Datenschutzerklärung

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist [COMPANY_NAME], [COMPANY_ADDRESS], E-Mail: [COMPANY_EMAIL], Telefon: 015310236082. Gesetzlicher Vertreter: [LEGAL_REPRESENTATIVE]. Für Datenschutzanfragen ist [PRIVACY_CONTACT_EMAIL] vorgesehen.

Diese Datenschutzerklärung bezieht sich ausschließlich auf die tatsächlich im Projekt identifizierten Verarbeitungsvorgänge: Kontaktformulare, passwortgeschützter Administrations-Login, Supabase als Datenbank- und Storage-Infrastruktur sowie Google Apps Script / Google Sheets zur Verarbeitung von Anfragen. Im aktuellen Code wurden kein Newsletter, keine öffentliche Benutzerregistrierung, kein Firebase Authentication, kein Firestore, kein Google Analytics, kein Google Ads, kein Meta Pixel, kein Google Maps, kein Social Login und keine sonstigen Marketing- oder Profiling-Tools festgestellt.

Im Repository ist kein verbindlicher produktiver Hosting-Anbieter hinterlegt. Vor dem Live-Betrieb sind daher mindestens folgende Platzhalter zu ergänzen: [HOSTING_PROVIDER], Serverstandort: [HOSTING_LOCATION], Informationen zum Auftragsverarbeitungsvertrag: [HOSTING_DPA_INFO].

Beim Ausliefern der Website verarbeitet der Hosting-Anbieter technisch notwendige Daten wie IP-Adresse, Datum und Uhrzeit des Zugriffs, angeforderte URL, Referrer, Browserinformationen, Gerätemerkmale und Antwortstatus. Dies dient der Bereitstellung der Website, der Systemsicherheit und der technischen Stabilität. Die Speicherdauer der Host-Logfiles ist im Projekt nicht ersichtlich und muss als [HOSTING_LOG_RETENTION] ergänzt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Zusätzlich nutzt das Projekt Supabase als technische Infrastruktur für Datenbank und öffentlichen Bild-Storage. Dort werden Länder-, Immobilien- und Bilddaten gespeichert. Im geschützten Administrationsbereich können Bilder für Länder und Immobilien hochgeladen werden; diese Funktion ist für redaktionelle Inhalte vorgesehen und nicht als öffentlicher Datei-Upload für Besucher implementiert.

Wenn Besucher Seiten mit Bildern aus dem öffentlichen Supabase Storage aufrufen, erhält Supabase bzw. das vorgeschaltete CDN die technisch erforderlichen Verbindungsdaten einschließlich IP-Adresse zur Auslieferung der Dateien. Die in Supabase gespeicherten Inhaltsdaten bleiben erhalten, bis sie durch den Administrator geändert oder gelöscht werden; eine automatische Löschroutine wurde im Code nicht identifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Im Rahmen des technischen Betriebs fallen beim Hosting-Anbieter regelmäßig Server-Logfiles an. Dazu gehören typischerweise IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Ressource, HTTP-Status, Referrer, übertragene Datenmenge und User-Agent.

Ergänzend liest der geschützte Admin-Login serverseitig die Header `x-forwarded-for`, `x-real-ip` oder `cf-connecting-ip` sowie einen gekürzten `user-agent`, um wiederholte Fehlversuche bei der Anmeldung zu erkennen und zu begrenzen. Diese Daten werden nicht in der Datenbank gespeichert, sondern ausschließlich temporär im Arbeitsspeicher des Servers verarbeitet.

Zweck dieser Verarbeitung ist die Abwehr missbräuchlicher Login-Versuche und der sichere Betrieb des Administrationsbereichs. Die Speicherdauer der Hosting-Logfiles richtet sich nach dem tatsächlich eingesetzten Hosting-Anbieter und ist als [HOSTING_LOG_RETENTION] zu ergänzen. Die Rate-Limit-Daten im Speicher arbeiten mit einem Zeitfenster von 15 Minuten und einer Sperrfrist von bis zu 15 Minuten; sie werden bei erfolgreicher Anmeldung oder beim Neustart des Prozesses entfernt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Das Kontaktformular verarbeitet folgende Daten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Nachrichteninhalt, `source` (Kontaktseite oder Immobilienanfrage), `propertyId`, `propertyTitle`, `propertyLocation`, `locale`, `pageUrl`, `submittedAt` sowie das versteckte Anti-Spam-Feld `botField`.

Zweck der Verarbeitung ist die Bearbeitung der Anfrage, die Zuordnung der Nachricht zu einer konkreten Immobilie oder Seite, die Organisation der weiteren Kommunikation und ein einfacher Spam-Schutz. Ein gesonderter E-Mail-Dienst wurde im aktuellen Code nicht identifiziert; Anfragen werden technisch an Google Apps Script übermittelt und in Google Sheets gespeichert.

Empfänger sind die in Abschnitt 7 genannten Google-Dienste sowie interne Personen, die Anfragen bearbeiten. Eine automatische Löschung der Einträge wurde im Code nicht gefunden; die organisatorische Löschfrist ist daher als [CONTACT_RETENTION_PERIOD] zu ergänzen. Rechtsgrundlage ist je nach Inhalt der Anfrage Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Kommunikation) und/oder Art. 6 Abs. 1 lit. f DSGVO (effiziente geschäftliche Kommunikation und Missbrauchsschutz).

Im aktuellen Code wurde nur ein technisch erforderliches Cookie identifiziert: `nk_admin_session`. Dieses Cookie wird ausschließlich für den geschützten Administrationsbereich gesetzt, ist `httpOnly`, verwendet `sameSite=lax`, gilt auf dem Pfad `/`, wird in der Produktion mit `secure` gesetzt und hat eine maximale Laufzeit von 12 Stunden.

Zweck des Cookies ist die Aufrechterhaltung der Admin-Sitzung nach erfolgreichem Login. Das bei der Anmeldung eingegebene Passwort wird serverseitig ausschließlich zur Verifikation verarbeitet und nicht in der Datenbank gespeichert. Eine öffentliche Benutzerregistrierung oder ein Besucher-Login wurde im Projekt nicht identifiziert; vorhanden ist nur ein interner Administrationszugang zur Pflege der Inhalte.

Marketing-Cookies, Consent-Management für Werbetracker sowie eine Nutzung von `localStorage` oder `sessionStorage` zu Profiling-Zwecken wurden im aktuellen Code nicht festgestellt. Rechtsgrundlage für das technisch notwendige Admin-Cookie ist Art. 6 Abs. 1 lit. f DSGVO sowie, soweit ein Speichervorgang auf dem Endgerät vorliegt, § 25 Abs. 2 Nr. 2 TDDDG.

Nach dem aktuellen Stand des Quellcodes werden keine Analyse- oder Marketingtools wie Google Analytics, Google Ads Conversion Tracking, Google Tag Manager, Meta Pixel, Heatmap-Dienste, Newsletter-Tracking oder vergleichbare Profiling- und Werbetools eingesetzt.

Daher findet auf Basis des aktuell geprüften Projekts kein verhaltensbezogenes Tracking zu Werbe- oder Analysezwecken statt. Sollten solche Dienste später ergänzt werden, muss diese Datenschutzerklärung vor deren Einsatz aktualisiert und – soweit erforderlich – um einen wirksamen Einwilligungsmechanismus ergänzt werden.

Das Kontaktformular sendet die eingegebenen Daten an einen Google Apps Script Web-App-Endpunkt; von dort werden die Daten in eine verknüpfte Google Sheets Tabelle geschrieben. Verarbeitet werden die in Abschnitt 4 genannten Daten. Zweck ist die technische Entgegennahme und strukturierte Ablage von Kontaktanfragen. Empfänger sind Google Ireland Limited und/oder Google LLC, soweit diese Dienste als technische Infrastruktur eingebunden sind. Eine automatische Löschung ist im Code nicht implementiert; die organisatorische Löschfrist ist als [CONTACT_RETENTION_PERIOD] zu ergänzen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und/oder lit. f DSGVO.

Darüber hinaus verwendet das Projekt `next/font/google` für die Typografie. Nach der aktuellen Implementierung erfolgt die Einbindung über den Next.js-Build-Prozess; ein gesonderter clientseitiger Aufruf von Google Fonts durch den Browser wurde im Quellcode nicht identifiziert. Diese technische Annahme sollte im produktiven Deployment nochmals verifiziert werden.

Google Maps, Google Analytics, Google Ads, reCAPTCHA und sonstige Google-Dienste wurden im aktuell geprüften Code nicht festgestellt.

Im aktuellen Projekt wurden keine eingebetteten Social-Media-Plug-ins, kein Social Login, kein Meta Pixel, keine Facebook- oder LinkedIn-Tracking-Tags und keine sonstigen Social-Media-Integrationen identifiziert, die automatisch personenbezogene Daten an Plattformanbieter übertragen würden.

Falls Social-Media-Funktionen später ergänzt werden, ist diese Datenschutzerklärung vor der Aktivierung der betreffenden Funktionalitäten entsprechend zu aktualisieren.

Kontaktanfragen werden in der verknüpften Google Sheets Tabelle gespeichert. Eine automatische Löschroutine enthält der aktuelle Code nicht; die organisatorische Löschfrist ist deshalb als [CONTACT_RETENTION_PERIOD] zu definieren.

Das Admin-Session-Cookie `nk_admin_session` hat eine maximale Laufzeit von 12 Stunden. Temporäre Daten zur Begrenzung fehlgeschlagener Login-Versuche werden nur im Arbeitsspeicher mit einem Zeitfenster von 15 Minuten und einer Sperrfrist von bis zu 15 Minuten gehalten, beziehungsweise bis zur erfolgreichen Anmeldung oder zum Neustart des Prozesses.

Länder-, Immobilien- und Bilddaten in Supabase verbleiben so lange, bis sie im Administrationsbereich geändert oder gelöscht werden; eine automatische Ablaufzeit wurde nicht implementiert. Hosting-Logfiles werden entsprechend der Vorgaben des tatsächlich eingesetzten Hosting-Anbieters gespeichert; dieser Zeitraum ist als [HOSTING_LOG_RETENTION] zu ergänzen.

Soweit die gesetzlichen Voraussetzungen vorliegen, haben Sie das Recht auf Auskunft über die betreffenden personenbezogenen Daten, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten.

Anfragen können an [PRIVACY_CONTACT_EMAIL] oder [COMPANY_EMAIL] gerichtet werden. Zur Bearbeitung eines Antrags kann eine Identitätsprüfung erforderlich sein, um unbefugte Auskünfte zu verhindern.

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

Im aktuell geprüften Code wurden keine optionalen Tracking- oder Marketingfunktionen identifiziert, die auf einer Einwilligung beruhen. Sollte sich dies ändern, ist diese Erklärung vor Einsatz der betreffenden Tools anzupassen.

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt. Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Diese Datenschutzerklärung wird aktualisiert, wenn sich Funktionen der Website, eingesetzte Dienstleister oder die rechtlichen Anforderungen ändern. Maßgeblich ist die jeweils auf der Website veröffentlichte Fassung zum Zeitpunkt Ihres Besuchs.