Datenschutzerklärung

1. Datenschutz auf einen Blick

Wir schützen Ihre personenbezogenen Daten und verarbeiten sie ausschließlich nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Diese Erklärung informiert Sie darüber, welche Daten beim Besuch dieser Demo-Website erfasst werden und wie sie verwendet werden.

2. Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO)

Neon Arc
Inhaber: Alexander Hertle
Pfarrer-Walser-Str. 3
87544 Blaichach
Telefon: +49 176 9138 5260
E-Mail: info@neonarc.com

3. Hosting (Vercel) — Drittlandtransfer USA

3.1 Anbieter

Diese Demo-Website wird gehostet bei:
Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
Datenschutzerklärung: vercel.com/legal/privacy-policy

3.2 Verarbeitete Daten

Bei jedem Aufruf werden technisch notwendig erhoben:

• IP-Adresse (anonymisiert in Server-Logs)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und Referrer
• Browser-Typ, Browser-Version, Betriebssystem
• HTTP-Statuscode und übertragene Datenmenge

3.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Auslieferung und an Schutz vor Missbrauch).

3.4 Drittlandtransfer USA

Vercel ist ein US-amerikanisches Unternehmen. Server befinden sich teilweise in den USA und der EU (Frankfurt). Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, C(2023) 4745 final). Vercel ist unter dem DPF zertifiziert. Ergänzend bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

3.5 Speicherdauer

Server-Logs werden nach maximal 30 Tagen gelöscht oder anonymisiert.

4. Kontaktformular (Demo-Modus deaktiviert)

Das Kontaktformular ist in dieser Vorschau im Demo-Modus abgesichert: Eingegebene Daten werden nicht versendet, nicht gespeichert und nicht weitergeleitet. Der API-Endpunkt /api/contact gibt nur einen Bestätigungs-Status zurück, ohne dass der E-Mail-Versanddienst (Resend) aufgerufen wird.

Für echte Anfragen wenden Sie sich bitte direkt an info@neonarc.com.

Im produktiven Betrieb (außerhalb dieses Demo-Modus) würden Name, E-Mail, Telefon (optional), gewähltes Kursangebot, Nachricht und Einwilligungs-Zeitstempel verarbeitet und über den Auftragsverarbeiter Resend (Resend Inc., 2261 Market Street #4458, San Francisco, CA 94114, USA, DPF-zertifiziert) als E-Mail an die verantwortliche Stelle weitergeleitet (Rechtsgrundlage Art. 6 Abs. 1 lit. b/f DSGVO, Speicherdauer 6 Monate für Anfragebearbeitung).

5. Newsletter (Demo-Modus deaktiviert)

Eine Newsletter-Anmeldung ist in dieser Vorschau nicht möglich. Der API-Endpunkt /api/newsletter gibt im Demo-Modus nur eine UI-Bestätigung zurück, ohne dass eine tatsächliche Anmeldung erfolgt. Es wird keine Bestätigungs-E-Mail versendet.

6. Cookies und Consent-Management

Im Demo-Modus werden keine Tracking- oder Marketing-Cookies gesetzt. Lediglich technisch erforderliche Funktionen werden im lokalen Browser-Speicher abgelegt. Es findet kein Cookie-Setzen vor expliziter Einwilligung statt (§ 25 Abs. 1 TDDDG).

Sie können den lokalen Browser-Speicher jederzeit über die Browser-Einstellungen (Anwendung → Lokaler Speicher → diese Website) zurücksetzen.

7. Web-Analyse (Google Analytics 4 — Demo-Modus deaktiviert)

Diese Demo-Website ist technisch für Google Analytics 4 mit Consent Mode v2 vorbereitet. Im Demo-Modus ist die Verarbeitung jedoch vollständig deaktiviert: Die GA-Identifikation wird auf undefined gesetzt, das gtag.js-Script wird nicht geladen, und die GA-Endpunkte sind aus dem Content-Security-Policy- Header entfernt. Es findet keinerlei Datenübertragung an Google statt.

Im produktiven Betrieb (außerhalb dieses Demo-Modus) würde GA4 ausschließlich nach expliziter Einwilligung über den Cookie-Banner aktiviert (Consent Mode v2: analytics_storage initial denied, IP-Anonymisierung aktiv). Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland — mit US-Drittlandtransfer auf DPF-Basis. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG.

8. Animationen und 3D-Inhalte

Die Website enthält Bibliotheken für 3D-Visualisierungen (Spline) und JSON-Animationen (Lottie). Im Demo-Modus werden keine externen Spline-Szenen geladen (CSP blockiert prod.spline.design). Lottie-Animationen werden — soweit verwendet — als statische JSON-Dateien lokal vom Webserver ausgeliefert; eine externe Verbindung zu LottieFiles findet nicht statt.

9. Schriftarten

Schriftarten werden über das Next.js-Font-System ausschließlich lokal vom Webserver geladen. Es bestehen keine direkten Verbindungen zu Google Fonts oder anderen externen Schrift-CDNs (vgl. LG München I, 3 O 17493/20 vom 20.01.2022).

10. Externe Karten und Links

Die Adresse der dargestellten fiktiven Marke wird ausschließlich als Text angezeigt. Es werden keine Karten von Google Maps, OpenStreetMap oder ähnlichen Anbietern eingebettet oder verlinkt. Auch Social-Media-Embeds (YouTube, Vimeo, Instagram, Spotify) sind nicht eingebunden.

11. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte zu:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) — für Bayern (Sitz Anbieter): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

Zur Ausübung Ihrer Rechte wenden Sie sich an die unter Ziff. 2 genannte verantwortliche Stelle.

12. TLS-Verschlüsselung

Diese Website nutzt TLS/HTTPS zur Verschlüsselung der Übertragung (erkennbar am https:// in der Adresszeile). Die TLS-Zertifikate werden automatisch durch Vercel bereitgestellt (Let's Encrypt / Sectigo).

13. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Es werden u.a. folgende Sicherheits-Header gesetzt: Content-Security-Policy, Strict-Transport-Security (HSTS), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Formular-Eingaben (im produktiven Modus) werden serverseitig mit Zod validiert, mit Rate-Limit geschützt und CSRF-geprüft (Origin-Header-Validation). Diese Konfiguration wird durch automatisierte Sicherheits-Audits (AEGIS) regelmäßig überprüft.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Maßgeblich ist die jeweils bei Ihrem Besuch abrufbare Fassung.