Skip to main content
Netpositiv
Datenschutz nach DSGVO / TDDDG

Datenschutzerklärung

Diese Arbeitsfassung beschreibt die Datenschutzanforderungen für netpositiv.de und den aktuellen technischen Stand der Website. Vor Veröffentlichung müssen die Betreiber-, Hosting- und Kontaktangaben final ergänzt und rechtlich geprüft werden.

Grundlage: Art. 13 DSGVO für Informationspflichten, Art. 6 DSGVO für Rechtsgrundlagen, § 25 TDDDG für Cookies und vergleichbare Endgerätezugriffe sowie § 38 BDSG für die Prüfung einer möglichen Datenschutzbeauftragten-Pflicht.

Für die finale Freigabe fehlen noch
Diese Angaben sind rechtlich relevant und können nicht aus dem Code abgeleitet werden.
  • vollständiger Name bzw. Firma des Verantwortlichen inklusive ladungsfähiger Anschrift
  • öffentliche Datenschutz-Kontaktadresse, zum Beispiel datenschutz@netpositiv.de
  • Hostinganbieter, Serverstandort, Log-Speicherfrist und Auftragsverarbeitungsvertrag
  • zuständige Datenschutzaufsichtsbehörde nach dem finalen Sitz des Verantwortlichen
  • Entscheidung, ob ein Datenschutzbeauftragter bestellt werden muss oder freiwillig bestellt wird
  • alle später aktivierten Anbieter für Formularversand, Newsletter, Terminbuchung, Analytics, Captcha oder eingebettete Medien
Aus dem aktuellen Build ableitbar
Diese Punkte wurden aus der Netpositiv-v6-Implementierung geprüft.
  • Die Website ist als statische Next.js-Exportseite aufgebaut und enthält aktuell keine API-Route.
  • Die Kontaktseite zeigt ein Formular, sendet aber im aktuellen Build keine Anfrage an Netpositiv oder einen Provider.
  • Die AI-Workflow-Assessment-Antworten werden nur lokal im Browserzustand ausgewertet und nicht gespeichert oder übertragen.
  • Es sind keine Analytics, kein Newsletter, keine Terminbuchung, keine Captcha-Lösung, keine Karten, keine Videos und keine extern geladenen Schriftarten eingebunden.
  • Nicht notwendige Cookies, Local Storage oder vergleichbare Speicherzugriffe sind im aktuellen Build nicht vorgesehen.

Verarbeitungsvorgänge

Was die Datenschutzerklärung konkret abdecken muss.

Eine deutsche Website-Datenschutzerklärung sollte nicht generisch sein. Sie muss zu den tatsächlichen Funktionen, Providern, Rechtsgrundlagen, Empfängern und Speicherfristen passen.

Bereitstellung der Website und Server-Logfiles

Daten
IP-Adresse, Datum und Uhrzeit des Abrufs, angefragte URL, übertragene Datenmenge, HTTP-Status, Referrer, Browser- und Betriebssysteminformationen, soweit der Hostinganbieter diese technisch erhebt.
Zweck
Auslieferung der Website, Stabilität, Fehleranalyse, Missbrauchserkennung und technische Sicherheit.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse am sicheren und funktionsfähigen Betrieb der Website. Hosting erfolgt als Auftragsverarbeitung nach Art. 28 DSGVO, sobald der Anbieter feststeht.
Speicherdauer
Die konkrete Log-Speicherfrist hängt vom finalen Hostinganbieter ab und muss vor Veröffentlichung ergänzt werden. Sicherheitsrelevante Protokolle können im Einzelfall länger aufbewahrt werden, wenn dies zur Aufklärung erforderlich ist.

Kontaktanfragen

Daten
Bei einem später live geschalteten Formular: Name, E-Mail-Adresse, Unternehmen oder Team, Website, gewählter Anfragetyp, Nachricht und technische Übermittlungsdaten. Im aktuellen Build wird das Formular nur clientseitig validiert und zurückgesetzt; es wird keine Nachricht versendet.
Zweck
Bearbeitung von Anfragen, Vorbereitung eines Gesprächs und Entscheidung über passende nächste Schritte wie Assessment, Sprint oder Umsetzung.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO, wenn die Anfrage auf vorvertragliche Maßnahmen gerichtet ist; ergänzend Art. 6 Abs. 1 lit. f DSGVO für allgemeine Kommunikation und Missbrauchsschutz.
Speicherdauer
Solange die Anfrage bearbeitet wird. Danach regelmäßig bis zu sechs Monate für Rückfragen, sofern kein Vertragsverhältnis, keine gesetzlichen Aufbewahrungspflichten und kein berechtigter Dokumentationsbedarf bestehen.

Lokales AI-Workflow-Assessment

Daten
Antworten, Zwischenschritte und Ergebniswerte innerhalb der Assessment-Komponente.
Zweck
Lokale Selbsteinschätzung eines Workflows, ohne Übermittlung an Netpositiv.
Rechtsgrundlage
Solange keine Übermittlung oder Speicherung durch Netpositiv erfolgt, findet insoweit keine Verarbeitung durch Netpositiv statt. Die Browserausführung dient der ausdrücklich aufgerufenen Assessment-Funktion.
Speicherdauer
Keine serverseitige Speicherung. Die Angaben bleiben nur im flüchtigen Browserzustand der geöffneten Seite und werden nicht dauerhaft gespeichert.

Statische Ressourcen und Checklisten

Daten
Keine Formular- oder Download-Gating-Daten. Beim Aufruf gelten nur die technischen Zugriffsdaten der Websitebereitstellung.
Zweck
Bereitstellung frei zugänglicher Informationsseiten und Arbeitsmaterialien.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO für den technischen Seitenaufruf und die sichere Bereitstellung.
Speicherdauer
Keine zusätzliche Speicherung durch die Ressourcenseiten selbst.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist: [Netpositiv / vollständiger Rechtsträger ergänzen], [Name der verantwortlichen Person ergänzen], [ladungsfähige Anschrift ergänzen], Deutschland.

E-Mail für Datenschutzanfragen: [Datenschutz-Kontaktadresse ergänzen]. Die Angaben müssen mit dem Impressum und der tatsächlichen Betreiberstruktur übereinstimmen.

2. Datenschutzbeauftragter

Ob ein Datenschutzbeauftragter zu benennen ist, muss anhand von Art. 37 DSGVO und § 38 BDSG final geprüft werden. In Deutschland ist unter anderem relevant, ob in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder besondere Verarbeitungsvorgänge vorliegen.

Falls ein Datenschutzbeauftragter bestellt wird, müssen dessen Kontaktdaten hier ergänzt werden. Falls keine Pflicht besteht und niemand freiwillig bestellt wird, sollte diese Angabe entsprechend knapp formuliert werden.

3. Cookies, Local Storage und TDDDG

Der aktuelle Website-Build setzt keine nicht notwendigen Cookies und nutzt nach der Codeprüfung keinen Local Storage oder vergleichbare dauerhafte Browser-Speicher für Tracking, Marketing oder Analyse.

Nach § 25 TDDDG benötigen das Speichern von Informationen auf dem Endgerät und der Zugriff auf dort gespeicherte Informationen grundsätzlich eine Einwilligung. Eine Einwilligung ist nicht erforderlich, wenn der Zugriff unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen.

Wenn später Analytics, Newsletter-Popups, Terminbuchungen, eingebettete Medien, Captcha, A/B-Tests oder Marketing-Tags ergänzt werden, muss diese Datenschutzerklärung vorab aktualisiert und gegebenenfalls ein Einwilligungsmechanismus eingebaut werden.

4. Empfänger, Auftragsverarbeiter und Drittlandübermittlungen

Personenbezogene Daten können an technische Dienstleister weitergegeben werden, soweit dies für Betrieb, Sicherheit oder Kommunikation erforderlich ist. Für Auftragsverarbeiter ist ein Vertrag nach Art. 28 DSGVO erforderlich.

Der finale Hostinganbieter, dessen Sitz, Serverstandort, Unterauftragsverarbeiter und Log-Speicherfristen müssen hier ergänzt werden. Eine Übermittlung in Länder außerhalb der EU/des EWR ist derzeit nicht vorgesehen; sollte ein Anbieter mit Drittlandbezug eingesetzt werden, müssen geeignete Garantien und die konkreten Empfänger genannt werden.

5. Kontaktformular und vertrauliche Inhalte

Das sichtbare Kontaktformular ist aktuell eine Vorschau und sendet keine Daten. Sobald ein echter Versand eingebaut wird, müssen Provider, Versandweg, Speicherort, Empfänger und Fristen in dieser Erklärung ergänzt werden.

Bitte übermitteln Sie über erste Kontaktwege keine vertraulichen Kundendaten, Passwörter, Tokens, Vertragsunterlagen, besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder sonstige sensible Informationen.

Eine separate Einwilligung für Newsletter oder laufendes Marketing wird aktuell nicht eingeholt. Sollte Marketing-Kommunikation eingeführt werden, braucht sie eine eigene Einwilligung und einen Double-Opt-in-Prozess.

6. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Pflichten eine längere Speicherung verlangen.

Für die Website selbst fallen nach aktuellem Stand nur technische Zugriffsdaten beim Hostinganbieter an. Für spätere Kontaktanfragen gilt: Löschung nach Abschluss der Bearbeitung, sofern keine Vertrags- oder Aufbewahrungspflichten, keine Rechtsansprüche und kein berechtigter Dokumentationsbedarf entgegenstehen.

7. Ihre Rechte

Betroffene Personen haben gegenüber dem Verantwortlichen die folgenden Rechte, soweit die jeweiligen gesetzlichen Voraussetzungen erfüllt sind:

  • Auskunft über verarbeitete personenbezogene Daten nach Art. 15 DSGVO
  • Berichtigung unrichtiger Daten nach Art. 16 DSGVO
  • Löschung nach Art. 17 DSGVO
  • Einschränkung der Verarbeitung nach Art. 18 DSGVO
  • Datenübertragbarkeit nach Art. 20 DSGVO, soweit die Voraussetzungen erfüllt sind
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen nach Art. 21 DSGVO
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft nach Art. 7 Abs. 3 DSGVO
  • Beschwerde bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO

8. Pflicht zur Bereitstellung von Daten

Für den reinen Besuch der Website müssen Sie keine Daten aktiv angeben. Technische Zugriffsdaten fallen jedoch an, weil eine Website ohne die Übermittlung von IP-Adresse und Abrufdaten technisch nicht ausgeliefert werden kann.

Wenn Sie später eine Anfrage senden, sind die als erforderlich gekennzeichneten Angaben notwendig, damit Netpositiv die Anfrage zuordnen und beantworten kann. Ohne diese Angaben kann eine Bearbeitung unmöglich sein.

9. Automatisierte Entscheidungen und Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO und kein Profiling durch Netpositiv statt. Das lokale Assessment erzeugt lediglich eine Orientierung für die Nutzerin oder den Nutzer und wird nicht an Netpositiv übertragen.

10. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung muss aktualisiert werden, sobald sich tatsächliche Verarbeitungsvorgänge ändern, insbesondere bei Live-Schaltung eines Kontaktformulars, Einbindung externer Anbieter, Einführung von Analytics, Newsletter, Terminbuchung, Captcha, eingebetteten Medien oder dauerhafter Browser-Speicherung.

Stand dieser Arbeitsfassung: 7. Juni 2026.