Stand: 28. April 2025 | Version: 1.2
Inhaltsverzeichnis
- Verantwortliche Stelle & Kontakt
- Datenkategorien, Zwecke & Rechtsgrundlagen
- Speicherdauer
- Technische & Organisatorische Maßnahmen (TOM)
- Cookies & Tracking
- Weitergabe an Dritte
- Social Media & externe Links
- Automatisierte Entscheidungen & Profiling
- Betroffenenrechte
- Aktualität, Versionierung & Änderungen
- Rechtliche Prüfung & Verzeichnis der Verarbeitungstätigkeiten
1. Verantwortliche Stelle & Kontakt
In diesem Abschnitt erfahren Sie, wer für die Datenverarbeitung bei Zimara GmbH verantwortlich ist und wie Sie uns bei Fragen zum Datenschutz erreichen.
Verantwortlich:
Zimara GmbH
Lange Lage 5
37154 Northeim, Deutschland
Kontakt:
E-Mail: info@zimara-gmbh.de
Tel.: +49 5551 98200
Fax: +49 5551 982020
Datenschutzbeauftragte/r
Gemäß Art. 37 Abs. 1 DSGVO wird ein Datenschutzbeauftragter bestellt, sobald die gesetzlichen Voraussetzungen (z. B. umfangreiche Datenverarbeitung oder Verarbeitung besonderer Kategorien) erfüllt sind.
Datenschutzkontakt (bis zur DPO-Benennung)
E-Mail: datenschutz@zimara-gmbh.de
Tel.: +49 5551 98200
2. Datenkategorien, Zwecke & Rechtsgrundlagen
Dieser Abschnitt erläutert, welche personenbezogenen Daten wir erheben, zu welchen Zwecken und auf welcher rechtlichen Basis.
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Anrede, Vor-/Nachname, Anschrift | Vertragserfüllung (z. B. Angebot, Abrechnung) Versand von Dokumenten (Verträge, Infomaterial) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| E-Mail-Adresse | Beantwortung von Anfragen Versand wichtiger Informationen Newsletterversand (nach Einwilligung) | Art. 6 Abs. 1 lit. b & lit. a DSGVO (Kommunikation & Einwilligung) |
| Telefon (Festnetz/Mobil) | Terminabsprachen Dringende Rückfragen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| IP-Adresse, Datum/Uhrzeit, Logdaten | Gewährleistung der IT-Sicherheit Fehleranalyse Erkennung und Abwehr von Angriffen | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Nachrichten im Kontaktformular | Bearbeitung Ihrer Anfragen Dokumentation der Kommunikation | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Freiwillige Angaben (Firma, Betreff) | Schnellere Bearbeitung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Bewerberdaten | Auswahlverfahren, Vertragsangebot | Art. 6 1 b DSGVO, § 26 BDSG |
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Derzeit verarbeiten wir keine besonderen Kategorien (z. B. Gesundheitsdaten). Sollte dies zukünftig erforderlich sein, werden diese Daten gesondert aufgeführt und mit entsprechender Rechtsgrundlage (Art. 9 Abs. 2 DSGVO) sowie zusätzlichen Schutzmaßnahmen dokumentiert.
Weitere Erläuterungen:
• Vertragserfüllung (Art. 6 1 b): Wir benötigen Ihre Daten, um Leistungen zu erbringen und Verträge abzuwickeln.
• Einwilligung (Art. 6 1 a): Newsletter versenden wir nur nach ausdrücklicher Einwilligung (Double-Opt-In). Widerruf jederzeit ohne Angabe von Gründen möglich (Art. 7 Abs. 3 DSGVO).
• Berechtigtes Interesse (Art. 6 1 f): Sicherheitsmaßnahmen und Systemstabilität dienen dem Schutz unserer Infrastruktur und Ihrer Daten.
• Newsletterversand (nach Einwilligung): Versand erfolgt ausschließlich nach ausdrücklicher Bestätigung (Double-Opt-In). Widerruf formlos per E-Mail an newsletter-widerruf@zimara-gmbh.de; Löschung binnen 30 Tagen.
3. Speicherdauer
Hier erklären wir, wie lange wir Ihre Daten aufbewahren und wann diese gelöscht werden:
- Vertrags- und Rechnungsdaten: Bis zu 10 Jahre (mandatsrechtliche und steuerrechtliche Aufbewahrungspflichten nach § 257 HGB, §§ 147 ff. AO).
- Kontaktanfragen & Logdaten: Mindestens 30 Tage, anschließend vollständig und irreversibel gelöscht. Gesetzliche Ausnahmen bleiben unberührt.
- Newsletter-Abonnement: Bei Widerruf oder Kündigung werden betroffene Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Die Einhaltung dieser Speicherdauern wird im Rahmen unserer jährlichen Datenschutz-Audits überprüft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c (gesetzliche Aufbewahrungspflichten) und lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
4. Technische & Organisatorische Maßnahmen (TOM)
Nach Art. 32 DSGVO schützen wir Ihre Daten mit folgenden Maßnahmen:
- Zugangskontrolle
- Nur berechtigtes Personal erhält physischen und elektronischen Zugriff.
- Rollen- und Rechtematrix definiert Verantwortlichkeiten.
- Überprüfung der Zugriffsrechte halbjährlich.
- Zugriffsrechte & Rollen
- Need-to-Know-Prinzip: minimale Berechtigungen.
- Regelmäßige Anpassung und Dokumentation.
- Verschlüsselung
- SSL/TLS (mindestens TLS 1.2, HSTS aktiviert).
- Datenbankverschlüsselung für besonders schützenswerte Daten.
- Backup & Monitoring
- Tägliche Offsite-Backups (Retention: 30 Tage).
- Verantwortliche für Wiederherstellung benannt.
- Regelmäßige Notfallübungen und Dokumentation.
- Spam-/Malware-Filter
- Filter für Kontaktformulare und E-Mail-Eingang.
- Automatische Erkennung und Quarantäne.
- Incident-Management
- Meldung sicherheitsrelevanter Vorfälle innerhalb von 4 Stunden.
- Benachrichtigung der Aufsichtsbehörde und Betroffener binnen 72 Stunden.
- DSFA nach Art. 35 DSGVO bei hohem Risiko.
- Halbjährliche Penetrationstests durch externe Experten.
Ein vollständiges Verzeichnis unserer TOM kann auf Anfrage eingesehen werden.
5. Cookies & Tracking
Erfahren Sie hier, welche Cookies wir verwenden und wie Sie diese verwalten können:
Essenzielle Session-Cookies: Notwendig für Navigation und Funktionalität. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
| Cookie-Kategorie | Zweck | Speicherdauer | Anbieter | Rechtsgrundlage |
|---|---|---|---|---|
| session_id | Sitzungsverwaltung | Browser-Session | zimara-gmbh.de | Art. 6 Abs. 1 lit. f DSGVO |
| cookie_consent | Speicherung Consent-Einstellungen | 12 Monate | Consent-Tool | Art. 6 Abs. 1 lit. c DSGVO |
| csrf_token | Schutz vor Cross-Site-Requests | Browser-Session | zimara-gmbh.de | Art. 6 Abs. 1 lit. f DSGVO |
Keine Analyse- oder Marketing-Cookies. Verwaltung über Browser-Einstellungen möglich.
6. Weitergabe an Dritte
Mit welchen Partnern wir zusammenarbeiten und wann Daten übermittelt werden:
- Auftragsverarbeiter (§ 28 DSGVO): Hosting-Provider, Zahlungsdienstleister, Steuerberater, Logistikpartner (AV-Vertrag).
- Standardvertragsklauseln (2021): Einsatz bei Drittlandtransfers.
- Drittlandtransfer: Standardvertragsklauseln der EU-Kommission, ergänzt durch TOM (Art. 46 Abs. 2 lit. c DSGVO).
- Behördliche Weitergabe: Nur bei gesetzlicher Verpflichtung, keine freiwillige Herausgabe.
7. Social Media & externe Links
Hinweise zu Datenflüssen bei Besuch unserer Social Media Auftritte oder externen Links:
Plattformen: LinkedIn, YouTube, Vimeo – Datenübermittlung gemäß Anbieter-Richtlinien.
- YouTube „Privacy-Enhanced Mode“: Laden erst nach Klick.
- Referrer-Header: Unterdrückung möglich durch rel="noreferrer".
| Plattform | Datenübermittlung bei Klick | Rechtsgrundlage |
|---|---|---|
| Referrer-URL, IP-Adresse, Zeitstempel | Art. 6 1 f DSGVO | |
| YouTube | Referrer-URL, IP-Adresse, Zeitstempel | Art. 6 1 f DSGVO |
| Vimeo | Referrer-URL, IP-Adresse, Zeitstempel | Art. 6 1 f DSGVO |
8. Automatisierte Entscheidungen & Profiling
Wir setzen keine automatisierten Entscheidungs- oder Profilingverfahren ein (Art. 22 DSGVO). Sämtliche Analysen erfolgen manuell.
9. Betroffenenrechte
Ihre Datenschutzrechte und Fristen:
| Recht | Inhalt | Frist |
|---|---|---|
| Auskunft (Art. 15) | Informationen zu verarbeiteten Daten | 1 Monat (verlängerbar auf 3 Monate) |
| Berichtigung (Art. 16) | Korrektur unrichtiger Daten | Ohne Verzug |
| Löschung (Art. 17) | Löschung bei Wegfall der Rechtsgrundlage | Ohne Verzug |
| Einschränkung (Art. 18) | Einschränkung der Verarbeitung | Ohne Verzug |
| Datenübertragbarkeit (Art. 20) | Datenübernahme im maschinenlesbaren Format | Ohne Verzug |
| Widerruf (Art. 7) | Widerruf von Einwilligungen | Sofort |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung | Sofort |
| Beschwerde (Art. 77) | Beschwerde bei Aufsichtsbehörde Niedersachsen | Jederzeit |
Verfahrensablauf: Anfrage per E-Mail/Post, Identitätsprüfung, Bearbeitung innerhalb eines Monats.
10. Aktualität, Versionierung & Änderungen
- Version: 1.2 (28. April 2025)
- Regelmäßige Prüfung jeweils zum 1. Mai; nächste Revision: 01.05.2026.
- Änderungsprotokoll:
- 1.0 – 18.04.2018: Erste Veröffentlichung
- 1.1 – 15.10.2022: Ergänzung Social-Media-Hinweise, Cookie-Consent
- 1.2 – 28.04.2025: Erweiterung TOM, Profiling-Hinweis, Betroffenenrechte
11. Rechtliche Prüfung & Verzeichnis der Verarbeitungstätigkeiten
Geprüft von Rechtsabteilung und Compliance-Team gemäß Art. 30 DSGVO und BDSG.
Verzeichnis der Verarbeitungstätigkeiten: „2025-04-28_Verarbeitungstätigkeiten_Zimara“ – Downloadlink auf Anfrage.
© 2025 Zimara GmbH – Alle Rechte vorbehalten.