Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du diese Website besuchst. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Die Kontaktdaten findest du im Abschnitt „Verantwortlicher" dieser Datenschutzerklärung.

Wie erfassen wir deine Daten?
Deine Daten werden zum einen dadurch erhoben, dass du uns diese mitteilst (z.B. bei der Registrierung, bei einer Bestellung, über das Kontaktformular, im Bewerbungsprozess oder bei Vertragsabschluss). Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (z.B. technische Daten wie Browser, Betriebssystem, Uhrzeit des Seitenaufrufs).

2. Verantwortlicher

3. Hosting und Server

Diese Website wird bei einem externen Dienstleister gehostet. Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten handeln.

Anbieter

Serverstandort

Die Server von ALL-INKL.COM befinden sich ausschließlich in Deutschland. Eine Datenübermittlung in Drittländer findet im Rahmen des Hostings nicht statt.

Auftragsverarbeitung

Wir haben mit ALL-INKL.COM einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Damit ist sichergestellt, dass der Hoster personenbezogene Daten unserer Websitebesucher nur nach unseren Weisungen und im Einklang mit der DSGVO verarbeitet.

Rechtsgrundlage

Der Einsatz des Hosters erfolgt im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. f DSGVO).

4. Domain-Services

Welche Daten werden erhoben?

Wenn du uns mit der Registrierung oder Verwaltung einer Domain beauftragst (Domain-Reselling), erheben wir:

• Vollständiger Name bzw. Firmenname
• Anschrift
• E-Mail-Adresse
• Telefonnummer (optional, je nach Registrar)
• Bei Unternehmen: Handelsregisternummer, USt-IdNr.

Zweck der Verarbeitung

Die Daten werden verwendet für:

• Registrierung der Domain beim zuständigen Registrar
• WHOIS-Eintrag (je nach Domain-Endung und Registrar-Richtlinien)
• Vertragsabwicklung und Kommunikation
• Erfüllung rechtlicher Anforderungen der Registrierungsstellen

Weitergabe an Dritte

Bei Domain-Registrierungen werden deine Daten an die zuständigen Registrierungsstellen (z.B. DENIC für .de-Domains) und unseren Registrar-Partner weitergegeben. Dies ist für die Domain-Registrierung zwingend erforderlich.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – Die Datenweitergabe ist für die Registrierung der Domain erforderlich.

Speicherdauer

Die Daten werden für die Dauer der Domain-Registrierung gespeichert. Nach Kündigung oder Transfer der Domain werden die Daten gemäß den gesetzlichen Aufbewahrungsfristen aufbewahrt.

5. Kontaktformular

Welche Daten werden erhoben?

Bei Nutzung unseres mehrstufigen Kontaktformulars erheben wir:

• Vor- und Nachname (Pflichtfeld)
• E-Mail-Adresse (Pflichtfeld)
• Telefonnummer (optional)
• Firmenname (optional)
• Gewünschte Leistung (Webentwicklung, KI, Marketing, 3D-Druck, Print, Hosting etc.)
• Projektbeschreibung / Nachricht (Pflichtfeld)
• Optional: Budget-Range, Zeitrahmen

Zweck der Verarbeitung

Die Daten werden ausschließlich zur Bearbeitung deiner Anfrage und für eventuelle Rückfragen verwendet. Sie helfen uns, dir gezielt mit dem passenden Ansprechpartner und Angebot zu antworten.

Speicherung und Weitergabe

Wichtig: Die Daten aus dem Kontaktformular werden nicht in einer Datenbank gespeichert, sondern ausschließlich per E-Mail an uns übermittelt. Die E-Mail wird auf unserem E-Mail-Server gespeichert.

Eine Weitergabe an Dritte erfolgt nicht.

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – Du stimmst der Verarbeitung durch Aktivieren der Checkbox im Formular zu.
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) – Die Verarbeitung dient der Bearbeitung deiner Anfrage.

Speicherdauer

Die E-Mails werden so lange aufbewahrt, wie es für die Bearbeitung der Anfrage erforderlich ist. Bei Geschäftsanbahnung gelten die steuerrechtlichen Aufbewahrungsfristen (bis zu 10 Jahre). Du kannst jederzeit die Löschung verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Karriere & Bewerbungen

Welche Daten werden erhoben?

Wenn du dich auf eine ausgeschriebene Stelle oder initiativ bewirbst, verarbeiten wir folgende Daten:

• Vor- und Nachname (Pflichtfeld)
• E-Mail-Adresse (Pflichtfeld)
• Telefonnummer (optional)
• Bewerbungsunterlagen: Anschreiben, Lebenslauf, Zeugnisse, Portfolio, Arbeitsproben (PDF, DOCX, ZIP)
• Angaben zu deiner Qualifikation, Berufserfahrung und Verfügbarkeit
• Optional: Links zu deinem GitHub-, LinkedIn-, XING- oder Portfolio-Profil
• Optional: Gehaltsvorstellung, frühestmögliches Eintrittsdatum

Zweck der Verarbeitung

Die Daten werden ausschließlich zum Zweck der Bewerberauswahl im Rahmen des Bewerbungsverfahrens verarbeitet. Eine Weitergabe an Dritte erfolgt nicht.

Rechtsgrundlage

Art. 88 DSGVO i.V.m. § 26 BDSG (Datenverarbeitung im Beschäftigungskontext) – Die Verarbeitung ist für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich.
Art. 6 Abs. 1 lit. b DSGVO – Anbahnung eines Vertragsverhältnisses.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – Falls du der Aufnahme deiner Bewerbung in unseren Talent-Pool zustimmst.

Speicherdauer

Bei einer Absage werden deine Bewerbungsunterlagen spätestens 6 Monate nach Abschluss des Bewerbungsverfahrens gelöscht. Diese Frist berücksichtigt die Verteidigung gegen mögliche Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG, 2 Monate Klagefrist + Sicherheitspuffer).

Wenn du der Aufnahme in unseren Talent-Pool zustimmst, speichern wir deine Daten für maximal 24 Monate. Du kannst diese Einwilligung jederzeit per E-Mail an hello@mr-white.de widerrufen.

Bei Einstellung werden die Bewerbungsunterlagen Bestandteil deiner Personalakte.

Sensible Daten

Wir bitten dich, in deinen Bewerbungsunterlagen auf die Angabe besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) zu verzichten – also Religion, Gesundheitsdaten, sexuelle Orientierung, Gewerkschaftszugehörigkeit etc. Diese sind für die Auswahlentscheidung nicht erforderlich.

7. KI-Entwicklung & KI-gestützte Services

Wir entwickeln im Auftrag unserer Kunden KI-Systeme (Chatbots, RAG-Pipelines, Custom-Modelle, Trading-Agenten, Lernplattformen). Im Folgenden erläutern wir, wie wir mit personenbezogenen Daten in diesem Kontext umgehen — sowohl auf unserer eigenen Website als auch in Kundenprojekten.

7.1 Eingesetzte KI-Anbieter

Je nach Projekt und in Abstimmung mit dem Kunden setzen wir folgende Drittanbieter-KI-Modelle ein:

7.2 Datenübermittlung in Drittländer

Bei Einsatz US-basierter KI-Anbieter werden personenbezogene Daten in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage:

• des EU-US Data Privacy Frameworks (sofern der Anbieter zertifiziert ist) oder
• der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO

Die Anbieter haben sich verpflichtet, dass die übermittelten Daten nicht für das Training ihrer Modelle verwendet werden, sofern dies in den Nutzungsbedingungen so vorgesehen ist (API-Nutzung im Business-Kontext).

7.3 Lokale & Open-Source-Modelle

Auf Wunsch des Kunden setzen wir auch lokal betriebene Open-Source-Modelle (z.B. Llama 3, Mistral) auf europäischer Infrastruktur ein, sodass keine Datenübermittlung an US-Anbieter erfolgt. Dies ist insbesondere bei Projekten mit besonders sensiblen Daten (Gesundheit, Finanzen, Personalwesen) der Standardansatz.

7.4 KI-gestützte Funktionen auf dieser Website

Auf unserer eigenen Website setzen wir den KI-Chatbot „Mika" ein. Details zur Funktionsweise, den verarbeiteten Daten, Speicherdauer und deinen Rechten findest du im nachfolgenden Abschnitt 8.

Darüber hinaus nutzen wir KI im Backend für interne Aufgaben (Recherche, Code-Unterstützung, SEO-Analysen) — diese internen Verarbeitungen betreffen keine Besucher-Daten.

7.5 Verantwortung & Halluzinationen

KI-generierte Inhalte können fachlich unzutreffend, unvollständig oder kontextfrei sein („Halluzinationen"). Wir setzen branchenübliche Maßnahmen zur Qualitätssicherung ein (Source-Citations, menschliche Letztprüfung), übernehmen aber keine Garantie für die inhaltliche Korrektheit von KI-Outputs.

7.6 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bei Kundenprojekten
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bei interner Nutzung
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bei optionalen KI-Features für Besucher

7.7 Auftragsverarbeitung & AVV

Mit allen genannten KI-Anbietern, die in unserem Auftrag personenbezogene Daten verarbeiten, schließen wir Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO. Die jeweiligen DPAs (Data Processing Addendums) der Anbieter sind öffentlich verfügbar.

8. Mika · KI-Chatbot auf dieser Website

Auf unserer Website bieten wir einen KI-gestützten Beratungs-Chatbot namens „Mika" an. Mika beantwortet Fragen zu unseren Leistungen, Projekten und unserer Agentur und nimmt auf Wunsch ein strukturiertes Briefing für eine Angebot-Anfrage auf.

8.1 Wann werden Daten verarbeitet?

Eine Datenverarbeitung findet ausschließlich dann statt, wenn du den Chat aktiv öffnest und der Datenverarbeitung zustimmst. Vor der ersten Nachricht musst du explizit auf „Einverstanden, Chat starten" klicken. Ohne diese Einwilligung werden keine Daten an unsere Server oder externe KI-Anbieter übertragen.

8.2 Welche Daten werden verarbeitet?

Beim Öffnen des Chats (technisch notwendig):

• Eine zufällig generierte Session-ID (UUID), gespeichert in deinem Browser (localStorage)
• Dein Einwilligungs-Status (gespeichert im localStorage, Schlüssel mwcb_consent)
• URL der Seite, von der aus du den Chat öffnest
• Ein gehashter Wert deines User-Agents (technische Browser-Kennung) — nicht zurückrechenbar auf den Original-Wert

Während des Chats:

• Der Inhalt deiner Nachrichten (Eingabetext)
• Die generierten Antworten von Mika
• Zeitstempel der Nachrichten
• Token-Verbrauch und Modell-Identifier (für Kostenkontrolle)

Bei einer Angebot-Anfrage über Mika (nur wenn du dich aktiv dafür entscheidest):

• Name und E-Mail-Adresse
• Optional: Firma, Telefonnummer, Branche, aktuelle Website
• Projektbeschreibung, Ziele, Zeitrahmen, Budget-Vorstellung (optional)

8.3 Eingesetzte KI-Anbieter

Mika nutzt — abhängig von der eingestellten Konfiguration — eines oder mehrere der folgenden Modelle:

• OpenAI, L.L.C. (USA) — Embeddings (text-embedding-3-small) für die semantische Suche in unserer Website-Wissensdatenbank sowie GPT-Modelle für die Antwort-Generierung
• Anthropic, PBC (USA) — Claude-Modelle als alternative Antwort-Generierung

Bei jeder Anfrage übermitteln wir deine aktuelle Frage, einen Auszug der Konversations-Historie sowie kontextrelevante Inhalte aus unserer öffentlichen Website an den jeweiligen Anbieter. Die Anbieter haben sich vertraglich verpflichtet, dass die übermittelten Daten nicht für das Training ihrer Modelle verwendet werden (API-Nutzung im Business-Kontext).

Hinweis zu personenbezogenen Daten im Chat: Wenn du im Verlauf der Konversation personenbezogene Daten eingibst — insbesondere im Rahmen der Briefing-Aufnahme für eine Angebot-Anfrage (Name, E-Mail-Adresse, Telefon, Firma, Branche, aktuelle Website, Projektbeschreibung) — sind auch diese Daten Teil der Konversation und werden bei der Beantwortung deiner Folgefragen mit an den KI-Anbieter übermittelt, soweit sie im verarbeiteten Konversations-Auszug enthalten sind. Wir empfehlen dir, keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheitsdaten, religiöse Überzeugungen) im Chat einzugeben.

Embeddings werden ausschließlich aus der öffentlich abrufbaren Inhaltsstruktur unserer Website gebildet — nicht aus Konversations-Inhalten oder personenbezogenen Daten unserer Besucher.

8.4 Datenübermittlung in Drittländer (USA)

Die Übermittlung an OpenAI und Anthropic erfolgt in die USA. Rechtsgrundlage:

• EU-US Data Privacy Framework (DPF) — beide Anbieter sind unter dem DPF zertifiziert. Aktuelle Zertifizierungen prüfbar unter dataprivacyframework.gov/list.
• EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Schutzmaßnahme
• Auftragsverarbeitungsverträge (AVV / DPAs) nach Art. 28 DSGVO mit beiden Anbietern liegen abgeschlossen vor und sind auf Anfrage einsehbar (E-Mail an hello@mr-white.de).

Hinweis zur Schrems-II-Rechtsprechung: Trotz DPF-Zertifizierung und SCC verbleibt bei Datentransfer in die USA ein theoretisches Restrisiko aufgrund des US-amerikanischen Cloud-Acts und FISA-702. Wir reduzieren dieses Risiko durch:

• Verzicht auf Übermittlung besonders sensibler Datenkategorien (Art. 9 DSGVO) — wir empfehlen dir, solche Daten nicht in den Chat einzugeben
• Pseudonymisierung wo möglich (gehashter User-Agent statt Klartext, anonyme Session-IDs)
• API-Nutzung im Business-Kontext mit vertraglicher Zusicherung der Anbieter, dass Daten nicht für KI-Training verwendet werden
• Konkrete Speicherdauer-Begrenzung auf der Anbieter-Seite (siehe DPAs)

8.4.1 Subprozessoren der KI-Anbieter

Sowohl OpenAI als auch Anthropic setzen ihrerseits Subprozessoren ein (insbesondere Cloud-Infrastruktur-Anbieter wie AWS und Google Cloud). Eine aktuelle Liste der Subprozessoren findest du in den jeweiligen Trust Centern der Anbieter:

• OpenAI: openai.com/policies/subprocessor-list
• Anthropic: trust.anthropic.com

8.5 Wie werden die Daten gespeichert & weiterverarbeitet?

Konversationen: Der Chat-Verlauf wird auf unserem Server in Deutschland (ALL-INKL.COM) in einer separaten Datenbank gespeichert (Tabellen wp_mwcb_conversations und wp_mwcb_messages). Keine Konversation wird auf den Endgeräten der KI-Anbieter persistent gespeichert.

Angebot-Anfragen: Sobald du Mika eine konkrete Angebot-Anfrage übergibst und die Aufnahme bestätigst, werden die strukturierten Briefing-Daten zusätzlich in einer separaten Anfragen-Datenbank (wp_mwcb_inquiries) auf demselben Server gespeichert. Dadurch können wir deine Anfrage auch dann bearbeiten, wenn der Konversations-Verlauf später (siehe Speicherdauer in 8.6) automatisch gelöscht wurde.

E-Mail-Versand bei Anfrage-Bestätigung: Beim Abschluss der Briefing-Aufnahme verschicken wir zwei E-Mails:

• Eine interne Benachrichtigung an unser Team (hello@mr-white.de) mit allen Briefing-Daten, damit wir uns innerhalb unserer Geschäftszeiten persönlich bei dir melden können
• Eine Bestätigungs-E-Mail an die von dir angegebene E-Mail-Adresse mit einer Zusammenfassung deiner Anfrage und den nächsten Schritten

Beide E-Mails werden über unseren E-Mail-Server (ALL-INKL.COM, Deutschland) verschickt. Die Inhalte der E-Mails werden gemäß den unten genannten Speicherfristen aufbewahrt.

8.6 Speicherdauer

• Konversationen: standardmäßig 30 Tage, danach automatische Löschung. Die Speicherdauer ist im Plugin konfigurierbar.
• Angebot-Anfragen: Bis zur abschließenden Bearbeitung der Anfrage und ggf. anschließender Vertragsdauer (siehe Abschnitt 5 „Kontaktformular"). Bei Vertragsabschluss greifen die handelsrechtlichen Aufbewahrungspflichten von bis zu 10 Jahren.
• Session-ID und Consent in deinem Browser-localStorage: bis du sie selbst löschst oder den Chat-Verlauf zurücksetzt (Button „Neuer Chat").

8.7 Rechtsgrundlage

Die Datenverarbeitung im Chatbot erfolgt auf Grundlage:

• Deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Du klickst aktiv auf „Einverstanden, Chat starten"
• Vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) — sobald du Mika eine konkrete Angebot-Anfrage übergibst

8.7.1 Übergabe vom Beratungschat zur Angebot-Anfrage

Wenn du innerhalb des Chats von der reinen Beratung zur konkreten Angebot-Anfrage übergehst (Eingabe von Name, E-Mail-Adresse und weiteren Briefing-Daten), erfolgt eine erweiterte Datenverarbeitung — die Rechtsgrundlage ändert sich von Einwilligung (lit. a) zu vorvertraglichen Maßnahmen (lit. b).

Du wirst im Chat-Widget vor dem ersten Schritt der Briefing-Aufnahme darauf hingewiesen. Du kannst die Briefing-Aufnahme jederzeit abbrechen, ohne dass bis dahin eingegebene Daten in unsere Anfragen-Datenbank übernommen werden — die Übernahme erfolgt erst mit deiner ausdrücklichen Bestätigung am Ende der Briefing-Strecke.

8.7.2 Nachweis und Protokollierung deiner Einwilligung

Um deine Einwilligung gemäß Art. 7 Abs. 1 DSGVO nachweisen zu können, protokollieren wir server-seitig bei jeder erteilten Einwilligung:

• Zeitstempel der Einwilligung (UTC)
• Verwendeter Einwilligungstext (Versionierung) — damit nachvollziehbar bleibt, welcher Wortlaut bei Erteilung galt
• Anonyme Session-ID (UUID), die deinem Browser zugeordnet ist
• URL, von der aus die Einwilligung erteilt wurde

Diese Protokolldaten werden für die Dauer der Speicherung des zugehörigen Chat-Verlaufs aufbewahrt (siehe 8.6) und dienen ausschließlich dem Nachweis gegenüber Aufsichtsbehörden.

8.8 Widerruf der Einwilligung

Du kannst deine Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Konkret hast du folgende Möglichkeiten:

• Klick auf „Neuer Chat" im Chat-Widget — startet eine neue Session und verwirft die alte Session-ID
• Löschen der localStorage-Werte mwcb_session_id und mwcb_consent in deinem Browser
• E-Mail an hello@mr-white.de mit der Bitte um Löschung deiner Konversations-Daten — bitte gib dazu deine Session-ID an, falls noch verfügbar

8.9 Was Mika NICHT tut

• Keine automatische Profilbildung im Sinne von Art. 22 DSGVO
• Keine Weitergabe deiner Daten an Werbenetzwerke oder Tracking-Anbieter
• Keine dauerhafte Identifikation über Sessions hinweg, sofern du localStorage löschst
• Keine Speicherung deiner IP-Adresse in der Konversations-Datenbank

8.10 Inhaltliche Verbindlichkeit der Antworten

Mika ist ein KI-Assistent. Antworten können fehlerhaft, unvollständig oder veraltet sein. Verbindlich sind ausschließlich schriftliche Aussagen unseres Teams (E-Mail oder im unterzeichneten Vertrag). Insbesondere stellen Antworten von Mika kein verbindliches Angebot im Rechtssinne dar.

8.11 Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

Der Einsatz eines KI-gestützten Chatbots stellt eine Verarbeitung mit „neuen Technologien" im Sinne von Art. 35 DSGVO dar. Wir haben für Mika eine Schwellwertanalyse durchgeführt mit folgendem Ergebnis:

• Verarbeitung erfolgt nicht in großem Umfang (kleine Webagentur, < 10.000 Konversationen/Jahr erwartet)
• Keine systematische Bewertung persönlicher Aspekte (Art. 35 Abs. 3 lit. a) — Mika erstellt keine Profile
• Keine Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) — wir empfehlen User aktiv, solche Daten nicht einzugeben
• Keine systematische umfangreiche Überwachung (Art. 35 Abs. 3 lit. c)

Auf Grundlage dieser Analyse ist nach unserer Einschätzung keine vollständige DSFA gemäß Art. 35 DSGVO erforderlich. Die Schwellwertanalyse selbst ist intern dokumentiert und wird auf Anfrage von Aufsichtsbehörden vorgelegt. Bei Änderungen am Verarbeitungszweck (z.B. signifikanter Anstieg der Nutzungszahlen, Einsatz für Mitarbeiterverfahren) wird die Bewertung neu vorgenommen.

8.12 Deine Betroffenenrechte bei Mika

Da deine Konversation lediglich über eine zufällige Session-ID identifiziert wird und wir keine direkte Zuordnung zu deiner Person speichern, benötigen wir für Auskunfts-, Berichtigungs-, Lösch- und Datenportabilitätsanfragen deine Session-ID. Diese findest du:

• Im Chat-Widget unter „Einstellungen" oder „Über diesen Chat"
• Im localStorage deines Browsers unter dem Schlüssel mwcb_session_id (Browser-Entwicklertools → Application/Anwendung → Local Storage)

Mit dieser Session-ID kannst du per E-Mail an hello@mr-white.de:

• Auskunft über die zu deiner Session gespeicherten Daten verlangen (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Konversation (Art. 17 DSGVO)
• Übertragung in einem strukturierten, maschinenlesbaren Format anfordern (Art. 20 DSGVO)

Hast du im Rahmen einer Angebot-Anfrage deine Kontaktdaten hinterlassen, können wir dich auch ohne Session-ID identifizieren — eine E-Mail an die genannte Adresse genügt dann.

8.13 Voice-Modus (Sprach-Eingabe)

Mika bietet optional einen Voice-Modus, mit dem du per Mikrofon sprechen statt tippen kannst. Wegen der besonders sensiblen Datenkategorie (Audio-Aufnahme) gelten hier zusätzliche Schutzmaßnahmen:

• Eigene Einwilligung erforderlich: Vor dem ersten Mikrofon-Klick zeigen wir dir einen separaten Hinweis-Dialog. Erst nach deiner ausdrücklichen Bestätigung wird das Mikrofon aktiviert.
• Live-Übertragung an OpenAI (USA): Audio-Daten werden über WebRTC live an die OpenAI Realtime API übermittelt. Die Übermittlung erfolgt auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO sowie auf Basis des EU-US Data Privacy Frameworks (DPF) und der EU-Standardvertragsklauseln (siehe Abschnitt 8.4).
• Maximale Sitzungsdauer: Voice-Sessions sind technisch auf 3 Minuten pro Gespräch begrenzt, damit keine ungewollten Daueraufzeichnungen entstehen.
• Speicherdauer: Die Voice-Session-Metadaten (keine Audio-Aufnahmen!) werden in einer separaten Datenbank-Tabelle wp_mwcb_voice_sessions auf unserem Server in Deutschland gespeichert: Start-/Endzeit, Modell-Identifier, Token-Verbrauch. Die Audio-Daten selbst werden weder bei uns noch bei OpenAI persistent gespeichert (siehe DPA mit OpenAI). Voice-Session-Metadaten werden nach 30 Tagen automatisch gelöscht.
• Kein Audio-Mitschnitt bei Mr. White: Wir speichern keine Audio-Streams, keine Voice-Aufnahmen und keine biometrischen Voice-Prints. Lediglich der Text-Transcript (was du gesagt hast und was Mika geantwortet hat) wird wie ein normaler Chat-Verlauf in wp_mwcb_messages gesichert — und unterliegt der gleichen 30-Tage-Speicherfrist.
• Mikrofon-Berechtigung: Du kannst die Mikrofon-Erlaubnis in deinem Browser jederzeit widerrufen. Mika kann ohne Mikrofon weiterhin per Tastatur genutzt werden.

Voice ist standardmäßig deaktiviert und wird nur aktiv, wenn der Mr. White Site-Admin den Voice-Modus bewusst freischaltet.

9. Online-Marketing & SEO

Im Rahmen unserer Online-Marketing-Dienstleistungen für Kunden sowie auf unserer eigenen Website kommen verschiedene Tools und Plattformen zum Einsatz. Hier erläutern wir, welche Tools wir auf dieser Website nutzen.

9.1 Google Search Console

Wir nutzen die Google Search Console zur Überwachung der Sichtbarkeit unserer Website in der Google-Suche. Die Search Console verarbeitet aggregierte Daten zu Suchanfragen, Klicks und Impressionen — keine personenbezogenen Daten einzelner Nutzer.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an SEO-Optimierung).

9.2 Server-Logs

Unser Hosting-Provider erstellt automatisch Server-Log-Dateien, die folgende Daten enthalten:

• Aufgerufene URL
• Referrer (verweisende Seite)
• Browsertyp und -version
• Verwendetes Betriebssystem
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse (anonymisiert nach 7 Tagen)

Diese Daten werden ausschließlich zur Sicherstellung des störungsfreien Betriebs der Website und zur Fehleranalyse verwendet. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Funktionalität).

9.3 Schriftarten (Webfonts)

Wir verwenden auf dieser Website ausschließlich lokal gehostete Schriftarten. Es findet keine Verbindung zu externen Schrift-CDNs (z.B. Google Fonts) statt — somit werden auch keine personenbezogenen Daten an Drittanbieter übermittelt.

9.4 Tracking-Tools (mit Einwilligung)

Sollten wir zukünftig Analyse- oder Tracking-Tools (z.B. Matomo, Plausible, Google Analytics) einsetzen, geschieht dies ausschließlich nach deiner ausdrücklichen Einwilligung über unser Cookie-Banner. Du kannst deine Einwilligung jederzeit widerrufen.

9.5 In Kundenprojekten genutzte Marketing-Tools

Im Rahmen von Marketing-Aufträgen für unsere Kunden nutzen wir auf deren Webseiten u.a. Google Ads, Meta Ads, LinkedIn Ads, Google Analytics, Matomo, SEO-Analyse-Tools wie Sistrix oder ahrefs. Die jeweilige Datenverarbeitung obliegt der Verantwortung des jeweiligen Kunden und ist Gegenstand des dortigen Auftragsverarbeitungsvertrags.

10. Verträge & digitale Signatur

Welche Daten werden erhoben?

Wenn wir mit dir einen Vertrag schließen oder du einen Vertrag digital signierst, verarbeiten wir:

• Vertragsspezifische Daten: Name, Firma, Anschrift, E-Mail, Telefon, USt-IdNr.
• Vertragsgegenstand und vereinbarte Konditionen
• Bei digitaler Signatur: Name des Unterzeichners, E-Mail, Datum/Uhrzeit, IP-Adresse, User-Agent
• Signatur-Token zur eindeutigen Zuordnung

Zweck der Verarbeitung

Die Daten werden verwendet für:

• Vertragsabschluss und -abwicklung
• Rechtssicheren Nachweis der Vertragsbestätigung (eIDAS Art. 25)
• Rechnungsstellung und buchhalterische Dokumentation
• Erfüllung gesetzlicher Aufbewahrungspflichten

Art der Signatur

Wir nutzen eine einfache elektronische Signatur (EES) nach Art. 25 eIDAS-Verordnung. Mit Klick auf „Verbindlich bestätigen" auf der Vertragsseite wird der Vertrag rechtsverbindlich abgeschlossen. Die Bestätigung wird mit Datum, Uhrzeit, IP-Adresse und Browser-Typ als Beweis protokolliert.

Diese Form der Signatur ist für kommerzielle B2B-Verträge nach geltendem deutschen Recht ausreichend. Für Verträge, die per Gesetz die Schriftform erfordern, nutzen wir auf Anfrage qualifizierte elektronische Signaturen (QES).

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – Steuer- und Handelsrecht)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Beweis der Zustimmung – nur für IP/User-Agent-Logging)

Speicherdauer

Verträge und zugehörige Buchhaltungsdaten werden gemäß § 147 AO und § 257 HGB 10 Jahre aufbewahrt. Andere vertragsbezogene Daten werden nach 3 Jahren ab Vertragsende gelöscht (regelmäßige Verjährungsfrist nach § 195 BGB), sofern keine längeren Aufbewahrungspflichten bestehen.

Weitergabe

Eine Weitergabe an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist (z.B. an Steuerberater, Gerichte im Streitfall, Bank zur Zahlungsabwicklung).

11. Cookies & Reichweitenmessung

Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind:

• Login-Session des WordPress-Backends (nur für angemeldete Redakteure)
• Speicherung der Cookie-Einstellungen, sofern eine Auswahl getroffen wurde
• CSRF-/Sicherheits-Token zur Absicherung von Formular-Übermittlungen

Diese Cookies werden nach dem Schließen des Browsers gelöscht (Session-Cookies) bzw. nach maximal 30 Tagen (persistente Cookies).

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website) sowie § 25 Abs. 2 Nr. 2 TDDDG. Eine Einwilligung ist für diese Cookies nicht erforderlich.

Keine Tracking- oder Marketing-Cookies

Auf dieser Website werden keine Cookies zu Tracking-, Analyse- oder Marketing-Zwecken gesetzt. Es gibt keine Verbindung zu Google Analytics, Meta Pixel, Hotjar oder vergleichbaren Diensten.

Cookie-freie, server-seitige Reichweitenmessung

Zur Verbesserung unseres Angebots betreiben wir eine vollständig cookie-freie Server-Side-Reichweitenanalyse. Erfasst werden ausschließlich: aufgerufene Seite (URL/Titel), Referrer-Domain (ohne Pfad/Query), ggf. UTM-Parameter, Geräte-Typ (Desktop/Mobile/Tablet) sowie Browser-Familie und Betriebssystem.

Zur Erkennung wiederkehrender Besucher (für die reine Anzahl an „Unique Visitors" pro Tag) erzeugen wir einen tagesgebundenen anonymen Hash aus deiner gekürzten IP-Adresse, dem User-Agent, dem aktuellen Datum und einem geheimen, zufällig generierten Salt. Dieser Hash rotiert täglich — eine Wiedererkennung über mehrere Tage hinweg ist technisch ausgeschlossen. IP-Adressen werden vor dem Hashen gekürzt (IPv4: letztes Oktett auf 0 gesetzt, IPv6: gekürzt auf /48) und nicht im Klartext gespeichert. Es werden keine Cookies und keine clientseitigen Identifier (kein localStorage, kein sessionStorage) verwendet. Aggregierte Statistik-Daten werden für maximal 6 Monate aufbewahrt.

Es findet keine Übermittlung an Drittanbieter statt — kein Google Analytics, kein Matomo Cloud, kein externer Geo-Lookup. Die Daten werden ausschließlich auf unserem deutschen Server (ALL-INKL.COM, Standort Deutschland) verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen, anonymen Reichweitenanalyse). Da keine Cookies oder vergleichbare Speichertechniken auf deinem Endgerät eingesetzt werden, ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich.

Widerspruchsrecht (Art. 21 DSGVO): Du kannst der Reichweitenmessung jederzeit widersprechen. Klicke dafür im Cookie-Banner (Hexagon-Icon unten rechts) auf den Toggle „Reichweitenmessung". Bei einem Widerspruch wird ein einzelner Opt-Out-Cookie (mrw_analytics_optout) für 1 Jahr gespeichert, damit dein Widerspruch dauerhaft beachtet wird. Außerdem respektieren wir den Do-Not-Track-Header deines Browsers — ist DNT aktiv, findet kein Tracking statt.

12. Kundenbewertungen & Testimonials

Auf unserer Website veröffentlichen wir Kundenstimmen (Testimonials). Im Rahmen der Veröffentlichung verarbeiten wir personenbezogene Daten der zitierten Personen.

Welche Daten?

Name, Funktion/Rolle, Unternehmen (sofern angegeben), Bewertungstext, ggf. Profilbild — jeweils nur in dem Umfang, dem die Person zugestimmt hat.

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Vor jeder Veröffentlichung holen wir eine schriftliche Freigabe der zitierten Person ein. Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Authentizitätsprüfung (§ 5b Abs. 3 UWG)

Wir veröffentlichen ausschließlich Bewertungen von Kunden, mit denen wir nachweislich Projekte abgeschlossen haben. Die Echtheit prüfen wir durch Abgleich mit unserer Projektdokumentation. Damit erfüllen wir die Transparenzanforderungen für Verbraucherbewertungen.

Speicherdauer

Bewertungen bleiben veröffentlicht, solange die Einwilligung der zitierten Person besteht und ein berechtigtes Interesse an der Darstellung besteht. Bei Widerruf wird der Beitrag zeitnah entfernt oder anonymisiert.

Widerruf

Eine zitierte Person kann jederzeit per E-Mail an hello@mr-white.de die Entfernung oder Anonymisierung ihrer Bewertung verlangen.

13. Deine Rechte

Du hast gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Du kannst Auskunft über deine von uns verarbeiteten personenbezogenen Daten verlangen.

Recht auf Berichtigung (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger oder die Vervollständigung deiner bei uns gespeicherten Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Du kannst die Löschung deiner bei uns gespeicherten personenbezogenen Daten verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung (Art. 18 DSGVO)

Du kannst die Einschränkung der Verarbeitung deiner personenbezogenen Daten verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du kannst verlangen, deine personenbezogenen Daten, die du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Du kannst jederzeit gegen die Verarbeitung deiner personenbezogenen Daten Widerspruch einlegen, wenn diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Zuständig für uns ist: