← Zurück

Datenschutzerklärung

Stand: 20. Mai 2026

1. Verantwortlicher

omninoo GmbH
Waldstr. 2, 78098 Triberg, Deutschland
E-Mail: [JavaScript erforderlich]
Vertreten durch: Robin Rudahl

2. Übersicht der Verarbeitungen

DealFilter.ai ist ein KI-gestütztes SaaS-CRM für IT-Freelancer. Wir verarbeiten personenbezogene Daten ausschließlich zur Erbringung unseres Dienstes. Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten, die Zwecke und die Rechtsgrundlagen zusammen.

3. Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) - Bereitstellung des Dienstes, Kontoführung
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) - Sicherheit, Missbrauchsprävention, technische Optimierung
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) - Lernfunktion (Opt-in), optional
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) - gesetzliche Aufbewahrungspflichten (z. B. Steuer- und Handelsrecht)

4. Welche Daten wir verarbeiten

4.1 Kontodaten

Bei der Registrierung über Magic Link (E-Mail-basiert) speichern wir: E-Mail-Adresse, Name (optional), Zeitpunkt der Registrierung. Rechtsgrundlage: Vertragserfüllung.

4.2 Profildaten

Zur Nutzung des Dienstes können Sie freiwillig hinterlegen: Lebenslauf (PDF), Fähigkeiten, Stundensätze, Branchen, Sprachen, Standort, bisherige Projekte. Diese Daten werden ausschließlich für die KI-gestützte Analyse und Antwortgenerierung verwendet.

4.3 Projektanfragen und Recruiter-Daten

Sie fügen Projektanfragen von Vermittlern (Recruitern) in DealFilter ein. Diese Texte können personenbezogene Daten Dritter enthalten (Name des Recruiters, E-Mail, Firmendaten). Wir verarbeiten diese Daten ausschließlich zur Analyse der Anfrage in Ihrem Auftrag. Hinweis: Sie sind als Nutzer dafür verantwortlich, dass Sie berechtigt sind, diese Daten zu verarbeiten (z. B. aufgrund berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO an der Verwaltung eingehender Geschäftsanfragen). DealFilter.ai verarbeitet diese Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Auftrag des Nutzers. Die entsprechenden Auftragsverarbeitungsbedingungen sind Bestandteil der Nutzungsbedingungen.

4.4 KI-generierte Daten

Die KI-Analyse erzeugt: Deal-Score, Marktrate-Einschätzungen, kritische Faktoren, Antwortvorschläge, Vermittler-Zuordnungen. Diese Daten werden in Ihrer persönlichen Pipeline gespeichert.

4.5 Kommunikationsdaten

Innerhalb der Pipeline können Sie Kommunikationsverläufe (E-Mail, Telefon) protokollieren. Diese Daten werden nur in Ihrem Konto gespeichert.

4.6 Zahlungsdaten

Bei Abschluss eines kostenpflichtigen Abonnements werden Zahlungsdaten (Zahlungsmethode, Rechnungsadresse, ggf. Umsatzsteuer-Identifikationsnummer) ausschließlich durch unseren Zahlungsdienstleister Polar Software Inc. (Merchant of Record) verarbeitet. DealFilter.ai erhält von Polar nur die zur Abwicklung notwendigen Transaktionsdaten (z. B. Abonnementstatus, Rechnungsnummer, Zahlungszeitpunkt). Kreditkartendaten und Bankverbindungen sehen und speichern wir nicht. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Weitere Informationen zur Datenverarbeitung durch Polar findest du in der Polar-Datenschutzerklärung.

4.7 Technische Daten und Logs

Beim Zugriff auf DealFilter.ai werden automatisch technische Daten verarbeitet: IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Ressource, User-Agent (Browser/Gerät), Session-ID. Diese Daten dienen ausschließlich dem Betrieb, der Sicherheit und der Fehleranalyse. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Server-Logs werden nach 30 Tagen automatisch gelöscht.

4.8 Google-Calendar-Daten

Wenn Sie Ihren Google-Kalender verbinden (optionale Funktion, erfordert ausdrückliche Aktivierung), verarbeiten wir folgende Daten:

  • Übermittelte Daten: OAuth 2.0 Access-Token und Refresh-Token (verschlüsselt gespeichert), Google-Konto-ID, Kalendertermin-Daten, die Sie innerhalb von DealFilter anlegen oder bearbeiten (Titel, Datum, Uhrzeit, Ort sofern angegeben)
  • Zweck: Synchronisation von Projektterminen und Deadlines aus Ihrer DealFilter-Pipeline mit Ihrem persönlichen Google-Kalender
  • Speicherdauer: OAuth-Tokens werden verschlüsselt gespeichert und bei Trennung der Verbindung sofort bei Google widerrufen sowie aus unserer Datenbank gelöscht. Kalendertermine, die DealFilter in Ihrem Google-Kalender erstellt hat, verbleiben dort nach einer Trennung standardmäßig erhalten - sie können über die Funktion “Termine löschen” (verfügbar in den Kalender-Einstellungen, solange die Verbindung aktiv ist) vorab aus Google Calendar entfernt werden. Intern speichert DealFilter Synchronisations-Metadaten (Termin-IDs) in der Datenbank; diese werden bei Verbindungstrennung, expliziter Terminlöschung oder Kontolöschung entfernt.
  • Datenübertragung: Die Verbindung nutzt die Google Calendar API (Google LLC, Mountain View, USA). Die Übertragung in die USA erfolgt auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Verwendete OAuth-Scopes: https://www.googleapis.com/auth/calendar.app.created (Erstellen und Verwalten von Terminen, die ausschließlich durch diese Anwendung angelegt wurden) sowie https://www.googleapis.com/auth/userinfo.email (Lesen der Google-Konto-E-Mail-Adresse zur Kontoidentifikation).
  • Zugriff auf eigene Kalendereinträge: DealFilter erstellt und verwaltet ausschließlich Termine, die es selbst im Rahmen der Synchronisation angelegt hat. Andere bestehende Kalendereinträge des Nutzers werden nicht ausgelesen oder verarbeitet. Der verwendete OAuth-Scope (calendar.app.created) beschränkt den Zugriff technisch auf Termine, die von dieser Anwendung erstellt wurden.

Verbindung trennen: Sie können die Google-Calendar-Verbindung jederzeit unter Einstellungen → Integrationen → Google Kalender in der App trennen. Dabei werden alle OAuth-Tokens sofort bei Google widerrufen und aus unserer Datenbank gelöscht. Um erstellte Termine vorab aus Ihrem Google-Kalender zu entfernen, nutzen Sie die Funktion “Termine löschen” in den Kalender-Einstellungen. Zusätzlich können Sie den Zugriff über Ihr Google-Konto unter myaccount.google.com/permissions widerrufen. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) - die Verbindung wird ausschließlich nach ausdrücklicher Autorisierung über Google OAuth hergestellt. Google verarbeitet im Rahmen der OAuth-Autorisierung Daten als eigenständiger Verantwortlicher gemäß der Google-Datenschutzerklärung.

5. KI-Verarbeitung durch Anthropic (Claude API)

Für die Analyse von Projektanfragen und die Generierung von Antworten senden wir den Text Ihrer Anfrage an die Claude API von Anthropic, PBC (San Francisco, USA).

  • Übermittelte Daten: der von Ihnen eingefügte Anfragetext, Ihr Profil-Kontext (Fähigkeiten, Stundensätze), Textbausteine sowie ggf. darin enthaltene Recruiter-Daten
  • Anthropic nutzt über die API gesendete Daten nicht zum Training ihrer Modelle
  • Die Datenübertragung in die USA erfolgt auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
  • KI-Antworten werden lokal gecacht (SHA-256 Hash), um wiederholte API-Aufrufe zu vermeiden

Die KI-Analyse (Deal-Score, Marktrate-Einschätzung) dient ausschließlich als Entscheidungshilfe für den Nutzer. Eine vollautomatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

6. KI-Lernfunktion (Opt-in)

DealFilter bietet eine optionale Lernfunktion, die ausschließlich nach ausdrücklicher Einwilligung (Opt-in, Art. 6 Abs. 1 lit. a DSGVO) aktiviert wird. Im aktivierten Zustand verarbeiten wir:

  • Änderungen an generierten Antworten (Vorher/Nachher-Vergleich Ihrer bearbeiteten Antwort-Entwürfe)
  • Score-Korrekturen (wenn Sie den KI-Score manuell anpassen)
  • Stil-Präferenzen für die Antwortgenerierung

Übermittlung an Anthropic: Ihre bearbeiteten Antwort-Entwürfe werden im Rahmen der Lernfunktion an die Claude API von Anthropic, PBC (USA) übermittelt, um daraus ein personalisiertes Stilprofil abzuleiten. Die Übertragung erfolgt auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Kein Modell-Training: Anthropic verwendet die über die API übermittelten Daten ausdrücklich nicht zum Training eigener Modelle. Die Daten dienen ausschließlich der Erstellung Ihres persönlichen Stilprofils innerhalb von DealFilter.ai.

Widerruf: Die Einwilligung kann jederzeit mit Wirkung für die Zukunft in den Einstellungen widerrufen werden. Bei Widerruf werden alle gespeicherten Lerndaten unverzüglich und unwiderruflich gelöscht. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Bereits an Anthropic übermittelte Daten werden gemäß dem Auftragsverarbeitungsvertrag mit Anthropic und deren geltenden Aufbewahrungsrichtlinien behandelt.

7. Auftragsverarbeiter (Subprozessoren)

Wir setzen folgende Dienstleister ein:

AnbieterZweckStandort
Anthropic, PBCKI-Analyse und Antwortgenerierung (Claude API)USA (SCC)
Supabase, Inc.Datenbank (PostgreSQL)Frankfurt, EU (SCC)
Vercel, Inc.Hosting und Serverless FunctionsFrankfurt, EU (SCC)
Resend, Inc.Transaktionale E-Mails (Magic Link)USA (SCC)
Polar Software Inc.Zahlungsabwicklung (Merchant of Record)USA (SCC)
Sentry (Functional Software, Inc.)Fehler-Monitoring (technische Fehlerdaten ohne Personenbezug)Deutschland (EU)
PostHog, Inc.Produkt-Analyse (anonymisierte Nutzungsstatistiken)EU (eu.i.posthog.com)
Google LLCGoogle-Calendar-Integration (optional, nur bei aktiver Verbindung). Grundlage: Google API Data Processing Addendum.USA (SCC)

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Für US-Anbieter gelten Standardvertragsklauseln (SCC) als Transfermechanismus.

8. Cookies, Fehler-Monitoring und Produkt-Analyse

DealFilter.ai setzt ausschließlich ein technisch notwendiges Session-Cookie für die Authentifizierung ein. Es werden keine Werbe-Cookies, kein Werbe-Tracking und keine Social-Media-Plugins verwendet.

Zusätzlich setzen wir zwei datenschutzfreundliche Dienste ein, die ausschließlich technische und anonymisierte Daten verarbeiten:

  • Sentry (Fehler-Monitoring): Erfasst technische Fehlermeldungen und Stacktraces zur Fehlerbehebung. IP-Adressen werden nicht gespeichert, Cookies und Anfrage-Inhalte werden nicht übermittelt. Anonyme interne Nutzer-ID (nicht rückführbar). Server in Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischem Betrieb).
  • PostHog (Produkt-Analyse): Erfasst anonymisierte Nutzungsstatistiken (aufgerufene Seiten, genutzte Funktionen). Kein Autocapture von Formulareingaben, keine Weitergabe von E-Mail oder Name. Anonyme interne Nutzer-ID (nicht rückführbar). Keine Cookies - Daten werden ausschließlich im Sitzungsspeicher des Browsers gehalten (kein persistenter Identifier über Sitzungen hinweg). Auf öffentlichen Marketing-Seiten (Startseite, Blog, Pricing etc.) ist Session Recording aktiv, das anonymisierte Klick- und Scroll-Muster aufzeichnet; im eingeloggten App-Bereich (/app/*) ist Session Recording deaktiviert. Server in der EU (eu.i.posthog.com). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung); mangels Cookie-Einsatz kein Einwilligungserfordernis nach TDDDG §25.

9. Datenspeicherung und Löschung

  • Kontodaten: werden gespeichert, solange Ihr Konto besteht
  • Projektanfragen und Pipeline-Daten: werden gespeichert, solange Ihr Konto besteht, oder bis Sie diese manuell löschen
  • Server-Logs: werden nach 30 Tagen automatisch gelöscht
  • KI-Cache: wird nach spätestens 7 Tagen automatisch gelöscht
  • Lerndaten: werden bei Widerruf der Einwilligung sofort gelöscht
  • Zahlungsdaten: werden bei Polar gemäß deren Aufbewahrungsrichtlinien und gesetzlichen Pflichten (z. B. 10 Jahre Rechnungsaufbewahrung) gespeichert
  • Google-Calendar-Tokens: werden bei Trennung der Verbindung sofort bei Google widerrufen und aus unserer Datenbank gelöscht
  • Kontolöschung: bei Löschung Ihres Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen

10. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15) - welche Daten wir über Sie speichern
  • Berichtigung (Art. 16) - Korrektur unrichtiger Daten
  • Löschung (Art. 17) - Löschung Ihrer Daten
  • Einschränkung (Art. 18) - Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20) - Export Ihrer Daten
  • Widerspruch (Art. 21) - Widerspruch gegen die Verarbeitung
  • Widerruf der Einwilligung (Art. 7 Abs. 3) - jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich an: [JavaScript erforderlich]

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart

12. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen, die Ihre Rechte oder die Art der Verarbeitung Ihrer personenbezogenen Daten betreffen, werden registrierte Nutzer per E-Mail informiert.