Datenschutzerklärung

I. Allgemeine Hinweise

1. Verantwortlicher

bimetrics GmbH
Kornstraße 1
77652 Offenburg
Deutschland
E-Mail: hey@bimetrics.de
Webseite: www.bimetrics.de

2. Rechtsgrundlagen der Verarbeitung

• Einwilligung – Art. 6 Abs. 1 lit. a DSGVO
• Vertrag / vorvertragliche Maßnahmen – Art. 6 Abs. 1 lit. b DSGVO
• Rechtliche Verpflichtung – Art. 6 Abs. 1 lit. c DSGVO
• Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO

3. Speicherdauer

Personenbezogene Daten löschen oder anonymisieren wir, sobald Zweck oder Rechtsgrundlage entfallen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Empfänger / Auftragsverarbeiter

Zugriff erhalten nur befugte interne Stellen. Externe Dienstleister (z. B. IT-Hosting, Banken, Steuerberater) verarbeiten Daten auf Basis eines AV-Vertrags nach Art. 28 DSGVO.

5. Datenverarbeitung in Drittländern

Primäres Hosting erfolgt in Deutschland und Österreich (EU). Drittlandübermittlungen erläutern wir in den spezifischen Abschnitten; sie erfolgen stets unter Nutzung von EU-Standardvertragsklauseln (SCC) und ggf. zusätzlichen Garantien.

6. Technische und organisatorische Maßnahmen

• ISO-27001-zertifizierte Rechenzentren (EU)
• TLS 1.3-Verschlüsselung in Transit
• At-Rest-Verschlüsselung (AES-256)
• Role-Based Access Control
• Pen-Tests und Vulnerability-Scans

II. Ergänzende Hinweise für den Besuch der Webseite

1. Bereitstellung der Webseite / Serverprotokolle

Bei jedem Aufruf unserer Webseite erheben wir automatisiert bestimmte technische Informationen vom Endgerät der Nutzer. Hierzu gehören insbesondere IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL sowie Zeitpunkt des Zugriffs. Diese Daten werden in sogenannten Logfiles gespeichert und dienen ausschließlich der Sicherstellung eines stabilen und sicheren Seitenbetriebs.

Rechtsgrundlage ist unser berechtigtes Interesse an der Funktionsfähigkeit und IT-Sicherheit der Webseite gemäß Art. 6 Abs. 1 lit. f DSGVO. Die Logfiles werden maximal 14 Tage gespeichert und anschließend automatisch gelöscht.

Hosting erfolgt über Vercel Inc. auf Servern innerhalb der EU. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO.

2. Eingebundene Drittanbieter (Google Fonts, ReCaptcha)

Für die Darstellung von Schriftarten sowie zur Absicherung vor automatisierten Zugriffen (Bots) nutzen wir Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Beim Laden von Google Fonts und ReCaptcha kann eine Verbindung zu Servern von Google, auch außerhalb der EU (z. B. USA), aufgebaut werden. Dabei wird u. a. Ihre IP-Adresse technisch erforderlich übertragen. Der Einsatz erfolgt auf Grundlage unseres berechtigten Interesses an einer einheitlichen Darstellung und der Funktionssicherheit der Website (Art. 6 Abs. 1 lit. f DSGVO).

Google ist nach eigenen Angaben an die Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO gebunden und bietet damit geeignete Garantien für ein dem EU-Recht entsprechendes Datenschutzniveau. Weitere Informationen finden Sie in derDatenschutzerklärung von Google.

3. Zwingend erforderliche Cookies

Unsere Webseite verwendet ausschließlich technisch notwendige Cookies. Diese dienen z. B. der Sitzungssteuerung oder der Speicherung Ihrer Einwilligungsentscheidung. Eine nutzerbezogene Auswertung oder Profilbildung erfolgt nicht.

Die Rechtsgrundlage für den Einsatz ist § 25 Abs. 2 Nr. 2 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.

4. Social-Media-Verlinkungen

Unsere Website enthält lediglich Verlinkungen zu externen Social-Media-Plattformen. Eine Datenübertragung an diese Anbieter findet erst statt, wenn Sie aktiv auf den entsprechenden Link klicken.

5. Einsatz von Brevo (Sendinblue)

Für den Versand von E-Mail-Kommunikation (z. B. Newsletter, Transaktionsmails) verwenden wir den Dienst Brevo (Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin). Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

Die Speicherung der Daten erfolgt ausschließlich auf Servern in Deutschland. Brevo ist DSGVO-konform und bietet ein angemessenes Datenschutzniveau. Weitere Informationen finden Sie in derDatenschutzerklärung von Brevo.

6. Einsatz von Simple Analytics

Zur Analyse der Nutzung unserer Webseite verwenden wir Simple Analytics, einen Dienst, der ohne Cookies auskommt und keine personenbezogenen Daten erhebt. Es werden lediglich anonymisierte Daten wie Seitenaufrufe, Referrer und Browserinformationen verarbeitet.

Simple Analytics ist DSGVO-, PECR- und CCPA-konform. Es erfolgt keine Erstellung von Nutzerprofilen. Die Datenverarbeitung findet auf Servern innerhalb der EU statt.

Weitere Informationen finden Sie in derDatenschutzerklärung von Simple Analytics.

III. Ergänzende Hinweise für registrierte Geschäftsnutzer (Web-App / API)

1. Registrierung & Nutzung

• Firma, Name der Kontaktperson, Geschäfts-E-Mail
• API-Key / Auth-Token, Audit-Logs
• Abrechnungsdaten (USt-ID, Bank)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag).

2. KI-gestützte Funktionen

Für bestimmte Funktionen setzen wir auf Sprachmodelle künstlicher Intelligenz. Standardmäßig nutzen wir EU-gehostete Systeme, wodurch ein Transfer personenbezogener Daten in Drittländer ausgeschlossen ist.

In technisch begründeten Ausnahmefällen erfolgt die Verarbeitung über aktuellste Modelle, die ausschließlich auf Servern in den USA betrieben werden. Dabei werden Eingaben so gestaltet, dass keine Rückschlüsse auf natürliche Personenmöglich sind. Es erfolgt keine Nutzung der Inhalte zum Training oder zur Optimierung der Systeme.

Die Verarbeitung stützt sich auf einen Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO sowie Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Weitere Informationen zum Datenschutz erhalten Sie in derDatenschutzrichtlinie von OpenAI.

3. Zahlungsabwicklung über Stripe

Für die technische Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin, Irland). Stripe fungiert in diesem Rahmen als eigenständig verantwortliche Stelle im Sinne der DSGVO.

Zahlungsdaten (z. B. Kartennummer, IBAN, Name des Kontoinhabers) werden direkt durch Stripe erhoben und verarbeitet – wir erhalten keinen Zugriff auf vollständige Zahlungsinformationen. Stripe verwendet moderne Verschlüsselungs- und Sicherheitsverfahren und ist als Finanzdienstleister zur Einhaltung regulatorischer Anforderungen verpflichtet.

Je nach Transaktion kann Stripe zur Vertragserfüllung Daten an verbundene Unternehmen oder Subdienstleister weitergeben. Dies umfasst auch Datenübermittlungen in Drittländer, insbesondere die USA. Die Übermittlung erfolgt auf Grundlage der Standardvertragsklauseln (SCC), welche ein angemessenes Datenschutzniveau sicherstellen.

In bestimmten Fällen kann zur Klärung technischer oder buchhalterischer Rückfragen ein Abgleich von Transaktionsdaten zwischen uns und Stripe erforderlich sein. Diese Datenverarbeitung erfolgt auf Basis unseres berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO.

Weitere Informationen zur Datenverarbeitung durch Stripe erhalten Sie in der Datenschutzerklärung von Stripe unter:stripe.com/at/privacy.

4. Datenverarbeitung in Drittländern

Primäres Hosting erfolgt in Deutschland und Österreich (EU). Drittlandübermittlungen erläutern wir in den spezifischen Abschnitten. Wenn eine Übermittlung in Staaten außerhalb des Europäischen Wirtschaftsraums (insbesondere in die USA) erforderlich ist, verwenden wir geeignete Garantien nach Art. 46 DSGVO:

• Standardvertragsklauseln (SCC): Von der EU-Kommission bereitgestellte Vertragsbedingungen, mit denen sich der Datenempfänger im Drittland verpflichtet, das europäische Datenschutzniveau einzuhalten. Diese stellen sicher, dass die Verarbeitung personenbezogener Daten auch außerhalb der EU datenschutzkonform erfolgt.
• Auftragsverarbeitungsvertrag (DPA): Ein nach Art. 28 DSGVO abgeschlossener Vertrag, der regelt, dass der Dienstleister (z. B. bei Cloud- oder KI-Diensten) personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Darin enthalten sind auch Regelungen zu Vertraulichkeit, Sicherheitsmaßnahmen und Subunternehmern.

Die Kombination aus SCC und DPA stellt sicher, dass Ihre Daten auch dann geschützt sind, wenn sie im Rahmen notwendiger technischer Prozesse ausnahmsweise in ein Drittland übermittelt werden müssen.

IV. Ergänzende Hinweise für die geschäftliche Kommunikation

1. E-Mail

Verarbeitung Ihrer Geschäfts-E-Mail und Inhaltsdaten zur Bearbeitung (Art. 6 Abs. 1 lit. f DSGVO) bzw. Anbahnung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO).

2. Videokonferenzen

Online-Meetings via Google Meet(AV-Vertrag, SCC). Metadaten werden nach Abschluss gelöscht, sofern keine andere Rechtsgrundlage besteht.

V. Ergänzende Hinweise für Vertragspartner

Verarbeitung von Kontakt-, Vertrags- und Abrechnungsdaten zur Geschäftsabwicklung (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Geltendmachung/Abwehr von Ansprüchen (Art. 6 Abs. 1 lit. f DSGVO). Aufbewahrung bis zu 10 Jahre gemäß § 147 AO.

VI. Ergänzende Hinweise für Bewerber

1. Verarbeitete Daten & Zweck

• Name, Kontaktdaten, Bewerbungsunterlagen
• Interview- und Qualifikationsdaten (falls bereitgestellt)

Zweck: Durchführung des Bewerbungsverfahrens (§ 26 BDSG / Art. 6 Abs. 1 lit. b DSGVO).

2. Speicherdauer

Keine Einstellung: Löschung nach 6 Monaten (AGG).
Einstellung: Übernahme in die Personalakte.