Autopilot
// Datenschutz

Datenschutzerklärung

Wir nehmen den Schutz deiner persönlichen Daten sehr ernst. Wir behandeln deine personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Noorder partners GmbH
Martin Zielinski
Neubertstraße 36
22087 Hamburg
E-Mail: hello@noorder.partners

2. Datenschutz-Kontakt

Die Benennung eines Datenschutzbeauftragten ist für uns gesetzlich nicht zwingend erforderlich (§ 38 BDSG). Für alle Anliegen rund um den Datenschutz — Auskunft, Löschung, Widerspruch — erreichst du uns direkt unter hello@noorder.partners.

3. Hosting und Server-Logfiles (Cloudflare Pages)

Diese Website wird gehostet bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Beim Aufruf der Website werden technisch notwendige Daten in Server-Logfiles erhoben und kurzzeitig gespeichert:

  • IP-Adresse des anfragenden Geräts (durch Cloudflare gekürzt bzw. anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • User-Agent (Browser- und Betriebssystem-Informationen)
  • Referrer-URL (sofern übermittelt)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der stabilen, sicheren und performanten Bereitstellung der Website sowie an der Abwehr von Angriffen). Cloudflare verarbeitet diese Daten als Auftragsverarbeiter; ein Auftragsverarbeitungs- vertrag (DPA) wurde abgeschlossen. Zum Drittlandtransfer siehe Abschnitt 13. Datenschutzhinweise von Cloudflare: cloudflare.com/privacypolicy.

4. Schriftarten und Cookies

Schriftarten werden lokal von unserem Server ausgeliefert; es besteht keine Verbindung zu Google Fonts oder anderen Schrift-CDNs.

Diese Website setzt keine Tracking- oder Marketing-Cookies und verwendet keine Analyse-Tools wie Google Analytics oder Meta Pixel. Technisch notwendige bzw. funktionale Verbindungen einzelner Seiten (Zahlungs-Element auf /pricing, Bot-Schutz auf /trial, optionaler Sprachassistent auf der Kontaktseite) sind in den jeweiligen Abschnitten 6, 8 und 9 beschrieben. Sollten zukünftig Analytics- oder Marketing-Tools eingebunden werden, wird diese Erklärung ergänzt und — soweit erforderlich — eine Consent-Lösung gemäß § 25 TDDDG / Art. 6 Abs. 1 lit. a DSGVO eingeführt.

5. Anfrageformular und Versand-Verarbeitung

Das Anfrageformular auf der Kontaktseite ist eine native HTML-Form. Die eingegebenen Daten (Name, Firma, E-Mail-Adresse, optional Telefonnummer, Nachricht, Mitarbeiteranzahl, Erfahrungsquelle) werden von einem eigens entwickelten Cloudflare-Workers-Skript entgegengenommen und unmittelbar als E-Mail an den Verantwortlichen weitergeleitet. Es gibt keinen externen Form-Builder-Dienstleister (kein Tally, Typeform, Google Forms o. Ä.).

Für den E-Mail-Versand wird der Dienstleister Resend eingesetzt (Resend, Inc., 2261 Market Street #4471, San Francisco, CA 94114, USA). Resend verarbeitet die für den Versand notwendigen Header- und Inhaltsdaten der E-Mail. Dieselbe Versand-Infrastruktur nutzen wir für transaktionale Benachrichtigungen aus dem Kunden-Portal (z. B. Trial- und Ticket-Bestätigungen).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente Anfragebearbeitung). Mit Resend besteht ein Auftragsverarbeitungsvertrag (DPA); zum Drittlandtransfer siehe Abschnitt 13. Datenschutzhinweise von Resend: resend.com/legal/privacy-policy.

Mit dem Absenden des Anfrageformulars legen wir dir automatisch einen Test-Zugang zu unserem Kunden-Portal (portal.autopilot.consulting) an; die dabei verarbeiteten Daten (Name, Firma, E-Mail, ggf. Telefon, dein Anliegen) werden in unserer Portal-Datenbank gespeichert. Zur Abwehr automatisierter Spam-Einträge setzen wir Cloudflare Turnstile ein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.

6. Bezahlung (Stripe)

Auf der Preisseite (/pricing) binden wir ein Zahlungs-Element („Pricing Table“) unseres Zahlungsdienstleisters Stripe ein. Hierzu wird ein Skript von js.stripe.com geladen; dabei erhält Stripe technische Verbindungsdaten (u. a. IP-Adresse). Für die eigentliche Zahlungsabwicklung wirst du an die Plattform der Stripe Payments Europe Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) weitergeleitet. Die für die Zahlung notwendigen Daten (Zahlungsmittel, Rechnungsanschrift, ggf. Umsatzsteuer-ID) werden ausschließlich von Stripe verarbeitet, nicht durch uns.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (sichere Bereitstellung der Bezahlfunktion). Zum Drittlandtransfer siehe Abschnitt 13. Datenschutzhinweise von Stripe: stripe.com/de/privacy.

7. Kunden-Portal (portal.autopilot.consulting)

Bestandskunden erhalten Zugang zu einem geschützten Kunden-Portal unter portal.autopilot.consulting. Dieses Portal wird auf einem dedizierten virtuellen Server bei Hostinger International Ltd. (61 Lordou Vironos Street, 6023 Larnaca, Zypern) betrieben, Standort des Servers ist Frankfurt am Main, Deutschland. Die Software-Komponenten (Astro, PocketBase, nginx) werden ausschließlich von uns selbst betrieben — es gibt keinen externen Software-as-a-Service-Anbieter für Login, Datenbank oder Datei-Ablage.

Beim Login wird ein technisch notwendiges Session-Cookie (pb_auth, HttpOnly, Secure, SameSite=Strict, Laufzeit 14 Tage) gesetzt. Es enthält ausschließlich ein verschlüsseltes Authentifizierungs-Token und keine personenbezogenen Inhalte. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Mit Hostinger besteht ein Auftragsverarbeitungsvertrag (DPA). Datenschutzhinweise von Hostinger: hostinger.com/privacy-policy.

8. Bot-Schutz beim Trial-Formular (Cloudflare Turnstile)

Auf der Trial-Anmeldeseite (/trial) setzen wir Cloudflare Turnstile ein — ein datenschutzfreundliches CAPTCHA-Verfahren von Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Turnstile prüft anhand technischer Signale (Browser-Verhalten, Reputation der IP), ob es sich um einen menschlichen Nutzer handelt, und schützt das Formular vor automatisierten Anmeldungen. Es werden dabei keine Tracking-Cookies gesetzt. Übermittelte Daten: IP-Adresse, User-Agent, Anfrage-Metadaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Spam und Missbrauch); zum Drittlandtransfer siehe Abschnitt 13.

9. Optionaler Sprachassistent (ElevenLabs)

Auf der Kontaktseite bieten wir einen optionalen Sprachassistenten an (Widget der ElevenLabs, Inc., USA; der technische Echtzeit-Audio-Transport läuft über LiveKit). Der Assistent dient ausschließlich dazu, allgemeine Fragen zu Autopilot über die Website zu beantworten. Er ist nicht in die Kommunikation oder Verarbeitung von Kunden- bzw. Mandantendaten eingebunden — über ihn werden keine Mandatsdaten erfasst oder bearbeitet.

Der Assistent wird erst aktiv, wenn du ihn selbst startest. Dabei werden deine Spracheingaben (Audiodaten) an ElevenLabs in den USA übermittelt und dort zur Sprachverarbeitung und Antwortgenerierung genutzt. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die du durch das aktive Starten erteilst und jederzeit durch Beenden des Assistenten mit Wirkung für die Zukunft widerrufen kannst. Zum Drittlandtransfer siehe Abschnitt 13. Datenschutz ElevenLabs: elevenlabs.io/privacy.

10. KI-Verarbeitung im Kundenauftrag

Im Rahmen der Leistungserbringung für Mandanten setzen wir KI-Modelle als (Unter-)Auftragsverarbeiter ein — u. a. Anthropic und optional OpenAI, alternativ EU-gehostete Modelle (z. B. Hetzner, Aleph Alpha) oder lokal betriebene Modelle. Diese verarbeiten ausschließlich die für die jeweilige Aufgabe übergebenen Daten, in Zero-Retention-Konfiguration (keine Speicherung über die Verarbeitung hinaus, kein Training mit deinen Daten).

Bei Berufsgeheimnisträgern (z. B. Steuerberater, Rechtsanwälte) gelten ergänzend die Pflichten nach § 203 StGB inkl. Pseudonymisierung vor Übergabe an externe Modelle (siehe AVV § 4.10). Die vollständige, jeweils aktuelle Liste der Unterauftragsverarbeiter findest du unter /unterauftragsverarbeiter. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. die Auftragsverarbeitung nach Art. 28 DSGVO auf Basis des mit dem Mandanten geschlossenen AVV.

11. Newsletter & Ressourcen-Plattform (Autopilot Ventures / Ghost)

Im Rahmen des Testzugangs und nach Vertragsabschluss legen wir ein Mitgliederkonto auf unserer Schwester-Plattform Autopilot Ventures (autopilot.ventures) an. Übermittelt werden dabei E-Mail-Adresse, Name und Firmenname. Autopilot Ventures wird mit der Software Ghost betrieben (gehostet bei Magic Pages B.V., Niederlande). Ghost speichert die Mitgliederdaten und versendet auf Wunsch den Newsletter mit redaktionellen Inhalten zu KI im Mittelstand.

Den Newsletter kannst du jederzeit im AC-Portal unter Profil & Newsletter aktivieren oder abbestellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO (fortlaufende fachliche Information unserer Kunden). Datenschutz Ghost: ghost.org/privacy; Magic Pages: magicpages.co/legal.

12. Kontaktaufnahme

Bei deiner Kontaktaufnahme mit uns per E-Mail oder über das Anfrageformular werden die von dir mitgeteilten Daten von uns gespeichert, um deine Fragen zu bearbeiten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

13. Übermittlung in Drittländer

Einige der eingesetzten Dienstleister verarbeiten Daten ganz oder teilweise außerhalb der EU/des EWR, insbesondere in den USA: Cloudflare (Abschnitte 3, 8), Resend (Abschnitt 5), Stripe in Teilen (Abschnitt 6), ElevenLabs (Abschnitt 9) sowie KI-Modelle wie Anthropic/OpenAI (Abschnitt 10).

Diese Drittlandtransfers sind durch geeignete Garantien nach Kapitel V DSGVO abgesichert — insbesondere die EU-Standardvertragsklauseln und, soweit zertifiziert, das EU-US Data Privacy Framework —, ergänzt um technische Maßnahmen (Verschlüsselung, Datenminimierung). Mit allen genannten Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung (Art. 28 DSGVO).

14. Keine automatisierte Entscheidungsfindung

Wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO. KI-erzeugte Ergebnisse werden vor ihrer Verwendung stets durch einen Menschen geprüft (Mensch-Final-Review).

15. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es verlangen. Server-Logfiles werden in der Regel nach maximal 30 Tagen gelöscht, sofern sie nicht zur Abwehr eines konkreten Angriffs benötigt werden. Anfragen über das Kontaktformular werden so lange aufbewahrt, wie dies für die Bearbeitung und eine sich ggf. anschließende Geschäftsbeziehung erforderlich ist; danach gelten die handels- und steuerrechtlichen Aufbewahrungsfristen (in der Regel 6 bzw. 10 Jahre).

16. Deine Rechte als betroffene Person

Nach der DSGVO stehen dir folgende Rechte zu:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen zu diesen Rechten richte bitte formlos per E-Mail an hello@noorder.partners. Wir beantworten sie unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

17. Datensicherheit

Diese Website wird ausschließlich über HTTPS (TLS) ausgeliefert, sodass die Übertragung deiner Daten zwischen Browser und Server verschlüsselt erfolgt.

Stand: Juni 2026