DATENSCHUTZ

Datenschutzerklärung
Vollversion

Datenschutzerklärung — Vollversion

dual interiors – Whelder Duran

Stand: Mai 2026

§ 1  Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

dual interiors – Whelder Duran

Hofstr. 33, 47228 Duisburg, Deutschland

E-Mail: info@dualinteriordesign.com

Web: https://dualinteriordesign.com

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht vorliegen.

Sprachhinweis: Nur die deutsche Fassung ist rechtsverbindlich. Anderssprachige Fassungen dienen der Verständlichkeit.

§ 2  Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach DSGVO und BDSG unter Beachtung von Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b, c), Transparenz (Art. 5 Abs. 1 lit. a) und Sicherheit (Art. 32).

Rechtsgrundlagen: Art. 6 Abs. 1 DSGVO — lit. a (Einwilligung), lit. b (Vertragserfüllung), lit. c (gesetzliche Pflichten), lit. f (berechtigtes Interesse).

§ 3  Kategorien verarbeiteter Daten

Je nach Kontakt und Leistungsphase verarbeiten wir folgende Datenkategorien:

  • Stammdaten: Name, Adresse, E-Mail, Telefon (falls angegeben).

  • Vertrags- und Projektdaten: Antworten aus dem Dual Empathic Briefing, Raum- und Objektangaben (Maße, Grundrisse, Besonderheiten), Referenzfotos, Paketauswahl, Revisionen, Projektadresse.

  • Zahlungsdaten: Transaktions-ID, Zahlungsstatus (vermittelt über Zahlungsdienstleister).

  • Kommunikationsdaten: E-Mails, Inhalte aus Kontaktformularen, Metadaten von Video-Calls (Datum, Teilnahme).

  • Nutzungs- und Serverdaten: IP-Adresse, Zeitstempel, User-Agent, Referrer, aufgerufene URLs (Server-Logs von Squarespace).

  • Newsletter-Daten (falls aktiviert): E-Mail, Double-Opt-In-Protokoll mit Zeitstempel.

§ 4  Zwecke und Rechtsgrundlagen im Überblick

  • Vertrag (Art. 6 Abs. 1 lit. b): Buchung, Durchführung der Pakete Dual Mini, Dual Classic, Dual Signature; Briefing, Kommunikation, Terminabstimmung, Rechnungsstellung.

  • Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c): Steuer- und handelsrechtliche Aufbewahrung (§§ 147 AO, 257 HGB).

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): IT-Sicherheit und Betrieb (Server-Logs, Missbrauchsabwehr), interne Administration, Portfolio-Darstellung von Innenraumfotos ohne identifizierbare Personen.

  • Einwilligung (Art. 6 Abs. 1 lit. a): Optionale Cookies und Tracking-Embeds, Newsletter, Aufzeichnungen von Video-Calls, Veröffentlichung von Bildmaterial mit erkennbaren Personen.

§ 5  Hosting, Plattform und Auftragsverarbeitung

Unsere Website, der Shop, Formulare und Mediendateien laufen über Squarespace (Ireland Ltd., Le Pole House, Ship Street Great, Dublin 8, Irland). Mit Squarespace besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Eingehende E-Mails, die an info@dualinteriordesign.com gerichtet sind, werden über das Weiterleitungssystem von Squarespace an unser Gmail-Postfach weitergeleitet. Die empfangenden Server werden von Google LLC (USA) betrieben; Details hierzu unter § 6 und Anhang B.

Weitere eingesetzte Dienstleister sind im Einzelnen unter Anhang B aufgeführt.

§ 6  Übermittlungen in Drittländer (außerhalb EU/EWR)

Einige der von uns eingesetzten Dienste verarbeiten Daten in den USA.

Soweit die jeweiligen Empfänger nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind — insbesondere Squarespace, Google LLC, Zoom, Microsoft und Apple —, stützt sich die Übermittlung auf den Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (Art. 45 DSGVO).

Für Empfänger ohne DPF-Zertifizierung nutzen wir Standardvertragsklauseln (Art. 46 DSGVO) zuzüglich ergänzender technischer und organisatorischer Maßnahmen.

Optionale Dienste und Embeds werden erst nach Deiner Einwilligung über den Cookie-Banner geladen. Ein gegenüber der EU abweichendes Datenschutzniveau kann trotz dieser Maßnahmen bestehen.

§ 7  Server-Log-Dateien

Beim Aufruf unserer Website verarbeitet Squarespace automatisch folgende Daten in Server-Log-Dateien: IP-Adresse, Datum und Uhrzeit, aufgerufene URL, Referrer-URL, User-Agent, HTTP-Statuscode.

Zweck: Betrieb, Fehlerdiagnose und IT-Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: In der Regel 14–30 Tage; anschließend Löschung oder Anonymisierung.

§ 8  Cookies, Consent-Banner und Webfonts

8.1  Cookies und Consent-Banner

Wir setzen technisch notwendige Cookies (Shop/Warenkorb, Session-Sicherheit, Consent-Status) auf Basis von § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. b und lit. f DSGVO ein.

Optionale Cookie-Kategorien (Analytics, Marketing, externe Embeds) setzen wir ausschließlich nach Deiner Einwilligung über den Cookie-Banner (§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung kannst Du jederzeit über den Banner widerrufen.

Derzeit aktiv: ausschließlich technisch notwendige Cookies von Squarespace. Keine externen Analytics- oder Marketing-Dienste.

8.2  Webfonts (IBM Plex Serif / IBM Plex Sans)

Unsere Website verwendet IBM Plex Serif und IBM Plex Sans. Diese Schriften werden derzeit über den Dienst Google Fonts (Google LLC, USA) geladen, wodurch beim Seitenaufruf eine Verbindung zu fonts.googleapis.com und fonts.gstatic.com hergestellt wird und Deine IP-Adresse an Google LLC übermittelt werden kann.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. dem Angemessenheitsbeschluss der EU-Kommission für die USA vom 10. Juli 2023 (EU-U.S. Data Privacy Framework, Art. 45 DSGVO); Google LLC ist DPF-zertifiziert.

Wir planen, die Schriften auf einen datenschutzfreundlicheren Dienst zu migrieren. Diese Erklärung wird nach erfolgter Umstellung aktualisiert.

§ 9  Kontakt, E-Mail und Termine

Anfragen per Kontaktformular oder E-Mail verarbeiten wir zur Bearbeitung und Beantwortung (Art. 6 Abs. 1 lit. b DSGVO; bei Anfragen ohne Vertragsbezug lit. f).

E-Mail-Kommunikation: Eingehende Nachrichten an info@dualinteriordesign.com werden über das Weiterleitungssystem von Squarespace empfangen und an unser Gmail-Postfach weitergeleitet; sie werden auf Servern von Google LLC (USA, DPF-zertifiziert) verarbeitet und gespeichert.

Video-Calls (Dual Design Consultation): Calls finden in der Regel über Google Meet statt (Details Anhang B). Eine Aufzeichnung erfolgt nur mit ausdrücklicher mündlicher Einwilligung zu Beginn des Calls. Aufzeichnungen werden in unserem Projektordner (Google Drive) abgelegt, ausschließlich zur internen Rückschau und Dokumentation genutzt, und spätestens 12 Monate nach Projektabschluss gelöscht.

Speicherdauer: Kontaktanfragen ohne Vertragsabschluss werden nach 12 Monaten gelöscht. Vertragsbezogene Kommunikation richtet sich nach § 12.

§ 10  Online-Shop und Projektabwicklung

Bei Buchung verarbeiten wir: Name, E-Mail, ggf. Adresse, gewähltes Paket, Rechnungsdaten, Zahlungsstatus sowie im weiteren Verlauf den Projektinput (Briefing-Antworten, Maße, Fotos).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. c (steuerliche Aufbewahrungspflichten).

Das Dual Empathic Briefing wird über Tripetto (Tripetto B.V., Niederlande) als Formular-Engine erhoben (Details Anhang B). Antworten werden in unserem Projektordner gespeichert.

§ 11  Zahlungen

PayPal: Bei Zahlung über PayPal werden die für die Transaktion erforderlichen Daten (Name, E-Mail, Betrag, Bestell-ID) an PayPal (Europe) S.à r.l. et Cie, S.C.A. übermittelt. PayPal ist eigenständig Verantwortlicher; es gelten die Datenschutzhinweise von PayPal. Rechtsgrundlage: Art. 6 Abs. 1 lit. b.

Überweisung (80 % Restbetrag): Verarbeitung durch die beteiligten Kreditinstitute auf Basis von Art. 6 Abs. 1 lit. b und lit. c.

§ 12  Aufbewahrung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es verlangen:

  • Vertrags- und Rechnungsdaten: 10 Jahre (§ 147 AO).

  • Geschäftliche Kommunikation (Handelsbriefe): 6 Jahre (§ 257 HGB).

  • Projektdateien (Mood Boards, Pläne, Renderings, Briefing-Inhalte): In der Regel 3 Jahre nach Projektabschluss (Verjährungs- und Anspruchsabwehr; Art. 6 Abs. 1 lit. f DSGVO).

  • Kontaktanfragen ohne Vertrag: 12 Monate.

  • Video-Call-Aufzeichnungen (sofern erstellt): 12 Monate nach Projektabschluss.

Nach Ablauf der jeweiligen Frist werden Daten gelöscht oder unwiderruflich anonymisiert, sofern keine gesetzliche Pflicht oder ein berechtigtes Interesse der weiteren Aufbewahrung entgegensteht.

§ 13  Eingebettete externe Inhalte

Wir betten derzeit keine externen Inhalte (z. B. Videos, Maps, Social-Media-Widgets) direkt in unsere Website ein. Verlinkungen auf externe Profile (Instagram, Pinterest) führen Dich auf die jeweilige Plattformseite, auf der ausschließlich deren Datenschutzbedingungen gelten. Mit dem Klick auf einen externen Link verlässt Du unsere Website.

Sollten wir zukünftig externe Inhalte einbetten, erfolgt dies ausschließlich nach vorheriger Einwilligung über den Cookie-Banner (§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO); diese Erklärung wird entsprechend aktualisiert.

§ 14  Newsletter

Derzeit versenden wir keinen Newsletter. Sollten wir diesen Dienst in Zukunft aktivieren, erfolgt der Versand ausschließlich auf Basis einer ausdrücklichen Einwilligung mit Double-Opt-In-Verfahren (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 UWG). Die Abmeldung ist jederzeit möglich. Diese Erklärung wird bei Aktivierung entsprechend ergänzt.

§ 15  Social-Media-Profile

Wir unterhalten Profile bei Instagram und Pinterest. Beim Aufruf dieser Profile gelten ausschließlich die Datenschutzbestimmungen der jeweiligen Plattform.

Soweit Plattformen für Seitenbetreiber eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorsehen (insbesondere Meta für Instagram-Insights), nehmen wir an den von den Plattformen bereitgestellten Vereinbarungen zur gemeinsamen Verantwortlichkeit teil.

§ 16  Sicherheit

Wir setzen SSL/TLS-Verschlüsselung für alle Datenübertragungen ein. Darüber hinaus treffen wir angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere Zugriffsbeschränkungen nach dem Need-to-Know-Prinzip, Auftragsverarbeitungsverträge mit allen eingesetzten Dienstleistern sowie regelmäßige Backups.

§ 17  Verarbeitung von Daten zu Minderjährigen

Unser Angebot richtet sich an Erwachsene. Im Rahmen des Dual Empathic Briefings können auf Eigeninitiative des Kunden Informationen zu weiteren Bewohnerinnen und Bewohnern — einschließlich Kindern — übermittelt werden, sofern dies für die Gestaltungsplanung relevant ist (z. B. bei einem Kinderzimmer).

In solchen Fällen verarbeiten wir ausschließlich die Angaben, die der Kunde uns selbst bereitstellt. Die Verantwortung für die datenschutzrechtliche Information minderjähriger Betroffener liegt bei der erziehungsberechtigten Person.

Wir bieten unsere Leistungen nicht aktiv an Minderjährige unter 16 Jahren an und fordern von ihnen keine eigenständige Kontaktaufnahme.

§ 18  Keine automatisierte Entscheidungsfindung

Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die Dir gegenüber rechtliche Wirkung entfalten oder Dich in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Es findet kein Profiling statt.

§ 19  Bildmaterial und Referenzen

Innenraumfotos ohne identifizierbare Personen sind in der Regel keine personenbezogenen Daten. Wir nutzen solche Fotos zu Referenzzwecken auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

Fotos, auf denen Personen erkennbar sind, veröffentlichen wir ausschließlich nach ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. §§ 22, 23 KUG). Diese Einwilligung kannst Du jederzeit mit Wirkung für die Zukunft widerrufen.

EXIF-Metadaten aus Fotos (z. B. GPS-Daten, Geräteinformationen) entfernen wir nach Möglichkeit vor Veröffentlichung.

Details zur Portfolio-Nutzung: siehe AGB § 16.

§ 20  Deine Rechte als Betroffene:r

Du hast gegenüber uns folgende Rechte hinsichtlich Deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO)

  • Berichtigung (Art. 16 DSGVO)

  • Löschung (Art. 17 DSGVO)

  • Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Datenübertragbarkeit (Art. 20 DSGVO)

  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen, einschließlich Direktwerbung (Art. 21 DSGVO)

  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Deiner Rechte genügt eine E-Mail an info@dualinteriordesign.com. Wir bearbeiten Anfragen unverzüglich, in der Regel innerhalb von 30 Tagen.

Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)

Kavalleriestr. 2–4, 40213 Düsseldorf

www.ldi.nrw.de

§ 21  Pflicht zur Bereitstellung von Daten

Stammdaten (Name, E-Mail) sowie Projektinformationen (Briefing-Antworten, Maße, Fotos) sind für die Buchung und Durchführung unserer Leistungen erforderlich. Ohne diese Angaben ist eine Vertragserfüllung nicht möglich. Alle darüber hinausgehenden Angaben sind freiwillig.

§ 22  Änderungen dieser Erklärung

Wir passen diese Erklärung bei Bedarf an gesetzliche Entwicklungen oder Änderungen in unserem Dienstleisterspektrum an. Es gilt jeweils die aktuelle auf unserer Website veröffentlichte Fassung.

Anhang A — Cookies und Dienste-Überblick

Stand: Mai 2026

Derzeit aktiv: ausschließlich technisch notwendige Cookies von Squarespace (Session/Sicherheit, Warenkorb, Consent-Status). Keine externen Analytics- oder Marketing-Dienste.

Optionale Kategorien (Analytics, Marketing, Embeds) werden nur nach Einwilligung über den Cookie-Banner geladen und dort mit Name, Zweck und Laufzeit ausgewiesen.

Bei PayPal-Zahlung: Auf den Seiten von PayPal können eigene Cookies gesetzt werden; es gelten die Hinweise von PayPal.

Anhang B — Auftragsverarbeiter und Empfänger

Stand: Mai 2026

B.1  Auftragsverarbeiter (Art. 28 DSGVO)

(1)  Squarespace Ireland Ltd.

Le Pole House, Ship Street Great, Dublin 8, Irland

Zweck: Website-Hosting, CDN, Shop/Checkout, Formulare, Medienverwaltung, System-E-Mails (Bestellbestätigung), E-Mail-Weiterleitungssystem für den Alias info@dualinteriordesign.com.

Datenkategorien: Nutzungs-/Serverdaten, Kontakt-/Formulardaten, Bestell-/Rechnungsdaten, Inhalts-/Mediendaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f.

Drittlandtransfer: Ggf. USA; Squarespace Inc. ist DPF-zertifiziert (Art. 45 DSGVO).

Rolle: Auftragsverarbeiter.

(2)  Google LLC

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Zweck: (a) Empfang und Verarbeitung von E-Mails (Gmail; Weiterleitung des Squarespace-Alias an unser Gmail-Postfach), (b) Speicherung von Projektdateien (Google Drive, sofern eingesetzt), (c) Videokonferenzen (Google Meet, sofern eingesetzt), (d) Auslieferung von Webfonts (IBM Plex Serif/Sans via fonts.googleapis.com / fonts.gstatic.com — derzeit aktiv, Migration in Vorbereitung).

Datenkategorien: (a) E-Mail-Inhalte, Anhänge, Metadaten (Absender, Empfänger, Zeit); (b) Projektdateien (Moodboards, Pläne, Renderings), Rechnungsentwürfe; (c) Name/Display-Name, Metadaten (Zeit, Teilnahme), Audio/Video-Stream (keine Aufzeichnung ohne Einwilligung); (d) IP-Adresse (bei Seitenaufruf).

Rechtsgrundlage: (a–c) Art. 6 Abs. 1 lit. b (Vertrag), lit. f; (d) Art. 6 Abs. 1 lit. f i. V. m. Art. 45 DSGVO (DPF).

Drittlandtransfer: USA; Google LLC ist DPF-zertifiziert (Art. 45 DSGVO).

Rolle: Auftragsverarbeiter für (a)–(c); eigenständig Verantwortlicher für den Plattformbetrieb.

(3)  Tripetto B.V.

Keizersgracht 520H, 1017 EK Amsterdam, Niederlande

Zweck: Formular-Engine für das Dual Empathic Briefing (strukturierte Erhebung von Projektdaten).

Datenkategorien: Briefing-Antworten und Uploads, Zeitstempel, technische Metadaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b.

Drittlandtransfer: Niederlande (EU); keine Drittlandsübermittlung.

Rolle: Auftragsverarbeiter.

(4)  Cloud-Speicher (Google Drive / Dropbox, sofern eingesetzt)

Google LLC (s. oben unter (2)) oder Dropbox International Unlimited Company, One Park Place, Upper Hatch Street, Dublin 2, Irland.

Zweck: Ablage und Organisation von Projektdateien (Moodboards, Pläne, Renderings), Angebots-/Rechnungsentwürfe.

Datenkategorien: Projekt-/Vertragsunterlagen, Medien.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f.

Drittlandtransfer: Bei Google LLC USA (DPF, Art. 45); bei Dropbox Inc. USA (SCC, Art. 46).

Rolle: Auftragsverarbeiter.

(5)  Videokonferenz (sofern eingesetzt)

Google Meet (Google LLC, s. (2)), alternativ: Zoom Video Communications Inc. (55 Almaden Blvd., San Jose, CA, USA; DPF-zertifiziert), Microsoft Teams (Microsoft Ireland Operations Ltd., One Microsoft Place, Dublin 18, Irland), Apple FaceTime (Apple Inc., USA; DPF-zertifiziert).

Zweck: Projektbesprechungen und Design Consultations per Video/Audio.

Datenkategorien: Name, E-Mail, Meeting-Metadaten, Audio/Video-Stream; keine Aufzeichnung ohne Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f.

Drittlandtransfer: Je nach Anbieter DPF (Art. 45) oder SCC (Art. 46).

Rolle: Auftragsverarbeiter.

B.2  Eigenständig Verantwortliche (Controller)

(1)  PayPal (Europe) S.à r.l. et Cie, S.C.A.

22–24 Boulevard Royal, L-2449 Luxemburg

Zweck: Zahlungsabwicklung (Reservierungszahlung bei Buchung).

Datenkategorien: Name, E-Mail, Rechnungsadresse, Betrag, Transaktions-ID, Risikoprüfungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b.

Rolle: Eigenständig Verantwortlicher.

(2)  Kreditinstitute (unsere Bank / Deine Bank)

Zweck: Abwicklung von Überweisungen (80 % Restbetrag).

Datenkategorien: Kontoinhaber, IBAN/BIC, Verwendungszweck, Betrag, Datum.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c.

Rolle: Eigenständig Verantwortliche.

(3)  Steuerberatung / Finanzverwaltung (sofern beauftragt)

Zweck: Erfüllung steuer- und handelsrechtlicher Pflichten.

Datenkategorien: Rechnungs-/Buchhaltungsdaten, Belege.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c, f.

Rolle: Eigenständig Verantwortlicher bzw. Auftragsverarbeiter je nach Vertragsgestaltung.

(4)  Behörden / Finanzverwaltung / Gerichte

Zweck: Gesetzliche Auskunfts- und Nachweispflichten, Rechtsdurchsetzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c, f.

Rolle: Eigenständig Verantwortliche.

(5)  Social-Media-Plattformen (Instagram / Pinterest)

Zweck: Externe Profile zur Außendarstellung (nur bei freiwilligem Aufruf durch den Nutzer über einen Link).

Datenkategorien: Plattform-Nutzungsdaten gemäß Anbieter. Ggf. gemeinsame Verantwortlichkeit für Insights-Daten (Art. 26 DSGVO) gemäß plattformeigener Vereinbarung.

Rolle: Eigenständig Verantwortliche.

B.3  Allgemeiner Hinweis zu Drittlandübermittlungen

Soweit Dienste Daten in Drittländern verarbeiten, stützen wir uns primär auf DPF-Zertifizierungen (Art. 45 DSGVO) und ergänzend auf Standardvertragsklauseln (Art. 46 DSGVO) mit technischen und organisatorischen Schutzmaßnahmen (insbesondere Verschlüsselung, Need-to-Know-Prinzip).

B.4  Aktualität dieses Anhangs

Dieser Anhang wird aktualisiert, wenn neue Dienste eingesetzt oder bestehende Dienste geändert oder abgestellt werden.