Datenschutzerklärung

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Hien & Hien GbR
Lenzstraße 20
53902 Bad Münstereifel
Deutschland

Vertreten durch die Gesellschafter Dr. Sigrid Hien und Dr. Peter Hien.

Telefon: +49 1573 4695700
E-Mail: info@sasserath.geco.eco
Datenschutz-Anliegen erreichst du unter derselben Adresse.

2. Auftragsverarbeiter

Die technische Plattform und das Hosting der Webseite werden für uns von der Geco GmbH (Geschäftsführer Max Hien und Matthias Hien) betrieben. Mit der Geco GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Geco GmbH verarbeitet personenbezogene Daten ausschließlich in unserem Auftrag und nach unserer Weisung.

3. Externe Dienstleister (Sub-Auftragsverarbeiter)

Wir setzen für den Betrieb dieser Webseite folgende Dienstleister ein. Mit allen besteht ein Auftragsverarbeitungsverhältnis.

3.1 Drittlandübermittlungen

• Vercel Inc.: zertifiziert nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO).
• Supabase Inc.: Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Datenbank-Server stehen physisch in Frankfurt am Main; ein Zugriff aus den USA durch das Mutterunternehmen ist technisch möglich, vertraglich aber auf Wartung und Support beschränkt.
• Migadu Mail GmbH (Schweiz): keine Drittlandübermittlung im Sinne der DSGVO, da für die Schweiz ein Angemessenheitsbeschluss der EU-Kommission besteht.

Eine Kopie der Standardvertragsklauseln stellen wir dir auf Anfrage zur Verfügung.

4. Datenverarbeitung beim Besuch der Webseite

4.1 Server-Logfiles

Wenn du unsere Webseite aufrufst, verarbeitet unser Hoster Vercel automatisch folgende Daten:

• IP-Adresse (gekürzt bzw. anonymisiert nach Möglichkeit)
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL
• Referrer-URL
• User-Agent (Browser, Betriebssystem)

Zweck: technische Stabilität, Fehleranalyse, Abwehr von Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb).
Speicherdauer: maximal 7 Tage, danach Löschung oder Anonymisierung.

4.2 Cookies

Auf der öffentlichen Webseite (sasserath.geco.eco) setzen wir keine Cookies für Analyse, Tracking oder Werbung. Es gibt keinen Cookie-Banner, weil wir keine zustimmungspflichtigen Cookies verwenden.

Auf dem internen Verwaltungsbereich (intern.geco.eco) wird ein technisch notwendiges Session-Cookie für die Anmeldung gesetzt (HTTP-only, Secure, SameSite=Strict, Laufzeit 30 Tage). Dieses Cookie ist für den Betrieb des Verwaltungsbereichs zwingend erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

5. Neuigkeiten per E-Mail (Newsletter)

Wenn du dich für unsere Neuigkeiten per E-Mail einträgst, verarbeiten wir:

• E-Mail-Adresse (Pflicht)
• Vorname (optional)

Zweck: Versand von Informationen über den Aufbau und Stand des Selbsternte-Gartens, saisonale Themen, Einladungen zu Veranstaltungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung).
Speicherdauer: bis zum Widerruf. Den Widerruf-Beleg (Datum, IP-Adresse) bewahren wir nach dem Widerruf bis zu drei Jahre auf, um den ordnungsgemäßen Versand belegen zu können (Art. 6 Abs. 1 lit. f DSGVO).
Widerruf: Abmelde-Link in jeder Mail oder formlose E-Mail an info@sasserath.geco.eco.

Hinweis: In Phase 1 verzichten wir auf ein Double-Opt-In. Wir bestätigen deine Anmeldung mit einer Begrüßungsmail, die einen Sofort-Abmelde-Link enthält. Mit dem Wechsel zu einem dedizierten Versand-Dienstleister werden wir auf Double-Opt-In umstellen.

5.1 Übernahme von Bestandsadressen

Die Hien & Hien GbR betreibt seit 2025 das Vorgänger-Projekt unter der Marke „Lama-Eifel“ auf lama-eifel.bio. E-Mail-Adressen, die dort mit ausdrücklicher Einwilligung in den Newsletter eingetragen wurden, werden im Rahmen der Markenumstellung auf „Geco“ weitergeführt — der Verantwortliche (Hien & Hien GbR) bleibt rechtlich identisch. Über die Umstellung und diese Datenschutzerklärung informieren wir alle bestehenden Empfänger gesondert. Du kannst dem Versand jederzeit widersprechen.

6. Anmeldeliste für die Saison 2026

Wenn du dich auf die Anmeldeliste einträgst, verarbeiten wir:

• E-Mail-Adresse (Pflicht)
• Vorname (Pflicht)
• Nachname (optional)
• Anzahl Personen im Haushalt (Pflicht; Kapazitätsplanung)
• PLZ oder Wohnort (optional; Anfahrts-Einschätzung)
• Telefonnummer (optional)
• ggf. zusätzliche Angaben aus optionalen Umfrage-Feldern

Zweck: Planung verfügbarer Plätze, persönliche Einladung zur Einweisung, Vorbereitung des Mitglieds-Onboardings.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme).
Speicherdauer: bis zur Aufnahme als Mitglied, bei Nicht-Aufnahme bis sechs Monate nach Saisonbeginn 2026, danach Löschung oder aktive Rückfrage zur weiteren Speicherung.
Widerruf: formlose E-Mail an info@sasserath.geco.eco genügt.

7. Kontaktformular

Wenn du uns über das Kontaktformular schreibst, verarbeiten wir:

• Name (Pflicht)
• E-Mail-Adresse (Pflicht)
• deine Nachricht (Pflicht)

Zweck: Beantwortung deiner Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Anfragen zu beantworten).
Speicherdauer: sechs Monate nach abschließender Beantwortung. Sofern aus deiner Anfrage ein Vertrag entsteht, gelten die hierfür geltenden Fristen.

Das Formular enthält ein technisches Honeypot-Feld zur Spam-Abwehr. Eingaben in dieses unsichtbare Feld werden ausschließlich ausgewertet, um automatisierte Spam-Einsendungen zu verwerfen.

8. E-Mail-Kommunikation

E-Mails an info@sasserath.geco.eco werden über unseren Dienstleister Migadu Mail GmbH (Schweiz) verarbeitet und auf Servern in der Schweiz gespeichert. Mit Migadu besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahme) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Kommunikation).
Speicherdauer: je nach Anliegen, in der Regel sechs Monate nach abschließender Bearbeitung; gesetzliche Aufbewahrungsfristen (z. B. nach HGB oder AO) bleiben unberührt.

9. Empfänger der Daten

Eine Weitergabe deiner Daten an Dritte erfolgt nur an die unter Ziffer 2 und 3 genannten Auftrags- und Sub-Auftragsverarbeiter und nur, soweit dies zur Erfüllung der jeweiligen Zwecke erforderlich ist. Eine Weitergabe an sonstige Dritte oder eine Verwendung zu Werbezwecken durch Dritte findet nicht statt.

10. Sicherheit

Wir setzen Transport-Verschlüsselung (TLS) ein. Personenbezogene Daten werden verschlüsselt übertragen. Zugriffe auf den internen Verwaltungsbereich sind passwortgeschützt. Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, um deine Daten vor Verlust, Missbrauch oder unberechtigtem Zugriff zu schützen.

11. Minderjährige

Unser Angebot richtet sich an Personen ab 18 Jahren. Wir verarbeiten wissentlich keine Daten Minderjähriger. Sollten Minderjährige Daten eingegeben haben, werden diese nach Kenntnis von uns gelöscht.

12. Deine Rechte

Du hast jederzeit folgende Rechte:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungsfrist entgegensteht
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen, die wir auf Art. 6 Abs. 1 lit. e oder f DSGVO stützen (Art. 21 DSGVO)
• Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Für die Hien & Hien GbR ist die zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44, 40102 Düsseldorf
www.ldi.nrw.de

Schreib uns auch gerne direkt an info@sasserath.geco.eco — wir kümmern uns um dein Anliegen.

13. Pflicht zur Bereitstellung

Die Bereitstellung deiner personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Du bist nicht verpflichtet, uns Daten zur Verfügung zu stellen. Ohne deine Daten können wir dich allerdings nicht in unsere Neuigkeiten per E-Mail oder die Anmeldeliste aufnehmen oder eine Anfrage beantworten.

14. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

15. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich die Verarbeitungstätigkeit ändert (z. B. beim Start des Mitglieder-Bereichs in Phase 2). Wir informieren über wesentliche Änderungen aktiv per E-Mail. Es gilt die jeweils auf unserer Webseite veröffentlichte Fassung mit dem oben genannten Stand-Datum.