Datenschutzerklärung für die Website / Landingpage von serviceheld.ai Stand: 17. August 2025 1. Verantwortlicher serviceheld.ai c/o Citro Digital Solutions Inh.: Ingo Burkardt Merzhauser Str. 144 79100 Freiburg Deutschland E-Mail: hello@citro.de Telefon: +49 761 769 918 - 00 2. Datenschutzbeauftragter Kanzlei für IT-Recht Rechtsanwalt Cristian-Oskar Marcachi Sonnenbergstr. 11 79117 Freiburg Deutschland E-Mail: datenschutz@citro.de

3. Geltungsbereich Diese Erklärung gilt für den Besuch unserer Website (Landingpage) unter serviceheld.ai inkl. eingebundener Kontakt-/Demofunktionen und verlinkter Terminbuchung. 4. Rechtsgrundlagen & Grundsätze DSGVO: Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag/Vorvertrag), lit. c (rechtliche Pflicht), lit. f (berechtigtes Interesse). TTDSG § 25: Für das Speichern/Lesen von Informationen auf Ihrem Endgerät (z. B. Cookies, Local Storage). Sicherheit: TLS, Zugriffskonzepte, Protokollierung, Lösch-/Berechtigungskonzepte. Drittlandübermittlungen: Soweit Dienste Daten in die USA/EWR-Drittländer übertragen, stützen wir uns – je nach Anbieter – auf das EU-US Data Privacy Framework (DPF) oder auf Standardvertragsklauseln (SCC). Siehe Hinweise bei den einzelnen Empfängern. (Belege für DPF: Calendly, Microsoft, WhatsApp). 5. Allgemeines zur Datenverarbeitung Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Personenbezogene Daten werden nur verarbeitet, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. 6. Server-Logfiles (Website-Aufruf) Kategorien: IP-Adresse, Datum/Uhrzeit, URL, Referrer, User-Agent, HTTP-Status. Zwecke: Auslieferung, Stabilität, IT-Sicherheit, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: Server-seitig nach Erforderlichkeit; anschließend Löschung/Anonymisierung. 7. Hosting und Content Management: Onepage.io

Unsere Seite wird über Onepage erstellt/gehostet. Onepage stellt Infrastruktur und Funktionen bereit (z. B. Formulare, optional Onepage-Analytics). Ob und welche Zusatz-Integrationen aktiv sind, konfigurieren wir projektbezogen. Onepage ermöglicht u. a. die Integration von Google Analytics, eigenem Onepage-Analytics sowie Schriften (Google-Fonts-Bibliothek ist als Option integriert). Welche externen Ressourcen konkret geladen werden, hängt von den gewählten Projekt-/Template-Einstellungen ab. Rolle/Empfänger: Onepage GmbH, Frankfurt a. M., als Auftragsverarbeiter (Art. 28 DSGVO). Drittlandtransfer: möglich (je nach aktivierten Integrationen bzw. Subprozessoren von Onepage); Absicherung laut Onepage-Dokumentation/Verträgen (DPF/SCC, je nach Tool).

Verarbeitete Daten:

Zweck: Technisch fehlerfreie Darstellung und Optimierung der Website Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) 8. Formulare & Kontakt (E-Mail/Telefon) Kategorien: Name, Firma, E-Mail/Telefon, Freitext, technische Metadaten. Zwecke: Bearbeitung Ihrer Anfrage, Vertragsanbahnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anfragen) bzw. lit. f (allg. Kommunikation). Speicherdauer: bis Abschluss, danach nach handels-/steuerrechtlichen Pflichten (6/10 Jahre).

9. Externe Ressourcen (Schriften/CDN) Onepage bietet eine Google-Fonts-Bibliothek an. Ob Schriften extern (fonts.googleapis.com / gstatic) geladen werden, hängt von der Projekt-Konfiguration ab. Wir prüfen eine lokale Einbindung oder Onepage-Optionen, um externe Requests zu minimieren. Bei externer Einbindung: Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an konsistenter Darstellung) bzw. – falls technisch nicht „unbedingt erforderlich“ – Einwilligung nach § 25 Abs. 1 TTDSG/Art. 6 Abs. 1 lit. a DSGVO. 9.1. Externe Ressourcen: Cloudflare (Content Delivery Network & Sicherheitslösung) Anbieter: Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA Schutz vor DDoS-Angriffen und Performanceoptimierung Erhebung von IP-Adressen, Useragent, Referrer, Systemkonfiguration Übermittlung personenbezogener Daten in die USA (EU-U.S. Data Privacy Framework zertifiziert) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit) 9.2. Externe Ressourcen: Stripe (Zahlungsabwicklung) Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland Wird eingesetzt, wenn Produkte oder Dienstleistungen über die Website gebucht oder bezahlt werden Verarbeitet werden u. a. Name, E-Mail-Adresse, Zahlungsinformationen Übermittlung personenbezogener Daten auch an Stripe Inc., USA (EU-U.S. Data Privacy Framework zertifiziert) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. f DSGVO (betriebliche Abwicklung) 9.3. Externe Ressourcen: OneTrust (Cookie Consent Management) Anbieter: OneTrust Technology Limited, 82 St John St, London EC1M 4JN, Vereinigtes Königreich Verwaltung von Einwilligungen zu Cookies und Tracking-Tools gemäß DSGVO Speicherung von Zustimmungen und Widerrufen in Cookies auf dem Endgerät Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) 10. Analytics & Tracking Wir setzen nur erforderliche Cookies/Storage ohne Einwilligung ein (z. B. Session/Security). Optionale Analyse erfolgt nur mit Ihrer Einwilligung über das Einwilligungs-Banner.

11. Cookies Wir verwenden auf unserer Website Cookies. Technisch notwendige Cookies: Diese Cookies sind für den Betrieb der Website erforderlich. Analyse- und Marketing-Cookies: Nur mit Einwilligung (über Cookie-Banner), insbesondere durch Google Tag Manager. Rechtsgrundlagen:

12. Einsatz von Analyse- und Tracking-Technologien 12.1. Google Tag Manager Diese Website verwendet den Google Tag Manager. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Im Rahmen der Nutzung können Daten in die USA übertragen werden. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Datenübermittlung in Drittländer: Ja (USA), gemäß Art. 45 DSGVO Onepage Analytics Zur anonymisierten Auswertung des Besucherverhaltens setzen wir Onepage Analytics ein (Teil des CMS). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

12.2 Microsoft Clarity Unsere Website verwendet Microsoft Clarity, einen Webanalyse-Dienst der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Zweck der Verarbeitung: Clarity ermöglicht die Analyse des Nutzerverhaltens auf der Website durch sogenannte Session-Replays, Heatmaps und Scrolltracking. Dabei werden folgende Daten erfasst:

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Ihre Einwilligung über das Cookie-Consent-Tool (OneTrust) ist erforderlich. Ohne Einwilligung wird Clarity nicht geladen. Datenübermittlung in Drittländer: Daten werden an Server in die USA übermittelt. Microsoft ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Die Datenverarbeitung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO. Weitere Informationen: Datenschutzinformationen von Microsoft Clarity: https://privacy.microsoft.com/de-de/privacystatement 13. Terminvereinbarung über Calendly Zur Vereinbarung von Online-Terminen nutzen wir den Dienst Calendly. Anbieter ist Calendly LLC, 88 North Avondale Road, Suite 603, Avondale Estates, GA 30002, USA. Verarbeitete Daten: Name, E-Mail-Adresse, ggf. Telefonnummer, Terminzeitpunkt Zweck: Terminplanung und -verwaltung Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Datenübermittlung in Drittländer: Ja (USA), auf Grundlage des EU-U.S. Data Privacy Framework 14. Videokonferenzen via Microsoft Teams Für Online-Meetings nutzen wir Microsoft Teams. Anbieter ist Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Verarbeitete Daten: Name, E-Mail-Adresse, Meeting-Inhalte, Metadaten Zweck: Durchführung digitaler Besprechungen Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO 15. WhatsApp Business (nur Demo-Kontakt auf der Landingpage serviceheld.ai) Wenn Sie die WhatsApp-Demofunktion nutzen, werden Telefonnummer, Profilname, Chat-Inhalte und Metadaten durch WhatsApp verarbeitet (Anbieter in der EU: WhatsApp Ireland Ltd.; US-Gesellschaft WhatsApp LLC ist DPF-zertifiziert). Bitte keine sensiblen Daten per WhatsApp senden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Ihre Anfrage) bzw. lit. f. 16. Social Media Plugins Unsere Website bindet Inhalte von LinkedIn ein (z. B. über Sharing-Buttons oder eingebettete Inhalte). Anbieter: LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

17. Empfänger-Kategorien Hosting/Plattform: Onepage Kommunikation: E-Mail/Telefondienstleister Termin/Meetings: Calendly, Microsoft · Demo-Chat: WhatsApp IT-Dienstleister (AV-Verträge). 18. Speicherdauer Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Zweckerreichung erforderlich ist oder gesetzlich vorgeschrieben ist. 19. Pflicht zur Bereitstellung Für bestimmte Funktionen (z. B. Termin, Demo-Chat) sind Angaben erforderlich; ohne diese ist die Nutzung nicht möglich.

20. Automatisierte Entscheidungen Keine automatisierte Entscheidungsfindung mit rechtlicher/ähnlich erheblicher Wirkung. 21. Betroffenenrechte Sie haben jederzeit das Recht auf:

22. Aufsichtbehöre Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Postfach 10 29 32, 70025 Stuttgart, Tel. 0711/61 55 41-0, E-Mail: poststelle@lfdi.bwl.de. 23. Aktualisierungen Wir passen diese Erklärung bei Änderungen an. Die aktuelle Fassung steht auf dieser Seite.