Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

3. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nicht bestellt. Die Voraussetzungen für eine Bestellpflicht nach § 38 Abs. 1 BDSG liegen nicht vor (weniger als 20 mit der automatisierten Datenverarbeitung befasste Personen, keine umfangreiche Überwachung, keine Verarbeitung besonderer Kategorien nach Art. 9 DSGVO).

4. Zuständige Aufsichtsbehörde

5. Speicherdauer

Soweit keine speziellere Speicherdauer genannt ist, gelten folgende Fristen:

• Kontaktanfragen ohne Vertragsabschluss: maximal 6 Monate nach letzter Kommunikation
• Bei Vertragsabschluss: zusätzlich 10 Jahre gemäß § 147 AO
• Server-Logs: 14 Tage
• Chatbot-Analytics-Log (Google Sheet): 12 Monate, anschließend Löschung
• Rate-Limit-State (Chatbot): 24 Stunden rollierend
• Google Analytics (bei Einwilligung): 14 Monate, anschließend automatische Löschung

6. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und am Schloss-Symbol in Ihrer Browserzeile.

7. Hosting und Infrastruktur

7.1 Vercel (Frontend-Hosting)

Wir hosten unsere Website bei Vercel. Anbieter ist die Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA (nachfolgend „Vercel“). Die primäre Auslieferung unserer Website erfolgt über die Vercel Edge-Region Frankfurt am Main (fra1), Deutschland. Personenbezogene Daten (z. B. IP-Adresse, Zugriffszeitpunkt) werden somit in der EU verarbeitet. Eine Übermittlung an Server in den USA kann im Rahmen von Administration, Support und technischen Management-Funktionen durch Vercel Inc. stattfinden.

Garantien nach Art. 46 DSGVO: Vercel Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert und somit nach Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 ein sicherer Drittstaat. Ergänzend haben wir mit Vercel EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Für den Fall, dass die DPF-Zertifizierung aufgehoben wird, bleiben die SCC weiterhin Rechtsgrundlage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen, performanten und sicheren Bereitstellung unserer Website). Details: https://vercel.com/legal/privacy-policy.

7.2 Eigene Backend-Infrastruktur (n8n Self-Hosted)

Das Kontaktformular, der KI-Readiness-Check und der Website-Chatbot werden über eine von uns selbst betriebene Automatisierungsplattform (n8n) verarbeitet. Server-Standort ist Frankfurt am Main, Deutschland (Hosting: Hostinger, Rechenzentrum Deutschland). Die Daten verbleiben damit innerhalb der EU.

Verarbeitet werden die von Ihnen im jeweiligen Formular angegebenen Daten (Name, E-Mail, Nachricht, ggf. Telefonnummer) sowie technische Verbindungsdaten (IP, Zeitstempel, Request-ID) für Sicherheits- und Rate-Limit-Zwecke. Die IP wird nicht dauerhaft gespeichert, sondern nur für maximal 24 Stunden im Rahmen des Rate-Limitings vorgehalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihre Anfrage) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website und am Schutz vor Missbrauch).

7.3 All-Inkl (Domain & DNS)

Unsere Domain wird über All-Inkl verwaltet. Anbieter ist die ALL-INKL.COM – Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf. All-Inkl stellt die DNS-Infrastruktur bereit, über die Ihre Anfragen an den Hosting-Anbieter weitergeleitet werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Details: https://all-inkl.com/datenschutzinformationen/.

8. Server-Logs

Beim Zugriff auf die Website werden automatisch technische Zugriffsdaten verarbeitet (IP-Adresse, Zeitpunkt, aufgerufene URL, Referrer, User-Agent, HTTP-Status, übertragene Datenmenge). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am stabilen und sicheren Betrieb der Website. Server-Logs werden nach 14 Tagen automatisch gelöscht.

9. Einwilligungsverwaltung (Consent-Banner)

Wir setzen auf dieser Website ein selbst entwickeltes Einwilligungs-Banner (Consent-Tool) ein, um Ihre Einwilligung in das Setzen nicht technisch notwendiger Cookies und den Einsatz von Analyse-Diensten einzuholen. Rechtsgrundlage ist § 25 Abs. 1 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.

Ihre Entscheidung (akzeptiert/abgelehnt) wird ausschließlich lokal in Ihrem Browser im localStorage unter dem Schlüssel cookie-consent gespeichert. Es findet keine Übermittlung der Einwilligung an Dritte statt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den lokalen Speicher Ihres Browsers leeren. Bis zu Ihrer Einwilligung werden keine Analyse- oder Marketing-Tools geladen.

10. Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Die Übermittlung erfolgt an unsere eigene n8n-Instanz (siehe Abschnitt 7.2). Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

11. KI-Readiness-Check / Automation-Check-Formular

Auf unserer Website können Sie einen KI-Readiness-Check durchführen. Die dort eingegebenen Angaben zu Ihrem Unternehmen und Ihren Prozessen werden über unsere eigene n8n-Instanz (siehe 7.2) verarbeitet und automatisiert ausgewertet. Die Auswertung kann den Einsatz von KI-Diensten (siehe Abschnitt 13) umfassen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihre Anfrage).

12. Website-Chatbot

Auf dieser Website setzen wir einen Chatbot ein, der Ihre Fragen zu unseren Leistungen in Echtzeit beantwortet. Der Chatbot wird über unsere eigene n8n-Instanz (Server-Standort Frankfurt, siehe 7.2) betrieben und nutzt zur Generierung der Antworten externe KI-Dienste (siehe 13).

Datenfluss:

• Ihre Chat-Nachricht wird an unseren n8n-Webhook (Frankfurt) übermittelt.
• Die Nachricht wird an OpenAI (Hauptpfad) und ggf. Anthropic (Fallback) zur Antwortgenerierung weitergeleitet.
• Die Antwort wird an Ihren Browser zurückgesendet.
• Zu Analyse- und Qualitätssicherungszwecken werden Chatbot-Interaktionen (Frage, Antwortstatus, Session-ID, Zeitstempel) in einem von uns verwalteten Google Sheet protokolliert (siehe 14).
• Zum Schutz vor Missbrauch werden pro Session maximal 10 Nachrichten pro Minute zugelassen; die Zählung erfolgt lokal auf unserem Server und wird nach 24 Stunden verworfen.

Wir empfehlen, keine sensiblen personenbezogenen Daten im Chat zu übermitteln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am effizienten Kundensupport) sowie Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage vorvertraglicher Natur ist.

13. Eingesetzte KI-Dienste

13.1 OpenAI (ChatGPT-API)

Für die Generierung der Chatbot-Antworten und die automatisierte Auswertung des KI-Readiness-Checks nutzen wir Dienste der OpenAI Ireland Ltd. (1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland). Die Verarbeitung kann auch auf Servern der OpenAI, L.L.C. in den USA erfolgen.

Garantien nach Art. 46 DSGVO: OpenAI, L.L.C. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln (SCC). OpenAI nutzt die über die API übermittelten Inhalte vertraglich zugesichert nicht zum Training seiner Modelle. Details: https://openai.com/policies/privacy-policy.

13.2 Anthropic (Claude)

Als Fallback bei unklaren Anfragen im Chatbot sowie für interne Prozessunterstützung setzen wir Claude von Anthropic ein. Anbieter ist die Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA.

Garantien nach Art. 46 DSGVO: Anthropic PBC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln (SCC). Anthropic nutzt die über die API übermittelten Daten vertraglich zugesichert nicht zum Training seiner Modelle. Details: https://www.anthropic.com/legal/privacy.

14. Google Sheets (Wissensdatenbank & Chatbot-Analytics)

Als Wissensdatenbank für den Chatbot und zur Protokollierung unbeantworteter Fragen nutzen wir Google Sheets. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Eine Übermittlung an Server der Google LLC in den USA kann stattfinden.

Garantien nach Art. 46 DSGVO: Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Wissensverwaltung und Qualitätssicherung des Chatbots). Details: https://policies.google.com/privacy.

15. Analyse-Tools

15.1 Google Tag Manager (GTM-5Q33ZSS9)

Wir setzen den Google Tag Manager (Container-ID GTM-5Q33ZSS9) ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Google Tag Manager ist ein Tool, mit dessen Hilfe wir Tracking- und Statistik-Tools auf unserer Website einbinden. Der Google Tag Manager selbst erstellt keine Nutzerprofile, speichert keine eigenständigen Cookies und nimmt keine eigenständigen Analysen vor. Er wird erst nach Ihrer Einwilligung im Consent-Banner geladen (siehe 9). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TTDSG (Einwilligung).

15.2 Google Analytics 4 (G-QDTQ92EMT1)

Diese Website nutzt nach Ihrer Einwilligung Funktionen des Webanalysedienstes Google Analytics 4 (Mess-ID G-QDTQ92EMT1). Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics ermöglicht es dem Websitebetreiber, das Verhalten der Websitebesucher zu analysieren. Hierbei erhält der Websitebetreiber verschiedene Nutzungsdaten, wie z. B. Seitenaufrufe, Verweildauer, verwendete Betriebssysteme und Herkunft des Nutzers.

IP-Anonymisierung ist standardmäßig in GA4 aktiv; die IP-Adresse wird gekürzt verarbeitet. Eine Übermittlung an Server der Google LLC in den USA kann stattfinden.

Garantien nach Art. 46 DSGVO: Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TTDSG (Einwilligung). Sie können Ihre Einwilligung über das Consent-Banner jederzeit widerrufen. Speicherdauer: 14 Monate. Details: https://policies.google.com/privacy.

15.3 Umami (selbst gehostet)

Zusätzlich setzen wir Umami zur Reichweitenmessung ein. Umami ist eine Open-Source-Software, die auf unserem eigenen Server (VPS in Nürnberg, Deutschland) läuft. Es werden keine Cookies gesetzt; es werden ausschließlich pseudonyme, aggregierte Daten verarbeitet: aufgerufene Seiten, Herkunfts-Land, Referrer, Browser-Typ, Bildschirm-Auflösung.

IP-Adressen werden vor Speicherung durch eine Hash-Funktion anonymisiert und lediglich zur tagesgenauen Deduplizierung genutzt. Eine Wiedererkennung einzelner Nutzer ist durch das Fehlen persistenter Identifier (keine Cookies, gehashte IP) stark eingeschränkt. Eine Datenübertragung an Dritte findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb und der Verbesserung der Website). Ein Cookie-Einwilligungsbanner nach § 25 Abs. 1 TTDSG ist nicht erforderlich, da keine Cookies oder vergleichbaren Technologien gesetzt werden.

16. Google Fonts (lokal gehostet)

Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten sogenannte Google Fonts. Die Google Fonts sind lokal auf unserem Server installiert. Eine Verbindung zu Servern von Google findet dabei nicht statt.

17. Kommunikation via WhatsApp Business

Wir nutzen WhatsApp Business zur Kundenkommunikation. Anbieter ist WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Wenn Sie uns über WhatsApp kontaktieren, werden Ihre Nachrichten und Kontaktdaten durch WhatsApp verarbeitet. Wir empfehlen, keine sensiblen personenbezogenen Daten über WhatsApp zu übermitteln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.

18. Videokonferenzen (Zoom)

Für Onlinemeetings nutzen wir Zoom. Anbieter ist Zoom Communications Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA. Garantien nach Art. 46 DSGVO: Zoom ist DPF-zertifiziert; ergänzend bestehen SCC. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO bei vorab eingeholter Einwilligung. Details: https://zoom.us/de-de/privacy.html.

19. Ihre Rechte als betroffene Person

Ihnen stehen als betroffene Person nach der DSGVO folgende Rechte zu:

• Auskunft (Art. 15 DSGVO) — über die zu Ihrer Person gespeicherten Daten
• Berichtigung (Art. 16 DSGVO) — unrichtiger oder unvollständiger Daten
• Löschung (Art. 17 DSGVO) — Ihrer personenbezogenen Daten
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Herausgabe in strukturiertem, gängigem, maschinenlesbarem Format
• Widerspruch (Art. 21 DSGVO) — gegen Verarbeitungen auf Grundlage berechtigten Interesses, insbesondere gegen Direktwerbung
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — mit Wirkung für die Zukunft
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist für uns der Hessische Beauftragte für Datenschutz und Informationsfreiheit (siehe 4)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an die unter Abschnitt 2 genannten Kontaktdaten.

20. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO, die gegenüber Ihnen rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

21. Aktualität dieser Datenschutzerklärung

Stand: 23. April 2026, Version 1.1. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen.