Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben Ihnen einen Überblick, was mit Ihren personenbezogenen Daten geschieht, wenn Sie diese Website besuchen. Personenbezogen sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortlicher

Stanislav Tonkich
Richard-Wagner-Str. 33
94060 Pocking, Deutschland
E-Mail: info@step-seeds.de
Telefon: siehe Impressum

3. Hosting

Diese Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Der Serverstandort ist Nürnberg, Deutschland (Rechenzentrum nbg1). Bei Aufruf der Website werden automatisch Informationen (IP-Adresse, Browsertyp, Betriebssystem, Referrer URL, Uhrzeit) in Server-Log-Dateien erfasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreier Darstellung). Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO wurde mit Hetzner geschlossen.

4. Datenerfassung auf dieser Website

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben (Name, E-Mail, Nachricht, optional: Website-URL, Telefon) zwecks Bearbeitung der Anfrage bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt.

Server-Log-Dateien

Der Provider erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt: Browsertyp und -version, Betriebssystem, Referrer URL, Hostname, Uhrzeit der Serveranfrage, IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

5. KI-Einsatz und Datenverarbeitung durch Dritte

Zur Erbringung unserer Dienstleistungen (Marketing-Analyse, Berichtserstellung) setzen wir KI-gestützte Analysetools ein. Im Rahmen dieser Nutzung werden Geschäftsdaten an folgende Auftragsverarbeiter übermittelt:

KI-Werkzeuge (Analyse und Berichterstellung):

  • Claude Pro (Anthropic, PBC, San Francisco, USA) – Textanalyse, Strukturierung und Berichtserstellung
  • Perplexity Pro (Perplexity AI, Inc., San Francisco, USA) – Marktrecherche und Wettbewerbsanalyse

Infrastruktur und Operations:

  • Hetzner Online GmbH (Gunzenhausen, Deutschland) – Hosting, Datenbank, Server für EspoCRM und n8n (Rechenzentrum Nürnberg, kein Drittlandtransfer)
  • Sendinblue SAS (Brevo) (Paris, Frankreich – EU) – E-Mail-Marketing, Newsletter mit Double-Opt-In, automatisierte E-Mail-Sequenzen sowie Versand der PDF-Berichte aus den kostenlosen Online-Tools (kein Drittlandtransfer, Verarbeitung ausschließlich in EU-Rechenzentren)
  • EspoCRM (Open-Source, selbst gehostet auf Hetzner-Server in Deutschland) – Lead- und Kontakt-Management (keine externe Auftragsverarbeitung)
  • n8n (Open-Source, selbst gehostet auf Hetzner-Server in Deutschland) – Workflow-Automatisierung (Lead-Scoring, Drip-Sequenzen, technisches Monitoring; keine externe Auftragsverarbeitung)
  • Stripe Payments Europe Ltd. (Dublin, Irland; Mutterkonzern Stripe, Inc., USA) – Zahlungsabwicklung, Abonnement-Verwaltung, Rechnungsstellung
  • Resend, Inc. (San Francisco, USA) – transaktionaler E-Mail-Versand (Bestätigungen, Tracking-Reports, Sicherheitsbenachrichtigungen)
  • Sentry / Functional Software, Inc. (San Francisco, USA; Verarbeitung in EU-Region Frankfurt) – Error Monitoring und Performance Tracking

5b. Kostenlose Online-Tools (Diagnose-Module)

Auf eigenen Subdomains von step-seeds.de stellen wir mehrere kostenlose Online-Diagnose-Module bereit (z. B. AI-Readiness Check, Lead-Capture Funnel Audit, BAFA-Förder-Check, Agentur-Check, Priorisierungs-Check). Sie dienen als vorvertragliche Informations- und Bewertungs-Hilfen für Geschäftskunden (Lead-Magneten) und stehen ausschließlich Unternehmern im Sinne des § 14 BGB zur Verfügung.

Funktionsweise: Der Nutzer gibt die zu prüfenden geschäftlichen Daten ein (z. B. Website-URL, Branche, Geschäftsbereich). Diese Eingabedaten werden serverseitig analysiert. Anschließend gibt der Nutzer seine geschäftliche E-Mail-Adresse an, um den vollständigen PDF-Bericht zu erhalten. Der Bericht wird über Brevo als E-Mail-Anhang an die angegebene Adresse versandt; ein Lead-Datensatz wird in unserem CRM-System (EspoCRM, selbst gehostet) angelegt und über n8n gegebenenfalls einer Drip-Sequenz zugeführt (nach gesondertem Double-Opt-In).

Datenkategorien: geschäftliche Eingabedaten (URL, Branche, Geschäftsbereich, Mitarbeiterzahl-Range); geschäftliche E-Mail-Adresse; optional: Firmenname, Ansprechpartner; technisch: IP-Adresse, Zeitstempel, User-Agent (Rate-Limit-/Missbrauchs-Schutz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage des Nutzers); für weiterführende E-Mail-Sequenzen (Drip, Newsletter): Art. 6 Abs. 1 lit. a DSGVO (gesonderter Double-Opt-In erforderlich); für Rate-Limit-/Missbrauchsschutz: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

Speicherdauer: Tool-Eingabedaten werden nach 30 Tagen aus den Tool-Logs gelöscht. Der Lead-Datensatz in EspoCRM bleibt bis zum Widerruf bzw. spätestens 24 Monaten Inaktivität gespeichert.

Sicherheitsmaßnahmen: Honeypot-Feld zur Bot-Abwehr, Rate-Limit (max. 10 Analysen / 3 PDF-Anfragen pro Minute und IP), ausschließliche Übertragung via HTTPS (TLS), keine Weitergabe der Eingabedaten an Dritte über die in Abschnitt 5 genannten Auftragsverarbeiter hinaus.

KI-Transparenz (Art. 50 EU AI Act):Module mit KI-Komponente (z. B. AI-Readiness Check, Module zur inhaltlichen Bewertung) werden im erzeugten PDF-Bericht entsprechend gekennzeichnet („KI-gestützt erstellt · fachlich geprüft“).

Es werden ausschließlich Geschäftsdaten verarbeitet (Firmenname, Website-URL, Marketingkennzahlen). Personenbezogene Daten Ihrer Endkunden werden nicht an KI-Systeme übermittelt.

Drittlandtransfer: Die Datenübermittlung in die USA (Anthropic, Perplexity, Stripe, Resend, Sentry) erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Hetzner verarbeitet ausschließlich in Deutschland — kein Drittlandtransfer. Gemäß Art. 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) weisen wir transparent auf den KI-Einsatz hin. Die KI dient als analytisches Hilfsmittel – nicht als Entscheidungsinstanz.

5a. Speicherdauer (Übersicht)

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO):

DatenkategorieSpeicherdauerRechtsgrundlage
Vertragsdaten (Rechnungen, Aufträge)Vertragsdauer + 10 Jahre§ 147 AO, § 257 HGB
Kommunikationsdaten (E-Mails)3 Jahre nach letztem Kontakt§ 195 BGB
KI-verarbeitete AnalysedatenLöschung nach Report-ErstellungDPAs der KI-Anbieter
Server-Logs (IP, User-Agent, Referrer)7 TageArt. 6 Abs. 1 lit. f DSGVO
Google Analytics 4 (nur nach Consent)14 MonateArt. 6 Abs. 1 lit. a DSGVO + § 25 TDDDG
Cookie-Consent-Cookie12 Monate§ 25 Abs. 2 Nr. 2 TDDDG
Stripe-Zahlungsdaten10 Jahre§ 257 HGB / § 147 AO
Resend-Versand-Logs~30 TageResend-Standardretention
Sentry Error-Events30–90 Tage (auto-Löschung)Sentry-Standardretention
Newsletter-/Drip-Daten (Brevo)Bis Widerruf, anschl. 3 Jahre SperrlisteArt. 6 Abs. 1 lit. a DSGVO + Nachweispflicht
Eingabedaten kostenloser Online-Tools30 Tage (Tool-Logs)Art. 5 Abs. 1 lit. e DSGVO
Lead-Datensätze in EspoCRMBis Widerruf, max. 24 Monate InaktivitätArt. 6 Abs. 1 lit. b / lit. f DSGVO
n8n-Workflow-Logs30 TageArt. 6 Abs. 1 lit. f DSGVO

6. Cookies

Diese Website verwendet Cookies nur mit Ihrer ausdrücklichen Einwilligung (Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Beim ersten Besuch wird ein Cookie-Banner angezeigt. Erst nach Zustimmung werden Analyse-Cookies gesetzt. Technisch notwendige Speichertechnologien (localStorage) werden für die Funktionalität der Website eingesetzt und bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG). Ihre Cookie-Einstellungen können Sie jederzeit über das Cookie-Banner widerrufen.

7. Analyse-Tools

Google Tag Manager

Diese Website nutzt den Google Tag Manager (GTM) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GTM ist ein technisches Hilfsmittel zur Verwaltung von Website-Tags und setzt selbst keine Cookies. Der GTM-Container wird erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner geladen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung).

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Mit Google Ireland Limited wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen, einsehbar unter business.safety.google/adsprocessorterms. Drittlandtransfer in die USA: Google LLC ist unter dem EU-US Data Privacy Framework (DPF, Adequacy Decision der EU-Kommission vom 10.07.2023) zertifiziert. Zusätzlich liegen EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) vor.

Google Analytics 4

Über den Google Tag Manager wird Google Analytics 4 (GA4) eingebunden. GA4 erfasst anonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Geräteinformationen). Die IP-Anonymisierung ist aktiviert. Die Datenerfassung erfolgt erst nach Ihrer Einwilligung über das Cookie-Banner. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Für die Nutzung von Google Analytics 4 wurde ein Auftragsverarbeitungsvertrag mit Google Ireland Limited abgeschlossen (Google Ads Data Processing Terms). Die Datenverarbeitung erfolgt in Rechenzentren der Region Europa (europe-west). Für Drittlandtransfer in die USA gilt das EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCC, Beschluss 2021/914). Die Google-Zertifizierung im DPF ist einsehbar unter dataprivacyframework.gov/list.

7a. Fehler- und Performance-Monitoring (Sentry)

Zur Erkennung, Analyse und Behebung technischer Fehler nutzen wir den Dienst Sentry der Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Beim Auftreten technischer Fehler werden automatisch folgende Informationen an Sentry übermittelt: Fehlermeldung und Stack Trace, URL der besuchten Seite, Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung und Zeitstempel des Fehlers. Personenbezogene Daten wie IP-Adressen, Cookies oder Eingabefelder werden standardmäßig nicht übertragen (sendDefaultPii: false). Eine optionale Session-Wiederholung wird nur bei Fehlern ausgelöst und maskiert sämtliche Texte, Eingabefelder und Medieninhalte vor der Übertragung.

Datenspeicherung: Die Verarbeitung erfolgt ausschließlich in der EU-Region (Frankfurt am Main, Deutschland). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Sentry abgeschlossen und ist unter sentry.io/legal/dpa einsehbar. Die Datenschutzerklärung von Sentry finden Sie unter sentry.io/privacy.

Speicherdauer: Fehlerdaten werden für maximal 90 Tage gespeichert, Session-Wiederholungen für 30 Tage, anschließend automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien und sicheren Bereitstellung unserer Website). Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (siehe Abschnitt „Ihre Rechte").

8. Ihre Rechte als betroffene Person (Betroffenenrechte nach DSGVO)

Als von der Datenverarbeitung betroffene Person stehen Ihnen die folgenden Betroffenenrechte zu. Insbesondere haben Sie ein Auskunftsrecht (Art. 15 DSGVO), ein Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Sie haben jederzeit das Recht auf:

  • Auskunftsrecht / Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Bitte wenden Sie sich dazu an: info@step-seeds.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen.

9. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

10. Externe Links

Unser Angebot enthält Links zu externen Webseiten. Wir haben keinen Einfluss auf deren Inhalt und Datenschutzpraktiken. Bitte lesen Sie die jeweiligen Datenschutzerklärungen der verlinkten Seiten.

11. KI-Transparenz nach Art. 50 EU AI Act

STEP/SEEDS® setzt KI-gestützte Werkzeuge (Claude Pro, Perplexity Pro) zur Erstellung von Marketing-Berichten ein. Im Einklang mit Art. 50 EU AI Act (Verordnung (EU) 2024/1689) wird der KI-Einsatz transparent gemacht:

  • Auf Seite 1 jedes erstellten Berichts: KI-Transparenzhinweis
  • Im Footer jedes Berichts: Methodik-Hinweis mit Tool-Auflistung
  • Im Footer dieser Website: KI-Hinweis nach Art. 50 EU AI Act
  • Im Blog blog.step-seeds.de: Kennzeichnung "KI-unterstützt erstellt · redaktionell geprüft" am Ende jedes Beitrags

Die KI-Werkzeuge dienen ausschließlich als analytisches Hilfsmittel. Alle generierten Inhalte werden vor Auslieferung persönlich geprüft und kuratiert. Die Methodik bestimmt die Analyse, nicht die KI.

12. Datenschutzvorfälle (DSGVO Art. 33/34)

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, melden wir den Vorfall der zuständigen Aufsichtsbehörde (BayLDA) unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Bei voraussichtlich hohem Risiko werden die betroffenen Personen ebenfalls unverzüglich benachrichtigt (Art. 34 DSGVO). Wir führen ein internes Incident-Response-Playbook und dokumentieren jeden Vorfall vollständig.

13. Hinweis zur B2B-Ausrichtung

STEP/SEEDS® erbringt seine Leistungen ausschließlich gegenüber Unternehmern (§ 14 BGB). Diese Datenschutzerklärung beschreibt die Verarbeitung von Geschäftsdaten der Auftraggeber sowie der Kontaktdaten der Ansprechpartner (natürliche Personen, die in Vertretung des Unternehmens handeln). Es werden keine personenbezogenen Daten von Verbrauchern verarbeitet.

Stand: Mai 2026