Datenschutzerklärung
1 · Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website ist:
DripBack GmbHWerkstraße 12A
33818 Leopoldshöhe
E-Mail: [email protected]
1a · Datenschutzbeauftragter (DSB) und Datenschutz-Kontakt
Nach Art. 37 DSGVO besteht für die DripBack GmbH derzeit keine zwingende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (kleines Team, keine Kerntätigkeit mit umfangreicher Verarbeitung sensibler Daten i. S. v. Art. 9 DSGVO durch eigenes Personal — sensible Customer-Daten werden ausschließlich im Auftragsverarbeitungs-Verhältnis nach Art. 28 DSGVO mit eigener Verantwortung des Auftraggebers verarbeitet). Wir benennen dennoch eine zentrale Datenschutz-Kontaktstelle für alle Anfragen und Beschwerden:
Datenschutz-Kontakt DripBack GmbHz. Hd. Geschäftsführung (Timo Korte)
Werkstraße 12A · 33818 Leopoldshöhe
E-Mail: datenschutz@dripback.de
Antwortzeit-Ziel: ≤ 5 Werktage
Sobald die GmbH die Schwellenwerte nach Art. 37 Abs. 1 lit. a-c DSGVO oder § 38 BDSG erreicht (insbesondere bei Erweiterung der eigenen Mitarbeiterzahl ≥ 20 mit personenbezogener Verarbeitung oder bei Aufnahme von Kerntätigkeiten i. S. v. Art. 9), wird ein externer DSB bestellt und an dieser Stelle benannt.
2 · Welche Daten verarbeiten wir und warum
Beim reinen Besuch dieser Website
Beim Aufruf von dripback.de werden zur Bereitstellung der Inhalte folgende Daten in einem Server-Log gespeichert (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an Sicherheit):
- IP-Adresse (anonymisiert nach 7 Tagen)
- Zeitpunkt der Anfrage
- Aufgerufene URL und HTTP-Status-Code
- User-Agent (Browser, Betriebssystem)
- Referer (vorherige Seite)
Speicherdauer: 30 Tage, danach Löschung. Keine Verknüpfung mit anderen Datenquellen.
Bei Kontaktaufnahme
Bei Mail an [email protected] oder Anruf an unsere Hotlines speichern wir die übermittelten Daten (Name, Mail, ggf. Telefonnummer, Inhalt der Anfrage) zur Beantwortung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Speicherdauer: bis Vertragsende plus 10 Jahre gem. HGB-Aufbewahrungsfristen, sonst Löschung nach Bearbeitung.
Bei Anrufen über unseren AI-Receptionist
Anrufe an unsere 24/7-AI-Hotline werden technisch zur Triage durch unsere lokal gehostete AI-Plattform geleitet (qwen 2.5 auf Hetzner Frankfurt). Die Audio-Daten werden nicht zur Trainierung externer Modelle verwendet. Ein hashierter Audit-Log nach Art. 30 DSGVO bleibt 30 Tage erhalten und wird dann gelöscht.
3 · Hosting und Auftragsverarbeiter
Stand: 19.05.2026. Diese Liste wird synchron auf /trust/ gepflegt. Die vollständige Subunternehmer-Anlage finden Sie zusätzlich in der AVV-PDF Anlage 2.
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen — Hosting, Compute, Speicher, lokales qwen 2.5 Inferenz in Falkenstein/DE. Sitz EWR. AVV abgeschlossen.
- Cloudflare, Inc., San Francisco / USA — CDN, DDoS-Mitigation, Pages-Hosting, Access SSO. Verarbeitung primär EU-Edge Frankfurt. AVV inkl. EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO + Transfer Impact Assessment (TIA). Theoretisches Zugriffsrisiko US-Behörden nach US-CLOUD-Act (18 U.S.C. § 2713) und FISA §702 für Edge-Cache-Daten.
- Anthropic PBC, San Francisco / USA — Claude API für nicht-sensitive Reasoning-Tasks. EU-Region-Endpunkt Dublin. PII-Scrubbing vor Aufruf zwingend. AVV (Anthropic Data Processing Addendum) inkl. EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO + Transfer Impact Assessment (TIA). Theoretisches Zugriffsrisiko US-Behörden nach US-CLOUD-Act (18 U.S.C. § 2713) und FISA §702 trotz EU-Datenresidenz.
- Mistral AI SAS, Paris / Frankreich — LLM-Inferenz für EU-souveräne Reasoning-Tasks. Sitz und Verarbeitung EWR. DSGVO direkt anwendbar, kein Drittland-Transfer.
- OpenAI Ireland Ltd., Dublin / Irland — GPT-4 für nicht-sensitive Reasoning-Tasks (optional, derzeit nicht im Standard-Routing). PII-Scrubbing vor Aufruf. AVV inkl. SCC + EU-US Data Privacy Framework (DPF).
- Sinch Mailjet SAS, Paris / Frankreich — Transactional-E-Mail. Sitz und Verarbeitung EWR. DSGVO direkt.
- Sendinblue SAS (Brevo), Paris / Frankreich — Marketing-E-Mail. Sitz und Verarbeitung EWR. DSGVO direkt.
- Plausible Insights OÜ, Tallinn / Estland — Web-Analytics cookieless, DE-Hosting-Tier in Frankfurt. Sitz und Verarbeitung EWR. DSGVO direkt.
- Sipgate GmbH, Düsseldorf / Deutschland — VoIP-Provider für geplanten AI-Empfang (in Vorbereitung, voraussichtlich Q3 2026). Sitz und Verarbeitung EWR. AVV vorbereitet.
Ein vollständiges Drittanbieter-Verzeichnis finden Sie im Privacy-Center sowie als Anlage 2 in der Standard-AVV PDF.
4 · Cookies und Tracking
Wir setzen ausschließlich technisch notwendige Cookies ein. Kein Analytics-Tracking, kein Marketing-Tracking, keine Drittanbieter-Cookies. Google Fonts laden wir self-hosted, kein Aufruf gegen google.com.
5 · Ihre Rechte (Art. 12-22 DSGVO)
- Auskunft (Art. 15) — über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16) — bei falschen Daten
- Löschung (Art. 17) — Right-to-be-forgotten
- Einschränkung (Art. 18) — Verarbeitung pausieren
- Datenübertragbarkeit (Art. 20) — Ihre Daten als JSON-Export
- Widerspruch (Art. 21) — gegen bestimmte Verarbeitungen
- Recht auf Nicht-Unterwerfung unter automatisierte Einzelentscheidung (Art. 22) — siehe §5a unten
- Beschwerde-Recht bei der Aufsichtsbehörde (LDI NRW)
5a · Automatisierte Entscheidungen im Einzelfall (Art. 22 DSGVO) — Profiling-Hinweis
DripBack setzt KI-gestützte Module ein, die personenbezogene Daten teil-automatisiert verarbeiten (insbesondere AI-Receptionist / Voice-Routing, Mail-Triage / Klassifikation, CV-Screening, ROI-Berechnung, Compound-Recherche). Wir kennzeichnen ausdrücklich:
- Keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung (Art. 22 Abs. 1 DSGVO) erfolgen ohne menschliche Überprüfung. Alle Triage-, Routing- und Klassifikations-Outputs werden als Vorschlag an den menschlichen Sachbearbeiter (Kunde oder Kunden-Mitarbeiter) geliefert; die finale Entscheidung trifft ein Mensch.
- Profiling-Auswertung findet ausschließlich im Auftrag des Verantwortlichen (Kunde) statt — wir verarbeiten als Auftragsverarbeiter nach Art. 28 DSGVO weisungsgebunden und stellen keine eigenen Profile her.
- Sie haben das Recht auf Erläuterung der eingesetzten Logik (auf Wunsch: Konfidenz-Schwellen, Klassifikations-Kategorien, Trainingsdaten-Quellen). Anfragen via datenschutz@dripback.de.
- Sie können Widerspruch gegen die automatisierte Verarbeitung einlegen (Art. 22 Abs. 3 DSGVO). Wir bieten dann manuelle Bearbeitung mit menschlicher Erstklassifikation an. Reaktionszeit ≤ 5 Werktage.
- Bei Bewerbungs-Triage (M73 Recruiting-AI): die KI klassifiziert in Top/Maybe/Pass-Lanes als Vorschlag. Personalentscheidungen treffen ausschließlich menschliche Recruiter; AGG- und § 6a BDSG-Konformität wird gewährleistet.
Wenn Sie als Endkunde mit DripBack-Modulen interagieren (z. B. AI-Receptionist-Anruf bei einem unserer Kunden), erhalten Sie zu Beginn die Information, dass eine KI-gestützte Vor-Klassifikation stattfindet, und können jederzeit einen menschlichen Sachbearbeiter anfordern.
Ausübung Ihrer Rechte: Privacy-Center oder direkt per Mail an [email protected]. Antwort innerhalb 30 Tagen (DSGVO-Frist).
6 · Aufsichtsbehörde
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Kavalleriestraße 2-4, 40213 Düsseldorf
www.ldi.nrw.de
7 · Aktualisierungen
Diese Datenschutzerklärung wird bei wesentlichen Änderungen unserer Verarbeitungstätigkeiten aktualisiert. Stand: 2026-05-18.