Datenschutz

Letzte Aktualisierung: Mai 2026

Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln sie entsprechend der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG). Diese Erklärung beschreibt was, wie und warum wir verarbeiten — und was Sie tun können.

Diese Website ist bewusst minimal aufgesetzt: keine Marketing-Cookies, keine Drittanbieter-Tracker, kein Pixel-Schnipsel von Facebook, LinkedIn oder Google. Was wir verarbeiten, steht hier. Punkt.

1. Allgemeines

1.1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

CRAiD GmbH Kollwitzstr. 60 10435 Berlin Deutschland

E-Mail (für Datenschutz-Anfragen): privacy@craid.de

1.2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten auf der Website www.craid.de und auf den direkt zugehörigen Subdomains (z.B. forms.craid.de für das Office-Front-Desk-Backend). Externe Links zu anderen Websites unterliegen deren eigener Datenschutzerklärung.

2. Beim Besuch unserer Website

2.1. Server-Logs

Beim Aufruf der Website werden technische Verbindungsdaten in Server-Logs verarbeitet (IP-Adresse, User-Agent, Zeitstempel, abgerufene URL, Referrer). Diese Daten sind notwendig für die Auslieferung der Website und werden zur Spam- und Missbrauchsabwehr genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb). Speicherdauer: maximal 30 Tage in den Logs unseres Hosters Vercel Inc. (USA), danach automatische Löschung.

2.2. Web Analytics — Vercel Web Analytics

Wir nutzen "Vercel Web Analytics" (Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA) zur statistischen Auswertung von Besuchen. Vercel Web Analytics arbeitet **cookie-frei und ohne personenbezogene Identifikatoren**. Verarbeitet werden ausschließlich aggregierte Daten zu Pageviews, Geräten, Browsern und ungefährer geografischer Region — keine Profile, kein Cross-Site-Tracking.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung). Mit Vercel besteht ein Datenverarbeitungsvertrag (DPA). Die Drittlandsübermittlung in die USA ist abgesichert durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

2.3. Hosted Content (Sanity CMS)

Inhalte und Module der Website werden über das Headless-CMS Sanity (Sanity AS, Norwegen) ausgeliefert. Beim Lesen der Inhalte werden technische Verbindungsdaten an Sanity übermittelt (IP, User-Agent). Sanity setzt **keine Cookies** im Browser des Besuchers. Sanity ist EU/EWR-basiert (Norwegen), eine Drittlandsübermittlung außerhalb des EWR findet hier nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Cookies und Browser-Storage

Diese Website setzt **keine Marketing-Cookies und keine Tracking-Cookies**. Es laufen weder Google Analytics, HubSpot, Facebook Pixel, LinkedIn Insight Tag noch andere Werbe- oder Tracking-Pixel.

Wir nutzen ausschließlich essenziellen Browser-Storage:

- `craid-lang` (localStorage): speichert Ihre Sprachwahl (Deutsch oder Englisch), damit die Website beim nächsten Besuch in der gewählten Sprache lädt. Rein funktional, ohne Personenbezug. Sie können diesen Eintrag jederzeit über Ihre Browser-Einstellungen löschen.

Eine Cookie-Consent-Abfrage ist nicht erforderlich, weil keine zustimmungspflichtigen Cookies oder Storage-Einträge gesetzt werden (§ 25 Abs. 2 Nr. 2 TTDSG — technisch notwendig für die Funktion der Website).

4. Kontaktformular und E-Mail

4.1. Kontaktformular auf der Website

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen freiwillig eingegebenen Daten (Name, E-Mail-Adresse, ggf. Firma, Anliegen). Zur Bestätigung Ihrer Identität senden wir Ihnen einen Verifizierungs-Link sowie einen permanenten 6-stelligen Security-Code (siehe Abschnitt 5).

Zweck: Bearbeitung Ihrer Anfrage, Aufnahme von Geschäftskontakt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit kein Vertragskontext besteht. Speicherdauer: bis zur Bearbeitungsdauer Ihrer Anfrage, danach gelöscht oder archiviert sofern gesetzliche Aufbewahrungspflichten bestehen (in der Regel bis zu 6 Monaten für reine Anfragen, länger bei Vertragsanbahnung).

4.2. E-Mail-Kontakt

Bei Kontaktaufnahme per E-Mail (info@craid.de, hello@craid.de, privacy@craid.de) werden die in Ihrer Mail enthaltenen Daten verarbeitet. Mailbox-Hosting erfolgt bei Google Workspace (Google Ireland Ltd., Dublin) — die Verarbeitung findet im EU-Raum statt; eine Drittlandsübermittlung außerhalb der EU ist über Google's Standardvertragsklauseln (SCCs) abgesichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrags- bzw. Geschäftsanbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5. Office Front Desk — Doro AI-Chat

Auf dieser Website betreiben wir einen KI-gestützten Front-Desk-Chat ("Doro" bzw. "Office Front Desk"). Doro liest, sortiert und triagiert Anliegen, leitet sie an unsere Crew weiter. Die Verarbeitung Ihrer Eingaben erfolgt gemäß den nachfolgenden Bedingungen.

5.1. Welche Daten werden verarbeitet

Im Rahmen einer Chat-Konversation verarbeiten wir: (a) den von Ihnen eingegebenen Nachrichteninhalt; (b) wenn Sie sich verifizieren, Ihren Namen und Ihre E-Mail-Adresse; (c) technische Verbindungsdaten (IP-Adresse, User-Agent, Zeitstempel) zur Spam- und Missbrauchsabwehr; (d) einen permanenten 6-stelligen Security-Code als Wiedererkennungsmerkmal, den wir Ihnen in der Verifizierungs-E-Mail mitteilen und der Ihnen erlaubt, sich uns gegenüber in späteren Kontakten (Telefon, Chat, E-Mail) als die ursprünglich verifizierte Person zu erkennen zu geben. Wenn Sie diesen Code im Chat nennen, fragt Doro Ihren Datensatz nur lesend ab und kann Sie namentlich begrüßen — Code-Wiedererkennung ist eine "Soft-Identität" zur Wiedererkennung und ersetzt keine sichere Authentifizierung; sensitive Vorgänge (Vertragsdetails, Datenherausgaben) werden über diesen Weg ausdrücklich nicht ausgelöst. Zur Missbrauchsabwehr ist die Anzahl der Code-Abfragen pro Chat-Session auf fünf pro Stunde begrenzt.

5.2. Zweck der Verarbeitung

Wir verarbeiten Ihre Eingaben, um Ihre Anfrage zu beantworten, eine sinnvolle Triage durchzuführen, ggf. einen Termin zu koordinieren und Folgekommunikation per E-Mail zu ermöglichen. Verifizierte Kontakte (Name + E-Mail bestätigt per 6-stelligem Code) ermöglichen uns, verbindlich auf Ihre Anfrage zurückzukommen.

5.3. Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Anfragebearbeitung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sobald Sie den Verify-Code bestätigen). Bei Vertragsanbahnung ergänzend Art. 6 Abs. 1 lit. b DSGVO.

5.4. Empfänger und Auftragsverarbeiter

Zur Erbringung des Chat-Dienstes setzen wir folgende Dienstleister ein: (a) **Anthropic, PBC** (USA) für die Generierung der KI-Antworten via Claude API — die Inhalte Ihrer Nachrichten werden zur Verarbeitung an Anthropic übermittelt; (b) interne Tools zur Anfragebearbeitung (E-Mail, Slack, Notion) zur Weiterleitung der Anfrage an unsere Crew. Mit allen Auftragsverarbeitern bestehen entsprechende Verträge gemäß Art. 28 DSGVO.

5.5. Drittlandsübermittlung

Die Übermittlung an Anthropic, PBC erfolgt in die USA. Die Übermittlung ist abgesichert durch ein Data Processing Addendum mit Anthropic auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Anthropic verpflichtet sich, Ihre Eingaben nicht zum Training von KI-Modellen zu verwenden.

5.6. Speicherdauer

Verifizierungsdaten (Name, E-Mail mit Verify-Code) werden flüchtig (für ca. 1 Stunde) im Arbeitsspeicher gehalten und nach Ablauf gelöscht. Triage-E-Mails an unsere Crew werden für die Dauer der Bearbeitung Ihrer Anfrage gespeichert (typisch bis zu 6 Monate). Konversations-Transkripte werden im internen Notion Activity-Log für maximal 12 Monate aufbewahrt und danach gelöscht, sofern keine vertragliche oder gesetzliche Aufbewahrungspflicht besteht. Der permanente Security-Code wird gemeinsam mit Ihrem Kontakt-Datensatz so lange aufbewahrt, wie Sie als Kontakt bei uns geführt sind; auf Ihren Wunsch hin (Löschung) wird auch der Code entfernt.

5.7. Keine automatisierte Entscheidung im Sinne des Art. 22 DSGVO

Doro trifft keine Entscheidungen mit rechtlicher Wirkung Ihnen gegenüber. Alle Entscheidungen, die Ihre Anfrage betreffen (z.B. Terminzusagen, Angebote), werden ausschließlich von unseren Mitarbeiterinnen und Mitarbeitern getroffen.

6. Ihre Rechte

Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17, "Recht auf Vergessenwerden"), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen die Verarbeitung (Art. 21). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Anfragen richten Sie bitte formlos an privacy@craid.de. Antwort innerhalb der gesetzlichen Fristen, in der Regel binnen 30 Tagen.

7. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für die CRAiD GmbH zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, www.datenschutz-berlin.de.

8. Aktualisierung dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung wenn sich an Verarbeitung, Diensten oder Rechtslage etwas Wesentliches ändert. Die jeweils aktuelle Fassung steht unter www.craid.de/privacy. Das Datum der letzten Aktualisierung steht oben.

Falls Sie Fragen zum Datenschutz haben — schreiben Sie uns: privacy@craid.de.