Datenschutzerklärung

Version: 4.1
Stand: 01.06.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Christian Kirsch 

xpansio GmbH
Klatschmohnweg 13
38300 Wolfenbüttel

Telefon: +49 30 75666657
E-Mail:datenschutz@xpansio.de

Ein Datenschutzbeauftragter ist nicht bestellt, da dies gesetzlich nicht erforderlich ist.

2. Allgemeine Hinweise

Diese Datenschutzerklärung gibt Ihnen einen Überblick darüber, wie wir Ihre personenbezogenen Daten verarbeiten, wenn Sie unsere Website nutzen oder mit uns in Kontakt treten. Wir nehmen den Schutz Ihrer Daten sehr ernst und behandeln sie vertraulich und entsprechend der gesetzlichen Vorschriften (insbesondere DSGVO, TDDDG).

3. Datenverarbeitung auf der Website

3.1 Hosting & IT-Infrastruktur

IONOS SE

IONOS SE kann im Rahmen der Domain-, Registrar- und E-Mail-Domainverwaltung sowie historischer Infrastrukturleistungen technische Daten verarbeiten. Soweit hierbei Logfiles entstehen, dienen diese der Sicherheit, Stabilität und Nachvollziehbarkeit des Dienstbetriebs.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und performanten Website).

• AV-Vertrag: Ein Vertrag zur Auftragsverarbeitung (AVV) mit IONOS liegt vor.

Microsoft 365 / Exchange Online

Für die interne und externe Kommunikation (E-Mail, Kalender, Office-Anwendungen) nutzen wir Microsoft 365, einen Dienst der Microsoft Ireland Operations Ltd. Die Daten werden ausschließlich auf EU-Servern verarbeitet.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten internen Organisation).

• AV-Vertrag: Ein AVV mit Microsoft liegt vor.

3.1.1 Backoffice, Server und Uploadspeicher bei Hetzner

Unser internes xpansio Backoffice, die zugehörige Datenbank, technische Prozesslogs sowie projektbezogene Uploads und Fotodokumentationen werden auf Serverinfrastruktur der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Hetzner verarbeitet dabei technische Betriebsdaten als Auftragsverarbeiter, soweit dies für sicheren Serverbetrieb, Speicherung, Backup, Wartung und Verfügbarkeit erforderlich ist.

3.1.2 Sicherheits- und Netzwerk-Schutz durch Cloudflare

Zur Absicherung, Beschleunigung und Stabilisierung unserer Website und der angebundenen Systeme nutzen wir Cloudflare, Inc. als technischen Sicherheits- und Netzwerkdienstleister. Cloudflare kann dabei technische Zugriffsdaten wie IP-Adresse, aufgerufene URL, Zeitstempel, Browser- und Geräteinformationen, Header-Daten sowie Sicherheitsereignisse verarbeiten, um Angriffe, automatisierte Zugriffe, Missbrauch und technische Störungen zu erkennen und abzuwehren.

Soweit Cloudflare Sicherheitsfunktionen wie Firewall-Regeln, DDoS-Schutz, Rate-Limits oder Bot-/Challenge-Prüfungen ausliefert, können technisch notwendige Sicherheits-Cookies gesetzt werden. Diese dienen nicht dem Marketing, sondern der Betriebssicherheit und dem Schutz unserer Systeme.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem und missbrauchsgeschütztem Betrieb unserer Website und Systeme).

3.2 Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben inklusive der Kontaktdaten zur Bearbeitung der Anfrage und für Anschlussfragen bei uns im CRM-System (HubSpot) gespeichert. Die Daten werden nach 12 Monaten Inaktivität gelöscht.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anfrage zur Vertragserfüllung oder vorvertragliche Maßnahme).

3.3 Fehleranalyse und Systemmonitoring

Zur Stabilität und Sicherheit unserer Systeme nutzen wir Sentry zur Fehleranalyse. Dabei können technische Ereignisdaten wie aufgerufene URL, Browser- und Geräteinformationen, Zeitpunkt, Fehlermeldungen und gekürzte technische Kennungen verarbeitet werden. Die Auswertung dient ausschließlich der Betriebssicherheit, Fehlerbehebung und Missbrauchserkennung. Sentry setzt in unserem aktuellen Website-Setup keine Marketing- oder Analyse-Cookies; technische Trace-Informationen können als Eventdaten bzw. Header verarbeitet werden.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb unserer Systeme).

4. Cookies & Consent Management

4.1 Cookie-Einwilligung

Wir nutzen ein Consent-Management-Tool (Cookie-Banner), um Ihre Einwilligung zur Speicherung von Cookies einzuholen. Technisch notwendige Cookies werden auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) gesetzt. Alle anderen Cookies (Marketing, Analyse) werden erst nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG) aktiviert.

Ihre Einwilligung können Sie jederzeit über den Link "Cookie-Einstellungen" im Footer unserer Website widerrufen.

Widerrufsrecht: Sie können Ihre Einwilligung zur Speicherung von Cookies jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen in Ihrem Browser ändern oder über unseren Cookie-Banner im Footer der Website.

4.2 Google Consent Mode v2

Wir verwenden den Google Consent Mode v2. Dieser übermittelt Ihre Einwilligungsentscheidungen (z.B. "Analyse-Cookies akzeptiert" oder "abgelehnt") an Google-Dienste. Wenn Sie Cookies ablehnen, sendet Google anonymisierte Signale (sog. "Pings"), um grundlegende Messungen durchzuführen, ohne Sie zu identifizieren.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer aggregierten und anonymisierten Analyse zur Optimierung unserer Website).

4.3 Microsoft Clarity

Wir nutzen Microsoft Clarity, einen Webanalyse-Dienst der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Clarity hilft uns, die Nutzung unserer Webseite besser zu verstehen, technische Probleme zu erkennen und die Bedienbarkeit unserer Seiten zu verbessern.

Hierbei können insbesondere technische Nutzungsdaten wie Browser- und Geräteinformationen, gekürzte bzw. pseudonymisierte IP-Informationen, Seitenaufrufe, Klicks, Scrollbewegungen, Interaktionen mit Formularen sowie Session-Replay-Informationen verarbeitet werden. Eingaben in sensible Formularfelder werden dabei nicht bewusst zu Analysezwecken ausgewertet.

Microsoft Clarity wird auf xpansio.de erst geladen, wenn Sie im Consent-Banner der Verarbeitung zu Analysezwecken zugestimmt haben. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG, soweit Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden. Sie können Ihre Einwilligung jederzeit über die Cookie- bzw. Datenschutzeinstellungen widerrufen.

Weitere Informationen zur Datenverarbeitung durch Microsoft finden Sie in den Datenschutzinformationen von Microsoft: https://privacy.microsoft.com/de-de/privacystatement.

4.4 Cookie-Tabelle

Cookie-Name	Cookie-Art	Zweck	Anbieter	Speicherdauer
Technisch Notwendig
_secure_session_id	Technisch	Speichert die Sitzungs-ID für den Warenkorb und den Checkout	Shopify	24 Stunden
cart	Technisch	Speichert den Inhalt des Warenkorbs	Shopify	2 Wochen
cart_sig	Technisch	Sichert den Warenkorb gegen Manipulation	Shopify	2 Wochen
cart_ts	Technisch	Zeitstempel der letzten Warenkorb-Änderung	Shopify	2 Wochen
checkout_token	Technisch	Token für den sicheren Checkout-Prozess	Shopify	2 Wochen
_GRECAPTCHA	Technisch/Sicherheit	Schützt Formulare, Konfigurator und Kontaktstrecken vor Spam und automatisiertem Missbrauch.	Google reCAPTCHA	bis zu 6 Monate
rc::a	Technisch/Sicherheit	Erkennt automatisierte Zugriffe zur Absicherung von Formularen (Local Storage, kein klassischer Cookie).	Google reCAPTCHA	persistent
rc::b / rc::c	Technisch/Sicherheit	Erkennt automatisierte Zugriffe zur Absicherung von Formularen (Session Storage, kein klassischer Cookie).	Google reCAPTCHA	Sitzung
cf_clearance	Technisch/Sicherheit	Speichert eine bestandene Sicherheitsprüfung, falls Cloudflare zum Schutz vor missbräuchlichen Zugriffen eine Challenge ausliefert.	Cloudflare	bis zu 12 Monate
__cf_bm	Technisch/Sicherheit	Unterstützt die Bot- und Missbrauchserkennung, sofern entsprechende Cloudflare-Sicherheitsfunktionen aktiv sind.	Cloudflare	ca. 30 Minuten
Analyse-Cookies
_ga	Analyse	Unterscheidet Website-Besucher	Google Analytics	2 Jahre
_gid	Analyse	Unterscheidet Website-Besucher	Google Analytics	24 Stunden
ga<container-id>	Analyse	Speichert Session-Status	Google Analytics	2 Jahre
Marketing & Retargeting
_clck	Analyse	Speichert eine pseudonyme Clarity-Nutzerkennung zur Analyse von Seitenaufrufen und Bedienbarkeit nach Analytics-Einwilligung.	Microsoft Clarity	bis zu 1 Jahr
_clsk	Analyse	Verknüpft mehrere Seitenaufrufe zu einer zusammenhängenden Clarity-Sitzung nach Analytics-Einwilligung.	Microsoft Clarity	24 Stunden
CLID	Analyse	Speichert, wann Clarity einen Browser erstmalig erkannt hat.	Microsoft Clarity	bis zu 1 Jahr
ANONCHK	Analyse/Marketing	Prüft die Weitergabe anonymisierter Microsoft-/Clarity-Signale für Messung und Missbrauchsschutz.	Microsoft	ca. 10 Minuten
MR	Analyse/Marketing	Unterstützt Microsoft bei Nutzungsanalyse und Messung von Interaktionen nach Einwilligung.	Microsoft	ca. 7 Tage
MUID	Analyse/Marketing	Microsoft-Nutzerkennung für Analyse, Messung und Zuordnung von Interaktionen nach Einwilligung.	Microsoft	bis zu 13 Monate
SM	Analyse/Marketing	Synchronisiert Microsoft-Domain-Kennungen für Analyse- und Messzwecke nach Einwilligung.	Microsoft	Sitzung
_fbp	Marketing	Facebook Pixel - Tracking für personalisierte Werbung	Meta (Facebook)	90 Tage
fr	Marketing	Facebook - Werbung und Messung	Meta (Facebook)	90 Tage
li_sugr	Marketing	LinkedIn Insight Tag - Browser-ID	LinkedIn	90 Tage
UserMatchHistory	Marketing	LinkedIn Insight Tag - Synchronisierung	LinkedIn	30 Tage
Consent Mode
_gcl_au	Consent	Google Consent Mode - Conversion Tracking	Google	90 Tage

5. Webshop & Vertragsabwicklung

5.1 E-Commerce-Plattform

Unser Webshop wird auf der Plattform von Shopify International Ltd. (Irland) betrieben. Wenn Sie eine Bestellung aufgeben, verarbeitet Shopify Ihre Bestelldaten (Name, Adresse, Kontaktdaten, Bestelldetails).

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

• AV-Vertrag: Ein AVV mit Shopify liegt vor.

5.2 Zahlungsabwicklung

Für die Abwicklung von Geschäftszahlungen nutzen wir das Konto der Qonto SAS (Frankreich). Bei einer Überweisung werden Ihre Transaktionsdaten verarbeitet.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3 Speicherung von Geschäftsunterlagen

Rechnungen und andere steuerrechtlich relevante Dokumente werden gemäß den gesetzlichen Aufbewahrungsfristen für 10 Jahre gespeichert.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht).

6. Kommunikation

6.1 Newsletter

Für den Versand unseres Newsletters nutzen wir Brevo (ehemals Sendinblue), einen Dienst der Sendinblue GmbH (Deutschland). Wir erheben Ihre E-Mail-Adresse und nutzen das Double-Opt-In-Verfahren, um Ihre Einwilligung zu protokollieren. Ihre Daten werden bis zum Widerruf gespeichert.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

• Widerrufsrecht: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink im Newsletter nutzen oder uns eine E-Mail an datenschutz@xpansio.de senden.

6.2 Telefon & Chat

Fonio GmbH

Zur schnelleren Bearbeitung von Anfragen nutzen wir eine KI-basierte Telefontranskription der Fonio GmbH (Österreich). Zu Beginn des Gesprächs werden Sie auf die Transkription hingewiesen und um Ihre Einwilligung gebeten.

Wichtig: Es erfolgt keine Audio-Aufzeichnung. Ihre Stimme wird ausschließlich live in Text umgewandelt (Transkription). Die Text-Transkriptionen werden für maximal 12 Monate gespeichert.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

• Widerrufsrecht: Sie können Ihre Einwilligung zur Transkription jederzeit während des Gesprächs oder nachträglich widerrufen.

Website-Chat

Wenn Sie unseren Website-Chat nutzen, werden die Inhalte zur Bearbeitung Ihrer Anfrage in unserem CRM-System (HubSpot) gespeichert.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

7. Unsere Systeme im Überblick

7.1 KI- und digitale Assistenzfunktionen

Der Konfigurator selbst arbeitet regelbasiert und deterministisch. KI kommt nicht zur Produktempfehlung im Konfigurator zum Einsatz. Die nachfolgend beschriebenen Assistenzfunktionen werden getrennt vom Konfigurator eingesetzt und treffen keine verbindlichen Entscheidungen.

1. Regelbasierter Konfigurator (keine KI-Funktion)

Was passiert?
Der Wärmepumpen-Konfigurator verarbeitet Ihre technischen Angaben anhand hinterlegter Regeln, Produktdaten, Auslegungslogik und Preis-/Materialdaten. Daraus entsteht eine unverbindliche Produktempfehlung mit Stückliste und Preisindikation. Es findet dabei keine OpenAI- oder sonstige KI-Verarbeitung statt.

Daten:
Technische Konfiguratorangaben, Produktauswahl und Projektparameter. Kontaktdaten werden erst verarbeitet, wenn Sie ein Angebot anfordern.

Ihr Vorteil:
Sie erhalten eine transparente, nachvollziehbare und reproduzierbare Ersteinschätzung.

2. Fonio.ai (Telefon-Assistenz)

Was passiert?
Unser Telefonsystem wandelt mit Ihrer Zustimmung Ihre Stimme live in Text um (Transkription). Es erfolgt keine Audio-Aufzeichnung. Wichtig: Sie werden zu Beginn über die KI-Nutzung informiert.

Daten:
Ihre Stimme wird live transkribiert. Die im Gespräch genannten Informationen werden als Text gespeichert.

Speicherdauer:
Text-Transkriptionen werden für maximal 12 Monate gespeichert.

Ihr Vorteil:
Lückenlose Erfassung Ihres Anliegens, keine Wartezeiten, präzise Bearbeitung.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3. HubSpot AI (Interne Assistenz)

Was passiert?
Intern nutzen wir KI, um die Dringlichkeit von Anfragen zu priorisieren (Lead Scoring) und um erste Entwürfe für Texte zu erstellen (Content-Assistent).

Daten:
Anonymisierte Interaktionsdaten (z.B. Webseiten-Klicks).

Speicherdauer:
Durch Zero Data Retention werden Ihre Daten unmittelbar nach der KI-Verarbeitung bei Drittanbietern gelöscht. Die Ergebnisse (Score-Werte) werden in unserem CRM-System für maximal 3 Jahre bei Inaktivität gespeichert.

Ihr Vorteil:
Effizientere und schnellere Bearbeitung Ihrer Anfragen.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenbetreuung).

4. Lexware AI (Buchhaltung)

Was passiert?
Eine KI erkennt auf Rechnungen automatisch Daten wie Betrag und Datum, um unsere Buchhaltung zu beschleunigen.

Daten:
Rechnungsdaten.

Speicherdauer:
Rechnungsdaten werden gemäß gesetzlicher Aufbewahrungsfristen für 10 Jahre gespeichert. Die KI-Verarbeitung erfolgt temporär zur Datenextraktion.

Ihr Vorteil:
Schnellere und fehlerfreie Verarbeitung von Geschäftsvorgängen.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht zur Aufbewahrung von Geschäftsunterlagen).

5. Google reCAPTCHA (Spamschutz)

Was passiert?

Um unsere Formulare (insb. den Konfigurator und das Kontaktformular) vor automatisierten Angriffen und Spam durch Bots zu schützen, nutzen wir Google reCAPTCHA v3. Dieser Dienst analysiert Ihr Nutzerverhalten (z.B. Mausbewegungen, Verweildauer) im Hintergrund, um festzustellen, ob Sie ein Mensch oder ein Computerprogramm sind.

Daten:

IP-Adresse, Verweildauer auf der Website, getätigte Mausbewegungen und weitere von Google benötigte Daten zur Bereitstellung des Dienstes.

Speicherdauer:
Die Daten werden zur Analyse an Google übertragen. Wir speichern das Ergebnis der Prüfung (Score) in unserem System für die Dauer der Sitzung.

Hinweis: Es gelten die Datenschutzbestimmungen und Nutzungsbedingungen von Google.

Ihr Vorteil:
Sichere Nutzung der Webseite

Rechtsgrundlage:
Art. 6 Abs. 1 lit. c DSGVO (berechtigtes Interesse an der Sicherheit unserer Webseite und Schutz vor betrügerischen Aktivitäten

7.2 Grundlegende IT-Systeme (9)

Diese neun Systeme bilden das Rückgrat unseres Unternehmens. Sie nutzen in der von uns eingesetzten Form keine KI-Funktionen, sind aber für einen reibungslosen Ablauf und die sichere Verarbeitung Ihrer Daten unerlässlich.

System	Zweck & Funktionsweise	Daten & Ihre Vorteile
5. Make.com	Dies ist unsere zentrale Automatisierungsplattform. Sie verbindet unsere anderen Systeme miteinander und sorgt für einen reibungslosen Datenfluss, z.B. vom Konfigurator zu unserem CRM.	Daten: Prozessdaten, die zwischen Systemen ausgetauscht werden. Vorteil: Schnelle und fehlerfreie Übermittlung Ihrer Anfragen.
6. HubSpot CRM	Hier verwalten wir alle Kundenbeziehungen. Ihre Kontaktdaten, E-Mails und Angebote werden hier sicher gespeichert, damit wir Sie optimal betreuen können.	Daten: Ihre Kontakt- und Projektdaten. Vorteil: Persönliche und lückenlose Betreuung über den gesamten Projektverlauf.
7. Shopify	Unser Online-Shop für Zubehör und kleinere Produkte läuft auf dieser E-Commerce-Plattform.	Daten: Bestelldaten, Adress- und Zahlungsinformationen. Vorteil: Sicherer und einfacher Online-Einkauf.
8. Maesn	Ein spezialisierter Dienst, der als "Übersetzer" zwischen unserer Buchhaltung (Lexware) und unserem CRM (HubSpot) fungiert.	Daten: Rechnungs- und Kundendaten. Vorteil: Korrekte und schnelle Zuordnung von Rechnungen und Zahlungen.
9. Microsoft 365	Unser internes Betriebssystem für E-Mails (Outlook), Dokumente (Word, Excel) und Team-Kollaboration (Teams).	Daten: Interne Dokumente, E-Mail-Kommunikation. Vorteil: Professionelle und sichere interne Zusammenarbeit.
10. Brevo	Unser System für den Versand von Newslettern und wichtigen Kundeninformationen per E-Mail.	Daten: Ihre E-Mail-Adresse (nur mit Ihrer Einwilligung). Vorteil: Sie bleiben über wichtige Neuigkeiten und Angebote informiert.
11. Qonto	Unser Geschäftskonto für alle finanziellen Transaktionen.	Daten: Transaktionsdaten. Vorteil: Sicherer und nachvollziehbarer Zahlungsverkehr.
12. IONOS	Unser Partner für das Hosting unserer Webseite und unserer E-Mail-Domänen.	Daten: Webseiten-Daten, E-Mail-Verkehr. Vorteil: Sicherer und zuverlässiger Betrieb unserer Online-Präsenz.
13. Tracking-Tools	Auf unserer Webseite nutzen wir Tools von Google, Meta, etc., um die Nutzung zu analysieren und die Wirksamkeit von Werbung zu messen.	Daten: Anonymisierte Nutzungsdaten (nur mit Ihrer Einwilligung via Cookie-Banner). Vorteil: Wir können unsere Webseite stetig verbessern.

8. KI-Nutzung (Transparenzhinweis nach EU KI-Gesetz)

Wir setzen KI-Systeme mit geringem Risiko ("Limited Risk") ein, um unsere Dienste zu verbessern. Wir setzen keine Hochrisiko-KI ein und treffen keine automatisierten Entscheidungen mit Rechtswirkung.

Unsere KI-Systeme:

• Regelbasierte Empfehlungen im Konfigurator: Unser Konfigurator nutzt KI, um Ihnen passende Produkte vorzuschlagen.

• KI-gestützte Lead-Bewertung (HubSpot): Wir nutzen KI, um die Dringlichkeit von Anfragen zu bewerten (Profiling). Sie haben das Recht, dieser Verarbeitung zu widersprechen.

• KI-basierte Telefontranskription (Fonio): Wie in Abschnitt 6.2 beschrieben.

• KI-gestützte Supportautomatisierung: Zur schnelleren Beantwortung von Standardanfragen.

Ihre Rechte bei KI-Einsatz:

• Recht auf menschliche Überprüfung: Sie können verlangen, dass eine KI-basierte Entscheidung von einem Menschen überprüft wird.

• Recht auf Erklärung: Sie können eine Erklärung zur Funktionsweise der KI verlangen.

• Recht auf Widerspruch: Sie können der KI-gestützten Verarbeitung Ihrer Daten widersprechen.

9. Weitergabe an Partner & Dienstleister

9.1 Empfängerkategorien

Wir geben Ihre Daten nur an folgende Kategorien von Empfängern weiter:

• Hosting-Anbieter (IONOS)

• CRM-Anbieter (HubSpot)

• E-Commerce-Plattformen (Shopify)

• Zahlungsdienstleister (Qonto)

• Marketing-Tools (Google, Meta, LinkedIn)

• Kommunikationstools (Microsoft, Brevo, Fonio)

• Buchhaltungssoftware (Lexware)

• Automatisierungsplattformen (Make.com, Maesn)

• KI-Dienstleister (OpenAI)

• Installationspartner (zertifizierte SHK-Betriebe)

9.2 Installationspartner

Zur Durchführung von Vor-Ort-Terminen und Installationen übermitteln wir Ihre Kontaktdaten, Adressdaten und technische Projektdaten an zertifizierte SHK-Installationspartner. Diese Partner sind vertraglich zur Vertraulichkeit verpflichtet.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9.3 Interne Verarbeitung

Innerhalb unseres Unternehmens haben nur autorisierte Mitarbeiter (z.B. Sales, Support, Technikkoordination) Zugriff auf Ihre Daten, die diesen zur Erfüllung ihrer Aufgaben benötigen (rollenbasierter Zugriff).

10. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen (z.B. 10 Jahre für Rechnungen) es vorschreiben.

Datenart	Speicherdauer
Logfiles (IONOS)	max. 30 Tage
Kontaktanfragen	12 Monate
CRM-Daten (HubSpot)	max. 3 Jahre bei Inaktivität
Vertragsdaten	10 Jahre (gesetzlich)
Newsletter-Anmeldung	bis zum Widerruf
Konfigurator-Daten im Backoffice	30 Tage
HubSpot AI-Daten	Sofort gelöscht (Zero Data Retention), Ergebnisse: 3 Jahre
Fonio Transkriptionen	12 Monate
Lexware Rechnungsdaten	10 Jahre (gesetzlich)

11. Ihre Rechte als Betroffene(r)

Sie haben jederzeit folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.

• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.

• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen.

• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de

Kontakt für Ausübung Ihrer Rechte:
datenschutz@xpansio.de

12. Bereitstellung von Daten

12.1 Vertragliche Erfordernis

Die Bereitstellung Ihrer personenbezogenen Daten ist für den Abschluss und die Erfüllung eines Vertrages mit uns erforderlich. Ohne diese Daten können wir Ihre Anfrage nicht bearbeiten oder einen Vertrag nicht erfüllen.

12.2 Gesetzliche Pflicht

Es besteht keine gesetzliche oder vertragliche Pflicht zur Bereitstellung Ihrer Daten, außer in den Fällen, in denen dies für die Vertragserfüllung erforderlich ist (z.B. Bestellung im Webshop).

12.3 Konsequenzen der Nichtbereitstellung

Wenn Sie die erforderlichen Daten nicht bereitstellen, können wir:

• Ihre Anfrage nicht bearbeiten

• Keinen Vertrag mit Ihnen abschließen

• Keine Produkte oder Dienstleistungen an Sie liefern

• Sie nicht über wichtige Informationen informieren (bei fehlender Newsletter-Anmeldung)

13. Datenübermittlung in Drittländer

Eine Übermittlung von Daten in die USA erfolgt nur auf Grundlage Ihrer Einwilligung (bei Marketing-Tools) und wird durch folgende Garantien abgesichert:

13.1 OpenAI (USA)

• Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln)

• Zusätzliche Garantie: Teilnahme am EU-U.S. Data Privacy Framework (DPF)

• Speicherdauer: 30 Tage

13.2 Google Analytics (USA)

• Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln) + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

• Zusätzliche Garantie: Teilnahme am EU-U.S. Data Privacy Framework (DPF)

• Nur mit Ihrer Einwilligung via Cookie-Banner

13.3 Meta Pixel / Facebook (USA)

• Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln) + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

• Zusätzliche Garantie: Teilnahme am EU-U.S. Data Privacy Framework (DPF)

• Nur mit Ihrer Einwilligung via Cookie-Banner

13.4 LinkedIn Insight Tag (USA)

• Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln) + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

• Zusätzliche Garantie: Teilnahme am EU-U.S. Data Privacy Framework (DPF)

• Nur mit Ihrer Einwilligung via Cookie-Banner

14. Sicherheit & Technische Maßnahmen

Wir schützen Ihre Daten durch technische und organisatorische Maßnahmen wie:

• SSL/TLS-Verschlüsselung für die Datenübertragung

• Rollenbasierte Zugriffskonzepte (nur autorisierte Mitarbeiter)

• Regelmäßige Sicherheitsüberprüfungen

• Firewall und Intrusion Detection

• Regelmäßige Backups

• Verschlüsselte Datenspeicherung

7.2 Einsatz von Künstlicher Intelligenz (KI)

Zur Unterstützung unserer Geschäftsprozesse setzen wir KI-basierte Systeme ein. Diese Systeme unterstützen unsere Mitarbeiter insbesondere bei der Erstellung von Textvorschlägen, Zusammenfassung von Informationen, Bearbeitung von Kundenanfragen, Analyse technischer Fehler und Unterstützung interner Verwaltungsprozesse.

Die eingesetzten Systeme treffen keine rechtsverbindlichen Entscheidungen gegenüber Kunden. Vertragsabschlüsse, Angebotsfreigaben, Fördermittelbewertungen, Reklamationen und sonstige geschäftliche Entscheidungen werden ausschließlich durch natürliche Personen getroffen.