Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen dieser Website und der angebotenen Dienstleistungen ist:

David Proga
Simple.Grow
c/o Impressumservice Dein-Impressum
Stettiner Straße 41, 35410 Hungen
+49 (0) 174 6629095
david.proga@simplegrow.io

2. Gegenstand dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert darüber, wie personenbezogene Daten bei der Nutzung des Angebots Simple.Grow verarbeitet werden. Simple.Grow ist ein Dienstleistungsangebot, das KI-Mitarbeiter – KI-Agenten, die definierte Aufgaben im Beratungsalltag übernehmen – für Unternehmensberatungen im DACH-Raum bereitstellt und betreut. Dabei können auch Daten von Endkunden der betreuten Unternehmen verarbeitet werden.

3. Art der verarbeiteten Daten

Im Rahmen der Nutzung von Simple.Grow können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse)
• Adressdaten
• Projektdaten (z. B. Informationen zum geplanten Vorhaben)
• Kommunikationsverläufe
• Terminbuchungsinformationen
• Bewertungs- und Feedbackdaten

Die konkrete Art der verarbeiteten Daten richtet sich dabei nach dem Funktionsumfang der vom Kunden aktivierten Automatisierungssysteme.

4. Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:

• Content-Erstellung und -Optimierung (z. B. LinkedIn-Posts, Fachartikel, Reports)
• Recherche und Analyse (z. B. Marktrecherchen, Wettbewerbsanalysen)
• Automatisierte Reports und KPI-Tracking
• Automatisierte Kundenkommunikation und Terminvereinbarung
• Prozessoptimierung und Workflow-Automatisierung
• KI-Assistenz und Entscheidungsunterstützung
• Anfragebearbeitung und Support

5. Rechtsgrundlage der Verarbeitung

Für eigene Verarbeitungen (z. B. über diese Website oder zur Kundenbetreuung) stützen wir uns auf folgende Rechtsgrundlagen gemäß Art. 6 DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. bei Interessensbekundung über Kontaktformular)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung, z. B. Dokumentation eines Werbewiderspruchs)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Für die Verarbeitung von Endkundendaten durch unsere Kunden gilt Folgendes:

Simple.Grow stellt lediglich die technischen Mittel bereit. Die rechtliche Verantwortung für die Einhaltung aller datenschutzrechtlichen Verpflichtungen gegenüber den Endkunden liegt ausschließlich beim jeweiligen Betrieb bzw. Unternehmen, das Simple.Grow nutzt. Dies umfasst insbesondere die Informationspflichten nach Art. 13/14 DSGVO sowie das Vorliegen einer gültigen Rechtsgrundlage für jede Datenverarbeitung.

6. Auftragsverarbeitung

Sofern wir im Auftrag von Betrieben / Unternehmen personenbezogene Daten von deren Endkunden verarbeiten (z. B. im Rahmen automatisierter Kontaktprozesse), erfolgt dies auf Basis eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Simple.Grow wird die personenbezogenen Daten niemals eigenständig verwenden oder an Dritte weitergeben, es sei denn, eine gesetzliche Verpflichtung liegt vor oder der Kunde hat ausdrücklich zugestimmt.

7. Datenweitergabe

Personenbezogene Daten werden nur dann an Dritte übermittelt, wenn dies im Rahmen der Vertragsabwicklung notwendig ist oder eine gesetzliche Verpflichtung besteht. Eine Weitergabe zu Werbezwecken oder außerhalb der im Auftrag festgelegten Prozesse findet nicht statt.

8. Eingesetzte Dienste und Infrastruktur

8.1 n8n (n8n.io)

Zur Automatisierung und Integration von Prozessen verwenden wir n8n, eine DSGVO-konforme Open-Source-Automatisierungsplattform. Wir nutzen ausschließlich die selbst gehostete Variante (Self-Hosted) auf einem Hetzner-Server mit deutschem Serverstandort – nicht die Cloud-Variante von n8n. Mit Hetzner Online GmbH besteht eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO.

• Hosting: Selbst gehostet (Self-Hosted) auf Hetzner-Infrastruktur, Serverstandort Deutschland
• Keine n8n-Cloud: Es wird ausschließlich die Open-Source-Variante eingesetzt. Es findet keine Datenübertragung an n8n GmbH oder deren Cloud-Dienste statt
• Datenverschlüsselung: Alle übertragenen Daten werden per HTTPS geschützt, sensible Daten können zusätzlich verschlüsselt gespeichert werden
• Zugriffsbeschränkungen: Strikte Zugriffskontrollen über API-Keys und Rollenmanagement
• Transparente Verarbeitung: Workflows dokumentieren den Datenfluss im Detail
• Keine Weitergabe an Dritte: n8n verarbeitet Daten nur im Rahmen der definierten Workflows, vollständig auf eigener Infrastruktur

8.2 Trigger.dev (trigger.dev)

Für die Orchestrierung und Ausführung von Hintergrundaufgaben verwenden wir Trigger.dev, eine Open-Source-Plattform für die Steuerung von KI-Workflows und Automatisierungen. Wir nutzen ausschließlich die selbst gehostete Variante (Self-Hosted via Docker) auf einem Hetzner-Server mit deutschem Serverstandort – nicht die Cloud-Variante von Trigger.dev.

• Hosting: Selbst gehostet (Self-Hosted) auf Hetzner-Infrastruktur, Serverstandort Deutschland
• Keine Trigger.dev-Cloud: Es wird ausschließlich die Open-Source-Variante eingesetzt. Es findet keine Datenübertragung an Trigger.dev Inc. oder deren Cloud-Dienste statt
• Datenverschlüsselung: Alle übertragenen Daten werden per HTTPS geschützt
• Zugriffsbeschränkungen: Strikte Zugriffskontrollen über API-Keys und Rollenmanagement
• Aufgabensteuerung: Trigger.dev orchestriert die KI-Mitarbeiter (z. B. Content-Erstellung, Recherche, Reports) und protokolliert alle Verarbeitungsschritte
• Keine Weitergabe an Dritte: Trigger.dev verarbeitet Daten nur im Rahmen der definierten Aufgaben, vollständig auf eigener Infrastruktur

8.3 Supabase

Für die Datenhaltung und Datenbankinfrastruktur setzen wir Supabase ein, eine DSGVO-konforme Open-Source-Plattform als Alternative zu proprietären Datenbanklösungen.

• Serverstandort: Ausschließlich EU- und/oder Deutschland-basierte Server
• Datenverschlüsselung: Verschlüsselung im Ruhezustand (AES-256) und bei Übertragung (TLS 1.2+)
• Row Level Security (RLS): Granulare Zugriffskontrolle auf Datenbankebene
• SOC 2 Type II zertifiziert: Regelmäßig auditierte Sicherheitsstandards
• Keine Weitergabe an Dritte: Daten werden ausschließlich im Rahmen der vereinbarten Verarbeitung gespeichert
• Datenminimierung: Es werden nur die für den jeweiligen Zweck erforderlichen Daten gespeichert

8.4 Large Language Models (KI-Modelle)

Simple.Grow nutzt das Large Language Model Claude (Anthropic) über AWS Bedrock EU Inference Profiles als Programmierschnittstelle (API). Dabei legt Simple.Grow besonderen Wert auf den Schutz der Daten und die Einhaltung der DSGVO.

• EU-Verarbeitung: Die KI-Verarbeitung erfolgt ausschließlich über AWS Bedrock EU Inference Profiles mit Serverstandort Frankfurt am Main (EU). Kundendaten verlassen die EU nachweislich nicht. Es findet kein Transfer personenbezogener Daten in Drittstaaten statt.
• Datenverarbeitung über die API: Bei der Nutzung des KI-Modells über die API werden die zur Bearbeitung der Anfrage erforderlichen Daten an AWS Bedrock EU übermittelt. Diese Daten werden ausschließlich zur Generierung der gewünschten Antwort verarbeitet und nicht für andere Zwecke verwendet. Über die API bereitgestellte Daten werden nicht zum Training von KI-Modellen genutzt.
• Keine dauerhafte Speicherung: Im Rahmen der API-Nutzung werden keine personenbezogenen Daten dauerhaft beim KI-Anbieter gespeichert. Temporäres Caching zur Verarbeitung erfolgt ausschließlich in der EU (Frankfurt) und wird nach maximal 24 Stunden gelöscht.
• Datensparsame Implementierung: Simple.Grow achtet darauf, dass nur die minimal notwendigen Daten an die API übermittelt werden. Sensible oder personenbezogene Daten werden vor der Übermittlung anonymisiert oder pseudonymisiert.

Keine Nutzung des Web-Interfaces: Simple.Grow nutzt ausschließlich die API-Schnittstelle, nicht das Web-Interface des KI-Anbieters. Alle Interaktionen erfolgen über die API und unterliegen den oben genannten Schutzmaßnahmen.

8.5 KI-Verordnung (EU AI Act)

Simple.Grow beachtet die Anforderungen der Verordnung (EU) 2024/1689 (KI-Verordnung / EU AI Act) bei der Entwicklung, Bereitstellung und dem Betrieb seiner KI-Systeme.

• Risiko-Einstufung: Die eingesetzten KI-Systeme sind als Allzweck-KI mit begrenztem Risiko eingestuft. Es handelt sich nicht um Hochrisiko-KI-Systeme im Sinne des Art. 6 EU AI Act.
• Transparenz (Art. 50): KI-generierte Inhalte werden als solche kenntlich gemacht. Der Nutzer wird transparent über den Einsatz von KI-Modellen, deren Funktionsweise und Grenzen informiert.
• KI-Kompetenz (Art. 4): Im Rahmen der Einrichtung jedes KI-Mitarbeiters stellt Simple.Grow eine dokumentierte KI-Kompetenz-Einführung bereit, die den Umgang mit dem System, den Freigabe-Workflow und die Prüfpflichten des Nutzers umfasst.
• Menschliche Aufsicht (Art. 14): Alle KI-Systeme sind mit einem Freigabe-Workflow ausgestattet, der sicherstellt, dass keine Outputs ohne menschliche Prüfung in den Geschäftsbetrieb einfließen.
• Keine verbotenen Praktiken (Art. 5): Simple.Grow setzt keine KI-Systeme ein, die unter die verbotenen Praktiken des Art. 5 EU AI Act fallen (z. B. Social Scoring, unterschwellige Manipulation, Ausnutzung von Vulnerabilitäten).

Die detaillierte Regelung der Verantwortungsteilung zwischen Simple.Grow (Anbieter) und dem Nutzer (Betreiber) im Sinne des EU AI Act findet sich in den Allgemeinen Geschäftsbedingungen (§9.5–9.11).

8.6 Kontaktformular (/brief)

Über das Kontaktformular unter simplegrow.io/brief können Interessenten im Rahmen einer Direktmarketing-Kampagne (persönliche Briefe) Kontakt aufnehmen. Dabei werden folgende Daten erhoben:

• Pflichtangaben: Firmenname, Name, Interessensbekundung (Ja/Nein)
• Optionale Angaben: Telefonnummer, E-Mail-Adresse

Zweck und Rechtsgrundlage

• Bei „Ja, Interesse": Die Daten werden zur Kontaktaufnahme und Vereinbarung eines unverbindlichen Gesprächs über KI-Mitarbeiter-Dienstleistungen verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl im Formular).
• Bei „Nein, kein Interesse": Die Rückmeldung wird als Werbewiderspruch gemäß Art. 21 DSGVO dokumentiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung).

Empfänger und Verarbeitung

Die Formulardaten werden über eine Vercel Serverless Function (siehe Abschnitt 8.7) verarbeitet und intern weitergeleitet. Es erfolgt keine dauerhafte Speicherung der Formulardaten in einer Datenbank.

Speicherdauer

• Interessensbekundung („Ja"): Die Daten werden maximal 3 Jahre aufbewahrt oder bis die Einwilligung widerrufen wird.
• Werbewiderspruch („Nein"): Die Rückmeldung wird dauerhaft aufbewahrt, um sicherzustellen, dass keine erneute Kontaktaufnahme erfolgt.

Spam-Schutz

Zum Schutz vor automatisierten Eingaben wird ein Honeypot-Verfahren eingesetzt. Dabei wird ein unsichtbares Formularfeld verwendet, das von regulären Nutzern nicht ausgefüllt wird. Es werden keine externen Dienste (wie Google reCAPTCHA) eingebunden.

8.7 Vercel (vercel.com)

Für das Hosting der Website und die Bereitstellung von API-Routes nutzen wir Vercel, eine Cloud-Plattform für statische Websites und Serverless Functions.

• Hosting: Statisches Website-Hosting über Vercels Edge-Network (globales CDN)
• Datenverarbeitung: Vercel verarbeitet Server-Logs (IP-Adressen, Zugriffszeitpunkte) im Rahmen des Hostings. Personenbezogene Kundendaten werden nicht auf Vercel gespeichert
• Sitz: Vercel Inc., USA. Datenübertragung auf Basis von EU-Standardvertragsklauseln und dem EU-US Data Privacy Framework

8.8 Cal.com (cal.com)

Für die Terminbuchung nutzen wir Cal.com, eine Open-Source-Terminplanungslösung.

• Verarbeitete Daten: Name, E-Mail-Adresse und gewählter Terminzeitpunkt bei der Buchung eines Discovery Calls oder Bedarfsanalyse-Termins
• Zweck: Terminvereinbarung und Kalendersynchronisation
• Datenschutz: Cal.com verarbeitet die Daten ausschließlich zur Terminverwaltung. Die Datenschutzrichtlinie von Cal.com ist unter cal.com/privacy einsehbar
• Löschung: Terminbuchungsdaten werden 7 Tage nach Durchführung des Termins gelöscht

9. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Automatisiert gespeicherte Kommunikationsdaten (z. B. WhatsApp-Dialoge oder Terminprotokolle) werden regelmäßig überprüft und nach Ablauf der relevanten Fristen gelöscht.

10. Rechte betroffener Personen

Betroffene Personen haben das Recht auf:

• Auskunft über die sie betreffenden gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Anfragen können an die oben genannten Kontaktdaten gerichtet werden.

11. Verantwortung der Kunden

Simple.Grow übernimmt keinerlei Verantwortung für etwaige Datenschutzverstöße, die durch die unsachgemäße oder nicht DSGVO-konforme Nutzung durch das Unternehmen / den Betrieb entstehen. Es liegt ausschließlich in der Verantwortung des Nutzers, seine Kunden rechtzeitig und transparent über die Verwendung von Simple.Grow zu informieren und sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt sind.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu ändern, z. B. um sie an neue rechtliche Anforderungen oder technische Entwicklungen anzupassen. Die jeweils aktuelle Version ist jederzeit auf unserer Website einsehbar.

Auftragsverarbeitungsvertrag (AVV)

Der vollständige Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist als eigenständiges Dokument verfügbar: www.simplegrow.io/avv

Der AVV regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden, einschließlich technischer und organisatorischer Maßnahmen (TOMs), Subunternehmer-Liste, Löschfristen und Meldepflichten bei Datenschutzverletzungen.

Stand: 12.03.2026