MR ProTect GmbH

Rechtliches

Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche Daten wir erheben, zu welchem Zweck wir dies tun, wie lange wir Daten speichern und welche Rechte Ihnen zustehen – unabhängig davon, ob Sie unsere Website nur besuchen, sich bei uns bewerben, unser Kunde werden oder bei uns beschäftigt sind.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für die Datenverarbeitung im Zusammenhang mit dieser Website ist:

MR ProTect GmbH
Franz-Allgaier-Str. 21
76287 Rheinstetten
Telefon: 07242 930793
E-Mail: info[at]mr-protect.de
Geschäftsführer: Marc Vollmer

Bei Fragen zum Datenschutz, zu dieser Erklärung oder zur Ausübung Ihrer Rechte können Sie sich jederzeit an unseren Ansprechpartner für Datenschutz wenden:

Marc Vollmer
E-Mail: info[at]mr-protect.de

Hinweis: Eine förmliche Bestellung als externer oder interner Datenschutzbeauftragter nach Art. 37 DSGVO erfolgt erst nach Abschluss der entsprechenden Fortbildung. Bis dahin nennen wir Marc Vollmer hier als Ansprechpartner, der Anfragen zum Datenschutz entgegennimmt und intern koordiniert.

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist, oder soweit eine gesetzliche Erlaubnis bzw. Ihre Einwilligung vorliegt.

2.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung von Daten, die zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z. B. Bewerbungen, Angebotsanfragen), dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z. B. steuerrechtliche Aufbewahrungspflichten), beruht dies auf Art. 6 Abs. 1 lit. c DSGVO. Für Verarbeitungen, die zur Wahrung berechtigter Interessen unsererseits oder eines Dritten erforderlich sind, sofern Ihre Interessen und Grundrechte nicht überwiegen, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage. Für Beschäftigungsverhältnisse gilt zusätzlich § 26 BDSG als spezialgesetzliche Erlaubnisnorm.

3. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber uns folgende Rechte zu:

  • Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Recht auf Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 21 DSGVO),
  • Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO).

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an die oben genannte Kontaktadresse.

4. Datenerfassung beim Besuch unserer Website

Unsere Website wird über die Hosting-Plattform Firebase Hosting (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Domain und ggf. E-Mail-Infrastruktur werden über die manitu GmbH (Eulerstraße 30, 48143 Münster) verwaltet.

Bei jedem Aufruf unserer Website erfassen die beteiligten Server automatisiert technische Verbindungsdaten, die Ihr Browser übermittelt. Dazu gehören typischerweise:

  • verwendeter Browsertyp und Version,
  • verwendetes Betriebssystem,
  • Referrer-URL (zuvor besuchte Seite),
  • Hostname des zugreifenden Rechners / gekürzte IP-Adresse,
  • Uhrzeit der Serveranfrage.

Diese sogenannten Server-Logfiles werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs, zur Erkennung von Angriffen auf unsere IT-Infrastruktur und zur Abrechnung der Hosting-Leistungen verarbeitet (Art. 6 Abs. 1 lit. f DSGVO) und in der Regel automatisiert innerhalb kurzer Zeit gelöscht. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht.

5. Kontaktaufnahme (Formular & E-Mail)

Wenn Sie uns per Kontaktformular oder per E-Mail (z. B. an info@mr-protect.de) kontaktieren, werden die von Ihnen mitgeteilten Daten (u. a. Name, E-Mail-Adresse, Telefonnummer, Adresse, Inhalt Ihrer Anfrage) bei uns zum Zwecke der Bearbeitung Ihres Anliegens gespeichert und verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung einer Anfrage im Hinblick auf einen möglichen Vertragsschluss) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer geordneten Kommunikationsbearbeitung), soweit keine vertragliche Beziehung angestrebt wird. Eine Weitergabe dieser Daten an Dritte erfolgt nicht, es sei denn, dies ist zur Bearbeitung Ihrer Anfrage notwendig (z. B. an unsere technischen Auftragsverarbeiter, siehe Punkt 8) oder gesetzlich vorgeschrieben.

6. Bewerbungsverfahren

Über das Bewerbungsformular auf unserer Website können Sie sich bei uns initiativ oder auf eine konkrete Position bewerben. Dabei erheben und verarbeiten wir folgende Daten:

  • Vor- und Nachname, E-Mail-Adresse, Telefonnummer,
  • gewünschte Position und Nachricht/Anschreiben,
  • Angaben zu Sachkundenachweis, Unterrichtung nach § 34a GewO und Führungszeugnis (Checkbox-Angaben),
  • hochgeladene Bewerbungsunterlagen: Lebenslauf, Sachkunde- bzw. Unterrichtungsnachweise, Zeugnisse und Zertifikate (jeweils als PDF, JPG oder PNG).

Die hochgeladenen Dateien werden direkt aus Ihrem Browser verschlüsselt in Firebase Storage übertragen und dort gespeichert; die übrigen Formulardaten werden über eine serverseitige Funktion (Firebase Cloud Functions) entgegengenommen und in unserer Datenbank (Cloud Firestore) abgelegt. Anschließend benachrichtigen wir unser Personalteam per E-Mail über den Versanddienst Resend (siehe Punkt 8 und 12).

Rechtsgrundlage für die Verarbeitung ist § 26 Abs. 1 BDSG i. V. m. Art. 88 DSGVO sowie Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Soweit Sie uns im Rahmen Ihrer Bewerbung besondere Kategorien personenbezogener Daten freiwillig mitteilen (z. B. Gesundheitsangaben in einem Anschreiben), erfolgt deren Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO); wir bitten Sie, solche Angaben nur zu machen, wenn dies für die Bewerbung notwendig ist.

Kommt kein Beschäftigungsverhältnis zustande, werden Ihre Bewerbungsunterlagen gelöscht, sobald die Absage bestandskräftig ist – in der Regel spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens (Orientierung an der Klagefrist des § 61b ArbGG bzw. den Fristen des AGG), sofern Sie nicht ausdrücklich in eine längere Speicherung z. B. für einen Talentpool eingewilligt haben.

7. Mitarbeiterportal & interne Mitarbeiterdaten

Für Mitarbeiterinnen und Mitarbeiter stellen wir ein geschütztes Mitarbeiterportal bereit. Über dieses Portal können insbesondere Urlaubsanträge eingereicht, der Bearbeitungsstatus eingesehen und künftig weitere mitarbeiterbezogene Funktionen genutzt werden.

7.1 Verarbeitete Daten

Dabei verarbeiten wir insbesondere Name, E-Mail-Adresse, Benutzerkonto, Login- und Berechtigungsinformationen, Urlaubszeiträume, beantragte Urlaubstage, Status des Antrags, Notizen zum Antrag sowie technische Protokoll- und Zeitstempeldaten. Soweit zukünftig weitere Funktionen ergänzt werden, können zusätzliche beschäftigungsbezogene Daten verarbeitet werden, soweit dies für die Durchführung des Beschäftigungsverhältnisses oder die interne Verwaltung erforderlich ist.

7.2 Zweck & Rechtsgrundlage

Die Verarbeitung erfolgt zur Verwaltung von Arbeitsverhältnissen, Urlaubsanträgen, internen Freigabeprozessen, Benutzerkonten und Zugriffsrechten. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 lit. f DSGVO sowie, soweit einschlägig, § 26 BDSG.

7.3 Eingesetzte Dienste & Zugriff

Die Daten werden in Firebase-Diensten, insbesondere Firebase Authentication, Firestore und Firebase Storage, verarbeitet. Nähere Informationen zu diesem Auftragsverarbeiter – einschließlich Anbieter, Sitz und Garantien für die Datenübermittlung in die USA – findest du in Abschnitt 8 (Eingesetzte Auftragsverarbeiter) und Abschnitt 12 (Datenübermittlung in Drittländer). Der Zugriff auf die im Mitarbeiterportal verarbeiteten Daten ist auf berechtigte Personen innerhalb der MR ProTect GmbH beschränkt, insbesondere Geschäftsführung, Verwaltung und zuständige Vorgesetzte.

7.4 Speicherdauer

Die Daten werden nur so lange gespeichert, wie sie für die Durchführung des Beschäftigungsverhältnisses, gesetzliche Aufbewahrungspflichten, interne Nachweise oder berechtigte Interessen erforderlich sind. Nach Wegfall des Zwecks werden die Daten gelöscht oder gesperrt, sofern gesetzliche Aufbewahrungspflichten entgegenstehen (siehe auch Abschnitt 13, Speicherdauer im Überblick).

8. Eingesetzte Auftragsverarbeiter

Wir setzen für den Betrieb dieser Website und unserer internen Prozesse folgende externe Dienstleister ein. Mit allen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir – soweit erforderlich – einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen bzw. schließen diesen ab.

a) Google Firebase / Google Cloud

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für Nutzer im EWR; Konzernmutter: Google LLC, USA). Eingesetzte Dienste: Firebase Hosting, Firebase Authentication, Cloud Firestore, Firebase Storage, Cloud Functions. Zweck: Bereitstellung der Website, Login- und Berechtigungssystem, Datenbank, Datei-Speicherung für Bewerbungsunterlagen, serverseitige Verarbeitungslogik. Google stellt für diese Dienste eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Cloud Data Processing Addendum) bereit, die inhaltlich auf die EU-Standardvertragsklauseln verweist.

b) Resend (Plus Five Five, Inc.)

Anbieter: Plus Five Five, Inc., USA. Zweck: Technischer Versand von E-Mails, die über Formulare auf unserer Website ausgelöst werden (z. B. interne Benachrichtigung über neue Bewerbungen oder Kontaktanfragen). Resend ist nach dem EU-US Data Privacy Framework zertifiziert und stellt zusätzlich eine Auftragsverarbeitungsvereinbarung auf Basis der EU-Standardvertragsklauseln zur Verfügung.

c) manitu GmbH

Anbieter: manitu GmbH, Eulerstraße 30, 48143 Münster, Deutschland. Soweit über manitu unsere Domain und/oder unsere geschäftlichen E-Mail-Postfächer (z. B. info@mr-protect.de) verwaltet werden, verarbeitet manitu in unserem Auftrag die damit verbundenen Verbindungs- und Kommunikationsdaten. manitu betreibt seine Server ausschließlich in deutschen Rechenzentren.

Hinweis: Bitte prüfe, ob manitu bei euch ausschließlich Domain & E-Mail abdeckt oder noch weitere Funktionen übernimmt – ich ergänze den Abschnitt gerne entsprechend.

9. Cookies & vergleichbare Technologien

Unsere Website verwendet Cookies und vergleichbare Speichertechnologien (z. B. lokalen Speicher des Browsers). Eine ausführliche Übersicht sowie die Möglichkeit, Ihre Auswahl jederzeit anzupassen, finden Sie in unserem Cookie-Banner, der beim ersten Besuch unserer Website erscheint.

9.1 Technisch notwendige Speichertechnologien

Ohne Ihre Einwilligung setzen wir ausschließlich technisch notwendige Speichertechnologien ein, die für den Betrieb der Website unerlässlich sind, z. B.:

  • Speicherung Ihrer Cookie-Einstellung selbst (damit der Banner nicht bei jedem Besuch erneut erscheint),
  • Sitzungs- und Authentifizierungsdaten von Firebase Authentication, soweit Sie sich im Mitarbeiterportal oder Adminbereich anmelden.

Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung zulässig, da sie zur Bereitstellung des von Ihnen ausdrücklich gewünschten Telemediendienstes unbedingt erforderlich ist.

9.2 Analyse & Marketing

Aktuell setzen wir kein Analyse-Tool (z. B. Google Analytics) und keine Marketing-Pixel (z. B. Facebook- oder LinkedIn-Insight-Tag) ein. Der Cookie-Banner enthält bereits vorbereitete Kategorien für „Analyse" und „Marketing", damit wir bei einer künftigen Einbindung solcher Dienste technisch in der Lage sind, vorab Ihre Einwilligung einzuholen, bevor entsprechende Skripte geladen werden. Sollten wir künftig Google Analytics oder vergleichbare Dienste einsetzen, aktualisieren wir diese Datenschutzerklärung entsprechend, bevor die Dienste aktiv geschaltet werden.

10. Schriftarten (Google Fonts)

Diese Website bindet zur einheitlichen Darstellung von Schriftarten sogenannte Google Fonts ein. Nach unserer aktuellen Konfiguration werden diese Schriftdateien bereits beim Erstellen der Website (Build-Prozess) lokal eingebettet und anschließend von unserem eigenen Server bzw. über Firebase Hosting ausgeliefert. Es findet dadurch keine Verbindung zu Servern von Google statt und es werden keine Daten an Google übermittelt.

Hinweis: Das gilt, sofern next/font (next/font/google) zum Einsatz kommt. Sollte stattdessen ein direkter <link>-Tag auf fonts.googleapis.com verwendet werden, müsste dieser Abschnitt angepasst und im Cookie-Banner eine entsprechende Einwilligung vorgesehen werden. Bitte kurz im Quellcode bzw. über die Netzwerk-Analyse im Browser gegenprüfen.

11. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das Verschlüsselungsverfahren TLS/SSL (Transport Layer Security), das standardmäßig über Firebase Hosting bereitgestellt wird. Im Übrigen schützen wir Ihre Daten durch geeignete technische und organisatorische Maßnahmen (u. a. rollenbasierte Zugriffsbeschränkungen in Firestore und Firebase Storage) gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen.

12. Datenübermittlung in Drittländer (USA)

Ein Teil unserer Auftragsverarbeiter (Google LLC als Konzernmutter von Google Ireland Limited, sowie Plus Five Five, Inc. / Resend) hat seinen Sitz in den USA bzw. verarbeitet Daten (auch) auf Servern in den USA. Die USA werden vom Europäischen Gerichtshof grundsätzlich als Land ohne dem EU-Recht gleichwertiges Datenschutzniveau eingeordnet. Eine Übermittlung findet daher nur auf Grundlage geeigneter Garantien statt:

  • EU-US Data Privacy Framework: Sowohl Google als auch Resend sind nach diesem Angemessenheitsbeschluss der EU-Kommission zertifiziert,
  • EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO): zusätzlich vertraglich vereinbart als ergänzende Garantie für den Fall, dass das Data Privacy Framework keine Anwendung findet.

Eine Kopie der jeweiligen Garantien können Sie über die oben genannte Kontaktadresse bei uns anfordern.

13. Speicherdauer im Überblick

Sofern oben nichts Abweichendes genannt ist, löschen oder sperren wir personenbezogene Daten, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Als Orientierung gelten folgende Regel-Fristen:

  • Kontaktanfragen ohne Vertragsschluss: bis zu 6 Monate nach abschließender Bearbeitung.
  • Bewerbungsunterlagen (Absage): bis zu 6 Monate nach Abschluss des Verfahrens, danach Löschung.
  • Bewerbungsunterlagen (Einstellung): Übernahme in die Personalakte; weitere Aufbewahrung wie Mitarbeiterdaten.
  • Mitarbeiter- und Gehaltsdaten: Dauer des Beschäftigungsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen (i. d. R. 6–10 Jahre nach § 147 AO, § 257 HGB).
  • Urlaubsanträge: im Rahmen der Personalakte, regelmäßig nicht länger als für die Personalakte vorgeschrieben.
  • Vertrags- und Rechnungsdaten von Kunden: 6–10 Jahre nach § 147 AO, § 257 HGB.
  • Server-Logfiles: in der Regel innerhalb weniger Tage bis Wochen, sofern keine sicherheitsrelevanten Vorfälle eine längere Aufbewahrung erfordern.

Diese Fristen sind als sinnvolle Standardwerte vorgeschlagen. Insbesondere bei Personal- und Buchhaltungsunterlagen empfiehlt sich eine kurze Abstimmung mit eurem Steuerberater, da die exakte Frist je Dokumentart variieren kann.

14. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Für uns als Unternehmen mit Sitz in Baden-Württemberg ist dies:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Heilbronner Straße 35
70191 Stuttgart
Telefon: 0711 615541-0
E-Mail: poststelle@lfdi.bwl.de

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services oder Tools. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: Juni 2026