Datenschutzerklärung
§ 1 Verantwortlicher und Geltungsbereich
(1) Verantwortlicher für die Verarbeitung personenbezogener Daten auf dieser Website und im Rahmen der nachfolgend beschriebenen Vorgänge im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) ist:
KETESO GmbH (Marke: powerhandwerk)
J.-B.-Enderle-Str. 29
89358 Kammeltal
Deutschland
Telefon: +49 152 295 409 46
E-Mail: info@keteso.com
(2) Diese Datenschutzerklärung informiert nach Art. 13 und Art. 14 DSGVO über die Verarbeitung personenbezogener Daten
- beim Besuch und der Nutzung der Website powerhandwerk.de und
- im Rahmen der Anbahnung, des Abschlusses und der Abwicklung von Verträgen über unsere Leistungen.
(3) Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten (Auftragsverarbeitung im Rahmen der laufenden Leistungserbringung), ist der jeweilige Kunde Verantwortlicher; hierfür gilt vorrangig der zwischen uns und dem Kunden geschlossene Auftragsverarbeitungsvertrag (siehe § 12).
§ 2 Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen für eine Benennungspflicht (§ 38 BDSG, Art. 37 DSGVO) bei uns derzeit nicht vorliegen. Bei Fragen zum Datenschutz erreichst du uns unter info@keteso.com.
§ 3 Allgemeines zur Datenverarbeitung, Rechtsgrundlagen, Speicherdauer
(1) Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist oder du eingewilligt hast.
(2) Rechtsgrundlagen sind insbesondere:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung),
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag oder vorvertragliche Maßnahmen),
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung),
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
(3) Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung darüber hinaus erfolgt, soweit dies durch gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtlich, in der Regel 6 bzw. 10 Jahre gemäß § 257 HGB, § 147 AO) vorgesehen ist.
§ 4 Bereitstellung der Website und Hosting
(1) Unsere Website wird bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA („Vercel“) gehostet. Die Auslieferung erfolgt über ein weltweites Server-Netzwerk (CDN), bei Aufrufen aus Europa in der Regel über Server in der EU. Eine Verarbeitung in den USA kann nicht ausgeschlossen werden. Wir haben mit Vercel einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen; die Übermittlung in die USA stützt sich auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework, dem Vercel angehört, sowie ergänzend auf Standardvertragsklauseln.
(2) Beim Aufruf der Website verarbeitet Vercel technisch notwendige Server-Logdaten (IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Browser- und Betriebssysteminformationen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb der Website.
(3) Zur Veranschaulichung unserer Leistung zeigen wir auf der Startseite beispielhaft den Namen deiner ungefähren Stadt an. Dafür lesen wir ausschließlich die von der Hosting-Infrastruktur aus deiner IP-Adresse abgeleitete Stadtangabe aus; die Stadtangabe wird nicht gespeichert und nicht an Dritte weitergegeben. Die IP-Adresse selbst speichern wir dabei nicht; ihre kurzzeitige Verarbeitung zum Schutz vor Missbrauch richtet sich nach Absatz 4. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Veranschaulichung unseres Angebots).
(4) Zum Schutz unserer Formulare und Bestellstrecke vor Missbrauch und Überlastung begrenzen wir die Zahl der Anfragen pro IP-Adresse (Rate-Limiting). Dazu wird deine IP-Adresse für einen kurzen Zeitraum (wenige Minuten) in einem Zwischenspeicher der Upstash, Inc. verarbeitet; die Speicherung erfolgt auf Servern in der EU. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Abwehr missbräuchlicher Zugriffe).
§ 5 Cookies und Einwilligungsverwaltung (Consent)
(1) Auf unserer Website setzen wir Cookies und vergleichbare Technologien (z. B. Local Storage) nur ein, soweit sie technisch erforderlich sind. Cookies sind kleine Textdateien, die auf deinem Endgerät gespeichert werden.
(2) Technisch notwendige Cookies sind erforderlich, damit die Website grundlegend funktioniert. Rechtsgrundlage für die Speicherung und den Zugriff auf diese Informationen ist § 25 Abs. 2 Nr. 2 TDDDG; die anschließende Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO.
(3) Nicht notwendige Cookies und Technologien (insbesondere für Statistik und Marketing) setzen wir nur ein, wenn du zuvor aktiv eingewilligt hast. Rechtsgrundlage für die Speicherung und den Zugriff ist § 25 Abs. 1 TDDDG, für die anschließende Verarbeitung Art. 6 Abs. 1 lit. a DSGVO. Deine Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar.
(4) Derzeit setzen wir auf dieser Website keine nicht notwendigen Cookies und keine Statistik- oder Marketing-Dienste ein; ein Consent-Banner ist deshalb nicht erforderlich. Sollten künftig solche Dienste hinzukommen, holen wir vorab deine Einwilligung ein und ergänzen diese Datenschutzerklärung.
§ 6 Kontaktaufnahme per Kontaktformular und E-Mail
(1) Wenn du uns über ein Kontaktformular oder per E-Mail kontaktierst, verarbeiten wir die von dir mitgeteilten Daten (insbesondere Name, Unternehmen, E-Mail-Adresse, Telefonnummer und den Inhalt deiner Nachricht), um deine Anfrage zu bearbeiten.
(2) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf den Abschluss oder die Durchführung eines Vertrages gerichtet ist, im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
(3) Die Daten werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(4) Für den technischen Versand der Nachrichten aus unseren Formularen (Kontakt und Kompakt-Check) nutzen wir den Dienst Brevo der Brevo GmbH, Köln. Übermittelt werden die von dir eingegebenen Angaben (Betrieb, Ort bzw. PLZ, Kontaktdaten, bei Kompakt-Check zusätzlich Gewerk und Website-Adresse). Die Nachricht wird uns per E-Mail zugestellt; eine darüber hinausgehende Speicherung bei Brevo zu eigenen Zwecken findet nicht statt. Mit Brevo besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
§ 7 Verarbeitung im Rahmen der Vertragsanbahnung und -durchführung
(1) Zur Anbahnung, zum Abschluss und zur Abwicklung von Verträgen verarbeiten wir die Stammdaten des Kunden und seiner Ansprechpartner (z. B. Name, Funktion, Firmierung, Anschrift, Kontaktdaten), Vertragsdaten sowie Zahlungs- und Abrechnungsdaten.
(2) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag), für die Abwicklung von Zahlungen und die Erfüllung steuer- und handelsrechtlicher Pflichten zusätzlich Art. 6 Abs. 1 lit. c DSGVO.
(3) Die Daten werden für die Dauer der Geschäftsbeziehung und darüber hinaus im Rahmen der gesetzlichen Aufbewahrungsfristen gespeichert.
(4) Für den Kauf des Prüfberichts über unsere Website nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland („Stripe“). Die Zahlungsdaten (z. B. Kartendaten oder Bankverbindung) gibst du direkt auf der Bezahlseite von Stripe ein; sie werden von Stripe eigenverantwortlich verarbeitet und erreichen uns nicht vollständig. Wir übermitteln bzw. erheben im Bestellvorgang: Firmenname, Ort, Rechnungsadresse, E-Mail-Adresse und, sofern angegeben, deine Umsatzsteuer-Identifikationsnummer; Stripe erstellt in unserem Auftrag die Rechnung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Eine Übermittlung an die Stripe, Inc. in den USA ist möglich; sie stützt sich auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework sowie Standardvertragsklauseln.
§ 8 Bezug zum Google-Unternehmensprofil und zu Plattformdiensten
(1) Gegenstand unserer Leistung ist unter anderem die Einrichtung, Pflege und Optimierung des Google-Unternehmensprofils (Google Business Profile) unserer Kunden sowie die Sichtbarkeit in Such- und Kartendiensten.
(2) Im Rahmen dieser Leistung verarbeiten wir personenbezogene Daten, die innerhalb des Google-Unternehmensprofils des Kunden anfallen, insbesondere den Inhalt eingehender Bewertungen und Fragen sowie die darin genannten Daten von Profilbesuchern und Bewertenden. Diese Verarbeitung erfolgt im Auftrag des Kunden; Verantwortlicher ist insoweit der Kunde (siehe § 1 Abs. 3 und § 12).
(3) Betreiber des Google-Unternehmensprofils und der zugehörigen Dienste ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google ist hinsichtlich der plattformseitigen Datenverarbeitung ein eigenständiger Empfänger und insoweit eigenverantwortlich; auf diese Verarbeitung haben wir nur eingeschränkten Einfluss. Es gelten ergänzend die Datenschutzbestimmungen von Google (policies.google.com/privacy). Soweit Google personenbezogene Daten in Drittländer (insbesondere die USA) übermittelt, stützt Google dies nach eigenen Angaben auf geeignete Garantien (u. a. EU-Standardvertragsklauseln, gegebenenfalls einen Angemessenheitsbeschluss bzw. das EU-US Data Privacy Framework). Dieser plattformseitige Drittlandbezug betrifft die eigenständige Verarbeitung durch Google und ist von unserer eigenen Auftragsverarbeitung mit Datenbelegenheit in der EU (siehe § 4 und § 10) zu unterscheiden.
(4) Versand von Bewertungsanfragen. Wir stellen unseren Kunden ein Werkzeug nebst Vorlagen bereit, mit dem der Kunde seine eigenen Kunden um eine Bewertung bitten kann. Die Auswahl der Empfänger und der Versand erfolgen ausschließlich durch den Kunden selbst und in dessen eigener Verantwortung. Für diese Verarbeitung ist der jeweilige Kunde (der Betrieb) eigenständig Verantwortlicher; powerhandwerk ist insoweit nicht Verantwortlicher und nicht Auftragsverarbeiter.
§ 9 Einsatz von Künstlicher Intelligenz (KI) und Transparenzhinweis
(1) Transparenzhinweis. Zur Erbringung unserer Leistungen setzen wir teilweise Systeme der Künstlichen Intelligenz ein, insbesondere zur Erstellung und Vorbereitung von Texten (z. B. Entwürfe für Beiträge, Vorschläge für Antworten auf Bewertungen, Vorlagen für Bewertungsanfragen) und zur Auswertung der Sichtbarkeit in KI-gestützten Diensten. Diese KI-Verarbeitung findet innerhalb der von uns kontrollierten Cloud-Infrastruktur bei AWS statt (Amazon Bedrock; Datenhaltung in der Region eu-central-1, Frankfurt; KI-Inferenz über EU-Inferenzprofile ausschließlich in EU-Regionen).
(2) Über das KI-System werden keine automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung gegenüber betroffenen Personen im Sinne des Art. 22 DSGVO getroffen.
(3) Menschliche Letztverantwortung und Veröffentlichung. KI-gestützt erstellte Entwürfe (insbesondere Beiträge, Q&A-Einträge und Vorschläge für Antworten auf Bewertungen) werden vor jeder Veröffentlichung durch einen Menschen redaktionell geprüft, gegebenenfalls überarbeitet und erst nach Freigabe als eigene Äußerung des jeweiligen Betriebs im Google-Unternehmensprofil veröffentlicht. Die redaktionelle Letztverantwortung für veröffentlichte Inhalte trägt der jeweilige Betrieb. Aufgrund dieser menschlichen Prüfung und redaktionellen Verantwortung handelt es sich nicht um ungeprüft maschinell erzeugte und veröffentlichte Inhalte.
(4) Soweit im Rahmen des KI-Einsatzes personenbezogene Daten von Endkunden des Betriebs verarbeitet werden (z. B. Inhalte von Bewertungen), erfolgt dies im Auftrag des jeweiligen Kunden auf Grundlage des Auftragsverarbeitungsvertrags; Verantwortlicher ist insoweit der Kunde, und die Information der betroffenen Personen nach Art. 13/14 DSGVO erfolgt über den Kunden bzw. dessen Datenschutzerklärung. Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union statt (Datenhaltung AWS, Region eu-central-1, Frankfurt; KI-Inferenz über EU-Inferenzprofile in EU-Regionen); ein gezielter Drittlandtransfer findet im Standardbetrieb nicht statt. Eine Nutzung der Daten zum eigenständigen Training allgemeiner KI-Modelle durch uns erfolgt nicht.
(5) Diese Transparenzangabe berücksichtigt die Anforderungen der Verordnung (EU) 2024/1689 (KI-Verordnung, AI Act). Die Transparenz- und Kennzeichnungspflichten des Art. 50 dieser Verordnung gelten ab dem 02.08.2026.
§ 10 Empfänger und Weitergabe von Daten
(1) Eine Weitergabe deiner personenbezogenen Daten an Dritte erfolgt nur, soweit dies gesetzlich zulässig ist oder du eingewilligt hast.
(2) Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein, insbesondere für das Hosting der Website (Vercel Inc., siehe § 4), den technischen E-Mail-Versand aus unseren Formularen (Brevo GmbH, siehe § 6) und den Zwischenspeicher für das Rate-Limiting (Upstash, Inc., siehe § 4). Für die Zahlungsabwicklung beim Kauf des Prüfberichts nutzen wir die Stripe Payments Europe, Ltd. (siehe § 7), die die Zahlungsdaten teilweise eigenverantwortlich verarbeitet. Mit diesen Auftragsverarbeitern bestehen Verträge, die ein dem gesetzlichen Standard entsprechendes Datenschutzniveau sicherstellen.
(3) Eigenständige Empfänger. Soweit Gegenstand unserer Leistung die Pflege des Google-Unternehmensprofils ist, ist die Google Ireland Limited (siehe § 8) hinsichtlich der plattformseitigen Verarbeitung ein eigenständiger Empfänger und insoweit eigenverantwortlich; sie ist kein Auftragsverarbeiter von uns. Der dabei plattformseitig durch Google erfolgende Drittlandbezug (insbesondere USA) richtet sich nach den von Google angegebenen Garantien (siehe § 8 Abs. 3).
(4) Eigene Verarbeitung mit Datenbelegenheit in der EU. Unsere Auftragsverarbeitung personenbezogener Daten für unsere Kunden im Rahmen der laufenden Leistungserbringung erfolgt im Standardbetrieb ausschließlich innerhalb der Europäischen Union: Die Datenhaltung ist auf die Region eu-central-1 (Frankfurt am Main) beschränkt (Amazon Web Services sowie Supabase, dessen Projekt-Region auf AWS-Infrastruktur in Frankfurt betrieben wird); die serverseitige Verarbeitung durch Vercel erfolgt bevorzugt in der EU-Region (Frankfurt); die KI-Inferenz über Amazon Bedrock erfolgt unter Verwendung von EU-Inferenzprofilen ausschließlich in EU-Regionen. Ein gezielter Transfer personenbezogener Daten in ein Drittland findet im Standardbetrieb nicht statt. Soweit Anbieter ihren Sitz in einem Drittland haben (Supabase, Inc.: Singapur; Vercel Inc.: USA), ist ein etwaiger Zugriff durch geeignete Garantien nach Art. 44 ff. DSGVO abgesichert (EU-Standardvertragsklauseln, bei Vercel zusätzlich die Zertifizierung nach dem EU-US Data Privacy Framework). Sollte produktiv ausnahmsweise eine Verarbeitung außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums hinzukommen, erfolgt diese nur auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) oder eines Angemessenheitsbeschlusses; diese Datenschutzerklärung wird dann entsprechend ergänzt. Diese Angaben beziehen sich auf unsere eigene Verarbeitung im Rahmen der Leistungserbringung und nicht auf die eigenständige plattformseitige Verarbeitung durch Google (siehe Absatz 3 und § 8).
§ 11 Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um deine Daten gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen zu schützen. Dazu gehören insbesondere die Verschlüsselung der Datenübertragung über das Internet (TLS) sowie Zugriffs- und Berechtigungskonzepte für die eingesetzten Systeme.
§ 12 Auftragsverarbeitung
Soweit wir im Rahmen der laufenden Leistungserbringung personenbezogene Daten im Auftrag eines Kunden verarbeiten (z. B. Pflege des Google-Unternehmensprofils, Beantwortung eingehender Bewertungen), handeln wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Grundlage ist der mit dem Kunden geschlossene Auftragsverarbeitungsvertrag (Anlage 2 zu den AGB) nebst der Anlage zu den technischen und organisatorischen Maßnahmen (Anlage 2a) und der Liste der weiteren Auftragsverarbeiter (Anlage 2b); dort sind auch die von uns eingesetzten Unter-Auftragsverarbeiter (Amazon Web Services EMEA SARL, Supabase, Inc. und Vercel Inc.) mit Verarbeitungsort und Garantien aufgeführt. Verantwortlicher im Sinne der DSGVO bleibt insoweit der Kunde.
Für den Betrieb dieser Website und der Bestellstrecke setzen wir zudem die folgenden Auftragsverarbeiter nach Art. 28 DSGVO ein: die Vercel Inc. (Hosting, siehe § 4), die Brevo GmbH (E-Mail-Versand, siehe § 6) und die Upstash, Inc. (Zwischenspeicher für das Rate-Limiting, siehe § 4). Die Stripe Payments Europe, Ltd. (Zahlungsabwicklung, siehe § 7) verarbeitet die Zahlungsdaten teils eigenverantwortlich.
§ 13 Rechte der betroffenen Person
(1) Dir stehen nach der DSGVO insbesondere folgende Rechte zu:
- Recht auf Auskunft (Art. 15 DSGVO),
- Recht auf Berichtigung (Art. 16 DSGVO),
- Recht auf Löschung (Art. 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
- Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
(2) Widerspruchsrecht. Soweit wir deine personenbezogenen Daten auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO verarbeiten, hast du das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Bei Direktwerbung hast du ein jederzeitiges Widerspruchsrecht ohne Angabe von Gründen.
(3) Zur Ausübung deiner Rechte genügt eine formlose Mitteilung an info@keteso.com.
(4) Beschwerderecht. Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.
§ 14 Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand 11.07.2026. Durch die Weiterentwicklung unserer Website und unserer Angebote oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es erforderlich werden, diese Datenschutzerklärung zu ändern. Es gilt jeweils die auf der Website abrufbare aktuelle Fassung.