Stand: 28. Mai 2026 | Version: 1.3
Inhaltsverzeichnis
- Verantwortliche Stelle & Kontakt
- Datenkategorien, Zwecke & Rechtsgrundlagen
- Speicherdauer
- Technische & Organisatorische Maßnahmen (TOM)
- Cookies & Tracking
- Spam-Schutz durch Google reCAPTCHA
- Weitergabe an Dritte
- Social Media & externe Links
- Automatisierte Entscheidungen & Profiling
- Betroffenenrechte
- Aktualität, Versionierung & Änderungen
- Rechtliche Prüfung & Verzeichnis der Verarbeitungstätigkeiten
1. Verantwortliche Stelle & Kontakt
In diesem Abschnitt erfahren Sie, wer für die Datenverarbeitung bei Zimara GmbH verantwortlich ist und wie Sie uns bei Fragen zum Datenschutz erreichen.
Verantwortlich:
Zimara GmbH
Lange Lage 5
37154 Northeim, Deutschland
Kontakt:
E-Mail: info@zimara-gmbh.de
Tel.: +49 5551 98200
Fax: +49 5551 982020
Datenschutzbeauftragte/r
Gemäß Art. 37 Abs. 1 DSGVO wird ein Datenschutzbeauftragter bestellt, sobald die gesetzlichen Voraussetzungen (z. B. umfangreiche Datenverarbeitung oder Verarbeitung besonderer Kategorien) erfüllt sind.
Datenschutzkontakt (bis zur DPO-Benennung)
E-Mail: datenschutz@zimara-gmbh.de
Tel.: +49 5551 98200
2. Datenkategorien, Zwecke & Rechtsgrundlagen
Dieser Abschnitt erläutert, welche personenbezogenen Daten wir erheben, zu welchen Zwecken und auf welcher rechtlichen Basis.
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Anrede, Vor-/Nachname, Anschrift | Vertragserfüllung (z. B. Angebot, Abrechnung) Versand von Dokumenten (Verträge, Infomaterial) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| E-Mail-Adresse | Beantwortung von Anfragen Versand wichtiger Informationen Newsletterversand (nach Einwilligung) | Art. 6 Abs. 1 lit. b & lit. a DSGVO (Kommunikation & Einwilligung) |
| Telefon (Festnetz/Mobil) | Terminabsprachen Dringende Rückfragen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| IP-Adresse, Datum/Uhrzeit, Logdaten | Gewährleistung der IT-Sicherheit Fehleranalyse Erkennung und Abwehr von Angriffen | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Nachrichten im Kontaktformular | Bearbeitung Ihrer Anfragen Dokumentation der Kommunikation | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Freiwillige Angaben (Firma, Betreff) | Schnellere Bearbeitung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Bewerberdaten | Auswahlverfahren, Vertragsangebot | Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG |
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Derzeit verarbeiten wir keine besonderen Kategorien (z. B. Gesundheitsdaten). Sollte dies zukünftig erforderlich sein, werden diese Daten gesondert aufgeführt und mit entsprechender Rechtsgrundlage (Art. 9 Abs. 2 DSGVO) sowie zusätzlichen Schutzmaßnahmen dokumentiert.
Weitere Erläuterungen:
• Vertragserfüllung (Art. 6 1 b): Wir benötigen Ihre Daten, um Leistungen zu erbringen und Verträge abzuwickeln.
• Einwilligung (Art. 6 1 a): Newsletter versenden wir nur nach ausdrücklicher Einwilligung (Double-Opt-In). Widerruf jederzeit ohne Angabe von Gründen möglich (Art. 7 Abs. 3 DSGVO).
• Berechtigtes Interesse (Art. 6 1 f): Sicherheitsmaßnahmen und Systemstabilität dienen dem Schutz unserer Infrastruktur und Ihrer Daten.
• Newsletterversand (nach Einwilligung): Versand erfolgt ausschließlich nach ausdrücklicher Bestätigung (Double-Opt-In). Widerruf formlos per E-Mail an newsletter-widerruf@zimara-gmbh.de; Löschung binnen 30 Tagen.
3. Speicherdauer
Hier erklären wir, wie lange wir Ihre Daten aufbewahren und wann diese gelöscht werden:
- Vertrags- und Rechnungsdaten: Bis zu 10 Jahre (mandatsrechtliche und steuerrechtliche Aufbewahrungspflichten nach § 257 HGB, §§ 147 ff. AO).
- Kontaktanfragen & Logdaten: Mindestens 30 Tage, anschließend vollständig und irreversibel gelöscht. Gesetzliche Ausnahmen bleiben unberührt.
- Newsletter-Abonnement: Bei Widerruf oder Kündigung werden betroffene Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Die Einhaltung dieser Speicherdauern wird im Rahmen unserer jährlichen Datenschutz-Audits überprüft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c (gesetzliche Aufbewahrungspflichten) und lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
4. Technische & Organisatorische Maßnahmen (TOM)
Nach Art. 32 DSGVO schützen wir Ihre Daten mit folgenden Maßnahmen:
- Zugangskontrolle
- Nur berechtigtes Personal erhält physischen und elektronischen Zugriff.
- Rollen- und Rechtematrix definiert Verantwortlichkeiten.
- Überprüfung der Zugriffsrechte halbjährlich.
- Zugriffsrechte & Rollen
- Need-to-Know-Prinzip: minimale Berechtigungen.
- Regelmäßige Anpassung und Dokumentation.
- Verschlüsselung
- SSL/TLS (mindestens TLS 1.2, HSTS aktiviert).
- Datenbankverschlüsselung für besonders schützenswerte Daten.
- Backup & Monitoring
- Tägliche Offsite-Backups (Retention: 30 Tage).
- Verantwortliche für Wiederherstellung benannt.
- Regelmäßige Notfallübungen und Dokumentation.
- Spam-/Malware-Filter
- Filter für Kontaktformulare und E-Mail-Eingang.
- Automatische Erkennung und Quarantäne.
- Incident-Management
- Meldung sicherheitsrelevanter Vorfälle innerhalb von 4 Stunden.
- Benachrichtigung der Aufsichtsbehörde und Betroffener binnen 72 Stunden.
- DSFA nach Art. 35 DSGVO bei hohem Risiko.
- Halbjährliche Penetrationstests durch externe Experten.
Ein vollständiges Verzeichnis unserer TOM kann auf Anfrage eingesehen werden.
5. Cookies & Tracking
Erfahren Sie hier, welche Cookies wir verwenden und wie Sie diese verwalten können:
Essenzielle Session-Cookies: Notwendig für Navigation und Funktionalität. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
| Cookie-Kategorie | Zweck | Speicherdauer | Anbieter | Rechtsgrundlage |
|---|---|---|---|---|
| session_id | Sitzungsverwaltung | Browser-Session | zimara-gmbh.de | Art. 6 Abs. 1 lit. f DSGVO |
| cookie_consent | Speicherung Consent-Einstellungen | 12 Monate | Consent-Tool | Art. 6 Abs. 1 lit. c DSGVO |
| csrf_token | Schutz vor Cross-Site-Requests | Browser-Session | zimara-gmbh.de | Art. 6 Abs. 1 lit. f DSGVO |
| _GRECAPTCHA | Spam-/Bot-Schutz unserer Formulare (Google reCAPTCHA, siehe Abschnitt 6) | ca. 6 Monate | Google Ireland Ltd. | Art. 6 Abs. 1 lit. f DSGVO |
Wir setzen keine Analyse- oder Marketing-Cookies ein. Zum Schutz unserer Online-Formulare verwenden wir Google reCAPTCHA, das ein eigenes Cookie setzen und Google-Skripte laden kann; Einzelheiten hierzu finden Sie in Abschnitt 6. Die Verwaltung von Cookies ist über Ihre Browser-Einstellungen möglich.
6. Spam-Schutz durch Google reCAPTCHA
Zum Schutz unserer Online-Formulare – insbesondere des Kontaktformulars – vor automatisierten Eingaben (Spam, Bots) setzen wir den Dienst „reCAPTCHA v3" ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google").
Funktionsweise & Datenverarbeitung: reCAPTCHA analysiert im Hintergrund das Verhalten der Websitebesucher und vergibt eine Bewertung (Score), um menschliche Nutzer von automatisierten Zugriffen zu unterscheiden. Dabei werden unter anderem die IP-Adresse, Informationen zu Browser und Betriebssystem, die Verweis-URL, der Zeitpunkt des Zugriffs sowie Maus- und Eingabeverhalten verarbeitet. Eine sichtbare Captcha-Aufgabe entsteht für den Nutzer in der Regel nicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz unserer Formulare vor Missbrauch und in der Gewährleistung der IT-Sicherheit.
Drittlandtransfer: Im Rahmen der Nutzung können Daten an die Google LLC in den USA übermittelt werden. Grundlage ist das EU-US Data Privacy Framework, in dem Google LLC zertifiziert ist, ergänzend die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).
Keine Entscheidung mit rechtlicher Wirkung: Die automatisierte Bewertung dient ausschließlich der Bot-Erkennung und führt zu keiner Entscheidung mit rechtlicher Wirkung gegenüber der betroffenen Person im Sinne des Art. 22 DSGVO.
Weitere Informationen finden Sie in der Datenschutzerklärung (policies.google.com/privacy) und den Nutzungsbedingungen (policies.google.com/terms) von Google.
7. Weitergabe an Dritte
Mit welchen Partnern wir zusammenarbeiten und wann Daten übermittelt werden:
- Auftragsverarbeiter (Art. 28 DSGVO): Hosting-Provider, Zahlungsdienstleister, Steuerberater, Logistikpartner (jeweils auf Grundlage eines Auftragsverarbeitungsvertrags).
- Spam-Schutz: Google (reCAPTCHA), Einzelheiten siehe Abschnitt 6.
- Standardvertragsklauseln (2021): Einsatz bei Drittlandtransfers.
- Drittlandtransfer: Standardvertragsklauseln der EU-Kommission bzw. EU-US Data Privacy Framework, ergänzt durch TOM (Art. 46 Abs. 2 lit. c DSGVO).
- Behördliche Weitergabe: Nur bei gesetzlicher Verpflichtung, keine freiwillige Herausgabe.
8. Social Media & externe Links
Hinweise zu Datenflüssen bei Besuch unserer Social Media Auftritte oder externen Links:
Plattformen: LinkedIn, YouTube, Vimeo – Datenübermittlung gemäß Anbieter-Richtlinien.
- YouTube „Privacy-Enhanced Mode": Laden erst nach Klick.
- Referrer-Header: Unterdrückung möglich durch rel="noreferrer".
| Plattform | Datenübermittlung bei Klick | Rechtsgrundlage |
|---|---|---|
| Referrer-URL, IP-Adresse, Zeitstempel | Art. 6 Abs. 1 lit. f DSGVO | |
| YouTube | Referrer-URL, IP-Adresse, Zeitstempel | Art. 6 Abs. 1 lit. f DSGVO |
| Vimeo | Referrer-URL, IP-Adresse, Zeitstempel | Art. 6 Abs. 1 lit. f DSGVO |
9. Automatisierte Entscheidungen & Profiling
Wir setzen keine automatisierten Einzelentscheidungen ein, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Die im Rahmen des Spam-Schutzes (Google reCAPTCHA, siehe Abschnitt 6) erfolgende automatisierte Bewertung dient ausschließlich der Unterscheidung zwischen menschlichen und automatisierten Zugriffen und führt zu keiner solchen Entscheidung. Darüber hinausgehende Analysen erfolgen manuell.
10. Betroffenenrechte
Ihre Datenschutzrechte und Fristen:
| Recht | Inhalt | Frist |
|---|---|---|
| Auskunft (Art. 15) | Informationen zu verarbeiteten Daten | 1 Monat (verlängerbar auf 3 Monate) |
| Berichtigung (Art. 16) | Korrektur unrichtiger Daten | Ohne Verzug |
| Löschung (Art. 17) | Löschung bei Wegfall der Rechtsgrundlage | Ohne Verzug |
| Einschränkung (Art. 18) | Einschränkung der Verarbeitung | Ohne Verzug |
| Datenübertragbarkeit (Art. 20) | Datenübernahme im maschinenlesbaren Format | Ohne Verzug |
| Widerruf (Art. 7) | Widerruf von Einwilligungen | Sofort |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung | Sofort |
| Beschwerde (Art. 77) | Beschwerde bei Aufsichtsbehörde Niedersachsen | Jederzeit |
Verfahrensablauf: Anfrage per E-Mail/Post, Identitätsprüfung, Bearbeitung innerhalb eines Monats.
11. Aktualität, Versionierung & Änderungen
- Version: 1.3 (28. Mai 2026)
- Regelmäßige Prüfung jeweils zum 1. Mai; nächste Revision: 01.05.2027.
- Änderungsprotokoll:
- 1.0 – 18.04.2018: Erste Veröffentlichung
- 1.1 – 15.10.2022: Ergänzung Social-Media-Hinweise, Cookie-Consent
- 1.2 – 28.04.2025: Erweiterung TOM, Profiling-Hinweis, Betroffenenrechte
- 1.3 – 28.05.2026: Ergänzung Google reCAPTCHA (Spam-Schutz Kontaktformular), Anpassung Cookies (Abschnitt 5) und Profiling-Hinweis (Abschnitt 9)
12. Rechtliche Prüfung & Verzeichnis der Verarbeitungstätigkeiten
Geprüft von Rechtsabteilung und Compliance-Team gemäß Art. 30 DSGVO und BDSG.
Verzeichnis der Verarbeitungstätigkeiten: „2025-04-28_Verarbeitungstätigkeiten_Zimara" – Downloadlink auf Anfrage.
© 2026 Zimara GmbH – Alle Rechte vorbehalten.