Datenschutz – LeadScout

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Besuch unserer Website (https://leadscout.dietrich-development.de) und bei der Nutzung des SaaS-Dienstes „LeadScout“. Personenbezogene Daten werden ausschließlich im Rahmen der gesetzlichen Bestimmungen, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), verarbeitet.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist: Dietrich Development Tobias Dietrich (Einzelunternehmer) Alemannenstr. 14 72393 Burladingen Deutschland E-Mail: [email protected] Web: https://dietrich-development.com Einen externen Datenschutzbeauftragten haben wir nicht bestellt, da die gesetzlichen Voraussetzungen (§ 38 BDSG) nicht erfüllt sind. Datenschutzanfragen richtest du bitte direkt an die oben genannte E-Mail-Adresse.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Dienste erforderlich ist. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen), lit. c DSGVO (rechtliche Verpflichtung) und lit. f DSGVO (berechtigtes Interesse). Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck oder gesetzliche Aufbewahrungsfristen erforderlich ist.

3. Bereitstellung der Website und Server-Logfiles

Beim Aufruf unserer Website werden vom Browser automatisch Daten an den Server übertragen und in sogenannten Logfiles temporär gespeichert: • IP-Adresse (gekürzt, soweit technisch möglich) • Datum und Uhrzeit des Zugriffs • Referrer-URL (zuvor besuchte Seite) • Aufgerufene URL und HTTP-Statuscode • User-Agent (Browser, Betriebssystem) Zweck: Sicherstellung des Betriebs, Abwehr von Angriffen und Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist der stabile und sichere Betrieb der Website. Speicherdauer: in der Regel maximal 14 Tage; eine längere Speicherung erfolgt nur bei sicherheitsrelevanten Vorfällen zur Beweissicherung.

4. Hosting

Unsere Server werden in Rechenzentren innerhalb der Europäischen Union betrieben (Frankfurt am Main, Deutschland). Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Zur Nutzung gehören technisch notwendige Verarbeitungen wie das Ausliefern von Inhalten, Logging und Backups. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

5. Registrierung und Nutzerkonto

Zur Nutzung des Dienstes ist die Anlage eines Nutzerkontos erforderlich. Dabei verarbeiten wir: • E-Mail-Adresse • Passwort (nur als sicherer Hash gespeichert, niemals im Klartext) • Bei Registrierung via Google: deine Google-Konto-ID, Name und E-Mail-Adresse, soweit Google dies an uns übermittelt • Zeitpunkt der Registrierung sowie der letzten Anmeldung • IP-Adresse zum Zeitpunkt der Registrierung (zur Missbrauchsabwehr) • Optionale Profilangaben (Branche/ICP, Zielkundenbeschreibung), die du selbst hinterlegst Zweck: Bereitstellung des Dienstes, Authentifizierung, Vertragsabwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bei Google-Anmeldung zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive OAuth-Bestätigung).

6. Authentifizierung über Supabase

Für die Authentifizierung (Registrierung, Login, Passwort-Reset, E-Mail-Bestätigung) setzen wir den Dienst Supabase der Supabase Inc. ein. Unsere Supabase-Instanz wird in der EU-Region Frankfurt betrieben. Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Verarbeitet werden insbesondere E-Mail-Adresse, Passwort-Hash, Session-Tokens und Authentifizierungs-Metadaten (Zeitpunkt, IP, User-Agent). Weitere Informationen: https://supabase.com/privacy Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Anmeldung mit Google (OAuth)

Du kannst dich alternativ mit deinem Google-Konto anmelden. Dabei wird durch Google eine Authentifizierung durchgeführt; uns werden lediglich die zur Anmeldung erforderlichen Profilinformationen (Google-User-ID, Name, E-Mail) übermittelt. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei Datentransfer in die USA stützt sich Google auf den EU-US Data Privacy Framework sowie Standardvertragsklauseln. Weitere Informationen: https://policies.google.com/privacy Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und lit. b DSGVO.

8. Nutzung des Dienstes (Suchen, Analysen, Outreach-Texte)

Wenn du LeadScout nutzt, verarbeiten wir folgende von dir aktiv eingegebene oder durch deine Nutzung erzeugte Daten: • Suchparameter (Postleitzahl, Radius, Branche/Kategorie) • Liste der ermittelten Unternehmen (Name, Adresse, Website, öffentliche Kontaktdaten) • KI-Analyseergebnisse zu Webseiten, Tech-Stack, SEO-Audit, Social-Profilen und Lead-Scoring • Generierte Outreach-Vorschläge (E-Mail-Texte) • Credit-Verbrauch und Aktionsprotokolle Diese Daten werden deinem Nutzerkonto zugeordnet, damit du sie erneut aufrufen, exportieren und weiterbearbeiten kannst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Daten über recherchierte Unternehmen und enthaltene Personen

LeadScout greift ausschließlich auf öffentlich zugängliche Quellen zu (Google Places API sowie öffentlich erreichbare Webseiten der jeweiligen Unternehmen, einschließlich Impressum und Kontaktseiten). Dabei können auch personenbezogene Daten enthalten sein, etwa der Name eines Inhabers oder einer im Impressum benannten verantwortlichen Person. Die Verarbeitung dieser Daten zur Aufbereitung und Anzeige für dich als Nutzer erfolgt zur Wahrung berechtigter Interessen (Recherche zu B2B-Geschäftspartnern, Bewertung der digitalen Reife, Effizienzgewinn gegenüber manueller Recherche). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Betroffene Personen können der Verarbeitung jederzeit widersprechen (siehe Ziffer 17). Ein berechtigter Widerspruch wird umgehend umgesetzt. Die inhaltliche Nutzung dieser Daten – insbesondere die Kontaktaufnahme mit den ermittelten Unternehmen – verantwortest du als Nutzer (siehe AGB Ziffer 6 und 7). Du bist Verantwortlicher im Sinne der DSGVO bezüglich deiner ausgehenden Kommunikation.

10. KI-gestützte Analysen (LLM-Gateway, Modellanbieter)

Zur Erstellung der Analysen und Outreach-Texte werden Inhalte (Website-Texte, Tech-Stack-Indikatoren, SEO-Daten) an Large-Language-Model-Anbieter übermittelt. Die Verarbeitung läuft über den Dienst „OpenRouter“ (OpenRouter, Inc., Sitz USA), der Anfragen an die jeweils ausgewählten Modellanbieter weiterleitet. Aktuell konfigurierte Modellanbieter: • DeepSeek (DeepSeek, Hangzhou, Volksrepublik China) – wird für die kostengünstigen Tarifstufen verwendet. • Anthropic (Anthropic PBC, USA) – wird für die Premium-Tarifstufe verwendet. Mit OpenRouter bestehen vertragliche Regelungen zur Auftragsverarbeitung sowie Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Für die Übermittlung in die USA stützen wir uns ergänzend auf das EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist. WICHTIGER HINWEIS – Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss: Für die Volksrepublik China besteht kein Angemessenheitsbeschluss der EU-Kommission. Die Verwendung von DeepSeek erfolgt nur, weil keine personenbezogenen Daten registrierter Nutzer (z. B. dein Name, deine E-Mail) übermittelt werden, sondern ausschließlich öffentlich zugängliche Inhalte recherchierter Unternehmen sowie deine technischen Suchparameter. Übermittelte Daten können dort von staatlichen Stellen eingesehen werden; betroffene Personen verfügen ggf. nicht über ein dem EU-Recht vergleichbares Schutzniveau. Wenn du diese Übermittlung nicht wünschst, kannst du in deinem Konto eine höhere Qualitätsstufe wählen, in der ausschließlich Anbieter mit Sitz in den USA bzw. der EU eingesetzt werden, oder den Dienst nicht nutzen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 49 Abs. 1 lit. b DSGVO (Erforderlichkeit für die Vertragserfüllung) für den Drittlandstransfer. Weitere Informationen: • OpenRouter: https://openrouter.ai/privacy • Anthropic: https://www.anthropic.com/legal/privacy • DeepSeek: https://chat.deepseek.com/downloads/DeepSeek%20Privacy%20Policy.html

11. Standortdaten via Google Places API

Zur Ermittlung lokaler Unternehmen anhand deiner Suchparameter (PLZ + Radius + Branche) nutzen wir die Google Places API. Anbieter ist Google Ireland Limited; ein Datentransfer in die USA wird durch das EU-US Data Privacy Framework und Standardvertragsklauseln abgesichert. Übermittelt werden ausschließlich technische Suchparameter; deine personenbezogenen Kontodaten werden nicht an Google übertragen. Weitere Informationen: https://policies.google.com/privacy Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

12. Zahlungsabwicklung über Stripe

Für die Abwicklung kostenpflichtiger Tarife (Hobby, Pro) sowie Credit-Pakete (Top-ups) nutzen wir den Zahlungsdienstleister Stripe. Anbieter für Kunden im Europäischen Wirtschaftsraum ist Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Wenn du eine Zahlung auslöst, gibst du deine Zahlungsdaten (z. B. Kreditkartennummer, Bank-/SEPA-Daten, Name, Rechnungsadresse) direkt bei Stripe ein. Diese Daten werden ausschließlich von Stripe verarbeitet und uns nicht im Klartext übermittelt. Wir erhalten lediglich: • Stripe-Customer-ID und Stripe-Subscription-ID • Status der Zahlung/Abonnements (z. B. „active“, „canceled“) • Zahlbetrag, Währung, Rechnungs-PDF-Link • Land/USt-Status (für Stripe Tax, falls aktiviert) • die letzten vier Ziffern und der Kartentyp (für die Anzeige im Kundenkonto) Mit Stripe besteht ein Auftragsverarbeitungsvertrag. Datenübermittlungen in die USA werden über das EU-US Data Privacy Framework sowie Standardvertragsklauseln abgesichert. Weitere Informationen: https://stripe.com/de/privacy Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Aufbewahrungspflichten).

13. Transaktionale E-Mails

Wir versenden ausschließlich vertragsrelevante E-Mails (Bestätigung der Registrierung, Magic-Links, Passwort-Reset, Rechnungsbenachrichtigungen, sicherheitsrelevante Hinweise). Versand erfolgt über die Infrastruktur unseres Authentifizierungs-Dienstleisters (Supabase) bzw. unseres Zahlungsdienstleisters (Stripe). Wir versenden keine Werbe-Newsletter ohne vorherige ausdrückliche Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

14. Cookies und ähnliche Technologien

Wir setzen ausschließlich technisch notwendige Cookies und vergleichbare Technologien ein. Konkret: • Session-Cookies und HTTP-Only-Tokens für die Authentifizierung (über Supabase) – ohne diese ist eine Anmeldung technisch nicht möglich. • Lokaler Speicher (sessionStorage) zum Zwischenspeichern von UI-Zuständen, etwa eines vor dem Login ausgewählten Tarifs. Es werden keine Tracking-, Werbe- oder Profiling-Cookies eingesetzt. Wir betreiben kein Drittanbieter-Webanalyse-Werkzeug, das Cookies oder Fingerprinting nutzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Erforderlichkeit) bzw. Art. 6 Abs. 1 lit. b und lit. f DSGVO.

15. Automatisierte Entscheidungen / Profiling

Innerhalb der Anwendung wird mithilfe der oben genannten KI-Modelle ein „Lead-Score“ je recherchiertem Unternehmen berechnet (Bewertung der digitalen Reife, Outreach-Empfehlung). Diese automatisierte Verarbeitung dient ausschließlich als Entscheidungshilfe für dich als Nutzer; sie entfaltet keine rechtliche Wirkung gegenüber den bewerteten Unternehmen oder Personen und keine vergleichbar erhebliche Beeinträchtigung im Sinne von Art. 22 DSGVO. Eine ausschließlich automatisierte Entscheidung mit Rechtsfolgen für betroffene Personen findet nicht statt.

16. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur, solange dies für die in dieser Erklärung genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen entgegenstehen. • Konto- und Nutzungsdaten: für die Dauer des Vertragsverhältnisses. • Server-Logs: in der Regel max. 14 Tage. • Suchen und Analyseergebnisse: bis zur Löschung durch dich oder bis zur Kontolöschung. • Buchhaltungsrelevante Daten (Rechnungen, Stripe-Transaktionsdaten): 10 Jahre gemäß §§ 147 AO, 257 HGB. • Sonstige steuerlich relevante Belege: 6 Jahre gemäß § 147 Abs. 3 AO. Nach Kündigung bzw. Löschung des Kontos werden alle nicht aufbewahrungspflichtigen personenbezogenen Daten innerhalb von 30 Tagen gelöscht oder anonymisiert.

17. Deine Rechte als betroffene Person

Du hast jederzeit das Recht • auf Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO), • auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), • auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), • auf Einschränkung der Verarbeitung (Art. 18 DSGVO), • auf Datenübertragbarkeit (Art. 20 DSGVO), • auf Widerspruch gegen eine Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO), • auf Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Du kannst dein Konto und alle damit verbundenen Daten jederzeit selbst löschen unter: Einstellungen → Konto → „Konto löschen“. Beim Selbst-Löschen werden Suchen, Analysen, Outreach-Texte, Firmenprofile, Credit-Guthaben und das Nutzerkonto unwiderruflich entfernt; aktive Abos werden beendet. Buchhaltungsrelevante Belege (Rechnungen) werden gemäß § 257 HGB / § 147 AO bei Stripe für 10 Jahre weiter aufbewahrt. Weitere Anfragen richtest du an [email protected].

18. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren – insbesondere im Mitgliedstaat deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Für den Verantwortlichen ist zuständig: Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20, 70173 Stuttgart https://www.baden-wuerttemberg.datenschutz.de

19. Datensicherheit

Wir verwenden marktübliche technische und organisatorische Maßnahmen (TOM) zum Schutz deiner Daten: TLS-Verschlüsselung des gesamten Datenverkehrs, gehashte Passwörter (sicherer Hash-Algorithmus), rollenbasierte Zugriffe auf Datenbanken, Backups in der EU sowie regelmäßige Updates der eingesetzten Komponenten.

20. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, eingesetzte Dienstleister oder die Rechtslage ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung. Wesentliche Änderungen kündigen wir gegenüber registrierten Nutzern vorab per E-Mail an, sofern dies rechtlich geboten ist.