Legal
Privacy Policy
Version May 2026
Introduction and general information
Thank you for your interest in Donnerstag.ai. The protection of your personal data is important to us. The following information sets out comprehensively how we process personal data collected when you visit our website and when you use the donnerstag.ai platform. The processing of your data is carried out exclusively in accordance with applicable data protection laws, in particular the General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG).
2. Controller and Data Protection Officer
Controller within the meaning of the GDPR
Donnerstag.ai Technologies GmbH
Am Steinernen Stock 1
60320 Frankfurt am Main
Germany
Phone: +49 (0) 69 348 78 27 20
Email: privacy@donnerstag.ai
Data Protection Officer
PROLIANCE GmbH
www.datenschutzexperte.de
Leopoldstr. 21
80802 München
datenschutzbeauftragter@datenschutzexperte.de
3. Definitions
Our privacy policy is intended to be straightforward and comprehensible for everyone. Where appropriate, we use the official terms of the General Data Protection Regulation (GDPR). The official definitions can be found in Article 4 GDPR.
4. Web hosting and technical infrastructure
We engage several technical service providers to operate our website and the donnerstag.ai platform, on the basis of processor agreements pursuant to Article 28 GDPR. Where personal data is transferred to third countries in this context, this is carried out exclusively under appropriate safeguards (see Section 16).
4.1 Website hosting (Framer)
The donnerstag.ai website is hosted by Framer B.V., Krijn Taconiskade 426, 1087 HW Amsterdam, Netherlands. During website operation, personal data (in particular IP addresses, user agent, request logs and page view events) is processed on Framer's servers within the European Union. The hosting service itself relies on Article 6(1)(f) GDPR (legitimate interest in the technically correct provision of the website and IT security). The additional analytics functions (page views, session telemetry for performance evaluation) are activated only on the basis of your consent obtained via our consent banner (Article 6(1)(a) GDPR in conjunction with Section 25(1) TTDSG). A Data Processing Agreement (DPA) pursuant to Article 28 GDPR has been concluded with Framer.
Framer Privacy Policy: https://www.framer.com/legal/privacy
4.2 Frontend hosting (Vercel)
Parts of our platform's frontend application (Next.js) are additionally provided by Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. The data processed includes IP addresses and request and performance logs. Since this may involve the transfer of personal data to the United States, we have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with Vercel. The legal basis is Article 6(1)(f) GDPR.
Vercel Privacy Policy: https://vercel.com/legal/privacy-policy
4.3 Backend infrastructure (Microsoft Azure)
The backend of the donnerstag.ai platform runs on Microsoft Azure cloud infrastructure. The provider is Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland. All processing takes place exclusively in data centres within the European Union. Any intra-group transfers to Microsoft Corporation (USA) are safeguarded by Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR and by Microsoft's approved Binding Corporate Rules.
Microsoft Privacy Statement: https://privacy.microsoft.com/en-us/privacystatement
4.4 Database and backend services (Supabase)
The primary application database and authentication and storage services are provided by Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992. Data processing takes place on servers within the European Union (eu-central-1 · Frankfurt region). Any support-related access from third countries is safeguarded by Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR.
Supabase Privacy Policy: https://supabase.com/privacy
4.5 Supplementary cloud infrastructure (Google Cloud Platform)
We additionally use Google Cloud Platform, provided by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, for specific compute and storage workloads. Processing takes place exclusively in data centres within the European Union. Any intra-group transfers to Google LLC (USA) are safeguarded by the EU-U.S. Data Privacy Framework (Google LLC is DPF-certified) and supplementary Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR.
Google Cloud Privacy Notice: https://cloud.google.com/terms/cloud-privacy-notice
5. Server log files
When you visit our website, technically necessary data is transmitted by your internet browser to our web server. During an active connection, the following data is recorded to enable communication between your browser and our web server:
· Operating system and browser type/version;
· Hostname and public IP address of the requesting device;
· Date and time of the request;
· URL of the referring website (referrer URL);
· Volume of data transferred.
The legal basis for the temporary storage of log files is Article 6(1)(f) GDPR. Our legitimate interest lies in ensuring system security and stability and in protecting against attacks. The data is anonymised after 7 days at the latest by truncating the IP address at the domain level. The data is not stored together with other personal data, nor is it shared with any third party.
6. Cookies and consent management
6.1 Cookies in general
Our website uses what are known as cookies — small text files that are stored either temporarily for the duration of a session (session cookies) or permanently (persistent cookies) on your device. Cookies serve various functions: some are technically necessary, others are used to analyse website usage or support marketing activities.
Technically necessary cookies are stored on the basis of Article 6(1)(f) GDPR and Section 25(2) of the German Telecommunications Telemedia Data Protection Act (TTDSG). All other cookies (in particular for analytics and marketing purposes) are used exclusively with your consent under Article 6(1)(a) GDPR and Section 25(1) TTDSG. You may withdraw your consent at any time with effect for the future.
6.2 Consent management with Cookiebot
To obtain, manage and audit-proof document your consents, we use the consent management service Cookiebot provided by Cybot A/S (Havnegade 39, 1058 Copenhagen, Denmark; part of the Usercentrics group). When you visit our website, Cookiebot sets a technically necessary cookie and pseudonymously documents your consent decision. The processing serves to fulfil our documentation obligation under Article 7(1) GDPR (legal basis: Article 6(1)(c) GDPR). A Data Processing Agreement has been concluded with Cookiebot; all processing takes place within the EU.
Cookiebot Privacy Policy: https://www.cookiebot.com/en/privacy-policy/
6.3 Managing your cookie preferences
You may withdraw or modify your cookie preferences at any time via the cookie banner (link in the footer of our website). You can also configure your browser to be notified about cookies being set or to refuse cookies entirely. If you disable cookies entirely, some functionality of our website may be impaired.
7. Web analytics and marketing tools
The tools described in this section are activated exclusively after you have given your explicit consent via our consent banner. The legal basis is Article 6(1)(a) GDPR and Section 25(1) TTDSG.
7.1 Google Tag Manager
We use Google Tag Manager, provided by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, to centrally manage the tags used on our website. The Tag Manager itself does not set cookies and does not collect personal data; however, it enables the integration of other tools that do collect data. IP addresses may be transmitted to Google in the United States in this context; such transfers are safeguarded by Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR and the EU-U.S. Data Privacy Framework.
7.2 Google Analytics
We use Google Analytics 4 (Google Ireland Limited) to analyse the usage behaviour of our visitors. Google Analytics sets cookies that allow your browser to be recognised. We use Google Analytics exclusively with IP anonymisation activated — your IP address is truncated before being stored. Transfers to the United States are possible and are safeguarded by SCCs and the EU-U.S. Data Privacy Framework. Data is deleted at the user and event level at the latest 14 months after collection.
7.3 Google Ads with conversion tracking
We use Google Ads (Google Ireland Limited) to run advertising campaigns and to measure their effectiveness via conversion tracking. If you reach our website by clicking a Google ad, a cookie is stored on your device (typically valid for 30 days). This cookie allows Google and us to recognise whether the ad led to a conversion (e.g. a demo request). No personal identification of you takes place; we only receive statistical reports.
7.4 Microsoft Advertising (formerly Bing Ads)
We use the conversion tracking of Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. If you reach our website via a Microsoft Advertising ad, a conversion cookie is stored on your device (valid for 30 days). The cookie serves conversion measurement and does not identify you personally. Since transfers to the United States may occur, we have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with Microsoft.
7.5 LinkedIn Insight Tag
We use the conversion tracking and retargeting technology of LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland. For this purpose, a cookie (the LinkedIn Insight Tag) with a validity of 120 days is set in your browser, allowing LinkedIn to create anonymised reports on the performance of our advertising and information about website interaction. Data may be transferred to the United States; such transfers are safeguarded by Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR. You may deactivate the LinkedIn Insight Tag and personalised advertising at any time:
LinkedIn opt-out: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out
7.6 Leadfeeder (B2B visitor identification)
We use Leadfeeder, a service provided by Liidio Oy, Mikonkatu 17 C, 00100 Helsinki, Finland. Based on the IP address of website visitors, Leadfeeder identifies the associated company in order to qualify B2B sales leads. No personal identification of individual visitors takes place — we receive information about the organisation, not about the natural person. The data processed includes IP address, browser information, referrer, pages visited and time on site. This service is activated exclusively on the basis of your consent obtained via our consent banner (Article 6(1)(a) GDPR; as an alternative ground we rely on Article 6(1)(f) GDPR — legitimate interest in B2B sales initiation). Data processing takes place exclusively within the EU; the retention period is a maximum of 24 months.
Leadfeeder Privacy Policy: https://www.leadfeeder.com/privacy/
8. Contact forms, scheduling and CRM
For contact forms, meeting scheduling and our Customer Relationship Management (CRM), we use HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Germany. HubSpot is a subsidiary of HubSpot, Inc. (USA); data processing takes place in data centres within the European Union. A Data Processing Agreement pursuant to Article 28 GDPR has been concluded with HubSpot. Any intra-group transfers to the United States are safeguarded by Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR and supplementary HubSpot approved Binding Corporate Rules.
8.1 Contact form
If you contact us via the contact form on our website or by email, the information you provide (at minimum your name and email address; voluntarily: phone number and the content of your enquiry) is stored for the purpose of processing the enquiry and for any follow-up questions. The legal basis is Article 6(1)(f) GDPR and, where applicable, Article 6(1)(b) GDPR insofar as your enquiry is aimed at entering into a contract.
8.2 Meeting scheduling
You may schedule a meeting with us via the HubSpot meeting tool embedded on our website. The data you provide (name, email address, selected time, optional further details) is transmitted to the relevant contact person in our company and stored in our CRM. You will receive a confirmation of the meeting by email. The legal basis is Article 6(1)(f) GDPR (efficient meeting scheduling) and Article 6(1)(b) GDPR in the context of contract initiation.
8.3 Newsletter and marketing automation
If you have subscribed to our newsletter or otherwise consented to marketing communications, we process your data via HubSpot's marketing automation on the basis of your consent (Article 6(1)(a) GDPR). You may withdraw this consent at any time with effect for the future, e.g. by clicking the unsubscribe link in any marketing email.
HubSpot Privacy Policy: https://legal.hubspot.com/privacy-policy
9. Lead generation and outbound communications
As part of our B2B sales activities we proactively approach potential business partners and decision-makers. In this context we process business contact data of employees at other companies on the basis of our legitimate interest in initiating business relationships (Article 6(1)(f) GDPR; Recital 47 GDPR).
9.1 Information for recipients of our outbound communications
If you received a business email or other approach from us without previously having provided your data to us, this privacy policy fulfils our information duty pursuant to Article 14 GDPR.
· Categories of personal data: name, business role, company name, business email address, and where applicable publicly available LinkedIn profile URL and company metadata.
· Source of the data: publicly accessible sources (in particular company websites, business databases, professional networks such as LinkedIn) and specialised B2B data providers.
· Purpose of processing: initiating business relationships and informing you about our services.
· Legal basis: Article 6(1)(f) GDPR (legitimate interest in business initiation).
· Storage period: until your objection, but no longer than 24 months after the last contact attempt.
· Your right to object: you may object to the processing at any time without giving reasons, e.g. by email to privacy@donnerstag.ai or via the unsubscribe link in any of our outreach emails.
9.2 Service providers used
To carry out outbound communications, we engage the following processors:
Lemlist (lempire SAS)
lempire SAS, 55 rue de Bretagne, 75003 Paris, France, operates the platform for executing outbound sales campaigns, including sequence automation and reply tracking. Data processing takes place exclusively within the EU. A Data Processing Agreement has been concluded with lempire.
Lemlist Privacy Policy: https://www.lemlist.com/privacy
Clay (Clay Labs, Inc.)
Clay Labs, Inc., 228 Park Avenue South, PMB 87826, New York, NY 10003, USA, operates the platform for enriching and aggregating B2B business data from publicly accessible sources and specialised providers. Since transfers to the United States may occur, we have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with Clay.
Clay Privacy Policy: https://www.clay.com/privacy
10. Platform use and AI-powered processing
10.1 Data processing within the platform
When you use the donnerstag.ai platform we may carry out the following processing activities:
· Upload, processing and parsing of invoices, credit notes and accounting documents;
· Creation and management of service records;
· Automated invoice reconciliation with AI support;
· Use of AI-powered text processing and assistive features;
· Processing of user interactions to improve the user experience.
In particular, the following personal data may be processed: information from uploaded documents (e.g. names, addresses and contact details on invoices and receipts), manually entered service data, IP address and timestamps, as well as content within chat and assistive features.
The legal basis is Article 6(1)(b) GDPR (performance of a contract) and Article 6(1)(f) GDPR (legitimate interest in improving and securing our platform). All platform data is stored on Microsoft Azure and Supabase servers within the European Union.
10.2 OpenAI (GPT models)
For AI-powered content processing we use the GPT models of OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Processing takes place via the OpenAI Enterprise API; the use of your inputs for model training is contractually excluded (zero data retention). We have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with OpenAI.
OpenAI Privacy Policy: https://openai.com/policies/privacy-policy
10.3 Anthropic Claude
We additionally use the Claude models of Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA, via the Anthropic Commercial API. The use of your inputs for model training is contractually excluded (zero data retention; maximum 30-day retention for abuse monitoring). We have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with Anthropic.
Anthropic Privacy Policy: https://www.anthropic.com/legal/privacy
10.4 LandingAI (computer vision)
To extract structured data from scanned or photographed invoices and documents, we use the computer vision platform of LandingAI, Inc., 530 Lytton Avenue, Palo Alto, CA 94301, USA. The data processed includes images of uploaded documents and the personal data they contain. The use of this data for model training is contractually excluded. We have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with LandingAI.
LandingAI Privacy Policy: https://landing.ai/privacy
10.5 LlamaIndex (RAG framework)
For semantic search and contextual retrieval on your documents within our platform, we use the LlamaCloud service of LlamaIndex, Inc., 575 Market Street, San Francisco, CA 94105, USA. Vector embeddings are generated and stored from your uploaded documents. The use of this data for model training is contractually excluded. We have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with LlamaIndex.
LlamaIndex Privacy Policy: https://www.llamaindex.ai/privacy
10.6 The role of Donnerstag.ai in data processing
The controller within the meaning of the GDPR for the operation of the website and the donnerstag.ai platform is Donnerstag.ai Technologies GmbH as identified in Section 2. To deliver the platform we engage technical service providers as processors pursuant to Article 28 GDPR and — where required — as independent controllers (e.g. for certain tracking or advertising services).
11. Payment processing (Stripe)
For payment processing, subscription management and invoicing, we use Stripe Payments Europe, Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland. Depending on the chosen payment method, payment data (encrypted by Stripe), billing address and transaction history are processed. The legal basis is Article 6(1)(b) GDPR (performance of a contract). A Data Processing Agreement pursuant to Article 28 GDPR has been concluded with Stripe.
Stripe Privacy Policy: https://stripe.com/privacy
12. Transactional communications
12.1 Transactional emails (Resend)
For the delivery of transactional emails (e.g. meeting confirmations, login and security notifications, system messages) we use Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. The data processed includes your email address, your name and the content of the transactional message. The legal basis is Article 6(1)(b) GDPR (performance of a contract). We have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR with Resend.
Resend Privacy Policy: https://resend.com/legal/privacy-policy
12.2 Cloud telephony (sipgate)
For handling inbound and outbound business calls, we use the cloud telephony platform of sipgate GmbH, Gladbacher Str. 74, 40219 Düsseldorf, Germany. Data processed includes phone numbers, call times and durations and connection metadata. Call content is not stored. Processing takes place exclusively in Germany. The legal basis is Article 6(1)(b) GDPR (performance of a contract) and Article 6(1)(f) GDPR (legitimate interest in efficient business communication).
sipgate Privacy Policy: https://www.sipgate.de/en/privacy
13. Electronic signatures (DocuSign)
For the electronic signing of contracts we use the platform of DocuSign, Inc., 221 Main Street, Suite 1550, San Francisco, CA 94105, USA. The data processed includes your signer information (name, email, where applicable role), the contract document, the signing audit trail and the IP address at the time of signature. The legal basis is Article 6(1)(b) GDPR (performance of a contract). DocuSign is certified under the EU-U.S. Data Privacy Framework; in addition we have entered into Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR.
DocuSign Privacy Policy: https://www.docusign.com/company/privacy-policy
14. Social media presences
We maintain online presences on social media platforms, currently in particular on LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland). When you visit our profiles or interact with us via the platform, personal data is collected and processed by the respective provider — in particular for market research and advertising purposes. This processing regularly takes place under joint controllership pursuant to Article 26 GDPR. Transfers of data to the United States are possible and are safeguarded by Standard Contractual Clauses pursuant to Article 46(2)(c) GDPR and/or the EU-U.S. Data Privacy Framework.
If you contact us via social media, we process your data to handle the enquiry and, where applicable, to initiate a contractual relationship (Article 6(1)(f) and (b) GDPR).
LinkedIn Privacy Policy: https://www.linkedin.com/legal/privacy-policy
15. External links
Our website contains links to external websites (e.g. to our social media profiles). When you click such a link you are redirected to the page of the respective provider; only following this redirection is user information transmitted to the provider. Information on how your personal data is processed when you use these websites can be found in the privacy notices of the respective providers.
16. Overview of international data transfers
Donnerstag.ai follows an EU-first principle — wherever possible, your data is processed within the European Union. Where transfers to third countries outside the EEA are nevertheless necessary, they take place exclusively under appropriate safeguards pursuant to Chapter V of the GDPR. The following table summarises the current third-country transfers:
RECIPIENT
COUNTRY · PURPOSE
SAFEGUARD
Vercel Inc.
USA · Frontend hosting
SCC
OpenAI, L.L.C.
USA · AI content analysis (GPT)
SCC + Zero Data Retention
Anthropic, PBC
USA · AI content analysis (Claude)
SCC + Zero Data Retention
LandingAI, Inc.
USA · Computer vision (OCR)
SCC
LlamaIndex, Inc.
USA · RAG / embeddings
SCC
Clay Labs, Inc.
USA · B2B data enrichment
SCC
Resend Inc.
USA · Transactional email
SCC
DocuSign, Inc.
USA · Electronic signatures
SCC + DPF
Microsoft Corporation
USA · Intra-group transfer
SCC + BCR
Google LLC (via Google Ireland)
USA · Analytics, Ads, Cloud
SCC + DPF
LinkedIn Corporation (via Ireland)
USA · Insight Tag, Social Media
SCC
Microsoft Corporation (Ads)
USA · Bing Ads conversion
SCC
Overview of safeguards in place:
· Standard Contractual Clauses (SCCs) pursuant to Article 46(2)(c) GDPR in conjunction with Commission Implementing Decision (EU) 2021/914 for all transfers to the United States.
· EU-U.S. Data Privacy Framework (DPF) pursuant to Article 45 GDPR as an additional safeguard where the relevant US recipient is DPF-certified.
· Binding Corporate Rules (BCR) as a supplementary safeguard for intra-group transfers (in particular Microsoft and HubSpot).
· Supplementary technical and organisational measures including encryption in transit and at rest, pseudonymisation and strict access controls.
17. Legal bases for processing
We process your personal data on the following legal bases — depending on the specific processing context:
· Article 6(1)(a) GDPR (consent): e.g. for analytics, marketing and tracking cookies, newsletter subscriptions.
· Article 6(1)(b) GDPR (contract / pre-contractual measures): e.g. for contact enquiries, demo bookings, contract conclusion and platform use.
· Article 6(1)(c) GDPR (legal obligation): e.g. for the documentation of consents and statutory retention obligations under tax and commercial law.
· Article 6(1)(f) GDPR (legitimate interest): e.g. for IT security, stability, abuse prevention, the technical provision of the website and B2B sales outreach.
18. Data security
Pursuant to Article 32 GDPR, taking into account the state of the art, the costs of implementation, and the nature, scope, circumstances and purposes of the processing, we implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk. These include in particular:
· SSL/TLS encryption of all data transmissions between your device and our systems;
· Encryption of stored personal data (at rest);
· Strict access controls following the need-to-know principle;
· Regular security audits and penetration tests;
· Regular data protection and information security training for all staff.
All platform data is stored exclusively on servers within the European Union (Microsoft Azure and Supabase, in Frankfurt and Dublin respectively).
19. Retention periods
The duration for which personal data is stored is determined by the applicable statutory retention obligations (in particular those under commercial and tax law — typically 6 or 10 years). After the relevant period expires, the corresponding data is routinely deleted. Where data is required for the performance or initiation of a contract or where we have a legitimate interest in continued storage, the data will be deleted once it is no longer required for those purposes or once you have exercised your right to withdrawal or objection.
20. Your rights as a data subject
As a data subject under the GDPR you have comprehensive rights. In particular:
· Right of access (Article 15 GDPR) — information about the personal data we process about you, including processing purposes, data categories, recipients and storage periods.
· Right to rectification (Article 16 GDPR) — immediate rectification of inaccurate, or completion of incomplete, personal data.
· Right to erasure (Article 17 GDPR) — deletion of your personal data stored by us, provided no statutory retention obligations apply.
· Right to restriction of processing (Article 18 GDPR) — under the conditions set out there.
· Right to data portability (Article 20 GDPR) — receipt of your personal data in a structured, commonly used and machine-readable format.
· Right to object (Article 21 GDPR) — see separate notice in Section 21.
· Right to withdraw consent (Article 7(3) GDPR) — withdrawal of consents previously given, with effect for the future.
· Right to lodge a complaint (Article 77 GDPR) — complaint to a data protection supervisory authority, typically the authority of the federal state of your usual residence, workplace, or our registered office (the Hessian Data Protection Commissioner).
To exercise any of your rights, an informal email to privacy@donnerstag.ai or a written letter to the address in Section 2 is sufficient. We will respond to your request without undue delay, and at the latest within one month of its receipt.
21. Notice on the right to object (Article 21 GDPR)
Where your personal data is processed on the basis of Article 6(1)(f) GDPR (legitimate interest), you have the right to object to the processing at any time on grounds relating to your particular situation.
Where the objection concerns the processing of your personal data for direct marketing purposes (including our B2B outbound communications), you have a general right to object — no specific reason is required.
To exercise your right to withdrawal or objection, an email to privacy@donnerstag.ai is sufficient.
22. Automated decision-making
No decision based solely on automated processing (including profiling) which produces legal effects concerning you or similarly significantly affects you pursuant to Article 22 GDPR takes place. The AI-powered features of our platform (e.g. automated invoice reconciliation) serve solely as decision support; any final decisions with legal effect are made by authorised employees or users.
23. Amendments
We reserve the right to update or amend this privacy policy where necessary in line with applicable data protection laws — for example, due to changes in our services or legal framework. The current version of this privacy policy applies to your visit and use of our platform. We notify existing customers of material changes — in particular the engagement of new sub-processors — via the contact details on file.
Einleitung und allgemeine Angaben
Vielen Dank für Ihr Interesse an Donnerstag.ai. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Im Folgenden informieren wir Sie umfassend über die Verarbeitung personenbezogener Daten, die durch Ihren Besuch unseres Webauftritts und durch die Nutzung der Plattform donnerstag.ai erfasst werden. Die Verarbeitung Ihrer Daten erfolgt ausschließlich entsprechend den gesetzlichen Regelungen zum Datenschutz, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
2. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher im Sinne der DSGVO
Donnerstag.ai Technologies GmbH
Am Steinernen Stock 1
60320 Frankfurt am Main
Deutschland
Telefon: +49 (0) 69 348 78 27 20
E-Mail: datenschutz@donnerstag.ai
Datenschutzbeauftragter
PROLIANCE GmbH
www.datenschutzexperte.de
Leopoldstr. 21
80802 München
datenschutzbeauftragter@datenschutzexperte.de
3. Begriffsbestimmungen
Unsere Datenschutzerklärung soll für jede Person einfach lesbar und verständlich sein. In der Regel verwenden wir die offiziellen Begriffe der Datenschutz-Grundverordnung (DSGVO). Die offiziellen Begriffsbestimmungen finden Sie in Art. 4 DSGVO.
4. Webhosting und technische Infrastruktur
Für den Betrieb unseres Webauftritts und der Plattform donnerstag.ai setzen wir mehrere technische Dienstleister im Rahmen der Auftragsverarbeitung gem. Art. 28 DSGVO ein. Soweit hierbei personenbezogene Daten in Drittstaaten übermittelt werden, geschieht dies ausschließlich auf Basis geeigneter Garantien (siehe Abschnitt 17).
4.1 Hosting des Webauftritts (Framer)
Der Webauftritt donnerstag.ai wird durch die Framer B.V., Krijn Taconiskade 426, 1087 HW Amsterdam, Niederlande, gehostet. Im Rahmen des Website-Betriebs werden personenbezogene Daten (insbesondere IP-Adressen, User-Agent, Request-Logs und Page-View-Events) auf Servern von Framer innerhalb der Europäischen Union verarbeitet. Der reine Hosting-Betrieb erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Bereitstellung der Website und IT-Sicherheit). Die darüber hinausgehenden Analytics-Funktionen (Page-Views, Session-Telemetrie zur Performance-Auswertung) werden ausschließlich nach Ihrer Einwilligung über unser Consent-Banner aktiviert (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG). Mit Framer wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.
Datenschutzerklärung Framer: https://www.framer.com/legal/privacy
4.2 Frontend-Hosting (Vercel)
Teile des Frontends unserer Plattform-Anwendung (Next.js) werden ergänzend durch die Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, bereitgestellt. Verarbeitet werden insbesondere IP-Adressen, Request- und Performance-Logs. Da hierbei eine Übertragung personenbezogener Daten in die USA erfolgen kann, haben wir mit Vercel Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Datenschutzerklärung Vercel: https://vercel.com/legal/privacy-policy
4.3 Backend-Infrastruktur (Microsoft Azure)
Das Backend der Plattform donnerstag.ai wird auf der Microsoft Azure-Cloud-Infrastruktur betrieben. Anbieter ist die Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Sämtliche Verarbeitungen erfolgen ausschließlich in Rechenzentren innerhalb der Europäischen Union. Konzerninterne Transfers zur Microsoft Corporation (USA) sind durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO sowie Microsofts genehmigte Binding Corporate Rules abgesichert.
Datenschutzerklärung Microsoft: https://privacy.microsoft.com/de-de/privacystatement
4.4 Datenbank und Backend-Services (Supabase)
Die primäre Anwendungsdatenbank sowie Authentifizierungs- und Storage-Services werden durch die Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992, bereitgestellt. Die Datenverarbeitung erfolgt auf Servern in der Europäischen Union (Region eu-central-1 · Frankfurt). Soweit support-bedingt Zugriffe aus Drittländern erfolgen, sind diese durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Datenschutzerklärung Supabase: https://supabase.com/privacy
4.5 Ergänzende Cloud-Infrastruktur (Google Cloud Platform)
Ergänzend nutzen wir die Google Cloud Platform der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, für spezifische Compute- und Storage-Workloads. Die Verarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union. Konzerninterne Transfers zu Google LLC (USA) sind durch das EU-U.S. Data Privacy Framework (Google LLC ist DPF-zertifiziert) sowie ergänzend durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Datenschutzerklärung Google Cloud: https://cloud.google.com/terms/cloud-privacy-notice
5. Server-Logfiles
Beim Aufruf unseres Webauftritts werden über Ihren Internet-Browser technisch notwendige Daten an unseren Webserver übermittelt. Während einer laufenden Verbindung werden zur Kommunikation zwischen Ihrem Browser und unserem Webserver folgende Daten aufgezeichnet:
· Betriebssystem und Browsertyp/-version;
· Hostname und öffentliche IP-Adresse des aufrufenden Endgeräts;
· Datum und Uhrzeit der Anfrage;
· URL der vorhergehenden Webseite (Referrer URL);
· Übertragene Datenmenge.
Rechtsgrundlage für die vorübergehende Speicherung der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung der Systemsicherheit und -stabilität sowie in der Abwehr von Angriffsversuchen. Die Daten werden nach spätestens 7 Tagen durch Verkürzung der IP-Adresse auf Domainebene anonymisiert. Eine Speicherung gemeinsam mit anderen personenbezogenen Daten oder eine Weitergabe an Dritte findet nicht statt.
6. Cookies und Consent-Management
6.1 Cookies allgemein
Unsere Website verwendet sogenannte Cookies — kleine Textdateien, die entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert werden. Cookies haben verschiedene Funktionen: Einige sind technisch notwendig, andere dienen dazu, die Nutzung der Website auszuwerten oder Marketing-Maßnahmen zu unterstützen.
Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TTDSG gespeichert. Alle weiteren Cookies (insbesondere für Analyse- und Marketing-Zwecke) werden ausschließlich mit Ihrer Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG eingesetzt. Ihre Einwilligung ist jederzeit für die Zukunft widerrufbar.
6.2 Consent-Management mit Cookiebot
Zur Einholung, Verwaltung und revisionssicheren Dokumentation Ihrer Einwilligungen setzen wir den Consent-Management-Service Cookiebot der Cybot A/S (Havnegade 39, 1058 Kopenhagen, Dänemark, Teil der Usercentrics-Gruppe) ein. Beim Aufruf unserer Website wird durch Cookiebot ein technisch notwendiges Cookie gesetzt sowie Ihre Consent-Entscheidung pseudonymisiert dokumentiert. Die Verarbeitung erfolgt zur Erfüllung unserer Dokumentationspflicht aus Art. 7 Abs. 1 DSGVO (Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO). Mit Cookiebot wurde ein Auftragsverarbeitungsvertrag geschlossen; die Datenverarbeitung erfolgt ausschließlich in der EU.
Datenschutzerklärung Cookiebot: https://www.cookiebot.com/de/privacy-policy/
6.3 Verwaltung Ihrer Cookie-Einstellungen
Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner (Link im Footer unserer Website) widerrufen oder anpassen. Zusätzlich können Sie Ihren Browser so konfigurieren, dass Sie über das Setzen von Cookies informiert werden oder Cookies generell ablehnen. Bei vollständiger Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.
7. Web-Analytics und Marketing-Tools
Die in diesem Abschnitt genannten Tools werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Consent-Banner aktiviert. Rechtsgrundlage ist jeweils Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG.
7.1 Google Tag Manager
Wir verwenden den Google Tag Manager der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, zur zentralen Verwaltung der auf unserer Website eingesetzten Tags. Der Tag Manager selbst setzt keine Cookies und erfasst keine personenbezogenen Daten; er ermöglicht jedoch die Einbindung anderer Tools, die ihrerseits Daten erheben. Eine Übertragung von IP-Adressen an Google in die USA kann dabei erfolgen und ist durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO sowie das EU-U.S. Data Privacy Framework abgesichert.
7.2 Google Analytics
Wir nutzen Google Analytics 4 der Google Ireland Limited zur Analyse des Nutzungsverhaltens unserer Besucher. Google Analytics setzt Cookies, die eine Wiedererkennung Ihres Browsers ermöglichen. Wir verwenden Google Analytics ausschließlich mit aktivierter IP-Anonymisierung — Ihre IP-Adresse wird vor der Speicherung gekürzt. Eine Übermittlung in die USA ist möglich und durch SCC sowie das EU-U.S. Data Privacy Framework abgesichert. Die Daten werden auf Nutzer- und Ereignisebene spätestens 14 Monate nach Erhebung gelöscht.
7.3 Google Ads mit Conversion-Tracking
Wir verwenden Google Ads der Google Ireland Limited zur Schaltung von Werbeanzeigen sowie zur Messung der Wirksamkeit unserer Werbemaßnahmen über Conversion-Tracking. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird ein Cookie auf Ihrem Endgerät gespeichert (Gültigkeit in der Regel 30 Tage). Dieses ermöglicht es Google und uns, zu erkennen, ob eine Anzeige zu einer Conversion (z. B. einer Demo-Anfrage) geführt hat. Eine personenbezogene Identifikation Ihrerseits findet dabei nicht statt; wir erhalten lediglich statistische Auswertungen.
7.4 Microsoft Advertising (vormals Bing Ads)
Wir verwenden das Conversion-Tracking der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Wenn Sie über eine Microsoft Advertising-Anzeige auf unsere Website gelangen, wird ein Conversion-Cookie auf Ihrem Endgerät gespeichert (Gültigkeit 30 Tage). Dieses dient der Conversion-Messung und nicht Ihrer persönlichen Identifikation. Da eine Übertragung in die USA erfolgt, haben wir mit Microsoft Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO vereinbart.
7.5 LinkedIn Insight Tag
Wir nutzen die Conversion-Tracking- und Retargeting-Technologie der LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Hierzu wird ein Cookie (LinkedIn Insight-Tag) mit einer Gültigkeit von 120 Tagen in Ihrem Browser gesetzt, das LinkedIn ermöglicht, anonymisierte Berichte zur Performance unserer Werbeanzeigen sowie Informationen zur Website-Interaktion zu erstellen. Eine Übertragung der Daten in die USA ist möglich und durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgesichert. Sie können das LinkedIn Insight-Tag und die personalisierte Werbung jederzeit deaktivieren:
LinkedIn Opt-Out: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out
7.6 Leadfeeder (B2B-Visitor-Identifikation)
Wir nutzen Leadfeeder, einen Dienst der Liidio Oy, Mikonkatu 17 C, 00100 Helsinki, Finnland. Leadfeeder ermittelt anhand der IP-Adresse von Website-Besuchern die zugehörige Unternehmensorganisation, um qualifizierte B2B-Vertriebsleads zu identifizieren. Eine personenbezogene Identifikation einzelner Besucher findet dabei nicht statt — wir erhalten Informationen zur Organisation, nicht zur natürlichen Person. Verarbeitet werden IP-Adresse, Browser-Informationen, Referrer, besuchte Seiten und Verweildauer. Die Aktivierung erfolgt ausschließlich nach Ihrer Einwilligung über unser Consent-Banner (Art. 6 Abs. 1 lit. a DSGVO; hilfsweise berufen wir uns auf Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der B2B-Vertriebsanbahnung). Die Datenverarbeitung erfolgt ausschließlich in der EU; die Speicherdauer beträgt maximal 24 Monate.
Datenschutzerklärung Leadfeeder: https://www.leadfeeder.com/privacy/
8. Kontaktformulare, Terminbuchung und CRM
Für Kontaktformulare, Terminbuchungen und unser Customer Relationship Management (CRM) setzen wir die HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Deutschland, ein. HubSpot ist eine Tochtergesellschaft der HubSpot, Inc. (USA); die Datenverarbeitung erfolgt auf Rechenzentren innerhalb der Europäischen Union. Mit HubSpot wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Konzerninterne Transfers in die USA sind durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO sowie ergänzend HubSpots genehmigte Binding Corporate Rules abgesichert.
8.1 Kontaktformular
Wenn Sie uns über das auf unserer Website bereitgestellte Kontaktformular oder per E-Mail eine Anfrage zukommen lassen, werden Ihre Angaben (mindestens Name und E-Mail-Adresse; freiwillig: Telefonnummer und Inhalt Ihrer Anfrage) zur Bearbeitung der Anfrage und für etwaige Anschlussfragen gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie ggf. Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage auf den Abschluss eines Vertrags abzielt.
8.2 Terminbuchung
Über das auf unserer Website eingebundene HubSpot-Terminbuchungstool können Sie einen Termin mit uns vereinbaren. Die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, gewählter Termin, optional weitere Angaben) werden an den jeweiligen Ansprechpartner in unserem Unternehmen übermittelt und in unserem CRM gespeichert. Sie erhalten eine Bestätigung des Termins per E-Mail. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (effiziente Terminabstimmung) sowie Art. 6 Abs. 1 lit. b DSGVO bei Vertragsanbahnung.
8.3 Newsletter und Marketing-Automation
Soweit Sie sich für unseren Newsletter angemeldet oder in Marketing-Kommunikation eingewilligt haben, verarbeiten wir Ihre Daten über HubSpots Marketing-Automation auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa durch Klick auf den Abmelde-Link in jeder Marketing-E-Mail.
Datenschutzerklärung HubSpot: https://legal.hubspot.com/de/privacy-policy
9. Lead-Generierung und Outbound-Kommunikation
Im Rahmen unserer B2B-Vertriebsaktivitäten sprechen wir potenzielle Geschäftspartner und Entscheidungsträger gezielt an. Dabei verarbeiten wir geschäftliche Kontaktdaten von Mitarbeitenden anderer Unternehmen auf Grundlage unseres berechtigten Interesses an der Anbahnung geschäftlicher Beziehungen (Art. 6 Abs. 1 lit. f DSGVO; Erwägungsgrund 47 DSGVO).
9.1 Informationen für Empfänger unserer Outbound-Kommunikation
Wenn Sie eine Geschäfts-E-Mail oder einen anderen Kontaktversuch von uns erhalten haben, ohne dass Sie uns Ihre Daten zuvor selbst übermittelt haben, kommen wir mit dieser Datenschutzerklärung unserer Informationspflicht nach Art. 14 DSGVO nach.
· Kategorien personenbezogener Daten: Name, geschäftliche Position, Unternehmensname, geschäftliche E-Mail-Adresse, ggf. öffentlich verfügbare LinkedIn-Profil-URL und Unternehmens-Metadaten.
· Herkunft der Daten: öffentlich zugängliche Quellen (insbesondere Unternehmenswebsites, Wirtschaftsdatenbanken, berufliche Netzwerke wie LinkedIn) sowie spezialisierte B2B-Datenanbieter.
· Zweck der Verarbeitung: Anbahnung geschäftlicher Beziehungen, Information über unsere Leistungen.
· Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Geschäftsanbahnung).
· Speicherdauer: bis zu Ihrem Widerspruch, längstens jedoch 24 Monate nach dem letzten Kontaktversuch.
· Ihr Widerspruchsrecht: Sie können der Verarbeitung jederzeit ohne Angabe von Gründen widersprechen, etwa per E-Mail an datenschutz@donnerstag.ai oder über den Abmelde-Link in jeder unserer Outreach-E-Mails.
9.2 Eingesetzte Dienstleister
Zur Durchführung der Outbound-Kommunikation setzen wir folgende Auftragsverarbeiter ein:
Lemlist (lempire SAS)
lempire SAS, 55 rue de Bretagne, 75003 Paris, Frankreich, betreibt die Plattform zur Durchführung von Outbound-Sales-Kampagnen, einschließlich Sequenz-Automatisierung und Antwort-Tracking. Die Datenverarbeitung erfolgt ausschließlich in der EU. Mit lempire wurde ein Auftragsverarbeitungsvertrag geschlossen.
Datenschutzerklärung Lemlist: https://www.lemlist.com/privacy
Clay (Clay Labs, Inc.)
Clay Labs, Inc., 228 Park Avenue South, PMB 87826, New York, NY 10003, USA, betreibt die Plattform zur Anreicherung und Aggregation von B2B-Geschäftsdaten aus öffentlich zugänglichen Quellen sowie spezialisierten Anbietern. Da eine Übermittlung in die USA erfolgt, haben wir mit Clay Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Datenschutzerklärung Clay: https://www.clay.com/privacy
10. Plattform-Nutzung und KI-gestützte Verarbeitung
10.1 Datenverarbeitung in der Plattform
Bei der Nutzung der Plattform donnerstag.ai können wir folgende Verarbeitungen vornehmen:
· Hochladen, Verarbeitung und Auslesen von Belegen, Gutschriften und Buchungsdokumenten;
· Anlegen und Verwalten von Leistungsnachweisen;
· Automatischer Belegabgleich mit KI-Unterstützung;
· Nutzung von KI-gestützter Textverarbeitung und Assistenz-Funktionen;
· Verarbeitung von Nutzerinteraktionen zur Verbesserung der Nutzererfahrung.
Hierbei können insbesondere folgende personenbezogene Daten verarbeitet werden: Angaben aus hochgeladenen Dokumenten (z. B. Namen, Anschriften und Kontaktdaten auf Belegen und Rechnungen), manuell eingegebene Leistungsdaten, IP-Adresse und Zeitstempel sowie Inhalte im Rahmen von Chat- und Assistenzfunktionen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung und Sicherheit unserer Plattform). Alle Plattformdaten werden auf Microsoft Azure- und Supabase-Servern innerhalb der Europäischen Union gespeichert.
10.2 OpenAI (GPT-Modelle)
Für die KI-gestützte Verarbeitung von Inhalten setzen wir die GPT-Modelle der OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA, ein. Die Verarbeitung erfolgt über die OpenAI Enterprise API; eine Verwendung Ihrer Eingaben zu Trainingszwecken der Modelle ist vertraglich ausgeschlossen (Zero Data Retention). Mit OpenAI haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Datenschutzerklärung OpenAI: https://openai.com/policies/privacy-policy
10.3 Anthropic Claude
Ergänzend setzen wir die Claude-Modelle der Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA, über die Anthropic Commercial API ein. Eine Verwendung Ihrer Eingaben zu Trainingszwecken ist vertraglich ausgeschlossen (Zero Data Retention; max. 30-tägige Speicherung zur Missbrauchsprüfung). Mit Anthropic haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Datenschutzerklärung Anthropic: https://www.anthropic.com/legal/privacy
10.4 LandingAI (Computer Vision)
Zur Extraktion strukturierter Daten aus eingescannten oder fotografierten Belegen und Dokumenten setzen wir die Computer-Vision-Plattform der LandingAI, Inc., 530 Lytton Avenue, Palo Alto, CA 94301, USA, ein. Verarbeitet werden Bilder von hochgeladenen Belegen sowie die dort enthaltenen personenbezogenen Daten. Eine Verwendung zu Trainingszwecken der Modelle ist vertraglich ausgeschlossen. Mit LandingAI haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Datenschutzerklärung LandingAI: https://landing.ai/privacy
10.5 LlamaIndex (RAG-Framework)
Für die semantische Suche und das kontextuelle Retrieval auf Ihren Dokumenten innerhalb unserer Plattform setzen wir den LlamaCloud-Service der LlamaIndex, Inc., 575 Market Street, San Francisco, CA 94105, USA, ein. Hierbei werden Vektor-Embeddings aus Ihren hochgeladenen Dokumenten generiert und gespeichert. Eine Verwendung zu Trainingszwecken der Modelle ist vertraglich ausgeschlossen. Mit LlamaIndex haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Datenschutzerklärung LlamaIndex: https://www.llamaindex.ai/privacy
10.6 Rolle von Donnerstag.ai bei der Datenverarbeitung
Verantwortlicher im Sinne der DSGVO für den Betrieb des Webauftritts und der Plattform donnerstag.ai ist die in Ziffer 2 genannte Donnerstag.ai Technologies GmbH. Zur Bereitstellung der Plattform nutzen wir technische Dienstleister im Rahmen von Auftragsverarbeitung gem. Art. 28 DSGVO sowie — soweit erforderlich — als eigenständig Verantwortliche (z. B. bestimmte Tracking- oder Werbedienste).
11. Zahlungsabwicklung (Stripe)
Zur Abwicklung von Zahlungen, der Abonnementverwaltung und der Rechnungsstellung nutzen wir die Stripe Payments Europe, Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland. Verarbeitet werden je nach gewählter Zahlungsmethode Zahlungsdaten (verschlüsselt durch Stripe), Rechnungsadresse und Transaktionshistorie. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Stripe wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.
Datenschutzerklärung Stripe: https://stripe.com/de/privacy
12. Transaktionale Kommunikation
12.1 Transaktionale E-Mails (Resend)
Für den Versand transaktionaler E-Mails (z. B. Termin-Bestätigungen, Login- und Sicherheitsbenachrichtigungen, System-Mitteilungen) setzen wir die Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA, ein. Verarbeitet werden Ihre E-Mail-Adresse, Ihr Name sowie der Inhalt der Transaktions-E-Mail. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Resend haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Datenschutzerklärung Resend: https://resend.com/legal/privacy-policy
12.2 Cloud-Telefonanlage (sipgate)
Für die Abwicklung eingehender und ausgehender Geschäftstelefonate setzen wir die Cloud-Telefonanlage der sipgate GmbH, Gladbacher Str. 74, 40219 Düsseldorf, Deutschland, ein. Verarbeitet werden Telefonnummern, Anrufzeit und -dauer sowie Verbindungsmetadaten. Inhalte von Telefonaten werden nicht gespeichert. Die Datenverarbeitung erfolgt ausschließlich in Deutschland. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Geschäftskommunikation).
Datenschutzerklärung sipgate: https://www.sipgate.de/datenschutz
13. Elektronische Signaturen (DocuSign)
Zur elektronischen Unterzeichnung von Verträgen setzen wir die Plattform der DocuSign, Inc., 221 Main Street, Suite 1550, San Francisco, CA 94105, USA, ein. Verarbeitet werden Ihre Unterzeichnerdaten (Name, E-Mail, ggf. Funktion), das Vertragsdokument, der Audit-Trail der Unterzeichnung sowie die IP-Adresse zum Zeitpunkt der Signatur. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). DocuSign ist nach dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Datenschutzerklärung DocuSign: https://www.docusign.com/company/privacy-policy
14. Auftritte in sozialen Medien
Wir unterhalten Onlinepräsenzen auf Social-Media-Plattformen, derzeit insbesondere auf LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland). Wenn Sie unsere Profile besuchen oder mit uns über die Plattform interagieren, werden personenbezogene Daten durch den jeweiligen Anbieter erhoben und verarbeitet — insbesondere für Marktforschung und Werbung. Diese Verarbeitung erfolgt regelmäßig in gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO. Eine Übermittlung der Daten in die USA ist möglich und durch Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO bzw. das EU-U.S. Data Privacy Framework abgesichert.
Soweit Sie über soziale Netzwerke Kontakt zu uns aufnehmen, verarbeiten wir Ihre Daten zur Bearbeitung der Anfrage und ggf. zur Anbahnung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. f und lit. b DSGVO).
Datenschutzerklärung LinkedIn: https://www.linkedin.com/legal/privacy-policy
15. Externe Verlinkungen
Auf unserer Website verlinken wir auf externe Webseiten (z. B. unsere Social-Media-Profile). Nach Klick auf einen solchen Link werden Sie auf die Seite des jeweiligen Anbieters weitergeleitet — erst nach dieser Weiterleitung werden Nutzerinformationen an den Anbieter übertragen. Informationen zum Umgang mit Ihren personenbezogenen Daten bei Nutzung dieser Webseiten entnehmen Sie bitte den jeweiligen Datenschutzbestimmungen.
16. Übersicht der Drittland-Übermittlungen
Donnerstag.ai folgt einem EU-first-Prinzip — wo immer möglich erfolgt die Verarbeitung Ihrer Daten innerhalb der Europäischen Union. Soweit dennoch eine Übermittlung in Drittländer außerhalb des EWR notwendig ist, geschieht dies ausschließlich unter Einsatz geeigneter Garantien gemäß Kapitel V der DSGVO. Die folgende Tabelle fasst die aktuellen Drittland-Übermittlungen zusammen:
EMPFÄNGER
LAND · ZWECK
SCHUTZMECHANISMUS
Vercel Inc.
USA · Frontend-Hosting
SCC
OpenAI, L.L.C.
USA · KI-Inhaltsanalyse (GPT)
SCC + Zero Data Retention
Anthropic, PBC
USA · KI-Inhaltsanalyse (Claude)
SCC + Zero Data Retention
LandingAI, Inc.
USA · Computer Vision (OCR)
SCC
LlamaIndex, Inc.
USA · RAG / Embeddings
SCC
Clay Labs, Inc.
USA · B2B-Datenanreicherung
SCC
Resend Inc.
USA · Transaktionale E-Mails
SCC
DocuSign, Inc.
USA · E-Signaturen
SCC + DPF
Microsoft Corporation
USA · konzerninterner Transfer
SCC + BCR
Google LLC (via Google Ireland)
USA · Analytics, Ads, Cloud
SCC + DPF
LinkedIn Corporation (via Ireland)
USA · Insight Tag, Social Media
SCC
Microsoft Corporation (Ads)
USA · Bing Ads Conversion
SCC
Eingesetzte Schutzmechanismen im Überblick:
· Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO i. V. m. Durchführungsbeschluss (EU) 2021/914 für alle US-Übermittlungen.
· EU-U.S. Data Privacy Framework (DPF) gem. Art. 45 DSGVO als zusätzliche Garantie, sofern der jeweilige US-Empfänger DPF-zertifiziert ist.
· Binding Corporate Rules (BCR) als ergänzende Garantie bei konzerninternen Transfers (insbesondere Microsoft, HubSpot).
· Ergänzende technische und organisatorische Maßnahmen wie Verschlüsselung in Übertragung und Ruhe, Pseudonymisierung und strenge Zugriffskontrollen.
17. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen — abhängig vom konkreten Verarbeitungszusammenhang:
· Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): z. B. für Analyse-, Marketing- und Tracking-Cookies, Newsletter-Anmeldung.
· Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen): z. B. bei Kontaktanfragen, Demo-Buchungen, Vertragsabschluss und Plattform-Nutzung.
· Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): z. B. für die Dokumentation erteilter Einwilligungen, steuer- und handelsrechtliche Aufbewahrungspflichten.
· Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): z. B. für IT-Sicherheit, Stabilität, Missbrauchsprävention, technische Bereitstellung des Webauftritts, B2B-Vertriebsansprache.
18. Datensicherheit
Wir treffen nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:
· SSL-/TLS-Verschlüsselung der gesamten Datenübertragung zwischen Ihrem Endgerät und unseren Systemen;
· Verschlüsselung gespeicherter personenbezogener Daten („at rest“);
· Strenge Zugriffskontrollen nach dem Need-to-know-Prinzip;
· Regelmäßige Sicherheits-Audits und Penetrationstests;
· Mitarbeitende werden regelmäßig zu Datenschutz und Informationssicherheit geschult.
Alle Plattformdaten werden ausschließlich auf Servern innerhalb der Europäischen Union (Microsoft Azure und Supabase, jeweils Frankfurt / Dublin) gespeichert.
19. Dauer der Speicherung
Die Dauer der Speicherung personenbezogener Daten bemisst sich an den einschlägigen gesetzlichen Aufbewahrungsfristen (insbesondere aus dem Handels- und Steuerrecht — typischerweise 6 bzw. 10 Jahre). Nach Ablauf der jeweiligen Frist werden die entsprechenden Daten routinemäßig gelöscht. Sofern Daten zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind oder unsererseits ein berechtigtes Interesse an der Weiterspeicherung besteht, werden die Daten gelöscht, wenn sie zu diesen Zwecken nicht mehr erforderlich sind oder Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch gemacht haben.
20. Ihre Rechte als betroffene Person
Als betroffene Person stehen Ihnen nach der DSGVO umfassende Rechte zu. Im Einzelnen:
· Auskunftsrecht (Art. 15 DSGVO) — Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten, einschließlich Verarbeitungszwecke, Datenkategorien, Empfänger und Speicherdauer.
· Recht auf Berichtigung (Art. 16 DSGVO) — unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten.
· Recht auf Löschung (Art. 17 DSGVO) — Löschung Ihrer bei uns gespeicherten personenbezogenen Daten, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
· Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — unter den dort genannten Voraussetzungen.
· Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
· Widerspruchsrecht (Art. 21 DSGVO) — siehe gesonderten Hinweis in Abschnitt 21.
· Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Widerruf einmal erteilter Einwilligungen mit Wirkung für die Zukunft.
· Beschwerderecht (Art. 77 DSGVO) — Beschwerde bei einer Datenschutz-Aufsichtsbehörde, in der Regel die des Bundeslandes Ihres üblichen Aufenthaltsorts, Arbeitsplatzes oder unseres Sitzes (Hessischer Datenschutzbeauftragter).
Möchten Sie eines Ihrer Rechte ausüben, genügt eine formlose E-Mail an datenschutz@donnerstag.ai oder ein Schreiben an die in Abschnitt 2 genannte Anschrift. Wir bearbeiten Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang.
21. Hinweis zum Widerspruchsrecht (Art. 21 DSGVO)
Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeitet werden, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen, wenn dies aus Gründen erfolgt, die sich aus Ihrer besonderen Situation ergeben.
Soweit sich der Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zum Zwecke der Direktwerbung (einschließlich unserer B2B-Outbound-Kommunikation) richtet, haben Sie ein generelles Widerspruchsrecht — ohne dass es einer besonderen Begründung bedarf.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an datenschutz@donnerstag.ai.
22. Automatisierte Entscheidungsfindung
Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung mit rechtlicher Wirkung Ihnen gegenüber oder ähnlich erheblicher Beeinträchtigung gemäß Art. 22 DSGVO findet nicht statt. KI-gestützte Funktionen unserer Plattform (z. B. der automatisierte Belegabgleich) dienen ausschließlich der Unterstützung; finale Entscheidungen mit rechtlicher Wirkung werden durch berechtigte Mitarbeitende oder Nutzer:innen getroffen.
23. Änderungsvorbehalt
Wir behalten uns vor, diese Datenschutzerklärung erforderlichenfalls unter Beachtung der geltenden Datenschutzvorschriften anzupassen bzw. zu aktualisieren — etwa bei Änderungen unserer Leistungen oder rechtlicher Rahmenbedingungen. Für Ihren Besuch und die Nutzung unserer Plattform gilt jeweils die aktuellste Fassung dieser Datenschutzerklärung. Wesentliche Änderungen, insbesondere die Hinzunahme neuer Sub-Processors, kommunizieren wir Bestandskunden über die im Kundenkonto hinterlegten Kontaktdaten.Datenschutzerklärung für den unter der Domain https://www.donnerstag.ai und deren Sub-Domains erreichbaren Webauftritt („Webauftritt“).
Stand dieser Datenschutzerklärung: 01.Mai 2025