Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

E-Mail: info@oakai.de

Vertretungsberechtigter Geschäftsführer: Ralph Schwehr

2. Grundsätze unserer Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies zur Bereitstellung dieser Plattform, zur Beantwortung deiner Anfragen und zur Erfüllung gesetzlicher Pflichten erforderlich ist. Alle Verarbeitungen erfolgen vorrangig innerhalb der Europäischen Union. Wir nutzen keine Tracking-Cookies, keine Werbenetzwerke und kein Web-Analyse-Tool wie Google Analytics, Matomo oder Plausible.

3. Hosting und Server-Logfiles

Diese Plattform wird bei Vercel Inc. (440 N Barranca Avenue #4133, Covina, CA 91723, USA) gehostet. Auslieferung erfolgt aus dem Edge-Netzwerk in der EU-Region (Frankfurt). Beim Besuch verarbeitet Vercel automatisch technische Daten (Server-Logs) wie IP-Adresse, Browser, Betriebssystem, Datum/Uhrzeit, aufgerufene Seite und Referrer. Diese Daten werden zur Sicherstellung des Betriebs und zur Abwehr von Angriffen verarbeitet (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse). Mit Vercel besteht ein Auftragsverarbeitungsvertrag (DPA) inklusive EU-Standardvertragsklauseln. Die Logs werden in der Regel nach kurzer Zeit (wenige Tage) automatisch gelöscht.

4. Account und Magic-Link-Authentifizierung

Für die Nutzung der Assessment-Tools ist eine Anmeldung mit E-Mail-Adresse erforderlich. Verarbeitet werden: E-Mail-Adresse, optional Name, optional Organisation, Zeitstempel der Anmeldung. Die Authentifizierung erfolgt passwortlos über einen Magic-Link, der per E-Mail verschickt wird. Der Link enthält einen zufälligen, einmaligen Token mit 24 Stunden Gültigkeit. Zweck: Sichere Authentifizierung und Bereitstellung der Plattform-Funktionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: bis zur Account-Löschung auf Anfrage des Nutzers, oder bei längerer Inaktivität nach interner Aufbewahrungsfrist.

5. Assessment-Daten (AI Readiness, AI Sourcing, AI Competency)

Bei der Nutzung von AI Readiness und AI Sourcing werden folgende Daten verarbeitet: deine Antworten auf die Fragebogen-Items, eingegebene Kennzahlen (z.B. Mitarbeiterzahl, Kostenstrukturen), Unternehmenskontext (Branche, Funktion, Größe, Hauptziel), sowie die generierten Auswertungen (Score, Empfehlungen, Top-Moves). Zweck: Bereitstellung der individuellen Auswertung, Wiederabruf durch dich über das Dashboard. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: 36 Monate ab Erstellung, danach automatische Löschung. Du kannst deine Assessments jederzeit selbst über das Dashboard einsehen und auf Anfrage löschen lassen.

5b. AI Competency: Quiz-Daten und Zertifikat

Bei AI Competency werden zusätzlich verarbeitet: deine Quiz-Antworten und Antwortzeiten, der berechnete Score und das Kompetenz-Level (basic, advanced, expert), sowie für ein bestandenes Zertifikat dein angegebener Name. Das ausgestellte PDF-Zertifikat enthält eine eindeutige Zertifikats-Nummer im Format OAK-AC-XXXX-YYYY, deinen Namen, den Score, das Level, Ausstellungs- und Ablaufdatum (12 Monate Gültigkeit) sowie einen QR-Code, der auf eine öffentliche Verifizierungs-Seite unter readiness.oakai.de/verify/cert/[Nummer] führt. Diese öffentliche Seite ist ohne Anmeldung abrufbar und zeigt: Inhaber:in-Name, Zertifikats-Nummer, Score und Level, Ausstellungs- und Ablaufdatum. Die einzelnen Quiz-Antworten werden auf der Verifizierungs-Seite NICHT angezeigt. Zweck: Audit-fähiger Nachweis der KI-Kompetenz nach Art. 4 EU-KI-Verordnung; Verifizierbarkeit durch Dritte (z.B. Auditoren, Arbeitgeber). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Quiz-Auswertung und Zertifikat-Ausstellung. Speicherdauer Quiz-Antworten und Score: 36 Monate ab Erstellung; Zertifikat- Datensatz (Name, Cert-Nr, Score, Level, Datum) für die Dauer der Gültigkeit zuzüglich gesetzlicher Aufbewahrungsfristen. Du kannst die Löschung deines Zertifikats und der zugehörigen Daten auf Anfrage verlangen; nach Löschung ist die öffentliche Verify-Seite nicht mehr abrufbar.

6. Lead-Capture (Waitlist und Premium-Anfrage)

Wenn du dich für die Benachrichtigung über kommende Tools einträgst oder eine vollständige Auswertung anforderst, verarbeiten wir: Name, E-Mail-Adresse, Tool-Bezug, Zeitstempel. Zweck: Benachrichtigung bei Tool-Launch oder Aktivierung der Vollansicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme). Speicherdauer: bis zum Opt-Out durch dich oder bis das angefragte Tool aktiviert wurde.

7. KI-gestützte Auswertung: Anthropic Claude (USA)

Ein Teil der Auswertungen (insbesondere die textuellen Empfehlungen und Top-Moves in AI Sourcing) wird mit dem KI-Modell Claude von Anthropic PBC (548 Market St #15077, San Francisco, CA 94104-5401, USA) erstellt. An Anthropic übermittelt werden: deine anonymisierten Assessment-Antworten, Scope-Informationen (Branche, Funktion, Unternehmensgröße, Hauptziel) sowie der berechnete deterministische Score. Es werden KEINE direkten personenbezogenen Daten wie Name oder E-Mail-Adresse an Anthropic gesendet. Mit Anthropic besteht ein Auftragsverarbeitungsvertrag (DPA) inklusive EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 46 DSGVO (geeignete Garantien für Drittlandübermittlung).

8. Datenbank: Neon (EU)

Account-Daten, Assessment-Antworten und Lead-Daten werden in einer PostgreSQL-Datenbank gespeichert, die von Neon Inc. (548 Market St, San Francisco, CA 94104, USA) betrieben wird. Speicherort ausschließlich EU-Region (Frankfurt, AWS). Mit Neon besteht ein Auftragsverarbeitungsvertrag (DPA) inklusive EU-Standardvertragsklauseln. Neon verarbeitet die Daten ausschließlich auf unsere Weisung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO i.V.m. Art. 28 DSGVO.

9. E-Mail-Versand: Resend (EU)

Magic-Link-Mails und Plattform-Benachrichtigungen werden über Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA) versendet. Der Mailversand erfolgt über die EU-Region (eu-west-1, Irland). Mit Resend besteht ein Auftragsverarbeitungsvertrag (DPA) inklusive EU-Standardvertragsklauseln. Resend verarbeitet die Daten ausschließlich zur Mailauslieferung. Mails sind DKIM-signiert und SPF-authentifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO i.V.m. Art. 28 DSGVO.

10. Zahlungsabwicklung: Stripe

Für die Abwicklung von Zahlungen kostenpflichtiger Abonnements nutzen wir Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — im Folgenden Stripe). Stripe ist nach DSGVO-Maßstab eigenständig Verantwortlicher für die Verarbeitung der Zahlungsdaten und kein Auftragsverarbeiter; mit Stripe besteht daher kein DPA, sondern Stripe agiert auf Grundlage einer eigenen Datenschutzerklärung. Verarbeitet werden: Name, E-Mail-Adresse, Rechnungsanschrift, USt-ID (sofern angegeben), Zahlungsmittel-Daten (Kartennummer, Bankverbindung — werden direkt an Stripe übermittelt und sind für uns nicht einsehbar), Transaktions-IDs sowie Zahlungshistorie. Zweck: Abwicklung des Bezahlvorgangs für kostenpflichtige Tarife. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten im Steuerrecht). Drittlandübermittlung: Stripe Payments Europe Ltd. hat ihren Sitz in der EU. Eine Übermittlung in die USA an die Konzernmutter Stripe Inc., San Francisco, CA, USA, kann im Einzelfall erfolgen; Stripe Inc. ist nach dem EU-US Data Privacy Framework zertifiziert, ergänzend bestehen EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Speicherdauer: gemäß eigener Datenschutzerklärung von Stripe sowie gesetzlicher Aufbewahrungspflichten (in der Regel 10 Jahre für steuerlich relevante Unterlagen). Details findest du in der Datenschutzerklärung von Stripe↗.

11. Schriftarten

Diese Plattform nutzt die Schriftarten Fraunces und Inter Tight. Diese werden über next/font lokal mit der Plattform ausgeliefert (self-hosted). Es findet keine Verbindung zu Google-Servern statt, es werden keine Daten an Google übermittelt.

12. Cookies und lokale Speicherung

Diese Plattform verwendet keine Tracking-Cookies und keine Werbe-Cookies. Es werden ausschließlich technisch notwendige Speichermechanismen genutzt, die für den Betrieb erforderlich sind: Session-Cookies für die Authentifizierung (HTTP-only, secure, SameSite=Lax) sowie localStorage für die Zwischenspeicherung deiner Eingaben während eines Assessment-Flows (24 Stunden TTL, ausschließlich client-seitig, kein Server-Zugriff). Für diese Art der Verarbeitung ist nach § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich. Wirst du im Rahmen eines Bezahlvorgangs auf den Stripe-Hosted-Checkout (checkout.stripe.com) weitergeleitet, werden auf der Stripe-Domain Cookies durch Stripe gesetzt, die in dessen alleinigem Verantwortungsbereich liegen (siehe §10 sowie die Datenschutzerklärung von Stripe).

13. Verlinkungen auf externe Seiten

Diese Plattform verlinkt auf externe Seiten (z.B. Tool-Hersteller-Websites in den Auswertungs-Empfehlungen, LinkedIn, oakai.de). Beim Klick auf einen externen Link wirst du auf die jeweilige Seite weitergeleitet und unterliegst dort den jeweiligen Datenschutzregelungen. Wir haben auf die dortige Datenverarbeitung keinen Einfluss.

14. Datenweitergabe an Dritte

Eine Weitergabe deiner Daten an Dritte findet nicht statt, außer an die unter Punkt 3, 7, 8 und 9 genannten Auftragsverarbeiter zur technischen Bereitstellung des Dienstes. Stripe (siehe §10) ist davon abzugrenzen: Stripe agiert als Bezahldienstleister eigenverantwortlich, nicht als Auftragsverarbeiter. Eine Weitergabe in Drittländer außerhalb der EU/des EWR erfolgt nur auf Grundlage geeigneter Garantien (insbesondere EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO).

15. Automatisierte Entscheidungsfindung

Die Auswertungen unserer Assessment-Tools (Score, Empfehlungen, Top-Moves) sind als entscheidungsunterstützende Empfehlungen konzipiert und stellen KEINE automatisierten Entscheidungen im rechtlichen Sinne von Art. 22 DSGVO dar. Die Ergebnisse ersetzen keine fachliche, rechtliche oder strategische Beratung. Unternehmerische Entscheidungen auf Basis dieser Auswertungen liegen ausschließlich in deiner Verantwortung. Ein Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

16. Deine Rechte als Betroffene Person

Du hast jederzeit folgende Rechte:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Für die Wahrnehmung deiner Rechte genügt eine formlose Mitteilung an info@oakai.de.

17. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für unseren Sitz in Gräfelfing/München ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. Du kannst dich auch an die Aufsichtsbehörde deines Wohnsitzes wenden.

18. Datensicherheit

Diese Plattform wird ausschließlich über HTTPS mit TLS-Verschlüsselung ausgeliefert. Die Datenbank ist durch Authentifizierung und Verschlüsselung im Ruhezustand gesichert. Backups werden in der EU vorgehalten. Wir treffen geeignete technische und organisatorische Maßnahmen, um deine Daten gegen Verlust und unbefugten Zugriff zu schützen.

19. Aktualisierungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann gelegentlich angepasst werden, etwa bei technischen Änderungen oder neuen gesetzlichen Anforderungen. Die jeweils aktuelle Fassung findest du immer auf dieser Seite.