Fire-Enrich

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und Art. 14 DSGVO · Stand: 21. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Pascal Schmitz
PS Digital Solutions (Einzelunternehmen)
Am Baumberg 13
58802 Balve
Deutschland
Telefon: +49 151 70810647
E-Mail: info@ps-digital-solutions.de

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht zu bestellen. Anfragen zum Datenschutz richten Sie bitte an den unter Ziffer 1 genannten Verantwortlichen.

3. Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten durch den Verantwortlichen im Zusammenhang mit der Bereitstellung des Dienstes „Fire-Enrich" unter app.ps-digital-solutions.de (nachfolgend „Dienst").

4. Begriffsbestimmungen

Wir verwenden in dieser Datenschutzerklärung die Begriffe der DSGVO (z.B. „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „betroffene Person"). Die Definitionen finden sich in Art. 4 DSGVO.

5. Hosting und Bereitstellung des Dienstes

Der Dienst wird auf einem Virtual Private Server (VPS) der Hostinger International Ltd., Rechenzentrumsstandort Deutschland (Europäische Union) betrieben. Sämtliche Verarbeitungssysteme (Applikation, Datenbank, Authentifizierung, Scraping-Infrastruktur) werden durch uns auf diesem Server selbst gehostet und nicht an Cloud-Dienste dieser Komponenten ausgelagert. Eine Übermittlung in ein Drittland findet durch das Hosting selbst nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung des Dienstes). Mit Hostinger besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

6. Aufruf der Website, Server-Logs

Beim Aufruf des Dienstes werden durch den Reverse-Proxy (Traefik/Coolify) automatisch Informationen in einer Protokolldatei gespeichert, die Ihr Browser übermittelt:

  • IP-Adresse des zugreifenden Rechners (gekürzt bzw. pseudonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL bzw. Datei
  • Übermittelte Datenmenge
  • HTTP-Statuscode
  • Referrer-URL
  • User-Agent (Browser, Betriebssystem)

Diese Daten sind technisch erforderlich, um den Dienst auszuliefern, Angriffe abzuwehren und die Stabilität sicherzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Funktionsfähigkeit).

Speicherdauer: maximal 14 Tage, danach automatische Löschung bzw. Anonymisierung. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht.

7. Registrierung und Nutzerkonto

Für die Nutzung des Dienstes ist ein Nutzerkonto erforderlich. Die Anmeldung erfolgt passwortlos über einen Einmal-Link (Magic Link) an die angegebene E-Mail-Adresse. Zugang besteht derzeit ausschließlich auf Einladung.

Wir verarbeiten dazu:

  • E-Mail-Adresse (Pflichtangabe)
  • Anzeigename und Profilbild (optional)
  • Rolle im System (z.B. Mitglied, Administrator)
  • Zeitstempel von Registrierung, Login, E-Mail-Bestätigung
  • Gegebenenfalls im Kontext des Einzelvertrags: Rechnungsadresse, Firmenname, Umsatzsteuer-Identifikationsnummer

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).

Speicherdauer: für die Dauer des Bestehens des Nutzerkontos. Nach Kontolöschung werden die Daten innerhalb von 30 Tagen endgültig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB) entgegenstehen. Rechnungsdaten werden bis zu zehn Jahre aufbewahrt.

8. E-Mail-Versand (Magic Links, Einladungen, Benachrichtigungen)

Zum Versand transaktionaler E-Mails (Login-Links, Einladungen, Bestellbestätigungen, Administrationshinweise) nutzen wir den Dienst der Resend, Inc., 2261 Market Street #4667, San Francisco, CA 94114, USA (nachfolgend „Resend").

Dabei werden die Empfänger-E-Mail-Adresse sowie der Inhalt der jeweiligen E-Mail an Resend übermittelt. Resend verarbeitet diese Daten in den USA. Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln). Resend ist nach unserem Kenntnisstand unter dem EU-US Data Privacy Framework zertifiziert.

Mit Resend besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

9. Enrichment-Verarbeitung: Hochgeladene Daten

Kern des Dienstes ist die Anreicherung hochgeladener Listen (typischerweise CSV-Dateien mit Firmen- oder Kontaktdaten) durch automatisierte Websuche und KI-gestützte Informationsextraktion („Enrichment").

Rollenverteilung: Bei der Verarbeitung der vom angemeldeten Kundenkonto hochgeladenen Daten (Kundendaten) handeln wir in aller Regel als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Für die Rechtmäßigkeit der Verarbeitung der in den hochgeladenen Daten enthaltenen personenbezogenen Daten Dritter (z.B. Geschäftsführer, Ansprechpartner) ist der jeweilige Kunde als Verantwortlicher zuständig. Der Kunde hat insbesondere sicherzustellen, dass eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt und die Informationspflichten nach Art. 13 bzw. 14 DSGVO erfüllt sind. Auf Verlangen schließen wir einen separaten Vertrag zur Auftragsverarbeitung mit dem Kunden.

Verarbeitete Datenkategorien: die vom Kunden konkret hochgeladenen Daten (z.B. E-Mail-Adressen, Firmennamen, Namen von Ansprechpartnern, Domains) sowie die im Zuge der Anreicherung aus öffentlich zugänglichen Quellen ermittelten Zusatzinformationen (z.B. Unternehmensbeschreibung, Branche, Technologie-Stack, Finanzierungsinformationen).

Rechtsgrundlage (zwischen Kunde und uns): Art. 28 DSGVO i.V.m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Enrichment-Jobs und die darin enthaltenen Zeilen werden automatisiert 90 Tage nach Abschluss gelöscht. Der Kunde kann einzelne Jobs und Ergebnisse jederzeit über die Benutzeroberfläche selbst löschen.

10. Eingesetzte Subauftragsverarbeiter

Für die Erbringung des Dienstes setzen wir folgende Dienstleister ein:

10.1 Hostinger (Infrastruktur)

Hostinger International Ltd., Rechenzentrumsstandort Deutschland. Hosting des VPS und aller darauf laufenden Komponenten (Applikation, Datenbank, Scraping-Stack). Verarbeitungsort: EU.

10.2 OpenAI (KI-Extraktion)

OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland, sowie deren Konzerngesellschaft OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA (nachfolgend „OpenAI").

Zur strukturierten Extraktion von Informationen aus gescrapten Webseiten und zur Generierung von Zusammenfassungen übermitteln wir Inhalte (insbesondere: Auszüge der gescrapten Webseiten, der zu extrahierende Datensatz, Prompt-Anweisungen) an die OpenAI-API. Bezüglich personenbezogener Daten bedeutet das insbesondere, dass Firmennamen, öffentliche Kontaktdaten und im Zweifel auch Namen von Ansprechpartnern übermittelt werden.

OpenAI verarbeitet API-Anfragen nach eigenen Angaben nicht zum Training seiner Modelle (vgl. OpenAI API Data Usage Policies). Die Speicherung von API-Inhalten durch OpenAI erfolgt nach deren Datenschutzrichtlinie zur Missbrauchserkennung bis zu 30 Tagen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden). Die Übermittlung an OpenAI in den USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); zusätzlich hat sich OpenAI nach unserem Kenntnisstand dem EU-US Data Privacy Framework unterstellt. Mit OpenAI besteht ein Vertrag zur Auftragsverarbeitung (Data Processing Addendum) nach Art. 28 DSGVO.

10.3 Upstash (Rate-Limiting und Caching)

Upstash, Inc., 340 S Lemon Ave #1260, Walnut, CA 91789, USA. Upstash wird für das Rate-Limiting (Schutz vor Missbrauch) und für Caching-Funktionen eingesetzt. Verarbeitet werden hierbei technische Merkmale (pseudonymisierte IP-Adresse, User-ID) sowie zeitliche Zugriffsmuster.

Die konkret genutzte Region wird in der EU (Frankfurt) betrieben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Schutz vor Missbrauch). Mit Upstash besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

10.4 Resend (E-Mail-Versand)

Siehe Ziffer 8.

11. Web-Scraping als Bestandteil der Leistungserbringung

Im Rahmen des Enrichments ruft der Dienst automatisiert öffentlich zugängliche Webseiten auf (Scraping). Dabei können in den abgerufenen Inhalten personenbezogene Daten Dritter enthalten sein (z.B. im Impressum genannte Personen, auf „Über uns"-Seiten abgebildete Mitarbeitende).

Soweit wir hierbei als Verantwortlicher auftreten, stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erbringung und Weiterentwicklung eines B2B-Rechercheinstruments). Die Interessen und Grundrechte der betroffenen Personen werden dabei durch folgende Maßnahmen berücksichtigt:

  • Beachtung von robots.txt und technischen Zugriffsbeschränkungen
  • Ausschluss bestimmter Datenquellen, die ausschließlich Privatpersonen betreffen oder besondere Datenkategorien enthalten
  • Keine dauerhafte Speicherung der gescrapten Seiteninhalte über die zur Extraktion notwendige Zeit hinaus
  • Automatische Löschung nach 90 Tagen (siehe Ziffer 9)

Betroffene Personen können jederzeit Widerspruch gegen die Verarbeitung ihrer im Zuge des Scrapings erhobenen Daten einlegen (Art. 21 DSGVO). Wir werden die Verarbeitung dann prüfen und, sofern keine zwingenden schutzwürdigen Gründe überwiegen, einstellen.

12. Abrechnung, Nutzungsprotokolle

Zur Abrechnung und zur Verhinderung von Missbrauch protokollieren wir auf technischer Ebene, welche Aktionen eines Nutzerkontos wie viele Credits verbraucht haben, sowie aggregierte API-Aufrufe (Zeitstempel, Anbieter, ungefähre Dauer, anfallende Kosten). Diese Daten sind dem jeweiligen Nutzerkonto zugeordnet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten).

Speicherdauer: 12 Monate für technische Auswertung; darüber hinaus aggregiert und pseudonymisiert bzw. im Umfang gesetzlicher Aufbewahrungspflichten (bis zu zehn Jahre).

13. Keine Analyse-Cookies, keine Tracking-Tools

Der Dienst verwendet ausschließlich technisch notwendige Cookies, die für die Authentifizierung und den Betrieb des Dienstes erforderlich sind (Supabase-Sessions). Diese Cookies bedürfen nach § 25 Abs. 2 Nr. 2 TDDDG keiner Einwilligung. Ein Cookie-Banner wird daher nicht angezeigt.

Wir setzen keine Web-Analyse- oder Tracking-Dienste ein (kein Google Analytics, kein Meta Pixel, kein PostHog, kein Vercel Analytics). Eine Profilbildung zu Marketingzwecken findet nicht statt.

14. Automatisierte Entscheidungen, Profiling

Automatisierte Entscheidungen im Einzelfall im Sinne von Art. 22 DSGVO treffen wir nicht. Die durch den Dienst erzeugten Ergebnisse sind ausdrücklich nicht dafür bestimmt, als alleinige Grundlage für Entscheidungen mit rechtlicher Wirkung gegenüber natürlichen Personen zu dienen (siehe auch § 4 und § 9 AGB).

15. Empfänger der Daten

Empfänger sind ausschließlich die unter Ziffer 10 genannten Auftragsverarbeiter sowie, soweit gesetzlich vorgeschrieben, Behörden (z.B. Finanzverwaltung, Strafverfolgungsbehörden). Eine Weitergabe an sonstige Dritte erfolgt nicht.

16. Speicherdauer (Zusammenfassung)

  • Server-Logs: bis zu 14 Tage
  • Nutzerkonto-Stammdaten: Dauer des Kontos + 30 Tage
  • Enrichment-Jobs und Ergebnisse: 90 Tage nach Abschluss
  • Abrechnungs- und Nutzungsprotokolle: 12 Monate technisch, bis zu 10 Jahre für steuer- und handelsrechtliche Nachweise
  • Rechnungen und Buchungsbelege: 10 Jahre (§ 147 AO)
  • E-Mails mit vertraglichem Bezug: bis zu 6 Jahre (§ 257 HGB, § 147 AO)

17. Ihre Rechte als betroffene Person

Sofern die jeweiligen Voraussetzungen erfüllt sind, stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über die von uns verarbeiteten personenbezogenen Daten
  • Recht auf Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder Vervollständigung unvollständiger Daten
  • Recht auf Löschung (Art. 17 DSGVO), „Recht auf Vergessenwerden"
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
  • Beschwerderecht bei einer Datenschutz-Aufsichts­behörde (Art. 77 DSGVO). Für uns ist die zuständige Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@ps-digital-solutions.de. Zum Schutz Ihrer Daten können wir zur Identitätsprüfung geeignete Nachweise verlangen.

18. Pflicht zur Bereitstellung, Folgen der Nichtbereitstellung

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben; sie ist jedoch für den Abschluss und die Durchführung des Nutzungsvertrags erforderlich. Ohne Bereitstellung einer gültigen E-Mail-Adresse ist eine Nutzung des Dienstes nicht möglich.

19. Datensicherheit

Wir setzen im Rahmen unserer Möglichkeiten technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO ein, um Ihre personenbezogenen Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen. Dazu zählen insbesondere: TLS-Verschlüsselung (Let's Encrypt) für alle externen Verbindungen, Verschlüsselung der Datenbank, restriktive Zugriffsrechte, Row-Level-Security auf Datenbankebene, passwortlose Authentifizierung, regelmäßige Updates und Backups. Ein Rest-Risiko lässt sich bei der Übertragung im Internet nicht vollständig ausschließen.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern Änderungen an der Verarbeitung dies erforderlich machen. Die jeweils aktuelle Fassung ist unter app.ps-digital-solutions.de/legal/datenschutz abrufbar.

Stand: 21. April 2026