Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Maximilian Seiler
SyxLabs
Warsower Weg 1A
17154 Neukalen
Deutschland
E-Mail: hello@syxlabs.org

2. Datenerfassung beim Besuch der Website

(1) Beim Aufruf unserer Website werden durch unseren Server automatisch Informationen erfasst, die Ihr Browser übermittelt (sog. Server-Logfiles):

• IP-Adresse (in pseudonymisierter Form, durch Cloudflare proxiert)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL
• Referrer-URL (Quelle des Zugriffs)
• Verwendeter Browser und Betriebssystem
• HTTP-Statuscode und übertragene Datenmenge

(2) Diese Daten werden zur Wahrung unseres berechtigten Interesses an der technischen Stabilität, Sicherheit und Funktionalität der Website verarbeitet (Art. 6 Abs. 1 lit. f DSGVO). Die Logfiles werden nach 14 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erfordern.

(3) Die Website nutzt zum Schutz personenbezogener Daten eine TLS-Verschlüsselung (HTTPS). Sie erkennen die verschlüsselte Verbindung am Schloss-Symbol in Ihrer Browser-Adresszeile.

3. Hosting & Content-Delivery-Network

3.1 Hetzner (Hosting)

Diese Website wird gehostet bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (nachfolgend „Hetzner").

Hetzner verarbeitet personenbezogene Daten ausschließlich auf Servern innerhalb der Europäischen Union (Rechenzentrum-Standort: Deutschland). Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, der sicherstellt, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch zuverlässigen Bereitstellung der Website).

3.2 Cloudflare (CDN, DDoS-Schutz, SSL)

Zur Verbesserung der Ladegeschwindigkeit, des Schutzes gegen Angriffe sowie zur SSL-Terminierung nutzen wir das Content-Delivery-Network von Cloudflare Inc., 101 Townsend Street, San Francisco, CA 94107, USA (nachfolgend „Cloudflare").

Cloudflare verarbeitet hierbei IP-Adressen und Header-Daten Ihres Browsers. Eine Übermittlung in die USA findet statt. Cloudflare hat sich dem EU-US Data Privacy Framework (DPF) unterworfen; die Europäische Kommission hat mit Angemessenheitsbeschluss vom 10.07.2023 festgestellt, dass das DPF ein dem europäischen Datenschutzniveau vergleichbares Schutzniveau gewährleistet.

Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen, sicheren und zuverlässigen Auslieferung der Website).

4. Cookies und Cookie-Consent-Tool

4.1 Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies ein, die für den Betrieb der Website und des Kundenportals erforderlich sind, insbesondere zur Aufrechterhaltung der Anmelde-Sitzung (Session-Cookies). Diese Cookies werden auf Grundlage unseres berechtigten Interesses an der Funktionalität der Website verarbeitet (Art. 6 Abs. 1 lit. f DSGVO) bzw. zur Vertragserfüllung im Kundenportal (Art. 6 Abs. 1 lit. b DSGVO).

Eine Einwilligung ist für technisch notwendige Cookies nach § 25 Abs. 2 TTDSG nicht erforderlich.

4.2 Klaro – Cookie-Consent-Management

Für die Verwaltung von Cookie-Einwilligungen einwilligungsbedürftiger Cookies und Dienste setzen wir das Open-Source-Tool Klaro (Anbieter: KIProtect GmbH, Berlin, Deutschland) ein. Klaro wird ausschließlich aus eigenem Hosting auf unserem Server (Hetzner, EU) ausgeliefert; es findet keine Datenübermittlung an Dritte statt.

Klaro setzt einen einzigen technisch notwendigen Cookie, um Ihre Einwilligungs-Präferenzen zu speichern. Personenbezogene Daten werden hierbei nicht verarbeitet.

Rechtsgrundlagen: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einholung wirksamer Einwilligungen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an rechtskonformem Cookie-Management).

Sie können Ihre Cookie-Einstellungen jederzeit ändern, indem Sie das Klaro-Banner über die Schaltfläche am unteren Seitenrand erneut öffnen.

5. Registrierung und Kundenkonto

(1) Zur Nutzung des Kundenportals und zur Abgabe einer Projektanfrage ist die Erstellung eines Kundenkontos erforderlich. Hierbei werden folgende personenbezogene Daten erhoben:

• Name (Vor- und Nachname)
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert, niemals im Klartext)
• Sprache und Bestätigungszeitpunkt der AGB
• Optional: Firmenname, Telefonnummer
• Bestätigung der Unternehmer-Eigenschaft (§ 14 BGB)

(2) Die E-Mail-Adresse wird zur Bestätigung der Registrierung verifiziert. Bis zur Bestätigung ist das Konto nicht aktiviert.

(3) Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung).

(4) Die Daten werden gelöscht, wenn Sie Ihr Kundenkonto löschen lassen und keine vertraglichen oder gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung Ihres Kontos können Sie jederzeit per E-Mail an hello@syxlabs.org beantragen. Ein Self-Service-Datenexport und eine Self-Service-Kontolöschung sind in Vorbereitung.

6. Kommunikation (Chat, E-Mail, WhatsApp)

6.1 Projekt-Chat im Kundenportal

Im Rahmen Ihres Projekts kommunizieren Sie mit uns über den Chat im Kundenportal. Die Chat-Verläufe werden zur Vertragsdurchführung und Beweissicherung gespeichert. Eingangs der Konversation antwortet ein KI-Assistent (siehe Ziffer 7); spätestens vor verbindlichen Zusagen übernimmt Maximilian Seiler persönlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

6.2 E-Mail-Kontakt

Wenn Sie uns per E-Mail an hello@syxlabs.org kontaktieren, werden Ihre E-Mail-Adresse sowie die im Mailtext freiwillig übermittelten Daten ausschließlich zur Beantwortung Ihres Anliegens verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anliegen, Art. 6 Abs. 1 lit. f DSGVO bei allgemeinen Anfragen.

Der Versand erfolgt über unseren Mailing-Dienstleister Resend (siehe Ziffer 7.3).

6.3 WhatsApp Business

Sie haben die Möglichkeit, uns über den Nachrichtendienst WhatsApp Business der WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland, zu kontaktieren.

Bei Nutzung dieses Kanals verarbeiten wir die von Ihnen verwendete Mobilfunknummer sowie ggf. den von Ihnen angezeigten Namen zur Bearbeitung Ihres Anliegens.

WhatsApp Business überträgt im Rahmen seiner Funktionalität technische Daten an Server von Meta Platforms Inc. in den USA. Meta hat sich dem EU-US Data Privacy Framework (DPF) unterworfen.

Wir verwenden für WhatsApp Business ein dediziertes Endgerät, dessen Adressbuch ausschließlich Kontakte enthält, die uns aktiv per WhatsApp kontaktiert haben. Dadurch wird eine ungewollte Übermittlung von Adressbuch-Daten Dritter vermieden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anliegen, Art. 6 Abs. 1 lit. f DSGVO bei allgemeinen Anfragen.

Datenschutzinformationen von WhatsApp: https://www.whatsapp.com/legal/privacy-policy-eea

7. Auftragsverarbeiter und eingesetzte Dienste

Zur Erbringung unserer Leistungen setzen wir die nachfolgenden Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Drittlands-Übermittlungen erfolgen nur auf Basis eines Angemessenheitsbeschlusses (insbesondere EU-US Data Privacy Framework) oder geeigneter Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln).

7.1 Anthropic (KI-Assistent und KI-gestützte Entwicklung)

Zur Bereitstellung des KI-Assistenten im Kundenchat sowie zur Unterstützung bei der Code-Erstellung im Rahmen Ihrer Projekte nutzen wir die API der Anthropic Ireland Limited, 6th Floor, South Bank House, Barrow Street, Dublin 4, D04 TR29, Irland (nachfolgend „Anthropic").

Welche Daten werden übermittelt:

• Bei Chat-Nachrichten: Inhalt der Nachricht, vorheriger Chat-Verlauf des betreffenden Projekts, projektbezogener Kontext (Titel, Beschreibung, Typ)
• Bei Code-Generierung im Rahmen Ihres Projekts: vom Auftraggeber bereitgestellte Anforderungen und Materialien

Was wird NICHT übermittelt:

• Passwörter, Zahlungsdaten oder andere besonders schützenswerte Daten
• Daten anderer Projekte oder Kunden
• Server-Logfiles

Wo erfolgt die Verarbeitung: Die Anthropic-API verarbeitet Anfragen technisch in den USA (Anthropic PBC, San Francisco). Anthropic hat sich vertraglich verpflichtet, die übermittelten Daten ausschließlich zur Beantwortung der Anfrage zu verwenden und nicht zum Training der Sprachmodelle einzusetzen.

Drittlands-Übermittlung: Für die Übermittlung in die USA setzt Anthropic EU-Standardvertragsklauseln (Beschluss 2021/914) gemäß Art. 46 Abs. 2 lit. c DSGVO ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für KI-Unterstützung im konkreten Projekt; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und qualitativ hochwertigen Leistungserbringung) für den KI-Assistenten im Chat.

Wir transparent: Der KI-Assistent ist klar als solcher gekennzeichnet. Verbindliche Zusagen erfolgen ausschließlich durch Maximilian Seiler persönlich.

7.2 Stripe (Payment-Abwicklung)

Zur Abwicklung von Zahlungen nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe").

Bei Auswahl einer Zahlungsmethode werden folgende Daten an Stripe übermittelt:

• Name und ggf. Anschrift
• Zahlungsmittel-Daten (Kreditkarte, IBAN, weitere im Stripe-Konto aktivierte Methoden)
• Rechnungsbetrag und Transaktionsdaten
• E-Mail-Adresse

Die Verarbeitung der Zahlungsdaten erfolgt durch Stripe selbst; wir erhalten nur die für die Auftragszuordnung notwendigen Informationen (Transaktions-Status, Transaktions-ID), nicht jedoch die vollständigen Zahlungsdaten.

Stripe kann zur Abwicklung Sub-Auftragsverarbeiter einsetzen, unter anderem in den USA. Die Übermittlung in Drittländer erfolgt auf Basis des EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Datenschutzhinweise von Stripe: https://stripe.com/de/privacy

7.3 Resend (Transaktions-E-Mails)

Zum Versand von transaktionalen E-Mails (Registrierungs-Bestätigungen, Estimate-Mitteilungen, Rechnungen, Systembenachrichtigungen) nutzen wir Resend Inc., 2261 Market Street #4667, San Francisco, CA 94114, USA (nachfolgend „Resend").

Wir nutzen Resend mit Konfiguration auf die EU-Region (Dublin, Irland), sodass E-Mail-Inhalte und Metadaten primär in der EU verarbeitet werden.

An Resend werden übermittelt: Empfänger-E-Mail-Adresse, Absender-E-Mail, Betreff, Mailinhalt, Zustell-Metadaten (Zustellzeit, Bounce-Status).

Resend hat sich dem EU-US Data Privacy Framework unterworfen. Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger E-Mail-Zustellung).

7.4 Sentry (Error-Tracking und Performance-Monitoring)

Zur Erkennung und Behebung technischer Fehler in unserer Anwendung nutzen wir Sentry, betrieben von Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA.

Wir betreiben Sentry in der EU-Region (Frankfurt am Main, Deutschland) über die Domain de.sentry.io. Die Verarbeitung erfolgt damit ausschließlich auf europäischen Servern.

An Sentry werden im Fehlerfall übermittelt:

• Technische Fehler-Informationen (Stack-Trace, Code-Position)
• Browser, Betriebssystem, URL der Fehler-Quelle
• Pseudonyme Benutzer-ID (intern, nicht direkt personenbezogen)
• Pseudonymisierte IP-Adresse

Wir haben Sentry so konfiguriert, dass keine personenbezogenen Inhalte (E-Mails, Namen, Eingabewerte) automatisch übermittelt werden (send_default_pii=false). Eine Übermittlung in die USA findet nicht statt.

Mit Functional Software, Inc. besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien und stabilen Anwendung).

Datenschutzhinweise von Sentry: https://sentry.io/privacy/

8. AVV-Doppelrolle bei Vertragsabwicklung

Im Rahmen der Vertragsabwicklung können personenbezogene Daten in zwei verschiedenen Rollen verarbeitet werden:

(1) Eigene Verantwortlichkeit (Plattform): Für die Verarbeitung der Daten des Kunden selbst (Registrierung, Vertragsabwicklung, Rechnungsstellung, Kommunikation) sind wir Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Diese Datenschutzerklärung beschreibt diese Verarbeitung.

(2) Auftragsverarbeitung (Kundenprojekte): Soweit wir im Rahmen der Erbringung von Software-Entwicklungsleistungen personenbezogene Daten der Endkunden, Mitarbeiter oder sonstiger Betroffener des Kunden verarbeiten (z. B. Migration von Bestandsdaten, Test mit Echtdaten, Integration in bestehende Systeme des Kunden), handeln wir als Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO im Auftrag des Kunden.

In diesem Fall schließen die Parteien einen separaten Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab. Ein Muster-AVV stellen wir auf Anforderung bereit.

Die rechtliche Verantwortung für die Rechtmäßigkeit der Verarbeitung von Endkunden-Daten verbleibt in diesem Fall beim Kunden als Verantwortlichem.

9. Aufbewahrungsfristen

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Server-Logfiles: 14 Tage
• Sentry-Fehlerprotokolle: 30 Tage
• Kundenkonto-Daten: Bis zur Löschung des Kontos, sofern keine offenen Verträge bestehen
• Chat-Verläufe: Für die Dauer der Vertragslaufzeit + 3 Jahre (Verjährungsfrist nach § 195 BGB)
• Estimates ohne Vertragsschluss: 3 Jahre ab Erstellung (§ 195 BGB)
• Rechnungen und Buchungsbelege: 8 Jahre (§ 147 Abs. 3 AO i.d.F. Wachstumschancengesetz, seit 01.01.2025; für Belege aus Zeiträumen vor 2025 gilt die frühere 10-Jahres-Frist)
• Bücher, Jahresabschlüsse, Verfahrensdokumentation: 10 Jahre (§ 147 Abs. 3 AO)
• Geschäftsbriefe (Eingang/Ausgang): 6 Jahre (§ 147 Abs. 3 AO)
• Projekt-Deliverables (ZIP-Archive): 12 Monate kostenfreie Langzeit-Archivierung nach Bereitstellung (siehe AGB § 10)

10. Ihre Rechte nach DSGVO

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): über die zu Ihrer Person gespeicherten Daten und deren Verarbeitung
• Recht auf Berichtigung (Art. 16 DSGVO): unrichtiger oder unvollständiger Daten
• Recht auf Löschung (Art. 17 DSGVO): wenn die Verarbeitung nicht mehr erforderlich ist
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): auf Anfrage erhalten Sie Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format. Ein Self-Service-Export ist in Vorbereitung.
• Recht auf Widerspruch (Art. 21 DSGVO): gegen Verarbeitungen auf Basis berechtigter Interessen
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte genügt eine formlose Nachricht an hello@syxlabs.org. Wir werden Ihrem Anliegen ohne unnötige Verzögerung, in der Regel innerhalb eines Monats, nachkommen (Art. 12 Abs. 3 DSGVO).

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde für den Verantwortlichen ist:

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Schloss Schwerin
Lennéstraße 1
19053 Schwerin
Telefon: 0385 59494-0
E-Mail: info@datenschutz-mv.de
Website: www.datenschutz-mv.de

12. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn rechtliche, technische oder organisatorische Änderungen dies erfordern. Die jeweils aktuelle Fassung ist unter https://syxlabs.org/datenschutz.html abrufbar.

Wesentliche Änderungen, die Ihre Verarbeitung betreffen, kommunizieren wir registrierten Kunden zusätzlich per E-Mail.

Stand: 17. Mai 2026