rechtliches
Datenschutzerklärung
Stand: 1. Juni 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
McQueen Creatives
Mio McQueen
Ingeborg-Drewitz-Allee 22
79111 Freiburg im Breisgau
E-Mail: mio@mcqueencreatives.de
Soweit personenbezogene Daten Dritter (z.B. Endkunden, Leads, Lieferanten des Nutzers) durch HeyAbbot im Auftrag des Nutzers verarbeitet werden, ist der Nutzer im Sinne der DSGVO Verantwortlicher; HeyAbbot ist Auftragsverarbeiter. Die Bedingungen ergeben sich aus dem Auftragsverarbeitungsvertrag (AVV).
2. Erhebung und Speicherung personenbezogener Daten
2.1 Beim Besuch der Website
Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an unseren Server gesendet und temporär in einem Logfile gespeichert:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und ggf. das Betriebssystem
Speicherdauer der Logfiles: 30 Tage.
2.2 Bei Registrierung und Nutzung
Bei der Registrierung für HeyAbbot erheben wir folgende Daten:
- Name
- E-Mail-Adresse
- Passwort (verschlüsselt mit bcrypt gespeichert)
- Unternehmensdaten (optional)
- Bestätigung der Unternehmer-Eigenschaft (§ 14 BGB) sowie Annahme von AGB, Datenschutzerklärung und AVV mit Zeitstempel und Version
Bei der Nutzung von HeyAbbot speichern wir Ihre Geschäftsdaten (Kunden, Projekte, Rechnungen, Zeiterfassung etc.), um Ihnen unseren Service bereitzustellen.
3. Zweck der Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:
- Bereitstellung der Website und ihrer Funktionen
- Erstellung und Verwaltung Ihres Benutzerkontos
- Bereitstellung unserer SaaS-Dienste
- Abwicklung von Zahlungen
- Kommunikation mit Ihnen (z.B. Support, Updates)
- Verbesserung unseres Angebots
- Erfüllung gesetzlicher Aufbewahrungspflichten
4. Rechtsgrundlage
Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z.B. Newsletter, optionale Cookies, Banking-Integration)
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung des Dienstes)
- Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (z.B. steuerliche Aufbewahrungspflichten)
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Missbrauchsabwehr, anonymisierte Analyse)
5. Cookies
Wir setzen auf unserer Website Cookies ein. Cookies sind kleine Textdateien, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät gespeichert werden.
Arten von Cookies:
- Essenzielle Cookies: Notwendig für die Grundfunktionen (z.B. Login-Session)
- Analyse-Cookies: Helfen uns, die Nutzung zu verstehen (nur mit Einwilligung)
- Marketing-Cookies: Für personalisierte Werbung (nur mit Einwilligung)
- Präferenz-Cookies: Speichern Ihre Einstellungen (nur mit Einwilligung)
Sie können Ihre Cookie-Einstellungen jederzeit in den Einstellungen Ihres Browsers oder über unseren Cookie-Banner anpassen.
6. KI-Funktionen (Abbot)
HeyAbbot enthält KI-basierte Funktionen („Abbot"), die Ihre Geschäftsdaten analysieren, um Ihnen Empfehlungen, Texte und Einblicke zu liefern.
- Die KI-Verarbeitung erfolgt nur, wenn Sie die entsprechende Funktion aktiv nutzen oder explizit aktivieren
- Ihre Daten werden nicht für das Training eigener oder fremder KI-Modelle verwendet. Mit den eingesetzten KI-Anbietern (Anthropic, OpenAI) bestehen entsprechende Data Processing Addenda (DPA) mit Zero-Retention- bzw. No-Training-Klauseln
- Die Verarbeitung erfolgt teils auf Servern in der EU (Frankfurt), teils auf Servern in den USA — abgesichert durch EU-Standardvertragsklauseln (SCC) und ggf. EU-US Data Privacy Framework (DPF)
- Sie können die KI-Funktionen jederzeit in den Einstellungen deaktivieren
- Alle KI-generierten Inhalte werden in der Software als solche gekennzeichnet (z.B. „Vorschlag von Abbot", KI-Symbol) gemäß Art. 50 der EU-KI-Verordnung (AI Act)
6a. Banking-Integration (PSD2)
Wenn Sie die Banking-Integration aktivieren, werden Kontoinformationen (Umsätze, Kontostände) über den regulierten Kontoinformationsdienst (AISP) finAPI GmbH (München, Deutschland) abgerufen.
- Es werden ausschließlich Lesezugriffe auf Bankkonten ausgeführt — keine Zahlungen
- Die Autorisierung erfolgt durch Sie direkt bei Ihrer Bank und muss gemäß PSD2 in regelmäßigen Abständen (in der Regel alle 180 Tage) erneuert werden (Starke Kundenauthentifizierung / SCA)
- Sie können den Zugriff jederzeit in der Plattform oder direkt bei Ihrer Bank widerrufen
- Bankdaten werden bei uns verschlüsselt gespeichert (AES-256-GCM) und ausschließlich zur Erfüllung der von Ihnen aktivierten Funktionen verwendet
- Banking-Daten werden nicht an Dritte weitergegeben, die nicht im AVV (§ 8) aufgeführt sind
7. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen:
- SSL/TLS-Verschlüsselung für alle Datenübertragungen
- Verschlüsselte Speicherung sensibler Daten (AES-256-GCM)
- Server in deutschen Rechenzentren (EU)
- Regelmäßige Sicherheitsupdates und tägliche Backups
- Strikte Mandantentrennung auf Datenbank-Ebene
- Zugriffskontrolle, Protokollierung sensibler Vorgänge
- Multi-Faktor-Authentifizierung für administrative Zugänge
- Versioniertes Verschlüsselungssystem mit Key-Rotation-Möglichkeit
Eine detaillierte Übersicht der technischen und organisatorischen Maßnahmen (TOMs) finden Sie in unserem AVV (§ 7).
8. Weitergabe von Daten / Eingesetzte Dienstleister
Eine Übermittlung Ihrer persönlichen Daten an Dritte erfolgt nur:
- Wenn Sie ausdrücklich eingewilligt haben
- Wenn dies zur Vertragserfüllung erforderlich ist (z.B. Zahlungsabwicklung über Stripe)
- Wenn wir gesetzlich dazu verpflichtet sind
- Im Rahmen der Auftragsverarbeitung an die im AVV aufgeführten Subunternehmer
Eingesetzte Dienstleister:
- Amazon Web Services (AWS): Hosting und Datenspeicherung — Frankfurt, EU
- Vercel: Hosting und CDN — EU-Region konfiguriert, SCC abgeschlossen
- Stripe: Zahlungsabwicklung — Irland (EU-Datenraum)
- Anthropic: KI-Verarbeitung für Chat-Funktionen — USA; DPA mit No-Training-Klausel; SCC
- OpenAI: Semantische Suche und Embeddings — Irland; DPA; keine Verwendung für Training
- finAPI: PSD2-Banking-Integration — Deutschland (nur bei aktivierter Integration)
- Lexoffice: Buchhaltungs-Integration — Deutschland (nur bei aktivierter Integration)
- Google: OAuth-Anmeldung und optionale Workspace-Integration (nur bei Nutzung) — Irland
- Microsoft: OAuth-Anmeldung und optionale Microsoft 365-Integration (nur bei Nutzung) — Irland
Bei Datenübermittlung in Drittländer (insbesondere USA) ist der Schutz durch EU-Standardvertragsklauseln (SCC) und ggf. das EU-US Data Privacy Framework (DPF) gewährleistet.
9. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Welche Daten wir über Sie speichern
- Berichtigungsrecht (Art. 16 DSGVO): Korrektur unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO): Löschung Ihrer Daten
- Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in strukturiertem, gängigem und maschinenlesbarem Format (JSON / CSV / PDF)
- Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitung
- Widerruf der Einwilligung: Jederzeit für die Zukunft
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: mio@mcqueencreatives.de. Funktionen zur Daten-Auskunft, -Berichtigung, -Löschung und zum Daten-Export stehen ebenfalls direkt in den Konto-Einstellungen der Plattform zur Verfügung.
9a. Automatisierte Entscheidungen (Art. 22 DSGVO)
HeyAbbot enthält Funktionen, die automatisierte Entscheidungen mit Wirkung auf Geschäftsabläufe treffen, insbesondere:
- Lead-Quality-Scoring: Eingehende Leads (z.B. aus Calendly oder anderen Quellen) werden automatisiert nach Qualitätskriterien bewertet (Firmengröße, E-Mail-Typ, Branchen-Match etc.). Bei sehr niedriger Bewertung werden Leads automatisch als „abgelehnt" markiert
- Klassifikation von Belegen und Transaktionen: Eingehende Belege und Bank-Transaktionen werden automatisiert kategorisiert
- Pattern-Learning: Aus Ihren Aktionen werden Muster abgeleitet, die zukünftige Empfehlungen beeinflussen
Diese Entscheidungen sind jederzeit transparent und überprüfbar: Die Gründe für jede automatisierte Klassifikation sind in der Software einsehbar. Sie können jede Entscheidung manuell korrigieren oder überschreiben.
Sie haben das Recht, einer automatisierten Entscheidung zu widersprechen und eine menschliche Überprüfung zu verlangen. Wenden Sie sich dazu an mio@mcqueencreatives.de.
10. Speicherdauer
Wir speichern Ihre Daten nur so lange, wie es für die Zwecke erforderlich ist, für die sie erhoben wurden, oder wie es gesetzlich vorgeschrieben ist:
- Kontodaten: Bis zur Löschung Ihres Kontos
- Geschäftsdaten: Bis zur Löschung durch Sie oder Kontolöschung
- Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht, § 147 AO)
- Logfiles: 30 Tage
- Karenzzeit nach Vertragsende: 30 Tage zur Daten-Sicherung, danach unwiderrufliche Löschung
- Backup-Rotation: Vollständige Löschung aus Backups innerhalb max. 90 Tagen
11. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
Für Kunden mit Sitz in Deutschland:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de
Für Kunden mit Sitz in Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien, Österreich
www.dsb.gv.at
Für Kunden mit Sitz in der Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
3003 Bern, Schweiz
www.edoeb.admin.ch
12. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Wesentliche Änderungen werden Ihnen rechtzeitig per E-Mail oder Hinweis in der Software mitgeteilt.