Datenschutzerklärung

Stand: 21. Mai 2026

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir verarbeiten, wenn Sie unsere Webseite besuchen oder unsere SaaS-Plattform nutzen, zu welchem Zweck wir das tun und welche Rechte Sie als betroffene Person haben.

Die Erklärung ist in zwei klar getrennte Abschnitte gegliedert:

• Teil A — Webseite (https://contebia.ai)
• Teil B — SaaS-Plattform (Admin-Konsole, Desktop Agent, Digital Sales Room und zugehörige Dienste unter den Subdomains *.contebia.ai)

Wo eine Verarbeitung nur für einen der beiden Bereiche relevant ist, sagen wir das ausdrücklich.

§1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

contebia.ai GmbH
Sonnenhöhe 2
78476 Allensbach
Deutschland

Vertretungsberechtigter Geschäftsführer: Dr. Tizian Bonus
Handelsregister: HRB 734397, Amtsgericht Freiburg im Breisgau
USt-IdNr.: DE458722945

Kontakt:
E-Mail: contact@contebia.ai

Für datenschutzrechtliche Anfragen wenden Sie sich bitte direkt an unseren externen Datenschutzbeauftragten (siehe Ziffer 2) oder schreiben Sie an die oben genannte Adresse mit dem Vermerk „Datenschutz".

§2. Externer Datenschutzbeauftragter

Wir haben einen externen Datenschutzbeauftragten benannt:

heyData GmbH
Schützenstraße 5
10117 Berlin
Deutschland

E-Mail: datenschutz@heydata.eu

Sie können sich bei allen datenschutzrechtlichen Anfragen unmittelbar an unseren externen Datenschutzbeauftragten wenden.

§3. Rechte der betroffenen Personen

Nach der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO),
• Widerspruch gegen eine Verarbeitung, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht (Art. 21 DSGVO),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
• Nicht-Unterwerfung unter eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung Ihnen gegenüber (Art. 22 DSGVO).

Um eines dieser Rechte auszuüben, genügt eine formlose Nachricht an unseren externen Datenschutzbeauftragten (Kontaktdaten siehe Ziffer 2) oder an contact@contebia.ai.

§4. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a
70173 Stuttgart
Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Web: https://www.baden-wuerttemberg.datenschutz.de

Sie können sich jedoch auch an die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

§Teil A — Webseite (contebia.ai)

Die Webseite https://contebia.ai dient ausschließlich der Information über unsere Produkte und der Kontaktaufnahme. Sie ist bewusst minimal gehalten: keine Cookies, keine Werbe- oder Marketing-Tracker, keine eingebetteten Drittdienste, keine extern geladenen Schriften oder Videos. Für die Reichweitenmessung setzen wir ein selbstgehostetes, cookieloses und IP-anonymisierendes Verfahren ein — Details siehe Ziffer A.3.

§A.1 Bereitstellung der Webseite und Server-Logfiles

Zweck: Bereitstellung der Webseite, technische Auslieferung der Inhalte an Ihren Browser, Sicherstellung der IT-Sicherheit (Abwehr von Angriffen, Abuse-Detection, Fehlerdiagnose).

Datenkategorien: Bei jedem Aufruf werden automatisch die folgenden Daten in Server-Logfiles erfasst:

• IP-Adresse,
• Datum und Uhrzeit des Zugriffs,
• aufgerufene URL und Referrer,
• HTTP-Statuscode und übertragene Datenmenge,
• User-Agent-String Ihres Browsers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Webseite. Eine Verknüpfung mit anderen Datenbeständen findet nicht statt.

Empfänger: Hosting-Provider (Hetzner Online GmbH, Deutschland). Eine Übermittlung an Dritte oder in Drittländer findet nicht statt.

Speicherdauer: Die Logfiles werden für maximal 14 Tage aufbewahrt und danach gelöscht oder so anonymisiert, dass ein Personenbezug nicht mehr herstellbar ist.

§A.2 Kontaktformular

Auf unserer Webseite befindet sich ein Kontaktformular. Wenn Sie es ausfüllen und absenden, werden die von Ihnen eingegebenen Daten an unsere Server in Deutschland übermittelt und von dort als E-Mail in unser geschäftliches Postfach contact@contebia.ai zugestellt.

Zweck: Entgegennahme und Bearbeitung Ihrer Anfrage.

Datenkategorien: Name, E-Mail-Adresse, Nachrichteninhalt sowie weitere Angaben, die Sie freiwillig im Formular eintragen. Zusätzlich werden zur Abwehr von Missbrauch (Spam-Schutz, Brute-Force-Erkennung) technische Metadaten (Zeitpunkt der Übermittlung, IP-Adresse für die Dauer der Zustellung) verarbeitet.

Rechtsgrundlage:

• Bei vorvertraglichen Anfragen: Art. 6 Abs. 1 lit. b DSGVO,
• bei sonstigen Anfragen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage),
• für die Spam-Schutz-Metadaten: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

Empfänger: Hosting-Provider unserer Server (Hetzner Online GmbH, Deutschland) sowie unser geschäftliches E-Mail-System bei Google Workspace (Vertragspartner Google Ireland Limited, Irland, mit EU-Datenresidency und EU-Standardvertragsklauseln gegenüber der Konzernanbindung an Google LLC, USA).

Speicherdauer: Eingegangene Anfragen werden so lange gespeichert, wie die Bearbeitung es erfordert, und darüber hinaus, soweit gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) bestehen.

§A.3 Reichweitenmessung (Umami, selbstgehostet)

Zur Analyse der Reichweite und der grundsätzlichen Nutzung unserer Webseite betreiben wir das Open-Source-Werkzeug Umami Analytics auf eigenen Servern in Deutschland. Die Verarbeitung ist bewusst datenschutzfreundlich ausgelegt:

• keine Cookies und kein vergleichbarer Zugriff auf die in Ihrem Endgerät gespeicherten Informationen — § 25 TDDDG ist daher nicht einschlägig, eine Einwilligung ist nicht erforderlich,
• IP-Adressen werden vor der Speicherung anonymisiert; eine Rück-Zuordnung zu Ihrer Person ist nicht möglich,
• zur Erkennung wiederkehrender Sitzungen wird ein serverseitiger Tageshash gebildet, der täglich wechselt und keine personenbezogene Re-Identifikation zulässt,
• keine Übermittlung an Dritte, insbesondere kein Datenfluss in Drittländer.

Zweck: Statistische Auswertung der Webseiten-Nutzung (Seitenaufrufe, Verweildauer, Herkunfts-Referrer, grobe geografische Verteilung auf Länderebene) zur Verbesserung des Angebots.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung ohne Tracking-Cookies.

Empfänger: Keine. Die Analyse läuft ausschließlich auf unseren Servern bei Hetzner Online GmbH, Deutschland.

Speicherdauer: Aggregierte Statistiken bleiben dauerhaft erhalten; Rohereignisse werden nach maximal 12 Monaten gelöscht oder auf Aggregate verdichtet.

Widerspruch: Sie können der Reichweitenmessung jederzeit widersprechen, indem Sie in Ihrem Browser den Standard „Do Not Track" oder einen Werbe- bzw. Tracker-Blocker aktivieren; unser Umami-Skript respektiert diese Signale.

§Teil B — SaaS-Plattform (contebia.ai)

Dieser Teil betrifft die Nutzung unserer Plattform durch unsere Kundinnen und Kunden (im Folgenden „Tenant") sowie die Personen, die im Auftrag des Tenants auf die Plattform zugreifen oder deren Daten in der Plattform verarbeitet werden.

Rollenverteilung nach DSGVO:

• Soweit wir Daten unserer Tenants und ihrer Mitarbeitenden verarbeiten, um diesen die Plattform bereitzustellen (Account, Authentifizierung, Konfiguration, Abrechnung), sind wir Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Dieser Teil B regelt diese Verarbeitung.
• Soweit wir im Rahmen der Plattformnutzung Daten verarbeiten, die der Tenant über die Plattform einspeist (Kundendaten, CRM-Datensätze, E-Mail-Inhalte, Meeting-Transkripte, Dokumente etc.), erfolgt diese Verarbeitung als Auftragsverarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) zwischen contebia.ai GmbH und dem jeweiligen Tenant. In dieser Konstellation ist der Tenant Verantwortlicher; die vorliegende Datenschutzerklärung beschreibt die Verarbeitung an dieser Stelle informatorisch, ersetzt aber nicht die Datenschutzinformationen, die der Tenant gegenüber seinen eigenen Betroffenen erteilen muss.

§B.1 Registrierung und Authentifizierung

Zweck: Anlage und Verwaltung eines Plattform-Accounts, Identifikation und Authentifizierung der Nutzerinnen und Nutzer, Sitzungsverwaltung, Schutz vor unbefugtem Zugriff.

Datenkategorien: Name, geschäftliche E-Mail-Adresse, Tenant-Zugehörigkeit, Rolle und Berechtigungen, Zeitpunkte der Anmeldung, gehashte Wiederherstellungscodes für die Multi-Faktor-Authentisierung. Klartext-Passwörter werden von uns nicht verarbeitet.

Die Authentifizierungs-Tokens werden über unsere eigene Signatur-Infrastruktur ausgegeben. Optional kann der Tenant einen eigenen Identity-Provider (SAML 2.0 oder OpenID Connect) für Single-Sign-On konfigurieren; in diesem Fall werden ausschließlich die vom Tenant freigegebenen Attribute (in der Regel E-Mail-Adresse, Vorname, Nachname) an die Plattform übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags), ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und einem nachvollziehbaren Audit-Trail).

Empfänger: Die Account-Daten werden in unserer Plattform-Datenbank gespeichert; das Hosting erfolgt bei den unter Ziffer 7 genannten Auftragsverarbeitern.

Speicherdauer: Account-Daten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Beendigung gemäß Ziffer 9 gelöscht.

§B.2 Nutzung der Plattform und Speicherung von Tenant-Daten

Zweck: Bereitstellung der Plattformfunktionen — Konsolidierung von Wissen über Markt, Wettbewerb, Produkte und Geschäftsvorgänge des Tenants; Unterstützung seiner Go-to-Market-Teams in Vertrieb, Marketing und Customer Success durch KI-gestützte Auswertungen, Antworten und Vorschläge.

Datenkategorien: Inhalte, die der Tenant aktiv in die Plattform einspeist (Dokumente, Notizen, Strukturdaten zu Personen und Organisationen, Konfigurationen, Vorlagen) sowie Daten, die über die unter Ziffer B.6 beschriebenen Drittsystem-Anbindungen einfließen. Ergänzend technische Metadaten zur Nutzung (Zeitstempel, aufgerufene Funktionen, Korrelations-IDs) für Betriebsstabilität, Abrechnung und Audit.

Wir verarbeiten in diesem Rahmen ausdrücklich auch personenbezogene Daten Dritter, die der Tenant einspeist (Kontaktdaten von Geschäftspartnern, Mitarbeitenden von Kundenunternehmen etc.). Für diese Daten ist der Tenant verantwortlich; wir verarbeiten sie ausschließlich weisungsgebunden im Rahmen des Auftragsverarbeitungsvertrags.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit dem Tenant). Für die durch den Tenant eingespeisten Drittpersonen-Daten: Auftragsverarbeitung gemäß Art. 28 DSGVO in Verbindung mit der Rechtsgrundlage, auf die sich der Tenant gegenüber seinen Betroffenen stützt.

Empfänger: Server-Infrastruktur und Datenbank (siehe Ziffer 7), sowie ggf. KI-Verarbeitungsdienste (Ziffer B.4) und durch den Tenant ausgewählte Drittsystem-Anbindungen (Ziffer B.6).

Speicherdauer: Tenant-Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Vertragsbeendigung werden sie gemäß Ziffer 9 gelöscht. Eine mandantenscharfe Trennung der Daten ist auf Datenbankebene technisch erzwungen.

§B.3 Audio-Erfassung und Transkription im Desktop Agent

Unsere Plattform stellt einen optional installierbaren Desktop Agent für macOS bereit, der den Vertriebsablauf live unterstützt. Diese Funktion verarbeitet besonders sensible Daten und wird daher gesondert beschrieben.

Zweck: Erkennung laufender Geschäftsgespräche (z. B. in Zoom, Microsoft Teams, Webex, FaceTime sowie in browserbasierten Meetings), automatische Live-Transkription des Gesprächs während der Laufzeit, Erzeugung einer KI-gestützten Gesprächszusammenfassung („Summary") nach Ende des Gesprächs sowie Anreicherung des zugehörigen CRM-Datensatzes mit dieser Summary.

Datenkategorien:

• Audiosignal vom Systemausgang (Lautsprecher-/Anwendungsaudio) und vom Mikrofon (eigene Sprache der nutzenden Person),
• abgeleitete Transkripte des Gesprächs,
• Metadaten der Gesprächserkennung (Identifier der erkennenden Konferenzanwendung, Zeitpunkte, Dauer),
• aus dem Gespräch durch KI extrahierte Zusammenfassung (Themen, Entscheidungen, Aufgaben).

Was wir ausdrücklich NICHT tun:

• Es werden keine Bildschirminhalte aufgezeichnet (keine Screenshots, keine Video- oder Pixel-Capture).
• Audio-Dateien werden nicht dauerhaft gespeichert. Audio wird in kurzen Echtzeit-Paketen an unsere in Deutschland betriebene Transkriptions-Infrastruktur gestreamt, dort flüchtig verarbeitet und nicht persistiert.
• Vollständige Transkripte werden nicht dauerhaft gespeichert. Der Klartext der Transkripte wird ausschließlich für die Dauer der Erzeugung der Summary vorgehalten und unmittelbar danach gelöscht.
• Die finale Summary wird im CRM-System des Tenants abgelegt. Die Speicherung dort unterliegt den Datenschutzregeln des Tenants und des jeweiligen CRM-Anbieters.

Erkennung des Gesprächs: Der Desktop Agent erkennt einen Call entweder anhand des aktiven Anwendungs-Identifiers oder über die in einem Browser geöffnete URL eines bekannten Meeting-Anbieters. Die Erkennung erfolgt lokal auf dem Endgerät; der Inhalt einer Browser-URL verlässt das Gerät dabei nicht.

Verantwortung gegenüber den Gesprächspartnern: Wenn der Tenant den Desktop Agent in Gesprächen einsetzt, an denen weitere Personen (Kundinnen, Geschäftspartner, Beschäftigte) beteiligt sind, ist der Tenant für die Rechtmäßigkeit dieser Verarbeitung gegenüber den Gesprächspartnern verantwortlich. Er hat dafür eine geeignete Rechtsgrundlage nach Art. 6 DSGVO zu schaffen und seine Gesprächspartner soweit erforderlich zu informieren.

Rechtsgrundlage (Verhältnis contebia.ai ↔ Tenant): Art. 6 Abs. 1 lit. b DSGVO. Für die durch den Tenant in die Plattform eingebrachten Daten Dritter: Auftragsverarbeitung gemäß Art. 28 DSGVO.

Empfänger: Die Audio-Verarbeitung erfolgt ausschließlich auf unseren GPU-Servern bei Hetzner in Deutschland. Es findet keine Übermittlung des Audiosignals oder vollständiger Transkripte an Drittanbieter außerhalb dieser Infrastruktur statt.

Speicherdauer: Audiosignal — flüchtig (keine Persistierung). Transkript-Klartext — bis zur Erzeugung der Summary, danach Löschung. Summary — im CRM des Tenants, Speicherdauer dort.

§B.4 KI-gestützte Verarbeitung

Zweck: Beantwortung von Fragen der Nutzerinnen und Nutzer auf Grundlage des im Tenant gespeicherten Wissens (Retrieval-Augmented Generation, „RAG"), automatische Zusammenfassung von Gesprächen, semantische Suche, KI-gestützte Erstellung von Inhalten in den unterstützten Workflows.

Architektur: Der überwiegende Teil der KI-Verarbeitung läuft auf eigener Infrastruktur in Deutschland (Hetzner). Daten verlassen die EU dabei nicht. Für Aufgaben, die ein besonders leistungsfähiges Sprachmodell erfordern, greifen wir auf Mistral AI (Paris, Frankreich) zurück; die Verarbeitung findet innerhalb der Europäischen Union statt.

Datenkategorien: Inhalte, auf die sich die jeweilige Funktion bezieht — beispielsweise Frage-Eingaben, abgerufene Wissensfragmente aus dem Tenant oder redaktierte Gesprächs-Transkripte.

PII-Schutz vor externer KI-Verarbeitung: Bevor Inhalte aus Meeting-Transkripten oder Kommunikationsdaten in eine KI-Verarbeitung eingehen, werden personenbezogene Identifikatoren automatisch reduziert: E-Mail-Adressen und Telefonnummern werden durch neutrale Platzhalter ersetzt, Sprechernamen durch einen tenant-spezifischen Hash, und URLs werden um Query- und Fragment-Anteile bereinigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Für die durch den Tenant eingespeisten Daten Dritter: Auftragsverarbeitung gemäß Art. 28 DSGVO.

Empfänger: Eigene KI-Infrastruktur in Deutschland; Mistral AI (Frankreich).

Keine automatisierte Einzelentscheidung mit rechtlicher Wirkung: Die KI-Ausgaben der Plattform sind Vorschläge und Hilfsmittel für die Nutzerinnen und Nutzer. Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.

§B.5 Wissensspeicher und semantisches Modell

Zweck: Damit die Plattform Fragen auf Basis des Tenant-Wissens beantworten kann, erzeugen wir aus den eingespeisten Inhalten ein durchsuchbares semantisches Modell. Dieses umfasst Textfragmente, deren mathematische Repräsentationen (Vektor-Embeddings), strukturierte Entitäten (z. B. Organisationen, Funktionen, Personen, Produkte) und ihre Beziehungen zueinander.

Das semantische Modell kann personenbezogene Daten enthalten (z. B. Namen von Ansprechpartnerinnen in CRM-Daten). Es wird ausschließlich mandantenscharf gespeichert; eine Vermischung über Tenants hinweg findet nicht statt. Die Daten werden ausschließlich auf unserer Infrastruktur in Deutschland abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Auftragsverarbeitung gemäß Art. 28 DSGVO für die durch den Tenant eingespeisten Daten Dritter.

Speicherdauer: Für die Dauer des Vertragsverhältnisses bzw. bis zur Löschung oder zum Widerruf durch den Tenant. Auf Anforderung des Tenants kann das semantische Modell selektiv oder vollständig neu aufgebaut werden.

§B.6 Anbindung an Drittsysteme des Tenants

Der Tenant kann seine Plattform optional mit eigenen Drittsystemen verbinden — insbesondere CRM-, E-Mail-, Kalender- und Chat-Systemen sowie Anbietern von Meeting-Transkripten. Sinn und Zweck dieser Verbindung ist es, dass Inhalte aus diesen Systemen in die Plattform fließen und dort gemeinsam mit den übrigen Tenant-Daten verarbeitet werden können (siehe Ziffer B.2 und Ziffer B.5).

Welche Drittsysteme verbunden werden, entscheidet der Tenant. Eine Verbindung kommt erst zustande, wenn der Tenant sie aktiv autorisiert.

Verantwortlichkeit: Im Verhältnis zum Drittsystem-Anbieter ist der Tenant Verantwortlicher und hat dort eine eigene Rechtsbeziehung (Nutzungsvertrag, ggf. Auftragsverarbeitungsvertrag). Unsere Plattform tritt in dieser Beziehung nicht als Vertragspartner des Drittsystem-Anbieters auf.

Datenkategorien: Die aus dem Drittsystem in die Plattform gelangenden Daten richten sich nach der jeweils gewählten Funktion (z. B. Kontakte und Aktivitäten aus einem CRM-System, Inhalte ausgewählter E-Mails, Termine, Inhalte freigegebener Chat-Kanäle).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO im Verhältnis zwischen contebia.ai GmbH und dem Tenant; Auftragsverarbeitung gemäß Art. 28 DSGVO für die Verarbeitung der durch das Drittsystem zugeführten Daten Dritter.

Speicherdauer: Inhalte aus Drittsystemen werden nur so lange in der Plattform gespeichert, wie sie für die genutzten Funktionen erforderlich sind und der Tenant das Drittsystem verbunden hält. Trennt der Tenant die Verbindung, werden die zugehörigen Zugriffsdaten entfernt; die bis dahin synchronisierten Inhalte werden gemäß Ziffer 9 behandelt.

§B.7 Digital Sales Room (Buyer-View)

Der „Digital Sales Room" ist ein vom Tenant erzeugter, individualisierter Online-Bereich, in dem dieser Inhalte (Preisangaben, Vorlagen, Aktionspläne) mit seinen Kundinnen und Kunden („Buyer") teilt. Wenn Sie als Buyer einen solchen Room aufrufen, gilt für die dort stattfindende Verarbeitung Folgendes:

Verantwortlicher gegenüber dem Buyer ist der Tenant. contebia.ai GmbH stellt die technische Infrastruktur als Auftragsverarbeiter zur Verfügung. Bitte wenden Sie sich für Auskunfts-, Berichtigungs- und Löschanfragen unmittelbar an den Tenant, der Ihnen den Room zur Verfügung gestellt hat. Auf Anfrage benennen wir Ihnen diesen.

Datenkategorien beim Aufruf eines Rooms:

• technische Server-Logfiles (IP-Adresse, Zeitpunkt, User-Agent — zur Sicherstellung der Bereitstellung),
• Interaktionsereignisse innerhalb des Rooms (z. B. welcher Abschnitt aufgerufen wurde, ob auf einen Preis-Block geklickt, ein Aktionspunkt akzeptiert oder ein Dokument heruntergeladen wurde, Verweildauer pro Abschnitt). Diese Ereignisse werden dem Tenant zu seinem Room angezeigt.

Der Room nutzt ausschließlich erste-Partei-Speichermechanismen, die für die technische Bereitstellung der Anwendung erforderlich sind.

Rechtsgrundlage: Im Verhältnis Tenant ↔ Buyer ist der Tenant verantwortlich und benennt die Rechtsgrundlage in seiner eigenen Datenschutzinformation.

§B.8 Logs und Audit-Trail

Zweck: Nachvollziehbarkeit administrativer und sicherheitsrelevanter Aktionen, Fehlerdiagnose und Betriebsstabilität, Erfüllung der Dokumentationspflichten aus Art. 30 DSGVO.

Datenkategorien: Korrelations-IDs, Tenant-ID, Zeitstempel, aufgerufene Funktion, Status, technische Metadaten. Klartext-personenbezogene Daten werden in Anwendungslogs grundsätzlich nicht abgelegt; E-Mail-Adressen werden — soweit für Diagnosezwecke nötig — ausschließlich in gehashter oder maskierter Form gespeichert. Authentifizierungs-Tokens und Passwörter werden niemals geloggt.

Speicherdauer:

• Anwendungslogs (Run-Logs) und Fehlerprotokolle: bis zu 90 Tage,
• Audit-Log (Art.-30-DSGVO-Verzeichnis und sicherheitsrelevante Ereignisse): bis zu 7 Jahre, soweit dies zur Erfüllung der Dokumentationspflichten der DSGVO erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, insb. Art. 30, 32 DSGVO) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und nachvollziehbaren Plattform).

§7. Auftragsverarbeiter und Drittlandtransfers

§7.1 Auftragsverarbeiter

Wir setzen die folgenden Dienstleister im Rahmen der unter Teil A und Teil B beschriebenen Verarbeitungen ein. Mit jedem dieser Dienstleister besteht oder wird vor Aufnahme der Verarbeitung ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

§7.2 Datentransfer in Drittländer

Personenbezogene Daten werden im Regelfall ausschließlich innerhalb der Europäischen Union verarbeitet. Eine Drittlandbeziehung besteht in zwei Fällen:

• über die Konzernzugehörigkeit unserer Datenbank- und Authentifizierungs-Plattform Supabase Pte. Ltd. (Singapur), deren operative Verarbeitung jedoch in der EU-Region Frankfurt stattfindet,
• über die Konzernanbindung von Google LLC (USA) an unseren E-Mail-Provider Google Workspace (Vertragspartner: Google Ireland Limited).

In beiden Fällen sind die EU-Standardvertragsklauseln 2021/914 vereinbart; für Google LLC greift zusätzlich das EU-US Data Privacy Framework.

§8. Cookies und vergleichbare Technologien

Webseite (contebia.ai): Es werden keine Cookies eingesetzt. Zur Reichweitenmessung kommt das selbstgehostete, cookielose Werkzeug Umami Analytics zum Einsatz (Details siehe Ziffer A.3).

Plattform (eingeloggte Bereiche, admin.contebia.ai, rooms.contebia.ai u. a.): Es werden ausschließlich technisch notwendige Cookies bzw. vergleichbare Speichermechanismen eingesetzt, die zur Bereitstellung des Dienstes erforderlich sind (Anmeldesitzung, CSRF-Schutz, Spracheinstellung). Diese unterliegen § 25 Abs. 2 Nr. 2 TDDDG und benötigen keine Einwilligung.

§9. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die unter Teil A und Teil B genannten Zwecke erforderlich ist. Nach Wegfall des Zwecks werden die Daten gelöscht oder so anonymisiert, dass kein Personenbezug mehr besteht — es sei denn, gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO, Art. 30 DSGVO) verpflichten uns zur weiteren Speicherung.

Die unter den einzelnen Verarbeitungen genannten Aufbewahrungsfristen gehen den allgemeinen Regeln vor. Für tenant-eingespeiste Daten richtet sich die Speicherdauer im Innenverhältnis nach den Weisungen des Tenants und dem Auftragsverarbeitungsvertrag.

Löschung auf Anfrage: Anfragen nach Art. 17 DSGVO bearbeiten wir über einen dedizierten Löschworkflow, der die zu einer betroffenen Person gehörenden Daten über alle Speicherorte hinweg erfasst. Der erfolgreiche Vollzug wird revisionssicher dokumentiert.

§10. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten vor unberechtigtem Zugriff, Verlust oder Veränderung zu schützen. Details stellen wir Tenants auf Anfrage im Rahmen des Auftragsverarbeitungsvertrags zur Verfügung.

§11. Änderungsvorbehalt

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage ändert oder wir Funktionen, Auftragsverarbeiter oder Verarbeitungszwecke ändern. Die jeweils aktuelle Fassung ist auf unserer Webseite unter https://contebia.ai/datenschutz (bzw. /privacy) abrufbar. Maßgeblich ist die zum Zeitpunkt der Verarbeitung gültige Fassung. Über wesentliche Änderungen informieren wir aktive Nutzerinnen und Nutzer der Plattform zusätzlich per E-Mail.

Stand der Erklärung: 21. Mai 2026.