DATENSCHUTZGRUNDVERORDNUNG
DSGVO-Komplettpaket – Notfallseminare NRW
Stand: 25.07.2025
Dieses Dokument enthält:
1. Vollständige Datenschutzerklärung (öffentlich)
2. Vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO
3. Cookie-/Consent-Liste (alle nicht notwendigen Cookies: 12 Monate)
4. SOP / Checkliste Datenpannen (72-Stunden-Prozess)
5. Lösch- & Aufbewahrungskonzept
6. Interne Datenschutz- & Sicherheitsrichtlinie (TOMs, Prozesse)
7. Standard-Mail-Texte (Behörde, Betroffene, Rechte-Anfragen)
1. Datenschutzerklärung (öffentlich)
Stand: 25.07.2025
1. Verantwortlicher
Gerd Böttcher
Sebastianusstr. 15
50226 Frechen
E-Mail: info@notfallseminare.nrw
(Impressum: https://notfallseminare-nrw.de/impressum.html)
Ein Datenschutzbeauftragter ist nicht benannt, da die Voraussetzungen nach Art. 37 DSGVO, § 38 BDSG derzeit nicht erfüllt sind.
Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
https://www.ldi.nrw.de
2. Geltungsbereich
Diese Erklärung gilt für unsere Website inklusive Unterseiten sowie unsere sonstigen Onlinepräsenzen (z. B. Pinterest) und die dort stattfindenden Verarbeitungen.
3. Rechtsgrundlagen (Kurzüberblick)
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. GA4, Google Ads, YouTube, Google Maps)
• Art. 6 Abs. 1 lit. b DSGVO – Vertrag/Vertragsanbahnung (z. B. Terminbuchungen, Zertifikate)
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Pflichten (z. B. steuerliche Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (z. B. IT-Sicherheit, technischer Betrieb)
4. Empfänger
Intern: Mitarbeitende und Kooperationspartner (geschult, zur Verschwiegenheit verpflichtet).
Extern (Kategorien): IT-Dienstleister (Hosting/E-Mail), externe Berater (Recht/Steuern), Behörden, Markt- & Meinungsforschungsunternehmen (nur mit Einwilligung), Logistikdienstleister (falls
Versand). Es bestehen AV-Verträge nach Art. 28 DSGVO, u. a. mit Jimdo.
5. Drittlandübermittlungen
Bei Anbietern mit Sitz in den USA (insb. Google, Calendly, Pinterest) erfolgt der Transfer auf Basis des EU‑US Data Privacy Framework (soweit zertifiziert) und/oder der EU-Standardvertragsklauseln (SCCs). Infos
der EU-Kommission zu SCCs: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en. Zusätzlich führen wir, wo nötig,
Transfer Impact Assessments durch und setzen ergänzende Maßnahmen um.
6. Ihre Rechte
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit (Art. 15–20 DSGVO), Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) und Widerspruch (Art. 21 DSGVO). Zudem Beschwerderecht
bei der LDI NRW.
7. Sicherheit (Art. 32 DSGVO)
TLS/HTTPS, rollenbasierte Zugriffe, AV-Verträge, Backups, Protokollierung, Lösch- und Berechtigungskonzepte.
8. Consent-Management & Cookies
Wir setzen ein Consent-Management-Tool (Jimdo-Standardbanner) ein. Nicht notwendige Cookies/Tools werden erst nach Ihrer Einwilligung gesetzt (Opt-in). Consent-Cookies speichern wir 12 Monate.
Technisch notwendige Cookies beruhen auf Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG; alle anderen Cookies/Tracker auf Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG. Sie können Ihre
Entscheidung jederzeit im Banner ändern.
9. Hosting & Logfiles (Jimdo)
Anbieter: Jimdo GmbH, Hamburg, Deutschland (AVV, Hosting ausschließlich in Deutschland).
Daten: IP, Datum/Uhrzeit, URL, Referrer, User-Agent, Statuscode, übertragene Bytes.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit).
Speicherdauer: max. 7 Tage (länger nur zur Aufklärung von Vorfällen).
10. Kontakt & Kommunikation
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vertraglich) oder lit. f DSGVO (allgemeine Anfrage).
Speicherdauer: 12 Monate nach Abschluss der Anfrage (ohne Vertragsbezug). Bei Vertragsbezug gelten gesetzliche Aufbewahrungspflichten (6/10 Jahre).
11. Google Workspace / Gmail
Anbieter: Google Ireland Limited (EU) / Google LLC (USA). DPF/SCCs.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, c, f DSGVO.
Speicherdauer: 6 bzw. 10 Jahre (HGB/AO) für geschäftsrelevante Kommunikation.
12. Terminvereinbarung mit Calendly
Anbieter: Calendly LLC (USA), DPF/SCCs.
Daten: Name, E-Mail, optional Tel., Firma, Position, Terminpräferenzen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: 12 Monate nach Terminabschluss.
13. Zertifikate / Anwesenheitslisten
Zweck: Erstellung und Nachweis von Zertifikaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: 5 Jahre.
Empfänger: ggf. Druckerei/Logistik (AVV oder eigenständige Verantwortliche).
14. Google Analytics 4 (GA4)
Anbieter: Google Ireland Limited / Google LLC (USA), DPF/SCCs.
Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO, § 25 TTDSG.
Einstellungen: IP-Anonymisierung aktiv, Google Signals AUS, User-ID nicht genutzt.
Speicherdauer Ereignisdaten: 14 Monate (GA4-Standard; weicht von der 12-Monats-Cookie-Speicherdauer ab).
Widerruf: über Consent-Manager oder Browser-Add-on (https://tools.google.com/dlpage/gaoptout).
15. Google Ads (inkl. Conversion/Remarketing)
Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.
Daten: Cookie-/Werbe-IDs, Nutzungsdaten.
Speicherdauer: nach Google-Standards; Cookies im CMP auf 12 Monate begrenzt.
Widerruf: im Consent-Manager, Ads-Einstellungen (https://adssettings.google.com).
16. YouTube
Einbindung nur nach Einwilligung; nach Möglichkeit im „nocookie“-Modus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Daten: IP, Geräteinfos, Referrer, Cookies (siehe Cookie-Liste).
17. Google Maps
Wird erst nach Einwilligung geladen (z. B. zur Ermittlung von Fahrkilometern).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Daten: IP, ggf. Standort (wenn Gerät freigibt), Browser-/Geräteinformationen.
18. Pinterest (Onlinepräsenz)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Kommunikation/PR), ggf. lit. b.
Anbieter: Pinterest Inc., USA, DPF/SCCs.
19. Freepik (Medien)
Lokales Hosting der Medien. Kein Datentransfer zu Freepik. Bei künftiger CDN-Einbindung informieren wir hierüber.
20. Löschung & Aufbewahrung
Daten werden gelöscht/anonymisiert, sobald der Zweck entfällt und keine Aufbewahrungspflichten entgegenstehen. Gesetzlich: 6 Jahre (HGB) / 10 Jahre (AO). Verjährung zivilrechtlich i. d. R. 3
Jahre.
21. Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung widersprechen, soweit wir diese auf berechtigte Interessen stützen. Bei Direktwerbung gilt dies ohne Begründung.
22. Widerruf (Art. 7 Abs. 3 DSGVO)
Sie können Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
23. Änderungen
Wir aktualisieren diese Erklärung bei Änderungen der Rechtslage, unserer Prozesse oder eingesetzter Dienste.
2. Cookie- & Consent-Liste (Vorlage für CMP)
Alle nicht notwendigen Cookies werden mit einer Laufzeit von 12 Monaten konfiguriert. GA4-Ereignisdaten (in GA4) werden unabhängig davon 14 Monate gespeichert.
|
Name |
Anbieter |
Zweck |
Kategorie |
Laufzeit |
Rechtsgrundlage |
|
cookie_consent |
Jimdo / CMP |
Speichert den Zustimmungsstatus |
Notwendig |
12 Monate |
Art. 6 Abs. 1 lit. f, §25 Abs. 2 Nr. 2 TTDSG |
|
_ga |
Google (GA4) |
Nutzerunterscheidung |
Statistik |
12 Monate (Cookie); GA4-Daten 14 Monate |
Art. 6 Abs. 1 lit. a, §25 Abs. 1 TTDSG |
|
_ga_<Container-ID> |
Google (GA4) |
Session-/Ereignisbezug |
Statistik |
12 Monate |
Art. 6 Abs. 1 lit. a, §25 Abs. 1 TTDSG |
|
_gid |
Google (GA4) |
Kurzfristige Nutzerunterscheidung |
Statistik |
24 Stunden |
Art. 6 Abs. 1 lit. a, §25 Abs. 1 TTDSG |
|
_gcl_au |
Google Ads |
Conversion-Tracking/Remarketing |
Marketing |
12 Monate |
Art. 6 Abs. 1 lit. a, §25 Abs. 1 TTDSG |
|
YSC / VISITOR_INFO1_LIVE / PREF |
YouTube |
Videoanzeige/Analyse |
Marketing |
Session / 6–8 Monate |
Art. 6 Abs. 1 lit. a |
|
NID / 1P_JAR |
Google Maps |
Kartendarstellung/Einstellungen |
Marketing |
bis 6 Monate |
Art. 6 Abs. 1 lit. a |
3. Verarbeitungsverzeichnis nach Art. 30 DSGVO (vollständig)
Bewerbungsprozesse existieren aktuell nicht. Falls künftig relevant, ergänzen.
|
Nr. |
Bezeichnung |
Zwecke |
Betroffene Personen |
Datenkategorien |
Rechtsgrundlagen |
Empfänger (Kategorien) |
Drittland (Grundlage) |
Speicherdauer/Löschung |
TOMs (Kurz) |
|
1 |
Website-Betrieb & Logfiles |
Bereitstellung, Stabilität, Sicherheit, Fehleranalyse |
Website-Besucher |
IP, Zeitstempel, URL, Referrer, User-Agent, Statuscode |
Art. 6 Abs. 1 lit. f DSGVO |
Jimdo (AVV), interne IT |
Nein |
7 Tage |
TLS, Firewalls, Logging, Zugriffsbeschränkung |
|
2 |
Consent-Management |
Einholung/Verwaltung von Einwilligungen |
Website-Besucher |
Consent-Status, Zeitstempel, Cookie-ID |
Art. 6 Abs. 1 lit. a/c/f DSGVO |
CMP (Jimdo), interne IT |
Nein |
12 Monate |
Protokollierung, Zugriffsschutz |
|
3 |
Webanalyse (GA4) |
Reichweitenmessung, Optimierung |
Website-Besucher |
pseudonyme Nutzungsdaten, IP (anonymisiert), Geräteinfos |
Art. 6 Abs. 1 lit. a DSGVO |
Google (AVV) |
USA (DPF/SCCs) |
14 Monate (GA4) |
IP-Anonymisierung, Consent, Opt-Out |
|
4 |
Marketing (Google Ads) |
Werbung, Conversion, Remarketing |
Website-Besucher |
Cookie-/Werbe-IDs, Interaktionsdaten |
Art. 6 Abs. 1 lit. a DSGVO |
|
USA (DPF/SCCs) |
12 Monate (Cookies) |
Consent, Pseudonymisierung |
|
5 |
YouTube-Einbettung |
Videoanzeige |
Website-Besucher |
IP, Geräteinfos, Referrer, Cookies |
Art. 6 Abs. 1 lit. a DSGVO |
|
USA (DPF/SCCs) |
gem. Google |
Consent, nocookie-Modus |
|
6 |
Google Maps |
Kartendarstellung / Routen |
Website-Besucher |
IP, ggf. Standortdaten |
Art. 6 Abs. 1 lit. a DSGVO |
|
USA (DPF/SCCs) |
gem. Google |
Consent, minimale Daten |
|
7 |
Kontakt & Kommunikation |
Anfragenbearbeitung, Vertragsdurchführung |
Interessenten, Kunden, Partner |
Stamm-/Kontaktdaten, Inhaltsdaten |
Art. 6 Abs. 1 lit. b/f DSGVO |
Google Workspace (AVV), interne Mitarbeiter |
USA (DPF/SCCs) |
12 Monate (ohne Vertrag), 6/10 Jahre (HGB/AO) |
Zugriffskonzept, Löschroutinen |
|
8 |
Terminmanagement (Calendly) |
Terminvereinbarung und Organisation |
Interessenten, Kunden |
Name, E-Mail, optional Tel., Firma, Position, Terminpräferenzen |
Art. 6 Abs. 1 lit. b/f DSGVO |
Calendly (AVV) |
USA (DPF/SCCs) |
12 Monate |
Transportverschlüsselung, AVV |
|
9 |
Zertifikatserstellung |
Erstellung/Nachweis von Zertifikaten |
Teilnehmer |
Name, Arbeitgeber, Anwesenheitszeiten |
Art. 6 Abs. 1 lit. b DSGVO |
Druckerei/Logistik (AVV/Empfänger) |
Nein |
5 Jahre |
Zugriffsrechte, Protokollierung |
|
10 |
Steuer/Finanzen |
Erfüllung gesetzlicher Pflichten |
Kunden, Lieferanten, intern |
Rechnungs-/Buchhaltungsdaten |
Art. 6 Abs. 1 lit. c DSGVO |
Steuerberater, Finanzbehörden |
Nein |
10 Jahre (AO)/6 Jahre (HGB) |
Zugriffskonzept, Archivierung |
|
11 |
Social Media (Pinterest) |
Kommunikation & Öffentlichkeitsarbeit |
Nutzer/Interessenten auf Pinterest |
Profil-/Interaktionsdaten |
Art. 6 Abs. 1 lit. f/b DSGVO |
|
USA (DPF/SCCs) |
plattformabhängig |
Plattformmaßnahmen, Datensparsamkeit |
|
12 |
Support/IT-Wartung |
Betrieb, Wartung, Fehlerbehebung |
Alle betroffenen Kategorien |
Zugriffsprotokolle, technische Metadaten |
Art. 6 Abs. 1 lit. f DSGVO |
IT-Dienstleister (AVV) |
je nach Anbieter |
gem. Vertrag |
Zugriffsprotokollierung, AVV |
4. SOP / Checkliste für Datenpannen (72-Stunden-Prozess)
1) Sofortmaßnahmen
- Vorfall intern melden (an Verantwortlichen)
- Systeme sichern, Zugänge sperren, Schaden minimieren
- Beweise/Logs sichern
2) Ersteinschätzung (sofort)
- Welche Daten? Welche Personen? Wie viele?
- Sensibilität (besondere Kategorien)?
- Risiko für Rechte/Freiheiten?
3) Entscheidung Meldepflicht (Art. 33 DSGVO)
- Risiko? -> Meldung an LDI NRW innerhalb 72 Stunden
- Inhalte: Art des Vorfalls, Kategorien/Anzahl Daten/Betroffene, Folgen, Maßnahmen
4) Benachrichtigung Betroffener (Art. 34 DSGVO)
- Hohes Risiko? -> informieren in klarer Sprache
- Inhalte: Art des Vorfalls, Ansprechpartner, empfohlene Maßnahmen, Gegenmaßnahmen
5) Dokumentation (Art. 33 Abs. 5 DSGVO)
- Vollständige Vorfalldokumentation, inkl. Zeitstrahl und Maßnahmen
- Lessons Learned
6) Nachbereitung
- Schwachstellen schließen, TOMs/Prozesse anpassen
- Schulung/Awareness nachschärfen
5. Lösch- & Aufbewahrungskonzept
|
Datenkategorie/Zweck |
Frist |
Rechtsgrundlage Aufbewahrung |
Verantwortlich |
Löschmethode/Prozess |
|
Server-Logfiles |
7 Tage |
Art. 6 Abs. 1 lit. f DSGVO |
Jimdo/IT |
automatisiert |
|
Kontaktanfragen (ohne Vertrag) |
12 Monate |
Art. 6 Abs. 1 lit. f DSGVO |
GF/Support |
manuell/Workflow |
|
Vertrags-/Abrechnungsdaten |
6/10 Jahre |
HGB/AO |
GF/Steuerberater |
Archivierung, nach Frist Löschung |
|
Termin-/Kommunikationsdaten (Calendly) |
12 Monate |
Art. 6 Abs. 1 lit. b/f DSGVO |
GF |
automatisiert/manuell |
|
Zertifikats-/Teilnehmerdaten |
5 Jahre |
Art. 6 Abs. 1 lit. b DSGVO |
GF |
manuell/Workflow |
|
GA4-Ereignisdaten |
14 Monate |
Einwilligung + GA4-Konfiguration |
GF/Marketing |
automatisiert (GA4) |
|
Consent-Protokolle |
12 Monate |
Art. 7 DSGVO (Nachweis) |
GF/IT |
automatisiert (CMP) |
|
E-Mail-Kommunikation |
6/10 Jahre |
HGB/AO |
GF |
Archivierung, danach Löschung |
Reviews: mindestens jährlich. Sperrung statt Löschung, wenn Aufbewahrungspflichten entgegenstehen. Löschläufe sind zu dokumentieren.
6. Interne Datenschutz- & Sicherheitsrichtlinie (Kurzfassung)
6.1 Rollen & Verantwortlichkeiten
• Verantwortlicher: Gerd Böttcher
• Kein DSB bestellt (nicht erforderlich)
• Mitarbeitende/Kooperationspartner: Vertraulichkeit & Schulungen
6.2 TOMs (Art. 32 DSGVO)
• TLS/HTTPS, starke Passwörter, MFA
• Rollen-/Berechtigungskonzept
• Patches/Updates, Firewalls, AV
• Backups & Tests, Protokollierung
• Datenschutz durch Technikgestaltung/Voreinstellungen
• AV-Verträge mit allen Auftragsverarbeitern
6.3 Incident Response (Datenpannen)
• Meldeweg, Bewertung, 72h-Meldung, Betroffeneninfo, Dokumentation, Lessons Learned
6.4 Auftragsverarbeitung & Drittland
• AVV, SCCs/DPF, TIA, regelmäßige Re-Evaluierung
6.5 Consent & Cookies
• CMP mit Opt-in, equal reject, Logging, Versionierung, DSE-Update bei Änderungen
6.6 Verarbeitungsverzeichnis & Löschkonzept
• Art.-30-Verzeichnis pflegen (mind. jährlich), Löschfristen technisch/organisatorisch umsetzen
6.7 Schulung & Awareness
• Regelmäßige Trainings, Phishing/Social Engineering Awareness, Clean Desk, Datensparsamkeit
