Zum Inhalt springen

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Julius Sorgner Hochstraße 8 35510 Butzbach E-Mail: contact@proposalair.io Telefon: +49 15255612505

2. Übersicht der Datenverarbeitung

2.1 Arten der verarbeiteten Daten

  • Bestandsdaten (Name, E-Mail-Adresse, Benutzername)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer)
  • Inhaltsdaten (Angebote, Projektbeschreibungen, AI-Chats)
  • Nutzungsdaten (Zugriffszeiten, besuchte Seiten)
  • Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen)
  • Vertragsdaten (Vertragsgegenstand, Zahlungsinformationen)
  • Signaturdaten (Elektronische Unterschriften, Zeitstempel)

2.2 Kategorien betroffener Personen

  • Nutzer unserer Plattform
  • Kunden, die Angebote erhalten
  • Website-Besucher

2.3 Zwecke der Verarbeitung

  • Bereitstellung des Dienstes und Vertragserfüllung
  • Erstellung und Versand von Angeboten
  • Elektronische Signaturen und Vertragsabschlüsse
  • Zahlungsabwicklung
  • Kundenkommunikation
  • Sicherheit und Betrugsprävention
  • Erfüllung gesetzlicher Pflichten

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z.B. für Analyse-Cookies)
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Nutzung des Dienstes)
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Betrugsprävention)

4. Datenerhebung beim Websitebesuch

4.1 Server-Log-Dateien

Beim Aufrufen unserer Website werden automatisch folgende Informationen erfasst:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit der Anfrage
  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer URL (zuvor besuchte Seite)
  • Hostname des zugreifenden Rechners

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) Speicherdauer: 7-30 Tage

4.2 Cookies und Einwilligung

Die Speicherung von Informationen auf Endeinrichtungen und der Zugriff darauf richtet sich nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz).

Wir verwenden verschiedene Arten von Cookies:

Notwendige Cookies (ohne Einwilligung, § 25 Abs. 2 TDDDG)

  • Session-Cookie – Authentifizierung und Sitzungsverwaltung
  • CSRF-Token – Schutz vor Cross-Site-Request-Forgery
  • Cookie-Consent – Speicherung Ihrer Cookie-Präferenzen

Optionale Cookies (mit Einwilligung, § 25 Abs. 1 TDDDG)

  • Analyse-Cookies – Website-Nutzungsstatistiken
  • Funktionale Cookies – Spracheinstellungen, Präferenzen

Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner oder in Ihren Kontoeinstellungen ändern. Bereits erteilte Einwilligungen können Sie unter /api/dsgvo/consent-withdraw widerrufen.

5. Registrierung und Nutzerkonto

5.1 Erfasste Daten bei Registrierung

  • E-Mail-Adresse (erforderlich)
  • Name (erforderlich)
  • Benutzername (optional)
  • Passwort (verschlüsselt gespeichert)
  • Zwei-Faktor-Authentifizierung (optional)

5.2 Soziale Anmeldung

Sie können sich über folgende Dienste anmelden:

Dabei werden Ihr Name und Ihre E-Mail-Adresse übermittelt.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) Speicherdauer: Bis zur Kontolöschung

6. Angebotserstellung und KI-Nutzung

6.1 Verarbeitung von Angebotsdaten

Bei der Erstellung von Angeboten verarbeiten wir:

  • Projektbeschreibungen und Anforderungen
  • Kundendaten (Name, Unternehmen, Kontaktdaten)
  • Preise und Konditionen
  • Erstellungs- und Änderungszeitstempel

6.2 KI-gestützte Textgenerierung

Unser Service nutzt Claude von Anthropic zur Unterstützung bei der Angebotserstellung.

Welche Daten werden an Anthropic übermittelt?

Zur Generierung von Angebotstexten werden folgende Daten an die Claude-API übermittelt:

  • Projektbeschreibung und Anforderungen (Ihre Eingabe)
  • Projekttyp und Branche
  • Gewünschter Umfang (geschätzte Stunden)
  • Name des Kunden/Unternehmens (sofern im Formular angegeben)
  • Gewählte Vorlage (Template-Scope, sofern ausgewählt)

Nicht übermittelt werden: Passwörter, E-Mail-Adressen, Zahlungsdaten, Steuernummern oder andere sensible Kontodaten.

Verarbeitung durch Anthropic

  • Serverstandort: USA (San Francisco)
  • Transfermechanismus: Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Datenaufbewahrung: Anthropic nutzt eine Zero Data Retention Policy für API-Anfragen — Ihre Eingaben werden nach der Verarbeitung nicht dauerhaft gespeichert
  • Kein KI-Training: Ihre Daten werden nicht zum Training der KI-Modelle verwendet (API Terms of Service)
  • Auftragsverarbeitung: Anthropic verarbeitet die Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO

Auftragsverarbeitungsvertrag: Abgeschlossen gemäß Art. 28 DSGVO Datenschutzerklärung Anthropic: anthropic.com/privacy

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die KI-Generierung ist Kernbestandteil des Dienstes, den Sie mit Ihrer Registrierung in Anspruch nehmen.

7. Elektronische Signaturen

7.1 Signaturverarbeitung

Wenn Kunden ein Angebot elektronisch unterzeichnen, erfassen wir:

  • Name des Unterzeichners
  • E-Mail-Adresse des Unterzeichners
  • Signatur (gezeichnet oder getippt)
  • Zeitstempel der Unterzeichnung
  • IP-Adresse (für Beweissicherung)
  • Browser-Informationen (User-Agent)
  • Hash des Dokuments zum Zeitpunkt der Signatur

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Signatur als Vertragsbestandteil)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (IP-Adresse und Browser-Informationen zur Beweissicherung, Betrugsprävention und Nachweis der Vertragsbedingungen bei Streitigkeiten)

Speicherdauer:

  • Signierte Verträge und zugehörige Audit-Daten (einschließlich IP-Adressen): 10 Jahre nach Vertragsschluss (HGB §257)
  • Nach Ablauf der Aufbewahrungsfrist werden IP-Adressen anonymisiert oder gelöscht

7.2 Sicherheitsmaßnahmen für Signaturen

  • Signaturen werden mit AES-256-GCM verschlüsselt gespeichert
  • Integritätsprüfung durch kryptographische Hashes
  • Dokumenten-Hash zur Nachweis der Unveränderlichkeit

8. Datei-Uploads

8.1 Profilbilder und Logos

Beim Hochladen von Bildern werden diese:

  • Auf Dateityp und Inhalt validiert (Magic-Byte-Prüfung)
  • Automatisch neu kodiert zur Entfernung versteckter Daten
  • Mit Server-seitiger Verschlüsselung (AES-256) gespeichert
  • In isolierten Mandanten-Ordnern abgelegt

Erlaubte Dateitypen: JPEG, PNG, WebP, GIF Maximale Dateigröße: 5 MB

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

9. Zahlungsabwicklung

9.1 Stripe — Abonnement-Zahlungen

Zahlungen für Ihre Plattform-Abonnements (Starter, Pro) werden über Stripe, Inc. abgewickelt. Dabei werden Ihre Zahlungsdaten direkt an Stripe übermittelt:

  • Name und Rechnungsadresse
  • Zahlungsmittelinformationen
  • Transaktionsdaten

Auftragsverarbeitungsvertrag: Abgeschlossen gemäß Art. 28 DSGVO Datenschutzerklärung: stripe.com/privacy Sitz: USA (DPF-zertifiziert)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

9.2 Stripe Connect — Zahlungsabwicklung für Angebote

Freiberufler können in ihren Angeboten eine Zahlungsfunktion aktivieren. Die Abwicklung erfolgt über Stripe Connect (Standard). Dabei agiert Proposal Air als Stripe-Plattformkonto; die tatsächliche Zahlung wird auf das verbundene Stripe-Konto des jeweiligen Freiberuflers weitergeleitet.

Für Freiberufler (Kontoinhaber)

Beim Verbinden Ihres Stripe-Kontos über Stripe Connect übermitteln Sie Daten direkt an Stripe, Inc. (Identitätsnachweis, Bankverbindung, Steuerdaten). Diese Daten unterliegen ausschließlich Stripes eigenem Onboarding-Prozess und Datenschutzbedingungen. Proposal Air erhält lediglich den Verbindungsstatus (verbunden/nicht verbunden) sowie die Stripe-Account-ID.

Für Kunden (Angebotsempfänger)

Wenn ein Freiberufler die Zahlungsoption in einem Angebot aktiviert hat, werden nach der elektronischen Unterzeichnung folgende Zahlungsdaten erhoben:

  • Karteninhabername und Rechnungsadresse
  • Zahlungsmittelinformationen (werden direkt an Stripe übermittelt, nie auf Proposal-Air-Servern gespeichert)
  • Transaktionsbetrag und Zahlungsstatus
  • IP-Adresse (für Betrugsprävention durch Stripe)

Die Zahlungsabwicklung erfolgt über eine sichere Stripe-Checkout-Sitzung. Proposal Air speichert keine vollständigen Kartendaten, sondern lediglich den Transaktionsstatus, die Stripe-Session-ID und ggf. eine Quittungs-URL.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Abwicklung der vereinbarten Zahlung zwischen Freiberufler und Kunde) Auftragsverarbeitungsvertrag: Abgeschlossen mit Stripe gemäß Art. 28 DSGVO Datenschutzerklärung Stripe: stripe.com/privacy Stripe Connected Account Agreement: stripe.com/connect-account/legal Sitz: USA (DPF-zertifiziert)

10. E-Mail-Versand

Für den Versand von E-Mails nutzen wir Resend Inc. als externen Dienstleister:

  • Transaktions-E-Mails (Registrierung, Passwort-Reset)
  • Angebotsbenachrichtigungen (Versand, Annahme, Ablehnung)
  • Zahlungsbenachrichtigungen (Zahlungseingang an Freiberufler, Zahlungsbestätigung an Kunden)
  • Erinnerungen (Ablaufende Angebote, Zahlungserinnerungen)

Dabei werden E-Mail-Adresse, Name und Nachrichteninhalt an Resend übermittelt.

Auftragsverarbeitungsvertrag: Abgeschlossen gemäß Art. 28 DSGVO Datenschutzerklärung: resend.com/legal/privacy-policy Sitz: USA (SCCs als Transfermechanismus)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

11. Hosting und Infrastruktur

11.1 Vercel (Hosting)

Unsere Website wird bei Vercel Inc. gehostet:

  • Server-Standort: EU (Frankfurt)
  • DPF-zertifiziert für Datenübermittlung in die USA
  • Auftragsverarbeitungsvertrag abgeschlossen

Datenschutzerklärung: vercel.com/legal/privacy-policy

11.2 Vercel Analytics (Webanalyse)

Wir nutzen Vercel Analytics zur Analyse der Website-Nutzung. Der Dienst wird nur mit Ihrer Einwilligung (Analyse-Cookies im Cookie-Banner) aktiviert.

  • Erhobene Daten: Seitenaufrufe, Referrer, Gerätetyp, Betriebssystem, Browser, geografischer Standort (Land/Region)
  • Keine personenbezogenen Identifikatoren: Vercel Analytics arbeitet ohne persönliche Identifikatoren und setzt keine eigenen Cookies
  • Serverstandort: EU (Frankfurt)
  • Auftragsverarbeitungsvertrag: Abgeschlossen gemäß Art. 28 DSGVO

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) Datenschutzerklärung: vercel.com/legal/privacy-policy

11.3 Sentry (Fehlerüberwachung)

Wir nutzen Sentry (Functional Software, Inc.) zur Überwachung und Behebung von Anwendungsfehlern.

  • Zweck: Erkennung, Diagnose und Behebung von technischen Fehlern und Performance-Problemen
  • Erhobene Daten: Fehlermeldungen, Stack-Traces, Browser-Informationen, Betriebssystem, IP-Adresse (gekürzt), Gerätetyp, Zeitstempel
  • Keine Inhaltsdaten: Ihre Angebote, Rechnungen oder sonstige Geschäftsdaten werden nicht an Sentry übermittelt
  • Sitz: San Francisco, USA
  • Transfermechanismus: EU-US Data Privacy Framework (DPF)
  • Auftragsverarbeitungsvertrag: Abgeschlossen gemäß Art. 28 DSGVO
  • Speicherdauer: 90 Tage

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — die Sicherstellung der Funktionsfähigkeit und Sicherheit unseres Dienstes Datenschutzerklärung: sentry.io/privacy

11.4 Supabase (Datenbank)

Unsere Datenbank wird bei Supabase Inc. gehostet:

  • Server-Standort: EU (Irland, AWS eu-west-1)
  • Auftragsverarbeitungsvertrag abgeschlossen
  • Daten werden verschlüsselt gespeichert (Encryption at Rest)

Datenschutzerklärung: supabase.com/privacy

12. Ihre Rechte

12.1 Übersicht Ihrer Rechte

| Recht | DSGVO Artikel | Umsetzung | |-------|---------------|-----------| | Auskunft | Art. 15 | /api/dsgvo/data-export | | Berichtigung | Art. 16 | /api/dsgvo/data-rectify | | Löschung | Art. 17 | /api/dsgvo/data-delete | | Einschränkung | Art. 18 | Kontaktieren Sie uns | | Mitteilungspflicht | Art. 19 | Automatisch bei Berichtigung/Löschung | | Datenübertragbarkeit | Art. 20 | /api/dsgvo/data-export | | Widerspruch | Art. 21 | Kontaktieren Sie uns | | Widerruf der Einwilligung | Art. 7 Abs. 3 | /api/dsgvo/consent-withdraw |

12.2 Automatisierte Rechteausübung

Sie können Ihre Rechte selbstständig über Ihr Nutzerkonto ausüben:

Datenexport:

POST /api/dsgvo/data-export

Exportiert alle Ihre personenbezogenen Daten als JSON-Datei.

Kontolöschung:

POST /api/dsgvo/data-delete
Body: { "confirmation": "DELETE_MY_ACCOUNT" }

Löscht Ihr Konto und alle zugehörigen Daten.

Einwilligungswiderruf:

POST /api/dsgvo/consent-withdraw
Body: { "consentTypes": ["analytics", "functional"] }

12.3 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnort.

13. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein:

13.1 Technische Maßnahmen

  • TLS 1.3 Verschlüsselung für alle Datenübertragungen
  • AES-256-GCM Verschlüsselung für sensible Daten (Signaturen)
  • Sichere Passwort-Speicherung mit modernen Hash-Algorithmen
  • Zwei-Faktor-Authentifizierung optional verfügbar
  • Rate Limiting zum Schutz vor Brute-Force-Angriffen
  • CSRF-Schutz für alle Formulare
  • Content Security Policy (CSP) gegen XSS-Angriffe
  • Regelmäßige Sicherheitsupdates

13.2 Organisatorische Maßnahmen

  • Zugriffsbeschränkungen nach dem Need-to-know-Prinzip
  • Regelmäßige Schulung der Mitarbeiter
  • Dokumentierte Prozesse für Datenschutzvorfälle

13.3 Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten gehen wir wie folgt vor:

  1. Interne Erkennung und Bewertung: Sicherheitsvorfälle werden durch automatisierte Überwachung (Security-Event-Logging, Anomalie-Erkennung) und manuelle Prüfung erkannt. Jeder Vorfall wird unverzüglich auf Schwere und Umfang bewertet.

  2. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Wenn eine Datenschutzverletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, melden wir diese innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutz-Aufsichtsbehörde. Die Meldung umfasst: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl der Betroffenen, wahrscheinliche Folgen sowie ergriffene Gegenmaßnahmen.

  3. Benachrichtigung der Betroffenen (Art. 34 DSGVO): Wenn die Verletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, informieren wir Sie unverzüglich per E-Mail über die Art der Verletzung, mögliche Auswirkungen und die von uns ergriffenen Maßnahmen.

  4. Dokumentation: Alle Datenschutzverletzungen werden vollständig dokumentiert, einschließlich aller Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen, unabhängig davon, ob eine Meldepflicht besteht.

Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon: +49 611 1408-0 E-Mail: poststelle@datenschutz.hessen.de

14. Speicherdauer und Löschung

| Datenkategorie | Speicherdauer | Rechtsgrundlage | |----------------|---------------|-----------------| | Nutzerkonto | Bis zur Löschung | Vertragserfüllung | | Angebote (nicht signiert) | Bis zur Löschung | Vertragserfüllung | | Signierte Verträge | 10 Jahre | HGB §257 | | E-Signaturen | 10 Jahre | HGB §257 | | Zahlungstransaktionen | 10 Jahre | HGB §147 Abs. 1 | | Server-Logs | 7-30 Tage | Berechtigtes Interesse | | Sessions | Automatischer Ablauf | Vertragserfüllung | | AI-Chats | Bis zur Löschung | Vertragserfüllung |

15. Datenübermittlung in Drittländer

Einige unserer Dienstleister befinden sich außerhalb der EU/EWR:

| Dienst | Land | Garantie | |--------|------|----------| | Vercel | USA | EU-US Data Privacy Framework (DPF) | | Sentry | USA | EU-US Data Privacy Framework (DPF) | | Stripe | USA | EU-US Data Privacy Framework (DPF) | | Anthropic | USA | Standardvertragsklauseln (SCCs) | | Resend | USA | Standardvertragsklauseln (SCCs) |

Die Übermittlung erfolgt auf Basis von Angemessenheitsbeschlüssen (Art. 45 DSGVO) oder Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

16. Minderjährige

Unser Dienst richtet sich an Unternehmer und Geschäftskunden. Personen unter 16 Jahren dürfen unseren Dienst nicht nutzen.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.

Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

18. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

Datenschutz-Anfragen: E-Mail: support@proposalair.io

Stand: März 2026 Version: 2.5