Informationen zur Verarbeitung personenbezogener Daten
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder unsere Vermittlungsdienstleistungen in Anspruch nehmen.
Die Datenverarbeitung erfolgt durch Rainer Steinberg, Leichlinger Str. 5, 42799 Leichlingen. Kontaktdaten siehe Abschnitt 3.
Daten, die Sie uns aktiv mitteilen (z. B. Kontaktanfrage, Antrag auf Kreditvermittlung) und Daten, die automatisch beim Besuch der Website erfasst werden (z. B. Browser, Betriebssystem, Uhrzeit des Seitenaufrufs).
Für die fehlerfreie Bereitstellung der Website, zur Kontaktaufnahme, zur Anbahnung und Erfüllung von Kreditvermittlungs- und Versicherungsmaklerverträgen sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten.
Sie haben jederzeit das Recht auf unentgeltliche Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde bei einer Aufsichtsbehörde.
Anbieter: Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern (operativ: HOSTINGER operations, UAB · Svitrigailos str. 34, Vilnius 03230 Litauen).
Hostinger erfasst beim Aufruf der Website Logfiles inklusive IP-Adressen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die Verarbeitung erfolgt innerhalb der EU.
Anbieter: Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin (strato.de/datenschutz).
Strato verwaltet ausschließlich die Domain und die DNS-Einträge dieser Website. Inhaltsdaten der Website werden bei Strato nicht gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann.
Konkrete Speicherfristen nach Datenkategorie:
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Kontaktanfragen ohne Vertragsanbahnung | bis zu 6 Monate | Art. 6 Abs. 1 lit. f DSGVO |
| Antragsdaten Kreditvermittlung (Geschäftsbriefe) | 6 Jahre | § 257 Abs. 1 Nr. 2 HGB |
| Buchungsbelege, Vertragsunterlagen | 10 Jahre | § 147 Abs. 1 AO |
| Einwilligungs-Protokolle (DOI, SCHUFA) | bis zum Widerruf, danach 3 Jahre Nachweisfrist | Art. 7 Abs. 1 DSGVO |
| DOI-Token (unbestätigt) | 48 Stunden, danach Token-Invalidierung | Art. 5 Abs. 1 lit. e DSGVO |
| Server-Logfiles | 7 Tage (anonymisiert) | Art. 6 Abs. 1 lit. f DSGVO |
Wir geben personenbezogene Daten nur dann an externe Stellen weiter, wenn dies zur Vertragserfüllung erforderlich ist (insbesondere an Banken, Sparkassen, Versicherer im Rahmen der Kreditvermittlung — siehe Abschnitt 7), wir gesetzlich hierzu verpflichtet sind oder ein berechtigtes Interesse besteht.
Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt unberührt.
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Zuständige Behörde für unseren Sitz: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2-4, 40213 Düsseldorf.
Sie haben das Recht, Ihre Daten in maschinenlesbarem Format zu erhalten, sowie Auskunft über die gespeicherten Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen. Setzen Sie sich hierzu jederzeit unter den oben genannten Kontaktdaten mit uns in Verbindung.
Diese Seite nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://“ in der Adresszeile und am Schloss-Symbol in Ihrem Browser. Personenbezogene Daten (Name, Anschrift, E-Mail, Telefon, IBAN) werden zusätzlich in der Datenbank mit AES-256-GCM symmetrisch verschlüsselt gespeichert. Antragsdaten (Einkommen, Vermögen, Verbindlichkeiten) werden ebenfalls AES-256-GCM verschlüsselt. Für Suchspalten (z. B. E-Mail-Login) verwenden wir HMAC-SHA256-Hashes — reversible Datenextraktion ist daraus nicht möglich.
Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen.
Auf unserer Website werden ausschließlich technisch notwendige Cookies gesetzt, die für den Betrieb der Website erforderlich sind (z. B. Session-Verwaltung, Login-Status). Eine Einwilligung ist hierfür nach § 25 Abs. 2 TTDSG nicht erforderlich.
Es werden keine Tracking-, Analyse- oder Marketing-Cookies gesetzt. Wir nutzen kein externes Webanalyse-Tool (Google Analytics, Matomo o. Ä.).
Sie können Ihren Browser so einstellen, dass Cookies nur im Einzelfall erlaubt oder generell ausgeschlossen werden. Die Funktionalität dieser Website kann eingeschränkt sein, wenn Sie Cookies deaktivieren.
Beim Aufruf unserer Seiten erfasst der Provider automatisch Informationen in sogenannten Server-Logfiles: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage, IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Zur Abwehr automatisierter Anmeldeversuche auf den Login-Bereich speichern wir bei fehlgeschlagenen Anmeldungen die IP-Adresse, den verwendeten Benutzernamen sowie einen Sperrstatus für bis zu 24 Stunden in unserer Datenbank. Die Daten werden ausschließlich serverseitig verarbeitet, nicht an Dritte übermittelt und nach Ablauf der Sperrfrist automatisch gelöscht.
Eingesetztes Werkzeug: Limit Login Attempts Reloaded – lokal auf unserem Server betrieben, ohne Anbindung an einen externen Cloud-Dienst.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unseres IT-Systems).
Wenn Sie uns über ein Kontakt- oder Antragsformular Anfragen zukommen lassen, werden Ihre Angaben inklusive der Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Speicherdauer siehe Tabelle in Abschnitt 3.
Wenn Sie uns per E-Mail, Telefon oder Telefax kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
Diese Website nutzt das Analysetool WP Statistics zur statistischen Auswertung von Besucherzugriffen. Plugin-Anbieter ist Veronalabs, Tatari 64, 10134 Tallinn, Estland (veronalabs.com).
Wichtig: Die erhobenen Daten werden ausschließlich auf unserem eigenen Server gespeichert — es findet keine Übertragung an Veronalabs oder Dritte statt.
Wir betreiben WP Statistics mit folgenden datenschutzfreundlichen Einstellungen:
Erfasst werden: Anzahl Seitenaufrufe, Verweildauer, Browser-Typ, Referrer (woher der Besucher kam). Die Daten werden nach 365 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer pseudonymen Reichweitenmessung).
Zur Bearbeitung und Ablage Ihrer Vorgangsunterlagen nutzen wir je nach Zweck und Sensibilität der Daten unterschiedliche Cloud-Speicher und eigene Server. In allen Fällen besteht ein angemessenes Schutzniveau und (soweit anwendbar) ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland.
Datenverarbeitung erfolgt überwiegend innerhalb der EU. Für etwaige Übermittlungen in die USA besteht eine Zertifizierung nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Mit Microsoft besteht ein AVV gem. Art. 28 DSGVO über das „Microsoft Products and Services Data Protection Addendum“ (DPA). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Weitere Informationen: dataprivacyframework.gov
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Für etwaige Übermittlungen in die USA besteht ebenfalls eine Zertifizierung nach dem EU-US Data Privacy Framework. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Weitere Informationen: dataprivacyframework.gov
Für besonders sensible Dokumente nutzen wir eine Nextcloud-Instanz, DSGVO-konform innerhalb der Europäischen Union gehostet. Es findet keine Weitergabe an Dritte statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Im Rahmen unserer Tätigkeit als Vermittler übermitteln wir Ihre personenbezogenen Daten an folgende Empfänger. Rechtsgrundlage ist jeweils Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung) sowie für die SCHUFA-Abfrage zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Anbieter: Europace AG, Klosterstraße 71, 10179 Berlin (europace.de).
Wir nutzen die Plattform „KreditSmart“ von Europace zur Übermittlung Ihrer Anfrage und der dazugehörigen Unterlagen an angeschlossene Banken und Sparkassen. Mit Europace besteht ein AVV nach Art. 28 DSGVO. Die Datenverarbeitung erfolgt innerhalb der EU.
Anbieter: SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden (schufa.de/datenschutz).
Im Rahmen der Kreditvermittlung erfolgt eine Bonitätsabfrage durch das jeweils anbietende Kreditinstitut bei der SCHUFA. Voraussetzung ist Ihre ausdrückliche Einwilligung im Antragsformular (separate Checkbox). Die Einwilligung können Sie jederzeit für die Zukunft widerrufen; ein Widerruf wirkt sich nicht auf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung aus. Detailinformationen zur SCHUFA-Verarbeitung: schufa.de/datenschutz.
Im Rahmen der Vermittlung übermitteln wir Ihre Daten an die jeweils ausgewählten Produktpartner (Banken, Sparkassen, Versicherer, Bausparkassen). Eine aktuelle Liste der Produktpartner stellen wir Ihnen auf Anfrage zur Verfügung. Verarbeitung erfolgt überwiegend innerhalb der EU.
Für den Versand geschäftlicher E-Mails (insbesondere Bestätigungs-, Einwilligungs- und Vertragsunterlagen-Mails wie z. B. die Double-Opt-In-Bestätigung) nutzen wir die Microsoft Graph API als Teil unserer Microsoft 365 Business-Lizenz.
Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Mit Microsoft besteht ein AVV gem. Art. 28 DSGVO (Microsoft Products and Services DPA). Datenstandort EU; Zertifizierung nach EU-US Data Privacy Framework für etwaige US-Übermittlungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung). Speicherdauer der versendeten Mails siehe Abschnitt 3.