkoll: HTTPS erzwungen; HSTS/CSP geprüft; Empfehlungen umgesetzt/teilweise plattformbedingt limitiert. (Scan vom 11.09.2025, 10:25 Uhr)

Diese Befunde gelten nur für die geprüften Seiten zum genannten Zeitpunkt. Nachgeladene Inhalte oder andere Unterseiten können abweichen.

Consent-Management

  • § 25 TDDDG-Opt-in vor Statistik/Marketing/Embeds
  • Protokollierung (Zeitpunkt/Kategorien) – Nachweis nach Art. 7 Abs. 1 DSGVO
  • Widerruf jederzeit über „Datenschutz-Einstellungen“

Datenübermittlungen in Drittländer (USA)

Für einzelne Dienste (z. B. Google/Firebase, reCAPTCHA, Facebook) können Übermittlungen in die USA stattfinden. Grundlage: EU-U.S. Data Privacy Framework (sofern zertifiziert) und/oder EU-Standardvertragsklauseln (SCC) mit Zusatzmaßnahmen; Transfer-Impact-Assessment dokumentiert; Restrisiko bleibt.

Verantwortlichkeit & Kontakt

Verantwortliche Stelle: HMD Reif e.K., Inhaberin: Linda Reif, Am Weißiger Bach 135a, 01328 Dresden · Tel. 0351/4902145 · E-Mail: info@hmd-reif.de