Datenschutz
Datenschutzhinweise für Humaify Website-Besucher
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:
Humaify UG (haftungsbeschränkt)
Kolonie 9
14798 Havelsee
Deutschland
E-Mail: hallo@humaify.de
Telefon: +49 151 28727949
Vertreten durch Tim Siebert
Datenschutzbeauftragter:
Humaify UG (haftungsbeschränkt) – Datenschutzbeauftragter
z. Hd. Max Nico Zboralski
Kolonie 9
14798 Havelsee
Deutschland
E-Mail: datenschutz@humaify.de
Telefon: +49 151 70039968
Hinweis zur Benennung des Datenschutzbeauftragten:
Die Benennung erfolgt aufgrund einer gesetzlichen Verpflichtung nach Art. 37 DSGVO in Verbindung mit § 38 BDSG. Der Datenschutzbeauftragte führt seine Aufgaben unabhängig und ohne Interessenkonflikte aus. Die Benennung und die Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG wurden intern dokumentiert. Der Datenschutzbeauftragte überwacht die Einhaltung der datenschutzrechtlichen Vorschriften, berät den Verantwortlichen und unterstützt insbesondere bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 39 DSGVO.
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten, soweit dies zur Bereitstellung unserer Systeme, zur Durchführung und Verwaltung von Vertragsbeziehungen, zur Kommunikation mit Kunden, zur Zahlungsabwicklung, zur Einhaltung gesetzlicher Pflichten sowie zum Betrieb und zur Qualitätssicherung unserer KI-gestützten Dienste erforderlich ist.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a, b, c und f DSGVO.
Humaify ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für alle eigenen Kunden-, Nutzer- und Kommunikationsdaten.
Rollenverständnis (Verantwortlicher vs. Auftragsverarbeiter):
Humaify als Verantwortlicher: Diese Datenschutzerklärung regelt die Verarbeitungen, bei denen Humaify Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist. Dies betrifft alle Daten unserer Website-Nutzer, Interessenten und die administrativen Daten unserer Geschäftskunden.
Humaify als Auftragsverarbeiter: Soweit wir im Auftrag unserer Geschäftskunden Daten Dritter verarbeiten, erfolgt dies ausschließlich auf Grundlage eines separaten Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO und nach dokumentierter Weisung des Kunden. Diese Verarbeitungen sind nicht Gegenstand dieser Datenschutzerklärung.
Verarbeitete Datenkategorien
Stamm- und Kontaktdaten
Kommunikations- und Systemdaten
Vertrags- und Abrechnungsdaten
Technische Nutzungsdaten
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nicht gezielt verarbeitet.
Zwecke und Rechtsgrundlagen
Zweck | Rechtsgrundlage | Hinweis |
|---|---|---|
Bereitstellung und Sicherheit der Systeme | Art. 6 Abs. 1 lit. f DSGVO | berechtigtes Interesse an Stabilität und IT-Sicherheit |
Vertragsabwicklung und Kommunikation (B2B) | Art. 6 Abs. 1 lit. b DSGVO | Durchführung und Verwaltung von Kundenbeziehungen |
Zahlungsabwicklung und Buchführung | Art. 6 Abs. 1 lit. b, c DSGVO | Vertragserfüllung, gesetzliche Pflichten |
Einwilligungsbasierte Vorgänge | Art. 6 Abs. 1 lit. a DSGVO | nur bei freiwilliger Zustimmung |
3. Web-Infrastruktur, Hosting und Zahlungsabwicklung (Verarbeitung als Verantwortlicher)
3.1 Hosting und Server-Protokolle
Unsere Website und Online-Dienste werden durch Vercel Inc., 440 N Barranca Ave #4133, Covina CA 91723, USA, gehostet. Vercel verarbeitet technische Nutzungsdaten, um die Bereitstellung, Stabilität und Sicherheit unserer Systeme zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und effizienten Betrieb). Die Speicherung von Server-Logfiles erfolgt für höchstens 14 Tage; eine längere Aufbewahrung findet nur statt, wenn sicherheitsrelevante Vorfälle die vorübergehende Speicherung erfordern. Mit Vercel besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Hostinger International Ltd. – 61 Lordou Vironos Street, 6023 Larnaca, Zypern
Rolle: Hosting- und Plattformanbieter für Web- und Backend-Infrastruktur Zweck: Betrieb, Bereitstellung und Sicherheit der Server- / API-Umgebung.
Datenschutzmaßnahmen: TLS-Verschlüsselung (HTTPS), DDoS-Schutz, Zugriffsbeschränkungen, Logging-Kontrolle, ISO 27001-Zertifizierung.
Drittlandübermittlung: Es besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union (EU). Es findet keine Drittlandübermittlung der verarbeiteten Daten statt. Vercel ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend kommen die Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO zur Anwendung, um ein angemessenes Datenschutzniveau sicherzustellen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit), Art. 28 DSGVO
3.2 Technische Infrastruktur und Systemdienste
Zur Bereitstellung, Wartung und Verbesserung unserer Plattform nutzt Humaify spezialisierte Dienstleister, die vertraglich zur Einhaltung der Datenschutzvorgaben verpflichtet sind.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Dienst | Zweck | Sitz / Übermittlungsgrundlage |
|---|---|---|
Neon DB | Datenbank-Hosting und Verwaltung | USA – DPF / SCC |
Clerk | Authentifizierung und Nutzerverwaltung | USA – DPF / SCC |
Resend | Versand transaktionaler E-Mails | USA – DPF / SCC |
Better Stack | Monitoring, Status- und Incident-Management | EU / USA – SCC |
Liveblocks | Echtzeit-Kollaboration | EU – SCC |
Basehub | Headless CMS / Content-Management | EU – SCC |
Contabo GmbH | Deutschland / EU | AV-Vertrag (EU-Hosting) |
Alle Anbieter sind gemäß Art. 28 DSGVO als Auftragsverarbeiter eingebunden.
Bei Übermittlungen in Drittländer werden geeignete Garantien nach Art. 44 ff. DSGVO umgesetzt (DPF, SCC, Verschlüsselung, Zugriffs- und Speicherbeschränkung).
3.3 Zahlungsabwicklung über Stripe
Für die Zahlungsabwicklung setzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland, ein. Stripe verarbeitet Zahlungs-, Abrechnungs- und Transaktionsdaten, um Zahlungen abzuwickeln und gesetzlichen Anforderungen – etwa zur Betrugsprävention, Finanzaufsicht und Buchhaltung – zu genügen. Stripe handelt hierbei teilweise als eigenständiger Verantwortlicher (z. B. für Compliance- und Betrugsprävention) und teilweise als Auftragsverarbeiter im Rahmen der Vertragsdurchführung. Es gelten das Stripe Data Processing Agreement (DPA) und das Data Transfers Addendum, die beide auf dem EU-US Data Privacy Framework (DPF) sowie ergänzend auf den Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) beruhen.
Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung,
Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflichten (z. B. Aufbewahrung, Finanzaufsicht),
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer sicheren Zahlungsabwicklung.
Zahlungs- und Buchungsdaten werden gemäß den handels- und steuerrechtlichen Vorgaben (insbesondere §257 HGB, §147 AO) aufbewahrt und anschließend gelöscht oder anonymisiert.
Weitere Informationen zur Datenverarbeitung durch Stripe finden Sie unter https://stripe.com/privacy.
3.4 E-Mail-Hosting und Kommunikation
Für unsere geschäftliche E-Mail-Kommunikation (z.B. E-Mails an oder von Interessenten und Geschäftskunden) nutzen wir einen externen Hosting-Dienstleister. Anbieter ist die Contabo GmbH, Aschauer Straße 32a, 81549 München, Deutschland. Contabo verarbeitet in unserem Auftrag Inhalts-, Nutzungs- und Metadaten unserer E-Mail-Kommunikation, um den sicheren und zuverlässigen Betrieb unserer E-Mail-Postfächer zu gewährleisten. Rechtsgrundlage für die Verarbeitung im Rahmen der Kommunikation zur Vertragsanbahnung oder -durchführung ist Art. 6 Abs. 1 lit. b DSGVO. Unser berechtigtes Interesse am stabilen und sicheren Betrieb unserer Geschäftskommunikation stützt sich auf Art. 6 Abs. 1 lit. f DSGVO. Wir haben mit der Contabo GmbH einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVOgeschlossen. Die Verarbeitung der Daten erfolgt ausschließlich auf Servern in Rechenzentren innerhalb der Europäischen Union (EU).
3.5 Online-Terminvereinbarung
Um Interessenten und Kunden die Möglichkeit zu geben, online Termine (z.B. für Demonstrationen oder Support) mit uns zu vereinbaren, nutzen wir den Dienst Cal.com Inc., 2 Embarcadero Center, 8th Floor, San Francisco, CA 94111, USA. Wenn Sie die Online-Terminbuchung nutzen, verarbeitet Cal.com in unserem Auftrag die von Ihnen eingegebenen Daten (z.B. Identifikationsdaten, Kontaktdaten, Unternehmensdaten, Ihr Anliegen als Freitext sowie technische Informationen und Cookies), um den Termin zu koordinieren und in unseren Kalendern zu buchen.
Hinweis: Wir bitten Sie, im Zuge der Online-Terminvereinbarung keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheitsdaten, politische Meinungen) zu übermitteln.
Rechtsgrundlage: Die Verarbeitung dieser Daten erfolgt auf Grundlage Ihrer freiwilligen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch die aktive Nutzung des Dienstes und die Buchung eines Termins erteilen.
Drittlandübermittlung: Mit Cal.com Inc. besteht ein Vertrag zur Auftragsverarbeitung (Data Processing Addendum, DPA) gemäß Art. 28 DSGVO. Die Datenübermittlung in die USA stützt sich auf die Zertifizierung von Cal.com Inc. nach dem EU-US Data Privacy Framework (DPF), was ein angemessenes Datenschutzniveau sicherstellt.
Weitere Informationen finden Sie in der Datenschutzerklärung von Cal.com (Cal.com Privacy Policy).
4. Kundendaten und Vertragsabwicklung (B2B)
Im Rahmen von Vertragsbeziehungen mit unseren Geschäftskunden verarbeitet Humaify personenbezogene Daten (Stammdaten, Kontaktdaten, Vertrags- und Abrechnungsdaten), die für die Anbahnung, Durchführung und Verwaltung der Geschäftsbeziehung erforderlich sind. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO). Zur Erfüllung dieser Pflichten können Daten an Empfänger wie Steuer- und Buchhaltungsdienstleister sowie die in Sektion 3 genannten Hosting- und Infrastruktur-Anbieter übermittelt werden. Eine Weitergabe zu Werbe- oder Analysezwecken findet nicht statt.
4.1 Interne Empfänger
Innerhalb von Humaify erhalten ausschließlich diejenigen Personen Zugriff auf personenbezogene Daten, die diese zur Erfüllung ihrer Aufgaben benötigen. Alle Mitarbeitenden sind auf die Wahrung der Vertraulichkeit verpflichtet.
5. Empfänger und Datenübermittlungen in Drittländer
Zur Bereitstellung unserer B2B-Dienste (Website, Kundenportal) setzen wir sorgfältig ausgewählte Dienstleister (Auftragsverarbeiter) ein. Diese sind in Sektion 3 detailliert aufgeführt. Soweit personenbezogene Daten an Empfänger in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermittelt werden, erfolgt dies unter Einhaltung der Art. 44 ff. DSGVO.
Die Übermittlung stützt sich – je nach Anbieter – auf
das EU-US Data Privacy Framework (DPF), sofern eine Zertifizierung vorliegt, oder
die Standardvertragsklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO), ggf. ergänzt durch technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkung, Data Locality).
Humaify überprüft die Zertifizierungs- und Transfergrundlagen aller US-Dienstleister mindestens einmal jährlich und passt die verwendeten Garantien bei Änderungen der Rechtslage entsprechend an.
Weitere Empfänger
Eine Weitergabe personenbezogener Daten an Behörden oder sonstige Dritte erfolgt ausschließlich,
– wenn hierzu eine gesetzliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO besteht, oder
– wenn die Offenlegung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO).
Eine Übermittlung zu Werbe-, Analyse- oder Profilbildungszwecken findet nicht statt.
6. Speicherdauer und Datensicherheit
Humaify speichert personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Wegfall des Zwecks oder Ablauf der Fristen werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Pflichten oder berechtigten Interessen entgegenstehen.
6.1 Differenzierte Speicherdauer
Datenkategorie | Zweck der Verarbeitung | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
Server- und Sicherheits-Logs | IT-Sicherheit, Fehleranalyse | Art. 6 Abs. 1 lit. f DSGVO | max. 14 Tage |
Support- und Kontaktanfragen | Bearbeitung von Kundenanliegen | Art. 6 Abs. 1 lit. b u. f DSGVO | bis Abschluss + 6 Monate |
Vertrags- und Kundendaten | Vertragsdurchführung, Verwaltung | Art. 6 Abs. 1 lit. b DSGVO | Dauer der Geschäftsbeziehung + 3 Jahre (Verjährung) |
Rechnungs-, Buchungs- und Steuerdaten | Erfüllung gesetzlicher Pflichten | Art. 6 Abs. 1 lit. c DSGVO | 8 Jahre (§ 257 HGB, § 147 AO) |
Geschäfts- und Handelsbriefe | Nachweis geschäftlicher Vorgänge | Art. 6 Abs. 1 lit. c DSGVO | 6 Jahre (§ 257 HGB) |
(Hinweis: Daten, die wir als Auftragsverarbeiter speichern, z.B. KI-Transkripte von Anrufern, sind hier nicht aufgeführt, da ihre Löschfristen im separaten AVV mit dem Kunden geregelt werden.)
6.2 Lösch- und Prüfprozesse
Löschungen erfolgen automatisiert nach Ablauf der jeweiligen Fristen oder auf Antrag der betroffenen Person, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Humaify überprüft regelmäßig, ob Daten noch für den ursprünglichen Zweck benötigt werden, und anonymisiert oder löscht sie entsprechend. Spezielle Löschkonzepte sind Teil des internen Datenschutzmanagements und werden regelmäßig aktualisiert.
6.3 Technische und organisatorische Maßnahmen (TOM)
Zum Schutz personenbezogener Daten setzt Humaify angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Dazu gehören insbesondere:
verschlüsselte Datenübertragung (TLS 1.2 oder höher),
Zugriffsbeschränkungen und rollenbasierte Rechteverwaltung,
sichere Authentifizierungs- und Protokollierungsverfahren,
regelmäßige Sicherheits- und Integritätsprüfungen,
Datensparsamkeit und Trennung von Produktiv- und Testsystemen.
Unsere Systeme und Dienstleister werden regelmäßig geprüft und an den Stand der Technik angepasst, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten dauerhaft zu gewährleisten.
Rechtsgrundlagen:
Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung),
Art. 17 DSGVO (Recht auf Löschung),
Art. 25 DSGVO (Datenschutz durch Technikgestaltung),
Art. 32 DSGVO (Sicherheit der Verarbeitung).
7. Rechte der betroffenen Personen
Betroffene Personen haben nach den Artikeln 15 bis 21 DSGVO verschiedene Rechte im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten, für welche die Humaify UG (haftungsbeschränkt) verantwortlich ist.
Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an unseren Datenschutzbeauftragten: datenschutz@humaify.de.
Auskunft (Art. 15 DSGVO)
Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten über Sie verarbeitet werden, zu welchen Zwecken dies geschieht, wie lange sie gespeichert werden und an wen sie übermittelt werden.
Berichtigung (Art. 16 DSGVO)
Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.
Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder die Daten für die vorgesehenen Zwecke nicht mehr erforderlich sind.
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können verlangen, dass die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt wird, wenn etwa die Richtigkeit der Daten bestritten wird oder eine Löschung nicht möglich ist.
Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder sie an einen anderen Verantwortlichen übermitteln zu lassen, soweit dies technisch machbar ist.
Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer personenbezogenen Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen, sofern diese auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht. Im Fall von Direktwerbung besteht ein uneingeschränktes Widerspruchsrecht.
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.
Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.
Zuständig ist in der Regel die Aufsichtsbehörde Ihres Wohnsitzes oder des Sitzes unseres Unternehmens:
Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg)
Stahnsdorfer Damm 77, 14532 Kleinmachnow
E-Mail: poststelle@lda.brandenburg.de
Web: www.lda.brandenburg.de
Pflicht zur Bereitstellung von Daten (Art. 13 Abs. 2 lit. e DSGVO)
Bestimmte Angaben, insbesondere zur Vertragsdurchführung (z. B. Kontaktdaten, Rechnungs- oder Zahlungsinformationen), sind für die Bereitstellung unserer Leistungen erforderlich. Ohne diese Daten kann ein Vertragsschluss oder eine Leistungserbringung nicht erfolgen.
8. Änderungen und Stand dieser Datenschutzerklärung
Humaify behält sich vor, diese Datenschutzerklärung anzupassen, sobald Änderungen in der Datenverarbeitung, gesetzliche Neuerungen oder behördliche Anforderungen dies erforderlich machen. Die jeweils aktuelle Fassung ist jederzeit auf unserer Website abrufbar. Wesentliche Änderungen, die die Zwecke der Verarbeitung, eingesetzte Dienstleister oder Rechte betroffener Personen betreffen, werden wir transparent und rechtzeitig kommunizieren.
Stand: Oktober 2025