Datenschutzerklärung

Verantwortlicher ist v9Labs GmbH i.G., Ostfildern, Deutschland. Kontakt: privacy@v9labs.de. Vollständige Anbieterangaben stehen im Impressum. Ein Datenschutzbeauftragter ist derzeit nicht bestellt, weil nach unserer aktuellen Einschätzung keine gesetzliche Pflicht dazu besteht.

Manager: Name, soweit angegeben, E-Mail-Adresse, Rechnungsadresse, USt-IdNr., Bestell- und Zahlungsreferenzen sowie notwendige Login- und Sitzungsdaten.

Teilnehmer: E-Mail-Adresse zur Einladung und Authentifizierung, Inhalte des Workshop-Gesprächs, daraus abgeleitete Teilnehmerunterlagen sowie technische Sitzungsdaten. Die E-Mail-Adresse erhalten wir regelmäßig vom einladenden Manager oder vom Unternehmen.

Optionale Spracheingabe: Wenn Teilnehmer die Diktierfunktion nutzen, wird das Audiosignal nur zur Transkription an AWS Transcribe in Frankfurt (eu-central-1) übermittelt. Audio wird nicht gespeichert und nicht zur biometrischen Identifikation genutzt.

Betriebsdaten: IP-Adresse, User-Agent, Audit-Logs, technische Zustellereignisse, Token- und Kostendaten der KI-Inferenz. Diese Daten nutzen wir für Sicherheit, Fehlerdiagnose, Zustellung und Kostenkontrolle.

Wir verarbeiten Managerdaten zur Vertragserfüllung und Kontoverwaltung (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Erfüllung gesetzlicher Buchführungs- und Steuerpflichten (Art. 6 Abs. 1 lit. c DSGVO). Zahlungsdaten werden über Stripe verarbeitet; v9Labs erhält keine vollständigen Karten- oder Kontodaten.

Teilnehmer-E-Mail-Adressen verarbeiten wir zur Durchführung des vom Manager beauftragten Workshops auf Grundlage berechtigter Interessen des Managers und von v9Labs (Art. 6 Abs. 1 lit. f DSGVO). Die Inhalte des Workshop-Gesprächs verarbeiten wir nach Bestätigung der Datenschutzhinweise beim Start der Session (Art. 6 Abs. 1 lit. a DSGVO) und zur Durchführung des Workshops.

Sicherheits-, Audit- und Kostentelemetrie verarbeiten wir auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO): sicherer Betrieb, Missbrauchsschutz, Fehlerbehebung und Kostenkontrolle.

Der Manager sieht die E-Mail-Adressen der eingeladenen Personen, weil er diese Adressen für Einladung, Statusübersicht und Follow-up benötigt. Der Manager sieht jedoch keine individuellen Antworten, keine Gesprächsverläufe, keine persönlichen Teilnehmerunterlagen und keine pro Teilnehmer zuordenbaren Synthese-Ergebnisse.

Die Auswertung am Ende eines Workshops ist immer aggregiert. Es gibt keinen Admin-Override, mit dem ein Manager individuelle Antworten freischalten könnte.

Workshop-Inhalte, Gesprächsverläufe, abgeleitete Teilnehmerunterlagen, Einladungen und Synthesen werden 90 Tage nach Ende des Teilnahmefensters automatisch gelöscht, sofern der Manager keine frühere Löschung veranlasst.

Verschlüsselte Backups können gelöschte Daten noch bis zu 30 Tage enthalten, bevor sie durch den Backup-Zyklus überschrieben werden. Rechnungs- und Buchungsdaten bewahren wir gemäß § 147 AO in der Regel 10 Jahre auf. Audit-Logs und Stripe-Webhook-Ereignisse werden 90 Tage aufbewahrt.

Wir setzen folgende Auftragsverarbeiter ein:

• Hetzner Online GmbH — Hosting in Falkenstein, Deutschland.
• Amazon Web Services EMEA SARL — KI-Inferenz über Amazon Bedrock, E-Mail-Versand über Amazon SES und optionale Sprache-zu-Text-Verarbeitung über Amazon Transcribe; jeweils in Frankfurt (eu-central-1).
• Stripe Payments Europe Ltd. — Zahlungsabwicklung, Rechnungsstellung und Zahlungsbelege. Stripe kann einzelne operative Vorgänge in den USA unter Standardvertragsklauseln verarbeiten.

Die aktuelle Liste steht unter /legal/processors. Den Auftragsverarbeitungsvertrag finden Sie unter /legal/dpa.

Hosting, KI-Inferenz, E-Mail-Versand und Transkription finden in der Europäischen Union statt. Insbesondere nutzen wir keine direkte Anthropic-API; Claude läuft über Amazon Bedrock in Frankfurt und Cross-Region-Inferenz ist deaktiviert. Drittlandtransfers können nur bei Stripe für einzelne operative Zahlungsvorgänge entstehen und werden über Standardvertragsklauseln abgesichert.

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Soweit eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Anfragen stellen Sie über /legal/data-request oder per E-Mail an privacy@v9labs.de. Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Die Bereitstellung von Managerdaten ist für Vertragsschluss, Zahlung und Workshop-Verwaltung erforderlich. Die Bereitstellung von Teilnehmerdaten ist freiwillig; ohne E-Mail-Adresse kann keine Einladung zugestellt werden, und ohne Workshop-Antworten kann keine sinnvolle Auswertung entstehen.

Die Plattform erstellt KI-gestützte Zusammenfassungen und Vorschläge. Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder Sie in vergleichbarer Weise erheblich beeinträchtigt. Manager erhalten keine individuellen Leistungsprofile.

Wir nutzen TLS 1.3 mit HSTS, rollenbeschränkte Zugriffe, SSH-Public-Key-Authentifizierung, restriktive Dateirechte für die SQLite-Datenbank, verschlüsselte restic-Backups in einer zweiten Hetzner-Region und Audit-Logs für privacy-relevante Aktionen.

Wir benachrichtigen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis einer Datenschutzverletzung, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Betroffene Manager und, soweit erforderlich, Teilnehmer informieren wir ohne unangemessene Verzögerung. Sicherheitsmeldungen erreichen uns unter security@v9labs.de.

Wir aktualisieren diese Erklärung, wenn sich Verarbeitung, Subunternehmer, Aufbewahrung oder Rechtsgrundlagen ändern. Das Datum oben zeigt den aktuellen Stand.