Wir verwenden Cookies, um Ihre Erfahrung auf unserer Website zu verbessern. Durch die Nutzung unserer Website stimmen Sie der Verwendung von Cookies zu. Wenn Sie Cookies ablehnen, werden nicht notwendige Cookies nicht geladen. Mehr erfahren
DSGVO-konforme Rechtstexte für Victor AS Bau
Alle nachfolgenden Texte sind auf dem Stand März 2026 für ein Berliner Einzelunternehmen im Handwerk erstellt, das über eine Landingpage und Meta-Werbung Leads für Badsanierung generiert. Die Dokumente decken die Pflichtangaben nach DSGVO, DDG (ehemals TMG) und TDDDG ab. Drei vollständige, kopierfähige Texte — Datenschutzerklärung, Impressum, Einwilligungshinweis — folgen unten, ergänzt durch rechtliche Erläuterungen zu Meta-Werbung und Formular-Consent.
Wichtiger Hinweis: Diese Texte wurden auf Basis aktueller Rechtsprechung und behördlicher Vorgaben recherchiert. Sie ersetzen keine individuelle Rechtsberatung. Für eine verbindliche rechtliche Prüfung sollte ein auf Datenschutzrecht spezialisierter Anwalt konsultiert werden.
1. Vollständige Datenschutzerklärung
Den folgenden Text als eigene Unterseite unter
/datenschutz
veröffentlichen und im Footer jeder Seite verlinken.
Datenschutzerklärung
1. Verantwortlicher und Kontakt
Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Victor AS Bau Inh. Victor Isac Segewaldweg 55 12557 Berlin
Wir verarbeiten personenbezogene Daten unserer Websitebesucher und Interessenten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.
3. Hosting und technische Bereitstellung
Diese Website wird über die Plattform Systeme.io (Betreiber: ITACWT Limited, 2 Cruise Park Rise, Tyrrelstown, Dublin 15, Irland) bereitgestellt.
[Alternative, falls GoHighLevel genutzt wird: Diese Website wird über die Plattform GoHighLevel (Betreiber: HighLevel Inc., 400 N Saint Paul St, Suite 920, Dallas, TX 75201, USA) bereitgestellt.]
Beim Aufruf unserer Website werden durch den Hosting-Anbieter automatisch Informationen in sogenannten Server-Logfiles erfasst, die Ihr Browser automatisch übermittelt. Dies sind:
Browsertyp und Browserversion
Verwendetes Betriebssystem
Referrer-URL (zuvor besuchte Seite)
Hostname des zugreifenden Rechners
IP-Adresse
Uhrzeit der Serveranfrage
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Sicherheit der Website). Die Server-Logfiles werden nach 14 Tagen automatisch gelöscht.
Auftragsverarbeitung: Wir haben mit unserem Hosting-Anbieter einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.
[Nur bei GoHighLevel ergänzen:] GoHighLevel Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023). Ergänzend wurden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) vereinbart.
4. Kontakt- und Angebotsformular (Lead-Formular)
Wenn Sie unser Kontaktformular nutzen, um eine Anfrage zu Badsanierung, Fliesenarbeiten oder ähnlichen Leistungen zu stellen, werden folgende Daten erhoben:
Vor- und Nachname
E-Mail-Adresse
Telefonnummer
Postleitzahl / Stadtteil
Inhalt Ihrer Nachricht (sofern Freitextfeld vorhanden)
Zweck der Verarbeitung: Bearbeitung Ihrer Anfrage, Erstellung eines Angebots, Kontaktaufnahme zur Terminvereinbarung und Klärung von Rückfragen.
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin) sowie Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Beantwortung von Kundenanfragen).
Speicherdauer: Ihre Anfragedaten werden nach vollständiger Bearbeitung Ihres Anliegens gelöscht, sofern kein Vertragsverhältnis zustande kommt — spätestens jedoch nach 6 Monaten. Kommt ein Vertrag zustande, speichern wir Ihre Daten für die Dauer der Geschäftsbeziehung und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen (siehe Abschnitt 10). Die Löschung erfolgt, sobald keine gesetzliche Aufbewahrungspflicht mehr besteht.
5. CRM-System zur Anfragenverwaltung
Zur Verwaltung und Bearbeitung eingehender Anfragen nutzen wir das CRM-System von Systeme.io (ITACWT Limited, Irland).
[Alternative, falls GoHighLevel:] Zur Verwaltung und Bearbeitung eingehender Anfragen nutzen wir das CRM-System GoHighLevel (HighLevel Inc., USA). GoHighLevel ist unter dem EU-US Data Privacy Framework zertifiziert; die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO. Ergänzend wurden Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Im CRM werden die von Ihnen im Formular angegebenen Daten gespeichert und verarbeitet. Die Verarbeitung dient der effizienten Bearbeitung Ihrer Anfrage, der Angebotserstellung und der Kommunikation mit Ihnen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Kundenbetreuung).
Auftragsverarbeitung: Wir haben mit dem CRM-Anbieter einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.
6. Meta-Pixel (Facebook/Instagram)
Wir setzen auf dieser Website das Meta-Pixel der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (nachfolgend „Meta") ein. Mutterunternehmen ist die Meta Platforms Inc., 1 Hacker Way, Menlo Park, CA 94025, USA.
Zweck: Das Meta-Pixel dient der Analyse der Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram (Conversion-Tracking), der Bildung von Zielgruppen für Werbeanzeigen (Custom Audiences) sowie dem Retargeting von Websitebesuchern.
Funktionsweise: Beim Besuch unserer Website wird durch das Meta-Pixel eine direkte Verbindung zu den Servern von Meta hergestellt. Dabei werden unter anderem folgende Daten übertragen: besuchte Seiten, durchgeführte Aktionen (z. B. Absenden einer Anfrage), Geräte- und Browserinformationen, IP-Adresse sowie Cookie-Daten (z. B. fbp, fbc).
Cookies: Das Meta-Pixel setzt unter anderem folgende Cookies:
Cookie Zweck Speicherdauer fbp Identifikation des Browsers für Werbezuordnung 90 Tage fbc Speicherung des Klick-Identifikators 90 Tage fr Werbung und Analyse 90 Tage
Rechtsgrundlage: Das Meta-Pixel wird ausschließlich mit Ihrer vorherigen Einwilligung aktiviert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Das Pixel wird technisch erst geladen, nachdem Sie über unseren Cookie-Banner aktiv eingewilligt haben. Ohne Ihre Einwilligung findet kein Tracking statt.
Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen über den in unserer Website integrierten Cookie-Banner ändern. Darüber hinaus können Sie in Ihren Facebook-Einstellungen unter „Einstellungen > Werbepräferenzen" die Nutzung von Cookies für Werbezwecke deaktivieren.
Gemeinsame Verantwortlichkeit: Für die Erhebung und Übermittlung der Daten über das Meta-Pixel sind wir und Meta Platforms Ireland Limited gemeinsam verantwortlich im Sinne von Art. 26 DSGVO. Wir haben mit Meta eine Vereinbarung über die gemeinsame Verantwortlichkeit geschlossen (sog. „Zusatz für Verantwortliche", abrufbar unter: https://www.facebook.com/legal/controller_addendum). Danach ist Meta für die Erfüllung der Betroffenenrechte (Art. 15–20 DSGVO) hinsichtlich der bei Meta gespeicherten Daten verantwortlich.
Datenübermittlung in die USA: Meta Platforms Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Die Datenübermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795). Ergänzend wurden Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Wir nutzen gegebenenfalls Meta Lead Ads, bei denen Sie ein Kontaktformular direkt innerhalb von Facebook oder Instagram ausfüllen können. Dabei werden die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Telefonnummer, Postleitzahl) an uns übermittelt und in unserem CRM-System gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihre Anfrage hin) sowie Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung durch aktives Absenden des Formulars innerhalb der Meta-Plattform).
Zweck: Bearbeitung Ihrer Anfrage zu unseren Badsanierungs- und Fliesenleistungen, Kontaktaufnahme und Angebotserstellung.
Für die Verarbeitung Ihrer Daten auf der Meta-Plattform selbst gelten die Datenschutzhinweise von Meta (https://www.facebook.com/about/privacy). Hinsichtlich der gemeinsamen Verantwortlichkeit gilt das in Abschnitt 6 Gesagte.
8. Cookies
Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.
Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG ohne Ihre Einwilligung gesetzt. Sie sind für den Betrieb der Website zwingend erforderlich (z. B. Session-Cookies).
Analyse- und Marketing-Cookies (z. B. Meta-Pixel) werden erst nach Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG gesetzt. Die Einwilligung erfolgt über unseren Cookie-Banner beim ersten Besuch der Website.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und diese einzeln erlauben oder ablehnen. Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.
9. SSL- bzw. TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile Ihres Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in der Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
10. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Datenart Speicherdauer Grundlage Anfragedaten (kein Vertragsschluss) Max. 6 Monate nach Abschluss der Bearbeitung Art. 5 Abs. 1 lit. e DSGVO Vertragsdaten / Rechnungen 8 Jahre (Buchungsbelege) bzw. 10 Jahre (Geschäftsbücher) § 147 AO, § 257 HGB Geschäftskorrespondenz 6 Jahre § 147 Abs. 1 Nr. 2, 3 AO Server-Logfiles 14 Tage Art. 6 Abs. 1 lit. f DSGVO Cookie-/Trackingdaten (Meta-Pixel) Bis zum Widerruf der Einwilligung, max. 90 Tage (Cookie-Laufzeit) Art. 6 Abs. 1 lit. a DSGVO
Die Aufbewahrungsfristen beginnen mit dem Ende des Kalenderjahres, in dem das jeweilige Dokument erstellt bzw. empfangen wurde. Gesetzliche Aufbewahrungspflichten gemäß § 147 AO und § 257 HGB gehen dem Recht auf Löschung vor; in diesem Fall wird die Verarbeitung eingeschränkt (Art. 18 DSGVO).
11. Weitergabe von Daten an Dritte
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt grundsätzlich nicht, es sei denn:
Sie haben Ihre ausdrückliche Einwilligung erteilt (Art. 6 Abs. 1 lit. a DSGVO),
die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO),
es besteht eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), oder
die Weitergabe erfolgt an Auftragsverarbeiter (Art. 28 DSGVO), die streng weisungsgebunden und vertraglich gebunden für uns tätig sind (z. B. Hosting-Anbieter, CRM-Anbieter).
Eine Übermittlung an Drittländer erfolgt nur unter den in dieser Datenschutzerklärung beschriebenen Voraussetzungen (siehe Abschnitte 3, 5, 6).
12. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir von Ihnen verarbeiten.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.
Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
Besonderer Hinweis zum Widerspruchsrecht bei Direktwerbung (Art. 21 Abs. 2 DSGVO): Werden Ihre personenbezogenen Daten zum Zwecke der Direktwerbung verarbeitet, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden Ihre Daten nicht mehr für diese Zwecke verarbeitet.
Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected] oder schriftlich an die oben genannte Adresse.
13. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).
14. Keine Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung personenbezogener Daten über unser Kontaktformular ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne Angabe Ihres Namens und einer Kontaktmöglichkeit (E-Mail oder Telefon) können wir Ihre Anfrage jedoch nicht bearbeiten.
15. Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Stand: März 2026
2. Vollständiges Impressum
Den folgenden Text als eigene Unterseite unter
/impressum
veröffentlichen und im Footer jeder Seite verlinken. Maximal 2 Klicks von jeder Seite erreichbar (§ 5 DDG, BGH-Rechtsprechung).
Impressum
Angaben gemäß § 5 DDG
Victor AS Bau Inh. Victor Isac Segewaldweg 55 12557 Berlin
Verantwortlich für den Inhalt nach § 18 Abs. 2 MStV: Victor Isac Segewaldweg 55 12557 Berlin
Streitbeilegung
Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
Haftung für Inhalte
Als Diensteanbieter sind wir gemäß § 7 Abs. 1 DDG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 DDG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.
Haftung für Links
Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber verantwortlich. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Urheberrecht
Die durch den Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.
3. Datenschutzhinweis unter dem Lead-Formular
Der folgende Text wird direkt unter dem Formular, oberhalb oder neben dem Absende-Button angezeigt — ohne Checkbox. Das ist die rechtssichere Variante nach der KG-Berlin-Rechtsprechung.
Warum keine Checkbox „Ich stimme der Datenschutzerklärung zu"
Drei Urteile des Kammergerichts Berlin haben die gängige Praxis einer Zustimmungs-Checkbox verworfen:
Das KG Berlin (27.12.2018, Az. 23 U 196/13) stufte Apples Datenschutzrichtlinie als AGB ein, weil Nutzer sie per Checkbox „akzeptieren" mussten — damit unterliegt sie der strengen AGB-Kontrolle nach §§ 305 ff. BGB, und unfaire Klauseln werden automatisch unwirksam. Das KG Berlin (20.12.2019, Az. 5 U 9/18) urteilte, dass Facebooks Formulierung „bestätigst, dass du unsere Datenrichtlinie gelesen hast" eine nach § 309 Nr. 12b BGB unzulässige Tatsachenbestätigung darstellt. Alle Urteile sind rechtskräftig.
Die Datenschutzerklärung ist eine einseitige Informationspflicht nach Art. 13 DSGVO — kein Vertrag. Formulierungen wie „Ich stimme der Datenschutzerklärung zu", „Ich akzeptiere die Datenschutzerklärung" oder „Ich habe die Datenschutzerklärung gelesen und bin einverstanden" sind deshalb rechtlich problematisch und sollten vermieden werden.
Empfohlener Text (ohne Checkbox, direkt am Formular)
Diesen Text klein (z. B. Schriftgröße 12px, grauer Text) unterhalb der Formularfelder und oberhalb des Absende-Buttons platzieren:
Hinweis zum Datenschutz: Ihre Angaben (Name, E-Mail, Telefon, Postleitzahl) werden ausschließlich zur Bearbeitung Ihrer Anfrage zu unseren Badsanierungs-Leistungen verwendet. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Weitere Informationen finden Sie in unseren [Datenschutzhinweisen].
Das Wort „Datenschutzhinweisen" wird dabei als Link zur Datenschutzerklärung formatiert. Kein Häkchen, keine Checkbox, kein „Ich stimme zu".
Alternative mit Kenntnisnahme-Checkbox (optional, wenn gewünscht)
Falls aus geschäftlichen Gründen eine Checkbox gewünscht ist (z. B. für den Nachweis, dass der Nutzer informiert wurde), ist ausschließlich diese Formulierung zulässig:
☐ Ich habe die [Datenschutzhinweise] zur Kenntnis genommen.
Entscheidend: „zur Kenntnis genommen" — nicht „gelesen", nicht „akzeptiert", nicht „zugestimmt". Diese Formulierung dokumentiert lediglich die Kenntnisnahme der Information, nicht eine vertragliche Zustimmung.
4. Pflichten bei Meta-Werbung in Deutschland
Wer als deutsches Unternehmen Meta-Werbeanzeigen (Facebook/Instagram) mit Pixel-Tracking schaltet, muss fünf zentrale Anforderungen erfüllen. Diese Anforderungen ergeben sich aus der DSGVO, dem TDDDG und mehreren EuGH- und deutschen Gerichtsurteilen.
Cookie-Consent vor dem Pixel ist zwingend
Das Meta-Pixel darf technisch erst nach aktiver Einwilligung des Nutzers geladen werden. Die Rechtsgrundlage ist § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Ein Cookie-Banner mit gleichwertigen Schaltflächen für „Akzeptieren" und „Ablehnen" (keine Dark Patterns) ist erforderlich. Das LG Stuttgart bestätigte am 05.02.2025 (Az. 27 O 190/23), dass Website-Betreiber für die Einholung der Einwilligung vor jeder Datenübermittlung an Meta verantwortlich sind. Empfohlene Consent-Tools für kleine Unternehmen sind Borlabs Cookie, Complianz oder Cookiebot.
Gemeinsame Verantwortlichkeit mit Meta nach Art. 26 DSGVO
Der EuGH hat in den Urteilen C-210/16 (Wirtschaftsakademie) und C-40/17 (Fashion ID) klargestellt, dass Website-Betreiber und Meta gemeinsam verantwortlich sind. Der „Zusatz für Verantwortliche" (Controller Addendum) muss im Meta Business Manager akzeptiert werden. Dieser regelt die Verantwortlichkeiten: Victor AS Bau ist für die Einholung der Einwilligung zuständig, Meta für die Erfüllung der Betroffenenrechte bezüglich der bei Meta gespeicherten Daten.
Datenübermittlung in die USA ist aktuell durch das DPF gedeckt
Meta Platforms Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung ist durch den Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 legitimiert. Das EU-Gericht hat die Gültigkeit des DPF am 03.09.2025 bestätigt (Rs. T-553/23). Dennoch empfehlen Datenschutzbehörden, ergänzend Standardvertragsklauseln (SCCs) zu vereinbaren, da die politische Stabilität des Rahmens unter der aktuellen US-Administration nicht gesichert ist.
Custom Audiences erfordern separate Einwilligung
Das Hochladen von Kundenlisten (E-Mail, Telefon) zu Meta für Custom Audiences ist nur mit ausdrücklicher Einwilligung jedes einzelnen Betroffenen zulässig. Der VGH München (26.09.2018, Az. 5 CS 18.1157) hat bestätigt, dass weder „berechtigtes Interesse" noch die Hashierung der Daten eine Einwilligung ersetzen. Pixelbasierte Custom Audiences fallen unter die allgemeine Cookie-Einwilligung.
Meta Lead Ads brauchen Datenschutz-Link und Zweckangabe
Bei Lead Ads innerhalb von Facebook/Instagram muss das Formular einen Link zur Datenschutzerklärung enthalten und den spezifischen Verarbeitungszweck nennen. Für E-Mail-Marketing ist nach Erhalt des Leads ein Double-Opt-In-Verfahren durchzuführen, da Meta die E-Mail-Inhaberschaft nicht verifiziert. Meta's „Benutzerdefinierter Haftungsausschluss"-Funktion sollte für zusätzliche Einwilligungstexte genutzt werden.
5. Erkenntnisse aus der Analyse realer Handwerksbetriebe
Die Untersuchung von über acht deutschen Badsanierungs- und Fliesenlegerbetrieben ergab ein klares Muster: Kein einziger kleiner Handwerksbetrieb nutzt derzeit ein Meta-Pixel. Victor AS Bau hebt sich also durch den Einsatz von Meta-Werbung mit Pixel-Tracking von der Branche ab, was die Datenschutzerklärung umfangreicher und komplexer macht als branchenüblich.
Die analysierten Impressen zeigen eine konsistente Struktur: Name des Inhabers, vollständige Adresse, Kontaktdaten, Handwerkskammer-Zugehörigkeit und Haftungsausschlüsse. Kein Betrieb veröffentlichte seine Steuernummer im Impressum — stets nur die USt-IdNr., sofern vorhanden. Die Datenschutzerklärungen wurden überwiegend mit Generatoren erstellt (activeMind AG, mein-datenschutzbeauftragter.de, eRecht24) und umfassten typischerweise Server-Logfiles, Kontaktformular, SSL-Verschlüsselung und Betroffenenrechte.
Bei der Rechtsgrundlage für Kontaktformulare zeigt sich eine Zweiteilung: Die juristisch präziseren Betriebe verweisen auf Art. 6 Abs. 1 lit. b und f DSGVO (vorvertragliche Maßnahmen und berechtigtes Interesse), während einige fälschlich Art. 6 Abs. 1 lit. a (Einwilligung) angeben — was nach herrschender Meinung für einfache Kontaktformulare nicht die optimale Wahl ist.
Zusammenfassung der wichtigsten Pflichten
Für die rechtssichere Umsetzung der Landingpage von Victor AS Bau sind diese Schritte erforderlich:
Erstens müssen Impressum und Datenschutzerklärung als separate, vom Footer jeder Seite verlinkte Unterseiten eingerichtet werden — maximal zwei Klicks entfernt von jeder Seite. Die Steuernummer 19/359/00592 gehört nicht ins Impressum; stattdessen muss die USt-IdNr. angegeben werden, sofern vorhanden. Falls keine USt-IdNr. existiert, wird diese Zeile weggelassen.
Zweitens ist ein DSGVO-konformer Cookie-Banner zwingend erforderlich, der das Meta-Pixel technisch blockiert, bis der Nutzer aktiv einwilligt. Der Banner braucht gleichwertige Buttons für Akzeptieren und Ablehnen sowie granulare Auswahlmöglichkeiten nach Kategorien.
Drittens muss der „Zusatz für Verantwortliche" von Meta im Business Manager akzeptiert und in der Datenschutzerklärung referenziert werden.
Viertens muss mit dem Plattform-Anbieter (Systeme.io oder GoHighLevel) ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden. Bei GoHighLevel (US-Anbieter) ist zusätzlich der Hinweis auf das EU-US Data Privacy Framework in der Datenschutzerklärung erforderlich. Systeme.io sitzt in Irland und unterliegt als EU-Unternehmen keinen Drittland-Transfer-Regelungen, allerdings sollten dessen Sub-Auftragsverarbeiter geprüft werden.
Fünftens wird am Lead-Formular kein Zustimmungs-Checkbox verwendet, sondern ein informativer Datenschutzhinweis mit Verlinkung zur Datenschutzerklärung — wie in Abschnitt 3 dargestellt.