Stand: 22. Oktober 2025
Verantwortlicher: we‑IT GmbH, Kriegerstr. 35, 82110 Germering, Deutschland
Kontakt für Datenschutzanliegen: datenschutz@we-it.de
Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Datenschutzbeauftragter: nicht benannt, da gesetzlich nicht erforderlich; Ansprechpartner siehe vorstehende Kontaktadresse.
Wir betreiben ein Informationssicherheits‑Managementsystem (ISMS) nach ISO/IEC 27001. Den Zertifikatsumfang und weiterführende Nachweise stellen wir unter https://compliance.we-it.de bereit.
Diese Erklärung gilt für unsere geschäftliche Datenverarbeitung im B2B‑Umfeld sowie – wo ausdrücklich gekennzeichnet – für die Nutzung unserer Webseite. Regelungen, die mit „(Web)“ gekennzeichnet sind, betreffen ausschließlich den Webseitenbetrieb.
1. Zwecke, Rechtsgrundlagen und Datenkategorien
Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der Datenschutz‑Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Soweit nicht ausdrücklich abweichend angegeben, erfolgt die Bereitstellung der Daten freiwillig. Ohne bestimmte Angaben können wir einzelne Leistungen, insbesondere die Bearbeitung von Anfragen, die Anbahnung oder Erfüllung von Verträgen sowie Support‑Tätigkeiten, möglicherweise nicht erbringen.
1.1 Geschäftsanbahnung, Vertragsdurchführung und Kundenbeziehung (B2B)
Zum Zweck der Anbahnung, des Abschlusses und der Durchführung von Verträgen, zur Pflege der laufenden Kundenbeziehung, zur Leistungserbringung einschließlich Support sowie zur Abrechnung verarbeiten wir insbesondere Stammdaten, Kommunikations‑ und Kontaktdaten, Vertrags‑ und Abrechnungsdaten sowie Support‑ und Ticketinformationen. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, etwa steuer‑ und handelsrechtliche Aufbewahrung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation, IT‑Sicherheit und der Durchsetzung rechtlicher Ansprüche).
1.2 Kommunikation und Ticketsystem
Wenn Sie uns per E‑Mail oder Telefon kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung Ihrer Anfrage und etwaiger Anschlussfragen. Registrierte Kunden können Anfragen zusätzlich über unser Ticketsystem (Freshdesk/Freshworks) stellen. Freshdesk kann – abhängig von Funktionsumfang und gewähltem Rechenzentrumsstandort – Daten in EU‑Rechenzentren verarbeiten; einzelne Funktionen können eine Übermittlung in Drittländer, insbesondere die USA, einschließen. Solche Übermittlungen stützen wir auf einen Angemessenheitsbeschluss (EU‑US Data Privacy Framework) oder auf EU‑Standardvertragsklauseln. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente Kommunikation und Support).
1.3 Bewerbungen
Wenn Sie sich bei uns bewerben, verarbeiten wir Ihre Stammdaten, Kontaktdaten, Bewerbungsunterlagen und unsere Korrespondenz zum Zweck des Auswahlverfahrens. Rechtsgrundlagen sind § 26 Abs. 1 BDSG und Art. 6 Abs. 1 lit. b DSGVO. Sofern wir Ihre Unterlagen nach Abschluss des Verfahrens in einen Bewerber‑Pool übernehmen, erfolgt dies nur auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.
2. Web‑spezifische Verarbeitung
2.1 Hosting und Infrastruktur (Web)
Unsere Webseite wird in Rechenzentren der Mittwald CM Service GmbH & Co. KG, Königsberger Straße 4‑6, 32339 Espelkamp (Deutschland) betrieben. Wir nutzen dortige Infrastrukturleistungen einschließlich Performance‑Optimierung (z. B. NitroPack) und Sicherheitsfunktionen (z. B. Wordfence). Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, soweit Seiteninhalte der Vertragsanbahnung dienen, sowie Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse am Betrieb und an der Sicherheit einer professionellen Webseite haben.
2.2 Server‑Log‑Dateien (Web)
Beim Aufruf unserer Webseite werden Server‑Log‑Dateien erstellt, die unter anderem die IP‑Adresse, Datum und Uhrzeit des Abrufs, die angeforderte Ressource, die Referrer‑URL und den verwendeten User‑Agent enthalten. Diese Protokolle verwenden wir zur Fehleranalyse, zur Gewährleistung von Stabilität und Sicherheit und führen sie nicht mit anderen Daten zusammen. Die Logdaten speichern wir grundsätzlich nur so lange, wie es für diese Zwecke erforderlich ist; regelmäßig bis zu vierzehn Tage. Bei sicherheitsrelevanten Vorfällen können wir Protokolle anlassbezogen länger aufbewahren. Hinweis: für E‑Mail‑Protokolle kann der Hoster aus technischen Gründen längere Fristen vorsehen (z. B. vier Wochen).
2.3 Cookies, Consent und Kategorien (Web)
Wir setzen das Consent‑Management‑Tool Real Cookie Banner (devowl.io) ein. Darüber können Sie Ihre Einwilligung für die Kategorien „Essenziell“, „Funktional“, „Statistik“ und „Marketing“ erteilen oder verweigern und Ihre Auswahl jederzeit ändern. Essenzielle und funktionale Cookies stützen wir auf Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 25 Abs. 2 TTDSG, während Statistik‑ und Marketing‑Technologien ausschließlich mit Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TTDSG eingesetzt werden. Die jeweils aktuelle, dynamische Dienste‑ und Cookie‑Liste ist über das Banner abrufbar.
2.4 Eingebundene Web‑Dienste (Web)
Die nachfolgend genannten Dienste werden entweder aus technischen Gründen zwingend benötigt oder erst nach Ihrer Einwilligung über das Consent‑Banner geladen. Wir informieren jeweils über Zweck, Rechtsgrundlage, Speicherdauer und mögliche Drittlandübermittlungen.
Google Tag Manager (GTM)
Wir verwenden den Google Tag Manager, um eingebundene Dienste zentral zu verwalten. Das Tool legt keine eigenen Nutzerprofile an, kann jedoch aus technischen Gründen IP‑Adressen verarbeiten. Die Rechtsgrundlage ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Soweit im Einzelfall eine weitergehende Datenübermittlung erforderlich ist, stützen wir diese auf eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Eine Übermittlung in die USA ist möglich; als Rechtsgrundlagen kommen das EU‑US Data Privacy Framework und die EU‑Standardvertragsklauseln in Betracht.
Google Analytics (GA4)
Zur Reichweiten‑ und Nutzungsanalyse setzen wir Google Analytics in der Ausprägung GA4 ein. Die Verarbeitung erfolgt nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Ereignis‑ und Nutzungsdaten bewahren wir standardmäßig vierzehn Monate auf. Google kann Daten in die USA übermitteln; als Garantien dienen das EU‑US Data Privacy Framework oder die Standardvertragsklauseln.
Google Ads (inkl. Conversion/Remarketing)
Für die Ausspielung und Erfolgsmessung von Online‑Werbung nutzen wir Google Ads einschließlich Conversion‑ und Remarketing‑Funktionen. Die Nutzung erfolgt nur nach Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Eine Datenübermittlung in die USA ist möglich; als Schutzmechanismen dienen das EU‑US Data Privacy Framework oder die EU‑Standardvertragsklauseln.
ProvenExpert‑Siegel
Auf unserer Webseite binden wir ein Siegel der Expert Systems AG (ProvenExpert) ein, um Kundenbewertungen anzuzeigen. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer transparenten Darstellung (Art. 6 Abs. 1 lit. f DSGVO) oder – sofern Cookies/Tracker eingesetzt werden – auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Microsoft Bookings
Zur Terminvereinbarung verwenden wir Microsoft Bookings. Verantwortlich ist Microsoft Ireland Operations Limited; je nach Nutzung können Übermittlungen an Microsoft Corporation (USA) stattfinden. Die Rechtsgrundlage ist unser berechtigtes Interesse an einer effizienten Terminplanung (Art. 6 Abs. 1 lit. f DSGVO) bzw. Ihre Einwilligung, wenn Sie diese erteilen (Art. 6 Abs. 1 lit. a DSGVO). In Betracht kommen das EU‑US Data Privacy Framework und die EU‑Standardvertragsklauseln.
Wordfence (Security‑Plugin)
Zum Schutz vor Angriffen setzen wir das Sicherheits‑Plugin Wordfence ein. Die Verarbeitung dient der IT‑Sicherheit und stützt sich auf Art. 6 Abs. 1 lit. f DSGVO. Eine Übermittlung in die USA kann stattfinden; in diesem Fall kommen die EU‑Standardvertragsklauseln zum Einsatz.
OneDrive‑Einbindungen
Wenn wir Dateien über Microsoft OneDrive bereitstellen oder einbetten, verarbeiten wir hierzu die erforderlichen Nutzungsdaten. Je nach Nutzung ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) oder Art. 6 Abs. 1 lit. f DSGVO; bei Einwilligungsgestaltungen gilt Art. 6 Abs. 1 lit. a DSGVO. Übermittlungen in die USA sind möglich und werden nach geltendem Recht abgesichert.
jQuery (CDN), soweit extern geladen
Soweit die JavaScript‑Bibliothek jQuery aus einem Content‑Delivery‑Network eingebunden wird, verarbeitet der CDN‑Anbieter technische Nutzungsdaten wie IP‑Adresse und Abrufzeitpunkte. Die Einbindung erfolgt zur effizienten und stabilen Auslieferung und stützt sich auf Art. 6 Abs. 1 lit. f DSGVO; bei einwilligungspflichtigen Komponenten nutzen wir Art. 6 Abs. 1 lit. a DSGVO.
Google Fonts (lokal) und Font Awesome (lokal)
Schriften und Icons stellen wir lokal bereit. Beim Besuch unserer Seiten wird daher keine Verbindung zu Servern der jeweiligen Anbieter aufgebaut.
reCAPTCHA (Formularschutz)
Zum Schutz vor missbräuchlichen automatisierten Eingaben können wir Google reCAPTCHA einsetzen. Das Tool wird ausschließlich nach Ihrer Einwilligung geladen (Art. 6 Abs. 1 lit. a DSGVO). Eine Übermittlung in die USA ist möglich; sie wird nach Maßgabe des EU‑US Data Privacy Frameworks oder der EU‑Standardvertragsklauseln abgesichert.
Trustindex.io (Bewertungs‑Widgets)
Für die Anzeige externer Bewertungs‑Widgets setzen wir Trustindex.io ein. Beim Laden können IP‑Adresse und Geräteinformationen an Trustindex beziehungsweise an eingesetzte CDNs übertragen werden. Wir binden Trustindex nur mit Ihrer Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO).
3. Empfänger, Auftragsverarbeitung und Drittlandübermittlungen
Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf personenbezogene Daten, die diese zur Erfüllung der jeweiligen Zwecke benötigen. Externe Empfänger sind insbesondere Auftragsverarbeiter für Hosting, Cloud/Backup, E‑Mail‑ und Ticket‑Systeme, IT‑Wartung sowie – je nach Vorgang – Steuerberatung, Buchhaltung, Versand‑ und Druckdienstleister, Zahlungsdienste und Rechtsberatung. Eine jeweils aktuelle Übersicht über unsere eingesetzten Auftragsverarbeiter stellen wir auf Anfrage bereit. Übermittlungen in Drittstaaten erfolgen nur unter den Voraussetzungen der Art. 44 ff. DSGVO, also auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU‑US Data Privacy Framework) oder geeigneter Garantien, insbesondere der EU‑Standardvertragsklauseln.
4. Speicherorte, Aufbewahrungsfristen und Löschung
Unsere eigenen Systeme betreiben wir in Rechenzentren in Deutschland. Bei externen Diensten richtet sich der Speicherort nach deren Infrastruktur innerhalb der EU/EWR oder – soweit erforderlich – in Drittländern, jeweils unter Beachtung der datenschutzrechtlichen Vorgaben. Wir löschen oder anonymisieren personenbezogene Daten, sobald der Zweck entfällt und keine Rechtsgrundlage oder gesetzliche Pflicht zur weiteren Speicherung mehr besteht. Eine weitergehende Speicherung kann auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bis zum Ablauf der Verjährungsfristen erfolgen.
4.1 Typische Fristen
Vertrags‑ und Abrechnungsunterlagen bewahren wir regelmäßig zehn Jahre nach den Vorgaben aus AO und HGB auf. Handels‑ und Geschäftsbriefe speichern wir sechs Jahre. Support‑Tickets in Freshdesk halten wir grundsätzlich bis zu drei Jahre nach Abschluss vor, sofern keine längeren gesetzlichen Pflichten bestehen. Bewerbungsunterlagen löschen wir grundsätzlich sechs Monate nach Abschluss des Verfahrens; bei erteilter Einwilligung zur Evidenzhaltung beträgt die Aufbewahrung bis zu zwölf Monate. Protokolle des Consent‑Management‑Tools bewahren wir bis zum Ende der jeweils einschlägigen Nachweispflichten auf, regelmäßig bis zu drei Jahre. Daten aus Google Analytics werden standardmäßig vierzehn Monate gespeichert. Server‑Log‑Dateien der Webseite bewahren wir in der Regel bis zu vierzehn Tage auf; bei sicherheitsrelevanten Vorfällen kann die Aufbewahrung anlassbezogen länger dauern. E‑Mail‑Protokolle des Hosters können aus technischen Gründen über einen Zeitraum von etwa vier Wochen vorgehalten werden.
4.2 Backups und Archive
Im Rahmen unseres ISO‑27001‑konformen ISMS unterhalten wir revisionssichere Backup‑ und Archivsysteme, unter anderem für E‑Mail‑ und M365‑Daten sowie für SharePoint/OneDrive‑Inhalte. Soweit rechtlich zulässig, können Sicherungskopien aus Compliance‑, Nachweis‑ und Disaster‑Recovery‑Gründen über längere Zeiträume – bis zu zwölf Jahren – aufbewahrt werden. Diese Sicherungen sind vom Produktivsystem logisch getrennt, unterliegen strengen Zugriffsbeschränkungen und werden ausschließlich zu Wiederherstellungs‑ und Nachweiszwecken verwendet (Art. 6 Abs. 1 lit. c und lit. f DSGVO). Löschverlangen setzen wir im Produktivsystem um; eine physische Überschreibung innerhalb der Backup‑Sets erfolgt turnusmäßig gemäß Medien‑ bzw. Lebenszyklus.
5. Ihre Rechte
Sie haben die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit (Art. 15–20 DSGVO). Sie können der Verarbeitung widersprechen, wenn diese auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht; dies gilt insbesondere für Direktwerbung (Art. 21 DSGVO). Von Ihnen erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Zudem haben Sie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, insbesondere beim BayLDA.
6. Hinweise zu Drittlandübermittlungen
Setzen wir Anbieter in Drittstaaten – insbesondere in den USA – ein, stützen wir Übermittlungen auf das EU‑US Data Privacy Framework oder, sofern kein Angemessenheitsbeschluss vorliegt, auf die EU‑Standardvertragsklauseln. Wir beobachten die Rechtsentwicklung fortlaufend und passen unsere Transfers und die hierzu getroffenen Schutzmaßnahmen entsprechend an. In Abschnitt 2.4 informieren wir über die konkret betroffenen Anbieter; weitere Details stellen wir auf Anfrage bereit.
7. Technische und organisatorische Maßnahmen (TOM)
Zum Schutz personenbezogener Daten setzen wir abgestufte Maßnahmen ein, darunter Zugriffskontrollen mit rollenbasierten Berechtigungen und Mehr‑Faktor‑Authentisierung, verschlüsselte Datenübertragung (TLS) und – je nach System – Verschlüsselung ruhender Daten, Härtung und Patch‑Management, Protokollierung und Monitoring sowie regelmäßige Backup‑ und Recovery‑Tests. Unser Lieferanten‑ und Auftragsverarbeiter‑Management umfasst Data‑Processing‑Agreements und – soweit erforderlich – Transfer Impact Assessments. Audits und Rezertifizierungen erfolgen im Rahmen unseres ISO/IEC‑27001‑Systems.
8. Formulare, Kontakt und kein Newsletter
Wenn Sie uns über Formulare, per E‑Mail oder telefonisch kontaktieren, verarbeiten wir Ihre Angaben, um Ihre Anfrage zu beantworten. Zum Schutz der Formulare vor Spam setzen wir reCAPTCHA nur nach Ihrer Einwilligung ein. Einen Newsletter bieten wir nicht an.
9. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung, wenn sich die Rechtslage, unsere Prozesse oder die eingesetzten Dienste ändern. Es gilt die jeweils veröffentlichte Fassung mit Datumsangabe.