Datenschutz­erklärung

1. Verantwortlicher

Mehmet Sürmeli
Wibbeltstraße 20 · 48683 Ahaus · Deutschland
Telefon: +49 179 3983937
E-Mail: hallo@msuermeli.com

2. Hosting & Server-Logfiles

Diese Website wird auf einem Server der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Hetzner ist Auftragsverarbeiter gemäß Art. 28 DSGVO; ein entsprechender Auftragsverarbeitungsvertrag liegt vor. Die Server stehen ausschließlich in Rechenzentren innerhalb der Europäischen Union (Deutschland).

Beim Aufruf der Seite verarbeitet der Webserver technische Logdaten, die dein Browser automatisch übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), Zugriffsstatus / HTTP-Statuscode, jeweils übertragene Datenmenge, Website, von der die Anforderung kommt, Browsertyp, Sprache und Version der Browsersoftware, Betriebssystem und dessen Oberfläche.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und IT-Sicherheit). Die Logdaten werden für maximal 14 Tage gespeichert und dann automatisch gelöscht, sofern keine sicherheits­relevanten Vorfälle eine längere Aufbewahrung erfordern.

3. Cookies & lokale Speicherung

Diese Website setzt nur Cookies oder vergleichbare Speicherzugriffe (z. B. localStorage), wenn du der Nutzung von Statistik-Diensten ausdrücklich zugestimmt hast.

Notwendige Speicherung: Deine Cookie-Auswahl wird in deinem Browser unter dem Schlüssel cookie-consent gespeichert, damit der Banner nicht bei jedem Besuch erneut erscheint. Dies ist zur ordnungsgemäßen Bereitstellung des Dienstes erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

Optionale Speicherung: Statistik-Cookies von Google Analytics werden nur gesetzt, wenn du im Cookie-Banner aktiv zugestimmt hast. Du kannst deine Einwilligung jederzeit widerrufen, indem du im Footer auf „Cookie-Einstellungen" klickst.

4. Reichweitenmessung mit Google Analytics 4

Diese Website nutzt nach deiner Einwilligung Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Anbieterin in Drittländern (USA): Google LLC.

Zweck: Auswertung der Nutzung der Website, um Inhalte und Reichweite zu verbessern.

Verarbeitete Daten: IP-Adresse (gekürzt durch anonymize_ip), aufgerufene Seiten, Verweildauer, Geräte- und Browserinformationen, ungefähre Region (auf Stadtebene), Referrer-URL, ein zufällig generierter Client-Identifier.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG (Einwilligung). Vor deiner Einwilligung werden keinerlei Tracking-Daten an Google übermittelt; das Skript wird erst nach Klick auf „Akzeptieren" nachgeladen.

Drittlandtransfer: Bei der Nutzung von Google Analytics findet eine Übermittlung von Daten in die USA statt. Google ist nach dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Ergänzend bestehen mit Google die EU-Standardvertragsklauseln.

Speicherdauer: 14 Monate (GA4-Default); danach automatische Löschung.

Widerruf: Klick auf „Cookie-Einstellungen" im Footer → Statistik-Schalter deaktivieren → „Auswahl speichern". Bereits übertragene Daten werden dadurch nicht rückwirkend gelöscht; ab dem Widerruf erfolgt keine weitere Verarbeitung. Datenschutzerklärung von Google: policies.google.com/privacy.

5. Kontaktformular & E-Mail-Versand (Brevo)

Wenn du das Kontaktformular auf dieser Seite nutzt, werden Name, E-Mail-Adresse und Nachrichtentext zur Bearbeitung deiner Anfrage verarbeitet. Die Übertragung erfolgt verschlüsselt (HTTPS) an einen kleinen Vermittler-Dienst auf demselben Server (Hetzner, Deutschland), der die Anfrage als transaktionale E-Mail über Brevo (Sendinblue Group SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich) an mich weiterleitet. Server-Standorte von Brevo liegen in der Europäischen Union; mit Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Spam-Schutz: Zur Abwehr automatisierter Anfragen wird deine IP-Adresse ausschließlich flüchtig für eine ratenbasierte Drosselung im Arbeitsspeicher gehalten (max. 60 Sekunden) und nicht in der weitergeleiteten E-Mail oder einer Datenbank gespeichert. Zusätzlich kommt ein für Menschen unsichtbares „Honeypot"-Feld zum Einsatz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung vorvertraglicher Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Anfragen sowie an der Abwehr von Missbrauch).

Speicherdauer: Anfragen werden gelöscht, sobald sie abschließend bearbeitet sind und keine gesetzlichen Aufbewahrungspflichten (z. B. handelsrechtliche oder steuerrechtliche) entgegenstehen.

Datenschutzerklärung von Brevo: brevo.com/legal/privacypolicy.

6. Schutz des Kontaktformulars (Google reCAPTCHA v3)

Zur zusätzlichen Abwehr automatisierter Spam- und Missbrauchs-Anfragen setzen wir auf der Kontaktseite Google reCAPTCHA v3 ein, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Anbieterin in Drittländern (USA): Google LLC.

Funktionsweise: reCAPTCHA v3 läuft im Hintergrund und ohne Klick-Interaktion. Beim Senden des Kontaktformulars wird ein Vertrauensscore ermittelt; bei zu niedrigem Score wird die Anfrage stillschweigend verworfen, ohne dass eine E-Mail ausgelöst wird.

Verarbeitete Daten: IP-Adresse, Referrer-URL, Verweildauer, Maus- und Tastatur-Bewegungen auf der Seite, Browser- und Geräteinformationen sowie ein von Google gesetzter Cookie-Identifier.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von automatisiertem Missbrauch des Kontaktformulars und an der IT-Sicherheit). Das reCAPTCHA-Skript wird erst geladen, wenn du das Kontaktformular aktiv anfasst (Fokus oder Klick) — vorher findet keinerlei Verbindung zu Google statt.

Drittlandtransfer: Bei der Nutzung von reCAPTCHA findet eine Übermittlung von Daten in die USA statt. Google ist nach dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Ergänzend bestehen mit Google die EU-Standardvertragsklauseln.

Datenschutz und Nutzungsbedingungen von reCAPTCHA: policies.google.com/privacy · policies.google.com/terms.

7. Newsletter (Brevo, Double-Opt-In)

Wenn du dich für meinen Newsletter einträgst, werden deine E-Mail-Adresse und Anmeldemetadaten (Zeitstempel, IP-Adresse zum Zeitpunkt der Anmeldung sowie zum Zeitpunkt der Bestätigung) an Brevo übermittelt und dort gespeichert. Brevo (Sendinblue Group SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich) ist Auftragsverarbeiter gemäß Art. 28 DSGVO mit Server-Standort in der Europäischen Union.

Double-Opt-In-Verfahren: Nach der Eintragung erhältst du eine Bestätigungs-E-Mail mit einem Aktivierungslink. Erst nach dem Klick auf diesen Link wirst du in den Verteiler aufgenommen. Ohne Bestätigung werden deine Daten nach kurzer Zeit automatisch gelöscht.

Inhalt: Gelegentliche Updates aus dem Salon-Vertrieb — neue Marken im Saykos-Sortiment, Aktionen, Insights und persönliche Empfehlungen. Keine feste Frequenz, keine Werbung Dritter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 7 Abs. 2 Nr. 3 UWG.

Speicherdauer: Bis zum Widerruf deiner Einwilligung. Anmeldemetadaten werden zum Nachweis der Einwilligung dauerhaft gespeichert (berechtigtes Interesse an der Erfüllung von Rechenschafts­pflichten, Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO).

Widerruf: Jederzeit über den „Abmelden"-Link am Fuß jeder Newsletter-E-Mail oder formlos per E-Mail an hallo@msuermeli.com. Der Widerruf hat keine Auswirkung auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

8. Schriftarten

Die verwendeten Schriftarten Geist und Geist Mono werden ausschließlich von einem eigenen Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google Fonts oder einem anderen Drittanbieter-CDN beim Laden der Schriftarten statt. Es werden hierdurch keine Daten an Dritte übermittelt.

9. Externe Verlinkungen

Diese Seite enthält Links zu externen Diensten (LinkedIn, Instagram, TikTok, WhatsApp, Cal.com, saykos.de). Es werden erst dann Daten an diese Dienste übermittelt, wenn du den jeweiligen Link aktiv anklickst. Für die Verarbeitung deiner Daten auf den Zielseiten sind die jeweiligen Anbieter verantwortlich.

10. Instagram-Feed

Auf dieser Seite werden Vorschaubilder und Texte aus meinem öffentlichen Instagram-Profil eingebunden. Die Bilder werden zum Build-Zeitpunkt über die offizielle Instagram-Graph-API der Meta Platforms Ireland Limited abgerufen und anschließend statisch von meinem eigenen Server ausgeliefert. Beim bloßen Anschauen der Vorschau findet kein Tracking durch Meta statt; erst beim Klick auf einen Post öffnet sich das Original-Posting auf instagram.com.

11. Datensicherheit (Art. 32 DSGVO)

Diese Website wird ausschließlich verschlüsselt über HTTPS/TLS 1.2+ ausgeliefert; eine Erzwingung von HTTPS erfolgt zusätzlich über den HSTS-Header (max-age 1 Jahr, includeSubDomains). Die Auslieferung der statischen Inhalte erfolgt durch einen gehärteten nginx-Container mit aktiven Sicherheitsheadern (Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy).

Der vorgeschaltete Mail-Vermittler (siehe Ziffer 5) läuft als isolierter Container im selben privaten Docker-Netzwerk und ist nicht direkt aus dem Internet erreichbar. API-Zugangsdaten zu Brevo und Google reCAPTCHA werden ausschließlich als verschlüsselte Server-Secrets gespeichert und niemals im Quellcode oder im Browser ausgeliefert.

Server-Updates und Patches werden zeitnah eingespielt. Backups werden ausschließlich innerhalb der Europäischen Union vorgehalten.

12. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO statt. Insbesondere werden auf Grundlage der über diese Website verarbeiteten Daten keinerlei Entscheidungen getroffen, die rechtliche Wirkung gegenüber Betroffenen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

13. Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch gegen die Verarbeitung (Art. 21). Bei einwilligungsbasierter Verarbeitung (z. B. Google Analytics) kannst du deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Anfragen richtest du formlos an hallo@msuermeli.com.

14. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe steht dir das Recht zu, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts oder des Orts der mutmaßlichen Verletzung. Zuständige Aufsichtsbehörde für mich:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4 · 40213 Düsseldorf
www.ldi.nrw.de

15. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, sobald sich an den eingesetzten Diensten, Verarbeitungszwecken oder rechtlichen Vorgaben etwas ändert. Stand: 30. April 2026.