Datenschutzerklärung
1. Verantwortlicher
Eduardo Arturo Sieber Artiles
Heubnerweg 9
14059 Berlin, Deutschland
E-Mail: hi@sieberedu.com
Bei Fragen zum Datenschutz auf dieser Website wenden Sie sich bitte direkt per E-Mail an die oben genannte Adresse.
2. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen des § 38 BDSG nicht vorliegen. Als Einzelunternehmer ohne Beschäftigte, die regelmäßig personenbezogene Daten verarbeiten, und ohne Verarbeitung besonderer Kategorien im Sinne des Art. 9 DSGVO (diese werden aktiv abgelehnt — siehe Abschnitt 15) besteht keine Bestellpflicht.
3. Ihre Betroffenenrechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage.
- Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.
- Datenübertragbarkeit (Art. 20 DSGVO): Daten, die Sie uns auf Grundlage einer Einwilligung oder eines Vertrages bereitgestellt haben, können Sie in einem strukturierten, maschinenlesbaren Format herausverlangen.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten, die auf berechtigtem Interesse (Art. 6(1)(f)) beruht, jederzeit widersprechen. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte per E-Mail an hi@sieberedu.com.
4. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Friedrichstr. 219
10969 Berlin
Website: https://www.datenschutz-berlin.de
5. App-Hosting (Vercel)
Diese Website wird auf der Plattform der Vercel, Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) betrieben.
| Merkmal | Details |
|---|---|
| Rolle | Auftragsverarbeiter (Art. 28 DSGVO) |
| Datenstandort | Server Actions und Edge-Funktionen sind auf die Region Frankfurt (fra1) gemäß apps/website/vercel.json festgelegt. Vercels US-Kontrollebene (Build-Logs, Konto-Metadaten) verarbeitet Betriebsdaten in den USA. |
| Übermittlungsmechanismus | EU-US-Datenschutzrahmen (DPF) — Vercel ist seit 2024 DPF-zertifiziert (Listing: https://www.dataprivacyframework.gov/list). Ergänzend gelten Standardvertragsklauseln (SCCs) aus dem Vercel DPA. |
| DPA-Status | Vercel Data Processing Addendum (https://vercel.com/legal/dpa) — vor Produktivnahme von Eduardo akzeptiert. |
| Verarbeitete Daten | Alle Daten, die über die Website übermittelt werden (Zugriffs- und Funktionsprotokolle, Kontaktformulardaten beim Eingang in die Server Action, Edge-Cache-Inhalte). Verschlüsselte Persistenz erfolgt in der Neon-Datenbank (Abschnitt 6). |
| Sicherheitsmaßnahmen | TLS 1.2+ in transit; DDoS-Schutz; Region-Pinning auf fra1; Auth.js-Sessions mit MFA für Administrationszugänge. |
DNS-Auflösung und ausgehender E-Mail-Versand erfolgen über Hostinger International Ltd. — siehe Abschnitt 9.
6. Datenbank
Die Datenbank dieser Website wird von Neon, Inc. (US-Unternehmen) betrieben.
| Merkmal | Details |
|---|---|
| Rolle | Auftragsverarbeiter (Art. 28 DSGVO) |
| Datenstandort | EU Frankfurt (AWS eu-central-1) — Datenbankregion vor Inbetriebnahme in Neon-Dashboard bestätigen |
| Übermittlungsmechanismus | Betriebsdaten bleiben in EU Frankfurt. Neons US-Kontrollplane erfordert Standardvertragsklauseln (SCCs) — Neon veröffentlicht DPA mit SCC-Anhang |
| DPA-Status | Neon Standard-DPA (über Neon-Projektdashboard abrufbar) |
| Verarbeitete Daten | Verschlüsselte Lead-Daten, Einwilligungsprotokolle, E-Mail-Protokolle, Audit-Protokoll |
| Sicherheitsmaßnahmen | Spaltenebenen-Verschlüsselung via pgcrypto; TLS in transit; Row-Level Security (RLS); tägliche Backups |
7. Anti-Bot-Schutz (Cloudflare Turnstile)
Beim Absenden des Kontaktformulars setzen wir Cloudflare Turnstile der Cloudflare, Inc. (US-Unternehmen) ein. Dieses Verfahren schützt das Formular vor automatisierten Missbrauchs-Einreichungen.
| Merkmal | Details |
|---|---|
| Rolle | Auftragsverarbeiter (Art. 28 DSGVO) |
| Verarbeitete Daten | IP-Adresse, User-Agent, Verhaltensmerkmale während der Sicherheitsprüfung. Keine Formularinhalte |
| Rechtsgrundlage | Art. 6(1)(f) DSGVO — berechtigtes Interesse an der Sicherheit der Kontaktinfrastruktur (LIA-006 verfügbar auf Anfrage) |
| Übermittlungsmechanismus | EU-US-Datenschutzrahmen (DPF) — Cloudflare ist DPF-zertifiziert |
| DPA-Status | Cloudflare Data Processing Addendum (https://www.cloudflare.com/cloudflare-customer-dpa/) |
Turnstile verwendet keine Drittanbieter-Cookies und kein weitreichendes Browser-Fingerprinting.
8. Statistik und Webanalyse
Wir setzen Analysetools nur dann ein, wenn Sie uns ausdrücklich Ihre Einwilligung erteilt haben (Cookie-Banner). Ohne Einwilligung werden keine Analyse-Skripte geladen — dies wird serverseitig gesteuert.
Google Analytics 4
Bei erteilter Einwilligung nutzen wir Google Analytics 4 der Google Ireland Ltd. (für EWR-Nutzer) bzw. Google LLC (US).
- IP-Anonymisierung ist aktiviert (
anonymize_ip: true). - Keine personenbezogenen Daten werden in eigenen GA4-Events erfasst.
- Übermittlungsmechanismus: EU-US-Datenschutzrahmen (DPF).
- Rechtsgrundlage: Art. 6(1)(a) DSGVO (Ihre Einwilligung).
- Sie können Ihre Einwilligung jederzeit über "Cookies verwalten" (Footer) widerrufen.
Microsoft Clarity
Bei erteilter Einwilligung nutzen wir Microsoft Clarity der Microsoft Corporation (US).
- PII-Maskierung ist aktiviert — Formularinhalte und persönliche Daten werden nicht aufgezeichnet.
- Übermittlungsmechanismus: EU-US-Datenschutzrahmen (DPF).
- Rechtsgrundlage: Art. 6(1)(a) DSGVO (Ihre Einwilligung).
- Sie können Ihre Einwilligung jederzeit über "Cookies verwalten" (Footer) widerrufen.
9. DNS und E-Mail-Versand (Hostinger)
DNS-Auflösung für sieberedu.com sowie der Versand transaktionaler Bestätigungs-E-Mails erfolgen über Hostinger International Ltd. (61 Lordou Vironos Street, 6023 Larnaca, Zypern).
| Merkmal | Details |
|---|---|
| Rolle | Auftragsverarbeiter (Art. 28 DSGVO) |
| Zweck | DNS-Auflösung der sieberedu.com-Zone; SMTP-Versand von Bestätigungs-E-Mails an Anfragesteller |
| Datenstandort | EU (Zypern / EU-Rechenzentren) |
| Übermittlungsmechanismus | Innerhalb EU/EWR — kein Kapitel-V-Mechanismus erforderlich |
| DPA-Status | Hostinger Standard-DPA (über hPanel-Kontoverwaltung abrufbar) |
| Verarbeitete Daten | DNS-Anfragen (IP-Adressen der Auflöser); Empfängeradresse, Betreff und Nachrichtentext der Bestätigungs-E-Mails |
10. Quellcode-Hosting (GitHub)
Der Quellcode dieser Website wird auf Servern von GitHub, Inc. (US, Tochtergesellschaft von Microsoft, DPF-zertifiziert) gehostet. GitHub verarbeitet während des laufenden Betriebs der Website keine personenbezogenen Daten der Websitebesucher. Der Quellcode enthält keine personenbezogenen Daten.
11. Cookies
Eine detaillierte Aufstellung aller eingesetzten Cookies — mit Zweck, Laufzeit und Rechtsgrundlage — finden Sie in unserer Cookie-Richtlinie.
12. Kontaktformular
Wenn Sie uns über das Kontaktformular auf dieser Website kontaktieren, verarbeiten wir folgende Daten:
Erhobene Daten: Name, E-Mail-Adresse, optional Telefonnummer, Unternehmen, Branche, Land, Nachrichtentext.
Zweck: Bearbeitung und Beantwortung Ihrer Anfrage; ggf. Scoping einer Beratungsleistung.
Rechtsgrundlage: Art. 6(1)(a) DSGVO (Ihre ausdrückliche Einwilligung über das Pflichtfeld im Formular) in Verbindung mit Art. 6(1)(f) DSGVO (berechtigtes Interesse an der Bearbeitung eingehender Geschäftsanfragen — LIA-001 ist auf Anfrage erhältlich).
Speicherdauer: 24 Monate ab letzter Interaktion. Nach Ablauf werden personenbezogene Felder (E-Mail, Telefon, Nachrichtentext) anonymisiert.
Empfänger: Ausschließlich Eduardo Sieber als Verantwortlicher. Keine Weitergabe an Dritte zu Werbezwecken.
E-Mail-Adressen und Telefonnummern werden verschlüsselt in der Datenbank gespeichert (spaltenebene Verschlüsselung via pgcrypto).
13. Bestätigungs-E-Mails und E-Mail-Protokoll
Nach Eingang Ihrer Anfrage versenden wir eine automatische Bestätigungs-E-Mail. Aus Nachweisgründen (Art. 12(3) DSGVO) und für buchhalterische Zwecke (§ 147 AO) führen wir ein verschlüsseltes E-Mail-Protokoll.
Speicherdauer: 24 Monate für Anfrage-Bestätigungen (anonymisiert nach Ablauf); 10 Jahre für rechnungsbezogene E-Mails (§ 147 AO Aufbewahrungspflicht).
Rechtsgrundlage: Art. 6(1)(f) (Audit-Trail) und Art. 6(1)(c) (gesetzliche Aufbewahrungspflicht für Rechnungsunterlagen).
14. Sicherheitsrelevante Daten (Rate-Limiting)
Um Missbrauch des Kontaktformulars zu verhindern, verarbeiten wir beim Absenden des Formulars einen pseudonymisierten HMAC-SHA256-Hash Ihrer IP-Adresse und Ihres User-Agents.
Zweck: Schutz vor automatisierten Einreichungsfluten (Rate-Limiting).
Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse am Schutz der Kontaktinfrastruktur (LIA-006 verfügbar auf Anfrage).
Speicherdauer: 10 Minuten. Danach werden diese Daten automatisch gelöscht.
Hinweis: Die gespeicherten Hash-Werte sind pseudonymisiert (Art. 4(5) DSGVO) — ohne den serverseitigen HMAC-Schlüssel ist keine Rückverfolgung zur ursprünglichen IP möglich.
15. Hinweis für Nutzer aus dem Gesundheitswesen
Wir bieten Beratungsleistungen zu IT-Tools und Prozessen für Arztpraxen, Therapieeinrichtungen und ähnliche Gesundheitsdienstleister an. Unsere Beratung bezieht sich ausschließlich auf Ihre eigenen Betriebsabläufe — nicht auf einzelne Behandlungsfälle oder Patientendaten.
Wir bitten Sie ausdrücklich, in unserem Kontaktformular und in zukünftigen Chat-Interaktionen keine Patientendaten oder personenbezogene Daten Dritter zu teilen. Wir benötigen diese Informationen nicht, um Ihnen bei der Auswahl geeigneter Tools und der Gestaltung DSGVO-konformer Prozesse zu helfen.
Sollten Sie versehentlich solche Daten übermitteln, redigieren wir die Inhalte beim Eingang und protokollieren die Redaktion in unserem Audit-Log. Es findet keine weitere Verarbeitung dieser Daten statt.
16. Internationale Datenübermittlungen
Folgende Auftragsverarbeiter mit Sitz in den USA verarbeiten im Rahmen der Nutzung dieser Website Daten:
| Auftragsverarbeiter | Zweck | Übermittlungsmechanismus |
|---|---|---|
| Vercel, Inc. | App-Hosting (Server Actions, Edge-Funktionen) | EU-US-Datenschutzrahmen (DPF) + SCCs gemäß Vercel DPA |
| Cloudflare, Inc. | Turnstile Anti-Bot | EU-US-Datenschutzrahmen (DPF) |
| Google LLC | Analytics 4 (nur bei Einwilligung) | EU-US-Datenschutzrahmen (DPF) |
| Microsoft Corporation | Clarity (nur bei Einwilligung) | EU-US-Datenschutzrahmen (DPF) |
| GitHub, Inc. | Quellcode-Hosting (keine Laufzeit-PD) | EU-US-Datenschutzrahmen (DPF) |
| Neon, Inc. | Datenbankbetrieb | Standardvertragsklauseln (SCCs) + Datenstandort EU Frankfurt |
Der EU-US-Datenschutzrahmen wurde von der Europäischen Kommission mit Angemessenheitsbeschluss vom 10. Juli 2023 anerkannt. Alle genannten US-Empfänger sind nach unserer letzten Überprüfung DPF-zertifiziert. Sollte der DPF durch zukünftige Entscheidungen des Gerichtshofs der Europäischen Union (vergleichbar Schrems II, EuGH Rs. C-311/18 vom 16.07.2020) für unwirksam erklärt werden, stützen wir die Übermittlungen ab diesem Zeitpunkt auf Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss 2021/914 in Verbindung mit zusätzlichen technischen und organisatorischen Maßnahmen (TLS-Verschlüsselung in transit, Spaltenebenen-Verschlüsselung sensibler Daten, Datenstandort-Pinning). Die DPF-Zertifizierungen werden mindestens jährlich überprüft.
17. Speicherfristen im Überblick
| Datenart | Speicherdauer | Begründung |
|---|---|---|
| Lead-Daten (Kontaktanfragen) | 24 Monate ab letzter Interaktion | Geschäftliche Nachverfolgung (LIA-001) |
| Kundendaten (Rechnungsunterlagen) | 10 Jahre | § 147 AO Aufbewahrungspflicht |
| Audit-Protokoll | 3 Jahre | Art. 5(2) DSGVO Rechenschaftspflicht |
| Einwilligungsprotokoll (ConsentLog) | 3 Jahre nach Widerruf | Art. 7(1) DSGVO Nachweispflicht |
| E-Mail-Protokoll (Anfragen) | 24 Monate | Art. 12(3) DSGVO Nachverfolgung |
| E-Mail-Protokoll (Rechnungen) | 10 Jahre | § 147 AO |
| Benachrichtigungen (intern) | 90 Tage | Operative Notwendigkeit |
| Agent-Aufgaben | 90 Tage | Operative Notwendigkeit |
| Rate-Limit-Daten (pseudonymisiert) | 10 Minuten | Zweckbindung (LIA-006) |
18. Automatisierte Entscheidungsfindung
Wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung gemäß Art. 22 DSGVO. Tool-Empfehlungen, die auf Grundlage Ihrer Anfrage erstellt werden, werden von Eduardo Sieber persönlich geprüft und freigegeben, bevor sie an Sie übermittelt werden. Es findet keine vollständig automatisierte Entscheidungsfindung ohne menschliche Überprüfung statt.
19. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen:
- Transportverschlüsselung: TLS 1.2 oder höher für alle Verbindungen.
- Ruheverschlüsselung: Speicherebene-Verschlüsselung durch Vercel (Build- und Funktions-Artefakte) und Neon (Datenbankspeicher); zusätzliche spaltenebene Verschlüsselung sensibler Felder (E-Mail, Telefon, Nachrichtentext) via pgcrypto.
- Zugriffsbeschränkung: Row-Level Security (RLS) in der Datenbank stellt sicher, dass jede Komponente nur auf die für sie notwendigen Daten zugreifen kann.
- Schlüsselverwaltung: Verschlüsselungsschlüssel werden als separate Umgebungsvariablen verwaltet; ein Rotationsplan ist dokumentiert.
- Authentifizierung: Mehrfaktor-Authentifizierung (MFA) für den Admin-Zugang.
- Audit-Protokoll: Alle Admin-Zugriffe auf personenbezogene Daten werden protokolliert.
20. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wurde zuletzt am 11. Mai 2026 aktualisiert. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Anforderungen oder an Änderungen unserer Dienstleistungen anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden wir Sie — soweit möglich — informieren.
Die deutsche Fassung ist die rechtlich verbindliche Version.