Datenschutzerklärung
Informationen zum Umgang mit Ihren personenbezogenen Daten
1. Einleitung und Verantwortlicher
Der Schutz Ihrer persönlichen Daten ist für uns von besonderer Bedeutung. In dieser Datenschutzerklärung informieren wir Sie ausführlich über den Umgang mit Ihren Daten beim Besuch unserer Website und der Nutzung unserer Dienste.
Verantwortlicher im Sinne der DSGVO:
Origin Labs
Karl-Marx-Weg 20
06242 Krumpa
Deutschland
Inhaber: Hannes Werner
E-Mail: info@origin-labs.de
Telefon: +49 152 03037738
2. Grundlagen der Datenverarbeitung
Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO: Einwilligung des Betroffenen
- Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
- Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen zur Wahrung unserer Geschäftsinteressen
- Art. 6 Abs. 1 lit. c DSGVO: Erfüllung rechtlicher Verpflichtungen
3. Erhebung und Speicherung personenbezogener Daten
3.1 Beim Besuch der Website
Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
Die genannten Daten werden zur Gewährleistung eines reibungslosen Verbindungsaufbaus, einer komfortablen Nutzung unserer Website sowie zur Auswertung der Systemsicherheit und -stabilität verarbeitet.
3.2 Bei Nutzung unseres Kontaktformulars
Bei Fragen jeglicher Art bieten wir Ihnen die Möglichkeit, mit uns über ein auf der Website bereitgestelltes Formular Kontakt aufzunehmen. Dabei ist die Angabe einer gültigen E-Mail-Adresse erforderlich, damit wir wissen, von wem die Anfrage stammt und um diese beantworten zu können. Weitere Angaben können freiwillig getätigt werden. Die für die Benutzung des Kontaktformulars erhobenen personenbezogenen Daten werden nach Erledigung der von Ihnen gestellten Anfrage automatisch gelöscht.
3.3 Bei Vertragsschluss
Zur Durchführung eines Vertrags erheben wir folgende personenbezogene Daten:
- Vor- und Nachname
- Anschrift (bei Bedarf)
- E-Mail-Adresse
- Telefonnummer (falls angegeben)
- Zahlungsdaten (abhängig vom gewählten Zahlungsverfahren)
Die personenbezogenen Daten, die wir für die Durchführung des Vertrags verarbeiten, werden bis zum Ablauf der gesetzlichen Aufbewahrungspflicht (in der Regel 10 Jahre nach Vertragsende) gespeichert und anschließend gelöscht.
4. Weitergabe von Daten
Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt.
Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
- Sie Ihre ausdrückliche Einwilligung dazu erteilt haben (Art. 6 Abs. 1 lit. a DSGVO)
- die Weitergabe zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO)
- dies für die Abwicklung von Vertragsverhältnissen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO)
Zahlungsdienstleister: Zur Abwicklung von Zahlungsvorgängen geben wir Ihre Zahlungsdaten an das mit dem Zahlungsvorgang beauftragte Kreditinstitut weiter.
5. Verwendung von Cookies
Wir setzen auf unserer Seite Cookies ein. Hierbei handelt es sich um kleine Dateien, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Seite besuchen. Cookies richten auf Ihrem Endgerät keinen Schaden an, enthalten keine Viren, Trojaner oder sonstige Schadsoftware.
Der Einsatz von Cookies dient dazu, die Nutzung unseres Angebots für Sie angenehmer zu gestalten. So setzen wir Session-Cookies ein, um zu erkennen, dass Sie einzelne Seiten unserer Website bereits besucht haben. Diese werden nach Verlassen unserer Seite automatisch gelöscht.
Die meisten Browser akzeptieren Cookies automatisch. Sie können Ihren Browser jedoch so konfigurieren, dass keine Cookies auf Ihrem Computer gespeichert werden. Die vollständige Deaktivierung von Cookies kann jedoch dazu führen, dass Sie nicht alle Funktionen unserer Website nutzen können.
6. Analyse-Tools
Die nachfolgend aufgeführten Tracking-Maßnahmen werden auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO durchgeführt. Mit den zum Einsatz kommenden Tracking-Maßnahmen wollen wir eine bedarfsgerechte Gestaltung und die fortlaufende Optimierung unserer Webseite sicherstellen.
Server-Logfiles
Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch an uns übermittelt. Dies sind Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Speicherdauer: Die Server-Logs (insbesondere IP-Adresse, User-Agent und Request-URL) werden bei unserem Hosting-Anbieter Vercel Inc. für maximal 30 Tage vorgehalten und anschließend automatisiert gelöscht (Stand der Vercel-Plattform-SLA, Mai 2026). Edge-Logs werden bereits nach wenigen Stunden rotiert. Eine längere Aufbewahrung erfolgt nur, sofern dies zur Aufklärung eines konkreten Sicherheitsvorfalls erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO).
7. Betroffenenrechte
Sie haben das Recht:
- Art. 15 DSGVO gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen
- Art. 16 DSGVO gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen
- Art. 17 DSGVO gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen
- Art. 18 DSGVO gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen
- Art. 20 DSGVO gemäß Art. 20 DSGVO Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten
- Art. 22 DSGVO gemäß Art. 22 DSGVO nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt
- Art. 7 Abs. 3 DSGVO gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen
- Art. 77 DSGVO gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren
8. Widerspruchsrecht
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an info@origin-labs.de.
9. Automatisierte Lead-Bewertung (Profiling)
Im internen Vertriebsprozess setzen wir eine KI-gestützte Lead-Bewertung ein. Auf Basis Ihrer Anfrage- und Interaktionsdaten (Quelle der Anfrage, Stage-Verlauf, Anzahl Konfigurationen/Anfragen, E-Mail-Engagement, interne Notizen) berechnen wir einen numerischen Score zwischen 0 und 100, der die Wahrscheinlichkeit eines Vertragsabschlusses einschätzt. Diese Verarbeitung stellt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar.
Zweck und Rechtsgrundlage: Vertriebliche Priorisierung (welche Leads werden zuerst kontaktiert). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Vertriebsbearbeitung). Eine Interessenabwägung haben wir vorgenommen.
Keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung: Der Score ist ein internes Hilfsmittel ohne unmittelbare rechtliche Wirkung Ihnen gegenüber. Es gibt keine automatische Ablehnung, Bevorzugung oder Vertragsentscheidung — die Entscheidung über Kontaktaufnahme, Angebot oder Vertragsabschluss trifft immer ein Mensch. Damit liegt kein Anwendungsfall des Art. 22 Abs. 1 DSGVO vor.
Recht auf manuelle Korrektur und Löschung: Sie können jederzeit eine manuelle Korrektur oder vollständige Löschung Ihres Lead-Scores anfordern. Die Löschung umfasst den Score, die textuelle Begründung, die berücksichtigten Signale sowie das Confidence-Level. Eine entsprechende Anfrage richten Sie bitte an info@origin-labs.de.
Datenübertragung in die USA: Für die KI-gestützte Bewertung übermitteln wir die für die Score-Berechnung relevanten Datenpunkte an OpenAI, OpenAI OpCo, LLC (3180 18th Street, San Francisco, CA 94110, USA). OpenAI ist nach dem EU-US Data Privacy Framework (Adäquanzbeschluss der EU-Kommission vom 10.07.2023) zertifiziert; ergänzend besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO einschließlich der EU-Standardvertragsklauseln. Über die OpenAI-API eingegebene Daten werden nicht zum Training der OpenAI-Modelle verwendet (API-Default Stand 2026-05).
Interne Wissensbasis-Anfragen: Im internen Admin-Bereich (/admin/ai-suite/wissensbasis) können autorisierte Mitarbeitende natürlichsprachliche Fragen an einen KI-Assistenten stellen. Wird eine Frage abgeschickt, kann der Assistent — abhängig vom Inhalt — Datenpunkte aus unserer Datenbank an OpenAI übertragen (z.B. Kontaktnamen, Firmennamen, E-Mail-Adressen, Rechnungsnummern, Stage- und Score-Daten). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter interner Wissensabfrage). Empfänger, Datenschutz-Rahmen und AVV entsprechen den oben für die Lead-Bewertung beschriebenen Bedingungen. Eine Übertragung erfolgt nur ad-hoc bei aktiver Anfrage durch einen autorisierten Mitarbeitenden, nicht automatisch oder im Hintergrund.
10. Datensicherheit
Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Ob eine einzelne Seite unserer Internetpräsenz verschlüsselt übertragen wird, erkennen Sie an der geschlossenen Darstellung des Schloss-Symbols in der Statusleiste Ihres Browsers.
Wir bedienen uns im Übrigen geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen.
11. Eingesetzte Dienstleister und Empfänger
Im Rahmen unserer Verarbeitungstätigkeiten setzen wir die folgenden Auftragsverarbeiter und Empfänger ein. Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Übermittlungen in Drittländer (insbesondere USA) erfolgen auf Grundlage des EU-US Data Privacy Framework (DPF) sowie ergänzender Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.
| Anbieter | Zweck | Sitz / Standort | Übermittlungsmechanismus |
|---|---|---|---|
| Vercel Inc. | Hosting, Edge Network, Server-Logs (max. 30 Tage Aufbewahrung, dann automatisierte Löschung) | USA / EU-Region (FRA) | EU-US DPF + SCC + AVV |
| Supabase Inc. | Datenbank, Authentifizierung, Storage, Realtime | EU (eu-central-1, Frankfurt) | AVV (Mutterfirma USA, SCC für ggf. Drittlandzugriffe) |
| Resend, Inc. | Transaktionaler E-Mail-Versand (Bestätigungen, Mahnungen, Newsletter) | USA | EU-US DPF + SCC + AVV |
| OpenAI, L.L.C. | KI-Auftragsverarbeiter für sämtliche backendseitigen KI-Funktionen (Lead-Scoring, Wissensbasis, Brand-Voice-Audit, Content-Generierung). Keine Trainingsnutzung der API-Daten. | USA | EU-US DPF + DPA |
| DeepL SE | Inhaltsübersetzung (interne Pflege mehrsprachiger Inhalte) | EU (Köln, Deutschland) | AVV (EU-intern) |
| Cloudflare, Inc. | DNS-Resolver (MX-Validierung der eingereichten E-Mail-Domain bei Konfigurator/Relaunch). Keine Inhalts- oder Identifikationsdaten. | USA / globales Anycast-Netzwerk | EU-US DPF + SCC |
| Google LLC (Google Maps Embed, Google Places API, Google Reviews) | Anzeige Standort-Karte und Einbindung Google-Unternehmensprofile / -bewertungen auf öffentlichen Seiten | USA / weltweit | EU-US DPF |
| Meta Platforms Ireland Ltd. (Instagram, Facebook) | Social-Media-Publishing aus dem internen Backend, OAuth-Authentifizierung (admin-only) | Irland / USA | EU-US DPF + AVV |
| Google LLC (Google Calendar) | Synchronisation gebuchter Termine mit dem Geschäfts-Kalender (admin-only) | USA | EU-US DPF + AVV |
| IMAP-Postfach-Anbieter (z.B. 1&1 IONOS SE, Microsoft Ireland Operations Ltd., Google Ireland Ltd. — je nach im Admin konfiguriertem Postfach) | Empfang eingehender Geschäftsmails an unsere Postfächer. Verarbeitungs- und Aufbewahrungslogik im Detail unter §12.5. | EU bzw. USA — anbieterabhängig | AVV (EU-Anbieter) bzw. EU-US DPF + SCC (US-Anbieter) |
12. Public-Document-Viewer, Fragen-Funktion und Newsletter
12.1 Annahme von Angeboten über Magic-Link (/dokument/[token] und /a/[jwt])
Wenn Sie ein Angebot über den Ihnen per E-Mail zugesandten Link annehmen, erfassen wir Vorname, Nachname, Firma und einen optionalen Kommentar. Zur Beweissicherung des Vertragsabschlusses (§ 126b BGB Textform) speichern wir zusätzlich Ihre IP-Adresse und den User-Agent Ihres Browsers. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung). IP-Adresse und User-Agent werden nach 90 Tagen automatisch entfernt; die übrigen Acceptor-Daten werden bis zur Erfüllung des Vertrags und anschließend für die handels- und steuerrechtlichen Aufbewahrungsfristen (i.d.R. 10 Jahre nach AO/HGB) gespeichert.
12.2 Frage-Funktion zu einem Angebot
Im Public-Document-Viewer können Sie Rückfragen zu einem Angebot stellen. Wir erfassen Vorname (Pflicht), E-Mail-Adresse (Pflicht, für unsere Antwort), optional Nachname und Firma sowie den Inhalt Ihrer Frage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO (vorvertraglicher Kontakt). Die Daten werden bis zur Klärung der Frage und anschließend bis zu 6 Monate gespeichert; danach werden bearbeitete oder verworfene Fragen automatisch gelöscht.
12.3 Newsletter mit einmaligem Rabattcode
Bei Anmeldung zum Newsletter erfassen wir Ihre E-Mail-Adresse und nutzen ein Double-Opt-In-Verfahren: Sie erhalten eine Bestätigungsmail mit Aktivierungslink. Erst nach Klick auf diesen Link erhalten Sie unseren Newsletter und einen einmaligen Rabattcode. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können sich jederzeit über den Abmeldelink in jeder E-Mail abmelden; nach Widerruf wird die Adresse für maximal 3 Jahre in einer Suppression-Liste gehalten, um den Widerruf nachweisen zu können (Art. 7 Abs. 1 DSGVO).
12.4 Reichweitenmessung (Page-Views, Click-Tracking)
Wir messen Reichweite ausschließlich nach Ihrer Einwilligung im Cookie-Banner (Kategorie Statistik). Erfasst werden Seitenpfad, Quelle (z.B. google oder direct), Referrer-Domain und ein generalisierter Browser-Typ (z.B. Windows / Chrome). Es werden weder IP-Adressen noch eindeutige Geräte-IDs gespeichert. Speicherdauer: 12 Monate. Click-Tracking auf von uns generierten Tracking-Links (/api/track/[slug]) speichert einen IP-Hash mit täglich rotierendem Salt — die ursprüngliche IP kann daraus nicht rekonstruiert werden. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. lit. f (berechtigtes Interesse an Reichweitenmessung beim Click-Tracking).
12.5 Mail-Empfang aus E-Mail-Postfächern
Wenn Sie uns eine E-Mail an eine unserer Geschäftsadressen schreiben, empfangen wir Ihre Nachricht per IMAP aus dem jeweiligen Postfach (je nach interner Konfiguration z.B. IONOS, Microsoft Outlook 365 oder Google Gmail). Wir speichern Absender (Name und E-Mail-Adresse), Empfänger, Betreff, den vollständigen Nachrichten-Inhalt (Text- und HTML-Variante) sowie beigefügte Dateianhänge in unserer Datenbank und einem privaten, ausschließlich serverseitig zugänglichen Storage-Bucket. Antworten verlassen unseren Server über den E-Mail-Provider Resend (Resend Inc., USA, EU-US Data Privacy Framework — siehe §11): Sender-Adresse ist info@origin-labs.de, Antworten gehen automatisch an das ursprünglich angeschriebene Postfach zurück. Antwort-Mails werden in derselben Tabelle wie eingehende Mails persistiert und unterliegen denselben Speicherfristen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO (Vertragsanbahnung bzw. berechtigtes Interesse an reibungsloser Geschäftskommunikation). Mails von Geschäftspartnern, denen wir intern einen CRM-Kontakt zuordnen, unterliegen den handels- und steuerrechtlichen Aufbewahrungsfristen (i.d.R. 6 Jahre nach § 257 HGB / § 147 AO). Nicht zugeordnete und vom Operator als erledigt markierte (archivierte) Mails löschen wir automatisch 90 Tage nach Empfang inklusive aller Anhänge.
13. Kontakt für Datenschutzangelegenheiten
Bei Fragen zum Datenschutz können Sie sich jederzeit an uns wenden:
Origin Labs
Karl-Marx-Weg 20
06242 Krumpa
Deutschland
E-Mail: info@origin-labs.de
Telefon: +49 152 03037738
Bei Beschwerden können Sie sich auch an die für uns zuständige Aufsichtsbehörde wenden:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Sachsen-Anhalt
Leiterstraße 9
39104 Magdeburg
Telefon: 0391 81803-0
E-Mail: poststelle@lfd.sachsen-anhalt.de
Stand dieser Datenschutzerklärung: Mai 2026
Diese Datenschutzerklärung wurde unter Berücksichtigung der aktuellen Rechtslage erstellt. Bei Änderungen der gesetzlichen Bestimmungen oder unserer Geschäftstätigkeit werden diese Angaben entsprechend angepasst.