Datenschutzerklärung

1. Datenschutz auf einen Blick

Wir schützen Ihre personenbezogenen Daten und verarbeiten sie ausschließlich nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Diese Erklärung informiert Sie darüber, welche Daten beim Besuch dieser Demo-Website erfasst werden und wie sie verwendet werden. Die Website befindet sich im Demo-Modus — alle schreibenden Funktionen (Kontaktformular, Newsletter, Buchungsanfrage, KI-Concierge, Karriere-Formular) sind technisch deaktiviert.

2. Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO)

Neon Arc
Inhaber: Alexander Hertle
Pfarrer-Walser-Str. 3
87544 Blaichach
Telefon: +49 176 9138 5260
E-Mail: info@neonarc.com

3. Hosting (Vercel) — Drittlandtransfer USA

3.1 Anbieter

Diese Demo-Website wird gehostet bei:
Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
Datenschutzerklärung: vercel.com/legal/privacy-policy

3.2 Verarbeitete Daten

Bei jedem Aufruf werden technisch notwendig erhoben:

• IP-Adresse (anonymisiert in Server-Logs)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und Referrer
• Browser-Typ, Browser-Version, Betriebssystem
• HTTP-Statuscode und übertragene Datenmenge

3.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Auslieferung und an Schutz vor Missbrauch).

3.4 Drittlandtransfer USA

Vercel ist ein US-amerikanisches Unternehmen. Server befinden sich teilweise in den USA und der EU (Frankfurt). Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, C(2023) 4745 final). Vercel ist unter dem DPF zertifiziert. Ergänzend bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

3.5 Speicherdauer

Server-Logs werden nach maximal 30 Tagen gelöscht oder anonymisiert.

4. Kontaktformular (Demo-Modus deaktiviert)

Das Kontaktformular ist in dieser Vorschau im Demo-Modus abgesichert: Eingegebene Daten werden nicht versendet, nicht gespeichert und nicht weitergeleitet. Der API-Endpunkt /api/contact gibt nur einen Bestätigungs-Status zurück, ohne SMTP-Versand (nodemailer) oder Datenbankschreibvorgang (Drizzle/PostgreSQL).

Für echte Anfragen wenden Sie sich bitte direkt an info@neonarc.com.

5. Buchungsanfrage (Demo — kein Vertragsschluss)

Die Seite /buchen stellt ein reines Layout-Formular dar, das ausschließlich clientseitig (im Browser) verarbeitet wird. Es findet kein Versand an einen Server statt; Eingaben werden nur in einer Browser-Session gehalten und beim Schließen verworfen. Es kann kein Vertragsschluss im Sinne von § 311 BGB zustande kommen. Die dargestellten Suiten, Preise und Verfügbarkeiten sind frei erfunden.

6. Newsletter (Demo-Modus deaktiviert)

Eine Newsletter-Anmeldung ist in dieser Vorschau nicht möglich. Der API-Endpunkt /api/newsletter gibt im Demo-Modus nur eine UI-Bestätigung zurück; es wird keine Bestätigungs-E-Mail (Double-Opt-In) versendet.

7. KI-Concierge (live im Demo-Modus, mit harten Limits)

Die KI-Chat-Endpunkte /api/chat und /api/ai/chat sind in dieser Vorschau live, um die KI-Concierge-Funktion demonstrieren zu können. Eingaben werden zur Beantwortung an Mistral.ai übermittelt.

7.1 Auftragsverarbeiter

Mistral AI SAS, 11 rue de la Grange Batelière, 75009 Paris, Frankreich. EU-Anbieter — kein Drittlandtransfer. Datenschutzerklärung: mistral.ai/terms

7.2 Verarbeitete Daten

• Chat-Eingaben (max. 500 Zeichen pro Nachricht)
• Maximal 10 Nachrichten pro Konversation
• IP-Adresse nur kurzzeitig zur Rate-Limit-Prüfung (in-Memory, nicht persistiert)
• Keine Cookies, keine Login-Daten

7.3 Hardening

• Rate-Limit: maximal 5 Anfragen pro IP pro Stunde
• Strikte Origin-Prüfung (nur diese Domain)
• Server-seitige Sanitisierung (Steuerzeichen entfernt)
• System-Prompt mit Bellvue-Kontext (Prompt-Injection-Schutz)

7.4 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Demonstration der KI-Concierge-Funktion zu Marketing-Zwecken für die Webdesign-Leistung von Neon Arc).

7.5 KI-Training

Mistral.ai nutzt API-Eingaben gemäß deren Datenschutzerklärung nicht für KI-Training, sofern der API-Modus („API Platform") verwendet wird (im Gegensatz zur Consumer-App). Diese Demo nutzt ausschließlich die API.

7.6 Speicherdauer

Mistral speichert API-Anfragen gemäß deren Datenschutzerklärung für höchstens 30 Tage zu Sicherheits- und Missbrauchszwecken, danach Löschung. Eingaben werden auf Vercel-Seite nicht persistiert.

8. Karriere-Formular (Demo-Modus deaktiviert)

Das Bewerbungsformular auf /karriere nutzt denselben Endpunkt wie das Kontaktformular und ist deshalb im Demo-Modus ebenfalls technisch stillgelegt. Bewerbungsunterlagen werden nicht entgegengenommen oder weitergeleitet.

9. Gästemappe (Demo — keine Authentifizierung)

Die Seite /gaestemappe ist im Demo-Modus eine reine Layout-Demonstration ohne Authentifizierung, ohne Backend-Anbindung und ohne Datenbankzugriff.

10. Cookies und Consent-Management

Diese Demo-Website nutzt das Open-Source-Tool vanilla-cookieconsent. Im Demo-Modus werden keine Tracking- oder Marketing-Cookies gesetzt. Standardmäßig wird ausschließlich der Einwilligungs-Status lokal gespeichert.

Sie können Ihre Auswahl jederzeit anpassen:Cookie-Einstellungen

11. Web-Analyse (Google Analytics 4 — Demo-Modus deaktiviert)

Diese Demo-Website ist technisch für Google Analytics 4 mit Consent Mode v2 vorbereitet. Im Demo-Modus ist die Verarbeitung jedoch vollständig deaktiviert: Die GA-Identifikation wird auf undefined gesetzt, das gtag.js-Script wird nicht geladen, und die GA-Endpunkte sind aus dem Content-Security-Policy-Header entfernt. Es findet keinerlei Datenübertragung an Google statt.

12. Karten (Demo — Maps deaktiviert)

Im Demo-Modus werden keine externen Karten-Embeds (Google Maps, OpenStreetMap) geladen. Auf der Kontaktseite erscheint stattdessen ein Karten-Platzhalter, da die dargestellte Adresse fiktiv ist (Beispielweg 999). Im produktiven Betrieb würde eine consent-gesteuerte Karte eingebunden (Klick zum Aktivieren), die Drittland-Transfer erst nach expliziter Einwilligung auslöst.

13. Datenbank (Demo — keine Schreibvorgänge)

Die Anwendung enthält ein PostgreSQL-Datenbank-Schema (Drizzle ORM). Im Demo-Modus werden in keiner der schreibenden API-Routen DB-Operationen (INSERT/UPDATE/DELETE) ausgeführt. Selbst wenn die Umgebungsvariable DATABASE_URL gesetzt ist, wird sie durch die Demo-Mode-Guards in den Route-Handlern nicht erreicht.

14. Schriftarten

Schriftarten werden über das Next.js-Font-System ausschließlich lokal vom Webserver geladen. Es bestehen keine direkten Verbindungen zu Google Fonts oder anderen externen Schrift-CDNs (vgl. LG München I, 3 O 17493/20 vom 20.01.2022).

15. Eingebettete Inhalte Dritter

Diese Demo-Website bindet keine Inhalte Dritter (YouTube, Vimeo, Spotify, Social-Media-Widgets) ein.

16. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte zu:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) — für Bayern (Sitz Anbieter): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

Zur Ausübung Ihrer Rechte wenden Sie sich an die unter Ziff. 2 genannte verantwortliche Stelle.

17. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Es werden u.a. folgende Sicherheits-Header gesetzt: Content-Security-Policy, Strict-Transport-Security (HSTS), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Formular-Eingaben (im produktiven Modus) werden serverseitig mit Zod validiert, mit Rate-Limit geschützt und CSRF-geprüft (Origin-Header-Validation). Diese Konfiguration wird durch automatisierte Sicherheits-Audits (AEGIS) regelmäßig überprüft.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Maßgeblich ist die jeweils bei Ihrem Besuch abrufbare Fassung.