Datenschutz

Nachfolgend informieren wir dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf dieser Website und in den angebundenen Diensten von CCO. Diese Datenschutzerklärung gilt für die öffentliche Website, die Anfrage-Konfiguratoren, Kundenkonten, Partnerkonten, Nachrichtenfunktionen, Dateiuploads sowie für damit zusammenhängende E-Mail- und Zahlungsprozesse.

Dieser Text ist auf den aktuell erkennbaren technischen Stand des Projekts zugeschnitten und wurde um die derzeit bekannten Angaben zu Verantwortlichem, Hosting, Speicherfristen und Aufsichtsbehörde ergänzt.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Würflein Litwinowicz & Partner
Wirtschaftsinformatik | Kommunikationsdesign
Gustavstraße 43
90762 Fürth
Deutschland
E-Mail: mail@cco.de
Telefon: +49 911/49 02 49 - 80
Fax: +49 911/49 02 49 - 81

2. Datenschutzbeauftragter

Für unser Unternehmen besteht derzeit keine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten. Ein Datenschutzbeauftragter ist derzeit nicht benannt.

3. Allgemeine Hinweise zur Datenverarbeitung

Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich erlaubt ist, du eingewilligt hast oder die Verarbeitung für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.

Wir verarbeiten insbesondere folgende Datenkategorien, soweit sie im Einzelfall anfallen:

• Bestandsdaten wie Name, Firmenname, Ansprechpartner, Anschrift und Kontaktdaten.
• Kontaktdaten wie E-Mail-Adresse und Telefonnummer.
• Projekt- und Anfragedaten aus Konfiguratoren und Formularen.
• Standort- und Geodaten wie PLZ, Ort, Adresse, Kartenpunkte, Flächen, GeoJSON und Koordinaten.
• Dateien und Bilder, die du hochlädst oder im Nachrichtenkontext übermittelst.
• Zugangsdaten und Authentifizierungsdaten für Kunden-, Partner- und Admin-Bereiche.
• Kommunikationsdaten aus E-Mails und Nachrichtenverläufen.
• Zahlungs- und Transaktionsdaten im Zusammenhang mit PayPal-Zahlungen.
• Nutzungsnahe technische Daten wie Session-Cookies, lokale Speicherungen, Referrer und User-Agent bei Lead-Entwürfen.

4. Rechtsgrundlagen

Die Verarbeitung erfolgt insbesondere auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO, wenn du eine Einwilligung erteilt hast.
• Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung oder für vorvertragliche Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Verpflichtungen.
• Art. 6 Abs. 1 lit. f DSGVO auf Grundlage berechtigter Interessen, z. B. für IT-Sicherheit, Missbrauchsverhinderung, interne Organisation und die technische Bereitstellung unserer Dienste.
• Paragraf 25 TDDDG für das Speichern von Informationen auf Endeinrichtungen und den Zugriff darauf, soweit einschlägig.

5. Aufruf der Website und Hosting

Beim Aufruf unserer Website werden technisch notwendige Informationen verarbeitet, um die Website auszuliefern, die Stabilität und Sicherheit zu gewährleisten und Missbrauch zu erkennen. Dazu gehören typischerweise IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene URL, Referrer-URL, Browsertyp, Betriebssystem und Zugriffsergebnis, soweit solche Daten in technisch erforderlichen Server-Logfiles anfallen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und störungsfreien Bereitstellung der Website.

Hosting:
Wir betreiben das Hosting und die technische Infrastruktur selbst. Ein externer Hosting-Dienstleister als Auftragsverarbeiter wird derzeit nicht eingesetzt.

Speicherdauer für Server-Logs:
Soweit technische Server-Logfiles anfallen, werden diese nach spätestens 14 Tagen gelöscht.

6. Cookies und lokale Speicherungen

Wir verwenden nach dem aktuell erkennbaren Stand des Projekts keine klassischen Marketing- oder Analyse-Tracker wie Google Analytics, Meta Pixel, Hotjar, Clarity, Mixpanel oder vergleichbare Tracking-Cookies.

Wir verwenden jedoch technisch erforderliche Speichermechanismen:

• Session-Cookies für die Anmeldung und Nutzung von Partner-, Kunden- und Admin-Bereichen. Diese Cookies enthalten signierte Sitzungsinformationen und sind für die Authentifizierung erforderlich.
• Lokale Speicherung im Browser (`localStorage`) für Lead-Entwürfe, damit angefangene Konfigurationen technisch wiedererkannt und zwischengespeichert werden können.

Rechtsgrundlage für technisch notwendige Cookies und Speicherungen ist Paragraf 25 Abs. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

7. Anfrage-Konfiguratoren und Lead-Erstellung

Wenn du über unsere Konfiguratoren eine Anfrage stellst, verarbeiten wir die von dir eingegebenen oder hochgeladenen Daten, um deine Anfrage zu erfassen, einen Kostenrahmen zu ermitteln, ein Kundenkonto anzulegen oder zu aktualisieren und passende Fachbetriebe zuzuordnen bzw. zu vermitteln.

Hierzu können insbesondere folgende Daten verarbeitet werden:

• Angaben zum Gewerk und zum Projekt.
• Antworten aus Formularen und Konfiguratoren.
• Kontaktangaben wie E-Mail-Adresse und Telefonnummer.
• Adress- und Standortdaten wie Straße, Ort, PLZ sowie Karten- und Flächendaten.
• GeoJSON, Koordinaten, Flächen- und Umfangswerte.
• Hochgeladene Bilder und sonstige Projektdateien.
• Abgeleitete Kalkulations- und Einschätzungsdaten, z. B. Preisrahmen und Projektmetadaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bearbeitung deiner Anfrage, zur Anbahnung eines Vertrags oder zur Vermittlung passender Fachbetriebe erforderlich ist. Soweit wir eine gesonderte Einwilligung einholen, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

8. Lead-Entwürfe und Fortschrittsspeicherung

Wenn du einen Konfigurator nutzt, speichern wir angefangene Lead-Entwürfe, damit Bearbeitungsstände erhalten bleiben und wir nachvollziehen können, ob ein Entwurf später eingereicht wurde.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Entwurfs-ID und Seitenpfad.
• Aktueller Schritt, Fortschritt und Zeitpunkte der Aktivität.
• Von dir bereits eingegebene Kontakt- und Standortdaten.
• Snapshot der bisher eingegebenen Formulardaten.
• Technische Metadaten wie Referrer und User-Agent.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Unser berechtigtes Interesse liegt in einer nutzerfreundlichen Fortsetzung angefangener Anfragen, der technischen Fehleranalyse und der internen Prozessoptimierung.

Speicherfrist:
Nicht abgeschlossene Lead-Entwürfe werden nach 30 Tagen Inaktivität gelöscht.

9. Kundenkonto

Im Zuge einer Anfrage kann für dich ein Kundenkonto erstellt oder aktualisiert werden. Dabei verarbeiten wir insbesondere E-Mail-Adresse, Telefonnummer, Passwort-Hash, Aktivierungsstatus sowie Einladungs- und Reset-Token mit Laufzeiten.

Das Kundenkonto dient dazu, Anfragen einzusehen, Statusänderungen nachzuvollziehen, Nachrichten mit Fachbetrieben zu führen und den Zugang zu deinen projektrelevanten Daten zu sichern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

10. Partnerkonto und Partnerregistrierung

Wenn sich Fachbetriebe oder Partner registrieren oder ein Partnerkonto nutzen, verarbeiten wir insbesondere Firmen- und Ansprechpartnerdaten, Adresse, E-Mail-Adresse, Telefonnummer, Leistungs- und Einsatzgebietsdaten, Zugangsdaten, Passwort-Hashes, Aktivierungs-, Einladungs- und Reset-Token sowie abrechnungsbezogene Informationen.

Im Rahmen der Partnerregistrierung kann die IP-Adresse kurzfristig für Rate-Limiting und Missbrauchsabwehr verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsmaßnahmen und Missbrauchsverhinderung.

11. Kontaktaufnahme per E-Mail, Formular oder Telefon

Wenn du uns kontaktierst, verarbeiten wir deine Angaben zur Bearbeitung der Anfrage und für mögliche Anschlussfragen. Dazu gehören insbesondere Name, E-Mail-Adresse, Telefonnummer, Nachrichteninhalt und projektbezogene Angaben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit es um vorvertragliche Anfragen oder konkrete Vertragsbeziehungen geht, ansonsten Art. 6 Abs. 1 lit. f DSGVO.

12. Nachrichtenfunktion zwischen Kunden und Partnern

Wir stellen eine Nachrichtenfunktion bereit, über die Kunden und Partner projektbezogen kommunizieren können. Dabei speichern wir Nachrichteninhalte, Zeitpunkte, Lesestände sowie gegebenenfalls Dateianhänge.

Für den sicheren Zugang zu Nachrichten verwenden wir zusätzlich Magic-Links und Reply-Token mit begrenzter Gültigkeit, etwa für den Login aus E-Mail-Benachrichtigungen oder für Antwortadressen im E-Mail-Verkehr.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Sicherheitszwecke betroffen sind, zusätzlich Art. 6 Abs. 1 lit. f DSGVO.

13. Dateiuploads und Bilder

Du kannst im Rahmen von Anfragen und Nachrichten Bilder hochladen. Die Dateien werden technisch verarbeitet, bereinigt, gespeichert und den jeweiligen Vorgangsdaten zugeordnet. Bilder können Informationen über Grundstücke, Bauvorhaben oder andere personenbezogene bzw. personenbeziehbare Umstände enthalten.

Bitte lade keine Bilder hoch, die für die Bearbeitung deiner Anfrage nicht erforderlich sind, und vermeide nach Möglichkeit unnötige Aufnahmen von Personen oder anderen sensiblen Inhalten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Speicherfrist:
Uploads und Nachrichtenanhänge speichern wir für die Dauer der Bearbeitung der jeweiligen Anfrage oder Kommunikation. Eine Löschung erfolgt, sobald der jeweilige Zweck entfällt, die zugehörigen Vorgangsdaten gelöscht werden oder du wirksam Löschung verlangst, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

14. E-Mail-Versand und Benachrichtigungen

Wir versenden E-Mails, insbesondere zur Bestätigung von Anfragen, zur Aktivierung von Konten, für Passwort-Zurücksetzungen, Nachrichtenbenachrichtigungen, Partner-Einladungen sowie für projektbezogene Status- und Serviceinformationen.

Hierzu verarbeiten wir insbesondere E-Mail-Adresse, technische Versanddaten, inhaltliche Benachrichtigungsdaten sowie im Einzelfall Reply-To-Adressen und Token.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

E-Mail-Versand:
Der E-Mail-Versand erfolgt über unsere eigenen Systeme. Ein externer E-Mail-Dienstleister als Auftragsverarbeiter wird derzeit nicht eingesetzt.

15. Passwort-Reset, Einladungs- und Sicherheitstoken

Zur sicheren Verwaltung von Kunden- und Partnerkonten verwenden wir Einladungs-, Aktivierungs-, Reset-, Magic-Link- und Reply-Token mit zeitlich begrenzter Gültigkeit. Diese werden gespeichert, geprüft und nach Ablauf oder Verbrauch ungültig gemacht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für die Absicherung der Nutzerkonten und Kommunikationsprozesse.

16. OpenStreetMap, Leaflet und serverseitige Karten-Proxy-Dienste

Wenn du Google Maps nicht freigibst oder wir in einzelnen Bereichen eine datenschutzfreundlichere Kartenansicht anbieten, nutzen wir eine Kartenlösung auf Basis von Leaflet und OpenStreetMap. Dabei wird die Karte nicht direkt aus deinem Browser von externen Kartendiensten geladen. Stattdessen laufen Kartenkacheln und Adresssuchen zunächst über eigene Server-Endpunkte auf unserer Domain und werden von dort serverseitig weiterverarbeitet.

Dabei können insbesondere eingegebene Adressen, Suchbegriffe, Koordinaten sowie technische Verbindungsdaten verarbeitet werden. Nach unserem aktuellen technischen Stand baut dein Browser bei dieser Variante keine unmittelbare Verbindung zu den OpenStreetMap-Diensten auf; externe Anfragen werden vielmehr durch unsere Server gestellt.

Für Kartenkacheln nutzen wir derzeit den Dienst tile.openstreetmap.org der OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom. Für die serverseitige Adresssuche nutzen wir derzeit Nominatim, ebenfalls ein Dienst aus dem OpenStreetMap-Umfeld.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der datenschutzfreundlicheren Bereitstellung interaktiver Karten, der standortbezogenen Bearbeitung von Anfragen sowie in einer nutzerfreundlichen Alternativlösung zu Google Maps.

Weitere Informationen zur Datenverarbeitung durch die OpenStreetMap Foundation findest du unter:
https://osmfoundation.org/wiki/Privacy_Policy

17. Google Maps auf der Website

In einzelnen Bereichen kannst du Google Maps aktivieren, um Karten anzuzeigen, Flächen oder Linien einzuzeichnen und ortsbezogene Funktionen komfortabel zu nutzen. Erst nach deiner Zustimmung wird die Kartenansicht von Google geladen. Dabei können insbesondere IP-Adresse, Browser- und Gerätedaten sowie nutzungsbezogene Informationen an Google übermittelt werden.

Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Eine Datenverarbeitung kann auch durch verbundene Unternehmen von Google, insbesondere in den USA, erfolgen.

Rechtsgrundlage ist, soweit die Karten nicht rein technisch zwingend erforderlich sind, deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Paragraf 25 TDDDG. Falls Karten in einzelnen Bereichen für die unmittelbare Vertragserfüllung zwingend benötigt werden, kann die Verarbeitung zusätzlich auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.

Wenn du keine Zustimmung erteilen möchtest, stellen wir dir in den betroffenen Bereichen eine alternative Kartenansicht auf Basis von OpenStreetMap bereit.

18. Google Geocoding und Google Places

Für bestimmte standortbezogene Funktionen verwenden wir serverseitig Google-Geocoding- und Google-Places-Dienste, zum Beispiel um Adressen zuzuordnen, Standorte zu prüfen oder Unternehmensinformationen zu ergänzen. Dabei können insbesondere Adressangaben, Koordinaten, Suchanfragen, Standortdaten, Google-Place-IDs, Unternehmensangaben, Telefonnummern, Webseiten und Bewertungsdaten verarbeitet werden.

Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Eine Datenverarbeitung in Drittländern, etwa in den USA, kann nicht ausgeschlossen werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die standortbezogene Bearbeitung einer Anfrage erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für die effiziente fachliche Zuordnung und Datenqualität.

19. PayPal-Zahlungen

Für bestimmte Zahlungsvorgänge im Partnerbereich nutzen wir PayPal. Wenn du eine Zahlung auslöst, werden die zur Zahlungsabwicklung erforderlichen Daten an PayPal übermittelt. Dazu können insbesondere Transaktionskennungen, Referenzdaten, Zahlungsbetrag, Statusinformationen sowie von PayPal erzeugte Zahlungs- und Capture-IDs gehören.

Anbieter ist PayPal (Europe) S.a r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Je nach PayPal-Prozess kann eine Weiterverarbeitung auch durch verbundene Unternehmen außerhalb der EU erfolgen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

20. Interne Benachrichtigungen und Administration

Zur Bearbeitung von Leads und zur internen Organisation verarbeiten wir administrative Benachrichtigungen, Statusdaten, Zuweisungen, Preis- und Abrechnungsinformationen sowie interne Notizen, soweit dies für unsere Geschäftsabläufe erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.

21. Empfänger der Daten

Wir geben personenbezogene Daten nur weiter, soweit dies rechtlich zulässig ist. Empfänger können insbesondere sein:

• Von dir ausgewählte oder für dein Projekt passende Fachbetriebe / Partner.
• Hosting-Anbieter und technische Dienstleister, soweit solche im Einzelfall eingesetzt werden.
• E-Mail- und Kommunikationsdienstleister, soweit solche im Einzelfall eingesetzt werden.
• OpenStreetMap-Dienste, soweit Kartenkacheln oder Adresssuchanfragen serverseitig über unsere Proxy-Endpunkte weitergeleitet werden.
• Google für Karten-, Geocoding- und Places-Funktionen.
• PayPal für Zahlungsabwicklungen.
• Weitere Auftragsverarbeiter, soweit sie für Betrieb, Wartung, Sicherheit oder Support erforderlich sind.

22. Drittlandübermittlungen

Soweit wir Dienste von Anbietern mit Sitz oder Datenverarbeitung außerhalb der EU bzw. des EWR einsetzen, kann es zu einer Übermittlung personenbezogener Daten in sogenannte Drittländer kommen, insbesondere in die USA. Solche Übermittlungen erfolgen nur unter Beachtung der gesetzlichen Vorgaben, etwa auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien.

Dies kann insbesondere Google und PayPal betreffen. Die Nutzung von OpenStreetMap-Diensten über unsere Server-Proxy-Endpunkte führt nach dem derzeitigen technischen Stand nicht zu einer direkten Drittlandübermittlung aus dem Browser heraus, berührt aber gleichwohl die Einbindung externer Dienste auf Serverseite.

23. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Typische Kriterien für die Speicherdauer sind:

• Dauer der Anfragebearbeitung und Vertragsanbahnung.
• Laufende Kunden- oder Partnerbeziehung.
• Gesetzliche Aufbewahrungspflichten, insbesondere handels- und steuerrechtliche Fristen.
• IT-Sicherheits- und Nachweisinteressen.
• Ablauf von Einladungs-, Reset-, Magic-Link- oder Reply-Token.

Nicht abgeschlossene Lead-Entwürfe löschen wir nach 30 Tagen Inaktivität. Soweit technische Server-Logfiles anfallen, löschen wir diese nach spätestens 14 Tagen. Uploads und Nachrichtenanhänge speichern wir für die Dauer des jeweiligen Vorgangs und löschen sie, sobald der Zweck entfällt oder die zugehörigen Vorgangsdaten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

23. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter Daten ist für die Nutzung einzelner Funktionen erforderlich, insbesondere für Anfragen, Kontoregistrierungen, die standortbezogene Bearbeitung von Projekten, den Nachrichtenversand und Zahlungen. Ohne diese Daten können wir die jeweilige Funktion gegebenenfalls nicht bereitstellen.

24. Automatisierte Entscheidungen

Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO mit rechtlicher oder vergleichbar erheblicher Wirkung findet nach dem aktuell erkennbaren Stand nicht statt. Es werden jedoch technische Bewertungen, Preisrahmen, Matching- und Routing-Hilfen zur Unterstützung interner Prozesse berechnet.

25. Deine Rechte

Du hast im Rahmen der gesetzlichen Vorgaben insbesondere folgende Rechte:

• Recht auf Auskunft gemäß Art. 15 DSGVO.
• Recht auf Berichtigung gemäß Art. 16 DSGVO.
• Recht auf Löschung gemäß Art. 17 DSGVO.
• Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO.
• Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO.
• Recht auf Widerspruch gemäß Art. 21 DSGVO.
• Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen.
• Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde.

26. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere die Aufsichtsbehörde deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Sitzes unseres Unternehmens.

Zuständige Behörde am Sitz des Verantwortlichen:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland

27. Widerspruchsrecht

Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, hast du das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Wir verarbeiten die betreffenden Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

28. Stand dieser Datenschutzerklärung

Stand: 13. März 2026