Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten durch die workspacer-Website. Sie richtet sich an unsere Geschäftskunden (B2B) in der EU und der Schweiz. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften (EU-DSGVO und schweizerischem DSG) sowie dieser Erklärung.

Verantwortliche Stelle

Tom Beulker
Kurfürstenplatz 8, 80796 München, Deutschland
E-Mail: datenschutz@workspacer.eu

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden. Nutzen Sie hierfür bitte die o.g. Postadresse oder bevorzugt unsere Datenschutz-Kontaktadresse.

Wir verarbeiten Ihre personenbezogenen Daten nur, soweit dies im Rahmen der Geschäftsanbahnung oder -abwicklung mit Ihnen erforderlich ist, eine rechtliche Vorschrift es erlaubt oder Sie eingewilligt haben. Als rein B2B-orientiertes Angebot erheben wir grundsätzlich keine Daten von Verbrauchern oder Minderjährigen. Alle von uns eingesetzten externen Dienstleister verarbeiten personenbezogene Daten ausschließlich in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) und gemäß den strengen Vorgaben der DSGVO.

Soweit in dieser Datenschutzerklärung nicht anders angegeben, erfolgt die Datenverarbeitung auf folgenden Rechtsgrundlagen der DSGVO: Art. 6 Abs. 1 lit. b (Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen), Art. 6 Abs. 1 lit. a (Einwilligung) oder Art. 6 Abs. 1 lit. f (berechtigte Interessen). Wenn wir Ihre Einwilligung einholen (z.B. über unseren Cookie-Banner), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Unsere Website nutzt eine SSL/TLS-Verschlüsselung, um Ihre Daten bei der Übertragung zu schützen. Dadurch können Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden. Wir treffen zudem organisatorische und technische Maßnahmen, um Ihre Daten vor unbefugtem Zugriff zu schützen.

Sie haben hinsichtlich Ihrer personenbezogenen Daten die folgenden Rechte (gemäß Art. 15–21 DSGVO sowie den entsprechenden Bestimmungen des schweizerischen DSG):

Sie können jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir von Ihnen gespeichert haben und wie wir diese verarbeiten.

Sie haben das Recht, unrichtige oder unvollständige personenbezogene Daten berichtigen zu lassen.

Sie können unter den Voraussetzungen des Art. 17 DSGVO die Löschung Ihrer personenbezogenen Daten verlangen („Recht auf Vergessenwerden“).

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z.B. wenn Sie die Richtigkeit der Daten bestreiten (Art. 18 DSGVO).

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder zur Vertragserfüllung automatisiert verarbeiten, in einem gängigen, maschinenlesbaren Format zu erhalten oder – soweit technisch machbar – einem Dritten übertragen zu lassen (Art. 20 DSGVO).

Soweit wir Daten auf Basis berechtigter Interessen verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen (Art. 21 DSGVO). Gegen Direktwerbung können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen; in diesem Fall werden wir Ihre Daten nicht mehr zu diesem Zweck nutzen.

Wenn Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte können Sie uns formlos unter den oben angegebenen Kontaktmöglichkeiten kontaktieren. Bitte beachten Sie, dass wir ggf. zusätzliche Informationen von Ihnen anfordern, um Ihre Identität zu verifizieren. Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Datenschutzrecht verstößt, können Sie Beschwerde bei einer Datenschutz-Aufsichtsbehörde einlegen. In Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Ihr Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

4.1 Hosting und Logfiles (Webflow)

Unsere Website wird bei Webflow, Inc. (398 11th Street, 2nd Floor, San Francisco, CA 94103, USA) gehostet. Webflow stellt die Infrastruktur zur Veröffentlichung unserer Website bereit. Wenn Sie unsere Website aufrufen, erhebt Webflow notwendige technische Daten (Server-Logfiles), insbesondere Ihre IP-Adresse, Browsertyp/-version, Betriebssystem, Referrer-URL sowie Datum/Uhrzeit des Seitenaufrufs. Diese Daten werden von Webflow benötigt, um die Auslieferung der Website an Sie zu ermöglichen und die Sicherheit und Stabilität des Betriebs zu gewährleisten.

Webflow setzt ferner Cookies und ähnliche Technologien ein, die für die Bereitstellung der Website und bestimmter Funktionen technisch erforderlich sind (sog. notwendige Cookies). Diese Cookies dienen z.B. der korrekten Darstellung der Seite und der Aufrechterhaltung der Seitensicherheit. Eine Auflistung der von Webflow verwendeten Cookies und deren Funktionsdauer finden Sie in der Datenschutzerklärung von Webflow.

Die Datenverarbeitung über Webflow (Hosting und Logfiles) erfolgt auf Basis unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, um eine möglichst zuverlässige und sichere Bereitstellung unserer Website zu gewährleisten. Soweit wir Sie über unseren Cookie-Banner um Einwilligung bitten (z.B. falls Webflow oder eingebundene Dienste Cookies/Techniken einsetzen, die über das Notwendige hinausgehen), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG. Ihre Einwilligung können Sie jederzeit widerrufen.

Webflow verarbeitet die Website-Daten ggf. auch auf Servern in den USA. Die Übermittlung in die USA erfolgt unter Verwendung anerkannter Sicherheitsgarantien. Webflow ist nach dem EU–US Data Privacy Framework (DPF) zertifiziert und verpflichtet sich damit, die europäischen Datenschutzstandards auch bei Datenverarbeitungen in den USA einzuhalten. Informationen zur DPF-Zertifizierung von Webflow können Sie auf der offiziellen Liste der US-Handelsbehörde einsehen. Zusätzlich haben wir mit Webflow EU-Standardvertragsklauseln (SCC) vereinbart, um ein angemessenes Datenschutzniveau zu gewährleisten.

4.2 Cookie-Einsatz und Einwilligungsverwaltung

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir setzen Cookies ein, um unsere Website nutzerfreundlich und effektiv zu gestalten. Einige Cookies sind technisch notwendig (siehe oben, z.B. zur Sprach- oder Darstellungseinstellung); diese werden ohne Einwilligung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) gesetzt.

Andere Cookies (insbesondere für Analyse- und Marketingzwecke) verwenden wir nur mit Ihrer vorherigen Einwilligung. Beim ersten Besuch unserer Website erscheint ein Cookie-Banner, in dem Sie auswählen können, ob Sie nicht-notwendigen Cookies/Technologien zustimmen möchten. Ihre Auswahl wird gespeichert und Sie können Ihre Einwilligung jederzeit über das Banner (erneuter Aufruf via Link) oder durch Löschen der Cookies in Ihrem Browser widerrufen. Details zu den konkret eingesetzten Cookies und Optionen finden Sie in dieser Datenschutzerklärung und in den Einstellungen des Cookie-Banners.

Bitte beachten Sie, dass Sie unsere Website grundsätzlich auch ohne nicht notwendige Cookies nutzen können, einige Funktionen dann aber eingeschränkt sein können. Sie können Ihren Browser auch so einstellen, dass keine Cookies gespeichert werden oder dass Cookies nach jeder Sitzung gelöscht werden.

4.3 Web-Analyse durch Google Analytics 4

Wir setzen auf unserer Website Google Analytics 4, einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), ein. Google Analytics ermöglicht uns, das Nutzungsverhalten der Besucher auf unserer Website auszuwerten. Dabei erhalten wir beispielsweise statistische Angaben zu Seitenaufrufen, Verweildauer, genutzten Browser- und Gerätetypen sowie zur ungefähren geografischen Herkunft der Nutzer (ohne genaue Standortangaben). Diese Informationen helfen uns, das Website-Angebot zu verbessern und nutzerfreundlicher zu gestalten.

Google Analytics 4 arbeitet mit Cookies und ähnlichen Erkennungstechnologien (wie z.B. Device-Fingerprinting), um wiederkehrende Besucher wiederzuerkennen und Nutzerinteraktionen zu verfolgen. Wir haben Google Analytics so konfiguriert, dass die IP-Anonymisierung aktiviert ist. Das bedeutet, Ihre IP-Adresse wird von Google innerhalb der EU bzw. des EWR gekürzt, bevor sie in die USA übertragen wird, sodass kein direkter Personenbezug mehr hergestellt werden kann. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Google-Server in den USA übertragen und dort gekürzt. Google nutzt diese Informationen in unserem Auftrag, um die Nutzung der Website auszuwerten, Reports über die Website-Aktivitäten zu erstellen und weitere mit der Webseitennutzung verbundene Dienstleistungen für uns zu erbringen. Laut Google wird die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse nicht mit anderen Daten von Google zusammengeführt.

Google Analytics wird nur mit Ihrer ausdrücklichen Einwilligung eingesetzt (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG). Das bedeutet, dass beim erstmaligen Aufruf unserer Seite Google Analytics-Cookies nur gesetzt werden, wenn Sie im Cookie-Banner zugestimmt haben. Sie können eine einmal erteilte Einwilligung jederzeit widerrufen, indem Sie im Cookie-Banner die Analysefunktionen deaktivieren. Zudem bietet Google ein Browser-Add-on zur Deaktivierung von Google Analytics an, das Sie installieren können (https://tools.google.com/dlpage/gaoptout?hl=de).

Die durch Google Analytics erfassten Daten werden in der Regel an Google-Server in den USA übertragen und dort verarbeitet. Google ist für den transatlantischen Datenverkehr unter dem EU–US Data Privacy Framework zertifiziert, sodass ein angemessenes Datenschutzniveau gewährleistet ist. Die EU-Kommission hat im Juli 2023 festgestellt, dass für DPF-zertifizierte Unternehmen in den USA ein mit der EU vergleichbares Datenschutzniveau besteht. Die Zertifizierung von Google können Sie im DPF-Verzeichnis einsehen. Sollte das Data Privacy Framework zukünftig nicht anwendbar sein, stützen wir die Übermittlung auf EU-Standardvertragsklauseln (SCC), die Google mit uns abgeschlossen hat. Diese Standardklauseln verpflichten Google vertraglich, die EU-Datenschutzstandards auch bei Verarbeitung in Drittstaaten einzuhalten.

Weitere Informationen zum Datenschutz bei Google Analytics finden Sie in der Datenschutzerklärung von Google sowie in den Hinweisen zur Datenverwendung bei Google Analytics.

4.4 Terminvereinbarung mit Calendly

Auf unserer Website bieten wir die Möglichkeit an, online Termine (z.B. für Beratungen oder Meetings) zu buchen. Hierfür nutzen wir das Tool Calendly des Anbieters Calendly LLC, 271 17th St NW, 10th Floor, Atlanta, GA 30363, USA. Wenn Sie einen Termin vereinbaren möchten, werden Sie über einen entsprechenden Link oder eingebetteten Kalender auf die Calendly-Buchungsseite geleitet.

In dem Calendly-Formular werden Sie gebeten, einige personenbezogene Angaben zu machen, insbesondere Ihren Namen, Ihre E-Mail-Adresse sowie ggf. den Namen oder die Größe Ihres Unternehmens (zur besseren Vorbereitung des Termins). Außerdem wählen Sie einen verfügbaren Wunschtermin aus. Diese Daten werden von Calendly erhoben und an uns übermittelt, damit wir den Termin planen, durchführen und gegebenenfalls nachbereiten können. Die von Ihnen eingegebenen Informationen werden auf den Servern von Calendly in den USA für uns gespeichert. Sie erhalten von Calendly und/oder uns Bestätigungs- und Erinnerungsnachrichten zum gebuchten Termin an die angegebene E-Mail-Adresse.

Die Termindaten verbleiben so lange bei uns, bis der Zweck der Verarbeitung entfällt. In der Regel löschen wir Ihre Angaben, wenn der Termin stattgefunden hat und keine weitere Notwendigkeit der Aufbewahrung besteht oder Sie uns zur Löschung auffordern. Gesetzliche Aufbewahrungspflichten (z.B. geschäftliche Korrespondenz nach HGB) bleiben unberührt – solche Daten archivieren wir entsprechend der gesetzlichen Fristen, falls einschlägig.

Die Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO, nämlich Ihnen eine einfache und effiziente Terminvereinbarung zu ermöglichen. Dieses Interesse deckt sich mit dem Interesse der Nutzer, schnell einen Termin zu erhalten. Sofern wir im Rahmen der Terminbuchung zusätzliche Einwilligungen einholen (etwa für optionale Cookies oder zur Zusendung weiterer Informationen), verarbeiten wir die Daten insoweit auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung ist freiwillig und kann jederzeit widerrufen werden.

Calendly verarbeitet die Termindaten auf Servern in den USA. Wir haben daher Maßnahmen ergriffen, um ein angemessenes Datenschutzniveau sicherzustellen. Calendly hat sich nach dem EU–US Data Privacy Framework (DPF) zertifiziert und verpflichtet sich damit, die EU-Datenschutzstandards einzuhalten. Die DPF-Zertifizierung von Calendly ist öffentlich einsehbar (siehe Liste der zertifizierten Unternehmen). Zusätzlich stützen wir die Übertragung auf EU-Standardvertragsklauseln (SCC), die Calendly mit uns abgeschlossen hat. Diese Vertragsklauseln bieten weitere Garantien dafür, dass Ihre Daten in den USA in Übereinstimmung mit der DSGVO verarbeitet werden.

Weitere Informationen finden Sie in der Datenschutzerklärung von Calendly.

4.5 Newsletter-Versand und -Analyse

Wenn Sie sich für unseren E-Mail-Newsletter anmelden, verarbeiten wir Ihre personenbezogenen Daten zum Zweck des regelmäßigen Versands von Informations- und Werbe-E-Mails über unsere Dienstleistungen. Wir nutzen hierfür einen externen Newsletter-Dienstanbieter. (Hinweis: Dieser Anbieter kann z.B. Mailchimp der The Rocket Science Group LLC oder ein ähnlicher Dienst sein. Wir informieren Sie nachfolgend generell über die Datenverarbeitung beim Newsletter-Versand.)

Für die Newsletter-Anmeldung benötigen wir mindestens Ihre E-Mail-Adresse. Optional können Sie uns weitere Angaben wie Ihren Namen mitteilen, um den Newsletter persönlicher zu gestalten. Die Anmeldung erfolgt im sogenannten Double-Opt-In-Verfahren: Sie erhalten nach der Registrierung zunächst eine Bestätigungs-E-Mail, in der Sie durch Klick auf einen Link bestätigen, dass Sie den Newsletter erhalten möchten. Erst nach dieser Bestätigung wird Ihre Adresse in den Verteiler aufgenommen. Dieses Verfahren stellt sicher, dass kein unbefugter Dritter Ihre E-Mail-Adresse verwendet hat. Die Anmeldungen zum Newsletter werden protokolliert, um den Anmeldeprozess entsprechend den rechtlichen Anforderungen nachweisen zu können (Speicherung von Anmelde- und Bestätigungszeitpunkt sowie der IP-Adresse in anonymisierter Form).

Der Versand der Newsletter-E-Mails erfolgt über einen spezialisierten Anbieter, der in unserem Auftrag tätig ist (z.B. Mailchimp, betrieben von The Rocket Science Group LLC, USA). Dieser Dienstleister speichert Ihre für den Newsletter eingegebenen Daten (E-Mail-Adresse, ggf. Name) auf seinen Servern in den USA und führt den Versand in unserem Auftrag durch. Unsere Newsletter informieren in der Regel über neue Angebote, Updates unserer Dienstleistungen sowie branchenrelevante Neuigkeiten. Die genauen Inhalte entnehmen Sie bitte der jeweiligen Einwilligungserklärung bei der Anmeldung.

Unsere Newsletter enthalten Tracking-Pixel bzw. sogenannte Web-Beacons – das sind pixelgroße Bilddateien, die beim Öffnen des Newsletters geladen werden – sowie ggf. getrackte Links. Darüber können wir erkennen, ob und wann eine Newsletter-Mail geöffnet wurde und welche Links geklickt wurden. Dies hilft uns dabei, das Interesse der Leser nachzuvollziehen und unsere Newsletter-Inhalte künftig zu optimieren. Die Auswertung erfolgt dabei pseudonymisiert, d.h. wir nutzen die Informationen nicht, um einzelne Empfänger persönlich zu beobachten, sondern um Lesegewohnheiten insgesamt statistisch zu erfassen. Wir führen keine personenbezogenen Nutzungsprofile zusammen.

Wenn Sie kein Tracking im Newsletter wünschen, können Sie dies erreichen, indem Sie Bilder in Ihrem E-Mail-Programm standardmäßig unterdrücken (da das Tracking über das Laden des unsichtbaren Bildpixels erfolgt). Zudem können Sie sich natürlich jederzeit vom Newsletter abmelden – jeder Newsletter enthält am Ende einen entsprechenden Abmeldelink. Wenn Sie den Newsletter abbestellen, findet kein weiteres Tracking statt.

Mit der Anmeldung zum Newsletter willigen Sie ein, dass wir Ihre E-Mail-Adresse zum regelmäßigen Versand von Newslettern verwenden dürfen (Art. 6 Abs. 1 lit. a DSGVO). Die Erfolgsmessung/Tracking im Newsletter erfolgt ebenfalls auf Grundlage Ihrer Einwilligung. Sie können diese Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Newsletter abbestellen oder uns Ihren Widerruf anderweitig mitteilen. Die Rechtmäßigkeit bereits erfolgter Verarbeitungen bleibt vom Widerruf unberührt.

Wir speichern Ihre für den Newsletter registrierten Daten, solange Sie den Newsletter abonniert haben. Nach einer Abmeldung (Widerruf Ihrer Einwilligung) werden Ihre Daten aus dem aktiven Verteiler gelöscht und Sie erhalten keine Newsletter mehr. Ihre E-Mail-Adresse kann anschließend in einem Sperrverzeichnis (Blacklist) gespeichert werden, um sicherzustellen, dass Sie keine weiteren Mailings erhalten. Die Speicherung in der Blacklist erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), um die gesetzlichen Anforderungen an den Nachweis Ihrer Abmeldung und die Vermeidung weiterer Zusendungen zu erfüllen.

4.6 Social-Media-Auftritte und Verlinkungen (LinkedIn)

Auf unserer Website finden Sie Verlinkungen zu unserem Unternehmensprofil auf LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland). Hierbei handelt es sich um einfache Hyperlinks auf unsere externen Social-Media-Seiten – es sind keine Social-Media-Plugins (wie z.B. „Gefällt mir“-Buttons) direkt in unsere Website eingebunden. Das bedeutet: Solange Sie unsere Seite besuchen, ohne auf den LinkedIn-Link zu klicken, werden keine Daten an LinkedIn übertragen. Erst wenn Sie aktiv den Link anklicken, öffnet sich unsere LinkedIn-Präsenz, und ab diesem Zeitpunkt werden Daten von Ihnen durch LinkedIn verarbeitet.

Bitte beachten Sie, dass LinkedIn dabei als eigenständiger Verantwortlicher agiert. Auf die Art der Datenverarbeitung durch LinkedIn haben wir keinen Einfluss. Informationen darüber, welche Daten LinkedIn erhebt und wie das Netzwerk diese nutzt, entnehmen Sie bitte der Datenschutzrichtlinie von LinkedIn. In der Regel speichert LinkedIn u.a. Ihre IP-Adresse, Geräteinformationen, besuchte Seiten und Interaktionen, um Ihnen personalisierte Inhalte bereitzustellen. Wenn Sie bei LinkedIn eingeloggt sind, kann LinkedIn Ihren Besuch unserer Profilseite Ihrem Benutzerkonto zuordnen.

Wir erhalten von LinkedIn lediglich aggregierte Auswertungen über die Nutzung unseres Unternehmensprofils (sog. Seiten-Insights). Diese Statistiken helfen uns zu verstehen, welche Interaktionen auf unserer LinkedIn-Seite erfolgen. Sie enthalten keine personenbezogenen Details, sondern nur zusammengefasste Informationen (z.B. Anzahl der Besucher, demografische Zusammenfassung in %). Für diese Insights besteht gemäß Art. 26 DSGVO eine gemeinsame Verantwortlichkeit zwischen LinkedIn und uns. LinkedIn hat hierzu ein Page-Insights-Addendum bereitgestellt, in dem die jeweiligen Verantwortlichkeiten geregelt sind. Im Wesentlichen übernimmt LinkedIn die primäre Verantwortung für die Datenverarbeitung im Zusammenhang mit Seiten-Insights und erfüllt u.a. Ihre Auskunftsansprüche. Sie können Ihre Betroffenenrechte daher sowohl uns gegenüber als auch gegenüber LinkedIn geltend machen.

Neben der reinen Website-Nutzung verarbeiten wir auch personenbezogene Daten unserer Kunden und deren Ansprechpartner im Zuge der Vertragsdurchführung und Erbringung unserer B2B-Dienstleistungen. Dies betrifft vor allem Fälle, in denen wir zur Erfüllung unserer vertraglichen Leistungen auf externe Dienste zurückgreifen (z.B. Cloud-Dienste oder Schnittstellen-Anbieter). In diesen Fällen werden die Daten ausschließlich zum Zweck der Vertragserfüllung und gemäß unseren Weisungen verarbeitet. Hierzu gehören insbesondere folgende Dienste:

5.1 Automatisierungs-Tools (Zapier und n8n)

Um Geschäftsprozesse und Datenflüsse für unsere Kunden effizient zu automatisieren, setzen wir die Dienste Zapier und n8n ein. Diese Tools ermöglichen es uns, verschiedene Software-Anwendungen miteinander zu verbinden und den Datenaustausch zwischen ihnen zu steuern, ohne dass manuelle Eingriffe notwendig sind.

Zapier: Anbieter ist Zapier Inc., 548 Market St #62411, San Francisco, CA 94104, USA. Zapier agiert als Plattform, über die wir Workflows („Zaps“) einrichten, damit Daten automatisch von einer Anwendung in eine andere übertragen oder bestimmte Aktionen ausgelöst werden können. Dabei kann Zapier – je nach Anwendungsfall – Zugriff auf verschiedene Kundendaten erhalten, z.B. Kontaktdaten (Namen, E-Mail-Adressen), Formulareinträge, Auftragsinformationen oder andere personenbezogene Daten, die im Rahmen der automatisierten Prozesse erforderlich sind. Welche konkreten Daten übertragen werden, hängt vom jeweiligen Workflow ab und wird von uns bei der Konfiguration festgelegt. Zapier verarbeitet diese Daten ausschließlich in unserem Auftrag, um die von uns definierten Automatisierungen auszuführen.

n8n: Hierbei handelt es sich um eine Automatisierungsplattform der n8n GmbH, Borsigstr. 27, 10115 Berlin, Deutschland. Wir nutzen n8n entweder in der selbst gehosteten Variante auf Servern in Deutschland oder über die Cloud-Dienste der n8n GmbH (ebenfalls in der EU gehostet). Ähnlich wie Zapier erlaubt n8n uns das Erstellen von automatisierten Workflows, beispielsweise um Folgeaufgaben nach einem Kundenprojekt auszuführen. Personenbezogene Daten unserer Kunden (etwa Kontaktdaten oder Statusinformationen) können dabei im n8n-System verarbeitet werden, aber diese verbleiben – im Falle von Self-Hosting – auf unseren eigenen Servern in der EU. Sollten wir ausnahmsweise die Cloud von n8n nutzen, achten wir darauf, dass die Datenverarbeitung innerhalb Deutschlands/EU erfolgt.

Die Nutzung von Zapier und n8n erfolgt ausschließlich zum Zweck der Vertragserfüllung unseren Kunden gegenüber (Art. 6 Abs. 1 lit. b DSGVO). Durch die Automatisierung können wir zugesagte Leistungen (z.B. Daten-Synchronisation zwischen Systemen, Benachrichtigungen, Berichte) effizient und fehlerarm erbringen. Soweit hierbei Daten unserer Kunden oder deren Mitarbeiter verarbeitet werden, geschieht dies, um unsere vertraglichen Pflichten zu erfüllen oder auf Anfrage der betroffenen Person vorvertragliche Maßnahmen durchzuführen. In Fällen, in denen keine vertragliche Beziehung zur betroffenen Person selbst besteht (etwa wenn Mitarbeiterdaten unseres Kunden verarbeitet werden), stützen wir die Verarbeitung auf unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, unseren Kunden eine reibungslose und effiziente Dienstleistung bereitzustellen, was letztlich auch dem Interesse der Kunden und ihrer Mitarbeiter dient. Diese Verarbeitung erfolgt stets zweckgebunden und nicht für fremde Zwecke.

Mit Zapier haben wir einen umfangreichen Data Processing Addendum (DPA) abgeschlossen, der den EU-Standardvertragsklauseln entspricht und zusätzliche Garantien enthält. Zapier ist zudem aktiver Teilnehmer am EU–US Data Privacy Framework und hat seine Konformität mit den Datenschutzprinzipien selbstzertifiziert. Diese Zertifizierung wurde von der EU durch einen Angemessenheitsbeschluss bestätigt, sodass personenbezogene Daten rechtmäßig in die USA übertragen werden dürfen. Darüber hinaus hat Zapier sich vertraglich verpflichtet, bei Wegfall des DPF auf die SCC (Standardvertragsklauseln) zurückzugreifen. Für zusätzliche Sicherheit führen wir Transfer-Folgenabschätzungen durch und überprüfen die technischen und organisatorischen Maßnahmen von Zapier. Zapier speichert die Daten im Rahmen der Automationen in der Regel in den USA. Wir weisen darauf hin, dass Zapier nach eigenen Angaben keine Inhalte der Automationen für eigene Zwecke nutzt; es fungiert rein als technische Infrastruktur.

Mit n8n besteht ebenfalls eine Auftragsverarbeitungsvereinbarung (sofern wir die Cloud nutzen). Da die Verarbeitung hier – anders als bei Zapier – innerhalb Deutschlands bzw. der EU erfolgt, ist kein Drittlandtransfer involviert. N8n GmbH unterliegt vollständig den EU-Datenschutzbestimmungen. Bei selbstgehostetem Einsatz verbleiben die Daten ohnehin vollständig in unserer Kontrolle und auf unseren Systemen.

Personenbezogene Daten, die über Zapier oder n8n im Rahmen eines Kundenprojekts fließen, werden von uns nicht länger gespeichert als es für den jeweiligen Zweck nötig ist. Zapier speichert Transaktionsdaten möglicherweise kurzzeitig in Logs zur Fehlerbehebung; solche Logs werden gemäß Zapier nach kurzer Zeit automatisiert gelöscht. N8n-Workflows speichern Daten je nach Konfiguration – wir richten die Workflows so ein, dass keine unnötigen personenbezogenen Daten dauerhaft in den Tools verbleiben. Nach Abschluss eines Projekts oder auf Weisung des Kunden werden die in den Automations-Tools verarbeiteten personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten greifen.

5.2 KI-Funktionen (OpenAI API)

Im Rahmen unserer Automatisierungslösungen bieten wir auch KI-gestützte Funktionen an. Dazu nutzen wir die Schnittstelle der OpenAI API (bereitgestellt durch OpenAI, L.L.C., USA, vertreten in der EU durch OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, Dublin, Irland). OpenAI stellt KI-Modelle (wie z.B. GPT-4) zur Verfügung, mit denen sich Texte automatisch generieren, zusammenfassen oder analysieren lassen. Wir setzen diese Technologie ein, um bestimmte kundenbezogene Prozesse zu optimieren – beispielsweise könnten Inhalte aus Kundendaten automatisiert zusammengefasst oder Antworten formuliert werden, um einen Service zu unterstützen.

Wenn wir die OpenAI API in einem Workflow nutzen, übermitteln wir Eingabedaten (Prompts) an die Server von OpenAI. Diese Prompts können Texte oder Informationen enthalten, die aus den Daten unseres Kunden generiert wurden. Beispiel: Wir könnten Support-Ticket-Texte oder Protokolle (die personenbezogene Angaben wie Namen oder Kontaktdetails enthalten könnten) an die KI senden, um eine Zusammenfassung oder Auswertung zu erhalten. Wir achten darauf, nur die dafür nötigen Informationen – möglichst in pseudonymisierter Form – zu übertragen. Die Antworten der KI (kompletierte Texte etc.) verwenden wir dann zur Leistungserbringung gegenüber dem Kunden.

OpenAI verarbeitet die bereitgestellten Eingaben auf ihren Systemen, um das KI-Modell zu betreiben. Nach eigenen Angaben nutzt OpenAI Daten, die über die API eingegeben werden, nicht zur Verbesserung der KI-Modelle, sofern der API-Kunde (also wir) dem nicht ausdrücklich zustimmt. Standardmäßig bleiben unsere API-Daten also vertraulich und werden nicht für das Training öffentlicher KI-Modelle verwendet. OpenAI speichert jedoch aus Sicherheitsgründen die API-Anfragen und -Antworten temporär, um etwa Missbrauch zu erkennen. Auf diese gespeicherten Daten hat nur OpenAI Zugriff, und sie werden nach einer gewissen Zeit wieder gelöscht, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht.

Soweit im Rahmen von OpenAI personenbezogene Daten verarbeitet werden, geschieht dies zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), nämlich um die vertraglich geschuldete KI-gestützte Funktion für unseren Kunden zu erbringen. Falls hierbei Daten dritter Personen betroffen sind (z.B. Kundendaten unseres Kunden), stützen wir dies auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), effiziente innovative Dienstleistungen bereitzustellen. Dieses Interesse steht im Einklang mit dem Interesse unserer Kunden, moderne KI-Funktionen zu nutzen. Selbstverständlich erfolgt kein Einsatz der KI ohne entsprechende Veranlassung durch oder Absprache mit dem Kunden. Eine automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt – die KI-Ergebnisse dienen nur als Unterstützung und werden in der Regel nochmals durch Menschen überprüft.

Mit OpenAI besteht ein Auftragsverarbeitungsvertrag im weiteren Sinne (Teil der API-Nutzungsbedingungen), der sicherstellt, dass OpenAI als unser Dienstleister agiert und personenbezogene Daten nur gemäß unseren Weisungen verarbeitet. Darin sind auch Pflichten wie Vertraulichkeit, Datensicherheit und Unterstützung bei Betroffenenrechten festgelegt.

Wir übermitteln nach Möglichkeit keine sensiblen personenbezogenen Rohdaten an OpenAI. Wo machbar, pseudonymisieren oder anonymisieren wir Daten vor dem Versand (z.B. durch Ersetzen von Klarnamen durch Platzhalter) und verzichten auf die Übermittlung überschüssiger Informationen. OpenAI selbst erklärt, hohe Sicherheitsstandards (Verschlüsselung, Zugriffskontrollen etc.) einzuhalten, um die bei der Verarbeitung temporär gespeicherten Daten zu schützen.

Die via OpenAI API verarbeiteten Daten werden von OpenAI gemäß deren Richtlinien in der Regel maximal 30 Tage vorgehalten (Stand: OpenAI Policy). Wir speichern die erhaltenen KI-Ausgaben nur so lange, wie es zur Erfüllung des entsprechenden Zwecks erforderlich ist oder vom Kunden gewünscht wird. Sofern KI-Ergebnisse personenbezogene Daten enthalten (z.B. zusammenfassende Berichte mit Namen), behandeln wir diese Daten wie alle anderen Kundenunterlagen und löschen sie nach Auftragsende unter Berücksichtigung gesetzlicher Aufbewahrungsfristen.

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 13. Juli 2025. Wir behalten uns vor, den Inhalt dieser Erklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder neue Dienste auf unserer Website anzupassen. Die jeweils aktuelle Fassung der Datenschutzerklärung wird an dieser Stelle veröffentlicht. Bitte informieren Sie sich regelmäßig über den Inhalt dieser Erklärung. Bei wesentlichen Änderungen (insbesondere wenn wir erstmals Daten für neue Zwecke verarbeiten) werden wir Sie gegebenenfalls gesondert benachrichtigen.