Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Grundsätzliches

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Vergabekompass ist ein B2B-SaaS-Dienst für die Recherche und Analyse öffentlicher Ausschreibungen in der EU und Deutschland.

Wir setzen keine Tracking-Cookies, keine Analysetools (wie Google Analytics) und keine Werbenetzwerke ein. Schriftarten werden selbst gehostet — es werden keine externen Font-Dienste (z. B. Google Fonts) eingebunden. Die gesamte Kommunikation mit unserer Plattform erfolgt über HTTPS/TLS-verschlüsselte Verbindungen.

Alle Daten werden auf Servern der Hetzner Online GmbH in Deutschland (Rechenzentrum Falkenstein) verarbeitet und gespeichert. Es werden keine externen CDNs für die Auslieferung von Inhalten verwendet, die Ihre IP-Adresse an Dritte übermitteln könnten — mit Ausnahme von Cloudflare, das als Sicherheitsinfrastruktur (DDoS-Schutz, Tunnel) eingebunden ist (siehe Abschnitt 6).

3. Erhebung und Speicherung personenbezogener Daten

a) Bei der Registrierung

Bei der Registrierung für unseren Dienst erheben wir folgende Daten:

• E-Mail-Adresse
• Firmenname
• Standort / Stadt
• Unternehmensgröße
• Branchen- und Leistungspräferenzen (CPV-Codes)

b) Bei der Nutzung des Dienstes

Bei der Nutzung unserer Plattform werden automatisch folgende Daten in Server-Logs erhoben:

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seiten
• Verwendeter Browser und Betriebssystem
• Übertragene Datenmenge

Die Erhebung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Hosting-Anbieter hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Absicherung seiner Systeme.

c) Bei der Anmeldung

Die Anmeldung erfolgt über ein Magic-Link-Verfahren per E-Mail. Es werden keine Passwörter gespeichert. Bei jeder Anmeldung wird ein einmaliger, zeitlich begrenzter Link an Ihre registrierte E-Mail-Adresse gesendet.

d) Bei der Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe (siehe Abschnitt 6). Wir selbst speichern keine Kreditkartennummern oder Bankdaten. Stripe übermittelt uns lediglich eine Transaktionsreferenz, den Zahlungsstatus sowie die letzten vier Ziffern der verwendeten Karte.

4. Zweck der Datenverarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Dienstes, Erstellung personalisierter Ausschreibungsberichte, Zusendung von Benachrichtigungen, Authentifizierung per Magic-Link.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherstellung der IT-Sicherheit, Fehlerbehebung, Dienstverbesserung. Wir setzen keine Tracking-Tools ein; die Analyse beschränkt sich auf aggregierte Server-Log-Daten.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sofern Sie ausdrücklich eingewilligt haben, z. B. für optionale Benachrichtigungskanäle. Sie können eine erteilte Einwilligung jederzeit widerrufen.

5. KI-gestützte Datenverarbeitung (Automatisierte Entscheidungsfindung)

Vergabekompass nutzt KI-Modelle (Claude von Anthropic, Inc.) zur semantischen Bewertung von Ausschreibungen.

Verarbeitete Daten

• Ausschreibungstexte (öffentlich zugängliche Daten aus EU-Vergabeplattformen)
• Unternehmensprofil des Nutzers: CPV-Codes, Standort, Leistungsschwerpunkte

Zweck

Relevanz-Scoring und Priorisierung von Ausschreibungen basierend auf dem Unternehmensprofil.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — die KI-gestützte Bewertung ist integraler Bestandteil des vertraglich geschuldeten Dienstes.

Hinweis zur automatisierten Entscheidungsfindung

Es findet keine vollautomatisierte Entscheidung im Sinne von Art. 22 DSGVO statt. Die KI-gestützte Bewertung dient ausschließlich als Unterstützung; Nutzer treffen eigenständige Entscheidungen über die Relevanz von Ausschreibungen.

Hinweis gemäß EU AI Act

Vergabekompass informiert gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) über den Einsatz von KI-Systemen. Das eingesetzte KI-System dient der Informationsaufbereitung und fällt nicht unter die Kategorie der Hochrisiko-KI-Systeme.

6. Weitergabe an Dritte / Auftragsverarbeiter

Wir geben Ihre personenbezogenen Daten nur weiter, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Grundlage besteht. Es findet keine Weitergabe zu Werbezwecken statt. Folgende Auftragsverarbeiter werden eingesetzt:

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Zweck: Server-Hosting (Anwendungsserver und PostgreSQL-Datenbank); Rechenzentrum Falkenstein, Deutschland. Alle Nutzerdaten werden ausschließlich auf Servern in Deutschland gespeichert.
Grundlage: Auftragsverarbeiter gem. Art. 28 DSGVO.
Datenschutzerklärung: hetzner.com/de/legal/privacy-policy

Cloudflare, Inc.

101 Townsend St., San Francisco, CA 94107, USA.
Zweck: DDoS-Schutz, Web Application Firewall (WAF) und Zero-Trust-Tunnel-Infrastruktur. IP-Adressen und Anfrage-Metadaten werden durch Cloudflare verarbeitet.
Grundlage: Auftragsverarbeiter gem. Art. 28 DSGVO. Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Framework + Standardvertragsklauseln (SCCs).
Datenschutzerklärung: cloudflare.com/de-de/privacypolicy

Resend, Inc.

2261 Market Street #5039, San Francisco, CA 94114, USA.
Zweck: Transaktionaler E-Mail-Versand (Magic-Link-Anmeldung, Ausschreibungsberichte, Benachrichtigungen). Dabei werden E-Mail-Adresse und Nachrichteninhalt übermittelt.
Grundlage: Auftragsverarbeiter gem. Art. 28 DSGVO. Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Framework + SCCs.
Datenschutzerklärung: resend.com/legal/privacy-policy

Stripe, Inc.

354 Oyster Point Blvd, South San Francisco, CA 94080, USA.
Zweck: Zahlungsabwicklung. Stripe verarbeitet Zahlungsdaten (Kreditkarte, SEPA) direkt über eigene PCI-DSS-zertifizierte Infrastruktur; Vergabekompass speichert keine Kreditkartendaten. Wir erhalten von Stripe lediglich eine Transaktionsreferenz, den Zahlungsstatus und die letzten vier Ziffern der Karte.
Grundlage: Auftragsverarbeiter gem. Art. 28 DSGVO. Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Framework + SCCs.
Datenschutzerklärung: stripe.com/de/privacy

Anthropic, Inc.

548 Market St, PMB 90375, San Francisco, CA 94104, USA.
Zweck: KI-Sprachmodell (Claude) für semantische Analyse von Ausschreibungstexten. Es werden ausschließlich öffentlich zugängliche Ausschreibungstexte und aggregierte Profilmerkmale (CPV-Codes, Branchenpräferenzen) übermittelt — keine direkten personenbezogenen Daten wie Namen oder E-Mail-Adressen. Anthropic speichert gemäß ihrer Nutzungsbedingungen keine API-Eingaben für das Training von Modellen.
Grundlage: Auftragsverarbeiter gem. Art. 28 DSGVO. Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Framework + SCCs.
Datenschutzerklärung: anthropic.com/privacy

7. Datenübermittlung in Drittländer

Einige unserer Auftragsverarbeiter (Cloudflare, Resend, Stripe, Anthropic) haben ihren Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf folgender Grundlage:

• EU-US Data Privacy Framework — Adäquanzentscheidung der EU-Kommission vom 10. Juli 2023 (Durchführungsbeschluss (EU) 2023/1795). Die genannten US-Dienstleister sind unter dem Data Privacy Framework zertifiziert.
• Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme.

Wir stellen sicher, dass für alle Datenübermittlungen in Drittländer ein angemessenes Schutzniveau gewährleistet ist.

8. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform und die Authentifizierung erforderlich sind. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.

• Authentifizierungs-Token: Nach erfolgreicher Anmeldung per Magic-Link wird ein verschlüsseltes Authentifizierungs-Cookie gesetzt, das Ihre Sitzung identifiziert. Dieses Cookie wird als HttpOnly und Secure übertragen und ist nicht durch clientseitige Skripte auslesbar. Es bleibt für die Dauer Ihrer Sitzung gültig (maximal 30 Tage) und wird bei Abmeldung gelöscht.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden. Das Deaktivieren von Cookies kann die Funktionalität des Dienstes einschränken (insbesondere die Anmeldung).

Hinweis: Für technisch notwendige Cookies ist kein Cookie-Consent-Banner erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

9. Datenspeicherung und Löschfristen

• Account-Daten: Werden für die Dauer des Vertragsverhältnisses gespeichert, zuzüglich gesetzlicher Aufbewahrungsfristen (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten).
• Server-Logs: Werden maximal 30 Tage gespeichert und danach automatisch gelöscht.
• Zahlungsdaten bei Stripe, Inc.: Gemäß der Aufbewahrungsrichtlinie von Stripe. Vergabekompass speichert selbst keine Kreditkartendaten.
• Nach Kontolöschung: Personenbezogene Daten werden innerhalb von 30 Tagen gelöscht. Anonymisierte Nutzungsstatistiken können zu Zwecken der Dienstverbesserung beibehalten werden.

10. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, die Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einlegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: kontakt@current56.de.

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO).

Da der Verantwortliche seinen Sitz in Dänemark hat, ist die federführende Aufsichtsbehörde:

Da sich unser Dienst an Nutzer in Deutschland richtet, können Sie sich alternativ auch an die für Sie zuständige deutsche Landesdatenschutzbehörde wenden. Eine Übersicht aller Landesbeauftragten für den Datenschutz finden Sie beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): www.bfdi.bund.de — Landesbeauftragte

12. SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.