DSGVO · TTDSG · TKG

Datenschutzerklärung

Vollständige Information nach Art. 13/14 DSGVO über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten auf baufi.nrw — verständlich aufbereitet, juristisch korrekt.

Stand: Mai 2026Version: 2.0Geltung: baufi.nrw & Subdomains

Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sowie sonstiger nationaler Datenschutzgesetze der EU-Mitgliedsstaaten ist:

Unternehmen

VON WERDEN KG

Vertreten durch

Martin Bittscheidt

Anschrift

Heidhauser Straße 54
45239 Essen

Kontakt

0201 890 763 33
mb@vonwerden.nrw

Datenschutzbeauftragter

Aufgrund der Unternehmensgröße ist gemäß § 38 BDSG kein Datenschutzbeauftragter bestellt. Anfragen zum Datenschutz richten Sie bitte direkt an die unter Ziffer 01 genannte Adresse oder per E-Mail an mb@vonwerden.nrw.

Allgemeines & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der betroffenen Person oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

Übersicht der Rechtsgrundlagen

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung / vorvertragliche Maßnahmen
Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen
Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen
§ 25 Abs. 1 TTDSG — Einwilligung in Zugriff auf Endgeräte-Informationen
§ 25 Abs. 2 TTDSG — Unbedingt erforderlicher Zugriff (essenzielle Cookies)

Erhebung beim Besuch der Website (Server-Logs)

Beim rein informatorischen Aufruf der Website werden automatisch Informationen allgemeiner Natur erfasst, die Ihr Browser an unseren Hosting-Dienstleister übermittelt:

IP-Adresse (gekürzt / anonymisiert nach kurzer Frist)
Datum und Uhrzeit des Zugriffs
Inhalt der Anforderung (konkrete URL)
Zugriffsstatus / HTTP-Statuscode
jeweils übertragene Datenmenge
Referrer-URL
Browsertyp, -version, Betriebssystem, Spracheinstellung

Zweck: Verbindungsaufbau, Systemsicherheit, Stabilität, Missbrauchsabwehr
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Speicherdauer: Max. 14 Tage, danach Löschung bzw. Anonymisierung

Cookies & vergleichbare Technologien (§ 25 TTDSG)

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Ähnliche Technologien sind Local Storage, Session Storage oder Pixel-Tags.

5.1 Technisch notwendige Cookies (Essenziell)

Diese sind für den Betrieb der Website unbedingt erforderlich. Hierzu zählt insbesondere die Speicherung Ihrer Cookie-Auswahl im Local Storage Ihres Browsers.

Name: baufinrw-consent
Anbieter: baufi.nrw (Erstanbieter)
Zweck: Speicherung Ihrer Cookie-Einwilligung
Speicherort: Local Storage
Dauer: 12 Monate
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO

5.2 Optionale Cookies (Statistik, Marketing)

Statistik- und Marketing-Cookies werden ausschließlich gesetzt, wenn Sie über unseren Consent-Banner ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Aktuell sind keine optionalen Statistik- oder Marketing-Dienste eingebunden.

Widerrufsrecht: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — Link „Cookie-Einstellungen“ im Footer. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Kontaktaufnahme (E-Mail, Telefon, Formular)

Wenn Sie uns über das Kontaktformular, per E-Mail oder Telefon kontaktieren, werden die übermittelten Daten (Name, E-Mail-Adresse, Telefonnummer, Inhalt der Nachricht, Angaben zu Ihrem Finanzierungsvorhaben) zur Bearbeitung Ihrer Anfrage gespeichert.

Zweck: Beantwortung, Anbahnung eines Beratungsverhältnisses
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung); Art. 6 Abs. 1 lit. f DSGVO bei sonstigen Anfragen
Speicherdauer: Bis Abschluss des Anliegens; gesetzliche Aufbewahrung (§ 257 HGB, § 147 AO) bleibt unberührt

6.1 Verarbeitung beim Versand des Kontaktformulars

Nach dem Absenden werden Ihre Eingaben über unseren Server (Vercel, siehe Ziffer 08) an unser internes Kommunikations-/CRM-System weitergegeben. Die Übertragung erfolgt verschlüsselt (HTTPS/TLS) und ist mit Basic-Auth gegen Dritte abgesichert. Zusätzlich speichern wir technisch erforderliche Metadaten (IP-Adresse, User-Agent, Referrer, Zeitstempel) zur Missbrauchs- und Spam-Abwehr.

Empfänger: Internes Postfach von baufi.nrw / VON WERDEN KG
Spam-Schutz: Honeypot-Feld & serverseitige Frequenzbegrenzung (max. 5 Anfragen / Minute / IP)
Drittlandtransfer: Keiner — Empfangs-Endpunkt liegt im EWR

6.2 SMS-Signatur auf der Aktivierungsseite

Auf /aktivierung wird Ihr Auftrag rechtsverbindlich mit einem 6-stelligen SMS-Code (One-Time-Password) signiert. Der Code wird serverseitig generiert, als HMAC-signiertes HttpOnly-Cookie auf Ihrem Browser hinterlegt und parallel über unseren SMS-Versand-Dienstleister (Make.com / SmsAnbieter) an Ihre Mobilnummer gesendet. Nach erfolgreicher Eingabe wird der Code serverseitig verglichen; der Klartext-Code verlässt den Server nur einmalig per SMS.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) + Art. 6 Abs. 1 lit. f (Identitätssicherung)
Gespeicherte Daten: Mobilnummer (Klartext zur Zustellung), SHA-256-Hash des Codes, Zeitstempel, IP-Adresse, User-Agent. Cookie-Laufzeit: 5 Minuten.
Drittlandtransfer: Abhängig vom SMS-Anbieter. Soweit Drittland: Art. 46 SCC.
Speicherdauer: Cookie nach Verwendung sofort gelöscht. SMS-Versand-Logs gemäß HGB/AO (6–10 Jahre, soweit buchhalterisch relevant).

6.3 Auftragsübermittlung an Make.com

Nach abgeschlossener Signatur wird der vollständige Auftrag (Kontaktdaten, Bestätigungen, optionale Pakete, Sofortstart-Erklärung, Signatur-Metadaten) über einen Webhook an die Make GmbH (Make.com) übertragen — eine Automatisierungsplattform, die intern E-Mail-Versand, PDF-Generierung der vorvertraglichen Dokumente und CRM-Anlage steuert. Verantwortliche Stelle: Make GmbH, Pankrác 1610/127, 14000 Praha 4, Tschechische Republik (EU).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)
Auftragsverarbeitung: Mit Make.com besteht ein DPA nach Art. 28 DSGVO.
Übertragung: HTTPS/TLS, Basic Auth, 8s Timeout, strukturiertes JSON.

WhatsApp-Kommunikation

Wir bieten Kontaktaufnahme über WhatsApp an. Betreiber ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Meta Platforms). Bei Nutzung übermittelt Ihr Endgerät u. a. Telefonnummer, Profilinformationen, Nachrichteninhalte, Metadaten und ggf. Standortdaten an WhatsApp.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + lit. a DSGVO (konkludente Einwilligung durch Chat-Start)
Drittland: USA — EU-US DPF (Art. 45 DSGVO) + Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Mehr Infos: WhatsApp Datenschutzrichtlinie (EWR)

Hosting bei Vercel

Diese Website wird bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Aufruf werden technisch erforderliche Verbindungsdaten (insbesondere die IP-Adresse) an Server von Vercel übermittelt und in Server-Logs verarbeitet.

Zweck: Bereitstellung, CDN, Angriffsschutz, Verfügbarkeit
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Auftragsverarbeitung: DPA nach Art. 28 DSGVO besteht
Drittland: USA — DPF-zertifiziert (Art. 45) + SCC (Art. 46 Abs. 2 lit. c)

Schriftarten (lokal eingebunden)

Wir verwenden die Schriftarten Manrope und Inter. Diese werden über die next/font- Integration von Next.js zur Build-Zeit heruntergeladen und auf unserem Server selbst ausgeliefert.

Hinweis: Es findet keine Verbindung zu Google-Servern aus Ihrem Browser statt. Es werden keine Schriftdaten an Google übermittelt.

Empfänger / Auftragsverarbeiter

Wir geben personenbezogene Daten nur an Dritte weiter, wenn dies zur Vertragsabwicklung erforderlich ist, eine gesetzliche Pflicht besteht, Sie eingewilligt haben oder ein berechtigtes Interesse die Weitergabe rechtfertigt.

Hosting: Vercel Inc. (USA, DPF) — siehe Ziffer 08
Banken & Förderinstitute: bei konkreten Anfragen und nur nach Ihrer ausdrücklichen Beauftragung (KfW, NRW.BANK, Geschäftsbanken). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Steuerberater & Wirtschaftsprüfer: zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO)
IT-Dienstleister: z. B. E-Mail-Hoster — auf Grundlage AV-Verträge nach Art. 28 DSGVO
Aufsichts- und Strafverfolgungsbehörden: nur bei gesetzlicher Pflicht (Art. 6 Abs. 1 lit. c DSGVO)

Drittlandtransfers

Soweit personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden — insbesondere USA (Vercel, ggf. WhatsApp) — erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (EU-US Data Privacy Framework, Art. 45 DSGVO) und/oder unter Verwendung von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Ein angemessenes Datenschutzniveau ist damit sichergestellt.

Speicherdauer

Wir speichern Daten nur so lange wie nötig:

Server-Logs: max. 14 Tage
Cookie-Einwilligung: 12 Monate
Beratung ohne Vertragsschluss: bis zu 3 Jahre (§ 195 BGB)
Buchhaltungsunterlagen: 10 Jahre (§ 147 AO, § 257 HGB)
Sonstige Geschäftskorrespondenz: 6 Jahre (§ 257 HGB)

Datensicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unberechtigten Zugriff zu schützen. Insbesondere wird die Website über HTTPS (TLS) ausgeliefert; sicherheitsrelevante Header (HSTS, CSP) sind aktiviert.

Ihre Rechte als betroffene Person

Eine formlose E-Mail an mb@vonwerden.nrw genügt zur Geltendmachung der folgenden Rechte:

Auskunft (Art. 15 DSGVO) — welche Daten wir speichern
Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren
Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden“
Einschränkung (Art. 18 DSGVO) — Sperrung der Verarbeitung
Datenübertragbarkeit (Art. 20 DSGVO) — maschinenlesbarer Export
Widerspruch (Art. 21 DSGVO) — gegen Verarbeitung nach lit. e/f
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Keine automatisierte Einzelentscheidung (Art. 22 DSGVO)

14.1 Hinweis zum Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten dann nicht mehr — es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zuständige Aufsichtsbehörde

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Adresse: Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

Pflicht zur Bereitstellung der Daten

Sie sind weder vertraglich noch gesetzlich verpflichtet, uns personenbezogene Daten zur Verfügung zu stellen. Ohne bestimmte Angaben (z. B. Kontaktdaten, Eckdaten zum Finanzierungsvorhaben) ist eine konkrete Beratung jedoch nicht möglich.

Automatisierte Entscheidung / Profiling

Wir nutzen keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO. Etwaige Bonitäts- oder Kreditentscheidungen werden allein durch die jeweilige Bank getroffen — wir vermitteln lediglich und beraten Sie.

Änderung & Aktualität

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen (z. B. bei Einbindung neuer Dienste). Für Ihren erneuten Besuch gilt dann die neue Fassung.

Fragen zu Ihren Daten oder zur Beratung?

Schreiben Sie uns oder rufen Sie an — wir antworten persönlich, ohne Tracker und ohne Umwege.

Zur Startseite 0201 890 763 33 anrufen

Wird geladen …