Datenschutzerklärung

Der Schutz Ihrer personen­bezogenen Daten ist uns ein besonderes Anliegen. In dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personen­bezogener Daten bei der Nutzung unserer Website spiritdev.de sowie bei der Anbahnung und Durchführung von Geschäftsbeziehungen mit der spiritdev Softwareentwicklung GmbH.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:

spiritdev Softwareentwicklung GmbH Carl-Zeiss-Straße 8 21465 Reinbek Deutschland

Geschäftsführer: Dipl.-Inf. (FH) Florian Cremer Telefon: +49 (0)40 53 00 51 66 E-Mail: datenschutz@spiritdev.de Allgemeine Anfragen: info@spiritdev.de

Ein Datenschutz­beauftragter ist nach derzeitiger Rechtslage (§ 38 BDSG, Art. 37 DSGVO) nicht gesetzlich vorgeschrieben; insbesondere erfolgt durch uns keine umfangreiche regelmäßige Überwachung besonderer Kategorien personen­bezogener Daten. Sollte sich dies ändern, werden wir einen Datenschutz­beauftragten benennen und diese Datenschutz­erklärung entsprechend aktualisieren. Für Datenschutz­anfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

---

2. Überblick der Datenverarbeitung

2.1 Arten der verarbeiteten Daten

• Bestandsdaten (Name, Vorname, Anrede, Funktion/Position)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer, Firmenanschrift)
• Inhaltsdaten (Inhalt der Anfrage, Korrespondenz, Projektnotizen, Konzept­papiere)
• Vertragsdaten (Vertrags­gegenstand, Laufzeit, Vergütungs­regelungen)
• Zahlungsdaten (Rechnungs­anschrift, Bankverbindung bei SEPA-Lastschrift)
• Nutzungsdaten (Zugriffs­zeiten, besuchte Seiten der Website, Referrer)
• Meta-/Kommunikations­daten (IP-Adresse, Geräte­informationen, Browser-Typ und -Version, Betriebssystem)
• Bewerberdaten (Bewerbungs­unterlagen, Lebenslauf, Anschreiben, Zeugnisse)
• Daten Dritter (Mitarbeiter, Kunden oder Lieferanten des Auftraggebers, soweit diese im Rahmen einer Geschäfts­anbahnung oder eines Mandats genannt werden) — die Verarbeitung dieser Daten als Auftrags­verarbeiter ist Gegenstand eines separaten AVV.

2.2 Kategorien betroffener Personen

• Besucher unserer Website
• Interessenten (z. B. Anfragen aus Erstgespräch, Empfehlung, LinkedIn)
• Vertrags­partner (Auftraggeber, Kunden, Geschäfts­partner)
• Ansprech­partner und Mitarbeiter unserer Vertrags­partner
• Lieferanten, Subunternehmer und Freelancer
• Bewerber
• Empfänger geschäftlicher Kommunikation (z. B. Akquise-Schreiben, Einladungen zu Veranstaltungen)

2.3 Empfänger der Daten

Empfänger der Daten können sein:

• Interne Stellen der spiritdev Softwareentwicklung GmbH (Geschäfts­führung, Vertrieb, Projekt­leitung, Buchhaltung)
• Auftrags­verarbeiter (Hosting-Anbieter, E-Mail-Dienstleister, Buchhaltungs- und Steuer­dienstleister, KI-Werkzeuge — vgl. Abschnitt 8)
• Steuerberater und Wirtschafts­prüfer im Rahmen ihrer berufs­rechtlichen Pflichten
• Behörden und Gerichte im Rahmen gesetzlicher Verpflichtungen oder zur Rechts­verfolgung
• Banken und Zahlungs­dienstleister im Rahmen der Zahlungs­abwicklung

Eine Weitergabe an sonstige Dritte erfolgt nur, soweit dies gesetzlich zulässig oder erforderlich ist oder Sie ausdrücklich eingewilligt haben.

2.4 Zwecke der Verarbeitung

• Bereitstellung unserer Website und Bearbeitung von Anfragen
• Anbahnung, Abschluss und Durchführung von Verträgen über Beratungs-, Entwicklungs-, Einführungs- und Integrations­leistungen
• Buchhaltung, Rechnungs­stellung und steuerliche Pflichten
• Bewerber­management
• Wahrung berechtigter Interessen (z. B. Sicherheit der IT-Systeme, Direkt­kommunikation mit Geschäfts­kontakten)
• Erfüllung rechtlicher Verpflichtungen

2.5 Rollen nach DSGVO

spiritdev tritt in mehreren Rollen auf:

• Als Verantwortlicher (Art. 4 Nr. 7 DSGVO): bei der Verarbeitung der unter Abschnitt 2.1 genannten Daten zur eigenen Geschäfts­tätigkeit. Diese Datenschutzerklärung regelt diese Verarbeitungen.
• Als Auftrags­verarbeiter (Art. 4 Nr. 8 DSGVO): bei der Verarbeitung personen­bezogener Daten, die der Auftraggeber im Rahmen eines Beratungs-, Entwicklungs-, Einführungs- oder Integrations­mandats verarbeitet. Für diese Verarbeitungen gilt der separat zu schließende Auftrags­verarbeitungs­vertrag (AVV) mit zugehöriger Anlage zu den technischen und organisatorischen Maßnahmen (TOM).
• Als Verantwortlicher der Plattform spiritflow: Verarbeitungen rund um die SaaS-Plattform spiritflow sind in der separaten Datenschutz­richtlinie unter spiritflow.team geregelt.

---

3. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf Basis folgender Rechts­grundlagen:

Verarbeitungs­zweck	Rechtsgrundlage
Vertrags­anbahnung und -durchführung	Art. 6 Abs. 1 lit. b DSGVO
Einwilligung	Art. 6 Abs. 1 lit. a DSGVO
Rechtliche Verpflichtung (z. B. Steuern, Handelsrecht)	Art. 6 Abs. 1 lit. c DSGVO
Berechtigte Interessen	Art. 6 Abs. 1 lit. f DSGVO
Bewerbungs­verfahren	§ 26 Abs. 1 BDSG, Art. 88 DSGVO

Bei der Verarbeitung auf Basis berechtigter Interessen berücksichtigen wir die Interessen und Grundrechte der betroffenen Personen. Es erfolgt keine Verarbeitung zu Werbe­zwecken gegenüber Verbrauchern und kein Profiling im Sinne des Art. 22 DSGVO.

---

4. Bereitstellung der Website

4.1 Hosting und Server-Logs

Unsere Website spiritdev.de wird gehostet bei der Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen) in deutschen Rechen­zentren. Mit Hetzner besteht ein Auftrags­verarbeitungs­vertrag gemäß Art. 28 DSGVO.

Beim Aufruf unserer Website werden automatisch folgende Daten in Server-Logfiles erhoben und vorübergehend verarbeitet:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Statuscode
• Browser-Typ und -Version, Betriebssystem
• Referrer-URL (sofern übermittelt)
• übertragene Datenmenge

Zweck: Bereit­stellung der Website, Schutz vor Missbrauch und Angriffen, technische Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren, stabilen und performanten Bereitstellung der Website).

Speicher­dauer: 30 Tage. Anschließend werden die Daten gelöscht oder gekürzt, soweit eine längere Speicherung zur Aufklärung eines Sicherheits­vorfalls erforderlich ist.

4.1.1 Content Delivery Network (Cloudflare)

Unserer Website ist ein Content Delivery Network (CDN) der Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) vorgeschaltet. Cloudflare leitet Anfragen an unsere Website über sein globales Netzwerk weiter, beschleunigt die Auslieferung und schützt vor Angriffen (DDoS-Schutz, Web Application Firewall).

Cloudflare verarbeitet hierbei technische Verbindungs­daten (insbesondere IP-Adresse, User-Agent, Anfragedaten, Zeitpunkt der Anfrage) sowie Sicherheits­informationen. Die Inhalte unserer Website werden statisch durchgereicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, stabilen und performanten Auslieferung sowie an der Abwehr von Angriffen auf die Website).

Auftrags­verarbeitung: Mit Cloudflare besteht ein Auftrags­verarbeitungs­vertrag gemäß Art. 28 DSGVO.

Drittland­transfer: Bei der Auslieferung kann es zu einer Übermittlung an Cloudflare-Server in den USA kommen. Cloudflare, Inc. ist nach dem EU-US Data Privacy Framework (Durchführungs­beschluss (EU) 2023/1795) zertifiziert; ergänzend liegen mit Cloudflare Standard­vertrags­klauseln gemäß Durchführungs­beschluss (EU) 2021/914 vor. Details zum Datenschutz bei Cloudflare unter www.cloudflare.com/de-de/privacypolicy.

4.1.2 Reichweitenmessung mit Cloudflare Web Analytics

Zur statistischen Auswertung der Nutzung unserer Website setzen wir Cloudflare Web Analytics ein, einen Dienst der Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA). Cloudflare Web Analytics erfasst aggregierte Nutzungs­daten unserer Website (insbesondere aufgerufene Seiten, Referrer, Browser-Typ, Geräte­typ, Land der Anfrage) und stellt sie uns ausschließlich in aggregierter, nicht auf Einzel­personen rückführbarer Form zur Verfügung.

Cloudflare Web Analytics setzt keine Cookies und nutzt keine vergleichbaren Speicher­techniken auf Ihrem Endgerät. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich. Es findet keine Speicherung Ihrer IP-Adresse und keine Bildung von Nutzungs­profilen statt; ebenso erfolgt kein Cross-Site-Tracking. Die Erfassung erfolgt geräte- und sitzungs­anonym.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung der Nutzung unserer Website zur bedarfsgerechten Gestaltung der Inhalte).

Auftrags­verarbeitung: Mit Cloudflare besteht ein Auftrags­verarbeitungs­vertrag gemäß Art. 28 DSGVO (Cloudflare Data Processing Addendum).

Drittland­transfer: Bei der Übermittlung der Beacon-Daten an Cloudflare-Server kann es zu einer kurzzeitigen Verarbeitung in den USA kommen. Cloudflare, Inc. ist nach dem EU-US Data Privacy Framework (Durchführungs­beschluss (EU) 2023/1795) zertifiziert; ergänzend liegen Standard­vertrags­klauseln gemäß Durchführungs­beschluss (EU) 2021/914 vor.

Details zur Datenverarbeitung durch Cloudflare Web Analytics unter www.cloudflare.com/web-analytics sowie in der Datenschutz­erklärung von Cloudflare unter www.cloudflare.com/de-de/privacypolicy.

4.2 Keine Cookies, kein Tracking

Unsere Website setzt keine Cookies, die für den Betrieb der Website nicht zwingend technisch erforderlich sind. Außer dem unter Abschnitt 4.1.2 beschriebenen, cookielos arbeitenden Reichweiten­messungs-Dienst Cloudflare Web Analytics setzen wir kein Web-Analyse-Werkzeug (z. B. Google Analytics, Matomo, Plausible), kein Tracking-Pixel und keine Re-Marketing-Technologien ein.

Soweit ausnahmsweise technisch notwendige Cookies oder vergleichbare Speichertechniken zum Einsatz kommen (z. B. zur Erkennung einer aktiven Sitzung bei zukünftigen, derzeit nicht aktiven Funktionen), erfolgt dies auf Grundlage von § 25 Abs. 2 TDDDG; die Verarbeitung der dabei anfallenden personen­bezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

4.3 Lokal eingebundene Schriftarten

Wir verwenden auf unserer Website ausschließlich lokal eingebundene Schriftarten (UniNeue, gehostet auf unseren Servern). Es findet keine Übermittlung von IP-Adressen an Google Fonts oder andere externe Schrift­dienste statt.

4.4 Externe Inhalte (Bilder aus spiritflow.team)

Auf einzelnen Unterseiten unserer Website (z. B. /spiritflow) werden Vorschau­bilder unserer Plattform spiritflow direkt von der Domain spiritflow.team geladen. Da die Domain spiritflow.team ebenfalls von uns betrieben wird, erfolgt keine Übermittlung der IP-Adresse an einen unabhängigen Dritten. Server-Logs auf spiritflow.team werden im selben Umfang wie unter Abschnitt 4.1 geführt.

4.5 Sicherheit der Übertragung (TLS)

Die Übertragung Ihrer Daten beim Aufruf unserer Website erfolgt verschlüsselt über das HTTPS-Protokoll (TLS).

---

5. Kontakt­aufnahme und Anfragen

5.1 Kontaktformular

Auf unserer Website bieten wir ein Kontakt­formular an, über das Sie uns Anfragen senden können. Das Formular wird serverseitig auf unserem Webspace bei der Strato AG (Otto-Ostrowski-Straße 7, 10249 Berlin) ausgewertet; eine Übermittlung an externe Form-Dienste findet nicht statt.

Bei der Nutzung des Formulars erheben wir folgende Daten:

• Pflichtfelder: Name, E-Mail-Adresse, Inhalt der Nachricht
• Optionale Felder: Firma, Telefonnummer
• Technische Daten: IP-Adresse zum Zeitpunkt des Absendens, Zeitstempel

Schutz vor automatisiertem Missbrauch: Wir setzen kein reCAPTCHA, hCaptcha oder vergleichbare Dienste Dritter ein. Zum Schutz vor automatisierten Form-Einsendungen (Spam-Bots) verwenden wir technische Maßnahmen ohne Daten­übermittlung an Dritte, insbesondere ein Honeypot-Feld.

Zweck: Bearbeitung Ihrer Anfrage, Kontakt­aufnahme zur weiteren Klärung, ggf. Vorbereitung eines Erstgesprächs.

Rechtsgrundlage:

• Soweit die Anfrage auf den Abschluss eines Vertrags abzielt: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
• Im Übrigen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen sowie am Schutz vor automatisiertem Missbrauch).

Speicher­dauer: Anfragen werden bis zur abschließenden Bearbeitung aufbewahrt. Soweit die Anfrage handels- oder steuer­rechtlich relevant wird (z. B. weil sie zu einem Vertrag oder einer Geschäfts­korrespondenz führt), gelten die gesetzlichen Aufbewahrungs­fristen nach § 257 HGB bzw. § 147 AO (6 bzw. 10 Jahre). Nicht weiter relevante Anfragen ohne Anschluss­verarbeitung werden spätestens nach 12 Monaten gelöscht.

5.2 E-Mail- und Telefon-Kontakt

Bei Kontaktaufnahme per E-Mail oder Telefon werden die übermittelten Daten (z. B. Name, E-Mail-Adresse, Telefonnummer, Inhalt der Anfrage) verarbeitet, um Ihre Anfrage zu bearbeiten.

Unsere geschäftliche E-Mail-Kommunikation (Empfang und Versand) wird über Mail-Server der Strato AG (Otto-Ostrowski-Straße 7, 10249 Berlin) abgewickelt. Mit Strato besteht ein Auftrags­verarbeitungs­vertrag gemäß Art. 28 DSGVO. Strato verarbeitet die übermittelten Daten ausschließlich in Deutschland.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicher­dauer: Entsprechend Abschnitt 5.1 — bis zum Abschluss der Bearbeitung; bei handels- oder steuer­rechtlicher Relevanz nach den gesetzlichen Aufbewahrungs­fristen, sonst max. 12 Monate nach letztem Kontakt.

5.3 Geschäftliche Korrespondenz

E-Mail-Korrespondenz, Vertrags­dokumente, Angebote und Rechnungen werden gemäß den handels- und steuer­rechtlichen Aufbewahrungs­pflichten aufbewahrt (in der Regel 6 Jahre für Handelsbriefe gemäß § 257 Abs. 4 HGB, 10 Jahre für Buchungs­belege gemäß § 147 Abs. 3 AO).

---

6. Vertragsanbahnung und Vertragsdurchführung

6.1 Erhebung und Verarbeitung von Vertrags­daten

Im Rahmen der Anbahnung, des Abschlusses und der Durchführung von Verträgen mit Auftraggebern verarbeiten wir:

• Stammdaten des Auftraggebers und seiner Ansprech­partner (Name, Funktion, Kontakt­daten, Firmen­anschrift, USt-IdNr.)
• Inhalt der Anfrage, des Angebots, der Auftrags­bestätigung und etwaiger Nebenabreden
• Projekt­bezogene Inhalte (Konzept­papiere, Pflichten­hefte, Sitzungs­protokolle, Korrespondenz, Lieferungen)
• Abrechnungs­daten (Leistungs­nachweise, Stunden­zettel, Rechnungen, Mahnungen)
• Zahlungs­daten (Bankverbindung bei SEPA-Lastschrift, Zahlungs­eingänge)

Zweck: Erfüllung des Vertrags, Erbringung der vereinbarten Leistungen, Rechnungs­stellung, ggf. Forderungs­durchsetzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für steuer- und handels­rechtliche Aufbewahrungs­pflichten Art. 6 Abs. 1 lit. c DSGVO.

Speicher­dauer: Während der Vertrags­laufzeit, anschließend gemäß den gesetzlichen Aufbewahrungs­fristen (in der Regel 6 bzw. 10 Jahre nach § 257 HGB, § 147 AO). Nach Ablauf werden die Daten gelöscht, soweit keine entgegen­stehenden Rechte oder Pflichten bestehen.

6.2 Datenverarbeitung im Mandat (Auftrags­verarbeitung)

Soweit wir im Rahmen unserer Dienst­leistungen (Beratung, Software-Entwicklung, Einführung, Integration) auf personen­bezogene Daten zugreifen, deren Verantwortlicher der Auftraggeber ist (z. B. Mitarbeiter­daten, Kunden­daten des Auftraggebers), handeln wir als Auftrags­verarbeiter im Sinne des Art. 28 DSGVO.

Diese Verarbeitungen sind nicht Gegenstand der vorliegenden Datenschutz­erklärung, sondern eines separat zu schließenden Auftrags­verarbeitungs­vertrags (AVV) mit zugehöriger Anlage zu den technischen und organisatorischen Maßnahmen (TOM) sowie ggf. einer aktuellen Subprocessor-Liste. Der AVV wird dem Auftraggeber zum Vertrags­schluss zur Verfügung gestellt.

6.3 Mitarbeiter und Ansprechpartner des Auftraggebers

Im Rahmen der Vertrags­anbahnung und -durchführung verarbeiten wir Kontakt­daten der Ansprech­partner und Mitarbeiter unserer Auftraggeber (Name, Funktion, E-Mail, Telefon). Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Direkt­kommunikation im B2B-Kontext.

Die betroffenen Personen werden im Rahmen ihrer beruflichen Tätigkeit angesprochen; der Eingriff in ihre Rechte ist gering und durch das berechtigte Interesse an einer geordneten geschäftlichen Kommunikation gerechtfertigt.

---

7. KI-Einsatz und Vertraulichkeit

7.1 Einsatz von KI-Werkzeugen in der Leistungserbringung

Wir setzen KI-Werkzeuge (Large Language Models und vergleichbare Systeme) im Engineering- und Konzeptions­prozess ein, insbesondere zur Code-Generierung, Code-Analyse, Recherche und Dokumentations­erstellung. Wir unterscheiden dabei zwischen zwei klar getrennten Einsatz­szenarien:

(a) KI-Werkzeuge mit Auftragsverarbeitung (für Mandats­arbeit):

• Mistral AI (Mistral AI SAS, Paris, Frankreich) — Nutzung über die API der „La Plateforme”. Verarbeitung ausschließlich auf Servern innerhalb der Europäischen Union; kein Drittland­transfer. Die Data Processing Addendum von Mistral AI ist Bestandteil der akzeptierten Plattform-Bedingungen.
• Lokal betriebene KI-Modelle auf eigener Infrastruktur in Deutschland (insbesondere über Ollama sowie vergleichbare lokale Werkzeuge) — die übermittelten Inhalte verlassen unsere eigenen Systeme nicht.

(b) KI-Werkzeuge als Consumer-Tools (ohne Mandats­bezug):

• Anthropic Claude / Claude Code (Anthropic PBC, San Francisco, CA, USA) — genutzt über den persönlichen Claude Max-Tarif des Geschäftsführers. Dieser Tarif unterliegt den Consumer-Bedingungen; ein gesonderter Auftrags­verarbeitungs­vertrag besteht nicht.
• OpenAI ChatGPT (OpenAI OpCo LLC, San Francisco, CA, USA) — genutzt über den persönlichen ChatGPT Plus-Tarif des Geschäftsführers. Auch dieser Tarif unterliegt den Consumer-Bedingungen; ein gesonderter Auftrags­verarbeitungs­vertrag besteht nicht.

Bei den unter (b) genannten Consumer-Werkzeugen gilt eine strikte interne Nutzungs­regel: Es werden keinerlei personen­bezogene Daten Dritter — insbesondere keine Mandanten-, Kunden-, Bewerber- oder Geschäfts­partnerdaten — an diese Werkzeuge übermittelt. Der Einsatz beschränkt sich auf allgemeine Softwareentwicklung, Recherche, Code-Refactoring sowie die Bearbeitung eigener, nicht-personen­bezogener Inhalte. Soweit der Geschäftsführer Daten zu seiner eigenen Person in die Werkzeuge eingibt, betrifft dies allein seine eigene Sphäre als betroffene Person.

7.2 Schutz personen­bezogener Daten beim KI-Einsatz

Für KI-Werkzeuge mit Auftragsverarbeitung (Mistral AI, lokale Modelle) gilt:

• Die übermittelten Inhalte werden nicht zum Training der KI-Modelle verwendet (durch Vertrags­regelung mit dem KI-Anbieter bzw. ausgeschlossene Trainings­nutzung im EU-API-Betrieb; bei lokal betriebenen Modellen technisch ausgeschlossen).
• Die Verarbeitung erfolgt innerhalb der Europäischen Union.
• Die Datenübertragung erfolgt verschlüsselt.

Für die unter § 7.1 (b) genannten Consumer-Werkzeuge gilt zusätzlich:

• Die Trainings­nutzung ist in den jeweiligen Anbieter-Einstellungen explizit deaktiviert („Improve the model for everyone” / „Verbesserungen für alle” abgewählt).
• Die Werkzeuge werden in einem dedizierten beruflichen Kontext geführt (eigene Konten, getrennt von Privatnutzung).

7.3 Personenbezogene Daten und Geheimhaltung

Produktiv- oder Echtdaten unserer Auftraggeber werden grundsätzlich nicht an KI-Werkzeuge übermittelt, soweit dies nicht ausdrücklich im Einzel­vertrag (insbesondere im AVV) vorgesehen ist.

Vertrauliche Informationen unserer Auftraggeber, Geschäfts­geheimnisse und sensible technische Details werden nur in anonymisierter, abstrahierter oder synthetischer Form an die unter § 7.1 (a) genannten KI-Werkzeuge übermittelt, soweit dies für die Leistungs­erbringung erforderlich ist. Eine Übermittlung an die unter § 7.1 (b) genannten Consumer-Werkzeuge findet nicht statt.

7.4 Einsatz von KI-Werkzeugen mit Auswirkungen auf personen­bezogene Daten

Soweit beim KI-Einsatz im Rahmen eines Mandats personen­bezogene Daten des Auftraggebers verarbeitet werden, geschieht dies ausschließlich auf Grundlage des AVV und ausschließlich über die unter § 7.1 (a) genannten Werkzeuge mit Auftrags­verarbeitung; der Einsatz, der konkrete KI-Dienstleister und die jeweiligen Vertrags­garantien werden im AVV bzw. der zugehörigen Subprocessor-Liste dokumentiert.

---

8. Auftragsverarbeiter und externe Dienstleister

Wir setzen folgende externe Dienstleister ein, die in unserem Auftrag personen­bezogene Daten verarbeiten. Mit allen aufgeführten Auftrags­verarbeitern bestehen Verträge gemäß Art. 28 DSGVO.

Anbieter	Zweck	Sitz	Drittland
Hetzner Online GmbH	Hosting der Website spiritdev.de sowie weiterer Server-Dienste	Gunzenhausen, Deutschland	–
Cloudflare, Inc.	Content Delivery Network und Sicherheits­dienste (DDoS, WAF)	San Francisco, USA	USA (DPF + SCC)
Strato AG	E-Mail-Hosting und Webspace (inkl. server­seitige Verarbeitung des Kontakt­formulars)	Berlin, Deutschland	–
GitLab Inc.	Code-Hosting und Projekt­verwaltung (gitlab.com)	San Francisco, USA	USA (DPF + SCC)
Mistral AI SAS	KI-Werkzeuge im Engineering- und Konzeptions­prozess (API „La Plateforme”)	Paris, Frankreich	–
Lokal betriebene KI-Modelle (Ollama u.a. auf eigener Infrastruktur)	KI-Werkzeuge ohne Datenübertragung an Dritte	Deutschland (eigene Systeme)	–

Zur klaren Abgrenzung: Die in § 7.1 (b) genannten Consumer-KI-Werkzeuge (Anthropic Claude Max, OpenAI ChatGPT Plus) sind keine Auftrags­verarbeiter im Sinne von Art. 28 DSGVO. Es findet bei diesen Werkzeugen keine Verarbeitung personen­bezogener Daten Dritter im Auftrag der spiritdev statt; siehe die Nutzungs­regel in § 7.1 (b).

Sonstige Empfänger personenbezogener Daten (keine Auftrags­verarbeitung im engeren Sinne, sondern eigenverantwortliche Verarbeitung im Rahmen gesetzlicher Pflichten oder berufsrechtlicher Vorgaben):

Empfänger	Zweck	Sitz
Steuerberatungskanzlei Becker-Zeiler PartGmbB (stb-becker-zeiler.de)	Finanzbuchhaltung, Lohn- und Gehalts­abrechnung, Steuer­erklärungen — Verarbeitung unter steuer­berater­licher Verschwiegenheits­pflicht (§ 57 StBerG)	Deutschland
Sparkasse Erlangen Höchstadt Herzogenaurach	Abwicklung von Zahlungs­eingängen und -ausgängen über das Geschäfts­konto	Erlangen, Deutschland

Für Mandate (Auftrags­verarbeitung gemäß Abschnitt 6.2) wird eine separate Subprocessor-Liste als Anlage zum AVV geführt. Diese Liste enthält die im Rahmen des jeweiligen Mandats eingesetzten Unter­auftrags­verarbeiter (z. B. Hetzner als Hosting-Anbieter für ausgelieferte Software).

8.1 Verwendung der eigenen Plattform spiritflow als CRM

Wir nutzen unsere eigene Plattform spiritflow intern zur Verwaltung von Kunden- und Geschäfts­kontakten (CRM). Da spiritflow von uns selbst betrieben wird, handelt es sich hierbei nicht um eine Auftrags­verarbeitung durch einen Dritten — die Plattform ist Bestandteil unserer eigenen Infrastruktur und wird im selben deutschen Rechen­zentrum bei der Hetzner Online GmbH betrieben.

---

9. Drittland­transfer

Eine Übermittlung personen­bezogener Daten in Länder außerhalb des Europäischen Wirtschafts­raums (EWR) erfolgt im Rahmen der in Abschnitt 8 genannten US-Anbieter (Cloudflare, GitLab). Sämtliche dieser Übermittlungen sind durch geeignete Garantien abgesichert:

Anbieter	Empfänger­land	Rechts­grundlage	Status
Cloudflare, Inc.	USA	EU-US Data Privacy Framework (DPF) + Standard­vertrags­klauseln (SCC)	DPF-zertifiziert
GitLab Inc.	USA	EU-US Data Privacy Framework (DPF) + Standard­vertrags­klauseln (SCC)	DPF-zertifiziert

Die in § 7.1 (b) genannten US-Consumer-KI-Werkzeuge (Anthropic Claude Max, OpenAI ChatGPT Plus) sind in dieser Tabelle bewusst nicht aufgeführt. Über diese Werkzeuge werden keine personen­bezogenen Daten Dritter übermittelt; die Verarbeitung eigener (nicht-personen­bezogener) Inhalte des Geschäftsführers fällt nicht unter den Drittland-Transfer­tatbestand des Art. 44 ff. DSGVO.

Rechtsgrundlagen im Einzelnen:

• Angemessenheits­beschluss der Europäischen Kommission auf Basis des EU-US Data Privacy Framework (Durchführungs­beschluss (EU) 2023/1795 vom 10. Juli 2023) für die jeweils aktiv DPF-zertifizierten Anbieter (Art. 45 DSGVO).
• Standard­vertrags­klauseln gemäß Durchführungs­beschluss (EU) 2021/914 als ergänzende Absicherung (Art. 46 Abs. 2 lit. c DSGVO).
• Soweit im Einzelfall erforderlich: Heranziehung der Ausnahmen nach Art. 49 DSGVO.

Über die in der Tabelle aufgeführten Drittland-Transfers hinaus findet keine Übermittlung personen­bezogener Daten in Drittländer statt.

---

10. Bewerber­daten

10.1 Erhebung

Wenn Sie sich initiativ oder auf eine konkrete Ausschreibung bei uns bewerben, verarbeiten wir die übermittelten Bewerbungs­daten (Anschreiben, Lebenslauf, Zeugnisse, Kontakt­daten).

Zweck: Durchführung des Bewerbungs­verfahrens, Entscheidung über die Begründung eines Arbeits­verhältnisses.

Rechtsgrundlage: § 26 Abs. 1 BDSG, Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beschäftigungs­verhältnisses), ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer geordneten Bewerber­auswahl).

10.2 Speicher­dauer

• Bei Absage: spätestens 6 Monate nach Abschluss des Bewerbungs­verfahrens werden die Bewerbungs­unterlagen gelöscht, sofern Sie nicht in eine längere Aufbewahrung für einen Bewerber­pool eingewilligt haben (Aufbewahrung dann max. 2 Jahre, jederzeit widerruflich).
• Bei Einstellung: Übernahme der Unterlagen in die Personalakte; Verarbeitung gemäß den arbeits- und steuer­rechtlichen Vorgaben.

10.3 Empfänger

Bewerbungs­unterlagen werden ausschließlich an die mit dem Auswahl­verfahren betrauten internen Stellen weitergeleitet. Eine Weitergabe an Dritte erfolgt nicht ohne Ihre Einwilligung.

---

11. Marketing und Geschäftsanbahnung

11.1 B2B-Direktansprache

Wir wenden uns im Rahmen geschäftlicher Akquise an potenzielle Geschäfts­partner unter ihrer geschäftlichen Kontakt­anschrift (E-Mail, LinkedIn, Telefon).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Geschäfts­anbahnung im B2B-Kontext). Im Rahmen unserer Interessen­abwägung beachten wir insbesondere die berufliche Stellung des Empfängers, die Themenrelevanz und das wettbewerbs­rechtliche Rahmen­werk (§ 7 UWG).

Unsere Ansprache erfolgt als Einzelfall­ansprache zu konkreten, themenrelevanten Anlässen, nicht als Massenversand. Wir berücksichtigen die Schranken des § 7 UWG und holen, soweit erforderlich, vorab eine Einwilligung in den jeweils maßgeblichen Kommunikations­kanal ein.

Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten zu Zwecken der Direkt­ansprache jederzeit ohne Angabe von Gründen widersprechen (Art. 21 Abs. 2 DSGVO). Eine kurze Mitteilung an datenschutz@spiritdev.de genügt. Im Falle eines Widerspruchs werden wir Ihre Daten nicht weiter zu Akquise­zwecken verarbeiten.

11.2 LinkedIn

Soweit wir Geschäftskontakte über LinkedIn anbahnen, erfolgt die Kontakt­aufnahme über das LinkedIn-eigene Nachrichten­system. Personen­bezogene Daten, die wir aus öffentlich zugänglichen LinkedIn-Profilen entnehmen, werden nur soweit für die individuelle geschäftliche Kommunikation erforderlich gespeichert. Eine darüber hinausgehende systematische Auswertung, Profilbildung oder automatisierte Verarbeitung findet nicht statt.

LinkedIn ist eigenständig Verantwortlicher für die Verarbeitung der über die Plattform übermittelten Daten. Die Datenschutz­erklärung von LinkedIn ist unter linkedin.com/legal/privacy-policy abrufbar.

11.3 Newsletter

Wir versenden derzeit keinen Newsletter und führen keine vergleichbaren Massenversand­aktionen durch. Sollten wir in Zukunft einen Newsletter einrichten, werden wir diese Datenschutz­erklärung vor dem ersten Versand entsprechend ergänzen (Anmeldeverfahren, Rechtsgrundlage, eingesetzter Versanddienst, Widerrufs­recht) und einen Versand nur an Empfänger durchführen, die ausdrücklich eingewilligt haben (Double-Opt-In).

---

12. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personen­bezogenen Daten:

12.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personen­bezogenen Daten zu erhalten.

12.2 Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Ergänzung unvollständiger Daten verlangen.

12.3 Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, soweit keine rechtlichen Aufbewahrungs­pflichten oder berechtigten Interessen entgegen­stehen.

12.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können unter bestimmten Voraussetzungen die Einschränkung der Daten­verarbeitung verlangen.

12.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinen­lesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

12.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Bei einer Verarbeitung zu Zwecken der Direkt­ansprache (Abschnitt 11.1) können Sie jederzeit ohne Angabe von Gründen widersprechen.

12.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

12.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz­aufsichts­behörde zu beschweren. Die für uns zuständige Aufsichts­behörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel Telefon: +49 431 988-1200 E-Mail: mail@datenschutzzentrum.de www.datenschutzzentrum.de

12.9 Ansprechpartner

Bitte richten Sie Anfragen zur Wahrnehmung Ihrer Rechte an:

E-Mail: datenschutz@spiritdev.de Post: spiritdev Softwareentwicklung GmbH, Carl-Zeiss-Straße 8, 21465 Reinbek

Wir bearbeiten Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

---

13. Datensicherheit (TOM)

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz personen­bezogener Daten im Sinne des Art. 32 DSGVO, insbesondere:

• Verschlüsselte Datenübertragung (TLS) zwischen Browser, Servern und Diensten
• Zugriffs­kontrollen und Berechtigungs­konzepte (Need-to-know-Prinzip)
• Verschlüsselung sensibler Daten (Festplatten­verschlüsselung, Backup-Verschlüsselung)
• Regelmäßige Sicherheits­updates und Patch-Management
• Einsatz aktueller Antivirus- und Endpoint-Protection-Software
• Datenschutz­schulungen der Mitarbeiter
• Vertraulichkeits­verpflichtung aller Mitarbeiter und Subunternehmer
• Incident-Response-Prozesse für den Fall eines Sicherheits­vorfalls
• Regelmäßige Datensicherungen (Backups) und definierte Wieder­herstellungs­prozesse

Im Rahmen der Auftrags­verarbeitung (Abschnitt 6.2) gilt ergänzend der TOM-Anhang zum AVV, der die mandats­spezifischen Maßnahmen beschreibt.

---

14. Speicherdauer und Löschung

Datenart	Speicherdauer
Server-Logs (Website)	30 Tage
Kontakt­formular-Anfragen ohne Vertrag	Bis Abschluss der Bearbeitung, max. 12 Monate
Kontakt­formular-Anfragen mit anschließendem Vertrag	Wie Vertrags­daten
Vertragsdaten / Geschäfts­korrespondenz	6 Jahre nach Vertrags­ende (§ 257 Abs. 4 HGB)
Rechnungen und Buchungs­belege	10 Jahre (§ 147 Abs. 3 AO)
Bewerber­unterlagen (Absage)	6 Monate, mit Einwilligung max. 2 Jahre
Bewerber­unterlagen (Einstellung)	Personalakte gemäß arbeits-/steuer­rechtlichen Vorgaben

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, soweit keine entgegen­stehenden Rechte oder Pflichten bestehen.

---

15. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungs­findung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Alle wesentlichen Entscheidungen, die Sie betreffen, werden von Menschen getroffen.

KI-Werkzeuge (siehe Abschnitt 7) werden ausschließlich als Unterstützung interner Arbeitsprozesse eingesetzt; sämtliche Ergebnisse mit Außenwirkung werden vor Übergabe an Auftraggeber durch qualifizierte Mitarbeiter geprüft und freigegeben.

---

16. Datenschutz durch Technik­gestaltung und Voreinstellungen

Wir berücksichtigen den Datenschutz bereits bei der Konzeption und Entwicklung unserer Systeme und Prozesse (Art. 25 DSGVO):

• Datenminimierung: Es werden nur die für den jeweiligen Zweck erforderlichen Daten erhoben.
• Zweckbindung: Daten werden nur für den angegebenen Zweck verarbeitet.
• Datenschutz­freundliche Voreinstellungen: Standardmäßig sind die datenschutz­freundlichsten Optionen aktiviert (z. B. keine Cookies, keine externen Schriften, keine Tracker).
• Transparenz: Wir informieren über alle wesentlichen Verarbeitungen in dieser Erklärung.

---

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei wesentlichen Änderungen unserer Verarbeitungs­tätigkeiten anzupassen. Die jeweils aktuelle Version finden Sie unter spiritdev.de/datenschutz.

Bei wesentlichen Änderungen — insbesondere bei einer Erweiterung von Verarbeitungs­zwecken — informieren wir betroffene Vertrags­partner gesondert in Textform.

---

18. Kontakt

Bei Fragen oder Anliegen zum Datenschutz erreichen Sie uns unter:

spiritdev Softwareentwicklung GmbH Carl-Zeiss-Straße 8 21465 Reinbek

E-Mail: datenschutz@spiritdev.de Telefon: +49 (0)40 53 00 51 66

Wir bearbeiten Datenschutz­anfragen schnellstmöglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).