Datenschutzerklärung

1. Verantwortlicher

2. Allgemeine Hinweise

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der geltenden datenschutzrechtlichen Vorschriften, insbesondere der DSGVO und des BDSG.

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen unseres Onlineangebots unter ai-pivot.de.

3. Arten der verarbeiteten Daten

Wir verarbeiten ausschließlich folgende Datenkategorien:

• –Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Unternehmen)
• –Inhaltsdaten (gewählte Dienstleistung, Nachricht aus dem Kontaktformular)
• –Vertrags- und Portaldaten (Profildaten, Dokumente, Rechnungen, Ansprechpartner und zugehörige Metadaten)
• –Authentifizierungs- und Sicherheitsdaten (E-Mail-Adresse, Login-Zeitpunkte, IP-Adresse, gekürzte Browser-/Geräteklasse, Passwort-Reset- und MFA-Status)
• –Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeiten und Interaktionen mit unserer Website)
• –Meta- und Kommunikationsdaten (z. B. technische Log-Daten, Browserinformationen und Serveranfragen)

4. Zweck der Verarbeitung

• –Bereitstellung und Betrieb unseres Onlineangebots
• –Bearbeitung und Beantwortung von Kontaktanfragen
• –Bereitstellung des Kundenportals einschließlich Dokumentenzugriff
• –Authentifizierung, Passwort-Reset und optionale Zwei-Faktor-Authentifizierung
• –Sicherstellung des technisch fehlerfreien Betriebs
• –Schutz vor Missbrauch, Brute-Force-Angriffen und unbefugten Zugriffen
• –Reichweitenmessung und Interaktionsanalyse nach erteilter Einwilligung

5. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung in Webanalyse und Interaktionsmessung mit Google Analytics
• Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Erfüllung vorvertraglicher Maßnahmen (z.B. Bearbeitung von Kontaktanfragen)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen, insbesondere technischer Betrieb, Sicherheit und Missbrauchsprävention
• § 25 Abs. 1 TDDDG – Einwilligungsbedürftige Speicherung bzw. der Zugriff auf Informationen auf Ihrem Endgerät für Google Analytics
• § 25 Abs. 2 Nr. 2 TDDDG – technisch erforderliche Speicherung bzw. der Zugriff auf Informationen auf Ihrem Endgerät, insbesondere für Authentifizierungs-, Sicherheits- und Sitzungsfunktionen

6. Hosting – Vercel

Unsere Website wird gehostet von:

Vercel verarbeitet bei jedem Seitenaufruf technische Daten wie IP-Adresse, Zeitpunkt des Zugriffs sowie Browser- und Betriebssystemdaten. Diese werden in Server-Log-Dateien gespeichert und dienen der sicheren und fehlerfreien Bereitstellung der Website.

Die genutzten Server befinden sich überwiegend innerhalb der Europäischen Union (Frankfurt, Deutschland). Da Vercel ein US-amerikanisches Unternehmen ist, kann eine Datenübertragung in die USA im Rahmen von Wartung oder Support nicht vollständig ausgeschlossen werden.

Wir haben mit Vercel einen Auftragsverarbeitungsvertrag (AVV) geschlossen. Für Drittlandtransfers stützt sich Vercel auf EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. f DSGVO. Datenschutzerklärung Vercel

7. Kontaktformular

Wenn Sie unser Kontaktformular nutzen, werden die eingegebenen Daten (Name, E-Mail-Adresse, Telefonnummer, Unternehmen, gewählte Dienstleistung, Nachricht) zur Bearbeitung Ihrer Anfrage verarbeitet. Der technische Ablauf gliedert sich wie folgt:

• –Ihre Formulardaten werden verschlüsselt an unser Backend übertragen.
• –Die Daten werden in einer Datenbank bei Supabase gespeichert (siehe Abschnitt 8).
• –Über den E-Mail-Dienst Resend wird eine Benachrichtigung an unsere geschäftliche E-Mail-Adresse gesendet sowie ggf. eine Eingangsbestätigung an Sie (siehe Abschnitt 11).
• –Die eingehende E-Mail wird über IONOS empfangen und bearbeitet (siehe Abschnitt 12).

Die Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck der Speicherung entfällt. Gesetzliche Aufbewahrungsfristen bleiben unberührt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Datenspeicherung – Supabase

Für die Speicherung von Kontaktanfragen, Portaldaten und Authentifizierungsdaten nutzen wir:

Die genutzten Datenbankserver befinden sich in der Europäischen Union (Region EU Central, Frankfurt). Über Supabase verarbeiten wir insbesondere Kontaktformulardaten, Profildaten im Kundenportal, Dokumentenmetadaten, Dateiablage in Supabase Storage sowie Authentifizierungsdaten über Supabase Auth.

Wenn Sie das Kundenportal nutzen, verarbeitet Supabase außerdem Ihre E-Mail-Adresse, Passwort-Reset- und Bestätigungsprozesse, Sitzungsinformationen, sicherheitsbezogene Metadaten sowie bei aktivierter Zwei-Faktor-Authentifizierung den Status Ihres TOTP-Faktors. Wir haben mit Supabase einen Auftragsverarbeitungsvertrag (AVV) geschlossen. Da Supabase seinen Sitz außerhalb der EU hat, kann eine Datenübertragung in Drittländer nicht vollständig ausgeschlossen werden; Supabase stützt sich hierfür auf EU-Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsfunktionen. Datenschutzerklärung Supabase

9. Kundenportal und Dokumentenbereich

Für bestehende Kunden stellen wir ein geschütztes Kundenportal bereit, über das Dokumente, Rechnungen und Kontaktdaten eingesehen und heruntergeladen werden können.

Zugang und Authentifizierung: Der Zugang erfolgt über eine E-Mail-/Passwort-Kombination. Die Authentifizierung wird über Supabase Auth (siehe Abschnitt 8) abgewickelt. Dabei werden technisch erforderliche Session-Cookies gesetzt, die ausschließlich der Authentifizierung, Sitzungsverwaltung und Absicherung des Passwort-Reset- und Login-Prozesses dienen.

Optionale Zwei-Faktor-Authentifizierung: Nutzerinnen und Nutzer können in ihrem Profil freiwillig eine Zwei-Faktor-Authentifizierung per Authenticator-App (TOTP) aktivieren. Ist diese Funktion aktiviert, wird nach korrekter Passworteingabe zusätzlich ein zeitbasierter Einmalcode abgefragt, bevor das Portal freigegeben wird.

Verarbeitete Daten: Im Portal werden folgende personenbezogene Daten verarbeitet:

• –Profildaten (Name, Firmenname, E-Mail, Telefonnummer)
• –Dokumentenmetadaten (Titel, Typ, Erstellungsdatum)
• –Dokumente und Rechnungen (gespeichert in Supabase Storage, verschlüsselt)
• –Zugewiesene Ansprechpartner (Name, Rolle, Kontaktdaten)

Zugriffskontrolle: Jeder Nutzer kann ausschließlich auf seine eigenen Daten zugreifen. Dies wird durch serverseitige Berechtigungsprüfungen und Row-Level Security (RLS) auf Datenbankebene sichergestellt. Dokumente werden nur über zeitlich begrenzte, signierte URLs bereitgestellt, die nach serverseitiger Berechtigungsprüfung erzeugt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden verarbeitet, solange das Kundenverhältnis besteht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

10. Sicherheitsprotokollierung, Login-Schutz und optionale Zwei-Faktor-Authentifizierung

Zum Schutz Ihres Kontos und zur Erkennung unbefugter Zugriffsversuche protokollieren wir sicherheitsrelevante Ereignisse im Zusammenhang mit der Authentifizierung.

Verarbeitete Daten:

• –E-Mail-Adresse des betroffenen Kontos
• –IP-Adresse
• –gekürzte Browser- und Geräteklasse
• –Zeitpunkt des Ereignisses
• –Art des Ereignisses (z. B. erfolgreiche/fehlgeschlagene Anmeldung, Rate-Limit, Kontosperre, Passwort-Reset, MFA-Aktivierung, MFA-Fehlversuch)
• –technische Metadaten, soweit sie zur Sicherheitsbewertung oder administrativen Nachvollziehbarkeit erforderlich sind

Zweck: Die Daten werden ausschließlich zur Gewährleistung der Kontosicherheit, zur Erkennung und Verhinderung von Missbrauch (z. B. Brute-Force-Angriffe, Kontenmissbrauch, unbefugte Zugriffe) sowie zur technischen Nachvollziehbarkeit sicherheitsrelevanter Vorfälle verarbeitet.

Optionale Zwei-Faktor-Authentifizierung: Wenn Sie die Zwei-Faktor-Authentifizierung in Ihrem Profil aktivieren, verarbeitet Supabase Auth die Einrichtung und Verifikation Ihres TOTP-Faktors. Unsere Anwendung speichert dabei keine eigenen TOTP-Geheimnisse in einer separaten Anwendungsdatenbank, sondern nutzt die von Supabase bereitgestellte MFA-Funktionalität.

Speicherdauer: Sicherheits- und Sperrdaten werden nur so lange gespeichert, wie dies zur Missbrauchserkennung, Vorfallaufklärung und Absicherung unserer Systeme erforderlich ist. Temporäre Sperrstände werden nach erfolgreicher Anmeldung zurückgesetzt; darüber hinaus prüfen wir Sicherheitsprotokolle regelmäßig auf Erforderlichkeit und Löschbedarf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Authentifizierungssystems und dem Schutz der Nutzerkonten).

11. E-Mail-Versand – Resend

Für den automatisierten Versand von E-Mail-Benachrichtigungen, insbesondere im Zusammenhang mit Kontaktanfragen, nutzen wir (siehe auch Abschnitt 7):

Resend verarbeitet die übermittelten Formulardaten ausschließlich zum Zweck des E-Mail-Versands, insbesondere zur Weiterleitung von Kontaktanfragen an unsere geschäftliche E-Mail-Adresse sowie ggf. zum Versand einer automatischen Eingangsbestätigung. Soweit wir weitere transaktionale E-Mails manuell oder technisch über Resend versenden, beschränkt sich die Verarbeitung ebenfalls auf den jeweiligen Kommunikationszweck.

Da Resend ein US-amerikanisches Unternehmen ist, kann eine Datenübertragung in die USA stattfinden. Resend stützt sich hierfür auf EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Wir haben mit Resend einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung Resend

12. E-Mail-Empfang, -Versand und Domain – IONOS

Für die Domain ai-pivot.de sowie den E-Mail-Empfang und die direkte Kundenkommunikation nutzen wir:

IONOS verwaltet unsere Domain und stellt den E-Mail-Dienst bereit, über den eingehende Benachrichtigungen empfangen sowie direkte Kundenanfragen beantwortet werden. Der automatisierte Versand aus dem Kontaktformular erfolgt über Resend (siehe Abschnitt 11); die zugestellten E-Mails werden anschließend über IONOS empfangen und bearbeitet.

Da IONOS ein in der EU ansässiges Unternehmen ist, findet die Verarbeitung grundsätzlich innerhalb des Europäischen Wirtschaftsraums statt.

Wir haben mit IONOS einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung IONOS

13. Server-Log-Dateien

Unser Hosting-Anbieter (Vercel) erhebt und speichert automatisch Informationen in Server-Log-Dateien:

• –Browsertyp und -version
• –Verwendetes Betriebssystem
• –Referrer-URL
• –Hostname des zugreifenden Rechners
• –Zeitpunkt der Serveranfrage
• –IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

14. Webanalyse – Simple Analytics

Wir nutzen Simple Analytics, einen datenschutzfreundlichen Webanalysedienst der Simple Analytics BV:

Simple Analytics erfasst ausschließlich anonyme Nutzungsdaten wie aufgerufene Seiten und grobe geografische Zuordnung (Länderebene). Es werden keine Cookies gesetzt und keine personenbezogenen Daten verarbeitet. IP-Adressen werden nicht gespeichert. Eine Wiedererkennung einzelner Nutzer oder die Erstellung von Nutzerprofilen ist technisch nicht möglich.

Da Simple Analytics keine Cookies setzt und keine personenbezogenen Daten im Sinne der DSGVO verarbeitet, ist für den Einsatz dieses Dienstes keine Einwilligung erforderlich.

Alle Daten werden ausschließlich auf Servern innerhalb der EU verarbeitet und gespeichert. Es findet keine Datenübertragung in Drittländer statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Analyse der Websitenutzung zur Verbesserung unseres Angebots). Datenschutzerklärung Simple Analytics

15. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• –Recht auf Auskunft (Art. 15 DSGVO)
• –Recht auf Berichtigung (Art. 16 DSGVO)
• –Recht auf Löschung (Art. 17 DSGVO)
• –Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• –Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• –Recht auf Widerspruch (Art. 21 DSGVO)
• –Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@ai-pivot.de

16. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

17. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen. Unsere Website wird ausschließlich über HTTPS (SSL/TLS-Verschlüsselung) ausgeliefert. Im Kundenportal nutzen wir serverseitige Berechtigungsprüfungen, Row-Level Security, signierte Download-Links, Passwort-Reset-Schutzmechanismen sowie optional eine Zwei-Faktor-Authentifizierung per Authenticator-App. Unsere Sicherheitsmaßnahmen werden kontinuierlich überprüft und verbessert.

18. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig (Stand: April 2026). Durch Weiterentwicklung unseres Angebots oder gesetzliche Änderungen kann eine Anpassung notwendig werden. Die jeweils aktuelle Fassung finden Sie jederzeit unter ai-pivot.de/datenschutz