Datenschutzerklärung der KV GmbH

1. Einleitung

Die KV GmbH („co.de“, „wir“, „uns“) verpflichtet sich, Ihre personenbezogenen Daten verantwortungsvoll zu verarbeiten und Ihre Privatsphäre zu schützen. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten im Rahmen unserer Dienstleistungen, insbesondere bei der Verwaltung und Registrierung von Subdomains unterhalb von co.de, erheben, verarbeiten, speichern und schützen. Grundlage unserer Datenverarbeitung ist die Europäische Datenschutz-Grundverordnung (DSGVO), ergänzt durch das Bundesdatenschutzgesetz (BDSG).

Obwohl unser Firmensitz in Deutschland liegt, richten sich unsere Dienste an Kunden weltweit. Wir beachten daher nicht nur die europäischen Datenschutzstandards, sondern achten bei Bedarf auch auf internationale Vorgaben, etwa bei der Zusammenarbeit mit Partnern und Behörden außerhalb der EU.

Wir nehmen den Datenschutz sehr ernst und informieren Sie im Folgenden umfassend über die Art der Datenerhebung, deren Verarbeitung, Ihre Rechte sowie über die Maßnahmen, die wir zur Gewährleistung der Sicherheit Ihrer Daten treffen.

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung ist:

KV GmbH

Martinistraße 3

49090 Osnabrück

Deutschland

E-Mail: datenschutz@kv-gmbh.de

Vertretungsberechtigter Geschäftsführer:

Martin Steinkamp

Zuständige Datenschutzaufsichtsbehörde:

Die Landesbeauftragte für den Datenschutz Niedersachsen

Prinzenstraße 5

30159 Hannover

E-Mail: poststelle@lfd.niedersachsen.de

3. Kategorien verarbeiteter personenbezogener Daten

Im Rahmen unserer Leistungen erheben und verarbeiten wir unter anderem folgende Kategorien personenbezogener Daten:

  • Name, Anschrift, Telefonnummer, E-Mail-Adresse
  • Unternehmensdaten (bei juristischen Personen)
  • Benutzerkennungen und Zugangsdaten (z. B. Logins, IP-Adressen, Zeitstempel)
  • Technische Kontaktinformationen für Domains (z. B. Admin-C, Tech-C, Zonenverantwortliche)
  • Kommunikationsinhalte (Support-Anfragen, E-Mails, Telefonnotizen)
  • Identitätsnachweise und Dokumente im Rahmen von Verifizierungen
  • Logdaten (z. B. Zugriffshistorien, User-Agent, Betriebssystem)

4. Besondere Kategorien personenbezogener Daten

In seltenen Fällen verarbeiten wir auch besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, etwa wenn Ausweiskopien im Rahmen der Abuse-Bearbeitung, Verifikation oder Identitätsprüfung erforderlich sind. Solche Daten werden ausschließlich auf Basis einer ausdrücklichen Einwilligung oder einer gesetzlichen Verpflichtung erhoben, besonders geschützt und nach Zweckerreichung unverzüglich gelöscht.

5. Zwecke und Umfang der Datenverarbeitung

Die Verarbeitung Ihrer Daten erfolgt zu folgenden Zwecken:

  • Einrichtung und Verwaltung von Subdomains
  • Verwaltung von Kundendaten und Vertragspartnern
  • Technischer Betrieb, Wartung und Monitoring unserer Systeme
  • Erkennung und Abwehr von Cyberangriffen, Spam und Missbrauch
  • Kommunikation mit Kunden, Partnern und Behörden
  • Bearbeitung von Anfragen, insbesondere im Zusammenhang mit Abuse-Fällen
  • Dokumentationspflichten nach steuer- und handelsrechtlichen Vorschriften
  • Identitätsprüfung und Legitimitätsnachweis (z. B. bei strittigen Domaininhaberschaften)

Im Falle des Missbrauchs oder von Abuse kann eine postalische Bestätigung an die bei der Registrierung angegebene Adresse erfolgen. Die dabei verarbeiteten Daten dienen der Sicherstellung der Identität des Domaininhabers.

6. Rechtsgrundlagen der Datenverarbeitung

Die Datenverarbeitung stützt sich auf die folgenden rechtlichen Grundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags)
  • Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. IT-Sicherheit, Netzstabilität, Missbrauchsprävention)

7. Empfänger von personenbezogenen Daten

Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Externe Empfänger können sein:

  • Technische Dienstleister und Hoster (z. B. E-Mail, Serverbetrieb)
  • Betreiber von Support- und Ticket-Systemen
  • Domain-Registrare
  • Behörden und Gerichte im Rahmen gesetzlicher Anforderungen
  • Legitimitätsprüfende Dritte im Rahmen von Abuse-Verfahren

Eine Weitergabe an koordinierende Abuse-Stellen erfolgt nur, wenn sie rechtlich geboten oder zur Gefahrenabwehr erforderlich ist.

Die Erhebung und Veröffentlichung technischer Kontaktdaten im Rahmen des WHOIS/RDAP-Dienstes erfolgt nach Maßgabe der jeweils geltenden WHOIS-/RDAP-Policy.

8. Auftragsverarbeitung (AVV)

Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir rechtskonforme Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Diese Dienstleister sind vertraglich verpflichtet, die Daten nur auf unsere Weisung hin zu verarbeiten, angemessene Sicherheitsmaßnahmen umzusetzen und die Vertraulichkeit zu wahren.

Beispiele für solche Auftragsverarbeiter sind Hostingunternehmen, CRM-Anbieter, E-Mail-Provider oder Anbieter für automatisierte Abuse-Erkennung.

9. Übermittlung in Drittländer

Eine Datenübermittlung in Länder außerhalb der EU/des Europäischen Wirtschaftsraums (sog. Drittstaaten) erfolgt nur, wenn ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist. Dies kann durch einen Angemessenheitsbeschluss der EU-Kommission, EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften sichergestellt werden.

10. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies zur Zweckerfüllung oder zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist:

  • Vertrags- und Abrechnungsdaten: 10 Jahre
  • Kommunikations- und Supportdaten: 12–24 Monate
  • Server- und Zugriffsdaten: bis zu 12 Monate

Nach Ablauf dieser Fristen erfolgt eine Löschung oder Anonymisierung.

11. Rechte der betroffenen Personen

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Bitte wenden Sie sich zur Wahrnehmung Ihrer Rechte an: datenschutz@kv-gmbh.de

Darüber hinaus steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu.

12. IT- und Datensicherheit

Wir setzen eine Vielzahl technischer und organisatorischer Maßnahmen ein, um Ihre Daten zu schützen, darunter:

  • Verschlüsselung des Datenverkehrs (TLS/SSL)
  • Mehrstufige Zugriffskontrollsysteme (z. B. 2-Faktor-Authentifizierung)
  • Intrusion-Detection-Systeme und Firewalls
  • Zugriffsprotokollierung und Monitoring
  • Rollen- und Rechtemanagement nach dem „Need-to-know“-Prinzip

13. Hosting, Logs und technische Infrastruktur

Unsere Server befinden sich ausschließlich in Rechenzentren mit Sitz innerhalb der EU. Bei Zugriffen auf unsere Systeme werden automatisch folgende Daten protokolliert:

  • IP-Adresse
  • Datum und Uhrzeit
  • aufgerufene URL und HTTP-Status
  • Browsertyp und Version
  • Betriebssystem

Diese Daten dienen ausschließlich der Sicherstellung des Betriebs, zur Fehlersuche sowie zur Missbrauchserkennung und werden nicht mit anderen Datenquellen zusammengeführt.

14. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb unserer Website und zur Bereitstellung grundlegender Funktionen erforderlich sind (z. B. Session-Management, Login-Funktionalität). Es findet kein Tracking, keine Profilerstellung und keine Analyse des Nutzerverhaltens statt. Eine Einwilligung für diese technisch erforderlichen Cookies ist gemäß § 25 Abs. 2 TTDSG nicht erforderlich.

15. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung oder ein Profiling gemäß Art. 22 DSGVO findet nicht statt. Sollte eine solche Verarbeitung zukünftig erfolgen, werden wir Sie gesondert informieren und Ihre Einwilligung einholen, sofern gesetzlich erforderlich.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung bei Änderungen rechtlicher, technischer oder organisatorischer Gegebenheiten anzupassen. Die jeweils aktuelle Fassung ist stets unter www.co.de/datenschutz einsehbar. Bei grundlegenden Änderungen informieren wir betroffene Personen aktiv per E-Mail. Akkreditierte Registrare sind verpflichtet, dafür Sorge zu tragen, dass die Domaininhaber die jeweils aktuelle Fassung dieser Datenschutzerklärung erhalten bzw. bei der Registrierung einer Subdomain unter „co.de“ in geeigneter Form darauf hingewiesen werden.

Stand: Mai 2025