Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Babsi GmbH
Gerhard-vom-Rath-Straße 2, 50968 Köln
Vertreten durch die Geschäftsführerin: Fee-Kristin Thuir
E-Mail: datenschutz@fragbabsi.de
Telefon: +49 221 371063
WhatsApp: +49 163 2248780
Datenschutzbeauftragte:r
Aufgrund der Größe unseres Unternehmens haben wir keinen Datenschutzbeauftragten bestellt (§ 38 BDSG nicht erfüllt). Bei Fragen zum Datenschutz erreichst du uns über die oben genannte E-Mail-Adresse.
2. Welche Daten wir verarbeiten
2.1 Wenn du Babsi auf WhatsApp schreibst
- Telefonnummer (deine WhatsApp-Nummer)
- WhatsApp-Profilname (öffentlich sichtbar)
- Inhalte deiner Nachrichten (Text, Bilder, Sprachnachrichten)
- Zeitstempel jeder Nachricht
- Konversationsstand (Was wurde gefragt? Welche Felder sind gefüllt?)
Sprachnachrichten werden zur Transkription kurzzeitig an OpenAI Whisper (USA) übermittelt. Die Audio-Datei wird unmittelbar nach der Transkription gelöscht. Der transkribierte Text wird wie eine normale Nachricht behandelt.
2.2 Wenn du Auftraggeber:in bist
- Vorname (auf Wunsch)
- Postleitzahl / Stadt deines Auftrags
- Beschreibung des Auftrags (Gewerk, Umfang, Wunschtermin)
- Eventuell Bilder, die du Babsi schickst
- Bei einer Beauftragung zusätzlich: dein vollständiger Name, Anschrift, optional Firmenname, E-Mail und Telefonnummer — für das Auftrags-Dokument (PDF)
2.3 Wenn du als Kontaktperson vor Ort genannt wirst
Beauftragt ein Auftraggeber einen Handwerksbetrieb und benennt dich als Kontaktperson für den Zugang vor Ort (z. B. als Mieter:in oder Hausmeister:in), verarbeiten wir deinen Namen und deine Handynummer, um den Termin zwischen dir und dem Betrieb abzustimmen (Terminvorschlag, Bestätigung, Erinnerung). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b/f DSGVO (Durchführung des Vermittlungsauftrags); der Auftraggeber ist verpflichtet, dich über die Weitergabe zu informieren. Mit „Stopp“ beendest du die Koordination jederzeit; mit „Lösch meine Daten“ löschst du deine Daten.
2.4 Wenn du Handwerksbetrieb bist
- Firmenname, Anschrift, Ansprechpartner:in
- Gewerke, Region, Kapazitäten
- Bewertungs-Historie aus erfolgreichen Vermittlungen
- Zahlungsdaten: SEPA-Mandat (IBAN, Mandatsreferenz) für die Erfolgs-Gebühr wird über GoCardless verarbeitet — wir selbst speichern keine vollständigen Bankdaten.
2.5 Beim Besuch dieser Website
- IP-Adresse (gekürzt, max. 7 Tage)
- Aufgerufene Seiten, Datum/Uhrzeit, Referrer
- Browser-Typ, Betriebssystem
Diese Website setzt kein Google Analytics ein. Werbe-Messung (Google-Ads-Conversion-Tag, auf einzelnen Werbe-Landingpages zusätzlich der Meta-Pixel) läuft ausschließlich nach deiner ausdrücklichen Einwilligung im Cookie-Hinweis — lehnst du ab oder reagierst nicht, wird nichts geladen und es werden keine Cookies gesetzt (Details in §9). Server-Logs werden nach 7 Tagen automatisch gelöscht.
3. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Verarbeitung deiner Anfragen, Vermittlung zwischen Auftraggebern und Betrieben, Erstellung des Auftrags-Dokuments, Abrechnung der Erfolgs-Gebühr sowie der optionalen Besichtigungs-Pauschale.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): Aufbewahrung von Rechnungen (10 Jahre § 147 AO), Steuerunterlagen.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Server-Logs zur Sicherheit, Spam-/Missbrauchs-Erkennung, Verbesserung der KI.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Optionale Newsletter, optionale Bilder bei Auftragsbeschreibungen, Werbe-Tags (Google Ads, Meta-Pixel) auf dieser Website (§9).
4. Auftragsverarbeiter und Drittländer-Übermittlung
Wir nutzen Dienstleister, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit jedem dieser Dienstleister besteht ein Auftragsverarbeitungs-Vertrag (AVV) gemäß Art. 28 DSGVO.
4.1 360dialog GmbH (WhatsApp Business API)
Sitz: Berlin, Deutschland. Babsi nutzt 360dialog als WhatsApp-Business-Solution-Provider.
Verarbeitete Daten: Telefonnummer, Nachrichten-Inhalte, Zeitstempel.
AVV: vorhanden. Server-Standort: EU.
4.2 WhatsApp Ireland Limited (Meta)
Sitz: Dublin, Irland. Wenn du Babsi via WhatsApp schreibst, durchläuft die Nachricht die WhatsApp-Infrastruktur. WhatsApp ist Ende-zu-Ende-verschlüsselt — Meta hat keinen Klartext-Zugriff auf den Inhalt. Datenschutzerklärung von WhatsApp: whatsapp.com/legal/privacy-policy.
4.3 Anthropic PBC (Claude)
Sitz: San Francisco, USA. Babsi nutzt Anthropics Claude-Sprachmodell zur Verarbeitung
deiner Nachrichten. Übermittelt werden: dein Konversationsverlauf (anonymisiert ohne
Telefonnummer), aktueller Konversationsstand.
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln (SCC 2021) gem. Art. 46 Abs. 2 lit. c DSGVO,
ergänzt durch das EU-US Data Privacy Framework (Anthropic ist DPF-zertifiziert).
Anthropic verwendet Eingaben nicht zum Training der Modelle.
4.4 OpenAI L.L.C. (Whisper)
Sitz: San Francisco, USA. Wenn du Babsi eine Sprachnachricht schickst, übermitteln wir
die Audio-Datei zur Transkription. Übermittlung erfolgt über die OpenAI API mit
Daten-Lösung nach 30 Tagen (Standard) bzw. ohne Speicherung (Zero-Retention API, falls aktiviert).
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + DPF.
4.5 Supabase Inc.
Sitz: USA, aber EU-Region (Frankfurt) genutzt. Babsi-Datenbank liegt physisch in
Deutschland. Verarbeitete Daten: alle in §2 genannten Inhalte (User-Daten, Konversations-State, Match-Historie).
AVV: vorhanden.
4.6 GoCardless Ltd.
Sitz: London, UK. Wenn du als Betrieb die Erfolgs-Gebühr per SEPA zahlst oder als Auftraggeber die
Besichtigungs-Pauschale buchst, verarbeitet GoCardless dein SEPA-Mandat. Wir selbst sehen nur eine Mandatsreferenz, keine vollständige IBAN.
Rechtsgrundlage Drittland: UK-Angemessenheitsbeschluss der EU-Kommission (2021, von der
EU-Kommission 2025 erneuert) sowie ergänzend EU-Standardvertragsklauseln (SCC).
Datenschutzerklärung: gocardless.com/de-de/datenschutzerklarung.
4.7 Hetzner Online GmbH
Sitz: Gunzenhausen, Deutschland. Hosting des Babsi-Backend-Servers. Server-Standort: Nürnberg / Falkenstein. AVV: vorhanden.
4.8 IONOS SE
Sitz: Montabaur, Deutschland. E-Mail-Postfach (info@, datenschutz@, support@, rechnung@fragbabsi.de) sowie Domain-Verwaltung. AVV: vorhanden.
4.9 Cloudflare, Inc.
Sitz: San Francisco, USA. Hosting dieser Website (Cloudflare Pages) und globales
Content-Delivery-Network. Beim Aufruf von fragbabsi.de wird deine IP-Adresse zur
Auslieferung der HTML-Inhalte kurzzeitig verarbeitet. Cloudflare bedient deutsche
Besucher bevorzugt aus dem Frankfurter Edge-Standort.
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + EU-US Data Privacy Framework
(Cloudflare ist DPF-zertifiziert). Datenschutzerklärung:
cloudflare.com/de-de/privacypolicy.
4.10 Backblaze Inc.
Sitz: USA. Backup-Speicher für verschlüsselte Datenbank-Snapshots. EU-Region B2-Cloud
(Amsterdam). Daten sind vor Upload AES-256-verschlüsselt.
Rechtsgrundlage Drittland: SCC + DPF.
4.11 Functional Software, Inc. (Sentry)
Sitz: San Francisco, USA. Sentry wird zur Erfassung und Diagnose technischer
Fehler eingesetzt (Application-Error-Tracking). Es werden anonymisierte
Stack-Traces und kontextuelle Metadaten übermittelt; Telefonnummern und
Klartext-Nachrichten werden vor Übertragung serverseitig maskiert
(PII-Scrubbing). Hosting in der EU-Region (Frankfurt).
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + EU-US Data Privacy Framework.
Datenschutzerklärung: sentry.io/privacy.
5. Speicherdauer
5.1 Profile (Auftraggeber, Betriebe, Kontaktpersonen)
- Aktive Nutzung: für die Dauer der Nutzung.
- Unvollständiges Onboarding (Profil nie fertiggestellt): automatische Löschung nach 30 Tagen ab letzter Nachricht.
- Vollständiges Profil, inaktiv: automatische Löschung nach 12 Monaten ab letzter Nachricht.
- Registrierte Betriebe: für die Dauer der aktiven Registrierung (keine automatische Löschung).
7-Tage-Vorab-Warnung: Eine Woche vor jeder automatischen Löschung erhältst du eine WhatsApp-Nachricht mit der Möglichkeit, die Frist durch eine beliebige Antwort zu verlängern oder die Löschung sofort durchzuführen.
Manuelle Löschung: jederzeit per WhatsApp-Befehl „Profil löschen" mit expliziter Bestätigung „Ja, löschen".
5.2 Sonstige Datenarten
- Match-Historie (anonymisiert): bis zu 24 Monate für Statistiken.
- Rechnungen / Abrechnungsdaten: 10 Jahre (§ 147 AO).
- Server-Logs: max. 7 Tage.
- Sprachnachrichten (Audio): sofort nach Transkription gelöscht.
- Bilder, die du Babsi schickst: bis zur Match-Vermittlung, max. 90 Tage.
- Zugangs-Koordination (Name/Nummer der Kontaktperson): für die Dauer des jeweiligen Auftrags; danach nur im Auftrags-Dokument des Auftraggebers.
- Audit-Log für Löschungen: immutable Eintrag mit phone_hash (SHA-256, kein PII), Datum, Grund — 5 Jahre zu Compliance-Nachweiszwecken.
6. Deine Rechte (Art. 15–22 DSGVO)
- Auskunft (Art. 15): Welche Daten haben wir von dir?
- Berichtigung (Art. 16): Falsche Daten korrigieren.
- Löschung (Art. 17): „Recht auf Vergessenwerden".
- Einschränkung (Art. 18): Verarbeitung temporär aussetzen.
- Datenübertragbarkeit (Art. 20): Deine Daten als JSON-Export.
- Widerspruch (Art. 21): gegen berechtigtes Interesse.
- Widerruf der Einwilligung (Art. 7 Abs. 3): jederzeit, ohne Angabe von Gründen.
Schreib uns dazu an datenschutz@fragbabsi.de oder per WhatsApp an Babsi: „lösche meine Daten" / „Datenauskunft". Wir antworten innerhalb 30 Tagen (Art. 12 Abs. 3 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständig für unseren Sitz in Köln ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de
7. Automatisierte Entscheidungsfindung / KI
Babsi nutzt KI (Claude von Anthropic), um Nachrichten zu verstehen und Matches vorzuschlagen. Es gibt keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO. Match-Vorschläge sind lediglich Empfehlungen — jede Vermittlung erfolgt durch deine eigene Bestätigung.
8. Sicherheit
- TLS-Verschlüsselung (HTTPS) auf allen Verbindungen.
- Datenbank-Zugriff über Service-Rolle, Row-Level-Security in Supabase.
- Backups verschlüsselt mit AES-256.
- Telefonnummern in Logs maskiert (z. B. +49 1***6789).
- Kein Klartext-Zugriff Dritter auf deine WhatsApp-Nachrichten.
9. Cookies und Werbe-Tags (Google Ads, Meta-Pixel)
Der überwiegende Teil dieser Website setzt keine Cookies und keine Tracking- oder Analyse-Tools ein — weder eigene noch von Drittanbietern.
Werbe-Tags nur mit Einwilligung: Zur Messung der Wirksamkeit unserer Werbeanzeigen binden wir das Google-Ads-Conversion-Tag (gtag.js) der Google Ireland Limited (Dublin, Irland) und auf einzelnen Werbe-Landingpages zusätzlich den Meta-Pixel der Meta Platforms Ireland Limited (Dublin, Irland) ein. Beide werden erst geladen, nachdem du im Cookie-Hinweis ausdrücklich „Akzeptieren“ gewählt hast (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Lehnst du ab oder reagierst nicht, wird nichts geladen und es werden keine Cookies gesetzt — die Website und der Kontakt zu Babsi funktionieren uneingeschränkt. Deine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Website-Daten/Cookies deines Browsers für fragbabsi.de löschst; beim nächsten Besuch wirst du erneut gefragt.
Google Ads (Conversion-Messung): Nach Einwilligung erfasst das Tag den Seitenaufruf und ggf. Conversion-Ereignisse und verarbeitet dabei Geräte- und Nutzungsdaten (u. a. IP-Adresse, Browser-Informationen, Cookie-/Werbe-IDs). Die Daten können in die USA übermittelt werden; Grundlage sind die EU-Standardvertragsklauseln (SCC) sowie das EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert). Weitere Informationen: policies.google.com/privacy.
Meta-Pixel: Nach Einwilligung erfasst der Pixel den Seitenaufruf (Event „PageView“) sowie den Klick auf die Kontakt-Buttons (WhatsApp bzw. Demo-Termin, Event „Lead“) und verarbeitet dabei Geräte- und Nutzungsdaten (u. a. IP-Adresse, Browser-Informationen, Pixel-Cookie-ID); Meta kann diese mit einem ggf. bestehenden Meta-Konto verknüpfen. Hinsichtlich der Erhebung und Übermittlung der Daten über den Pixel sind wir und Meta gemeinsam Verantwortliche (Art. 26 DSGVO). Die Daten werden auch in die USA übermittelt; Grundlage sind die EU-Standardvertragsklauseln (SCC) sowie das EU-US Data Privacy Framework (Meta ist DPF-zertifiziert). Zusätzliche Einstellungs- und Widerspruchsmöglichkeiten findest du in den Werbe-Einstellungen von Meta; weitere Informationen in der Datenschutzrichtlinie von Meta.
10. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Vorgaben oder unsere technischen Prozesse ändern. Die jeweils aktuelle Version ist immer hier abrufbar. Letzte Änderung: 02.07.2026.
