Zum Inhalt springen
alarmanlagen24.net

Datenschutz · DSGVO Art. 13

Datenschutzerklärung — Datenverarbeitung & Cookies

Transparente Übersicht, welche Daten wir verarbeiten, wer Empfänger ist, wie lange gespeichert wird und welche Rechte Sie haben.

Kurz gesagt: Kein Google Analytics, keine Werbe-Cookies, keine Tracker. Formular-Daten nur für Anbieter-Prüfung. IP-Adressen gehasht (nicht im Klartext). Hosting + DB in EU oder DSGVO-konformen Drittländern. Fonts selbst gehostet.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Metin Mercan
Hainholzweg 111
21077 Hamburg
Deutschland
Telefon: 040 41425200
E-Mail: kontakt@alarmanlagen24.net

2. Überblick der Verarbeitungen

  • Server-Logs: Beim Seitenaufruf technische Metadaten (IP, User-Agent, Zeit) zum Schutz vor Angriffen.
  • Anbieter-Formular: Name, E-Mail, Firma, Kontakt- und Qualifikationsdaten zur Listing-Prüfung.
  • Kostenrechner-Anfrage: Name, E-Mail, optional Telefon/Stadt/PLZ/Nachricht und Berechnungs-Parameter zur manuell-redaktionellen Vermittlung an passende Fachbetriebe (keine automatisierte Weiterleitung).
  • E-Mail-Versand: Bestätigungen und Admin-Benachrichtigungen an Einsender bzw. Betreiber.
  • Rate-Limiting: gehashte IP-Adressen für Spam- und Missbrauchs-Abwehr (max. 24h Speicherung).
  • Keine Cookies außer technisch notwendige (z. B. CSRF-Schutz beim Formular, gelöscht bei Schließen).
  • Keine Tracking-Tools (kein Google Analytics, kein Facebook-Pixel, kein Hotjar).

3. Hosting — Vercel

Diese Website wird gehostet von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel betreibt unsere Seite über ein globales CDN mit EU-Edge-Knoten (Frankfurt, Amsterdam, Dublin u. a.). Auftragsverarbeitung erfolgt auf Grundlage eines DPA nach Art. 28 DSGVO. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert; zusätzlich gelten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am stabilen Betrieb der Website.
Datenschutzerklärung Vercel: vercel.com/legal/privacy-policy

Server-Log-Daten

Beim Aufruf unserer Seiten werden automatisch Metadaten durch den Browser übermittelt: IP-Adresse (gekürzt bzw. in anonymisierter Form), Datum und Uhrzeit, Browsertyp und -version, Betriebssystem, Referrer-URL und angeforderte Ressource. Diese Daten werden von Vercel verarbeitet und nach spätestens 30 Tagen gelöscht. Eine Zuordnung zu einzelnen Personen erfolgt nicht.

4. Datenbank — Supabase

Strukturierte Daten (Städte, Anbieter-Einträge, Formular-Submissions) werden in einer PostgreSQL-Datenbank von Supabase Inc., 970 Toa Payoh N #07-04, Singapore 318992 gespeichert. Die Datenbankinstanz wird im AWS-Rechenzentrum eu-central-1 (Frankfurt am Main, Deutschland) betrieben. Es besteht ein DPA nach Art. 28 DSGVO. Auftragsverarbeitung mit SCC nach Art. 46 DSGVO für den US-Firmensitz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung bei Anbieter-Einträgen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb).
Datenschutzerklärung Supabase: supabase.com/privacy

5. Anbieter-Formular

Über das Formular unter /anbieter-werden/ können sich Fachbetriebe kostenlos für einen Eintrag bewerben. Verarbeitet werden die in den Pflichtfeldern und optionalen Feldern eingegebenen Daten:

  • Firma, Ansprechpartner, E-Mail, Telefon, Website
  • Anschrift (Straße, PLZ, Stadt, Bundesland)
  • Leistungen, Zielgruppen, Einsatzgebiet
  • Qualifikationsangaben (VdS-, BHE-, HWK-, Handelsregister-Nummern)
  • Freitext zum Unternehmen (USP)
  • Technische Metadaten: User-Agent, Submission-Zeitstempel, gehashte IP (SHA-256 mit Salt, nicht rückrechenbar)

Zweck: Prüfung der Aufnahme ins redaktionelle Verzeichnis, Spam-Abwehr, Rückfragen per E-Mail.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Formular-Absendung).
Speicherdauer: Abgelehnte oder zurückgezogene Einträge werden nach 90 Tagen gelöscht. Freigeschaltete Einträge bleiben bis zum Widerruf gespeichert.

5a. Kostenrechner-Anfrage

Über das Tool unter /kostenrechner/ können Interessenten eine unverbindliche Preisspanne für eine Alarmanlage berechnen und auf Wunsch ein detailliertes Angebot bei passenden Fachbetrieben anfordern. Die reine Berechnung speichern wir nicht — erst beim aktiven Anfordern eines Angebots werden Daten verarbeitet:

  • Berechnungs-Parameter: Objekttyp (EFH/Wohnung/Gewerbe), Wohn-/Nutzfläche in m², Anzahl Türen/Fenster/Etagen (optional), Sicherheitsniveau (Basis/Standard/VdS), gewählte Stadt
  • Pflicht-Kontakt: Name, E-Mail-Adresse
  • Optional: Telefon, PLZ, gewünschter Installations-Zeitraum, Freitext-Nachricht
  • Berechnungs-Output: errechnete Preisspanne (Snapshot, damit später nachvollziehbar)
  • Technische Metadaten: User-Agent, Submission-Zeitstempel, gehashte IP (SHA-256 mit Salt, nicht rückrechenbar)

Zweck: Manuelle redaktionelle Vermittlung der Anfrage an passende, geprüfte Fachbetriebe im Einzugsgebiet, Bestätigung an den Anfragenden, Rückfragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme zur Vermittlung von Angeboten) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das Absenden des Formulars und das anschließende Double-Opt-In per Bestätigungsmail).
Empfänger: Nach Bestätigung der Anfrage durch den Anfragenden (Double-Opt-In) erhält zunächst ausschließlich der Betreiber eine interne Lead-Mail mit einer Vorauswahl möglicher Fachbetriebe. Eine Weiterleitung an einzelne Fachbetriebe erfolgt ausschließlich manuell-redaktionell durch den Betreiber. Eine automatisierte Weiterleitung an Fachbetriebe findet derzeit nicht statt. Auftragsverarbeiter sind Supabase (Speicherung) und Resend (E-Mail-Versand, siehe Abschnitte 4 und 6).
Speicherdauer: Nicht bestätigte Anfragen (Double-Opt-In nicht abgeschlossen) werden nach 7 Tagen gelöscht. Bestätigte, aber nicht weitergeleitete Anfragen werden nach 90 Tagen gelöscht. Vermittelte Anfragen bleiben bis zum Widerruf der Einwilligung bzw. bis zum Abschluss der Vermittlung gespeichert (max. 36 Monate zur Nachvollziehbarkeit der Vertragsanbahnung gemäß § 257 HGB).

5b. Verzeichnis von Sicherheitsfachbetrieben

alarmanlagen24.net führt ein redaktionelles Verzeichnis von Sicherheitsfachbetrieben in Deutschland. Die im Verzeichnis dargestellten Unternehmensdaten werden teils direkt von Anbietern übermittelt (siehe Abschnitt 5) und teils aus öffentlich zugänglichen Quellen redaktionell zusammengeführt. Die ausführlichen Aufnahmekriterien sind in den Verzeichnis-Richtlinien geregelt.

Zweck: Unabhängige Verbraucherinformation über Anbieter im Bereich Einbruchschutz und Sicherheitstechnik. Markttransparenz für Verbraucher und Gewerbetreibende.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Verbraucherinformation und Markttransparenz im Bereich Einbruchschutz. Bei eigenständiger Einsendung über das Anbieter-Formular zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Datenquellen:

  • Öffentliche Handelsregister- und Gewerbeauszüge
  • Impressum-Angaben der Unternehmenswebsites gemäß § 5 TMG
  • Mitgliederverzeichnisse anerkannter Fachverbände (VdS Schadenverhütung GmbH, BHE Bundesverband Sicherheitstechnik e. V., Handwerkskammern)
  • Öffentliche Empfehlungslisten der polizeilichen Kriminalprävention (Errichter- und Fachfirmenlisten der Landeskriminalämter)
  • Google Business Profile (öffentlich zugängliche Geschäftsdaten)
  • Direkte Selbsteinträge über das Formular /anbieter-werden/ (vgl. Abschnitt 5)

Gespeicherte Daten je Basiseintrag:

  • Firmenname, Rechtsform
  • Geschäftsanschrift, geschäftliche Telefonnummer, E-Mail, Website
  • Leistungsbereiche und Kategorien
  • Dokumentierte Qualifikationen aus öffentlichen Quellen (VdS-Nummer, BHE-Mitgliedschaft, HWK-Eintragung, Handelsregisternummer)
  • Optional: redaktionelle Kurzbeschreibung

Einzelunternehmer: Bei Einzelunternehmen werden ausschließlich öffentliche Geschäftsdaten verarbeitet — keine Privatadressen, keine privaten Kontaktdaten, keine Inhaberdaten über die Firmierung hinaus.

Speicherdauer: bis zum Widerspruch des Anbieters oder bis zur redaktionellen Entfernung des Eintrags. Eine Bereinigung nicht mehr aktiver Einträge (z. B. Geschäftsaufgabe) erfolgt mindestens halbjährlich in Stichproben.

Rechte gelisteter Anbieter:

  • Löschung: formlose E-Mail an kontakt@alarmanlagen24.net mit Betreff „Löschung Verzeichniseintrag — [Firmenname]"; Bearbeitung in der Regel innerhalb von 48 Stunden.
  • Korrektur: formlose E-Mail an dieselbe Adresse; Bearbeitung innerhalb von fünf Werktagen.
  • Widerspruch gegen Lead-Weiterleitung: siehe § 10 der Verzeichnis-Richtlinien.
  • Widerspruchsrecht nach Art. 21 DSGVO: jederzeit per E-Mail an dieselbe Adresse.

6. E-Mail-Versand — Resend

Transaktions-E-Mails (Bestätigungen, Admin-Benachrichtigungen) werden versendet über Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA, unter Nutzung der Infrastruktur Amazon SES in der Region Ireland (eu-west-1). Damit bleiben die Nachrichteninhalte innerhalb des EWR. Ein DPA nach Art. 28 DSGVO besteht; zusätzlich gelten SCC nach Art. 46 DSGVO für den US-Firmensitz.

Verarbeitete Daten: E-Mail-Adresse, Nachrichteninhalt, Versand-Metadaten (Zeitstempel, Delivery-Status).
Zweck: Zustellung von Transaktions-Mails.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Resend-Logs maximal 30 Tage, danach automatische Löschung.
Datenschutzerklärung Resend: resend.com/legal/privacy-policy

6a. Zahlungsabwicklung — Stripe

Das kostenpflichtige Premium-Listing-Abonnement wird über den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, abgewickelt. Stripe verarbeitet die Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung; im Rahmen der Zahlungsabwicklung kann es zu einer Übermittlung an die US-Muttergesellschaft Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA kommen.

Verarbeitete Daten (durch Stripe, nicht bei uns gespeichert):

  • Name und Rechnungsadresse (Stripe-Pflichtfeld für die Rechnungsstellung)
  • E-Mail-Adresse
  • Zahlungsmittel (Kartendaten, Bankverbindung — werden ausschließlich von Stripe verarbeitet und sind für uns nicht einsehbar)
  • Transaktions-Metadaten (Betrag, Zeitstempel, Subscription-ID)
  • IP-Adresse und technische Metadaten (Betrugs-Prävention durch Stripe Radar)

Bei uns gespeichert wird ausschließlich: die Stripe-Subscription-ID, die Stripe-Customer-ID, der Abonnement-Status (aktiv/gekündigt/zahlungsfehlgeschlagen), das nächste Verlängerungsdatum sowie die E-Mail-Adresse des Kunden zur Zuordnung. Vollständige Karten- oder Kontodaten werden zu keinem Zeitpunkt an unsere Server übermittelt.

Zweck: Abwicklung des Premium-Listing-Abonnements, automatische monatliche Abrechnung, Rechnungsstellung, Betrugs-Prävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugs-Prävention).
Drittstaaten-Übermittlung: Stripe, Inc. ist unter dem EU-U.S. Data Privacy Framework zertifiziert; zusätzlich gelten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO zwischen Stripe Payments Europe (Dublin) und Stripe, Inc. (US).
Speicherdauer: Stripe speichert Transaktionsdaten gemäß gesetzlichen Aufbewahrungsfristen (in Deutschland regelmäßig 10 Jahre nach § 147 AO für Rechnungen). Bei uns werden Abonnement-Daten bis zur Kündigung des Abos plus den gesetzlich vorgeschriebenen Aufbewahrungsfristen gespeichert.

Datenschutzerklärung Stripe: stripe.com/de/privacy

7. Schriftarten — selbst gehostet

Wir verwenden die Schriftarten Inter und Space Grotesk (SIL Open Font License). Die Fonts werden direkt von unserem Server ausgeliefert. Es findet kein Abruf von Google-Servern statt, Ihre IP wird nicht an Drittanbieter übermittelt.

8. Spam-Abwehr und Rate-Limiting

Zur Abwehr automatisierter Anfragen und zum Schutz unserer Endpunkte (insbesondere Anbieter-Formular und Kostenrechner-Lead-Formular) nutzen wir mehrere technische Mittel:

  • Honeypot-Feld: ein unsichtbares Eingabefeld, das nur Bots ausfüllen.
  • Zeitmessung: Formulare, die schneller als 1,5 Sekunden abgesendet werden, gelten als automatisiert.
  • IP-Hash: Die aufrufende IP wird mit einem geheimen Salt per SHA-256 gehasht und nur in dieser Form gespeichert. Eine Rückrechnung ist praktisch nicht möglich.
  • Rate-Limiting (Sliding Window): Wir begrenzen die Zahl der Berechnungen und Lead-Formulare pro Zeitfenster und IP bzw. E-Mail-Adresse, um Burst-Angriffe und Spam-Wellen abzuwehren.

Auftragsverarbeiter Upstash

Für das Rate-Limiting setzen wir Redis-Counter beim Anbieter Upstash, Inc., 1209 Orange Street, Wilmington, DE 19801, USA, ein. Die Redis-Instanz wird im AWS-Rechenzentrum eu-central-1 (Frankfurt am Main, Deutschland) betrieben. Es besteht ein DPA nach Art. 28 DSGVO; zusätzlich gelten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO für den US-Firmensitz.

  • Verarbeitete Daten: gehashte IP-Adresse (SHA-256 mit Salt, nicht rückrechenbar) als Counter-Schlüssel; bei Lead-Formularen zusätzlich gehashte E-Mail-Adresse als Counter-Schlüssel.
  • Speicherdauer: max. 24 Stunden (Sliding Window), danach automatische Löschung.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an IT-Sicherheit, Spam-Schutz und Stabilität der Endpunkte.

Datenschutzerklärung Upstash: upstash.com/trust/privacy.pdf

9. Newsletter

Auf Wunsch versenden wir einen monatlichen Newsletter mit Updates zur Polizeilichen Kriminalstatistik (PKS), Empfehlungen der Polizei sowie Hinweisen zu KfW-Förderungen im Bereich Einbruchschutz. Der Versand erfolgt ausschließlich nach ausdrücklicher Anmeldung im Double-Opt-In-Verfahren.

Zweck: Monatliche Informationen zu PKS-Updates, Polizei-Empfehlungen und KfW-Förderhinweisen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung per Double-Opt-In).

Verarbeitete Daten:

  • E-Mail-Adresse
  • Bestätigungs- und Abmelde-Token (zufällig generiert, nicht personenbezogen rückführbar)
  • IP-Hash (SHA-256 mit Salt, nicht rückrechenbar) — ausschließlich zur Missbrauchs-Prävention
  • User-Agent des anmeldenden Browsers
  • Optional: bevorzugte Stadt (Personalisierung regionaler Inhalte)

Double-Opt-In-Prozess: Nach Eingabe der E-Mail-Adresse auf unserer Anmeldeseite senden wir eine Bestätigungsmail mit einem individuellen Aktivierungslink. Erst nach Klick auf diesen Link wird die Anmeldung aktiviert und die E-Mail-Adresse in den Verteiler aufgenommen.

Speicherdauer:

  • Pending (nicht bestätigt): 7 Tage, danach automatische Löschung
  • Aktiv: bis zum Widerruf der Einwilligung
  • Abgemeldet: 30 Tage Nachhaltung zur Missbrauchs-Prävention (Schutz vor erneuter unerwünschter Anmeldung durch Dritte), danach endgültige Löschung

Widerruf der Einwilligung: Sie können den Newsletter jederzeit abbestellen:

  • Per One-Click-Link, der in jeder Newsletter-E-Mail enthalten ist
  • Per mailto-Link über den List-Unsubscribe-Header (von modernen Mail-Clients unterstützt)
  • Formlos per E-Mail an kontakt@alarmanlagen24.net

Auftragsverarbeiter: Der Versand erfolgt über Resend, Inc. unter Nutzung von Amazon SES in der Region Ireland (eu-west-1). Ein DPA nach Art. 28 DSGVO besteht, zusätzlich gelten Standardvertragsklauseln (SCC) nach Art. 46 DSGVO. Nähere Angaben zu Resend finden Sie in Abschnitt 6.
Datenschutzerklärung Resend: resend.com/legal/privacy-policy

10. Reichweitenmessung — Vercel Web Analytics

Zur Messung der Seitennutzung verwenden wir Vercel Web Analytics und Vercel Speed Insights (Anbieter siehe Abschnitt 3). Erfasst werden ausschließlich aggregierte, anonyme Daten:

  • Aufgerufene Seite (Pfad, nicht Query-Parameter)
  • Referrer-Domain (ohne Pfad, z. B. „google.com")
  • Browser-Typ und Betriebssystem (grob, z. B. „Chrome / Windows")
  • Ungefähres Land (abgeleitet aus IP, ohne Speicherung der IP)
  • Core Web Vitals (LCP, FID, CLS) zur Performance-Analyse

Es werden keine Cookies gesetzt, kein Fingerprinting, keine personenbezogenen Profile. IP-Adressen werden nicht gespeichert, nicht einmal gehasht. Eine Zuordnung zu einzelnen Personen ist technisch ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Analyse von Reichweite und Performance zur Verbesserung des Angebots.
Speicherdauer: aggregierte Statistiken werden dauerhaft gespeichert, Einzel-Events maximal 30 Tage.
Datenschutz Vercel Analytics: vercel.com/docs/analytics/privacy-policy

11. Cookies

Diese Website setzt keine Tracking-, Werbe- oder Analyse-Cookies. Es werden ausschließlich technisch notwendige Cookies während einer Session verwendet (z. B. Schutz vor Cross-Site-Request-Forgery). Diese Cookies enthalten keine personenbezogenen Daten und werden beim Schließen des Browsers gelöscht. Eine Einwilligung ist nach § 25 Abs. 2 TTDSG nicht erforderlich.

Die Profilseiten von Fachbetrieben enthalten Links zu deren eigenen Websites und Telefonnummern. Beim Anklicken dieser Links verlassen Sie unseren Geltungsbereich. Für die Datenverarbeitung auf externen Seiten sind die jeweiligen Betreiber verantwortlich.

13. Ihre Rechte gemäß DSGVO

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO) — welche Daten wir über Sie verarbeiten.
  • Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren zu lassen.
  • Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden").
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) in strukturiertem, maschinenlesbarem Format.
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an kontakt@alarmanlagen24.net.

14. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere am Ort Ihres gewöhnlichen Aufenthalts oder am Sitz des Verantwortlichen. Zuständig für den Verantwortlichen:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 7. OG
20459 Hamburg
datenschutz-hamburg.de

15. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald sich die rechtliche Lage oder die eingesetzten Dienste ändern. Das Datum der letzten Aktualisierung finden Sie am Seitenende. Es gilt stets die aktuelle, auf dieser Seite veröffentlichte Fassung.

Stand: 01. Mai 2026