Datenschutzerklärung

Stand: 14. Mai 2026 · Gemäß Art. 13, 14 und 21 DSGVO sowie § 25 TDDDG

Präambel

Der Schutz deiner personenbezogenen Daten ist uns ein zentrales Anliegen. Mit dieser Datenschutzerklärung informieren wir dich nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) umfassend, transparent und in verständlicher Form darüber, welche personenbezogenen Daten wir beim Besuch der Website www.cogswell.de und bei Nutzung der dort angebotenen Funktionen (Kontaktformulare, Bestellformulare, KI-Chatbot, Zahlungsabwicklung, Webanalyse, Online-Werbung, Barrierefreiheits-Widget) erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte dir in diesem Zusammenhang zustehen.

Personenbezogene Daten im Sinne dieser Erklärung sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO) – etwa Name, Anschrift, E-Mail-Adresse, IP-Adresse, Geräte-Identifikatoren oder dein Nutzungsverhalten auf unserer Website.

Verantwortlicher und Kontakt

Begriffsbestimmungen

Allgemeines zur Datenverarbeitung

Deine Rechte als betroffene Person

Hosting & Server-Logfiles

Cookies, Local Storage & Einwilligungsmanagement

Kontaktformular & Bestellformulare

Zahlungen über Stripe

Bot-Schutz (Cloudflare Turnstile)

KI-Chatbot mit Anthropic Claude

Eigenentwickeltes CRM-System (Open-Source-Basis)

Webanalyse mit Google Analytics 4

Online-Werbung mit Google Ads (Conversion-Tracking und Remarketing)

Online-Werbung mit Meta Ads (Meta-Pixel und Conversion-API)

Barrierefreiheits-Widget (AccessKit)

Lokal eingebundene Schriftarten

Datensicherheit (Technische und organisatorische Maßnahmen)

Automatisierte Entscheidungsfindung und Profiling

Drittlandtransfers

Auftragsverarbeiter und Empfänger im Überblick

Speicherfristen im Überblick

Minderjährige

Aktualität und Änderungen dieser Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO und sonstiger datenschutzrechtlicher Vorschriften ist:

Cogswell IT Inhaber: Joshua Cogswell Georg-Moller-Weg 29 64625 Bensheim Deutschland

Telefon: +49 6251 9743999 E-Mail: office(at)cogswell.de Web: www.cogswell.de

Datenschutzbeauftragter: Aufgrund von Größe und Tätigkeitsprofil unseres Unternehmens besteht nach § 38 BDSG keine gesetzliche Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten. Datenschutzanfragen richtest du bitte direkt an die oben genannte Kontaktadresse.

2. Begriffsbestimmungen

Wir orientieren uns an den Begriffsbestimmungen des Art. 4 DSGVO. Die wichtigsten kurz erläutert:

Personenbezogene Daten (Art. 4 Nr. 1 DSGVO): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verarbeitung (Art. 4 Nr. 2 DSGVO): Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten – etwa Erheben, Erfassen, Organisation, Speicherung, Anpassung, Auslesen, Verwendung, Offenlegung durch Übermittlung, Abgleich, Einschränkung, Löschen oder Vernichten.
Einschränkung der Verarbeitung (Art. 4 Nr. 3 DSGVO): Markierung gespeicherter Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Profiling (Art. 4 Nr. 4 DSGVO): Jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte, insbesondere zur Analyse oder Vorhersage von Aspekten bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.
Pseudonymisierung (Art. 4 Nr. 5 DSGVO): Verarbeitung in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
Verantwortlicher (Art. 4 Nr. 7 DSGVO): Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger (Art. 4 Nr. 9 DSGVO): Jede natürliche oder juristische Person, der Daten offengelegt werden.
Einwilligung (Art. 4 Nr. 11 DSGVO): Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung.
Drittland: Ein Staat außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR).

3. Allgemeines zur Datenverarbeitung

3.1 Umfang und Zweck

Wir erheben und verwenden personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist oder du in die Verarbeitung eingewilligt hast. Wir folgen den Grundsätzen der Datenminimierung und Zweckbindung (Art. 5 DSGVO).

3.2 Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)

Folgende Rechtsgrundlagen können einschlägig sein:

lit. a – deine Einwilligung,
lit. b – Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen,
lit. c – Erfüllung einer rechtlichen Verpflichtung,
lit. d – Schutz lebenswichtiger Interessen,
lit. e – Wahrnehmung einer Aufgabe im öffentlichen Interesse,
lit. f – Wahrung berechtigter Interessen, sofern keine überwiegenden Interessen der betroffenen Person entgegenstehen.

Soweit das Setzen oder Auslesen von Informationen auf deinem Endgerät erfolgt, prüfen wir zusätzlich die Anforderungen des § 25 TDDDG: Technisch unbedingt erforderliche Zugriffe erfolgen einwilligungsfrei (§ 25 Abs. 2 TDDDG), alle übrigen erst nach deiner ausdrücklichen Einwilligung (§ 25 Abs. 1 TDDDG).

3.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder anonymisiert, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung erfolgt nur, wenn dies durch gesetzliche Aufbewahrungspflichten vorgesehen ist – insbesondere § 257 HGB (6 bzw. 10 Jahre) und § 147 AO (6 bzw. 10 Jahre) – oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (regelmäßige Verjährungsfrist § 195 BGB: 3 Jahre). Eine konsolidierte Übersicht findest du in Abschnitt 21.

4. Deine Rechte als betroffene Person

4.1 Auskunftsrecht (Art. 15 DSGVO)

Du hast das Recht auf Auskunft, ob und welche personenbezogenen Daten wir von dir verarbeiten. Die Auskunft umfasst insbesondere die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, Herkunft der Daten (soweit nicht direkt erhoben), das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie – bei Drittlandübermittlungen – die Garantien nach Art. 46 DSGVO.

4.2 Berichtigungsrecht (Art. 16 DSGVO)

Du hast das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.

4.3 Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)

Du kannst die Löschung deiner Daten verlangen, soweit die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

4.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst die Einschränkung der Verarbeitung verlangen, wenn du die Richtigkeit der Daten bestreitest, die Verarbeitung unrechtmäßig ist oder wir die Daten nicht mehr benötigen, du sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigst.

4.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du hast das Recht, die dich betreffenden, von dir bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder ihre direkte Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit technisch möglich.

4.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir deine Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, hast du das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Gegen die Verarbeitung deiner Daten zum Zwecke der Direktwerbung kannst du jederzeit ohne Begründung Widerspruch einlegen (Art. 21 Abs. 2 DSGVO).

4.7 Widerrufsrecht (Art. 7 Abs. 3 DSGVO)

Eine einmal erteilte Einwilligung (z. B. für Cookies, Analyse, Werbung) kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Den Widerruf für Cookie-Einwilligungen kannst du jederzeit über das Cookie-Einstellungen-Symbol (unten links auf der Website) ausüben.

4.8 Beschwerderecht (Art. 77 DSGVO)

Du kannst dich bei jeder Datenschutz-Aufsichtsbehörde in der EU beschweren. Für uns zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Postfach 3163, 65021 Wiesbaden Telefon: +49 611 1408 - 0 E-Mail: poststelle@datenschutz.hessen.de Web: datenschutz.hessen.de

4.9 Geltendmachung deiner Rechte

Eine formlose E-Mail an office@cogswell.de genügt. Wir antworten innerhalb der Frist des Art. 12 Abs. 3 DSGVO (in der Regel ein Monat, verlängerbar um zwei weitere Monate). Zur Identitätsprüfung können wir geeignete Nachweise verlangen.

5. Hosting & Server-Logfiles

5.1 Hosting-Dienstleister

ALL-INKL.COM — Neue Medien Münnich Inhaber: René Münnich Hauptstraße 68, 02742 Friedersdorf, Deutschland Server-Standort: ausschließlich Deutschland

Mit ALL-INKL besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine Drittlandübermittlung findet nicht statt.

5.2 Server-Logfiles

Bei jedem Aufruf erfasst der Server automatisiert:

IP-Adresse (gekürzt/pseudonymisiert),
Datum, Uhrzeit und Zeitzone des Zugriffs,
Name und URL der abgerufenen Datei,
übertragene Datenmenge,
HTTP-Statuscode,
verwendetes Betriebssystem und Browser-Version,
Referrer-URL,
Hostname und Internet-Service-Provider.

Zwecke: Stabilität, Sicherheit, Abwehr von Cyberangriffen (DDoS, Brute-Force), Fehlerdiagnose.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: max. 7 Tage, danach automatische Löschung. Eine längere Speicherung erfolgt nur im Falle eines konkreten Sicherheitsvorfalls bis zur abschließenden Klärung.

6. Cookies, Local Storage & Einwilligungsmanagement

6.1 Allgemeines

Auf unserer Website nutzen wir Cookies und vergleichbare Technologien (Local Storage, Session Storage, Pixel). Cookies sind kleine Textdateien, die in deinem Browser gespeichert werden und bestimmte Informationen enthalten. Wir unterscheiden nach § 25 TDDDG und der DSGVO in drei Kategorien:

6.2 Kategorien

Notwendig (immer aktiv, einwilligungsfrei nach § 25 Abs. 2 TDDDG):

Name / Schlüssel	Zweck	Speicherdauer
`cogswell_session`	Sitzungs-ID, Funktionsfähigkeit	Sitzungsende
`cogswell_consent_v2`	Speicherung deiner Cookie-Auswahl	12 Monate
`cogswell-a11y-v1` (Local Storage)	Barrierefreiheits-Einstellungen	dauerhaft (lokal)
`cf_chl_*` (Cloudflare Turnstile)	Bot-Schutz auf Formularen	Sitzungsende

Rechtsgrundlage notwendiger Cookies: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich für einen vom Nutzer ausdrücklich gewünschten Telemediendienst).

Statistik / Analyse (nur mit Einwilligung): Google Analytics 4 (siehe Abschnitt 12).

Marketing (nur mit Einwilligung): Google Ads (siehe Abschnitt 13), Meta Ads / Meta Pixel (siehe Abschnitt 14).

6.3 Einwilligung und Widerruf

Statistik- und Marketing-Cookies werden ausschließlich nach deiner ausdrücklichen, informierten Einwilligung über unser Cookie-Banner (Consent-Management-Tool) gesetzt. Vor der Einwilligung werden in diesen Kategorien keine Cookies gesetzt und keine Verbindungen zu den jeweiligen Anbietern aufgebaut („Consent-First-Pattern").

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

Deine Auswahl kannst du jederzeit über das Cookie-Einstellungen-Symbol (unten links auf jeder Seite) ändern oder widerrufen. Zusätzlich kannst du Cookies in deinem Browser deaktivieren oder bereits gesetzte Cookies löschen. Die Funktionsfähigkeit unserer Website kann dadurch eingeschränkt sein.

7. Kontaktformular & Bestellformulare

Wenn du das Kontaktformular, das Karriere-Formular, das Kündigungs-Formular oder eines unserer Bestellformulare nutzt, werden deine Angaben (z. B. Name, Firma, Anschrift, E-Mail, Telefon, Nachricht) zur Bearbeitung deiner Anfrage verarbeitet.

Die Übermittlung erfolgt verschlüsselt über HTTPS an unseren Dienstleister FormSubmit (Formspark LLC, USA), der die Anfrage in eine E-Mail an office@cogswell.de umwandelt. FormSubmit speichert die Daten nicht dauerhaft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an der Beantwortung von Anfragen). Mit FormSubmit ist ein Auftragsverarbeitungsvertrag mit EU-Standardvertragsklauseln geschlossen.

Speicherdauer: Löschung nach abschließender Bearbeitung, sofern keine handels- oder steuerrechtlichen Aufbewahrungspflichten (§ 257 HGB, § 147 AO – bis zu 10 Jahre) entgegenstehen.

8. Zahlungen über Stripe

Für die Abwicklung kostenpflichtiger Bestellungen (z. B. Wartungsverträge per SEPA-Lastschrift) nutzen wir Stripe Payments Europe, Ltd. (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Bei Zahlungsstart wirst du auf die gesicherte Checkout-Seite von Stripe weitergeleitet. Zahlungsdaten (IBAN, BIC, Kontoinhaber) gibst du direkt bei Stripe ein; wir erhalten lediglich eine Bestätigung der erfolgreichen Zahlung sowie eine Transaktions-ID.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Zahlungsvertrag), lit. f (Betrugsprävention), lit. c (gesetzliche Aufbewahrungspflichten, z. B. PSD2). Mit Stripe ist ein Auftragsverarbeitungsvertrag geschlossen. Datenschutzerklärung von Stripe: stripe.com/de/privacy.

9. Bot-Schutz (Cloudflare Turnstile)

Auf unseren Formularen setzen wir Cloudflare Turnstile ein, einen CAPTCHA-Ersatz der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Turnstile prüft anhand technischer Signale (Browser-Fingerprint, Verhaltensmuster), ob der Aufruf von einem Menschen stammt. Übermittelt werden eine pseudonyme Kennung und die IP-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Spam und Missbrauch unserer Formulare).

Drittland: Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln. Datenschutzerklärung: cloudflare.com/privacypolicy.

10. KI-Chatbot mit Anthropic Claude

10.1 Funktionsweise und Verarbeitungskette

Wir setzen auf dieser Website einen KI-gestützten Chatbot ein, der Fragen rund um unsere Leistungen beantwortet und – auf Wunsch – eine Kontaktaufnahme vorbereitet. Die Verarbeitung erfolgt in mehreren Stufen, die wir transparent darstellen:

10.2 Auslieferung des Chat-Widgets (Google Firebase)

Das Chat-Widget selbst wird über Google Firebase Hosting der Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin 4, Irland, ausgeliefert. Beim Öffnen des Chats werden technische Verbindungsdaten (IP-Adresse, Browser-Typ, Sprache, Zeitpunkt) an Firebase übertragen, um die Auslieferung zu ermöglichen. Eine konzerninterne Übermittlung an Google LLC (USA) ist möglich; Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem niedrigschwelligen Support-Kanal).

10.3 Inhaltliche Verarbeitung durch Anthropic Claude

Die Beantwortung deiner Nachrichten erfolgt durch das Sprachmodell Claude der Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA. Der Inhalt deiner Nachricht – gemeinsam mit einem von uns vorab definierten Kontext (z. B. Informationen zu unseren Leistungen, Tonalität, Antwortregeln) – wird per API an die Server von Anthropic übermittelt und dort zur Generierung einer Antwort verarbeitet.

Verarbeitete Datenkategorien:

der von dir eingegebene Nachrichtentext (inkl. aller Inhalte, die du freiwillig einträgst – z. B. Name, Firma, E-Mail, Telefon, Anliegen),
der Verlauf der laufenden Konversation (Sitzungs-Kontext),
technische Metadaten der API-Anfrage (Zeitstempel, Modellversion, Token-Volumen, Anfrage-ID).

Schutzmaßnahmen bei Anthropic:

Anthropic verwendet API-Eingaben nicht zum Training seiner Modelle (Standardeinstellung für API-Kunden, vertraglich zugesichert).
Mit Anthropic besteht ein Datenverarbeitungsvertrag (Data Processing Addendum, DPA) nach Art. 28 DSGVO inkl. EU-Standardvertragsklauseln (SCCs).
Anthropic ist u. a. zertifiziert nach ISO/IEC 27001:2022 (Informationssicherheit), ISO/IEC 42001:2023 (KI-Managementsysteme) sowie SOC 2 Type I & II.
Daten werden in Transit (TLS) und at Rest verschlüsselt.
API-Inputs und -Outputs werden bei Anthropic standardmäßig bis zu 30 Tage zu Sicherheits- und Missbrauchsprüfungszwecken aufbewahrt; anschließend Löschung. Bei Verdacht auf Verstöße gegen die Nutzungsbedingungen kann die Speicherdauer länger sein.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem effizienten, KI-gestützten Support-Kanal). Für die Übermittlung in die USA: Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln) sowie ergänzende technische und organisatorische Maßnahmen.

Datenschutzerklärung von Anthropic: www.anthropic.com/privacy.

10.4 Übergabe an unser CRM (siehe Abschnitt 11)

Sofern aus deiner Chat-Anfrage ein konkreter Geschäftsvorgang entsteht (z. B. Rückrufwunsch, Angebotsanfrage, Terminanfrage), übernehmen wir Konversationsinhalt und Kontaktdaten in unser eigenes CRM-System – siehe Abschnitt 11.

10.5 Hinweis vor Nutzung des Chatbots

Vor der ersten Eingabe wird im Chatfenster transparent angezeigt:

dass deine Nachricht durch ein KI-System (Anthropic Claude) verarbeitet wird,
dass eine Übermittlung an einen Dienstleister in den USA erfolgt,
dass bei konkretem Anliegen eine Übernahme in unser CRM erfolgt,
dass du keine sensiblen Daten (Gesundheitsdaten, Bank-/Karteninhaberdaten, Passwörter) eintragen solltest,
dass alternativ E-Mail, Telefon oder Kontaktformular zur Verfügung stehen.

Durch das aktive Absenden einer Nachricht bestätigst du, diesen Hinweis zur Kenntnis genommen zu haben. Die Nutzung des Chatbots ist freiwillig.

11. Eigenentwickeltes CRM-System (Open-Source-Basis)

11.1 Beschreibung des Systems

Zur Pflege und Verwaltung von Kunden- und Interessentenbeziehungen setzen wir ein selbst weiterentwickeltes CRM-System ein, das auf der quelloffenen, ausschließlich selbst zu hostenden CRM-Software Perfex CRM basiert. Diese wurde von uns für unsere Zwecke umfangreich angepasst, gehärtet und um eigene Module erweitert. Wir hosten das CRM auf unserer eigenen, von uns kontrollierten Infrastruktur in Deutschland (siehe Abschnitt 5) – es handelt sich also nicht um eine SaaS- oder Cloud-Lösung eines Drittanbieters. Der gesamte Datenbestand verbleibt unter unserer alleinigen Kontrolle innerhalb der EU.

Die Übernahme von Daten aus dem KI-Chatbot oder aus Formularen in das CRM erfolgt über eine intern gesicherte, verschlüsselte API.

11.2 Verarbeitete Datenkategorien

Im CRM werden insbesondere verarbeitet:

Stammdaten: Vor- und Nachname, ggf. Firma, Funktion, Anschrift,
Kommunikationsdaten: E-Mail-Adresse, Telefonnummer, ggf. weitere Kanäle,
Vorgangsdaten: Inhalt deiner Anfrage, Verlauf der Korrespondenz, Chat-Protokoll (sofern aus dem KI-Chatbot übernommen), interne Notizen unserer Mitarbeitenden, Aufgaben- und Wiedervorlagen,
Vertragsdaten: Vertragsstatus, Leistungsumfang, Laufzeiten, Tickets,
Metadaten: Zeitpunkt der Kontaktaufnahme, Quelle (Chatbot, Formular, E-Mail, Telefon), Bearbeitungsstatus, zugewiesener Ansprechpartner.

11.3 Zweckbindung

Die Verarbeitung dient ausschließlich:

der ordnungsgemäßen Bearbeitung deiner Anfragen,
der Anbahnung, Durchführung und Abwicklung von Verträgen,
der internen Dokumentation und Nachverfolgbarkeit,
der Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten,
ggf. der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine Nutzung deiner CRM-Daten für Profiling, Scoring, automatisierte Entscheidungen oder den Verkauf an Dritte findet ausdrücklich nicht statt.

11.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO – Durchführung vorvertraglicher Maßnahmen und Erfüllung von Verträgen,
Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (insb. Aufbewahrungspflichten nach HGB/AO),
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer geordneten Kundenkommunikation und Vorgangsverwaltung.

11.5 Empfänger und Drittlandtransfer

Zugriff auf das CRM haben ausschließlich autorisierte Mitarbeitende von Cogswell IT, die zur Vertraulichkeit verpflichtet sind. Eine Übermittlung an Dritte oder in Drittländer findet nicht statt. Backups werden ausschließlich in Deutschland gespeichert.

11.6 Speicherdauer

Anfragen ohne Geschäftsabschluss: Löschung spätestens 12 Monate nach letztem Kontakt.
Aktive Kundenbeziehungen: für die Dauer der Geschäftsbeziehung.
Beendete Kundenbeziehungen: 3 Jahre nach Ende der Geschäftsbeziehung (Verjährungsfrist § 195 BGB), danach Löschung – soweit keine längeren handels-/steuerrechtlichen Aufbewahrungspflichten greifen (bis zu 10 Jahre nach § 257 HGB, § 147 AO).

11.7 Eingesetzte Software-Basis (Perfex CRM)

Als technische Grundlage unseres CRM-Systems setzen wir Perfex CRM ein – eine selbst zu hostende, quelloffen vertriebene PHP-basierte CRM-Anwendung. Der Quellcode wird uns durch den Anbieter vollständig zur Verfügung gestellt und wurde durch uns für unsere Zwecke und zur Erfüllung der Anforderungen der DSGVO umfangreich angepasst, ergänzt und sicherheitstechnisch gehärtet. Die Anwendung wird ausschließlich auf unserer eigenen, deutschen Server-Infrastruktur betrieben (siehe Abschnitt 5); es findet keinerlei automatische Datenübertragung an den Hersteller der Software statt. Updates des Basis-Systems werden vor Einspielung von uns geprüft. Dass wir den Quellcode kontrollieren, ermöglicht uns vollständige Transparenz über sämtliche Datenflüsse innerhalb der Anwendung.

12. Webanalyse mit Google Analytics 4

12.1 Anbieter und Zweck

Wir setzen – ausschließlich nach deiner Einwilligung über unser Cookie-Banner – den Webanalyse-Dienst Google Analytics 4 (GA4) ein.

Anbieter: Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin 4, Irland („Google EU"). Konzernmutter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Google Analytics verwendet Cookies und ähnliche Technologien, die eine Analyse deiner Nutzung der Website ermöglichen. Die durch das Cookie erzeugten Informationen über deine Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

12.2 Verarbeitete Daten

Geräte-/Browser-Daten: Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung, Sprache,
Standortdaten (grob, auf Basis der IP-Adresse, IP-Anonymisierung ist in GA4 standardmäßig aktiv),
IP-Adresse (gekürzt verarbeitet),
Nutzungsdaten: besuchte Seiten, Klickpfade, Verweildauer, Scrolltiefe, Referrer (Herkunftsseite),
Pseudonyme Online-Kennungen (Client-ID, Session-ID),
Conversion-Ereignisse (z. B. Absenden eines Formulars).

12.3 Cookies (Auswahl)

Cookie	Zweck	Speicherdauer
`_ga`	Pseudonyme Nutzer-Unterscheidung	bis zu 2 Jahre
`_ga_<container-id>`	Sitzungs-/Statusverwaltung	bis zu 2 Jahre
`_gid`	Pseudonyme Nutzer-Unterscheidung	24 Stunden

12.4 Datenschutzeinstellungen

Wir haben in GA4 folgende Schutzmaßnahmen aktiviert:

IP-Anonymisierung (in GA4 standardmäßig, Kürzung der IP-Adresse vor Speicherung),
Datenaufbewahrung auf 14 Monate begrenzt,
Datennutzung für Google-Werbeprodukte nur insoweit, wie es die Marketing-Einwilligung abdeckt,
kein Google-Signals-Tracking ohne ausdrückliche Einwilligung.

12.5 Rechtsgrundlagen

Setzen der Cookies / Auslesen vom Endgerät: § 25 Abs. 1 TDDDG (Einwilligung).
Anschließende Verarbeitung der Daten: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittlandtransfer: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO); ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Mit Google ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen (Google Ads Data Processing Terms / Measurement Controller-Controller Data Protection Terms).

12.6 Widerruf und Opt-Out

Du kannst die Einwilligung jederzeit über unser Cookie-Banner widerrufen. Alternativ kannst du die Erfassung durch Google Analytics durch das Browser-Add-on „Google Analytics Opt-out Browser Add-on" unter tools.google.com/dlpage/gaoptout dauerhaft unterbinden.

Datenschutzerklärung von Google: policies.google.com/privacy.

13. Online-Werbung mit Google Ads (Conversion-Tracking und Remarketing)

13.1 Anbieter und Zweck

Ausschließlich nach deiner Einwilligung setzen wir Google Ads der Google Ireland Limited (Anschrift wie oben) zur Online-Werbung ein. Wir nutzen dabei:

Google Ads Conversion-Tracking: Messung, ob eine über eine Google-Anzeige zu uns gelangte Person eine bestimmte Aktion ausführt (z. B. Formular absenden, Bestellung abschließen).
Google Ads Remarketing / Dynamisches Remarketing: Erneutes Ansprechen von Personen, die unsere Website besucht haben, mit zielgerichteten Anzeigen auf anderen Webseiten innerhalb des Google-Werbenetzwerks (inkl. YouTube).

13.2 Verarbeitete Daten

pseudonyme Cookie-IDs / Geräte-IDs,
IP-Adresse (gekürzt),
aufgerufene Seiten und ausgelöste Conversion-Ereignisse,
Zeitstempel,
bei „Erweiterten Conversions" ggf. gehashte E-Mail-Adressen, die du in einem Formular angegeben hast, zur besseren Conversion-Zuordnung (gemeinsame Verantwortlichkeit, siehe 13.4).

13.3 Cookies (Auswahl)

Cookie	Zweck	Speicherdauer
`_gcl_au`	Google-Ads-Conversion-Tracking	90 Tage
`NID`	Personalisierung / Anzeigenauslieferung	6 Monate
`IDE`	Conversion-Messung und Targeting (Google-Domain)	bis zu 13 Monate
`test_cookie`	Prüfung der Cookie-Unterstützung	15 Minuten

13.4 Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Soweit wir „Erweiterte Conversions" oder Funktionen einsetzen, bei denen wir Google Daten zu Werbemessungszwecken bereitstellen, sind wir gemeinsam mit Google für die Erhebung der Daten und deren Übermittlung an Google gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Die anschließende Verarbeitung durch Google in eigener Verantwortung erfolgt auf Grundlage der Google-Datenschutzerklärung. Eine Joint-Controller-Vereinbarung mit Google (Google Ads Data Protection Terms, Controller-Controller-Annex) ist abgeschlossen.

13.5 Rechtsgrundlagen

Cookies / Endgerätezugriff: § 25 Abs. 1 TDDDG (Einwilligung),
Datenverarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung),
Drittlandtransfer: DPF (Art. 45 DSGVO) + SCCs (Art. 46 Abs. 2 lit. c DSGVO).

13.6 Widerruf

Über unser Cookie-Banner jederzeit widerrufbar. Personalisierte Werbung kannst du zusätzlich unter adssettings.google.com deaktivieren.

14. Online-Werbung mit Meta Ads (Meta-Pixel und Conversion-API)

14.1 Anbieter und Zweck

Ausschließlich nach deiner Einwilligung setzen wir Werbe- und Analysetools von Meta ein:

Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland („Meta EU"). Konzernmutter: Meta Platforms, Inc., 1 Meta Way, Menlo Park, CA 94025, USA.

Eingesetzt werden:

Meta-Pixel (Tracking-Pixel im Browser): Messung der Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram, Bildung von Zielgruppen (Custom/Lookalike Audiences), Remarketing.
Meta Conversion-API (CAPI): Server-zu-Server-Übermittlung von Conversion-Ereignissen direkt aus unserem System an Meta, ergänzend zum Browser-Pixel. Wir nutzen CAPI mit den datenschutzfreundlichen Voreinstellungen (Hashing personenbezogener Daten vor Übermittlung).

14.2 Verarbeitete Daten

IP-Adresse,
pseudonyme Geräte- und Browser-Identifikatoren (_fbp, fbc),
aufgerufene Seiten, ausgelöste Ereignisse (Page View, Lead, Purchase, Contact),
User-Agent, Referrer,
ggf. gehashte (SHA-256) Kontaktdaten wie E-Mail oder Telefonnummer, sofern du sie aktiv in einem Formular eingegeben hast (für „Advanced Matching" bzw. CAPI).

14.3 Cookies (Auswahl)

Cookie	Zweck	Speicherdauer
`_fbp`	Browser-Identifikator für Conversion-Messung	90 Tage
`fbc`	Klick-Identifikator (bei Klick auf Meta-Anzeige)	90 Tage
`fr` (auf facebook.com)	Anzeigenauslieferung	90 Tage

14.4 Gemeinsame Verantwortlichkeit mit Meta (Art. 26 DSGVO)

Für die Erhebung deiner Daten durch das Meta-Pixel bzw. CAPI und deren Übermittlung an Meta sind wir mit Meta gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Meta und wir haben eine Vereinbarung über die gemeinsame Verarbeitung („Controller Addendum") gemäß Art. 26 DSGVO geschlossen, in der die jeweiligen Verantwortlichkeiten festgelegt sind:

Wir sind verantwortlich für die Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO (diese Erklärung) sowie für die Einholung der Einwilligung vor Aktivierung des Pixels/CAPI.
Meta ist verantwortlich für die anschließende Verarbeitung der Daten zur Anzeigenauslieferung, -messung und Sicherstellung der Betroffenenrechte gegenüber Meta-Nutzern.

Du kannst Betroffenenrechte sowohl uns gegenüber als auch direkt gegenüber Meta geltend machen. Die Vereinbarung ist abrufbar unter: www.facebook.com/legal/controller_addendum.

14.5 Rechtsgrundlagen

Cookies / Endgerätezugriff: § 25 Abs. 1 TDDDG (Einwilligung),
Datenverarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung),
Drittlandtransfer: Meta Platforms, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO); ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

14.6 Widerruf

Über unser Cookie-Banner jederzeit widerrufbar. Eingeloggte Meta-Nutzer können zusätzlich personalisierte Werbung in den Werbeeinstellungen ihres Meta-Kontos abschalten.

Datenschutzerklärung von Meta: www.facebook.com/privacy/policy.

Unser eigenes Widget „AccessKit" erlaubt dir die Anpassung von Schriftgröße, Kontrast, Bewegungs- und Vorlese-Einstellungen. Deine Auswahl wird ausschließlich lokal in deinem Browser (Local Storage, Schlüssel cogswell-a11y-v1) gespeichert. Es findet keine Übertragung an unsere Server oder Dritte statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich für einen vom Nutzer ausdrücklich gewünschten Dienst).

16. Lokal eingebundene Schriftarten

Die verwendeten Schriftarten Inter, JetBrains Mono und Caveat werden lokal von unserem Server in Deutschland ausgeliefert. Es findet keine Verbindung zu Google Fonts oder anderen Drittservern statt; deine IP-Adresse wird nicht an externe Schriftarten-Anbieter übermittelt.

17. Datensicherheit (Technische und organisatorische Maßnahmen)

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um deine Daten gegen unbefugten Zugriff, Verlust, Veränderung oder Zerstörung zu schützen. Hierzu gehören insbesondere:

Transportverschlüsselung der gesamten Website per TLS 1.2/1.3 (HTTPS),
Verschlüsselung sensibler Daten at Rest (insb. CRM-Datenbank, Backups),
Zugriffskontrolle mit rollenbasiertem Berechtigungskonzept, starken Passwörtern und 2-Faktor-Authentifizierung für administrative Zugänge,
regelmäßige Sicherheitsupdates des Betriebssystems, der Webserver-Software, der Open-Source-CRM-Basis und aller Anwendungen,
Backups mit Verschlüsselung; Speicherort ausschließlich Deutschland,
Protokollierung sicherheitsrelevanter Ereignisse,
Geheimhaltungspflichten für alle Mitarbeitenden gemäß Art. 28 Abs. 3 lit. b und Art. 29 DSGVO,
Schulungen zum Datenschutz und zur IT-Sicherheit,
Härtung von Servern und Anwendungen nach gängigen Best-Practice-Standards (u. a. OWASP).

Unsere Sicherheitsmaßnahmen werden fortlaufend dem Stand der Technik angepasst.

18. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung dir gegenüber oder vergleichbar erheblicher Beeinträchtigung findet nicht statt.

Hinweis zum KI-Chatbot (Claude): Der Chatbot generiert Antworten auf Basis von Sprachmodellen. Diese Antworten dienen rein der Information und Service-Unterstützung; sie haben keinen rechtlich verbindlichen Charakter und treffen keine Entscheidungen über dich (etwa über Vertragsabschluss, Konditionen, Bonität). Verbindliche Entscheidungen treffen ausschließlich unsere Mitarbeitenden.

Hinweis zu Werbeplattformen (Google Ads, Meta Ads): Die Plattformen können bei der Anzeigenausspielung statistische Profile bilden. Diese Profile werden nicht von uns gebildet und führen zu keiner rechtlich erheblichen Entscheidung dir gegenüber.

19. Drittlandtransfers

Im Rahmen der oben genannten Dienste werden Daten in Drittländer außerhalb der EU/des EWR – insbesondere in die USA – übermittelt. Solche Übermittlungen erfolgen ausschließlich auf Grundlage anerkannter Garantien:

19.1 Angemessenheitsbeschluss nach Art. 45 DSGVO

Für folgende US-Unternehmen besteht eine Zertifizierung unter dem EU-US Data Privacy Framework (DPF):

Google LLC (Google Ireland Limited, Google Analytics, Google Ads, Google Firebase),
Cloudflare, Inc. (Cloudflare Turnstile),
Meta Platforms, Inc. (Meta Ireland, Meta Ads / Meta Pixel).

Eine aktuelle Übersicht der zertifizierten US-Unternehmen findest du unter dataprivacyframework.gov/list.

19.2 EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO

Mit den folgenden Empfängern haben wir – ergänzend oder anstelle des DPF – EU-Standardvertragsklauseln (SCCs) in der aktuellen Fassung (Durchführungsbeschluss 2021/914) geschlossen:

Anthropic, PBC (KI-Chatbot Claude),
FormSubmit / Formspark LLC (Formularverarbeitung),
ergänzend für alle weiteren US-Konzernteile der unter 19.1 genannten Unternehmen.

19.3 Ergänzende Schutzmaßnahmen

Wo nötig, haben wir ergänzende technische und organisatorische Maßnahmen vereinbart bzw. eingerichtet, insbesondere Verschlüsselung in Transit und at Rest, kurze Speicherfristen, vertragliche Zusagen zur Nicht-Nutzung für KI-Training (Anthropic) sowie Auditrechte.

19.4 Restrisiko und Transparenzhinweis

Trotz dieser Garantien können wir nicht vollständig ausschließen, dass US-Behörden im Rahmen ihrer nationalen Befugnisse (z. B. FISA 702, CLOUD Act) auf Daten zugreifen können. Insbesondere im KI-Chatbot und bei Marketing-Tools bitten wir dich daher, keine sensiblen personenbezogenen Daten einzugeben, deren Übermittlung in die USA du nicht wünschst. Wenn du dies grundsätzlich ablehnst, kannst du die Statistik- und Marketing-Kategorien im Cookie-Banner deaktivieren und uns über E-Mail, Telefon oder Kontaktformular erreichen.

20. Auftragsverarbeiter und Empfänger im Überblick

Wir setzen folgende Dienstleister ein. Mit allen bestehen Verträge nach Art. 28 DSGVO (Auftragsverarbeitung) bzw. Art. 26 DSGVO (gemeinsame Verantwortlichkeit, soweit anwendbar):

Anbieter	Sitz	Zweck	Rolle	Drittland-Mechanismus
ALL-INKL.COM (Neue Medien Münnich)	Friedersdorf, Deutschland	Hosting, Server, Mail-Postfächer, CRM-Hosting	Auftragsverarbeiter	– (EU)
Stripe Payments Europe, Ltd.	Dublin, Irland	Zahlungsabwicklung	Auftragsverarbeiter / eigene Verantwortlichkeit	DPF + SCC (konzernintern USA)
Cloudflare, Inc.	San Francisco, USA	Bot-Schutz (Turnstile)	Auftragsverarbeiter	DPF + SCC
Google Ireland Limited / Google LLC	Dublin, Irland / USA	Firebase Hosting (Chatbot-Widget), Google Analytics 4, Google Ads	Auftragsverarbeiter; teils gemeinsame Verantwortlichkeit (Erweiterte Conversions)	DPF + SCC
Anthropic, PBC	San Francisco, USA	KI-Sprachmodell „Claude" für Chatbot-Antworten	Auftragsverarbeiter	SCC + DPA
Meta Platforms Ireland Limited / Meta Platforms, Inc.	Dublin, Irland / USA	Meta Ads, Meta-Pixel, Conversion-API	Gemeinsam Verantwortlicher (Art. 26 DSGVO) für Erhebung und Übermittlung; eigenverantwortlich für anschließende Verarbeitung	DPF + SCC
FormSubmit / Formspark LLC	USA	Formular-zu-E-Mail-Weiterleitung	Auftragsverarbeiter	SCC

21. Speicherfristen im Überblick

Datenkategorie	Speicherdauer
Server-Logfiles	max. 7 Tage
Cookie-Einwilligungs-Nachweis	12 Monate
Anfragen über Kontaktformular (ohne Geschäftsabschluss)	nach Bearbeitung, spätestens 12 Monate
Bestelldaten / Vertragsunterlagen	Dauer der Geschäftsbeziehung + bis zu 10 Jahre (§ 257 HGB, § 147 AO)
Chat-Sitzungen ohne Geschäftsvorgang	nach Sitzungsende, spätestens 30 Tage
Chat-Sitzungen mit Übernahme ins CRM	wie CRM-Daten
Anthropic-API (auf Anbieterseite)	bis zu 30 Tage (Sicherheits-/Missbrauchsprüfung)
CRM – aktive Kundenbeziehung	Dauer der Geschäftsbeziehung
CRM – beendete Kundenbeziehung	3 Jahre nach Beendigung (§ 195 BGB), max. 10 Jahre (HGB/AO)
CRM – Interessenten ohne Geschäftsabschluss	max. 12 Monate ab letztem Kontakt
Google Analytics 4	Datenaufbewahrung 14 Monate
Google Ads Cookies	bis zu 13 Monate (`IDE`), bzw. 90 Tage (`_gcl_au`)
Meta-Pixel Cookies	90 Tage
Zahlungsbelege (Stripe)	10 Jahre (steuerrechtlich)

22. Minderjährige

Unsere Angebote richten sich grundsätzlich an erwachsene Personen. Personen unter 16 Jahren sollten ohne Zustimmung der Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln (Art. 8 DSGVO i. V. m. § 25 Abs. 1 TDDDG). Wir fordern keine personenbezogenen Daten von Kindern an, erheben diese nicht und geben sie nicht an Dritte weiter. Sollten wir feststellen, dass wir versehentlich Daten eines Kindes ohne erforderliche Einwilligung erhoben haben, löschen wir diese unverzüglich.

23. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 14. Mai 2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite jederzeit abrufbar. Wir empfehlen dir, dich regelmäßig über Änderungen zu informieren.