Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben Ihnen einen Überblick, was mit Ihren personenbezogenen Daten geschieht, wenn Sie diese Website besuchen. Personenbezogen sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortlicher

Stanislav Tonkich
Richard-Wagner-Str. 33
94060 Pocking, Deutschland
E-Mail: info@step-seeds.de
Telefon: siehe Impressum

3. Hosting

Diese Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Der Serverstandort ist Nürnberg, Deutschland (Rechenzentrum nbg1). Bei Aufruf der Website werden automatisch Informationen (IP-Adresse, Browsertyp, Betriebssystem, Referrer URL, Uhrzeit) in Server-Log-Dateien erfasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreier Darstellung). Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO wurde mit Hetzner geschlossen.

4. Datenerfassung auf dieser Website

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben (Name, E-Mail, Nachricht, optional: Website-URL, Telefon) zwecks Bearbeitung der Anfrage bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt.

Server-Log-Dateien

Der Provider erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt: Browsertyp und -version, Betriebssystem, Referrer URL, Hostname, Uhrzeit der Serveranfrage, IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

5. KI-Einsatz und Datenverarbeitung durch Dritte

Zur Erbringung unserer Dienstleistungen (Marketing-Analyse, Berichtserstellung) setzen wir KI-gestützte Analysetools ein. Im Rahmen dieser Nutzung werden Geschäftsdaten an folgende Auftragsverarbeiter übermittelt:

KI-Werkzeuge (Analyse und Berichterstellung):

  • Claude Pro (Anthropic, PBC, San Francisco, USA) – Textanalyse, Strukturierung und Berichtserstellung; DPA + EU-Standardvertragsklauseln (SCC) + Zero-Data-Retention-API
  • Perplexity Pro (Perplexity AI, Inc., San Francisco, USA) – Marktrecherche und Wettbewerbsanalyse; EU-Standardvertragsklauseln (SCC)

Hinweis: Im Rahmen der Marketing-Diagnose-Erstellung setzt STEP/SEEDS® weder Google Gemini noch OpenAI GPT als KI-Modelle ein. Sollte sich der Einsatz dieser Modelle in Zukunft erforderlich machen, wird die Datenschutzerklärung vor Aktivierung entsprechend ergänzt.

Infrastruktur und Operations:

  • Hetzner Online GmbH (Gunzenhausen, Deutschland) – Hosting, Datenbank, Server für EspoCRM und n8n (Rechenzentrum Nürnberg, kein Drittlandtransfer)
  • Sendinblue SAS (Brevo)(55 Rue d'Amsterdam, 75008 Paris, Frankreich – EU) – E-Mail-Marketing, Newsletter mit Double-Opt-In, automatisierte E-Mail-Sequenzen sowie Versand der PDF-Berichte aus den kostenlosen Online-Tools. Verarbeitung ausschließlich in EU-Rechenzentren; kein Drittlandtransfer. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Brevo abgeschlossen; das Data Processing Agreement ist unter brevo.com/legal/termsofuse einsehbar.
  • EspoCRM (Open-Source, selbst gehostet auf Hetzner-Server in Deutschland) – Lead- und Kontakt-Management (keine externe Auftragsverarbeitung)
  • n8n (Open-Source, selbst gehostet auf Hetzner-Server in Deutschland) – Workflow-Automatisierung (Lead-Scoring, Drip-Sequenzen, technisches Monitoring; keine externe Auftragsverarbeitung)
  • Resend (Plus Five Five, Inc.) (San Francisco, USA) – transaktionaler E-Mail-Versand (Bestätigungen, Tracking-Reports, Sicherheitsbenachrichtigungen); DPA + EU-Standardvertragsklauseln (SCC, Beschluss 2021/914)
  • Sentry / Functional Software, Inc. (San Francisco, USA; Verarbeitung in EU-Region Frankfurt) – Error Monitoring und Performance Tracking

Telefonischer KI-Assistent (Voice Agent):

  • Vapi Inc. (San Francisco, USA) — Voice-AI-Plattform für die telefonische Erstkommunikation (Call-Routing, Gesprächs-Orchestrierung, Speech-to-Text, Audio-Recording-Storage 14 Tage, danach automatische Löschung)
  • ElevenLabs Inc.(New York, USA) — Text-to-Speech-Stimmsynthese für den KI-Assistenten (Stimme „Sarah“, multilingual_v2-Modell); keine Anrufer-PII wird übertragen — nur der generierte Antwort-Text
  • OpenAI L.L.C. (San Francisco, USA) — LLM (GPT-4o) für Antwortgenerierung; Zero-Retention-API, Opt-out aus Modell-Training aktiv
  • sipgate GmbH (Düsseldorf, Deutschland) — VoIP-Telefonie (alleiniger Telefonie-Provider, Geschäfts-Anschluss geplant nach UG-Eintrag); kein Drittlandtransfer

Drittlandtransfer in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie — soweit vorhanden — des EU-US Data Privacy Framework. Mit Vapi und ElevenLabs bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO (Vertragsannahme mit Plattform-Registrierung; vollständige DPA-Texte einsehbar unter vapi.ai/legal/dpa und elevenlabs.io/dpa). Die Telefonie für den Voice Agent erfolgt ausschließlich über die sipgate GmbH (Deutschland) — kein Drittlandtransfer. Details zu Aufbewahrungsdauer und Einwilligungsverfahren siehe Abschnitt 5c.

Interne Content-Generierung (Blog blog.step-seeds.de):

  • OpenRouter, Inc. (Wilmington, DE, USA) — LLM-Gateway für interne Blog-Themen- und Textgenerierung im n8n-Workflow; keine Kunden-/Endkunden-PII wird übertragen — nur Themen, Keywords und Stil-Vorgaben
  • KIE.ai (USA) — KI-Bildgenerierung für Blog-Header und Inline-Illustrationen im n8n-Workflow; keine personenbezogenen Daten — nur Text-Prompts

Drittlandtransfer in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Da ausschließlich Geschäftsdaten (Themen, Stil, Bildbeschreibungen) übertragen werden, ist das datenschutzrechtliche Risiko gering.

Zahlungsabwicklung: Aktuell findet keine Zahlungsverarbeitung über die Website statt. Bei Inbetriebnahme des Zahlungssystems wird die Datenschutzerklärung um folgende Auftragsverarbeiter ergänzt — die Information erfolgt vor Aktivierung:

  • Mollie B.V. (Amsterdam, Niederlande) — Zahlungsabwicklung (Karten, SEPA, Sofortüberweisung)
  • PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) — PayPal-Zahlungen
  • Haufe-Lexware GmbH & Co. KG (Freiburg, Deutschland) — Rechnungsstellung (lexoffice), GoBD-konforme Buchhaltung, DATEV-Export für Steuerberater

Alle drei vorgesehenen Anbieter haben ihren Sitz innerhalb der EU; ein Drittlandtransfer findet nicht statt.

5.14 Information über neue Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO)

Sofern wir personenbezogene Daten im Auftrag eines Kunden verarbeiten (Auftragsverarbeitung gemäß Art. 28 DSGVO, geregelt im jeweiligen Auftragsverarbeitungsvertrag), informieren wir den Auftraggeber mindestens 10 Tage im Voraus in Textform (E-Mail genügt) über die Beauftragung neuer Unter-Auftragsverarbeiter — insbesondere bei:

  • Wechsel oder Ergänzung von KI-Modell-Anbietern (z. B. neuer LLM-Provider)
  • Wechsel oder Ergänzung von Hosting- oder Speicher-Anbietern
  • Wechsel oder Ergänzung von E-Mail-, Analytics- oder Monitoring-Dienstleistern, soweit diese personenbezogene Daten verarbeiten
  • Verlagerung der Verarbeitung in ein anderes Land

Der Auftraggeber kann innerhalb dieser Frist in Textform an datenschutz@step-seeds.de widersprechen, wenn berechtigte Datenschutzbedenken bestehen. Wir bemühen uns nach Treu und Glauben um eine einvernehmliche Lösung. Kommt diese nicht zustande, kann der Auftraggeber den betroffenen Dienstanteil kündigen.

Diese Regelung gilt zusätzlich zu den Informationspflichten aus Art. 13/14 DSGVO gegenüber den betroffenen Personen und ergänzt etwaige Subprozessor-Listen in den jeweiligen Auftragsverarbeitungs-Verträgen.

5b. Kostenlose Online-Tools (Diagnose-Module)

Auf eigenen Subdomains von step-seeds.de stellen wir mehrere kostenlose Online-Diagnose-Module bereit (z. B. AI-Readiness Check, Lead-Capture Funnel Audit, BAFA-Förder-Check, Agentur-Check, Priorisierungs-Check). Sie dienen als vorvertragliche Informations- und Bewertungs-Hilfen für Geschäftskunden (Lead-Magneten) und stehen ausschließlich Unternehmern im Sinne des § 14 BGB zur Verfügung.

Funktionsweise: Der Nutzer gibt die zu prüfenden geschäftlichen Daten ein (z. B. Website-URL, Branche, Geschäftsbereich). Diese Eingabedaten werden serverseitig analysiert. Anschließend gibt der Nutzer seine geschäftliche E-Mail-Adresse an, um den vollständigen PDF-Bericht zu erhalten. Der Bericht wird über Brevo als E-Mail-Anhang an die angegebene Adresse versandt; ein Lead-Datensatz wird in unserem CRM-System (EspoCRM, selbst gehostet) angelegt und über n8n gegebenenfalls einer Drip-Sequenz zugeführt (nach gesondertem Double-Opt-In).

Datenkategorien: geschäftliche Eingabedaten (URL, Branche, Geschäftsbereich, Mitarbeiterzahl-Range); geschäftliche E-Mail-Adresse; optional: Firmenname, Ansprechpartner; technisch: IP-Adresse, Zeitstempel, User-Agent (Rate-Limit-/Missbrauchs-Schutz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage des Nutzers); für weiterführende E-Mail-Sequenzen (Drip, Newsletter): Art. 6 Abs. 1 lit. a DSGVO (gesonderter Double-Opt-In erforderlich); für Rate-Limit-/Missbrauchsschutz: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

Speicherdauer: Tool-Eingabedaten werden nach 30 Tagen aus den Tool-Logs gelöscht. Der Lead-Datensatz in EspoCRM bleibt bis zum Widerruf bzw. spätestens 24 Monaten Inaktivität gespeichert.

Sicherheitsmaßnahmen: Honeypot-Feld zur Bot-Abwehr, Rate-Limit (max. 10 Analysen / 3 PDF-Anfragen pro Minute und IP), ausschließliche Übertragung via HTTPS (TLS), keine Weitergabe der Eingabedaten an Dritte über die in Abschnitt 5 genannten Auftragsverarbeiter hinaus.

KI-Transparenz (Art. 50 EU AI Act):Module mit KI-Komponente (z. B. AI-Readiness Check, Module zur inhaltlichen Bewertung) werden im erzeugten PDF-Bericht entsprechend gekennzeichnet („KI-gestützt erstellt · fachlich geprüft“).

Es werden ausschließlich Geschäftsdaten verarbeitet (Firmenname, Website-URL, Marketingkennzahlen). Personenbezogene Daten Ihrer Endkunden werden nicht an KI-Systeme übermittelt.

Drittlandtransfer: Die Datenübermittlung in die USA (Anthropic, Perplexity, Resend, Sentry) erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Hetzner verarbeitet ausschließlich in Deutschland — kein Drittlandtransfer. Gemäß Art. 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) weisen wir transparent auf den KI-Einsatz hin. Die KI dient als analytisches Hilfsmittel – nicht als Entscheidungsinstanz.

5c. Telefonischer KI-Assistent (Voice Agent)

Unter unserer geschäftlichen Rufnummer setzen wir zur Erstkommunikation einen KI-gestützten Sprachassistenten ein. Anrufer werden zu Beginn jedes Gesprächs transparent informiert, dass sie mit einem KI-System sprechen (Art. 50 Abs. 1 EU-KI-Verordnung). Der Assistent qualifiziert Interessenten und übergibt komplexe Anfragen an einen menschlichen Ansprechpartner.

Information bei Anrufbeginn (Art. 14 DSGVO): Da die Telefonnummer des Anrufers (Caller-ID) und der Gesprächsinhalt ohne vorherige Eingabe auf der Website erhoben werden, erfolgt die Information nach Art. 14 DSGVO durch eine automatisierte Ansage zu Beginn jedes Anrufs mit folgendem Mindestinhalt: (1) Identität des Verantwortlichen (Stanislav Tonkich / STEP/SEEDS®), (2) Hinweis, dass es sich um ein KI-System handelt (Art. 50 EU AI Act), (3) Zweck der Verarbeitung (Erstqualifikation, Vertragsanbahnung), (4) Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO für die geschäftliche Anbahnung; Art. 6 Abs. 1 lit. a DSGVO für die optionale Audioaufnahme), (5) Hinweis auf die vorliegende Datenschutzerklärung sowie (6) Hinweis auf die Betroffenenrechte (siehe Abschnitt 8).

Was verarbeitet wird:

  • Gesprächsinhalt als Transkript (Text, nicht dauerhaft als Audiodatei ohne Ihre ausdrückliche Einwilligung)
  • Aus dem Gespräch abgeleitete Informationen: Interesse an Tarifen, Branche, Kontaktdaten (E-Mail, Firmenname, Telefonnummer, Rückrufzeitpunkt)
  • Optional und nur mit ausdrücklicher Einwilligung: Audioaufzeichnungdes Gesprächs zur Qualitätssicherung

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) — für die aus dem Gespräch abgeleiteten geschäftsrelevanten Daten (Tarif-Interesse, Branche, Kontaktdaten, Anliegen). Diese Daten werden unabhängig von der Audio-Einwilligung verarbeitet, da sie zur Bearbeitung der Anfrage erforderlich sind.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für die Audioaufzeichnung und das wörtliche Volltext- Transkript zur Qualitätssicherung. Die Einwilligung wird zu Beginn des Gesprächs mündlich erfragt und kann jederzeit widerrufen werden. Bei verweigerter Einwilligung erfolgt keine Audioaufzeichnung und kein Volltext-Transkript; lediglich eine inhaltliche Zusammenfassung der geschäftlich relevanten Punkte wird zur Lead-Bearbeitung gespeichert (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
  • Art. 6 Abs. 1 lit. a DSGVO + Art. 50 EU AI Act — KI-Transparenz durch Ansage zu Gesprächsbeginn („Sie sprechen mit einem KI-Assistenten").

Aufbewahrungsdauer:

  • Audioaufzeichnungen: 14 Tage automatische Löschung bei Vapi (Pay-As-You-Go-Standard-Retention; keine eigene Kopie wird erstellt)
  • Transkripte und Zusammenfassungen: 180 Tage Auto-Delete (begründet durch typischen Verkaufszyklus 60–120 Tage; bei verweigerter Aufzeichnungseinwilligung sofortige Löschung)
  • Lead-Daten (Kontaktdaten, Tarif-Interesse): bis zum Widerruf der Verarbeitung bzw. spätestens 24 Monate Inaktivität
  • Vapi-Logs (technische Anruf-Metadaten): 30 Tage

Eingesetzte Auftragsverarbeiter:

Vapi Inc., ElevenLabs Inc. und OpenAI L.L.C. (alle USA — Standardvertragsklauseln gemäß Art. 46 DSGVO) sowie sipgate GmbH (Düsseldorf, Deutschland — alleiniger Telefonie-Provider, kein Drittlandtransfer). Details siehe Abschnitt 5 oben.

Datenschutz-Folgenabschätzung (DPIA): Vor Inbetriebnahme des Voice Agent wurde eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt. Sie identifiziert 11 Risikofelder und dokumentiert die ergriffenen technischen, organisatorischen und vertraglichen Maßnahmen. Das interne Dokument liegt zur Vorlage bei der zuständigen Aufsichtsbehörde (BayLDA) bereit. Eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO war nicht erforderlich (Restrisiko nach Maßnahmen: NIEDRIG-MITTEL).

Ihre Rechte: Sie können jederzeit Auskunft über Ihre gespeicherten Daten erhalten oder deren Löschung verlangen — schriftlich oder per E-Mail an datenschutz@step-seeds.de bzw. info@step-seeds.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

5a. Speicherdauer (Übersicht)

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO):

DatenkategorieSpeicherdauerRechtsgrundlage
Vertragsdaten (Rechnungen, Aufträge)Vertragsdauer + 10 Jahre§ 147 AO, § 257 HGB
Kommunikationsdaten (E-Mails)3 Jahre nach letztem Kontakt§ 195 BGB
KI-verarbeitete AnalysedatenLöschung nach Report-ErstellungDPAs der KI-Anbieter
Server-Logs (IP, User-Agent, Referrer)7 TageArt. 6 Abs. 1 lit. f DSGVO
Google Analytics 4 (nur nach Consent)14 MonateArt. 6 Abs. 1 lit. a DSGVO + § 25 TDDDG
Cookie-Consent-Cookie12 Monate§ 25 Abs. 2 Nr. 2 TDDDG
Resend-Versand-Logs~30 TageResend-Standardretention
Sentry Error-Events30–90 Tage (auto-Löschung)Sentry-Standardretention
Newsletter-/Drip-Daten (Brevo)Bis Widerruf, anschl. 3 Jahre SperrlisteArt. 6 Abs. 1 lit. a DSGVO + Nachweispflicht
Eingabedaten kostenloser Online-Tools30 Tage (Tool-Logs)Art. 5 Abs. 1 lit. e DSGVO
Lead-Datensätze in EspoCRMBis Widerruf, max. 24 Monate InaktivitätArt. 6 Abs. 1 lit. b / lit. f DSGVO
n8n-Workflow-Logs30 TageArt. 6 Abs. 1 lit. f DSGVO

6. Cookies

Diese Website verwendet Cookies nur mit Ihrer ausdrücklichen Einwilligung (Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Beim ersten Besuch wird ein Cookie-Banner angezeigt. Erst nach Zustimmung werden Analyse-Cookies gesetzt. Technisch notwendige Speichertechnologien (localStorage) werden für die Funktionalität der Website eingesetzt und bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG). Ihre Cookie-Einstellungen können Sie jederzeit über das Cookie-Banner widerrufen.

7. Analyse-Tools

Google Tag Manager

Diese Website nutzt den Google Tag Manager (GTM) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GTM ist ein technisches Hilfsmittel zur Verwaltung von Website-Tags und setzt selbst keine Cookies. Der GTM-Container wird erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner geladen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung).

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Mit Google Ireland Limited wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen, einsehbar unter business.safety.google/adsprocessorterms. Drittlandtransfer in die USA: Google LLC ist unter dem EU-US Data Privacy Framework (DPF, Adequacy Decision der EU-Kommission vom 10.07.2023) zertifiziert. Zusätzlich liegen EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) vor.

Google Analytics 4

Über den Google Tag Manager wird Google Analytics 4 (GA4) eingebunden. GA4 erfasst anonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Geräteinformationen). Die IP-Anonymisierung ist aktiviert. Die Datenerfassung erfolgt erst nach Ihrer Einwilligung über das Cookie-Banner. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Für die Nutzung von Google Analytics 4 wurde ein Auftragsverarbeitungsvertrag mit Google Ireland Limited abgeschlossen (Google Ads Data Processing Terms). Die Datenverarbeitung erfolgt in Rechenzentren der Region Europa (europe-west). Für Drittlandtransfer in die USA gilt das EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCC, Beschluss 2021/914). Die Google-Zertifizierung im DPF ist einsehbar unter dataprivacyframework.gov/list.

7a. Fehler- und Performance-Monitoring (Sentry)

Zur Erkennung, Analyse und Behebung technischer Fehler nutzen wir den Dienst Sentry der Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Beim Auftreten technischer Fehler werden automatisch folgende Informationen an Sentry übermittelt: Fehlermeldung und Stack Trace, URL der besuchten Seite, Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung und Zeitstempel des Fehlers. Personenbezogene Daten wie IP-Adressen, Cookies oder Eingabefelder werden standardmäßig nicht übertragen (sendDefaultPii: false). Eine optionale Session-Wiederholung wird nur bei Fehlern ausgelöst und maskiert sämtliche Texte, Eingabefelder und Medieninhalte vor der Übertragung.

Datenspeicherung: Die Verarbeitung erfolgt ausschließlich in der EU-Region (Frankfurt am Main, Deutschland). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Sentry abgeschlossen und ist unter sentry.io/legal/dpa einsehbar. Die Datenschutzerklärung von Sentry finden Sie unter sentry.io/privacy.

Speicherdauer: Fehlerdaten werden für maximal 90 Tage gespeichert, Session-Wiederholungen für 30 Tage, anschließend automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien und sicheren Bereitstellung unserer Website). Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (siehe Abschnitt „Ihre Rechte").

8. Ihre Rechte als betroffene Person (Betroffenenrechte nach DSGVO)

Als von der Datenverarbeitung betroffene Person stehen Ihnen die folgenden Betroffenenrechte zu. Insbesondere haben Sie ein Auskunftsrecht (Art. 15 DSGVO), ein Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Sie haben jederzeit das Recht auf:

  • Auskunftsrecht / Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 S. 2 DSGVO).
  • Keine automatisierte Einzelentscheidung (Art. 22 DSGVO): Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. KI-gestützte Analysen dienen ausschließlich als Hilfsmittel; die finale Bewertung und Auslieferung erfolgt durch den Verantwortlichen persönlich.

Pflicht zur Datenbereitstellung (Art. 13 Abs. 2 lit. e DSGVO): Die Bereitstellung Ihrer Daten bei Nutzung des Kontaktformulars, der Online-Tools oder bei Beauftragung einer Diagnose ist für die Durchführung vorvertraglicher Maßnahmen bzw. zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne Angabe einer gültigen geschäftlichen E-Mail-Adresse und der jeweils abgefragten geschäftlichen Daten ist eine Bearbeitung Ihrer Anfrage bzw. Vertragsdurchführung nicht möglich. Eine gesetzliche Pflicht zur Datenbereitstellung besteht nicht.

Bitte wenden Sie sich dazu an: datenschutz@step-seeds.de oder info@step-seeds.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

9. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

10. Externe Links

Unser Angebot enthält Links zu externen Webseiten. Wir haben keinen Einfluss auf deren Inhalt und Datenschutzpraktiken. Bitte lesen Sie die jeweiligen Datenschutzerklärungen der verlinkten Seiten.

11. KI-Transparenz nach Art. 50 EU AI Act

STEP/SEEDS® setzt KI-gestützte Werkzeuge (Claude Pro, Perplexity Pro) zur Erstellung von Marketing-Berichten ein. Im Einklang mit Art. 50 EU AI Act (Verordnung (EU) 2024/1689) wird der KI-Einsatz transparent gemacht:

  • Auf Seite 1 jedes erstellten Berichts: KI-Transparenzhinweis
  • Im Footer jedes Berichts: Methodik-Hinweis mit Tool-Auflistung
  • Im Footer dieser Website: KI-Hinweis nach Art. 50 EU AI Act
  • Im Blog blog.step-seeds.de: Kennzeichnung "KI-unterstützt erstellt · redaktionell geprüft" am Ende jedes Beitrags

Die KI-Werkzeuge dienen ausschließlich als analytisches Hilfsmittel. Alle generierten Inhalte werden vor Auslieferung persönlich geprüft und kuratiert. Die Methodik bestimmt die Analyse, nicht die KI.

12. Datenschutzvorfälle (DSGVO Art. 33/34)

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, melden wir den Vorfall der zuständigen Aufsichtsbehörde (BayLDA) unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Bei voraussichtlich hohem Risiko werden die betroffenen Personen ebenfalls unverzüglich benachrichtigt (Art. 34 DSGVO). Wir führen ein internes Incident-Response-Playbook und dokumentieren jeden Vorfall vollständig.

13. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Zu den getroffenen Maßnahmen zählen insbesondere:

  • Verschlüsselung der Datenübertragung: Alle Verbindungen zur Website und zu unseren Online-Tools erfolgen ausschließlich über HTTPS (TLS 1.2 / 1.3); HTTP wird automatisch zu HTTPS weitergeleitet.
  • Verschlüsselung gespeicherter Daten: Datenbanken (EspoCRM, n8n) auf dem Hetzner-Server in Deutschland werden in verschlüsselten Container-Volumes betrieben.
  • Zugangsbeschränkung: Zugriff auf personenbezogene Daten (CRM, Workflow-Automatisierung, Server) ist auf autorisierte Personen beschränkt und erfordert SSH-Schlüssel-Authentifizierung sowie Zwei-Faktor-Authentifizierung für Verwaltungsoberflächen.
  • Datensparsamkeit: Es werden ausschließlich die für den jeweiligen Zweck erforderlichen Daten erhoben und verarbeitet (Art. 5 Abs. 1 lit. c DSGVO).
  • Pseudonymisierung: Technische Logs und Fehlerberichte werden vor Übermittlung an externe Dienste (Sentry) von direkten Personenkennzeichen bereinigt (sendDefaultPii: false; Maskierung von Texten und Eingabefeldern in Session-Replays).
  • Backup und Wiederherstellung: Regelmäßige verschlüsselte Datensicherungen auf dem Hetzner-Server (Deutschland); Wiederherstellungs- verfahren werden mindestens jährlich getestet.
  • Schutz vor Missbrauch: Rate-Limit auf öffentlichen Endpunkten (Formulare, Tool-APIs), Honeypot-Felder zur Bot-Abwehr, fail2ban auf Server-Ebene, Web Application Firewall.
  • Regelmäßige Überprüfung: Sicherheitsmaßnahmen werden mindestens jährlich überprüft, bei Bedarf aktualisiert und in einem internen TOM-Verzeichnis dokumentiert.
  • Auftragsverarbeiter-Management: Alle eingesetzten Auftrags- verarbeiter wurden auf Einhaltung geeigneter Sicherheitsstandards geprüft; Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO liegen vor.

Die vollständige interne TOM-Dokumentation ist auf behördliche Anfrage verfügbar (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).

14. Hinweis zur B2B-Ausrichtung

STEP/SEEDS® erbringt seine Leistungen ausschließlich gegenüber Unternehmern (§ 14 BGB). Diese Datenschutzerklärung beschreibt die Verarbeitung von Geschäftsdaten der Auftraggeber sowie der Kontaktdaten der Ansprechpartner (natürliche Personen, die in Vertretung des Unternehmens handeln). Es werden keine personenbezogenen Daten von Verbrauchern verarbeitet.

15. Interne Datenschutz-Dokumentation

Über die Pflichtangaben dieser Datenschutzerklärung hinaus führt der Verantwortliche folgende interne Datenschutz-Dokumentation, die auf Anfrage der zuständigen Aufsichtsbehörde (Bayerisches Landesamt für Datenschutzaufsicht, BayLDA) jederzeit vorgelegt werden kann:

  • Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
  • Datenschutz-Folgenabschätzung (DPIA) nach Art. 35 DSGVO für die STEP/SEEDS®-Methodik (KI-Einsatz von Claude Pro und Perplexity Pro, Drittlandtransfer in die USA) sowie für den telefonischen KI-Assistenten (Voice Agent)
  • Dokumentation der Drittlandtransfers nach Art. 44–49 DSGVO inklusive abgeschlossener EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) und Transfer Impact Assessments
  • Übersicht aller Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit gesicherten DPA-PDFs als Evidenz
  • Incident-Response-Playbook für Datenschutzverletzungen mit dokumentiertem 72-Stunden-Meldeverfahren nach Art. 33 DSGVO und Benachrichtigungsverfahren nach Art. 34 DSGVO
  • EU-AI-Act-Compliance-Assessment nach Verordnung (EU) 2024/1689, insbesondere zu den Transparenzpflichten gemäß Art. 50 EU AI Act

Diese Dokumente werden nicht öffentlich gemacht, um den Schutz der dokumentierten internen Sicherheitsmaßnahmen nicht zu gefährden, sind jedoch jederzeit auf behördliche Anfrage zugänglich (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).

Stand: Juni 2026