Datenschutzerklärung

Verantwortlich für die Verarbeitung deiner Daten im Rahmen dieses Tools ist:

Philipp Deutscher Consulting
[Anschrift wird im Impressum gepflegt]
Email: datenschutz@deutscherconsulting.com

Siehe auch Impressum.

Wir verarbeiten ausschließlich Daten, die du selbst eingibst, plus minimale technische Daten zur Bereitstellung des Dienstes.

2.1 Identitätsdaten

• Vor- und Nachname
• Email-Adresse
• Optional: Firma, LinkedIn-URL, Telefonnummer

2.2 Profil- und Antwort-Daten

• Berufliche Rolle (CTO / VP Eng / Head of Eng / Tech Lead / Senior EM / Andere)
• Engineering-Org-Größe (Bucket: <10 / 10-30 / 30-100 / 100-300 / 300+)
• Industrie / Branche
• Antworten auf die Assessment-Fragen (Likert-Skalen, Multiple-Choice, offene Felder)
• Generierter Bericht (Score-Profil, Reife-Stufen, personalisierter Text)

2.3 Technische Daten

• IP-Adresse (für Rate-Limiting, nicht gespeichert nach 24h)
• Browser-Type, Sprache (für Server-Logs)
• Session-Cookie (httpOnly, sameSite=lax, HMAC-signiert, 30 Tage Lebensdauer)

Wir setzen keine Tracking-Cookies, kein Google Analytics, keine Werbe-Pixel. Falls eingesetzt: Plausible Analytics (cookieless, EU-gehostet).

Wir verarbeiten deine Daten zu folgenden Zwecken:

• Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Assessment-Tools, Generierung deines persönlichen Berichts, Email-Versand des Berichts.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Technischer Betrieb (Server-Logs, Rate-Limiting zur Spam-Vermeidung).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Newsletter-Eintragung (nur wenn aktiv zugestimmt).

Wir setzen technische Dienstleister ein, mit denen wir Auftragsverarbeitungs-Verträge (AV) gemäß Art. 28 DSGVO geschlossen haben:

• Hetzner Online GmbH (Falkenstein, Deutschland) — Server-Hosting der Anwendung und Datenbank.
• Resend — Email-Versand (Magic-Links, Bericht-Versand). EU-Region.
• Anthropic, PBC (USA) — LLM-Verarbeitung für die Personalisierung des Berichts. Vor jedem API-Call werden identifizierende Felder (Name, Email, Firma, LinkedIn) aus dem Kontext entfernt; an Anthropic gehen nur Profil-Buckets (Rolle, Org-Größe, Industrie) und deine Antworten. Anthropic verwendet die Daten nicht für Modell-Training (vertraglich zugesichert).
• Stripe (Irland/USA) — Zahlungsabwicklung (nur bei kostenpflichtigen Programs).

Wichtig zur Anonymisierung: Du kannst in den offenen Antwort-Feldern Namen Dritter erwähnen (z.B. Name eines CEOs oder Tech Leads). Diese Namen werden nicht automatisch maskiert. Wenn du sie nicht an Anthropic übermitteln willst, vermeide ihre Erwähnung in den offenen Feldern.

Anthropic verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln gem. Art. 46 DSGVO. Da wir vor Übermittlung identifizierende Felder strippen, ist der Personenbezug der Daten reduziert, aber nicht ausgeschlossen (offene Antworten können kontextuelle Identifikatoren enthalten). Mit der Nutzung des Tools willigst du in diese Übermittlung ein.

• Aktive Accounts: solange du sie nutzen willst, ohne automatische Löschung.
• Inaktive Accounts (24 Monate ohne Login): Reminder-Email nach 24 Monaten, automatische Löschung nach 36 Monaten Inaktivität.
• Magic-Link-Tokens: 30 Minuten gültig, dann automatisch gelöscht.
• Server-Logs: 24 Stunden für IP-Adressen, 30 Tage für andere Logs.
• Anonymisierte Aggregat-Daten (sofern du aktiv zustimmst — V1.5 Feature, aktuell nicht implementiert): unbegrenzt, ohne Personenbezug.

Du hast jederzeit die folgenden Rechte:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO) — direkt im Account-Bereich als Export.
• Berichtigung falscher Daten (Art. 16 DSGVO).
• Löschung (Art. 17 DSGVO) — Self-Service Button im Account-Bereich, sofortige Löschung aller personenbezogenen Daten.
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO) — Export als JSON.
• Widerspruch gegen Verarbeitung (Art. 21 DSGVO).
• Beschwerderecht bei deiner Datenschutz-Behörde.

Alle Anliegen kannst du an datenschutz@deutscherconsulting.com senden, oder direkt im Account-Bereich ausführen.

• TLS-Verschlüsselung der gesamten Kommunikation (Let's Encrypt)
• Server-Hosting in der EU (Hetzner Falkenstein)
• HMAC-signierte Session-Cookies, httpOnly und sameSite=lax
• Rate-Limiting gegen Brute-Force und Email-Spam
• Strikte Content-Security-Policy
• Vor LLM-Verarbeitung: Entfernung identifizierender Felder

Wir verwenden ausschließlich technisch notwendige Cookies (Session-Cookie für deine Anmeldung). Keine Marketing-Cookies, keine Tracking-Cookies, kein Cookie-Banner notwendig.

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, wenn sich technische oder rechtliche Rahmenbedingungen ändern. Bei wesentlichen Änderungen informieren wir aktive Nutzer per Email.