Datenschutzerklärung

Stand: 24. September 2025

1. Allgemeine Hinweise

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir, die Bassen Lieb GbR (nachfolgend „wir“), verarbeiten Ihre Daten nur, wenn dies notwendig ist und ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der DSGVO und des BDSG. In dieser Datenschutzerklärung informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website und interner Prozesse.

Zusammenfassung in einfacher Sprache

  • Unsere Website wird bei Vercel gehostet (technische Verbindungsdaten für sichere Auslieferung).
  • LinkedIn Lead Gen Forms: freiwillige Kontaktaufnahme.
  • Google-Kalender-iFrame: Terminbuchung – wird erst nach Ihrer Zustimmung geladen.
  • Notion: interne Organisation/Bearbeitung von Anfragen und Projekten.
  • Google Workspace (Gmail): E-Mail-Kommunikation und Postfachverwaltung.
  • Keine eigenen Cookies, kein Tracking. Externe Inhalte laden wir möglichst erst nach Ihrer Zustimmung.
  • Sie können Ihre Rechte (Auskunft, Löschung usw.) jederzeit geltend machen.

2. Verantwortlicher

Bassen Lieb GbR
Grootsruhe 3
20537 Hamburg
datenschutz@numos.consulting

Vertretungsberechtigt

Colin Lieb
lieb@numos.consulting
+49 152 23161690

Datenschutz-Kontakt

Jan Bassen
bassen@numos.consulting
+49 152 22470254

Hinweis: Sofern keine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht, fungiert der genannte Kontakt als zentrale Anlaufstelle für Datenschutzanfragen.

3. Zwecke, Rechtsgrundlagen, Kategorien und Empfänger

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung dieser Website und unserer Inhalte/Funktionen erforderlich ist oder zur Bearbeitung Ihrer Anfragen. Wir setzen keine eigenen Cookies, keine Web‑Analytics und keine Login‑Funktionen ein.

3.1 Hosting & Auslieferung der Website (Vercel)

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Vercel speichert Server-Logfiles zur Stabilität und Sicherheit der Seite.

Verarbeitete Daten:

  • IP-Adresse, Datum/Uhrzeit der Anfrage, Zeitzone
  • HTTP-Header (z. B. User-Agent, Referer), angefragte URL/Pfad
  • Technische Ereignisdaten (z. B. Fehler-/Zugriffs-Logs, Performance-Metriken)

Zwecke: Technische Bereitstellung, Auslieferung über Edge-Infrastruktur, Stabilität und Sicherheit (Missbrauchs-/Angriffserkennung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, effizientem Betrieb).

Empfänger/Übermittlung in Drittländer: Im Rahmen des Hostings kann es zu Übermittlungen in die USA kommen. Vercel stützt sich hierfür regelmäßig auf Standardvertragsklauseln (SCC) und ggf. zusätzliche Maßnahmen; sofern anwendbar kann auch eine Zertifizierung nach dem EU-US Data Privacy Framework (DPF) bestehen.

Speicherdauer: Server-/Sicherheits-Logs werden für eine technisch notwendige Dauer gespeichert und anschließend gelöscht oder anonymisiert.

3.2 Kontaktaufnahme über LinkedIn Lead Gen Forms

Wir nutzen LinkedIn Lead Gen Forms, über die Interessierte ihre Kontaktdaten übermitteln können, damit wir sie kontaktieren.

Verarbeitete Daten: Name, Email-Adresse, Unternehmen, Position, sonstige freiwillige Angaben.

Zwecke: Beantwortung von Anfragen, Lead-Management, Anbahnung von Vertragsverhältnissen.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit.a DSGVO (Einwilligung in LinkedIn-Formular) und
  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Kommunikation), ggf.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

Empfänger/Verantwortlichkeit: LinkedIn Ireland Unlimited Company (mit Konzerngesellschaften außerhalb der EU) ist für die Lead-Erhebung eigenständig verantwortlich. Wir verarbeiten die von LinkedIn übermittelten Leads in unseren Systemen als eigener Verantwortlicher (kein Joint-Control). Drittlandübermittlung: LinkedIn kann Daten in Drittländer (insb. USA) übertragen; Absicherung i. d. R. über SCC und – sofern anwendbar – DPF.

Speicherdauer: Bis Zweckfortfall (Abschluss/Beendigung der Kommunikation), gesetzliche Aufbewahrungsfristen oder Widerruf/Widerspruch.

3.3 Interne Verarbeitung von Daten in Notion

Wir nutzen Notion als internes Arbeits-, Wissens- und Projektmanagement-Tool zur Bearbeitung von Anfragen, Angeboten, Verträgen und Projekten.

Anbieter/Empfänger: Notion Labs, Inc., 2300 Harrison St, San Francisco, CA 94110, USA (mit verbundenen Unternehmen). Notion wird als Auftragsverarbeiter gem. Art. 28 DSGVO eingesetzt. Ein entsprechender Auftragsverarbeitungsvertrag (DPA) sowie SCC sind abgeschlossen. Sofern anwendbar kann zusätzlich eine Zertifizierung nach dem EU-US DPF bestehen.

Kategorien verarbeiteter Daten:

  • Kontakt- und Kommunikationsdaten (z. B. Name, Email, Telefonnummer, Unternehmenszugehörigkeit),
  • Inhalts-/Vorgangsdaten (z. B. Anfragen, Notizen zu Telefonaten/Meetings, Aufgaben, Projekt-/Vertragsdokumente),
  • Vertrags-/Abrechnungsdaten (z. B. Angebot/Leistungsbeschreibung, Rechnungsbezug), soweit erforderlich.

Zwecke: Interne Organisation und Bearbeitung von Anfragen/Leads, Angebotserstellung, Projekt- und Wissensmanagement, Aufgabenverwaltung, Dokumentation vertraglicher Leistungen.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Maßnahmen),
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, nachvollziehbarer interner Organisation und Qualitätssicherung),
  • ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Nachweis-/Aufbewahrungspflichten),
  • in Ausnahmefällen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), wenn freiwillige Zusatzinformationen übermittelt werden.

Drittlandübermittlung: Verarbeitung kann in den USA erfolgen. Absicherung über SCC nebst ergänzenden Maßnahmen; sofern anwendbar zusätzliche Absicherung über EU-US DPF. Wir konfigurieren Notion nach dem Privacy-by-Default-Prinzip (rollenbasierte Zugriffsrechte, Verschlüsselung, Zwei-Faktor-Authentifizierung).

Speicherdauer/Löschung: Personenbezogene Daten in Notion werden grundsätzlich nur solange gespeichert, wie dies zur Zweckerfüllung erforderlich ist. Wir prüfen die Erforderlichkeit regelmäßig (mind. halbjährlich) und löschen bzw. anonymisieren Daten, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. nach HGB/AO) entgegenstehen. Projekt-/Vertragsunterlagen bewahren wir entsprechend den gesetzlichen Fristen auf.

Hinweise zur Vertraulichkeit: Notion ist ein internes System. Externe Freigaben/Links werden nur nach dem Need-to-know-Prinzip erteilt und – soweit möglich – passwort- oder berechtigungsbasiert beschränkt.

3.4 Terminbuchung per Google Kalender (eingebetteter iFrame)

Wir binden zur direkten Terminbuchung einen Google-Kalender-Terminplaner als iFrame ein.

Anbieter: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) mit verbundenen Unternehmen.

Verarbeitete Daten: Beim Aufruf der Seite mit iFrame baut der Browser eine Verbindung zu Google-Servern auf. Dabei können u. a. IP-Adresse, Browser-/Geräteinformationen, die besuchte Seite sowie bei Terminbuchung eingegebene Daten (z. B. Name, Email, gewünschter Termin) verarbeitet werden.

Zwecke: Bereitstellung der Terminbuchungs-Funktion, Verwaltung von Terminen, Benachrichtigungen.

Rechtsgrundlagen:

  • Für das Laden des iFrames: grundsätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in externe Inhalte), sofern Cookies/Tracking möglich sind; andernfalls Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einfacher Terminbuchung).
  • Für die Terminvereinbarung selbst: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Maßnahme).

Empfänger/Übermittlung in Drittländer: Google kann Daten auch in den USA verarbeiten (Absicherung über SCC; sofern anwendbar DPF). Wir laden den iFrame erst nach Ihrer aktiven Zustimmung (z. B. durch Klick auf einen Platzhalter mit Hinweistext).

Speicherdauer: Entsprechend den Zweckbindungen (Terminverwaltung) und gesetzlichen Aufbewahrungsfristen; im Übrigen nach unseren Löschkonzepten.

3.5 E-Mail-Kommunikation über Google Workspace (Gmail)

Wir nutzen Google Workspace (insbesondere Gmail) für unsere E-Mail-Kommunikation und Postfachverwaltung.

Anbieter/Empfänger: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) mit verbundenen Unternehmen. Google wird – soweit es um die Bereitstellung der Infrastruktur geht – als Auftragsverarbeiter eingesetzt; wir bleiben Verantwortlicher für Inhalte der Kommunikation.

Kategorien verarbeiteter Daten: Absender-/Empfängerdaten (Name, E-Mail-Adresse), Metadaten (Zeitpunkte, technische Header), Kommunikationsinhalte (E-Mail-Texte, Anhänge), ggf. Kontaktdaten aus Signaturen.

Zwecke: Empfang/Versand von E-Mails, Bearbeitung von Anfragen, Vertrags- und Projektkommunikation, Dokumentation.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (vorvertraglich/vertraglich), lit. f (berechtigtes Interesse an effizienter, sicherer Kommunikation); ggf. lit. c (gesetzliche Pflichten) und lit. a (Einwilligung für freiwillige Informationen).

Sicherheit: Transportverschlüsselung (TLS) für ein- und ausgehende E-Mails; optionale zusätzliche Maßnahmen wie SPF/DKIM/DMARC sind konfiguriert bzw. werden angestrebt. Zugriff nur durch berechtigte Personen (rollenbasiert, 2FA).

Drittlandübermittlung: Verarbeitung kann in Drittländern (insb. USA) erfolgen; Absicherung über SCC und ggf. DPF.

Speicherdauer/Löschung: E-Mails werden entsprechend gesetzlicher Aufbewahrungsfristen und unserem Löschkonzept aufbewahrt. Geschäftliche Korrespondenz kann nach HGB/AO bis zu 6/10 Jahren aufbewahrt werden; danach Löschung/Anonymisierung, sofern keine entgegenstehenden Pflichten bestehen.

Hinweis: Senden Sie uns bitte keine sensiblen Informationen unverschlüsselt per E-Mail. Auf Wunsch bieten wir sichere Kommunikationswege an.

4. Cookies und vergleichbare Technologien

Wir setzen keine eigenen Cookies und kein Tracking auf unserer Website ein. Externe Inhalte (z. B. Google-iFrame) werden – soweit technisch möglich – erst nach Ihrer aktiven Zustimmung geladen.

5. Pflicht zur Bereitstellung von Daten

Für die bloße Nutzung der Website besteht keine Pflicht zur Bereitstellung personenbezogener Daten. Für die Terminbuchung oder Kontaktaufnahme sind bestimmte Angaben erforderlich (Pflichtfelder), ohne die wir die Leistung nicht erbringen können.

6. Drittlandübermittlungen

Soweit Daten an Anbieter in Drittländern (insb. USA) übermittelt werden, erfolgt dies auf Grundlage von Art. 46 DSGVO (Standardvertragsklauseln) und ggf. zusätzlicher technischer/organisatorischer Maßnahmen; sofern anwendbar zusätzlich auf Basis des EU-US DPF.

7. Speicherdauer

Wir löschen personenbezogene Daten, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konkrete Beispiele:

  • Kontaktanfragen/Leads: nach Abschluss der Kommunikation oder Widerruf/Widerspruch; ansonsten regelmäßige Prüfung (mind. halbjährlich).
  • Server-Logs: technisch notwendige Frist.
  • Projekt-/Vertragsunterlagen: gemäß gesetzlichen Aufbewahrungsfristen (z. B. 6/10 Jahre nach HGB/AO).

8. Sicherheit der Verarbeitung

Wir verwenden aktuelle Transportverschlüsselung (TLS/HTTPS), rollenbasierte Berechtigungen, Zwei-Faktor-Authentifizierung (wo verfügbar) sowie angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

9. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

10. Ihre Rechte (Betroffenenrechte)

Sie haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft (Art. 15),
  • Berichtigung (Art. 16),
  • Löschung (Art. 17),
  • Einschränkung der Verarbeitung (Art. 18),
  • Datenübertragbarkeit (Art. 20),
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f (Art.21). Wenn die Verarbeitung auf Einwilligung beruht (Art. 6 Abs. 1 lit. a), haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.

Zur Ausübung Ihrer Rechte genügt eine Nachricht an uns (Kontaktdaten siehe oben).

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

12. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere Verarbeitungen oder die eingesetzten Dienste ändern. Die jeweils aktuelle Version ist an dieser Stelle abrufbar.