Cookie & Consent Policy

ENTWURF — Stand [PLATZHALTER: Datum] · Version [PLATZHALTER: vX]. Kein Ersatz für anwaltliche Prüfung; vor Live-Gang durch Fachanwält:in IT-Recht/Datenschutz gegenprüfen lassen.

Dieses Dokument ist ein nicht-anwaltlicher Textentwurf. Die konkret auf den Endgeräten der Nutzer:innen gespeicherten bzw. ausgelesenen Informationen (Cookies, localStorage, sessionStorage, IndexedDB, Pixel, SDK-Identifier) müssen vor Veröffentlichung technisch verifiziert werden (siehe § 12 sowie die mit [PLATZHALTER: technische Verifikation …] markierten Stellen). Erst nach dieser Verifikation und nach anwaltlicher Gegenprüfung darf die Richtlinie live gehen. Alle aus der Code-/Architektur abgeleiteten Angaben sind als „(aus Architektur abgeleitet — vom Betreiber zu verifizieren)" gekennzeichnet.

• § 1 Geltungsbereich, Verantwortlicher und Zweck dieser Richtlinie
• § 2 Was sind Cookies und ähnliche Technologien? (§ 25 TDDDG)
• § 3 Rechtsgrundlagen: § 25 TDDDG und Art. 6 Abs. 1 DSGVO im Zusammenspiel
• § 4 Unsere vier Einwilligungs-Kategorien
• § 5 Das Consent-Management (CMP): Funktionsweise, Banner und Auswahl-Sheet
• § 6 Layer-1 — Banner-Text (Erste Ebene)
• § 7 Layer-2 — Auswahl-Sheet-Text (Zweite Ebene / Einstellungen)
• § 8 Gestaltungsgrundsätze: keine Dark Patterns, kein Nudging
• § 9 Dienste- und Cookie-Tabelle (Name, Anbieter, Zweck, Speicherdauer, Rechtsgrundlage)
• § 10 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) und Versionslogik (policyVersion)
• § 11 Speicherung und Nachweis der Einwilligung (ConsentRecord, Anonym-Consent)
• § 12 Technische Verifikation, Drittlandtransfer und Verweise
• § 13 Änderungen dieser Richtlinie
• § 14 Verhältnis zur Datenschutzerklärung und Kontakt

(1) Gegenstand. Diese Cookie- und Einwilligungs-Richtlinie erläutert, welche Cookies und ähnlichen Technologien (zusammen „Cookies und ähnliche Technologien") auf den Web- und Mobil-Angeboten von Collavo eingesetzt werden, zu welchem Zweck dies geschieht, auf welcher Rechtsgrundlage, wie lange die jeweiligen Informationen gespeichert werden und wie Sie Ihre Einwilligung erteilen, verwalten und jederzeit widerrufen können.

(2) Erfasste Angebote. Diese Richtlinie gilt für:

• die Web-Anwendung unter der Domain collavo.ai und etwaigen Subdomains (Next.js, gehostet bei Vercel — aus Architektur abgeleitet — vom Betreiber zu verifizieren);
• die zugehörige API (NestJS, gehostet bei Railway — aus Architektur abgeleitet — vom Betreiber zu verifizieren), soweit diese Cookies setzt oder ausliest;
• die mobilen Apps für iOS und Android (Expo — aus Architektur abgeleitet — vom Betreiber zu verifizieren), soweit dort funktional vergleichbare lokale Speichertechnologien zum Einsatz kommen.

(3) Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und Diensteanbieter im Sinne des § 25 des Gesetzes über Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) ist:

[PLATZHALTER: Firmierung der Betreibergesellschaft inkl. Rechtsform, z. B. „nojoma GmbH"]

[PLATZHALTER: ladungsfähige Anschrift — Straße, Hausnummer, PLZ, Ort]

Vertreten durch: [PLATZHALTER: Vertretungsberechtigte:r / Geschäftsführer:in]

Handelsregister: [PLATZHALTER: Registergericht] · [PLATZHALTER: HRB-Nummer]

USt-IdNr.: [PLATZHALTER: USt-IdNr. nach § 27a UStG]

E-Mail: [PLATZHALTER: Kontakt-E-Mail] · Telefon: [PLATZHALTER: Telefon, sofern angegeben]

(4) Datenschutzbeauftragte:r. [PLATZHALTER: Name/Funktion und Kontaktdaten der/des Datenschutzbeauftragten, falls bestellt — andernfalls Hinweis „Ein:e Datenschutzbeauftragte:r ist nicht bestellt; gesetzlich nicht verpflichtend." nach anwaltlicher Prüfung der Bestellpflicht gem. Art. 37 DSGVO / § 38 BDSG].

(5) Zuständige Aufsichtsbehörde. [PLATZHALTER: zuständige Landes-Datenschutzaufsichtsbehörde nach Firmensitz].

(6) Zweck dieser Richtlinie. Diese Richtlinie ergänzt die allgemeine Datenschutzerklärung (siehe § 14) um die spezifischen Informations- und Einwilligungspflichten zur Speicherung von und zum Zugriff auf Informationen in Ihrem Endgerät. Sie ist eigenständig abrufbar und über das Consent-Banner sowie den Footer verlinkt.

(1) Cookies sind kleine Textdateien, die eine Website oder App in Ihrem Browser bzw. auf Ihrem Endgerät speichert. Sie ermöglichen es, Ihr Endgerät bei einem erneuten Aufruf wiederzuerkennen oder bestimmte Informationen (z. B. eine Anmelde-Sitzung) für die Dauer der Nutzung vorzuhalten.

(2) Ähnliche Technologien. Funktional vergleichbar mit Cookies sind unter anderem localStorage, sessionStorage, IndexedDB, Web-/Tracking-Pixel, Geräte-Identifier sowie SDK-gestützte lokale Speicher in mobilen Apps. Soweit über diese Technologien Informationen in Ihrem Endgerät gespeichert oder aus diesem ausgelesen werden, gelten dieselben rechtlichen Anforderungen wie für Cookies.

(3) Rechtlicher Anknüpfungspunkt — § 25 TDDDG. Nach § 25 Abs. 1 TDDDG ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits gespeicherte Informationen grundsätzlich nur mit Einwilligung zulässig. Eine Ausnahme besteht nach § 25 Abs. 2 TDDDG nur, wenn der alleinige Zweck die Durchführung einer Nachrichtenübertragung ist (Nr. 1) oder wenn die Speicherung/der Zugriff unbedingt erforderlich ist, damit ein vom Nutzer ausdrücklich gewünschter digitaler Dienst zur Verfügung gestellt werden kann (Nr. 2 — technisch notwendige Cookies).

(4) Unterscheidung Erstanbieter/Drittanbieter.

• Erstanbieter-Cookies werden von Collavo bzw. der Domain collavo.ai gesetzt.
• Drittanbieter-Cookies/-Technologien werden von eingebundenen Dienstleistern gesetzt (siehe § 9). Soweit Drittdienste personenbezogene Daten verarbeiten, kann eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder eine Auftragsverarbeitung (Art. 28 DSGVO) bestehen; Einzelheiten regelt die Datenschutzerklärung.

(1) Zwei-Stufen-Prüfung. Der Einsatz von Cookies und ähnlichen Technologien wird stets in zwei Schritten beurteilt:

1. Stufe 1 — Speicherung/Zugriff (§ 25 TDDDG): Darf überhaupt etwas in Ihrem Endgerät gespeichert oder aus diesem ausgelesen werden? Antwort: nur mit Einwilligung (§ 25 Abs. 1) oder im Rahmen der Erforderlichkeitsausnahme (§ 25 Abs. 2).
2. Stufe 2 — anschließende Datenverarbeitung (Art. 6 Abs. 1 DSGVO): Werden die ausgelesenen/gespeicherten Informationen anschließend als personenbezogene Daten weiterverarbeitet, bedarf auch diese Verarbeitung einer Rechtsgrundlage.

(2) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. Art. 7 DSGVO und § 25 Abs. 1 TDDDG). Für alle nicht unbedingt erforderlichen Cookies/Technologien (Kategorien preferences, analytics, marketing) holen wir Ihre vorherige, freiwillige, informierte und durch eindeutige bestätigende Handlung erklärte Einwilligung ein. Diese kann jederzeit mit Wirkung für die Zukunft widerrufen werden (§ 10).

(3) Erforderlichkeit (§ 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b und/oder lit. f DSGVO). Technisch notwendige Cookies (Kategorie essential) werden ohne Einwilligung gesetzt, weil sie für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes unbedingt erforderlich sind (z. B. Anmelde-Sitzung, Speicherung Ihrer Cookie-Entscheidung selbst). Die anschließende Datenverarbeitung stützt sich, je nach Funktion, auf die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO) bzw. auf unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

(4) Keine Kopplung. Die Nutzung der nicht einwilligungspflichtigen Kernfunktionen von Collavo ist nicht davon abhängig, dass Sie in preferences, analytics oder marketing einwilligen (siehe § 8 Abs. 4).

(5) Einwilligungsfähigkeit / Minderjährige. Eine wirksame Einwilligung setzt Einwilligungsfähigkeit voraus. Für Dienste der Informationsgesellschaft, die einem Kind direkt angeboten werden, ist die Einwilligung des Kindes nach Art. 8 DSGVO nur rechtmäßig, wenn das Kind das nach nationalem Recht maßgebliche Mindestalter erreicht hat (in Deutschland regelmäßig 16 Jahre); andernfalls bedarf es der Zustimmung bzw. Genehmigung der Träger:innen der elterlichen Verantwortung. Daneben ist bei Minderjährigen die zivilrechtliche Wirksamkeit (Geschäftsfähigkeit, §§ 104 ff. BGB) zu beachten. [PLATZHALTER: Festlegung des Mindestalters für die Nutzung sowie der Behandlung Minderjähriger im Consent-Prozess — abzustimmen mit AGB und Datenschutzerklärung; anwaltlich zu bestätigen.]

Das Consent-Management von Collavo unterscheidet vier Kategorien. Die Kategorie essential ist technisch gesperrt (nicht abwählbar), weil unbedingt erforderlich; die übrigen drei sind standardmäßig deaktiviert und werden erst nach Ihrer aktiven Zustimmung aktiviert.

Hinweis (aus Architektur abgeleitet — vom Betreiber zu verifizieren): Die Vier-Kategorien-Logik (essential gesperrt, preferences, analytics, marketing) entspricht der im Consent-CMP von Collavo umgesetzten Struktur. Welche konkreten Dienste den Kategorien preferences und marketing tatsächlich zugeordnet sind, ist vor Live-Gang technisch zu verifizieren (siehe § 9 und § 12). Sollte eine Kategorie aktuell ohne zugeordneten Dienst „leer" sein, ist sie im Banner entweder auszublenden oder als „derzeit nicht genutzt" zu kennzeichnen — andernfalls droht eine irreführende Einwilligungsabfrage.

(1) Zwei-Ebenen-Modell. Beim ersten Aufruf — und nach jeder relevanten Aktualisierung (§ 10) — erscheint ein zweistufiges Einwilligungs-Tool:

• Ebene 1 (Layer-1-Banner): kompakte Erstinformation mit gleichwertigen Schaltflächen „Alle akzeptieren" und „Alle ablehnen" sowie „Einstellungen". Der Banner blockiert nicht-essentielle Cookies, bis eine Entscheidung getroffen wurde.
• Ebene 2 (Layer-2-Sheet / Einstellungen): granulare Auswahl pro Kategorie mit gleichwertigen Annahme-/Ablehnungsoptionen und detaillierter Dienste-Übersicht.

(2) Standardzustand. Vor einer Entscheidung sind ausschließlich essential-Cookies aktiv. Die Kategorien preferences, analytics und marketing sind vorbelegt mit „aus" (keine vorangekreuzten Kästchen — vgl. EuGH, Urteil vom 01.10.2019, C-673/17 „Planet49"; BGH, Urteil vom 28.05.2020, I ZR 7/16 „Cookie-Einwilligung II"). [PLATZHALTER: vor Live-Gang die zitierte Rechtsprechung über frei zugängliche Quellen (z. B. curia.europa.eu, bundesgerichtshof.de) auf Aktualität prüfen.]

(3) Keine Wirkung ohne Handlung. Bloßes Weiterscrollen, Schließen des Banners über ein „X" oder das fortgesetzte Nutzen der Seite gilt nicht als Einwilligung. Eine Einwilligung wird ausschließlich durch aktives Betätigen einer Zustimmungs-Schaltfläche oder durch Aktivierung einzelner Kategorien und anschließendes Speichern erteilt.

(4) Anonyme Vor-Login-Einwilligung. Die Einwilligungsentscheidung wird auch ohne Benutzerkonto erfasst und einem pseudonymen, mittels HMAC abgesicherten Consent-Identifier zugeordnet (Anonym-Consent-Cookie; siehe § 9 und § 11). Loggen Sie sich später ein, kann die Entscheidung Ihrem Konto zugeordnet werden (aus Architektur abgeleitet — vom Betreiber zu verifizieren).

Der nachfolgende Text ist als unmittelbar einsetzbarer Banner-Text (de) formuliert. Eine gleichwertige englische Fassung ist bereitzustellen (UI de+en). Beide Sprachfassungen müssen inhaltlich und gestalterisch gleichwertig sein.

Überschrift: Ihre Privatsphäre — Sie entscheiden

Fließtext:

Wir verwenden Cookies und ähnliche Technologien. Manche davon sind technisch notwendig, damit Collavo funktioniert (z. B. um Sie angemeldet zu halten und Ihre Cookie-Entscheidung zu speichern). Andere setzen wir nur mit Ihrer Einwilligung ein — etwa für Komforteinstellungen, zur pseudonymen Reichweitenmessung oder für Marketing.

Sie können alle optionalen Cookies akzeptieren, alle ablehnen oder einzeln auswählen. Ihre Entscheidung gilt für die Zukunft und ist jederzeit unter „Cookie-Einstellungen" im Seitenfuß widerrufbar. Notwendige Cookies sind immer aktiv und lassen sich nicht abwählen.

Mehr Informationen finden Sie in unserer [Cookie-Richtlinie] und in der [Datenschutzerklärung].

Schaltflächen (gleichrangig, gleich gestaltet — gleiche Größe, Farbe, Position):

[ Alle ablehnen ] [ Einstellungen ] [ Alle akzeptieren ]

Gestaltungsvorgabe (verbindlich): „Alle ablehnen" und „Alle akzeptieren" müssen optisch gleichwertig sein (identische Größe, gleicher Kontrast, keine farbliche oder typografische Hervorhebung einer Option, keine Vorauswahl/Fokus zugunsten von „Akzeptieren"). Es darf keine Option als „empfohlen" markiert, ausgegraut, verkleinert oder weniger zugänglich dargestellt werden. Reihenfolge und Position sind so zu wählen, dass keine Option benachteiligt wird (siehe § 8).

Öffnet sich bei Klick auf „Einstellungen". Granular pro Kategorie mit Ein/Aus-Schaltern (Standard: aus, außer essential). Jede Kategorie ist aufklappbar und zeigt die zugeordneten Dienste.

Überschrift: Cookie-Einstellungen

Einleitung:

Hier entscheiden Sie selbst, welche Kategorien Sie zulassen. Technisch notwendige Cookies sind für den Betrieb erforderlich und daher immer aktiv. Alle übrigen Kategorien sind standardmäßig deaktiviert; Sie aktivieren sie durch Umlegen des jeweiligen Schalters. Ihre Auswahl speichern Sie mit „Auswahl speichern". Sie können Ihre Entscheidung jederzeit ändern oder widerrufen.

1. Notwendig (essential) — immer aktiv

[ Schalter: AN, gesperrt ]

Diese Cookies sind für den Betrieb von Collavo unbedingt erforderlich und können nicht deaktiviert werden. Sie ermöglichen z. B. die sichere Anmelde-Sitzung, grundlegende Sicherheitsfunktionen und die Speicherung Ihrer Cookie-Entscheidung. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b und lit. f DSGVO.

→ Dienste anzeigen (siehe Tabelle § 9)

2. Präferenzen (preferences)

[ Schalter: AUS ]

Speichert Komforteinstellungen über die reine Sitzung hinaus, etwa Ihre Sprachwahl (Deutsch/Englisch) und Anzeige-Präferenzen, damit Sie diese nicht erneut treffen müssen. Rechtsgrundlage: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO.

→ Dienste anzeigen

3. Statistik / Reichweite (analytics)

[ Schalter: AUS ]

Hilft uns, die Nutzung pseudonym zu messen, Fehler zu erkennen und Collavo zu verbessern. Es werden keine unmittelbar identifizierenden Profile zu Werbezwecken gebildet. Rechtsgrundlage: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO.

→ Dienste anzeigen

4. Marketing (marketing)

[ Schalter: AUS ]

Ermöglicht die Wiedererkennung für Marketing-/Remarketing-Zwecke sowie die Erfolgsmessung von Kampagnen, ggf. dienst-/geräteübergreifend. Rechtsgrundlage: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO. [PLATZHALTER: technische Verifikation, ob in dieser Kategorie tatsächlich Dienste aktiv sind; falls nein, Kategorie ausblenden oder als „derzeit nicht genutzt" kennzeichnen.]

→ Dienste anzeigen

Schaltflächen (gleichrangig):

[ Alle ablehnen ] [ Auswahl speichern ] [ Alle akzeptieren ]

Fußzeile des Sheets:

Weitere Informationen: [Cookie-Richtlinie] · [Datenschutzerklärung] · [Impressum]

Verantwortlicher: [PLATZHALTER: Firmierung]. Ihre Einwilligung gilt für die Version [PLATZHALTER: aktuelle policyVersion]. Stand: [PLATZHALTER: Datum].

Die Gestaltung des Consent-Tools folgt den Vorgaben des EuGH, des BGH, den Leitlinien des Europäischen Datenschutzausschusses (EDSA/EDPB) zu „deceptive design patterns" sowie der deutschen Aufsichtsbehörden. Insbesondere gilt:

(1) Gleichwertigkeit der Optionen. „Alle ablehnen" ist auf jeder Ebene mit demselben Aufwand erreichbar wie „Alle akzeptieren" (gleiche Klick-Tiefe, gleiche Sichtbarkeit). Es gibt keine Ebene, auf der nur Zustimmen, aber nicht Ablehnen möglich ist.

(2) Keine optische Manipulation. Keine Hervorhebung der Zustimmungs-Schaltfläche durch Farbe, Größe, Kontrast, Animation oder Vorfokus; keine Abwertung der Ablehnen-Option (z. B. als grauer Textlink). Beide Hauptoptionen sind als gleichwertige Buttons gestaltet.

(3) Keine vorangekreuzten Kästchen. Optionale Kategorien sind ausnahmslos mit „aus" vorbelegt. Eine Einwilligung „in Bausch und Bogen" ohne aktive Handlung findet nicht statt.

(4) Keine Kopplung / kein Nudging über Zwang. Die Kernfunktionen von Collavo bleiben nutzbar, auch wenn Sie ausschließlich notwendige Cookies zulassen. Es erfolgt keine wiederholte, belästigende Wiedervorlage des Banners allein deshalb, weil Sie abgelehnt haben (kein „nag-walling"). [PLATZHALTER: Betreiber-/Anwaltsentscheidung, ob und in welcher Frequenz eine erneute Abfrage bei abgelehnter Einwilligung erfolgt — empfohlen: keine erneute Abfrage vor Ablauf eines angemessenen Zeitraums bzw. vor Versionswechsel, siehe § 10.]

(5) Klarer, verständlicher Text. Keine irreführenden Formulierungen, keine doppelten Verneinungen, keine Suggestivsprache („Wir respektieren Ihre Privatsphäre — akzeptieren Sie alles"). Fachbegriffe werden erläutert.

(6) Symmetrie beim Widerruf. Der Widerruf ist so einfach wie die Erteilung (Art. 7 Abs. 3 Satz 4 DSGVO): dauerhaft erreichbarer Link „Cookie-Einstellungen" im Seitenfuß, der dasselbe Sheet öffnet.

(7) Barrierefreiheit. Das Tool ist tastaturbedienbar, screenreader-tauglich und kontraststark (Orientierung an WCAG / BFSG). [PLATZHALTER: Bestätigung der Barrierefreiheits-Konformität durch den Betreiber.]

(8) Getrennte Einholung von Cookie-Einwilligung und Vertrags-/AGB-Zustimmung. Die Einwilligung in nicht erforderliche Cookies/Technologien wird ausschließlich über das Consent-Tool eingeholt und ist von der Zustimmung zu den AGB oder zum Abschluss eines (kostenpflichtigen) Vertrags — etwa bei der Registrierung oder beim Abschluss kostenpflichtiger Pläne — strikt getrennt. Die Cookie-Einwilligung wird nicht mit der Registrierung, der AGB-Akzeptanz oder dem Vertragsschluss gebündelt; die Erbringung der vertraglichen Leistung wird nicht von der Erteilung nicht erforderlicher Cookie-Einwilligungen abhängig gemacht (Freiwilligkeit, Kopplungsverbot, Art. 7 Abs. 4 DSGVO).

Wichtiger Verifikationshinweis. Die nachfolgende Tabelle listet die nach derzeitigem Architekturstand erwarteten Cookies/Speichereinträge. Die konkreten technischen Namen, Werte und Speicherdauern sind vor Veröffentlichung mit den Entwicklungs-Tools des Browsers (Application → Storage) und im Quellcode zu verifizieren und ggf. zu ergänzen/korrigieren. Jede Stelle, die einer technischen Bestätigung bedarf, ist mit [PLATZHALTER: technische Verifikation …] markiert.

9.1 Kategorie essential (notwendig — immer aktiv)

(1) Jederzeitiger Widerruf. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 Satz 1 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt (Art. 7 Abs. 3 Satz 2 DSGVO).

(2) So widerrufen Sie.

• Über den dauerhaft verfügbaren Link „Cookie-Einstellungen" im Seitenfuß; dort legen Sie Kategorien wieder auf „aus" und speichern.
• Alternativ durch Löschen der Cookies in Ihren Browser-/Geräteeinstellungen (entfernt allerdings auch die gespeicherte Entscheidung, sodass der Banner erneut erscheint).

(3) Technische Umsetzung des Widerrufs. Ein Widerruf wird im System nicht durch Löschen, sondern durch einen neuen, ergänzenden Eintrag im append-only-Einwilligungsprotokoll (ConsentRecord) abgebildet: Es wird ein neuer Datensatz mit dem aktualisierten Einwilligungsstatus geschrieben, der den vorherigen Stand ablöst (aus Architektur abgeleitet — vom Betreiber zu verifizieren). Dadurch bleibt die Einwilligungshistorie revisionssicher nachvollziehbar (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

(4) Versionslogik (policyVersion). Jede Einwilligung wird mit der zum Zeitpunkt der Erteilung gültigen Versionskennung der Cookie-/Consent-Richtlinie (policyVersion) gespeichert. Ändern sich die eingesetzten Dienste, Zwecke oder Kategorien wesentlich, wird die policyVersion erhöht. Ihre frühere Einwilligung verliert dann ihre Deckungswirkung für die neuen Punkte, und das Consent-Tool wird Ihnen erneut vorgelegt, damit Sie auf aktualisierter Grundlage entscheiden können. Unwesentliche, rein redaktionelle Änderungen lösen keine erneute Abfrage aus. [PLATZHALTER: Betreiber-/Anwaltsentscheidung, welche Änderungen als „wesentlich" gelten und eine Versionserhöhung samt Re-Consent auslösen.]

(5) Auswirkungen des Widerrufs. Nach Widerruf werden die betroffenen Cookies/Technologien nicht mehr neu gesetzt; bereits gesetzte Drittanbieter-Cookies bleiben ggf. bis zu ihrem Ablauf bestehen und können von Ihnen im Browser gelöscht werden. Wir veranlassen, dass die zugehörige Verarbeitung eingestellt wird, soweit sie allein auf der Einwilligung beruhte.

(6) Höchstgültigkeitsdauer der Einwilligung (Re-Consent-Intervall). Eine erteilte Einwilligung gilt nicht zeitlich unbegrenzt. Unabhängig von einer Versionserhöhung (Abs. 4) legen wir die Einwilligungsabfrage nach Ablauf eines angemessenen Zeitraums erneut vor, damit Sie auf aktueller Grundlage entscheiden können. In Anlehnung an die Empfehlungen der deutschen Datenschutzaufsichtsbehörden (DSK) ist hierfür ein Intervall von in der Regel 12 Monaten vorgesehen. [PLATZHALTER: konkrete Höchstgültigkeitsdauer/Re-Consent-Intervall durch Betreiber/Anwält:in verbindlich festlegen — empfohlen max. 12 Monate.]

(1) Nachweisbarkeit (Art. 7 Abs. 1 DSGVO). Wir müssen nachweisen können, dass Sie eingewilligt haben. Dazu protokollieren wir je Einwilligungs-/Widerrufsvorgang mindestens: den Zeitpunkt, die erteilte Kategorie-Auswahl, die policyVersion sowie eine pseudonyme Zuordnung (vor Login über den HMAC-gesicherten Anonym-Consent-Identifier; nach Login ggf. über die Konto-Zuordnung). Aus Architektur abgeleitet — vom Betreiber zu verifizieren.

(2) Append-only-Protokoll. Die Einträge im ConsentRecord werden ausschließlich ergänzend hinzugefügt (append-only); ein Widerruf erfolgt durch Neueintrag (§ 10 Abs. 3). Dadurch ist die Historie manipulationsarm und revisionssicher.

(3) Keine überschießende Datenerhebung. Im Einwilligungsprotokoll werden nur die zur Nachweisführung erforderlichen Daten gespeichert (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). [PLATZHALTER: technische Verifikation, ob und ggf. welche weiteren Metadaten (z. B. gekürzte IP, User-Agent) gespeichert werden; Erforderlichkeit prüfen.]

(4) Speicherdauer des Protokolls. Die Einwilligungsnachweise werden für die Dauer der Nachweis- und Verjährungsbedürfnisse aufbewahrt. [PLATZHALTER: konkrete Aufbewahrungsfrist für ConsentRecord festlegen — üblich an Verjährungsfristen orientiert; anwaltlich bestimmen.]

(1) Pflicht zur technischen Verifikation vor Live-Gang. Vor Veröffentlichung sind insbesondere zu prüfen und zu dokumentieren:

• die tatsächlich gesetzten Cookies/Speichereinträge je Kategorie (Browser-DevTools: Application → Cookies/Storage; mobile App: lokale Speicher);
• exakte Namen, Werte (pseudonym), Speicherdauern, Erst-/Drittanbietereigenschaft;
• ob preferences/marketing tatsächlich belegt sind (sonst ausblenden);
• ob analytics (Vercel Web Analytics) cookielos arbeitet oder Speicher nutzt;
• ob das Setzen nicht-essentieller Technologien technisch tatsächlich erst nach erteilter Einwilligung erfolgt (Prior-Consent-Gate).

(2) Drittlandtransfer. Mehrere genannte Dienste haben ihren Sitz in den USA bzw. übermitteln Daten in Drittländer (z. B. Vercel, OpenAI, Meta, Google, Cloudflare, Stripe, SendGrid — aus Architektur abgeleitet). Diese Transfers sind über geeignete Garantien nach Kapitel V DSGVO abzusichern (insb. EU-Standardvertragsklauseln und ein dokumentiertes Transfer-Impact-Assessment, ggf. EU-US Data Privacy Framework, soweit der jeweilige Anbieter unter dem DPF zertifiziert ist). Bei einwilligungsbasierten Marketing-/Analytics-Diensten kommt daneben ein Transfer auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) in Betracht; dieser Ausnahmetatbestand ist jedoch nur eingeschränkt und nicht für regelmäßige Transfers tragfähig und daher nicht als Standard-Transfermechanismus heranzuziehen. Die je Dienst gewählte Transfergrundlage ist mit der Datenschutzerklärung und dem AVV konsistent zu halten. [PLATZHALTER: Verifikation der Transfermechanismen und des DPF-Zertifizierungsstatus je Dienst; aufsichtsrechtlich/anwaltlich zu bestätigen.] Einzelheiten regelt die Datenschutzerklärung.

(3) Verweise. Diese Richtlinie ergänzt:

• die Datenschutzerklärung unter /legal/datenschutz (umfassende Informationen nach Art. 13/14 DSGVO),
• die Datenlöschungs-Anleitung unter /legal/datenloeschung,
• das Impressum nach § 5 DDG.

(1) Wir passen diese Cookie- und Einwilligungs-Richtlinie an, wenn sich die eingesetzten Technologien, Dienste, Zwecke oder die Rechtslage ändern.

(2) Bei wesentlichen Änderungen erhöhen wir die policyVersion und legen Ihnen das Consent-Tool erneut vor (§ 10 Abs. 4). Die jeweils aktuelle Fassung ist mit Versionsnummer und Stand am Ende dieses Dokuments sowie über den Footer abrufbar.

(3) Stand der vorliegenden Fassung: Version [PLATZHALTER: vX], [PLATZHALTER: Datum].

(1) Diese Richtlinie behandelt speziell die Speicherung von und den Zugriff auf Informationen in Ihrem Endgerät (§ 25 TDDDG) sowie die darauf gestützten Einwilligungen. Alle weiteren Informationen zur Verarbeitung personenbezogener Daten — einschließlich Ihrer Betroffenenrechte (Art. 15–22 DSGVO), Empfänger, Speicherdauern und Drittlandtransfers — finden Sie in der Datenschutzerklärung unter /legal/datenschutz.

(2) Ihre Rechte. Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie auf Widerruf erteilter Einwilligungen und auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständige Aufsichtsbehörde: [PLATZHALTER: zuständige Landes-Datenschutzaufsichtsbehörde nach Firmensitz].

(3) Kontakt. Bei Fragen zu Cookies und Einwilligungen: [PLATZHALTER: Kontakt-E-Mail / Datenschutz-Kontakt]. Datenschutzbeauftragte:r: [PLATZHALTER: Kontakt, falls bestellt].