Datenschutzerklärung

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Nico Eberhardt – Management
Künstlerin: Caelith
Pfotenhauerstraße 65, 01307 Dresden, Deutschland

Kontakt:
management@caelith.de


Hinweis: Wir bieten die gesetzlich geforderte Möglichkeit zur schnellen und unmittelbaren Kontaktaufnahme
gem. § 5 Abs. 1 Nr. 2 DDG über E-Mail und ein Kontaktformular an.
Eine Telefonnummer ist rechtlich nicht zwingend erforderlich
(EuGH, C-298/07; BGH, PM 41/2025).

Zum Kontaktformular

Rechtsgrundlagen & Pflichten

• Art. 5 DSGVO – Grundsätze (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Integrität, Rechenschaftspflicht)
• Art. 6 DSGVO – Rechtsgrundlagen
• Art. 12–14 DSGVO – Informationspflichten
• Art. 24, 25 DSGVO – Verantwortlichkeit & Datenschutz durch Technikgestaltung

2.1 Rollenmodell & Verantwortlichkeit (GDPR Art. 4 Nr. 7, Art. 24, Art. 28)

Verantwortlicher („Controller“) für diese Website ist Caelith – Management Nico Eberhardt. Das Hosting erbringt
ALL-INKL.COM (Neue Medien Münnich, Deutschland) als Auftragsverarbeiter („Processor“) gem. Art. 28 GDPR.
Ein schriftlicher AV-Vertrag mit den Pflichtinhalten nach Art. 28 Abs. 3 (a–h) liegt vor (Gegenstand/Zweck/Dauer, Kategorien,
TOMs, Unterauftragsverarbeitung, Unterstützungspflichten, Rückgabe/Löschung, Audit).

2.2 Rechtsrahmen & Normen-Hierarchie

• GDPR/DSGVO (unmittelbar geltend, vorrangig): Art. 5 (Grundsätze), 6 Abs. 1 lit. f (berechtigtes Interesse),
  24–25 (Organisation, Privacy by Design/Default), 28 (AV), 32 (Sicherheit), Recitals 32/39/49/78.
• TDDDG (Nachfolger/Umbenennung des TTDSG): insbes. § 25 (Schutz der Privatsphäre bei Endeinrichtungen,
  Endgerätezugriffe/Einstellungen) und § 26 (anerkannte Dienste zur Einwilligungsverwaltung).
• BDSG (ergänzend national); LDSG Sachsen (Landesrecht, Aufsicht).
• KI-VO (EU-AI-Act) & Data Act: zukunftsrelevant (Sicherheit/Transparenz/Datenzugang), ohne die GDPR zu verdrängen.

2.3 Verarbeitete Datenkategorien beim Hosting

• Server-/Zugriffs-/Fehler-Logdaten (Details ↗ Punkt 3): IP (dynamisch), Timestamp, Request-Zeile, Status, Referrer, User-Agent, ggf. Hostname; rein serverseitig.
• Essenzielle Sitzungsdaten (z. B. Warenkorb/Login-Status): nur soweit zur Erbringung des Telemediendienstes funktionsnotwendig.
  Rechtsrahmen für Endgerätezugriffe: § 25 TDDDG (Ausnahme „unbedingt erforderlich“).
• Kommunikations-/Transportdaten (TLS-gesichert).

2.4 Zwecke (Art. 5 Abs. 1 lit. b, c, e; Recital 49)

• Technische Bereitstellung und Stabilität der Website, Performance/Fehlerdiagnostik.
• Netz- & Informationssicherheit inkl. Angriffs-/Missbrauchsabwehr (DDoS, Brute-Force, Injection), Forensik.
• Erfüllung organisatorischer Pflichten (Art. 24) und TOMs (Art. 32) inkl. Rechenschaft (Art. 5 Abs. 2).

2.5 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. f GDPR (berechtigtes Interesse an sicherem, stabilem Betrieb; Recital 49).
• Art. 32 GDPR (Pflicht zu geeigneten technischen/organisatorischen Maßnahmen).
• § 25 TDDDG (Endgerätezugriffe nur, soweit „unbedingt erforderlich“ ohne Einwilligung; sonst Einwilligung erforderlich).
  § 26 TDDDG (anerkannte Dienste zur Einwilligungsverwaltung – CMP/Consent-Logs).

2.6 Auftragsverarbeitung (Art. 28 GDPR) – Pflichtinhalte & Unteraufträge

• Weisungsgebundenheit, Vertraulichkeit des Personals, dokumentierte TOMs (Art. 28 Abs. 3 a–c).
• Sub-Processor nur mit Genehmigung, back-to-back-Pflichten (Art. 28 Abs. 4).
• Unterstützung bei Betroffenenrechten, DSFA, Meldungen (Art. 28 Abs. 3 e–f; Art. 33/34).
• Rückgabe/Löschung am Ende, Auditierbarkeit (Art. 28 Abs. 3 g–h).

2.7 Sicherheitsniveau & TOMs (Art. 32 GDPR; Recital 78; ISO 27001/BSI)

• Transportverschlüsselung durchgängig: TLS 1.3, PFS, HSTS; zeitnaher Zertifikats-/Key-Roll; sichere Cipher-Suites.
• Server-Härtung: Patch-/Vulnerability-Management, WAF/Firewall/IDS, minimale Angriffsfläche.
• Zugriffs- & Rechtekonzept: Least-Privilege, Vier-Augen-Prinzip für riskante Aktionen, 2FA/Admin, Zugriff-Logging.
• Backups/DR: verschlüsselte Backups, Wiederherstellungsübungen, definierte RTO/RPO.
• Privacy by Design/Default (Art. 25): Datenminimierung (insb. Logs), deaktivierte Drittinhalte bis Einwilligung.

2.8 TLS-Konzept & Schlüsselmanagement

• Konfiguration gemäß anerkannten Mindeststandards; Monitoring von Zertifikatsgültigkeit/OCSP-Stapling.
• Private Keys strikt geschützt; rotierende Schlüssel und Revocation-Prozesse.

2.9 Logs & Abgrenzung zu Endgerätezugriffen

Serverseitige Logfiles unterfallen primär der GDPR (siehe Punkt 3). Endgerätezugriffe (Speichern/Auslesen) sind gesondert
nach § 25 TDDDG zu bewerten (Einwilligungspflicht, außer „unbedingt erforderlich“). Einwilligungen werden über eine
CMP nach § 26 TDDDG protokolliert (Consent-ID, Zeitstempel, Scope).

2.10 Speicherorte & internationale Übermittlungen (Art. 44–49 GDPR)

Hosting in der EU/EWR. Etwaige Hersteller-/Support-Zugriffe außerhalb des EWR nur mit Rechtsgrundlagen (Angemessenheit/DPF,
SCC, ggf. BCR) nach Risikoanalyse/Transfer Impact Assessment und geeigneten Zusatzmaßnahmen
(z. B. Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen).

2.11 Sicherheitsvorfälle (Art. 33/34 GDPR)

Incident-Response-Prozesse vorhanden. Meldung an die Aufsichtsbehörde binnen 72 Std. bei Risiko (Art. 33); Benachrichtigung
Betroffener bei voraussichtlich hohem Risiko (Art. 34). Auftragsverarbeiter ist zu unverzüglicher Unterrichtung verpflichtet.

2.12 Dokumentation & Rechenschaft (Art. 5 Abs. 2, Art. 24 GDPR)

DSMS/ISMS-Dokumentation: AV-Vertrag, TOM-Nachweise, Risiko-/TIA-Ergebnisse, CMP-Protokolle, Löschkonzepte, Auditberichte.
Regelmäßige Wirksamkeitskontrolle und Aktualisierung.

2.13 Self-Hosted Web-Fonts & externe Ressourcen

Schriften werden mit „Self-Hosted Google Fonts“ lokal ausgeliefert (keine Verbindung zu Google-CDNs, keine IP-Weitergabe).
Externe Bibliotheken (JS/CSS) werden, wo technisch möglich, ebenfalls lokal gehostet. Für unvermeidbare Externals:
strenge Prüfung (Einwilligung nach § 25 TDDDG, internationale Übermittlungen, CSP/SRI).

2.14 Standards & Rechtsprechung (Auswahl)

• BSI-Mindeststandards/BSI TR-02102 für TLS-Einsatz; ISO/IEC 27001; OWASP-Top-10.
• EuGH C-582/14 „Breyer“ (IP-Personenbezug), BGH VI ZR 135/13 (Logfiles-Zulässigkeit für Sicherheit),
  EuGH C-673/17 „Planet49“ (aktive Einwilligung), EuGH C-311/18 „Schrems II“ (Drittlandsübermittlungen).

2.15 Ergebnis

Die Hosting-/Sicherheitsarchitektur erfüllt die Vorgaben der GDPR (insb. Art. 6 f, 24–25, 28, 32) und des TDDDG
(insb. §§ 25–26) in Verbindung mit anerkannter Rechtsprechung und Standards. Durch lokale Fonts, deaktivierte Externals
bis Einwilligung und strikte TOMs wird Datenschutz „by design“ umgesetzt.

3.1 Verarbeitete Datenarten

Bei jedem Zugriff auf diese Website werden automatisch Server-Logfiles erzeugt und temporär gespeichert:

• IP-Adresse (dynamisch oder statisch; Personenbezug anerkannt – EuGH C-582/14 „Breyer“).
• Datum und Uhrzeit des Zugriffs.
• Request-Zeile (angefragte Datei/URL).
• HTTP-Statuscode (z. B. 200, 404).
• Referrer-URL (vorher besuchte Seite).
• User-Agent (Browsertyp/-version, Betriebssystem).
• Hostname des zugreifenden Rechners.
• Übertragene Datenmenge.

3.2 Zwecke der Verarbeitung (Art. 5 Abs. 1 lit. b, e, f; Recital 49)

• Sicherstellung des technischen Betriebs und der Funktionsfähigkeit.
• Fehlerdiagnose und Systemstabilität (Log-Analyse bei Serverproblemen).
• IT-Sicherheit: Erkennung/Abwehr von Angriffen (z. B. DDoS, Brute-Force, Injection).
• Nachvollziehbarkeit bei Missbrauchsfällen (Rechtsdurchsetzung, z. B. Art. 6 Abs. 1 lit. f GDPR).
• Statistische Auswertungen (anonymisiert/aggregiert).

3.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. f GDPR: Berechtigtes Interesse an Betriebssicherheit, Funktionsfähigkeit und Missbrauchsabwehr.
• Art. 32 GDPR: Pflicht zu TOMs (u. a. Logging, Monitoring).
• § 25 Abs. 2 Nr. 2 TDDDG: Speicherung/Auslesen von Informationen in Endeinrichtungen ohne Einwilligung zulässig,
  wenn „unbedingt erforderlich“ für den Betrieb.
• BDSG und LDSG Sachsen: ergänzend nationale Vorgaben, Aufsichtsrecht.

3.4 Speicherfristen & Löschung (Art. 5 Abs. 1 lit. e GDPR – Speicherbegrenzung)

• Regulär 7 Tage (branchenüblich, BSI-Empfehlung).
• Längere Speicherung nur im Ereignisfall (z. B. Angriff, Missbrauch), bis zur abschließenden Klärung.
• Danach Löschung oder Anonymisierung.

3.5 Zugriff & Empfänger (Art. 28, 32 GDPR)

• Technisches Personal des Hosting-Providers (Auftragsverarbeiter, Art. 28).
• Administratoren des Verantwortlichen (nur soweit notwendig, dokumentiert).
• Im Ausnahmefall Strafverfolgungsbehörden auf gesetzlicher Grundlage.

3.6 Sicherheit & Standards (Art. 32 GDPR)

• Pseudonymisierung und ggf. Anonymisierung (z. B. Kürzung IP).
• Schutz vor unbefugtem Zugriff (Zugriffsrechte, Firewalls, IDS/IPS).
• BSI IT-Grundschutz und ISO/IEC 27001 als Maßstab.

3.7 Abgrenzung zu Endgerätezugriffen (TDDDG)

Server-Logfiles werden serverseitig erstellt (GDPR-Datenschutzrecht).
Ein Endgerätezugriff im Sinne des § 25 TDDDG (Speichern/Auslesen im Browser) liegt hier nicht vor.
Endgerätezugriffe (Cookies, LocalStorage) sind separat geregelt (siehe Punkt 5 „Cookies & Tracking“).

3.8 Relevante Rechtsprechung

• EuGH C-582/14 „Breyer“: Dynamische IP-Adressen sind personenbezogen.
• BGH VI ZR 135/13: Speicherung von IP-Adressen zur Gefahrenabwehr zulässig.
• EuGH C-673/17 „Planet49“: Einwilligungspflicht für nicht notwendige Cookies/Tracking.

3.9 Zukunftsbezug

• KI-VO: Bei Einsatz KI-gestützter Log-Analyse gelten Risikoklassifizierung und Transparenzpflichten.
• Data Act: Regeln zur Weitergabe von System-/Nutzungsdaten an Dritte (z. B. Interoperabilität, Portabilität).

3.10 Ergebnis

Server-Logfiles sind für den sicheren und stabilen Betrieb unverzichtbar. Die Verarbeitung erfolgt auf Grundlage von
Art. 6 Abs. 1 lit. f GDPR sowie § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich).
Speicherfristen sind streng begrenzt, Datenzugriffe beschränkt und technisch-organisatorisch abgesichert.
Ein Abgleich mit aktueller Rechtsprechung (EuGH, BGH) bestätigt die Zulässigkeit.

4.1 Grundsatz der Datenerhebung

Wir verarbeiten personenbezogene Daten nur, soweit dies nach Art. 6 GDPR zulässig ist und die Grundsätze aus
Art. 5 GDPR (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität & Vertraulichkeit,
Rechenschaftspflicht) gewahrt werden.
Jede Verarbeitung erfolgt transparent (Art. 13, 14 GDPR) und unterliegt den Betroffenenrechten (Art. 15–22 GDPR).

4.2 Datenkategorien

• Kontaktformular: Name, E-Mail-Adresse, ggf. Telefonnummer, Betreff, Nachrichtentext.
• Direkte Kommunikation: E-Mail-Korrespondenz, Telefonnotizen, Chat-Inhalte (falls angeboten).
• Registrierung/Login (zukünftig für WooCommerce-Shop): Benutzername, Passwort (verschlüsselt), Zahlungs- & Rechnungsdaten, Versandadresse.
• Newsletter/Marketing-Kommunikation (falls aktiviert): E-Mail-Adresse, ggf. Double-Opt-In-Log (Zeitstempel, IP, Consent-ID nach § 26 TDDDG).

4.3 Zwecke der Verarbeitung

• Bearbeitung von Anfragen und Kommunikation mit Nutzern (Art. 6 Abs. 1 lit. b, f GDPR).
• Vertragserfüllung (Bestellungen, Kundenkonto, Zahlungsabwicklung) gemäß Art. 6 Abs. 1 lit. b GDPR.
• Rechtsdurchsetzung und Betrugsprävention (Art. 6 Abs. 1 lit. f GDPR).
• Marketing/Newsletter nur mit Einwilligung (Art. 6 Abs. 1 lit. a GDPR, § 25 TDDDG).
• Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungsfristen gem. HGB, AO, Art. 6 Abs. 1 lit. c GDPR).

4.4 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a GDPR: Einwilligung (z. B. Newsletter, Tracking-Cookies via § 25 TDDDG).
• Art. 6 Abs. 1 lit. b GDPR: Vertragserfüllung oder vorvertragliche Maßnahmen (z. B. Bestellung im Shop, Support-Anfrage).
• Art. 6 Abs. 1 lit. c GDPR: Rechtliche Verpflichtungen (z. B. steuerliche Aufbewahrung).
• Art. 6 Abs. 1 lit. f GDPR: Berechtigtes Interesse (effiziente Kommunikation, Abwehr von Missbrauch).

4.5 Informationspflichten (Art. 13, 14 GDPR)

Betroffene erhalten beim Erheben ihrer Daten Informationen zu: Identität des Verantwortlichen, Kontaktdaten DSB, Verarbeitungszwecke, Rechtsgrundlagen,
Empfänger, Übermittlungen in Drittländer, Speicherdauer, Betroffenenrechte, Widerrufs-/Beschwerderecht. Diese Informationen stellen wir bereits im Erhebungsprozess zur Verfügung.

4.6 Betroffenenrechte (Art. 15–22 GDPR; Recitals 59–68)

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17 „Recht auf Vergessenwerden“).
• Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruchsrecht (Art. 21, v. a. gegen Direktwerbung).
• Widerruf von Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3).

4.7 Speicherfristen

• Anfragen: nach abschließender Bearbeitung gelöscht, spätestens nach 12 Monaten.
• Vertragsdaten: nach HGB/AO bis zu 10 Jahre Aufbewahrungspflicht.
• Newsletter-Daten: bis Widerruf; Double-Opt-In-Logs mind. 3 Jahre (Beweislast, § 26 TDDDG).

4.8 Empfänger / Drittlandsübermittlungen

• Interne Mitarbeiter mit Rollen-/Rechtekonzept.
• Auftragsverarbeiter (z. B. Hosting, E-Mail-Dienste) gem. Art. 28 GDPR.
• Internationale Übermittlungen nur mit Garantien (Art. 44–49 GDPR: Angemessenheitsbeschluss, SCC, BCR).

4.9 Sicherheit (Art. 32 GDPR)

• Transportverschlüsselung (TLS 1.3, HSTS, PFS).
• Zugriffsrechte beschränkt nach Need-to-Know.
• Speicherung auf EU-Servern, Verschlüsselung bei Speicherung, Protokollierung von Zugriffen.

4.10 Rechtsprechung & Standards

• EuGH C-582/14 „Breyer“: IP-Adressen als personenbezogene Daten.
• EuGH C-673/17 „Planet49“: Einwilligungspflicht für nicht-notwendige Datenverarbeitungen.
• EuGH C-311/18 „Schrems II“: Ungültigkeit Privacy Shield, Anforderungen an Drittland-Transfers.
• BGH VI ZR 135/13: Speicherung personenbezogener Daten zur Gefahrenabwehr zulässig.

4.11 Zukunftsperspektive

• KI-VO: Bei Einsatz von Chatbots oder KI-gestützter Kundenkommunikation gelten Transparenz- & Risikoklassifizierungspflichten.
• Data Act: künftige Verpflichtungen zur Datenportabilität und -freigabe auch gegenüber Dritten.

4.12 Ergebnis

Personenbezogene Daten werden nur im gesetzlich zulässigen Rahmen verarbeitet. Maßgeblich sind Art. 6 GDPR,
§ 25 TDDDG sowie die Grundsätze aus Art. 5 GDPR.
Betroffene haben umfassende Rechte; Sicherheit, Transparenz und Speicherbegrenzung sind gewährleistet.
Alle Prozesse sind dokumentiert und werden regelmäßig überprüft.

5.1 Definition

Cookies sind kleine Textdateien, die auf dem Endgerät des Nutzers gespeichert werden und Informationen enthalten.
Tracking-Technologien umfassen darüber hinaus Pixel, Local Storage, Session Storage, Fingerprinting oder KI-basierte Analysemethoden.
Alle diese Verfahren können personenbezogene Daten verarbeiten und unterliegen damit dem Datenschutzrecht.

5.2 Rechtsgrundlagen

• § 25 Abs. 1 TDDDG: Speicherung von Informationen auf Endgeräten oder Zugriff darauf nur mit Einwilligung der Nutzer.
• § 25 Abs. 2 Nr. 2 TDDDG: Ausnahme: wenn Cookies „unbedingt erforderlich“ sind für den technischen Betrieb (z. B. Warenkorb-Cookies im WooCommerce-Shop).
• Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung auf Grundlage einer informierten, freiwilligen und widerrufbaren Einwilligung (Recital 32, 42, 43).
• Art. 6 Abs. 1 lit. b DSGVO: Notwendige Verarbeitung zur Vertragserfüllung (z. B. Warenkorb-Session).
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (z. B. Sicherheit, Missbrauchserkennung), nur wenn Interessenabwägung ergibt, dass Nutzerinteressen nicht überwiegen.

5.3 Arten von Cookies

• Technisch notwendige Cookies (z. B. Session-Cookies für Warenkorb, Login; ausgenommen nach § 25 Abs. 2 TDDDG).
• Funktionale Cookies (z. B. Sprachauswahl, Designpräferenzen).
• Analyse-/Statistik-Cookies (z. B. Matomo, Google Analytics – nur mit Einwilligung).
• Marketing-/Tracking-Cookies (z. B. Facebook Pixel, YouTube Embed, Spotify-Player – nur mit Einwilligung).
• KI-gestützte Tracking-Verfahren (z. B. Predictive Analytics, Fingerprinting) – besonders strenge Pflichten nach KI-VO.

5.4 Consent-Management

Vor der Aktivierung nicht notwendiger Cookies/Tracking-Technologien holen wir Ihre Einwilligung ein.
Dies geschieht über ein Consent-Management-ToolArt. 7 DSGVO und § 26 TDDDG entspricht:

• Klare, granular auswählbare Kategorien (notwendig, Statistik, Marketing, externe Medien).
• Dokumentation der Einwilligung (Zeitstempel, IP-Adresse pseudonymisiert, Consent-ID).
• Widerrufsmöglichkeit jederzeit über ein Symbol / Link („Cookie-Einstellungen“).
• Protokollierung zur Beweisführung (mindestens 3 Jahre – Verjährungsfristen BGB, Beweislast nach BGH „Planet49“).

5.5 Rechtsprechung

• EuGH, C-673/17 („Planet49“): Opt-in erforderlich, vorangekreuzte Checkboxen unzulässig.
• BGH, I ZR 7/16: Einwilligung für Tracking und Cookies muss aktiv erfolgen.
• EuGH, Schrems II, C-311/18: Übermittlungen in Drittländer (z. B. Google, Meta) nur mit zusätzlichen Garantien.

5.6 Speicherfristen

• Session-Cookies: nur für die Dauer der Sitzung.
• Persistente Cookies: bis zu 24 Monate, sofern in der Einwilligung angegeben.
• Consent-Logs: mindestens 3 Jahre Aufbewahrungspflicht (Beweislast für Einwilligung).

5.7 Empfänger & Drittlandsübermittlungen

• Diensteanbieter (z. B. Google, Meta, Spotify, YouTube) können Daten in die USA übertragen.
• Übermittlungen erfolgen nur mit Garantien nach Art. 44–49 DSGVO (SCC, BCR, Data Privacy Framework).
• Nutzer werden vor Aktivierung solcher Dienste informiert und um Einwilligung gebeten.

5.8 Zukunftsperspektive

• KI-VO: strengere Anforderungen an KI-gestütztes Profiling und Predictive Tracking.
• Data Act: Verpflichtung zur Transparenz und fairen Datenweitergabe an Dritte.
• ePrivacy-Verordnung (noch in Verhandlung): könnte die Cookie-Regelungen in Zukunft vereinheitlichen.

5.9 Ergebnis

Der Einsatz von Cookies und Tracking-Technologien erfolgt ausschließlich auf Basis gültiger Einwilligungen
(Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG) oder – bei technisch notwendigen Cookies – im Rahmen von
Art. 6 Abs. 1 lit. b, f DSGVO in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG.
Alle Nutzer haben die Möglichkeit, ihre Entscheidung jederzeit zu ändern oder zu widerrufen.

6.1 Erhobene Daten

• Kontaktformular: Name, E-Mail-Adresse, optional Telefonnummer, Betreff, Nachrichtentext.
• E-Mail-Kommunikation: Absenderadresse, Server-Metadaten (Header, IP, Zeitstempel).
• Telefonanrufe: übermittelte Rufnummer (CLIP), Gesprächsinhalte als Notiz.
• Technische Metadaten: Zeitpunkt, Browser, ggf. Cookie-/Consent-ID nach § 26 TDDDG.

6.2 Zwecke der Verarbeitung

• Bearbeitung und Beantwortung von Anfragen (Art. 6 Abs. 1 lit. b DSGVO – vorvertragliche Maßnahmen, Vertragserfüllung).
• Sicherstellung der Kommunikationsfähigkeit und Dokumentation (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
• Nachweis der ordnungsgemäßen Einwilligung bei Formularen mit Marketingbezug (z. B. Newsletter, § 26 TDDDG).
• Erfüllung gesetzlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO; HGB, AO).

6.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO: freiwillige Einwilligung (z. B. bei optionalen Marketing-Zusätzen im Formular).
• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und Anbahnung (Support-Anfrage, Bestellungen, Rückrufbitte).
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Pflichten (z. B. handels- und steuerrechtliche Aufbewahrung).
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen an effizienter Kommunikation und Missbrauchsabwehr.

6.4 Sicherheitsmaßnahmen

• Transportverschlüsselung (TLS 1.3 bei E-Mails, HTTPS bei Formularen).
• Spam-/Malwarefilter, Protokollierung auffälliger Anfragen (Art. 32 DSGVO – technische Maßnahmen).
• Rechtemanagement: Zugriff nur für autorisierte Mitarbeiter nach Need-to-Know-Prinzip.
• Hosting in der EU, keine unautorisierte Übermittlung an Drittländer.

6.5 Speicherfristen

• Anfragen: nach Bearbeitung spätestens nach 12 Monaten gelöscht.
• Vertrags-/Steuerrelevante Kommunikation: bis zu 10 Jahre (Art. 6 Abs. 1 lit. c DSGVO i. V. m. HGB/AO).
• Consent-Logs: mindestens 3 Jahre (Beweislast nach § 26 TDDDG, BGH „Planet49“).

6.6 Empfänger

• Interne Fachabteilungen mit Rollenkonzept.
• Technische Dienstleister (z. B. E-Mail-Provider, Hosting-Partner) als Auftragsverarbeiter (Art. 28 DSGVO).
• Keine Weitergabe an Dritte ohne Rechtsgrundlage oder Einwilligung.

6.7 Drittlandsübermittlungen

Eine Übermittlung personenbezogener Kommunikationsdaten in Drittländer (z. B. bei E-Mail-Providern oder eingebundenen Tools) erfolgt nur,
wenn die Bedingungen der Art. 44–49 DSGVO eingehalten sind (z. B. Standardvertragsklauseln, Angemessenheitsbeschlüsse).
Nach EuGH C-311/18 („Schrems II“) werden zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung) ergriffen.

6.8 Betroffenenrechte

• Auskunft, Berichtigung, Löschung, Einschränkung nach Art. 15–18 DSGVO.
• Datenübertragbarkeit (Art. 20 DSGVO) bei elektronischer Kommunikation.
• Widerruf von Einwilligungen jederzeit möglich (Art. 7 Abs. 3 DSGVO).
• Widerspruch gegen Verarbeitung aufgrund Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO).

6.9 Rechtsprechung

• BGH VI ZR 135/13: Speicherung personenbezogener Daten zur Gefahrenabwehr zulässig.
• BGH I ZR 7/16 („Planet49“): Einwilligung für Marketing-Kontakt erforderlich.
• EuGH Schrems II (C-311/18): Drittlandsübermittlungen nur mit Garantien zulässig.

6.10 Zukunftsperspektive

• KI-VO: Bei KI-gestützter E-Mail-Analyse (z. B. automatische Kategorisierung) gelten Transparenz- und Risikoplichten.
• Data Act: Stärkt künftige Ansprüche auf Datenportabilität und faire Weitergabe.

6.11 Ergebnis

Kommunikation per Formular, E-Mail oder Telefon wird ausschließlich zweckgebunden verarbeitet.
Maßgeblich sind Art. 6 DSGVO und § 25–26 TDDDG, ergänzt durch nationale Regelungen.
Sicherheit, Speicherbegrenzung und Betroffenenrechte sind durchgehend gewährleistet.
Übermittlungen in Drittländer erfolgen nur unter strengen Garantien, angelehnt an die Rechtsprechung des EuGH.

7.1 Datenkategorien

• E-Mail-Adresse (Pflichtfeld für den Newsletterversand).
• Name (optional, für persönliche Ansprache).
• Double-Opt-In-Daten: Zeitstempel, IP-Adresse, Consent-ID, Bestätigungsmail.
• Tracking-Informationen (z. B. Öffnungs- und Klickraten, sofern eingewilligt).

7.2 Zwecke

• Regelmäßiger Versand von Informationen, Angeboten und Aktionen.
• Analyse von Öffnungs- und Klickraten zur Optimierung der Inhalte (nur mit gesonderter Einwilligung, § 25 TDDDG).
• Direktwerbung per E-Mail an Bestandskunden (§ 7 Abs. 3 UWG), sofern sich die Werbung auf ähnliche Produkte/Dienstleistungen bezieht.

7.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO: Newsletter-Versand auf Basis freiwilliger Einwilligung.
• Art. 6 Abs. 1 lit. b DSGVO: Versand bei bestehender Vertragsbeziehung (z. B. transaktionale E-Mails).
• Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG: Direktwerbung an Bestandskunden.
• § 26 TDDDG: Dokumentationspflicht der Einwilligung im Double-Opt-In-Verfahren.

7.4 Einwilligung & Double-Opt-In

Für den Newsletterversand nutzen wir das Double-Opt-In-Verfahren, welches den Anforderungen von
Art. 7 DSGVO und BGH I ZR 164/09 entspricht.
Erst nach aktiver Bestätigung in einer Bestätigungs-E-Mail erfolgt der Versand.
Die Einwilligung wird protokolliert (Consent-Log) und kann jederzeit widerrufen werden.

7.5 Tracking im Newsletter

Wir setzen Zählpixel und personalisierte Links ein, um das Nutzerverhalten (Öffnungsrate, Klicks) auszuwerten.
Dies erfolgt ausschließlich auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG.
Ohne Einwilligung wird der Newsletter ohne Tracking versendet.

7.6 Widerruf & Widerspruch

• Widerruf der Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
• Widerspruch gegen Direktwerbung jederzeit möglich (Art. 21 Abs. 2 DSGVO).
• Abmeldelink in jeder E-Mail integriert.

7.7 Speicherfristen

• E-Mail-Adressen: bis zum Widerruf oder Abmeldung.
• Consent-Logs: mindestens 3 Jahre (Beweislast, § 26 TDDDG, BGH „Double-Opt-In“).
• Trackingdaten: max. 24 Monate, sofern eingewilligt.

7.8 Empfänger

• Interne Mitarbeiter mit Marketing-Rolle.
• Externe Newsletter-Dienstleister (z. B. Mailchimp, CleverReach, Brevo) als Auftragsverarbeiter (Art. 28 DSGVO).
• Keine Weitergabe an unbefugte Dritte.

7.9 Drittlandsübermittlungen

Setzen wir Anbieter mit Sitz in Drittländern (z. B. USA) ein, erfolgt die Übermittlung nur bei Vorliegen geeigneter Garantien nach
Art. 44–49 DSGVO (z. B. Standardvertragsklauseln, Data Privacy Framework, zusätzliche Verschlüsselung).
Maßgeblich ist EuGH C-311/18 („Schrems II“).

7.10 Rechtsprechung

• BGH I ZR 218/07 („Payback“): Einwilligung für E-Mail-Werbung muss aktiv erfolgen.
• BGH I ZR 164/09: Double-Opt-In erforderlich und beweissicher zu dokumentieren.
• EuGH C-102/20: Direktwerbung nur mit Einwilligung oder unter engen Voraussetzungen.

7.11 Zukunftsperspektive

• KI-VO: bei KI-basierten Empfehlungssystemen (z. B. personalisierte Newsletter-Inhalte) gelten Transparenz- und Risikopflichten.
• Data Act: mögliche Verpflichtung zur fairen Datenweitergabe und erhöhte Transparenzanforderungen.

7.12 Ergebnis

Newsletter und Direktwerbung erfolgen ausschließlich auf Grundlage freiwilliger und dokumentierter Einwilligungen
(Art. 6 Abs. 1 lit. a DSGVO, § 25–26 TDDDG) oder im Rahmen enger gesetzlicher Ausnahmen
(§ 7 Abs. 3 UWG, Art. 6 Abs. 1 lit. f DSGVO).
Nutzer haben jederzeit ein Recht auf Widerruf und Widerspruch, und alle Prozesse sind revisionssicher dokumentiert.

8.1 Datenkategorien

• Identitätsdaten: Name, Adresse, E-Mail, ggf. Telefonnummer.
• Zahlungsdaten: Bankverbindung, Kreditkartendaten, IBAN/BIC, PayPal-ID, Wallet-Daten.
• Transaktionsdaten: Kaufbetrag, Währung, Datum/Uhrzeit, Zahlungsstatus, Bestellnummer.
• Geräte-/Browserdaten: IP-Adresse, Geräte-ID, Fingerprinting-Daten (z. B. bei Betrugsprävention).
• Bonitäts- und Risikodaten (z. B. über Auskunfteien bei Klarna/Rechnungskauf).

8.2 Zwecke

• Durchführung von Zahlungen (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung).
• Identitäts- und Betrugsprävention (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
• Rechtliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO – HGB/AO: Aufbewahrung von Rechnungs- und Zahlungsdaten).
• Bonitätsprüfung bei Rechnungskauf (Art. 6 Abs. 1 lit. f DSGVO, ggf. Art. 9 DSGVO bei sensiblen Daten).

8.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO: Abwicklung des Kaufvertrages (Zahlungsabwicklung).
• Art. 6 Abs. 1 lit. f DSGVO: Missbrauchs- und Betrugsprävention.
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Aufbewahrungspflichten nach AO und HGB.
• Art. 9 Abs. 2 DSGVO: Besondere Kategorien (z. B. Rückschlüsse auf Religion/ Gesundheit durch Zahlungszweck) nur mit Einwilligung oder spezialgesetzlicher Grundlage.

8.4 Spezielle Rechtsquellen

• ZAG (§ 1 ff.): Regulierung von Zahlungsdiensten in Deutschland.
• AO § 147, HGB § 257: Pflicht zur Aufbewahrung von Rechnungs- und Buchungsdaten bis zu 10 Jahren.
• TDDDG § 25: Geräte-/Cookie-Zugriffe bei Zahlungsdienst-Einbindung nur mit Einwilligung.

8.5 Zahlungsdienstleister

• PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg – Datenübermittlung in EU/USA.
• Stripe Payments Europe Ltd., Irland – Datenübermittlung in EU/USA.
• Klarna Bank AB, Schweden – Bonitätsprüfung über Auskunfteien (z. B. Schufa, CRIF).
• Sofort GmbH (Klarna Group), Deutschland – Direktüberweisung, Banken-API.

8.6 Drittlandsübermittlungen

Bei einigen Zahlungsdiensten (z. B. Stripe, PayPal) können Daten in die USA oder andere Drittländer übermittelt werden.
Dies erfolgt ausschließlich nach Maßgabe der Art. 44–49 DSGVO und unter Beachtung des EuGH-Urteils Schrems II (C-311/18).
Eingesetzt werden Standardvertragsklauseln (SCC) und – soweit möglich – das Data Privacy Framework.
Zusätzlich implementieren wir technische Maßnahmen (Ende-zu-Ende-Verschlüsselung, Tokenisierung).

8.7 Speicherfristen

• Transaktionsdaten: 10 Jahre (AO/HGB).
• Consent-Logs: 3 Jahre (Beweislast § 26 TDDDG, BGH „Planet49“).
• Bonitätsdaten: i. d. R. 12 Monate, spätestens mit Vertragsbeendigung.

8.8 Empfänger

• Zahlungsdienstleister (PayPal, Stripe, Klarna, Sofort) als eigenständige Verantwortliche (Art. 4 Nr. 7 DSGVO).
• Interne Buchhaltung/Steuerberatung.
• Behörden bei gesetzlicher Verpflichtung (z. B. Finanzamt, Geldwäscheaufsicht).

8.9 Rechtsprechung

• BGH XI ZR 166/14: Zahlungsdienste dürfen personenbezogene Daten nur zweckgebunden verarbeiten.
• EuGH C-311/18 („Schrems II“): Strenge Maßstäbe für Datentransfer in die USA.
• BGH I ZR 7/16: Transparente Information über Zahlungsdienste in AGB/Datenschutz erforderlich.

8.10 Zukunftsperspektive

• KI-VO: Einsatz von KI bei Betrugsprävention erfordert Risiko- und Transparenzpflichten.
• Data Act: Stärkere Nutzerrechte auf Datenportabilität und Einsicht in Transaktionsdaten.

8.11 Ergebnis

Zahlungsabwicklungen erfolgen ausschließlich zur Vertragserfüllung und unter Einhaltung der DSGVO, TDDDG und spezialgesetzlicher Vorgaben (ZAG, AO, HGB).
Zahlungsdienste agieren teilweise als eigenständige Verantwortliche.
Übermittlungen in Drittländer (z. B. USA) erfolgen nur mit Garantien nach Art. 44 ff. DSGVO.
Daten werden streng zweckgebunden verarbeitet, dokumentiert und gesetzeskonform archiviert.

9.1 Allgemeines

Auf unserer Website Caelith.de sind Inhalte von Drittanbietern eingebunden.
Dazu gehören Spotify-Musikplayer, YouTube-Videos
sowie Verlinkungen/Plugins zu Social-Media-Plattformen (Instagram, Facebook, TikTok, X/Twitter).
Beim Aufruf solcher Inhalte können personenbezogene Daten (z. B. IP-Adresse, Browserdaten, Cookies, Nutzungsverhalten)
an die jeweiligen Anbieter übertragen werden.

9.2 Spotify

Anbieter: Spotify AB, Regeringsgatan 19, SE-111 53 Stockholm, Schweden.
Datenschutzerklärung:

https://www.spotify.com/de/legal/privacy-policy/

• Daten: IP-Adresse, Browser-/Geräteinformationen, Nutzungsverhalten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG (Einwilligung erforderlich).
• Drittlandübermittlung: möglich in die USA → Art. 44 ff. DSGVO, SCCs, Schrems II beachten.

9.3 YouTube

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Datenschutzerklärung:

https://policies.google.com/privacy?hl=de

• Daten: IP-Adresse, Geräte-/Browserdaten, Cookies, Wiedergabeinformationen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG (Einwilligung erforderlich).
• Drittlandübermittlung: Daten können in die USA übermittelt werden → nur mit Garantien nach Art. 44 ff. DSGVO.

9.4 Instagram & Facebook (Meta)

Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.
Muttergesellschaft: Meta Platforms Inc., 1601 Willow Road, Menlo Park, CA 94025, USA.
Datenschutzerklärung:

https://www.facebook.com/privacy/policy

• Daten: IP-Adresse, Nutzungsdaten, Cookies, Profilinteraktionen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG.
• Drittlandübermittlung: möglich in die USA → Art. 44 ff. DSGVO.

9.5 TikTok

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland.
Muttergesellschaft: ByteDance Ltd., 1 Raffles Quay, #26-10, South Tower, Singapore 048583,
sowie Standorte in China und den USA.
Datenschutzerklärung:

https://www.tiktok.com/legal/page/eea/privacy-policy/de

• Daten: IP-Adresse, Geräteinformationen, Nutzungs- und Interaktionsdaten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG.
• Besonderheit: mögliche Übermittlung nach China → erhöhte Risiken nach Art. 44 ff. DSGVO.

9.6 X / Twitter

Anbieter: X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA.
Datenschutzerklärung:

https://twitter.com/de/privacy

• Daten: IP-Adresse, Browserdaten, Cookies, Interaktionsdaten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG.
• Drittlandübermittlung: USA, unter Beachtung von Schrems II und SCCs.

9.7 Ergebnis

Die Einbindung von Spotify, YouTube und Social-Media-Plattformen erfordert eine informierte Einwilligung
(Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG).
Nutzer werden beim ersten Aufruf der Seite über ein Consent-Banner informiert und können frei entscheiden,
ob sie in die Datenverarbeitung einwilligen.
Jeder Dienst ist mit vollständiger Adresse und Datenschutzerklärung benannt, damit die Informationspflichten
nach Art. 13 DSGVO erfüllt sind.
Eine Übermittlung in Drittländer (USA, ggf. China) erfolgt ausschließlich unter den Voraussetzungen der
Art. 44 ff. DSGVO.

10.1 Hosting-Dienstleister

Unsere Website Caelith.de wird bei einem externen Dienstleister gehostet:
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.
Datenschutzerklärung:

https://www.ionos.de/terms-gtc/datenschutzerklaerung/

Das Hosting erfolgt zur Bereitstellung einer sicheren, stabilen und effizienten Onlinepräsenz
(Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).
Wir haben mit dem Hosting-Anbieter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

10.2 Server-Logfiles

Der Hosting-Provider erhebt bei jedem Zugriff auf unsere Website automatisch sog. „Server-Logfiles“.
Dazu gehören insbesondere:

• IP-Adresse des anfragenden Endgeräts,
• Datum und Uhrzeit des Zugriffs,
• Dateiname und URL der abgerufenen Datei,
• Übertragene Datenmenge,
• Meldung über erfolgreichen Abruf (HTTP-Statuscode),
• Browsertyp und Browserversion,
• Betriebssystem des Nutzers,
• Referrer-URL (zuvor besuchte Seite).

Diese Daten sind für uns bestimmten Personen in der Regel nicht zuordenbar.
Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht.
Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO
i. V. m. unserem berechtigten Interesse an der Sicherstellung der Stabilität,
Sicherheit und Funktionsfähigkeit unserer Website (vgl. Erwägungsgrund 49 DSGVO).

10.3 Speicherfristen

• Die Logfiles werden durch den Provider in der Regel 7 bis 14 Tage gespeichert.
• Längere Speicherung ist möglich, sofern Sicherheitsvorfälle (z. B. Hacking-Angriffe) vorliegen.
• Eine Löschung erfolgt automatisch oder manuell nach Wegfall des Zwecks.

10.4 Rechtsgrundlagen

– Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der Website).
– Art. 32 DSGVO (technische und organisatorische Maßnahmen zur Datensicherheit).
– BDSG, LDSG Sachsen (konkrete Ergänzungsregelungen).
– TDDDG § 25 Abs. 2 Nr. 2 (Speicherung/Verarbeitung zur Gewährleistung der Sicherheit und Funktionsfähigkeit von Telemediendiensten ohne Einwilligung zulässig).
– EuGH C-582/14 („Breyer“) – dynamische IP-Adressen können personenbezogene Daten darstellen.
– BGH VI ZR 135/13 – IP-Adressen dürfen zu Sicherheitszwecken gespeichert werden.

10.5 Ergebnis

Das Hosting bei IONOS und die damit verbundene Erhebung von Server-Logfiles sind
zur sicheren und effizienten Bereitstellung unseres Onlineangebots erforderlich
und erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Eine Speicherung erfolgt nur so lange, wie sie für den Zweck erforderlich ist.
Daten werden weder zu Marketingzwecken noch zur Profilbildung genutzt.

11.1 Anbieter, Anschrift, Datenschutz

PayPal (Europe) S.à r.l. et Cie, S.C.A.
22–24 Boulevard Royal, L-2449 Luxembourg, Luxemburg
Datenschutz:

https://www.paypal.com/de/webapps/mpp/ua/privacy-full

11.2 Rollen & Verantwortlichkeit

• Wir (Caelith.de) sind Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Weitergabe der zum Bezahlvorgang erforderlichen Kundendaten an PayPal.
• PayPal agiert hinsichtlich der Zahlungsabwicklung als eigener Verantwortlicher (kein Auftragsverarbeiter) mit eigener Zweckbindung, Rechtsgrundlagen und Speicherpflichten.
• Zwischen uns und PayPal besteht keine gemeinsame Verantwortlichkeit für PayPals eigene Verarbeitungsvorgänge.

11.3 Verarbeitete Datenkategorien

• Identitätsdaten: Vor-/Nachname, Rechnungs-/Lieferanschrift, E-Mail, ggf. Telefonnummer.
• Transaktionsdaten: Bestellnummer, Waren-/Dienstleistungsbeschreibung, Betrag, Währung, Zahlungsstatus, Zeitstempel.
• Zahlungsdaten (bei PayPal hinterlegt): PayPal-Konto, Token, IBAN/BIC oder Kartendaten (werden von uns nicht gespeichert).
• Geräte-/Nutzungsdaten: IP-Adresse, Browserinformationen, Anti-Fraud-Signale (z. B. Fingerprinting bei PayPal).

11.4 Zwecke

• Durchführung der Zahlung (Kaufpreisabwicklung, Erstattungen).
• Betrugs- und Missbrauchsprävention (Risikoprüfungen, Limit-/Sicherheitsmechanismen).
• Erfüllung gesetzlicher Pflichten (Buchhaltung/Aufbewahrung, geldwäscherechtliche Prüfungen auf PayPal-Seite).
• Support & Klärfälle (Reklamationen, Dispute-Management, Chargebacks).

11.5 Rechtsgrundlagen (unser Verantwortungsbereich)

• Art. 6 Abs. 1 lit. b DSGVO – Zahlungsabwicklung zur Vertragserfüllung/Bestellabwicklung.
• Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflichten (z. B. steuerrechtliche Aufbewahrung von Rechnungsdaten).
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an sicherer, effizienter Bezahlabwicklung und Betrugsprävention (Recital 49).
• TDDDG § 25 – Endgerätezugriffe (z. B. technisch notwendige Cookies/Skripte im Checkout) nur, soweit „unbedingt erforderlich“; alles Weitere nur mit Einwilligung (CMP, § 26 TDDDG).

11.6 Endgerätezugriffe (TDDDG) & Consent

• Technisch notwendige Cookies/Speicherzugriffe der Shop-/Checkout-Funktion sind von der Einwilligung ausgenommen (§ 25 Abs. 2 Nr. 2 TDDDG), wenn sie zwingend für den Abschluss/den Betrieb erforderlich sind (z. B. Warenkorb-Session, CSRF-Schutz).
• Alle nicht notwendigen PayPal-Skripte/Tracker werden erst nach Einwilligung aktiviert (CMP, § 25 Abs. 1 i. V. m. § 26 TDDDG), inkl. Protokollierung (Consent-ID, Zeitstempel) zur Beweisführung.

11.7 Empfänger & Datenquellen

• PayPal (Europe) S.à r.l. et Cie, S.C.A. als eigener Verantwortlicher.
• Interne Empfänger: Buchhaltung/Steuerberatung (zweckgebundener Zugriff, Need-to-Know).
• Behörden bei gesetzlichen Pflichten (Finanzamt, ggf. Strafverfolgung) – nur auf Rechtsgrundlage.

11.8 Internationale Datenübermittlungen (Art. 44–49 DSGVO)

PayPal kann Daten in Drittländer (z. B. USA) übermitteln. Zulässigkeit richtet sich nach Art. 44–49 DSGVO
(Angemessenheitsbeschluss/DPF, Standardvertragsklauseln, ggf. Binding Corporate Rules) sowie ergänzenden technischen
und organisatorischen Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung).
Unsere Datenweitergabe an PayPal erfolgt aus der EU; PayPals weitere Übermittlungen verantwortet PayPal selbst.

11.9 WooCommerce-Integration (technischer Hinweis)

• Bei Nutzung eines PayPal-Plugins (z. B. „WooCommerce PayPal Payments“) werden Checkout-Ereignisse,
  Transaktions-IDs und Token zwischen Shop und PayPal ausgetauscht.
• Im Consent-Banner sollten Kategorien „Notwendig“ (Checkout/CSRF/Warenkorb) und „Externe Zahlungsdienste“ (optionale PayPal-Skripte/Pixel) getrennt auswählbar sein.
• Keine Einbindung von Marketing-Pixeln von PayPal vor Einwilligung (TDDDG § 25 Abs. 1).

11.10 Speicherfristen

• Relevante Bestell-/Rechnungsdaten (bei uns): nach AO/HGB bis zu 10 Jahre Aufbewahrung.
• Consent-Protokolle (bei uns): mind. 3 Jahre (Beweislast für Einwilligungen, § 26 TDDDG).
• PayPal-Speicherung: nach PayPal-eigenen gesetzlichen/aufsichtsrechtlichen Pflichten (z. B. Geldwäsche), siehe PayPal-Privacy-Policy.

11.11 Betroffenenrechte

• Gegenüber uns: Rechte aus Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
• Gegenüber PayPal: separate Geltendmachung direkt bei PayPal als eigenem Verantwortlichen (Link zur Datenschutzerklärung siehe 11.1).
• Widerruf erteilter Einwilligungen (z. B. optionale Tracker) jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) über das Consent-Banner.

11.12 Sicherheit (Art. 32 DSGVO)

• TLS 1.3 im Shop/Checkout, HSTS, PFS.
• Härtung und Rechtekonzepte (Least-Privilege) für Admin-Zugänge, Logging kritischer Ereignisse.
• Backups verschlüsselt, Wiederherstellungstests, Trennung von Produktiv-/Testdaten (keine Real-Daten im Test).

11.13 Ergebnis & Transparenz

Die Einbindung von PayPal erfolgt zur sicheren und effizienten Zahlungsabwicklung.
Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten)
und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Sicherheits-/Betrugspräventionsinteressen).
Endgerätezugriffe werden nach § 25 TDDDG differenziert (nur unbedingt Erforderliches ohne Einwilligung; alles Weitere mit Einwilligung, protokolliert nach § 26 TDDDG).
PayPal ist für eigene Weiterverarbeitungen selbst Verantwortlicher und informiert in seiner Datenschutzerklärung.

12.1 Verantwortlichkeit, Rollen & Auftragsverarbeitung

• Verantwortlicher (Art. 4 Nr. 7 DSGVO): Caelith (siehe Punkt 1).
• WooCommerce ist eine Shop-Software für WordPress. Soweit wir Plugins/Dienstleister einsetzen (z. B. Hosting, E-Mail-Versand, Versanddienstleister), erfolgt dies als Auftragsverarbeitung (Art. 28) mit dokumentierten TOMs.
• PayPal: eigener Verantwortlicher (siehe Punkt 11). Datenweitergabe an PayPal nur zweckgebunden zur Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO).

12.2 Datenkategorien im Shop

• Stammdaten: Vor-/Nachname, Rechnungs-/Lieferadresse, E-Mail, optional Telefon.
• Konto-/Zugangsdaten (optional Kundenkonto): Benutzername, gehashte Passwörter (keine Klartexte), Rollen/Rechte, letzte Anmeldung.
• Bestell- & Vertragsdaten: Warenkorb-Inhalte, Bestellnummer, Kaufdatum/-uhrzeit, Zahlungsart, Status, Retouren/Erstattungen.
• Kommunikationsdaten: Bestell-/Status-E-Mails, Serviceanfragen (Art. 6 Abs. 1 lit. b, f).
• Technik-/Sicherheitsdaten: IP (Server-Logs), Session-ID, CSRF-Token, Fraud-Signale (nur soweit erforderlich).
• Bewertungen (optional): Anzeigename, Bewertungstext, Sterne, Zeitstempel.
• Digitale Downloads (falls angeboten): Download-Historie, Lizenz-/Zugriffsstatus.

12.3 Zwecke der Verarbeitung

• Vertragserfüllung: Shop-Betrieb, Warenkorb, Checkout, Zahlungsabwicklung, Lieferung, Retouren/Erstattungen (Art. 6 Abs. 1 lit. b).
• Kundenkonto (optional): komfortabele Folgekäufe, Bestellhistorie, Rechnungsabrufe (Art. 6 Abs. 1 lit. b; bei rein optionalen Komfortfunktionen ggf. Einwilligung, Art. 6 Abs. 1 lit. a).
• Pflichten: steuer-/handelsrechtliche Aufbewahrung (Art. 6 Abs. 1 lit. c i. V. m. AO/HGB).
• Sicherheit: Missbrauchs-/Betrugsprävention, Funktions-/Stabilitäts-Sicherung (Art. 6 Abs. 1 lit. f; Recital 49).
• Direktwerbung an Bestandskunden in engen Grenzen (§ 7 Abs. 3 UWG; Art. 6 Abs. 1 lit. f), Widerspruch jederzeit (Art. 21 DSGVO).

12.4 Rechtsgrundlagen (Shop-Kernprozesse)

• Art. 6 Abs. 1 lit. b DSGVO – Vertrag/Anbahnung: Bestellung, Zahlung, Lieferung, Retouren, Kundenkonto.
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Pflichten: Aufbewahrung (AO/HGB), Gewährleistung, Nachweispflichten.
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen: IT-Sicherheit, Betrugsprävention, Effizienz.
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligungen: nicht notwendige Komfort-/Marketing-Funktionen, optionale Tracking-Tools.

12.5 TDDDG-Konformität (Endgerätezugriffe & Consent)

• Unbedingt erforderliche Shop-Cookies/-Storages (z. B. Warenkorb-Session, Login-Status, CSRF-Schutz) sind nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig.
• Nicht erforderliche Cookies/Tracker (z. B. Marketing, Statistik, externe Dienste) nur nach Einwilligung (§ 25 Abs. 1 TDDDG; Dokumentation über CMP gem. § 26 TDDDG mit Consent-ID, Zeitstempel, Scope, Widerrufslogik).
• Einwilligungen sind jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO) über „Cookie-Einstellungen“.

12.6 Kundenkonto (optional) & Passwörter

• Kundenkonto ist optional. Registrierung ist nicht Voraussetzung für einen Kauf („Checkout als Gast“ möglich).
• Passwörter werden ausschließlich gehasht gespeichert; keine Klartext-Passwörter.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Komfortfunktion) bzw. Art. 6 Abs. 1 lit. a DSGVO (sofern rein freiwillige Zusatzfeatures).
• Löschung des Kontos jederzeit möglich; gesetzliche Aufbewahrungen von Belegdaten bleiben unberührt (siehe 12.9).

12.7 Bestell-/Systemkommunikation & Direktwerbung

• Transaktions-E-Mails (z. B. Bestell-/Versandbestätigung) sind vertragsnotwendig (Art. 6 Abs. 1 lit. b).
• Direktwerbung per E-Mail nur in engen Grenzen (§ 7 Abs. 3 UWG, Art. 6 Abs. 1 lit. f) und jederzeit widersprechbar (Art. 21 DSGVO). Newsletter ausschließlich mit Einwilligung (siehe Punkt 7).

12.8 Produktbewertungen & UGC (user generated content)

• Bei Abgabe von Bewertungen verarbeiten wir Anzeigename, Bewertungstext, Sterne, Zeit. Optionaler Abgleich „verifizierter Kauf“ zur Betrugsprävention.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b (verifizierte Käufer) bzw. Art. 6 Abs. 1 lit. f (Community-Funktion, Missbrauchsabwehr). Bei Einwilligungspflichten: Art. 6 Abs. 1 lit. a.
• Missbrauchs-/Rechtsverstoßprüfung (Notice-and-Takedown). Speicherung/Anonymisierung nach Zweckfortfall.

12.9 Aufbewahrung & Löschung

• Steuer-/handelsrechtliche Belege (Rechnungen, Buchungsdaten): bis zu 10 Jahre (AO § 147, HGB § 257) – Art. 6 Abs. 1 lit. c.
• Bestell-/Vertragsdaten: bis Ablauf der Gewährleistungs-/Haftungsfristen; danach Löschung/Anonymisierung.
• Kundenkonten: bis Löschantrag; gesetzliche Aufbewahrungen bleiben unberührt (Trennung der Belegdaten vom Konto).
• Consent-Protokolle (CMP): mindestens 3 Jahre (Beweislast; § 26 TDDDG).

12.10 Empfänger & Kategorien von Auftragsverarbeitern

• Hosting/E-Mail (Art. 28, TOMs; siehe Punkt 10),
• Zahlungsdienst PayPal (eigener Verantwortlicher; siehe Punkt 11),
• Versanddienstleister (nur bei physischen Waren; Adresse/Sendungsdaten; Rechtsgrundlage Art. 6 Abs. 1 lit. b),
• IT-/Wartungspartner (zweckgebundener Zugriff, Vertraulichkeit, TOMs),
• Steuerberatung (gesetzliche Pflichten; Art. 6 Abs. 1 lit. c).

12.11 Internationale Übermittlungen (Art. 44–49 DSGVO)

Primär EU/EWR-Verarbeitung. Falls ausnahmsweise Dienstleister mit Drittlandbezug nötig sind, erfolgt Übermittlung nur mit
Art. 45 (Angemessenheitsbeschluss/DPF) oder Art. 46 (SCC, ggf. BCR) und geeigneten Zusatzmaßnahmen (Verschlüsselung, Pseudonymisierung) i. S. d. EuGH-Rechtsprechung.

12.12 Sicherheit (TOMs nach Art. 32 DSGVO)

• TLS 1.3, HSTS, PFS; sichere Ciphers; regelmäßige Erneuerung von Zertifikaten/Keys.
• Härtung & Zugriff: Rollen/Least-Privilege, 2FA, Protokollierung, Patch-/Vulnerability-Management, WAF/Rate-Limiting.
• Datentrennung: Produktiv/Test, Minimierung von Exporten; Backups verschlüsselt, Restore-Tests.
• Privacy by Design/Default (Art. 25): deaktivierte Externals ohne Einwilligung; lokale Fonts; sparsame Logs.

12.13 Rechte der Betroffenen (Art. 12–22 DSGVO)

• Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit (Art. 15–20),
• Widerspruch gegen Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f (Art. 21),
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) über Consent-Center „Cookie-Einstellungen“.

12.14 Besonderheiten: Digitale Güter & Lizenzmanagement

• Bei Downloads protokollieren wir erforderliche Ereignisse (z. B. Freigabezeitpunkt, Download-Zähler) zur Vertragserfüllung und Missbrauchsabwehr (Art. 6 Abs. 1 lit. b/f).
• Kein verstecktes Nutzungs-Tracking; Statistik nur nach Einwilligung (§ 25 TDDDG, Art. 6 Abs. 1 lit. a).

12.15 Ergebnis & Transparenz

Die WooCommerce-Verarbeitung auf Caelith.de dient der Vertragserfüllung und dem sicheren Shop-Betrieb.
Endgerätezugriffe werden strikt nach §§ 25–26 TDDDG gesteuert (nur Erforderliches ohne Einwilligung; alles Weitere nach Opt-in, revisionssicher protokolliert).
Aufbewahrungen richten sich nach AO/HGB. Übermittlungen in Drittländer erfolgen ausschließlich unter den Voraussetzungen der
Art. 44 ff. DSGVO. Betroffenenrechte sind jederzeit ausübbar.

13.1 Transparente Information (Art. 12 DSGVO)

Wir stellen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereit
(vgl. Art. 12 Abs. 1 DSGVO, Recital 58).
Anträge betroffener Personen beantworten wir grundsätzlich unverzüglich,
spätestens innerhalb von einem Monat (Art. 12 Abs. 3).
In Ausnahmefällen ist eine Verlängerung um bis zu zwei weitere Monate möglich,
wobei wir innerhalb eines Monats über Gründe informieren (Art. 12 Abs. 3 S. 2).

13.2 Auskunft (Art. 15 DSGVO)

• Bestätigung, ob personenbezogene Daten verarbeitet werden.
• Zwecke, Kategorien, Empfänger, Speicherdauer oder Kriterien, Herkunft (bei Dritterhebung).
• Hinweis auf Rechte, Beschwerderecht (Art. 77), Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling (Art. 22).
• Kopie der Daten (erstmals kostenfrei; weitere Kopien gem. Art. 15 Abs. 3 S. 2 DSGVO ggf. entgeltpflichtig).

13.3 Berichtigung (Art. 16 DSGVO)

Betroffene haben das Recht, unverzüglich die Berichtigung unrichtiger und
die Vervollständigung unvollständiger Daten zu verlangen.

13.4 Löschung – „Recht auf Vergessenwerden“ (Art. 17 DSGVO)

• Datenlöschung bei Zweckfortfall, Widerruf einer Einwilligung, berechtigtem Widerspruch, unrechtmäßiger Verarbeitung oder gesetzlicher Löschpflicht.
• Ausnahmen: z. B. zur Erfüllung rechtlicher Verpflichtungen (AO/HGB), Geltendmachung/Verteidigung von Rechtsansprüchen.

13.5 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Recht auf Einschränkung, wenn die Richtigkeit bestritten wird (für Prüfungsdauer), Verarbeitung unrechtmäßig ist
(statt Löschung), Daten für Ansprüche benötigt werden oder bei Widerspruch bis zur Interessenabwägung.

13.6 Datenübertragbarkeit (Art. 20 DSGVO)

Recht, bereitgestellte Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten
und diese einem anderen Verantwortlichen zu übermitteln, sofern technisch machbar.

13.7 Widerspruch (Art. 21 DSGVO)

• Widerspruch gegen Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. e oder f (öffentliche Aufgabe/berechtigte Interessen).
• Besonderheit Direktwerbung: Widerspruch jederzeit möglich; danach keine Verarbeitung zu diesem Zweck mehr zulässig.

13.8 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO i. V. m. § 26 TDDDG)

Betroffene können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.
Widerrufe können u. a. über das Consent-Management-Tool („Cookie-Einstellungen“) erfolgen.

13.9 Automatisierte Entscheidungen inkl. Profiling (Art. 22 DSGVO)

Eine ausschließlich auf automatisierter Verarbeitung basierende Entscheidungsfindung (einschließlich Profiling)
findet im Rahmen von Caelith.de derzeit nicht statt.

13.10 Beschwerderecht (Art. 77 DSGVO, BDSG, LDSG Sachsen)

Betroffene können sich jederzeit bei einer Datenschutz-Aufsichtsbehörde beschweren,
insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsortes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
Zuständige Aufsichtsbehörde für uns:

Sächsische Datenschutz- und Transparenzbeauftragte (SDTB)
Besucheranschrift: Maternistraße 17, 01067 Dresden
Postanschrift (bitte für Schriftverkehr verwenden): Postfach 11 01 32, 01330 Dresden
Tel.: +49 351 85471-101
Fax: +49 351 85471-109
E-Mail: post@sdtb.sachsen.de
Website: https://www.datenschutz.sachsen.de

13.11 Modalitäten

Anfragen nach Art. 12–22 DSGVO können per E-Mail oder Post (Kontaktdaten siehe Punkt 1) gestellt werden.
Identität kann zum Schutz vor Missbrauch überprüft werden.
Grundsätzlich kostenfrei; bei offensichtlich unbegründeten oder exzessiven Anträgen behalten wir uns gem. Art. 12 Abs. 5 DSGVO vor,
ein angemessenes Entgelt zu verlangen oder die Bearbeitung abzulehnen.

14.1 Grundsatz der Aktualität

Wir verpflichten uns, diese Datenschutzerklärung regelmäßig zu überprüfen und bei
Änderungen gesetzlicher Vorgaben, behördlicher Anforderungen, technischer Entwicklungen
oder unserer eigenen Verarbeitungsvorgänge anzupassen (Art. 5 Abs. 1 lit. a DSGVO – Transparenz).
Maßgeblich sind dabei insbesondere die Vorgaben der DSGVO, des
BDSG, des LDSG Sachsen sowie neuer unionsrechtlicher Regelungen
wie der Verordnung (EU) über Künstliche Intelligenz (KI-VO) und dem
Data Act.

14.2 Dokumentation & Versionierung

• Jede Fassung dieser Erklärung erhält eine Versionsnummer und ein Datum der letzten Aktualisierung.
• Änderungen werden transparent inhaltlich nachvollziehbar gemacht (z. B. durch Vergleichsdokumente auf Anfrage).
• Consent-Protokolle im Rahmen des TDDDG (§ 26) werden revisionssicher dokumentiert und ebenfalls versioniert.

14.3 Betroffenen-Information

Betroffene werden in geeigneter Weise informiert, wenn wesentliche Änderungen
an dieser Erklärung erfolgen, die Auswirkungen auf Art, Umfang oder Zwecke
der Datenverarbeitung haben (Art. 12 Abs. 1 DSGVO).
Dies kann durch Hinweise auf unserer Website, E-Mail-Mitteilungen oder über
die Consent-Management-Plattform geschehen.

14.4 Aktualität

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand
22.08.2025.
Frühere Fassungen können auf Anfrage beim Verantwortlichen eingesehen werden.

15.1 „Personenbezogene Daten“

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
(Art. 4 Nr. 1 DSGVO).
Als identifizierbar gilt eine Person, wenn sie direkt oder indirekt identifiziert werden kann, z. B. über
Namen, Kennnummer, Standortdaten, Online-Kennung oder besondere Merkmale.

15.2 „Verarbeitung“

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit
personenbezogenen Daten wie Erhebung, Erfassung, Organisation, Speicherung, Anpassung,
Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung, Abgleich, Einschränkung, Löschung
oder Vernichtung (Art. 4 Nr. 2 DSGVO).

15.3 „Verantwortlicher“

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder
gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet (Art. 4 Nr. 7 DSGVO).

15.4 „Auftragsverarbeiter“

Eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
(Art. 4 Nr. 8 DSGVO).
Grundlage der Zusammenarbeit ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

15.5 „Empfänger“

Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene
Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht
(Art. 4 Nr. 9 DSGVO).

15.6 „Dritter“

Eine andere natürliche oder juristische Person, Behörde, Einrichtung oder Stelle außer dem
Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der
unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die
personenbezogenen Daten zu verarbeiten (Art. 4 Nr. 10 DSGVO).

15.7 „Einwilligung“

Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene
Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung,
mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden
personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DSGVO).

15.8 „Profiling“

Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht,
dass diese Daten verwendet werden, um bestimmte persönliche Aspekte zu bewerten, insbesondere,
um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben,
Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren oder vorherzusagen
(Art. 4 Nr. 4 DSGVO).

15.9 „Pseudonymisierung“

Verarbeitung personenbezogener Daten in einer Weise, dass diese Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können,
sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und
organisatorischen Maßnahmen unterliegen (Art. 4 Nr. 5 DSGVO).

15.10 „Anonymisierung“ (nicht ausdrücklich in Art. 4 DSGVO definiert)

Irreversible Entfernung des Personenbezugs aus Daten, sodass eine Identifizierung der betroffenen Person
auch mit Zusatzwissen nicht mehr möglich ist (Erwägungsgrund 26 DSGVO).

Diese Website dient ausschließlich der künstlerischen und inhaltlichen Präsentation.
Wir führen über Caelith.de kein Bewerbungsverfahren durch und
nehmen auf diesem Weg auch keine Bewerbungen entgegen.
Sollte uns dennoch eine Bewerbung unaufgefordert zugesandt werden, wird diese
umgehend gelöscht und nicht weiterverarbeitet.