Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen dieser Website und der angebotenen Dienstleistungen ist:

David Proga
SimpleGrow
Stettiner Str. 41, 35410 Hungen
0174 662 9095
david.proga@simplegrow.io

2. Gegenstand dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert darüber, wie personenbezogene Daten bei der Nutzung des Angebots Solar.Grow verarbeitet werden. Solar.Grow ist ein Dienstleistungsangebot, das insbesondere Automatisierungen, Künstliche Intelligenz und Kommunikationssysteme für Solarunternehmen bereitstellt. Dabei können auch Daten von Endkunden der Solarunternehmen verarbeitet werden.

3. Art der verarbeiteten Daten

Im Rahmen der Nutzung von Solar.Grow können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse)

• Adressdaten

• Projektdaten (z. B. Informationen zum geplanten Bauvorhaben)

• Kommunikationsverläufe

• Terminbuchungsinformationen

• Bewertungs- und Feedbackdaten

Die konkrete Art der verarbeiteten Daten richtet sich dabei nach dem Funktionsumfang der vom Kunden aktivierten Automatisierungssysteme.

4. Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:

• Automatisierte Kundenkommunikation (z. B. Terminvereinbarung, Erinnerung, Nachfass-Nachrichten)

• Lead-Reaktivierung

• Kundenservice-Optimierung

• Analyse und Verbesserung von Kundenprozessen

• Anfragebearbeitung und Support

• KI Assistenz, z.B. in Form eines Chat-Bots

5. Rechtsgrundlage der Verarbeitung

Für eigene Verarbeitungen (z. B. über diese Website oder zur Kundenbetreuung) stützen wir uns auf folgende Rechtsgrundlagen gemäß Art. 6 DSGVO:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Für die Verarbeitung von Endkundendaten durch unsere Kunden gilt Folgendes:

Solar.Grow stellt lediglich die technischen Mittel bereit. Die rechtliche Verantwortung für die Einhaltung aller datenschutzrechtlichen Verpflichtungen gegenüber den Endkunden liegt ausschließlich beim jeweiligen Solarunternehmen, das Solar.Grow nutzt. Dies umfasst insbesondere die Informationspflichten nach Art. 13/14 DSGVO sowie das Vorliegen einer gültigen Rechtsgrundlage für jede Datenverarbeitung.

6. Auftragsverarbeitung

Sofern wir im Auftrag von Solarunternehmen personenbezogene Daten von deren Endkunden verarbeiten (z. B. im Rahmen automatisierter Kontaktprozesse), erfolgt dies auf Basis eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Solar.Grow wird die personenbezogenen Daten niemals eigenständig verwenden oder an Dritte weitergeben, es sei denn, eine gesetzliche Verpflichtung liegt vor oder der Kunde hat ausdrücklich zugestimmt.

7. Datenweitergabe

Personenbezogene Daten werden nur dann an Dritte übermittelt, wenn dies im Rahmen der Vertragsabwicklung notwendig ist oder eine gesetzliche Verpflichtung besteht. Eine Weitergabe zu Werbezwecken oder außerhalb der im Auftrag festgelegten Prozesse findet nicht statt.

8. Nutzung von GoHighLevel, Make.com, Google Sheets und n8n

8.1 GoHighLevel

GoHighLevel fungiert als Datenverarbeiter im Sinne der DSGVO. Es gelten u.a. folgende Datenschutzmaßnahmen:

• Mitglied im Data Privacy Framework

• Standardvertragsklauseln (SCCs) für Datenübertragungen in die USA

• Verschlüsselung im Ruhezustand (AES-256) und bei Übertragung (TLS 1.2+)

• Rollenbasierte Zugriffskontrollen

• Temporärer Zugriff nur nach Rücksprache bei Supportfällen

8.2 Make.com

Make.com (vormals Integromat) erfüllt alle Anforderungen der DSGVO:

• Server in der EU (ISO-zertifiziert)

• HTTPS-Verschlüsselung und AES-Schutz für Daten

• HSTS, CSRF-, XSS- und Passwortschutz

• Datenlöschung nach Verarbeitung zur Minimierung des Speicherbedarfs

• Verarbeitung ausschließlich in der EU

8.3 Google Sheets

Google Sheets ist Teil von Google Workspace und erfüllt alle DSGVO-Vorgaben:

• SSL-Verschlüsselung

• ISO 27001/27017/27018, SOC 2/3 zertifiziert

• Data Privacy Framework für transatlantische Datenübertragung

• Zugriff nur für autorisierte Personen

• Datenminimierung und regelmäßige Überprüfung

8.4 n8n (n8n.io)

Zur Automatisierung und Integration von Prozessen verwenden wir n8n, eine DSGVO-konforme Open-Source-Automatisierungsplattform.

• Serverstandort: Deutschland (Frankfurt am Main)

• Selbst gehostete Infrastruktur möglich: Für maximale Kontrolle der Datenverarbeitung

• Datenverschlüsselung: Alle übertragenen Daten werden per HTTPS geschützt, sensible Daten können zusätzlich verschlüsselt gespeichert werden

• Zugriffsbeschränkungen: Strikte Zugriffskontrollen über API-Keys und Rollenmanagement

• Transparente Verarbeitung: Workflows dokumentieren den Datenfluss im Detail

• Keine Weitergabe an Dritte: n8n verarbeitet Daten nur im Rahmen der definierten Workflows, eine Weitergabe an unberechtigte Dritte erfolgt nicht

8.5 Large Language Models

Solar.Grow nutzt Large Language Models (LLMs), wie beispielsweise ChatGPT, über eine Programmierschnittstelle (API). Dabei legt Solar.Grow besonderen Wert auf den Schutz der Daten. Im Folgenden wird erläutert, wie die Daten im Zusammenhang mit der API-Nutzung verarbeitet werden:

1. Datenverarbeitung über die API
   Bei der Nutzung von LLMs über eine API werden die Daten, die zur Bearbeitung der Anfrage erforderlich sind, an den Anbieter der API übermittelt. Diese Daten werden ausschließlich zur Generierung der gewünschten Antwort verarbeitet und nicht für andere Zwecke verwendet. Anbieter wie OpenAI versichern, dass über die API bereitgestellte Daten nicht zur Verbesserung ihrer Modelle genutzt werden, es sei denn, es wurde ausdrücklich zugestimmt.

2. Keine Speicherung personenbezogener Daten
   Im Rahmen der API-Nutzung werden keine personenbezogenen Daten dauerhaft gespeichert. Anbieter speichern Anfragen in der Regel maximal 30 Tage, um Missbrauch zu verhindern, oder bieten Optionen wie "Zero Data Retention" an, bei denen keine Daten gespeichert werden.

3. Datenübertragung und -speicherung
   Die Verarbeitung erfolgt auf Servern des API-Anbieters, die sich möglicherweise außerhalb der EU befinden (z. B. in den USA). Solar.Grow stellt sicher, dass diese Übermittlung gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfolgt, indem Standardvertragsklauseln (SCCs) oder andere geeignete Garantien genutzt werden.

4. Datensparsame Implementierung
   Solar.Grow achtet darauf, dass nur die minimal notwendigen Daten an die API übermittelt werden. Sensible oder personenbezogene Daten werden vor der Übermittlung anonymisiert oder pseudonymisiert, um ein Höchstmaß an Datenschutz zu gewährleisten.

Keine Nutzung des Web-Interfaces
Anders als bei der Nutzung des Web-Interfaces eines LLM-Anbieters speichert Solar.Grow keine Gesprächsverläufe oder andere Nutzungsdaten auf eigenen Servern. Alle Interaktionen erfolgen ausschließlich über die API und unterliegen den oben genannten Schutzmaßnahmen.

Mit diesen Maßnahmen stellt Solar.Grow sicher, dass die Daten bestmöglich geschützt sind und alle gesetzlichen Datenschutzanforderungen eingehalten werden.

9. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Automatisiert gespeicherte Kommunikationsdaten (z. B. WhatsApp-Dialoge oder Terminprotokolle) werden regelmäßig überprüft und nach Ablauf der relevanten Fristen gelöscht.

10. Rechte betroffener Personen

Betroffene Personen haben das Recht auf:

• Auskunft über die sie betreffenden gespeicherten Daten (Art. 15 DSGVO)

• Berichtigung unrichtiger Daten (Art. 16 DSGVO)

• Löschung (Art. 17 DSGVO)

• Einschränkung der Verarbeitung (Art. 18 DSGVO)

• Datenübertragbarkeit (Art. 20 DSGVO)

• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Anfragen können an die oben genannten Kontaktdaten gerichtet werden.

11. Verantwortung der Kunden

Solar.Grow übernimmt keinerlei Verantwortung für etwaige Datenschutzverstöße, die durch die unsachgemäße oder nicht DSGVO-konforme Nutzung durch das Solarunternehmen entstehen. Es liegt ausschließlich in der Verantwortung des Nutzers, seine Kunden rechtzeitig und transparent über die Verwendung von Solar.Grow zu informieren und sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt sind.

Jegliche Zuwiderhandlungen gegen datenschutzrechtliche Vorgaben stehen in keinem Zusammenhang mit Solar.Grow.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu ändern, z. B. um sie an neue rechtliche Anforderungen oder technische Entwicklungen anzupassen. Die jeweils aktuelle Version ist jederzeit auf unserer Website einsehbar.

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (im Folgenden „Vertrag“) wird zwischen SimpleGrow, Stettiner Str. 41, 35410 Hungen, david.proga@simplegrow.io (im Folgenden „Auftragsverarbeiter“ oder „wir“) und dem Kunden (im Folgenden „Auftraggeber“ oder „Kunde“) abgeschlossen, der die Dienste des Auftragsverarbeiters in Anspruch nimmt.

Gegenstand des Vertrages:
Der Auftragsverarbeiter erbringt Dienstleistungen, die die Verarbeitung personenbezogener Daten im Auftrag des Kunden betreffen. Die Verarbeitung erfolgt in Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und den im Vertrag festgelegten Bedingungen.

1. Gegenstand und Dauer der Datenverarbeitung

1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Kunden für die folgenden Zwecke:

• Bereitstellung von Software-Tools und Automatisierungen u.a. zur Leadgenerierung, -pflege und -aktivierung sowie Prozessoptimierung interner Arbeitsbaläufe im Bereich der Solarbranche.

• Bereitstellung von KI-gesteuerten Systemen für die Kommunikation und Terminvereinbarung mit Endkunden sowie sonstiger Automatisierungen

• Bereitstellung von KI-gesteuerten Systemen [ChatGPT, Claude, Perplexity] unter Einbindung externer Large Language Models (LLMs) über API-Schnittstellen, wobei die Verarbeitung gemäß Art. 28 DSGVO erfolgt und ein separater Auftragsverarbeitungsvertrag mit dem API-Anbieter (z. B. OpenAI) abgeschlossen wird.

1.2 Die Dauer der Datenverarbeitung richtet sich nach der Dauer des Vertrages zwischen dem Auftraggeber und dem Auftragsverarbeiter.

2. Art und Zweck der Verarbeitung

2.1 Art der Daten: Im Rahmen der vereinbarten Dienstleistungen können verschiedene Arten personenbezogener Daten verarbeitet werden, darunter:

• Kontaktinformationen (z. B. Name, E-Mail-Adresse, Telefonnummer)

• Kundendaten zu potenziellen und bestehenden Kunden des Auftraggebers

• Daten zur Nutzung der bereitgestellten Software-Dienste (z. B. Nutzerinteraktionen mit der Plattform).

2.2 Zweck der Verarbeitung: Die Verarbeitung erfolgt ausschließlich zu den nachfolgenden Zwecken:

• Erbringung der Dienstleistungen im Rahmen der Leadgenerierung und -aktivierung

• Verwaltung und Optimierung von Kundenbeziehungen im Solarbereich

• Bereitstellung von Analysen und Reports basierend auf den erhobenen Kundendaten

• Sicherstellung der Funktionsweise der eingesetzten Automatisierungsprozesse

3. Pflichten des Auftragsverarbeiters

3.1 Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet. In einem solchen Fall informiert der Auftragsverarbeiter den Kunden unverzüglich über die gesetzliche Verpflichtung.

3.2 Der Auftragsverarbeiter stellt sicher, dass alle Personen, die unter seiner Aufsicht mit den personenbezogenen Daten arbeiten, zur Vertraulichkeit verpflichtet sind und über die erforderlichen Kenntnisse im Bereich Datenschutz verfügen.

3.3 Der Auftragsverarbeiter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung, um die Einhaltung der vertraglichen und gesetzlichen Verpflichtungen sicherzustellen.

3.4 Der Auftragsverarbeiter wird keine personenbezogenen Daten für eigene Zwecke verwenden und keine Daten an Dritte weitergeben, es sei denn, dies wurde im Vertrag oder in einer separaten Vereinbarung ausdrücklich festgelegt.

3.5 Der Auftragsverarbeiter stellt sicher, dass bei der Nutzung externer LLM-APIs:
– Ein gültiger Auftragsverarbeitungsvertrag (AVV) mit dem API-Anbieter besteht
- Die Standardvertragsklauseln (SCCs) für Datenübermittlungen in Drittländer (z. B. USA) implementiert sind
- Transfer Impact Assessments (TIAs) für alle Datenübermittlungen an den API-Anbieter durchgeführt und dokumentiert werden

4. Pflichten des Auftraggebers

4.1 Der Auftraggeber verpflichtet sich, sicherzustellen, dass die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter rechtmäßig ist und im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie anderen anwendbaren Datenschutzvorschriften steht.

4.2 Der Auftraggeber ist dafür verantwortlich, dass die erforderlichen Zustimmungen oder vertraglichen Grundlagen für die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter vorliegen. Der Auftraggeber hat sicherzustellen, dass er die Datenschutzbestimmungen gegenüber seinen eigenen Kunden beachtet und entsprechende Einwilligungen zur Datenverarbeitung eingeholt hat.

5. Sicherheitsmaßnahmen

5.1 Der Auftragsverarbeiter hat angemessene technische und organisatorische Maßnahmen (TOMs) getroffen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten, insbesondere um unbefugte Zugriffe, Veränderungen oder Verlust der Daten zu verhindern.

5.2 Diese Sicherheitsmaßnahmen umfassen:

• Verschlüsselung von Daten sowohl bei der Übertragung als auch bei der Speicherung

• Sicherstellung einer strengen Zugriffskontrolle auf die verarbeiteten Daten

• Regelmäßige Überprüfungen und Tests der Sicherheitsinfrastruktur

• Anonymisierung/Pseudonymisierung aller an LLM-APIs übermittelten Daten, soweit technisch möglich

• Datenminimierung durch Beschränkung der übermittelten Daten auf das absolut notwendige Minimum

• End-to-End-Verschlüsselung bei der Kommunikation mit externen LLM-APIs

6. Unterauftragsverhältnisse

6.1 Der Auftragsverarbeiter darf Unterauftragnehmer (Sub-Auftragsverarbeiter) einsetzen. In diesem Fall stellt der Auftragsverarbeiter sicher, dass der Sub-Auftragsverarbeiter dieselben Datenschutzverpflichtungen einhält, die auch im vorliegenden Vertrag festgelegt sind.

6.2 Eine Liste der Sub-Auftragsverarbeiter wird dem Auftraggeber auf Anfrage zur Verfügung gestellt.

6.3 Bei der Nutzung von LLM-APIs wird der API-Anbieter (z. B. OpenAI) als Sub-Auftragsverarbeiter behandelt. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf Anfrage eine aktuelle Liste aller genutzten LLM-API-Anbieter sowie deren datenschutzrechtliche Compliance-Nachweise (AVV, SCCs, TIA) vorzulegen

7. Rechte der betroffenen Personen

7.1 Der Auftragsverarbeiter unterstützt den Auftraggeber dabei, die Rechte der betroffenen Personen gemäß den Bestimmungen der DSGVO zu wahren, insbesondere die Rechte auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung.

7.2 Der Auftraggeber ist dafür verantwortlich, alle Anfragen von betroffenen Personen zu prüfen und gegebenenfalls zu beantworten. Der Auftragsverarbeiter wird den Auftraggeber unterstützen, indem er ihm die erforderlichen Informationen zur Verfügung stellt, um Anfragen zu bearbeiten.

8. Datenübermittlung in Drittländer

8.1 Sofern die personenbezogenen Daten in ein Drittland (außerhalb der EU oder des EWR) übermittelt werden, stellt der Auftragsverarbeiter sicher, dass dies gemäß den Vorschriften der DSGVO erfolgt und geeignete Sicherheitsvorkehrungen getroffen werden, z. B. durch den Abschluss von Standardvertragsklauseln oder die Verwendung von Datenschutzschildzertifikaten.
Bei der Nutzung von LLM-APIs mit Servern in Drittländern (z. B. USA) werden zusätzlich zu den SCCs folgende Maßnahmen ergriffen:
– Technische Garantien wie Tokenisierung oder lokale Pre-Processing-Schritte zur Reduktion personenbezogener Daten
– Regelmäßige Audits der API-Anbieter hinsichtlich ihrer Datenschutzpraxis

9. Beendigung des Vertrages und Rückgabe/Löschung der Daten

9.1 Nach Beendigung des Vertragsverhältnisses zwischen dem Auftraggeber und dem Auftragsverarbeiter verpflichtet sich der Auftragsverarbeiter, alle personenbezogenen Daten zu löschen oder an den Auftraggeber zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

9.2 Der Auftragsverarbeiter bestätigt dem Auftraggeber, dass nach der Rückgabe oder Löschung der Daten keine Kopien oder Aufzeichnungen mehr existieren, die personenbezogene Daten enthalten.

10. Haftung

10.1 Der Auftragsverarbeiter haftet nur für Schäden, die durch vorsätzliches oder grob fahrlässiges Verhalten bei der Verarbeitung personenbezogener Daten entstehen.

10.2 Der Auftraggeber haftet für alle rechtlichen Konsequenzen, die sich aus der unrechtmäßigen Verarbeitung personenbezogener Daten ergeben, die durch den Auftraggeber oder seine Mitarbeiter oder Dritte verursacht werden.

11. Gerichtsstand und anwendbares Recht

11.1 Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.

11.2 Für alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, ist das zuständige Gericht in Köln (Deutschland) zuständig.

12. Schlussbestimmungen

12.1 Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.

12.2 Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein, bleibt die Wirksamkeit des übrigen Vertrages unberührt. In einem solchen Fall wird die unwirksame Bestimmung durch eine wirksame Bestimmung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

12.3 Dieser AVV gilt ergänzend zu etwaigen Auftragsverarbeitungsverträgen mit externen LLM-API-Anbietern. Bei Widersprüchen zwischen den Verträgen haben die spezifischen Regelungen des Dritt-AVVs mit dem API-Anbieter Vorrang, soweit sie den DSGVO-Anforderungen entsprechen

Stand: 14.04.2025