Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Babsi GmbH
Gerhard-vom-Rath-Straße 2, 50968 Köln
Vertreten durch die Geschäftsführerin: Fee-Kristin Thuir
E-Mail: datenschutz@fragbabsi.de
Telefon: +49 221 371063
WhatsApp: +49 163 2248780

Datenschutzbeauftragte:r

Aufgrund der Größe unseres Unternehmens haben wir keinen Datenschutzbeauftragten bestellt (§ 38 BDSG nicht erfüllt). Bei Fragen zum Datenschutz erreichst du uns über die oben genannte E-Mail-Adresse.

2. Welche Daten wir verarbeiten

2.1 Wenn du Babsi auf WhatsApp schreibst

• Telefonnummer (deine WhatsApp-Nummer)
• WhatsApp-Profilname (öffentlich sichtbar)
• Inhalte deiner Nachrichten (Text, Bilder, Sprachnachrichten)
• Zeitstempel jeder Nachricht
• Konversationsstand (Was wurde gefragt? Welche Felder sind gefüllt?)

Sprachnachrichten werden zur Transkription kurzzeitig an OpenAI Whisper (USA) übermittelt. Die Audio-Datei wird unmittelbar nach der Transkription gelöscht. Der transkribierte Text wird wie eine normale Nachricht behandelt.

2.2 Wenn du Auftraggeber:in bist

• Vorname (auf Wunsch)
• Postleitzahl / Stadt deines Auftrags
• Beschreibung des Auftrags (Gewerk, Umfang, Wunschtermin)
• Eventuell Bilder, die du Babsi schickst

2.3 Wenn du Fachkraft bist (Job-Suche)

• Vorname, Gewerk, Berufsstand (Geselle / Meister / Auszubildende:r)
• Wunsch-Region (Stadt, Umkreis)
• Optional: Berufserfahrung, Qualifikationen

2.4 Wenn du Betrieb bist (Premium-Account)

• Firmenname, Anschrift, Ansprechpartner:in
• Gewerke, Region, Kapazitäten
• Bewertungs-Historie aus erfolgreichen Vermittlungen
• Zahlungsdaten: SEPA-Mandat (IBAN, Mandatsreferenz) wird über GoCardless verarbeitet — wir selbst speichern keine vollständigen Bankdaten.

2.5 Beim Besuch dieser Website

• IP-Adresse (gekürzt, max. 7 Tage)
• Aufgerufene Seiten, Datum/Uhrzeit, Referrer
• Browser-Typ, Betriebssystem

Wir setzen keine Tracking-Cookies, kein Google Analytics, keine Marketing-Pixel ein. Server-Logs werden nach 7 Tagen automatisch gelöscht.

3. Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Verarbeitung deiner Anfragen, Vermittlung an Betriebe/Fachkräfte, Premium-Abrechnung.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): Aufbewahrung von Rechnungen (10 Jahre § 147 AO), Steuerunterlagen.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Server-Logs zur Sicherheit, Spam-/Missbrauchs-Erkennung, Verbesserung der KI.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Optionale Newsletter, optionale Bilder bei Auftragsbeschreibungen.

4. Auftragsverarbeiter und Drittländer-Übermittlung

Wir nutzen Dienstleister, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit jedem dieser Dienstleister besteht ein Auftragsverarbeitungs-Vertrag (AVV) gemäß Art. 28 DSGVO.

4.1 360dialog GmbH (WhatsApp Business API)

Sitz: Berlin, Deutschland. Babsi nutzt 360dialog als WhatsApp-Business-Solution-Provider. Verarbeitete Daten: Telefonnummer, Nachrichten-Inhalte, Zeitstempel.
AVV: vorhanden. Server-Standort: EU.

4.2 WhatsApp Ireland Limited (Meta)

Sitz: Dublin, Irland. Wenn du Babsi via WhatsApp schreibst, durchläuft die Nachricht die WhatsApp-Infrastruktur. WhatsApp ist Ende-zu-Ende-verschlüsselt — Meta hat keinen Klartext-Zugriff auf den Inhalt. Datenschutzerklärung von WhatsApp: whatsapp.com/legal/privacy-policy.

4.3 Anthropic PBC (Claude)

Sitz: San Francisco, USA. Babsi nutzt Anthropics Claude-Sprachmodell zur Verarbeitung deiner Nachrichten. Übermittelt werden: dein Konversationsverlauf (anonymisiert ohne Telefonnummer), aktueller Konversationsstand.
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln (SCC 2021) gem. Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch das EU-US Data Privacy Framework (Anthropic ist DPF-zertifiziert). Anthropic verwendet Eingaben nicht zum Training der Modelle.

4.4 OpenAI L.L.C. (Whisper)

Sitz: San Francisco, USA. Wenn du Babsi eine Sprachnachricht schickst, übermitteln wir die Audio-Datei zur Transkription. Übermittlung erfolgt über die OpenAI API mit Daten-Lösung nach 30 Tagen (Standard) bzw. ohne Speicherung (Zero-Retention API, falls aktiviert).
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + DPF.

4.5 Supabase Inc.

Sitz: USA, aber EU-Region (Frankfurt) genutzt. Babsi-Datenbank liegt physisch in Deutschland. Verarbeitete Daten: alle in §2 genannten Inhalte (User-Daten, Konversations-State, Match-Historie).
AVV: vorhanden.

4.6 GoCardless Ltd.

Sitz: London, UK. Wenn du als Betrieb Premium buchst, verarbeitet GoCardless dein SEPA-Mandat. Wir selbst sehen nur eine Mandatsreferenz, keine vollständige IBAN.
Rechtsgrundlage Drittland: UK-Adäquanzbeschluss der EU-Kommission (28.06.2021). Datenschutzerklärung: gocardless.com/de-de/datenschutzerklarung.

4.7 Hetzner Online GmbH

Sitz: Gunzenhausen, Deutschland. Hosting des Babsi-Backend-Servers. Server-Standort: Nürnberg / Falkenstein. AVV: vorhanden.

4.8 IONOS SE

Sitz: Montabaur, Deutschland. E-Mail-Postfach (info@, datenschutz@, support@, rechnung@fragbabsi.de) sowie Domain-Verwaltung. AVV: vorhanden.

4.9 Cloudflare, Inc.

Sitz: San Francisco, USA. Hosting dieser Website (Cloudflare Pages) und globales Content-Delivery-Network. Beim Aufruf von fragbabsi.de wird deine IP-Adresse zur Auslieferung der HTML-Inhalte kurzzeitig verarbeitet. Cloudflare bedient deutsche Besucher bevorzugt aus dem Frankfurter Edge-Standort.
Rechtsgrundlage Drittland: EU-Standardvertragsklauseln + EU-US Data Privacy Framework (Cloudflare ist DPF-zertifiziert). Datenschutzerklärung: cloudflare.com/de-de/privacypolicy.

4.10 Backblaze Inc.

Sitz: USA. Backup-Speicher für verschlüsselte Datenbank-Snapshots. EU-Region B2-Cloud (Amsterdam). Daten sind vor Upload AES-256-verschlüsselt.
Rechtsgrundlage Drittland: SCC + DPF.

5. Speicherdauer

• Aktive Konversationen: bis 90 Tage nach letzter Nachricht.
• Match-Historie (anonymisiert): bis zu 24 Monate für Statistiken.
• Rechnungen / Abrechnungsdaten: 10 Jahre (§ 147 AO).
• Server-Logs: max. 7 Tage.
• Sprachnachrichten (Audio): sofort nach Transkription gelöscht.
• Bilder, die du Babsi schickst: bis zur Match-Vermittlung, max. 90 Tage.

6. Deine Rechte (Art. 15–22 DSGVO)

• Auskunft (Art. 15): Welche Daten haben wir von dir?
• Berichtigung (Art. 16): Falsche Daten korrigieren.
• Löschung (Art. 17): „Recht auf Vergessenwerden".
• Einschränkung (Art. 18): Verarbeitung temporär aussetzen.
• Datenübertragbarkeit (Art. 20): Deine Daten als JSON-Export.
• Widerspruch (Art. 21): gegen berechtigtes Interesse.
• Widerruf der Einwilligung (Art. 7 Abs. 3): jederzeit, ohne Angabe von Gründen.

Schreib uns dazu an datenschutz@fragbabsi.de oder per WhatsApp an Babsi: „lösche meine Daten" / „Datenauskunft". Wir antworten innerhalb 30 Tagen (Art. 12 Abs. 3 DSGVO).

Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für unseren Sitz in Köln ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

7. Automatisierte Entscheidungsfindung / KI

Babsi nutzt KI (Claude von Anthropic), um Nachrichten zu verstehen und Matches vorzuschlagen. Es gibt keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO. Match-Vorschläge sind lediglich Empfehlungen — jede Vermittlung erfolgt durch deine eigene Bestätigung.

8. Sicherheit

• TLS-Verschlüsselung (HTTPS) auf allen Verbindungen.
• Datenbank-Zugriff über Service-Rolle, Row-Level-Security in Supabase.
• Backups verschlüsselt mit AES-256.
• Telefonnummern in Logs maskiert (z. B. +49 1***6789).
• Kein Klartext-Zugriff Dritter auf deine WhatsApp-Nachrichten.

9. Cookies

Diese Website setzt keine Cookies, weder eigene noch von Drittanbietern. Es werden keine Tracking- oder Analyse-Tools eingesetzt.

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Vorgaben oder unsere technischen Prozesse ändern. Die jeweils aktuelle Version ist immer hier abrufbar. Letzte Änderung: 05.05.2026.