Datenschutzerklärung

Stand: 25. März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sophera Consulting
Max Fey
Elsdorfer Straße 29
50126 Bergheim
Deutschland

Telefon: +49 322 21802200
E-Mail: ai@sopheraconsulting.de

USt-IdNr.: DE357873793

2. Geltungsbereich

Diese Datenschutzerklärung gilt für das Internetangebot von Sophera Consulting unter den Domains sopheraconsulting.de und sopheraconsulting.com sowie für sämtliche damit verbundenen Unterseiten (nachfolgend „Website“). Sophera Consulting erbringt Beratungs- und Umsetzungsleistungen in den Bereichen KI-Workflow-Automatisierung, Prozessoptimierung, Digitalisierungsberatung, KI-Trainings sowie Support & Wartung. Die nachfolgenden Hinweise erläutern, welche personenbezogenen Daten wir im Rahmen dieses Angebots erheben, auf welcher Rechtsgrundlage dies geschieht und zu welchem Zweck die Verarbeitung erfolgt.

3. Allgemeine Hinweise und Pflichtinformationen

3.1 SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und ein Schloss-Symbol in Ihrer Browserzeile erscheint. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

3.2 Speicherdauer personenbezogener Daten

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wird, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Sofern Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, es sei denn, wir haben andere rechtlich zulässige Gründe für die Speicherung Ihrer personenbezogenen Daten (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); in letzterem Fall erfolgt die Löschung nach Fortfall dieser Gründe.

3.3 Rechtsgrundlagen der Datenverarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, so beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen dieses erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

4. Rechte der betroffenen Person

Ihnen stehen als betroffener Person nach der DSGVO folgende Rechte zu:

4.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie auf die in Art. 15 Abs. 1 DSGVO im Einzelnen aufgeführten Informationen.

4.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie ferner das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

4.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft und die Verarbeitung nicht nach Art. 17 Abs. 3 DSGVO erforderlich ist.

4.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen gegeben ist, insbesondere wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder Sie Widerspruch eingelegt haben.

4.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Ferner haben Sie das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

4.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir Ihre personenbezogenen Daten auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie nach Art. 21 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Voraussetzung ist, dass Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Dies gilt auch für ein auf diese Bestimmung gestütztes Profiling.

Sofern wir Ihre personenbezogenen Daten verarbeiten, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit und ohne Angabe von Gründen Widerspruch einzulegen. Dies gilt auch für Profiling, soweit es mit Direktwerbung in Verbindung steht.

4.7 Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

4.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de

5. Hosting

5.1 Vercel

Unsere Website wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA („Vercel“) gehostet. Vercel ist eine Platform-as-a-Service-Lösung für das Hosting von Webanwendungen.

Wenn Sie unsere Website besuchen, werden durch den Hoster automatisch technische Zugriffsdaten erhoben (sog. Server-Log-Dateien). Hierzu zählen insbesondere:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und Referrer-URL
• Browsertyp und -version sowie Betriebssystem
• übertragene Datenmenge

Die Erfassung dieser Daten ist technisch erforderlich, um Ihnen unsere Website anzeigen zu können und die Stabilität und Sicherheit zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und effizienten Webauftritt).

Datenweitergabe in die USA: Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO. Weitere Informationen zum Datenschutz bei Vercel finden Sie unter: https://vercel.com/legal/privacy-policy

Auftragsverarbeitung: Wir haben mit Vercel einen Auftragsverarbeitungsvertrag (AVV) geschlossen, der den Anforderungen des Art. 28 DSGVO entspricht.

6. Datenerfassung auf dieser Website

6.1 Technisch notwendige Cookies

Unsere Website verwendet technisch notwendige Cookies, die erforderlich sind, um die Grundfunktionen der Website sicherzustellen – insbesondere die Sprachwahl (Deutsch/Englisch) über die Internationalisierungsfunktion (next-intl) und die Speicherung Ihrer Cookie-Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien Bereitstellung und Optimierung der Website. Für technisch notwendige Cookies ist eine Einwilligung nach § 25 Abs. 2 TDDDG nicht erforderlich.

6.2 Analyse-Cookies (Microsoft Clarity)

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Zweck: Wir setzen Microsoft Clarity ein, um das Nutzungsverhalten auf unserer Website zu analysieren. Clarity erstellt Heatmaps und anonymisierte Session-Aufzeichnungen, die uns helfen, die Benutzerfreundlichkeit zu verbessern.

Verarbeitete Daten: Klickverhalten, Scrolltiefe, Mausbewegungen, Seitenaufrufe, Geräte- und Browserinformationen, IP-Adresse (anonymisiert).

Datenweitergabe: Microsoft Clarity kann die erhobenen Daten mit anderen Microsoft-Diensten (einschließlich Microsoft Advertising/Bing) verknüpfen und an Dritte weitergeben, um aggregierte Analysen und Werbeleistungen zu erbringen. Details finden Sie in der Microsoft-Datenschutzerklärung.

Speicherdauer: Die von Clarity gesetzten Cookies haben eine Speicherdauer von bis zu 1 Jahr.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TDDDG. Clarity wird erst nach Ihrer ausdrücklichen Zustimmung über den Cookie-Banner aktiviert. Sie können Ihre Einwilligung jederzeit widerrufen.

Hinweis: Microsoft Clarity ist kein technisch notwendiger Cookie. Der Dienst dient ausschließlich der Analyse des Nutzerverhaltens und ist für den Betrieb der Website nicht erforderlich. Eine Aktivierung erfolgt ausschließlich mit Ihrer aktiven Zustimmung; ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO besteht ausdrücklich nicht.

Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert.

6.2a Google Tag Manager

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).

Zweck: Wir verwenden den Google Tag Manager (GTM-MVSDH957), um Marketing- und Analyse-Tags auf unserer Website zu verwalten. Der Tag Manager selbst speichert keine Cookies und erhebt keine personenbezogenen Daten. Er dient als Verwaltungstool, das andere Tags (z. B. Google Analytics, Conversion-Tracking) auslöst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Google Tag Manager wird erst nach Ihrer ausdrücklichen Zustimmung über den Cookie-Banner (Kategorie „Marketing“) aktiviert. Ohne Ihre Einwilligung werden keine Tags geladen.

Datenweitergabe: Google ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zum Datenschutz bei Google finden Sie unter https://policies.google.com/privacy.

6.3 Hinweis zur Datenweitergabe durch Drittanbieter

Die auf dieser Website eingesetzten Analyse- und Marketing-Dienste (Microsoft Clarity, Google Ads, Meta, LinkedIn, TikTok) können die erhobenen Daten mit ihren jeweiligen Partnernetzwerken teilen und für eigene Zwecke verarbeiten. Dies umfasst insbesondere:

• Microsoft: Weitergabe an Microsoft Advertising, Bing und verbundene Dienste
• Google: Weitergabe an Google Ads, Google Analytics-Netzwerk und verbundene Dienste
• Meta: Weitergabe an das Meta-Werbenetzwerk (Facebook, Instagram)
• LinkedIn: Weitergabe an das LinkedIn Marketing Solutions-Netzwerk

Diese Weitergaben erfolgen ausschließlich auf Basis Ihrer vorherigen Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).

Einige der genannten Anbieter sind Tochterunternehmen US-amerikanischer Konzerne. Bei der Datenverarbeitung kann es zu einer Weitergabe an die jeweiligen Mutterkonzerne in den USA kommen:

• Meta Platforms Ireland Limited → Meta Platforms, Inc. (USA)
• LinkedIn Ireland Unlimited Company → LinkedIn Corporation (USA)
• Google Ireland Limited → Google LLC (USA)
• Microsoft Ireland Operations Limited → Microsoft Corporation (USA)

Diese Transfers erfolgen auf Basis des EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO. Alle genannten US-Mutterkonzerne sind unter dem DPF zertifiziert. Details zu Drittlandtransfers finden Sie in Ziffer 11.

6.4 KI-Crawler und LLM-Zugriff

Wir stellen unter /llms.txt eine maschinenlesbare Datei bereit, die KI-Systemen (z. B. ChatGPT, Perplexity, Claude, Google AI Overviews) strukturierte Informationen über unsere Website und Dienstleistungen zur Verfügung stellt. Diese Datei enthält ausschließlich öffentlich verfügbare Unternehmensinformationen und keine personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sichtbarkeit in KI-gestützten Suchsystemen).

6.5 Server-Log-Dateien

Der Hostinganbieter erhebt und speichert automatisch Informationen in sog. Server-Log-Dateien, die Ihr Browser beim Besuch der Website automatisch übermittelt (vgl. Ziffer 5.1). Eine Zusammenführung dieser Daten mit anderen Datenquellen nehmen wir nicht vor.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und dem fehlerfreien Betrieb der Website).

6.6 Kontaktformular

Wenn Sie uns über das auf der Website bereitgestellte Kontaktformular eine Anfrage übermitteln, werden die folgenden personenbezogenen Daten erhoben:

• Name
• E-Mail-Adresse
• Unternehmen (optional)
• Inhalt Ihrer Nachricht

Zweck: Die Erhebung dient der Bearbeitung und Beantwortung Ihrer Anfrage einschließlich etwaiger Anschlussfragen.

Rechtsgrundlage: Sofern Ihre Anfrage der Durchführung vorvertraglicher Maßnahmen dient, ist Art. 6 Abs. 1 lit. b DSGVO die Rechtsgrundlage. Im Übrigen verarbeiten wir Ihre Daten auf Grundlage unseres berechtigten Interesses an der effektiven Bearbeitung der an uns gerichteten Anfragen gemäß Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Die im Kontaktformular erhobenen Daten werden gelöscht, sobald Ihre Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Schutzmaßnahmen: Zum Schutz vor automatisierten Spam-Anfragen setzen wir eine serverseitige Honeypot-Technik sowie eine IP-basierte Ratenbegrenzung ein. Die IP-Adresse wird dabei ausschließlich für die Dauer der Ratenbegrenzung (max. 60 Sekunden) im Arbeitsspeicher vorgehalten und anschließend verworfen.

6.7 Anfrage per E-Mail oder Telefon

Wenn Sie uns per E-Mail oder telefonisch kontaktieren, werden Ihre Anfrage nebst sämtlichen daraus hervorgehenden personenbezogenen Daten (Name, Anfrage, Telefonnummer, E-Mail-Adresse) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Eine Weitergabe dieser Daten an Dritte erfolgt nicht ohne Ihre ausdrückliche Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bearbeitung von Anfragen).

Speicherdauer: Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Automations-Check (KI-Konfigurator)

Auf unserer Website stellen wir einen interaktiven KI-gestützten Konfigurator („Automations-Check“) bereit, mit dem Sie eine unverbindliche Ersteinschätzung über das Automatisierungspotenzial Ihrer Geschäftsprozesse erhalten können.

7.1 Erhobene Daten

Bei Nutzung des Automations-Checks werden folgende Daten erhoben:

• Name (optional)
• E-Mail-Adresse (Pflichtangabe)
• Telefonnummer (Pflichtangabe)
• Beschreibung des zu automatisierenden Geschäftsprozesses (Freitextangabe)
• Gewünschter Lösungstyp (SaaS, Eigenentwicklung oder Open Source)
• Aktuell eingesetzte Systeme (optional)
• Geschätzte monatliche Kosten des Prozesses (optional)

7.2 Verarbeitung durch Anthropic (Claude API)

Die von Ihnen eingegebene Prozessbeschreibung wird zur Erstellung der Automatisierungsanalyse an die API des Anbieters Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA („Anthropic“) übermittelt. Anthropic verarbeitet die Daten ausschließlich zur Generierung der Analyse und speichert die übermittelten Eingaben gemäß den Nutzungsbedingungen der API nicht für eigene Trainingszwecke.

Übermittelte Daten: Prozessbeschreibung, Lösungstyp, ggf. aktuelle Systeme und monatliche Kosten. Ihre E-Mail-Adresse, Telefonnummer und Ihr Name werden nicht an Anthropic übermittelt.

Datenweitergabe in die USA: Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Die Datenübermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO.

Weitere Informationen zum Datenschutz bei Anthropic finden Sie unter: https://www.anthropic.com/privacy

7.3 Versand der Analyse per E-Mail

Das Ergebnis der KI-gestützten Analyse wird Ihnen per E-Mail an die von Ihnen angegebene E-Mail-Adresse zugesandt. Für den E-Mail-Versand nutzen wir einen SMTP-Dienst. Die E-Mail enthält Ihre eingegebenen Daten sowie die generierte Ersteinschätzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Durch die aktive Eingabe Ihrer Daten und das Absenden des Formulars willigen Sie in die beschriebene Verarbeitung ein. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Speicherdauer: Die im Rahmen des Automations-Checks erhobenen Daten werden nach Versand der Analyse nicht persistent gespeichert, sofern keine weitergehende Geschäftsbeziehung begründet wird. Die IP-basierte Ratenbegrenzung (max. 120 Sekunden) dient ausschließlich dem Schutz vor Missbrauch.

7.4 Hinweis zum Inhalt der Analyse

Die vom KI-System generierte Ersteinschätzung stellt eine automatisierte, unverbindliche Orientierungshilfe dar und ersetzt keine individuelle Beratung. Aus der Analyse lassen sich keine Rechtsansprüche ableiten.

7.5 Fördermittelberatung (Partnerservice)

Leistungsbeschreibung: Sophera Consulting vermittelt im Rahmen des Partnerservices „Fördermittelberatung“ an externe, zertifizierte Fördermittel-Berater (nachfolgend „Fördermittelpartner“). Sophera Consulting ist insoweit nicht Leistungserbringer der Fördermittelberatung, sondern Vermittler.

Verarbeitete Daten: Im Rahmen der Vermittlung werden folgende personenbezogene Daten an den Fördermittelpartner übermittelt:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Angaben zum geplanten Digitalisierungsprojekt (soweit im Erstgespräch mitgeteilt)
• Unternehmensdaten (Branche, Größe, Standort — soweit relevant für die Fördermittelprüfung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Übermittlung Ihrer Daten an den Fördermittelpartner erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung, die Sie im Rahmen der Terminbuchung erteilen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Empfänger: Die Fördermittelpartner sind eigenständig datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Sophera Consulting hat mit den Partnern Vereinbarungen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO bzw. Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen, soweit erforderlich.

Speicherdauer: Die Vermittlungsdaten werden bei Sophera Consulting für die Dauer der Geschäftsbeziehung gespeichert. Nach Abschluss oder Abbruch des Fördermittelprozesses und Ablauf gesetzlicher Aufbewahrungsfristen werden die Daten gelöscht.

Widerspruchsrecht: Sie können der Datenweitergabe an den Fördermittelpartner jederzeit widersprechen (ai@sopheraconsulting.de). In diesem Fall kann die Fördermittelberatung nicht fortgeführt werden.

7.6 Kundenportal, Onboarding und digitale Angebote

Zweck: Sophera Consulting bietet seinen Kunden ein zugangsbeschränktes Kundenportal, digitale Angebotsannahme sowie ein automatisiertes Onboarding nach Vertragsabschluss. Diese Funktionen erleichtern die Projektabwicklung und ermöglichen einen transparenten Überblick über laufende Projekte, Meilensteine und Zahlungen.

Verarbeitete Daten:

• Kontaktdaten (Name, E-Mail, Telefon, Firma, Adresse)
• Projektdaten (Projektname, Beschreibung, Meilensteine, Zahlungsstatus)
• Onboarding-Fragebögen (Unternehmensdaten, aktuelle Systeme, Projektziele, Zeitplan)
• Angebotsdaten (Leistungen, Beträge, Annahmedatum)
• Generierte PDF-Dokumente (Rechnungen, Angebote)

Zugangskontrolle: Der Zugang erfolgt über kryptographisch sichere Tokens (UUID v4), die per E-Mail an den jeweiligen Kunden versendet werden. Die Tokens sind ausschließlich dem jeweiligen Kunden zugeordnet und ermöglichen keinen Zugriff auf Daten anderer Kunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen).

Speicherdauer: Projektdaten werden für die Dauer der Geschäftsbeziehung sowie der gesetzlichen Aufbewahrungsfristen (10 Jahre gemäß § 147 AO, § 257 HGB) gespeichert. Onboarding-Daten werden nach Projektabschluss gelöscht, sofern keine weiteren rechtlichen Verpflichtungen bestehen.

8. Einsatz von Drittanbieter-Diensten

Im Rahmen unserer Geschäftstätigkeit setzen wir verschiedene Drittanbieter-Dienste ein, um unsere Dienstleistungen effizient und professionell erbringen zu können. Nachfolgend informieren wir Sie über die eingesetzten Dienste, die jeweiligen Zwecke der Verarbeitung sowie die maßgeblichen Rechtsgrundlagen.

8.1 Google Workspace (Gmail, Google Drive, Google Calendar, Google Meet)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: Wir nutzen Google Workspace für die geschäftliche E-Mail-Kommunikation (Gmail), die Speicherung und den Austausch von Dokumenten (Google Drive), die Terminplanung (Google Calendar) sowie die Durchführung von Videokonferenzen (Google Meet).

Verarbeitete Daten: Name, E-Mail-Adresse, Kommunikationsinhalte, Termindetails, geteilte Dokumente, IP-Adresse, Geräte- und Browserinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Geschäftskommunikation).

Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Wir haben mit Google einen Auftragsverarbeitungsvertrag (Data Processing Amendment) gemäß Art. 28 DSGVO geschlossen.

8.1a KI-gestützte Besprechungsnotizen (Gemini in Google Meet)

Zweck: Bei Videokonferenzen über Google Meet kann auf Wunsch und mit ausdrücklicher Einwilligung aller Teilnehmer die Funktion „KI-gestützte Besprechungsnotizen“ (Google Gemini) aktiviert werden. Diese erstellt automatisch ein schriftliches Transkript und eine Zusammenfassung des Gesprächs.

Verarbeitete Daten: Audio-Inhalte des Gesprächs, daraus generierte Transkripte und Zusammenfassungen, Teilnehmernamen, Zeitstempel, Sprachinhalte aller Beteiligten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Funktion wird nur aktiviert, wenn alle Teilnehmer der Aufzeichnung und Verarbeitung ausdrücklich zustimmen. Zusätzlich gilt § 201 StGB (Vertraulichkeit des Wortes): Die Aufzeichnung erfolgt ausschließlich mit Einwilligung aller Beteiligten.

Hinweise vor jeder Aufzeichnung:

• Vor Beginn jeder Besprechung werden alle Teilnehmer aktiv über die geplante Aufzeichnung informiert
• Die Einwilligung wird mündlich oder schriftlich eingeholt und dokumentiert
• Teilnehmer können ihre Einwilligung jederzeit widerrufen, dann wird die Aufzeichnung gestoppt
• Notizen und Transkripte werden ausschließlich zu Dokumentationszwecken im Rahmen der jeweiligen Beratung verwendet
• Eine Weitergabe an Dritte erfolgt nicht ohne erneute Einwilligung

Speicherdauer: Transkripte und Notizen werden für die Dauer der Geschäftsbeziehung sowie der gesetzlichen Aufbewahrungsfristen gespeichert und danach automatisch gelöscht. Auf Wunsch können Aufzeichnungen jederzeit gelöscht werden.

Hinweis zum EU AI Act: Ab dem 2. August 2026 gelten erweiterte Transparenzpflichten für KI-generierte Inhalte. KI-Transkripte und -Zusammenfassungen werden ab diesem Zeitpunkt als solche gekennzeichnet.

Datenverarbeitung durch Google: Google verarbeitet die Audio-Daten gemäß den Google Workspace-Datenschutzbestimmungen. Im Rahmen des Auftragsverarbeitungsvertrags (AVV, siehe 8.1) werden die Daten ausschließlich zur Erbringung der vereinbarten Leistung verwendet und nicht zum Training der KI-Modelle.

Aktivierung und Opt-out: Die KI-gestützten Besprechungsnotizen werden NICHT automatisch für jedes Meeting aktiviert. Vor jedem Meeting werden alle Teilnehmer aktiv gefragt und müssen ausdrücklich zustimmen. Jeder Teilnehmer kann jederzeit während des Meetings die Aufzeichnung stoppen lassen. Die Verweigerung der Einwilligung führt nicht zum Abbruch des Meetings.

Speicherort: Transkripte und Zusammenfassungen werden in Google Drive innerhalb des Sophera Consulting Workspace (EU-Server) gespeichert und sind ausschließlich für autorisierte Mitarbeiter zugänglich.

Speicherdauer: Transkripte werden nach Abschluss der jeweiligen Beratung bzw. des jeweiligen Projekts gelöscht. Auf Wunsch eines Teilnehmers werden Transkripte unverzüglich gelöscht.

8.2 Google AI (Gemini, Vertex AI)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: KI-gestützte Analyse und Automatisierung im Rahmen von Kundenprojekten. Die Dienste werden eingesetzt, um Prozesse zu optimieren, Texte zu generieren und Daten zu analysieren.

Verarbeitete Daten: Prozessbeschreibungen, Geschäftsdaten des Kunden (nur mit vorheriger Einwilligung des Kunden), ggf. anonymisierte oder pseudonymisierte Datensätze.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wichtiger Hinweis: Bei Nutzung bestimmter Google-AI-Dienste können eingegebene Daten zum Training von KI-Modellen verwendet werden, sofern dies nicht über die API-Konfiguration mit Data-Governance-Einstellungen ausgeschlossen wurde. Wir setzen bei kundenbezogenen Projekten vorrangig die API-Variante mit deaktiviertem Modelltraining ein.

8.3 Anthropic (Claude API)

Anbieter: Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.

Zweck: Neben dem in Ziffer 7.2 beschriebenen Einsatz im Rahmen des Automations-Checks nutzen wir die Claude API auch für weitere Kundenprojekte, insbesondere für KI-gestützte Textgenerierung, Analyse und Prozessautomatisierung.

Verarbeitete Daten: Prozessbeschreibungen, Geschäftsdaten des Kunden (nur im Rahmen des jeweiligen Projektauftrags).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Leistungserbringung).

Kein Training: Bei API-Nutzung werden gemäß den Anthropic API Terms of Service keine Eingabedaten für das Training von KI-Modellen verwendet. Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert.

Auftragsverarbeitung: Wir haben mit Anthropic einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen (Anthropic Data Processing Addendum, Stand 2026). Weitere Informationen zum Datenschutz bei Anthropic finden Sie unter: https://www.anthropic.com/privacy

8.4 OpenAI (ChatGPT, GPT API)

Anbieter: OpenAI OpCo, LLC, 3180 18th Street, San Francisco, CA 94110, USA.

Zweck: KI-gestützte Textgenerierung, Analyse, Code-Generierung und Prozessautomatisierung im Rahmen von Kundenprojekten.

Verarbeitete Daten: Prozessbeschreibungen, Texteingaben, Geschäftsdaten des Kunden (nur im Rahmen des jeweiligen Projektauftrags).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Leistungserbringung).

Kein Training bei API-Nutzung: Gemäß den OpenAI API Terms of Use werden bei Nutzung der API keine Eingabedaten für das Training von KI-Modellen verwendet. OpenAI ist unter dem EU-US Data Privacy Framework zertifiziert.

8.5 Clay

Anbieter: Clay Inc., USA.

Zweck: Datenanreicherung und Lead-Recherche im B2B-Bereich. Clay wird eingesetzt, um öffentlich verfügbare geschäftliche Kontaktdaten zu recherchieren und anzureichern.

Verarbeitete Daten: Geschäftliche Kontaktdaten wie Name, Position, Unternehmen, geschäftliche E-Mail-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kundenakquise im B2B-Bereich). Das berechtigte Interesse ergibt sich aus der Notwendigkeit, potenzielle Geschäftskunden zu identifizieren und anzusprechen.

Hinweis gemäß Art. 14 DSGVO: Soweit wir personenbezogene Daten nicht direkt bei der betroffenen Person, sondern aus öffentlich zugänglichen Quellen oder über Clay erheben, informieren wir die betroffene Person gemäß Art. 14 DSGVO bei der ersten Kontaktaufnahme über die Datenverarbeitung.

8.6 Dieserver AI / n8n

Zweck: Workflow-Automatisierung und Prozessorchestrierung. n8n wird eingesetzt, um verschiedene Dienste und Systeme miteinander zu verbinden und automatisierte Abläufe umzusetzen.

Betrieb: n8n wird je nach Projektanforderung self-hosted oder als Cloud-Variante betrieben.

Verarbeitete Daten: Die Art der verarbeiteten Daten hängt vom konkreten Workflow ab und kann ggf. Kundendaten umfassen (Name, E-Mail-Adresse, Geschäftsdaten).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen von Kundenprojekten).

8.7 Microsoft Outlook und Microsoft Teams

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Zweck: E-Mail-Kommunikation (Microsoft Outlook), Videokonferenzen, Chat und Zusammenarbeit (Microsoft Teams).

Verarbeitete Daten: Name, E-Mail-Adresse, Kommunikationsinhalte, Termindetails, IP-Adresse, Geräte- und Browserinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Geschäftskommunikation).

Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen (Microsoft Products and Services Data Protection Addendum).

8.8 Zoom

Anbieter: Zoom Video Communications, Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA.

Zweck: Durchführung von Videokonferenzen und Online-Meetings mit Kunden und Geschäftspartnern.

Verarbeitete Daten: Name, E-Mail-Adresse, IP-Adresse, Geräte- und Browserinformationen, ggf. Audio-/Videodaten während der Konferenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Zoom ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zum Datenschutz bei Zoom finden Sie unter: https://explore.zoom.us/de/privacy/

8.9 Eigenes CRM-System für Kundenakquise

Betreiber: Sophera Consulting (selbst gehostet).

Zweck: Verwaltung von Kundenanfragen, Leads, Projektdaten und Kommunikationsverläufen zur Pflege bestehender und potenzieller Geschäftsbeziehungen.

Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Kommunikationsverlauf, Projektdetails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenverwaltung).

Speicherdauer: Die Daten werden bis zum Ablauf gesetzlicher Aufbewahrungsfristen (insbesondere § 147 AO, § 257 HGB) bzw. bis zum Widerruf der betroffenen Person gespeichert.

8.10 E-Mail- und SMS-Kommunikation

E-Mail: Für die geschäftliche E-Mail-Kommunikation setzen wir Google Workspace (Gmail) und Microsoft Outlook ein (vgl. Ziffern 8.1 und 8.7).

SMS: Für Terminbestätigungen und dringende geschäftliche Mitteilungen kann ggf. ein SMS-Versand über ein Drittanbieter-Gateway erfolgen.

Zweck: Geschäftskommunikation, Terminbestätigungen, projektbezogene Korrespondenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

8.11 Zahlungsabwicklung (Stripe)

Anbieter: Stripe Technology Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland.

Zweck: Wir nutzen Stripe für die sichere Abwicklung von Online-Zahlungen. Wenn Sie eine Zahlung über unsere Website tätigen, werden Ihre Zahlungsdaten direkt von Stripe verarbeitet.

Verarbeitete Daten: Zahlungsdaten (Kreditkartennummer, IBAN), Name, E-Mail-Adresse, IP-Adresse, Transaktionsbetrag und -details.

Datenweitergabe: Ihre Zahlungsdaten werden direkt an Stripe übermittelt und von Stripe gemäß deren Datenschutzerklärung verarbeitet. Sophera Consulting speichert keine vollständigen Kreditkarten- oder Kontodaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung ist zur Durchführung der Zahlung erforderlich.

Speicherdauer: Transaktionsdaten werden für die Dauer der gesetzlichen Aufbewahrungsfristen (10 Jahre gemäß HGB/AO) gespeichert.

Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Details: stripe.com/de/privacy

8.12 Buchhaltung (Lexoffice / Lexware)

Anbieter: Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland (Adresse Stand 2026).

Zweck: Wir nutzen Lexoffice für die Buchhaltung, Rechnungsstellung und Kundenverwaltung. Wenn Sie einen Auftrag erteilen oder eine Zahlung vornehmen, werden Ihre Daten automatisch in Lexoffice als Kontakt und ggf. als Rechnung angelegt.

Verarbeitete Daten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Kundennummer (automatisch vergeben), Rechnungsbeträge, Projektbezeichnung, Zahlungsstatus, Rechnungsdatum.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Buchführungspflichten gemäß HGB/AO).

Speicherdauer: Rechnungsdaten werden für die Dauer der gesetzlichen Aufbewahrungsfristen (10 Jahre gemäß § 147 AO, § 257 HGB) gespeichert.

Lexware ist ein deutsches Unternehmen mit Sitz in Freiburg. Die Datenverarbeitung erfolgt ausschließlich in Deutschland bzw. der EU.

8.13 Kundenbeziehungsmanagement / CRM (Pipedrive)

Anbieter: Pipedrive OÜ, Mustamäe tee 3a, 10615 Tallinn, Estland (EU-Unternehmen, Adresse Stand 2026).

Zweck: Wir nutzen Pipedrive als CRM-System zur Verwaltung von Kundenbeziehungen und Vertriebsprozessen. Wenn Sie mit uns in Kontakt treten — z. B. über den Automations-Check, eine Terminbuchung oder eine Zahlung — werden Ihre Daten automatisch in Pipedrive als Kontakt und ggf. als Deal erfasst.

Verarbeitete Daten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Art der Anfrage (Buchung, Automations-Check, Zahlung), Projektbezeichnung, ggf. Automatisierungspotenzial und Einsparungsschätzung, Deal-Status und -Wert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenbeziehungsverwaltung).

Speicherdauer: Kontakt- und Dealdaten werden für die Dauer der Geschäftsbeziehung gespeichert und nach deren Beendigung gemäß den gesetzlichen Aufbewahrungsfristen gelöscht.

Pipedrive ist ein EU-Unternehmen mit Sitz in Estland. Die Daten werden auf Servern innerhalb der EU verarbeitet. Pipedrive ist nach SOC 2 Type II zertifiziert.

8.14 Datenverknüpfung zwischen Systemen

Zur effizienten Abwicklung unserer Geschäftsprozesse sind die oben genannten Systeme miteinander verknüpft. Nachfolgend informieren wir transparent über den Datenfluss:

• Website → Supabase: Ihre Kontakt- und Buchungsdaten werden in unserer Datenbank (Supabase, EU-Server) gespeichert.
• Supabase → Lexoffice: Bei Auftragserteilung oder Zahlung werden Kontaktdaten und Rechnungsinformationen automatisch an Lexoffice übermittelt, um Rechnungen zu erstellen und die Buchhaltungspflichten zu erfüllen.
• Supabase → Pipedrive: Kontaktdaten und Projektinformationen werden automatisch in Pipedrive als Kundenbeziehung erfasst, um eine effiziente Betreuung sicherzustellen.
• Stripe → Supabase / Lexoffice: Zahlungsbestätigungen werden von Stripe an unsere Systeme übermittelt, um Rechnungen zu finalisieren und den Zahlungsstatus zu aktualisieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienten Geschäftsprozessen).

Synchronisationsfrequenz: Die Datensynchronisation zwischen den Systemen erfolgt in Echtzeit (event-basiert über Webhooks). Bei Erstellung oder Änderung eines Datensatzes in einem System wird die Information automatisch an die verknüpften Systeme weitergegeben.

Bidirektionalität: Die Datenflüsse sind teilweise bidirektional:

• Pipedrive ↔ Supabase: Lead-Daten und Deal-Status werden in beide Richtungen synchronisiert
• Stripe → Supabase: Zahlungsstatus wird einseitig von Stripe an Supabase übermittelt (Webhook)
• Lexoffice ↔ Supabase: Kundennummern und Rechnungs-IDs werden synchronisiert

Löschung: Bei Löschung eines Datensatzes auf Wunsch des Betroffenen wird die Löschung in allen verknüpften Systemen durchgeführt. Die Anfrage kann an ai@sopheraconsulting.de gerichtet werden.

Alle Datenübertragungen erfolgen verschlüsselt (TLS/HTTPS). Wir haben mit allen Dienstleistern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen, soweit erforderlich. Alle eingesetzten Dienste verarbeiten Daten innerhalb der EU oder sind unter dem EU-US Data Privacy Framework zertifiziert.

9. Online-Marketing und Werbung

Sophera Consulting setzt verschiedene Online-Marketing-Werkzeuge ein, um die Sichtbarkeit der eigenen Dienstleistungen zu erhöhen und potenzielle Kunden anzusprechen. Nachfolgend informieren wir über die eingesetzten Dienste.

9.1 Google Search Console

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: Analyse der Sichtbarkeit unserer Website in der Google-Suche und technische SEO-Optimierung.

Verarbeitete Daten: Suchanfragen (ausschließlich aggregiert), Klickdaten, Impressionen. Es werden keine personenbezogenen Daten der Website-Besucher an uns übermittelt. Die Daten sind vollständig anonymisiert und dienen ausschließlich der technischen Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unseres Webauftritts).

9.2 Google Ads

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: Schaltung bezahlter Suchanzeigen und Conversion-Tracking zur Messung der Werbewirksamkeit.

Verarbeitete Daten: IP-Adresse (gekürzt), Cookie-ID, Conversion-Daten (z. B. ob eine Anfrage über eine Anzeige erfolgte).

Einwilligung: Der Einsatz von Google Ads Conversion-Tracking erfordert Ihre vorherige Einwilligung gemäß § 25 Abs. 1 TDDDG. Das Conversion-Tracking wird erst nach Ihrer ausdrücklichen Zustimmung über den Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Opt-out: Sie können die personalisierte Werbung in den Google Ads-Einstellungen deaktivieren: https://adssettings.google.com

9.3 Meta Ads (Facebook, Instagram) und Meta-Apps

Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.

Zweck: Schaltung von Werbeanzeigen auf Facebook, Instagram, Messenger und WhatsApp. Ggf. Einsatz von Custom Audiences zur gezielten Ansprache relevanter Zielgruppen.

Verarbeitete Daten: Nutzungsdaten, Interaktionsdaten, ggf. Daten aus Custom-Audience-Listen.

Einwilligung: Der Einsatz von Meta-Tracking-Technologien (z. B. Meta Pixel) erfordert Ihre vorherige Einwilligung. Das Tracking wird erst nach Zustimmung über den Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Gemeinsame Verantwortlichkeit: Soweit wir eine Facebook-Unternehmensseite (Fanpage) betreiben, besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und Meta Platforms Ireland Limited. Meta stellt hierzu sog. Page-Insights-Ergänzungen bereit, in denen die jeweiligen Verantwortlichkeiten geregelt sind. Dies beruht auf der Rechtsprechung des EuGH (Urt. v. 05.06.2018 – C-210/16).

Weitere Informationen zum Datenschutz bei Meta finden Sie unter: https://www.facebook.com/privacy/policy

9.4 LinkedIn und LinkedIn Ads

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.

Zweck: B2B-Marketing, Schaltung von Werbeanzeigen und Lead-Generierung auf der LinkedIn-Plattform.

Verarbeitete Daten: Profilbesuche, Interaktionsdaten, ggf. Daten aus Lead-Gen-Formularen (Name, E-Mail-Adresse, Position, Unternehmen).

Einwilligung: Der Einsatz von LinkedIn-Tracking-Technologien (z. B. LinkedIn Insight Tag) erfordert Ihre vorherige Einwilligung. Das Tracking wird erst nach Zustimmung über den Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Gemeinsame Verantwortlichkeit: Für unsere LinkedIn-Unternehmensseite besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und LinkedIn Ireland Unlimited Company.

9.5 TikTok

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland.

Zweck: Werbung und Steigerung der Markenbekanntheit.

Verarbeitete Daten: Nutzungsdaten, Interaktionsdaten, ggf. Pixel-Daten.

Einwilligung: Der Einsatz von TikTok-Tracking-Technologien erfordert Ihre vorherige ausdrückliche Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Besonderer Hinweis: TikTok steht unter besonderer datenschutzrechtlicher Beobachtung durch europäische Datenschutzbehörden. Es kann nicht ausgeschlossen werden, dass Daten an Server in der Volksrepublik China übermittelt werden, wo kein mit der EU vergleichbares Datenschutzniveau besteht. Wir setzen TikTok daher nur mit ausdrücklicher Einwilligung der betroffenen Personen ein und beschränken die Datenverarbeitung auf das erforderliche Minimum.

9.6 Allgemeiner Hinweis zu Werbe-Tracking

Sämtliche Marketing-Cookies und Tracking-Pixel (z. B. Google Ads Conversion-Tracking, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel) werden auf dieser Website erst nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner aktiviert. Ohne Ihre Zustimmung findet kein Werbe-Tracking statt.

Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner anpassen oder Ihre Einwilligung widerrufen. Darüber hinaus stehen Ihnen folgende Opt-out-Möglichkeiten zur Verfügung:

• Google: https://adssettings.google.com
• Meta: https://www.facebook.com/settings?tab=ads
• LinkedIn: https://www.linkedin.com/psettings/advertising
• Allgemein: https://youronlinechoices.eu

9.7 IndexNow (Bing/Google Indexierung)

Anbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA (für Bing).

Zweck: IndexNow ist ein offenes Protokoll, mit dem wir Suchmaschinen automatisch über neue oder aktualisierte Inhalte unserer Website informieren. Dies beschleunigt die Indexierung bei Bing, Yandex, DuckDuckGo und anderen IndexNow-fähigen Suchmaschinen.

Verarbeitete Daten: Ausschließlich URLs unserer öffentlichen Website-Inhalte. Es werden keine personenbezogenen Daten übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Indexierung unserer Inhalte in Suchmaschinen).

10. Datenweitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt ausschließlich in den folgenden Fällen:

• Vercel Inc. (Hosting, vgl. Ziffer 5.1) – Auftragsverarbeitung gemäß Art. 28 DSGVO
• Anthropic PBC (KI-Analyse, vgl. Ziffern 7.2 und 8.3) – ausschließlich Prozessbeschreibungen im Rahmen des Automations-Checks; bei Kundenprojekten nur im Rahmen des Projektauftrags
• OpenAI OpCo, LLC (KI-Dienste, vgl. Ziffer 8.4) – Verarbeitung im Rahmen von Kundenprojekten
• Google Ireland Limited (Google Workspace, Google AI, Google Ads, Google Search Console, vgl. Ziffern 8.1, 8.2, 9.1 und 9.2)
• Microsoft Ireland Operations Limited (Outlook, Teams, vgl. Ziffer 8.7)
• Zoom Video Communications, Inc. (Videokonferenzen, vgl. Ziffer 8.8)
• Clay Inc. (Lead-Recherche, vgl. Ziffer 8.5)
• Meta Platforms Ireland Limited (Werbeanzeigen, vgl. Ziffer 9.3)
• LinkedIn Ireland Unlimited Company (Werbeanzeigen, vgl. Ziffer 9.4)
• TikTok Technology Limited (Werbung, vgl. Ziffer 9.5)
• SMTP-Dienstleister (E-Mail-Versand)
• Supabase Inc. (Datenbank, Serverstandort: Frankfurt/Deutschland) — Auftragsverarbeitung gemäß Art. 28 DSGVO
• Vercel Speed Insights (anonymisierte Performance-Messung, keine personenbezogenen Daten)

Darüber hinaus erfolgt keine Datenweitergabe an Dritte, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. Auskunft an Strafverfolgungsbehörden nach § 24 BDSG) oder Sie haben ausdrücklich eingewilligt.

11. Datenübermittlung in Drittländer

Im Rahmen der in dieser Datenschutzerklärung beschriebenen Verarbeitungen werden personenbezogene Daten an Unternehmen in den Vereinigten Staaten von Amerika übermittelt. Dies betrifft insbesondere folgende Dienstleister:

• Vercel Inc. (Hosting) – DPF-zertifiziert
• Anthropic PBC (KI-Dienste) – DPF-zertifiziert
• OpenAI OpCo, LLC (KI-Dienste) – DPF-zertifiziert
• Google Ireland Limited (Google-Konzern, Datenübermittlung an Google LLC, USA) – DPF-zertifiziert
• Microsoft Ireland Operations Limited (Datenübermittlung an Microsoft Corp., USA) – DPF-zertifiziert
• Zoom Video Communications, Inc. (Videokonferenzen) – DPF-zertifiziert
• Clay Inc. (Lead-Recherche) – Absicherung über EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
• Meta Platforms, Inc. (Muttergesellschaft, USA) – DPF-zertifiziert
• LinkedIn Corporation (Muttergesellschaft, USA) – DPF-zertifiziert

Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO erlassen. Auf dieser Grundlage ist für die DPF-zertifizierten Unternehmen ein angemessenes Datenschutzniveau für die Datenübermittlung gewährleistet.

Sonderfall TikTok: Bei TikTok kann nicht ausgeschlossen werden, dass Daten in die Volksrepublik China übermittelt werden. Es liegt derzeit kein Angemessenheitsbeschluss der Europäischen Kommission für China vor. Die Datenübermittlung erfolgt daher ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO.

Sollte der Angemessenheitsbeschluss für das DPF seine Gültigkeit verlieren, werden wir unverzüglich geeignete Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) sicherstellen oder die Datenübermittlung einstellen.

11a. Datenspeicherung (Supabase)

Für die Speicherung von Kontaktdaten, Terminbuchungen und Konfigurator-Anfragen nutzen wir den Datenbankdienst Supabase (Supabase Inc., USA). Die Datenbank wird in der Region Frankfurt, Deutschland (eu-central-1) betrieben — Ihre Daten verlassen die EU nicht.

Gespeicherte Daten: Name, E-Mail-Adresse, Telefonnummer, Unternehmen (optional), Terminbuchungsdaten, Prozessbeschreibungen und Analyseergebnisse aus dem Automations-Check.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Verwaltung von Kundenanfragen).

Speicherdauer: Kontaktdaten werden gespeichert, solange eine Geschäftsbeziehung besteht oder gesetzliche Aufbewahrungsfristen bestehen. Sie können jederzeit die Löschung Ihrer Daten verlangen.

Auftragsverarbeitung: Wir haben mit Supabase einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Der AVV ist verfügbar unter: https://supabase.com/dpa. Obwohl Supabase ein US-Unternehmen ist, werden die Daten ausschließlich auf Servern in Frankfurt/Deutschland verarbeitet und gespeichert.

11b. Vercel Analytics (Website-Analyse)

Wir nutzen Vercel Analytics, einen datenschutzfreundlichen Analysedienst der Vercel Inc. (USA), zur Auswertung der Website-Nutzung. Vercel Analytics arbeitet ohne Cookies und ohne Fingerprinting. Es werden keine personenbezogenen Daten erfasst — die Auswertung erfolgt ausschließlich auf Basis aggregierter, anonymisierter Daten.

Erfasste Daten: Seitenaufrufe, Referrer (woher Besucher kommen), Gerätetyp, Land (geschätzt, ohne IP-Speicherung) — vollständig anonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Website-Nutzung zur Optimierung). Da weder Cookies gesetzt noch personenbezogene Daten verarbeitet werden, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.

11c. Vercel Speed Insights (Performance-Messung)

Wir nutzen Vercel Speed Insights, einen Dienst der Vercel Inc. (USA), zur anonymisierten Messung der Website-Performance (Core Web Vitals). Dabei werden ausschließlich technische Leistungsdaten erfasst — keine personenbezogenen Daten, keine Cookies, kein Tracking.

Erfasste Daten: Ladezeiten (LCP, FID, CLS), Gerätetyp (Desktop/Mobil), Verbindungsgeschwindigkeit — vollständig anonymisiert, ohne IP-Adressen oder Nutzeridentifikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Optimierung der Website). Da keine personenbezogenen Daten verarbeitet werden, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.

12. Datensicherheit

Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen umfassen insbesondere:

• Durchgängige TLS-Verschlüsselung des gesamten Datenverkehrs
• Serverseitige Honeypot-Techniken und IP-basierte Ratenbegrenzung zum Schutz vor Missbrauch
• Validierung und Filterung aller Nutzereingaben auf Server-Ebene
• Kein persistentes Speichern von IP-Adressen über die Dauer der Ratenbegrenzung hinaus
• Einsatz aktueller Frameworks und regelmäßige Updates der Softwarekomponenten

13. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand vom 25. März 2026. Aufgrund der Weiterentwicklung unserer Website und unserer Dienstleistungen oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es erforderlich werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung kann jederzeit unter sopheraconsulting.de/datenschutz abgerufen werden.