Dokumentation gemäß Art. 28 DSGVO – Stand: März 2026
Dieses Dokument beschreibt die Verarbeitung personenbezogener Daten im Rahmen des Betriebs der Website hummel.services (einschließlich der Domains frank-hummel-consulting.de und revolution-e.de) der HSG HUMMEL Service Group GmbH & Co. KG. Es dient der Transparenz gemäß Art. 28 DSGVO und informiert darüber, welche personenbezogenen Daten wo und wie verarbeitet werden.
Die Verarbeitung erfolgt fortlaufend für die Dauer des Betriebs der Website und der damit verbundenen Dienste. Die nachfolgenden Informationen gelten für alle Besucher, Nutzer und Interessenten, die mit der Website interagieren.
Verantwortlicher im Sinne der DSGVO ist:
HSG HUMMEL Service Group GmbH & Co. KG
Frank Hummel, Geschäftsführender Gesellschafter
In den Gernäckern 13
72636 Frickenhausen, Deutschland
Telefon: +49 160 6718008
E-Mail: [email protected]
Handelsregister: HRB 726816, Amtsgericht Stuttgart
USt-ID: DE260946592
Im Rahmen des Betriebs der Website werden verschiedene Kategorien personenbezogener Daten verarbeitet. Die folgende Übersicht zeigt, welche Daten bei welchem Vorgang erhoben werden, auf welcher Rechtsgrundlage dies geschieht und wie lange die Daten gespeichert werden.
Wenn ein Besucher das Kontaktformular auf der Website ausfüllt, werden die folgenden Daten erhoben und in der Datenbank gespeichert:
| Datenfeld | Pflicht/Optional | Zweck |
|---|---|---|
| Name | Pflichtfeld | Identifikation des Anfragenden |
| E-Mail-Adresse | Pflichtfeld | Rückmeldung auf die Anfrage |
| Telefonnummer | Optional | Telefonische Rückmeldung |
| Firma / Unternehmen | Optional | Zuordnung zum Unternehmenskontext |
| Straße | Optional | Postalische Kontaktaufnahme / CRM |
| Postleitzahl | Optional | Postalische Kontaktaufnahme / CRM |
| Ort | Optional | Postalische Kontaktaufnahme / CRM |
| Land | Optional | Postalische Kontaktaufnahme / CRM |
| Betreff | Optional | Kategorisierung der Anfrage |
| Nachricht | Pflichtfeld | Inhalt der Anfrage |
| Zeitstempel (createdAt) | Automatisch | Dokumentation des Eingangs |
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
Bei der Bestellung des Buches „Highway to Climate Hell" werden vor der Weiterleitung zu Amazon folgende Daten erfasst:
| Datenfeld | Pflicht/Optional | Zweck |
|---|---|---|
| Name | Pflichtfeld | Identifikation des Interessenten |
| E-Mail-Adresse | Pflichtfeld | Kontaktaufnahme / Follow-up |
| Firma / Unternehmen | Optional | Zuordnung zum Unternehmenskontext |
| Buchtitel | Automatisch | Zuordnung der Bestellung |
| Zeitstempel (createdAt) | Automatisch | Dokumentation des Eingangs |
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Absenden des Formulars).
Für den Zugang zum administrativen Bereich der Website wird eine Authentifizierung über den OAuth-Dienst von Manus (Butterfly Effect Pte. Ltd.) durchgeführt. Dabei werden folgende Daten verarbeitet:
| Datenfeld | Zweck |
|---|---|
| OpenID (eindeutige Kennung) | Identifikation des Admin-Nutzers |
| Name | Anzeige im Admin-Dashboard |
| E-Mail-Adresse | Kontoinformation |
| Login-Methode | Protokollierung der Anmeldemethode |
| Rolle (user/admin) | Zugriffssteuerung |
| Letzter Login (lastSignedIn) | Sicherheitsprotokollierung |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Verwaltung der Website). Der Admin-Zugang ist ausschließlich für den Websitebetreiber bestimmt und nicht öffentlich zugänglich.
Bei jedem Zugriff auf die Website werden automatisch technische Daten in Server-Log-Dateien erfasst. Diese umfassen: IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, aufgerufene Seiten, Datum und Uhrzeit des Zugriffs. Diese Daten werden ausschließlich zur technischen Bereitstellung und Sicherheit der Website verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Bereitstellung der Website).
Die über die Website erhobenen personenbezogenen Daten werden in einer relationalen Datenbank (MySQL/TiDB) gespeichert, die von der Hosting-Plattform bereitgestellt wird. Die folgende Übersicht zeigt die Datenbankstruktur und welche personenbezogenen Daten in welcher Tabelle gespeichert werden.
| Tabelle | Inhalt | Personenbezogene Daten |
|---|---|---|
| contactMessages | Kontaktformular-Anfragen | Name, E-Mail, Telefon, Firma, Adresse (Straße, PLZ, Ort, Land), Betreff, Nachricht |
| bookLeads | Buchbestellungs-Leads | Name, E-Mail, Firma |
| users | Admin-Nutzerkonten (OAuth) | OpenID, Name, E-Mail, Login-Methode, Rolle |
| posts | Blog-Beiträge | Keine personenbezogenen Daten von Besuchern (nur redaktionelle Inhalte) |
Die Datenbank wird über die Manus-Plattform (Butterfly Effect Pte. Ltd.) betrieben. Die physische Speicherung erfolgt auf Servern von Amazon Web Services (AWS) in der Region US-East (Virginia), USA. Für die Übermittlung personenbezogener Daten in die USA gelten die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO (siehe Abschnitt 11).
Die Website wird über die Manus-Plattform gehostet, die ihrerseits auf Cloud-Infrastruktur von Amazon Web Services (AWS) basiert. Die folgende Tabelle gibt einen Überblick über die eingesetzten Infrastrukturkomponenten.
| Komponente | Anbieter | Standort | Zweck |
|---|---|---|---|
| Webhosting & Deployment | Manus / Butterfly Effect Pte. Ltd. | AWS US-East (Virginia) | Bereitstellung der Website und Anwendungslogik |
| Datenbank (MySQL/TiDB) | Manus / Butterfly Effect Pte. Ltd. | AWS US-East (Virginia) | Speicherung von Kontaktanfragen, Leads und Nutzerkonten |
| Dateispeicherung (S3) | Amazon Web Services | US-East (Virginia) | Speicherung von Bildern und statischen Dateien |
| CDN (Content Delivery Network) | Amazon CloudFront | Global (Edge-Locations) | Schnelle Auslieferung statischer Inhalte (Bilder, Schriften) |
| DNS & SSL/TLS | Cloudflare / Manus | Global | Domain-Auflösung und verschlüsselte Datenübertragung |
| Schriftarten | Google Fonts | Global | Laden der Schriftarten Space Grotesk und Inter |
Alle Datenübertragungen zwischen dem Browser des Nutzers und den Servern erfolgen ausschließlich über verschlüsselte HTTPS-Verbindungen (TLS 1.2 oder höher).
Für den Betrieb der Website werden die folgenden Unterauftragsverarbeiter eingesetzt. Die HSG HUMMEL Service Group hat mit dem Hauptauftragsverarbeiter (Manus / Butterfly Effect Pte. Ltd.) einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Manus setzt seinerseits die folgenden Unterauftragsverarbeiter ein:
| Unternehmen | Sitz | Funktion | Zertifizierungen |
|---|---|---|---|
| Butterfly Effect Pte. Ltd. (Manus) | Singapur | Hosting-Plattform, Datenbank, OAuth-Authentifizierung, Benachrichtigungen | SOC 2 Type I & II, ISO 27001, ISO 27701 |
| Amazon Web Services (AWS) | USA (Virginia) | Cloud-Infrastruktur, S3-Dateispeicherung, CDN (CloudFront) | SOC 2, ISO 27001, C5, EU-US DPF |
| Google Cloud Platform | USA | Cloud-Infrastruktur, KI-Modelle (für Blogübersetzung) | SOC 2, ISO 27001, EU-US DPF |
| Microsoft Corporation | USA | Microsoft Bookings (Terminbuchung) | SOC 2, ISO 27001, EU-US DPF |
| Google LLC (Fonts) | USA | Bereitstellung von Webschriftarten (Space Grotesk, Inter) | EU-US DPF |
Die aktuelle Liste der Unterauftragsverarbeiter von Manus ist einsehbar unter: trust.manus.im
Die Website verwendet eine minimale Anzahl von Cookies und Speichermechanismen. Die folgende Tabelle gibt eine vollständige Übersicht über alle eingesetzten Cookies und lokalen Speicher.
| Name / Schlüssel | Typ | Zweck | Speicherdauer | Einwilligung |
|---|---|---|---|---|
| app_session_id | Cookie (httpOnly, secure, sameSite=none) | Authentifizierungs-Session für den Admin-Bereich | 1 Jahr (maxAge) | Nicht erforderlich (technisch notwendig, nur für Admin-Login) |
| hsg-cookie-consent | localStorage | Speicherung der Cookie-Einwilligungsentscheidung des Nutzers | Unbegrenzt (bis manuelles Löschen) | Nicht erforderlich (technisch notwendig für Consent-Verwaltung) |
Die Website nutzt Umami Analytics, ein datenschutzfreundliches Webanalyse-Tool. Umami setzt keine Cookies und speichert keine personenbezogenen Daten. Die erhobenen Daten (aufgerufene Seiten, Verweildauer, Herkunftsland, Gerätetyp) werden ausschließlich in anonymisierter und aggregierter Form verarbeitet.
Die Aktivierung der Webanalyse erfolgt erst nach ausdrücklicher Einwilligung des Nutzers über den Cookie-Consent-Banner. Ohne Einwilligung wird das Analyse-Script mit dem Attribut data-do-not-track="true" versehen und erfasst keine Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Die Website verwendet kein Google Analytics, kein Facebook Pixel, keine Remarketing-Tags und keine sonstigen Tracking-Dienste von Drittanbietern. Es werden keine Daten an soziale Netzwerke übermittelt, es sei denn, der Nutzer klickt aktiv auf einen externen Link (z.B. LinkedIn).
Zum Schutz der verarbeiteten personenbezogenen Daten werden die folgenden technischen und organisatorischen Maßnahmen eingesetzt:
| Maßnahme | Beschreibung |
|---|---|
| Transport-Verschlüsselung | Alle Datenübertragungen erfolgen über HTTPS/TLS 1.2+ |
| Datenbank-Verschlüsselung | Verschlüsselung der Daten im Ruhezustand (encryption at rest) durch AWS |
| Cookie-Sicherheit | Session-Cookies sind httpOnly und secure markiert |
| JWT-Signierung | Admin-Sessions werden mit JWT-Tokens signiert (HS256) |
| Maßnahme | Beschreibung |
|---|---|
| Rollenbasierte Zugriffskontrolle | Admin-Bereich nur für authentifizierte Nutzer mit Rolle 'admin' zugänglich |
| OAuth-Authentifizierung | Sichere Anmeldung über OAuth 2.0 (kein Passwort auf der Website gespeichert) |
| Geschützte API-Endpunkte | Alle administrativen API-Endpunkte erfordern gültige Authentifizierung |
| Eingabevalidierung | Alle Formulareingaben werden serverseitig validiert (Zod-Schema-Validierung) |
| Maßnahme | Beschreibung |
|---|---|
| Netzwerksegmentierung | Isolierte Netzwerkbereiche für Anwendung und Datenbank |
| DDoS-Schutz | Cloudflare-basierter Schutz vor Distributed-Denial-of-Service-Angriffen |
| Regelmäßige Sicherheitsprüfungen | Penetrationstests und Kontrollselbstbewertungen durch den Hosting-Anbieter |
| Verschlüsselter Remote-Zugriff | Administrativer Zugriff auf die Infrastruktur nur über verschlüsselte Verbindungen |
Der Hosting-Anbieter Manus (Butterfly Effect Pte. Ltd.) verfügt über die Zertifizierungen SOC 2 Type I & II, ISO 27001 und ISO 27701. Details sind einsehbar unter trust.manus.im.
Betroffene Personen haben gemäß DSGVO folgende Rechte in Bezug auf ihre personenbezogenen Daten:
| Recht | Artikel DSGVO | Beschreibung |
|---|---|---|
| Auskunftsrecht | Art. 15 | Recht auf Auskunft über die gespeicherten personenbezogenen Daten |
| Recht auf Berichtigung | Art. 16 | Recht auf Korrektur unrichtiger Daten |
| Recht auf Löschung | Art. 17 | Recht auf Löschung der Daten ("Recht auf Vergessenwerden") |
| Recht auf Einschränkung | Art. 18 | Recht auf Einschränkung der Verarbeitung |
| Recht auf Datenübertragbarkeit | Art. 20 | Recht auf Erhalt der Daten in maschinenlesbarem Format |
| Widerspruchsrecht | Art. 21 | Recht auf Widerspruch gegen die Verarbeitung |
| Widerrufsrecht | Art. 7 Abs. 3 | Recht auf Widerruf einer erteilten Einwilligung |
Zur Ausübung dieser Rechte wenden Sie sich bitte an die unter Abschnitt 2 genannte verantwortliche Stelle. Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb eines Monats, bearbeiten.
Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die folgenden Aufbewahrungsfristen gelten:
| Datenart | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Kontaktformular-Anfragen | Bis zur abschließenden Bearbeitung der Anfrage, max. 6 Monate nach letztem Kontakt | Art. 6 Abs. 1 lit. b/f DSGVO |
| Buchbestellungs-Leads | Max. 12 Monate nach Erfassung | Art. 6 Abs. 1 lit. a DSGVO |
| Admin-Nutzerkonten | Für die Dauer der Nutzung des Admin-Bereichs | Art. 6 Abs. 1 lit. f DSGVO |
| Server-Log-Dateien | Max. 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Cookie-Consent-Entscheidung | Bis zum manuellen Löschen durch den Nutzer | Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht) |
| Geschäftliche Korrespondenz | 6 Jahre (HGB) bzw. 10 Jahre (AO) bei steuerrelevanten Vorgängen | § 257 HGB, § 147 AO |
Auf Anfrage können personenbezogene Daten jederzeit gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Kontaktieren Sie hierzu die unter Abschnitt 2 genannte verantwortliche Stelle.
Die Hosting-Infrastruktur befindet sich bei Amazon Web Services in den USA (Region US-East, Virginia). Damit findet eine Übermittlung personenbezogener Daten in ein Drittland statt. Die Rechtmäßigkeit dieser Übermittlung wird durch folgende Mechanismen sichergestellt:
| Mechanismus | Beschreibung |
|---|---|
| EU-Standardvertragsklauseln (SCCs) | Zwischen HSG und dem Auftragsverarbeiter (Manus) wurden die von der EU-Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. |
| EU-US Data Privacy Framework (DPF) | Amazon Web Services, Google und Microsoft sind unter dem EU-US Data Privacy Framework zertifiziert, das einen angemessenen Datenschutz gemäß Art. 45 DSGVO gewährleistet. |
| Zusätzliche Schutzmaßnahmen | Verschlüsselung aller Daten bei der Übertragung (TLS) und im Ruhezustand (AES-256). Zugriffsbeschränkungen und Protokollierung aller Datenzugriffe. |
Der Auftragsverarbeitungsvertrag (Data Processing Addendum) von Manus ist einsehbar unter: manus.im/policies/data-processing-addendum
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:
Frank Hummel
HSG HUMMEL Service Group GmbH & Co. KG
In den Gernäckern 13, 72636 Frickenhausen
E-Mail: [email protected]
Telefon: +49 160 6718008
Im Falle von Beschwerden bezüglich der Verarbeitung personenbezogener Daten können Sie sich an die zuständige Datenschutz-Aufsichtsbehörde wenden:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de
Dieses Dokument wurde zuletzt aktualisiert am 23. März 2026. Änderungen an der Datenverarbeitung werden zeitnah in diesem Dokument dokumentiert. Die jeweils aktuelle Version ist unter hummel.services/avv abrufbar.