Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Dominic Ferdinand Ahrer (Einzelunternehmen)
Handelsname: LeadsSuite
Altdorferstraße 3a
4050 Traun, Österreich

UID-Nr.: ATU72487739
Mitglied der Wirtschaftskammer Österreich
E-Mail: office@leadssuite.app

2. Welche Daten wir erheben

Im Rahmen der Nutzung der Plattform „LeadsSuite" verarbeiten wir folgende Kategorien personenbezogener Daten:

2.1 Kontodaten

Bei der Registrierung und Kontoverwaltung: Name, E-Mail-Adresse, Profilbild (optional), Organisationszugehörigkeit, Rolle innerhalb der Organisation, Authentifizierungsdaten (gehashte Passwörter oder OAuth-Token).

2.2 Lead- und Geschäftsdaten

Vom Kunden eingegebene oder importierte Daten über dessen Geschäftskontakte: Firmenname, Ansprechpartner (Name, Position), Anschrift, Telefonnummer, E-Mail-Adresse, Website, Branche, sowie durch KI-Anreicherung ergänzte Daten (z. B. Geschlecht, Unternehmensanalyse, Social-Media-Profile).

2.3 Nutzungsdaten

Technische Daten, die bei der Nutzung der Plattform automatisch anfallen: IP-Adresse, Browser-Typ und -Version, Betriebssystem, Zeitpunkt des Zugriffs, aufgerufene Seiten, Referrer-URL, sowie Interaktionsdaten innerhalb der Plattform (z. B. Anrufprotokolle, Briefversand-Aktivitäten, Pipeline-Aktionen).

2.4 Zahlungsdaten

Abrechnungsrelevante Daten werden über unseren Zahlungsdienstleister Stripe verarbeitet. Wir selbst speichern keine vollständigen Kreditkartennummern oder Bankdaten. Wir erhalten von Stripe lediglich eine Referenz-ID, den Zahlungsstatus sowie die letzten vier Ziffern der Zahlungsmethode.

3. Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:

  • Bereitstellung der SaaS-Plattform: Registrierung, Authentifizierung, Organisationsverwaltung, Lead-Management, Anrufprotokollierung, Briefgenerierung und -versand, Workflow-Automatisierung.
  • Abrechnung und Zahlungsabwicklung: Verwaltung von Abonnements, Credit-Verbrauch und Rechnungsstellung über Stripe.
  • KI-gestützte Anreicherung und Textgenerierung: Analyse von Lead-Daten und Websites zur automatisierten Datenanreicherung, Generierung personalisierter Geschäftsbriefe und Fact-Checking mittels KI.
  • Kommunikation: Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen, Passwortzurücksetzung).
  • Verbesserung der Plattform: Analyse anonymisierter Nutzungsdaten zur Weiterentwicklung und Fehlerbehebung.
  • Sicherheit: Schutz vor Missbrauch, unbefugtem Zugriff und Betrug.

4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung des Nutzungsvertrages (SaaS-Bereitstellung, Abrechnung, Kontoverwaltung) erforderlich.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Wir haben ein berechtigtes Interesse an der Sicherstellung der Plattformsicherheit, der Betrugsprävention und der Verbesserung unserer Dienste. Das berechtigte Interesse unserer Kunden an postalischer B2B-Direktwerbung bildet die Grundlage für die Briefversandfunktion.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit wir für bestimmte Verarbeitungen die Einwilligung einholen (z. B. DSGVO-Zustimmung für Briefversand, optionale Analysen), ist die Einwilligung Rechtsgrundlage. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit wir gesetzlichen Aufbewahrungspflichten unterliegen (z. B. steuerrechtliche Aufbewahrung von Rechnungsdaten).

5. Drittanbieter und Auftragsverarbeiter

Zur Erbringung unserer Dienste setzen wir folgende Drittanbieter als Auftragsverarbeiter oder eigenverantwortliche Dienstleister ein:

Supabase, Inc.

Zweck: Datenbank-Hosting, Authentifizierung, Echtzeit-Synchronisation, Dateispeicherung. Sitz: USA. Datenschutzgarantie: EU-Standardvertragsklauseln (SCCs). Die Daten werden auf Servern in der EU gespeichert.

Stripe, Inc.

Zweck: Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung. Sitz: USA. Stripe ist PCI DSS Level 1 zertifiziert. Datenschutzgarantie: EU-Standardvertragsklauseln (SCCs), Data Processing Agreement.

OpenAI, Inc.

Zweck: KI-gestützte Textgenerierung (Briefgenerierung, Fact-Checking, Lead-Analyse) sowie Transkription von Anrufaufzeichnungen (Whisper-Sprache-zu-Text). Sitz: USA. Die Verarbeitung erfolgt ausschließlich über die API. Gemäß den API-Nutzungsbedingungen von OpenAI werden über die API gesendete Daten nicht zum Training der KI-Modelle verwendet. Datenschutzgarantie: Data Processing Addendum, EU-SCCs.

Anthropic, PBC

Zweck: KI-gestützte Generierung kurzer brancheneinschlägiger Textbausteine für die Briefpersonalisierung (Claude). Übermittelt werden hierfür lediglich Firmenname und Branche des Empfängers. Sitz: USA. Die Verarbeitung erfolgt ausschließlich über die API; über die API gesendete Daten werden nicht zum Training der Modelle verwendet. Datenschutzgarantie: Data Processing Addendum, EU-SCCs.

Pingen AG

Zweck: Physischer Briefdruck und Postversand. Sitz: Schweiz. Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO. Für die Übermittlung personenbezogener Daten an Pingen ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) durch den Kunden erforderlich.

Cloudflare, Inc.

Zweck: Verschlüsselte Zwischenspeicherung der generierten Briefdokumente (PDF) vor dem Druck- und Versandauftrag. Die gespeicherten Dokumente enthalten Name und Anschrift des Briefempfängers. Die Speicherung erfolgt in einem privaten, ausschließlich serverseitig zugänglichen Objektspeicher („R2“) mit Speicherort in der Europäischen Union. Die Dokumente werden nach Abschluss des Versandprozesses bzw. nach Ablauf der Aufbewahrungsfrist gelöscht. Sitz des Anbieters: USA. Datenschutzgarantie: EU-Standardvertragsklauseln (SCCs), Data Processing Addendum.

Vercel, Inc.

Zweck: Hosting und Bereitstellung der Web-Applikation, Edge-Functions. Sitz: USA. Datenschutzgarantie: EU-Standardvertragsklauseln (SCCs), Data Processing Addendum.

Google LLC

Zweck: OAuth-Authentifizierung (Google Sign-In), Google Places API (Adressdaten), Google Docs (Briefvorlagen). Sitz: USA. Datenschutzgarantie: EU-Standardvertragsklauseln (SCCs), EU-US Data Privacy Framework.

Firecrawl (Mendable AI, Inc.)

Zweck: Automatisiertes Auslesen öffentlich zugänglicher Unternehmenswebsites zur Anreicherung von Lead-Daten. Dabei können auf der Website veröffentlichte personenbezogene Daten (z. B. Namen und Kontaktdaten aus Impressum oder Team-Seiten) miterfasst werden. Sitz: USA. Datenschutzgarantie: Data Processing Agreement, EU-SCCs.

Resend, Inc.

Zweck: Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen, Passwortzurücksetzung). Die E-Mail-Adressen der Empfänger werden ausschließlich zum Zweck der Zustellung verarbeitet. Datenschutzgarantie: Data Processing Agreement.

Postmark (Wildbit, LLC / ActiveCampaign, LLC)

Zweck: Verarbeitung eingehender E-Mails (Inbound-Parsing) für den E-Mail-basierten Datenimport. Verarbeitet werden hierbei die E-Mail-Adresse des Absenders sowie eine organisationsbezogene Zuordnungskennung. Diese Funktion befindet sich derzeit in Vorbereitung und ist noch nicht aktiv. Sitz: USA. Datenschutzgarantie: Data Processing Agreement, EU-Standardvertragsklauseln (SCCs).

6. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und lokale Speichermechanismen, die für den Betrieb der Plattform unerlässlich sind:

  • Authentifizierungs-Cookie (Session): Speichert die aktive Benutzersitzung nach dem Login. Ohne dieses Cookie ist eine Nutzung der Plattform nicht möglich.
  • CSRF-Token: Schützt vor Cross-Site-Request-Forgery-Angriffen bei Formularübermittlungen.

Wir verwenden keine Marketing-Cookies, Tracking-Cookies oder Analyse-Tools von Drittanbietern (kein Google Analytics, kein Facebook Pixel o. Ä.). Eine Einwilligung gemäß Art. 5 Abs. 3 der ePrivacy-Richtlinie ist daher nicht erforderlich.

7. Betroffenenrechte

Als betroffene Person haben Sie gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen, einschließlich Zweck, Kategorien, Empfänger und Speicherdauer.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern kein gesetzlicher Aufbewahrungsgrund entgegensteht. Bei Kontolöschung werden alle Daten innerhalb von 30 Tagen unwiderruflich gelöscht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, z. B. wenn die Richtigkeit der Daten bestritten wird.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, soweit die Verarbeitung auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

8. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist:

  • Kontodaten: Für die Dauer der Vertragsbeziehung. Nach Kontolöschung werden die Daten innerhalb von 30 Tagen gelöscht.
  • Lead-Daten: Für die Dauer der Organisationsmitgliedschaft. Bei Löschung der Organisation werden alle Lead-Daten innerhalb von 30 Tagen unwiderruflich gelöscht.
  • Rechnungsdaten: 7 Jahre gemäß den österreichischen steuerrechtlichen Aufbewahrungspflichten (§ 132 BAO).
  • Nutzungsdaten: Maximal 12 Monate, danach anonymisiert oder gelöscht.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten gemäß Art. 32 DSGVO, insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS/HTTPS
  • Mandantenfähige Datenisolierung mittels Row-Level Security (RLS) auf Datenbankebene
  • Rollenbasierte Zugriffskontrolle innerhalb der Plattform
  • Verschlüsselte Speicherung sensibler Daten
  • Regelmäßige Sicherheitsüberprüfungen und Updates

10. Kontakt für Datenschutzanfragen

Für alle Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder bei Beschwerden wenden Sie sich bitte an:

Dominic Ferdinand Ahrer (LeadsSuite)
Altdorferstraße 3a
4050 Traun, Österreich
E-Mail: office@leadssuite.app

Wir bemühen uns, Ihre Anfrage innerhalb von 30 Tagen zu beantworten.

11. Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde in Österreich ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich

Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Funktionen der Plattform anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie gesondert informieren.