Zurueck zur Startseite

Datenschutzerklaerung

Datenschutzhinweise gemaess der DSGVO — AI Readiness Check for Finance

§ 1 Verantwortlicher

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

ECODYNAMICS GmbH
Geschaeftsfuehrer: Hamidreza Hosseini
Rheinpromenade 9
40789 Monheim am Rhein
Deutschland

Telefon: +49 (2173) 297 2024
E-Mail: info@ecodynamics.de
Webseite: www.ecodynamics.de

Handelsregister: Amtsgericht Duesseldorf, HRB 105909
USt-IdNr.: DE308551490

§ 2 Datenschutzbeauftragter

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an unseren Datenschutzbeauftragten:

Datenschutzbeauftragter
ECODYNAMICS GmbH
Rheinpromenade 9
40789 Monheim am Rhein
Deutschland
E-Mail: datenschutz@ecodynamics.de

Die zustaendige Aufsichtsbehoerde ist:

Die Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestrasse 2-4
40213 Duesseldorf
Telefon: +49 (211) 38424-0
E-Mail: poststelle@ldi.nrw.de
Webseite: www.ldi.nrw.de

§ 3 Uebersicht der Datenverarbeitungen

Die AI Readiness Check for Finance Plattform ("der Dienst") ist eine Software-as-a-Service (SaaS)-Anwendung, die es Organisationen ermoeglicht, ihre Finance-KI-Bereitschaft in mehreren Dimensionen durch standardisierte Frageboegen zu bewerten und automatisierte Analysen, Reifegradwerte und KI-gestuetzte Management-Reports zu erhalten. In diesem Zusammenhang verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Kontodaten (Name, E-Mail-Adresse, Organisationsname, Rolle, Abteilung)
  • Assessment-Antworten und Reifegradwerte in 6 Dimensionen
  • KI-generierte Management-Reports und Massnahmenplaene
  • Zahlungs- und Rechnungsdaten (verarbeitet ueber Stripe)
  • Technische Nutzungsdaten (Server-Logdateien, Sitzungsinformationen, IP-Adressen)
  • Kommunikationsdaten (Kontaktformular-Anfragen, Demo-Anfragen)

§ 4 Server-Logdateien

Der Hosting-Anbieter (Vercel) erhebt und speichert automatisch Informationen in Server-Logdateien, die Ihr Browser automatisch uebermittelt. Dies sind:

  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer-URL (die zuvor besuchte Seite)
  • Hostname des zugreifenden Rechners
  • IP-Adresse (soweit technisch moeglich anonymisiert)
  • Uhrzeit der Serveranfrage
  • Anfragedetails (URL-Pfad, HTTP-Methode, Statuscode)

Diese Daten werden nicht mit anderen Datenquellen zusammengefuehrt. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung des Dienstes. Server-Logdateien werden nach 90 Tagen automatisch geloescht.

§ 5 Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Vertragserfullung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung von Kontodaten, Assessment-Antworten, Berichterstellung und Abonnementverwaltung ist fuer die Erbringung unserer SaaS-Dienste erforderlich.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Technische Logdateien, Fehlerueberwachung (Sentry) und Nutzungsanalysen werden verarbeitet, um die Systemsicherheit zu gewaehrleisten, Missbrauch zu verhindern und unsere Dienste zu verbessern.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sofern anwendbar, verarbeiten wir Daten auf Grundlage Ihrer ausdruecklichen Einwilligung, z. B. fuer Demo-Anfragen, Newsletter-Anmeldungen oder Kontaktanfragen. Sie koennen Ihre Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Wir verarbeiten bestimmte Daten zur Erfuellung gesetzlicher Verpflichtungen, z. B. die Aufbewahrung von Rechnungsdaten nach handels- und steuerrechtlichen Vorschriften (§ 147 AO, § 257 HGB).

§ 6 Hosting und technische Infrastruktur

Unsere Plattform wird ueber folgende Infrastruktur gehostet:

a) Anwendungs-Hosting (Vercel)

Die Webanwendung wird ueber Vercel (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) bereitgestellt. Vercel stellt statische Inhalte und serverlose Funktionen von Edge-Standorten bereit, einschliesslich EU-basierter Rechenzentren. Wir haben einen Auftragsverarbeitungsvertrag (AVV) mit Vercel gemaess Art. 28 DSGVO abgeschlossen.

b) Datenbank und Authentifizierung (Supabase)

Alle Benutzerdaten, Assessment-Ergebnisse und Anwendungsdaten werden in einer PostgreSQL-Datenbank gespeichert, die von Supabase (Supabase Inc.) in der EU-Region (Rechenzentrum Frankfurt, AWS eu-central-1) gehostet wird. Supabase stellt sowohl das Datenbank-Hosting als auch die Authentifizierungsdienste (Supabase Auth) bereit. Alle gespeicherten Daten sind verschluesselt (AES-256) und alle Verbindungen nutzen TLS 1.2+ Verschluesselung. Das Rechenzentrum befindet sich in Frankfurt am Main, Deutschland, wodurch die vollstaendige Einhaltung der deutschen und europaeischen Datenschutzbestimmungen gewaehrleistet wird. Wir haben einen Auftragsverarbeitungsvertrag (AVV) mit Supabase abgeschlossen.

c) Auftragsverarbeitungsvertraege

Wir haben mit allen an der Verarbeitung personenbezogener Daten beteiligten Unterauftragsverarbeitern Auftragsverarbeitungsvertraege (AVV) gemaess Art. 28 DSGVO abgeschlossen. Soweit Daten in Laender ausserhalb der EU/des EWR uebermittelt werden, sind geeignete Garantien (EU-Standardvertragsklauseln und/oder das EU-US Data Privacy Framework) vorhanden.

§ 7 Unterauftragsverarbeiter

Wir setzen folgende Unterauftragsverarbeiter fuer die Erbringung unseres Dienstes ein. Mit allen Unterauftragsverarbeitern wurden Auftragsverarbeitungsvertraege (AVV) gemaess Art. 28 DSGVO abgeschlossen:

DienstAnbieterZweckStandortRechtsgrundlage
VercelVercel Inc., USAApp-Hosting, Edge-Funktionen, CDNEdge (EU+)Art. 28 DSGVO + SCCs
SupabaseSupabase Inc., USAPostgreSQL-Datenbank, Authentifizierung (Supabase Auth)Frankfurt (EU)Art. 28 DSGVO + SCCs
AnthropicAnthropic PBC, USAKI-Report-Generierung (Claude)USAArt. 28 DSGVO + SCCs + EU-US DPF
StripeStripe Payments Europe, Ltd., IrelandZahlungsabwicklung, AbonnementverwaltungEU (Irland)Art. 28 DSGVO
ResendResend Inc., USATransaktions-E-Mails (Benachrichtigungen, Passwort-Zuruecksetzungen)USAArt. 28 DSGVO + SCCs
SentryFunctional Software Inc., USAFehlerueberwachung, LeistungsverfolgungUSAArt. 28 DSGVO + SCCs

§ 8 Verarbeitung von Zahlungsdaten (Stripe)

(1) Fuer die Abwicklung von Zahlungen und die Verwaltung von Abonnements setzen wir Stripe Payments Europe, Ltd. (Dublin, Irland) als Zahlungsdienstleister ein. Stripe ist PCI DSS Level 1 zertifiziert — die hoechste Stufe der Zahlungssicherheitszertifizierung.

(2) Folgende Daten werden an Stripe uebermittelt: E-Mail-Adresse, Firmenname, Rechnungsadresse und Zahlungsmethoden-Details (Kreditkarte oder andere). Wir speichern keine Kreditkartennummern oder CVV-Codes auf unseren Servern — diese werden ausschliesslich von Stripe in deren PCI-konformer Umgebung verarbeitet.

(3) Die Rechtsgrundlage fuer die Verarbeitung von Zahlungsdaten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung). Stripe verarbeitet Daten innerhalb der EU (Irland). Weitere Details in Stripes Datenschutzerklaerung unter: https://stripe.com/privacy

§ 9 Benutzerauthentifizierung

(1) Die Benutzerauthentifizierung erfolgt ueber Supabase Auth. Bei der Registrierung eines Kontos erheben wir Ihre E-Mail-Adresse und Ihr Passwort. Passwoerter werden mittels bcrypt sicher gehasht und niemals im Klartext gespeichert.

(2) Wir unterstuetzen E-Mail/Passwort-basierte Authentifizierung. Die Authentifizierungsdaten (Session-Tokens, Refresh-Tokens) werden im Supabase-Projekt im Rechenzentrum Frankfurt (EU) gespeichert. Session-Tokens werden als HTTP-only Cookies in Ihrem Browser gespeichert.

(3) Die Rechtsgrundlage fuer die Verarbeitung von Authentifizierungsdaten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) — die Authentifizierung ist fuer die Bereitstellung des Dienstzugangs erforderlich.

§ 10 Zwecke der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten fuer folgende Zwecke:

  • Kontoverwaltung: Registrierung, Anmeldung, Passwortverwaltung und Administration Ihres Benutzerkontos (Art. 6 Abs. 1 lit. b DSGVO).
  • Assessment-Verarbeitung: Speicherung, Auswertung und Auto-Speicherung Ihrer Finance-KI-Bereitschafts-Assessment-Antworten in 6 Dimensionen, einschliesslich Reifegradwertung und Klassifizierung (Art. 6 Abs. 1 lit. b DSGVO).
  • KI-Berichterstellung: Erstellung von Management-Reports, Massnahmenplaenen, Spinnendiagrammen, Heatmaps und Quadrantenmatrizen mittels Anthropic Claude (Art. 6 Abs. 1 lit. b DSGVO).
  • Zahlungsabwicklung: Verarbeitung von Abonnementzahlungen und Rechnungsstellung ueber Stripe (Art. 6 Abs. 1 lit. b DSGVO).
  • Transaktions-E-Mails: Versand von Systembenachrichtigungen, Freigabebenachrichtigungen und Passwort-Zuruecksetzungen ueber Resend (Art. 6 Abs. 1 lit. b DSGVO).
  • Fehlerueberwachung: Ueberwachung von Anwendungsfehlern und Leistung ueber Sentry zur Gewaehrleistung der Dienststabilitaet (Art. 6 Abs. 1 lit. f DSGVO).
  • Analyse und Verbesserung: Aggregierte, anonymisierte Analyse von Assessment-Daten zur Verbesserung unserer Plattform und Benchmarks (Art. 6 Abs. 1 lit. f DSGVO).
  • Verwaltungsfunktionen: Admin-Freigabe-Workflows fuer Benutzerregistrierungen und Berichtsfreigaben (Art. 6 Abs. 1 lit. b DSGVO).
  • Kommunikation: Verarbeitung von Demo-Anfragen und Kontaktformular-Anfragen (Art. 6 Abs. 1 lit. a oder b DSGVO).

§ 11 Cookies und lokaler Speicher

Unsere Plattform verwendet ausschliesslich technisch notwendige Cookies und lokale Speichereintraege gemaess § 25 Abs. 2 Nr. 2 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Diese sind fuer die Funktion des Dienstes unerlaesslich und erfordern keine Einwilligung:

  • Sitzungs-Cookies (Supabase Auth): Werden fuer die Authentifizierung und Aufrechterhaltung Ihrer Anmeldesitzung verwendet. HTTP-only Cookies, gesetzt von Supabase Auth. Unerlaesslich fuer den sicheren Zugang zur Plattform.
  • Spracheinstellung (localStorage): Ihre Sprachauswahl (DE/US) wird im localStorage des Browsers unter dem Schluessel "preferred-language" zur Benutzerfreundlichkeit gespeichert.
  • Design-Einstellung (localStorage): Ihre Hell-/Dunkelmodus-Einstellung wird im localStorage gespeichert.
  • Auto-Save-Daten (localStorage): Der Assessment-Fortschritt wird voruebergehend im localStorage gespeichert, um Datenverlust waehrend des Assessment-Prozesses zu verhindern.
  • Stripe-Cookies: Betrugsschutz-Cookies, die von Stripe waehrend des Zahlungsprozesses gesetzt werden. Diese sind technisch notwendig fuer die sichere Zahlungsabwicklung.

Wir verwenden keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies. Wir verwenden weder Google Analytics, Facebook Pixel noch aehnliche Tracking-Dienste Dritter. Da wir ausschliesslich technisch notwendige Cookies und lokalen Speicher verwenden, ist gemaess § 25 Abs. 2 Nr. 2 TTDSG kein Einwilligungs-Banner erforderlich.

§ 12 Kontakt und Kommunikation

(1) Wenn Sie uns ueber das Kontaktformular, per E-Mail oder ueber das Demo-Anfrageformular kontaktieren, werden die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Organisation, Nachrichteninhalt) zum Zweck der Bearbeitung Ihrer Anfrage und fuer den Fall von Anschlussfragen gespeichert.

(2) Kontaktanfragen werden 6 Monate nach vollstaendiger Bearbeitung der Anfrage gespeichert, sofern keine laengere Aufbewahrung aus vertraglichen Gruenden erforderlich ist. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen).

(3) Wir geben Ihre Daten aus Kontaktanfragen ohne Ihre Einwilligung nicht weiter. Sie koennen jederzeit die Loeschung Ihrer Kontaktdaten verlangen, indem Sie an datenschutz@ecodynamics.de schreiben.

§ 13 Datenuebermittlung in Drittlaender

Ihre personenbezogenen Daten, einschliesslich aller Assessment-Daten, Berichte und Kontoinformationen, werden ausschliesslich in Rechenzentren innerhalb der Europaeischen Union (Frankfurt, Deutschland) gespeichert. Im Rahmen der Diensterbringung erfolgen jedoch Datenuebermittlungen in die USA in folgenden Faellen:

  • Vercel: Fuer die Bereitstellung der Webanwendung (statische Inhalte und serverlose Funktionen) kann Vercel Edge-Standorte ausserhalb der EU nutzen. Es werden keine personenbezogenen Daten dauerhaft ausserhalb der EU gespeichert. Die Uebermittlung ist durch EU-Standardvertragsklauseln (SCCs) gemaess Art. 46 Abs. 2 lit. c DSGVO abgesichert.
  • Anthropic (Claude AI): Fuer die Erstellung KI-gestuetzter Management-Reports werden Assessment-Antworten (anonymisierte Fragebogenantworten, Reifegradwerte — keine unmittelbar identifizierenden personenbezogenen Daten wie Name oder E-Mail) an die Server von Anthropic in den USA uebermittelt. Die Uebermittlung ist durch EU-Standardvertragsklauseln (SCCs) und das EU-US Data Privacy Framework (DPF) abgesichert. Anthropic verwendet uebermittelte Daten gemaess ihren Datenverarbeitungsbedingungen nicht fuer das Modelltraining.
  • Resend: Fuer den Versand transaktionaler E-Mails (z. B. Freigabebenachrichtigungen, Passwort-Zuruecksetzungen) werden E-Mail-Adressen und Nachrichteninhalte an Resend Inc. in den USA uebermittelt. Die Uebermittlung ist durch SCCs abgesichert.
  • Sentry: Fuer die Fehlerueberwachung und Leistungsverfolgung werden technische Fehlerdaten (die ggf. beilaefig IP-Adressen, User-Agent-Strings oder Benutzerkennungen enthalten koennen) an Functional Software Inc. (Sentry) in den USA uebermittelt. Die Uebermittlung ist durch SCCs abgesichert.

Alle Uebermittlungen in Drittlaender sind durch angemessene Garantien gemaess Art. 46 DSGVO abgesichert, einschliesslich EU-Standardvertragsklauseln (SCCs) und, soweit anwendbar, dem EU-US Data Privacy Framework (DPF) gemaess dem Angemessenheitsbeschluss der Europaeischen Kommission vom 10. Juli 2023.

§ 14 SSL-/TLS-Verschluesselung

Diese Website nutzt aus Sicherheitsgruenden und zum Schutz der Uebertragung vertraulicher Inhalte, wie z. B. Assessment-Daten, Anmeldedaten und Zahlungsinformationen, eine SSL-/TLS-Verschluesselung. Eine verschluesselte Verbindung erkennen Sie an dem "https://"-Praefix in der Adresszeile Ihres Browsers und dem Schloss-Symbol.

Saemtliche API-Kommunikation zwischen der Client-Anwendung, Vercel-serverlosen Funktionen, Supabase, Anthropic, Stripe und Resend ist mit TLS 1.2 oder hoeher verschluesselt. Die in der Supabase-PostgreSQL-Datenbank gespeicherten Daten sind mit AES-256 verschluesselt.

§ 15 Technische und organisatorische Massnahmen (TOM)

Wir setzen angemessene technische und organisatorische Massnahmen gemaess Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau zu gewaehrleisten, darunter:

  • TLS/SSL-Verschluesselung fuer alle uebertragenen Daten (TLS 1.2+)
  • AES-256-Verschluesselung der gespeicherten Daten in der Datenbank
  • Sicheres Passwort-Hashing mittels bcrypt
  • Rollenbasierte Zugriffskontrolle (RBAC) mit Admin-, Benutzer- und Abteilungsrollen
  • Row Level Security (RLS)-Richtlinien in der PostgreSQL-Datenbank
  • Admin-Freigabe-Workflows fuer Benutzerregistrierungen und sensible Vorgaenge
  • Automatisierte Fehlerueberwachung und Benachrichtigung ueber Sentry
  • Regelmaessige Sicherheitsupdates und Abhaengigkeits-Patches
  • Trennung von Entwicklungs-, Staging- und Produktionsumgebungen
  • PCI DSS Level 1-Konformitaet fuer die Zahlungsabwicklung (ueber Stripe)
  • Anonymisierung von Assessment-Daten vor Uebermittlung an KI-Dienste

§ 16 Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es fuer die in dieser Datenschutzerklaerung genannten Zwecke erforderlich ist oder gesetzlich vorgeschrieben wird:

  • Kontodaten: Werden fuer die Dauer Ihres Kontos gespeichert. Loeschung innerhalb von 30 Tagen nach Antrag auf Kontoloeschung.
  • Assessment-Daten und Berichte: Werden fuer die Dauer Ihres Kontos gespeichert. Koennen auf Anfrage einzeln geloescht werden. Bei Kontoloeschung werden alle Assessment-Daten und Berichte innerhalb von 30 Tagen endgueltig geloescht.
  • Zahlungsdaten: Rechnungsdaten werden 10 Jahre lang gemaess handels- und steuerrechtlichen Anforderungen aufbewahrt (§ 147 AO, § 257 HGB). Kreditkartendaten werden ausschliesslich von Stripe gespeichert.
  • Server-Logdateien: Werden nach 90 Tagen automatisch geloescht.
  • Sentry-Fehlerprotokolle: Werden nach 90 Tagen gemaess den Sentry-Aufbewahrungsrichtlinien automatisch geloescht.
  • Kontaktanfragen: Werden 6 Monate nach vollstaendiger Bearbeitung der Anfrage gespeichert, sofern keine laengere Aufbewahrung aus vertraglichen Gruenden erforderlich ist.

Gesetzliche Aufbewahrungspflichten (z. B. nach dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO)) bleiben unberuehrt und koennen eine Aufbewahrung bestimmter Daten von bis zu 10 Jahren erfordern.

§ 17 Ihre Rechte als Betroffener

Gemaess der DSGVO stehen Ihnen folgende Rechte bezueglich Ihrer personenbezogenen Daten zu. Zur Ausuebung dieser Rechte kontaktieren Sie uns bitte unter datenschutz@ecodynamics.de. Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft ueber die von uns gespeicherten personenbezogenen Daten zu erhalten, einschliesslich der Verarbeitungszwecke, Datenkategorien und Empfaenger.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzueglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
  • Recht auf Loeschung (Art. 17 DSGVO): Sie haben das Recht, die Loeschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder ueberwiegende berechtigte Interessen bestehen.
  • Recht auf Einschraenkung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschraenkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Recht auf Datenportabilitaet (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gaengigen und maschinenlesbaren Format (z. B. JSON, CSV) zu erhalten und an einen anderen Verantwortlichen zu uebermitteln.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten auf Grundlage berechtigter Interessen jederzeit zu widersprechen, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben. Wir stellen die Verarbeitung dann ein, es sei denn, wir koennen zwingende schutzwuerdige Gruende nachweisen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung fuer die Zukunft zu widerrufen. Der Widerruf beruehrt nicht die Rechtmaessigkeit der auf der Einwilligung bis zum Widerruf beruhenden Verarbeitung.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehoerde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst. Die zustaendige Aufsichtsbehoerde ist die LDI NRW (siehe § 2 oben).

§ 18 Automatisierte Entscheidungsfindung und KI-Verarbeitung

Der AI Readiness Check for Finance generiert automatisierte Reifegradwerte und KI-gesteuerte Management-Reports auf Grundlage Ihrer Assessment-Antworten. Die KI-Verarbeitung funktioniert wie folgt:

  • KI-Dienstleister: Management-Reports und Massnahmenplaene werden mithilfe von Anthropic Claude (Anthropic PBC, San Francisco, USA) generiert.
  • An die KI uebermittelte Daten: Nur anonymisierte Assessment-Antworten (Fragebogenantworten, Reifegradwerte, Dimensionsergebnisse) werden an Anthropic gesendet. Keine unmittelbar identifizierenden personenbezogenen Daten (Name, E-Mail, IP-Adresse) werden uebermittelt. Die Daten werden nur soweit fuer die Erstellung aussagekraeftiger Berichte erforderlich mit dem Organisationsnamen und Assessment-Metadaten kontextuell angereichert.
  • Kein Training mit Ihren Daten: Anthropic verwendet uebermittelte Daten gemaess ihren kommerziellen Datenverarbeitungsbedingungen nicht fuer das Modelltraining.
  • Keine automatisierten Einzelentscheidungen: Die KI-generierten Berichte und Empfehlungen stellen keine rechtsverbindlichen automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO dar. Sie dienen ausschliesslich als Beratungswerkzeuge zur Unterstuetzung menschlicher Entscheidungsfindung.
  • Beratender Charakter: Die generierten Berichte und Empfehlungen dienen als Orientierungshilfe und ersetzen keine professionelle Beratung. Die Nutzer tragen die volle Verantwortung fuer Geschaeftsentscheidungen, die auf Grundlage KI-generierter Inhalte getroffen werden.

§ 19 Ihre Rechte bei KI-Verarbeitung (EU-KI-Verordnung)

In Uebereinstimmung mit den Transparenzpflichten der EU-KI-Verordnung (Verordnung (EU) 2024/1689) und ergaenzenden Bestimmungen der DSGVO stehen Ihnen folgende Rechte bezueglich KI-verarbeiteter Inhalte zu:

  • Recht auf Transparenz (Art. 50 EU-KI-Verordnung): Sie haben das Recht, darueber informiert zu werden, dass Inhalte mittels KI generiert wurden. KI-generierte Inhalte sind innerhalb der Plattform mit entsprechender Kennzeichnung als solche gekennzeichnet.
  • Recht auf Erklaerung: Sie haben das Recht, eine Erklaerung darueber zu verlangen, wie KI-generierte Ergebnisse aus Ihren Assessment-Daten abgeleitet wurden, einschliesslich der Methodik und Bewertungslogik. Bitte kontaktieren Sie datenschutz@ecodynamics.de.
  • Recht auf menschliche Ueberpruefung: Sie haben das Recht, eine menschliche Ueberpruefung und Verifizierung jedes KI-generierten Berichts oder jeder KI-generierten Empfehlung zu verlangen. Die menschliche Ueberpruefung kann ueber die Plattform oder durch direkte Kontaktaufnahme unter info@ecodynamics.de angefordert werden.
  • Recht auf Widerspruch gegen KI-Verarbeitung: Sie koennen die Assessment- und Bewertungsfunktionen nutzen, ohne einen KI-generierten Management-Report anzufordern. Wenn Sie einen bestehenden KI-Report loeschen lassen moechten, kontaktieren Sie uns bitte unter datenschutz@ecodynamics.de.

§ 20 Datenschutz fuer Minderjaehrige

Der AI Readiness Check for Finance ist eine Business-to-Business (B2B) SaaS-Plattform, die fuer Organisationen und Fachleute konzipiert ist. Unser Dienst richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjaehrigen. Sollten wir erfahren, dass eine Person unter 16 Jahren uns personenbezogene Daten uebermittelt hat, werden wir diese Daten unverzueglich loeschen. Wenn Sie glauben, dass wir Daten von Minderjaehrigen erhoben haben, kontaktieren Sie uns bitte unter datenschutz@ecodynamics.de.

§ 21 Meldung von Datenschutzverletzungen

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 33 DSGVO werden wir die zustaendige Aufsichtsbehoerde (LDI NRW) unverzueglich und moeglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, es sei denn, die Verletzung fuehrt voraussichtlich nicht zu einem Risiko fuer die Rechte und Freiheiten natuerlicher Personen.

(2) Wenn eine Datenschutzverletzung voraussichtlich ein hohes Risiko fuer Ihre Rechte und Freiheiten zur Folge hat, werden wir Sie gemaess Art. 34 DSGVO ebenfalls unverzueglich direkt benachrichtigen und dabei die Art der Verletzung, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung beschreiben.

(3) Wir unterhalten dokumentierte Incident-Response-Verfahren und fuehren regelmaessige Ueberpruefungen unserer Datensicherheitsmassnahmen durch, um potenzielle Verletzungen zu verhindern und zu mindern.

§ 22 Aenderungen dieser Datenschutzerklaerung

(1) Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um Aenderungen unserer Datenverarbeitungspraktiken, technischen Infrastruktur oder gesetzlicher Anforderungen widerzuspiegeln. Die aktuelle Version ist stets auf unserer Website unter /datenschutz verfuegbar.

(2) Registrierte Benutzer werden ueber wesentliche Aenderungen per E-Mail mindestens 14 Tage vor Inkrafttreten der Aenderungen informiert. Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten der Aenderungen gilt als Akzeptanz der aktualisierten Datenschutzerklaerung.

(3) Sollten einzelne Bestimmungen dieser Datenschutzerklaerung unwirksam sein oder werden, so wird die Wirksamkeit der uebrigen Bestimmungen hiervon nicht beruehrt.

§ 23 Kontaktinformationen

Fuer alle Fragen, Antraege oder Beschwerden zum Datenschutz und zu dieser Datenschutzerklaerung kontaktieren Sie uns bitte unter:

ECODYNAMICS GmbH
Datenschutzbeauftragter
Rheinpromenade 9
40789 Monheim am Rhein
Deutschland

Telefon: +49 (2173) 297 2024
E-Mail (Datenschutz): datenschutz@ecodynamics.de
E-Mail (Allgemein): info@ecodynamics.de
Webseite: www.ecodynamics.de

Letzte Aktualisierung: Februar 2026