Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Aficial UG (haftungsbeschränkt)
Vertreten durch: Halit Caner Ertürk, Geschäftsführer
c/o IP-Management #9417
Ludwig-Erhard-Str. 18, 20459 Hamburg
E-Mail: aficial@aficial.ai

1a. Datenschutzbeauftragter

Für unser Unternehmen besteht nach § 38 Abs. 1 BDSG derzeit keine Pflicht zur Bestellung eines Datenschutzbeauftragten, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach aktuellem DPIA-Screening (Art. 35 DSGVO) stufen wir die bestehenden Verarbeitungstätigkeiten nicht als DSFA-pflichtig ein; die Prüfung wird vor Aufnahme neuer Hochrisiko-Verarbeitungen und vor dem Umgang mit paid/critical customer data erneut dokumentiert. Fragen zum Datenschutz richten Sie bitte an:

E-Mail: datenschutz@aficial.ai

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten (z.B. Namen, Adressen)
• Kontaktdaten (z.B. E-Mail, Telefonnummern)
• Inhaltsdaten (z.B. E-Mail-Inhalte, Wissensdatenbank-Dokumente)
• Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (z.B. IP-Adressen, Geräteinformationen)
• Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie)
• Zahlungsdaten (z.B. Bankverbindungen, Rechnungen — über Stripe verarbeitet)

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung ist für die Erfüllung eines Vertrags erforderlich — insbesondere die Bereitstellung unseres KI-E-Mail-Support-Dienstes.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre Einwilligung gegeben — z.B. bei der Verbindung eines E-Mail-Postfachs.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung zur Wahrung berechtigter Interessen — z.B. Sicherheit, Betrugsprävention, Verbesserung unseres Dienstes.

4. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Auftragsverarbeiter ein:

• Supabase Inc. — Datenbank und Authentifizierung. Serverstandort: West EU (Ireland), Region eu-west-1. Datenschutz
• Vercel Inc. — Hosting und Bereitstellung der Website. Datenschutz
• Anthropic PBC — KI-Verarbeitung zur Generierung von E-Mail-Antworten. E-Mail-Inhalte werden zur Verarbeitung an Claude gesendet. Datenschutz | DPA
• Google LLC — OAuth-/Gmail-Anbindung nach Einwilligung sowie Google Generative AI zur Embedding-Erzeugung für semantische Suche. Datenschutz
• Resend Inc. — Versand von System-E-Mails (Bestätigungen, Benachrichtigungen). Datenschutz
• Upstash Inc. — Redis Cache, Rate Limiting und kurzlebige Idempotenz-/Schutzdaten. Datenschutz
• Functional Software, Inc. (Sentry) — Fehler- und Crash-Reporting ohne E-Mail-Inhalte. Datenschutz
• Stripe Payments Europe, Ltd. / Stripe Inc. — Zahlungsabwicklung und Rechnungsdaten, sofern kostenpflichtige Tarife genutzt werden. Datenschutz

4a. Unterauftragsverarbeiter

Wir setzen folgende Unterauftragsverarbeiter ein. Die jeweiligen AVV/DPA- und Transfergrundlagen werden in den Anbieterbedingungen und in den Freigabeunterlagen dokumentiert und vor kostenpflichtigem Kundeneinsatz final bestätigt:

• Anthropic PBC (San Francisco, USA) – KI-Verarbeitung von E-Mail-Inhalten zur Generierung von Antwortvorschlägen. Grundlage: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Daten werden nicht für Trainingszwecke verwendet.
• Supabase Inc. (AWS eu-west-1, West EU/Ireland) – Datenbank, Authentifizierung, Dateispeicherung. Serverstandort EU.
• Vercel Inc. (Edge Network, EU bevorzugt) – Hosting, Serverless Functions, Content Delivery Network.
• Resend Inc. (USA/EU) – Transaktionaler E-Mail-Versand (Systemnachrichten, Bestätigungen, Benachrichtigungen).
• Upstash Inc. (EU, Frankfurt) – Redis Cache, Rate Limiting.
• Google LLC (EU/USA) – OAuth-/Gmail-Anbindung nach Einwilligung sowie Google Generative AI zur Embedding-Erzeugung für semantische Suche. Grundlage: Standardvertragsklauseln und, soweit anwendbar, EU-US Data Privacy Framework.
• Functional Software, Inc. (Sentry) (San Francisco, USA) – Fehler- und Crash-Reporting zur technischen Stabilisierung des Dienstes. Es werden Fehler-Stacktraces, technische Metadaten und ggf. pseudonymisierte Nutzer-IDs übertragen – keine E-Mail-Inhalte. Grundlage: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Sicherstellung eines stabilen Dienstes. Datenschutz
• Stripe Payments Europe, Ltd. / Stripe Inc. (EU/USA) – Zahlungsabwicklung, Rechnungsdaten und Betrugsprävention für kostenpflichtige Tarife. Grundlage: Vertragserfüllung und gesetzliche Aufbewahrungspflichten; Drittlandtransfers werden über DPA/SCCs abgesichert.

Weitere Details finden Sie in unserem Auftragsverarbeitungsvertrag sowie in unseren Technischen und Organisatorischen Maßnahmen (TOM).

5. E-Mail-Verarbeitung durch KI

Kern unseres Dienstes ist die KI-gestützte Verarbeitung von Kunden-E-Mails. Dabei werden E-Mail-Inhalte, Absenderinformationen und Metadaten an unser KI-System (übermittelt an Anthropic PBC, USA) übermittelt, um Antwortvorschläge zu generieren. Die Verarbeitung erfolgt auf Grundlage des Vertrags (Art. 6 Abs. 1 lit. b DSGVO).

Internationale Datenübermittlung:E-Mail-Inhalte werden zur Verarbeitung an Anthropic PBC (San Francisco, USA) übermittelt. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Anthropic verwendet Ihre Daten nicht für Trainingszwecke (gemäß Anthropic Commercial Terms).

Embedding-Erzeugung:Wissensdatenbank-Inhalte und daraus abgeleitete Textabschnitte können an Google Generative AI übermittelt werden, um Vektoren für die semantische Suche zu erzeugen. Die daraus erzeugten Embeddings werden in der Aficial-Datenbank gespeichert und mit dem jeweiligen Wissensdokument gelöscht.

Wichtig:Sie haben jederzeit die Möglichkeit, den Überprüfungsmodus zu aktivieren. In diesem Modus werden KI-generierte Antworten nicht automatisch gesendet, sondern zur manuellen Freigabe vorgelegt.

Automatisierte Einzelfallentscheidung (Art. 22 DSGVO):Die durch Aficial erstellten Antworten sind unterstützende Kundenkorrespondenz und keine Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung für die betroffene Person im Sinne von Art. 22 Abs. 1 DSGVO. Der Dienst trifft keine verbindlichen Entscheidungen über Verträge, Bonität, Preise oder Leistungen. Dennoch kann der Betreiber (der Aficial-Nutzer) über den Überprüfungsmodus jederzeit eine menschliche Prüfung zwischen der KI-Antwort und dem Versand einschieben. Endkunden, die einer KI-gestützten Korrespondenz widersprechen, können dies dem jeweiligen Aficial-Nutzer mitteilen, der den Überprüfungsmodus dann für diese Konversation aktiviert.

5a. KI-Transparenz (EU AI Act)

Aficial nutzt Claude (Anthropic) als KI-System zur Generierung von E-Mail-Antworten. Diese KI-generierten Antworten können automatisch oder nach manueller Prüfung versendet werden. Sie als Nutzer sind dafür verantwortlich, Ihre Endkunden darüber zu informieren, dass Antworten KI-gestützt generiert werden können. Wir empfehlen, einen entsprechenden Hinweis in Ihre E-Mail-Signatur aufzunehmen.

Die Transparenzpflichten nach Art. 50 EU AI Act gelten ab dem 2. August 2026. Aficial bereitet die Kennzeichnung und Kundenhinweise technisch vor; Nutzer bleiben für ihre konkrete Endkundenkommunikation und branchenspezifische Pflichten verantwortlich.

5b. Inbox Intelligence Scan (Setup-Analyse)

Bei der Ersteinrichtung bieten wir optional den „Inbox Intelligence Scan“ an. Dabei werden bis zu 1.000 bestehende E-Mails aus Ihrem verbundenen Postfach analysiert, um den KI-Agenten auf Ihren Kommunikationsstil, häufige Themen und Geschäftsregeln einzustellen.

Zweck: Automatische Konfiguration des KI-Agenten (Tonfall, Wissensbasis, Eskalationsregeln).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Der Scan startet erst nach ausdrücklicher Zustimmung per Checkbox.

Drittlandtransfer:E-Mail-Inhalte werden zur Analyse an Anthropic PBC (San Francisco, USA) übermittelt. Grundlage: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Daten werden nicht für Trainingszwecke von Anthropic verwendet.

Speicherdauer und Löschung:

• Roh-E-Mail-Daten (Betreff, Absender, Inhalt): Automatische Löschung nach 30 Tagen.
• Abgeleitete Ergebnisse (Wissensbasis-Einträge, Antwort-Stil, Szenario-Cluster): Werden dauerhaft gespeichert, können aber jederzeit über das Dashboard gelöscht werden.

Personenbezogene Daten Dritter:Die gescannten E-Mails können personenbezogene Daten Ihrer Kunden und Geschäftspartner enthalten. Die Verarbeitung dieser Daten erfolgt auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) — die effiziente und qualitätsgesicherte Beantwortung von Kundenanfragen überwiegt das Interesse der betroffenen Dritten an der Nichtverarbeitung, insbesondere da die Roh-Daten zeitlich befristet gespeichert und die Analyse auf geschäftsbezogene Muster beschränkt ist. Sie können den Scan jederzeit abbrechen und alle Scan-Daten sofort löschen lassen.

Verschlüsselung:Scan-Daten werden verschlüsselt gespeichert (AES-256-GCM, anwendungsseitig) und sind nur für Ihre Organisation zugriffsbar (Row-Level Security).

5c. Kontaktformular

Wenn Sie uns über das Kontaktformular (/kontakt) eine Nachricht senden, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Nachrichtentext) ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage.

Rechtsgrundlage:Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) bei kundenbezogenen Anfragen; im Übrigen berechtigtes Interesse an der Beantwortung (Art. 6 Abs. 1 lit. f DSGVO).

Empfänger: Die Nachricht wird über unseren Auftragsverarbeiter Resend Inc. (USA, Standardvertragsklauseln) an unser internes Support-Postfach zugestellt. In der Anwendungsdatenbank speichern wir Kontaktformular-Eingaben nicht persistent.

Speicherdauer: Die E-Mail verbleibt im Support-Postfach, solange dies zur Bearbeitung Ihres Anliegens und etwaiger Anschlussfragen erforderlich ist, längstens jedoch 12 Monate. Danach wird sie gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. aus HGB/AO) entgegenstehen.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist:

• Kontodaten: Bis zur Löschung des Kontos + 30 Tage
• E-Mail-Inhalte: Bis zur Löschung durch den Nutzer oder Kontolöschung
• Wissensdatenbank: Bis zur Löschung durch den Nutzer
• Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht)
• Server-Logs: 90 Tage

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung und Sitzungsverwaltung. Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern eingesetzt. Eine Einwilligung ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).

8. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre verarbeiteten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.

9. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde für unser Unternehmen (Sitz in Hamburg):

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: +49 40 428 54-4040
E-Mail: mailbox@datenschutz.hamburg.de
Web: datenschutz-hamburg.de

Sie können sich auch an die Datenschutz-Aufsichtsbehörde Ihres üblichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.