Datenschutzerklärung der accessibleAI SmartCompliance GmbH
(Stand: 20. Juni 2025)
1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
accessibleAI SmartCompliance GmbH
Altheimer Eck 5
80331 München
Handelsregister: HRB 302621 (Amtsgericht München)
Umsatzsteuer-ID: DE455395942
E‑Mail: [email protected]
Telefon: +49 89 41434227
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist zurzeit nicht bestellt, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen.
Ansprechpartner für Datenschutzanliegen: Geschäftsführung – [email protected]
3. Zwecke, Datenkategorien und Rechtsgrundlagen
| Verarbeitung | Datenkategorien | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Website-Aufruf | IP‑Adresse, Zugriffszeit, User‑Agent, referer URL | Auslieferung der Website, IT‑Sicherheit, Logging | Art. 6 Abs. 1 lit. f DSGVO |
| Cookie‑Einwilligungsverwaltung | Einwilligungsstatus, Zeitstempel | Nachweis der Einwilligung | Art. 6 Abs. 1 lit. c DSGVO i. V. m. §25 Abs. 2 TTDSG |
| Registrierung & Single‑Sign‑On (Google Auth) | Name, E‑Mail, OpenID‑Kennung | Kontoanlage, Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO |
| Nutzung des SaaS‑Dienstes | Log‑Daten, Website‑URLs, Projekteinstellungen | Erbringung der Barrierefreiheits‑Services | Art. 6 Abs. 1 lit. b DSGVO |
| KI‑Analyse (Google Vertex AI) | HTML‑Snippet, Bild‑ und Textinhalte | Generierung von Alt‑Texten, Leichte‑Sprache‑Fassung | Art. 6 Abs. 1 lit. b DSGVO; ggf. lit. f für Qualitätsverbesserung |
| Website‑Scraping (Browserless.io) | Öffentliche Website‑Daten des Kunden | Technische Analyse zur Barrierefreiheitsprüfung | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungsabwicklung (Stripe) | Rechnungs‑ & Zahlungsdaten | Vertragserfüllung, Buchführung | Art. 6 Abs. 1 lit. b & c DSGVO |
| Affiliate‑Programm (FirstPromoter) | Referrer‑ID, E‑Mail, Umsatzdaten | Provisionsabrechnung | Art. 6 Abs. 1 lit. f DSGVO |
| System‑E‑Mails (Resend) | Name, E‑Mail, Nutzungsevents | Versenden transaktionaler Benachrichtigungen | Art. 6 Abs. 1 lit. b DSGVO |
| Nutzungsanalyse (Google Analytics) | IP‑Adresse (gekürzt), Gerätedaten, Seiteninteraktionen | Reichweitenmessung, Produktoptimierung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
4. Empfänger / Auftragsverarbeiter
Supabase Edge-Infrastruktur
Für die Auslieferung unseres Barrierefreiheits-Scripts nutzen wir die Cloud-Plattform Supabase Inc. Beim Abruf des Scripts bzw. beim Aufruf einer Edge Function überträgt Ihr Browser technisch bedingt bestimmte Meta-Informationen (z. B. IP-Adresse, User-Agent, Referrer-URL) an Supabase. Diese Daten werden von Supabase ausschließlich in sogenannten edge_logs, function_edge_logs und storage_logs gespeichert und dienen
- der Sicherstellung des Serverbetriebs,
- der Fehleranalyse sowie
- dem Schutz vor Missbrauch (DDoS-Abwehr).
Die Log-Einträge werden nach spätestens 7 Tagen automatisiert gelöscht und nicht mit anderen Datenquellen zusammengeführt. Eine Auswertung zu Marketing- oder Profiling-Zwecken findet nicht statt.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und stabilen Bereitstellung unseres Online-Dienstes). Mit Supabase haben wir EU-Standardvertragsklauseln abgeschlossen; das Unternehmen ist zusätzlich nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
| Dienst | Anbieter / Anschrift | Rolle | Garantien für Drittlandtransfer |
|---|---|---|---|
| Datenbank‑Hosting | Supabase Inc., 970 Toa Payoh North #07‑04, Singapore 318992 | Auftragsverarbeiter | EU‑SCC + AWS‑EU‑Region |
| Cloud‑Infrastruktur | Amazon Web Services EMEA SARL, 38 Avenue J.‑F. Kennedy, L‑1855 Luxemburg | Unterauftragsverarbeiter | Rechenzentrum „eu‑central‑1" (Frankfurt) |
| Web‑Hosting | DigitalOcean LLC, 101 Avenue of the Americas, 10th Floor, New York, NY 10013, USA | Auftragsverarbeiter | EU‑SCC, Serverstandort AMS3 (Amsterdam) |
| Zahlungen | Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland | Auftragsverarbeiter | EU‑Standort |
| Affiliate‑Tracking | Igil Webs SRL (FirstPromoter), Str. Talmacelului 30, 555700 Talmaciu, Sibiu, Rumänien | Auftragsverarbeiter | EU‑Mitgliedstaat |
| E‑Mail‑Versand | Plus Five Five Inc. („Resend"), 2261 Market St #5039, San Francisco, CA 94114, USA | Auftragsverarbeiter | EU‑SCC + EU‑US DPF |
| Headless‑Browser | browserless.io Inc., 23207 NE 192nd Ct, Battle Ground, WA 98604, USA | Unterauftragsverarbeiter | EU‑SCC |
| KI‑Plattform | Google Cloud EMEA Ltd., 70 Sir John Rogerson's Quay, Dublin 2, Irland | Unterauftragsverarbeiter | EU‑Standort |
| Analytics & Auth | Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland | Gemeinsame Verantwortung (Analytics); Auftragsverarbeiter (Auth) | EU‑Standort |
Mit sämtlichen Anbietern bestehen schriftliche Auftragsverarbeitungsverträge i. S. d. Art. 28 DSGVO. Für Anbieter mit Sitz in Drittländern werden die EU‑Standardvertragsklauseln (2021/914) abgeschlossen; soweit der Anbieter unter dem EU‑US‑Data‑Privacy‑Framework zertifiziert ist, wird dies ergänzend herangezogen.
5. Cookies & Tracking
Beim ersten Seitenaufruf erscheint ein Consent‑Banner. Ohne Ihre Einwilligung werden ausschließlich technisch erforderliche Cookies gesetzt (§ 25 Abs. 2 TTDSG). Google Analytics wird erst aktiviert, nachdem Sie „Statistik" akzeptiert haben. Ein Widerruf ist jederzeit über das Widget am Seitenfuß möglich.
6. Speicherdauer
| Datentyp | Lösch‑ bzw. Prüffrist |
|---|---|
| Konto‑ und Vertragsdaten | 3 Monate nach Vertragsende |
| Log‑ & Analysedaten | 24 Monate |
| Rechnungs‑ & Buchführungsunterlagen | 10 Jahre (§ 147 AO, § 257 HGB) |
| Support‑Tickets | 3 Jahre nach Abschluss |
7. Ihre Rechte (Art. 15 – 21 DSGVO)
Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen.
Kontakt: [email protected] (Betreff „Datenschutzanfrage").
8. Beschwerderecht
Unbeschadet anderer Rechtsbehelfe können Sie sich bei jeder Datenschutzaufsichtsbehörde beschweren, z. B.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Str. 153
53117 Bonn
[email protected]
9. Datensicherheit
accessibleAI nutzt die Sicherheitsstandards seiner ISO 27001‑zertifizierten Cloud‑Anbieter (AWS, Google Cloud) und setzt folgende Maßnahmen um:
- Ende‑zu‑Ende‑TLS (TLS 1.3)
- Verschlüsselte Datenhaltung (AES‑256‑at‑rest)
- Role‑Based‑Access‑Control & MFA
- Tägliche Off‑Site‑Backups
- Penetration‑Tests mindestens jährlich
10. Internationale Datenübermittlungen
Soweit Dienstleister außerhalb des EWR eingesetzt werden, erfolgt die Übermittlung ausschließlich auf Grundlage:
- EU‑Standardvertragsklauseln 2021/914 in der Konfiguration „Controller‑to‑Processor";
- ergänzender technischer und organisatorischer Maßnahmen (Ende‑zu‑Ende‑Verschlüsselung, pseudonymisierte Datensätze);
- Data‑Privacy‑Framework‑Zertifizierung (sofern vorhanden, z. B. Resend USA).
Damit wird das durch den Schrems II‑Entscheid geforderte „im Wesentlichen gleichwertige" Schutzniveau gewährleistet.
11. Pflicht zur Bereitstellung
Zur Vertragserfüllung erforderliche Angaben sind beim Registrierungsprozess als „Pflichtfeld" gekennzeichnet. Ohne diese Daten kann das SaaS‑Konto nicht eingerichtet werden.
12. Automatisierte Entscheidungen
Eine vollautomatisierte Entscheidungsfindung i. S. d. Art. 22 DSGVO findet nicht statt. Die KI‑Analyse erzeugt lediglich technische Empfehlungen, die vom Nutzer jederzeit verändert oder deaktiviert werden können.
13. Änderungsvorbehalt
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn neue Dienste eingeführt werden oder dies aus rechtlichen Gründen erforderlich wird. Bei wesentlichen Änderungen informieren wir registrierte Nutzerinnen und Nutzer per E‑Mail.