Datenschutzerklärung

Stand: 24. Mai 2026

Für die Verarbeitung personenbezogener Daten im Auftrag unserer B2B-Kunden gilt zusätzlich unser Auftragsverarbeitungsvertrag (AVV).

Wir freuen uns über Ihr Interesse an Quott AI. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie ausführlich über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung unserer Website quott.ai sowie unseres SaaS-Dienstes Quott AI. Die Verarbeitung erfolgt im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Copany GmbH
Im Rapsfeld 57
50933 Köln
Deutschland

Geschäftsführer: Burak Dönmezer
Handelsregister: Amtsgericht Köln, HRB 120757
USt-ID: DE370502956
E-Mail: support@quott.ai

Quott AI ist ein Produkt der Copany GmbH.

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begriffe der DSGVO. Zum besseren Verständnis erläutern wir die wichtigsten Begriffe:

  • Personenbezogene Datensind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).
  • Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Ändern, Übermitteln oder Löschen.
  • Verantwortlicher ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.
  • Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren Daten verarbeitet werden.

3. Allgemeine Hinweise zur Datenverarbeitung

3.1 Umfang der Verarbeitung

Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Eine darüber hinausgehende Verarbeitung erfolgt nur nach Einwilligung oder bei Vorliegen einer gesetzlichen Erlaubnis.

3.2 Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO– Einwilligung (z. B. Cookies für Analyse, Newsletter, Crawling-Einwilligung im Onboarding).
  • Art. 6 Abs. 1 lit. b DSGVO– Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (z. B. Account-Anlage, Profil-Erstellung, Analysen).
  • Art. 6 Abs. 1 lit. c DSGVO– Erfüllung rechtlicher Pflichten (z. B. Aufbewahrungspflichten gemäß § 147 AO und § 14b UStG).
  • Art. 6 Abs. 1 lit. f DSGVO– Berechtigte Interessen (z. B. IT-Sicherheit, Logfiles, Produktverbesserung, Missbrauchsabwehr).

3.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber vorgesehen wurde – insbesondere bei steuer- und handelsrechtlichen Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre).

3.4 Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Die Übertragung erfolgt ausschließlich über TLS 1.3-verschlüsselte Verbindungen (HTTPS). Passwörter werden ausschließlich in gehashter Form (bcrypt/Argon2 über Supabase Auth) gespeichert. Datenbanken sind Zugriffs- und Berechtigungs-kontrolliert (Row Level Security).

4. Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

  • IP-Adresse des anfragenden Rechners (gekürzt/anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL (zuvor besuchte Seite)
  • Verwendeter Browser und Betriebssystem

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung des Betriebs, der IT-Sicherheit und der Abwehr von Missbrauchsversuchen. Logfiles werden nach 14 Tagen automatisch gelöscht, sofern keine Sicherheitsvorfälle eine längere Speicherung erfordern.

5. Cookies

Wir setzen auf unserer Website Cookies und vergleichbare Technologien ein. Cookies sind kleine Textdateien, die im Browser gespeichert werden.

5.1 Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies, die für den Betrieb der Website unverzichtbar sind. Hierzu zählen insbesondere:

  • Session-Cookies für die Authentifizierung (Supabase Auth)
  • Speicherung Ihrer Cookie-Consent-Entscheidung (im lokalen Speicher / LocalStorage Ihres Browsers, kein Cookie)
  • Cloudflare Turnstile zum Schutz der Anmelde- und Registrierungsformulare vor Missbrauch (setzt keine Cookies)

Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TTDSG sowie Art. 6 Abs. 1 lit. f DSGVO. Diese Cookies können nicht deaktiviert werden, ohne dass Funktionen der Website nicht mehr nutzbar sind.

5.2 Optionale Analyse-Cookies (Google Analytics)

Auf unserer öffentlichen Website (quott.ai) setzen wir Google Analytics 4 ein, um zu verstehen, wie unsere Website genutzt wird (z. B. Herkunft der Besucher, aufgerufene Seiten). Anbieter ist Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics setzt dabei Cookies (u. a. _ga), die eine Wiedererkennung Ihres Browsers ermöglichen. Die IP-Anonymisierung ist aktiviert.

Der Einsatz erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO. Ohne Ihre Zustimmung wird Google Analytics nicht geladen und es werden keine Analyse-Cookies gesetzt. Innerhalb unserer eingeloggten Anwendung (app.quott.ai) findet kein Google-Analytics-Tracking statt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft unter Cookie-Einstellungen widerrufen. Es kann zu einer Übermittlung von Daten an Google in die USA kommen (abgesichert über EU-Standardvertragsklauseln; Google ist zudem nach dem EU-US Data Privacy Framework zertifiziert).

6. Registrierung und Nutzerkonto

Zur Nutzung unseres Dienstes ist die Anlage eines Nutzerkontos erforderlich. Wir erheben dabei folgende Daten:

  • E-Mail-Adresse
  • Passwort (ausschließlich gehasht gespeichert über Supabase Auth)
  • Optional: Name, Sprache, Notification-Einstellungen

Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Vertragserfüllung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung des Accounts durch den Nutzer. Die Löschung kann jederzeit in den Account-Einstellungen oder per E-Mail an support@quott.ai veranlasst werden.

6.1 7-Tage-Pro-Trial

Bei der Registrierung erhalten Sie automatisch einen 7-tägigen Pro-Trial-Zugang. Während dieser Zeit verarbeiten wir Ihre Daten identisch zu zahlenden Nutzern (siehe folgende Abschnitte). Wir aktivieren keine Stripe-Zahlung im Trial; eine Kreditkarte ist nicht erforderlich.

Zum Schutz vor Missbrauch (mehrfache Trial-Nutzung derselben Domain) protokollieren wir bei Trial-Aktivierung folgende Daten in einer separaten Tabelle:

  • Normalisierte Website-Domain (z. B. „freshkind.de“, ohne www.)
  • SHA-256-Hash der IP-Adresse (nicht reversibel, Pseudonymisierung im Sinne der DSGVO)
  • Stripe-Customer-ID (falls bereits vorhanden)

Trial-Ablauf ohne Kauf: Bei Nicht-Conversion wird Ihr Profil aus dem öffentlichen Verzeichnis entfernt und der Embed-Code pausiert. Ihre Daten (Score, Reports, Tipps, Konversations-Historie etc.) bleiben gespeichert und sind bei späterer Plan-Aktivierung wieder verfügbar. Sie können jederzeit die vollständige Löschung Ihres Accounts verlangen (siehe Abschnitt „Ihre Rechte“).

Reaktivierungs-Erinnerungen versenden wir an die hinterlegte E-Mail-Adresse 7, 30 und 90 Tage nach Trial-Ablauf (siehe Abschnitt 11 / E-Mail-Versand).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch der kostenlosen Probeperiode).

6.2 Team-Mitglieder (Multi-User-Account)

Inhaber eines Accounts (Owner) können ab dem Starter-Plan zusätzliche Nutzer (Members) zu ihrem Profil einladen. Die Anzahl ist plan-abhängig (Starter: 1 Member, Pro: bis 5, Business: bis 20). Eingeladene Mitglieder erstellen einen eigenen Account und erhalten anschließend lesenden Zugriff auf das Profil des Owners (KI-Sichtbarkeits-Daten, Reports, Insights, GEO-Tipps). Der Owner kann Mitglieder jederzeit entfernen, die betroffene Person wird per E-Mail informiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Owner ist verantwortlich für die korrekte Auswahl der eingeladenen Personen und die Datenschutz-konforme Weitergabe der geteilten Daten innerhalb seines Teams.

7. Onboarding und Profil-Erstellung

Im Rahmen des Onboarding-Prozesses erheben wir folgende Angaben zur Erstellung Ihres KI-Profils:

  • Markenname und Firmenname
  • Website-URL
  • Branche
  • Region, Land, Stadt
  • Sprache
  • Keywords (relevante Suchbegriffe)
  • Wettbewerber-URLs
  • USPs (Alleinstellungsmerkmale)
  • Zielgruppe
  • Kurzbeschreibung

Diese Daten werden zur Erstellung Ihres KI-Profils verarbeitet. Sie werden – mit Ihrer Einwilligung – an unsere KI-Sub-Auftragsverarbeiter (OpenRouter und über OpenRouter an OpenAI, Anthropic, Google, Perplexity, xAI) übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in das Crawling der eigenen Website, abgegeben über die entsprechende Checkbox im Onboarding).

8. Website-Analyse (Crawling)

Mit Ihrer ausdrücklichen Einwilligung crawlt Quott AI die von Ihnen im Onboarding angegebene Website. Dabei werden ausschließlich öffentlich zugängliche Inhalte ausgelesen, insbesondere:

  • Seitentitel und Meta-Beschreibungen
  • Sichtbarer Textinhalt
  • Struktur (Überschriften, Navigation)
  • Vorhandene strukturierte Daten (Schema.org)

Wir respektieren die Vorgaben der robots.txt und crawlen ausschließlich Websites, für die der Nutzer berechtigt ist, das Crawling zu autorisieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. KI-gestützte Analyse und Optimierung

Zentraler Bestandteil unseres Dienstes ist die Nutzung von Large Language Models (LLMs), um die Sichtbarkeit Ihrer Marke in KI-Systemen zu prüfen und ein optimiertes KI-Profil zu generieren. Hierzu übermitteln wir die im Onboarding erhobenen Daten sowie aus dem Crawling gewonnene Informationen an unseren Dienstleister OpenRouter (Cloudbase Inc., USA), der als KI-API-Gateway fungiert und die Anfragen an folgende KI-Modellanbieter weiterleitet:

  • OpenAI, USA – ChatGPT-Modelle
  • Anthropic, USA – Claude-Modelle
  • Google, USA – Gemini-Modelle
  • Perplexity AI, USA – Sonar-Modelle
  • xAI, USA – Grok-Modelle

Da alle vorgenannten Anbieter ihren Sitz in den USA haben, findet eine Drittlandübermittlung statt. Mit OpenRouter haben wir einen Auftragsverarbeitungsvertrag (DPA) sowie EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO geschlossen. OpenRouter hat seinerseits entsprechende Verträge mit den Modellanbietern. Wir setzen die KI-Anbieter so ein, dass keine Trainingsnutzung der übermittelten Daten erfolgt (Opt-Out via API).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Übermittlung in Drittländer erfolgt auf Grundlage von Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln).

9.1 Eigene Prompts (Tägliches Tracking)

Im Bereich „Prompts“ können Nutzer ab dem Pro-Plan eigene Suchanfragen hinzufügen, die täglich automatisch geprüft werden. Diese werden an die oben genannten KI-Anbieter über OpenRouter gesendet, um die individuelle Sichtbarkeit zu messen. Es gelten die gleichen Datenschutz-Bedingungen wie bei der regulären KI-gestützten Analyse. Wir empfehlen, in eigenen Prompts keine personenbezogenen Daten Dritter zu verwenden.

9.2 Wettbewerber-Daten

Im Onboarding und in den Brand-Daten geben Nutzer Wettbewerber-Namen ein. Diese Namen werden in Test-Prompts an die KI-Modelle gesendet, um die Sichtbarkeit im Branchen-Vergleich zu prüfen, sowie für die automatische Mention-Gap- und Empfehlungs-Lücken-Analyse genutzt. Es handelt sich um öffentlich verfügbare Marken-/Unternehmensnamen, eine Drittnutzer-Datenverarbeitung im Sinne der DSGVO findet nicht statt.

9.3 Einzigartige Inhalte (eigene Daten, Zitate, Cases, Auszeichnungen)

Im Onboarding und unter Brand-Daten können Nutzer optional einzigartige Inhalte ihres Unternehmens ergänzen (eigene Statistiken, Kundenzitate, Case Studies, Auszeichnungen). Diese Inhalte fließen direkt in das generierte öffentliche KI-Profil ein (siehe §13) und werden über den Embed-Code, die llms.txt-Datei und die Verzeichnisseite veröffentlicht. Bitte beachten Sie: für Personenzitate ist die ausdrückliche Einwilligung der zitierten Person erforderlich (Art. 6 Abs. 1 lit. a DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Zahlungsabwicklung über Stripe

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe“).

Bei der Buchung eines Abonnements werden Ihre Zahlungsdaten (Kreditkarteninformationen, IBAN o. ä.) direkt von Stripe verarbeitet. Wir selbst speichern keine Zahlungsdaten in unseren Systemen. In unserer Datenbank speichern wir lediglich:

  • Stripe Customer ID (zur Zuordnung)
  • Subscription-Status (aktiv, gekündigt etc.)
  • Gewählter Tarif

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Datenschutzhinweise von Stripe: https://stripe.com/de/privacy

11. E-Mail-Versand über Resend

Für den Versand transaktionaler E-Mails nutzen wir den Dienst Resend Inc., USA. Folgende E-Mails werden über Resend versendet:

  • Registrierungs- und Bestätigungs-E-Mails
  • Passwort-Reset-Mails
  • Welcome-E-Mails
  • Monatliche Reports zur KI-Sichtbarkeit
  • Account-Benachrichtigungen

Mit Resend haben wir einen Auftragsverarbeitungsvertrag (DPA) und EU-Standardvertragsklauseln (SCCs) abgeschlossen. Die Übermittlung in die USA erfolgt auf Grundlage von Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. Hosting und Infrastruktur

12.1 Vercel (Hosting)

Unsere Anwendung und Website werden bei Vercel Inc., USA gehostet. Serverless Functions werden ausschließlich in der Region Frankfurt (fra1) ausgeführt. Edge-Funktionen werden über ein globales CDN ausgeliefert. Wir haben mit Vercel einen Auftragsverarbeitungsvertrag und EU-Standardvertragsklauseln abgeschlossen.

12.2 Supabase (Datenbank & Auth)

Unsere Datenbank sowie das Authentifizierungssystem werden bei Supabase betrieben. Die Datenbank wird in der EU-Region (eu-west-1, Irland/Dublin) gehostet, sodass die Verarbeitung in der Europäischen Union erfolgt.

12.3 Inngest (Job-Queue)

Für zeitgesteuerte Aufgaben (z. B. tägliches Prompt-Tracking, Trial-Ablauf-Routinen, Reaktivierungs-Mails) und lange Hintergrund-Prozesse nutzen wir Inngest Inc., USA. Inngest verarbeitet ausschließlich Job-Metadaten (Run-ID, Status, Step-Logs), keine personenbezogenen Daten und keine Inhalte Ihrer Analysen.

Mit Inngest haben wir einen Auftragsverarbeitungsvertrag (DPA) sowie EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen, sicheren Betrieb).

12.4 Sentry (Fehler-Monitoring)

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., USA) mit aktivierter EU-Datenregion (Speicherung in Frankfurt). Erfasst werden technische Fehlerdaten (Fehlermeldung, Stack-Trace, betroffene Seite/Route, Browser-/Geräte-Typ, ggf. die User-ID zur Zuordnung). Wir setzen kein Session-Replay ein.

Mit Sentry haben wir einen Auftragsverarbeitungsvertrag (DPA) sowie EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren und fehlerfreien Betrieb).

12.5 MCP-Integration (optional, ab Pro)

Über das Model Context Protocol (MCP) können Sie Ihren eigenen AI-Assistant (z. B. Claude Desktop, ChatGPT, Cursor) mit Ihrem Quott-Konto verbinden. Der Assistant ruft auf Ihre Anforderung hin Ihre Quott-Daten ab (Score, Quellen, Wettbewerber-Vergleiche, Prompt-Verläufe, Tipps). Die Verbindung wird über persönliche API-Schlüssel hergestellt, die nur Sie selbst erstellen können.

Wichtig: Wenn Sie MCP nutzen, werden Ihre Quott-Daten an den AI-Anbieter Ihres Assistants übermittelt (z. B. Anthropic, OpenAI). Dieser Datenfluss erfolgt direkt zwischen Ihrem Endgerät bzw. dem von Ihnen gewählten AI-Anbieter und unserer API. Quott AI tritt hier nur als Datenquelle auf, hat keinen Einfluss auf die Speicherung beim AI-Anbieter und keine Verantwortlichkeit für die dortige Verarbeitung. Vor der Aktivierung von MCP sollten Sie die Datenschutzbestimmungen Ihres AI-Anbieters prüfen.

Auf unserer Seite werden lediglich die Nutzungs-Metadaten der API-Schlüssel gespeichert (last_used_at, key_prefix), keine Inhalte Ihrer Konversationen. Die API-Schlüssel sind nur als SHA-256-Hash gespeichert und können von Ihnen jederzeit widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die MCP-Integration ist standardmäßig deaktiviert. Sie müssen aktiv einen API-Schlüssel erstellen und ihn selbst in Ihrem AI-Assistant einrichten. Erst dann kommt eine Verbindung zustande. Sie können den Schlüssel jederzeit im Dashboard widerrufen, was die Verbindung sofort beendet.

12.6 Upstash (Rate-Limiting)

Zum Schutz vor Missbrauch und Überlastung (Rate-Limiting) sowie für kurzlebige Zähler nutzen wir Upstash (Upstash, Inc., USA) mit einer Redis-Datenbank in der EU-Region. Verarbeitet werden dabei nur kurzzeitig pseudonyme Schlüssel (z. B. ein Hash der IP-Adresse bzw. die Nutzer-ID) zur Begrenzung der Anfragen pro Zeitfenster. Es werden keine Inhalte Ihrer Daten gespeichert.

Mit Upstash haben wir einen Auftragsverarbeitungsvertrag (DPA) sowie EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit des Dienstes).

12.7 Cloudflare Turnstile (Bot-Schutz)

Zum Schutz unserer Formulare für Registrierung, Anmeldung und Passwort-Zurücksetzung vor automatisierten Angriffen, Spam und Missbrauch setzen wir Cloudflare Turnstile ein (Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA). Beim Aufruf dieser Formulare wird ein Skript von Cloudflare geladen, das prüft, ob es sich um einen menschlichen Nutzer handelt. Verarbeitet werden dazu u. a. Ihre IP-Adresse sowie technische Informationen zu Browser und Gerät und Interaktionssignale. Turnstile ist datenschutzfreundlich ausgelegt, setzt keine Cookies und wird nicht zum seitenübergreifenden Tracking oder für Werbung verwendet.

Mit Cloudflare haben wir einen Auftragsverarbeitungsvertrag (DPA) geschlossen. Cloudflare ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend gelten EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Systeme und dem Schutz vor Bots, Spam und Missbrauch).

13. Verzeichnis (öffentliche Profile)

Während eines aktiven Tarifs (Trial, Starter, Pro, Business) wird Ihr KI-Profil im öffentlichen Quott AI Verzeichnis unter quott.ai/unternehmen/[slug] veröffentlicht. Die im Verzeichnis angezeigten Daten umfassen den Markennamen, die Branche, die Region, eine Kurzbeschreibung sowie , falls vom Nutzer ergänzt, die unter „Einzigartige Stärken“ eingetragenen Inhalte (eigene Daten, Zitate, Cases, Auszeichnungen).

Zusätzlich wird das Profil über folgende Auslieferungs-Wege maschinenlesbar veröffentlicht:

  • als strukturierte Daten (Schema.org JSON-LD) auf den Verzeichnisseiten;
  • über die llms.txt-Datei unter /api/llms-txt/[slug] (eine KI-Crawler-freundliche Standardisierung gemäß llmstxt.org);
  • über den Embed-Code auf der Kunden-eigenen Website (siehe §14).

Sie können die Veröffentlichung jederzeit in den Account-Einstellungen unter „Sichtbarkeit“ deaktivieren. Bei einem Downgrade auf den Free-Plan wird die Veröffentlichung automatisch eingestellt, die zugrundeliegenden Daten bleiben in Ihrem Account erhalten und werden bei einem erneuten Upgrade reaktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da Bestandteil der bezahlten Pläne) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Sichtbarkeits- Einstellung).

14. Embed-Code auf Kunden-Websites

Quott AI stellt einen JavaScript-Embed-Code zur Verfügung, mit dem Kunden ihr KI-Profil als strukturierte Daten (Schema.org JSON-LD) in ihre eigene Website einbinden können. Wichtige Hinweise:

  • Der Embed-Code setzt keine Cookies.
  • Es wird kein Tracking durchgeführt.
  • Es werden keine personenbezogenen Daten der Besucher Ihrer Website verarbeitet.
  • Der Code lädt ausschließlich strukturierte Daten zur KI-Sichtbarkeit nach.

Eine separate Cookie-Einwilligung des Endnutzers ist daher für die Einbindung unseres Embed-Codes nicht erforderlich.

15. Auftragsverarbeitung – Liste der Sub-Processors

Wir setzen die folgenden Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern haben wir entsprechende Verträge (DPA) abgeschlossen. Bei Anbietern außerhalb des EWR erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.

AnbieterSitzZweckDatenschutzhinweise
SupabaseEU (Irland/Dublin, eu-west-1)Datenbank, Authentifizierungsupabase.com/privacy
Vercel Inc.USA (Functions: Frankfurt fra1)Hosting, CDNvercel.com/legal/privacy-policy
Stripe Payments Europe Ltd.IrlandZahlungsabwicklungstripe.com/de/privacy
Resend Inc.USATransaktionale E-Mailsresend.com/legal/privacy-policy
Inngest Inc.USAJob-Queue (Cron-Jobs, Background-Tasks)inngest.com/privacy
Upstash, Inc.USA (Daten-Region EU)Rate-Limiting (Redis)upstash.com/trust
Cloudflare, Inc.USA (DPF-zertifiziert)Bot-/Spam-Schutz (Turnstile) auf Auth-Formularencloudflare.com/privacypolicy
Google Ireland Ltd.Irland / USA (DPF-zertifiziert)Web-Analyse (Google Analytics 4) auf quott.ai, nur nach Einwilligungbusiness.safety.google/privacy
Functional Software, Inc. (Sentry)USA (Daten-Region EU/Frankfurt)Fehler-Monitoringsentry.io/privacy
OpenRouter (Cloudbase Inc.)USAKI-API-Gatewayopenrouter.ai/privacy
DataForSEOUSA / globalGoogle-KI-Sichtbarkeit (Suchbegriffe)dataforseo.com/privacy-policy
OpenAIUSALLM-Anfragen (ChatGPT)openai.com/policies/privacy-policy
AnthropicUSALLM-Anfragen (Claude)anthropic.com/legal/privacy
GoogleUSALLM-Anfragen (Gemini)policies.google.com/privacy
Perplexity AIUSALLM-Anfragen (Sonar)perplexity.ai/hub/legal/privacy-policy
Mistral AI SASFrankreich (EU)LLM-Anfragen (Mistral)mistral.ai/terms
xAIUSALLM-Anfragen (Grok)x.ai/legal/privacy-policy

16. Drittland-Übermittlung

Eine Übermittlung Ihrer personenbezogenen Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) – insbesondere in die USA – findet in den oben beschriebenen Fällen statt (Vercel, Resend, Inngest, Sentry, Upstash, OpenRouter, DataForSEO, OpenAI, Anthropic, Google, Perplexity, xAI). Mistral AI (Frankreich) verarbeitet innerhalb der EU.

Da für die USA derzeit kein Angemessenheitsbeschluss der EU-Kommission im klassischen Sinne (Privacy Shield wurde durch den EuGH gekippt; das EU-US Data Privacy Framework gilt nur für zertifizierte Unternehmen) für alle Anbieter gilt, stützen wir die Übermittlung auf Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Wir prüfen zudem regelmäßig, ob ergänzende Schutzmaßnahmen erforderlich sind (Transfer Impact Assessment).

Wir weisen darauf hin, dass in Drittländern – insbesondere den USA – ein vergleichbares Datenschutzniveau wie innerhalb der EU möglicherweise nicht gewährleistet ist. US-Behörden können unter bestimmten Umständen auf Daten zugreifen.

17. Speicherdauer im Überblick

  • Aktive Accounts: bis zur Löschung durch den Nutzer.
  • Onboarding-Daten und Profile: während der Vertragslaufzeit; nach Kündigung bis zu 30 Tage als Backup, dann Löschung.
  • Buchhaltungsdaten (Rechnungen, Verträge): 10 Jahre gemäß § 147 AO und § 14b UStG.
  • Logfiles: 14 Tage.
  • Cookie-Consent-Status: im Browser-LocalStorage, bis Sie ihn zurücksetzen oder den Browser-Speicher leeren.
  • Google-Analytics-Cookies(nur bei Einwilligung, z. B. _ga): bis zu 24 Monate; die Datenaufbewahrung in Google Analytics ist auf 14 Monate begrenzt.
  • LLM-Anfragen und Response-Daten: 24 Monate zur Nachvollziehbarkeit der Score-Entwicklung.

18. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen nach der DSGVO umfangreiche Rechte zu. Sie haben insbesondere folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie verarbeiten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Eine Account-Löschung ist auch jederzeit selbst in den Account-Einstellungen möglich.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Ein Export Ihrer Daten als JSON/CSV ist in den Account-Einstellungen möglich.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO gestützt ist.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte per E-Mail an support@quott.ai.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die für uns zuständige Behörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Web: www.ldi.nrw.de

19. Datensicherheit

Wir treffen umfangreiche technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Daten zu gewährleisten:

  • TLS-Verschlüsselung (HTTPS, TLS 1.3) für alle Verbindungen
  • Passwörter ausschließlich gehasht gespeichert
  • Row Level Security (RLS) auf Datenbankebene
  • Zugriffsbeschränkungen nach dem Need-to-Know-Prinzip
  • Regelmäßige Sicherheits-Updates und Audits
  • API-Endpoints mit Authentifizierung und Rate Limiting geschützt
  • Sicherheits-Header (X-Frame-Options, CSP, X-Content-Type-Options)

20. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand vom 29. April 2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen werden.

Bei Fragen wenden Sie sich bitte an: support@quott.ai