Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO ist:

Crowdee GmbH Zehdenicker Str. 5 10119 Berlin, Deutschland Geschäftsführer: Dr.-Ing. Tim Polzehl, André Beyer Telefon: +49 30 330 210 64 E-Mail: hello [at] crowdee.ai Umsatzsteuer-ID: DE304624889

Für datenschutzrechtliche Anfragen erreichen Sie uns auch unter privacy@crowdee.ai. Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Schwellenwerte des § 38 BDSG nicht erreicht werden; die oben genannten Personen sind die verantwortlichen Ansprechpartner für Datenschutzfragen.

2. Grundbegriffe und Rechtsgrundlagen

Wir verwenden die in Art. 4 DSGVO definierten Begriffe (insbesondere „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „Empfänger“, „Dritter“ und „Einwilligung“). Die Rechtsgrundlagen, auf die wir uns stützen, sind:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. optionale Analyse-Cookies, Marketing-Kommunikation).
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen (z. B. Buchung einer Demo, Zusendung angeforderter Informationen).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung (z. B. gesetzliche Aufbewahrungspflichten nach Steuer- oder Handelsrecht).
• Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (z. B. Sicherstellung der IT-Sicherheit, Missbrauchsprävention, Beantwortung allgemeiner Anfragen, B2B-Direktkommunikation, Betrugsprävention).
• § 25 Abs. 1 und 2 TDDDG für das Speichern von und den Zugriff auf Informationen auf Ihrem Endgerät (Cookies, Local Storage und ähnliche Technologien).

Soweit wir uns auf berechtigte Interessen stützen, steht Ihnen das Widerspruchsrecht nach Art. 21 DSGVO zu (siehe Abschnitt 13).

3. Von uns verarbeitete Daten und betroffene Personengruppen

Je nach Ihrer Interaktion mit Crowdee verarbeiten wir unterschiedliche Kategorien personenbezogener Daten:

• Website-Besucher — die technischen Zugriffsdaten gemäß Abschnitt 4 sowie alle Daten, die Sie freiwillig über das Kontaktformular, das Chat-Widget, die Demo-Buchung oder das Inhaltsverifizierungstool übermitteln.
• Plattform-Nutzer — Anmeldedaten, Profilinformationen, hochgeladene Inhalte (Bilder, Texte, Audio, Video), Projektkonfigurationen und Verifizierungsergebnisse.
• Kunden — Abrechnungs- und Zahlungsinformationen (Rechnungen, Transaktionen), Vertragskorrespondenz sowie personenbezogene Daten, die zur Erbringung der vereinbarten Leistungen erforderlich sind.

4. Server-Logdateien und technische Zugriffsdaten

Wenn Sie die Website aufrufen, können unsere Hosting-Infrastruktur und Anwendungsprotokolle automatisch folgende technische Daten erfassen:

• die IP-Adresse (bzw. bei Nutzung eines vertrauenswürdigen Reverse-Proxys die darüber weitergeleitete Client-IP),
• Datum und Uhrzeit der Anfrage,
• die aufgerufene URL, HTTP-Methode, Statuscode und Antwortgröße,
• die verweisende URL (Referer),
• Browsertyp und -version, Betriebssystem und Spracheinstellungen (User-Agent),
• Rate-Limit-Zähler, die der IP-Adresse zugeordnet sind (im Arbeitsspeicher, kurzlebig).

Zweck: Sicherstellung der stabilen und sicheren Auslieferung der Website, Erkennung und Abwehr von Angriffen und Missbrauch (z. B. Brute-Force, Denial-of-Service, Spam), Durchsetzung von IP- und globalen Rate-Limits, Diagnose technischer Fehler sowie Leistungsoptimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse am Betrieb einer sicheren und funktionsfähigen Website. Soweit IP-Adressen zu Sicherheitszwecken verarbeitet werden, berücksichtigen wir dabei Ihr entgegenstehendes Interesse gemäß Erwägungsgrund 49 DSGVO.

Speicherdauer: Logdateien werden spätestens nach 30 Tagen gelöscht, es sei denn, ein Sicherheitsvorfall erfordert eine längere Aufbewahrung. Rate-Limit-Zähler werden ausschließlich im Arbeitsspeicher gehalten und am Ende des Rate-Limit-Fensters automatisch zurückgesetzt.

5. Kontaktformular, E-Mail, Telefon und Chat

a) Kontaktformular

Wenn Sie unser Kontaktformular unter /contact absenden, verarbeiten wir die von Ihnen angegebenen Daten: vollständiger Name, E-Mail-Adresse sowie optional Unternehmen, Telefonnummer, Betreff, Mitarbeiteranzahl und Inhalt Ihrer Nachricht. Das Formular ist durch ALTCHA gegen automatisierten Missbrauch geschützt (siehe Abschnitt 9 b)).

Ihre Anfrage wird an unser selbst gehostetes Workflow-Backend übermittelt, das auf Infrastruktur von Crowdee innerhalb der Europäischen Union betrieben wird und dort eine interne E-Mail-Benachrichtigung an das zuständige Crowdee-Team auslöst.

Zweck: Bearbeitung und Beantwortung Ihrer Anfrage; vorvertragliche Kommunikation, sofern Ihre Anfrage unsere Produkte betrifft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), sofern sich Ihre Anfrage auf unsere Leistungen bezieht; andernfalls Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung an uns gerichteter Anfragen).
Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage zuzüglich der Frist zur Erfüllung gesetzlicher Aufbewahrungspflichten (insbesondere §§ 147 AO, 257 HGB — bis zu 6 bzw. 10 Jahre für steuerrelevante Korrespondenz).

b) Direkter E-Mail- und Telefonkontakt

Wenn Sie uns direkt kontaktieren (z. B. über hello@crowdee.ai, sales@crowdee.ai, support@crowdee.ai, press@crowdee.ai, security@crowdee.ai oder telefonisch), verarbeiten wir die von Ihnen übermittelten Daten zum Zweck der Bearbeitung Ihrer Anfrage. Es gelten die unter Abschnitt 5 a) beschriebenen Rechtsgrundlagen und Aufbewahrungsfristen.

c) Chat-Assistent („Nova“)

Auf unserer Website ist ein Chat-Widget eingebunden, das von unserem selbst gehosteten Automatisierungs-Backend betrieben wird („Nova”). Wenn Sie ein Gespräch beginnen, werden die von Ihnen eingegebenen Nachrichten, eine clientseitig generierte Sitzungskennung sowie die in Abschnitt 4 beschriebenen technischen Daten an unser Workflow-Backend übermittelt. Zur Erstellung einer Antwort kann der Nachrichteninhalt an einen oder mehrere externe Anbieter von Large-Language-Models (LLM) weitergeleitet werden, die als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO tätig sind; siehe Abschnitt 9 d).

Bitte geben Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), Passwörter oder sonstige vertrauliche Informationen in den Chat ein. Gespräche können zur Qualitätssicherung und Missbrauchsprävention eingesehen werden.
Zweck: Beantwortung von Besucherfragen, Qualifizierung von Anfragen, Verbesserung unseres Angebots.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung automatisierten Kunden-Supports).
Speicherdauer: Gesprächsprotokolle werden innerhalb von 90 Tagen gelöscht, sofern eine konkrete Anfrage keine längere Verarbeitung erfordert oder gesetzliche Aufbewahrungspflichten gelten.

6. Demo-Buchung (Calendly)

Auf /demo binden wir das Terminplanungs-Widget von Calendly LLC, 271 17th Street NE, Atlanta, GA 30363, USA, ein. Das Widget wird in einem iFrame geladen, wenn Sie die entsprechende Seite aufrufen; wir haben das eigene Cookie-Einwilligungsbanner von Calendly deaktiviert, da wir die Einwilligung für nicht notwendige Cookies über unsere eigene Consent-Management-Plattform einholen (Abschnitt 7).

Wenn Sie über das Widget einen Termin buchen, verarbeitet Calendly die von Ihnen in das Buchungsformular eingegebenen Daten (Name, E-Mail-Adresse, optionale Unternehmensinformationen, gewählter Termin sowie etwaige Antworten auf Qualifizierungsfragen) sowie grundlegende technische Daten (IP-Adresse, Geräte- und Browserinformationen). Calendly kann Cookies und ähnliche Kennzeichnungen auf Ihrem Gerät setzen.

Zweck: Planung und Durchführung von Produktdemonstrationen und Vertriebsgesprächen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) für die Buchung selbst; § 25 Abs. 1 TDDDG / Art. 6 Abs. 1 lit. a DSGVO für etwaige nicht notwendige Cookies von Calendly (soweit anwendbar, auf Grundlage Ihrer Einwilligung im Consent-Banner).
Empfänger und Übermittlung: Calendly hat seinen Sitz in den USA. Übermittlungen sind durch das EU-US-Datenschutzrahmenwerk (EU-US Data Privacy Framework), dem sich Calendly LLC selbst zertifiziert hat, sowie ergänzend durch die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Siehe Abschnitt 9.
Weitere Informationen: calendly.com/privacy.

7. Inhaltsverifizierungsdienst

Unter /content-verification können Sie ein einzelnes Bild kostenlos zur KI-gestützten Echtheitsprüfung einreichen. Bei Nutzung dieses Dienstes werden folgende Daten verarbeitet:

• die hochgeladene Bilddatei (bis zu 10 MB; es werden ausschließlich gängige Bildformate akzeptiert),
• ein kryptografischer SHA-256-Hash der Datei (als Cache-Schlüssel und zur Bindung einer anschließenden Ergebnis-E-Mail-Anfrage an die ursprüngliche Verifizierung),
• die von Ihnen gewählte Modellvariante (sofern ausgewählt),
• die in Abschnitt 3 beschriebenen technischen Zugriffsdaten einschließlich Ihrer IP-Adresse, soweit die Bereitstellung so konfiguriert ist, dass Proxy-Headern vertraut wird,
• ein sitzungsgebundenes, HMAC-signiertes Ergebnis-Token (enthält keine personenbezogenen Daten, gilt eine Stunde und dient der Authentifizierung Ihrer anschließenden E-Mail-Anfrage),
• ein zwingend erforderlicher Cookie cv_daily_used , der nach einer erfolgreichen Verifizierung auf Ihrem Gerät gesetzt wird, um die Fair-Use-Beschränkung (eine kostenlose Verifizierung pro Tag) durchzusetzen (24 Stunden, HttpOnly, SameSite=Strict).

Das Bild wird zur Analyse an unser selbst gehostetes Workflow-Backend weitergeleitet. Innerhalb der Verifizierungs-Pipeline wird das Bild (oder daraus abgeleitete, modellspezifische Varianten) an einen oder mehrere externe KI-Modellanbieter gesendet, die als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO tätig sind (siehe Abschnitt 9 d)), um eine Echtheitsbewertung zu erstellen. Verifizierungsergebnisse (Bewertung, Konfidenzwert, Indikationswerte) werden für bis zu 24 Stunden serverseitig im Arbeitsspeicher anhand des Bild-Hashes gespeichert, damit wiederholte Uploads desselben Bildes ein stabiles Ergebnis liefern, ohne die Analyse erneut auszuführen.

Bildinhalt und abgebildete Personen: Enthält das von Ihnen hochgeladene Bild identifizierbare Personen oder sonstige personenbezogene Daten, werden diese ausschließlich zum technischen Zweck der Erstellung des Verifizierungsergebnisses verarbeitet. Sie bestätigen, dass Sie befugt sind, das Bild zu diesem Zweck einzureichen. Bitte laden Sie keine Bilder hoch, die besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) enthalten, sofern Sie hierfür keine eindeutige Rechtsgrundlage haben. Hochgeladene Bilder und Inferenz-Ergebnisse werden nicht zum Training von Drittanbieter-Modellen verwendet.

Zweck: Bereitstellung einer kostenlosen Vorführung unseres Inhaltsverifizierungsdiensts; Missbrauchsprävention durch IP-, Instanz- und Tages-Rate-Limits.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des von Ihnen angeforderten Dienstes) und Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention und Sicherstellung der Dienstverfügbarkeit). Der zwingend erforderliche cv_daily_used -Cookie wird auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG gesetzt (unbedingt erforderlich für die Bereitstellung des ausdrücklich angeforderten Dienstes).
Speicherdauer: Hochgeladene Bilddaten werden nur für die Dauer des Inferenzaufrufs vorgehalten und nicht dauerhaft gespeichert; der Hash-basierte Ergebnis-Cache läuft nach 24 Stunden ab; die IP-Tagesnutzungs-Tabelle ist speicherbegrenzt und wird beim Serverneustart gelöscht; Ergebnis-Token laufen nach einer Stunde ab.

E-Mail-Erfassung für verifizierte Ergebnisse

Nach einer erfolgreichen Verifizierung können Sie optional Ihren Namen, Ihre E-Mail-Adresse und (optional) Ihr Unternehmen angeben, um den Verifizierungsbericht per E-Mail zu erhalten und von unserem Team kontaktiert zu werden. Die Anfrage wird über das oben beschriebene kurzlebige HMAC-Ergebnis-Token an die gerade abgeschlossene Verifizierung gebunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung durch Absenden des Formulars) und Art. 6 Abs. 1 lit. f DSGVO für eine anschließende B2B-Kontaktaufnahme im durch Erwägungsgrund 47 DSGVO gesteckten Rahmen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 13).
Speicherdauer: Wir speichern diese Informationen so lange, wie dies für die Nachverfolgung erforderlich ist, in jedem Fall jedoch nicht länger als 24 Monate nach Ihrer letzten Interaktion, es sei denn, eine längere Aufbewahrung ist gesetzlich vorgeschrieben (z. B. Steuerrecht) oder Sie verlangen eine frühere Löschung.

8. Cookies, Local Storage und Consent Management

Wir verwenden Cookies und ähnliche Technologien (z. B. Browser-Local-Storage) ausschließlich in dem für den Betrieb der Website zwingend erforderlichen Umfang oder mit Ihrer Einwilligung. Soweit eine Einwilligung erforderlich ist, holen wir diese über unsere Consent-Management-Plattform (betrieben von c15t) ein, bevor die entsprechende Technologie aktiviert wird. Die Consent-Management-Plattform selbst speichert Ihre Auswahl lokal auf Ihrem Gerät, damit der Banner nicht bei jedem Besuch erneut erscheint.

Die von uns eingesetzten Technologien lassen sich in zwei Kategorien einteilen:

• Zwingend erforderlich (immer aktiv; § 25 Abs. 2 Nr. 2 TDDDG): Sitzungsverwaltungs-Token, CSRF-/Origin-Schutz, die Consent-Aufzeichnung selbst sowie der Cookie cv_daily_used, der das kostenlose Tages-Limit des Inhaltsverifizierungsdiensts durchsetzt.
• Analyse (nur mit Einwilligung; § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO): Matomo Analytics im pseudonymisierten Modus (siehe Abschnitt 9 a)).

Sie können Ihre Auswahl jederzeit über den Link „Datenschutzeinstellungen“ in unserer Fußzeile, durch erneutes Öffnen der Consent-Management-Plattform oder über Ihre Browsereinstellungen einsehen und ändern.

9. Drittanbieter und Auftragsverarbeiter

a) Matomo Analytics (selbst gehostet, einwilligungsbasiert)

Mit Ihrer Einwilligung setzen wir Matomo (Open Source) zur Messung der Website-Nutzung ein. Matomo wird von Crowdee auf eigener Infrastruktur innerhalb der Europäischen Union selbst gehostet; es werden keine Daten an InnoCraft Ltd. oder Dritte übermittelt. Wir konfigurieren Matomo mit IP-Kürzung (Anonymisierung des letzten Oktetts) und verwenden Matomo nicht für websiteübergreifende Werbung oder Profilbildung. Matomo verarbeitet pseudonymisierte Daten wie gekürzte IP-Adresse, besuchte Seiten, Referrer, Geräte-/Browser-Merkmale, ungefähren Standort auf Länderebene sowie eine zufällig zugewiesene Besucher-Kennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Ihre Einwilligung), jederzeit widerrufbar. Speicherdauer: aggregierte Berichte werden bis zu 26 Monate aufbewahrt.

b) ALTCHA (Missbrauchsschutz)

Unsere Formulare sind durch ALTCHA geschützt, einen quelloffenen Proof-of-Work-Mechanismus zum Schutz vor automatisierten Einsendungen. ALTCHA läuft vollständig in Ihrem Browser: Ihr Browser löst ein kurzes rechnerisches Rätsel, dessen Lösung ausschließlich gegen unseren eigenen Server verifiziert wird. Es werden keine Daten an Dritte übermittelt; ALTCHA verwendet weder Tracking noch Cookies noch verhaltensbasiertes Profiling.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an der Verhinderung von Spam, Scraping und automatisiertem Missbrauch unserer Formulare. Das Rätsel wird erst gestartet, wenn Sie mit dem Formular interagieren.

c) Calendly (Demo-Buchung)

Siehe Abschnitt 6.

d) Workflow-Automatisierung und KI-Modellanbieter

Eingaben aus dem Kontaktformular, dem Chat-Assistenten, dem Inhaltsverifizierungsdienst und der Ergebnis-E-Mail-Erfassung werden über unser selbst gehostetes Automatisierungs-Backend weitergeleitet, das Crowdee auf eigener Infrastruktur innerhalb der Europäischen Union betreibt. Dieses Backend ist selbst kein Drittempfänger.

Innerhalb des Chat-Assistenten und der Inhaltsverifizierungs-Pipeline werden Nachrichtentext oder Bilddaten von unserem Automatisierungs-Backend an einen oder mehrere externe KI-Modellanbieter gesendet, die als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO ausschließlich zum Zweck der Antwortgenerierung oder Echtheitsbewertung tätig sind. Crowdee nutzt OpenRouter AI Inc. als Routing-Schicht zur dynamischen Auswahl des optimalen Modellanbieters für jede Anfrage. Je nach Workflow kann das tatsächlich eingesetzte Modell von Anthropic PBC (Claude-Modelle) oder OpenAI Inc. (GPT-Modelle) stammen. Wir wählen alle Anbieter vertraglich so aus, dass sie sich verpflichten, (i) Eingaben ausschließlich nach unserer Weisung zu verarbeiten, (ii) Eingaben nicht länger als für die Beantwortung technisch notwendig aufzubewahren und (iii) Kundeneingaben nicht zum Training ihrer Foundation-Modelle zu verwenden. Diese Anbieter haben ihren Sitz in den USA; Übermittlungen sind wie in Abschnitt 10 beschrieben abgesichert.

Eine vollständige, aktuelle Liste aller für unsere Dienste eingesetzten Auftragsverarbeiter einschließlich Standort und Übermittlungsabsicherungen ist unter /subprocessors veröffentlicht.

e) Hosting und Content-Delivery

Alle Systeme werden von Crowdee auf Infrastruktur in Deutschland betrieben:

• Website und Matomo Analytics werden auf dedizierten Servern von netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, in deutschen Rechenzentren betrieben. netcup handelt als unser Infrastrukturanbieter auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO; netcup greift nicht auf die von uns verarbeiteten personenbezogenen Daten auf Anwendungsebene zu und ist kein Empfänger dieser Daten.
• Automatisierungs-Backend wird auf eigener Hardware von Crowdee in Berlin betrieben. An seinem Betrieb ist kein externer Infrastrukturanbieter beteiligt.

Wir nutzen weder Vercel noch externe Serverless-Plattformen oder Drittanbieter-CDNs zur Auslieferung dynamischer Inhalte oder zur TLS-Terminierung für Besucherverkehr. Statische Marketing-Bilder werden über die integrierte Next.js-Bildpipeline auf unseren eigenen Servern optimiert, sodass Browser der Nutzer ausschließlich Verbindungen zu von Crowdee kontrollierten Quellen in Deutschland herstellen.

f) Eingebettete Schriftarten und Assets

Webfonts und Icons auf der Website werden selbst gehostet; wir laden keine Ressourcen von Google Fonts oder vergleichbaren Drittanbieter-Fontdiensten. Soweit wir auf externe Websites verlinken (z. B. Partner-Logos), gilt ab dem Folgen des Links die Datenschutzerklärung des jeweiligen Betreibers.

g) Social-Media-Profile

Wir unterhalten öffentliche Profile auf Instagram, Facebook, und Bluesky. Wenn Sie diese Profile besuchen oder mit ihnen interagieren, verarbeitet der jeweilige Plattformbetreiber Ihre Daten als eigenverantwortlicher Verantwortlicher nach seiner eigenen Datenschutzerklärung. Wir erhalten von diesen Plattformen keine personenbezogenen Daten über aggregierte Reichweitestatistiken hinaus.

h) Sonstige Auftragsverarbeiter

Die vollständige und aktuelle Liste aller weiteren von Crowdee eingesetzten Auftragsverarbeiter — einschließlich derjenigen für transaktionale E-Mails, Abrechnung, Rechnungsstellung, Videokonferenzen, Crowdsourcing und Plattform-Analyse — finden Sie auf unserer Auftragsverarbeiter-Seite . Diese Seite wird bei Hinzunahme oder Entfernung eines Auftragsverarbeiters aktualisiert und ist die maßgebliche Quelle für unser Verarbeitungsverzeichnis.

10. Übermittlungen in Drittländer

Alle von Crowdee betriebenen Systeme befinden sich in Deutschland: die Website und unsere Matomo-Analytics-Instanz laufen auf dedizierten Servern bei netcup GmbH; unser Automatisierungs-Backend wird auf eigener Hardware von Crowdee in Berlin betrieben (siehe Abschnitt 9 e)). Die einzigen Empfängerkategorien, die personenbezogene Daten außerhalb des EWR erhalten können, sind:

• Externe KI-Modellanbieter die von unseren Automatisierungs-Pipelines aufgerufen werden — siehe Abschnitt 9 d). Einige dieser Anbieter haben ihren Sitz in den USA oder anderen Drittländern;
• Calendly LLC (USA), aber nur wenn Sie

Übermittlungen in Drittländer ohne Angemessenheitsbeschluss stützen sich auf geeignete Garantien im Sinne von Art. 46 DSGVO, insbesondere auf:

• das EU-US-Datenschutzrahmenwerk (Angemessenheitsbeschluss vom 10. Juli 2023), soweit sich der jeweilige Auftragsverarbeiter selbst zertifiziert hat, und/oder
• die von der Europäischen Kommission durch Durchführungsbeschluss (EU) 2021/914 verabschiedeten Standardvertragsklauseln, ergänzt — soweit angemessen — durch zusätzliche technische und organisatorische Maßnahmen.

Auf Anfrage erteilen wir Ihnen weitergehende Informationen zu den für eine einzelne Übermittlung getroffenen Garantien. Eine vollständige Liste aller außerhalb des EWR ansässigen Auftragsverarbeiter nebst anwendbaren Übermittlungsabsicherungen ist unter /subprocessors veröffentlicht.

11. Speicherung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es zur Erreichung des Verarbeitungszwecks erforderlich ist oder wie gesetzlich vorgeschrieben. Spezifische Aufbewahrungsfristen sind in den jeweiligen Abschnitten oben angegeben. Daten werden gelöscht oder anonymisiert:

• wenn der ursprüngliche Verarbeitungszweck erfüllt wurde,
• wenn gesetzliche Aufbewahrungspflichten ablaufen,
• wenn eine Einwilligung widerrufen wurde und keine andere Rechtsgrundlage greift,
• wenn ein Widerspruch gemäß Art. 21 DSGVO begründet ist,
• oder wenn die Löschung anderweitig gesetzlich geboten ist.

Soweit eine Löschung aufgrund gesetzlicher Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB) nicht möglich ist, wird die Verarbeitung entsprechend eingeschränkt und die Daten werden nach Ablauf dieser Pflichten gelöscht.

12. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten vor zufälliger oder rechtswidriger Vernichtung, Verlust, Veränderung sowie vor unbefugter Offenlegung oder unbefugtem Zugang zu schützen. Diese Maßnahmen umfassen insbesondere:

• Transportverschlüsselung (HTTPS/TLS) für den gesamten Datenverkehr zur und von der Website,
• Verschlüsselung ruhender Daten in Anwendungsdatenbanken, soweit angemessen,
• rollenbasierte Zugriffskontrollen, Prinzip der minimalen Rechtevergabe und Audit-Protokollierung,
• HMAC-signierte Token zur Bindung von Verifizierungsergebnissen an dieselbe Browser-Sitzung,
• CSRF-/Origin-Prüfungen auf zustandsändernden Endpunkten, IP- und globale Rate-Limits sowie Bot-Abwehr über ALTCHA-Proof-of-Work,
• regelmäßiges Patching von Betriebssystemen und Abhängigkeiten, Schwachstellen-Scans und Sicherheitsüberprüfungen,
• vertragliche Sicherheitsanforderungen gegenüber unseren Auftragsverarbeitern.

Vermutete Sicherheitslücken können Sie verantwortungsvoll an security@crowdee.ai melden; Details finden Sie auf unserer Sicherheitsseite .

13. Ihre Rechte als betroffene Person

Vorbehaltlich der in der DSGVO geregelten Voraussetzungen stehen Ihnen hinsichtlich der von uns über Sie verarbeiteten personenbezogenen Daten folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO) — Bestätigung, ob und wie wir Ihre personenbezogenen Daten verarbeiten, sowie eine Kopie dieser Daten.
• Berichtigungsrecht (Art. 16 DSGVO) — Berichtigung unrichtiger oder unvollständiger Daten.
• Recht auf Löschung (Art. 17 DSGVO) — Löschung personenbezogener Daten, wenn einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegt.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) .
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt der von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
• Widerspruchsrecht (Art. 21 DSGVO) — Widerspruch aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO. Bei Verarbeitung zu Direktmarketingzwecken können Sie jederzeit und ohne Angabe von Gründen widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Um diese Rechte geltend zu machen, kontaktieren Sie uns bitte unter den in Abschnitt 1 genannten Angaben oder schreiben Sie an privacy@crowdee.ai. Wir können weitere Informationen zur Identitätsverifizierung anfordern. Wir antworten unverzüglich und spätestens innerhalb eines Monats nach Eingang Ihrer Anfrage (Art. 12 Abs. 3 DSGVO).

14. Beschwerderecht

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Die für Crowdee GmbH zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59–61 10555 Berlin, Deutschland Telefon: +49 30 13889-0
www.datenschutz-berlin.de

15. Keine automatisierte Entscheidungsfindung mit Rechtswirkung

Wir nutzen die über diese Website erhobenen Daten nicht für eine automatisierte individuelle Entscheidungsfindung einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, im Sinne von Art. 22 Abs. 1 DSGVO. Der Inhaltsverifizierungsdienst liefert eine automatisierte Bewertung eines hochgeladenen Bildes; diese Bewertung ist informatorischer Natur und entfaltet für sich genommen keine rechtliche oder vergleichbare Wirkung.

16. Pflicht zur Bereitstellung von Daten

Sie sind weder gesetzlich noch vertraglich verpflichtet, personenbezogene Daten über die Website bereitzustellen. Bestimmte Funktionen (z. B. das Kontaktformular, die Demo-Buchung oder die Zusendung von Verifizierungsergebnissen per E-Mail) erfordern jedoch zumindest die im jeweiligen Formular als Pflichtfelder gekennzeichneten Daten; ohne diese Angaben können wir Ihre Anfrage nicht bearbeiten.

17. Kinder

Unsere Website und Dienste richten sich an Unternehmen und professionelle Nutzer; sie sind nicht für Kinder unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten Sie feststellen, dass ein Kind uns personenbezogene Daten ohne nachweisbare elterliche Zustimmung übermittelt hat, kontaktieren Sie uns bitte, damit wir diese Daten löschen können.

18. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen in unseren Verarbeitungsaktivitäten, in der Technologie oder im anwendbaren Recht widerzuspiegeln. Die jeweils aktuelle Version ist die auf dieser Seite veröffentlichte, erkennbar an dem oben angegebenen Versionsdatum. Bei wesentlichen Änderungen werden wir Sie mit angemessener Vorankündigung über die Website oder per E-Mail informieren.