Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Babsi GmbH
Gerhard-vom-Rath-Straße 2, 50968 Köln
Vertreten durch die Geschäftsführerin: Fee-Kristin Thuir
E-Mail: datenschutz@fragbabsi.de
Telefon: +49 221 371063
WhatsApp: +49 163 2248780

Datenschutzbeauftragte:r

Aufgrund der Größe unseres Unternehmens haben wir keinen Datenschutzbeauftragten bestellt (§ 38 BDSG nicht erfüllt). Bei Fragen zum Datenschutz erreichst du uns über die oben genannte E-Mail-Adresse.

2. Welche Daten wir verarbeiten

2.1 Wenn du Babsi auf WhatsApp schreibst

Sprachnachrichten werden zur Transkription kurzzeitig an OpenAI Whisper (USA) übermittelt. Die Audio-Datei wird unmittelbar nach der Transkription gelöscht. Der transkribierte Text wird wie eine normale Nachricht behandelt.

2.2 Wenn du Auftraggeber:in bist

2.3 Wenn du als Kontaktperson vor Ort genannt wirst

Beauftragt ein Auftraggeber einen Handwerksbetrieb und benennt dich als Kontaktperson für den Zugang vor Ort (z. B. als Mieter:in oder Hausmeister:in), verarbeiten wir deinen Namen und deine Handynummer, um den Termin zwischen dir und dem Betrieb abzustimmen (Terminvorschlag, Bestätigung, Erinnerung). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b/f DSGVO (Durchführung des Vermittlungsauftrags); der Auftraggeber ist verpflichtet, dich über die Weitergabe zu informieren. Mit „Stopp“ beendest du die Koordination jederzeit; mit „Lösch meine Daten“ löschst du deine Daten.

2.4 Wenn du Handwerksbetrieb bist

2.5 Beim Besuch dieser Website

Diese Website setzt kein Google Analytics ein. Werbe-Messung (Google-Ads-Conversion-Tag, auf einzelnen Werbe-Landingpages zusätzlich der Meta-Pixel) läuft ausschließlich nach deiner ausdrücklichen Einwilligung im Cookie-Hinweis — lehnst du ab oder reagierst nicht, wird nichts geladen und es werden keine Cookies gesetzt (Details in §9). Server-Logs werden nach 7 Tagen automatisch gelöscht.

3. Rechtsgrundlagen der Verarbeitung

4. Auftragsverarbeiter und Drittländer-Übermittlung

Wir nutzen Dienstleister, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit jedem dieser Dienstleister besteht ein Auftragsverarbeitungs-Vertrag (AVV) gemäß Art. 28 DSGVO.

4.1 360dialog GmbH (WhatsApp Business API)

Sitz: Berlin, Deutschland. Babsi nutzt 360dialog als WhatsApp-Business-Solution-Provider. Verarbeitete Daten: Telefonnummer, Nachrichten-Inhalte, Zeitstempel.
AVV: vorhanden. Server-Standort: EU.

4.2 WhatsApp Ireland Limited (Meta)

Sitz: Dublin, Irland. Wenn du Babsi via WhatsApp schreibst, durchläuft die Nachricht die WhatsApp-Infrastruktur. WhatsApp ist Ende-zu-Ende-verschlüsselt — Meta hat keinen Klartext-Zugriff auf den Inhalt. Datenschutzerklärung von WhatsApp: whatsapp.com/legal/privacy-policy.

4.3 Anthropic PBC (Claude)

Sitz: San Francisco, USA. Babsi nutzt Anthropics Claude-Sprachmodell zur Verarbeitung deiner Nachrichten. Übermittelt werden: dein Konversationsverlauf (anonymisiert ohne Telefonnummer), aktueller Konversationsstand.
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln (SCC 2021) gem. Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch das EU-US Data Privacy Framework (Anthropic ist DPF-zertifiziert). Anthropic verwendet Eingaben nicht zum Training der Modelle.

4.4 OpenAI L.L.C. (Whisper)

Sitz: San Francisco, USA. Wenn du Babsi eine Sprachnachricht schickst, übermitteln wir die Audio-Datei zur Transkription. Übermittlung erfolgt über die OpenAI API mit Daten-Lösung nach 30 Tagen (Standard) bzw. ohne Speicherung (Zero-Retention API, falls aktiviert).
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + DPF.

4.5 Supabase Inc.

Sitz: USA, aber EU-Region (Frankfurt) genutzt. Babsi-Datenbank liegt physisch in Deutschland. Verarbeitete Daten: alle in §2 genannten Inhalte (User-Daten, Konversations-State, Match-Historie).
AVV: vorhanden.

4.6 GoCardless Ltd.

Sitz: London, UK. Wenn du als Betrieb die Erfolgs-Gebühr per SEPA zahlst oder als Auftraggeber die Besichtigungs-Pauschale buchst, verarbeitet GoCardless dein SEPA-Mandat. Wir selbst sehen nur eine Mandatsreferenz, keine vollständige IBAN.
Rechtsgrundlage Drittland: UK-Angemessenheitsbeschluss der EU-Kommission (2021, von der EU-Kommission 2025 erneuert) sowie ergänzend EU-Standardvertragsklauseln (SCC). Datenschutzerklärung: gocardless.com/de-de/datenschutzerklarung.

4.7 Hetzner Online GmbH

Sitz: Gunzenhausen, Deutschland. Hosting des Babsi-Backend-Servers. Server-Standort: Nürnberg / Falkenstein. AVV: vorhanden.

4.8 IONOS SE

Sitz: Montabaur, Deutschland. E-Mail-Postfach (info@, datenschutz@, support@, rechnung@fragbabsi.de) sowie Domain-Verwaltung. AVV: vorhanden.

4.9 Cloudflare, Inc.

Sitz: San Francisco, USA. Hosting dieser Website (Cloudflare Pages) und globales Content-Delivery-Network. Beim Aufruf von fragbabsi.de wird deine IP-Adresse zur Auslieferung der HTML-Inhalte kurzzeitig verarbeitet. Cloudflare bedient deutsche Besucher bevorzugt aus dem Frankfurter Edge-Standort.
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + EU-US Data Privacy Framework (Cloudflare ist DPF-zertifiziert). Datenschutzerklärung: cloudflare.com/de-de/privacypolicy.

4.10 Backblaze Inc.

Sitz: USA. Backup-Speicher für verschlüsselte Datenbank-Snapshots. EU-Region B2-Cloud (Amsterdam). Daten sind vor Upload AES-256-verschlüsselt.
Rechtsgrundlage Drittland: SCC + DPF.

4.11 Functional Software, Inc. (Sentry)

Sitz: San Francisco, USA. Sentry wird zur Erfassung und Diagnose technischer Fehler eingesetzt (Application-Error-Tracking). Es werden anonymisierte Stack-Traces und kontextuelle Metadaten übermittelt; Telefonnummern und Klartext-Nachrichten werden vor Übertragung serverseitig maskiert (PII-Scrubbing). Hosting in der EU-Region (Frankfurt).
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + EU-US Data Privacy Framework. Datenschutzerklärung: sentry.io/privacy.

5. Speicherdauer

5.1 Profile (Auftraggeber, Betriebe, Kontaktpersonen)

7-Tage-Vorab-Warnung: Eine Woche vor jeder automatischen Löschung erhältst du eine WhatsApp-Nachricht mit der Möglichkeit, die Frist durch eine beliebige Antwort zu verlängern oder die Löschung sofort durchzuführen.

Manuelle Löschung: jederzeit per WhatsApp-Befehl „Profil löschen" mit expliziter Bestätigung „Ja, löschen".

5.2 Sonstige Datenarten

6. Deine Rechte (Art. 15–22 DSGVO)

Schreib uns dazu an datenschutz@fragbabsi.de oder per WhatsApp an Babsi: „lösche meine Daten" / „Datenauskunft". Wir antworten innerhalb 30 Tagen (Art. 12 Abs. 3 DSGVO).

Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für unseren Sitz in Köln ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

7. Automatisierte Entscheidungsfindung / KI

Babsi nutzt KI (Claude von Anthropic), um Nachrichten zu verstehen und Matches vorzuschlagen. Es gibt keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO. Match-Vorschläge sind lediglich Empfehlungen — jede Vermittlung erfolgt durch deine eigene Bestätigung.

8. Sicherheit

9. Cookies und Werbe-Tags (Google Ads, Meta-Pixel)

Der überwiegende Teil dieser Website setzt keine Cookies und keine Tracking- oder Analyse-Tools ein — weder eigene noch von Drittanbietern.

Werbe-Tags nur mit Einwilligung: Zur Messung der Wirksamkeit unserer Werbeanzeigen binden wir das Google-Ads-Conversion-Tag (gtag.js) der Google Ireland Limited (Dublin, Irland) und auf einzelnen Werbe-Landingpages zusätzlich den Meta-Pixel der Meta Platforms Ireland Limited (Dublin, Irland) ein. Beide werden erst geladen, nachdem du im Cookie-Hinweis ausdrücklich „Akzeptieren“ gewählt hast (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Lehnst du ab oder reagierst nicht, wird nichts geladen und es werden keine Cookies gesetzt — die Website und der Kontakt zu Babsi funktionieren uneingeschränkt. Deine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Website-Daten/Cookies deines Browsers für fragbabsi.de löschst; beim nächsten Besuch wirst du erneut gefragt.

Google Ads (Conversion-Messung): Nach Einwilligung erfasst das Tag den Seitenaufruf und ggf. Conversion-Ereignisse und verarbeitet dabei Geräte- und Nutzungsdaten (u. a. IP-Adresse, Browser-Informationen, Cookie-/Werbe-IDs). Die Daten können in die USA übermittelt werden; Grundlage sind die EU-Standardvertragsklauseln (SCC) sowie das EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert). Weitere Informationen: policies.google.com/privacy.

Meta-Pixel: Nach Einwilligung erfasst der Pixel den Seitenaufruf (Event „PageView“) sowie den Klick auf die Kontakt-Buttons (WhatsApp bzw. Demo-Termin, Event „Lead“) und verarbeitet dabei Geräte- und Nutzungsdaten (u. a. IP-Adresse, Browser-Informationen, Pixel-Cookie-ID); Meta kann diese mit einem ggf. bestehenden Meta-Konto verknüpfen. Hinsichtlich der Erhebung und Übermittlung der Daten über den Pixel sind wir und Meta gemeinsam Verantwortliche (Art. 26 DSGVO). Die Daten werden auch in die USA übermittelt; Grundlage sind die EU-Standardvertragsklauseln (SCC) sowie das EU-US Data Privacy Framework (Meta ist DPF-zertifiziert). Zusätzliche Einstellungs- und Widerspruchsmöglichkeiten findest du in den Werbe-Einstellungen von Meta; weitere Informationen in der Datenschutzrichtlinie von Meta.

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Vorgaben oder unsere technischen Prozesse ändern. Die jeweils aktuelle Version ist immer hier abrufbar. Letzte Änderung: 02.07.2026.