Datenschutz-
erklärung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer nur, soweit dies zur Bereitstellung des Services anymize erforderlich ist oder eine Rechtsgrundlage besteht.

2.2 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (bei freiwilligen Zusatzdiensten)

3.1 Logfiles

Bei jedem Aufruf unserer Website werden automatisch Informationen in Server-Logfiles gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Systemsicherheit und -stabilität)

Speicherdauer: 30 Tage, danach automatische Löschung

3.2 Cookies und Tracking-Technologien

Technisch notwendige Cookies: Session-Cookies für Website-Funktionalität, Cookie-Consent-Status, Login-Status und Sicherheitsfeatures. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: Session-Ende oder 30 Tage.

Analyse-Cookies: Google Analytics zur Webseitenanalyse, PostHog für Nutzerverhalten und Produktanalysen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Speicherdauer: Bis zu 26 Monate.

Marketing-Cookies: Meta Pixel (Facebook) für Werbezwecke, LinkedIn Pixel für B2B-Marketing, Microsoft UET-Tag für Conversion-Tracking. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Speicherdauer: Bis zu 2 Jahre.

B2B-Tracking (cookieless): LeadInfo zur Unternehmens-Identifikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Besonderheit: Keine Cookies, keine personenbezogenen Daten von Einzelpersonen.

3.3 Lokal gespeicherte Funktionsdaten (localStorage)

Zur Bereitstellung erforderlicher Funktionen speichern wir zwei Werte ausschließlich im Browser-Speicher (localStorage) deines Geräts. Diese Daten verlassen dein Gerät nicht und werden nicht an unsere Server übertragen.

anymize_partner: Slug und Anzeigename des Partners, über dessen Empfehlungslink du unsere Seite betreten hast, plus Zeitstempel. Zweck: Konsistente Anzeige der für dich gültigen Partner-Konditionen bei Navigation auf andere Seiten. Speicherdauer: 30 Tage seit letztem Partner-Besuch, danach automatische Löschung.

anymize_locale: Deine Sprachpräferenz (Wert „en"), gesetzt sobald du eine englische Seite besuchst oder den Sprachumschalter auf Englisch klickst. Zweck: Beibehaltung der bevorzugten Sprache bei interner Navigation. Speicherdauer: Bis Klick auf „DE" im Sprachumschalter oder manuelles Löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Speicherung — keine Einwilligung erforderlich, da ausschließlich der Funktion dienend und ohne Personenbezug).

Widerspruch: Werte jederzeit über die Entwickler-Tools deines Browsers (Application bzw. Speicher → Local Storage → anymize.ai) löschbar.

3.4 Google Tag Manager

Wir verwenden Google Tag Manager zur Verwaltung von Website-Tags.

Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Zweck: Zentrale Verwaltung von Tracking-Codes

Datenübertragung: EU-US Data Privacy Framework

Widerspruch: Browser-Einstellungen oder Opt-Out verfügbar

3.5 Cookiebot (Consent-Management)

Wir verwenden Cookiebot zur Einholung und Verwaltung von Einwilligungen für nicht-technische Cookies.

Anbieter: Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark

Verarbeitete Daten: Consent-ID, Einwilligungs-Status, Zeitstempel, IP-Adresse (gekürzt), Browser-Daten

Zweck: Nachweis und Verwaltung erteilter bzw. widerrufener Einwilligungen gemäß DSGVO und TDDDG

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einwilligungsdokumentation)

Speicherdauer: Bis zu 12 Monate

4.1 Google Analytics

Verarbeitete Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Gerätetyp

Zweck: Webseitenoptimierung, Nutzerverhalten verstehen

Speicherdauer: 26 Monate

Opt-Out: https://tools.google.com/dlpage/gaoptout

4.2 PostHog Analytics

Anbieter: PostHog Inc., San Francisco, CA, USA

Hosting: Ausschließlich auf EU-Servern (Frankfurt/Irland), keine Datenübertragung in die USA

Verarbeitete Daten: Nutzerinteraktionen, Feature-Nutzung, Session-Replays (anonymisiert)

Speicherdauer: 12 Monate

Datenschutz: Vollständig DSGVO-konform, EU-Server, ISO 27001-zertifiziert

4.3 Meta Pixel (Facebook)

Anbieter: Meta Platforms Inc., Menlo Park, CA, USA

Verarbeitete Daten: Seitenaufrufe, Conversion-Events, gehashte E-Mail-Adressen

Zweck: Werbeanzeigen-Optimierung, Custom Audiences, Lookalike Audiences

Speicherdauer: 180 Tage

4.4 LinkedIn Insight Tag

Anbieter: LinkedIn Corporation, Mountain View, CA, USA

Verarbeitete Daten: Berufsdemographische Daten, Seiteninteraktionen

Zweck: B2B-Werbeanzeigen, Website-Demographie-Insights

4.5 LeadInfo

Anbieter: Leadinfo B.V., Den Haag, Niederlande

Hosting: Ausschließlich in der EU (Irland/Frankfurt)

Verarbeitete Daten: IP-Adressen von Unternehmen (keine personenbezogenen Daten von Einzelpersonen), Seitenaufrufe, Besuchsdauer, Referrer-URL

Funktionsweise: Cookieless Tracking, Zuordnung von IP-Adressen zu Unternehmen über öffentliche Business-Datenbanken

LeadInfo identifiziert ausschließlich Unternehmen, niemals Einzelpersonen. 100% DSGVO-konform, ISO 27001-zertifiziert, EU-Hosting.

4.6 Microsoft Advertising (UET-Tag)

Anbieter: Microsoft Corporation, Redmond, WA, USA / Microsoft Ireland Operations Limited, Dublin

Verarbeitete Daten: IP-Adresse, Cookie-ID, Seitenaufrufe, Conversion-Events, Geräteinformationen

Zweck: Conversion-Tracking, Kampagnen-Optimierung, Remarketing

Speicherdauer: Bis zu 390 Tage

4.7 HubSpot CRM

Anbieter: HubSpot, Inc., Cambridge, MA, USA / HubSpot Ireland Limited, Dublin

Hosting: EU-Rechenzentrum in Frankfurt, Deutschland mit Backup in Irland

Verarbeitete Daten: Kontaktdaten, E-Mail-Adresse, Kommunikationshistorie, Lead-Scoring, Interaktionen

Zweck: CRM, Lead-Management, Kundenkommunikation, Marketing-Automation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) / Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

5.1 Cookie-Consent-Banner

Beim ersten Besuch unserer Website erscheint ein Cookie-Banner, über den Sie Ihre Einwilligung für nicht-technische Cookies erteilen können.

5.2 Widerspruchs- und Opt-Out-Möglichkeiten

Google Analytics: Browser-Add-On oder Opt-Out-Cookie über unsere Website

Meta Pixel: Facebook-Anzeigeneinstellungen oder Your Online Choices (http://www.youronlinechoices.com/)

LinkedIn Insight Tag: LinkedIn-Datenschutzeinstellungen (https://www.linkedin.com/psettings/)

PostHog: Opt-Out über unsere Cookie-Einstellungen. Do-Not-Track-Browser-Einstellung wird respektiert.

LeadInfo: Cookieless Tracking, kein Opt-Out erforderlich. Identifiziert ausschließlich Unternehmen.

Microsoft Advertising: Opt-Out über Microsoft-Datenschutzeinstellungen oder Cookie-Banner

5.3 Browser-Einstellungen

Sie können Cookies in Ihren Browser-Einstellungen deaktivieren. Beachten Sie, dass dadurch die Funktionalität unserer Website eingeschränkt werden kann.

6.1 Kontodaten

Bei der Registrierung verarbeiten wir:

Stammdaten: Firmenname, Ansprechpartner, E-Mail-Adresse

Technische Daten: API-Keys, Nutzungsstatistiken

Account-Verwaltung: Login-Credentials, Account-Status, gewählter Plan

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Kündigung + 10 Jahre (handelsrechtliche Aufbewahrungsfristen)

6.2 Abrechnungs- und Zahlungsdaten

Zur Durchführung der Zahlungsabwicklung verarbeiten wir in Zusammenarbeit mit Stripe: Rechnungsdaten (Firmenname, Rechnungsadresse, USt-IdNr.), über Stripe verarbeitete Zahlungsinformationen, Transaktionshistorie und abrechnungsrelevante Daten (Credit-Verbrauch, Plan-Wechsel, Kündigungen).

Speicherdauer: 10 Jahre für Abrechnungszwecke und handelsrechtliche Aufbewahrungsfristen

6.3 Nutzungsdaten

Zur Servicebereitstellung verarbeiten wir: Verarbeitungsstatistiken (Anzahl verarbeiteter Credits, API-Aufrufe), Chat-Nutzung (Anzahl Chat-Nachrichten pro Modellkategorie), technische Logs (Fehlermeldungen, Performance-Daten) und Service-Nutzung (Credit-Verbrauch, Nutzungszeiten, Feature-Usage).

Speicherdauer: 3 Jahre für Abrechnungszwecke

6.4 Credit-System

Die Nutzung des Services wird über ein Credit-System abgerechnet: 1 Credit = 1 verarbeitetes Wort bei der Anonymisierung. Bei Individual-Plänen 12 Monate Rollover (FIFO), bei Team-Plänen kein Rollover.

7.1 Kundendokumente

Wichtiger Hinweis: Originaldokumente werden NICHT gespeichert. Die Verarbeitung erfolgt ausschließlich im Arbeitsspeicher und wird nach der Anonymisierung verworfen.

7.2 Hash-Original-Paare

Zur Ermöglichung der De-Anonymisierung speichern wir: Verschlüsselte Hash-Werte (kryptographische Codes), verschlüsselte Original-Werte (zur kontrollierten Wiederherstellung) und Job-IDs (zur Zuordnung zu spezifischen Verarbeitungsvorgängen).

Verschlüsselung: AES-256 mit kundenspezifischen Schlüsseln

Speicherdauer: Vom Kunden wählbar (24h bis unbegrenzt)

Zugriff: Nur durch den ursprünglich verarbeitenden Kunden möglich

7.3 Prüfpflicht und Eigenverantwortung des Kunden

(1) Der Kunde ist verpflichtet, alle anonymisierten Dokumente vor der Weitergabe an LLM-Dienste oder Dritte eigenständig zu prüfen. Der Service erreicht eine Zielerkennungsrate von >95%, eine vollständige Erkennung aller personenbezogenen Daten kann technisch nicht garantiert werden.

(2) Der Kunde trägt die alleinige Verantwortung dafür, dass die Anonymisierung für seinen Anwendungsfall ausreichend und vollständig ist.

(3) Insbesondere bei ungewöhnlichen Schreibweisen, branchenspezifischen Begriffen, kontextabhängigen Identifikatoren oder handschriftlichen Dokumenten ist eine manuelle Nachprüfung besonders wichtig.

7.4 Auftragsverarbeitung

Soweit in Kundendokumenten personenbezogene Daten Dritter enthalten sind, handeln wir als Auftragsverarbeiter nach Art. 28 DSGVO. Details regelt der separate Auftragsverarbeitungsvertrag (AVV), der automatisch mit Akzeptanz der AGB in Kraft tritt.

8.1 Funktionsweise

Der Service anymize bietet eine Chat-Funktion, über die Kunden mit verschiedenen KI-Modellen (LLMs) kommunizieren können. Bei Nutzung dieser Funktion werden Daten an externe LLM-Anbieter übermittelt.

8.2 Anonymisierung vor Übermittlung

Bei aktivierter Anonymisierung werden personenbezogene Daten VOR der Übermittlung an LLM-Anbieter anonymisiert. Die LLM-Anbieter erhalten somit keine personenbezogenen Daten.

8.3 LLM-Anbieter

Bei Nutzung der Chat-Funktion können (anonymisierte) Daten an folgende Anbieter übermittelt werden:

8.4 Keine Speicherung durch LLM-Anbieter

Die übermittelten (anonymisierten) Daten werden von den LLM-Anbietern nicht für Trainingszwecke verwendet.

9.1 Website-Hosting (Vercel)

Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Die Website wird über Vercel gehostet. Vercel verarbeitet dabei technische Verbindungsdaten (IP-Adresse, Browser-Informationen) auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Websitebetrieb). Datenübertragungen in die USA erfolgen auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

9.2 Service-Hosting (Hetzner)

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

Alle Produktdaten und Kundendaten verbleiben innerhalb der EU (deutsche Rechenzentren).

9.3 Marketing- und Analyse-Dienste

Folgende Dienste verarbeiten Daten teilweise in den USA auf Basis von Angemessenheitsbeschlüssen oder Standardvertragsklauseln:

Google Analytics & Tag Manager: EU-US Data Privacy Framework

PostHog: EU-Server (Frankfurt/Irland), keine Datenübertragung in die USA

LeadInfo: EU-Server (Irland/Frankfurt), Niederlande-basiertes Unternehmen, DSGVO-konform

HubSpot CRM: EU-Rechenzentrum (Frankfurt) mit Backup in Irland, EU-US DPF und SCCs

9.4 Technische Entwicklung und Betrieb (anymize GmbH)

Anbieter: anymize GmbH, Schauenburger Str. 116, 24118 Kiel, Deutschland

Funktion: Unterverarbeiter gemäß Art. 28 DSGVO – technische Entwicklung, Wartung und Betrieb des Services anymize im Auftrag der anymize GmbH

Verarbeitete Daten: Technische Nutzungsdaten, Logs und Systemdaten im Rahmen des Servicebetriebs

Rechtsgrundlage: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

9.5 Zahlungsabwicklung (Stripe)

Anbieter: Stripe Inc., South San Francisco, USA / Stripe Technology Europe Ltd., Dublin

Verarbeitete Daten: Zahlungsdaten, Rechnungsadresse, E-Mail-Adresse, IP-Adresse, Transaktionshistorie

Zweck: Zahlungsabwicklung, Betrugsschutz, Compliance, Rechnungsstellung

Speicherdauer: Entsprechend gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre)

Stripe agiert als eigenständiger Datenverantwortlicher für Betrugsschutz und Compliance. Zahlungsdaten werden verschlüsselt übertragen und gespeichert (PCI DSS Level 1). Keine Speicherung von Kreditkartendaten auf unseren Servern.

10.8 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren:

11.1 Technische Maßnahmen

• Verschlüsselung der Datenübertragung (TLS 1.3)
• Verschlüsselung gespeicherter Daten (AES-256)
• Regelmäßige Sicherheitsupdates
• Zugriffskontrolle und Protokollierung
• Redundante Systeme und Backups

11.2 Organisatorische Maßnahmen

• Schulung der Mitarbeiter
• Zugriffsberechtigungskonzept
• Datenschutz-Folgenabschätzung
• Incident-Response-Verfahren
• Regelmäßige Überprüfung der Sicherheitsmaßnahmen

12.1 KI-System zur Anonymisierung

Unser Service nutzt ein spezialisiertes KI-System zur automatischen Erkennung personenbezogener Daten. Dies dient ausschließlich dem Datenschutz und erfolgt ohne Profilbildung.

12.2 Transparenz

Das KI-System arbeitet auf Basis von: Mustererkennung für typische Datenformate, Kontextanalyse zur Identifikation von Personenbezug und statistischen Auswertungen ohne Personenbezug.

12.3 Keine Profilbildung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.