Datenschutzerklärung

§ 1 Verantwortlicher

WP Workers GmbH
Suphi Basdemir
Eichendorffstr. 13
82223 Eichenau
E-Mail: anfrage@procurement-ai.de

Kein gesetzlich erforderlicher Datenschutzbeauftragter. Anfragen an oben genannte E-Mail-Adresse.

§ 2 Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website, Inhalte und der SaaS-Plattform procurement-ai erforderlich ist. Rechtsgrundlagen sind:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Wir halten die Grundsätze der Datenminimierung, Zweckbindung und Speicherbegrenzung ein.

§ 3 Website-Besuch und Server-Logfiles

Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erfasst:

• IP-Adresse (anonymisiert nach 7 Tagen)
• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL
• Zugriffsdatum und -zeit
• Angeforderte Seite/Datei

Zwecke: Gewährleistung der Verbindungssicherheit, Nutzbarkeit, Systemsicherheit und Angriffsabwehr.

Speicherdauer: Server-Logfiles 14 Tage, IP-Adressen werden nach 7 Tagen anonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Sicherheit unserer Website).

§ 4 Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden folgende Daten erhoben:

• Unternehmensname
• Ansprechpartner
• E-Mail-Adresse
• Telefonnummer (optional)
• Nachricht / Anliegen
• IP-Adresse und Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar).

Speicherdauer: Lead-Daten werden 12 Monate nach letztem Kontakt gelöscht (ohne Vertrag). Rechnungs- und Vertragsdaten werden 10 Jahre aufbewahrt (gesetzliche Pflicht gemäß HGB/AO).

§ 5 KI-gestützte Artikelklassifizierung

5.1 Azure OpenAI Verarbeitung

procurement-ai nutzt Azure OpenAI für die automatische Klassifizierung von Artikelbeschreibungen nach CPV-Codes (Common Procurement Vocabulary). Dabei werden folgende Daten verarbeitet:

• Artikelbeschreibungen und Suchbegriffe
• Generierte CPV-Code-Zuordnungen
• Klassifizierungsergebnisse und Konfidenzbewertungen

Standort: Sweden Central (EU Data Boundary). Microsoft verwendet Kundendaten nicht zum Training seiner KI-Modelle. Es gelten die Azure OpenAI Data Processing Terms.

Speicherung: Azure OpenAI speichert keine Verarbeitungsinhalte über die Verarbeitungsdauer hinaus (0 Tage Retention).

Verschlüsselung: TLS 1.2+ bei Übertragung, AES-256 im Ruhezustand.

Vertrag: Microsoft ist Auftragsverarbeiter (Art. 28 DSGVO) mit Microsoft-DPA und EU-Standardvertragsklauseln (SCCs).

5.2 Regelbasiertes Fallback

Ist der Azure OpenAI Service nicht verfügbar, erfolgt die Klassifizierung über ein regelbasiertes Keyword-Matching-System. In diesem Fall werden keine Daten an externe Dienste übermittelt.

5.3 Audit-Trail und Änderungshistorie

Jede Klassifizierung und manuelle Übersteuerung wird in einer lückenlosen Änderungshistorie protokolliert (Zeitstempel, Benutzer, Vorher-/Nachher-Vergleich). Diese Daten dienen der vergaberechtskonformen Dokumentation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an revisionssicherer Beschaffungsdokumentation).

§ 6 Multi-Marktplatz-Suche und Beschaffungsdaten

Bei der Nutzung der Multi-Marktplatz-Suche werden folgende Daten verarbeitet:

• Suchanfragen und Artikelbeschreibungen
• Preisvergleichsdaten von angebundenen Marktplätzen
• Bestelldaten und Genehmigungsworkflows
• Rahmenvertragsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Beschaffungsdaten werden für die Dauer des Vertragsverhältnisses gespeichert. Die revisionssichere Vergabedokumentation wird gemäß den gesetzlichen Aufbewahrungsfristen aufbewahrt.

§ 7 Auftragsverarbeiter und Unterauftragnehmer

Microsoft Azure (Azure OpenAI Service)

• Anbieter: Microsoft Ireland Operations Ltd.
• Leistung: KI-Sprachmodell für CPV-Klassifizierung
• Standort: Sweden Central (EU Data Boundary)
• Daten: Artikelbeschreibungen, Klassifizierungsergebnisse
• Garantien: EU-SCCs, Microsoft DPA, ISO 27001, SOC 2

24fire GmbH

• Anbieter: 24fire GmbH
• Leistung: Server-Hosting, Datenbank (PostgreSQL), Redis
• Standort: Deutschland
• Daten: Kundendaten, Beschaffungsdaten, Server-Logfiles
• Garantien: AVV (Art. 28 DSGVO), deutsches Rechenzentrum

Änderungsmitteilung: B2B-Kunden erhalten 30 Tage Vorankündigung bei Änderungen der Auftragsverarbeiter. Widerspruchsrecht gemäß AVV besteht.

§ 8 Speicherdauer und Löschkonzept

Nach Vertragsende besteht eine 30-Tage-Frist für den Datenexport (Datenportabilität). Danach erfolgt die unwiderrufliche Löschung aller kundenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 9 Datenübertragung in Drittländer

Alle personenbezogenen Daten werden grundsätzlich innerhalb der EU/des EWR verarbeitet.

• KI-Verarbeitung (Azure OpenAI): Ausschließlich Sweden Central (EU). Kein Transfer außerhalb der EU dank Microsoft EU Data Boundary.
• Server-Hosting (24fire): Deutschland. Kein Drittlandtransfer.

Bei erforderlichem Drittlandtransfer werden EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), Angemessenheitsbeschlüsse (Art. 45 DSGVO) oder zusätzliche technische Schutzmaßnahmen eingesetzt.

§ 10 Cookies

Technisch notwendige Cookies

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) i.V.m. § 25 Abs. 2 TDDDG (technisch erforderlich).

Webanalyse (Matomo)

Wir verwenden Matomo (selbst gehostet) zur statistischen Analyse der Websitenutzung. Matomo wird auf unseren eigenen Servern betrieben — es werden keine Daten an Dritte übertragen.

Ohne Einwilligung: Matomo läuft im cookielosen Modus. Es werden keine Cookies gesetzt und keine personenbezogenen Daten gespeichert. Die IP-Adresse wird anonymisiert.

Mit Einwilligung („Alle akzeptieren"): Matomo setzt Analyse-Cookies für erweiterte Nutzungsstatistiken. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Rechtsgrundlage: Cookieloses Tracking: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Analyse-Cookies: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TDDDG.

Schriftarten

Diese Website nutzt die Schriftart „Inter" von Google Fonts. Die Schrift wird über Google Fonts eingebunden. Dabei wird beim Seitenaufruf eine Verbindung zu Servern von Google hergestellt. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

§ 11 SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

§ 12 Technische und organisatorische Maßnahmen (TOMs)

Technische Maßnahmen

• TLS 1.2+ Verschlüsselung bei Datenübertragung
• AES-256 Verschlüsselung gespeicherter Daten
• Zugriffskontrollen und Multi-Faktor-Authentifizierung
• Rollenbasierte Zugriffskontrolle (RBAC) im Dashboard
• Regelmäßige Sicherheits-Updates und Patch-Management
• Automatisierte Backups und Disaster Recovery
• Mandantentrennung (Multi-Tenancy-Isolation)

Organisatorische Maßnahmen

• Need-to-know-Prinzip für Datenzugriff
• Vertraulichkeitsvereinbarungen mit Mitarbeitern
• Regelmäßige Datenschutz-Schulungen
• Dokumentiertes Datenpannen-Meldeverfahren (Art. 33/34 DSGVO)
• Regelmäßige Überprüfung der Auftragsverarbeiter

§ 13 KI-Transparenz und EU KI-Verordnung

Gemäß Art. 50 der EU KI-Verordnung (Verordnung (EU) 2024/1689) informieren wir transparent über den Einsatz von KI in unserer Plattform:

Verwendete KI-Technologie

• Sprachmodell: Azure OpenAI GPT-4o (EU-gehostet) für die CPV-Klassifizierung
• Embedding-Modell: Azure OpenAI für semantische Artikelsuche

Einschränkungen

Die KI-gestützte Klassifizierung ist ein Hilfssystem. KI-generierte CPV-Zuordnungen können Fehler enthalten. Jede Klassifizierung kann von autorisierten Nutzern manuell übersteuert werden — mit Begründungspflicht und vollständiger Änderungshistorie. Die KI trifft keine rechtsverbindlichen Vergabeentscheidungen.

§ 14 Automatisierte Entscheidungsfindung

Die KI-gestützte CPV-Klassifizierung verarbeitet Artikelbeschreibungen automatisiert.

Art. 22 DSGVO: Die KI trifft keine Entscheidungen, die gegenüber Nutzern rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Die Klassifizierung dient als Vorschlag — endgültige Entscheidungen obliegen den autorisierten Beschaffern.

Recht auf Überprüfung durch einen menschlichen Mitarbeiter: anfrage@procurement-ai.de

§ 15 Rechte der Betroffenen

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Auskünfte über verarbeitete Daten; Antwort innerhalb eines Monats.
• Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
• Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Einschränkungsrecht (Art. 18 DSGVO): Einschränkung der Verarbeitung Ihrer Daten.
• Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung Ihrer Daten in strukturiertem, gängigem, maschinenlesbarem Format (JSON, CSV).
• Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Kontakt: anfrage@procurement-ai.de

§ 16 Beschwerderecht bei Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Behörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Website: www.lda.bayern.de

§ 17 Newsletter

Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse sind und mit dem Empfang des Newsletters einverstanden sind.

Die Anmeldung zum Newsletter erfolgt über ein Double-Opt-In-Verfahren. Sie können Ihre Einwilligung zum Empfang des Newsletters jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

§ 18 Hosting

Diese Website und die SaaS-Plattform werden bei 24fire GmbH gehostet. Die Server befinden sich ausschließlich in Rechenzentren in Deutschland.

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website.

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO mit unserem Hosting-Anbieter geschlossen. Dieser Vertrag stellt sicher, dass die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.

§ 19 Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Durch die Weiterentwicklung unserer Website und der SaaS-Plattform oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden. Die jeweils aktuelle Fassung kann jederzeit auf dieser Seite abgerufen werden. Wesentliche Änderungen der Verarbeitungsart werden per E-Mail oder Website-Hinweis mitgeteilt.