Rechtliches

Datenschutzerklärung

Stand: 22. Mai 2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung deiner Daten im Rahmen dieses Tools ist:

Philipp Deutscher Consulting
[Anschrift wird im Impressum gepflegt]
Email: datenschutz@deutscherconsulting.com

Siehe auch Impressum.

2. Welche Daten wir verarbeiten

Wir verarbeiten ausschließlich Daten, die du selbst eingibst, plus minimale technische Daten zur Bereitstellung des Dienstes.

2.1 Identitätsdaten

  • Vor- und Nachname
  • Email-Adresse
  • Optional: Firma, LinkedIn-URL, Telefonnummer
  • Zeitpunkt der Newsletter-Einwilligung (sofern erteilt) und Zeitpunkt eines Klicks auf den Strategie-Call-Link (für interne Funnel-Auswertung)

2.2 Profil- und Antwort-Daten

  • Berufliche Rolle (CTO / VP Eng / Head of Eng / Tech Lead / Senior EM / Andere)
  • Engineering-Org-Größe (Bucket: <10 / 10-30 / 30-100 / 100-300 / 300+)
  • Industrie / Branche
  • Antworten auf die Assessment-Fragen (Likert-Skalen, Multiple-Choice, offene Felder)
  • Generierter Bericht (Score-Profil, Reife-Stufen, personalisierter Text)

2.3 Technische Daten

  • IP-Adresse (für Rate-Limiting, nicht gespeichert nach 24h)
  • Browser-Type, Sprache (für Server-Logs)
  • Session-Cookie (httpOnly, sameSite=lax, HMAC-signiert, 30 Tage Lebensdauer)

Wir setzen keine Tracking-Cookies, kein Google Analytics, keine Werbe-Pixel. Falls eingesetzt: Plausible Analytics (cookieless, EU-gehostet).

3. Zweck und Rechtsgrundlage

Wir verarbeiten deine Daten zu folgenden Zwecken:

  • Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Assessment-Tools, Generierung deines persönlichen Berichts, Email-Versand des Berichts.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Technischer Betrieb (Server-Logs, Rate-Limiting zur Spam-Vermeidung).
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Newsletter-Eintragung über Kit. Die Einwilligung erfolgt über die Pflicht-Checkbox auf der Start-Seite. Hinweis zur Erforderlichkeit: Die Newsletter-Anmeldung ist Voraussetzung für die Nutzung des Tools. Ohne erteilte Einwilligung erhältst du keinen Magic-Link und damit keinen Zugang zum Assessment. Der Newsletter dient der laufenden Zustellung produktbezogener Insights, die das Assessment-Ergebnis kontextualisieren und ergänzen — ohne diese Inhalte würde der Mehrwert des Berichts deutlich unter dem liegen, den wir anbieten wollen. Inklusive Übermittlung an Kit (USA) — siehe Sektion 5. Widerrufbar jederzeit über den Abmelde-Link in jeder Newsletter-Email; mit dem Widerruf endet auch deine aktive Tool-Nutzung (bestehende Berichte bleiben in deinem Account-Bereich abrufbar, bis du den Account löschst).

4. Empfänger und Auftragsverarbeiter

Wir setzen technische Dienstleister ein, mit denen wir Auftragsverarbeitungs-Verträge (AV) gemäß Art. 28 DSGVO geschlossen haben:

  • Hetzner Online GmbH (Falkenstein, Deutschland) — Server-Hosting der Anwendung und Datenbank.
  • Resend — Email-Versand (Magic-Links, Bericht-Versand). EU-Region.
  • Anthropic, PBC (USA) — LLM-Verarbeitung für die Personalisierung des Berichts. Vor jedem API-Call werden identifizierende Felder (Name, Email, Firma, LinkedIn) aus dem Kontext entfernt; an Anthropic gehen nur Profil-Buckets (Rolle, Org-Größe, Industrie) und deine Antworten. Anthropic verwendet die Daten nicht für Modell-Training (vertraglich zugesichert).
  • Stripe (Irland/USA) — Zahlungsabwicklung (nur bei kostenpflichtigen Programs).
  • Kit (PRIOS Inc.) (USA) — Newsletter-Versand und Lead-Tagging. Daten-Übermittlung nur, wenn du beim Start des Assessments das Newsletter-Opt-In aktiv angehakt hast. Übermittelt werden: Email-Adresse, Vorname, Rolle (als Tag, z.B. „CTO" oder „Engineering Manager"). Du kannst dich jederzeit über den Abmelde-Link in jeder Email aus dem Newsletter austragen.
  • Calendly LLC (USA) — Terminbuchung für Strategie-Calls. Daten-Übermittlung nur, wenn du im Bericht aktiv den Button „Strategie-Call vereinbaren" anklickst. Wir übergeben dann Name und Email-Adresse als URL-Parameter, damit das Calendly-Formular für dich vorausgefüllt ist. Es entsteht eine direkte Datenverarbeitungs-Beziehung zwischen dir und Calendly, sobald du dort einen Termin bestätigst (siehe Calendly Privacy Policy).

Wichtig zur Anonymisierung: Du kannst in den offenen Antwort-Feldern Namen Dritter erwähnen (z.B. Name eines CEOs oder Tech Leads). Diese Namen werden nicht automatisch maskiert. Wenn du sie nicht an Anthropic übermitteln willst, vermeide ihre Erwähnung in den offenen Feldern.

5. Drittstaaten-Transfer

Folgende Auftragsverarbeiter sitzen außerhalb der EU. Die Übermittlung erfolgt jeweils auf Basis der EU-Standardvertragsklauseln (SCCs) gem. Art. 46 DSGVO:

  • Anthropic, PBC (USA) — LLM-Verarbeitung für die Personalisierung des Berichts. Vor Übermittlung werden identifizierende Felder gestrippt; der Personenbezug ist reduziert, aber nicht ausgeschlossen (offene Antworten können kontextuelle Identifikatoren enthalten). Mit der Nutzung des Tools willigst du in diese Übermittlung ein.
  • Kit (PRIOS Inc.) (USA) — nur wenn du das Newsletter-Opt-In aktiv angehakt hast. Übermittelt werden Email-Adresse, Vorname, sowie die zugeordneten Marketing-Tags (z.B. Rolle). Rechtsgrundlage: deine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO + Art. 49 Abs. 1 lit. a DSGVO. Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du dich aus dem Newsletter austrägst.
  • Calendly LLC (USA) — nur beim aktiven Klick auf den Strategie-Call-Button im Bericht. Übermittelt werden Name und Email als URL-Parameter für Pre-fill. Sobald du einen Termin bestätigst, gilt zusätzlich die Calendly Privacy Policy zwischen dir und Calendly.
  • Stripe (Irland/USA) — nur bei kostenpflichtigen Programs.

6. Speicherdauer

  • Aktive Accounts: solange du sie nutzen willst, ohne automatische Löschung.
  • Inaktive Accounts (24 Monate ohne Login): Reminder-Email nach 24 Monaten, automatische Löschung nach 36 Monaten Inaktivität.
  • Magic-Link-Tokens: 30 Minuten gültig, dann automatisch gelöscht.
  • Server-Logs: 24 Stunden für IP-Adressen, 30 Tage für andere Logs.
  • Anonymisierte Aggregat-Daten (sofern du aktiv zustimmst — V1.5 Feature, aktuell nicht implementiert): unbegrenzt, ohne Personenbezug.

7. Deine Rechte

Du hast jederzeit die folgenden Rechte:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO) — direkt im Account-Bereich als Export.
  • Berichtigung falscher Daten (Art. 16 DSGVO).
  • Löschung (Art. 17 DSGVO) — Self-Service Button im Account-Bereich, sofortige Löschung aller personenbezogenen Daten.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export als JSON.
  • Widerspruch gegen Verarbeitung (Art. 21 DSGVO).
  • Beschwerderecht bei deiner Datenschutz-Behörde.

Alle Anliegen kannst du an datenschutz@deutscherconsulting.com senden, oder direkt im Account-Bereich ausführen.

8. Sicherheit

  • TLS-Verschlüsselung der gesamten Kommunikation (Let's Encrypt)
  • Server-Hosting in der EU (Hetzner Falkenstein)
  • HMAC-signierte Session-Cookies, httpOnly und sameSite=lax
  • Rate-Limiting gegen Brute-Force und Email-Spam
  • Strikte Content-Security-Policy
  • Vor LLM-Verarbeitung: Entfernung identifizierender Felder

9. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Session-Cookie für deine Anmeldung). Keine Marketing-Cookies, keine Tracking-Cookies, kein Cookie-Banner notwendig.

10. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, wenn sich technische oder rechtliche Rahmenbedingungen ändern. Bei wesentlichen Änderungen informieren wir aktive Nutzer per Email.