Skip to main content
by Nomadyr
EN Auf die Warteliste
Menü
Derzeitig in Alpha
Warteliste für mehr Infos »

Datenschutzerklärung

Stand: 17. Mai 2026 (v1.0)

Die vollständigen Bestimmungen zur Auftragsverarbeitung finden Sie in unserem Auftragsverarbeitungsvertrag (AVV) sowie in den Technischen und Organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO. Eine englische Übersetzung als Data Processing Agreement (DPA) ist verfügbar.

1. Wer wir sind

QuoteXelerator ist ein Produkt der Nomadyr UG (haftungsbeschränkt), Kolonnenstraße 8, 10827 Berlin, Deutschland, HRB 280266 B, USt-IdNr. DE460912683 („wir", „uns", „unser"). Wir sind der Verantwortliche für die über diese Website und die QuoteXelerator-Anwendung erhobenen personenbezogenen Daten.

2. Welche Daten wir erheben

2.1 Warteliste und Registrierung

Wenn Sie sich für unsere Warteliste anmelden oder sich für den Dienst registrieren, erheben wir:

  • Vorname und Nachname: um Sie persönlich anzusprechen
  • E-Mail-Adresse: um Sie über Zugang und Produkt-Updates zu informieren
  • Firmenname: um Ihre Organisation zu verstehen
  • Teamgröße (optional): um die Größe Ihrer Organisation einzuschätzen
  • Größte Herausforderung bei der Angebotserstellung (optional): um die Produktentwicklung zu priorisieren
  • E-Mail-Einwilligung und Zeitstempel der Einwilligung: um Ihre DSGVO-Einwilligung zu dokumentieren
  • Zeitstempel der Übermittlung: wird automatisch erfasst

2.2 Nutzungsdaten des Dienstes

Wenn Sie QuoteXelerator nutzen, verarbeiten wir:

  • HubSpot-Portal-ID und Benutzerinformationen: bereitgestellt über HubSpot OAuth zur Authentifizierung Ihres Kontos
  • Deal- und Angebotsdaten aus HubSpot: verarbeitet zur Generierung von Positionen gemäß Ihren Rezepten
  • Rezeptkonfigurationen: die von Ihnen innerhalb der Anwendung erstellten Zuordnungsregeln
  • Audit-Logs: Aufzeichnungen der innerhalb der Anwendung durchgeführten Aktionen für Compliance-Zwecke
  • Nutzungsmetriken: aggregierte, nicht identifizierende Zählungen zur Verbesserung der Produktqualität (z. B. genutzte Funktionen, Fehlerraten, Latenz)

Wir speichern den Inhalt Ihrer HubSpot-Deals oder -Angebote nicht über das für die Echtzeitverarbeitung und das Audit-Logging Erforderliche hinaus.

2.3 Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Limited (Dublin, Irland) als selbständig Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO (siehe §4a). Wir speichern keine Kreditkartennummern oder Bankdaten. Stripe stellt uns Folgendes bereit:

  • Kunden-ID und Abonnementstatus
  • Rechnungs-E-Mail und Firmenname
  • USt-IdNr. (falls für das Reverse-Charge-Verfahren angegeben)
  • Rechnungshistorie und Zahlungsstatus

2.4 Nutzung des ROI-Rechners

Wenn Sie unseren ROI-Rechner auf dieser Website nutzen, speichern wir die eingegebenen Zahlen (Angebotsvolumen, Fehlerrate, Marge), die berechneten Ergebnisse sowie wenige Interaktions-Zähler in einem anonymisierten Datensatz. Wir speichern weder Ihre IP-Adresse noch Name, E-Mail oder Firma; die Eingaben sind keinem Besucher zuordenbar. Ein kurzes zufälliges Sitzungs-Token wird ausschließlich verwendet, um Interaktionen innerhalb einer Browser-Sitzung zu gruppieren, und ist nicht aus einer Kennung abgeleitet.

Rechtsgrundlage: berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO zur Verbesserung des Produkts und der Pricing-Annahmen.

3. Warum wir Daten erheben (Rechtsgrundlage)

Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): für die Anmeldung zur Warteliste und Marketingkommunikation
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): zur Bereitstellung des von Ihnen abonnierten QuoteXelerator-Dienstes
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): zur Verbesserung des Dienstes, Sicherheit und Betrugsprävention
  • Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): für steuer- und buchhaltungsrechtliche Aufbewahrungspflichten

4. Empfänger (Unterauftragsverarbeiter)

QuoteXelerator setzt die folgenden Unterauftragsverarbeiter ein. Die Liste entspricht Anlage 3 unseres Auftragsverarbeitungsvertrags (AVV):

  • Supabase Inc. / Supabase Pte. Ltd., 970 Toa Payoh North #07-04, Singapore 318992 (genaue Vertragsentität gemäß unterzeichneter DPA): primäre Postgres-Datenbank, Authentifizierung, Storage. Verarbeitungsort: AWS eu-central-1 (Frankfurt). Datenkategorien: Reseller-Benutzerkonten, gehashte Zugangsdaten, Deal-/Angebots-Metadaten, gecachte HubSpot-Kennungen, Anwendungs-Logs. Übermittlungsmechanismus: SCCs Modul 3 (extra-EU-Vertragsentität), der tatsächliche Datenfluss verbleibt in der EU.
  • Vercel, Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA): Anwendungs-Hosting und Serverless Functions. Ihre eigentlichen Anwendungsdaten (Angebotsinhalte, Deal-Datensätze, Line Items, Audit-Logs, Kundendaten) werden ausschließlich in der EU (Frankfurt / Dublin) verarbeitet und niemals an US-Server gesendet. Nur Verbindungs-Metadaten (Ihre IP-Adresse, HTTP-Request-Header, Edge-Zugriffsprotokolle) durchlaufen das globale Edge-Netzwerk von Vercel, das auch US-Server umfasst, wo sie für DDoS-Schutz und die Web Application Firewall (WAF) genutzt werden, also zur Abwehr von Cyberangriffen gegen den Dienst. Übermittlungsmechanismus: SCCs Modul 3 + EU-US Data Privacy Framework (Belt-and-Suspenders).
  • Anthropic, PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA): KI-Analyse für die Vorfallsuntersuchung (siehe §9b). Eingaben werden vor Übermittlung PII-bereinigt und nicht zum Modelltraining genutzt. Übermittlungsmechanismus: SCCs Modul 3. Details zur Übermittlung (TIA) auf Anfrage.
  • GitHub B.V. (Prins Bernhardplein 200, 1097 JB Amsterdam, Niederlande; Konzernmutter Microsoft Corp., USA): Versionskontrolle und GitHub-Actions-Runner für den Workflow der Vorfallsuntersuchung. Es werden ausschließlich bereinigte Incident-IDs und Fingerprints verarbeitet. Übermittlungsmechanismus: SCCs Modul 3 + EU-US DPF.
  • HubSpot Ireland Limited (Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Irland); Doppelrolle:
    • (a) Plattform und Datenquelle: HubSpot stellt die Plattform bereit, auf der QuoteXelerator als installierte App betrieben wird. Für Daten, die im HubSpot-Portal des Kunden verbleiben, ist HubSpot der eigene Auftragsverarbeiter des Kunden; insoweit nicht Unterauftragsverarbeiter der Nomadyr UG.
    • (b) Unterauftragsverarbeiter der Nomadyr UG für Portaldaten, die QuoteXelerator über die vom Kunden erteilten OAuth-Berechtigungen in Supabase übernimmt (Deal-IDs, Line-Item-Snapshots, Kontakt-E-Mails für Benachrichtigungen, OAuth- und Refresh-Tokens).
    Übermittlungsmechanismus: EU-EU-Verarbeitung unter Angemessenheit, sofern das Kundenportal die EU-Residenz-Option von HubSpot nutzt. Für US-resident gehostete Portale (HubSpot, Inc.): SCCs Modul 3 + EU-US DPF.
  • Resend, Inc. (San Francisco, CA, USA): transaktionale E-Mail-Zustellung (Abonnement-Bestätigungen, Zahlungsfehler, Stornierungen, Founding-Member-Mails, Wartelisten-Bestätigungen, Änderungsbenachrichtigungen). Konto-, Log- und E-Mail-Metadaten (Empfänger-Adresse, Betreff, Zustell- und Bounce-Status) werden bei Resend in den USA gespeichert, unabhängig von der gewählten Versandregion. Outbound-SMTP-Egress ist eu-west-1 (Irland); die Persistenz der Metadaten ist es nicht. Übermittlungsmechanismus: SCCs Modul 3 + EU-US DPF, sofern aktiv (Resend-DPF-Zertifizierung Feb./März 2025).

4a. Selbständig Verantwortliche

Folgende Stelle verarbeitet personenbezogene Daten als selbständig Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Sie ist kein Unterauftragsverarbeiter der Nomadyr UG:

  • Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irland. Rolle: Zahlungsabwicklung, Betrugsprävention, AML/KYC-Compliance. Stripe Technology Company Limited (STC) wurde mit Wirkung zum 3. Januar 2026 als zusätzliche EMEA/APAC-Verantwortliche aufgenommen; siehe stripe.com/legal/dpa und stripe.com/legal/dta für Stripes eigene Verantwortlichen-Hinweise, Aufbewahrungsfristen und Kontaktwege für Betroffenenrechte.

4b. Externe Datenquellen (keine Übermittlung personenbezogener Daten)

Für die Bereitstellung von Devisenreferenzkursen ruft QuoteXelerator öffentliche Endpunkte folgender Stellen ab: Europäische Zentralbank (EZB), Frankfurter.app, Wise plc und Revolut Ltd. Es werden ausschließlich öffentliche Kurse abgerufen (Read-only-Anfragen). Personenbezogene Daten werden nicht übermittelt. Diese Stellen sind keine Auftragsverarbeiter.

Eine versionierte Übersicht aller Unterauftragsverarbeiter ist im AVV (Anlage 3) verfügbar.

5. Wer hat Zugriff

Nur der Gründer/Betreiber der Nomadyr UG (haftungsbeschränkt) hat Zugriff auf Ihre Daten. Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht mit Dritten zu Marketingzwecken. Die oben genannten Auftragsverarbeiter greifen nur insoweit auf Daten zu, wie es zur Erbringung ihrer Dienste erforderlich ist.

6. Wie lange wir Daten aufbewahren

  • Wartelisten-Daten: bis Sie die Löschung beantragen oder die Warteliste nicht mehr aktiv ist
  • Konto- und Abonnementdaten: Vertragsdauer + 90 Tage, danach automatische Löschung
  • Audit-Logs: Vertragsdauer + 90 Tage, danach automatische Löschung
  • Rechnungs- und Buchhaltungsdaten: Aufbewahrung für 10 Jahre gemäß deutschem Steuerrecht (§ 147 AO, § 257 HGB)
  • Nutzungsmetriken: nach 24 Monaten aggregiert und anonymisiert

7. Ihre Rechte

Gemäß der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Erhalt einer Kopie Ihrer personenbezogenen Daten
  • Recht auf Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten beantragen
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Fällen
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen
  • Recht bei automatisierten Entscheidungen (Art. 22 DSGVO): QuoteXelerator generiert Angebotspositionen auf Basis der von Ihnen konfigurierten Regeln. Jede Position erfordert weiterhin die Prüfung durch Ihr Team, bevor sie einem Kunden zugesendet oder in einem Vertrag verwendet wird; das System trifft keine rechtsverbindlichen Entscheidungen für Sie
  • Recht auf Widerruf der Einwilligung: jederzeit, ohne Beeinträchtigung der Rechtmäßigkeit der vorherigen Verarbeitung
  • Beschwerderecht: bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Zur Ausübung dieser Rechte kontaktieren Sie uns unter legal@quotexelerator.com.

8. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein, darunter:

  • Branchenübliche Verschlüsselung bei der Übertragung und im Ruhezustand
  • Strikte Datenisolierung zwischen Kunden auf Datenbankebene
  • AES-256-GCM-Verschlüsselung auf Anwendungsebene mit portal-spezifischer Schlüsselableitung, angewendet auf enumerierte finanziell sensible Felder (Cost-Basis-Beträge, Reservierungskurse, Quote-Snapshots, Audit-Log-Details, Approval-Daten)
  • Keine Klartextspeicherung von Zugangsdaten oder Zugriffstokens
  • Rollenbasierte Zugriffskontrollen

9. Auftragsverarbeitungsvertrag (AVV)

Soweit wir personenbezogene Daten in Ihrem Auftrag verarbeiten (Auftragsverarbeitung), schließen die Parteien einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Die englische Übersetzung ist als Data Processing Agreement (DPA) verfügbar. Um eine gegengezeichnete Fassung anzufordern, kontaktieren Sie uns unter legal@quotexelerator.com.

9b. KI-gestützte Vorfallsuntersuchung (Art. 50 KI-VO)

Zur Untersuchung von Systemvorfällen (Fehler und Ausfälle in der Produktion) verwendet QuoteXelerator das KI-Modell Claude des Anbieters Anthropic, PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA). Sie werden hiermit darüber informiert, dass diese Vorfallsanalyse durch ein KI-System unterstützt wird (Art. 50 KI-VO). Tritt in der Produktion ein Fehler auf, können bereinigte technische Metadaten (Stack-Trace-Fingerprints, Fehler-Codes, Request-Pfade, Häufigkeiten) zur automatisierten Diagnose an Anthropic übermittelt werden. Rohe Kundendaten, Angebotspositionen, Deal- oder Line-Item-Inhalte sowie Klartext-E-Mail-Adressen werden nicht übermittelt.

Bevor ein Vorfalls-Payload das System verlässt, durchläuft er mehrere Schichten automatisierter Kontrollen, die personenbezogene Daten und Geheimnisse aus Vorfallsprotokollen entfernen, bevor irgendetwas an das KI-Modell übermittelt wird. Diese Kontrollen umfassen pattern-basierte Schwärzung bei der Ingestion, eine Compile-Time-Feld-Allowlist, Schema-Validierung zur Laufzeit an der Egress-Grenze, einen Audit-Trail aller Übertragungen, Fail-Closed-E-Mail-Alarmierungen bei Anomalien sowie wöchentliche automatisierte Regressionstests. Die Kontrollen sind darauf ausgelegt, einen Leak unwahrscheinlich und sichtbar zu machen; sie werden nicht als formale Garantie dargestellt. Restrisiko wird durch ergänzende Maßnahmen abgefedert: Standardvertragsklauseln Modul 3, vertragliche No-Training-Zusage von Anthropic (Anthropic Commercial Terms), kurze Retention bei Anthropic (30 Tage Inferenz-Logs, 7 Tage Trust-and-Safety-Logs) sowie eine dokumentierte Transfer-Impact-Analyse. Wir und die zur Service-Verbesserung eingesetzten KI-Tools sehen ausschließlich diesen bereinigten Fehlerkontext, niemals Rohdaten. Die technische Architektur der Schwärzungs-Pipeline ist in unseren Technischen und Organisatorischen Maßnahmen (TOM) §3a dokumentiert.

Übermittlungsmechanismus: EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, Modul 3 (Auftragsverarbeiter zu Unterauftragsverarbeiter), ergänzt durch das EU-US Data Privacy Framework, sofern aktiv. Eine Transfer-Impact-Analyse (TIA) gemäß Schrems II liegt vor und wird auf Anfrage zur Verfügung gestellt.

10. Cookies

Aktuell setzen wir keine Cookies auf dieser Website. Anonyme Seitenaufrufe werden cookielos über Vercel Web Analytics und Speed Insights gemessen: keine IP-Speicherung, keine Wiedererkennung von Besuchern.

Sollten wir künftig Cookies einsetzen (z. B. HubSpot-Analytics oder Marketing-Pixel), erhalten Sie beim ersten Besuch ein zentriertes Banner zur Auswahl. Notwendige Cookies wären dann immer aktiv; Analytics- und Marketing-Cookies bleiben aus, bis Sie sie aktiv akzeptieren. Die genaue Liste der gesetzten Cookies (Name, Zweck, Laufzeit) erscheint im Banner zum Zeitpunkt der Aktivierung. Diese Datenschutzerklärung wird parallel aktualisiert.

11. Internationale Datenübermittlungen

Mehrere Unterauftragsverarbeiter haben ihren Sitz oder verarbeiten Daten außerhalb des EWR. Jede Übermittlung ist durch einen eigenen Mechanismus abgedeckt:

  • HubSpot Ireland Limited (IE): EU-Verarbeitung unter Angemessenheit, sofern das Kundenportal HubSpots EU-Residenz-Option nutzt. Bei US-Hosting (HubSpot, Inc.): SCCs Modul 3 + EU-US DPF (Belt-and-Suspenders).
  • Vercel, Inc. (US): Anwendungsfunktionen laufen ausschließlich in fra1/dub1 (EU). Nur Verbindungs-Metadaten (IP, Request-Header, Zugriffsprotokolle) durchlaufen das US-Edge für DDoS- und WAF-Schutz; keine Anwendungsdaten verlassen die EU über diesen Pfad. SCCs Modul 3 + EU-US DPF.
  • Resend, Inc. (US): Konto-, Log- und E-Mail-Metadaten werden in den USA gespeichert. Outbound-SMTP EU-routbar. SCCs Modul 3 + EU-US DPF.
  • Anthropic, PBC (US): KI-Inferenz für die Vorfallsuntersuchung (siehe §9b). SCCs Modul 3; Eingaben vor Übermittlung PII-bereinigt; keine Trainingsnutzung. Details zur Übermittlung (TIA) auf Anfrage.
  • Supabase Inc. / Supabase Pte. Ltd. (970 Toa Payoh North #07-04, Singapore 318992, genaue Vertragsentität gemäß unterzeichneter DPA): Verarbeitung erfolgt in eu-central-1 Frankfurt; vertraglich SCCs Modul 3 wegen extra-EU-Vertragsentität, faktischer Datenfluss bleibt EU.
  • GitHub B.V. (NL) / Microsoft Corp. (US): SCCs Modul 3 + EU-US DPF.
  • Stripe verarbeitet Zahlungsdaten als selbständig Verantwortlicher in Dublin (IE); SCCs werden insoweit nicht durch Nomadyr UG abgeschlossen (siehe §4a).

Ergänzende Maßnahmen (Schrems II): TLS 1.2+ im Transit, AES-256 im Ruhezustand sowie AES-256-GCM auf Anwendungsebene für sensible Felder, Datenminimierung, pattern-basierte Bereinigung vor Übermittlung an KI-Modelle (siehe §9b), vertragliche No-Training-Zusage mit Anthropic, dokumentierte Transfer-Impact-Analysen.

Restrisiko-Hinweis: Trotz EU-Standardvertragsklauseln und ergänzender Maßnahmen kann ein Restrisiko durch US-Überwachungsgesetze (FISA 702, EO 12333, Cloud Act) nicht vollständig ausgeschlossen werden. Nomadyr UG begrenzt dieses Risiko durch die vorgenannten Maßnahmen. Eine Transfer-Impact-Analyse liegt vor und wird auf Anfrage zur Verfügung gestellt.

12. Änderungen dieser Richtlinie

Wir können diese Richtlinie im Zuge der Produktentwicklung aktualisieren. Wesentliche Änderungen werden registrierten Nutzern per E-Mail mitgeteilt. Alle Änderungen werden auf dieser Seite mit einem aktualisierten Datum veröffentlicht.

13. Kontakt

Nomadyr UG (haftungsbeschränkt)
Kolonnenstraße 8, 10827 Berlin, Deutschland
HRB 280266 B, Amtsgericht Charlottenburg
USt-IdNr. DE460912683
E-Mail: legal@quotexelerator.com