Datenschutzerklärung

Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Henri Matteo Mache, Dorothea-Erxleben-Straße 56, 23562 Lübeck, Deutschland. Telefon: +49 1516 4327820. E-Mail: hello@leadriv.com.

Vollständige Kontaktdaten finden Sie in unserem Impressum.

Wir verarbeiten personenbezogene Daten nur in dem Umfang, der für die Erbringung unseres Dienstes, den Betrieb unserer Website und die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Wir halten den Grundsatz der Datenminimierung ein (Art. 5 Abs. 1 lit. c DSGVO) und erheben nicht mehr Daten als für den jeweiligen Zweck erforderlich.

Folgende Datenkategorien werden verarbeitet:

• Kontodaten (Registrierungs- und Profilinformationen)
• Zahlungsdaten (über Stripe)
• Nutzungsdaten (Suchanfragen, gespeicherte Leads und Listen, KI-Chat-Eingaben, Kontingentnutzung)
• Server-Logs und Zugriffsdaten
• Einwilligungsnachweise
• Kommunikationsdaten (Supportanfragen)
• Geschäftskontaktdaten in der Lead-Datenbank (siehe Abschnitt 11)

Kontodaten (E-Mail-Adresse, Passwort-Hash, Name falls angegeben) - erhoben bei der Registrierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zweck: Kontoerstellung, Authentifizierung und Diensterbringung.

Zahlungsdaten (Stripe-Kunden-ID, Abonnementstatus, Tarifart, Abrechnungszeitraum) - verarbeitet durch Stripe. Wir speichern keine Kreditkartennummern oder vollständigen Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zweck: Abrechnung, Abonnementverwaltung und Rechnungsstellung.

Nutzungsdaten (Suchanfragen und Filter, gespeicherte Leads und Listen, Erstellung von Outreach-E-Mails und Audit-Kits, KI-Chat-Eingaben, Kontingentverbrauch) - erhoben bei der Nutzung des Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Durchsetzung der Tarifgrenzen und Verbesserung des Dienstes). Hinweis: KI-Chat-Eingaben und die zur Erstellung von Audit-Kits verwendeten Daten werden an xAI übermittelt (siehe Abschnitt 5).

Server-Logs (IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, Zeitstempel) - automatisch beim Zugriff auf die Website erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität und Missbrauchsprävention). Aufbewahrung: 30 Tage, danach automatische Löschung.

Einwilligungsnachweise (Einwilligungstyp, Zeitstempel, IP-Adresse, User-Agent) - aufgezeichnet bei Annahme der AGB, der Datenschutzerklärung und des Widerrufsverzichts im Rahmen des Checkout-Prozesses (über Stripe erfasst). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Dokumentation der Einwilligung). Zweck: Nachweis der Einhaltung gesetzlicher Einwilligungsanforderungen.

Kommunikationsdaten (E-Mail-Inhalt, Absenderinformationen) - erhoben bei Kontaktaufnahme für Support. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Zweck: Bearbeitung von Supportanfragen und Anfragen.

Infrastruktur und Speicherung: Unsere Server- und Objektspeicher-Infrastruktur (einschließlich der API und der gespeicherten Dateien wie generierter Audit-PDFs) wird von der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland in Rechenzentren in Deutschland betrieben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger und sicherer Bereitstellung).

Datenbank und Authentifizierung: Konto- und Nutzungsdaten werden in einer von Supabase bereitgestellten Datenbank verarbeitet (siehe Abschnitt 5).

Auslieferung der Web-Anwendung: Die Website und die Web-Anwendung werden als statische Dateien über dieselbe Hetzner-Infrastruktur (Hetzner Online GmbH, Deutschland) in Rechenzentren in Deutschland ausgeliefert. Beim Seitenaufruf verarbeitet der Server technisch notwendige Zugriffsdaten (Server-Logs), insbesondere die IP-Adresse, Datum und Uhrzeit des Zugriffs sowie die angeforderte Ressource. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, stabilen Bereitstellung).

Wir setzen folgende Auftragsverarbeiter ein, die jeweils durch Auftragsverarbeitungsverträge (AVV) gebunden sind:

• Supabase (Supabase Inc., USA) - Datenbank-Hosting, Authentifizierung und Edge Functions. Verarbeitet Kontodaten, Nutzungs-Metadaten und Einwilligungsnachweise.
• Hetzner (Hetzner Online GmbH, Deutschland) - Server- und Objektspeicher-Infrastruktur. Verarbeitet Server-Logs und gespeicherte Dateien (z. B. Audit-PDFs).
• xAI (X.AI LLC, USA) - KI-gestützte Funktionen (KI-Suche, Erstellung von Audit-Kits und Outreach-E-Mails). Verarbeitet die hierfür übermittelten Eingaben und Lead-Daten.
• Stripe (Stripe Inc., USA) - Zahlungsabwicklung. Verarbeitet Zahlungsmitteldetails, Rechnungsadressen und Transaktionsdaten. Für von Stripe direkt erhobene Daten gilt die eigene Datenschutzerklärung von Stripe.

Übermittlungsgarantien: Soweit die genannten Auftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten, nehmen sie am EU-U.S. Data Privacy Framework teil und/oder haben Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

Die Infrastruktur von Hetzner befindet sich in Deutschland; insoweit findet keine Übermittlung in ein Drittland statt. Im Rahmen der Nutzung der übrigen, in Abschnitt 5 genannten Auftragsverarbeiter werden personenbezogene Daten in die Vereinigten Staaten übermittelt. Folgende Übermittlungsmechanismen sind eingerichtet:

• EU-U.S. Data Privacy Framework (DPF): Soweit Auftragsverarbeiter unter dem DPF zertifiziert sind, dient dies als primärer Angemessenheitsmechanismus (Art. 45 DSGVO).
• Standardvertragsklauseln (SCCs): Soweit keine DPF-Zertifizierung vorliegt oder als Auffangmechanismus werden Übermittlungen durch von der Europäischen Kommission verabschiedete SCCs abgesichert (Art. 46 Abs. 2 lit. c DSGVO).

Ergänzende technische Maßnahmen umfassen Verschlüsselung bei der Übertragung (TLS/HTTPS) und Verschlüsselung im Ruhezustand für sensible Daten.

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website zwingend erforderlich sind:

• Sitzungs-/Authentifizierungs-Cookies: Erforderlich für die Verwaltung des Anmeldestatus und den CSRF-Schutz. Diese Cookies verfallen mit dem Ende der Sitzung oder nach einer definierten Zeitspanne.

Wir verwenden keine Analyse-Cookies, Werbe-Cookies, Social-Media-Tracking-Pixel oder sonstige nicht-essentielle Cookies. Daher ist kein Cookie-Consent-Banner nach § 25 Abs. 2 TTDSG erforderlich, da ausschließlich technisch notwendige Cookies gesetzt werden.

• Kontodaten: Gespeichert, solange das Konto aktiv ist, plus 30 Tage nach Kontolöschung zur Ermöglichung einer Kontowiederherstellung.
• Gespeicherte Listen und Lead-Daten des Kunden: Löschung 7 Tage nach Kontokündigung.
• Rechnungen und Abrechnungsunterlagen: Aufbewahrung 10 Jahre gemäß handels- und steuerrechtlichen Vorschriften (§ 147 AO, § 257 HGB).
• Server-Logs: Automatische Löschung nach 30 Tagen.
• Einwilligungsnachweise: Aufbewahrung 3 Jahre nach Ende des Vertragsverhältnisses, entsprechend der allgemeinen gesetzlichen Verjährungsfrist (§ 195 BGB).
• Kommunikationsdaten (Support): Aufbewahrung für die Dauer der Geschäftsbeziehung plus 3 Jahre (§ 195 BGB).

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden Daten gelöscht oder anonymisiert, sofern keine weitergehende gesetzliche Aufbewahrungspflicht besteht.

Nach der DSGVO stehen Ihnen folgende Rechte in Bezug auf Ihre personenbezogenen Daten zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger personenbezogener Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihre Daten Ihnen oder einem anderen Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die auf berechtigtes Interesse gestützte Verarbeitung Widerspruch einlegen.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen.

Zuständige Aufsichtsbehörde: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel, Deutschland.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@leadriv.com. Wir werden Ihre Anfrage innerhalb eines Monats nach Eingang beantworten (Art. 12 Abs. 3 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und Anzahl der Anfragen erforderlich ist.

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten gegen zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu schützen (Art. 32 DSGVO). Diese Maßnahmen umfassen:

• Verschlüsselung bei der Übertragung: Alle zwischen Ihrem Browser und unseren Servern übermittelten Daten sind durch TLS/HTTPS geschützt.
• Verschlüsselung im Ruhezustand: Sensible Daten (Zugangsdaten, Tokens) werden verschlüsselt gespeichert.
• Zugriffskontrollen: Der Zugang zu personenbezogenen Daten ist auf autorisiertes Personal nach dem Need-to-know-Prinzip beschränkt.
• Regelmäßige Backups: Daten werden regelmäßig gesichert, um Datenverlust vorzubeugen.

Unsere Lead-Datenbank enthält geschäftsbezogene Kontaktdaten (z. B. Firmennamen, geschäftliche Websites und öffentlich verfügbare berufliche Kontaktdaten), die wir aus öffentlich zugänglichen und lizenzierten Quellen zusammenstellen. Soweit diese Daten personenbezogen sind, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer B2B-Leaddatenbank).

Da diese Daten nicht direkt bei den betroffenen Personen erhoben werden, informieren wir gemäß Art. 14 DSGVO über die Verarbeitung. Betroffene Personen haben insbesondere das Recht auf Widerspruch (Art. 21 DSGVO) und Löschung (Art. 17 DSGVO); entsprechende Anfragen richten Sie bitte an hello@leadriv.com.

Verantwortlichkeit bei der Nutzung durch Kunden: Sobald ein Kunde Lead-Daten exportiert oder nutzt, um betroffene Personen zu kontaktieren, ist der Kunde für diese Verarbeitung eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Der Kunde ist insbesondere dafür verantwortlich, eine gültige Rechtsgrundlage für die Kontaktaufnahme sicherzustellen, betroffenen Personen angemessene Datenschutzhinweise bereitzustellen und alle geltenden Datenschutz- und Marketinggesetze einzuhalten.

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken oder rechtlicher Anforderungen Rechnung zu tragen. Wesentliche Änderungen werden Ihnen mindestens 14 Tage vor Inkrafttreten per E-Mail an die mit Ihrem Konto verknüpfte E-Mail-Adresse mitgeteilt.

Das oben auf dieser Seite angezeigte Aktualisierungsdatum gibt an, wann diese Datenschutzerklärung zuletzt überarbeitet wurde.