Datenschutzerklärung

Stand: 9. Juni 2026. Diese Erklärung beschreibt in einfacher Sprache, welche personenbezogenen Daten Christoph Backhaus IT verarbeitet, wenn Sie unsere Website, unsere Academy-Seiten, Kontakt- und Lead-Formulare, die PWA, Meeting-Funktionen oder das Automation-Billing-Portal nutzen.

1. Kurzfassung

Wir verarbeiten Daten nur, wenn wir sie für die Website, eine Anfrage, einen Kurs, ein Meeting, eine Abrechnung oder die Sicherheit unserer Systeme brauchen. Werbung und Analyse mit Google laden wir nur, wenn Sie vorher zustimmen.

• Ohne Kontaktaufnahme sehen wir in der Regel nur technische Serverdaten.
• Wenn Sie ein Formular absenden, speichern wir Ihre Angaben zur Bearbeitung der Anfrage.
• Google Ads und Analyse bleiben ohne Einwilligung ausgeschaltet.
• Meeting-Medien laufen möglichst direkt zwischen den Teilnehmern per WebRTC. Dabei können die IP-Adressen der Teilnehmer untereinander sichtbar werden.
• Meeting-Aufzeichnungen sind standardmäßig aus und werden nur sichtbar und mit Einwilligung gestartet.
• Die PWA kann Dateien im Browser speichern, damit die Seite schneller lädt und offline besser funktioniert.
• Dienstleister, die Daten in unserem Auftrag verarbeiten (z. B. IONOS, Microsoft 365), setzen wir nur mit Vertrag zur Auftragsverarbeitung ein.

Was passiert in typischen Fällen?

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Christoph Backhaus
Christoph Backhaus IT
Am Markt 1
47229 Duisburg
Deutschland

Telefon: +49 (0) 20 65 / 709 84 29
E-Mail: christoph.backhaus@nadooit.de

3. Ihre Rechte

Sie können jederzeit fragen, welche Daten wir über Sie gespeichert haben. Sie können Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen. Wenn wir Daten auf Grundlage Ihrer Einwilligung verarbeiten, können Sie diese Einwilligung für die Zukunft widerrufen.

• Auskunft: Art. 15 DSGVO
• Berichtigung: Art. 16 DSGVO
• Löschung: Art. 17 DSGVO
• Einschränkung: Art. 18 DSGVO
• Datenübertragbarkeit: Art. 20 DSGVO
• Widerspruch: Art. 21 DSGVO

Sie können außerdem der Verarbeitung widersprechen, wenn wir uns auf ein berechtigtes Interesse stützen. Bei Streitfällen können Sie sich bei einer Datenschutzaufsicht beschweren. Für Nordrhein-Westfalen ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf, www.ldi.nrw.de.

4. Hosting, Serverlogs und Sicherheit

Unsere Website liegt auf einem Server bei IONOS (IONOS SE, Elgendorfer Straße 57, 56410 Montabaur). Wenn Sie die Website aufrufen, entstehen technische Serverlogs. Dazu gehören zum Beispiel IP-Adresse, Zeitpunkt des Abrufs, aufgerufene URL, Browser, Betriebssystem, Referrer, Statuscode und übertragene Datenmenge.

Warum diese Daten entstehen

• Der Server muss wissen, wohin er die angeforderte Seite ausliefern soll.
• Fehler, Angriffe und Missbrauch sollen erkennbar sein.
• Wir brauchen Betriebslogs, um die Website stabil und sicher zu halten.

Wir brauchen diese Daten, damit die Website erreichbar ist, Angriffe erkannt werden können und Fehler behoben werden. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und stabilen Betrieb nach Art. 6 Abs. 1 lit. f DSGVO. Soweit Daten für Verträge oder rechtliche Pflichten nötig sind, verarbeiten wir sie zusätzlich nach Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. c DSGVO.

IONOS verarbeitet diese Daten ausschließlich als Auftragsverarbeiter in unserem Auftrag, etwa im Zusammenhang mit Serverlogs, Backups, Supportleistungen und administrativen Zugriffen. Grundlage dafür ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Die Verarbeitung findet auf Servern in Deutschland statt.

Diese Website wird verschlüsselt über HTTPS ausgeliefert. Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol im Browser.

5. Kontakt per E-Mail, Telefon und Formular

Wenn Sie uns per E-Mail, Telefon oder Formular kontaktieren, verarbeiten wir die Daten, die Sie uns geben. Das können Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Nachricht, Thema der Anfrage und technische Formularangaben sein.

Wir nutzen diese Daten, um Ihre Anfrage zu beantworten, ein Angebot vorzubereiten, Kurse zu planen oder ein Projekt zu besprechen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, wenn es um einen Vertrag oder vorvertragliche Schritte geht. In anderen Fällen ist die Rechtsgrundlage unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Was ein Formular speichert

• Name, E-Mail-Adresse und optionale Kontaktdaten.
• Nachricht, Thema, Lead-Typ, Sprache, Seite und Zeitpunkt.
• Bei einer Terminanfrage: der von Ihnen gewählte Wunschtermin (Tag und Uhrzeit).
• Ihre Datenschutzbestätigung.
• Werbe-Attribution nur nach Google-Ads-/Analyse-Einwilligung.

Lead-Formulare auf Google-Ads- und Academy-Seiten senden die Anfrage an unsere API. Serverseitig speichern wir die Anfrage als JSONL-Datei. Die gespeicherten Daten können Name, E-Mail, Firma, Telefon, Nachricht, Lead-Typ, Seite, Sprache, Zeitpunkt, einen gewählten Wunschtermin, Formular-Details und Ihre Datenschutzbestätigung enthalten. Werbe-Attribution speichern wir nur dazu, wenn Sie Google Ads und Analyse zugestimmt haben.

Aus Spam- und Missbrauchsschutz begrenzen wir wiederholte Formularanfragen pro E-Mail-Adresse und Thema. Die Rate-Limit-Daten werden im laufenden Serverprozess gehalten und nicht als eigene Lead-Datei gespeichert.

Terminbuchung und Kapazitätsplanung

Wenn Sie über das Formular einen Termin für ein Erstgespräch wählen, speichern wir den gewählten Zeitpunkt zusammen mit Ihrer Anfrage und reservieren dafür einen Platz, damit ein Termin nicht doppelt vergeben wird. Wir nutzen diese Daten, um das Gespräch zu planen und zu bestätigen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Schritte).

Für die Kapazitäts- und Personalplanung gleichen wir die Terminbuchungen mit unserer internen Betriebssoftware (Launchpad) ab: Launchpad meldet uns, wie viele Gespräche pro Zeitfenster möglich sind, und ruft dafür ab, welche Termine bereits gebucht sind (Wunschtermin, Name, E-Mail-Adresse und ein interner Vorgangsschlüssel). So können wir freie Kapazitäten anzeigen, kurzfristige Ausfälle ausgleichen und Termine notfalls rechtzeitig verschieben. Der Abgleich läuft über eine zugangsgeschützte Schnittstelle.

Academy-Anfragen und Kursmaterialien

Auf den Academy-Seiten können Sie sich über Kurse informieren, Handouts öffnen und Kursanfragen senden. Bei einer Kursanfrage verarbeiten wir die Angaben, die Sie in das Formular oder in die E-Mail schreiben, zum Beispiel Name, E-Mail, Firma, Telefon, gewünschtes Kursformat, Lernziel und Nachricht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Schritte) oder Art. 6 Abs. 1 lit. f DSGVO. Eine Kursanfrage meldet Sie nicht automatisch zum Newsletter an.

Vorausgefüllte E-Mail-Links (mailto)

Bei einer E-Mail-Anfrage kann der Link automatisch den Kontext der aufgerufenen Seite in den E-Mail-Entwurf schreiben, zum Beispiel Landingpage, Angebot, Kampagne oder Keyword. Dabei wird keine zusätzliche Datenerhebung vorgenommen, sondern lediglich eine bereits vorhandene Information technisch in den Entwurf übernommen. Sie sehen diesen Text in Ihrem E-Mail-Programm vor dem Absenden und können ihn ändern oder löschen. Rechtsgrundlage für die technische Übernahme ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Die zugrunde liegenden Kampagnenparameter (zum Beispiel UTM-Parameter, gclid, gbraid oder wbraid) werden nur nach Ihrer Einwilligung dauerhaft gespeichert (siehe Abschnitt Google Ads).

6. Bewerbungen und Praktikumsanfragen

Wenn Sie sich bei uns bewerben oder ein Praktikum anfragen (zum Beispiel über die Praktikumsseite, per E-Mail oder über ein Formular), verarbeiten wir die Daten, die Sie uns dafür übermitteln. Das können Name, Kontaktdaten, Anschreiben, Lebenslauf, Zeugnisse, Qualifikationen, Verfügbarkeit und weitere Angaben aus Ihren Bewerbungsunterlagen sein.

Wir nutzen diese Daten ausschließlich, um über Ihre Bewerbung oder Praktikumsanfrage zu entscheiden und das Bewerbungsverfahren durchzuführen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beschäftigungs- oder Praktikumsverhältnisses) in Verbindung mit § 26 Abs. 1 BDSG.

Kommt es nicht zu einem Vertrag, speichern wir Ihre Bewerbungsunterlagen in der Regel bis zu sechs Monate nach Abschluss des Bewerbungsverfahrens und löschen sie anschließend, soweit keine längere Speicherung gesetzlich vorgeschrieben ist oder Sie nicht ausdrücklich in eine längere Speicherung (zum Beispiel für einen Talent-Pool) eingewilligt haben.

7. Newsletter

Wenn Sie einen Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse und, falls angegeben, Ihren Namen und gewählte Themen. Die Anmeldung läuft über Double-Opt-in. Das bedeutet: Nach dem Absenden erhalten Sie eine Bestätigungs-E-Mail. Erst nach der Bestätigung wird die Anmeldung aktiv.

• Pflichtangabe ist die E-Mail-Adresse.
• Name und Themenauswahl sind freiwillig, wenn das Formular diese Felder anbietet.
• Normale Kontakt- und Kursanfragen führen nicht automatisch zu einer Newsletter-Anmeldung.
• Sie können die Einwilligung jederzeit für die Zukunft widerrufen.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Technischer Ablauf und Nachweis

• Den Versand der Bestätigungs- und Newsletter-E-Mails wickeln wir über Microsoft 365 / Exchange Online ab.
• Die Verwaltung der Anmeldungen erfolgt in unserer internen Betriebssoftware (Launchpad/CRM), soweit dort personenbezogene Daten gespeichert werden.
• Wir protokollieren das Double-Opt-in-Verfahren (zum Beispiel Zeitpunkt der Anmeldung, Bestätigungslink und Zeitpunkt der Bestätigung), um die Einwilligung nachweisen zu können.

Wir speichern Ihre Daten für den Newsletter bis zu Ihrer Abmeldung. Nach der Abmeldung bewahren wir die zum Nachweis der Einwilligung erforderlichen Daten noch für einen angemessenen Zeitraum zur Rechtsverteidigung auf und löschen sie danach.

8. Google Ads, Google Analytics und Consent

Wir können Google Ads, Google Analytics 4 und Google Tag Manager einsetzen, um zu verstehen, welche Kampagnen zu Anfragen führen. Diese Dienste werden nur geladen, wenn Sie im Consent-Banner zustimmen. Ohne Zustimmung bleibt die Website nutzbar.

Ohne Einwilligung

• Google-Tags bleiben deaktiviert.
• Consent Mode startet mit dem Wert denied.
• Kampagnenparameter werden nicht dauerhaft für Attribution gespeichert.
• Unser Backend speichert ohne Consent keine Kampagnenattribution zu Ihrer Anfrage.

Mit Einwilligung

Wenn Sie zustimmen, können folgende Daten verarbeitet werden: besuchte Seite, Referrer, Geräte- und Browserdaten, Zeitpunkt, Klicks auf Kontakt- oder Kursanfragen, Formularerfolg, UTM-Parameter, Kampagnenangaben und Google-Klickkennungen wie gclid, gbraid oder wbraid. Google kann dabei eigene Kennungen, Cookies oder vergleichbare Technologien einsetzen.

Unsere Website setzt Google Consent Mode zunächst auf "denied". Erst nach Ihrer Zustimmung werden Google-Tags (Google Analytics 4, Google Ads und Google Tag Manager) geladen und Attribution dauerhaft im Browser gespeichert. Die Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

In Ihrem Browser können folgende NADOOIT-Einträge entstehen: nadooit_ads_consent_v1, nadooit_ads_attribution_v1, nadooit_last_lead_v1, nadooit_ads_variant und technische Deduplizierungswerte für Conversion-Messungen. Sie können Browserdaten löschen oder die Einwilligung hier zurücksetzen:

Google-Ads-Einwilligung in diesem Browser zurücksetzen

Google Ireland Limited ist Anbieter der Google-Dienste in Europa. Je nach Dienst können Daten auch an Google LLC in den USA übertragen werden. Für diese Übermittlung in die USA stützt sich Google auf seine Zertifizierung unter dem EU-U.S. Data Privacy Framework sowie ergänzend auf die von der EU-Kommission erlassenen Standardvertragsklauseln nach Art. 46 DSGVO. Google beschreibt die Datenverarbeitung unter policies.google.com/privacy. Mehr dazu im Abschnitt Drittlandübermittlungen.

9. Cookies, lokaler Speicher und Service Worker

Die Website kann als Progressive Web App installiert werden. Dann kann Ihr Browser Dateien wie HTML, CSS, JavaScript, Bilder, App-Manifest oder Audiobook-Daten zwischenspeichern. Dadurch lädt die App schneller und kann teilweise auch bei schlechter Verbindung funktionieren.

• Der Service Worker speichert statische Website-Dateien im Browser.
• API-Antworten, Meeting-WebSockets und Live-Meeting-Inhalte werden nicht für Offline-Nutzung gecached.
• Browser-Speicher können Sie in den Einstellungen des Browsers oder Betriebssystems löschen.

Rechtsgrundlagen für Speichern und Auslesen im Endgerät

Soweit wir lokalen Speicher, Session Storage oder vergleichbare Technologien ausschließlich für die technische Bereitstellung der Website und der PWA, die Meeting-Funktionen, die Anmeldung (Authentifizierung) oder die Sicherheit einsetzen, ist das Speichern und Auslesen technisch erforderlich. Rechtsgrundlage ist § 25 Abs. 2 TDDDG in Verbindung mit unserem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

NADOOIT setzt keine eigenen Tracking-Cookies. Speicherungen für Marketing-, Analyse- oder Kampagnenzwecke (zum Beispiel UTM-Parameter, gclid, gbraid, wbraid sowie die Cookies der Google-Dienste) erfolgen ausschließlich nach Ihrer vorherigen Einwilligung. Rechtsgrundlage ist dann Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (siehe Abschnitt Google Ads).

Diese Daten liegen in Ihrem Browser. Sie können sie über die Browser- oder Betriebssystem-Einstellungen löschen. Bei der Nutzung der PWA entstehen außerdem normale Serverlogs, wenn Inhalte vom Server geladen werden.

10. Audiobook, Dokumente und Downloads

Wenn Sie das Audiobook, PDFs, Handouts oder andere Dokumente öffnen, verarbeitet der Server technische Abrufdaten wie bei jedem Website-Aufruf. Ihr Browser kann Mediendateien oder Dokumente zwischenspeichern. Wir erfassen Abrufzahlen nur zu Betriebs- und Optimierungszwecken und verwenden diese Abrufe nicht, um einzelne Personen ohne Anlass zu profilieren oder ihr Verhalten individuell zu analysieren.

Rechtsgrundlage ist unser berechtigtes Interesse an der technischen Bereitstellung und Verbesserung dieser Inhalte nach Art. 6 Abs. 1 lit. f DSGVO.

11. NADOO Meetings, WebRTC und Messaging

Über die NADOOIT-Website können eigene Meeting-, Messaging- und Pairing-Funktionen bereitgestellt werden. Diese Funktionen können je nach Serverkonfiguration aktiviert oder deaktiviert sein. Wenn Sie sie nutzen, verarbeitet Christoph Backhaus IT Daten, die für den Verbindungsaufbau und die Teilnahme nötig sind.

Für die Teilnahme

• Anzeigename, Meeting- oder Raum-ID, Rolle und Session-Token.
• Peer-ID, Join-Link, WebSocket-Verbindungsdaten und Verbindungsstatus.
• WebRTC-Signaling, ICE-Kandidaten, Geräte- und Browserdaten.
• Chat- und Statussignale, solange sie für die laufende Sitzung benötigt werden.

Dazu gehören Anzeigename, Meeting- oder Raum-ID, Rolle, Session-Token, Peer-ID, Beitrittslink, WebSocket-Verbindungsdaten, ICE-Kandidaten, Geräte- und Browserdaten, Verbindungsstatus, Join- und Ablaufzeit sowie Signalisierungsnachrichten für WebRTC. Wenn Aufzeichnungsfunktionen genutzt werden, verarbeiten wir außerdem Einwilligungsstatus, Aufzeichnungsstatus, Start- und Stoppzeiten, Pausen, technische Aufzeichnungsmetadaten und den Ablageort der Aufzeichnung.

Wenn wir einen Einladungslink gezielt verschicken, kann dieser Link einer Einladung und damit einer Person oder Organisation zugeordnet sein. Diese Zuordnung kann intern zum Beispiel E-Mail-Adresse, Kunden- oder Mitarbeiterbezug, Rolle, Versandzeit, Ablaufzeit und Deaktivierungsstatus enthalten. Der Link ist damit ein persönliches Zugriffsmittel und sollte nicht an unberechtigte Personen weitergegeben werden.

Audio, Video und Latenz

Audio, Video und Bildschirmfreigaben laufen möglichst direkt zwischen den Teilnehmern per WebRTC. Je nach Netzwerk werden STUN- oder TURN-Server genutzt. Bei TURN kann der Medienverkehr technisch über einen Relay-Server laufen, den wir selbst betreiben. Dieser Relay-Server transportiert Inhalte nur und wertet sie nicht für andere Zwecke aus.

Sichtbarkeit von IP-Adressen bei Peer-to-Peer

Bei einer direkten Peer-to-Peer-Verbindung über WebRTC tauschen die Geräte der Teilnehmer Verbindungsinformationen aus. Dabei können die IP-Adressen der Teilnehmer untereinander technisch sichtbar werden. Das ist bei direkten Verbindungen technisch bedingt und lässt sich nicht vollständig vermeiden. Wenn Sie das nicht möchten, kann die Verbindung über unseren Relay-Server (TURN) geführt werden; dann sehen die anderen Teilnehmer die Adresse des Relays statt Ihrer eigenen. Wir weisen vor der Teilnahme auf diese Eigenschaft hin, damit Sie informiert entscheiden können.

Aufzeichnungen

Die Teilnahme ist über Browser oder PWA möglich. Für moderierte Meetings kann zusätzlich eine Launchpad-Desktop-Anwendung als Operator- und Recorder-Oberfläche eingesetzt werden. Launchpad kann dann als sichtbarer Recorder-Teilnehmer im Raum erscheinen und Audio lokal auf dem Betreiber- oder Host-Rechner aufzeichnen, wenn die Aufzeichnung für den Termin aktiviert wurde und die erforderlichen Einwilligungen vorliegen.

Aufzeichnungen sind standardmäßig ausgeschaltet. Ein Recording darf nicht verdeckt laufen. Wenn Audioaufzeichnung, Transkription oder später Bildschirm-/Desktop-Aufzeichnung genutzt wird, zeigen wir dies im Meeting an. Audioaufzeichnung, Transkription und Video- oder Bildschirmaufzeichnung werden getrennt behandelt. Wenn Sie nicht einwilligen oder eine Einwilligung widerrufen, wird die jeweilige Aufzeichnung nicht gestartet, pausiert oder für Sie beendet, soweit dies technisch und organisatorisch für den konkreten Termin möglich ist.

Transkripte können aus einer Audioaufzeichnung erstellt werden, um Meeting-Notizen, Projektprotokolle, Supportverläufe oder Aufgaben in Launchpad zu dokumentieren. Rohaufnahmen, Transkripte und Meeting-Notizen können Inhaltsdaten aus dem Gespräch enthalten. Der Zugriff darauf wird auf Personen beschränkt, die ihn für Bearbeitung, Dokumentation, Vertragserfüllung, Support oder gesetzliche Pflichten benötigen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, wenn das Meeting zur Durchführung eines Vertrags oder vorvertraglicher Gespräche dient. Für die technische Bereitstellung, Sicherheit, Stabilität, Missbrauchsabwehr und Moderation nutzen wir Art. 6 Abs. 1 lit. f DSGVO. Freiwillige Aufzeichnungen oder Zusatzfunktionen erfolgen nur nach Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die konkreten Speicherfristen für das Meeting-System finden Sie im Abschnitt Speicherdauer.

Geplant: Video-Hosting und P2P-Verteilung

Künftig sind ein eigenes Video-Hosting und eine Peer-to-Peer-Verteilung von Videos geplant. Sobald diese Funktionen produktiv eingesetzt werden, erweitern wir diese Datenschutzerklärung entsprechend, insbesondere zu Videodateien, Abrufdaten, IP-Adressen, Streaming-Metadaten, P2P-Verbindungsdaten und Peer-IP-Adressen. Eine Teilnahme an einer P2P-Verteilung sehen wir nur nach transparenter Information der Nutzerinnen und Nutzer vor.

12. Automation Billing und Kundenportal

Das Automation-Billing-Portal dient dazu, Kunden, Nutzer, API-Keys, Automationen, Ausführungen, eingesparte Zeit und Abrechnungen zu verwalten. Die Seite ist nicht für Suchmaschinen bestimmt, kann aber über die Serverroute erreichbar sein.

Dort können folgende Daten verarbeitet werden: Kundenname, rechtlicher Firmenname, Rechnungs-E-Mail, Rechnungsadresse, Kontakt-E-Mail, Umsatzsteuer-ID, Nutzer-E-Mail, Anzeigename, User-Code, Rolle, Passkey-Daten, Session-Token-Hashes, Invite-Token-Hashes, API-Key-Hashes, Automationsnamen, Ausführungsdaten, gespeicherte Sekunden, Rechnungswerte, Zahlungsstatus und technische Metadaten.

API-Keys, Enrollment-Token und Invite-Token werden nicht im Klartext gespeichert, sondern als Hash. Passkeys werden für die passwortlose Anmeldung verarbeitet. Ausführungsdaten können für Abrechnung und Nachweise länger gespeichert werden, soweit dies vertraglich oder steuerlich erforderlich ist.

13. Geplante KI-Verarbeitung von E-Mails und KI-gestützte Entwürfe

Wir planen, eingehende E-Mails und ähnliche Vorgänge künftig mit KI-Funktionen zu unterstützen, zum Beispiel zum Sortieren, Zusammenfassen oder Vorbereiten von Antworten. Wir setzen diese Funktionen erst produktiv ein, wenn die datenschutzrechtlichen Voraussetzungen erfüllt sind, und passen diese Erklärung vorher entsprechend an.

Phase 1: Lokale KI-Systeme

Soweit die Verarbeitung vollständig lokal auf unseren eigenen Systemen erfolgt und keine Daten an Dritte übermittelt werden, stützen wir die Verarbeitung auf unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder, soweit es um die Durchführung eines Vertrags geht, auf Art. 6 Abs. 1 lit. b DSGVO.

Phase 2: Externe KI-Anbieter

Sollten wir externe KI-Anbieter einsetzen, prüfen wir vor der Produktivsetzung insbesondere den Abschluss eines Vertrags zur Auftragsverarbeitung bzw. Data Processing Agreements, die Speicher- und Trainingsregelungen des jeweiligen Anbieters, etwaige Drittlandübermittlungen, die Transparenzpflichten gegenüber Betroffenen und die erforderliche Anpassung dieser Datenschutzerklärung. Die konkrete Rechtsgrundlage hängt vom jeweiligen Anwendungsfall ab; wo erforderlich, holen wir eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ein.

KI-gestützte Entwürfe und Angebote

Wenn wir KI nutzen, um Entwürfe oder Angebote vorzubereiten, werden die Ergebnisse immer durch Menschen geprüft und freigegeben. Wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber Betroffenen.

14. Externe Links

Unsere Website verlinkt auf externe Seiten, zum Beispiel LinkedIn, Twitch oder Google-Datenschutzseiten. Wenn Sie diese Links anklicken, verlassen Sie unsere Website. Dann gelten die Datenschutzregeln des jeweiligen Anbieters.

15. Empfänger und Auftragsverarbeiter

Wir geben Daten nur weiter, wenn dies für den jeweiligen Zweck nötig ist, wenn wir rechtlich dazu verpflichtet sind oder wenn Sie zugestimmt haben. Wenn Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir mit ihnen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

• IONOS – Hosting, Server und Serverlogs.
• Microsoft 365 / Exchange Online – E-Mail-Kommunikation und Newsletter-Versand.
• Launchpad / internes CRM – interne Verwaltung von Anfragen, Terminen, Kunden und Newsletter-Anmeldungen.
• Google-Dienste – nur nach Ihrer Einwilligung (Google Ads, Google Analytics 4, Google Tag Manager).
• TURN-/Relay-Server – nur für die Medienübertragung in Meetings. Wir betreiben den TURN-/Relay-Server selbst auf unserer eigenen Infrastruktur (als Teil dieses Webdienstes); ein zusätzlicher externer Auftragsverarbeiter besteht dafür nicht.
• Künftige KI-Anbieter – nur nach gesonderter Prüfung und Vertrag (siehe Abschnitt KI-Verarbeitung).
• Steuerberatung und Behörden – soweit gesetzlich erforderlich.

16. Drittlandübermittlungen

Unsere Infrastruktur betreiben wir innerhalb der Europäischen Union. Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb der EU/des EWR) findet derzeit im Wesentlichen im Zusammenhang mit den Google-Diensten statt, und auch nur dann, wenn Sie zuvor eingewilligt haben. Google stützt die Übermittlung in die USA auf seine Zertifizierung unter dem EU-U.S. Data Privacy Framework sowie ergänzend auf Standardvertragsklauseln nach Art. 46 DSGVO.

Sollten wir künftig weitere internationale Anbieter oder externe KI-Dienste einbinden, dokumentieren wir die damit verbundenen Drittlandübermittlungen gesondert in dieser Erklärung, einschließlich der Empfänger, der Garantien und der Rechtsgrundlage der Übermittlung nach Art. 44 ff. DSGVO.

17. Speicherdauer

Wir speichern Daten nur so lange, wie wir sie für den jeweiligen Zweck brauchen. Serverlogs werden nur so lange aufbewahrt, wie sie für Sicherheit, Fehleranalyse und Betrieb nötig sind. Anfragen speichern wir so lange, wie dies für Bearbeitung, Nachfragen, Verträge oder gesetzliche Pflichten erforderlich ist.

Produktionsregel für technische Logs

• Webserver-Access- und Error-Logs werden möglichst kurz gehalten.
• Als Standard für den Deploy ist eine Rotation mit etwa 7 Tagen Aufbewahrung vorgesehen.
• Längere Aufbewahrung erfolgt nur bei konkretem Sicherheits-, Fehler- oder Missbrauchsfall.

Meeting-System (NADOO Meet)

Das Meeting-System ist auf datensparsamen, kurzlebigen Betrieb ausgelegt. Die folgenden Fristen sind Höchstgrenzen; in der Regel werden die Daten früher gelöscht:

• WebSocket- und Pairing-Token: laufen nach kurzer Zeit ab; Pairing-Codes spätestens nach 10 Minuten.
• Teilnehmerdaten (Anzeigename, Peer-ID, Verbindungsstatus): werden unmittelbar nach Verlassen des Raums aus dem Arbeitsspeicher entfernt.
• Chatnachrichten im Meeting: keine dauerhafte Speicherung; sie werden nur für die laufende Sitzung durchgereicht.
• Einladungslinks / Beitritts-Secrets: verlieren mit Ablauf oder Deaktivierung ihre Gültigkeit; zugehörige Einladungs-Metadaten werden längstens 30 Tage aufbewahrt.
• Raumdaten: werden mit Schließung oder Ablauf entfernt; zugehörige Verwaltungsdaten längstens 30 Tage.
• Ersteller-/Creator-Token (ausschließlich als Hash): bis zu 12 Monate nach Widerruf oder Deaktivierung zur Nachweisführung.

Weitere Fristen

• Bewerbungen und Praktikumsanfragen: in der Regel bis zu 6 Monate nach Abschluss des Verfahrens (siehe Abschnitt Bewerbungen).
• Newsletter: bis zur Abmeldung; Einwilligungsnachweise danach noch für einen angemessenen Zeitraum zur Rechtsverteidigung.

Lead-Dateien, Kundendaten, Abrechnungsdaten und Rechnungsdaten können länger gespeichert werden, wenn handels- oder steuerrechtliche Aufbewahrungspflichten gelten. Nicht mehr benötigte Meeting-Sessions, Pairing-Codes und temporäre Tokens werden automatisch oder nach Ablauf der vorgesehenen Zeit entfernt.

Audioaufzeichnungen, Transkripte, Bildschirmaufzeichnungen und daraus erstellte Meeting-Notizen speichern wir nur, wenn sie für den jeweiligen Termin, Vertrag, Supportfall, Projektverlauf oder gesetzliche Pflichten benötigt werden. Die konkrete Speicherdauer kann je nach Zweck unterschiedlich sein und wird vor oder beim Einsatz der jeweiligen Aufzeichnungsfunktion festgelegt.

18. Keine ausschließlich automatisierte Entscheidung

Wir treffen keine Entscheidung mit rechtlicher Wirkung ausschließlich automatisiert auf Grundlage Ihres Website-Verhaltens. Google-Ads- und Analysewerte nutzen wir, soweit Sie zustimmen, zur Kampagnenmessung und Verbesserung unseres Angebots. Auch KI-gestützte Entwürfe oder Angebote werden stets durch Menschen geprüft und freigegeben.

19. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Website, PWA, Meeting-System, Academy-Angebote, Lead-Funnel oder eingesetzte Dienstleister ändern. Die aktuelle Fassung ist immer unter https://nadooit.de/datenschutz abrufbar.