DSGVO Datenschutzerlärung für B2B Services

Diese Datenschutzerklärung beschreibt, wie die FORMAT Promotion GmbH, Holstenstraße 103, 22767 Hamburg (nachfolgend “wir” oder “deichbot”) personenbezogene Daten im Rahmen der B2B-Services “deichbot Entscheiderkontakte” und damit zusammenhängender Leistungen verarbeitet. Zu diesen Services zählen insbesondere automatisierte Akquise-Prozesse, KI-gestützte E-Mail-Mailings, Follow-up-Kommunikation, Erstellung von Akquise-Steckbriefen sowie CRM-Synchronisation (CRM-Sync).

Hinweis: Diese Erklärung bezieht sich nicht auf Datenverarbeitungen auf unserer öffentlich zugänglichen Website – hierfür existiert eine separate Website-Datenschutzerklärung. Die vorliegende Service-Datenschutzerklärung ist in einem nicht öffentlich indexierten Bereich abrufbar und richtet sich sowohl an unsere Geschäftskunden (Nutzer der deichbot-Services) als auch an die betroffenen Personen, deren Daten im Rahmen unserer Services verarbeitet werden.

1. Verantwortlicher und Kontakt

Verantwortliche Stelle für die in dieser Erklärung beschriebene Datenverarbeitung (sofern wir als Verantwortlicher handeln) ist:

FORMAT Promotion GmbH (deichbot)
Holstenstraße 103
22767 Hamburg, Deutschland
E-Mail: kontakt@deichweb.de
Telefon: +49 (0)40 398417-0

Bei Fragen zum Datenschutz in Zusammenhang mit den deichbot-Services können Sie sich unter den oben genannten Kontaktdaten an uns wenden. Einen Datenschutzbeauftragten haben wir mangels gesetzlicher Verpflichtung nicht benannt.

2. Rolle als Verantwortlicher vs. Auftragsverarbeiter

Wir erbringen die deichbot-Services sowohl in eigener Verantwortlichkeit als auch als Auftragsverarbeiter für unsere Kunden:

  • deichbot als Verantwortlicher: In einigen Fällen entscheiden wir selbst über Zweck und Mittel der Datenverarbeitung. Dies betrifft z. B. die Verarbeitung personenbezogener Daten potentieller Kunden für unsere eigene B2B-Akquise und Direktwerbung für deichbot-Services. In diesem Kontext handeln wir als datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
  • deichbot als Auftragsverarbeiter: Wir werden zudem als Dienstleister für unsere Geschäftskunden tätig. Wenn ein Kunde unsere Services nutzt, um personenbezogene Daten für seine eigenen Zweckeverarbeiten zu lassen (etwa beim Versand automatisierter Akquise-E-Mails oder beim Abgleich mit dem CRM des Kunden), handeln wir bezüglich dieser Verarbeitung als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8, Art. 28 DSGVO. Das bedeutet: Der jeweilige Kunde ist Verantwortlicher für die Daten seiner Leads/Kontakte, und wir verarbeiten diese Daten ausschließlich nach Weisung des Kunden und auf Grundlage eines Auftragsverarbeitungsvertrags.

Im Folgenden beschreiben wir die Datenverarbeitungen in beiden Konstellationen. Sofern “wir” oder “uns” im Zusammenhang mit Datenverarbeitung gesagt wird, bezieht sich dies – je nach Kontext – entweder auf unsere eigene Verantwortlichkeit oder auf die Verarbeitung in Auftragsverhältnissen für Kunden.

3. Verarbeitete personenbezogene Daten und Datenquellen

Je nach Art der Leistung verarbeiten wir unterschiedliche Kategorien personenbezogener Daten. Grundsätzlich handelt es sich ausschließlich um Geschäftsdaten von Unternehmensvertretern (B2B-Kontaktdaten). Im Rahmen von “deichbot Entscheiderkontakte” und den zugehörigen Services können insbesondere folgende Daten verarbeitet werden:

  • Kontaktdaten von Entscheidungsträgern: z. B. Name, akademischer Titel, Position/Funktion im Unternehmen, Firmenname, Geschäftsadresse, dienstliche E-Mail-Adresse, geschäftliche Telefonnummer, Profil-Links (etwa LinkedIn/Xing). Diese Daten beziehen sich auf Personen, die für ein Unternehmen Entscheidungen treffen oder für unseren Kunden geschäftlich relevant sind (“Entscheider” bzw. Leads).
  • Unternehmensbezogene Informationen: Informationen über das Unternehmen, für das der Entscheider tätig ist (z. B. Branche, Unternehmensgröße, Standort, öffentlich verfügbare Unternehmensdaten, Bedarfssignale aus Websites oder sozialen Medien). Solche Informationen nutzen wir, um die Relevanz des Leads für unsere Kunden zu bewerten und personalisierte Akquise-Steckbriefe zu erstellen. Unternehmensdaten an sich sind zwar keine personenbezogenen Daten, können aber mit Personenbezug verarbeitet werden, wenn sie einzelnen Kontaktpersonen zugeordnet werden.
  • Kommunikationsdaten: Inhalte von Anschreiben und E-Mails, die im Rahmen der Akquise an Entscheider versendet oder von ihnen als Antwort empfangen werden, einschließlich Zeitpunkt der Kommunikation. Außerdem Meta-Daten wie Öffnungs- und Klickraten auf versendete Mailings, Termine für Follow-ups oder Rückmeldungen der kontaktierten Person. Diese Daten fallen an, wenn wir z. B. eine automatisierte E-Mail-Kampagne in Gang setzen und Reaktionen tracken, oder wenn wir einen Termin zwischen unserem Kunden und einem Lead koordinieren.
  • Kundendaten: Personenbezogene Daten unserer Geschäftskunden selbst bzw. deren Ansprechpersonen (z. B. Name des Kunden oder Mitarbeiters, geschäftliche Kontaktdaten, Position) sowie Vertrags- und Abrechnungsdaten. Diese Daten erheben wir direkt bei unseren Kunden bei Vertragsschluss oder im Rahmen der Geschäftsbeziehung (Art. 6 Abs. 1 lit. b DSGVO) und verwenden sie zur Bereitstellung der Services, Kundenkommunikation und Abrechnung. (Hinweis: Diese Kundendaten werden nur der Vollständigkeit halber erwähnt – im Fokus dieser Erklärung stehen die Daten der Leads/Entscheider.)

Datenquellen: Die Daten der B2B-Entscheider und Leads stammen entweder aus öffentlichen Quellen oder werden vom Kunden bereitgestellt:

  • Wir recherchieren und generieren Leads in der Regel aus öffentlich zugänglichen Informationen. Dies umfasst z. B. Unternehmenswebsites, Branchenverzeichnisse, berufliche soziale Netzwerke (wie LinkedIn oder Xing), öffentliche Handelsregisterdaten, Pressemitteilungen oder andere Quellen, aus denen ersichtlich ist, wer in einem Unternehmen eine bestimmte Rolle innehat. Unsere KI-gestützten Tools durchsuchen Millionen solcher Datenpunkte und filtern die passenden Entscheider heraus. Dabei stellen wir sicher, dass nur beruflich relevante und nicht sensible Informationen erfasst werden.
  • In einigen Fällen erhalten wir auch Kontaktlisten oder einzelne Leads direkt von unseren Kunden (z. B. im Rahmen eines CRM-Sync oder wenn der Kunde bereits Interessenten hat, die wir in seinem Auftrag anschreiben sollen). Diese Daten werden dann vom Kunden bereitgestellt. Der Kunde bestätigt, dass er diese Kontaktdaten rechtmäßig erlangt hat und sie mit uns teilen darf.

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (d.h. keine Informationen zu rassischer/ethnischer Herkunft, politischer Meinung, Religion, Gesundheit, Sexualleben etc.). Ebenso wenig zielen unsere Services auf Verbraucher oder Minderjährige ab – es werden ausschließlich Daten von beruflichen Kontaktpersonen verarbeitet.

4. Zwecke und Rechtsgrundlagen der Datenverarbeitung

a) Eigene Akquise und Direktwerbung (deichbot als Verantwortlicher)

Soweit wir personenbezogene Daten von Entscheiderkontakten in eigener Verantwortung verarbeiten, geschieht dies zum Zweck der Direktwerbung für unsere eigenen B2B-Leistungen. Konkret bedeutet dies: Wir nutzen die oben genannten Kontaktdaten von potentiellen Geschäftskunden (Entscheidern in Zielunternehmen), um sie gezielt und personalisiert anzusprechen – z. B. per E-Mail oder LinkedIn-Nachricht – und Interesse an unseren deichbot-Services zu wecken.

Rechtsgrundlage: Die Verarbeitung dieser Kontaktdaten zum Zweck der Direktwerbung erfolgt auf Basis unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, unser Angebot gegenüber relevanten Entscheidungsträgern im B2B-Bereich bekannt zu machen und neue Geschäftsbeziehungen anzubahnen. Dabei stützen wir uns auch auf Erwägungsgrund 47 DSGVO, der Direktwerbung als grundsätzlich legitimes Interesse anerkennt. Wir haben eine Legitimate Interest Assessment (LIA) – also eine Interessenabwägung – durchgeführt und kommen zu dem Ergebnis, dass unsere berechtigten werblichen Interessen nicht Ihre schutzwürdigen Interessen oder Grundrechte überwiegen. Diese Einschätzung basiert u.a. auf folgenden Faktoren:

  • Wir kontaktieren ausschließlich berufliche Kontakte im B2B-Kontext und beziehen uns in der Ansprache auf deren geschäftliche Funktion und mutmaßlichen Bedarf, nicht auf persönliche/private Aspekte.
  • Die genutzten Daten (geschäftliche E-Mail-Adresse, Firmenadresse etc.) sind aus öffentlichen Quellen entnommen oder wurden uns von den Betroffenen selbst bzw. ihren Unternehmen (z. B. durch Austausch von Visitenkarten oder Anfragen) bereitgestellt.
  • Wir versenden keine Massenmailings oder Spam, sondern legen großen Wert auf individuell zugeschnittene Ansprache. Jede Kontaktaufnahme wird inhaltlich auf das Zielunternehmen und den Entscheider abgestimmt (etwa durch Bezug auf Unternehmensinformationen, Branchen-Themen, mögliche Pain Points). Dies erhöht die Relevanz für den Empfänger und vermeidet ungezielte Werbung.
  • Transparenz und Opt-Out: Jeder Empfänger hat jederzeit die Möglichkeit, der weiteren Kontaktaufnahme zu widersprechen. Bereits im ersten Anschreiben klären wir über die Datenherkunft und Verarbeitungszwecke auf (bzw. verweisen auf diese Datenschutzerklärung) und bieten eine einfache Opt-Out-Möglichkeit (z. B. einen Abmeldelink in E-Mails oder den Hinweis, dass eine kurze Antwort mit Wunsch nach Nicht-Kontaktierung ausreicht). Wenn Sie widersprechen, werden wir Ihre Daten umgehend sperren bzw. auf eine interne Blacklist setzen, um zukünftige werbliche Kontaktaufnahmen zu unterbinden (siehe dazu auch Abschnitt Speicherdauer und Löschung).

Bitte beachten Sie, dass diese Form der Direktwerbung nur im gesetzlich zulässigen Rahmen erfolgt. Insbesondere den Anforderungen des deutschen UWG (Unlauteren Wettbewerbsrecht) tragen wir Rechnung. Unaufgeforderte Werbe-E-Mails erhalten nur solche Unternehmen/Personen, bei denen wir von einer mutmaßlichen Einwilligung oder zumindest einem relevanten Interesse ausgehen können – z. B. weil eine Geschäftsbeziehung vorbereitet wird oder wir davon ausgehen dürfen, dass Informationen über unsere Leistungen im beruflichen Kontext von Interesse sind. Telefonische Kaltakquise oder Faxwerbung führen wir ohne vorherige Einwilligung nicht durch. Sollte im Einzelfall doch eine Einwilligung erforderlich sein (etwa für Newsletter), werden wir diese selbstverständlich zuvor einholen.

b) Service-Dienstleistungen für Kunden (deichbot als Auftragsverarbeiter)

Wenn wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, richten sich Zweck und Rechtsgrundlage nach dem jeweiligen Kunden. In diesen Fällen ist der Kunde verantwortlich, die Datenverarbeitung zu legitimieren – typischerweise ebenfalls über ein berechtigtes Interesse seines Unternehmens an Direktwerbung bzw. Akquise oder über eine Einwilligung der betroffenen Person, sofern notwendig.

Beispiele: Ein Kunde nutzt unseren Service, um automatisiert personalisierte E-Mails an seine potentiellen Kunden zu senden. Wir unterstützen durch unsere KI und Plattform, die passenden Entscheider zu finden, Anschreiben vorzubereiten, Folgemailings zu terminieren und Rückmeldungen zu tracken. Zweck der Verarbeitung ist hier die Direktwerbung für das Produkt oder die Dienstleistung unseres Kunden. Ein anderes Beispiel: Unsere Plattform synchronisiert sich mit dem CRM-System des Kunden (CRM-Sync) und übernimmt von dort Kontakte oder speist neue Reaktionen zurück. Hier erfolgt die Verarbeitung zum Zweck der Kundenverwaltung und Vertriebsoptimierung beim Kunden.

In allen diesen Fällen verarbeiten wir die personenbezogenen Daten nur gemäß dem Vertrag mit dem Kunden und seinen Weisungen. Der Kunde schließt mit uns einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab, der sicherstellt, dass wir vergleichbare Datenschutzpflichten einhalten wie der Kunde selbst. Insbesondere dürfen wir die Daten nicht für eigene Zwecke nutzen, geben sie nicht unbefugt an Dritte weiter und treffen angemessene Sicherheitsmaßnahmen. Unsere Mitarbeiter sind auf Vertraulichkeit verpflichtet.

Rechtsgrundlage: Die rechtliche Grundlage für die Datenverarbeitung gegenüber den betroffenen Personen bestimmt der Kunde. In der Regel berufen sich unsere Kunden – ähnlich wie wir selbst – auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), nämlich ihr Interesse am Vertrieb und Marketing ihrer Produkte im B2B-Bereich. Teilweise kann auch Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) einschlägig sein, wenn ein potenzieller Kunde bereits um Information gebeten hat. Sollte ein Kunde ausnahmsweise eine Einwilligung der Leads einholen, könnte auch Art. 6 Abs. 1 lit. a DSGVO gelten – dies ist aber in Kaltakquise-Szenarien selten der Fall. Unabhängig davon: Wir verlassen uns darauf, dass unsere Kunden eine gültige Rechtsgrundlage für die Nutzung unseres Services gegenüber ihren Leads haben. In unserem AVV verpflichten wir den Kunden, seine Pflichten (z. B. Informations- und Auskunftspflichten gegenüber den Betroffenen) zu erfüllen.

Als Auftragsverarbeiter treffen wir keine eigenständigen Entscheidungen über die Verarbeitung und führen kein Profiling oder Direktwerbung in eigener Regie durch – wir unterstützen lediglich den vom Kunden gewünschten Prozess. Wenn Sie als betroffene Person von einer durch unseren Kunden initiierten Kontaktaufnahme betroffen sind und Fragen oder Ansprüche (z. B. Auskunft, Löschung) geltend machen möchten, wenden Sie sich idealerweise direkt an das betreffende Unternehmen (unseren Kunden). Wir werden Anfragen, die uns irrtümlich erreichen, an den jeweiligen Kunden weiterleiten (siehe hierzu auch Abschnitt Rechte der betroffenen Personen).

5. Berechtigtes Interesse & Legitimitätsprüfung (LIA)

Wie oben beschrieben, stellt Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) die Haupt-Rechtsgrundlage für die hier relevanten Verarbeitungen dar. Sowohl wir als Anbieter als auch unsere Kunden haben ein legitimes Interesse daran, im B2B-Bereich neue Kontakte zu knüpfen und geschäftliche Angebote zu unterbreiten. Dieses Interesse steht im Einklang mit Erwägungsgrund 47 DSGVO (der die Verarbeitung zu Direktwerbezwecken als möglicherweise gerechtfertigt ansieht).

Wir nehmen den Schutz Ihrer Daten und Interessen jedoch sehr ernst. Daher haben wir für unsere eigenen Akquise-Aktivitäten eine umfassende Interessenabwägung (LIA) durchgeführt. Diese beinhaltet u.a.:

  • Notwendigkeit und Zielsetzung: Wir überprüfen, dass die Datenverarbeitung tatsächlich erforderlich ist, um unser Vertriebsziel zu erreichen. Wir beschränken uns dabei auf Minimum an Daten (nur geschäftliche Kontaktdaten und relevanten Kontext) und verwenden fortgeschrittene Filter, damit wirklich nur potenziell interessierte Entscheider kontaktiert werden und nicht “ins Blaue” zahlreiche Unbeteiligte.
  • Auswirkung auf Betroffene: Wir haben analysiert, welche Auswirkungen eine unerwartete Kontaktaufnahme auf die betroffene Person haben könnte. Im B2B-Kontext ist eine geschäftliche Kontaktaufnahme gängige Praxis. Durch die personalisierte Ansprache mit relevantem Inhalt versuchen wir, die Belästigung oder Überraschung so gering wie möglich zu halten. Zudem führen wir keine aggressiven Werbekampagnen durch – typischerweise beschränkt sich eine Kontaktsequenz auf wenige Nachrichten mit angemessenem zeitlichen Abstand.
  • Schutzmaßnahmen: Wir haben mehrere Vorkehrungen getroffen, um die Rechte der Betroffenen zu wahren: Jede werbliche E-Mail enthält einen klar erkennbaren Abmeldelink oder Widerspruchshinweis. Personen, die nicht interessiert sind, werden sofort von weiteren Kontaktversuchen ausgeschlossen (auf eine Sperrliste gesetzt). Außerdem stellen wir transparenzhalber diese Datenschutzerklärung im internen Bereich bereit und geben auf Anfrage weitere Auskunft. All diese Maßnahmen fließen in die Abwägung ein.
  • Ergebnis: Wir kommen zum Schluss, dass unsere Form der Verarbeitung im konkreten Rahmen datenschutzrechtlich vertretbar ist. Die Interessen der Betroffenen (z. B. an Nicht-Erhalt ungewünschter Werbung oder an Datenminimierung) werden nicht unverhältnismäßig beeinträchtigt, zumal wir jederzeit einen Widerspruch akzeptieren und dann jegliche weitere Verarbeitung zum Zwecke der Direktwerbung unterlassen.

Unsere Kunden müssen für deren eigene Akquise-Aktivitäten ebenfalls eine solche Abwägung vornehmen. In vielen Fällen orientieren sie sich an unseren Standards. Auf Wunsch können wir Geschäftskunden dabei unterstützen, eine Legitimitätsprüfung zu dokumentieren.

6. Empfänger der Daten

Interne Empfänger: Innerhalb von deichbot erhalten nur diejenigen Mitarbeiter Zugriff auf personenbezogene Daten, die diese zur Erfüllung ihrer Aufgaben benötigen (“Need-to-know-Prinzip”). Das ist vor allem unser Vertriebsteam (bei eigener Akquise) sowie unsere technischen Fachkräfte, die den Service operativ betreiben und z. B. Mailings oder Analysen vorbereiten. Alle Mitarbeiter sind auf Vertraulichkeit verpflichtet und regelmäßig zum Datenschutz geschult.

Geschäftskunden: Wenn wir Leads im Auftrag eines Kunden verarbeiten, werden die entsprechenden Daten natürlich dem Kunden offengelegt bzw. an ihn weitergegeben. Schließlich ist es Ziel der Leistung, dass der Kunde mit dem Entscheider in Kontakt treten kann. Konkret bedeutet das: Die vom deichbot-System gefundenen und kontaktierten Entscheiderkontakte inklusive relevanter Informationen (etwa der Akquise-Steckbrief) werden dem beauftragenden Kunden zugänglich gemacht, z. B. über unsere Plattform, via Export/Sync ins CRM des Kunden oder durch Übermittlung von Reports. Ebenso erhält der Kunde Einsicht in die Kommunikation (z. B. Antworten der Leads auf Mailings, Termine). Der Kunde ist vertraglich verpflichtet, diese Daten vertraulich zu behandeln und nur für die legitimierten Zwecke zu verwenden.

Auftragsverarbeiter (Subdienstleister): Wir bedienen uns zur Bereitstellung unserer Services einer Reihe von technischen Dienstleistern (Auftragsverarbeitern), denen wir im notwendigen Umfang Daten anvertrauen. Diese Unterauftragnehmer verarbeiten Daten nur nach unserer Weisung und wurden von uns sorgfältig ausgewählt und vertraglich auf Datenschutz verpflichtet (Art. 28 DSGVO). Eine aktuelle Übersicht aller eingesetzten Unterauftragsverarbeiter finden Sie im nächsten Abschnitt in Form einer Tabelle. Dort sind Name, Anschrift, Zweck und Ort der Verarbeitung sowie – falls relevant – der Übermittlungsmechanismus(bei Verarbeitung außerhalb des EWR) aufgeführt. Zu den wichtigsten Service-Providern gehören z. B.:

  • Hosting- und IT-Infrastruktur: Wir hosten unsere Plattform und Daten überwiegend in Deutschland/EU (Rechenzentren von IONOS SE in Deutschland). Einzelne Funktionen (Datenbanken, Datenhub) laufen auch auf spezialisierten Cloud-Services (AirtableBoost.space etc.).
  • E-Mail- und Kollaborationstools: Für die Kommunikationsabläufe setzen wir Dienste wie Google Workspace (geschäftliche E-Mail) oder Missive (E-Mail-Kollaboration/Shared Inbox) ein. Diese ermöglichen u.a., dass sowohl wir als auch unsere Kunden synchronisiert an Konversationen arbeiten können, und dass z. B. ausgehende E-Mails über die Infrastruktur dieser Tools versandt werden.
  • Automatisierung und Datenmanagement: Um Arbeitsabläufe zu automatisieren (Workflows, Integration verschiedener Systeme) verwenden wir Tools wie Make (Make.com) – ein Workflow-Automation-Dienst, der ehemals Integromat hieß (heute Teil von Celonis). Außerdem Boost.space als Daten-Hub, der Daten zwischen Systemen zusammenführt.
  • Dateiablage und Projektmanagement: In Zusammenhang mit unseren Services können personenbezogene Daten auch in Cloud-Speichern wie Dropbox (z. B. Backups von Kontaktlisten oder Reportings) oder Notion (Projekt- und Wissensmanagement, z. B. interne Dokumentation von Kampagnen) abgelegt werden.
  • Terminplanung: Wenn im Akquise-Prozess Termine zwischen einem Entscheider und unserem Kunden vereinbart werden, nutzen wir ggf. Calendly zur automatischen Terminplanung.

Weitere Einzelheiten und alle eingesetzten Subunternehmer entnehmen Sie bitte der folgenden Tabelle.Selbstverständlich haben wir mit jedem dieser Dienstleister einen Auftragsverarbeitungsvertrag geschlossen. Sollten wir zukünftig einen neuen Unterauftragsverarbeiter hinzunehmen oder einen wechseln, werden wir unsere Kunden entsprechend vorab informieren (gemäß der vertraglichen Vereinbarung) und diese Liste aktualisieren.

Weitere Empfänger: Außer den genannten Fällen geben wir personenbezogene Daten nicht an Dritte weiter, es sei denn, wir sind hierzu gesetzlich verpflichtet. Beispielsweise können wir im Einzelfall verpflichtet sein, Auskünfte an Behörden oder Strafverfolgungsstellen zu erteilen (Art. 6 Abs. 1 lit. c DSGVO), etwa auf richterliche Anordnung. Auch im Falle von rechtlichen Ansprüchen kann es erforderlich sein, Daten an Rechtsberater oder Gerichte weiterzugeben (berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO). In all diesen Fällen achten wir streng darauf, dass die Weitergabe im zulässigen Rahmen erfolgt.

7. Datenübermittlung in Drittländer

Ein Teil der Datenverarbeitung kann bei unseren beauftragten Dienstleistern außerhalb der Europäischen Union (EU)/des Europäischen Wirtschaftsraums (EWR) erfolgen. Dies betrifft vor allem einige der oben genannten Cloud-Tools mit Sitz in den USA bzw. Kanada. Ein angemessenes Datenschutzniveau ist jedoch für alle Übermittlungen garantiert:

  • USA – EU-U.S. Data Privacy Framework und SCC: Mehrere unserer Dienstleister in den USA (z. B. Airtable, Calendly, Notion, Dropbox) sind nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Diese Zertifizierung stellt gemäß Durchführungsbeschluss der EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DSGVO dar. Das bedeutet, solche Unternehmen verpflichten sich, die Datenschutzstandards der EU einzuhalten. Soweit US-Dienstleister (wie Google) nicht (nur) auf DPF setzen, haben wir mit ihnen die aktuellen EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Hierdurch werden ebenfalls vertraglich verbindliche Datenschutzgarantien geschaffen. Zusätzlich prüfen wir fallweise technische Schutzmaßnahmen (z. B. Verschlüsselung) für Daten, die in die USA übertragen werden.
  • Kanada: Unser Shared-Inbox-Dienst Missive hat seinen Sitz in Kanada. Kanada verfügt (für den privaten Sektor unter PIPEDA) ebenfalls über einen Angemessenheitsbeschluss der EU. Somit gelten Übermittlungen an Missive als datenschutzrechtlich sicher (Art. 45 DSGVO).
  • EU-Ausland innerhalb Angemessenheitsbeschlüssen: Sollten wir in seltenen Fällen Daten in andere Länder mit offiziellem Angemessenheitsbeschluss übermitteln (z. B. Großbritannien, wenn es um EU-externe Speicherorte ginge), stützen wir uns ebenfalls auf Art. 45 DSGVO.

In allen Fällen gilt: Wir arbeiten nur mit Empfängern zusammen, die entweder innerhalb der EU sind oder ein nachweislich angemessenes Datenschutzniveau sicherstellen. Auf Anfrage stellen wir gerne weitere Details zu den konkreten Garantien zur Verfügung (z. B. Kopien der Standardvertragsklauseln).

8. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Das Löschkonzept unterscheidet sich nach Datenkategorie und Verarbeitungskonstellation:

  • Leads/Entscheiderdaten (Akquise-Daten): Kontakte, die wir für unsere eigene Akquise recherchiert haben, speichern wir so lange, bis der Zweck erreicht ist oder wegfällt. Wenn sich z. B. herausstellt, dass ein Lead kein Interesse hat oder nicht reagiert, überprüfen wir, ob eine weitere Aufbewahrung sinnvoll ist. Wir möchten unnötige Daten vermeiden: Grundsätzlich werden nicht erfolgreiche Kontaktversuche nach Abschluss der Akquise-Kampagne analysiert und die darunter liegenden personenbezogenen Daten in der Regel gelöscht oder anonymisiert. Allerdings behalten wir uns vor, bestimmte Kontaktangaben in eine Sperrliste (Blacklist) zu überführen, um sicherzustellen, dass diese Person künftig nicht erneut ungewollt kontaktiert wird. Auf dieser Blacklist werden in minimaler Form Daten (typischerweise nur E-Mail-Adresse und ggf. Name/Firma) dauerhaft vorgehalten – selbstverständlich ausschließlich zu dem Zweck, weitere Werbung zu unterbinden. Dieses Vorgehen liegt wiederum in unserem berechtigten Interesse sowie im Interesse des Betroffenen (Art. 6 Abs. 1 lit. f DSGVO), da es sie vor zukünftigen Störungen schützt.
  • Daten aus Kundenprojekten: Wenn wir Leads im Auftrag eines Kunden verarbeitet haben, erfolgt die Löschung nach Weisung des Kunden oder spätestens nach Ende des Auftragsverhältnisses. Konkret: Sobald ein Vertrag mit einem Kunden endet, werden wir alle personenbezogenen Daten, die wir für diesen Kunden verarbeitet haben, entweder zurückgeben oder löschen (Art. 28 Abs. 3 lit. g DSGVO). In der Praxis stellen wir dem Kunden oft einen Export (z. B. Excel/CSV) der Kontaktdaten und Kommunikations-Logs zur Verfügung. Nach erfolgter Übergabe und bestätigter vollständiger Übernahme durch den Kunden löschen wir unsere Kopien der Daten unwiderruflich aus unseren Systemen und Backups (unter Beachtung üblicher Löschfristen der Backup-Systeme). Falls ein Kunde bereits während der Laufzeit einzelne Datensätze gelöscht haben möchte (z. B. weil ein Lead widersprochen hat), setzen wir dies ebenfalls umgehend um.
  • Kundendaten (Geschäftskundenbeziehung): Daten unserer Geschäftskunden (Vertragspartner) bewahren wir grundsätzlich für die Dauer der Vertragsbeziehung auf. Nach Ende der Geschäftsbeziehung werden diese Daten gelöscht, sobald keine gesetzlichen Aufbewahrungspflichten mehr bestehen. Relevante Aufbewahrungsfristen ergeben sich etwa aus dem Handels- und Steuerrecht (i.d.R. 6 bis 10 Jahre für geschäftliche Unterlagen wie Verträge, Rechnungen). Kontaktdaten von Ansprechpartnern können wir darüber hinaus auf Basis berechtigten Interesses eine Zeit lang weiter speichern, um ggf. spätere Anschlussfragen zu beantworten oder Feedback einzuholen – sofern nicht von diesen Personen eine Löschbitte erfolgt.
  • Kommunikationsdaten: Inhalte von E-Mails oder Chat-Verläufen, die im Rahmen der Akquise entstanden sind, speichern wir entsprechend der oben genannten Grundsätze. Wenn es sich um Kommunikation mit Interessenten handelt, die nicht zu einer Geschäftsbeziehung führte, löschen wir diese Inhalte in der Regel nach Abschluss der Kampagne bzw. nach Ablauf einiger Monate, sofern keine anderweitige Notwendigkeit zur Aufbewahrung besteht. Hat die Kontaktaufnahme zu einer Geschäftsanbahnung geführt, können Teile der Kommunikation (z. B. Terminvereinbarungen, angefragte Informationen) in die Kundenakte überführt und dort aufbewahrt werden, solange es für den Vertrieb sinnvoll und zulässig ist.

In jedem Fall prüfen wir routinemäßig, ob gespeicherte personenbezogene Daten für die Zwecke noch erforderlich sind, und nehmen – wo möglich – eine Anonymisierung vor, anstatt Daten unbefristet im Personenbezug zu halten.

9. Technische und organisatorische Maßnahmen

Wir nehmen den Schutz aller von uns verarbeiteten Daten ernst und haben umfangreiche technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO implementiert, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dazu gehören insbesondere:

  • Zugriffskontrollen: Personalisierte Benutzerkonten mit Passwortschutz und rollenbasierten Berechtigungen stellen sicher, dass innerhalb unseres Teams nur autorisierte Personen Zugriff auf personenbezogene Daten haben. Administrationszugriffe sind auf ein Minimum beschränkt. Kundendaten werden mandantengetrennt verarbeitet, d. h. jeder Kunde kann nur seine eigenen Leads einsehen.
  • Verschlüsselung: Sämtliche Kommunikation zwischen unseren Systemen und den Nutzern bzw. Dienstleistern erfolgt verschlüsselt (TLS/SSL). Sensible Daten (z. B. Zugangsdaten, API-Keys) werden in unseren Datenbanken verschlüsselt gespeichert. Bei E-Mail-Versand wird nach Möglichkeit Transportverschlüsselung (TLS) erzwungen. Teilweise nutzen wir zusätzliche Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung bei der Ablage von Daten in Cloud-Systemen.
  • Protokollierung und Kontrolle: Wichtige Zugriffe, Änderungen und Übertragungen von personenbezogenen Daten werden in Logfiles protokolliert, soweit dies praktikabel ist. Dadurch ist nachvollziehbar, wer wann Daten eingegeben, geändert oder gelöscht hat. Unsere Mitarbeiter sind auf die Einhaltung der Weisungen des Verantwortlichen verpflichtet (im Auftragsverarbeitungsfall), und wir haben entsprechende interne Richtlinien und Schulungen, um Datenschutzverstöße zu verhindern.
  • Datensicherheit und Notfallkonzept: Wir erstellen regelmäßige Backups aller relevanten Daten (Kontaktdaten, E-Mail-Logs etc.) auf sicheren, separaten Systemen. Diese Backups ermöglichen es uns, bei einem physischen oder technischen Zwischenfall die Daten zeitnah wiederherzustellen (Notfallwiederherstellungsplan). Unsere Server und Datenbanken sind durch aktuelle Firewall- und Antivirensysteme geschützt und werden kontinuierlich überwacht. Sicherheitsupdates werden zeitnah eingespielt.
  • Datentrennung: Falls wir Daten mehrerer Kunden verarbeiten, stellen wir durch logische Trennung (Mandantensysteme, getrennte Datenbanken oder eindeutige Kennzeichnungen) sicher, dass keine unbefugte Vermischung der Daten verschiedener Auftraggeber erfolgt.

Diese Maßnahmen werden dem aktuellen Stand der Technik entsprechend laufend aktualisiert und verbessert. Sollte es trotz aller Vorkehrungen zu einer Sicherheitslücke kommen, haben wir einen internen Prozess, um diese unverzüglich zu schließen und – sofern relevant – etwaige Datenschutzverletzungen nach Art. 33/34 DSGVO fristgerecht den Aufsichtsbehörden und betroffenen Personen zu melden.

10. Rechte der betroffenen Personen

Wenn wir personenbezogene Daten von Ihnen verarbeiten, stehen Ihnen verschiedene Rechte zu. Sie können sich diesbezüglich jederzeit unter den oben angegebenen Kontaktdaten an uns (oder im Falle der Auftragsverarbeitung an unseren jeweiligen Kunden) wenden. Im Einzelnen haben Sie folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Sie haben das Recht, Bestätigung darüber zu verlangen, ob wir personenbezogene Daten zu Ihrer Person verarbeiten. Falls ja, haben Sie das Recht auf Auskunft über diese Daten und auf weitere Informationen wie die Verarbeitungszwecke, Kategorien der Daten, die Empfänger, die geplante Speicherdauer und Ihre weiteren Rechte. Sie können eine Kopie Ihrer personenbezogenen Daten erhalten.
  • Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Außerdem können Sie die Vervollständigung unvollständiger Daten verlangen, sofern dies für den Zweck der Verarbeitung relevant ist.
  • Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist insbesondere der Fall, wenn die Daten für die Zwecke nicht mehr notwendig sind, Sie eine erteilte Einwilligung widerrufen (und es keine andere Rechtsgrundlage gibt) oder Sie Widerspruch gegen die Verarbeitung einlegen und keine überwiegenden berechtigten Gründe für die Verarbeitung vorliegen. Bitte beachten Sie, dass es Ausnahmen vom Löschrecht gibt (z. B. wenn wir zur Aufbewahrung gesetzlich verpflichtet sind).
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Bedingungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Z. B. wenn Sie die Richtigkeit der Daten bestreiten, für die Dauer der Prüfung; oder wenn Sie Löschung verlangt haben und wir das nicht durchführen können/dürfen, dann markieren wir die Daten, um sie künftig nur noch für eng begrenzte Zwecke zu verarbeiten.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben – bei Vorliegen der Voraussetzungen – das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Dienstanbieter zu übermitteln. Dieses Recht gilt nur, wenn die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. In unserem Kontext ist Datenübertragbarkeit eher selten einschlägig (da wir selten Daten von den betroffenen Personen selbst erhalten, sondern meist aus anderen Quellen), aber wir stellen Ihnen natürlich auf Anfrage alle verfügbaren Daten gerne elektronisch zur Verfügung.
  • Widerspruch (Art. 21 DSGVO): Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, sofern wir diese auf Basis eines berechtigten Interesses verarbeiten. Dies gilt insbesondere für Direktwerbung: Insofern wir Ihre Daten zu Werbezwecken nutzen, können Sie jederzeit ohne Angabe von Gründen widersprechen – wir werden dann Ihre Daten nicht weiter für Direktwerbung verwenden. Wenn Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen andere auf Art. 6 Abs. 1 lit. f DSGVO gestützte Verarbeitungen Widerspruch einlegen, prüfen wir ebenfalls, ob ein überwiegendes schutzwürdiges Interesse an der Verarbeitung besteht. Andernfalls stellen wir die Verarbeitung ein.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Sollten wir im Ausnahmefall doch eine Einwilligungvon Ihnen zur Datenverarbeitung eingeholt haben (z. B. Sie haben ausdrücklich zugestimmt, dass wir Sie kontaktieren dürfen), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs.
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen unabhängig von anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Sie können dies bei der für uns zuständigen Behörde (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) oder jeder anderen Aufsichtsbehörde Ihrer Wahl tun. Die Beschwerde kann formlos erfolgen. Die Kontaktdaten der Hamburger Datenschutzbehörde lauten: Kurt-Schumacher-Allee 4, 20097 Hamburg, E-Mail: mailbox@datenschutz.hamburg.de.

Hinweis: In Fällen, in denen wir Daten im Auftrag eines Kunden verarbeiten, können wir Ihre Rechte nur im Rahmen der mit dem Kunden vereinbarten Möglichkeiten erfüllen. Generell werden wir, sofern Sie sich direkt an uns wenden, Ihre Anfrage unverzüglich an den jeweiligen Kunden als eigentlich verantwortliche Stelle weiterleiten. Wir unterstützen den Kunden bei der Bearbeitung, dürfen aber z. B. keine Löschung oder Berichtigung eigenmächtig durchführen, solange uns der Auftraggeber keine entsprechende Weisung erteilt hat (Ausnahme: Wenn eine sofortige Maßnahme zwingend erforderlich ist, etwa um weitere Zusendungen zu stoppen, werden wir das vorläufig umsetzen und den Kunden informieren). Ihre Rechte können Sie selbstverständlich auch direkt gegenüber dem verantwortlichen Unternehmen (unserem Kunden) geltend machen. In unserem Vertrag mit dem Kunden ist festgelegt, dass er verpflichtet ist, Sie über Ihre Rechte zu informieren und Anfragen zu bearbeiten – wir helfen im Hintergrund dabei.

11. Keine automatisierte Entscheidungsfindung im Einzelfall

Eine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 DSGVO (z. B. vollautomatisierte Bonitätsprüfungen oder Bewerberauswahl ohne menschliches Zutun) findet durch unsere Verarbeitung nicht statt. Zwar setzen wir Algorithmen und KI ein, um Profile von Wunschkunden zu erstellen und Scoring/Matching durchzuführen (d.h. wir bewerten, wie gut ein Lead zum Angebot passt). Dies dient aber ausschließlich dazu, unseren Kunden potentielle Ansprechpartner vorzuschlagen bzw. eine individuelle Ansprache zu ermöglichen. Rechtswirkungen oder ähnlich erhebliche Beeinträchtigungen für die betroffenen Personen sind damit nicht verbunden. Im Zweifel entscheidet immer ein Mensch (bei uns oder beim Kunden), ob und wie eine Kontaktaufnahme erfolgt. Betroffene werden durch unser Scoring nicht in rechtlicher Hinsicht benachteiligt – schlimmstenfalls erhalten sie unerwünschte Werbung, der sie jederzeit widersprechen können (siehe Widerspruchsrecht).

12. Weitere Fragen und Kontaktaufnahme

Wenn Sie weitere Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer Daten im Rahmen der deichbot-Services haben, können Sie sich jederzeit an uns wenden (siehe Abschnitt Verantwortlicher und Kontakt). Wir stehen gerne für Erläuterungen zur Verfügung.

Liste der Unterauftragsverarbeiter von deichbot (Stand: September 2025)

Im Folgenden listen wir alle derzeit eingesetzten Unterauftragsverarbeiter (Sub-Prozessoren) auf, die im Rahmen der deichbot-Services personenbezogene Daten verarbeiten. Zu jedem Dienstleister sind NameSitz(Anschrift/Hauptniederlassung), der Zweck der Verarbeitung (welche Funktion oder Dienstleistung für deichbot erbracht wird), der Datenstandort (Region, in der die Datenverarbeitung überwiegend stattfindet) sowie der Übermittlungsmechanismus nach DSGVO (bei Datenübertragung außerhalb der EU) angegeben.

Unterauftragsverarbeiter Anschrift / Sitz Zweck der Verarbeitung Datenstandort Übermittlungsmechanismus
IONOS SE Elgendorfer Str. 57, 56410 Montabaur, Deutschland Server-Hosting (Web- & Mail-Server), Rechenzentrumsbetrieb Deutschland / EU Nicht erforderlich (Datenverarbeitung innerhalb EU)
Airtable, Inc. 799 Market Street, 8th Floor, San Francisco, CA 94103, USA Cloud-Datenbank (Tabellen-/Datenbank-Front-End für Kontaktdaten) USA EU-US Data Privacy Framework (DPF)(zertifiziert)
Boost.space s.r.o. Karlovo náměstí 290/16, 120 00 Praha 2, Tschechien Daten-Hub & Automationsplattform (Datenaggregation und -transfer zwischen Systemen) EU (Tschechien) Nicht erforderlich (innerhalb EU)
Celonis, Inc. (Make.com) Karolinská 706/3, 186 00 Praha 8, Tschechien Workflow-Automatisierung (Integromat/Make-Plattform für Prozessautomation) EU (Tschechien) Nicht erforderlich (innerhalb EU)
Google Cloud EMEA Ltd. Gordon House, Barrow Street, Dublin 4, Irland E-Mail & Collaboration (Google Workspace: Gmail, Kalender, Drive etc. für Unternehmenskommunikation) EU / teilweise USA Standard Vertragsklauseln, US-Komponenten unter EU-US DPF
Missive App, Inc. 5605 Avenue de Gaspé #204, Montréal, QC H2T 2A4, Kanada Shared Inbox Plattform (gemeinsame Postfach-Verwaltung für Teams) Kanada Angemessenheitsbeschluss der EU für Kanada (Art. 45 DSGVO)
Dropbox International Unlimited Company 10 Hanover Quay, Dublin 2, Irland Cloud-Speicher / File-Hosting (Ablage von Dateien, Backups) EU / ggf. USA EU-US Data Privacy Framework (zertifiziert) und Standardvertragsklauseln (bei US-Zugriff)
Notion Labs, Inc. 548 Market St #74567, San Francisco, CA 94104, USA Projekt- und Wissensmanagement (Dokumentation, interne Planung) USA EU-US Data Privacy Framework (zertifiziert)
Calendly, LLC 271 17th St NW, Suite 1000, Atlanta, GA 30363, USA Online-Terminplaner (Automatisierung von Terminvereinbarungen) USA EU-US Data Privacy Framework (zertifiziert)

Erläuterungen: Bei sämtlichen US-Anbietern erfolgt die Datenübermittlung auf Basis einer gültigen Garantie nach Kapitel V DSGVO. Im Regelfall ist dies aktuell die Teilnahme am EU-U.S. Data Privacy Framework(Standards für ein angemessenes Datenschutzniveau in den USA). Einige Dienste nutzen ergänzend oder ersatzweise die EU-Standardvertragsklauseln (SCC). Anbieter in Kanada befinden sich in Ländern mit von der EU als angemessen eingestuftem Datenschutz. IONOS und Boost.space verarbeiten Daten ausschließlich in der EU, sodass hier keine Drittlandübermittlung stattfindet.

Diese Liste wird aktualisiert, sobald Änderungen bei unseren Unterauftragsverarbeitern auftreten. Unsere Kunden werden über neu hinzu kommende Subdienstleister vorab informiert, soweit gesetzlich oder vertraglich erforderlich. Bei Fragen zu den genannten Dienstleistern oder den getroffenen Datenschutzmaßnahmen können Sie uns gerne kontaktieren.