Kreaforma Logo
Menü
Datenschutz

Datenschutz

Bei Kreaforma legen wir großen Wert auf den Schutz Ihrer Daten und die Einhaltung der Datenschutzbestimmungen. Unsere Website entspricht den Vorgaben der DSGVO (Datenschutz-Grundverordnung). Hier erfahren Sie, wie Ihre Daten gespeichert, verarbeitet und verwaltet werden – und wie Sie deren Löschung veranlassen können.

1. Einleitung

Kreaforma ist eine Marke, die von Badr-Eddine Rachadi, einem in Starnberg ansässigen Freiberufler, betrieben wird. Wir sind spezialisiert auf Webdesign und Webentwicklung und arbeiten mit Kunden innerhalb und außerhalb der EU.

2. Erfasste Daten & Rechtsgrundlage

Wir erfassen personenbezogene Daten nur, wenn Sie uns diese freiwillig über das Kontaktformular zur Verfügung stellen. Die von Ihnen eingegebenen Informationen werden ausschließlich zum Zweck der Kommunikation verwendet.

Über das Kontaktformular erfassen wir:

  • Vollständiger Name
  • Firmenname
  • Branche
  • Aktuelle Website des Unternehmens
  • Geschätztes Budget für die Erstellung einer Website
  • E-Mail-Adresse
  • Alle Informationen, die Sie in der Nachricht angeben

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen) sowie unser berechtigtes Interesse an der Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO).

Darüber hinaus erfassen wir keine personenbezogenen Daten, es sei denn, Sie stimmen der Verwendung von Cookies gemäß unserer Cookie-Richtlinie zu.

3. Zweck der Datenerfassung

  • Beantwortung Ihrer Anfragen
  • Kontaktaufnahme
  • Verbesserung unserer Dienstleistungen

4. Datenspeicherung und -löschung

Wir speichern Ihre Daten für die Dauer der Geschäftsbeziehung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. Steuerrecht: 10 Jahre). Danach werden die Daten gelöscht, es sei denn, Sie haben der weiteren Nutzung ausdrücklich zugestimmt.

Kommt kein Vertrag zustande, werden Ihre Daten unverzüglich gelöscht. In der E-Mail-Korrespondenz (über Gmail) löschen wir Daten manuell.

Hinweis: Unsere Drittanbieter (Hetzner, Brevo, Cloudflare und Google) speichern Daten gemäß ihren eigenen Richtlinien. Wir haben mit allen diesen Anbietern Auftragsverarbeitungsverträge (AVV) abgeschlossen, um die Einhaltung der DSGVO sicherzustellen. Weitere Informationen finden Sie in den jeweiligen Abschnitten dieser Erklärung.

5. Datenzugriff und -kontrolle

Sie haben das Recht:

  • Auf Ihre Daten zuzugreifen (Art. 15 DSGVO)
  • Ihre Daten zu berichtigen oder zu löschen (Art. 16, 17 DSGVO)
  • Die Verarbeitung Ihrer Daten einzuschränken (Art. 18 DSGVO)
  • Ihre Daten in einem maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen (Datenübertragbarkeit, Art. 20 DSGVO)
  • Der Verarbeitung Ihrer Daten zu widersprechen (Art. 21 DSGVO)
  • Kontaktieren Sie uns unter kontakt@kreaforma.de, um Ihre Rechte wahrzunehmen.

Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren, beispielsweise beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

6. Datenweitergabe

Wir geben Ihre Daten nicht an Dritte zu eigenen kommerziellen Zwecken weiter, es sei denn, Sie stimmen ausdrücklich zu. Eine Übermittlung an unsere Auftragsverarbeiter (siehe Abschnitt 9) erfolgt selbstverständlich im Rahmen der vertraglichen Zwecke.

7. Sicherheitsmaßnahmen

Wir verwenden SSL-Verschlüsselung, um Ihre Daten zu schützen.

ALTCHA Spam-Schutz

Wir verwenden ALTCHA, einen selbst gehosteten, Open-Source-Spamschutz, um unsere Website vor automatisierten Einsendungen und Spam zu schützen. ALTCHA läuft vollständig auf unseren eigenen Servern und übermittelt keine personenbezogenen Daten an Dritte.

ALTCHA funktioniert, indem es eine kryptografische Challenge in Ihrem Browser erzeugt, die Ihr Gerät lokal mit einem Proof-of-Work-Algorithmus löst. Dieser Prozess:

  • Verwendet keine Cookies oder Browser-Fingerprinting
  • Verfolgt nicht Ihre Browsing-Aktivitäten
  • Sammelt oder speichert keine personenbezogenen Daten
  • Gibt keine Daten an externe Dienste weiter

Die Verifizierung erfolgt in Echtzeit. Nach Abschluss der Verifizierung werden auf unseren Servern keine Daten gespeichert. Die kryptografische Challenge läuft automatisch nach einer Stunde ab.

ALTCHA ist vollständig DSGVO-konform, erfüllt die Barrierefreiheitsstandards WCAG 2.2 AA und entspricht dem European Accessibility Act (EAA). Weitere Informationen finden Sie unter altcha.org.

Cloudflare (Sicherheit und Leistungsoptimierung)

Wir nutzen die Dienste von Cloudflare Inc. (USA) bzw. Cloudflare Germany GmbH, um unsere Website vor DDoS-Angriffen, Bot-Angriffen und anderen Missbrauchsformen zu schützen. Cloudflare fungiert als unser Auftragsverarbeiter. Es wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Im Rahmen dieser Sicherheitsfunktionen verarbeitet Cloudflare folgende Daten:

  • IP-Adressen (anonymisiert)
  • HTTP-Header (User-Agent, Referrer, etc.)
  • Anfragezeitstempel
  • Browser- und Geräteinformationen

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherheit und Betriebsfähigkeit unserer Website (Art. 6 Abs. 1 lit. f DSGVO). Eine Weitergabe an Dritte zu eigenen Zwecken findet nicht statt.

Cloudflare speichert sicherheitsrelevante Logdaten in der Regel zwischen 7 und 30 Tagen. Ein Datenabgleich mit anderen Diensten von Cloudflare erfolgt nur zu Sicherheitszwecken.

Internationale Datentransfers: Cloudflare ist ein US-amerikanisches Unternehmen. Der Datentransfer in die USA erfolgt auf Basis des EU-U.S. Data Privacy Framework (DPF), für das Cloudflare zertifiziert ist (DPF-Zertifikat). Zusätzlich gelten die EU-Standardvertragsklauseln (SCCs).

Weitere Informationen: Cloudflare Datenschutzerklärung.

8. Cookies und Tracking

Wir verwenden Google Analytics und Facebook Pixel, um die Nutzererfahrung zu verbessern und unsere Marketingstrategie zu optimieren. Vor dem Setzen dieser nicht notwendigen Cookies holen wir Ihre ausdrückliche Einwilligung über unser Cookie-Banner (Complianz) ein. Sie können diese Einwilligung jederzeit widerrufen. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

9. Auftragsverarbeiter & Drittanbieter

Wir nutzen folgende Drittanbieter, die Ihre Daten in unserem Auftrag verarbeiten. Mit allen Anbietern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

  • Hetzner (Hosting): Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Datenschutzrichtlinie.
  • Brevo (E-Mail-Dienst): Brevo verarbeitet E-Mail-Inhalte und Empfängeradressen, um den Versand zu ermöglichen. Datenschutzrichtlinie.
  • Cloudflare (Domain-Hosting und Sicherheit): Cloudflare Inc. – siehe ausführliche Beschreibung in Abschnitt 7 (Cloudflare).
  • Google (E-Mail-Weiterleitung & Google Analytics): Google Ireland Limited und Google LLC (USA) verarbeiten Daten für den E-Mail-Dienst und Web-Analysen. Datenschutzrichtlinie.
  • Facebook Ireland (Meta Platforms Ireland Limited): Verarbeitet Daten für die Nutzung des Facebook-Pixels. Datenschutzrichtlinie.

10. KI-Chatbot – Datenschutz und Datenverarbeitung

DSGVO-konform · automatische Löschung nach 8 Stunden · EU-Hosting (Irland)

1. Welche Daten erheben wir?

Wenn Sie den Chatbot nutzen, erfassen wir:

  • Session-ID – eine zufällige, eindeutige Kennung pro Unterhaltung (kein direkter Personenbezug).
  • Gesprächsverlauf – die von Ihnen gesendeten Nachrichten und die Antworten, die Sie erhalten (z. B. Reisevorlieben, Reiseziele).

Wir erfassen über den Chatbot keine Zahlungsdaten, Passnummern oder Gesundheitsinformationen.

2. Warum verarbeiten wir diese Daten?

Wir verarbeiten die Gesprächsdaten ausschließlich, um während Ihrer aktiven Sitzung eine zusammenhängende, kontextbezogene Unterhaltung zu ermöglichen. Der Chatbot muss sich merken, was Sie zuvor gesagt haben (z. B. „4‑tägige Wüstentour ab Marrakesch“), um relevante Antworten geben zu können.

Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO): Berechtigtes Interesse – Bereitstellung eines hilfreichen, personalisierten Assistenten, der das Nutzererlebnis verbessert. Die Daten sind begrenzt, kurzlebig und werden für keine anderen Zwecke genutzt.

3. Wie lange speichern wir Ihre Daten?

Ihre Gesprächsdaten werden automatisch nach 8 Stunden gelöscht.

  • Eine technische Routine läuft täglich (02:02 MEZ) und entfernt dauerhaft alle Gesprächsverläufe, die älter als 8 Stunden sind, aus unserer Datenbank.
  • Wenn Sie am nächsten Tag zurückkehren, erinnert sich der Chatbot nicht an Ihre vorherige Unterhaltung – er beginnt von vorn.

4. Wo werden Ihre Daten gespeichert?

Alle Gesprächsdaten werden in einer Supabase-Datenbank mit Standort in Irland (eu‑west‑1) gespeichert. Die Daten verlassen zu keinem Zeitpunkt den Europäischen Wirtschaftsraum (EWR).

5. Wer verarbeitet Ihre Daten in unserem Auftrag (Auftragsverarbeiter)?

Wir setzen Supabase, Inc. als Auftragsverarbeiter ein. Supabase hostet die Datenbank und stellt die Infrastruktur bereit (Server, Backups, Netzwerk).

  • Wir haben mit Supabase einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen, der Standardvertragsklauseln (SCCs) und irisches Recht als anwendbares Recht umfasst.
  • Eine vollständige Liste der Unter‑Auftragsverarbeiter (z. B. AWS, Cloudflare) ist auf Anfrage erhältlich: contact@mementomorocco.com.
  • Weder wir noch Supabase verkaufen Ihre Gesprächsdaten, nutzen sie für Werbezwecke oder führen sie mit anderen Datenquellen zusammen.

6. Nutzen wir Ihre Daten für automatisierte Entscheidungsfindung oder Profiling?

Nein. Der Chatbot antwortet ausschließlich auf Ihre Nachrichten. Es werden keine automatisierten Entscheidungen (z. B. Bonitätsprüfungen, Tourpreisgestaltung) auf Basis Ihres Gesprächsverlaufs getroffen.

7. Ihre Rechte gemäß der DSGVO

Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Auskunftsrecht – Fragen Sie uns, ob wir Gesprächsdaten von Ihnen gespeichert haben.
  • Recht auf Berichtigung – Lassen Sie unrichtige Gesprächsdaten korrigieren.
  • Recht auf Löschung – Daten werden automatisch nach 8 Stunden gelöscht; für eine sofortige Löschung kontaktieren Sie uns bitte.
  • Recht auf Einschränkung der Verarbeitung – Sie können der Nutzung Ihrer Daten widersprechen (dies kann die Funktionalität des Chatbots beeinträchtigen).
  • Recht auf Datenübertragbarkeit – Fordern Sie eine Kopie Ihres Gesprächsverlaufs in einem maschinenlesbaren Format an.
  • Widerspruchsrecht – Sie können der Verarbeitung auf Basis des berechtigten Interesses jederzeit widersprechen.

Zur Ausübung Ihrer Rechte senden Sie eine E‑Mail an privacy@mementomorocco.com. Wir antworten innerhalb eines Monats.

8. Sicherheitsmaßnahmen

Wir und Supabase setzen branchenübliche Sicherheitsmaßnahmen um:

  • Verschlüsselung im Ruhezustand (AES‑256) und bei der Übertragung (TLS 1.2+).
  • Strenge Zugangskontrollen – nur autorisiertes Personal kann auf die Datenbank zugreifen.
  • Regelmäßige Sicherheitsaudits und Penetrationstests durch Supabase.
  • 48‑Stunden‑Benachrichtigung bei Datenschutzverletzungen – im Falle eines Sicherheitsvorfalls informieren wir betroffene Nutzer, soweit gesetzlich vorgeschrieben.

9. Privatsphäre von Kindern

Unser Chatbot richtet sich nicht an Kinder unter 16 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn Sie glauben, dass ein Kind uns Gesprächsdaten übermittelt hat, kontaktieren Sie uns bitte, und wir werden diese umgehend löschen.

10. Internationale Datenübermittlungen & Kontaktinformationen

Internationale Datenübermittlungen: Gesprächsdaten werden grundsätzlich innerhalb der EU verarbeitet. Wenn Sie jedoch menschliche Unterstützung per E‑Mail anfordern, können Ihre Daten an Anbieter außerhalb des EWR übermittelt werden (z. B. Google). Solche Übermittlungen werden durch Standardvertragsklauseln (SCCs) gemäß der DSGVO geschützt.

Verantwortlicher für die Datenverarbeitung: Memento Universe Ltd – 27 Old Gloucester Street, London WC1N 3AX, Vereinigtes Königreich

Technische Zusammenfassung: Datenbank gehostet bei Supabase (Irland) · Automatische Löschung via Edge Function (cleanup-chatbot), die täglich um 02:02 UTC läuft · Unterzeichneter AVV + SCCs mit Supabase · Keine Werbung oder Profiling durch Dritte.

Wir setzen keine automatisierte Entscheidungsfindung oder Profiling ein, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

11. Einsatz von lokaler KI und Automatisierung

Die Antworten des Chatbots werden mit einem lokal gehosteten Large Language Model (LLM) auf unserer eigenen Server-Infrastruktur generiert.

  • Es werden keine externen KI‑Anbieter (wie OpenAI oder Google AI Services) zur Verarbeitung Ihrer Gesprächsdaten genutzt.
  • Die gesamte Nachrichtenverarbeitung findet in unserer kontrollierten Umgebung statt.

Wir nutzen zudem ein selbst gehostetes Automatisierungssystem (n8n) auf unserem eigenen Server, um Workflows wie die Weiterleitung von Anfragen zu verwalten.

Ihre Daten werden nur dann weiterverarbeitet, wenn Sie ausdrücklich Kontakt oder Unterstützung anfordern (z. B. wenn Sie mit einem menschlichen Tour-Experten sprechen möchten).

12. Menschliche Unterstützung und E‑Mail‑Verarbeitung (optional)

Wenn Sie kontaktiert werden möchten oder um menschliche Unterstützung bitten, können Ihre Gesprächsdaten per E‑Mail an unser Team weitergeleitet werden.

  • Dieser Schritt erfolgt nur mit Ihrer ausdrücklichen Zustimmung oder auf Ihren klaren Wunsch hin.
  • In diesem Fall nutzen wir Google (Gmail), um Ihre Anfrage zu empfangen und zu bearbeiten.

Dies kann eine Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR) beinhalten. Google verarbeitet Daten auf Grundlage von Standardvertragsklauseln (SCCs) gemäß den DSGVO‑Anforderungen.

Wir teilen nur die minimal erforderlichen Informationen, die zur Beantwortung Ihrer Anfrage nötig sind (z. B. Reisevorlieben oder Reiseroutendetails).

10. Internationale Datentransfers

Einige unserer Dienstleister (insbesondere Google und Facebook) haben ihren Hauptsitz in den USA. Für den Datentransfer in die USA, der aufgrund unserer Nutzung von Google Analytics und des Google E-Mail-Dienstes stattfindet, haben wir mit diesen Unternehmen die EU-Standardvertragsklauseln (SCCs) geschlossen, um ein angemessenes Datenschutzniveau zu gewährleisten. Darüber hinaus haben sich diese Unternehmen nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, das ebenfalls als Rechtsgrundlage für den Datentransfer dient.

11. Automatische Löschung

Daten werden nicht automatisch gelöscht. Sie können jederzeit die Löschung Ihrer Daten beantragen.

12. Datenlöschungsanträge

Sie können die Löschung Ihrer Daten per E-Mail an kontakt@kreaforma.de beantragen. Wir leiten Ihren Antrag gegebenenfalls an unsere Auftragsverarbeiter weiter, um sicherzustellen, dass Ihre Daten vollständig gelöscht werden.

13. Kontakt

Für Datenschutzanfragen kontaktieren Sie uns bitte unter: kontakt@kreaforma.de.

Kreaforma Logo
Impressum

Angaben gemäß § 5 TMG:
Badr-Eddine Rachadi
kreaforma.de
Buchhofstraße 1
82319 Starnberg
Deutschland

Kontakt:
E-Mail: kontakt@kreaforma.de
Telefon: (+49) 1522 3075977

Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV:
Badr-Eddine Rachadi
Buchhofstraße 1
82319 Starnberg
Deutschland

Haftungsausschluss:
Für die Inhalte externer Links übernehmen wir keine Haftung.
Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich.

schließen