Datenschutzerklärung

1. Einleitung und Überblick

Diese Datenschutzerklärung informiert dich darüber, wie die Leia-Sophie Holding GmbH (Handelsname: OptimusFlow Consulting) deine personenbezogenen Daten verarbeitet, wenn du unsere Website www.optimusflow.consulting besuchst, unser Erstgespräch-Formular ausfüllst oder auf anderem Wege mit uns in Kontakt trittst.

Wir verarbeiten deine Daten ausschließlich auf Grundlage der geltenden gesetzlichen Bestimmungen — insbesondere der Datenschutz-Grundverordnung (DSGVO), dem österreichischen Datenschutzgesetz (DSG) sowie dem Telekommunikationsgesetz (TKG 2021).

2. Verantwortlicher für die Datenverarbeitung

3. Datenschutzbeauftragter

Till Oberhummer

E-Mail: office@optimusflow.consulting

Postanschrift: wie oben

4. Welche Daten wir verarbeiten und zu welchem Zweck

4.1 Automatische Server-Logdaten

Beim Aufruf unserer Website erfasst unser Hosting-Anbieter (Vercel) automatisch folgende technische Daten:

• IP-Adresse (anonymisiert nach Verarbeitung)
• Datum und Uhrzeit des Zugriffs
• aufgerufene Seiten und Dateien
• Browsertyp und -version
• verwendetes Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Zweck: Technische Sicherheit, Fehleranalyse, Optimierung des Angebots

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Speicherdauer: Logfiles werden nach 14 Tagen automatisch gelöscht

4.2 Erstgespräch-Formular

Wenn du über unser mehrstufiges Erstgespräch-Formular eine Anfrage stellst, erheben wir folgende Daten:

• Anrede, Vor- und Nachname
• E-Mail-Adresse und Telefonnummer
• Website-URL deines Unternehmens
• Beschreibung deiner Tätigkeit und aktueller Engpässe
• Automatisierungspotenzial und Ziele
• Aktueller KI-Einsatz im Unternehmen
• Monatlicher Umsatz, Teamgröße, Budget
• Freitext: warum du mit uns arbeiten möchtest
• UTM-Parameter (Herkunftskanal, falls über eine Werbekampagne)

Die Daten werden in unserer Datenbank (Neon) gespeichert und automatisiert über unsere Automatisierungsplattform (n8n) an unser CRM-System (Pipedrive) übermittelt. Eine rechtsverbindliche Entscheidung erfolgt nicht ausschließlich automatisiert — Art. 22 DSGVO findet keine Anwendung.

Zweck: Vorqualifizierung, Vertragsanbahnung, Terminkoordination

Rechtsgrundlage: Vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Speicherdauer: 6 Monate nach letzter Kommunikation, danach Löschung oder Überführung in Archiv gemäß gesetzlicher Aufbewahrungspflicht

4.3 Kontaktaufnahme per E-Mail oder Telefon

Bei direkter Kontaktaufnahme per E-Mail oder Telefon speichern wir Name, Kontaktdaten und den Inhalt der Kommunikation. Eingehende Anfragen können KI-gestützt vorsortiert werden. Eine rechtsverbindliche Kommunikation erfolgt ausschließlich nach menschlicher Prüfung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO

Speicherdauer: 6 Monate nach Abschluss des Geschäftsfalls

4.4 Newsletter-Versand

Wenn du den Newsletter "Cut the Prompt — KI verstehen" abonnierst, erfassen wir deine E-Mail-Adresse sowie das Datum der Anmeldung. Mit Klick auf "Abonnieren" wirst du sofort in unseren Verteiler aufgenommen. Du kannst dich jederzeit über den Abmelde-Link in jeder Newsletter-E-Mail austragen.

Wir nutzen Ghost (Magic Pages Ltd., 3 Fraser Street, #05-25 Duo Tower, Singapur 189352) als Newsletter-Service. E-Mail-Adresse und Subscribe-Datum werden auf den Servern von Magic Pages Ltd. gespeichert. Mit Magic Pages Ltd. besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Zweck: Versand des wöchentlichen Briefings "Cut the Prompt — KI verstehen"

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Speicherdauer: Bis zum Widerruf deiner Einwilligung. Du kannst dich jederzeit über den Abmeldelink in jeder Newsletter-E-Mail austragen.

Datenübermittlung: Singapur — Grundlage: EU-Standardvertragsklauseln

Datenschutzerklärung Ghost: ghost.org/privacy ↗

4.5 Cookies und Tracking

Unsere Website verwendet Cookies und ähnliche Technologien. Beim ersten Besuch wird dir ein Cookie-Banner angezeigt, über den du gezielt zustimmen oder ablehnen kannst. Deine Wahl wird über unsere Consent-Management-Plattform Cookiebot im Cookie CookieConsent gespeichert. Du kannst deine Einwilligung jederzeit über den Cookie-Banner widerrufen.

Wir unterscheiden folgende Cookie-Kategorien:

• Technisch notwendig: Ohne Einwilligung — z. B. Consent-Status, Sicherheits-Tokens
• Analyse: Mit Einwilligung — Google Analytics (Messung der Website-Nutzung)
• Marketing: Mit Einwilligung — Meta Pixel, TikTok Pixel (Werbeerfolg und Remarketing)

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Analyse- und Marketing-Cookies; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für technisch notwendige Cookies

5. Eingesetzte Dienste und Auftragsverarbeiter

Wir setzen folgende Drittanbieter ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

5.1 Vercel — Hosting, Analytics & Speed Insights

Unsere Website wird auf der Plattform von Vercel betrieben. Vercel erfasst beim Seitenaufruf technische Daten (IP-Adresse, Browser, Gerät) für den Betrieb und optional für Performancemessungen.

Zusätzlich setzen wir Vercel Analytics und Vercel Speed Insights ein. Diese Dienste messen anonymisiert Seitenaufrufe und Ladezeiten ohne personenbezogene Profile zu erstellen.

5.2 Google Tag Manager

Wir verwenden den Google Tag Manager (Container-ID: GTM-PBLTJ29R). Der Tag Manager selbst verarbeitet keine personenbezogenen Daten — er lädt und verwaltet lediglich andere Skripte. Die Aktivierung von Analyse- und Marketing-Tags erfolgt erst nach deiner Einwilligung (Consent Mode v2). Vor deiner Entscheidung bleiben alle nicht-notwendigen Tags deaktiviert.

5.3 Google Analytics 4

Mit deiner Einwilligung wird Google Analytics 4 über den Tag Manager aktiviert. Google Analytics misst, wie Besucher unsere Website nutzen (aufgerufene Seiten, Verweildauer, Herkunft). Die IP-Adresse wird vor der Speicherung anonymisiert. Es werden keine personenbezogenen Profile mit anderen Google-Diensten verknüpft.

Du kannst der Datenerfassung durch Google Analytics widersprechen, indem du im Cookie-Banner nur "Notwendige" auswählst oder das Google Analytics Opt-out Browser-Add-on ↗ installierst.

5.4 Google Ads (Conversion Tracking & Remarketing)

Mit deiner Einwilligung setzen wir Google Ads Tags ein. Diese messen, ob Besucher nach dem Klick auf eine Google-Anzeige eine gewünschte Aktion auf unserer Website durchgeführt haben (Conversion Tracking), und ermöglichen die Ausspielung von Remarketing-Anzeigen an frühere Website-Besucher auf Google-Plattformen.

5.5 Meta Pixel (Facebook / Instagram)

Mit deiner Einwilligung setzen wir den Meta Pixel ein. Dieser ermöglicht es uns, den Erfolg von Werbekampagnen auf Facebook und Instagram zu messen und Zielgruppen für Remarketing zu bilden. Der Pixel erfasst dabei dein Verhalten auf unserer Website (z. B. aufgerufene Seiten, Formularinteraktionen) und übermittelt diese Daten an Meta.

Meta kann diese Daten mit deinem Facebook-/Instagram-Profil verknüpfen, wenn du dort eingeloggt bist. Darauf haben wir keinen Einfluss. Informationen dazu findest du in der Datenschutzerklärung von Meta.

5.6 TikTok Pixel

Mit deiner Einwilligung setzen wir den TikTok Pixel ein. Dieser misst Conversions aus TikTok-Werbekampagnen und ermöglicht Remarketing an Personen, die unsere Website besucht haben. Der Pixel übermittelt Nutzungsdaten an TikTok.

5.7 Hotjar — Session Recording

Mit deiner Einwilligung setzen wir Hotjar ein. Hotjar zeichnet anonymisiert auf, wie Besucher mit unserer Website interagieren (Mausbewegungen, Klicks, Scrolltiefe). Ziel ist die Verbesserung der Nutzerfreundlichkeit. Hotjar verwendet dabei Cookies und erfasst technische Gerätedaten sowie die IP-Adresse (anonymisiert).

5.8 Pipedrive — CRM

Leads aus dem Erstgespräch-Formular werden in unser CRM-System Pipedrive übertragen. Dort werden Name, Kontaktdaten und Gesprächsnotizen für die Kundenbetreuung und Vertragsanbahnung gespeichert.

5.9 n8n — Automatisierungsplattform

Wir nutzen n8n Cloud zur Automatisierung interner Abläufe. Lead-Daten aus dem Formular werden über n8n weitergeleitet und verarbeitet (z. B. Übergabe an Pipedrive, interne Benachrichtigungen).

5.10 Neon — Datenbankhosting

Lead-Daten aus dem Erstgespräch-Formular werden in einer serverless PostgreSQL-Datenbank bei Neon gespeichert. Der Zugriff auf diese Daten ist auf autorisierte Systeme beschränkt.

5.11 Ghost — Newsletter-Service

Für den Versand des Newsletters "Cut the Prompt — KI verstehen" nutzen wir Ghost Pro. E-Mail-Adressen von Newsletter-Abonnenten werden auf den Servern von Magic Pages Ltd. gespeichert. Ghost versendet die Briefings und stellt Abmelde-Links in jeder E-Mail bereit.

5.12 Sanity — Content Management

Blog-Artikel und redaktionelle Inhalte unserer Website werden über das Headless-CMS Sanity ausgeliefert. Beim Abruf von Inhalten stellt dein Browser eine Verbindung zum Sanity CDN her. Es werden dabei keine personenbezogenen Daten durch Sanity erhoben oder gespeichert.

5.13 PostHog — Produktanalyse (clientseitig und serverseitig)

Wir setzen PostHog in zwei Betriebsmodi ein:

a) Clientseitige Nutzung (consent-gated): Mit deiner Einwilligung über den Cookie-Banner wird das PostHog-Browser-SDK aktiviert. Es erfasst anonymisierte Nutzungsdaten (aufgerufene Seiten, Klick-Events, Session-Eigenschaften) und überträgt diese an unsere EU-PostHog-Instanz. Ohne deine Einwilligung bleibt das SDK deaktiviert.

b) Serverseitige Nutzung (berechtigtes Interesse): Zusätzlich zur clientseitigen Nutzung verwenden wir PostHog serverseitig für interne Betriebsstatistiken — insbesondere zur Auswertung des Erstgespräch-Funnels. Wenn du das mehrstufige Erstgespräch-Formular vollständig ausgefüllt hast, wird ein lead_created-Event übermittelt. Dieses enthält eine pseudonymisierte Lead-ID sowie aggregierte Geschäftskennzahlen in Kategorieform (Umsatzkategorie, Mitarbeiter-Größenklasse, Budget-Range) und UTM-Herkunftsparameter. Es werden keine Klartextnamen, E-Mail-Adressen oder Telefonnummern übermittelt. Diese serverseitige Verarbeitung erfolgt unabhängig von deiner Cookie-Einwilligung.

5.14 Cookiebot — Consent-Management

Wir nutzen Cookiebot zur Einholung, Verwaltung und Protokollierung deiner Cookie-Einwilligung. Cookiebot zeigt den Cookie-Banner an, speichert deine Einwilligungsentscheidung und führt darüber ein Einwilligungsprotokoll. Verarbeitet werden dabei eine gekürzte (anonymisierte) IP-Adresse, technische Browserdaten sowie der Zeitpunkt und der Inhalt deiner Einwilligung.

5.15 Resend — E-Mail-Versand

Für den transaktionalen E-Mail-Versand im Zusammenhang mit dem Erstgespräch-Formular nutzen wir Resend. Wenn du eine Anfrage über unser Formular stellst, verarbeitet Resend deinen Namen, deine E-Mail-Adresse sowie deine Telefonnummer, um eine Eingangsbestätigung an dich und eine interne Benachrichtigung an uns zu versenden. Mit Resend Inc. besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

5.16 Upstash — Rate-Limiting (Redis)

Zum Schutz unserer Formulare vor Missbrauch und automatisierten Massenanfragen setzen wir Upstash Redis als Rate-Limiting-Dienst ein. Dabei wird deine IP-Adresse für die Dauer des gleitenden Zeitfensters (max. 60 Sekunden) als Schlüssel im Redis-Speicher abgelegt, um die Anzahl der Anfragen pro IP zu begrenzen. IP-Adressen gelten als personenbezogene Daten gemäß DSGVO. Mit Upstash Inc. besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

6. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienste übermitteln Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA. Wir stellen dabei sicher, dass ein angemessenes Datenschutzniveau besteht durch:

• EU-US Data Privacy Framework: Für Anbieter, die nach diesem Abkommen zertifiziert sind (u. a. Vercel, Google)
• EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO für alle übrigen Drittlandübertragungen
• Ergänzende technische Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung und Zugriffsbeschränkungen, soweit technisch möglich

7. Rechtsgrundlagen im Überblick

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Analyse- und Marketing-Cookies, Newsletter
• Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung / -erfüllung: Erstgespräch-Formular, Angebotserstellung, Kundenkommunikation
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungsdaten (7 Jahre)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Hosting, technisch notwendige Cookies, Systemsicherheit, interne Automatisierung, serverseitiges PostHog-Tracking (pseudonymisiert, EU-Infrastruktur)

8. Speicherdauer

• Server-Logdaten: 14 Tage
• Erstgespräch-Leads (Datenbank): 6 Monate nach letzter Kommunikation
• CRM-Daten (Pipedrive): bis zur Löschanforderung oder nach internem Löschkonzept
• Newsletterdaten: bis zum Widerruf der Einwilligung
• Rechnungs- und Buchhaltungsdaten: 7 Jahre (gesetzliche Pflicht)
• Cookie-Einwilligung (CookieConsent, Cookiebot): 12 Monate
• Google Analytics: 14 Monate

9. Deine Rechte laut DSGVO

Du hast gegenüber uns jederzeit folgende Rechte:

• Auskunft (Art. 15 DSGVO) — welche Daten wir über dich speichern
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) — "Recht auf Vergessenwerden"
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) — insbesondere gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf einer Einwilligung — jederzeit mit Wirkung für die Zukunft

Zur Ausübung deiner Rechte wende dich an: office@optimusflow.consulting

Du hast außerdem das Recht, dich bei der österreichischen Datenschutzbehörde zu beschweren:

10. Datensicherheit

Unsere Website wird ausschließlich über HTTPS (TLS-Verschlüsselung) ausgeliefert. Zusätzlich setzen wir folgende Maßnahmen ein:

• Rollenbasierte Zugriffsbeschränkungen auf Systeme und Datenbanken
• Verschlüsselung sensibler Daten in der Datenbank
• Regelmäßige Sicherheitsupdates der eingesetzten Software
• Eingeschränkter Kreis autorisierter Personen mit Datenzugriff

11. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, wenn sich unsere Datenverarbeitungen oder rechtliche Anforderungen ändern. Bei wesentlichen Änderungen informieren wir über die Website. Es gilt jeweils die auf der Website veröffentlichte aktuelle Version.