heysash

Datenschutzerklärung

Wir nehmen den Schutz deiner personenbezogenen Daten ernst und behandeln sie vertraulich sowie entsprechend der gesetzlichen Datenschutzvorschriften und dieser Datenschutzerklärung. Diese Erklärung informiert dich darüber, welche Daten wir beim Besuch unserer Website heysash.com erheben, zu welchem Zweck wir sie nutzen und welche Rechte dir im Zusammenhang mit deinen Daten zustehen.

Geltungsbereich

Diese Datenschutzerklärung gilt für die Website heysash.com sowie alle darüber angebotenen Dienste. Sie gilt nicht für Websites Dritter, auf die wir lediglich per Link verweisen. Maßgeblich ist jeweils die aktuelle Fassung, die auf dieser Seite abrufbar ist.

Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sascha Rahn - heysash
c/o IP-Management #9804
Ludwig-Erhard-Straße 18
20459 Hamburg

E-Mail: legal@heysash.com
Telefon: +49 89 12258852
USt-IdNr: DE289645555

Deine Rechte als betroffene Person

Dir stehen bezüglich der dich betreffenden personenbezogenen Daten folgende Rechte uns gegenüber zu:

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an legal@heysash.com.

Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu. Zuständig für uns ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de

Du kannst dich jedoch auch an jede andere Datenschutz-Aufsichtsbehörde wenden, insbesondere an die Aufsichtsbehörde deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und am Schloss-Symbol in der Browserzeile. Wenn die SSL-/TLS-Verschlüsselung aktiviert ist, können die Daten, die du an uns übermittelst, nicht von Dritten mitgelesen werden.

Hosting und Server-Logfiles (Vercel)

Unsere Website wird bei der Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, gehostet. Beim Aufruf unserer Website werden automatisch technische Informationen erhoben und in sogenannten Server-Logfiles gespeichert, die dein Browser an unseren Hosting-Anbieter übermittelt. Dies betrifft:

Diese Daten sind technisch notwendig, um dir die Website anzuzeigen, und dienen der Stabilität und Sicherheit des Systems. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien und sicheren Bereitstellung unserer Website).

Mit Vercel haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Da Vercel seinen Hauptsitz in den USA hat, findet eine Datenübermittlung in ein Drittland statt. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich stützen wir die Übermittlung auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen findest du in der Datenschutzerklärung von Vercel: https://vercel.com/legal/privacy-policy

Reichweitenmessung (Vercel Analytics)

Zur statistischen Auswertung der Nutzung unserer Website setzen wir Vercel Analytics ein, einen Dienst der Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Vercel Analytics ist ein datenschutzfreundlicher Analysedienst, der speziell darauf ausgelegt ist, ohne die Erhebung personenbezogener Profile zu arbeiten.

Dabei werden ausschließlich anonymisierte Besucher-Metriken erfasst, beispielsweise die Anzahl der Seitenaufrufe, besuchte Seiten und ungefähre Herkunftsregionen. Es werden keine IP-Adressen gespeichert und es werden keine Cookies gesetzt. Eine Nachverfolgung über verschiedene Websites hinweg oder eine Identifizierung einzelner Nutzer findet nicht statt.

Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der statistischen Analyse der Reichweite unserer Website zur Optimierung unseres Angebots, ohne dass wir personenbezogene Profile anlegen. Da keine Cookies oder vergleichbare Technologien im Sinne des § 25 TTDSG eingesetzt werden, ist keine Einwilligung erforderlich.

Weitere Informationen findest du unter: https://vercel.com/docs/analytics/privacy-policy

Schriftarten

Für die Darstellung der Website setzen wir zwei Schriftarten ein: General Sans und JetBrains Mono. Beide Schriften sind als woff2-Dateien lokal in unserem Projekt eingebunden und werden ausschließlich von unserer eigenen Infrastruktur ausgeliefert.

Es findet kein Datenaustausch mit Google Fonts oder anderen Drittanbietern bei der Schriftauslieferung statt. Beim Besuch unserer Website wird keine Verbindung zu externen Font-Servern aufgebaut.

Kontaktaufnahme per E-Mail

Wenn du uns per E-Mail kontaktierst (z. B. über die im Impressum oder Footer hinterlegte mailto-Verknüpfung), verarbeiten wir die von dir übermittelten Daten (deine E-Mail-Adresse, den Inhalt deiner Nachricht sowie den Zeitpunkt der Zusendung) zur Bearbeitung deiner Anfrage.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern deine Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen gemäß Art. 6 Abs. 1 lit. f DSGVO.

Wir speichern deine Nachricht, bis der Zweck der Verarbeitung entfällt (z. B. nach abschließender Bearbeitung deiner Anfrage). Zwingende gesetzliche Bestimmungen, insbesondere handels- und steuerrechtliche Aufbewahrungsfristen nach §§ 257 HGB und 147 AO (in der Regel 6 bzw. 10 Jahre), bleiben unberührt.

Kontaktformular

Auf unserer Website kannst du über das Anfrageformular auf der GEO-Seite unter /lp/geo-optimierung Kontakt zu uns aufnehmen. Die von dir in das Formular eingegebenen Daten (Name, E-Mail-Adresse, die angefragte Domain, deine Paketauswahl sowie eine optionale Notiz) werden an uns übermittelt, um deine Anfrage zu bearbeiten, dir eine Eingangsbestätigung zu senden und etwaige Anschlussfragen zu beantworten.

Die Übermittlung erfolgt verschlüsselt (TLS). Für den Versand der zugehörigen E-Mails (interne Benachrichtigung und automatische Eingangsbestätigung an dich) setzen wir den Dienst Resend ein, für die Erfassung und Bearbeitung deiner Anfrage den Dienst Notion. Einzelheiten zu diesen beiden Auftragsverarbeitern findest du in den folgenden beiden Abschnitten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit deine Anfrage der Durchführung vorvertraglicher Maßnahmen oder der Vertragserfüllung dient, sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der Beantwortung deiner Anfrage. Deine im Formular erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Die von dir im Formular eingegebenen Daten verbleiben bei uns, bis du uns zur Löschung aufforderst, deine Einwilligung zur Speicherung widerrufst oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen, insbesondere Aufbewahrungsfristen, bleiben unberührt.

E-Mail-Versand (Resend)

Für den Versand der E-Mails aus dem Anfrageformular setzen wir den Dienst Resend der Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA, ein. Verarbeitet werden dabei deine im Formular angegebene E-Mail-Adresse, dein Name sowie der Inhalt der Benachrichtigung und der Eingangsbestätigung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO (Bearbeitung deiner Anfrage und berechtigtes Interesse an einer zuverlässigen E-Mail-Zustellung). Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Da Resend seinen Hauptsitz in den USA hat, findet eine Datenübermittlung in ein Drittland statt; wir stützen diese auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen findest du in der Datenschutzerklärung von Resend: https://resend.com/legal/privacy-policy

Lead-Verwaltung (Notion)

Zur Erfassung und Bearbeitung deiner Anfrage speichern wir die Formulardaten in unserem Projektmanagement-Werkzeug Notion der Notion Labs, Inc., 2300 Harrison Street, San Francisco, CA 94110, USA. Verarbeitet werden die von dir angegebenen Daten (Name, E-Mail-Adresse, Domain, Paketauswahl und optionale Notiz).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO (Bearbeitung und Organisation deiner Anfrage). Mit Notion besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Da Notion seinen Hauptsitz in den USA hat, findet eine Datenübermittlung in ein Drittland statt; wir stützen diese auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen findest du in der Datenschutzerklärung von Notion: https://www.notion.com/privacy

Kunden-Login (Clerk)

Für die Authentifizierung und Nutzerverwaltung im Kunden-Login-Bereich unter /login setzen wir den Dienst Clerk der Clerk, Inc., 660 King Street, Unit 345, San Francisco, CA 94107, USA, ein.

Im Rahmen der Registrierung und Anmeldung werden folgende Daten verarbeitet: deine E-Mail-Adresse, Authentifizierungs-Credentials (z. B. Passwort-Hash), Session-Identifikatoren, gegebenenfalls dein Name sowie, bei Nutzung von OAuth-Anbietern, die vom jeweiligen Anbieter übermittelten Profildaten. Zur Aufrechterhaltung deiner Sitzung setzt Clerk technisch notwendige Session-Cookies. Diese Cookies sind für den Betrieb des Login-Bereichs unerlässlich und daher nach § 25 Abs. 2 Nr. 2 TTDSG nicht einwilligungspflichtig.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen zur Bereitstellung des Kunden-Dashboards).

Clerk hat seinen Hauptsitz in den USA. Clerk ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend stützen wir die Drittlandübermittlung auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Clerk besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen findest du in der Datenschutzerklärung von Clerk: https://clerk.com/legal/privacy

Cookie-Consent und Einwilligungsmanagement

Beim ersten Besuch unserer Website zeigen wir dir einen Cookie-Banner, in dem du über die optionale Datenverarbeitung durch Marketing- und Analyse-Dienste entscheidest. Die Standard-Einstellung ist abgelehnt für alle nicht-notwendigen Kategorien — du musst aktiv zustimmen, bevor wir entsprechende Cookies oder Tracking-Dienste laden.

Du kannst zwischen vier Kategorien wählen: Analyse (PostHog inkl. Sitzungswiederholungen), Werbe-Cookies (Google Ads), Daten an Werbe-Plattformen (Conversion-Signale) und Personalisierte Anzeigen (Retargeting). Notwendige Funktionen (Theme-Auswahl, Consent-Status) laufen ohne Einwilligung weiter, da sie technisch unverzichtbar sind.

Deine Entscheidung speichern wir lokal in deinem Browser (Local-Storage-Eintrag heysash_consent_v1) zusammen mit einem Zeitstempel. Es findet keine serverseitige Speicherung statt.

Du kannst deine Auswahl jederzeit über den Link Cookie-Einstellungen im Footer ändern oder vollständig widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt (Art. 7 Abs. 3 DSGVO). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TTDSG.

Conversion-Tracking (Google Ads)

Wir nutzen Google Ads, einen Online-Werbedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Über das Google-Tag (gtag.js) und die Google-Ads-Conversion-API messen wir, ob ein Klick auf eine unserer Anzeigen zu einer Kontaktaufnahme führt.

Verarbeitet werden eine pseudonyme Klick-ID (gclid), die Conversion-Klassifikation (z. B. Kontakt-Klick) und technische Geräte- und Browser-Daten. Eine direkte Identifikation deiner Person erfolgt durch uns nicht. Enhanced Conversions (Übermittlung gehashter E-Mail- oder Telefonnummer-Daten) haben wir bewusst nicht aktiviert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Cookie-Banner). Der Tag wird nur geladen, wenn du den Kategorien Werbe-Cookies und Daten an Werbe-Plattformen zugestimmt hast. Vor der Einwilligung greift Google Consent Mode v2 mit dem Default denied — es findet keine Conversion-Erfassung statt.

Google ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend stützen wir die Drittlandübermittlung in die USA auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Speicherdauer richtet sich nach den Google-Standards (in der Regel 540 Tage für Conversion-Cookies).

Du kannst deine Einwilligung jederzeit über den Footer-Link Cookie-Einstellungen widerrufen oder personalisierte Werbung direkt bei Google deaktivieren: https://adssettings.google.com. Weitere Informationen findest du in der Datenschutzerklärung von Google: https://policies.google.com/privacy.

Funnel-Analyse (PostHog)

Zur Analyse, wie Besucher unsere Website nutzen, setzen wir PostHog ein, einen Analyse-Dienst der PostHog Inc. Für unsere Auswertung verwenden wir ausschließlich die EU-Cloud unter eu.i.posthog.com. Die Daten werden in der EU verarbeitet und gespeichert — es findet keine Drittlandübermittlung in die USA statt.

PostHog erfasst pseudonyme Nutzungs-Ereignisse wie Seitenaufrufe, Scroll-Tiefe (25 / 50 / 70 / 90 Prozent), Klicks auf Buttons und die Dauer deiner Sitzung. Es wird eine zufällige Geräte-ID gesetzt, die wir nicht mit deiner Identität verknüpfen — wir übermitteln keine identifizierenden Daten wie E-Mail-Adresse oder Name. Ergänzend zeichnen wir sogenannte Sitzungswiederholungen auf — Details dazu findest du im folgenden Abschnitt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Dienst wird nur geladen, wenn du der Kategorie Analyse zugestimmt hast. Ohne Einwilligung läuft kein PostHog-Skript.

Mit PostHog haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Weitere Informationen findest du in der Datenschutzerklärung von PostHog: https://posthog.com/privacy.

Sitzungswiederholungen (PostHog Session Replay)

Wir nutzen die Sitzungswiederholungs-Funktion (Session Replay) von PostHog, um zu verstehen, wie Besucher unsere Website tatsächlich nutzen. Aufgezeichnet werden:

NICHT aufgezeichnet werden:

Zweck der Verarbeitung ist die qualitative Funnel-Analyse — wir erkennen zum Beispiel, an welcher Stelle einer Seite Besucher abbrechen, ob CTAs übersehen werden oder ob technische Probleme den Klick-Pfad blockieren. Die Aufzeichnungen werden ausschließlich von Sascha Rahn (Inhaber des Studios heysash) ausgewertet, nicht an Dritte weitergegeben und nicht für Werbe- oder Profiling-Zwecke genutzt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Aufzeichnung startet nur, wenn du der Kategorie Analyse zugestimmt hast — ohne Einwilligung läuft kein Recording. Du kannst die Einwilligung über den Footer-Link Cookie-Einstellungen jederzeit widerrufen; die Rechtmäßigkeit der bis zum Widerruf erstellten Aufzeichnungen bleibt unberührt (Art. 7 Abs. 3 DSGVO).

Verarbeitung und Speicherung erfolgen ausschließlich in der EU-Cloud von PostHog (eu.i.posthog.com). Die Standard-Aufbewahrungsdauer für Recordings beträgt 30 Tage; danach werden die Aufzeichnungen automatisch gelöscht.

Retargeting (LinkedIn Insight Tag)

Wir bereiten den Einsatz des LinkedIn Insight Tags der LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland (Mutter: LinkedIn Corporation, USA) vor. Über das Insight-Tag erstellen wir eine Retargeting-Zielgruppe — Personen, die unsere Website besucht haben, können später eine LinkedIn-Anzeige sehen, die auf ihren Besuch zugeschnitten ist.

Aktueller Stand: Der Tag ist im Code als No-Op-Pattern vorbereitet, wird aber noch nicht geladen. Eine Aktivierung erfolgt erst, sobald unser LinkedIn-Unternehmensauftritt vollständig eingerichtet ist. Du wirst beim ersten Besuch nach Aktivierung erneut über den Cookie-Banner gefragt.

Sobald aktiv, verarbeitet der Tag eine pseudonyme Besucher-ID, technische Geräte- und Browser-Daten sowie die Information, dass du heysash.com besucht hast. LinkedIn nutzt diese Daten zur Zielgruppen-Bildung und kombiniert sie gegebenenfalls mit deinem LinkedIn-Profil, sofern du dort eingeloggt bist (Joint-Controllership gemäß Art. 26 DSGVO).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Tag wird nur geladen, wenn du den Kategorien Werbe-Cookies und Daten an Werbe-Plattformen zugestimmt hast und die Aktivierung erfolgt ist.

LinkedIn ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend stützen wir die Drittlandübermittlung in die USA auf Standardvertragsklauseln der EU-Kommission. Weitere Informationen findest du in der Datenschutzerklärung von LinkedIn: https://www.linkedin.com/legal/privacy-policy.

Impressum-Privatschutz (IP-Management)

Wir verwenden für die Verwaltung der an uns gesendeten Post die Dienstleistungen der IMPRESSUM-PRIVATSCHUTZ GmbH, Ludwig-Erhard-Str. 18, 20459 Hamburg. Dieser Dienstleister bietet eine sichere und zuverlässige Postanschrift für unser Projekt (z.B. Impressum, Datenschutzerklärung, Widerrufsbelehrung und ggf. weitere Bereiche). Dies stellt auch unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar. Wir haben mit Impressum-Privatschutz einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung dieser Dienstleistung vollständig um. Weitere Informationen über Datenschutz bei Impressum-Privatschutz GmbH finden Sie hier: https://impressum-privatschutz.de/datenschutzerklaerung/

Cookies und vergleichbare Technologien

Unsere Website setzt drei Arten von Speichertechnologien ein:

  1. Technisch notwendige Speicherung (Local Storage): deine Theme-Auswahl (Hell-/Dunkelmodus), dein Consent-Status (heysash_consent_v1) und Session-Daten des Kunden-Logins (Clerk). Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TTDSG nicht einwilligungspflichtig, da sie für die von dir gewünschte Funktion unbedingt erforderlich ist.
  2. Marketing- und Tracking-Cookies (nur nach Einwilligung): Google Ads (Conversion-Tracking), PostHog (Funnel-Analyse), zukünftig LinkedIn (Retargeting). Diese werden nur geladen, wenn du sie im Cookie-Banner aktiv zustimmst. Details findest du in den jeweiligen Abschnitten oben.
  3. UTM-Parameter (Session Storage): Beim ersten Klick auf eine unserer Anzeigen speichern wir die UTM-Parameter (Quelle, Kampagne, Inhalt) und die Google-Klick-ID gclid in deinem Browser-Tab, damit wir später bei einer Kontaktanfrage die Anzeigen-Herkunft zuordnen können. Diese Speicherung gilt nur für den aktuellen Browser-Tab und wird beim Schließen automatisch gelöscht. Sie enthält keine identifizierenden Daten und ist nach § 25 Abs. 2 Nr. 2 TTDSG nicht einwilligungspflichtig.

Datensicherheit

Wir setzen angemessene technische und organisatorische Sicherheitsmaßnahmen ein, um deine Daten gegen zufällige oder vorsätzliche Manipulation, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Dazu zählen insbesondere die SSL-/TLS-Verschlüsselung der Datenübertragung, der Einsatz aktueller und gepflegter Software-Komponenten sowie ein restriktives Berechtigungskonzept auf Server-Seite.

Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Durch die Weiterentwicklung unserer Website und unserer Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version kannst du jederzeit auf dieser Seite abrufen.