Your AI Twin
PREVIEW

Datenschutzerklärung

Zuletzt aktualisiert: 2026-04-03

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Plattform ist: Andre Unger Heideweg 22 59069 Hamm Germany E-Mail: twin_support@familie-unger.info Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten kontaktieren Sie uns bitte unter der oben genannten E-Mail-Adresse.

2. Art der erhobenen Daten

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

2.1 Kontodaten (Creator)

Bei der Registrierung als Creator erheben wir Ihre E-Mail-Adresse, Ihren Anzeigenamen sowie Ihre Länderangabe (ISO-3166-1-alpha-2-Ländercode). Diese Daten sind für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Die Länderangabe bestimmt die verfügbaren Plattformfunktionen sowie die anwendbaren länderspezifischen rechtlichen Bedingungen; näheres hierzu unter Abschnitt 2.10.

2.2 Nutzungsdaten

Wir erheben anonymisierte Nutzungsdaten wie Abfragezahlen, Sitzungsdauern und Interaktionsmuster. IP-Adressen werden sofort bei der Erhebung anonymisiert (gehasht). Diese Daten werden auf Grundlage unseres berechtigten Interesses an der Verbesserung des Dienstes verarbeitet (Art. 6 Abs. 1 lit. f DSGVO).

2.3 Technische Daten

Beim Zugriff auf unsere Plattform übermittelt Ihr Browser automatisch technische Daten (Browsertyp, Betriebssystem, Referrer-URL). IP-Adressen werden anonymisiert und nicht in identifizierbarer Form gespeichert. Es werden keine persistenten Cookies oder Fingerprints zum Tracking verwendet.

2.4 Abrechnungsdaten

Wenn Sie ein kostenpflichtiges Abonnement abschließen, erheben und speichern wir Ihre Rechnungsadresse. Diese wird benötigt für die Berechnung der anwendbaren Umsatzsteuer sowie zur Erfüllung der handelsrechtlichen Aufbewahrungspflichten gemäß § 257 HGB (10 Jahre). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Zahlungskartendaten, Bankverbindungen und sonstige Zahlungsinstrumentdaten werden vom Anbieter zu keinem Zeitpunkt auf eigenen Servern gespeichert oder verarbeitet. Diese Daten werden ausschließlich durch den externen Zahlungsdienstleister verarbeitet, der dem Creator im Creator-Portal und beim Checkout ausgewiesen wird. Für die Verarbeitung dieser Daten gelten die Datenschutzbestimmungen des jeweiligen Zahlungsdienstleisters. Rechnungsdaten (Rechnungsnummer, Positionen, Beträge, Steuern) werden als Bestandteil des Buchführungssystems des Anbieters für die gesetzliche Aufbewahrungsfrist von 10 Jahren gespeichert.

2.5 Dokumentendaten (Creator)

Creator laden Dokumente hoch, um ihre AI Twins zu trainieren. Diese Dokumente werden verarbeitet und für den KI-Abruf indexiert. Dokumentendaten sind durch Row-Level Security (RLS) strikt pro Creator und Twin isoliert. Nur der Creator und autorisierte Lernende können auf das resultierende Wissen zugreifen.

2.6 Interaktionsdaten der Lernenden

Lernende, die mit einem Twin interagieren, können optional der Speicherung ihres Interaktionsverlaufs zustimmen (Gesprächsdaten, Lesezeichen). Ohne ausdrückliche Einwilligung werden Interaktionen nur im anonymen Modus verarbeitet. Die Einwilligung kann jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO). Der Zugang für Lernende erfolgt über Magic Links: Nach Eingabe der E-Mail-Adresse wird ein einmaliger Zugriffslink per E-Mail versendet (gültig für 15 Minuten). Bei der Verifizierung wird ein technisch notwendiger Sitzungscookie gesetzt (learner_session, 24 Stunden, httpOnly). Die E-Mail-Adresse wird ausschließlich als SHA-256-Hash gespeichert — niemals im Klartext. Lesezeichen werden in der Datenbank gespeichert (nicht im Browser) und erfordern eine aktive Einwilligung. Soweit ein Creator seinen AI Twin im Zugriffsmodus \"Restricted\" betreibt, werden E-Mail-Adressen von Lernenden zusätzlich für die Zugriffsprüfung (Abgleich mit der vom Creator konfigurierten Zugriffsliste) sowie zur Zustellung des Magic Links im Klartext verarbeitet. Diese Klartextverarbeitung beschränkt sich auf den Authentifizierungsvorgang; nach erfolgreicher Verifikation erfolgt ausschließlich eine Hash-basierte Speicherung. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Creator) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung).

2.6a Speicherung von Chat-Nachrichten

Chat-Nachrichten, die zwischen Lernenden und AI Twins ausgetauscht werden, werden zum Zweck der Diensterbringung, Verbesserung der Antwortqualität und Analyse gespeichert. Gespeicherte Daten umfassen den Nachrichtentext, Zeitstempel, referenzierte Quellen und die Twin-Kennung — über den pseudonymisierten Sitzungsbezeichner hinaus werden keine personenbezogenen Daten aufbewahrt. Nachrichten von authentifizierten Lernenden werden für bis zu 120 Tage aufbewahrt (90 Tage aktiv + 30 Tage Übergangsfrist), danach werden sie endgültig gelöscht. Für anonyme Nutzer (öffentliche Twins) werden Sitzungsdaten nach 90 Tagen Inaktivität und einer anschließenden 30-tägigen Übergangsfrist endgültig gelöscht. Aggregierte, nicht-personenbezogene Analysen (Themenverteilungen, Antwortqualitätsmetriken), die aus Chat-Daten abgeleitet werden, können über die Löschung der Rohdaten hinaus aufbewahrt werden. Die Rechtsgrundlage für die Speicherung von Chat-Nachrichten ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Diensterbringung und Qualitätsverbesserung) für anonyme Nutzer sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für authentifizierte Nutzer. Authentifizierte Lernende können jederzeit die Löschung ihrer gespeicherten Interaktionsdaten über ihre Profileinstellungen beantragen.

2.7 Anonyme Nutzung (öffentliche Twins)

Wenn Sie einen öffentlich zugänglichen Twin ohne Registrierung oder Magic Link nutzen, erheben wir ausschließlich einen pseudonymisierten Sitzungsfingerprint (SHA-256-Hash aus IP-Adresse und Browser-Kennung). Weder Ihre IP-Adresse noch andere identifizierende Daten werden im Klartext gespeichert. Es werden keine Cookies gesetzt. Da wir Sie in diesem Fall nicht identifizieren können, finden die Betroffenenrechte gemäß Art. 15–20 DSGVO keine Anwendung (Art. 11 DSGVO). Die pseudonymisierten Sitzungsdaten werden nach 90 Tagen Inaktivität automatisch gelöscht.

2.8 Daten bei Partner-Integrationen

Twins können in Plattformen von Partnerorganisationen eingebettet werden. Bei der Nutzung eines eingebetteten Twins werden folgende Daten verarbeitet: Ihre vom Partner übermittelte Nutzerkennung wird ausschließlich als nicht-umkehrbarer Hash (HMAC-SHA256) gespeichert — weder wir noch der Partner können daraus Ihre Identität ableiten. Anonymisierte Sitzungsdaten (Sitzungs-ID, Nachrichtenlänge, Kurskontext) können per Webhook an den Partner übermittelt werden. Diese Webhooks enthalten keine personenbezogenen Daten — lediglich den gehashten Nutzeridentifikator und aggregierte Interaktionsdaten. Der Partner erhält darüber hinaus Zugang zu anonymisierten Analysen (Themenverteilungen, Nutzungsmuster), die erst ab mindestens 10 Nutzern angezeigt werden (k-Anonymität). Der Partner ist für die Einhaltung seiner eigenen datenschutzrechtlichen Pflichten gegenüber seinen Nutzern verantwortlich.

2.9 API-Nutzungsdaten (Audit-Log)

Soweit ein Creator die Twin-API nutzt, werden zur Sicherstellung des ordnungsgemäßen Betriebs, zur Erkennung von Missbrauch und zur Abrechnung pseudonymisierte API-Nutzungsdaten in einem Audit-Log erfasst. Im Audit-Log werden ausschließlich folgende Daten gespeichert: der verwendete Kanal (z.B. Telegram, E-Mail, eigene Integration), Zeitpunkt des API-Aufrufs, Token-Verbrauch, HTTP-Statuscode sowie die Sitzungs-ID als SHA-256-Hash (Pseudonymisierung). Nachrichteninhalte, IP-Adressen und sonstige personenbezogene Daten werden im API-Audit-Log nicht gespeichert. Die Aufbewahrungsfrist für Audit-Log-Einträge beträgt 90 Tage; nach Ablauf dieser Frist erfolgt eine automatische Löschung. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit, Missbrauchsprävention und Abrechnung).

2.10 Geo-Governance-Daten

Bei der Registrierung wird der vom Creator angegebene Ländercode (ISO-3166-1-alpha-2, zweistellig, z.B. \"DE\" für Deutschland) erhoben und gespeichert. Der Ländercode bestimmt, welche Plattformfunktionen für den Creator verfügbar sind, welche länderspezifischen rechtlichen Bedingungen Anwendung finden und in welcher geografischen Region die Daten des Creators verarbeitet werden (Data-Plane-Region). Die Data-Plane-Region wird aus dem Ländercode abgeleitet; zum Zeitpunkt der Aktualisierung dieser Erklärung ist die einzige unterstützte Region die EU (Serverstandort Deutschland). Änderungen des Ländercodes sind nicht häufiger als einmal je 90 Kalendertage zulässig; jede Änderung wird protokolliert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Einhaltung rechtlicher Verpflichtungen, insbesondere länderspezifischer Compliance-Anforderungen).

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für optionale Analysen und den Interaktionsverlauf der Lernenden. Creators und Lernende können eine erteilte Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Zur Dokumentation der Einwilligung (Consent-Protokoll) werden folgende technische Nachweise pseudonymisiert gespeichert: IP-Adresse und User-Agent des einwilligenden Geräts, jeweils als SHA-256-Hash unter Verwendung eines separaten, gesondert aufbewahrten Salts. Der Original-Wert kann aus dem gespeicherten Hash nicht rekonstruiert werden. Der Salt wird getrennt von den Einwilligungsdaten verwahrt. Diese Maßnahme dient der Erfüllung der Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO. Rechtsgrundlage für die Verarbeitung des Consent-Protokolls ist Art. 6 Abs. 1 lit. c DSGVO.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Für Kontoerstellung, Twin-Verwaltung und Abonnementdienste.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für Plattformsicherheit, Betrugsprävention, Missbrauchserkennung und Serviceverbesserung durch anonymisierte Analysen sowie für die Führung des API-Audit-Logs (vgl. Abschnitt 2.9).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Für die Aufbewahrung von Abrechnungsdaten gemäß § 257 HGB (10 Jahre) sowie für die Dokumentation von Einwilligungen gemäß Art. 7 Abs. 1 DSGVO.

4. Drittanbieter und Auftragsverarbeiter

Wir nutzen folgende Drittanbieter zum Betrieb der Plattform:

  • Supabase (Supabase Inc., USA): Datenbank-Hosting und Authentifizierungsdienste. Daten werden in der EU (Frankfurt, AWS-Region eu-central-1) gehostet. Supabase nimmt am EU-US Data Privacy Framework teil; zudem bestehen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag liegt vor.
  • Mistral AI (Mistral AI SAS, Frankreich): Großes Sprachmodell für AI-Twin-Antworten und Dokument-Embeddings. Mistral AI ist ein EU-basiertes Unternehmen. Ihre Anfragen werden zur Generierung von Antworten verarbeitet, aber nicht zum Training von Mistrals Modellen verwendet.
  • Qdrant: Vektordatenbank für semantische Suche. Wird zur Speicherung von Dokument-Embeddings verwendet (nicht von Rohdokumentinhalten). Qdrant wird self-hosted auf EU-Infrastruktur (Hetzner, Deutschland) betrieben.
  • E-Mail-Dienstleister (Mailjet von Sinch, Frankreich): Für Transaktions-E-Mails (Registrierungsbestätigung, Passwortzurücksetzung, Kontingent-Benachrichtigungen). Übermittelte Daten: E-Mail-Adresse des Empfängers und E-Mail-Inhalt (Name, sofern angegeben). E-Mails werden innerhalb der EU verarbeitet. Daten werden innerhalb von 90 Tagen nach Kontobeendigung gelöscht. Sub-Auftragsverarbeiter-Liste: sinch.com/legal/data-protection-agreement-sub-processors/
  • Redis: Wird ausschließlich zur Ratenbegrenzung (Rate Limiting) verwendet. Es werden keine personenbezogenen Daten persistent gespeichert. Redis wird self-hosted auf EU-Infrastruktur (Hetzner, Deutschland) betrieben.
  • Zahlungsdienstleister: Die Abwicklung von Zahlungen erfolgt über einen externen Zahlungsdienstleister; der aktuell eingesetzte Dienstleister wird dem Creator im Creator-Portal und beim Checkout ausgewiesen. Der Zahlungsdienstleister verarbeitet Zahlungskartendaten und sonstige Zahlungsinformationen in eigenem Namen und eigener Verantwortung; diese Daten werden nicht an den Anbieter übermittelt. Gegenstand der Übermittlung an den Zahlungsdienstleister ist ausschließlich der zu zahlende Betrag sowie die für die Rechnungsstellung erforderlichen Identifikationsdaten (E-Mail-Adresse, Rechnungsreferenz). Sobald ein konkreter Zahlungsdienstleister feststeht, werden dessen Name, Sitz und ein Verweis auf seine Datenschutzbestimmungen an dieser Stelle ergänzt.
  • Partnerorganisationen: Wenn ein Twin in eine Partnerplattform eingebettet ist, erhält der Partner anonymisierte Interaktionsdaten per Webhook (keine personenbezogenen Daten, nur gehashte Nutzer-IDs und aggregierte Metriken). Der Partner agiert als eigenständiger Verantwortlicher für die von ihm empfangenen Daten. Die Datenübermittlung erfolgt verschlüsselt und kryptografisch signiert (HMAC-SHA256).

5. Speicherdauer

Wir bewahren Ihre Daten nur so lange auf, wie es für die genannten Zwecke erforderlich ist:

  • Kontodaten: Dauer Ihres Kontos plus 30 Tage nach Löschung.
  • Rechnungsadresse und Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 257 HGB und § 14 UStG). Zahlungsinstrumentdaten (Kartendaten, Bankverbindungen) werden vom Anbieter nicht gespeichert.
  • Sitzungsdaten der Lernenden: 90 Tage Inaktivität, dann 30 Tage Übergangsfrist vor endgültiger Löschung. Dies gilt für alle Chat-Sitzungen, einschließlich anonymer (öffentlicher Twin) Nutzung.
  • Chat-Nachrichteninhalte: Werden nach 120 Tagen endgültig gelöscht. Aggregierte Analysen aus Gesprächen (Themen-Trends, Nutzungsstatistiken, Qualitätsmetriken) werden in anonymisierter Form aufbewahrt und können nicht auf einzelne Sitzungen oder Nutzer zurückgeführt werden.
  • Quizantworten: 30 Tage nach Durchführung anonymisiert (Antwortinhalte entfernt, nur Bewertungen und Ergebnisse bleiben). Quiz-Sitzungsdaten werden zusammen mit den Lernenden-Sitzungsdaten gelöscht.
  • Aggregierte Frageanalysen: 30 Tage, danach automatisch gelöscht. Enthält keine personenbezogenen Daten (PII-bereinigt, k-anonymisiert).
  • Twin-Insights (Zitieranalysen, Sitzungsmetriken, Inhaltsqualität, Zielgruppenintelligenz): Gespeichert für die Dauer des Twins. Ausschließlich anonymisierte Aggregatdaten ohne Personenbezug. Werden bei Löschung des Twins automatisch mitgelöscht.
  • Partner-Sitzungsdaten: 24 Stunden nach Sitzungsende automatisch gelöscht. Enthalten ausschließlich gehashte Nutzerkennungen (keine personenbezogenen Daten).
  • Partner-Webhook-Protokolle: 30 Tage zu Audit-Zwecken, danach automatisch gelöscht. Enthalten nur anonymisierte Daten.
  • API-Audit-Log-Einträge: 90 Tage, danach automatische Löschung. Enthalten ausschließlich pseudonymisierte technische Metadaten (vgl. Abschnitt 2.9).
  • Einwilligungsnachweise (Consent-Protokoll): Aufbewahrung für die Dauer des Kontos zuzüglich der gesetzlich erforderlichen Nachweisfrist; mindestens jedoch bis zum Ablauf möglicher Verjährungsfristen für datenschutzrechtliche Ansprüche. Danach automatische Löschung.
  • Systemprotokolle: Maximal 30 Tage, mit anonymisierten IP-Adressen.
  • Zugriffskontrollprotokolle: E-Mail-Adressen werden nach 30 Tagen anonymisiert.

6. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre gespeicherten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger personenbezogener Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) anfordern.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte unter twin_support@familie-unger.info. Lernende können auch die Self-Service-Datenverwaltungsfunktionen innerhalb der Plattform nutzen.

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform unerlässlich sind. Diese bedürfen keiner Einwilligung gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie (§ 25 Abs. 2 TTDSG). Wir verwenden keine Tracking-Cookies, Analyse-Cookies oder Drittanbieter-Cookies.

Folgende Cookies werden verwendet:

  • sb-* (Supabase-Authentifizierung): Technisch notwendiger Sitzungscookie für die Anmeldung. Wird gelöscht, wenn die Sitzung endet.
  • learner_session: Technisch notwendiger Cookie zur Identifikation von Lernenden nach Magic-Link-Verifizierung. Gültigkeitsdauer: 24 Stunden. HttpOnly (nicht per JavaScript auslesbar).
  • NEXT_LOCALE: Technisch notwendiger Cookie zur Speicherung der vom Nutzer gewählten Spracheinstellung. Persistent bis zur manuellen Löschung.

8. Analysen und Datenschutz

Unser Analysesystem ist nach dem Prinzip Privacy by Design aufgebaut. Alle Analysen sind aggregiert und anonymisiert. Wir setzen k-Anonymität durch: Frageanalysen werden erst ab mindestens 5 gleichartigen Anfragen angezeigt, Sitzungs- und Verhaltensanalysen erst ab mindestens 10 Lernenden. Personenbezogene Daten (E-Mail-Adressen, Telefonnummern, URLs) werden vor der Aggregation automatisch entfernt. Es wird kein individuelles Nutzerverhalten verfolgt oder profiliert. Creator können optional Analysen für ihre Twins aktivieren, aber Lernende müssen ausdrücklich zustimmen, bevor personalisierte Daten erhoben werden.

9. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um, darunter: Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256), Row-Level Security (RLS) auf Datenbankebene zur Mandantenisolierung, Anonymisierung von IP-Adressen und Benutzerkennungen in Protokollen, regelmäßige Sicherheitsüberprüfungen und Zugriffskontrollen sowie strukturiertes Audit-Logging für alle sensiblen Vorgänge.

10. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden registrierten Nutzern per E-Mail mitgeteilt. Das Datum der letzten Aktualisierung ist oben auf dieser Seite angegeben.

11. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb der EU/des EWR:

  • Supabase Inc. (USA): Ihre Daten werden in der EU (Frankfurt, aws-eu-central-1) gehostet. Supabase ist am EU-US Data Privacy Framework zertifiziert und es bestehen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag (DPA) liegt vor.

Alle übrigen Auftragsverarbeiter (Mistral AI, Brevo, Mailjet) haben ihren Sitz in der EU und unterliegen unmittelbar der DSGVO. Qdrant und Redis werden selbst gehostet auf EU-Infrastruktur (Hetzner, Deutschland).

12. Automatisierte Entscheidungsfindung und KI

Unsere Plattform verwendet KI-Modelle (Mistral AI), um Antworten basierend auf hochgeladenen Dokumenten zu generieren. Diese KI-generierten Antworten stellen keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO dar — sie haben keine rechtliche Wirkung und beeinträchtigen Sie nicht in ähnlicher erheblicher Weise. Es findet kein Profiling der Nutzer statt. Die KI verarbeitet Ihre Anfragen ausschließlich zur Generierung von Antworten; Ihre Anfragen werden nicht zum Training der KI-Modelle verwendet.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde ist die Datenschutzbehörde des Bundeslandes, in dem unser Sitz liegt. Sie können sich jedoch auch an die Aufsichtsbehörde Ihres eigenen Mitgliedstaates wenden.