Datenschutzerklärung
– Vollversion
Datenschutzerklärung – Dual Interiors – Vollversion
Stand: 01.09.2025
1. Verantwortlicher
Dual Interiors – Whelder Duran
Hofstr. 33, 47228, Duisburg, Deutschland
E-Mail: info@dualinteriordesign.com
Web: https://dualinteriordesign.com
Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen.
Sprachhinweis: Nur die deutsche Fassung ist rechtsverbindlich. Anderssprachige Fassungen dienen der Verständlichkeit.
2. Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten nach DSGVO/BDSG unter Beachtung von Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b,c), Transparenz (Art. 5 Abs. 1 lit. a) und Sicherheit (Art. 32). Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO (Einwilligung, Vertrag, rechtliche Pflicht, berechtigtes Interesse).
3. Kategorien von Daten
• Stammdaten: Name, Anschrift, Kontakt (E-Mail, Telefon)
• Vertrags-/Projektdaten: Briefing-Antworten, Objekt-/Maßangaben, Referenzfotos/Skizzen, Paketauswahl, Revisionen, Projektadresse (zur steuerlichen Einordnung als leistung am unbeweglichen Gegenstand)
• Zahlungsdaten: Transaktions-IDs, Zahlungsstatus (über Zahlungsdienstleister)
• Kommunikationsdaten: E-Mails, Formularinhalte, Termin-Metadaten (Video-Call)
• Nutzungs-/Serverdaten: IP-Adresse, Zeitstempel, User-Agent, Referrer, aufgerufene URLs (Server-Logs)
• Newsletter (falls genutzt): E-Mail, Double-Opt-In-Protokoll
4. Zwecke & Rechtsgrundlagen
• Vertrag (Art. 6 Abs. 1 lit. b): Angebot, Buchung, Durchführung der Pakete (Mini/Classic/Signature), Kommunikation, Termine, Rechnungsstellung.
• Rechtliche Pflichten (Art. 6 Abs. 1 lit. c): steuer-/handelsrechtliche Aufbewahrung.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Betrieb/IT-Sicherheit (Logs, Missbrauchsabwehr), Spam-Schutz, interne Administration, Portfolio-Darstellung von Innenraumfotos ohne Personen.
• Einwilligung (Art. 6 Abs. 1 lit. a): optionale Cookies/Embeds, Newsletter, Aufzeichnungen von Calls, Veröffentlichung von Bildmaterial mit Personen.
5. Hosting, Plattform & Auftragsverarbeitung
Website/Shop/Formulare/Medien laufen über Squarespace (Hosting/CDN). Mit nötigen Dienstleistern bestehen Auftragsverarbeitungsverträge (Art. 28).
Weitere typische Empfänger: E-Mail-Provider ([⚠︎ eintragen: z. B. Google Workspace]), Cloud-Speicher (z. B. Google Drive/Dropbox), Videokonferenz (Google Meet/Zoom/Microsoft Teams/FaceTime).
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag), lit. f (Betrieb/IT-Sicherheit), ggf. lit. a (Einwilligung).
6. Drittland-Übermittlungen (außerhalb EU/EWR)
Soweit Dienste mit Sitz/Infrastruktur in Drittländern (insb. USA) eingesetzt werden, stützen wir Übermittlungen auf Standardvertragsklauseln (Art. 46) i. V. m. ergänzenden technischen/organisatorischen Maßnahmen. Bei vertraglicher Erforderlichkeit kann ergänzend Art. 49 Abs. 1 lit. b greifen. Optionale Dienste/Embeds laden erst nach Einwilligung. Ein gegenüber der EU abweichendes Datenschutzniveau kann bestehen.
7. Server-Log-Dateien
Beim Aufruf verarbeiten wir IP-Adresse, Datum/Uhrzeit, URL, Referrer, User-Agent, HTTP-Status.
Zweck/Rechtsgrundlage: Betrieb/IT-Sicherheit (Art. 6 Abs. 1 lit. f).
Speicherdauer: i. d. R. 14–30 Tage; anschließend Löschung/Anonymisierung, sofern keine Sicherheitsauswertung erforderlich ist.
8. Cookies, Consent-Banner & Webfonts
8.1 Consent-Banner/Cookies
• technisch notwendige Cookies (Shop/Warenkorb/Security): Art. 6 Abs. 1 lit. b,f;
• optionale Kategorien (Analytics/Marketing/Embeds) nur nach Opt-In (Art. 6 Abs. 1 lit. a); Widerruf jederzeit im Banner.
Der Banner dokumentiert die jeweils aktiven Cookies (Name/Zweck/Anbieter/Laufzeit).
8.2 Webfonts
Schriften werden lokal bzw. über das Squarespace-CDN geladen; keine Abrufe externer Google-Fonts-Server. Ausnahmen nur nach Einwilligung.
9. Kontakt, E-Mail & Termine
Anfragen verarbeiten wir zur Bearbeitung/Beantwortung (Art. 6 Abs. 1 lit. b); Spam-Schutz über Squarespace-Mechanismen; reCAPTCHA/hCaptcha nur falls aktiviert und dann auf Basis Einwilligung (Art. 6 Abs. 1 lit. a).
Video-Calls: keine Aufzeichnung ohne Einwilligung.
Speicherdauer: Kontaktanfragen 12 Monate; Vertragskommunikation gem. 12.
10. Online-Shop (Pakete) & Projektabwicklung
Bei Buchung verarbeiten wir Stammdaten, Rechnungsdaten, Paketwahl, Projektinput (Briefing, Maße, Fotos), Zahlungsstatus.
Zweck/Grundlage: Vertrag (Art. 6 Abs. 1 lit. b) und Pflichten (lit. c).
Rabatte/Zusatzräume werden systemseitig verarbeitet (Warenkorbdaten; Art. 6 Abs. 1 lit. b).
11. Zahlungen (PayPal, Überweisung)
PayPal: Datenübermittlung an PayPal (z. B. Name, Betrag, Bestell-ID); PayPal ist eigenständig Verantwortlicher. Grundlage: Art. 6 Abs. 1 lit. b.
Überweisung: Verarbeitung durch Banken (Art. 6 Abs. 1 lit. b,c).
12. Aufbewahrung & Löschung
• Vertrags-/Rechnungsdaten: 10 Jahre (§ 147 AO)
• Handelsbriefe/Kommunikation: 6 Jahre (§ 257 HGB)
• Projektdateien (Moodboards/Pläne/Renderings): i. d. R. 3 Jahre nach Projektende(Verjährung/Anspruchsabwehr; Art. 6 Abs. 1 lit. f)
• Kontaktanfragen ohne Vertrag: 12 Monate
Nach Ablauf löschen/anonymisieren wir, sofern keine Pflichten/Berechtigungen entgegenstehen.
13. Eingebettete Inhalte (YouTube/Vimeo/Maps etc.)
Externe Medien sind standardmäßig blockiert und werden erst nach Einwilligung über den Banner geladen (Art. 6 Abs. 1 lit. a). Dabei können IP-Adresse und Nutzungsdaten an Anbieter (ggf. Drittland) übertragen werden.
14. Newsletter (nur bei Aktivierung)
Versand nur mit Double-Opt-In; Protokollierung von Opt-In/Opt-Out inkl. Zeitstempel/IP (Nachweispflicht).
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a) i. V. m. § 7 UWG. Abmeldung jederzeit.
15. Social-Media-Profile & Links
Wir verlinken auf externe Profile (z. B. Instagram, Pinterest). Beim Klick gelten die Regeln der Plattformen. Ggf. gemeinsame Verantwortlichkeit für Insights-Daten nach Art. 26 DSGVO gemäß Plattform-Informationen.
16. Sicherheit (TLS/SSL, TOMs)
TLS/SSL-Verschlüsselung; notwendige technische/organisatorische Maßnahmen (Zugriffsrollen, Need-to-know, AV-Verträge, Pseudonymisierung, Backups) nach Art. 32.
17. Kinder
Kein Angebot an Kinder unter 16 Jahren.
18. Automatisierte Entscheidungen/Profiling
Keine automatisierte Entscheidungsfindung i. S. v. Art. 22; kein Profiling.
19. Bildmaterial & Referenzen
Innenraumfotos ohne identifizierbare Personen sind in der Regel keine personenbezogenen Daten. Bilder mit Personen veröffentlichen wir nur mit Einwilligung. Metadaten (EXIF) entfernen wir nach Möglichkeit vor Veröffentlichung.
Portfolio-Nutzung fertiger Projekte ohne Personen stützen wir auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f).
20. Deine Rechte (Betroffenenrechte)
Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen, inkl. Direktwerbung (Art. 21).
Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3).
Zur Ausübung genügt eine E-Mail an info@dualinteriordesign.com.
Beschwerderecht (Art. 77): zuständige Behörde u. a. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
21. Pflicht zur Bereitstellung
Stammdaten/Projekt-Input sind für Buchung/Durchführung erforderlich; ohne diese ist Vertragserfüllung nicht möglich.
22. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung bei Bedarf an (Rechtslage, Dienstewechsel). Es gilt die jeweils aktuelle Fassung auf unserer Website.
Anhang A – Cookie- & Dienste-Überblick (dynamisch)
Aktuell: Nur technisch notwendige Cookies von Squarespace (Session/Security, Warenkorb, Consent-Status). Keine externen Analytics/Marketing-Dienste aktiv.
Optionale Kategorien (Analytics/Marketing/Embeds) werden nur nach Einwilligung über den Cookie-Banner geladen und dort automatisch mit Name/Zweck/Laufzeit ausgewiesen.
Zahlungen: Bei Nutzung von PayPal können auf den Seiten von PayPal eigene Cookies gesetzt werden; es gelten die Hinweise von PayPal.
Die jeweils konkrete Liste der aktiven Cookies/Dienste wird laufend im Banner gepflegt.
Anhang B – Auftragsverarbeiter & Empfänger
Stand: 01.09.2025
Dieser Anhang listet typische Dienstleister und Empfänger, mit denen im Rahmen des Betriebs der Website/Projektabwicklung Daten verarbeitet oder geteilt werden. Der Einsatz ist zweckgebunden; wo Dienste optional/sofern eingesetzt sind, erfolgt eine Verarbeitung nur, wenn der jeweilige Dienst tatsächlich genutzt wird.
B.1 Auftragsverarbeiter i. S. v. Art. 28 DSGVO (in unserem Auftrag)
(1) Squarespace Ireland Ltd.
Le Pole House, Ship Street Great, Dublin 8, Irland
Zweck: Website-Hosting, CDN, Shop/Checkout, Formulare, Medienverwaltung, System-E-Mails (Bestellbestätigung), E-Mail-Weiterleitung von Alias-Adressen (z. B. info@…).
Datenkategorien: Nutzungs-/Serverdaten (IP, Zeitstempel, User-Agent), Kontakt-/Formulardaten, Bestell-/Rechnungsdaten, Inhalts-/Mediendaten, E-Mail-Alias/Weiterleitungsdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag) und lit. f (Betrieb/IT-Sicherheit).
Drittlandtransfer: ggf. in Drittländer (insb. USA) auf Basis SCC (Art. 46 DSGVO) + TOMs.
Aufbewahrung: plattformspezifisch; Löschung nach Zweckfortfall/Vertrag und gesetzlichen Pflichten.
Rolle: Auftragsverarbeiter.
(2) Google LLC (Gmail/Google Workspace)
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Zweck: E-Mail-Provider (Posteingang/-ausgang), ggf. Kalender/Kontakte.
Datenkategorien: Absender/Empfänger, Metadaten (Zeit, IP soweit protokolliert), E-Mail-Inhalte/Anhänge, Kontaktdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Kommunikation/Vertrag) und lit. f (Betrieb).
Drittlandtransfer: USA, SCC (Art. 46), ergänzende TOMs.
Aufbewahrung: nutzer-/kontogesteuert, gem. Zweckerfüllung und gesetzlichen Pflichten.
Rolle: Auftragsverarbeiter (kommunikationsbezogen).
(3) Tripetto B.V. (sofern eingesetzt)
Keizersgracht 520H, 1017 EK Amsterdam, Niederlande
Zweck: Formular-Engine für das Dual Empathic Briefing (Erhebung strukturierter Projekt-/Objektdaten).
Datenkategorien: Antworten/Uploads aus dem Briefing (Text/Dateien), Zeitstempel, technische Metadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertragserfüllung).
Drittlandtransfer: je nach Infrastruktur/Integrationen ggf. SCC; Einsatz nur bei Bedarf.
Rolle: Auftragsverarbeiter.
(4) Cloud-Speicher (sofern eingesetzt)
Google Drive (Google LLC) oder Dropbox International Unlimited Company (One Park Place, Upper Hatch Street, Dublin 2, Irland)
Zweck: Ablage/Organisation von Projektdateien (Moodboards, Pläne, Renderings), Angebots-/Rechnungsentwürfe.
Datenkategorien: Projekt-/Vertragsunterlagen, Medien, Kommunikationsbezüge.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b,f.
Drittlandtransfer: bei Google LLC/Dropbox Inc. ggf. USA via SCC.
Rolle: Auftragsverarbeiter.
(5) Videokonferenz (sofern eingesetzt)
Google Meet (Google LLC) / Zoom Video Communications, Inc. / Microsoft Teams (Microsoft Ireland Operations Ltd.) / Apple FaceTime (Apple Inc.)
Zweck: Besprechungen/Projektabstimmung per Video/Audio.
Datenkategorien: Name/Display-Name, E-Mail, Meeting-Metadaten (Zeit/Teilnahme), Audio/Video-Stream; keine Aufzeichnung ohne Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Durchführung des Vertrags) bzw. lit. f.
Drittlandtransfer: je nach Anbieter SCC.
Rolle: Auftragsverarbeiter (teilweise zusätzlich eigene Verantwortlichkeit der Anbieter für Plattformbetrieb).
(6) Datei-Transfer (sofern eingesetzt)
WeTransfer B.V. (Westplein 12, 3016 BM Rotterdam, NL) oder vergleichbar
Zweck: Austausch großer Dateien (Renderings, Pläne).
Datenkategorien: Dateiinhalt, E-Mail/Download-Link, IP/Metadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b,f.
Drittlandtransfer: möglich je nach Routing/Unterauftragnehmer; SCC.
Rolle: Auftragsverarbeiter.
(7) System-E-Mails vom Shop (Squarespace)
Zweck: Bestell-/Zahlungsbestätigungen, transaktionale Kommunikation.
Rolle: über (1) Squarespace abgedeckt (Auftragsverarbeiter).
Derzeit nicht aktiv: Externe Analytics/Marketing-Pixel/Newsletter. Falls zukünftig aktiviert, werden Dienstleister (z. B. Google Analytics, Meta, Mailerlite o. ä.) nur mit Einwilligung eingesetzt und dieser Anhang entsprechend ergänzt.
⸻
B.2 Weitere Empfänger als eigenständig Verantwortliche (Controller)
(1) PayPal (Europe) S.à r.l. et Cie, S.C.A.
22–24 Boulevard Royal, L-2449 Luxembourg
Zweck: Zahlungsabwicklung (Buchung/Reservierung, Restzahlung).
Datenkategorien: Name, E-Mail, Rechnungsadresse, Betrag, Währung, Transaktions-/Zahlungs-IDs, Risikoprüfungsdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Abwicklung der Zahlung).
Rolle: Eigenständig Verantwortlicher (kein Auftragsverarbeiter).
(2) Kreditinstitute (unsere Bank / Ihre Bank)
Zweck: Empfang/Übermittlung von Überweisungen (80 %-Restzahlung), Verbuchung.
Datenkategorien: Kontoinhaber, IBAN/BIC, Verwendungszweck, Betrag, Datum.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b,c.
Rolle: Eigenständig Verantwortliche.
(3) Steuerberatung/Wirtschaftsprüfung (sofern beauftragt)
Zweck: Erfüllung gesetzlicher Pflichten (Buchführung, Jahresabschluss/Steuer).
Datenkategorien: Rechnungs-/Buchhaltungsdaten, Belege.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c,f.
Rolle: Eigenständig Verantwortliche bzw. ggf. Auftragsverarbeiter je nach Vertrag.
(4) Behörden/Finanzverwaltung/Gerichte
Zweck: Gesetzliche Auskunfts-/Nachweispflichten, Rechtsdurchsetzung/-verteidigung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c,f.
Rolle: Eigenständig Verantwortliche.
(5) Social-Media-Plattformen (bei externen Links/Profilen)
z. B. Instagram, Pinterest
Zweck: Außendarstellung/Marketing (nur bei freiwilligem Aufruf).
Datenkategorien: Plattform-Nutzungsdaten gemäß Anbieter; ggf. gemeinsame Verantwortlichkeitfür Insights (Art. 26 DSGVO) gem. Plattform-Info.
Rolle: Eigenständig Verantwortliche.
⸻
B.3 Allgemeine Hinweise zu Übermittlungen in Drittländer
Soweit im Rahmen der vorstehenden Dienste eine Verarbeitung in Drittländern (insb. USA) erfolgt, stützen wir diese auf Standardvertragsklauseln (Art. 46 DSGVO) und treffen geeignete technische/organisatorische Maßnahmen (z. B. Verschlüsselung, Need-to-Know). Ein gegenüber der EU abweichendes Datenschutzniveau kann bestehen.
B.4 Aktualität dieses Anhangs
Diese Liste wird bedarfsgerecht aktualisiert (z. B. bei Aktivierung neuer Dienste wie Newsletter/Analytics). Die jeweils gültige Fassung ist Bestandteil der Datenschutzerklärung auf unserer Website.