Rechtliches
Datenschutzerklärung
Stand: Mai 2026 · Version 2.0 (GründerX-spezifisch)
1. Überblick & Verantwortlicher
Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten beim Besuch der Website gründerx.de und bei der Nutzung der dort angebotenen GründerX-Plattform verarbeitet werden. Wir behandeln deine Daten DSGVO-konform und so sparsam wie möglich.
Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO:
Sonni Buttke
Pinguinweg 18, 22527 Hamburg
E-Mail: datenschutz@gründerx.de
Telefon: +49 175 4220573
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Bei Fragen zum Datenschutz wende dich direkt an die o. g. Adresse.
2. Was ist GründerX – und welche Daten verarbeiten wir dafür?
GründerX ist eine SaaS-Plattform für deutsche Gründer:innen mit u. a. folgenden Funktionen:
- Playbooks – Schritt-für-Schritt-Guides für GmbH, UG, Holding, Einzelunternehmen, Kleinunternehmer-Regelung, US-LLC etc.
- Felix-Chat – KI-Co-Founder (Google Gemini via Lovable AI Gateway) für Fragen zu Gründung, Steuern, Compliance.
- Steuer-Cockpit – Frist-Kalender, IAB-Rechner, Quartals-Schätzung.
- Rechtsform-Wizard – Empfehlung zu Einzel/UG/GmbH/PartG.
- Anbieter-Vergleich – 90+ Anbieter (Banking, Versand, Buchhaltung, Versicherungen etc.) mit Stärken/Schwächen.
- Notar-Finder & Notar-Vorbereitung – PLZ-basierte Suche (OpenStreetMap) plus Datenerfassung für deinen Notartermin.
- Firmenname-Check – Live-Verfügbarkeit über NorthData + GLEIF.
3. Datenkategorien & Zwecke im Detail
3.1 Konto- und Stammdaten
Daten: E-Mail-Adresse, Passwort-Hash (bcrypt/argon2 via Supabase Auth), optional Vor-/Nachname, Profilbild, Telefonnummer, Rechnungsadresse.
Zweck: Konto-Anlage, Login, Bestandsverwaltung, Rechnungsstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Konto-Löschung. Rechnungs- und Buchhaltungs-relevante Daten 10 Jahre nach § 147 AO.
3.2 Playbook-Fortschritt & Notar-Vorbereitung (besonders sensibel)
Daten: Eingaben in den Playbooks – inklusive personenbezogener Daten von Gesellschafter:innen und Geschäftsführer:innen wie Vor- und Nachname, Geburtsdatum, Geburtsort, Wohnanschrift, Beruf, Familienstand, Stammkapital-Anteil, Sacheinlage-Beschreibung. Dazu Firmen-Stammdaten (Sitz, Geschäftsadresse, Unternehmensgegenstand) und freie Notiz-Felder.
Zweck: Strukturierte Vorbereitung deines Notartermins, Wiederaufnahme des Fortschritts bei späterem Login, Generierung von Brief-/Anschreiben-Vorlagen für den Notar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Daten Dritter im Notar-Modul: Soweit du Daten von Mit-Gesellschafter:innen, Geschäftsführer:innen oder Familienangehörigen eingibst, bist du der/die Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO für diese Erfassung; wir handeln insoweit als technischer Auftragsverarbeiter (Art. 28 DSGVO). Du sicherst zu, die betroffenen Personen nach Art. 13/14 DSGVO über Zweck (Notar-Vorbereitung), Speicherort (Supabase EU), Speicherdauer (bis Konto-Löschung) und ihre Betroffenenrechte zu informieren. Eine Mustervorlage „Information für Mitgesellschafter:innen" stellen wir dir im Notar-Modul als Download bereit. Auf Anforderung der/des Dritten löschen wir die Daten unverzüglich.
Speicherort: Supabase-Datenbank in der EU (Frankfurt am Main).
Speicherdauer: Bis zur Konto-Löschung oder bis du den Eintrag manuell löschst. Du kannst jederzeit unter „Meine Guides" Daten löschen oder den gesamten Run zurücksetzen.
Hinweis: Die Plattform ersetzt keinen Notar oder Steuerberater. Übermittlung der Daten an einen Notar erfolgt ausschließlich durch dich selbst (z. B. Copy/Paste oder Download als .txt) – wir senden Notar-Daten nicht automatisch an Dritte.
3.3 Felix-Chat (KI-Beratung)
Daten: Chat-Verlauf (deine Nachrichten + Felix-Antworten), Zeitstempel, Konversations-ID.
Verarbeitung: Deine Nachrichten werden zur Beantwortung an einen KI-Sprachmodell-Anbieter übermittelt. Primär nutzen wir Google Gemini (über das Lovable AI Gateway); bei dessen Nichtverfügbarkeit greifen wir automatisch als Fallback auf Anthropic (Claude) bzw. OpenAI (GPT) zurück, damit der Chat funktionsfähig bleibt. Die Antwort wird zurück an deine Session gesendet und im Chat-Verlauf gespeichert.
Drittlandtransfer USA – Rechtsgrundlage: Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission v. 10.07.2023, C(2023) 4745). Insoweit liegt ein angemessenes Schutzniveau nach Art. 45 DSGVO vor und es bedarf keiner zusätzlichen Garantien. Soweit Lovable.dev / das Lovable AI Gateway nicht selbst DPF-zertifiziert ist, sichern wir die Übermittlung über die EU-Standardvertragsklauseln (Modul 2 / Modul 3, Durchführungsbeschluss (EU) 2021/914) und ein dokumentiertes Transfer Impact Assessment (TIA) ab. Auf Anfrage übermitteln wir dir die TIA-Zusammenfassung (datenschutz@gründerx.de).
Fallback-Anbieter (Anthropic, OpenAI): Ist Gemini nicht verfügbar, verarbeiten ersatzweise Anthropic PBC (Claude) oder OpenAI, L.L.C. (GPT) deine Chat-Nachricht. Beide sitzen in den USA; die Übermittlung sichern wir über die EU-Standardvertragsklauseln (Art. 46 DSGVO) ab. Es werden ausschließlich der Nachrichteninhalt und der nötige Kontext übermittelt, keine Konto-Stammdaten.
Nutze Felix nicht für sensible personenbezogene Daten Dritter ohne ausdrückliche Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. Art. 45 DSGVO (DPF) bzw. Art. 46 DSGVO (SCC).
Speicherdauer: Bis zur manuellen Löschung durch dich oder Konto-Löschung. Du kannst Konversationen jederzeit unter „Felix-Chat-Verlauf" löschen.
3.4 Notar-Suche, Firmenname-Check, Anbieter-Daten
Bei diesen Funktionen werden keine personenbezogenen Daten an externe Anbieter übermittelt – nur die Sachanfrage (PLZ, Firmenname). Konkret:
- Notar-Finder: Deine PLZ-Eingabe → OpenStreetMap (Nominatim + Overpass), keine Authentifizierung, keine Cookies.
- Firmenname-Check: Der gesuchte Firmenname → NorthData + GLEIF. Kein Bezug zu deinem Konto wird übermittelt.
- Anbieter-Vergleich: Die angezeigten Daten (Preise, Bewertungen) sind statisch in der App gespeichert und werden über automatisierte Audit-Routinen monatlich aktualisiert. Beim Klick auf einen Anbieter-Link verlässt du unsere Seite.
3.5 Zahlungs-Daten
Zahlungen werden über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland) abgewickelt. Stripe ist Auftragsverarbeiter und EU-DSGVO-konform.
Daten: Du gibst deine Zahlungsdaten direkt bei Stripe ein – wir sehen sie nicht. Wir erhalten von Stripe nur Customer-ID, Subscription-Status, Rechnungsdokumente.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Stripe-Datenschutz: stripe.com/de/privacy
3.6 Page-View-Tracking (intern)
Wir loggen anonymisierte Seitenaufrufe (Pfad, Zeitstempel, gehashte User-ID), um die meistgenutzten Funktionen zu erkennen und das Produkt zu verbessern. Keine IP-Adresse, kein Cross-Site-Tracking, keine externen Analytics-Anbieter wie Google Analytics oder Meta Pixel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Produktverbesserung).
Speicherdauer: 90 Tage.
3.7 Server-Log-Dateien
Bei jedem Aufruf erfasst der Hosting-Server automatisch:
- Browsertyp und -version
- Betriebssystem
- Referrer-URL
- Hostname / Anonymisierte IP (gekürzt um letztes Oktett)
- Zugriffszeit
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchs-Erkennung).
Speicherdauer: 7 Tage, danach Löschung.
3.8 Kontakt / Support / E-Mail
Wenn du uns per E-Mail oder Kontaktformular schreibst, speichern wir deine Anfrage zur Bearbeitung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. Speicherdauer: 3 Jahre nach Abschluss der Anfrage.
4. Auftragsverarbeiter, eigenverantwortliche Dritte & Datenflüsse
Im Folgenden listen wir alle Empfänger nach ihrer datenschutzrechtlichen Rolle (Auftragsverarbeiter nach Art. 28 DSGVO oder eigenverantwortlicher Dritter nach Art. 4 Nr. 7 DSGVO):
| Anbieter | Rolle | Zweck | Standort | Schutzgarantie |
|---|---|---|---|---|
| Supabase Inc. | Auftragsverarbeiter (Art. 28) | Datenbank, Auth, Edge Functions | EU (Frankfurt) | AVV + SCC für ggf. US-Support-Zugriff |
| Lovable.dev | Auftragsverarbeiter (Art. 28) | App-Hosting, CDN | EU/US | AVV + SCC + ggf. DPF |
| Lovable AI Gateway | Auftragsverarbeiter (Art. 28) | Routing-Schicht für Felix-Chat | EU/US | AVV + SCC |
| Google LLC (Gemini) | Unter-Auftragsverarbeiter | KI-Modell für Felix-Chat (primär) | USA | DPF-zertifiziert (Art. 45 DSGVO) |
| Anthropic PBC (Claude) | Unter-Auftragsverarbeiter | KI-Modell für Felix-Chat (Fallback) | USA | SCC (Art. 46 DSGVO) |
| OpenAI, L.L.C. (GPT) | Unter-Auftragsverarbeiter | KI-Modell für Felix-Chat (Fallback) | USA | SCC (Art. 46 DSGVO) |
| Stripe Payments Europe Ltd. | Eigenverantwortlich (Art. 4 Nr. 7) | Zahlungs-Abwicklung, Rechnungen | EU (Dublin) | Übermittlung nach Art. 6 Abs. 1 lit. b |
| OpenStreetMap Foundation | Eigenverantwortlich | Notar-Suche (Nominatim, Overpass) | UK | Keine personenbezogenen Daten – nur PLZ |
| NorthData GmbH | Eigenverantwortlich | Firmenname-Verfügbarkeitsprüfung | EU (München) | Nur Firmenname |
| GLEIF | Eigenverantwortlich | LEI-Verifikation (Firmen) | Schweiz | Nur Firmenname |
AVV-Kopien stellen wir dir auf Anfrage zur Verfügung. Stripe handelt nach eigener Privacy-Policy eigenverantwortlich und ist insoweit kein Auftragsverarbeiter; siehe stripe.com/de/privacy.
5. Drittlandtransfer (USA / Nicht-EU)
Bei der Nutzung von Felix-Chat (Google Gemini-Backend) findet eine Übermittlung in die USA statt. Wir stellen den Schutz über die EU-Standardvertragsklauseln (SCC) sicher und nutzen Anbieter, die unter dem EU-US Data Privacy Framework zertifiziert sind. Du kannst den Felix-Chat jederzeit nicht nutzen – die anderen Funktionen der Plattform funktionieren ohne KI-Drittland-Transfer.
6. Cookies & lokaler Speicher
Wir verwenden ausschließlich technisch unbedingt erforderliche Cookies i. S. d. § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG). Diese sind erforderlich, damit der von dir aktiv angeforderte Dienst (Login, Zahlungs-Session, Theme-Auswahl) funktioniert:
- sb-access-token / sb-refresh-token (Supabase Auth) – Login-Session, Lifetime: Session bzw. 7 Tage
- theme-preference (LocalStorage) – Hell/Dunkel-Modus
- gx-profile-{userId} (LocalStorage) – Profil-Cache zur Vermeidung erneuter DB-Roundtrips
- stripe-session – nur während aktiver Zahlung gesetzt
Eine Einwilligung nach § 25 Abs. 1 TDDDG ist daher nicht erforderlich – ein Cookie-Banner wäre rechtlich überflüssig. Sobald wir Marketing-, Analyse- oder Drittanbieter-Cookies einsetzen sollten, holen wir vorab deine Einwilligung über ein TDDDG-konformes Consent-Layer ein.
7. Keine automatisierte Entscheidungsfindung mit Rechtswirkung
Felix-Chat, Rechtsform-Wizard und Steuer-Cockpit liefern menschlich überprüfbare Vorschläge, keine rechtlich verbindlichen Entscheidungen. Der Output enthält stets den Hinweis, dass eine zugelassene steuer- oder rechtsberatende Person die finale Entscheidung treffen sollte. Eine ausschließlich automatisierte Entscheidung i. S. d. Art. 22 Abs. 1 DSGVO – mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung – findet nicht statt:
- (a) Du kannst jeden Vorschlag jederzeit ignorieren oder anpassen.
- (b) Wir treffen keine Vertrags-, Preis- oder Zugangs-Entscheidungen über dich auf Basis von KI-Profilen.
- (c) Profilbildung i. S. d. Art. 4 Nr. 4 DSGVO findet nicht statt.
Soweit du eine Empfehlung umsetzt, beruht dies auf deiner eigenen freien Entscheidung. Diese Linie folgt den Leitlinien WP251rev.01 sowie der Rechtsprechung des EuGH (C-634/21, „SCHUFA").
8. Deine Rechte als Betroffene:r
- Auskunft (Art. 15 DSGVO) – welche Daten haben wir von dir?
- Berichtigung (Art. 16) – falsche Daten korrigieren lassen.
- Löschung (Art. 17) – „Recht auf Vergessenwerden". Du kannst dein Konto und alle Daten jederzeit selbst löschen unter Profil → Sicherheit → „Konto endgültig löschen" (außer gesetzlich aufzubewahrende Rechnungs-Daten). Alternativ formlos per E-Mail.
- Einschränkung (Art. 18) – Verarbeitung pausieren.
- Datenübertragbarkeit (Art. 20) – Export deiner Daten in maschinenlesbarem Format (JSON).
- Widerspruch (Art. 21) – gegen Verarbeitung nach lit. f.
- Widerruf einmal erteilter Einwilligungen mit Wirkung für die Zukunft.
- Beschwerde bei Aufsichtsbehörde (Art. 77) – z. B. Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit.
Anfragen formlos an: datenschutz@gründerx.de
9. Sicherheit der Datenverarbeitung
- HTTPS/TLS 1.3 für alle Verbindungen
- Passwörter werden niemals im Klartext gespeichert (Supabase Auth, bcrypt/argon2)
- Row-Level-Security (RLS) auf Datenbank-Ebene – jede:r User:in sieht nur eigene Daten
- Tägliche Backups, geografisch getrennte Speicherung
- Edge Functions laufen in isolierten Containern
- 2FA-Optionen für Mitarbeiter-Accounts (intern)
10. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung gelegentlich an, wenn sich Funktionen oder Auftragsverarbeiter ändern. Die jeweils aktuelle Version findest du auf dieser Seite. Bei wesentlichen Änderungen informieren wir dich zusätzlich per E-Mail.
Stand: Mai 2026 · Version 2.0