Datenschutzerklärung

Dieses Dokument beschreibt, wie wir Ihre personenbezogenen Daten gemäß der Verordnung (EU) 2016/679 (DSGVO), dem rumänischen Gesetz 506/2004 und der Verordnung (EU) 2024/1689 (KI-Verordnung) verarbeiten.

Version 2.0 · Zuletzt aktualisiert: 16. Juni 2026

Inhalt 1. Verantwortlicher (wer verarbeitet) 2. Daten, die wir verarbeiten 3. Zwecke und Rechtsgrundlage (DSGVO Art. 6) 4. Empfänger und Auftragsverarbeiter 5. Übermittlungen außerhalb des EWR 6. Speicherfrist 7. Ihre Rechte (DSGVO Art. 15–22) 8. Beschwerde bei der ANSPDCP 9. Cookies 10. KI-Verordnung — RADU-Transparenz 11. Sicherheit 12. Änderungen

1. Verantwortlicher

LeadMotor AI — Handelsname, derzeit betrieben von:

  • Mircea Crașoveanu, natürliche Person, derzeit in Eintragung als rumänischer Einzelunternehmer (PFA) / Gesellschaft mit beschränkter Haftung (SRL).
  • Anschrift: wird nach der offiziellen Eintragung der juristischen Person verfügbar gemacht (voraussichtlich Q3 2026).
  • Kontakt-E-Mail (auch für DSGVO-Anfragen): [email protected]
  • Für den Datenschutz verantwortliche Person (Ein-Personen-Verantwortlicher — keine DSB-Pflicht gemäß DSGVO Art. 37): Mircea Crașoveanu.

Nach der SRL-Eintragung werden die Identifikationsdaten (Firmenname, Sitz, Steuernummer, Handelsregisternummer) hier und auf der Seite Über uns aktualisiert.

2. Daten, die wir verarbeiten

Website-Besucher

  • Unbedingt erforderliche technische Daten: IP-Adresse, User-Agent, Zeitstempel, Cloudflare-Logs zur Sicherheit und zum DDoS-Schutz.

Early-Access- / Kontaktformular

  • Name, geschäftliche E-Mail, Unternehmen, Funktion (optional), Nische / Branche, Freitextnachricht.

RADU-Chatbot

  • Gesprächsinhalt (Textnachrichten), IP-Adresse, Zeitstempel, Sitzungskennung.
  • Vor der Übermittlung an LLM-Modelle wird der Inhalt automatisch auf offensichtliche personenbezogene Daten gefiltert (E-Mail, rumänische Telefonnummer, Personalausweis, IBAN), die durch Platzhalter ersetzt werden.

B2B-Akquise (Tätigkeit nach SRL-Eintragung)

  • Öffentliche Daten über Unternehmen (Firmenname, Steuernummer, Anschrift, CAEN/NACE-Code) von ANAF und dem Handelsregister.
  • Namen von Geschäftsführern und Gesellschaftern — gesetzlich vorgeschriebene öffentliche Daten (rumänisches Gesetz 26/1990).

3. Zwecke und Rechtsgrundlage (DSGVO Art. 6)

TätigkeitZweckRechtsgrundlage
Antwort auf Formular / E-MailVorvertragliche kommerzielle KommunikationEinwilligung — Art. 6(1)(a)
RADU-ChatbotBereitstellung des KI-AssistentenEinwilligung — Art. 6(1)(a)
B2B-Akquise (nach SRL)Zielunternehmen identifizierenBerechtigtes Interesse — Art. 6(1)(f), mit intern dokumentierter LIA
E-Mail-Marketing an BestandskundenMitteilung ähnlicher AngeboteSoft-Opt-in — rumänisches Gesetz 506/2004 Art. 12(2)
Cloudflare-Logs / SicherheitDDoS, MissbrauchsabwehrBerechtigtes Interesse — Art. 6(1)(f)

4. Empfänger und Auftragsverarbeiter

Ihre Daten können von den folgenden Stellen verarbeitet werden, jeweils als Auftragsverarbeiter (DSGVO Art. 28):

AuftragsverarbeiterLandZweckÜbermittlungsgarantie
Cloudflare Inc.USAWebsite-Hosting, Workers, Sicherheit, Edge-KIEU-US Data Privacy Framework (DPF)
Google LLC (Gemini API)USAKI-Modell für RADUEU-US Data Privacy Framework (DPF)
Groq, SambaNova, CerebrasUSALLM-InferenzmodelleStandard-SCCs / DPF-Prüfung in Bearbeitung
Z.AI (Zhipu)ChinaLong-Context-LLM-ModellDSGVO Art. 49(1)(a) — ausdrückliche Einwilligung + PII-Schwärzung
Moonshot (Kimi)ChinaAlternatives LLM-ModellDSGVO Art. 49(1)(a) — ausdrückliche Einwilligung + PII-Schwärzung
Telegram FZ-LLCDubai / VAEInterne Benachrichtigung zum AnmeldeformularDSGVO Art. 49(1)(a) — Einwilligung; geplante Migration in Q3 2026 zu einem Auftragsverarbeiter im EWR (Resend EU)

Liste auf dem Stand vom 16. Juni 2026. Hinzufügungen oder Entfernungen von Auftragsverarbeitern werden hier mit dem neuen Versionsdatum vermerkt.

5. Übermittlungen außerhalb des Europäischen Wirtschaftsraums

Ja, es finden Übermittlungen in Länder außerhalb des EWR statt. Schutzmechanismen:

  • USA: Angemessenheitsbeschluss „EU-US Data Privacy Framework" (Beschluss der EU-Kommission vom 10. Juli 2023, vom EuGH am 3. September 2025 bestätigt) — für DPF-zertifizierte Empfänger.
  • China (Z.AI, Kimi): Ausnahme nach DSGVO Art. 49(1)(a) — ausdrückliche Einwilligung, die Sie über das Kontrollkästchen „Ich stimme der Verarbeitung meines Gesprächs durch internationale KI-Anbieter zu" im Chat-Widget erteilen, kombiniert mit technischen Maßnahmen (automatische Schwärzung offensichtlicher PII vor der Übermittlung). Die Nutzung dieser Anbieter erfolgt gelegentlich, nicht systematisch für besondere Datenkategorien.
  • Dubai (Telegram): Ausnahme nach DSGVO Art. 49(1)(a) — implizite Einwilligung durch das Absenden des Formulars. Der Auftragsverarbeiter wird ausschließlich für operative Benachrichtigungen genutzt, nicht für Profiling. Eine Ersetzung durch Resend EU ist für Q3 2026 geplant.

Wenn Sie nicht möchten, dass Ihre Daten von Anbietern außerhalb des EWR verarbeitet werden, kontaktieren Sie uns unter [email protected], um einen alternativen Kanal zu nutzen (direkte E-Mail, Telefon).

6. Speicherfrist

  • Early-Access-Formular: 24 Monate ab der letzten Kommunikation oder bis zum Widerruf der Einwilligung.
  • RADU-Chatbot-Gespräche: 30 Tage für identifizierbare Inhalte; danach Anonymisierung (wir behalten nur statistische Muster ohne PII).
  • B2B-Interessentendaten (nach SRL): bis zum Widerspruch oder 36 Monate ab der letzten Interaktion.
  • E-Mails und Kommunikationsarchiv: bis zu 5 Jahre (steuerliche Begründung und Geschäftsverlauf).
  • Cloudflare-Logs: gemäß der Richtlinie von Cloudflare (in der Regel max. 30 Tage).

7. Ihre Rechte (DSGVO Art. 15–22)

Als betroffene Person haben Sie folgende Rechte:

  • Auskunftsrecht (Art. 15) — zu erfahren, welche Daten wir über Sie speichern.
  • Berichtigung (Art. 16) — unrichtige Daten zu korrigieren.
  • Löschung / „Recht auf Vergessenwerden" (Art. 17).
  • Einschränkung der Verarbeitung (Art. 18).
  • Datenübertragbarkeit (Art. 20) — Ihre Daten in einem strukturierten Format zu erhalten.
  • Widerspruch (Art. 21) — insbesondere bei einer auf berechtigtem Interesse beruhenden Verarbeitung.
  • Widerruf der Einwilligung jederzeit (Art. 7(3)) — ohne Auswirkung auf die vorherige Verarbeitung.
  • Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22) — RADU unterstützt, es trifft keine Entscheidungen mit rechtlicher Wirkung Ihnen gegenüber.

Um ein Recht auszuüben, schreiben Sie an [email protected]. Wir antworten innerhalb von 30 Tagen.

8. Beschwerde bei der Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei der rumänischen nationalen Aufsichtsbehörde für die Verarbeitung personenbezogener Daten (ANSPDCP) einzureichen:

9. Cookies

Diese Website verwendet ausschließlich unbedingt erforderliche Cookies (Cloudflare-Sitzung zur Sicherheit). Wir verwenden keine Drittanbieter-Analyse, keine Marketing-Pixel und keine Profiling-Cookies. Deshalb zeigen wir kein Einwilligungs-Banner an — gemäß dem rumänischen Gesetz 506/2004 Art. 4(5) ist keine Anfrage zu stellen.

Das Chat-Widget verwendet localStorage, um Ihre Einwilligung zur Gesprächsverarbeitung durch internationale KI-Anbieter zu speichern. Dieser Speicher ist lokal in Ihrem Browser und wird nicht an den Server übertragen.

10. KI-Verordnung — Transparenz des RADU-Chatbots

In Anwendung der Verordnung (EU) 2024/1689 (KI-Verordnung) Art. 50 informieren wir Sie darüber, dass:

  • Sie mit einem KI-System namens „RADU" interagieren.
  • Gespräche von KI-Modellen verarbeitet werden, die von den in Abschnitt 4 genannten Anbietern betrieben werden.
  • Der Offenlegungshinweis beim ersten Laden des Chat-Widgets angezeigt wird und einen ausdrücklichen Einwilligungsmechanismus für die Verarbeitung durch internationale KI-Anbieter (insbesondere außerhalb der EU) enthält.
  • RADU keine Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung Ihnen gegenüber trifft (DSGVO Art. 22 findet keine Anwendung).
  • Sie jederzeit das Recht haben zu fragen „Bist du eine KI?" oder „Spreche ich mit einem Menschen?" — RADU bestätigt transparent seinen Status als KI-Agent.

11. Sicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen gemäß DSGVO Art. 32 um:

  • TLS-Verschlüsselung auf allen HTTP-Kanälen.
  • Automatische Schwärzung offensichtlicher PII vor der Übermittlung an externe LLMs.
  • Cloudflare WAF + API-Rate-Limiting.
  • FileVault aktiviert auf den Geräten des Betreibers.
  • Verschlüsseltes Backup außerhalb des primären Geräts.
  • Eingeschränkter physischer Zugang zu den lokalen Verarbeitungssystemen.

12. Änderungen

Diese Erklärung kann regelmäßig aktualisiert werden. Wesentliche Änderungen werden per E-Mail an registrierte Nutzer und durch einen sichtbaren Hinweis auf der Website für 30 Tage angekündigt. Frühere Versionen sind auf Anfrage verfügbar.

Version 2.0 · 16. Juni 2026 · Wesentliche Aktualisierung — Empfänger außerhalb der EU, KI-Verordnung Art. 50, ausdrückliche Speicherfristen, vollständige Betroffenenrechte ergänzt.