Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist:

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nicht.

2. Hosting und Content Delivery

2.1 Hosting (Hostinger)

Wir hosten unsere Website bei der Hostinger International Ltd, 61 Lordou Vironos str., 6023 Larnaca, Zypern (mit Datenzentren primär in der EU). Hostinger verarbeitet personenbezogene Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer professionellen Bereitstellung der Website).

2.2 Lokale Schriften und Assets

Schriftarten (Inter, Manrope, DM Mono), CSS- und Icon-Bibliotheken werden ausschließlich lokal von unserem Hostinger-Server geladen. Es findet keine Übertragung an externe Drittanbieter (Google Fonts, Tailwind-CDN, Font-Awesome-CDN oder sonstige CDNs) statt.

3. Datenerfassung beim Besuch der Website

3.1 Server-Logfiles

Bei jedem Aufruf erfassen wir automatisch:

• IP-Adresse des anfragenden Geräts (anonymisiert / gekürzt nach 7 Tagen)
• Datum und Uhrzeit der Anfrage
• Browser-Typ und -Version (User-Agent)
• Verwendetes Betriebssystem
• Aufgerufene URL und Referrer-URL
• HTTP-Statuscode und übertragene Datenmenge

Zweck: Sicherstellung des Betriebs, Fehleranalyse, Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit).
Speicherdauer: 30 Tage, dann automatische Löschung.

3.2 Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Session-Cookie für die Spracheinstellung, Cookie-Consent-Cookie für die Speicherung Ihrer Cookie-Auswahl). Diese Cookies sind für den Betrieb der Website erforderlich und benötigen keine Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG).

Cookie-Übersicht:

• PHPSESSID — Session-ID, Session-Dauer (Browser-Schließung)
• mygermanland_consent — Hinweis-gesehen-Flag (kein Tracking), 365 Tage

4. Sprachtest und Lead-Magnet

Wenn Sie unseren kostenlosen Sprachtest absolvieren und am Ende Ihre E-Mail-Adresse eingeben, werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Erreichte Punktzahl (0–20)
• Errechnetes Sprachniveau (A1 / A2 / B1 / B1+)
• Top-3 individuelle Schwächen (z. B. „Konjugation von sein", „Wechselpräpositionen")
• Ausgewählte Sprache (DE / RU / EN)
• IP-Adresse zum Zeitpunkt der Eingabe (gekürzt im Consent-Log per SHA-256-Hash)
• Zeitstempel

Zweck: Versand des personalisierten Testergebnisses, Aufnahme in unseren Newsletter mit Deutschlern-Tipps, Empfehlung passender Kursinhalte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), eingeholt über die explizite Consent-Checkbox vor Absenden des Formulars.
Speicherdauer: Bis zum Widerruf der Einwilligung (jederzeit möglich über den Abmelde-Link in jeder E-Mail oder per E-Mail an chat@mygermanland.de).

Der Versand erfolgt über unseren E-Mail-Marketing-Dienstleister MailerLite (siehe Punkt 5.1).

5. Eingesetzte Dienste und Auftragsverarbeiter

5.1 MailerLite (E-Mail-Marketing)

Für den Versand von Newslettern, Sprachtest-Ergebnissen und automatisierten E-Mail-Kampagnen nutzen wir MailerLite Limited, Ground Floor, 71 Lower Baggot Street, Dublin 2, D02 P593, Irland (EU-Anbieter). Verarbeitete Daten: E-Mail-Adresse, Anrede, Vorname (sofern angegeben), Sprachtest-Score, -Niveau, -Schwächen, Öffnungs- und Klickraten zur Optimierung der Kampagnen.

Mit MailerLite besteht ein Auftragsverarbeitungsvertrag (DPA): mailerlite.com/legal/data-processing-agreement. Subprocessor-Liste: mailerlite.com/legal/sub-processors.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.2 YouTube (Video-Embeds)

Auf einigen Seiten binden wir Videos der Plattform YouTube ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wir nutzen den erweiterten Datenschutzmodus (youtube-nocookie.com), der Tracking erst aktiviert, wenn Sie ein Video abspielen.

Beim Abspielen werden Daten an Google-Server in den USA übertragen (IP-Adresse, Browser-Informationen, ggf. YouTube-Account-Daten falls eingeloggt). Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner / Click-to-Load). Weitere Infos: policies.google.com/privacy.

5.3 Ablefy (Kursplattform)

Kostenpflichtige Kurse werden über die externe Plattform Ablefy GmbH (Bleichenbrücke 9, 20354 Hamburg, Deutschland) abgewickelt. Bei Klick auf einen Kauf-Link gelangen Sie auf myablefy.com. Ab diesem Zeitpunkt gilt die Datenschutzerklärung von Ablefy: ablefy.com/datenschutz.

Ablefy fungiert als Reseller / Vertragspartner für Kursverkäufe. Wir erhalten von Ablefy lediglich Information über erfolgte Käufe (E-Mail, Produkt, Datum) zur Leistungserbringung.

5.4 Lexoffice (Buchhaltung)

Für die Buchhaltung und Rechnungsstellung nutzen wir Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg im Breisgau, Deutschland. Verarbeitete Daten: Name, Rechnungsadresse, Zahlungsinformationen im Rahmen von Kursverkäufen. Mit Lexoffice besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten) und lit. b (Vertragserfüllung). Weitere Infos: lexoffice.de/datenschutz.

5.5 Umami Analytics (Reichweitenmessung, selbst gehostet)

Zur statistischen Auswertung der Website-Nutzung setzen wir Umami Analytics in einer selbst gehosteten Installation auf unserem Server bei Hostinger (Datacenter Frankfurt, Deutschland) ein. Es werden keine Cookies gesetzt und keine personenbezogenen Identifikatoren erhoben. Pro Tag wird aus IP-Adresse, User-Agent und unserer Domain ein anonymer Hash gebildet, der nach 24 Stunden seine Zuordnung verliert.

Verarbeitete Daten:

• Aufgerufene URL und Verweis-URL (Referrer)
• Geräte-Kategorie (Desktop / Mobile), Browser, Betriebssystem
• Region (Land / Bundesland aus anonymisierter IP — die IP selbst wird nicht gespeichert)
• Zeitstempel und Verweildauer (ohne Personenbezug)

Zweck: Reichweitenmessung, Verständnis welche Inhalte gefragt sind, Optimierung des Angebots.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Auswertung). Es ist keine Einwilligung nach § 25 TDDDG erforderlich, da keine Informationen im Endgerät gespeichert oder ausgelesen werden (cookie-freier Betrieb).
Speicherdauer: 12 Monate, danach automatische Löschung.
Drittlandübermittlung: Keine — die Daten verlassen unseren Server in Frankfurt nicht.

Sie können der Erfassung jederzeit widersprechen, indem Sie in Ihrem Browser die „Do Not Track"-Funktion (DNT-Header) aktivieren; Umami respektiert diesen Header serverseitig.

5.6 Social-Media-Profile (Verlinkung)

In unserem Footer verlinken wir auf unsere Profile bei Instagram, TikTok, YouTube und LinkedIn. Erst beim Klick auf einen dieser Links werden Daten an die jeweiligen Plattform-Betreiber übertragen. Wir haben keinen Einfluss auf die dort stattfindende Datenverarbeitung. Datenschutzerklärungen der Plattformen:

• Instagram: privacycenter.instagram.com/policy
• YouTube: policies.google.com/privacy
• TikTok: tiktok.com/legal/privacy-policy-eea
• LinkedIn: de.linkedin.com/legal/privacy-policy

6. Sicherheits-Logging

Zur Abwehr von Angriffen, Brute-Force-Versuchen und automatisierten Bots betreiben wir ein internes Sicherheits-Log, das folgende Daten erfasst:

• IP-Adresse bei sicherheitsrelevanten Events (Rate-Limit-Überschreitung, ungültige CSRF-Token, Login-Versuche)
• User-Agent
• Zeitstempel
• Event-Typ (z. B. RATE_LIMIT_EXCEEDED, CSRF_VIOLATION)

Zweck: IT-Sicherheit, Missbrauchsabwehr.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).
Speicherdauer: 90 Tage; im Verdachtsfall (z. B. laufende Sicherheitsuntersuchung) länger.

7. Übersicht Rechtsgrundlagen (Art. 6 DSGVO)

• Art. 6 Abs. 1 lit. a (Einwilligung): Sprachtest-Funnel, Newsletter, optionale Cookies
• Art. 6 Abs. 1 lit. b (Vertrag): Vertragsabwicklung bei Kauf von Dienstleistungen, Kurszugang, Support
• Art. 6 Abs. 1 lit. c (Rechtliche Verpflichtung): Aufbewahrung von Rechnungen (10 Jahre), steuerliche Pflichten
• Art. 6 Abs. 1 lit. f (Berechtigte Interessen): IT-Sicherheit, technische Funktion der Website, Abwehr von Angriffen

8. Datenübermittlung in Drittländer (Art. 44 ff. DSGVO)

Soweit Daten an Anbieter mit Sitz oder Datenverarbeitung außerhalb der EU/des EWR übermittelt werden (insbesondere USA), erfolgt dies auf Grundlage von:

• Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO — bei Google (YouTube)
• Angemessenheitsbeschluss EU-USA Data Privacy Framework — sofern der jeweilige Anbieter zertifiziert ist
• Ihre ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO — bei Cookie-Banner-Bestätigung für Drittanbieter-Tools

Auf Anfrage stellen wir Ihnen eine Kopie der jeweiligen Garantien zur Verfügung. Bitte wenden Sie sich an chat@mygermanland.de.

9. Speicherdauern (Übersicht)

10. Ihre Rechte als betroffene Person

Sie haben jederzeit folgende Rechte:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: chat@mygermanland.de. Wir antworten in der Regel innerhalb eines Werktages.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung Ihrer personenbezogenen Daten zu beschweren — insbesondere am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde für die Anbieterin (Sitz Hungen, Hessen):

12. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen, insbesondere:

• SSL/TLS-Verschlüsselung der gesamten Datenübertragung (HTTPS)
• HTTP-Strict-Transport-Security (HSTS)
• Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy
• CSRF-Token-Schutz auf allen Formularen
• Server-seitige Input-Validation und Rate-Limiting
• Schutz sensibler Konfigurationsdateien vor öffentlichem Zugriff
• Session-Cookies mit HttpOnly, Secure und SameSite-Flags
• Regelmäßige Sicherheits-Updates der Server-Software

13. Aktualität dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Wesentliche Änderungen werden wir Ihnen per E-Mail mitteilen, sofern Sie unseren Newsletter abonniert haben.

Aktuelle Version: 2.1 — gültig ab 23. Mai 2026.
Änderungen ggü. 2.0: Ergänzung Abschnitt 5.5 Umami Analytics (Reichweitenmessung, cookie-frei, selbst gehostet); Aktualisierung Speicherdauern (Abschnitt 9).