Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Zatori AI
David Hennecke
Wohlfartstrasse 2
80939 München
E-Mail: support@zatoriai.com
Telefon: +49 176 1358 3577
2. Erhebung und Speicherung personenbezogener Daten
2.1 Beim Besuch der Website
Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert. Die Server-Logs werden bei Cloudflare 90 Tage (hot) bzw. bis zu 12 Monate (cold archive) und bei Vercel 30 Tage vorgehalten, danach automatisiert gelöscht. Folgende Informationen werden dabei ohne Ihr Zutun erfasst:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
Die genannten Daten werden zu folgenden Zwecken verarbeitet: Gewährleistung eines reibungslosen Verbindungsaufbaus, Gewährleistung einer komfortablen Nutzung unserer Website, Auswertung der Systemsicherheit und -stabilität sowie zu weiteren administrativen Zwecken.
Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den oben aufgelisteten Zwecken zur Datenerhebung.
2.2 Bei Registrierung und Nutzung
Bei der Registrierung für unseren Dienst erheben wir folgende Daten: E-Mail-Adresse, Name (optional), Passwort (verschlüsselt gespeichert). Bei der Nutzung des Dienstes werden weitere Daten gespeichert, die Sie aktiv eingeben (z.B. Notizen, Aufgaben, CRM-Daten, Meeting-Informationen). Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragsdurchführung).
2.3 Newsletter
Wenn Sie unseren Newsletter abonnieren, verarbeiten wir folgende Daten:
- E-Mail-Adresse (Pflichtangabe)
- IP-Adresse zum Zeitpunkt der Anmeldung und Bestätigung
- Zeitpunkt der Anmeldung und Bestätigung (Double-Opt-In)
Die Anmeldung erfolgt über ein Double-Opt-In-Verfahren. Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail mit einem Link. Erst nach Klick auf diesen Link wird Ihre Anmeldung wirksam.
Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmelde-Link in jeder Newsletter-E-Mail klicken oder eine E-Mail an support@zatoriai.com senden.
Für den Versand nutzen wir den Dienst Resend (Resend Inc., Delaware, USA). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln.
3. Weitergabe von Daten
Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
- Sie Ihre nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ausdrückliche Einwilligung dazu erteilt haben
- die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
- für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. b DSGVO eine gesetzliche Verpflichtung besteht
- dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist
3.1 Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein:
- Supabase Inc. — Datenbank, Authentifizierung und Dateispeicherung. Daten werden auf EU-Servern (Frankfurt, Deutschland) gespeichert. Supabase agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO.
- Stripe Inc. — Zahlungsabwicklung. Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher bzw. als Auftragsverarbeiter gemäß den geltenden Datenschutzbestimmungen. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert.
- Resend Inc. — E-Mail-Versand für Transaktions-E-Mails (Registrierungsbestätigungen, Passwortzurücksetzungen). Es werden ausschließlich E-Mail-Adressen und Nachrichteninhalte verarbeitet.
- Anthropic PBC — AI-Verarbeitung über die Claude API. Nutzereingaben werden zur Verarbeitung an Anthropic übermittelt. Anthropic speichert keine Daten dauerhaft und nutzt diese nicht für Trainingszwecke.
- Vercel Inc. — Hosting der Website und Edge-Auslieferung. Zugriffsprotokolle (Logs) werden maximal 30 Tage aufbewahrt. Übermittlungen in die USA erfolgen auf Grundlage des EU-US Data Privacy Framework (DPF) und ergänzender EU-Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
- Functional Software, Inc. (Sentry) — Fehler- und Performance-Monitoring. Texteingaben werden standardmäßig maskiert (maskAllText), Medien blockiert. Speicherdauer: 90 Tage. Übermittlung via SCC. Nur mit Einwilligung (Analytics-Kategorie). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG.
- Plausible Insights OÜ — datenschutzfreundliche Web-Analyse (EU-Hosting, Estland). Es werden keine Cookies gesetzt; IP-Adressen werden nicht gespeichert. Speicherdauer: aggregierte Daten, keine personenbezogenen Rohdaten. Nur mit Einwilligung (Analytics-Kategorie). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG.
- Cloudflare Inc. — Content Delivery Network (CDN), Web Application Firewall (WAF) und DDoS-Schutz. IP-Adressen werden zur Abwehr von Angriffen kurzfristig verarbeitet, Logs maximal 14 Tage gespeichert. Übermittlung in die USA auf Grundlage EU-US DPF + SCC. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit).
- PostHog Inc. — Produkt-Analytics (EU-Hosting, Frankfurt). Aktuell deaktiviert per ADR-002 (Phase-1-Launch nutzt ausschließlich Plausible). Sollten wir PostHog reaktivieren, wird diese Erklärung vorab aktualisiert und die Analytics-Kategorie gesondert vom Einwilligungsbanner abgefragt.
- OpenAI OpCo, LLC — Optional einsetzbar für alternative KI-Inferenz. Bei Nutzung werden Eingaben über die OpenAI API an Server in den USA übermittelt (EU-US DPF + SCC). Keine Nutzung zu Trainingszwecken (Opt-out via Zero-Retention-Vereinbarung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei Produktfunktionen im Auftrag des Nutzers.
Eine jederzeit aktuelle Übersicht aller Auftragsverarbeiter inklusive Änderungshistorie finden Sie unter /sub-processors. Wir kündigen Ergänzungen mit mindestens 30 Tagen Vorlauf an.
4. Cookies und vergleichbare Technologien
Wir setzen Cookies und vergleichbare Speichertechnologien ein. Einwilligungspflichtige Cookies werden erst nach Ihrer aktiven Zustimmung gesetzt (§ 25 Abs. 1 TTDSG). Für technisch notwendige Cookies gilt § 25 Abs. 2 TTDSG. Ergänzende Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Sie können Ihre Einwilligung jederzeit über den „Cookie-Einstellungen“- Button widerrufen.
Notwendig (notwendig)
Technisch erforderliche Cookies zur Bereitstellung der Website, Authentifizierung und Zahlungsabwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
| Name | Anbieter | Zweck | Laufzeit | Typ |
|---|---|---|---|---|
zatori_consent | ZATORI AI | Speichert Ihre Cookie-Einwilligung. | 365 Tage | http |
sb-access-token | Supabase (EU) | Authentifizierung (Session). | Session | http |
sb-refresh-token | Supabase (EU) | Erneuerung der Session. | 30 Tage | http |
__stripe_mid | Stripe | Betrugsprävention bei Zahlungen. | 1 Jahr | http |
Analyse
Statistische Auswertung der Nutzung zur Verbesserung der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG.
| Name | Anbieter | Zweck | Laufzeit | Typ |
|---|---|---|---|---|
ph_* | PostHog (EU, Frankfurt) | Nutzungsstatistiken, Feature-Flags. | 12 Monate | http |
sentry-* | Sentry | Fehlerdiagnose und Session-Replay (maskiert). | 90 Tage | http |
Marketing
Cookies für personalisierte Inhalte und Kampagnenmessung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG.
Aktuell keine aktiven Cookies in dieser Kategorie.
Präferenzen
Speichert Ihre Einstellungen wie Theme und Sprache.
| Name | Anbieter | Zweck | Laufzeit | Typ |
|---|---|---|---|---|
zatori_theme | ZATORI AI | Hell-/Dunkelmodus. | 1 Jahr | local_storage |
zatori_lang | ZATORI AI | Sprachwahl. | 1 Jahr | local_storage |
5. Analyse- und Tracking-Tools
Eine vollständige Liste der von uns eingesetzten Analyse- und Tracking-Dienste, ihrer Zwecke, Rechtsgrundlagen und Empfänger finden Sie in Abschnitt 4 (Cookies & lokale Speicher) sowie in der Auflistung unserer Sub-Prozessoren unter zatoriai.com/sub-processors. Das Setzen analytischer und marketingbezogener Cookies erfolgt ausschließlich auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG, die Sie über unser Consent-Banner erteilen und jederzeit über den "Cookie-Einstellungen"-Link im Seitenfuß widerrufen können.
6. SSL/TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden. Darüber hinaus sind alle Daten in der Datenbank mittels AES-256 verschlüsselt (at-rest Verschlüsselung).
7. Speicherdauer der Daten
Wir speichern personenbezogene Daten nur so lange, wie dies zur Erfüllung der jeweiligen Zwecke erforderlich ist oder uns gesetzliche Aufbewahrungspflichten dazu verpflichten (insbesondere § 147 AO, 10 Jahre für Rechnungsunterlagen). Nach Zweckfortfall werden Daten gelöscht, soweit keine Aufbewahrungspflicht entgegensteht, andernfalls gesperrt.
| Kategorie | Speicherdauer |
|---|---|
| Demo- und Kontakt-Anfragen (nicht konvertiert) | max. 24 Monate, dann Löschung |
| Kontakt-Anfragen | max. 12 Monate, dann Löschung |
| Newsletter (bestätigte Abonnenten) | Dauer des Abonnements + 3 Jahre Suppression-Liste |
| Newsletter (nie bestätigt) | 7 Tage, danach Löschung |
| CRM-Kontakte und laufende Kundenbeziehungen | Dauer der Kundenbeziehung + 6 Jahre |
| Rechnungen und Buchhaltungsbelege | 10 Jahre (§ 147 AO) |
| Meeting-Aufzeichnungen / Transkripte | 90 Tage Standard, längere Aufbewahrung nur mit separater Einwilligung |
| Server-Logfiles (Cloudflare / Vercel) | 30–90 Tage hot, bis zu 12 Monate cold |
| IP-Adressen in Rate-Limit-Logs | 7 Tage, danach anonymisiert |
| Sicherheits- und Audit-Logs | 12–24 Monate |
| Consent-Protokoll (Cookie-Banner) | 3 Jahre nach Widerruf (Nachweispflicht § 25 TTDSG) |
| Bounce- / Beschwerde-Suppression-Liste | dauerhaft (Schutz vor Re-Subscribe) |
| Supabase-Datenbank-Backups (PITR) | 35 Tage, dann automatisch rotiert |
| Offsite-Backups | 12 Monate monatlich, 7 Jahre jährlich |
Beim Löschen Ihres Accounts werden personenbezogene Inhalte innerhalb von 30 Tagen entfernt; in Backups innerhalb der oben genannten Rotationsfristen. Rechnungsbezogene Daten werden gemäß § 147 AO archiviert und nach Ablauf der gesetzlichen Frist gelöscht.
8. Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO)
Die ZATORI-Plattform setzt an mehreren Stellen KI-gestützte Algorithmen ein, die Eingaben analysieren, bewerten und Vorschläge generieren — insbesondere Lead-Scoring, CRM-Health-Scoring, Meeting-Zusammenfassungen, Aktionsvorschläge und Priorisierungen. Diese Systeme dienen der Entscheidungsunterstützung. Eine rechtlich verbindliche oder in ähnlicher Weise erhebliche Entscheidung allein auf Grundlage dieser automatisierten Verarbeitung im Sinne des Art. 22 Abs. 1 DSGVO findet nicht statt. Sämtliche abschließenden Entscheidungen werden von einem Menschen (Ihnen als Nutzer oder einem Mitglied Ihres Teams) getroffen.
Sollten Sie dennoch befürchten, dass eine Auswertung für Sie rechtlich oder ähnlich erheblich war, haben Sie das Recht, eine Überprüfung durch eine natürliche Person zu verlangen, Ihren eigenen Standpunkt darzulegen und die Entscheidung anzufechten (Art. 22 Abs. 3 DSGVO). Wenden Sie sich dazu bitte an die in Abschnitt 11 genannte Kontaktadresse.
9. Rechte der Betroffenen
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO) — Recht auf Auskunft über die verarbeiteten Daten
- Berichtigungsrecht (Art. 16 DSGVO) — Recht auf Berichtigung unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO) — Recht auf Löschung Ihrer Daten
- Einschränkungsrecht (Art. 18 DSGVO) — Recht auf Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO) — Recht auf Übertragung Ihrer Daten in einem gängigen Format
- Widerspruchsrecht (Art. 21 DSGVO) — Recht auf Widerspruch gegen die Verarbeitung
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
10. Widerruf Ihrer Einwilligung
Einige Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Sie können Ihren Account und alle damit verbundenen Daten jederzeit in den Einstellungen Ihres ZATORI-Accounts löschen. Nach der Löschung werden alle Ihre Daten innerhalb von 30 Tagen unwiderruflich von unseren Servern entfernt.
11. Kontakt
Bei Fragen zum Datenschutz, zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Betroffenenrechte erreichen Sie uns unter:
E-Mail: support@zatoriai.com
Telefon: +49 176 1358 3577
Wir bemühen uns, Ihre Anfrage innerhalb von 30 Tagen zu beantworten.