Datenschutzerklärung

Stand: 22. März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sophera Consulting
Max Fey
Elsdorfer Straße 29
50126 Bergheim
Deutschland

Telefon: +49 322 21802200
E-Mail: ai@sopheraconsulting.de

USt-IdNr.: DE357873793

2. Geltungsbereich

Diese Datenschutzerklärung gilt für das Internetangebot von Sophera Consulting unter den Domains sopheraconsulting.de und sopheraconsulting.com sowie für sämtliche damit verbundenen Unterseiten (nachfolgend „Website“). Sophera Consulting erbringt Beratungs- und Umsetzungsleistungen in den Bereichen KI-Workflow-Automatisierung, Prozessoptimierung, Digitalisierungsberatung, KI-Trainings sowie Support & Wartung. Die nachfolgenden Hinweise erläutern, welche personenbezogenen Daten wir im Rahmen dieses Angebots erheben, auf welcher Rechtsgrundlage dies geschieht und zu welchem Zweck die Verarbeitung erfolgt.

3. Allgemeine Hinweise und Pflichtinformationen

3.1 SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und ein Schloss-Symbol in Ihrer Browserzeile erscheint. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

3.2 Speicherdauer personenbezogener Daten

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wird, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Sofern Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, es sei denn, wir haben andere rechtlich zulässige Gründe für die Speicherung Ihrer personenbezogenen Daten (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); in letzterem Fall erfolgt die Löschung nach Fortfall dieser Gründe.

3.3 Rechtsgrundlagen der Datenverarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, so beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen dieses erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

4. Rechte der betroffenen Person

Ihnen stehen als betroffener Person nach der DSGVO folgende Rechte zu:

4.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie auf die in Art. 15 Abs. 1 DSGVO im Einzelnen aufgeführten Informationen.

4.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie ferner das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

4.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft und die Verarbeitung nicht nach Art. 17 Abs. 3 DSGVO erforderlich ist.

4.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen gegeben ist, insbesondere wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder Sie Widerspruch eingelegt haben.

4.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Ferner haben Sie das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

4.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir Ihre personenbezogenen Daten auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie nach Art. 21 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Voraussetzung ist, dass Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Dies gilt auch für ein auf diese Bestimmung gestütztes Profiling.

Sofern wir Ihre personenbezogenen Daten verarbeiten, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit und ohne Angabe von Gründen Widerspruch einzulegen. Dies gilt auch für Profiling, soweit es mit Direktwerbung in Verbindung steht.

4.7 Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

4.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de

5. Hosting

5.1 Vercel

Unsere Website wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA („Vercel“) gehostet. Vercel ist eine Platform-as-a-Service-Lösung für das Hosting von Webanwendungen.

Wenn Sie unsere Website besuchen, werden durch den Hoster automatisch technische Zugriffsdaten erhoben (sog. Server-Log-Dateien). Hierzu zählen insbesondere:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und Referrer-URL
• Browsertyp und -version sowie Betriebssystem
• übertragene Datenmenge

Die Erfassung dieser Daten ist technisch erforderlich, um Ihnen unsere Website anzeigen zu können und die Stabilität und Sicherheit zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und effizienten Webauftritt).

Datenweitergabe in die USA: Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO. Weitere Informationen zum Datenschutz bei Vercel finden Sie unter: https://vercel.com/legal/privacy-policy

Auftragsverarbeitung: Wir haben mit Vercel einen Vertrag über Auftragsverarbeitung (Data Processing Agreement) geschlossen, der den Anforderungen des Art. 28 DSGVO entspricht.

6. Datenerfassung auf dieser Website

6.1 Technisch notwendige Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies. Diese Cookies sind erforderlich, um die Grundfunktionen der Website sicherzustellen – insbesondere die Sprachwahl (Deutsch/Englisch) über die Internationalisierungsfunktion (next-intl). Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien Bereitstellung und Optimierung der Website. Da keine einwilligungsbedürftigen Cookies gesetzt werden, ist eine Einwilligung nach § 25 Abs. 2 TDDDG nicht erforderlich.

6.2 Server-Log-Dateien

Der Hostinganbieter erhebt und speichert automatisch Informationen in sog. Server-Log-Dateien, die Ihr Browser beim Besuch der Website automatisch übermittelt (vgl. Ziffer 5.1). Eine Zusammenführung dieser Daten mit anderen Datenquellen nehmen wir nicht vor.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und dem fehlerfreien Betrieb der Website).

6.3 Kontaktformular

Wenn Sie uns über das auf der Website bereitgestellte Kontaktformular eine Anfrage übermitteln, werden die folgenden personenbezogenen Daten erhoben:

• Name
• E-Mail-Adresse
• Unternehmen (optional)
• Inhalt Ihrer Nachricht

Zweck: Die Erhebung dient der Bearbeitung und Beantwortung Ihrer Anfrage einschließlich etwaiger Anschlussfragen.

Rechtsgrundlage: Sofern Ihre Anfrage der Durchführung vorvertraglicher Maßnahmen dient, ist Art. 6 Abs. 1 lit. b DSGVO die Rechtsgrundlage. Im Übrigen verarbeiten wir Ihre Daten auf Grundlage unseres berechtigten Interesses an der effektiven Bearbeitung der an uns gerichteten Anfragen gemäß Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Die im Kontaktformular erhobenen Daten werden gelöscht, sobald Ihre Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Schutzmaßnahmen: Zum Schutz vor automatisierten Spam-Anfragen setzen wir eine serverseitige Honeypot-Technik sowie eine IP-basierte Ratenbegrenzung ein. Die IP-Adresse wird dabei ausschließlich für die Dauer der Ratenbegrenzung (max. 60 Sekunden) im Arbeitsspeicher vorgehalten und anschließend verworfen.

6.4 Anfrage per E-Mail oder Telefon

Wenn Sie uns per E-Mail oder telefonisch kontaktieren, werden Ihre Anfrage nebst sämtlichen daraus hervorgehenden personenbezogenen Daten (Name, Anfrage, Telefonnummer, E-Mail-Adresse) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Eine Weitergabe dieser Daten an Dritte erfolgt nicht ohne Ihre ausdrückliche Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bearbeitung von Anfragen).

Speicherdauer: Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Automations-Check (KI-Konfigurator)

Auf unserer Website stellen wir einen interaktiven KI-gestützten Konfigurator („Automations-Check“) bereit, mit dem Sie eine unverbindliche Ersteinschätzung über das Automatisierungspotenzial Ihrer Geschäftsprozesse erhalten können.

7.1 Erhobene Daten

Bei Nutzung des Automations-Checks werden folgende Daten erhoben:

• Name (optional)
• E-Mail-Adresse (Pflichtangabe)
• Telefonnummer (Pflichtangabe)
• Beschreibung des zu automatisierenden Geschäftsprozesses (Freitextangabe)
• Gewünschter Lösungstyp (SaaS, Eigenentwicklung oder Open Source)
• Aktuell eingesetzte Systeme (optional)
• Geschätzte monatliche Kosten des Prozesses (optional)

7.2 Verarbeitung durch Anthropic (Claude API)

Die von Ihnen eingegebene Prozessbeschreibung wird zur Erstellung der Automatisierungsanalyse an die API des Anbieters Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA („Anthropic“) übermittelt. Anthropic verarbeitet die Daten ausschließlich zur Generierung der Analyse und speichert die übermittelten Eingaben gemäß den Nutzungsbedingungen der API nicht für eigene Trainingszwecke.

Übermittelte Daten: Prozessbeschreibung, Lösungstyp, ggf. aktuelle Systeme und monatliche Kosten. Ihre E-Mail-Adresse, Telefonnummer und Ihr Name werden nicht an Anthropic übermittelt.

Datenweitergabe in die USA: Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Die Datenübermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO.

Weitere Informationen zum Datenschutz bei Anthropic finden Sie unter: https://www.anthropic.com/privacy

7.3 Versand der Analyse per E-Mail

Das Ergebnis der KI-gestützten Analyse wird Ihnen per E-Mail an die von Ihnen angegebene E-Mail-Adresse zugesandt. Für den E-Mail-Versand nutzen wir einen SMTP-Dienst. Die E-Mail enthält Ihre eingegebenen Daten sowie die generierte Ersteinschätzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Durch die aktive Eingabe Ihrer Daten und das Absenden des Formulars willigen Sie in die beschriebene Verarbeitung ein. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Speicherdauer: Die im Rahmen des Automations-Checks erhobenen Daten werden nach Versand der Analyse nicht persistent gespeichert, sofern keine weitergehende Geschäftsbeziehung begründet wird. Die IP-basierte Ratenbegrenzung (max. 120 Sekunden) dient ausschließlich dem Schutz vor Missbrauch.

7.4 Hinweis zum Inhalt der Analyse

Die vom KI-System generierte Ersteinschätzung stellt eine automatisierte, unverbindliche Orientierungshilfe dar und ersetzt keine individuelle Beratung. Aus der Analyse lassen sich keine Rechtsansprüche ableiten.

8. Einsatz von Drittanbieter-Diensten

Im Rahmen unserer Geschäftstätigkeit setzen wir verschiedene Drittanbieter-Dienste ein, um unsere Dienstleistungen effizient und professionell erbringen zu können. Nachfolgend informieren wir Sie über die eingesetzten Dienste, die jeweiligen Zwecke der Verarbeitung sowie die maßgeblichen Rechtsgrundlagen.

8.1 Google Workspace (Gmail, Google Drive, Google Calendar, Google Meet)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: Wir nutzen Google Workspace für die geschäftliche E-Mail-Kommunikation (Gmail), die Speicherung und den Austausch von Dokumenten (Google Drive), die Terminplanung (Google Calendar) sowie die Durchführung von Videokonferenzen (Google Meet).

Verarbeitete Daten: Name, E-Mail-Adresse, Kommunikationsinhalte, Termindetails, geteilte Dokumente, IP-Adresse, Geräte- und Browserinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Geschäftskommunikation).

Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Wir haben mit Google einen Auftragsverarbeitungsvertrag (Data Processing Amendment) gemäß Art. 28 DSGVO geschlossen.

8.2 Google AI (Gemini, Vertex AI)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: KI-gestützte Analyse und Automatisierung im Rahmen von Kundenprojekten. Die Dienste werden eingesetzt, um Prozesse zu optimieren, Texte zu generieren und Daten zu analysieren.

Verarbeitete Daten: Prozessbeschreibungen, Geschäftsdaten des Kunden (nur mit vorheriger Einwilligung des Kunden), ggf. anonymisierte oder pseudonymisierte Datensätze.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wichtiger Hinweis: Bei Nutzung bestimmter Google-AI-Dienste können eingegebene Daten zum Training von KI-Modellen verwendet werden, sofern dies nicht über die API-Konfiguration mit Data-Governance-Einstellungen ausgeschlossen wurde. Wir setzen bei kundenbezogenen Projekten vorrangig die API-Variante mit deaktiviertem Modelltraining ein.

8.3 Anthropic (Claude API)

Anbieter: Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.

Zweck: Neben dem in Ziffer 7.2 beschriebenen Einsatz im Rahmen des Automations-Checks nutzen wir die Claude API auch für weitere Kundenprojekte, insbesondere für KI-gestützte Textgenerierung, Analyse und Prozessautomatisierung.

Verarbeitete Daten: Prozessbeschreibungen, Geschäftsdaten des Kunden (nur im Rahmen des jeweiligen Projektauftrags).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Leistungserbringung).

Kein Training: Bei API-Nutzung werden gemäß den Anthropic API Terms of Service keine Eingabedaten für das Training von KI-Modellen verwendet. Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert.

8.4 OpenAI (ChatGPT, GPT API)

Anbieter: OpenAI OpCo, LLC, 3180 18th Street, San Francisco, CA 94110, USA.

Zweck: KI-gestützte Textgenerierung, Analyse, Code-Generierung und Prozessautomatisierung im Rahmen von Kundenprojekten.

Verarbeitete Daten: Prozessbeschreibungen, Texteingaben, Geschäftsdaten des Kunden (nur im Rahmen des jeweiligen Projektauftrags).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Leistungserbringung).

Kein Training bei API-Nutzung: Gemäß den OpenAI API Terms of Use werden bei Nutzung der API keine Eingabedaten für das Training von KI-Modellen verwendet. OpenAI ist unter dem EU-US Data Privacy Framework zertifiziert.

8.5 Clay

Anbieter: Clay Inc., USA.

Zweck: Datenanreicherung und Lead-Recherche im B2B-Bereich. Clay wird eingesetzt, um öffentlich verfügbare geschäftliche Kontaktdaten zu recherchieren und anzureichern.

Verarbeitete Daten: Geschäftliche Kontaktdaten wie Name, Position, Unternehmen, geschäftliche E-Mail-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kundenakquise im B2B-Bereich). Das berechtigte Interesse ergibt sich aus der Notwendigkeit, potenzielle Geschäftskunden zu identifizieren und anzusprechen.

Hinweis gemäß Art. 14 DSGVO: Soweit wir personenbezogene Daten nicht direkt bei der betroffenen Person, sondern aus öffentlich zugänglichen Quellen oder über Clay erheben, informieren wir die betroffene Person gemäß Art. 14 DSGVO bei der ersten Kontaktaufnahme über die Datenverarbeitung.

8.6 Dieserver AI / n8n

Zweck: Workflow-Automatisierung und Prozessorchestrierung. n8n wird eingesetzt, um verschiedene Dienste und Systeme miteinander zu verbinden und automatisierte Abläufe umzusetzen.

Betrieb: n8n wird je nach Projektanforderung self-hosted oder als Cloud-Variante betrieben.

Verarbeitete Daten: Die Art der verarbeiteten Daten hängt vom konkreten Workflow ab und kann ggf. Kundendaten umfassen (Name, E-Mail-Adresse, Geschäftsdaten).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen von Kundenprojekten).

8.7 Microsoft Outlook und Microsoft Teams

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Zweck: E-Mail-Kommunikation (Microsoft Outlook), Videokonferenzen, Chat und Zusammenarbeit (Microsoft Teams).

Verarbeitete Daten: Name, E-Mail-Adresse, Kommunikationsinhalte, Termindetails, IP-Adresse, Geräte- und Browserinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Geschäftskommunikation).

Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen (Microsoft Products and Services Data Protection Addendum).

8.8 Zoom

Anbieter: Zoom Video Communications, Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA.

Zweck: Durchführung von Videokonferenzen und Online-Meetings mit Kunden und Geschäftspartnern.

Verarbeitete Daten: Name, E-Mail-Adresse, IP-Adresse, Geräte- und Browserinformationen, ggf. Audio-/Videodaten während der Konferenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Zoom ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen zum Datenschutz bei Zoom finden Sie unter: https://explore.zoom.us/de/privacy/

8.9 Eigenes CRM-System für Kundenakquise

Betreiber: Sophera Consulting (selbst gehostet).

Zweck: Verwaltung von Kundenanfragen, Leads, Projektdaten und Kommunikationsverläufen zur Pflege bestehender und potenzieller Geschäftsbeziehungen.

Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer, Unternehmen, Kommunikationsverlauf, Projektdetails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenverwaltung).

Speicherdauer: Die Daten werden bis zum Ablauf gesetzlicher Aufbewahrungsfristen (insbesondere § 147 AO, § 257 HGB) bzw. bis zum Widerruf der betroffenen Person gespeichert.

8.10 E-Mail- und SMS-Kommunikation

E-Mail: Für die geschäftliche E-Mail-Kommunikation setzen wir Google Workspace (Gmail) und Microsoft Outlook ein (vgl. Ziffern 8.1 und 8.7).

SMS: Für Terminbestätigungen und dringende geschäftliche Mitteilungen kann ggf. ein SMS-Versand über ein Drittanbieter-Gateway erfolgen.

Zweck: Geschäftskommunikation, Terminbestätigungen, projektbezogene Korrespondenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

9. Online-Marketing und Werbung

Sophera Consulting setzt verschiedene Online-Marketing-Werkzeuge ein, um die Sichtbarkeit der eigenen Dienstleistungen zu erhöhen und potenzielle Kunden anzusprechen. Nachfolgend informieren wir über die eingesetzten Dienste.

9.1 Google Search Console

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: Analyse der Sichtbarkeit unserer Website in der Google-Suche und technische SEO-Optimierung.

Verarbeitete Daten: Suchanfragen (ausschließlich aggregiert), Klickdaten, Impressionen. Es werden keine personenbezogenen Daten der Website-Besucher an uns übermittelt. Die Daten sind vollständig anonymisiert und dienen ausschließlich der technischen Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unseres Webauftritts).

9.2 Google Ads

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Zweck: Schaltung bezahlter Suchanzeigen und Conversion-Tracking zur Messung der Werbewirksamkeit.

Verarbeitete Daten: IP-Adresse (gekürzt), Cookie-ID, Conversion-Daten (z. B. ob eine Anfrage über eine Anzeige erfolgte).

Einwilligung: Der Einsatz von Google Ads Conversion-Tracking erfordert Ihre vorherige Einwilligung gemäß § 25 Abs. 1 TDDDG. Das Conversion-Tracking wird erst nach Ihrer ausdrücklichen Zustimmung über den Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Opt-out: Sie können die personalisierte Werbung in den Google Ads-Einstellungen deaktivieren: https://adssettings.google.com

9.3 Meta Ads (Facebook, Instagram) und Meta-Apps

Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.

Zweck: Schaltung von Werbeanzeigen auf Facebook, Instagram, Messenger und WhatsApp. Ggf. Einsatz von Custom Audiences zur gezielten Ansprache relevanter Zielgruppen.

Verarbeitete Daten: Nutzungsdaten, Interaktionsdaten, ggf. Daten aus Custom-Audience-Listen.

Einwilligung: Der Einsatz von Meta-Tracking-Technologien (z. B. Meta Pixel) erfordert Ihre vorherige Einwilligung. Das Tracking wird erst nach Zustimmung über den Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Gemeinsame Verantwortlichkeit: Soweit wir eine Facebook-Unternehmensseite (Fanpage) betreiben, besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und Meta Platforms Ireland Limited. Meta stellt hierzu sog. Page-Insights-Ergänzungen bereit, in denen die jeweiligen Verantwortlichkeiten geregelt sind. Dies beruht auf der Rechtsprechung des EuGH (Urt. v. 05.06.2018 – C-210/16).

Weitere Informationen zum Datenschutz bei Meta finden Sie unter: https://www.facebook.com/privacy/policy

9.4 LinkedIn und LinkedIn Ads

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.

Zweck: B2B-Marketing, Schaltung von Werbeanzeigen und Lead-Generierung auf der LinkedIn-Plattform.

Verarbeitete Daten: Profilbesuche, Interaktionsdaten, ggf. Daten aus Lead-Gen-Formularen (Name, E-Mail-Adresse, Position, Unternehmen).

Einwilligung: Der Einsatz von LinkedIn-Tracking-Technologien (z. B. LinkedIn Insight Tag) erfordert Ihre vorherige Einwilligung. Das Tracking wird erst nach Zustimmung über den Cookie-Banner aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Gemeinsame Verantwortlichkeit: Für unsere LinkedIn-Unternehmensseite besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und LinkedIn Ireland Unlimited Company.

9.5 TikTok

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland.

Zweck: Werbung und Steigerung der Markenbekanntheit.

Verarbeitete Daten: Nutzungsdaten, Interaktionsdaten, ggf. Pixel-Daten.

Einwilligung: Der Einsatz von TikTok-Tracking-Technologien erfordert Ihre vorherige ausdrückliche Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Besonderer Hinweis: TikTok steht unter besonderer datenschutzrechtlicher Beobachtung durch europäische Datenschutzbehörden. Es kann nicht ausgeschlossen werden, dass Daten an Server in der Volksrepublik China übermittelt werden, wo kein mit der EU vergleichbares Datenschutzniveau besteht. Wir setzen TikTok daher nur mit ausdrücklicher Einwilligung der betroffenen Personen ein und beschränken die Datenverarbeitung auf das erforderliche Minimum.

9.6 Allgemeiner Hinweis zu Werbe-Tracking

Sämtliche Marketing-Cookies und Tracking-Pixel (z. B. Google Ads Conversion-Tracking, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel) werden auf dieser Website erst nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner aktiviert. Ohne Ihre Zustimmung findet kein Werbe-Tracking statt.

Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner anpassen oder Ihre Einwilligung widerrufen. Darüber hinaus stehen Ihnen folgende Opt-out-Möglichkeiten zur Verfügung:

• Google: https://adssettings.google.com
• Meta: https://www.facebook.com/settings?tab=ads
• LinkedIn: https://www.linkedin.com/psettings/advertising
• Allgemein: https://youronlinechoices.eu

10. Datenweitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt ausschließlich in den folgenden Fällen:

• Vercel Inc. (Hosting, vgl. Ziffer 5.1) – Auftragsverarbeitung gemäß Art. 28 DSGVO
• Anthropic PBC (KI-Analyse, vgl. Ziffern 7.2 und 8.3) – ausschließlich Prozessbeschreibungen im Rahmen des Automations-Checks; bei Kundenprojekten nur im Rahmen des Projektauftrags
• OpenAI OpCo, LLC (KI-Dienste, vgl. Ziffer 8.4) – Verarbeitung im Rahmen von Kundenprojekten
• Google Ireland Limited (Google Workspace, Google AI, Google Ads, Google Search Console, vgl. Ziffern 8.1, 8.2, 9.1 und 9.2)
• Microsoft Ireland Operations Limited (Outlook, Teams, vgl. Ziffer 8.7)
• Zoom Video Communications, Inc. (Videokonferenzen, vgl. Ziffer 8.8)
• Clay Inc. (Lead-Recherche, vgl. Ziffer 8.5)
• Meta Platforms Ireland Limited (Werbeanzeigen, vgl. Ziffer 9.3)
• LinkedIn Ireland Unlimited Company (Werbeanzeigen, vgl. Ziffer 9.4)
• TikTok Technology Limited (Werbung, vgl. Ziffer 9.5)
• SMTP-Dienstleister (E-Mail-Versand)

Darüber hinaus erfolgt keine Datenweitergabe an Dritte, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. Auskunft an Strafverfolgungsbehörden nach § 24 BDSG) oder Sie haben ausdrücklich eingewilligt.

11. Datenübermittlung in Drittländer

Im Rahmen der in dieser Datenschutzerklärung beschriebenen Verarbeitungen werden personenbezogene Daten an Unternehmen in den Vereinigten Staaten von Amerika übermittelt. Dies betrifft insbesondere folgende Dienstleister:

• Vercel Inc. (Hosting) – DPF-zertifiziert
• Anthropic PBC (KI-Dienste) – DPF-zertifiziert
• OpenAI OpCo, LLC (KI-Dienste) – DPF-zertifiziert
• Google Ireland Limited (Google-Konzern, Datenübermittlung an Google LLC, USA) – DPF-zertifiziert
• Microsoft Ireland Operations Limited (Datenübermittlung an Microsoft Corp., USA) – DPF-zertifiziert
• Zoom Video Communications, Inc. (Videokonferenzen) – DPF-zertifiziert
• Clay Inc. (Lead-Recherche) – Absicherung über EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
• Meta Platforms, Inc. (Muttergesellschaft, USA) – DPF-zertifiziert
• LinkedIn Corporation (Muttergesellschaft, USA) – DPF-zertifiziert

Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO erlassen. Auf dieser Grundlage ist für die DPF-zertifizierten Unternehmen ein angemessenes Datenschutzniveau für die Datenübermittlung gewährleistet.

Sonderfall TikTok: Bei TikTok kann nicht ausgeschlossen werden, dass Daten in die Volksrepublik China übermittelt werden. Es liegt derzeit kein Angemessenheitsbeschluss der Europäischen Kommission für China vor. Die Datenübermittlung erfolgt daher ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO.

Sollte der Angemessenheitsbeschluss für das DPF seine Gültigkeit verlieren, werden wir unverzüglich geeignete Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) sicherstellen oder die Datenübermittlung einstellen.

12. Datensicherheit

Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen umfassen insbesondere:

• Durchgängige TLS-Verschlüsselung des gesamten Datenverkehrs
• Serverseitige Honeypot-Techniken und IP-basierte Ratenbegrenzung zum Schutz vor Missbrauch
• Validierung und Filterung aller Nutzereingaben auf Server-Ebene
• Kein persistentes Speichern von IP-Adressen über die Dauer der Ratenbegrenzung hinaus
• Einsatz aktueller Frameworks und regelmäßige Updates der Softwarekomponenten

13. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand vom 22. März 2026. Aufgrund der Weiterentwicklung unserer Website und unserer Dienstleistungen oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es erforderlich werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung kann jederzeit unter sopheraconsulting.de/datenschutz abgerufen werden.