Datenschutzerklärung

1. Einleitung

1.1. Datenschutz hat einen besonders hohen Stellenwert für QUALLEE.

Mittels dieser Datenschutzerklärung möchte unser Unternehmen die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt. Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den für QUALLEE geltenden landesspezifischen Datenschutzbestimmungen.

2. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist die:

Kontakt

E-Mail: info(at)quallee.de
Kontaktformular
Web: quallee.ai

3. Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen ist:

Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.

4. Allgemeine Nutzung der Website

4.1. Zugriffsdaten

Die Website quallee.ai erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können die (1) verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher ein zugreifendes System auf unsere Internetseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Internetseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.

Bei der Nutzung dieser allgemeinen Daten und Informationen zieht QUALLEE keine Rückschlüsse auf die betroffene Person.

4.2. Cookies

Die Internetseiten auf quallee.ai verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden. Durch den Einsatz von Cookies kann QUALLEE den Nutzern dieser Internetseite nutzerfreundlichere Services bereitstellen, die ohne die Cookie-Setzung nicht möglich wären.

Dem Setzen von Cookies durch unsere Internetseite kann der Nutzer jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen.

Statistik-Cookies (4)

Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Marketing-Cookie (1)

Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind.

Rechtsgrundlage für nicht technisch notwendige Cookies ist § 25 Abs. 1 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG) i.V.m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Technisch notwendige Cookies (Login-Session, Consent-Speicherung, Sicherheits-Token) verarbeiten wir auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG.

Zur Einholung und Verwaltung Ihrer Einwilligung nutzen wir den Klaro Consent Manager (KIProtect GmbH, Heidelberg, Deutschland). Klaro speichert Ihre Cookie-Präferenzen in einem technisch notwendigen Cookie sowie im Local Storage Ihres Browsers. Speicherdauer der Einwilligung: 12 Monate, danach erneute Abfrage. Es findet keine Übermittlung in Drittländer statt.

4.3. Newsletter

QUALLEE informiert Interessenten in regelmäßigen Abständen im Wege eines Newsletters über Angebote des Unternehmens.

Welche personenbezogenen Daten bei der Bestellung des Newsletters an den für die Verarbeitung Verantwortlichen übermittelt werden, ergibt sich aus der hierzu verwendeten Eingabemaske.

Der Newsletter unseres Unternehmens kann von der betroffenen Person grundsätzlich nur dann empfangen werden, wenn (1) die betroffene Person über eine gültige E-Mail-Adresse verfügt und (2) die betroffene Person sich für den Newsletterversand registriert. An die von einer betroffenen Person erstmalig für den Newsletterversand eingetragene E-Mail-Adresse wird aus rechtlichen Gründen eine Bestätigungsmail im Double-Opt-In-Verfahren versendet. Diese Bestätigungsmail dient der Überprüfung, ob der Inhaber der E-Mail-Adresse als betroffene Person den Empfang des Newsletters autorisiert hat.

Sämtliche personenbezogenen Daten werden nach der Abmeldung gelöscht.

Der Versand der Newsletter erfolgt mittels Listmonk, einer Open-Source-Newslettersoftware, die wir auf eigenen Servern in Deutschland betreiben.

Die E-Mail-Adressen unserer Newsletterempfänger sowie deren weitere, im Rahmen dieser Hinweise beschriebenen Daten, werden ausschließlich auf unseren eigenen Servern in Deutschland gespeichert und verarbeitet. Es findet keine Übermittlung personenbezogener Daten in Drittländer statt. Die Daten werden nicht an Dritte weitergegeben. Weitere Informationen zu Listmonk finden Sie unter: https://listmonk.app/

Die Nutzung des Newsletters wird analytisch ausgewertet. Ziel dabei ist es, den Newsletterversand zu optimieren und den Inhalt künftiger Newsletter noch besser den Interessen der betroffenen Personen anzupassen. Hierfür enthält der Newsletter sogenannte Zählpixel. Ein Zählpixel ist eine Miniaturgrafik, die in solche E-Mails eingebettet wird, welche im HTML-Format versendet werden, um eine Logdatei-Aufzeichnung und eine Logdatei-Analyse zu ermöglichen. Diese gesammelten Daten werden nicht an Dritte weitergegeben. Betroffene Personen sind jederzeit berechtigt, die diesbezügliche gesonderte, über das Double-Opt-In-Verfahren abgegebene Einwilligungserklärung zu widerrufen – dies gilt auch für den in jedem Newsletter enthaltenen Abmeldelink im Footer. Nach einem Widerruf werden diese personenbezogenen Daten von dem für die Verarbeitung Verantwortlichen gelöscht. Eine Abmeldung vom Erhalt des Newsletters deutet QUALLEE automatisch als Widerruf.

4.4 Kontaktformular

Wenn Sie sich über unser Kontaktformular mit uns in Verbindung setzen, werden die von Ihnen mitgeteilten Daten (z.B. E-Mail-Adresse, Name, Vorname, Anrede) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Eine Zusammenführung mit anderen Daten über Sie findet nicht statt. Es erfolgt keine Weitergabe der Daten an Dritte und keine automatische Entscheidungsfindung.

4.5 Datenverarbeitung bei Formularanfragen und Downloads

Wenn Sie über eines unserer Formulare einen Download (z. B. Whitepaper, Studien) anfordern, verwenden wir die von Ihnen angegebenen personenbezogenen Daten (z. B. Name, E-Mail-Adresse, Unternehmen) ausschließlich, um Ihnen die angeforderten Inhalte bereitzustellen und bei Rückfragen zum jeweiligen Thema Kontakt mit Ihnen aufzunehmen. Sie können Ihre Einwilligung zur Kontaktaufnahme jederzeit widerrufen, indem Sie eine E-Mail an info@quallee.de senden. Nach Widerruf der Einwilligung werden wir Ihre personenbezogenen Daten nicht weiterverwenden und löschen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Die über das Formular erhobenen Daten werden ausschließlich intern verarbeitet und nicht an Dritte weitergegeben. Wir setzen angemessene technische und organisatorische Maßnahmen ein, um die Sicherheit Ihrer Daten zu gewährleisten. Ihre Daten werden nach Abschluss des Vorgangs, spätestens jedoch nach 24 Monaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder Sie Ihre Einwilligung zuvor widerrufen haben.

4.6 Transaktionale E-Mails (Resend)

Für den Versand transaktionaler E-Mails (z.B. Registrierungsbestätigung, Passwort-Zurücksetzung, System-Benachrichtigungen, Rechnungen) nutzen wir Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Übermittelt werden: E-Mail-Adresse der Empfänger:innen, Inhalt der Nachricht, Zustellungs-Metadaten (Zeitstempel, Status). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Zustellung).

Resend ist nicht unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss EU 2021/914 der EU-Kommission vom 04.06.2021), ergänzt um ein Transfer Impact Assessment.

Speicherdauer: Nachrichteninhalte werden bei Resend nach 30 Tagen gelöscht, Zustelllogs nach 90 Tagen.

Weitere Informationen: https://resend.com/legal/privacy-policy

4.7 Fehlerprotokollierung (Sentry)

Zur Erkennung, Analyse und Behebung technischer Fehler setzen wir Sentry ein. Anbieter: Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Datenverarbeitung erfolgt in der EU-Region (Frankfurt am Main, Deutschland).

Erfasst werden: Fehlermeldungen, Stack Traces, Browser-Typ und -Version, Betriebssystem, anonymisierte IP-Adresse (gekürzt), URL der fehlerhaften Seite, Zeitpunkt des Fehlers. Personenbezogene Daten innerhalb von Fehlermeldungen werden serverseitig technisch unterdrückt (Data Scrubbing).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Funktionsfähigkeit unserer Plattform). Sentry ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Speicherdauer: 90 Tage, danach automatische Löschung.

Weitere Informationen: https://sentry.io/privacy/

5. Erhebung, Speicherung und Verarbeitung Personenbezogener Daten

Personenbezogene Daten erheben wir im Rahmen von Datenvermeidung und Datensparsamkeit nur in dem Ausmaß und so lange, wie es zu dem Zweck notwendig ist, beziehungsweise vom Gesetzgeber vorgeschrieben wird. Rechtsgrundlage der Datenverarbeitung nach den vorstehenden Ziffern ist Art 6 Abs. 1 lit. a), b) und f) DSGVO. Wir nehmen den Schutz Ihrer persönlichen Daten ernst und halten uns bei Erhebung und Verarbeitung personenbezogener Daten streng an die entsprechenden gesetzlichen Vorschriften und an diese Datenschutzerklärung. Fällt der Zweck der Datenerhebung weg oder ist das Ende der gesetzlichen Speicherfrist erreicht, werden die erhobenen Daten gesperrt oder gelöscht. Regelmäßig kann unsere Webseite ohne die Weitergabe persönlicher Daten genutzt werden. Wenn wir personenbezogene Daten erheben – etwa Ihren Namen, Ihre Anschrift oder Ihre E-Mail-Adresse – erfolgt diese Datenerhebung freiwillig. Ohne eine ausdrücklich erteilte Zustimmung von Ihrer Seite werden diese Daten Dritten nicht zur Kenntnis gebracht.

6. Analyse mit Google Analytics

Wir nutzen auf unserer Webseite den Webanalysedienst Google Analytics von Google LLC, Mountain View, CA. Google ist unter dem EU-US Data Privacy Framework zertifiziert: www.dataprivacyframework.gov/list

Google setzt Cookies ein. Dabei handelt es sich um Textdateien, die durch Speicherung auf Ihrem PC eine Analyse zu Ihrem Nutzerverhalten in Bezug auf unsere Webseite erlauben. Die Cookies erzeugen Informationen, die an einen Google-Server übertragen werden. Diese Server befinden sich in der Regel in den USA, kürzen Ihre IP-Adresse vor Übermittlung in die Vereinigten Staaten. Nur in Ausnahmefällen wird die IP-Adresse erst nach Übermittlung in die USA gekürzt. Google wertet die übermittelten Informationen aus und erbringt in diesem Kontext weitere Dienstleistungen für uns Webseitenbetreiber. Dabei wird die ermittelte IP-Adresse nicht mit anderen Google-Services zusammengeführt.

Über eine Änderung Ihrer Browsereinstellungen können Sie die Speicherung von Cookies auf Ihrem Rechner unterbinden. Damit können allerdings Darstellungs- und Funktionseinschränkungen bei der Nutzung unserer Webseite verbunden sein. Ein Browser-Plugin verhindert darüber hinaus die Erfassung sowie Nutzung der durch die Cookies erzeugten Daten. Sie können es unter folgendem Link herunterladen: https://tools.google.com/dlpage/gaoptout?hl=de

Erfahren Sie mehr zu den Datenschutzbedingungen von Google und Google Analytics unter: http://www.google.com/analytics/terms/de.html oder unter https://www.google.de/intl/de/policies/

7. Zahlungsabwicklung mit Stripe

Für die Abwicklung von Zahlungen und Abonnements nutzen wir den Zahlungsdienstleister Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

Stripe ist unter dem EU-US Data Privacy Framework zertifiziert: www.dataprivacyframework.gov/list

Bei Zahlungsvorgängen werden die von Ihnen eingegebenen Zahlungsdaten (z.B. Kreditkartennummer, Ablaufdatum, CVC) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten - lediglich eine Referenz-ID zur Zuordnung der Zahlung.

Stripe verarbeitet diese Daten zur Durchführung der Zahlung, zur Betrugsprävention und zur Einhaltung gesetzlicher Verpflichtungen. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

Weitere Informationen zum Datenschutz bei Stripe finden Sie unter: https://stripe.com/privacy

8. Teilnahme an Meetings über Microsoft Teams

Wenn wir Online-Meetings vereinbaren, benutzen wir - sofern nicht anders individuell vereinbart - Microsoft Teams. Dabei handelt es sich um einen Dienst der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA.

Hierbei wird die Funktion Transkription verwendet, das bedeutet dass das gesprochene Wort in Textform aufgezeichnet wird und der betroffenen Person, also dem Sprechenden, zugeordnet werden kann.

Die Microsoft Corporation ist im Rahmen des Data Privacy Frameworks zertifiziert: www.dataprivacyframework.gov/list

Die Daten werden ohne schuldhaftes Zögern gelöscht. Dies bedeutet in der Regel drei Jahre nach Schluss des Kalenderjahres, in dem die Aufzeichnung stattgefunden hat (§195 BGB). In Einzelfällen kann die Aufbewahrungsfrist länger dauern, insbesondere im Fall von Straftaten oder unerlaubten Handlungen. Ein Löschungskonzept kann jederzeit auf erstes Anfordern bereitgestellt werden.

Eine automatisierte Entscheidungsfindung, inklusive Profiling, oder eine Übermittlung an internationale Organisationen findet nicht statt.

Informationen zur Datenschutzerklärung von Microsoft Teams finden Sie hier: https://privacy.microsoft.com/de-de/privacystatement

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit f) der DSGVO, also unser berechtigtes Interesse die Gesprächsführung bestmöglichst auszuwerten, sowie ggf. Art 6 Abs. 1 lit. b) der DSGVO, also die Auswertung zur Durchführung eines Vertragsverhältnisses mit Ihnen.

9. KI-gestützte Datenverarbeitung

QUALLEE nutzt KI-Technologien zur Durchführung und Analyse von Interviews. Dabei werden Daten an externe KI-Anbieter übermittelt:

9.1 Spracherkennung (Speech-to-Text)

Für die Transkription von Sprachaufnahmen nutzen wir die Whisper API von OpenAI, Inc., 3180 18th Street, San Francisco, CA 94110, USA. Audiodaten werden zur Umwandlung in Text an OpenAI übermittelt.

9.2 Interview-Analyse und Chat

Für die KI-gestützte Interviewführung und Analyse nutzen wir die Claude API von Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USA. Textinhalte aus Interviews werden zur Verarbeitung an Anthropic übermittelt.

9.3 Textanalyse und Embeddings

Für semantische Textanalysen und die Erstellung von Embeddings nutzen wir ebenfalls APIs von OpenAI. Dabei werden Textinhalte zur Vektorisierung übermittelt.

9.4 KI-gestützter Support

QUALLEE bietet registrierten Nutzer*innen einen KI-gestützten Support über das Support-Formular auf unserer Website an.

Dieser KI Support beantwortet als textbasiertes, automatisches Dialogsystem Fragen zu Produkten und Dienstleistungen, indem eine Künstliche Intelligenz über eine Integration von Schnittstellen auf verschiedene Datenquellen (Wissensdatenbank, FAQs) zurückgreift und daraus auf Basis von Nutzereingaben Antworten generiert.

Bei der Interaktion mit dem KI Support werden folgende Daten erhoben: technische Meta-Daten (Datum, Uhrzeit, Request-ID), die E-Mail-Adresse des registrierten Nutzers sowie der Inhalt der Support-Anfrage. Diese Daten werden benötigt, um die Anfragen zu bearbeiten und zu beantworten.

Zu Zwecken der Qualitätssicherung und zur möglichen Weiterbearbeitung des Anliegens werden die Chatverläufe gespeichert. Die Speicherung dient auch der Gewährleistung einer hinreichenden Transparenz. Die gespeicherten Chatverläufe werden genutzt, um den KI Support kontinuierlich zu verbessern und weiterzuentwickeln. Ein Training oder maschinelles Lernen der KI-Modelle durch die Anbieter ist damit nicht verbunden – diese Nutzung ist vertraglich in den DPAs ausgeschlossen.

Die Support-Anfragen werden automatisiert für 24 Monate gespeichert und danach gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der bestmöglichen Beantwortung von Support-Anfragen und an der Qualitätssicherung).

Datenschutzvereinbarungen

Beide Anbieter verarbeiten personenbezogene Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO auf unsere Weisung. Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge (Data Processing Addendums), die EU-Standardvertragsklauseln für den Datentransfer in die USA enthalten.

Beide Anbieter setzen branchenübliche Sicherheitsmaßnahmen ein (Verschlüsselung, Zugriffskontrolle, SOC 2 Zertifizierung).

Keine Nutzung für KI-Training

Wichtig: Ihre Daten werden von den KI-Anbietern NICHT für das Training ihrer Modelle verwendet. Dies ist vertraglich in den DPAs festgelegt. Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Dienstleistung.

Datenspeicherung

Die Rohdaten (Audiodateien, vollständige Transkripte) werden ausschließlich auf unseren Servern in Deutschland gespeichert. An die KI-APIs werden nur die für die jeweilige Verarbeitung notwendigen Daten übermittelt.

Rechtsgrundlage

Die Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung), die vor Beginn eines Interviews eingeholt wird.

Weitere Informationen

Datenschutzrichtlinie von OpenAI: https://openai.com/policies/privacy-policy

Datenschutzrichtlinie von Anthropic: https://www.anthropic.com/privacy

9.5 Logik, Tragweite und angestrebte Auswirkungen der KI-Verarbeitung

Gemäß Art. 13 Abs. 2 lit. f DSGVO informieren wir Sie über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen unserer KI-gestützten Verarbeitung:

Involvierte Logik

Das KI-Interview-System nutzt ein Large Language Model (aktuell Claude Sonnet 4.5 von Anthropic) im Rahmen eines vom Forschungsteam vordefinierten Interviewleitfadens. Das Modell formuliert situativ Folgefragen auf Basis der vorangegangenen Antworten. Die Auswertung gruppiert Antworten anhand semantischer Vektor-Embeddings (OpenAI text-embedding-3-small, 1536 Dimensionen) zu thematischen Clustern und extrahiert daraus strukturierte Themen, Zitate und Stimmungsanalysen. Es findet keine Bewertung oder Klassifizierung der Person hinter der Antwort statt – ausgewertet werden ausschließlich Antwortinhalte im Kontext des Forschungsthemas.

Tragweite

Die KI dient ausschließlich als unterstützendes Werkzeug zur Beschleunigung qualitativer Forschungsarbeit. Sie trifft keine rechtlich verbindlichen oder ähnlich erheblichen Entscheidungen über betroffene Personen im Sinne von Art. 22 Abs. 1 DSGVO. Es findet kein Profiling der Interview-Teilnehmenden statt. Eine Bewertung von Personen (z.B. Kreditwürdigkeit, Eignung für Stellen, Verhaltensvorhersage) erfolgt nicht.

Angestrebte Auswirkungen

Forschende treffen alle inhaltlichen, strategischen und personenbezogenen Entscheidungen ausschließlich selbst. KI-generierte Themen, Zitate und Empfehlungen werden vor jeder Verwendung manuell durch das Forschungsteam überprüft. Sie als Auftraggeber:in können KI-generierte Auswertungen jederzeit ablehnen, anpassen, neu generieren oder löschen. Eine rein automatisierte Einzelfallentscheidung im Sinne Art. 22 Abs. 1 DSGVO findet nicht statt.

9.6 Einordnung nach EU-KI-Verordnung

Wir haben das QUALLEE-System nach Maßgabe der Verordnung (EU) 2024/1689 (KI-VO) bewertet. Es handelt sich um ein KI-System mit begrenztem Risiko gemäß Art. 50 KI-VO: Nutzer:innen werden transparent darüber informiert, dass sie mit einem KI-System interagieren. Es liegt kein Hochrisiko-Anwendungsfall nach Anhang III KI-VO vor, da QUALLEE nicht für Bewertungen mit rechtlicher Wirkung über natürliche Personen (z.B. Kreditwürdigkeit, Bewerbungs-Scoring, Strafverfolgung, Bildung) eingesetzt wird. Die ab 02.08.2026 geltenden Pflichten für Hochrisiko-KI sind daher für QUALLEE nicht einschlägig.

10. Datenweitergabe bei Teilnehmerrekrutierung

Wenn Sie über QUALLEE eine Teilnehmerrekrutierung beauftragen, werden Ihre Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer) an unseren Rekrutierungspartner TestingTime AG, Zürich, Schweiz, übermittelt. Diese Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die Weitergabe für die Durchführung des Rekrutierungsauftrags erforderlich ist.

TestingTime benötigt Ihre Kontaktdaten, um Sie als Auftraggeber zu kontaktieren – insbesondere für Rückfragen zur Zielgruppendefinition, Terminkoordination und Statusmeldungen zum Rekrutierungsauftrag.

Die Schweiz wurde von der EU-Kommission mit Angemessenheitsbeschluss vom 26.07.2000 (überarbeitet 2024) als Land mit angemessenem Datenschutzniveau anerkannt (Art. 45 Abs. 1 DSGVO). Für die Übermittlung an TestingTime AG ist daher kein zusätzliches Schutzinstrument (z.B. Standardvertragsklauseln) erforderlich.

Speicherdauer: Ihre Kontaktdaten werden bei TestingTime gemäß deren Datenschutzerklärung gespeichert, in der Regel bis zum Abschluss des Rekrutierungsauftrags zzgl. gesetzlicher Aufbewahrungsfristen.

Die Datenverarbeitung durch TestingTime erfolgt auf Grundlage deren eigener Datenschutzrichtlinie. QUALLEE hat keinen Einfluss auf die weitere Verarbeitung Ihrer Daten durch TestingTime nach der Übermittlung. Weitere Informationen finden Sie in der Datenschutzerklärung von TestingTime unter: https://www.testingtime.com/datenschutz/

11. Betroffenenrechte

Sie haben das Recht:

• gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
• gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
• gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
• gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
• gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und
• gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.

12. Widerspruchsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.

Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an info(at)quallee.de.

13. Datenübermittlung in Drittländer

An folgenden Stellen werden personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt. Für jede Übermittlung stellen wir eine geeignete Rechtsgrundlage gemäß Kapitel V DSGVO sicher:

USA – Anbieter mit Zertifizierung unter dem EU-U.S. Data Privacy Framework (DPF)

Anthropic PBC, OpenAI Inc. (US-Komponenten), Stripe Inc., Google LLC, Microsoft Corporation, Functional Software, Inc. (Sentry). Rechtsgrundlage: Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 (EU-U.S. Data Privacy Framework, Art. 45 Abs. 3 DSGVO). Die Zertifizierung der Anbieter ist jederzeit überprüfbar unter: https://www.dataprivacyframework.gov/list

USA – Anbieter ohne DPF-Zertifizierung

Resend, Inc. Rechtsgrundlage: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss EU 2021/914 der EU-Kommission vom 04.06.2021). Ergänzend führen wir ein Transfer Impact Assessment (TIA) gemäß den Empfehlungen 01/2020 des Europäischen Datenschutzausschusses durch.

Schweiz

TestingTime AG, Zürich. Rechtsgrundlage: Angemessenheitsbeschluss der EU-Kommission für die Schweiz (Art. 45 Abs. 1 DSGVO).

Hinweis zu Restrisiken bei US-Übermittlungen

Trotz Angemessenheitsbeschluss bzw. Standardvertragsklauseln bestehen bei Übermittlungen in die USA potenzielle Zugriffsrisiken durch US-amerikanische Behörden (insb. nach FISA 702, Executive Order 12333). Diese Risiken haben wir im Rahmen unserer Transfer Impact Assessments gewürdigt und durch zusätzliche organisatorische und technische Maßnahmen reduziert: Datenminimierung vor Übermittlung, Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256-GCM), vertragliches Verbot der Nutzung für KI-Trainingszwecke. Sie können der Übermittlung in die USA jederzeit widersprechen; einzelne Funktionen unserer Plattform können dann ggf. nicht genutzt werden.