Rechtliches

Datenschutzerklärung

Gemäß Art. 13, 14 DSGVO — Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Theumert Consulting GmbH

Handelnd unter der Marke IRON MONKS

Landwehrstr. 48

80336 München

E-Mail: hello@iron-monks.de

Website: https://iron-monks.de

2. Datenschutzbeauftragter

Wir sind gemäß Art. 37 DSGVO nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

3. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies durch einen der folgenden Rechtsgründe gedeckt ist:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen des Verantwortlichen

4. Hosting und technische Infrastruktur

Hetzner Online GmbH

Diese Website wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Hetzner ist nach Art. 28 DSGVO Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist abgeschlossen.

Der Serverstandort befindet sich in Deutschland (EU). Eine Übertragung von Daten in Drittländer außerhalb der EU/des EWR findet durch Hetzner nicht statt.

Verarbeitete Daten: IP-Adresse, aufgerufene URL, Zeitstempel, HTTP-Status-Code, übertragene Datenmenge, Referrer-URL, Browser- und Betriebssystem-Informationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und fehlerfreiem Betrieb).

Server-Logfiles

Der Webserver (Caddy) protokolliert automatisch Zugriffe auf die Website. Diese Logdaten werden ausschließlich zur Fehleranalyse, Sicherheitsüberwachung und Betriebssicherheit verwendet. Eine Zusammenführung mit anderen Datenquellen oder eine Nutzung zur Identifikation einzelner Personen findet nicht statt.

Speicherdauer: Logfiles werden nach spätestens 30 Tagen automatisch gelöscht.

5. Verschlüsselung der Datenübertragung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine TLS-Verschlüsselung (HTTPS). Das Zertifikat wird automatisch über Let's Encrypt bezogen. Die Verbindung ist erkennbar an dem Schlosssymbol in der Adresszeile Ihres Browsers sowie dem Protokollpräfix https://. Beim Aufruf von HTTP-URLs erfolgt eine automatische Weiterleitung auf HTTPS.

6. Kontaktformular

Über das Kontaktformular auf unserer Website können Sie uns eine Anfrage für ein unverbindliches Erstgespräch zukommen lassen.

Erhobene Daten: Name (Pflichtfeld), E-Mail-Adresse (Pflichtfeld), Unternehmensname (freiwillig), Interessensgebiet (freiwillig), Nachrichtentext (freiwillig).

Die übermittelten Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage und für eine etwaige Anschlusskommunikation verwendet. Eine Weitergabe an Dritte findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: Anfragedaten werden nach abgeschlossener Bearbeitung und Ablauf steuerlicher Aufbewahrungsfristen (max. 10 Jahre) gelöscht.

7. Nutzerportal und Authentifizierung

Für den Zugang zum geschlossenen Nutzerportal (unter /portal) ist eine Registrierung und Anmeldung erforderlich.

Supabase (Authentifizierungsdienst)

Wir nutzen für die Authentifizierung und Datenhaltung im Portal den Dienst Supabase (Supabase Inc., 970 Trestle Glen Rd, Oakland, CA 94610, USA). Supabase ist nach Art. 28 DSGVO als Auftragsverarbeiter tätig. Ein Auftragsverarbeitungsvertrag liegt vor. Der Datenbankserver ist in der Region EU (Frankfurt, Deutschland) gehostet, sodass eine Datenübertragung in Drittländer ausgeschlossen ist.

Verarbeitete Daten: E-Mail-Adresse, verschlüsseltes Passwort (Hash, nie im Klartext), Benutzerprofil-Daten (Name, Rolle), Assessment-Ergebnisse und Sitzungsdaten.

Cookies: Bei der Anmeldung setzt Supabase technisch notwendige Session-Cookies (sb-access-token, sb-refresh-token). Diese Cookies sind für den Betrieb des Portals zwingend erforderlich und bedürfen keiner Einwilligung gemäß § 25 Abs. 2 TTDSG.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Portals).

Session-Verwaltung

Die Authentifizierung erfolgt über serverseitige Session-Cookies, die über Next.js Middleware bei jedem Request geprüft werden. Nicht eingeloggte Nutzer werden automatisch auf die Login-Seite umgeleitet. Passwörter werden ausschließlich als kryptografische Hashwerte gespeichert.

8. Content Management System (Payload CMS)

Zur Verwaltung von Website-Inhalten (Team-Profile, Angebote) nutzen wir Payload CMS v3. Payload CMS läuft ausschließlich auf unserem eigenen Server (Hetzner, Deutschland) und speichert alle Daten in einer lokalen PostgreSQL-Datenbank. Es findet keinerlei Datenübertragung an externe CMS-Dienste oder Cloud-Anbieter statt.

Der Zugang zum CMS-Admin-Bereich (/admin) ist ausschließlich für berechtigte Mitarbeitende der Theumert Consulting GmbH bestimmt. Es werden keine personenbezogenen Daten von Website-Besuchern im CMS gespeichert.

9. Dienste, die wir ausdrücklich nicht einsetzen

Im Sinne der Datensparsamkeit und des Privacy-by-Design-Prinzips verzichten wir bewusst auf folgende Technologien:

  • Web-Analytics — kein Google Analytics, kein Matomo, kein Plausible oder vergleichbare Trackingdienste
  • Werbe- und Tracking-Pixel — kein Facebook Pixel, kein LinkedIn Insight Tag, keine Retargeting-Dienste
  • Externe Schriftarten — keine Google Fonts oder andere externe Font-CDNs; alle Schriften sind lokal eingebunden
  • Externe Ressourcen via CDN — keine jQuery-CDNs, kein Bootstrap-CDN, keine externen JavaScript-Bibliotheken
  • Social-Media-Plugins — keine eingebetteten Share-Buttons oder Social-Media-Widgets mit Tracking-Funktion
  • Chatbots / Live-Chat-Dienste — keine Intercom, Drift, Crisp oder vergleichbaren Dienste

10. Cookies

Diese Website setzt ausschließlich technisch notwendige Cookies ein, die für den Betrieb des Portals erforderlich sind. Cookies, die Einwilligung erfordern, werden nicht eingesetzt.

NameZweckDauerAnbieter
sb-access-tokenPortal-Authentifizierung (Session)1 StundeSupabase
sb-refresh-tokenPortal-Session-Erneuerung60 TageSupabase
payload-tokenCMS-Admin-AuthentifizierungSessionPayload CMS (lokal)

Alle Cookies sind als HttpOnly und Secure markiert und können nicht per JavaScript ausgelesen werden. Sie sind ausschließlich notwendig zur Funktionserbringung und bedürfen keiner Cookie-Einwilligung gemäß § 25 Abs. 2 Nr. 2 TTDSG.

11. Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine darüberhinausgehende Speicherung erfolgt nur, soweit gesetzliche Aufbewahrungspflichten bestehen:

  • Server-Logfiles: max. 30 Tage
  • Kontaktanfragen: nach abgeschlossener Bearbeitung, max. 10 Jahre (steuerliche Aufbewahrungspflicht)
  • Portal-Konten: bis zur Löschung durch den Nutzer oder Kündigung
  • Assessment-Ergebnisse: bis zur Konto-Löschung oder auf Anfrage

12. Technische und organisatorische Schutzmaßnahmen

Wir treffen nach Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • TLS 1.2/1.3-Verschlüsselung aller Verbindungen (HTTPS)
  • HTTP Strict Transport Security (HSTS) für alle Domains
  • Sicherheitsheader (X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
  • Passwörter werden ausschließlich als kryptografische Hashwerte (bcrypt) gespeichert
  • JWT-Token mit definierten Ablaufzeiten
  • Server-Zugang ausschließlich via SSH (Public-Key-Authentifizierung)
  • Firewall (UFW) mit Whitelist-Regeln
  • Regelmäßige Sicherheitsupdates des Betriebssystems
  • Umgebungsvariablen für sensible Konfiguration (kein Hardcoding)
  • Getrennte Datenbanken für CMS-Inhalte (lokal) und Portal-Daten (Supabase)

13. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte gegenüber uns in Bezug auf die Sie betreffenden personenbezogenen Daten:

AuskunftsrechtArt. 15 DSGVO

Recht auf Auskunft über gespeicherte Daten

BerichtigungsrechtArt. 16 DSGVO

Recht auf Korrektur unrichtiger Daten

Recht auf LöschungArt. 17 DSGVO

Recht auf Löschung ("Recht auf Vergessenwerden")

EinschränkungArt. 18 DSGVO

Recht auf Einschränkung der Verarbeitung

DatenübertragbarkeitArt. 20 DSGVO

Recht auf Herausgabe in maschinenlesbarem Format

WiderspruchsrechtArt. 21 DSGVO

Recht auf Widerspruch gegen die Verarbeitung

WiderrufArt. 7 Abs. 3 DSGVO

Widerruf erteilter Einwilligungen jederzeit

BeschwerdeArt. 77 DSGVO

Recht auf Beschwerde bei einer Aufsichtsbehörde

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@iron-monks.de

14. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für die Theumert Consulting GmbH mit Sitz in München ist dies:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18

91522 Ansbach

Website: www.lda.bayern.de

15. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist jederzeit unter https://iron-monks.de/datenschutz abrufbar.

→ Impressum→ AGB← Zurück zur Startseite