Datenschutzerklärung

Stand: 24. Mai 2026

Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln sie vertraulich, gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Diese Erklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf dieser Website.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Deniz Incedal
Wohltat Immobilien
Gotenstraße 17, 74081 Heilbronn
E-Mail: [email protected]

2. Was diese Website grundsätzlich nicht tut

Aus Überzeugung verzichten wir auf:

• Eingebettete Drittinhalte wie YouTube-Videos, Google Fonts oder Maps-Iframes, die personenbezogene Daten an Drittländer übertragen.
• Newsletter-Tracking-Pixel oder versteckte Verfolgungs-IDs.
• Meta Pixel, Hotjar oder vergleichbare Profilbildungs-Tools.

Schriften (Source Serif 4, Barlow Semi Condensed) werden direkt von unserem Server geliefert, nicht von einem externen CDN.

Für die Reichweitenmessung nutzen wir Google Analytics 4 — ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner (Details siehe Abschnitt 4).

3. Hosting (Cloudflare)

Diese Website wird auf der Plattform Cloudflare Pages der

Cloudflare Germany GmbH
Rosental 7, c/o Mindspace, 80331 München

gehostet. Cloudflare betreibt ein weltweites Content Delivery Network (CDN), das Anfragen aus Performance- und Sicherheitsgründen über das nächstgelegene Rechenzentrum auslieferr. Beim Aufruf der Website werden technisch unvermeidbare Server-Logfiles verarbeitet:

• IP-Adresse (gekürzt / pseudonymisiert)
• Datum und Uhrzeit der Anfrage
• aufgerufene URL
• HTTP-Statuscode und übertragene Datenmenge
• Referer-URL und User-Agent (Browser, Betriebssystem)

Zweck: Auslieferung der Website, Schutz vor Angriffen (DDoS, Bot-Schutz), Stabilität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Auslieferung).
Speicherdauer: Cloudflare speichert anonymisierte Logs typischerweise bis zu vier Stunden, sicherheitsrelevante Daten bis zu sieben Tage.
Auftragsverarbeitung: Mit Cloudflare besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Standardvertragsklauseln (SCC) regeln internationale Datentransfers in die USA.

Weitere Informationen: www.cloudflare.com/privacypolicy

4. Reichweitenmessung und Marketing (Google Analytics 4, Google Ads)

Wir nutzen Google Analytics 4 (GA4) zur Messung der Seitennutzung und — sofern aktiviert — Google Ads zur Erfolgsmessung von Werbeanzeigen. Beide Dienste werden von der

Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland

bereitgestellt; Mutterkonzern ist die Google LLC in den USA.

Einwilligung als Voraussetzung

Vor der ersten Datenerhebung blenden wir einen Cookie-Banner ein, in dem Sie pro Kategorie (Reichweitenmessung, Marketing) entscheiden können. Ohne Ihre Einwilligung werden keine Analyse- oder Marketing-Cookies gesetzt und keine Daten an Google übermittelt — der Banner-Stub setzt vor jedem Tag-Aufruf den Consent-Status auf „denied”.

Ihre Wahl wird in einem technischen Eintrag im localStorage Ihres Browsers gespeichert (Schlüssel: wohltat-cookie-consent, Inhalt: Zeitstempel + Kategorie-Entscheidungen). Diese Information bleibt ausschließlich auf Ihrem Gerät. Sie können die Einstellung jederzeit ändern oder zurücknehmen — entweder über den Link „Cookie-Einstellungen” im Footer oder indem Sie den localStorage-Eintrag in den Browser-Einstellungen löschen.

Verarbeitete Daten (nach Einwilligung)

Nach einer erteilten Einwilligung verarbeitet Google insbesondere:

• pseudonyme Geräte-Kennung (Cookie-ID _ga, _ga_*)
• gekürzte IP-Adresse (aktiviertes anonymize_ip)
• Aufgerufene URL, Referrer, Verweildauer, Geräte- und Browser-Typ, ungefähres Land
• ausgelöste Ereignisse (z. B. Formular-Absendungen, Klicks auf Telefon-/E-Mail-Links)

Speicherdauer in GA4: standardmäßig 14 Monate für Ereignis- und Nutzerdaten, danach automatische Löschung. Aggregierte Berichte können länger vorgehalten werden.

Rechtsgrundlage

• Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG — Ihre ausdrückliche Einwilligung über den Cookie-Banner.
• Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 8 und „Cookie-Einstellungen” im Footer).

Drittland-Transfer (USA)

Google kann personenbezogene Daten zur Verarbeitung in die USA übermitteln. Google LLC ist nach dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) zertifiziert; die Übermittlung erfolgt auf dieser Grundlage. Ergänzend bestehen die EU-Standardvertragsklauseln (SCC) als zusätzliche Absicherung.

Weitere Informationen:

• Datenschutzerklärung Google
• Google Analytics — Datenschutz und Sicherheit
• EU-U.S. Data Privacy Framework

5. Lokaler Speicher (Theme-Auswahl und Cookie-Einstellung)

Wir verwenden den localStorage Ihres Browsers für zwei technisch notwendige Einträge:

• theme (light oder dark) — speichert Ihre Hell-/Dunkel-Modus-Auswahl, sodass der Modus beim nächsten Besuch erhalten bleibt.
• wohltat-cookie-consent (JSON mit Zeitstempel und Kategorie-Entscheidungen) — speichert Ihre Auswahl im Cookie-Banner, sodass dieser nicht bei jedem Besuch erneut erscheint.

Beide Einträge bleiben ausschließlich auf Ihrem Gerät, werden nicht an unseren Server übermittelt und nicht zu einer Personenkennung verknüpft.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich, um eine vom Nutzer ausdrücklich gewünschte Funktion bereitzustellen).

Sie können beide Einträge jederzeit in den Browser-Einstellungen löschen.

6. Kontaktaufnahme

Sie können auf zwei Wegen mit uns in Verbindung treten — direkt per E-Mail oder über das Kontaktformular auf dieser Website. Beide Wege werden im Folgenden getrennt beschrieben, da unterschiedliche Datenflüsse und Auftragsverarbeiter beteiligt sind.

6.1 Direkt-E-Mail

Wenn Sie uns per E-Mail kontaktieren ([email protected]), werden Ihre Angaben aus der E-Mail (Absender-Adresse, Name, Inhalt) zur Bearbeitung Ihrer Anfrage verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an effizienter Kommunikation).
Speicherdauer: so lange, wie es zur Bearbeitung Ihrer Anfrage und zur Erfüllung gesetzlicher Aufbewahrungsfristen (z. B. handels- und steuerrechtliche, bis zu 10 Jahre) erforderlich ist.

6.2 Kontaktformular (/kontakt)

Wenn Sie uns über das Kontaktformular schreiben, verarbeiten wir folgende personenbezogene Daten:

• Name (Pflichtfeld)
• E-Mail-Adresse (Pflichtfeld)
• Telefon-Nummer (optional, nur falls Sie ausdrücklich einen Rückruf wünschen)
• Inhalt Ihrer Nachricht
• Zeitpunkt Ihrer Einwilligung (Datum, Uhrzeit) inkl. einer pseudonymisierten Form Ihrer IP-Adresse (siehe „Technischer Schutz” unten)

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. a DSGVO — Ihre ausdrückliche Einwilligung. Bevor Sie absenden können, bestätigen Sie aktiv mit einer Pflicht-Checkbox, dass Sie diese Datenschutzerklärung gelesen haben und der Verarbeitung zur Bearbeitung Ihrer Anfrage zustimmen.
• Ergänzend Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen, falls Ihre Anfrage auf einen Maklervertrag abzielt).
• Art. 6 Abs. 1 lit. f DSGVO für die unten beschriebenen technischen Schutzmaßnahmen — ohne sie wäre kein verlässlicher Betrieb des Formulars möglich.

Was nach dem Absenden passiert:

1. Eine Benachrichtigung mit dem Inhalt Ihrer Anfrage geht an die hinterlegte E-Mail-Adresse von Wohltat Immobilien — der Versand erfolgt über unseren E-Mail-Auftragsverarbeiter (siehe 6.3).
2. Sie erhalten eine automatische Empfangsbestätigung an die von Ihnen angegebene E-Mail-Adresse.
3. Ihre Einwilligung wird zusammen mit Datum, gehashtem IP-Stempel und dem Inhalt der Anfrage in unserem Workers-KV-Speicher (siehe 3.) für maximal sechs Monate aufbewahrt — als Einwilligungs-Nachweis nach Art. 7 Abs. 1 DSGVO. Danach wird der Eintrag automatisch gelöscht.

Speicherdauer:

• Einwilligungs-Eintrag im Workers-KV-Speicher: 6 Monate ab Einwilligung (TTL-gestützte automatische Löschung)
• Benachrichtigungs-E-Mail im Postfach von Wohltat Immobilien: solange für die Bearbeitung Ihrer Anfrage erforderlich; bei Vertragsanbahnung anschließend bis zum Ablauf gesetzlicher Aufbewahrungsfristen (handels- und steuerrechtlich bis zu 10 Jahre)
• Empfangsbestätigungs-Mail an Sie: kein eigener serverseitiger Speicher (die Mail liegt nur in Ihrem Postfach)

Technischer Schutz (technisch und rechtlich erforderlich):

• Rate-Limit — maximal drei Absendungen pro IP-Adresse innerhalb von 60 Sekunden, zum Schutz vor automatisiertem Missbrauch
• Honeypot-Feld — ein für Menschen unsichtbares Eingabefeld, das ausschließlich automatisierte Bots befüllen; entsprechende Anfragen werden stillschweigend verworfen
• Idempotenz-Fenster — innerhalb von 60 Sekunden wird derselbe Absende-Versuch nicht doppelt verarbeitet (Schutz gegen versehentliches Mehrfach-Klicken)
• IP-Hash mit serverseitigem Salt — Ihre IP-Adresse wird vor jeglicher Speicherung mit einem geheimen, ausschließlich serverseitig vorliegenden Schlüssel SHA-256-gehasht. Wir speichern niemals Ihre Klartext-IP, und der Salt ist so gewählt, dass aus dem Hash die ursprüngliche IP-Adresse praktisch nicht zurückgerechnet werden kann (Art. 32 DSGVO — Sicherheit der Verarbeitung)
• Cloudflare Turnstile — eine unsichtbare, cookiefreie Bot-Prüfung von Cloudflare. Beim Absenden prüft ein clientseitiges Widget über technische Signale (u. a. IP-Adresse, Browser- und Geräte-Merkmale sowie Interaktionsmuster), ob die Anfrage von einem Menschen stammt; das Ergebnis (ein einmalig gültiges Token) wird serverseitig bei Cloudflare verifiziert, bevor die Anfrage weiterverarbeitet wird. Turnstile setzt dafür keine Cookies und nutzt die Daten laut Cloudflare nicht zu Werbezwecken. Rechtsgrundlage ist unser berechtigtes Interesse am Schutz vor automatisiertem Missbrauch (Art. 6 Abs. 1 lit. f DSGVO).

Die genannten Schutzmaßnahmen verarbeiten ausschließlich den minimal nötigen Datensatz und sind unbedingt erforderlich, um den ordnungsgemäßen Betrieb des Formulars sicherzustellen.

Hinweis: Cloudflare ist als Anbieter der Hosting- und Sicherheitsinfrastruktur (inklusive Turnstile) ein weiterer Auftragsverarbeiter. Der zugehörige Auftragsverarbeitungs-Vertrag (AVV) wird vor dem öffentlichen Launch abgeschlossen.

6.3 E-Mail-Auftragsverarbeiter (Resend)

Für den technischen Versand der Benachrichtigungs- und Empfangsbestätigungs-Mail nutzen wir den Dienst:

Resend, Inc.
2261 Market Street, #4990, San Francisco, CA 94114, USA

Resend verarbeitet zur Zustellung Ihrer E-Mail die in 6.2 genannten Inhalte (Name, E-Mail, Nachricht). Mit Resend besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO; der internationale Datentransfer in die USA ist über die EU-Standardvertragsklauseln (SCC) abgesichert.

Weitere Informationen: resend.com/legal/privacy-policy

7. Externe Verlinkungen

Diese Website verlinkt auf externe Angebote, insbesondere:

• Instagram (Profil-Verlinkung im Header und Footer)
• Wikimedia Commons (Bildnachweise auf der Seite /credits)
• IHK Heilbronn-Franken, Universalschlichtungsstelle, EU-OS-Plattform (im Impressum)

Beim Anklicken eines externen Links verlassen Sie diese Website. Die Datenverarbeitung beim externen Anbieter unterliegt dessen eigener Datenschutzerklärung. Wir setzen rel="noopener" und referrerpolicy="no-referrer", sodass beim Klick keine Referer-Information an das Zielangebot weitergegeben wird.

Externe Inhalte werden nicht in die Seite eingebettet — beim bloßen Aufruf dieser Website findet kein Datenaustausch mit Instagram, Wikimedia o. Ä. statt.

8. Ihre Rechte als betroffene Person

Sie haben uns gegenüber jederzeit folgende Rechte, soweit Sie betroffene Person im Sinne der DSGVO sind:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16)
• Löschung Ihrer Daten (Art. 17), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch gegen eine Verarbeitung auf Grundlage berechtigter Interessen (Art. 21)
• Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Bitte richten Sie Ihre Anfrage an: [email protected]

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

10. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO — einschließlich Profiling — findet auf dieser Website nicht statt.

11. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Rechtslage, technische Gegebenheiten oder unsere Leistungen ändern. Es gilt jeweils die zum Zeitpunkt Ihres Besuchs aktuelle Version.