RECHTLICHES · DATENSCHUTZSMOKEFACTORY® GMBH · KÖLN

DATENSCHUTZ.

DSGVO · BDSG · STAND MAI 2026

Diese Datenschutzerklärung erklärt, welche personenbezogenen Daten beim Besuch dieser Website verarbeitet werden — und unter welchen Voraussetzungen. Wir setzen Google Analytics 4 ein, jedoch nur nach aktiver Einwilligung über unseren 3-Stufen-Consent-Banner.

CONSENT MODE V2SELF-HOSTED FONTSKEIN NEWSLETTEREU-HOSTING
// TL;DR · ZUSAMMENFASSUNG
FÜR EILIGE LESER

DAS WICHTIGSTE
IN VIER PUNKTEN.

01
GA4 nur mit Einwilligung.

Google Analytics 4 wird ausschließlich nach Ihrer Zustimmung im 3-Stufen-Banner geladen (Ablehnen / Nur Statistik / Alle akzeptieren). Default ist „denied“.

02
Kein Newsletter, kein Kontaktformular.

Kontakt ausschließlich per E-Mail oder Telefon — keine Formularverarbeitung.

03
Hosting in Deutschland.

Server-Hosting bei Hetzner Online GmbH in Gunzenhausen, Bayern. AV-Vertrag nach Art. 28 DSGVO.

04
Fonts & Maps via Google.

Google Fonts werden remote geladen, Google Maps nur auf der Anfahrt-Seite — Rechtsgrundlage Art. 6 Abs. 1 lit. f.

Datenschutzerklärung im Detail

// INHALT · 13 ABSCHNITTE
[01]// AUF EINEN BLICK· KURZÜBERSICHT

DATENSCHUTZ AUF
EINEN BLICK.

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer nachfolgenden Datenschutzerklärung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Dazu gehören beispielsweise Ihr Name, Ihre E-Mail-Adresse, Ihre Telefonnummer oder Ihre IP-Adresse.

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Die Kontaktdaten des Verantwortlichen entnehmen Sie dem folgenden Abschnitt dieser Datenschutzerklärung.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen, beispielsweise durch eine Kontaktaufnahme per E-Mail oder Telefon. Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

[02]// VERANTWORTLICHER· ART. 4 NR. 7 DSGVO

VERANT­WORTLICHER.

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

// KONTAKTDATEN
SmokeFactory® GmbH.
Geschäftsführer: Philip Eckhardt
Neumarkt 31
50667 Köln

Hinweis zum Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten ist für unser Unternehmen gesetzlich nicht vorgeschrieben, da wir in der Regel nicht mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG) und keine Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.

[03]// ALLGEMEINES· RECHTSGRUNDLAGEN & SPEICHERDAUER

ALLGEMEINES ZUR
DATEN­VERARBEITUNG.

Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

Speicherdauer und Löschung

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist. Entfällt der Zweck der Speicherung oder läuft eine gesetzliche Aufbewahrungsfrist ab, werden die Daten routinemäßig gesperrt oder gelöscht.

Gesetzliche Aufbewahrungspflichten

Bestimmte Daten müssen aufgrund gesetzlicher Aufbewahrungspflichten länger gespeichert werden. Dies betrifft insbesondere handels- und steuerrechtliche Aufbewahrungsfristen nach § 257 HGB und § 147 AO, die Aufbewahrungsfristen von sechs bzw. zehn Jahren vorsehen.

[04]// HOSTING· HETZNER · SERVER-LOGFILES

HOSTING UND
SERVER-LOGFILES.

Hosting

Diese Website wird bei folgendem Anbieter gehostet:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Mit dem Hoster besteht ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO, der den datenschutzkonformen Umgang mit personenbezogenen Daten sicherstellt.

Weitere Informationen finden Sie in der Datenschutzerklärung von Hetzner: hetzner.com/de/legal/privacy-policy

Server-Logfiles

Der Hosting-Provider erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind:

  • IP-Adresse des zugreifenden Rechners
  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer-URL (die zuvor besuchte Seite)
  • Datum und Uhrzeit der Serveranfrage
  • Übertragene Datenmenge
  • Hostname des zugreifenden Rechners

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Eine Zuordnung dieser Daten zu bestimmten Personen findet nicht statt.

RECHTSGRUNDLAGE · Die Erhebung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung seiner Website sowie an der Sicherstellung der Sicherheit der informationstechnischen Systeme.

SPEICHERDAUER · Die Server-Logfiles werden nach 7 Tagen automatisch gelöscht.

[05]// VERSCHLÜSSELUNG· SSL / TLS · LET'S ENCRYPT

SSL- BZW.
TLS-VERSCHLÜSSELUNG.

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Das SSL-Zertifikat wird von Let's Encrypt bereitgestellt.

[06]// COOKIES, CONSENT & GA4· 3-STUFEN-BANNER

COOKIES & ANALYTICS.

// BASIC CONSENT MODE V2 · DEFAULT: DENIED

Diese Website nutzt Google Analytics 4 mit Erst-Anbieter-Cookies (_ga, _ga_PDKRFYMY25) ausschließlich nach Ihrer Einwilligung über den Cookie-Banner. Ohne Wahl bleibt der Default-Zustand „denied“ — gtag.js wird nicht geladen, es werden keine Cookies gesetzt und keine Daten an Google Analytics übertragen.

Die drei Consent-Stufen

WAHLWAS PASSIERT
AblehnenKeine Analyse-Cookies. GA4/gtag.js wird nicht geladen; es werden keine Daten an Google Analytics übertragen.
Nur StatistikKlassisches Analytics mit Erst-Anbieter-Cookies. Keine Werbe- oder Profiling-Daten.
Alle akzeptierenWie „Nur Statistik“ plus Google Signals (demografische Auswertungen, Cross-Device, genauere Standortdaten).

Was GA4 mit Consent erfasst

  • Aufgerufene Seiten und Verweildauer
  • Klick-Events (z. B. Telefon-, E-Mail-, Routen- und Brand-Klicks)
  • Browsertyp, Gerätekategorie (Desktop / Mobile)
  • Ungefähre geografische Region (Land / Bundesland; bei „Alle akzeptieren“ Stadt-Ebene)
  • Referrer (vorherige Website)

Die IP-Adresse wird vor jeder Verarbeitung anonymisiert (anonymize_ip: true). Eine direkte Identifikation Ihrer Person ist hierdurch ausgeschlossen.

ANBIETER · Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

MESS-ID ·G-PDKRFYMY25

RECHTSGRUNDLAGE · Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG.

SPEICHERDAUER · GA4-Aufbewahrung 14 Monate; aggregierte Berichte unbefristet.

DATENÜBERMITTLUNG USA · Google kann Daten auch auf Servern in den USA verarbeiten. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Google Signals & Granular-Location (nur bei „Alle akzeptieren“)

Bei voller Zustimmung aktiviert die Website zusätzlich:

  • Google Signals: aggregierte demografische Berichte (Alters- und Geschlechtsgruppen), Cross-Device-Verknüpfung, Interessens-Kategorien — nur sofern Sie in Ihrem Google-Konto „Personalisierte Werbung“ aktiviert haben.
  • Genauere Standort- und Gerätedaten: Stadt-Ebene statt nur Region. Bei zu kleinen Nutzer-Stichproben blendet Google die Stadt-Daten automatisch aus (Anonymitäts-Schwelle ≥ 15 Nutzer pro Bucket).

Diese Daten erhalten wir ausschließlich aggregiert und anonymisiert. Eine Re-Identifikation Ihrer Person über uns ist ausgeschlossen.

LocalStorage-Einträge (technisch notwendig)

SCHLÜSSELZWECKDAUER
sf-consentIhre Consent-Wahl (all/stats/denied)12 Monate
sf-consent-tsZeitstempel der Consent-Entscheidung12 Monate
sf-themeTheme-Wahl (hell/dunkel)persistent
sf-maps-consent„Karte beim nächsten Besuch direkt laden“persistent

Rechtsgrundlage für LocalStorage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig zur Umsetzung der Consent-Entscheidung).

Widerruf Ihrer Einwilligung

Sie können Ihre Einwilligung jederzeit widerrufen durch:

  • Aufruf von window.sfConsentReset() in der Browser-Konsole — zeigt das Banner erneut
  • Löschen der LocalStorage-Einträge sf-consent + sf-consent-ts im Browser
  • Installation des Google Analytics Opt-out Browser-Add-Ons
  • Deaktivierung der Werbe-Personalisierung in Ihrem Google-Konto unter myaccount.google.com (entzieht Google Signals den Treibstoff)
[07]// GOOGLE FONTS· SELBST GEHOSTET

GOOGLE FONTS.

// STATUS · KEINE EXTERNEN VERBINDUNGEN

Diese Website verwendet die Schriftarten Big Shoulders Display und Space Grotesk aus dem Google-Fonts-Repository, lädt sie aber ausschließlich vom eigenen Webserver (Self-Hosting). Beim Seitenaufruf wird keine Verbindung zu Google-Servern hergestellt, weder zu fonts.googleapis.com noch zu fonts.gstatic.com.

Damit entfällt die Datenübermittlung an Google bei der Schrift-Auslieferung — Ihre IP-Adresse wird ausschließlich an unseren Webserver (Hetzner Online, Deutschland) übertragen.

RECHTSGRUNDLAGE · Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung) sowie Lizenzierung der Schriften unter Open Font License (OFL).

SPEICHERORT · WOFF2-Dateien unter /assets/fonts/ auf dem eigenen Webserver.

HINWEIS · LG MÜNCHEN I (AZ. 3 O 17493/20)

Das LG München I hat mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) festgestellt, dass die Einbindung von Google Fonts über Google-Server ohne Einwilligung des Nutzers eine Verletzung des Rechts auf informationelle Selbstbestimmung darstellen kann. Diesem Urteil tragen wir durch Self-Hosting Rechnung — es findet keine Datenübermittlung an Google bei der Schrift-Auslieferung statt.

[08]// GOOGLE MAPS· NUR AUF ANFAHRT-SEITE

GOOGLE MAPS.

Diese Website nutzt auf der Anfahrt-Seite den Kartendienst Google Maps zur Darstellung unseres Standorts. Beim Laden der Kartenseite wird eine Verbindung zu den Servern von Google hergestellt, wodurch Google erfährt, dass die entsprechende Seite unserer Website aufgerufen wurde. Dabei wird Ihre IP-Adresse an Google übermittelt. Dies erfolgt unabhängig davon, ob Google ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind, oder ob kein Nutzerkonto besteht.

ANBIETER · Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

RECHTSGRUNDLAGE · Die Nutzung von Google Maps erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an einer ansprechenden Darstellung seines Standorts und an der leichten Auffindbarkeit des Ladengeschäfts.

DATENÜBERMITTLUNG USA · Google kann Daten auch auf Servern in den USA verarbeiten. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023).

Weitere Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: policies.google.com/privacy

Nutzungsbedingungen von Google Maps: google.com/intl/de/help/terms_maps

[09]// KONTAKT· E-MAIL & TELEFON

KONTAKT PER
E-MAIL & TELEFON.

Kontakt per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben einschließlich der von Ihnen angegebenen Kontaktdaten (E-Mail-Adresse, ggf. Name und Telefonnummer) sowie der Inhalt Ihrer Anfrage von uns zum Zwecke der Bearbeitung Ihres Anliegens gespeichert und verarbeitet.

Diese Website verfügt über kein Kontaktformular. Eine Kontaktaufnahme ist ausschließlich per E-Mail oder Telefon möglich.

Kontakt per Telefon

Wenn Sie uns telefonisch kontaktieren, kann Ihre Telefonnummer zur Bearbeitung Ihrer Anfrage erfasst werden. Die Telefonnummer wird nur für die Rückrufmöglichkeit und zur Bearbeitung Ihres Anliegens verwendet.

Rechtsgrundlage

Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags oder der Durchführung vorvertraglicher Maßnahmen zusammenhängt. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO).

Speicherdauer

Die von Ihnen bei der Kontaktaufnahme übermittelten Daten verbleiben bei uns, bis der Zweck für die Speicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende gesetzliche Bestimmungen, insbesondere handels- und steuerrechtliche Aufbewahrungsfristen, bleiben unberührt.

[10]// SOZIALE MEDIEN· NUR HYPERLINKS · KEINE PLUGINS

SOZIALE MEDIEN.

Auf unserer Website befinden sich Links zu unseren Profilen in sozialen Netzwerken (Instagram und Facebook). Es handelt sich dabei um einfache Hyperlinks — es werden keine Social-Media-Plugins, Tracking-Pixel oder eingebettete Inhalte dieser Plattformen verwendet.

Beim Klick auf einen solchen Link werden Sie auf die externe Seite des jeweiligen Anbieters weitergeleitet. Erst durch den Klick und den Besuch der externen Seite können Daten an den jeweiligen Anbieter übermittelt werden.

Für die Datenverarbeitung auf den Plattformen gelten die Datenschutzbestimmungen der jeweiligen Anbieter:

// INSTAGRAM

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland.

DATENSCHUTZ →
// FACEBOOK

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland.

DATENSCHUTZ →
[11]// RECHTE· IHRE RECHTE ALS BETROFFENE PERSON

RECHTE DER
BETROFFENEN.

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

ART. 15 DSGVO
Auskunftsrecht.

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten und auf die in Art. 15 DSGVO im Einzelnen aufgeführten Informationen.

ART. 16 DSGVO
Berichtigung.

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

ART. 17 DSGVO
Löschung.

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden.

ART. 18 DSGVO
Einschränkung der Verarbeitung.

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist, z. B. wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben.

ART. 20 DSGVO
Datenübertragbarkeit.

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.

ART. 21 DSGVO
Widerspruch.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.

ART. 7 ABS. 3 DSGVO
Widerruf einer Einwilligung.

Sofern Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

ART. 77 DSGVO
Beschwerde bei Aufsichtsbehörde.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

// WIDERSPRUCHSRECHT · ART. 21 DSGVO

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

[12]// AUFSICHTSBEHÖRDE· LDI NRW

ZUSTÄNDIGE
AUFSICHTSBEHÖRDE.

Zuständige Aufsichtsbehörde für den Datenschutz ist:

// LDI NRW
Landesbeauftragte für
Datenschutz und
Informationsfreiheit NRW.
Kavalleriestraße 2-4
40213 Düsseldorf
[13]// AKTUALITÄT· STAND MAI 2026

AKTUALITÄT
& ÄNDERUNG.

Diese Datenschutzerklärung hat den Stand Mai 2026. Aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Website abgerufen werden.