Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen.

Verantwortliche Stelle:
Max Hirt
Hirmax Scheibenbilder
Arenbergstraße 32
78086 Brigachtal
Telefon: 07721-21677
E-Mail: max.hirt@t-online.de

2. Hosting

Diese Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und effizienten Betrieb). Details: vercel.com/legal/privacy-policy

Die Übertragung von Daten in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Vercel Inc. ist unter dem DPF zertifiziert (Zertifizierungs-Status einsehbar unter dataprivacyframework.gov). Die Europäische Kommission hat mit Angemessenheitsbeschluss vom 10. Juli 2023 festgestellt, dass das DPF ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Ergänzend hat Vercel Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO mit seinen Subunternehmen abgeschlossen.

3. Cookies

Diese Website verwendet folgende Cookies:

Funktionale Cookies (erforderlich, ohne Einwilligung):

• hirmax_session : JWT-Token für Ihren Login-Status (auch für den Admin-Bereich). httpOnly, secure, SameSite=lax. Dauer: 7 Tage.
• cookie-consent : Speichert Ihre Cookie-Einstellung. Dauer: 1 Jahr. (localStorage)

Analyse-Cookies (nur mit Ihrer Einwilligung):

• Vercel Analytics: Erfasst anonyme Seitenaufrufe zur Verbesserung der Website. Keine personenbezogenen Daten. Kann über den Cookie-Banner abgelehnt werden.

4. Datenbank (Supabase)

Kundendaten, Bestellungen und Authentifizierungsdaten werden bei Supabase Inc. gespeichert. Das Hosting erfolgt in Frankfurt (eu-central-1, AWS). Verarbeitet werden: Kundennummer, Name, E-Mail, Firmenname, Bestellhistorie, Login-Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzrichtlinie: supabase.com/privacy

Supabase Inc. hat seinen Hauptsitz in den USA, die Datenhaltung erfolgt jedoch ausschließlich auf Servern in Frankfurt am Main (AWS eu-central-1). Für etwaige Zugriffe durch Supabase Inc. aus den USA wurden Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO im Rahmen eines Auftragsverarbeitungsvertrags abgeschlossen. Details: supabase.com/legal/dpa

5. Content Management System

Zur Verwaltung der Inhalte verwenden wir Sanity.io (Sanity AS, Grensen 5-7, 0159 Oslo, Norwegen). Sanity verarbeitet Daten im Europäischen Wirtschaftsraum (EWR). Norwegen ist durch Angemessenheitsbeschluss der Europäischen Kommission als Land mit angemessenem Datenschutzniveau anerkannt. Datenschutzrichtlinie: sanity.io/legal/privacy

6. E-Mail-Versand

Für den Versand von E-Mails (Login-Links, Bestellbestätigungen) nutzen wir Resend (Resend Inc.). Verarbeitet werden: E-Mail-Adresse, Zeitpunkt des Versands. Datenschutzrichtlinie: resend.com/legal/privacy-policy

Resend Inc. hat seinen Sitz in den USA. Die Übertragung personenbezogener Daten erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF), unter dem Resend Inc. zertifiziert ist, sowie ergänzend auf Basis von Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Der E-Mail-Versand erfolgt auf Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) beziehungsweise Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Kunden).

7. Hinweis zum Drittlandstransfer

Einzelne der oben genannten Dienstleister haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt ausschließlich auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO. Dies sind insbesondere:

• der Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023, sowie
• Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO.

Trotz dieser Garantien besteht theoretisch die Möglichkeit, dass US-Behörden auf Daten zugreifen, ohne dass hiergegen wirksame Rechtsbehelfe zur Verfügung stehen. Durch die Nutzung unserer Website erklären Sie sich mit diesem Datentransfer einverstanden.

8. Bestellportal

Wenn Sie unser Bestellportal nutzen, verarbeiten wir:

• Kundennummer und Passwort-Hash (bcrypt) für den Login
• Name, Firma/Verein, E-Mail, Telefon, Adresse (für die Bestellabwicklung)
• Bestelldaten (Artikel, Mengen, Datum, Versandart, Notiz)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bestelldaten werden gemäß steuerrechtlicher Aufbewahrungspflicht 10 Jahre gespeichert. Kundendaten können auf Anfrage gelöscht werden.

9. Muster-Anfragen

Wenn Sie eine Muster-Anfrage stellen, verarbeiten wir:

• Vereinsname/Firma, Kontaktperson, E-Mail, Telefon, gewünschte Kaliber

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

10. Sicherheit und Missbrauchsschutz

Zum Schutz vor Brute-Force-Angriffen und missbräuchlicher Nutzung werden bei Login- und Formularanfragen die IP-Adresse sowie Zeitstempel kurzfristig gespeichert (Rate Limiting). Login-Versuche werden zusätzlich im Activity Log erfasst (Kundennummer, Erfolg/Fehlschlag, Zeitpunkt). Nach 20 Fehlversuchen innerhalb von 24 Stunden wird das betroffene Konto temporär gesperrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb). Speicherdauer: maximal 30 Tage.

11. Schriften

Diese Website verwendet Web-Schriften (Google Fonts), die lokal auf dem Server gehostet werden. Es erfolgt keine Verbindung zu Servern von Google beim Aufruf dieser Website.

12. Ihre Rechte

Sie haben das Recht auf: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Richten Sie Anfragen an: max.hirt@t-online.de

Beschwerderecht bei der Aufsichtsbehörde:
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart