Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Thümmler AI GmbH
Leonardo-da-Vinci-Straße 15
14467 Potsdam
Deutschland

Geschäftsführerin: Helene Thümmler
E-Mail: laurenz@shift07.ai

2. Datenschutzbeauftragter

Die Benennung eines Datenschutzbeauftragten ist für uns gesetzlich nicht verpflichtend, da wir weniger als 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind (§ 38 BDSG).

Für datenschutzrechtliche Anfragen wenden Sie sich bitte an:

E-Mail: laurenz@shift07.ai

3. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z. B. E-Mail-Adresse, Name)
  • Nutzungsdaten (z. B. aufgerufene Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z. B. IP-Adressen, Geräteinformationen)
  • Zahlungsdaten (z. B. Zahlungsmethode, Rechnungsadresse)
  • Inhaltsdaten (z. B. Website-URLs, die zur Analyse eingereicht werden)
  • Authentifizierungsdaten (z. B. Passwort-Hashes, Session-Tokens)
  • Analyse-Verlaufsdaten (z. B. durchgeführte Analysen und deren Ergebnisse)

Kategorien betroffener Personen

  • Nutzer unserer Webanwendung (Kunden, Interessenten)
  • Besucher der Website

Zwecke der Verarbeitung

  • Bereitstellung und Betrieb unserer Webanwendung
  • Nutzerkontoverwaltung und Authentifizierung
  • Erbringung der AI-Analysedienstleistung
  • Zahlungsabwicklung und Abrechnung
  • Sicherheit und Missbrauchsprävention
  • Kommunikation mit Nutzern

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO. Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit wir Ihre Einwilligung zur Verarbeitung eingeholt haben, z. B. für die Einbindung externer Ressourcen (Google Fonts, CDN-Dienste).

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wenn die Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist, z. B. Kontoverwaltung, Erbringung der AI-Analysedienstleistung, Zahlungsabwicklung.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, z. B. steuerrechtliche Aufbewahrungspflichten.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, z. B. Gewährleistung der IT-Sicherheit, Betrieb und Optimierung unserer Website, Missbrauchsprävention.

5. Hosting – GitHub Pages

Unsere statische Website wird über GitHub Pages (GitHub Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA) gehostet. Beim Aufruf unserer Website werden durch GitHub automatisch technische Zugriffsdaten in Server-Log-Dateien erhoben, darunter:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL

Auf unserer statischen Website werden durch GitHub Pages keine personenbezogenen Nutzerdaten gespeichert. GitHub kann jedoch IP-Adressen in Server-Logs festhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen und sicheren Bereitstellung der Website).

Weitere Informationen: GitHub Privacy Statement.

6. Registrierung und Nutzerkonten – Supabase

Für die Nutzerkontoverwaltung, Authentifizierung, Datenbankspeicherung und serverseitige Funktionen (Edge Functions) setzen wir Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992) ein. Supabase ist als Auftragsverarbeiter gemäß Art. 28 DSGVO für uns tätig.

Verarbeitete Daten

  • E-Mail-Adresse
  • Passwort-Hash (verschlüsselt gespeichert)
  • Analyse-Verlauf (eingereichte URLs und Ergebnisse)
  • Session-Tokens (Authentifizierung)

Serverstandort

EU (Frankfurt am Main, Deutschland) – Ihre Daten werden innerhalb der Europäischen Union verarbeitet und gespeichert.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die Registrierung und Kontoverwaltung ist erforderlich, um unsere Dienstleistung zu erbringen).

Weitere Informationen: Supabase Privacy Policy.

7. AI-Analysedienst – OpenAI

Zur Erbringung unserer AI-gestützten Analyse verwenden wir die API von OpenAI (OpenAI, L.L.C., 3180 18th St, San Francisco, CA 94110, USA).

Was wird an OpenAI übermittelt?

Wir senden ausschließlich öffentlich zugängliche Website-Metadaten (z. B. Titel, Beschreibung, strukturierte Daten der zu analysierenden URL) an OpenAI. Es werden keine personenbezogenen Daten der Nutzer an OpenAI übermittelt.

Datenübermittlung in die USA

OpenAI hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF), unter dem OpenAI zertifiziert ist, gemäß Art. 45 DSGVO. Zudem werden ausschließlich öffentlich zugängliche Informationen übermittelt – keine personenbezogenen Nutzerdaten.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die AI-Analyse ist Kernbestandteil unserer Dienstleistung).

Weitere Informationen: OpenAI Privacy Policy.

8. Zahlungsabwicklung – Stripe

Für die Zahlungsabwicklung nutzen wir den Dienst von Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Stripe ist PCI-DSS-zertifiziert und gewährleistet damit höchste Sicherheitsstandards bei der Verarbeitung von Zahlungsdaten.

Verarbeitete Daten

  • Zahlungsmethode (z. B. Kreditkartendaten, SEPA-Lastschrift)
  • Rechnungsadresse und Rechnungsdaten
  • Transaktionsdaten (Betrag, Zeitpunkt, Status)
  • E-Mail-Adresse (für Zahlungsbestätigungen)

Hinweis

Zahlungsdaten (z. B. Kreditkartennummern) werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Wir erhalten von Stripe lediglich eine Bestätigung über den Zahlungsstatus sowie ggf. die letzten vier Ziffern der Kartennummer zu Identifikationszwecken.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die Zahlungsabwicklung ist für die Nutzung kostenpflichtiger Funktionen erforderlich).

Weitere Informationen: Stripe Datenschutzerklärung.

9. Externe Ressourcen – CDN und Schriftarten

Unsere Website bindet externe Ressourcen ein, die beim Seitenaufruf von Drittservern geladen werden. Dabei wird automatisch Ihre IP-Adresse an die jeweiligen Anbieter übermittelt.

Google Fonts

Wir verwenden Schriftarten von Google Fonts (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Beim Aufruf unserer Seite stellt Ihr Browser eine Verbindung zu den Servern von Google her und übermittelt dabei Ihre IP-Adresse. Google kann diese Daten in den USA verarbeiten. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework.

Weitere Informationen: Google Datenschutzerklärung.

Tailwind CSS CDN

Wir nutzen das Tailwind CSS Framework über ein Content Delivery Network (CDN). Beim Laden dieser Ressource wird Ihre IP-Adresse an den CDN-Anbieter übermittelt.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer optisch ansprechenden und technisch einwandfreien Darstellung der Website). Sofern eine Einwilligung abgefragt wurde, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

10. Cookies und lokale Speicherung

Unsere Website verwendet Cookies und lokale Speichermechanismen in eingeschränktem Umfang. Im Folgenden informieren wir Sie über Art, Umfang und Zweck der verwendeten Cookies und Speichertechnologien.

Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies bzw. den lokalen Speicher (Local Storage) Ihres Browsers für die Supabase-Authentifizierung. Diese speichern Ihren Session-Token, damit Sie nach der Anmeldung eingeloggt bleiben. Ohne diese Speicherung ist die Nutzung des eingeloggten Bereichs nicht möglich.

Analyse- und Marketing-Cookies

Wir setzen keine Analyse- oder Marketing-Cookies ein. Es findet kein Tracking Ihres Nutzerverhaltens statt.

Cookies von Drittanbietern

Durch die Einbindung externer Ressourcen (Google Fonts, Tailwind CSS CDN) können gegebenenfalls Cookies durch die jeweiligen Anbieter gesetzt werden. Auf den Inhalt dieser Cookies haben wir keinen Einfluss.

Rechtsgrundlage

Technisch notwendige Cookies: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website). Cookies von Drittanbietern: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern eine solche eingeholt wurde.

11. Weitergabe von Daten an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in den nachfolgend genannten Fällen:

Dienstleister Zweck Serverstandort
Supabase Auth, Datenbank, Edge Functions EU (Frankfurt)
OpenAI AI-Analyse (nur öffentl. Metadaten) USA (DPF)
Stripe Zahlungsabwicklung EU (Irland)
GitHub Website-Hosting USA (DPF)
Google Schriftarten (Google Fonts) USA (DPF)

Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen bzw. nutzen deren Standardvertragsklauseln.

12. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR (sog. Drittländer) findet in folgenden Fällen statt:

USA – EU-US Data Privacy Framework

Die Datenübermittlung an OpenAI, GitHub und Google erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission für das EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO. Diese Unternehmen sind unter dem DPF zertifiziert und gewährleisten damit ein angemessenes Datenschutzniveau.

Ergänzende Schutzmaßnahmen

Zusätzlich zum DPF setzen wir, sofern verfügbar, auf EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Absicherung.

13. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Kontodaten (E-Mail, Passwort-Hash)

Diese Daten werden für die Dauer Ihres Nutzerkontos gespeichert. Nach Kontolöschung werden die Daten unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Analyse-Verlauf

Ihre Analyse-Historie wird für die Dauer Ihres Nutzerkontos gespeichert und bei Kontolöschung gelöscht.

Zahlungsdaten

Rechnungsrelevante Daten werden gemäß den steuer- und handelsrechtlichen Aufbewahrungspflichten für 10 Jahre aufbewahrt (§ 147 AO, § 257 HGB).

Server-Log-Dateien

Technische Zugriffsdaten (IP-Adressen) werden durch den Hosting-Anbieter in der Regel nach spätestens 30 Tagen gelöscht.

14. SSL-/TLS-Verschlüsselung

Unsere Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

15. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten zu:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst insbesondere Informationen über die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger und die geplante Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Verarbeitung nicht zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Widerspruchsrecht (Art. 21 DSGVO)

Sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung einzulegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: laurenz@shift07.ai

16. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht
Dagmar Hartge
Stahnsdorfer Damm 77
14532 Kleinmachnow
Deutschland

Telefon: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de
Website: www.lda.brandenburg.de

Hinweis: Sie können sich alternativ auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes oder Arbeitsplatzes wenden.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen, z. B. bei der Einführung neuer Dienste. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie über die in Ihrem Nutzerkonto hinterlegte E-Mail-Adresse informieren.

Stand: März 2026