Hinweis: Die verbindliche Fassung dieses Dokuments ist die englische Version. Diese deutsche Übersetzung dient ausschließlich zu Informationszwecken.
Datenschutzerklärung
Einleitung und Verpflichtung
Bei der Creativate Technologies GmbH verpflichten wir uns, Ihre Privatsphäre zu respektieren und Ihre personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Gesetz über künstliche Intelligenz der Europäischen Union (KI-Verordnung) und international anerkannten Standards für digitale Ethik zu schützen.
Unsere Website und Dienste können grundsätzlich ohne Angabe personenbezogener Daten genutzt werden. Die Nutzung bestimmter Funktionen kann jedoch die Verarbeitung personenbezogener Daten erfordern. In solchen Fällen und wenn keine andere Rechtsgrundlage vorliegt, holen wir Ihre ausdrückliche Einwilligung ein, bevor wir Ihre Daten verarbeiten.
Bitte beachten Sie, dass die Datenübertragung über das Internet Sicherheitslücken aufweisen kann. Obwohl wir geeignete Maßnahmen zum Schutz Ihrer Daten ergreifen, ist keine Übertragungsmethode vollständig sicher.
Verantwortliche Stelle und Kontaktdaten
Der Verantwortliche ist:
Creativate Technologies GmbH
Lahnstraße 65, 60326 Frankfurt am Main, Deutschland
Vertreten durch den Geschäftsführer Leonardo Bornhäußer.
Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten erreichen Sie uns unter:
- E-Mail: contact@creativate.tech
- Datenschutzbeauftragter: privacy@creativate.tech
Glossar der Schlüsselbegriffe
Die folgenden Begriffe werden in dieser Datenschutzerklärung verwendet und im Einklang mit der DSGVO, der KI-Verordnung und geltenden internationalen Standards definiert:
- KI-Lebenszyklus — Alle Phasen der Entwicklung, des Einsatzes, der Überwachung und der Stilllegung eines KI-Systems.
- Rechenschaftspflicht — Ein Kernprinzip der DSGVO und der KI-Governance, das Organisationen verpflichtet, geeignete Maßnahmen umzusetzen und die Einhaltung nachweisen zu können.
- Algorithmische Rechenschaftspflicht — Die Pflicht, das Verhalten und die Ergebnisse algorithmischer Systeme zu erklären, zu begründen und zu dokumentieren.
- Anonymisierung — Irreversible Verarbeitung von Daten, sodass Personen nicht mehr identifiziert werden können.
- Künstliche Intelligenz (KI-System) — Ein System, das Berechnungslogik, Statistik, maschinelles Lernen oder andere Techniken nutzt, um Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen zu erzeugen.
- Audit-Trail — Eine chronologische Aufzeichnung von Datenzugriffen und Verarbeitungsaktivitäten.
- Automatisierte Entscheidungsfindung — Eine Entscheidung, die ausschließlich durch automatisierte Verarbeitung ohne menschliches Eingreifen getroffen wird und den Einzelnen erheblich betrifft.
- Einwilligung — Jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person.
- Verantwortlicher — Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
- Datenminimierung — Der Grundsatz, dass erhobene personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein müssen.
- Auftragsverarbeiter — Ein Dritter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Datenschutz-Folgenabschätzung (DSFA) — Ein Verfahren zur Identifizierung und Minimierung von Datenschutzrisiken bei risikoreichen Verarbeitungsvorgängen.
- Betroffene Person — Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
- Ausdrückliche Einwilligung — Eine klare und bestätigende Zustimmung, die keinen Zweifel lässt.
- Basismodell (Foundation Model) — Ein KI-Modell, das auf breiten Daten in großem Umfang trainiert wurde und für verschiedene Aufgaben angepasst werden kann.
- Allzweck-KI (GPAI) — KI-Systeme, die für mehrere Zwecke bestimmt sind.
- Hochrisiko-KI-System — Ein KI-System, das gemäß der KI-Verordnung erhebliche Risiken für Rechte oder Sicherheit von Personen birgt.
- Menschliche Aufsicht — Die Anforderung, dass bestimmte KI-Entscheidungen eine sinnvolle menschliche Beteiligung und die Möglichkeit der Anfechtung umfassen müssen.
- Rechtsgrundlage — Die nach der DSGVO erforderliche Rechtfertigung für die Verarbeitung personenbezogener Daten.
- Personenbezogene Daten — Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen — Die gesetzliche Anforderung, dass der Datenschutz von Anfang an in Systeme integriert wird.
- Verarbeitung — Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, ob automatisiert oder nicht.
- Profiling — Automatisierte Verarbeitung personenbezogener Daten zur Analyse oder Vorhersage von Aspekten wie Leistung, Vorlieben, Verhalten oder Aufenthaltsort.
- Pseudonymisierung — Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne zusätzliche Informationen keiner bestimmten Person mehr zugeordnet werden können.
- Standardvertragsklauseln (SVK) — Von der EU genehmigte rechtliche Vereinbarungen für die rechtmäßige Übermittlung personenbezogener Daten außerhalb des EWR.
- Aufsichtsbehörde — Die nationale Behörde, die für die Durchsetzung des Datenschutzrechts zuständig ist.
Datenerhebung auf unserer Plattform
Wir erheben Daten auf folgende Weise:
- Daten, die Sie direkt bereitstellen, z. B. beim Ausfüllen von Kontaktformularen, bei der Registrierung eines Kontos, beim Erstellen von Geschäftsplänen, Entscheidungen oder Szenarien.
- Technische Daten, die automatisch erhoben werden, einschließlich Browsertyp und -version, Betriebssystem, IP-Adresse, Zugriffszeiten und Browsing-Verhalten.
Kategorien erhobener Daten
Je nachdem, wie Sie mit unserer Plattform interagieren, kann die Creativate Technologies GmbH folgende Kategorien personenbezogener und projektbezogener Daten erheben und verarbeiten:
- Identitäts- und Kontaktdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Wohnsitzland, berufliche Rolle und Organisationsname.
- Konto- und Authentifizierungsdaten: Benutzername, verschlüsseltes Passwort, Anmeldedaten, Kontoeinstellungen und Authentifizierungstoken.
- Technische und Gerätedaten: IP-Adresse, Browsertyp und -version, Betriebssystem, Gerätetyp, Spracheinstellungen, Bildschirmauflösung, Zeitzone und Zugriffszeitstempel.
- Nutzungs- und Interaktionsdaten: Navigationsverhalten, Sitzungsdauer, besuchte Seiten, Funktionsnutzung, Fehlerprotokolle, Klicks und Aktionen innerhalb der Plattform.
- KI-Interaktions- und Geschäftsinhalte: Eingaben in unsere KI-Systeme, generierte Ausgaben, Entwürfe, Empfehlungen und strukturierte oder freie Inhalte, die in die Planungs- und Entscheidungstools von Creativate eingegeben werden.
- Kommunikationsdaten: Nachrichten über Kontaktformulare, Support-Tickets, Umfragen oder E-Mail-Korrespondenz.
- Zahlungs- und Rechnungsdaten: Rechnungsdetails wie Rechnungsadresse, USt-IdNr. und Transaktionsmetadaten. Sensible Zahlungsdaten werden sicher von unserem Zahlungsanbieter verarbeitet und nie direkt von Creativate gespeichert.
- Drittanbieter-Integrationsdaten: Daten, die mit verbundenen Diensten (z. B. HubSpot, OpenAI, Anthropic) gemäß deren APIs und Ihren Berechtigungen ausgetauscht werden.
- Cookie- und Tracking-Daten: Informationen, die durch Cookies und ähnliche Technologien erhoben werden, wie in unserer Cookie-Richtlinie beschrieben.
- Geolokalisierungsdaten: Ungefährer geografischer Standort, abgeleitet aus Ihrer IP-Adresse.
- Debug- und Diagnosedaten: Informationen, die bei technischen Fehlern automatisch erfasst werden.
Wir erheben absichtlich keine sensiblen personenbezogenen Daten und erheben wissentlich keine Daten von Kindern unter 16 Jahren.
Rechtsgrundlagen und Zwecke der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten nur auf Grundlage einer gültigen Rechtsgrundlage gemäß der DSGVO.
1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Erstellung, Verwaltung und Pflege Ihres Benutzerkontos
- Bereitstellung des Zugangs zu den KI-gestützten Tools von Creativate (cNode, AI Playbook, Creativate AI Studio)
- Bereitstellung von Plattformfunktionen und Diensten
- Authentifizierung und sichere Sitzungsverwaltung
- Beantwortung dienstbezogener Anfragen
2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
- Erfüllung gesetzlicher Anforderungen in Steuer-, Buchhaltungs- und Verbraucherschutzrecht
- Aufrechterhaltung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
- Einhaltung datenschutzrechtlicher Vorschriften, einschließlich Betroffenenrechte
- Protokollierung von KI-Modellverhalten und Entscheidungsausgaben (gemäß KI-Verordnung)
3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
- Gewährleistung der Plattformsicherheit und Schutz vor Missbrauch
- Überwachung und Optimierung der Leistung und Benutzerfreundlichkeit
- Fehlerbehebung und technische Problemlösung
- Analyse des Nutzerverhaltens zur Serviceverbesserung
- Verbesserung der Relevanz und Genauigkeit KI-generierter Ausgaben (mit pseudonymisierten Daten)
Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit gemäß Art. 21 DSGVO widersprechen.
4. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Zusendung von Marketing- oder Werbekommunikation
- Verwendung nicht wesentlicher Cookies und Tracking-Technologien
- Teilnahme an Umfragen, Produkttests oder Nutzerforschung
- Personalisierung KI-generierter Ausgaben
Die Einwilligung kann jederzeit widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
Profiling und automatisierte Entscheidungsfindung
Creativate kann Profiling und automatisierte Entscheidungsfindungssysteme einsetzen, um Geschäftspläne, Risikobewertungen und strategische Empfehlungen zu erstellen. Wir implementieren Schutzmaßnahmen einschließlich:
- Menschliche Überprüfung kritischer Entscheidungsabläufe
- Protokollierung und Dokumentation von KI-Ausgaben
- Maßnahmen zur Reduzierung von Verzerrungen
- Klare Benutzeroberflächen, die den KI-Einsatz kennzeichnen
Gemäß Art. 22 DSGVO und der KI-Verordnung haben Sie das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, menschliches Eingreifen zu erhalten, Ihren Standpunkt darzulegen und eine Erklärung der involvierten Logik zu erhalten.
Kontakt: privacy@creativate.tech
Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten | Dauer des Kontos + 30 Tage Karenzzeit |
| Geschäftsinhalte | Dauer des Abonnements + 30 Tage Karenzzeit |
| KI-Interaktionsprotokolle | Bis zu 24 Monate, dann Anonymisierung oder Löschung |
| Zahlungs- und Rechnungsdaten | Gemäß Steuerrecht (in Deutschland typischerweise 10 Jahre) |
| Cookie- und Tracking-Daten | Maximal 13 Monate |
| Kommunikationsdaten | Bis zu 36 Monate nach letzter Interaktion |
| Debug- und Diagnoseprotokolle | Bis zu 12 Monate |
Drittanbieterverarbeitung
Wir setzen sorgfältig ausgewählte Drittanbieter-Dienstleister ein. Jeder Anbieter handelt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) und, soweit zutreffend, Standardvertragsklauseln (SVK).
Infrastruktur und Hosting
| Dienst | Zweck | Datenstandort |
|---|---|---|
| Amazon Web Services (AWS) | Cloud-Infrastruktur: EC2 für Backend-API-Hosting, S3 + CloudFront für Frontend-Bereitstellung, Route 53 für DNS, ACM für Zertifikate | EU (Frankfurt, eu-central-1) |
| PostgreSQL + TimescaleDB | Relationale Datenbank für Anwendungsdaten (selbst gehostet auf AWS EC2) | EU (Frankfurt) |
| Redis | Sitzungsverwaltung, Caching und Aufgabenwarteschlange (selbst gehostet auf AWS EC2) | EU (Frankfurt) |
| MinIO | S3-kompatibler Objektspeicher für Dateien und Medien (selbst gehostet auf AWS EC2) | EU (Frankfurt) |
KI-Dienstleister
| Dienst | Zweck | Datenstandort | Übermittlungsschutz |
|---|---|---|---|
| Anthropic (Claude) | Primäres KI-Sprachmodell für intelligente Analyse und Inhaltsgenerierung | US | SVK vorhanden |
| OpenAI (GPT) | Sekundäres KI-Sprachmodell für Textgenerierung und Geschäftsplanverarbeitung | US | SVK vorhanden |
| Google AI (Gemini) | Tertiäres KI-Sprachmodell für ergänzende KI-Fähigkeiten | US | SVK vorhanden |
| HuggingFace | ML-Modell-Hosting und -Inferenz für spezialisierte Aufgaben | EU/US | SVK vorhanden |
Geschäftstools
| Dienst | Zweck | Datenstandort |
|---|---|---|
| HubSpot CRM | Kundenbeziehungsmanagement und Kommunikation | EU (Deutschland) |
Überwachung und Betrieb
| Dienst | Zweck | Datenstandort |
|---|---|---|
| Grafana + Loki + Prometheus | Systemüberwachung, Logging und Leistungsanalyse (selbst gehostet) | EU (Deutschland) |
Alle KI-Dienstleister verarbeiten Daten ausschließlich zur Generierung von Antworten auf Ihre spezifischen Anfragen. Wir gestatten KI-Anbietern nicht, Ihre Daten für das Training ihrer Modelle zu verwenden.
Internationale Datenübermittlungen
Einige unserer Dienstleister befinden sich außerhalb des Europäischen Wirtschaftsraums (EWR), hauptsächlich in den USA. Für alle internationalen Datenübermittlungen stellen wir ein angemessenes Datenschutzniveau sicher durch:
- Standardvertragsklauseln (SVK) der Europäischen Kommission
- Auftragsverarbeitungsverträge (AVV) mit jedem Anbieter
- Technische und organisatorische Schutzmaßnahmen einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand
Ihre Rechte als betroffene Person
Gemäß der DSGVO haben Sie folgende Rechte:
- Auskunftsrecht — Sie können Auskunft darüber verlangen, ob und welche Ihrer personenbezogenen Daten wir verarbeiten.
- Recht auf Berichtigung und Löschung — Sie können die Berichtigung unrichtiger Daten oder die Löschung Ihrer Daten verlangen.
- Recht auf Widerruf der Einwilligung — Bei einwilligungsbasierter Verarbeitung können Sie die Einwilligung jederzeit widerrufen.
- Recht auf Datenübertragbarkeit — Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht — Sie können bestimmten Verarbeitungsarten widersprechen, insbesondere bei berechtigten Interessen.
- Recht auf Einschränkung der Verarbeitung — Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
- Recht auf Erklärung — Bei KI- oder automatisierter Verarbeitung haben Sie das Recht auf aussagekräftige Informationen über die involvierte Logik.
- Beschwerderecht — Sie haben das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen.
Zuständige Aufsichtsbehörde:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Deutschland
https://datenschutz.hessen.de
Ausübung Ihrer Rechte:
Kontaktieren Sie uns unter privacy@creativate.tech. Wir können einen Identitätsnachweis verlangen. Die Antwort erfolgt innerhalb eines Monats (verlängerbar um zwei weitere Monate bei komplexen Anfragen gemäß Art. 12 DSGVO).
Datenschutzbeauftragter (DSB)
Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Datenschutzrechte können Sie unseren Datenschutzbeauftragten direkt kontaktieren:
E-Mail: privacy@creativate.tech
Datensicherheit
Wir implementieren strenge technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten:
- SSL/TLS-Verschlüsselung zur Sicherung der Datenübertragung
- Verschlüsselung im Ruhezustand für alle gespeicherten Daten
- Rollenbasierte Zugriffskontrolle (RBAC)
- Protokollierung, interne Audits und Schwachstellentests
- Verfahren zur Reaktion auf Datenverletzungen einschließlich Benachrichtigung innerhalb von 72 Stunden
- Regelmäßige Sicherheitsbewertungen und Penetrationstests
- Netzwerksegmentierung und Firewall-Regeln
Cookies und Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien auf unserer Plattform. Vollständige Details finden Sie in unserer Cookie-Richtlinie.
Kategorien:
- Unbedingt notwendige Cookies — Erforderlich für die ordnungsgemäße Funktion; können nicht deaktiviert werden
- Analyse-Cookies — Helfen uns, die Nutzung der Plattform zu verstehen
- Personalisierungs-Cookies — Speichern Einstellungen und Präferenzen
- Marketing-Cookies — Nur mit Ihrer Einwilligung
Verwalten Sie Ihre Cookie-Einstellungen über den Cookie-Banner oder den Link „Cookie-Einstellungen" in der Fußzeile.
KI-spezifische Bestimmungen
Creativate integriert KI gemäß der KI-Verordnung der EU und ethischen Standards:
- KI-Systeme werden nach Risikoniveau klassifiziert
- Sinnvolle menschliche Aufsicht bei allen kritischen KI-gestützten Prozessen
- Nutzer werden informiert, wenn sie mit einem KI-System interagieren
- Logik und Funktionsweise der Algorithmen sind dokumentiert und auf Anfrage erklärbar
- Regelmäßige Bewertungen zur Erkennung von Verzerrungen und unfairen Ergebnissen
- Recht auf Widerspruch gegen bestimmte KI-Verarbeitungen
Weitere Details finden Sie in unserem KI-Transparenzhinweis.
Aktualisierungen der Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen werden wir Sie durch geeignete Mittel (E-Mail, Plattformbenachrichtigungen oder Banner) vorab informieren.
Die aktuelle Version ist stets auf unserer Website verfügbar.
Datum des Inkrafttretens: Mai 2025
Letzte Aktualisierung: Februar 2026
Creativate Technologies GmbH
Version 2.0.0