WerDerRaum

Datenschutzerklärung

Stand: Mai 2026

1. Einleitung

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir auf dieser Website verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage. Sie gilt ausschließlich für diese Website unter test.werderraum.de.

Maßgeblich sind die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

2. Verantwortlicher

Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist:

Yest Agentur GbR vertreten durch Marco Weimar & Tobias Meier
Werderstraße 87
74074 Heilbronn
DE
E-Mail: info@werderraum.de
Website: test.werderraum.de

3. Begriffsbestimmungen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO).

Verarbeitung ist jeder Umgang mit solchen Daten — Erheben, Speichern, Verändern, Übermitteln, Löschen.

Einwilligung ist Ihre freiwillige, informierte Zustimmung zu einer bestimmten Datenverarbeitung. Sie ist jederzeit widerrufbar.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre Daten ausschließlich auf folgenden Grundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z.B. Newsletter, anonymisierte Statistiken)
  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags (z.B. Buchungen, Tickets)
  • Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Verpflichtung (z.B. Aufbewahrung von Rechnungen)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (z.B. Sicherheit der Website)

5. Hosting & Infrastruktur

Diese Website wird von Vercel Inc. gehostet (440 N Barranca Ave #4133, Covina, CA 91723, USA). Vercel verarbeitet zur Auslieferung der Website technisch notwendige Daten (IP-Adresse, Zeitstempel, User-Agent, aufgerufene Ressource) in Server-Logs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer und stabiler Betrieb der Website).

Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung: vercel.com/legal/privacy-policy

6. Datenbank

Anwendungsdaten (Buchungen, Tickets, Kontaktanfragen, Newsletter-Einwilligungen, anonymisierte Statistiken) werden in einer bei Supabase Inc. (970 Toa Payoh North #07-04, Singapur 318992) betriebenen PostgreSQL-Datenbank gespeichert. Server-Standort: EU (Frankfurt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Auftragsverarbeitungsvertrag (AVV) liegt vor.

Datenschutzerklärung: supabase.com/privacy

7. Server-Logs

Beim Aufruf der Website werden vom Hosting-Provider automatisch technische Informationen erfasst: IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode, User-Agent (Browser/OS), Referrer.

Diese Daten dienen ausschließlich der technischen Bereitstellung, der Fehleranalyse und der Abwehr von Angriffen. Sie werden nach 30 Tagen automatisch gelöscht und nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Cookies & lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies sowie auf Basis Ihrer Einwilligung ein eigenes anonymisiertes Statistik-System (siehe Abschnitt 9). Wir nutzen keine Drittanbieter-Tracking-Cookies, kein Google Analytics, keinen Tag Manager und kein Marketing-Pixel.

8.1 Notwendige Cookies (immer aktiv)

  • Consent-Cookie (…-consent-choice): speichert Ihre Cookie-Auswahl. Laufzeit: 1 Jahr.
  • CSRF-Schutz (_yest_csrf_token): verhindert Cross-Site-Request-Forgery-Angriffe. Laufzeit: Session.
  • Login-Session (nur Admin-Bereich): Authentifizierung über Supabase. Laufzeit: bis zum Logout.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich).

8.2 Lokale Speicherung (localStorage)

Im Browser-localStorage speichern wir Ihre Cookie-Auswahl mit Zeitstempel (…-cookie-consent), damit wir Ihren Widerruf nachweisen können. Diese Daten bleiben ausschließlich in Ihrem Browser und werden nicht an uns übermittelt.

8.3 Widerruf

Sie können Ihre Cookie-Auswahl jederzeit über den Link „Cookie-Einstellungen" im Footer der Website ändern.

9. Anonymisierte Statistiken (eigenes System)

Sofern Sie im Cookie-Banner einwilligen, erfassen wir mit einem von uns selbst entwickelten Statistik-System anonymisierte Nutzungsdaten. Die Auswertung dient ausschließlich der Verbesserung der Website. Es findet keine Übermittlung an Dritte statt, es werden keine Tracking-Cookies gesetzt, und Sie werden nicht über mehrere Websites hinweg verfolgt.

9.1 Was wird erfasst?

  • aufgerufener Seitenpfad und Seitentitel
  • Datum und Uhrzeit (Stundengenauigkeit)
  • Verweis-Quelle (Referrer-Domain, falls extern), UTM-Kampagnenparameter
  • Geräteklasse (Desktop/Mobile/Tablet), Browser, Betriebssystem, Bildschirmgröße
  • Land (über Geo-Lookup auf Edge-Ebene)
  • Custom Events (z.B. „booking_completed", Buchungsschritte)

9.2 Was wird nicht erfasst?

  • keine IP-Adresse (siehe 9.3)
  • kein Browser-Fingerprinting
  • keine Tracking-Cookies
  • kein websiteübergreifendes Tracking
  • keine Profilbildung

9.3 Wie funktioniert die Anonymisierung?

Um wiederkehrende Besuche von neuen Besuchen zu unterscheiden, bilden wir aus IP-Adresse, User-Agent und einem geheimen Server-Salt einen kryptographischen SHA-256-Hash, der zusätzlich täglich rotiert. Die IP-Adresse wird zu keinem Zeitpunkt gespeichert, ausschließlich der gekürzte Hash. Nach Tageswechsel ist eine Wiedererkennung technisch ausgeschlossen.

9.4 Speicherdauer

Aggregierte Statistikdaten werden für maximal 12 Monate gespeichert und anschließend gelöscht.

9.5 Rechtsgrundlage und Widerruf

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TDDDG. Ihre Einwilligung können Sie jederzeit über die „Cookie-Einstellungen" im Footer widerrufen. Wir respektieren außerdem die Browser-Signale „Do Not Track" (DNT) und „Global Privacy Control" (GPC) — auch nach Einwilligung wird in diesem Fall nicht erfasst.

10. Buchungen & Tickets

Bei einer Buchung oder einem Ticketkauf verarbeiten wir die zur Vertragserfüllung erforderlichen Daten: Name, E-Mail-Adresse, Telefonnummer (optional), Rechnungs-/Lieferadresse (sofern relevant), Buchungsdaten und Zahlungsinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Aufbewahrung gemäß handels- und steuerrechtlichen Pflichten (§ 257 HGB, § 147 AO) bis zu 10 Jahre.

11. Zahlungsabwicklung (Stripe)

Online-Zahlungen werden über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) abgewickelt. Sie geben Ihre Zahlungsdaten direkt bei Stripe ein; wir erhalten nur eine Transaktions-ID und den Zahlungsstatus, keine vollständigen Karten- oder Kontodaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe nutzt eigene Cookies — diese werden ausschließlich auf Stripe-Domains gesetzt, nicht auf dieser Website.

Datenschutzerklärung: stripe.com/de/privacy

12. E-Mail-Versand (Resend)

Transaktions-E-Mails (Buchungsbestätigungen, Rechnungen, Newsletter) werden über den Dienstleister Resend (Reservoir Labs Inc.), 2261 Market Street #4667, San Francisco, CA 94114, USA, versendet. Resend verarbeitet hierfür die Empfänger-E-Mail-Adresse, den Inhalt der Nachricht sowie technische Zustellinformationen.

Resend ist unter dem EU-US Data Privacy Framework zertifiziert. Auftragsverarbeitungsvertrag liegt vor.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und a DSGVO. Datenschutzerklärung: resend.com/legal/privacy-policy

13. Kontaktformular & E-Mail-Anfragen

Wenn Sie uns über das Kontaktformular oder per E-Mail erreichen, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, ggf. Telefonnummer, Inhalt der Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (effektive Bearbeitung von Anfragen). Speicherung bis zum Abschluss der Anfrage, danach Löschung — soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

14. Newsletter

Falls Sie unseren Newsletter abonnieren, verwenden wir Ihre E-Mail-Adresse ausschließlich zum Versand des Newsletters. Die Anmeldung erfolgt über das Double-Opt-In-Verfahren: Wir senden Ihnen eine Bestätigungs-E-Mail, mit der Sie die Anmeldung verifizieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können den Newsletter jederzeit über den Abmelde-Link in jeder E-Mail oder per Nachricht an info@werderraum.de abbestellen.

15. Schriftarten

Wir nutzen die Schriftarten „Oswald" und „Inter". Diese werden selbst gehostet über das Next.js-Font-System ausgeliefert. Es findet kein Verbindungsaufbau zu Google-Servern statt, Ihre IP-Adresse wird nicht an Dritte übertragen.

16. Externe Links (Social Media)

Auf der Website befinden sich Verlinkungen zu sozialen Netzwerken (z.B. Instagram). Es handelt sich ausschließlich um einfache Hyperlinks, keine eingebetteten Plugins oder Tracking-Pixel. Erst beim Klick auf einen solchen Link werden Daten an den jeweiligen Anbieter übertragen.

17. Datenübermittlung in Drittländer

Soweit Daten an Dienstleister außerhalb der EU/des EWR übermittelt werden (Vercel, Resend), erfolgt dies auf Basis des EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO mit ergänzenden technischen und organisatorischen Maßnahmen.

18. Sicherheit

Die gesamte Website wird ausschließlich über SSL/TLS (HTTPS) ausgeliefert. Wir setzen aktuelle Sicherheitsstandards ein: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, sichere Cookies (SameSite, Secure), Schutz vor Cross-Site-Request-Forgery (CSRF) und Rate-Limiting auf öffentlichen Endpunkten.

19. Ihre Rechte

Ihnen stehen gegenüber uns folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@werderraum.de

20. Aktualisierung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder bei Änderungen der eingesetzten Dienste anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Stand: Mai 2026