Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt "Hinweis zur Verantwortlichen Stelle" in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2. Hosting

Hetzner Cloud

Wir hosten die Inhalte unserer Website bei folgendem Anbieter:

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Server-Standort: Deutschland (Rechenzentren in Falkenstein und Nürnberg)

Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern von Hetzner gespeichert. Hierbei kann es sich v. a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten, die über eine Website generiert werden, handeln.

Das Hosting erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).

Auftragsverarbeitung: Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Datenschutzerklärung des Anbieters: https://www.hetzner.com/de/rechtliches/datenschutz

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

CCX Consulting
David Lesnik
Gewerbegebiet Ost 15
91085 Weisendorf

Telefon: +49 9135 7368460
E-Mail: info@ccx-consulting.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Zuständige Aufsichtsbehörde für Bayern:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Auskunft, Löschung und Berichtigung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). In diesem Fall werden Ihre Daten nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet.

Widerspruchsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an info@ccx-consulting.de

8. Ihre Rechte als betroffene Person

Sie haben nach der Datenschutz-Grundverordnung (DSGVO) umfassende Rechte bezüglich Ihrer personenbezogenen Daten. Diese Rechte können Sie jederzeit per E-Mail an info@ccx-consulting.de geltend machen.

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Falls dies der Fall ist, haben Sie ein Recht auf Auskunft über:

• die Zwecke der Verarbeitung
• die Kategorien der verarbeiteten personenbezogenen Daten
• die Empfänger oder Kategorien von Empfängern
• die geplante Speicherdauer
• das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung
• das Beschwerderecht bei einer Aufsichtsbehörde
• die Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern:

• die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind
• Sie Ihre Einwilligung widerrufen und es keine andere Rechtsgrundlage gibt
• Sie Widerspruch gegen die Verarbeitung einlegen und keine vorrangigen Gründe für die Verarbeitung vorliegen
• Ihre Daten unrechtmäßig verarbeitet wurden
• die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist

Ausnahmen: Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist:

• zur Erfüllung rechtlicher Verpflichtungen (z.B. steuerrechtliche Aufbewahrungsfristen)
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:

• Sie die Richtigkeit Ihrer Daten bestreiten (für die Dauer der Überprüfung)
• die Verarbeitung unrechtmäßig ist, Sie aber die Löschung ablehnen
• wir die Daten nicht mehr benötigen, Sie diese aber zur Rechtsverfolgung benötigen
• Sie Widerspruch eingelegt haben (für die Dauer der Interessenabwägung)

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln, sofern:

• die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder einem Vertrag (Art. 6 Abs. 1 lit. b DSGVO) beruht
• die Verarbeitung mithilfe automatisierter Verfahren erfolgt

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Nach Ausübung des Widerspruchsrechts verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Automatisiertes Profiling und automatisierte Entscheidungen (Art. 4 Nr. 4, Art. 22 DSGVO)

Wir setzen im Rahmen der unter Abschnitt 9 beschriebenen Akquise-Vorbereitung automatisiertes Profiling im Sinne von Art. 4 Nr. 4 DSGVO ein: Unternehmen werden auf Basis öffentlich zugänglicher technischer Merkmale ihrer Firmendomain bewertet, und aus diesen Analyseergebnissen wird automatisiert ein individueller, personenbezogener Ansprache-Text generiert.

Wir treffen jedoch keine automatisierten Einzelfall-Entscheidungen im Sinne von Art. 22 Abs. 1 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Das Profiling dient ausschließlich der Entscheidung, ob und wie wir ein Unternehmen als potenziellen Ansprechpartner per E-Mail kontaktieren; das Ergebnis ist eine unverbindliche geschäftliche Erstansprache, gegen die der Empfänger jederzeit und ohne Folgen widersprechen kann (vgl. Abschnitt 9).

Klarstellung zu unseren KI-Tools:

• Chatbot (Azure GPT-4o-mini): Dient ausschließlich der Informationsbereitstellung und Lead-Qualifizierung. Es werden keine automatisierten Entscheidungen getroffen, die rechtliche Wirkung entfalten (z. B. Vertragsabschluss, Preisgestaltung, Kreditwürdigkeitsprüfung).
• Prozess-Check (Claude Sonnet): Erstellt individuelle Empfehlungen zur Prozessautomatisierung. Diese Empfehlungen sind unverbindlich und dienen als Entscheidungshilfe. Die finale Entscheidung über eine Beauftragung liegt ausschließlich bei Ihnen.
• KI-Klassifizierungs-Check (Claude Sonnet): Erstellt eine Risikoeinschätzung Ihres KI-Systems gemäß EU AI Act. Die deterministische Klassifizierung (Grün/Gelb/Rot) erfolgt durch einen regelbasierten Entscheidungsbaum in unserem System. Die ergänzende KI-Analyse liefert eine unverbindliche Einschätzung.
• Lead-Scoring: Wir nutzen automatisierte Qualitätsbewertungen (Quality Score 1–100) für interne Priorisierungszwecke. Diese Bewertungen haben keine rechtlichen Auswirkungen auf Ihre Anfrage und beeinflussen nicht, ob wir Ihre Anfrage bearbeiten.
• Cold-Mail-Akquise: KI-gestützte Firmen-Analyse (Profiling) und Generierung individueller Ansprache-E-Mails. Details zu Eingaben, Auftragsverarbeitern, Rechtsgrundlage, Widerspruch und Speicherdauer finden Sie in Abschnitt 9 ("Automatisierte Direktansprache per E-Mail"). Eine menschliche Überprüfung vor Versand ist vorgesehen.

Sollten wir in Zukunft automatisierte Entscheidungsverfahren mit rechtlicher Wirkung im Sinne von Art. 22 Abs. 1 DSGVO einsetzen, werden wir Sie hierüber gesondert informieren und, soweit gesetzlich erforderlich, Ihre ausdrückliche Einwilligung einholen sowie die nach Art. 22 Abs. 3 DSGVO vorgesehenen Garantien bereitstellen.

So machen Sie Ihre Rechte geltend

Zur Geltendmachung Ihrer Rechte senden Sie bitte eine E-Mail an:

E-Mail: info@ccx-consulting.de
Betreff: Betroffenenrechte DSGVO – [Ihr Name]

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats, beantworten. In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden. Sie werden über eine Fristverlängerung innerhalb eines Monats nach Eingang der Anfrage informiert.

4. Datenerfassung auf dieser Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden.

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sofern diese abgefragt wurde.

Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

Anfrage per E-Mail, Telefon oder Telefax

Wenn Sie uns per E-Mail, Telefon oder Telefax kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sofern diese abgefragt wurde.

5. Externe Dienste & APIs

Microsoft Bookings

Wir nutzen Microsoft Bookings für die Online-Terminbuchung.

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland

Verarbeitete Daten: Vorname, Nachname, E-Mail-Adresse, Telefonnummer (optional), Firma (optional), Termindetails, Beratungsthema

Zweck: Ermöglichung der Online-Terminbuchung, Terminverwaltung, Versand von Terminbestätigungen und Erinnerungen

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Terminverwaltung).

Speicherort: Europäische Union (EU-Rechenzentren von Microsoft Ireland Operations Limited)

Speicherdauer: Ihre Daten werden bis zum Terminende gespeichert und anschließend gemäß gesetzlicher Aufbewahrungsfristen (z.B. Geschäftskorrespondenz: 6 Jahre) aufbewahrt.

Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

Auftragsverarbeitung: Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO abgeschlossen.

Azure OpenAI Service (GPT-4o-mini) – Chatbot

Wir nutzen den Azure OpenAI Service von Microsoft für unseren KI-gestützten Chatbot auf der Website.

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (Auftragsverarbeitung gemäß Art. 28 DSGVO)

Verarbeitete Daten: Chat-Nachrichten, die Sie im Chatbot eingeben (z.B. Fragen zu unseren Services). Bitte übermitteln Sie keine sensiblen personenbezogenen Daten über den Chatbot.

Zweck: Beantwortung Ihrer Fragen, Lead-Qualifizierung, Terminvereinbarung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Kundenservice)

Serverstandort: Europäische Union (Azure Region: West Europe / Sweden Central). Keine Datenübertragung in Drittländer. Microsoft verarbeitet Chatbot-Daten ausschließlich innerhalb der EU gemäß den Microsoft Product Terms und dem EU Data Boundary.

Speicherdauer: Azure OpenAI speichert API-Anfragen nicht für Modell-Training (Zero Data Retention). Eingabe- und Ausgabedaten werden nicht gespeichert und nicht zur Verbesserung von OpenAI-Modellen verwendet.

Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

Data Processing Addendum (DPA): Microsoft Products and Services DPA

Anthropic API (Claude) – KI-Analyse

Wir nutzen die Anthropic Claude API für die KI-gestützte Analyse in folgenden Tools:

• Prozess-Check: Analyse Ihrer Geschäftsprozesse, Erstellung individueller Empfehlungen zur Prozessautomatisierung
• KI-Klassifizierungs-Check: Ergänzende KI-Analyse zur deterministischen EU AI Act Klassifizierung (Compliance-Timeline, nächste Schritte, Artikelreferenzen)

Anbieter: Anthropic PBC, 201 Mission Street, Suite 2700, San Francisco, CA 94105, USA

Verarbeitete Daten: Ihre Eingaben im jeweiligen Formular (Branche, Unternehmensgröße, KI-Beschreibung, Prozessinformationen). Es werden keine personenbezogenen Daten wie Name oder E-Mail-Adresse an Anthropic übermittelt.

Zweck: Automatisierte Analyse Ihrer Angaben, Erstellung individueller Empfehlungen und Einschätzungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / Leistungserbringung)

Drittlandtransfer: Datenübertragung in die USA. Anthropic hat Standard-Vertragsklauseln (SCC) gemäß Art. 46 DSGVO implementiert.

Speicherdauer: Anthropic speichert API-Anfragen für 30 Tage zu Trust & Safety Zwecken (Missbrauchsprävention) und löscht sie anschließend automatisch.

Datenschutzerklärung: https://www.anthropic.com/legal/privacy

Data Processing Addendum (DPA): https://www.anthropic.com/legal/dpa

Microsoft Exchange Online – E-Mail-Versand (Kontaktformular)

Wir nutzen Microsoft Exchange Online für den Versand von E-Mails über unser Kontaktformular (z. B. Bestätigungs-E-Mails, Prozess-Check-Reports, KI-Klassifizierungs-Reports).

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland

Verarbeitete Daten: E-Mail-Adresse (Absender und Empfänger), Name, Betreff, E-Mail-Inhalt (Kontaktanfrage, Prozess-Check-Ergebnisse, KI-Klassifizierungs-Ergebnisse)

Zweck: Versand von Kontaktformular-Bestätigungen, Prozess-Check Reports, KI-Klassifizierungs-Reports, Benachrichtigungen an den Websitebetreiber

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / Leistungserbringung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Kundenservice)

Speicherort: Europäische Union (EU-Rechenzentren von Microsoft Ireland Operations Limited)

Speicherdauer: E-Mails werden in Exchange Online gemäß Aufbewahrungsrichtlinien gespeichert (in der Regel bis zur Bearbeitung der Anfrage, maximal 3 Jahre gemäß handelsrechtlicher Aufbewahrungsfristen).

Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

Auftragsverarbeitung: Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO abgeschlossen.

Rustdesk – Remote-Support / Fernwartung

Für die Fernwartung und den IT-Support nutzen wir einen eigenen Remote-Support-Client basierend auf Rustdesk (Open Source).

Anbieter: Rustdesk (Open Source Software) – keine zentrale Server-Infrastruktur, Peer-to-Peer-Verbindung

Verarbeitete Daten: Bildschirmübertragung, Tastatur- und Mauseingaben (nur während aktiver Remote-Sitzung)

Zweck: Fernwartung, IT-Support, Fehlerdiagnose und -behebung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / IT-Dienstleistung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Support-Anfrage)

Funktionsweise: Sie laden unseren CCX Support-Client herunter und starten ihn. Eine Verbindung wird nur hergestellt, wenn Sie uns die angezeigte ID und das Passwort mitteilen und die Verbindungsanfrage aktiv bestätigen. Die Verbindung ist Ende-zu-Ende verschlüsselt (AES-256).

Speicherdauer: Es werden keine Bildschirmaufnahmen oder Session-Logs gespeichert. Die Datenübertragung erfolgt ausschließlich live während der Remote-Sitzung.

Drittlandtransfer: Keine Datenübertragung an Dritte. Die Verbindung erfolgt direkt (Peer-to-Peer) zwischen Ihrem Computer und dem CCX Consulting Support-Rechner.

Ihre Kontrolle: Sie sehen jederzeit, was während der Remote-Sitzung auf Ihrem Bildschirm passiert. Sie können die Verbindung jederzeit durch Schließen des Support-Clients beenden.

Quellcode: https://github.com/rustdesk/rustdesk (Open Source, öffentlich einsehbar)

6. Datenspeicherung & Löschfristen

PDF-Reports (Prozess-Check & KI-Klassifizierung)

Wenn Sie einen Prozess-Check oder KI-Klassifizierungs-Check durchführen, wird ein PDF-Report mit Ihren Ergebnissen generiert und auf unserem Server gespeichert.

Gespeicherte Daten (Prozess-Check): Ihre Formulareingaben (Name, E-Mail, Firma, Branche, Prozessinformationen), KI-Analyse-Ergebnisse, Einsparpotenziale

Gespeicherte Daten (KI-Klassifizierung): Ihre Formulareingaben (KI-Beschreibung, Branche, Unternehmensgröße), Entscheidungsbaum-Antworten, Klassifizierungsergebnis, KI-Analyse. Bei freiwilliger Angabe: Name, E-Mail, Firma.

Speicherort: Hetzner Cloud Server (Deutschland)

Speicherdauer: 30 Tage. Nach Ablauf werden die PDF-Dateien und zugehörige Metadaten automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Leistungserbringung)

Vorzeitige Löschung: Sie können jederzeit die vorzeitige Löschung Ihrer Daten verlangen unter info@ccx-consulting.de

Rate Limiting & IP-Adressen

Zum Schutz vor Missbrauch und zur Gewährleistung der Systemstabilität setzen wir Rate Limiting ein.

Verarbeitete Daten: Ihre IP-Adresse wird temporär im Arbeitsspeicher (In-Memory) gespeichert

Zweck: Schutz vor Spam, Missbrauch und DoS-Angriffen; Gewährleistung fairer Nutzung

Limits:

• Chatbot: 50 Nachrichten pro Stunde
• Terminbuchungen: 5 Buchungsversuche pro Stunde
• Prozess-Check: 1 Analyse pro Session
• KI-Klassifizierung: 10 Klassifizierungen pro Stunde

Speicherdauer: Maximal 1 Stunde (automatische Löschung aus dem Speicher)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit und Missbrauchsschutz)

Kontaktanfragen

Ihre Daten aus Kontaktformularen, E-Mails oder Telefonaten werden gespeichert, bis die Anfrage vollständig bearbeitet ist.

Speicherdauer: In der Regel bis zur vollständigen Bearbeitung Ihrer Anfrage, maximal 3 Jahre (gemäß handelsrechtlicher Aufbewahrungsfristen bei Geschäftskorrespondenz)

Löschung: Sie können jederzeit die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Analyse-Tools und Werbung

Plausible Analytics

Wir nutzen Plausible Analytics, ein datenschutzfreundliches Website-Analyse-Tool, um die Nutzung unserer Website zu verstehen und zu verbessern.

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403, Tartu, Estland

Verarbeitete Daten: Anonymisierte Nutzungsdaten (Seitenaufrufe, Verweisquellen, Gerätetyp, Browser, Land). Es werden keine Cookies gesetzt und keine personenbezogenen Daten wie IP-Adressen dauerhaft gespeichert.

Zweck: Statistische Auswertung der Website-Nutzung, Verbesserung des Angebots, Verständnis des Nutzerverhaltens (z.B. beliebte Seiten, Traffic-Quellen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Optimierung unserer Website)

Besonderheiten: Plausible Analytics ist zu 100% DSGVO-konform und benötigt nach deutschem Recht keine Cookie-Banner-Einwilligung, da:

• Keine Cookies oder lokale Speicherung verwendet werden
• Keine personenbezogenen Daten erhoben werden
• Keine Daten an Dritte verkauft oder weitergegeben werden
• Keine geräteübergreifende Nachverfolgung (Tracking) stattfindet
• Alle Daten auf EU-Servern gespeichert werden

Datenspeicherung: Alle Daten werden auf Servern innerhalb der Europäischen Union gespeichert. Es erfolgt kein Drittlandtransfer.

Speicherdauer: Aggregierte Statistiken werden für maximal 365 Tage gespeichert. Es werden keine individuellen Nutzerprofile erstellt.

Datenschutzerklärung: https://plausible.io/data-policy

Transparenz: Sie können unsere Plausible-Statistiken jederzeit öffentlich einsehen (sofern wir dies aktiviert haben), da Plausible volle Transparenz über die erhobenen Daten bietet.

Keine weiteren Werbe- oder Tracking-Dienste

Wir setzen bewusst keine Werbe-Dienste, Google Analytics, Facebook Pixel oder andere Tracking-Tools ein, die personenbezogene Daten sammeln oder Cookies setzen würden.

9. Automatisierte Direktansprache per E-Mail (Cold-Mail-Akquise)

Wir sprechen Unternehmen (ausschließlich B2B, keine Verbraucher) im Rahmen einer sachlich veranlassten Erstansprache per E-Mail aktiv an, wenn wir aufgrund öffentlich zugänglicher technischer Merkmale ihrer Firmendomain einen konkreten Anknüpfungspunkt für ein Angebot unserer IT-Sicherheits- oder Prozessautomatisierungs-Dienstleistungen sehen (insbesondere bei erkennbaren Schwächen in der E-Mail-Authentifizierung). Der nachfolgende Abschnitt beschreibt diese Verarbeitung vollständig und transparent.

9.1 Verantwortlicher und Verarbeitungsort

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist CCX Consulting (David Lesnik), Anschrift und Kontaktdaten siehe Abschnitt 3. Die Kern-Infrastruktur wird in Deutschland betrieben. Für einzelne Verarbeitungsschritte kommen zusätzlich Auftragsverarbeiter mit Sitz bzw. Datenzugriff in Drittländern zum Einsatz; diese sind in Abschnitt 9.7 vollständig aufgeführt, die Absicherung des Transfers beschreibt Abschnitt 9.8.

9.2 Herkunft der Daten

Wir beziehen die Daten ausschließlich aus öffentlich zugänglichen Quellen. Es werden keine Daten angekauft, keine Daten aus sozialen Netzwerken (insb. LinkedIn) erhoben und keine E-Mail-Adressen geraten oder aus Mustern (z. B. vorname.nachname@firma.de) generiert.

• Google Maps Platform: Firmenname, Website-URL, postalische Adresse, Telefonnummer, Branchen-Typ.
• OpenPLZ API (openplzapi.org, Deutschland): Ausschließlich PLZ- und Ortskoordinaten, keine personenbezogenen Daten.
• Öffentliche Handels- und Unternehmensregister: Firmendaten und gesetzliche Vertreter.
• Öffentliche Impressen der Firmenwebsite: Firmenname, Name des Geschäftsführers bzw. gesetzlichen Vertreters, postalische Anschrift, Telefonnummer, E-Mail-Adresse, USt-IdNr., HRB-Nummer.
• Öffentliche DNS-Informationen der Firmendomain: Technische Konfigurationsdaten zur E-Mail-Sicherheit. Diese Daten betreffen die Firmendomain und keine einzelnen Personen.
• DuckDuckGo (Fallback-Websuche): Ausschließlich öffentlich indexierte Ergebnisse, ergänzend eingesetzt, sofern andere Quellen nicht ausreichen.

Funktionsadressen (z. B. zentrale Info- oder Kontakt-Postfächer) werden, falls aus dem Impressum bezogen, versandseitig gesondert behandelt. E-Mail-Adressen natürlicher Personen werden gegenüber den im Impressum genannten gesetzlichen Vertretern adressiert.

9.3 Kategorien verarbeiteter personenbezogener Daten

• Identifikationsdaten: Name des Geschäftsführers / gesetzlichen Vertreters (aus Impressum), Firmenname.
• Kontaktdaten: E-Mail-Adresse (aus Impressum oder Funktionsadresse), Telefonnummer, postalische Firmenanschrift.
• Technische Konfigurationsmerkmale der Firmendomain: Öffentliche Angaben zur E-Mail-Sicherheitskonfiguration; daraus abgeleitet ein Sicherheits-Indikator, der den sachlichen Anknüpfungspunkt für die Ansprache dokumentiert.
• Abgeleitete Analyse (Profiling, Art. 4 Nr. 4 DSGVO): KI-gestütztes Unternehmensprofil mit Schmerzpunkten und Gesprächsansatzpunkten, bezogen auf das konkrete Unternehmen und ggf. die im Impressum genannte Person.
• Versand-Audit: Betreffzeile, E-Mail-Inhalt, dokumentierte Rechtsgrundlage, Abmelde-Verknüpfung und Zeitstempel.
• Interaktionsdaten: Zustellung, Bounces, Abmeldungen (Opt-Out), Antworten.

9.4 Zwecke der Verarbeitung

• Identifikation von Unternehmen mit einem sachlichen Anknüpfungspunkt für unsere Dienstleistungen (insb. schwache E-Mail-Authentifizierung).
• Vorbereitung und Durchführung einer individualisierten, sachlich veranlassten B2B-Erstansprache per E-Mail.
• Dokumentation der Rechtsgrundlagen-Prüfung pro Versand (Abmahnsicherheit nach § 7 UWG).
• Bearbeitung von Antworten, Terminanfragen und Abmeldungen (Opt-Out).
• Führung einer Sperrliste, um widersprochene Kontakte dauerhaft auszuschließen.

9.5 Rechtsgrundlagen

Die Verarbeitung der Firmen- und Kontaktdaten sowie das Profiling stützen wir auf Art. 6 Abs. 1 lit. f DSGVO (Wahrung unseres berechtigten Interesses an wirtschaftlicher Direktansprache im B2B-Bereich). Die konkrete Ansprache per E-Mail ohne vorherige ausdrückliche Einwilligung stützen wir im Wettbewerbsrecht auf § 7 Abs. 2 Nr. 2 UWG (mutmaßliches Interesse bei Gewerbetreibenden und konkretem sachlichen Anlass), nicht auf § 7 Abs. 3 UWG; eine bestehende Kundenbeziehung besteht nicht.

Für jede einzelne versendete E-Mail wird zum Versandzeitpunkt der konkrete sachliche Anlass (Anknüpfungspunkt) revisionssicher dokumentiert, um die Anforderungen an die Interessenabwägung und § 7 UWG nachvollziehbar zu belegen.

Im Rahmen unserer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO haben wir berücksichtigt: (a) Die Datenerhebung erfolgt ausschließlich aus öffentlich zugänglichen Quellen, (b) die Ansprache richtet sich an Gewerbetreibende in ihrer beruflichen Rolle, (c) es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet, (d) es wird pro Empfänger maximal eine Erstansprache und ein Follow-Up nach 7 Tagen versendet, (e) eine unkomplizierte Widerspruchsmöglichkeit (One-Click-Unsubscribe) ist in jeder E-Mail enthalten, (f) Widerspruch führt sofort zu dauerhafter Sperrlistung.

9.6 Automatisiertes Profiling (Art. 4 Nr. 4 DSGVO) – keine Art.-22-Entscheidung

Die beschriebene Bewertung des technischen E-Mail-Sicherheitsprofils und die KI-gestützte Erstellung eines individuellen Ansprache-Textes stellen Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar. Sie erfüllen nach unserer Bewertung jedoch nicht den Tatbestand einer automatisierten Einzelentscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung (Art. 22 Abs. 1 DSGVO): Das Ergebnis ist allein die Initiierung einer unverbindlichen geschäftlichen Erstansprache, der der Empfänger jederzeit und ohne Folgen widersprechen kann.

Vorsorglich berücksichtigen wir zusätzlich Art. 22 Abs. 2 lit. f DSGVO: Eine menschliche Freigabe vor Versand ist vorgesehen, bei der jede generierte E-Mail durch den Verantwortlichen inhaltlich freigegeben werden kann.

9.7 Eingesetzte Auftragsverarbeiter und technische Dienste

Weitere Details zum Drittlandtransfer finden Sie im internen Transfer-Impact-Assessment (TIA). Eine Kopie stellen wir berechtigten Personen auf Anfrage (info@ccx-consulting.de) zur Verfügung.

9.8 Drittlandtransfer (USA)

Bei der Nutzung von Anthropic, Google Maps Platform und DuckDuckGo werden personenbezogene Daten in die USA übermittelt. Grundlage sind die EU-Standardvertragsklauseln (SCC) nach Durchführungsbeschluss (EU) 2021/914, Modul 2 (Controller to Processor); bei Google zusätzlich die Zertifizierung nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, bestätigt durch das EuG am 03.09.2025).

Zusätzlich haben wir technisch-organisatorische Maßnahmen implementiert, um das Datenschutzniveau abzusichern: (a) Datenminimierung bei jeder Übermittlung, (b) keine Übermittlung besonderer Datenkategorien nach Art. 9 DSGVO, (c) Vereinbarung einer Minimal-Retention beim KI-Anbieter sowie Ausschluss der Nutzung der Eingaben für Modell-Training, (d) Transportverschlüsselung bei allen Übermittlungen nach Stand der Technik, (e) keine dauerhafte Speicherung der Übermittlungsinhalte beim Drittland-Empfänger über das für die Erfüllung der jeweiligen Anfrage erforderliche Maß hinaus.

9.9 Speicherdauern

• Lead-Datensatz inkl. Profiling-Ergebnis: bis zum Widerspruch bzw. spätestens nach 12 Monaten ohne Interaktion; anschließend automatische Löschung.
• Versand-Audit (Betreff, Inhalt, dokumentierte Rechtsgrundlage, Abmelde-Verknüpfung, Zeitstempel): 3 Jahre nach Versand (Verjährung wettbewerbsrechtlicher Ansprüche, § 11 UWG).
• Sperrliste bei Widerspruch / Opt-Out: unbefristet. Nur so ist gewährleistet, dass ein widersprochener Kontakt bei künftigen Recherchen nicht erneut angeschrieben wird (vgl. Art. 21 Abs. 3 DSGVO und Art. 17 Abs. 3 lit. e DSGVO).
• Betroffenenrechte-Audit (Auskunft, Widerspruch, Löschung): 3 Jahre (Nachweisfähigkeit nach Art. 5 Abs. 2 DSGVO).
• Technische Laufzeitprotokolle: 90 Tage.

9.10 Technisch-organisatorische Schutzmaßnahmen für Empfänger

• Versand ausschließlich werktags zu üblichen Geschäftszeiten, mit ratenbegrenzter Zustellung.
• Gestaffelter Aufbau des Versandvolumens (Warm-up) zur Wahrung der Zustellqualität beim Empfänger.
• Maximal eine Erstansprache und ein Follow-Up (frühestens 7 Tage nach Erstansprache, nur bei ausbleibender Antwort).
• Automatische Versand-Pausierung bei auffälliger Bounce-Rate.
• Gesonderte Behandlung von Funktionsadressen (Rollen-Accounts).

9.11 EU AI Act – Transparenzhinweis (Art. 50 VO (EU) 2024/1689)

Jede im Rahmen dieses Prozesses versendete E-Mail enthält im Fußbereich den ausdrücklichen Hinweis, dass der Text KI-gestützt erstellt und redaktionell durch den Absender verantwortet wird ("Diese E-Mail wurde KI-unterstützt erstellt und redaktionell durch den Absender verantwortet."). Damit erfüllen wir unsere Offenlegungspflicht nach Art. 50 der Verordnung (EU) 2024/1689 ("EU AI Act").

9.12 Ihre Rechte (Widerspruch, Auskunft, Löschung)

Widerspruch (Art. 21 DSGVO): Jede in diesem Rahmen versendete E-Mail enthält einen sichtbaren Abmelde-Link sowie einen standardkonformen One-Click-Unsubscribe-Mechanismus. Ein einziger Klick genügt. Der Widerspruch wird sofort wirksam; die Kontaktadresse wird dauerhaft auf die Sperrliste aufgenommen.

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit (Art. 15–18, 20 DSGVO): Sie können diese Rechte jederzeit formlos per E-Mail an info@ccx-consulting.de geltend machen.

Beschwerde (Art. 77 DSGVO): Sie können sich bei jeder Datenschutz-Aufsichtsbehörde beschweren, insbesondere beim Bayerischen Landesamt für Datenschutzaufsicht (Kontaktdaten siehe Abschnitt 3). Ein entsprechender Hinweis findet sich im Fußbereich jeder Akquise-Mail.

9.13 Quelle der Daten (Art. 14 DSGVO)

Da die Daten nicht bei der betroffenen Person selbst erhoben werden, informieren wir Sie hiermit gemäß Art. 14 Abs. 2 lit. f DSGVO über die Herkunft Ihrer Daten (siehe Abschnitt 9.2). Die Erstinformation gemäß Art. 14 Abs. 1 und 2 DSGVO erfolgt zudem in der ersten an Sie gerichteten E-Mail durch einen Verweis auf diese Datenschutzerklärung.