Datenschutzerklärung

Letztes Update: März 2026

Ihre Privatsphäre ist uns wichtig. ROURS Designagentur („wir", „uns" oder „unser") informiert Sie in dieser Datenschutzerklärung darüber, wie wir personenbezogene Daten erheben, nutzen und schützen, wenn Sie unsere Website besuchen oder mit uns in Kontakt treten.

1. Verantwortlicher im Sinne der DSGVO

ROURS Designagentur Mättich 16 77880 Sasbach Deutschland

Telefon: +49 155 63631833 E-Mail: info@rours.de Inhaber: Ali Chahrour

2. Allgemeines zur Datenverarbeitung

2.1 Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung

• Art. 6 Abs. 1 lit. b DSGVO – Vertrag / vorvertragliche Maßnahmen

• Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Verpflichtungen

• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse

• Art. 49 Abs. 1 DSGVO – Drittlandübermittlung durch ausdrückliche Einwilligung

• Art. 28 DSGVO – Auftragsverarbeitung

2.2 Kategorien personenbezogener Daten

Wir verarbeiten je nach Nutzung:

• Identifikationsdaten (Name, E-Mail, Telefonnummer, Firmenname)

• Technische Daten (IP-Adresse, Browsertyp, Geräte-ID, User-Agent)

• Log- und Nutzungsdaten (Seitenaufrufe, Klickpfade, Interaktionen)

• Marketingdaten (Kampagnenzuordnung, Cookie-IDs, Pixel-Daten, Click-IDs)

• Pseudonymisierte IDs (Google Click ID, Meta Browser ID, TikTok Click ID)

• Hashwerte (SHA-256-gehashte E-Mail-Adressen, Telefonnummern, Namen für Matching-Prozesse)

2.3 Empfängerkategorien

• IT-Dienstleister und Hostingprovider

• Marketingplattformen (Google, Meta/Facebook, TikTok)

• CRM-Dienstleister (HubSpot)

• E-Mail-Dienstleister (Brevo/Sendinblue)

• Automatisierungsdienstleister (n8n)

• Tracking-Infrastruktur (Stape)

2.4 Drittlandübermittlung

Daten können in Länder außerhalb der EU/EWR (insbesondere USA) übertragen werden.

Rechtsgrundlagen:

• Standardvertragsklauseln (SCC)

• Art. 49 Abs. 1 lit. a DSGVO – ausdrückliche Einwilligung

Risiken: Möglicher Zugriff durch US-Behörden ohne Rechtsweg; geringere Datenschutzstandards.

3. Hosting / Server-Logfiles

Hosting erfolgt über Framer (AWS-Infrastruktur, europäische Region).

Verarbeitete Daten: IP-Adresse, Hostname, Timestamp, Browsertyp, Betriebssystem, Referrer-URL, Zugriffsstatus, Datenmenge.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit & Systemstabilität). Speicherdauer: Maximal 30 Tage.

4. Kontaktaufnahme

4.1 Kontaktformular

Wenn Sie unser Kontaktformular auf rours.de ausfüllen, erheben wir folgende Daten:

• Vor- und Nachname

• E-Mail-Adresse

• Telefonnummer (optional)

• Unternehmen (optional)

• Nachricht

• Zeitpunkt der Anfrage

• Technische Metadaten (IP-Adresse, Seiten-URL)

• Marketingparameter: utm_source, utm_medium, utm_campaign, utm_content, utm_term

• Click-IDs: fbclid (Meta), gclid (Google), ttclid (TikTok)

• fbc (Meta Click ID im Format fb.1.[timestamp].[fbclid])

• fbp (Meta Browser ID aus _fbp-Cookie)

Zweck: Bearbeitung Ihrer Anfrage, Dokumentation, Schutz vor Missbrauch.

Weiterleitung der Daten: Ihre Formulardaten werden automatisiert verarbeitet und an folgende Dienste übermittelt:

• Supabase (Datenbankhosting, EU-Server): Speicherung der Anfragedaten

• HubSpot (CRM): Anlage als Kontaktdatensatz

• Brevo/Sendinblue (E-Mail): Versand einer Bestätigungsmail

• n8n (Automatisierung): Workflow-Steuerung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.2 Kontakt per E-Mail oder Telefon

Bei Kontaktaufnahme per E-Mail oder Telefon werden Daten durch den jeweiligen Provider übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5. Cookies, Tracking & Consent Management

Wir nutzen ein Einwilligungsmanagement (Cookie-Banner) nach Consent Mode v2.

Wichtig: Nicht notwendige Cookies und Tracking-Technologien werden erst nach Ihrer ausdrücklichen Einwilligung (Opt-In) aktiviert. Solange Sie nicht einwilligen, werden keine Tracking-Pixel, Analyse- oder Marketingcookies gesetzt.

Cookie-Kategorien:

• Technisch notwendige Cookies (keine Einwilligung erforderlich)

• Statistik-Cookies (Einwilligung erforderlich)

• Marketing-Cookies (Einwilligung erforderlich)

Rechtsgrundlagen:

• Technisch notwendig: Art. 6 Abs. 1 lit. f DSGVO

• Tracking/Marketing: Art. 6 Abs. 1 lit. a DSGVO

6. Google Tag Manager

Der Google Tag Manager (GTM-MPBFGDT4) selbst speichert keine personenbezogenen Daten, lädt aber nach Einwilligung Dienste, die Daten erfassen. Der GTM arbeitet mit Consent Mode v2 — Tags werden erst nach Ihrer Einwilligung ausgelöst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Auftragsverarbeitung: vorhanden. Drittlandübermittlung: möglich (USA, SCC).

7. Google Ads / Conversion Tracking / Remarketing

Erfasste Daten: Google Ads Cookie-ID, IP-Adresse, Interaktionen, Seitenaufrufe, Geräteinformationen, Standortdaten (grobe Region), Kampagnendaten.

Mechanismen: Cross-Device Tracking, Remarketing, Conversion Tracking, probabilistisches Matching.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Drittlandübermittlung: USA (SCC). Speicherdauer: 30 Tage bis 2 Jahre.

8. Meta Platforms (Facebook & Instagram)

8.1 Meta Pixel (Browser-seitig)

Wir setzen das Meta-Pixel (Pixel-ID: 2918579151671648) ein. Nach Ihrer Einwilligung erfasst das Pixel folgende Daten:

• IP-Adresse, User-Agent

• Browser-ID (_fbp-Cookie)

• Click-ID (fbclid)

• Event-Daten (PageView, Lead, ContactClick)

• Zeitstempel, Geräteinformationen

8.2 Meta Conversions API (Server-seitig) via Stape

Zusätzlich zum Browser-Pixel nutzen wir die Meta Conversions API (CAPI) über den Dienstleister Stape (Custom Domain: tracking.rours.de). Dabei werden Ereignisse direkt von unserem Server an Meta übermittelt — unabhängig von Browser-Einschränkungen oder Ad-Blockern.

Übermittelte Daten (nach Einwilligung):

• SHA-256-gehashte E-Mail-Adresse

• SHA-256-gehashter Vorname und Nachname

• SHA-256-gehashte Telefonnummer

• fbc (Meta Click ID)

• fbp (Meta Browser ID)

• IP-Adresse, User-Agent

• Event-Daten (PageView, Lead)

Deduplication: Browser-Pixel und Server-API nutzen identische Event-IDs zur automatischen Deduplizierung. Jedes Ereignis wird nur einmal gezählt.

Dienstleister Stape: Stape (stape.io) fungiert als technischer Auftragsverarbeiter für die Übermittlung an Meta. Die Server befinden sich in Europa. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

8.3 Meta Offline Conversions (CAPI)

Wenn Sie über unser Kontaktformular eine Anfrage stellen und anschließend Kunde werden, übermitteln wir den Vertragsabschluss in pseudonymisierter Form an Meta Platforms Ireland Ltd. Dabei werden ausschließlich folgende gehashten Daten übermittelt:

• SHA-256-Hash der E-Mail-Adresse

• SHA-256-Hash der Telefonnummer

• SHA-256-Hash von Vor- und Nachname

• fbc (Meta Click ID, sofern vorhanden)

• Transaktionswert in EUR

• Zeitstempel

Zweck: Messung der Werbeeffektivität (Zuordnung von Offline-Conversions zu Meta-Kampagnen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Messung der Werbeeffektivität). Wichtig: Es werden ausschließlich Hashwerte (SHA-256) übermittelt. Klardaten werden nicht an Meta weitergegeben. Eine Rückführung der Hashwerte auf Klardaten ist technisch nicht möglich.

8.4 Meta Instant Forms (Lead Ads)

Wenn Sie über eine Meta-Werbeanzeige auf Facebook oder Instagram ein Instant Form (Lead Ad) ausfüllen, werden Ihre Angaben automatisiert über die Meta Graph API an unsere Systeme übermittelt. Dabei verlassen Sie die Meta-Plattform nicht.

Erhobene Daten (je nach Formular-Konfiguration):

• Vor- und Nachname

• E-Mail-Adresse

• Telefonnummer (optional)

• Firmenname (optional)

• Meta Form ID und Ad ID (zur Kampagnenzuordnung)

Verarbeitung: Die Daten werden über n8n (Workflow-Automatisierung) empfangen und automatisiert weitergeleitet an:

• Supabase (Datenbankhosting, EU-Server): Speicherung des Lead-Datensatzes

• HubSpot (CRM): Anlage als Kontaktdatensatz

• Brevo/Sendinblue (E-Mail): Versand einer Bestätigungsmail

Hinweis zur Attribution: Da bei Meta Instant Forms kein Webseitenaufruf stattfindet, werden keine UTM-Parameter, fbclid, fbc oder fbp erfasst. Die Attribution zu einer Werbekampagne erfolgt nativ durch Meta. Der Quelldatensatz wird intern als source = "meta_leadform" gespeichert.

Technische Grundlage: n8n nutzt die Meta Graph API über eine OAuth2-Verbindung zur automatisierten Abholung der Lead-Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Bearbeitung Ihrer Anfrage). Drittlandübermittlung: USA (SCC, Meta Platforms Ireland Ltd. → Meta Platforms Inc.).

Rechtsgrundlage Pixel/CAPI gesamt: Art. 6 Abs. 1 lit. a DSGVO. Drittlandübermittlung: USA (SCC, Meta Platforms Ireland Ltd. → Meta Platforms Inc.).

9. TikTok Pixel & Events API

9.1 TikTok Pixel (Browser-seitig)

Nach Einwilligung erfasst das TikTok-Pixel (Pixel-ID: D6JLQDJC77UBUNE43RK0) folgende Daten:

• IP-Adresse, Cookie-IDs, Referrer, Zeitstempel

• Pixel-Events (PageView, Lead, SubmitForm)

• Klickverhalten, Geräteinformationen

• ttclid (TikTok Click ID)

9.2 TikTok Events API Gateway (Server-seitig) via Stape

Wir nutzen die TikTok Events API über Stape (Custom Domain: tt.rours.de). Dabei werden Events direkt server-seitig an TikTok übermittelt.

Übermittelte Daten (nach Einwilligung):

• SHA-256-gehashte E-Mail-Adresse, Telefonnummer, Name

• ttclid (TikTok Click ID)

• IP-Adresse, User-Agent

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Drittlandübermittlung: USA & Singapur (SCC).

10. CRM und Lead-Management (HubSpot)

Wir nutzen HubSpot (HubSpot Ireland Limited, 2nd Floor 30 North Wall Quay, Dublin 1, Irland) als CRM-System.

Wenn Sie unser Kontaktformular ausfüllen oder eine Anfrage über Meta Instant Forms senden, werden folgende Daten in HubSpot als Kontaktdatensatz gespeichert:

• Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Firmenname

• Lead-Status, Pipeline-Stage

Zweck: Verwaltung von Kundenanfragen, Nachverfolgung des Vertriebsprozesses. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Auftragsverarbeitung: vorhanden (DPA mit HubSpot). Drittlandübermittlung: USA (SCC).

11. E-Mail-Versand (Brevo/Sendinblue)

Für den Versand von Bestätigungsmails nutzen wir Brevo (ehemals Sendinblue, Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin).

Übermittelte Daten: Name, E-Mail-Adresse.

Zweck: Bestätigung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Auftragsverarbeitung: vorhanden.

12. Automatisierungsinfrastruktur (n8n)

Wir nutzen n8n (n8n GmbH, Urbanstr. 71, 10967 Berlin) als Workflow-Automatisierungsplattform. Formulardaten — sowohl vom Website-Kontaktformular als auch von Meta Instant Forms — werden über n8n verarbeitet und an die oben genannten Dienste weitergeleitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Prozessautomatisierung). Auftragsverarbeitung: vorhanden.

13. Datenweitergabe und Auftragsverarbeitung

Wir geben Daten nur weiter an:

• Hostinganbieter (Framer/AWS, Supabase)

• Tracking-Infrastruktur (Stape)

• Marketingplattformen (Google, Meta, TikTok)

• CRM (HubSpot)

• E-Mail-Dienstleister (Brevo)

• Automatisierungsplattform (n8n)

AV-Verträge bestehen mit: Google, Meta, TikTok, Framer, Supabase, Stape, HubSpot, Brevo, n8n.

14. Löschung / Speicherfristen

• Formulardaten: Solange zur Bearbeitung der Anfrage erforderlich, danach nach gesetzlichen Fristen

• CRM-Daten (HubSpot): Bis Widerruf oder Ende der Geschäftsbeziehung

• Trackingdaten: Abhängig vom Anbieter, 30 Tage bis 2 Jahre

• Server-Logfiles: Maximal 30 Tage

15. Rechte der betroffenen Personen

Sie haben folgende Rechte:

• Auskunft (Art. 15 DSGVO): Welche Daten verarbeiten wir über Sie?

• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten

• Löschung (Art. 17 DSGVO): „Recht auf Vergessenwerden"

• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung

• Datenübertragbarkeit (Art. 20 DSGVO): Daten in maschinenlesbarem Format

• Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen

• Widerruf (Art. 7 DSGVO): Widerruf erteilter Einwilligungen

• Beschwerde bei der zuständigen Aufsichtsbehörde

Zuständige Aufsichtsbehörde: Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Postfach 10 29 32, 70025 Stuttgart poststelle@lfdi.bwl.de

16. Widerruf von Einwilligungen

Einwilligungen können Sie jederzeit widerrufen:

• Über den Cookie-Banner auf unserer Website

• Über „Cookies zurücksetzen" in den Website-Einstellungen

• Durch direkte Kontaktaufnahme unter info@rours.de

Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

17. Sicherheit der Verarbeitung

Wir setzen folgende Sicherheitsmaßnahmen ein:

• TLS-Verschlüsselung für alle Datenübertragungen

• SHA-256-Hashverfahren für personenbezogene Daten vor Übermittlung an Marketingplattformen

• Zugriffsbeschränkungen und rollenbasierte Zugriffsrechte

• Pseudonymisierung und Minimierung der Datenverarbeitung

• Regelmäßige Sicherheitsupdates

18. Änderung der Datenschutzerklärung

Wir behalten uns Anpassungen vor bei Gesetzesänderungen, technischen Änderungen oder dem Einsatz neuer Tools. Die aktuelle Version finden Sie stets auf dieser Seite.

ROURS Designagentur · Mättich 16 · 77880 Sasbach · info@rours.de