Datenschutzerklärung

**Datenschutzerklärung, DSGVO, Endgerätezugriff nach TTDSG, künftig TDDDG, unionsrechtliches ePrivacy Regime, Stand, Version 16.02.2026, fortlaufende Anpassung bei technischen, organisatorischen oder rechtlichen Änderungen**

Diese Datenschutzerklärung wird zur Erfüllung der Informationspflichten nach Art. 12 ff., insbesondere Art. 13 und, soweit einschlägig, Art. 14 der Verordnung, EU, 2016/679, Datenschutz Grundverordnung, DSGVO, abgegeben, und sie konkretisiert, in einer streng verarbeitungsbezogenen, rechtsgrundlagenorientierten, systematisch gegliederten und zugleich an den Grundsätzen der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO, der Transparenz gemäß Art. 12 DSGVO, der Zweckbindung, der Datenminimierung, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 DSGVO ausgerichteten Darstellung, die Modalitäten, Zwecke, Kategorien, Empfängerstrukturen, Übermittlungsparameter, Speicherregeln, technischen und organisatorischen Schutzmechanismen sowie die betroffenenrechtlichen Durchsetzungswege für diejenigen Verarbeitungsvorgänge, welche im Zusammenhang mit der Nutzung der von uns betriebenen öffentlich zugänglichen Website einschließlich sämtlicher Unterseiten, der darüber bereitgestellten Kommunikationskanäle, insbesondere Kontaktformular und E Mail Kommunikation, sowie der von uns implementierten Einwilligungs, Präferenz und Zustandsmechanismen stattfinden, wobei zugleich klarzustellen ist, dass einzelne Verarbeitungsvorgänge entweder ihrem Zweck nach oder als technische Vorfrage, Bedingung oder Folge, zusätzlich einen Zugriff auf Informationen in Endeinrichtungen der Nutzer oder das Speichern solcher Informationen in Endeinrichtungen voraussetzen können, namentlich durch Cookies, LocalStorage, SessionStorage oder funktional vergleichbare Speicher, Identifikations, Zustands, Synchronisations oder Sicherheitsmechanismen, und dass für diese Zugriffsebene, welche als eigenständige Rechtfertigungsschicht neben der datenschutzrechtlichen Zulässigkeit der personenbezogenen Datenverarbeitung nach der DSGVO steht, ergänzend und kumulativ die jeweils einschlägigen Anforderungen des Endgerätezugriffsrechts gelten, in Deutschland insbesondere § 25 TTDSG und perspektivisch das TDDDG, sowie die unionsrechtlichen Vorgaben des ePrivacy Regimes, sodass in der rechtlichen Würdigung strikt zu differenzieren ist zwischen der Frage, ob eine Verarbeitung personenbezogener Daten nach Maßgabe der DSGVO zulässig ist, und der Frage, ob ein Speichern von Informationen in einer Endeinrichtung oder ein Zugriff auf bereits gespeicherte Informationen nach Maßgabe des Endgerätezugriffsrechts zulässig ist, wobei beide Ebenen nebeneinanderstehen, kumulativ einzuhalten sind, und je nach konkreter technischer Ausgestaltung unterschiedliche Anforderungen an Einwilligung, Erforderlichkeit, Transparenz und Widerrufbarkeit stellen können.

Diese Erklärung adressiert ausschließlich Verarbeitungsvorgänge, für die wir Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind, das heißt für die wir über Zwecke und Mittel der Verarbeitung entscheiden, und sie regelt ausdrücklich nicht solche Verarbeitungen, die nach dem Aufruf fremder Internetpräsenzen stattfinden, welche lediglich über externe Links als Verweis zugänglich gemacht werden, da ab dem Aufruf der Drittseite regelmäßig eine eigenständige Verantwortlichkeit des Drittanbieters begründet wird, wir auf Umfang, Zwecke, Rechtsgrundlagen sowie technische Ausgestaltung der dortigen Verarbeitung keinen bestimmenden Einfluss ausüben, und deshalb ab diesem Zeitpunkt die Datenschutzerklärung und sonstigen Informationsdokumente des jeweiligen Zielanbieters maßgeblich sind, wobei gleichwohl, soweit wir im Rahmen unserer eigenen Darstellung externe Inhalte nicht nur verlinken, sondern technisch einbetten, eine gesonderte, in dieser Erklärung ebenfalls beschriebene Bewertung der dadurch ausgelösten Verbindungs, Übermittlungs und Endgerätezugriffsvorgänge erfolgt.

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist Digital Ninja LTD., Rechtsform EOOD, Bulgarien, und, soweit in weiteren Rechtsordnungen so bezeichnet, LTD, Anschrift Debar 27, App. 16, 9000 Varna, Bulgarien, vertreten durch den Geschäftsführer Jan F. Lammers, E Mail [info@gatif.ai](mailto:info@gatif.ai), Telefon +49 157 39095635, wobei als zentraler Ansprechpartner für sämtliche datenschutzrechtlichen Anliegen, insbesondere für die Ausübung von Betroffenenrechten, für Rückfragen zur Auslegung dieser Erklärung, für Anträge im Zusammenhang mit Einwilligungs und Präferenzverwaltung, sowie für Auskunftsersuchen im Zusammenhang mit Drittlandübermittlungen und geeigneten Garantien, ebenfalls die Kontaktadresse [info@gatif.ai](mailto:info@gatif.ai) benannt wird. Ein Datenschutzbeauftragter im Sinne der Art. 37 ff. DSGVO ist derzeit nicht bestellt, soweit hierfür keine gesetzliche Verpflichtung besteht, wobei klargestellt wird, dass eine Benennungspflicht, sofern sie aufgrund einer Änderung der tatsächlichen Verarbeitungstätigkeiten, einer geänderten Risikobewertung, einer geänderten Behördenpraxis, einer Änderung nationaler Ausführungsnormen oder einer sonstigen rechtlichen Neubewertung eintritt, unverzüglich durch Bestellung eines Datenschutzbeauftragten erfüllt wird, und dass in diesem Fall Name und Kontaktdaten des Datenschutzbeauftragten an dieser Stelle ausgewiesen werden, um die unmittelbar adressierbare Kommunikation der betroffenen Personen mit der hierfür zuständigen Funktion sicherzustellen.

Für die Auslegung der in dieser Erklärung verwendeten Begriffe gelten die Legaldefinitionen der DSGVO, wobei insbesondere personenbezogene Daten alle Informationen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DSGVO, Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten erfasst, Art. 4 Nr. 2 DSGVO, Einwilligung jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung darstellt, Art. 4 Nr. 11 DSGVO, und Auftragsverarbeiter eine Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, Art. 4 Nr. 8 DSGVO, wobei die Zulässigkeit der Einschaltung von Auftragsverarbeitern stets die Einhaltung der Anforderungen des Art. 28 DSGVO voraussetzt, insbesondere die vertragliche Bindung an dokumentierte Weisungen, die Verpflichtung zur Vertraulichkeit, die Implementierung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO, die Gewährleistung einer hinreichenden Unterstützung bei Betroffenenrechten, Sicherheitsvorfällen und Datenschutz Folgenabschätzungen, sowie die Kontrolle der Unterauftragsverarbeitung.

Wir verarbeiten personenbezogene Daten nach Maßgabe der Grundsätze des Art. 5 DSGVO, namentlich Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit, und implementieren darüber hinaus dem Risiko angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO, um ein Schutzniveau zu gewährleisten, das insbesondere Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherstellt, und, soweit erforderlich, Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit solcher Maßnahmen umfasst, wobei der konkrete Zuschnitt der Maßnahmen am jeweiligen Risikoprofil, an Art, Umfang, Umständen und Zwecken der Verarbeitung, sowie an den Eintrittswahrscheinlichkeiten und Schweregraden potenzieller Risiken für die Rechte und Freiheiten natürlicher Personen ausgerichtet wird.

Soweit nach Art. 6 DSGVO eine Rechtsgrundlage erforderlich ist, erfolgt die Verarbeitung personenbezogener Daten ausschließlich, sofern mindestens eine der folgenden Erlaubnisnormen einschlägig ist, wobei je nach Verarbeitungsvorgang und konkreter Implementierung mehrere Rechtsgrundlagen nebeneinander einschlägig sein können, und wobei stets zusätzlich zu prüfen ist, ob und inwieweit der jeweilige Vorgang zugleich einen Endgerätezugriff im Sinne des Endgerätezugriffsrechts darstellt, der seinerseits einer eigenständigen Erlaubnis bedarf. Als Rechtsgrundlagen kommen insbesondere Art. 6 Abs. 1 lit. a DSGVO, Einwilligung, für zustimmungspflichtige Analyse, Tracking und Marketingtechnologien sowie für sonstige Verarbeitungsvorgänge in Betracht, die nicht zwingend zur Bereitstellung der von Ihnen ausdrücklich gewünschten Funktion erforderlich sind, Art. 6 Abs. 1 lit. b DSGVO, Vertrag oder vorvertragliche Maßnahmen, für Verarbeitungsvorgänge, die zur Durchführung eines Vertragsverhältnisses oder zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage erforderlich sind, insbesondere im Rahmen der Anbahnung einer Zusammenarbeit, der Bearbeitung leistungsbezogener Anfragen oder der Durchführung vereinbarter Leistungen, Art. 6 Abs. 1 lit. c DSGVO, rechtliche Verpflichtung, soweit gesetzliche Aufbewahrungs, Dokumentations, Auskunfts oder Herausgabepflichten einschlägig sind, sowie Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse, für Verarbeitungsvorgänge, die zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen Dritter erforderlich sind, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen, wobei in jedem Fall eine Abwägung unter Berücksichtigung der vernünftigen Erwartungen der betroffenen Person, der Eingriffsintensität, der Schutzmaßnahmen, der Datenkategorien, der Zugriffsmöglichkeiten und der Risikoprofile vorgenommen wird.

Unbeschadet der DSGVO unterliegt das Speichern von Informationen in Ihrer Endeinrichtung oder der Zugriff auf bereits gespeicherte Informationen, insbesondere mittels Cookies sowie LocalStorage und SessionStorage, zusätzlich den einschlägigen Anforderungen des Endgerätezugriffs, wobei technisch notwendige Zugriffe, die zwingend erforderlich sind, um den von Ihnen ausdrücklich gewünschten Telemediendienst bereitzustellen, insbesondere Speicherung und Auslesen Ihres Einwilligungsstatus, Session Kohärenz, Sicherheitsfunktionen, Zustandsverwaltung, Abwehr missbräuchlicher Nutzung sowie grundlegende Funktionsfähigkeit, ohne Einwilligung zulässig sein können, während nicht notwendige Zugriffe, insbesondere solche mit Analyse, Profiling oder Marketingzweck, grundsätzlich erst nach Ihrer vorherigen Einwilligung stattfinden, wobei die Einwilligung auf dieser Zugriffsebene funktional unabhängig von der datenschutzrechtlichen Einwilligung sein kann, in der Praxis jedoch typischerweise in einem einheitlichen Präferenzdialog erhoben und technisch umgesetzt wird, um widerspruchsfreie, transparente und auditierbare Zustände zu gewährleisten.

Je nach Nutzung der Website, den von Ihnen vorgenommenen Eingaben sowie der von Ihnen erteilten oder verweigerten Einwilligungen können wir insbesondere Nutzungs und Gerätedaten verarbeiten, also aufgerufene Inhalte, Interaktionen, Zeitstempel, Referrer, Browser und Geräteparameter einschließlich User Agent, Betriebssystem und bestimmte Anzeige oder Laufzeitparameter, ferner Protokolldaten und Logdaten, also IP Adresse, Datum und Uhrzeit des Abrufs, angeforderte Ressource, Statuscodes, Ladezeiten, Fehlermeldungen und Diagnosedaten, ferner Kommunikations und Inhaltsdaten, also Inhalte und Metadaten von Anfragen über Kontaktwege einschließlich Anhängen, ferner Kontaktdaten, also Name, E Mail Adresse, Telefonnummer, Unternehmensangaben, jeweils nur soweit von Ihnen angegeben oder übermittelt, ferner Einwilligungs und Nachweisdaten, also Einwilligungsstatus je Kategorie, Zeitpunkt, Version des Einwilligungstextes, sowie pseudonyme technische Kennungen, etwa Session IDs oder UUIDs, die der technischen Zuordnung innerhalb einer Sitzung oder eines Einwilligungszustands dienen, ohne dass hierdurch per se eine unmittelbare Identifikation Ihrer Person intendiert ist, wobei eine Zusammenführung pseudonymer Kennungen mit Klardaten nur erfolgt, sofern dies ausdrücklich implementiert und rechtlich legitimiert wäre, was im Normalbetrieb nicht vorgesehen ist, und wobei für den Fall einer künftig geänderten Implementierung, die eine solche Zusammenführung technisch ermöglichen oder vorsehen würde, eine gesonderte, transparente und rechtlich tragfähige Ausweisung einschließlich Zweck, Rechtsgrundlage, Umfang, Risiken und Widerspruchs oder Einwilligungsmechanismen erfolgen würde.

Datenquellen sind dabei erstens Ihre aktive Übermittlung im Rahmen von Kontaktaufnahmen, zweitens die automatische Erhebung im Rahmen der technischen Kommunikation zwischen Ihrem Endgerät und unseren Systemen beziehungsweise den Systemen unserer Dienstleister, drittens, soweit aktiviert und zulässig, Rückmeldungen aus eingesetzten Analyse, Sicherheits oder Stabilitätsmechanismen, wobei eine Pflicht zur Bereitstellung personenbezogener Daten für die reine informatorische Nutzung der Website grundsätzlich weder gesetzlich noch vertraglich besteht, jedoch kontextbezogen gilt, dass bei Nutzung eines Kontaktformulars die Bereitstellung einer funktionsfähigen E Mail Adresse regelmäßig als Mindestangabe erforderlich ist, um die Bearbeitung und Beantwortung der Anfrage zu ermöglichen, während Angaben wie Name, Telefonnummer oder Unternehmensbezeichnung, sofern nicht im konkreten Einzelfall zur Bearbeitung zwingend erforderlich, grundsätzlich fakultativ sind, aber die Zuordnung und Rückkommunikation erleichtern können, und dass, wird die erforderliche E Mail Adresse nicht bereitgestellt, die Anfrage nicht oder nur unvollständig bearbeitet werden kann, sowie dass bei Kontaktaufnahme per E Mail die Bereitstellung einer E Mail Adresse immanent ist, da sie den Kommunikationskanal konstituiert, und dass ohne hinreichende Angaben zur Kontaktierbarkeit die Bearbeitung praktisch scheitern kann, wobei, soweit im Einzelfall weitere Informationen zur Durchführung vorvertraglicher Maßnahmen oder zur Vertragserfüllung erforderlich werden, etwa zur Angebotserstellung, Spezifikation eines Leistungsgegenstands, Terminierung oder Abrechnungsvorbereitung, dies im jeweiligen Kommunikationsverlauf gesondert kenntlich gemacht wird, und die Nichtbereitstellung dann dazu führen kann, dass die jeweilige Leistung nicht erbracht oder nicht angebahnt werden kann.

Soweit Verarbeitungsvorgänge auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, werden die jeweils verfolgten berechtigten Interessen prozessbezogen konkretisiert, wobei die benannten Interessen zugleich den Maßstab der Abwägung mit den Interessen und Grundrechten der betroffenen Personen bilden und durch das Prinzip der Datenminimierung sowie geeignete Schutzmaßnahmen flankiert werden, sodass unser berechtigtes Interesse je nach konkretem Verarbeitungsvorgang insbesondere in der Gewährleistung der technischen Funktionsfähigkeit und der störungsfreien Auslieferung des Onlineangebots einschließlich Lastverteilung, in der Sicherung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Systeme sowie der Erkennung, Analyse und Abwehr von Angriffen, Missbrauch, Bot Traffic, Betrugshandlungen und DDoS ähnlichen Ereignissen, in der Fehlerdiagnose, dem Debugging und der Qualitätssicherung einschließlich performancebezogener Ursachenanalyse, in der Durchsetzung, Ausübung und Verteidigung von Rechtsansprüchen sowie der Dokumentation geschäftlicher Vorgänge in rechtlich erforderlichem Umfang, in der datenschutzfreundlichen Risikoreduktion durch technische Schutzmaßnahmen wie Parameter Redaction, Minimierung und Pseudonymisierung, sowie, soweit einschlägig, in der wirtschaftlich vertretbaren Bereitstellung konsistenter Darstellungskomponenten, etwa Fonts und Icons, liegt, sofern gleichwertige, datenschutzschonendere Alternativen geprüft werden, dokumentiert werden und, soweit angezeigt, implementiert werden.

Der technische Betrieb der Website erfolgt über den Hosting und Infrastruktur Anbieter Vercel Inc., in dessen Rahmen im Zuge der Bereitstellung, des Deployments, der Auslieferung über verteilte Infrastrukturen, insbesondere CDN und Edge, der Lastverteilung sowie der Abwehr von Angriffen und Missbrauchsvorgängen technisch bedingt Daten verarbeitet werden, die regelmäßig auch personenbezogene Elemente enthalten können, insbesondere IP Adresse, Request und Headerdaten einschließlich User Agent, Zeitstempel, Referrer, Status und Fehlercodes sowie Mess und Timingdaten, wobei die Verarbeitung dieser Daten in erster Linie der Auslieferung der Inhalte, der Gewährleistung von Verfügbarkeit, Stabilität, Performance und IT Sicherheit, der Erkennung und Abwehr von Angriffen einschließlich DDoS ähnlicher Ereignisse, der Missbrauchsprävention sowie der technischen Fehleranalyse und dem Debugging dient, und wobei Rechtsgrundlage insoweit grundsätzlich Art. 6 Abs. 1 lit. f DSGVO ist, weil ein überwiegendes berechtigtes Interesse an einem sicheren, funktionsfähigen und wirtschaftlich betreibbaren Onlineangebot besteht, während Vercel, soweit es personenbezogene Daten weisungsgebunden für die Bereitstellung, Auslieferung, Sicherheit und den Betrieb verarbeitet, als Auftragsverarbeiter im Sinne des Art. 28 DSGVO eingesetzt wird.

Aufgrund der global verteilten Infrastruktur und der technischen Auslieferungslogik können Verarbeitungsvorgänge je nach Routing, Region, Edge Standort und Subdienstleister innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums und oder in Drittländern stattfinden, sodass, soweit eine Drittlandübermittlung im Sinne der Art. 44 ff. DSGVO einschlägig ist oder nicht ausgeschlossen werden kann, eine solche Übermittlung ausschließlich unter Beachtung der Vorgaben der Art. 44 ff. DSGVO erfolgt, und soweit einschlägig unter Vereinbarung der Standarddatenschutzklauseln der Europäischen Kommission, Standard Contractual Clauses, SCC, gemäß Art. 46 Abs. 2 lit. c DSGVO als maßgeblichem Rechtsinstrument zur Herstellung eines angemessenen Schutzniveaus, wobei ergänzend, je nach Risikoprofil, Datenkategorie, Zugriffsszenario und Ergebnis einer Transfer Impact Assessment Bewertung, zusätzliche technische und organisatorische Maßnahmen implementiert werden können, insbesondere Zugriffsbeschränkung, Minimierung, Pseudonymisierung, Transport und Ruheverschlüsselung, Segmentierung, Protokollierung, Härtung, sowie organisatorische Kontroll und Weisungsmechanismen, und wobei eine Kopie der verwendeten SCC beziehungsweise Auskunft über deren wesentlichen Inhalt sowie, soweit im Einzelfall einschlägig, Informationen zu ergänzenden Maßnahmen auf Anfrage unter [info@gatif.ai](mailto:info@gatif.ai) angefordert werden können, wobei die Herausgabe in einer Weise erfolgt, die keine Geschäftsgeheimnisse, Sicherheitsinformationen oder Rechte Dritter verletzt und daher redigierte Fassungen umfassen kann. Unbeschadet der Implementierung geeigneter Garantien ist darauf hinzuweisen, dass bei Drittlandübermittlungen ein restrisikoimmanenter Zugriff staatlicher Stellen nach dem Recht des Drittlandes nicht mit absoluter Sicherheit ausgeschlossen werden kann, und dass die Bewertung dieses Restrisikos, soweit erforderlich, in die Auswahl ergänzender Maßnahmen, die Konfiguration der Datenminimierung, die Pseudonymisierungstiefe und die Speicherbegrenzung einfließt. Server Logdaten werden nur so lange gespeichert, wie dies zur Zweckerreichung erforderlich ist, und die Löschung oder Rotation erfolgt regelmäßig nach den technischen Vorgaben und Konfigurationen des Providers und unserer Systeme, wobei die Speicherdauer insbesondere von Sicherheits und Diagnosenotwendigkeiten sowie von der Minimierungspflicht nach Art. 5 Abs. 1 lit. e DSGVO determiniert wird, und wobei wir, soweit technisch und organisatorisch möglich, Konfigurationen bevorzugen, die kurze Speicherfristen, aggregierte Auswertungen und restriktive Zugriffskontrollen realisieren.

Ergänzend können wir technische Mess und Optimierungsfunktionen wie Vercel Analytics und oder Vercel Speed Insights einsetzen, soweit dies zur Messung und Verbesserung von Ladezeiten, Stabilität und Nutzererfahrung sowie zur Erkennung technischer Probleme erforderlich ist, wobei dabei, je nach konkreter Aktivierung und Konfiguration, technische Nutzungs und Leistungsdaten verarbeitet werden können, insbesondere Seitenaufrufe, Web Vitals ähnliche Messwerte, Geräte und Browserparameter, gegebenenfalls verkürzte oder pseudonyme Kennungen sowie gegebenenfalls technische Metadaten, die zur Sicherheits oder Missbrauchsabwehr erforderlich sein können, und wobei, soweit diese Messungen über rein notwendige Stabilitäts und Sicherheitszwecke hinausgehen oder einen Trackingcharakter aufweisen, die Aktivierung ausschließlich nach Ihrer vorherigen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und nur unter Beachtung der Endgerätezugriffsvorschriften erfolgt, während, soweit die Verarbeitung strikt auf das technisch Erforderliche zur Sicherstellung des Betriebs und zur Fehlerdiagnose begrenzt ist, sie auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, wobei unser berechtigtes Interesse in der Aufrechterhaltung eines stabilen, sicheren und performanten Betriebs sowie der schnellen Identifikation und Behebung technischer Störungen liegt, und wobei Drittlandübermittlungen abhängig von Infrastruktur und Subprozessoren nicht ausgeschlossen werden können, sodass auch insoweit die vorstehenden Ausführungen zu Art. 44 ff. DSGVO, SCC, Kopie und Auskunftsmöglichkeit und Restrisikohinweis entsprechend gelten.

Soweit Sie mit uns kommunizieren, verarbeiten wir die hierbei übermittelten Daten, und zwar bei Kontaktaufnahmen über ein Kontaktformular insbesondere die von Ihnen eingegebenen Angaben, etwa Name, E Mail Adresse, Inhalt der Nachricht, gegebenenfalls Firma und Telefonnummer, sowie technische Metadaten, etwa Zeitpunkt der Übermittlung, und in Einzelfällen IP Adresse und Referrer, soweit dies zur Missbrauchsabwehr erforderlich ist, wobei Zweck die Bearbeitung und Beantwortung Ihrer Anfrage, die Anbahnung vorvertraglicher Maßnahmen oder die Durchführung eines Vertragsverhältnisses sowie subsidiär die Missbrauchs und Spamabwehr ist, und wobei die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO ist, soweit Ihre Anfrage auf vorvertragliche Maßnahmen oder Vertragserfüllung gerichtet ist, und andernfalls Art. 6 Abs. 1 lit. f DSGVO, da unser berechtigtes Interesse in effektiver, nachweisbarer Kommunikation, in der strukturierten Bearbeitung, in der Abwehr missbräuchlicher Inanspruchnahmen sowie, soweit erforderlich, in der Sicherung der Integrität unserer Kommunikationskanäle liegt. Bei Kontaktaufnahme per E Mail verarbeiten wir Absenderdaten, Kommunikationsinhalte, Anhänge und Metadaten, etwa Headerdaten und Zeitstempel, zu denselben Zwecken und auf denselben Rechtsgrundlagen, wobei die Speicherdauer nach dem Erforderlichkeitsprinzip bestimmt wird, sodass Kommunikation grundsätzlich nur so lange gespeichert wird, wie dies zur Bearbeitung erforderlich ist, darüber hinaus jedoch eine Speicherung erfolgen kann, sofern gesetzliche Aufbewahrungspflichten einschlägig sind oder legitime Dokumentations und Nachweisinteressen bestehen, etwa zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, wobei auch insoweit Speicherbegrenzung, Zweckbindung und Zugriffsbeschränkung strikt zu beachten sind.

Wir setzen ein eigenes Consent Management System ein, um Ihre Einwilligungen für nicht notwendige Technologien einzuholen, zu dokumentieren und technisch umzusetzen, wobei typischerweise Informationen über Ihre Entscheidung, also Zustimmung oder Ablehnung je Kategorie wie Analytics und Marketing, der Zeitpunkt der Abgabe sowie die Version des Einwilligungstextes verarbeitet und in der Regel als First Party Information in einem Cookie und oder in LocalStorage beziehungsweise SessionStorage gespeichert werden, gegebenenfalls redundant, um technische Robustheit, Konsistenz und Wiederherstellbarkeit herzustellen, wobei die Speicherung der Umsetzung Ihrer Wahl, der Verhinderung wiederholter Abfragen in unangemessener Frequenz, der Sicherstellung eines konsistenten technischen Zustands sowie dem Nachweis und der Verwaltung erteilter oder verweigerter Einwilligungen im Sinne der Rechenschaftspflicht dient, und wobei die Rechtsgrundlage je nach konkreter Ausgestaltung Art. 6 Abs. 1 lit. c DSGVO sein kann, soweit die Dokumentation und Nachweisbarkeit als rechtliche Verpflichtung eingeordnet wird, und oder Art. 6 Abs. 1 lit. f DSGVO, da unser berechtigtes Interesse in der Implementierung und dem Betrieb eines rechtskonformen, funktionsfähigen, auditierbaren und missbrauchsresistenten Einwilligungsmechanismus liegt, während für den Endgerätezugriff die Erforderlichkeit zur Bereitstellung der von Ihnen gewünschten Einstellung beziehungsweise, soweit nicht notwendig, die einschlägige Einwilligung nach den Endgerätezugriffsvorschriften maßgeblich ist. Die Speicherdauer des Einwilligungsstatus ist typischerweise auf einen begrenzten Zeitraum ausgelegt, regelmäßig bis zu 180 Tagen oder bis zu einer Erneuerung oder Änderung, und Einwilligungen können jederzeit mit Wirkung für die Zukunft über die Cookie Einstellungen widerrufen oder angepasst werden, wobei die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt bleibt.

Soweit Verarbeitungsvorgänge auf Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt werden, und soweit einschlägig auf einwilligungsbedürftigen Endgerätezugriff nach dem ePrivacy beziehungsweise TTDSG und künftig TDDDG Regime, gilt ergänzend und klarstellend, dass die Erteilung einer Einwilligung freiwillig erfolgt und keine Voraussetzung für die rein informatorische Nutzung der Website ist, dass eine Verweigerung der Einwilligung keine nachteiligen Rechtsfolgen hat, sondern lediglich dazu führt, dass einwilligungsgebundene Funktionen, insbesondere Analyse, Tracking oder Marketing Komponenten, nicht aktiviert werden, und damit entsprechende Mess, Komfort oder Optimierungsleistungen gegebenenfalls nicht oder nur eingeschränkt zur Verfügung stehen, und dass der Widerruf jederzeit erklärt werden kann, ex nunc wirkt, also für die Zukunft, während die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt bleibt.

Neben dem Consent Status können technisch notwendige First Party Speicherungen erfolgen, etwa SessionStorage Werte wie session_id und session_index zur technischen Session Kohärenz, sicherheitsrelevante Steuerungsparameter oder Stabilitätsmechanismen, wobei diese Speicherungen ausschließlich der technischen Bereitstellung der Website, der Auslieferungsstabilität, der konsistenten Zustandsverwaltung, der IT Sicherheit sowie der Fehleranalyse dienen, nicht dazu bestimmt sind, Sie unmittelbar zu identifizieren, und nicht mit Klardaten zusammengeführt werden, sofern nicht ausdrücklich und dann nur auf klarer Rechtsgrundlage implementiert, wobei die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit der Zulässigkeit des technisch notwendigen Endgerätezugriffs ist, und unser berechtigtes Interesse in der Sicherstellung eines stabilen, sicheren und funktionsfähigen Dienstbetriebs liegt.

Soweit Sie in die Kategorie Analytics einwilligen, können wir Google Analytics 4 einsetzen, wobei Anbieter regelmäßig Google Ireland Ltd. ist, und abhängig von der technischen Leistungserbringung verbundene Unternehmen, insbesondere Google LLC in den USA, als Empfänger oder Unterauftragnehmer auftreten können, wobei Zwecke Reichweitenmessung, Nutzungsanalyse, Optimierung von Nutzerführung und Inhalten, technische und konzeptionelle Verbesserung der Website sowie Erfolgsmessung sind, und wobei typischerweise pseudonyme Nutzungsdaten wie Seitenaufrufe, Navigationspfade, Interaktionen, etwa Scroll und Klickereignisse, Geräte und Browserparameter, technische Messwerte sowie eine grobe regionale Ableitung verarbeitet werden, und wobei Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO ist, während der damit korrespondierende Endgerätezugriff, also Setzen und Auslesen von Identifikatoren oder Speichern von Informationen, ausschließlich nach Ihrer Einwilligung erfolgt. Soweit im Rahmen dieser Dienste eine Drittlandübermittlung nicht ausgeschlossen werden kann, erfolgt sie nach Maßgabe der Art. 44 ff. DSGVO unter Vereinbarung der SCC gemäß Art. 46 Abs. 2 lit. c DSGVO, wobei auch insoweit gilt, dass eine Kopie der SCC beziehungsweise Auskunft über deren wesentlichen Inhalt sowie, soweit einschlägig, Informationen zu ergänzenden Maßnahmen auf Anfrage unter [info@gatif.ai](mailto:info@gatif.ai) erhältlich sind, und dass ein Restrisiko behördlicher Zugriffe im Drittland nicht vollständig ausgeschlossen werden kann, während die Speicherdauer sich nach den jeweiligen Retention Einstellungen und Konfigurationen innerhalb des Dienstes richtet, und wir bestrebt sind, solche Einstellungen im Lichte der Datenminimierung und Speicherbegrenzung restriktiv auszugestalten.

Soweit wir, und nur nach entsprechender Einwilligung, den Google Tag Manager einsetzen, geschieht dies zur technischen Verwaltung und Aussteuerung von Tags, etwa Analytics oder Marketing Tags, wobei der Tag Manager als Verwaltungsinfrastruktur typischerweise keine inhaltliche Analyse bezweckt, jedoch technische Verbindungen zu Google Servern begründen kann, weshalb die Einbindung ausschließlich nach Einwilligung für die jeweilige Kategorie erfolgt, die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO ist, und etwaige Drittlandübermittlungen den Art. 44 ff. DSGVO einschließlich SCC und Kopie und Auskunftsmöglichkeit unterliegen. Ergänzend können wir Google Consent Mode einsetzen, um Google Diensten signaltechnisch mitzuteilen, ob und in welcher Kategorie eine Einwilligung vorliegt, was der korrekten technischen Umsetzung Ihrer Entscheidung dient, regelmäßig auf Art. 6 Abs. 1 lit. a DSGVO gestützt wird, und im Hinblick auf Endgerätezugriffe an Ihre Einwilligungsentscheidung gekoppelt ist.

Zusätzlich können wir, bei entsprechender Einwilligung oder soweit im Ausnahmefall technisch zwingend, ein eigenes First Party basiertes pseudonymes Custom Tracking verwenden, das technische Interaktionsereignisse wie Navigation, Klickpfade, Scrolltiefe, Verweildauer, Öffnen und Schließen von UI Elementen, Medienereignisse, formularbezogene Statusereignisse ohne Inhaltsübernahme sowie technische Fehler und Performance Events erfassen kann, wobei dieses System ausdrücklich so konzipiert ist, dass Inhalte von Textfeldern, insbesondere Nachrichteninhalte, Clipboard Inhalte, Passwörter, Tokens, Geheimnisse oder sonstige sensible Freitextinhalte nicht erfasst werden, und wobei die Verarbeitung zur Produkt, UX und Qualitätsoptimierung sowie zur Conversion Analyse unter Minimierung direkter Personenbezüge erfolgt, regelmäßig auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Zur weiteren Minimierung potenziell personenbezogener Übermittlungen können URL Parameter vor Übernahme in Tracking oder Protokolldaten gefiltert werden, Parameter Redaction, insbesondere bei typischerweise personenbezogenen Schlüsseln wie email, name, token, session, password, auth, code, phone, address, wobei Rechtsgrundlage hierfür je nach Kontext Art. 6 Abs. 1 lit. f DSGVO ist, da unser berechtigtes Interesse in der datenschutzfreundlichen Risikoreduktion, der Verhinderung unbeabsichtigter Personenbezüge in Telemetrie und Logdaten sowie in der Stärkung der Compliance durch technische Schutzmaßnahmen liegt, und oder Art. 6 Abs. 1 lit. a DSGVO, soweit die zugrunde liegende Analyse insgesamt einwilligungsbasiert ist, wobei pseudonyme Session IDs zur technischen Zuordnung innerhalb einer Sitzung eingesetzt werden können und typischerweise nur sitzungsbezogen oder kurzzeitig vorgehalten werden.

Wir binden derzeit externe Schrift und Icon Ressourcen von Google ein, konkret Material Symbols Outlined über Google Fonts, typischerweise über Abrufe von fonts.googleapis.com, Stylesheets, und fonts.gstatic.com, Fontdateien, wobei hierbei typischerweise IP Adresse, technische Header und Browserinformationen, Zeitstempel und die angeforderte Ressource verarbeitet werden, um die Darstellung konsistent, performant und funktional zu gewährleisten, und wobei Rechtsgrundlage grundsätzlich Art. 6 Abs. 1 lit. f DSGVO ist, da unser berechtigtes Interesse in der konsistenten Darstellung, in der Reduktion von Implementierungskomplexität sowie in einer wirtschaftlich vertretbaren Bereitstellung liegt, zugleich jedoch zu berücksichtigen ist, dass nach behördlicher und gerichtlicher Praxis in bestimmten Konstellationen die externe Einbindung von Fonts und Icons als einwilligungsrelevant beurteilt werden kann, insbesondere wegen Drittübermittlung und Netzwerk und Endgerätezugriff, weshalb wir fortlaufend die Möglichkeit des Self Hostings prüfen, um externe Datenübertragungen zu minimieren, und soweit eine Einwilligung rechtlich geboten oder aus Risikovorsorge angezeigt ist, die Aktivierung über das Consent Management gesteuert werden kann. Eine Verarbeitung außerhalb der EU oder des EWR, insbesondere in den USA, kann je nach Infrastruktur der Anbieter nicht ausgeschlossen werden, sodass auch insoweit Art. 44 ff. DSGVO samt SCC, Kopie und Auskunftsmöglichkeit und Restrisikohinweis gelten.

Optional, je nach künftigem Ausbau, können Mechanismen zur Spam und Missbrauchsabwehr wie Captcha oder Anti Spam Lösungen, etwa reCAPTCHA, hCaptcha oder vergleichbare Dienste, eingesetzt werden, wobei in diesem Fall Daten wie IP Adresse, Interaktionsmuster, etwa Mausbewegungen, Geräte und Browserinformationen, Zeitpunkt, Referrer sowie eine risikobasierte Bewertung zur Spam Erkennung verarbeitet werden können, und Zweck die Missbrauchsabwehr und der Schutz der Infrastruktur ist, während Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO sein kann, wobei unser berechtigtes Interesse in der Abwehr automatisierter Angriffe, der Sicherung der Kommunikationskanäle und der Stabilität des Dienstbetriebs liegt, oder, je nach Tool, Implementierung, Endgerätezugriff und behördlicher Einordnung, Art. 6 Abs. 1 lit. a DSGVO, und Drittlandübermittlungen bei bestimmten Anbietern möglich sind, sodass, sofern einschlägig, die Absicherung über Art. 44 ff. DSGVO, SCC, und Kopie und Auskunftsmöglichkeit erfolgt. Entsprechendes gilt für künftig eingesetzte Einbettungen externer Inhalte, etwa Videos, Social Media Posts oder Karten, bei denen bereits beim Laden eine Verbindung zu den Servern des Drittanbieters hergestellt werden kann und typischerweise IP Adresse, Geräte und Browserdaten, Referrer sowie gegebenenfalls Drittanbieter Cookies betroffen sind, weshalb aus Gründen der Datenminimierung und Kontrolle regelmäßig eine Einwilligungslösung, etwa Blockade bis Zustimmung oder vergleichbare Mechanismen, als vorzugswürdig angesehen wird, sodass eine Aktivierung externer Inhalte typischerweise erst nach Einwilligung erfolgt.

Soweit personenbezogene Daten an Dritte offengelegt werden, erfolgt dies ausschließlich nach dem Erforderlichkeitsprinzip und unter Beachtung der Rollen und Verantwortlichkeitszuordnung nach der DSGVO, wobei Hosting und Infrastrukturleistungen einschließlich CDN und Edge Auslieferung über Vercel Inc. erbracht werden, Vercel hierbei, soweit personenbezogene Daten weisungsgebunden für Bereitstellung, Auslieferung, Sicherheit und Betrieb verarbeitet werden, als Auftragsverarbeiter im Sinne des Art. 28 DSGVO eingesetzt wird, und Analyse und Tag Management Dienste der Google Gruppe, insbesondere Google Analytics 4, Google Tag Manager sowie gegebenenfalls Google Consent Mode, sofern aktiviert, ausschließlich nach Einwilligung eingesetzt werden, wobei je nach konkreter vertraglicher Ausgestaltung, Konfiguration und Dienstkomponente die jeweilige Google Entität dabei als Auftragsverarbeiter, weisungsgebundene Verarbeitung, oder als eigenständig Verantwortlicher für bestimmte diensttypisch notwendige Verarbeitungen handeln kann, und soweit Google im Rahmen der Leistungserbringung Verarbeitungen zu eigenen Zwecken vornimmt oder rechtlich als eigenständig Verantwortlicher einzuordnen ist, dies auf Grundlage der hierfür maßgeblichen Google Bedingungen und Datenschutzhinweise erfolgt, während wir die Aktivierung solcher Dienste an die Einwilligung koppeln und soweit technisch möglich datenschutzfreundliche Konfigurationen wählen. Interne Empfänger erhalten Zugriff ausschließlich nach dem Need to know Prinzip, und weitere IT Dienstleister werden nur eingebunden, soweit dies zur Bereitstellung, Wartung oder Sicherung des Betriebs erforderlich ist, und werden, sofern sie weisungsgebunden verarbeiten, mittels Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtet.

Zur Erfüllung der Transparenzanforderungen des Endgerätezugriffs, TTDSG, TDDDG, ePrivacy, wird ergänzend zur Kategorisierung, notwendig, Analytics, Marketing, ein Cookie und Speicherverzeichnis vorgehalten, aus dem sich je eingesetztem Mechanismus mindestens Bezeichnung oder Identifier, Kategorie, Zweck, Speicherdauer, Anbieter oder Empfänger sowie, soweit einschlägig, die Rechtsgrundlage ergeben, und dieses Verzeichnis ist über die Cookie Einstellungen im Consent Dialog in einer Detailansicht abrufbar, wobei, soweit im Einzelfall eine Darstellung innerhalb des Consent Dialogs technisch nicht möglich oder nicht zumutbar ist, das Verzeichnis alternativ als gesonderter Abschnitt innerhalb dieser Datenschutzerklärung geführt oder auf Anfrage unter [info@gatif.ai](mailto:info@gatif.ai) bereitgestellt werden kann, und wobei für technisch notwendige Speicherungen insbesondere First Party Mechanismen zur Einwilligungsverwaltung, Consent Status, Zeitstempel, Textversion, sowie sitzungsbezogene technische Kennungen, etwa session_id und session_index, ausgewiesen werden können, während für einwilligungsbasierte Analyse und Marketing Mechanismen, soweit tatsächlich aktiv, die jeweils einschlägigen Identifikatoren und Storage Einträge nach Anbieterlogik aufgeführt werden, und sofern einzelne Speicherungen dynamisch, konfigurationsabhängig oder dienstseitig variieren, dies im Verzeichnis kenntlich gemacht wird, maßgeblich ist stets der im Zeitpunkt der Nutzung tatsächlich gesetzte Mechanismus.

Die Speicherdauer richtet sich strikt nach dem Erforderlichkeitsgrundsatz und dem Prinzip der Speicherbegrenzung, wobei Protokoll und Sicherheitsdaten nur so lange vorgehalten werden, wie dies zur Gewährleistung von IT Sicherheit, Stabilität und Fehleranalyse erforderlich ist, und sodann gelöscht oder rotiert werden, Kommunikationsdaten grundsätzlich bis zur abschließenden Bearbeitung der Anfrage gespeichert werden, eine darüber hinausgehende Speicherung nur erfolgt, sofern gesetzliche Pflichten oder legitime Nachweis und Dokumentationsinteressen dies erfordern, insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Analyse und Trackingdaten gemäß den jeweiligen Retention und Konfigurationseinstellungen verarbeitet und gespeichert werden, und Consent und Nachweisdaten typischerweise bis zu einem konfigurierten Ablaufzeitraum oder bis zum Widerruf oder der Erneuerung vorgehalten werden, wobei eine darüber hinausgehende Speicherung nicht stattfindet, es sei denn, es bestehen zwingende rechtliche Gründe oder die Daten werden zuvor in einer Weise anonymisiert, dass kein Personenbezug mehr herstellbar ist.

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen die Betroffenenrechte aus Art. 15 bis 21 DSGVO, insbesondere das Recht auf Auskunft gemäß Art. 15 DSGVO, Berichtigung gemäß Art. 16 DSGVO, Löschung gemäß Art. 17 DSGVO, Einschränkung der Verarbeitung gemäß Art. 18 DSGVO, Datenübertragbarkeit gemäß Art. 20 DSGVO sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, gemäß Art. 21 DSGVO, und Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden, Art. 7 Abs. 3 DSGVO, wobei der Widerruf die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt. Zur Ausübung Ihrer Rechte wenden Sie sich an [info@gatif.ai](mailto:info@gatif.ai), und zur Missbrauchsprävention kann eine verhältnismäßige Identitätsprüfung erforderlich sein, insbesondere wenn begründete Zweifel an der Identität der anfragenden Person bestehen, wobei wir Anfragen grundsätzlich innerhalb der gesetzlichen Fristen beantworten, und soweit eine Fristverlängerung nach der DSGVO zulässig ist, eine entsprechende Information unter Angabe der Gründe erfolgt.

Es finden keine automatisierten Entscheidungen einschließlich Profiling im Sinne des Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, sofern in dieser Erklärung nicht ausdrücklich und eindeutig etwas Abweichendes geregelt wäre, und eine Profilbildung mit erheblichen Auswirkungen ist nicht Gegenstand des Betriebs. Das Angebot richtet sich nicht an Minderjährige, wir erheben nicht wissentlich personenbezogene Daten von Kindern, und sollten wir Kenntnis davon erlangen, dass personenbezogene Daten von Kindern ohne erforderliche Zustimmung verarbeitet wurden, werden wir diese Daten, soweit möglich, unverzüglich löschen und angemessene Maßnahmen zur Unterbindung weiterer Verarbeitung ergreifen.

Zuständige Datenschutzaufsichtsbehörde am Sitz des Unternehmens ist die Commission for Personal Data Protection, CPDP, 2 Prof. Tsvetan Lazarov Blvd., 1592 Sofia, Bulgarien, wobei unbeschadet dessen das Recht besteht, gemäß Art. 77 DSGVO eine Beschwerde bei jeder Datenschutzaufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern Änderungen der technischen Implementierung, etwa Einführung neuer Tools, Captcha, Embeds oder CRM, der Provider oder Infrastrukturarchitektur, der rechtlichen Rahmenbedingungen oder der behördlichen Praxis dies erfordern, und das oben genannte Versionsdatum wird in diesem Fall aktualisiert.