QuoteCheck LogoQuoteCheckAngebote prüfen & vergleichen

Datenschutzerklärung

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Niklas Brandt
Am Westerberge 1
38176 Wendeburg

E-Mail: kontakt@quotecheck.de

2. Erhobene Daten

Bei Registrierung:

  • E-Mail-Adresse
  • Passwort (gespeichert als Argon2id-Hash)

Bei Nutzung:

  • Upload-Metadaten (Dateiname, Größe, Zeitstempel)
  • Strukturierte Analyseergebnisse

Bei Käufen / Guthaben:

  • Guthabenstand (Credits)
  • Kauf-Datensätze (gewähltes Paket, Anzahl Credits, Betrag, Währung, Zeitpunkt, Transaktions-/Sitzungskennung des Zahlungsdienstleisters)
  • Kundenkennung beim Zahlungsdienstleister (z. B. Stripe-Customer-ID)

Hinweis: Zahlungsmittel- bzw. Kartendaten werden nicht bei uns verarbeitet oder gespeichert. Die Eingabe erfolgt ausschließlich auf der Bezahlseite des Zahlungsdienstleisters (Stripe im Web) bzw. über Google Play in der Android-App (siehe Abschnitt 8).

Automatisch erhoben:

  • IP-Adresse (nur in Server-Logs, 30 Tage Retention)
  • User-Agent

3. Rechtsgrundlagen der Verarbeitung

  • Konto, Angebots-Analyse, Vergleich, Kauf von Guthaben — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • Server-Logs/IP, Rate-Limiting, Fehler-Diagnose, Betrugsprävention — berechtigtes Interesse an einem sicheren, stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
  • Reichweitenmessung (Umami) — berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO; cookielos, siehe Abschnitt 5).
  • Anbieter-Online-Check (Websuche) — Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.
  • Aufbewahrung von Zahlungsbelegen — Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB).

4. Cookies

NameTypGültigkeitZweck
refresh_tokenHttpOnly, Secure, SameSite=Lax7 TageAuthentifizierung
has_sessionNicht-sicherheitsrelevanter Hint-CookieSessionSteuert Client-seitige Weiterleitung

Es werden ausschließlich technisch notwendige Cookies eingesetzt. Keine Tracking- oder Werbe-Cookies. Die Reichweitenmessung (Abschnitt 5) arbeitet cookielos. Der Bezahlvorgang leitet auf eine externe Seite des Zahlungsdienstleisters weiter, die eigene technisch notwendige Cookies setzen kann.

5. Reichweitenmessung / Webanalyse (Umami)

Zur Verbesserung unseres Angebots erfassen wir anonyme Nutzungsstatistiken mit Umami — einer datenschutzfreundlichen Web-Analyse, die wir selbst hosten (eigene Infrastruktur, kein externer Auftragsverarbeiter, keine Übermittlung in ein Drittland).

  • Cookielos — es werden keine Cookies gesetzt und keine Geräte-Informationen ausgelesen, die eine Einwilligung nach § 25 TDDDG (vormals TTDSG) erfordern würden.
  • Keine seitenübergreifende Verfolgung, keine Nutzerprofile. Erfasst werden nur aggregierte Kennzahlen (Seitenaufrufe, Verweisquelle, grobe Geräte-, Browser- und Länderangaben).
  • Die IP-Adresse wird nicht gespeichert — sie wird nur kurzzeitig zur Erkennung wiederkehrender Aufrufe verwendet und unmittelbar anonymisiert.

Rechtsgrundlage ist unser berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO). Sie können die Erfassung unterbinden, indem Sie in Ihrem Browser „Do Not Track" aktivieren oder Skripte der Analyse-Domain blockieren.

6. KI-gestützte Verarbeitung

Hochgeladene PDF-Angebote werden ausschließlich im Arbeitsspeicher verarbeitet und nicht dauerhaft im Originalformat gespeichert.

Je nach Dokument durchläuft das Angebot einen von zwei Wegen:

  • PDF mit Textebene (digital): Der enthaltene Text wird ausgelesen und an einen KI-Dienst übermittelt, der ihn in eine strukturierte Form (Positionen, Mengen, Preise) bringt.
  • Gescanntes PDF / Bild: Der Inhalt wird per KI-gestützter Texterkennung (OCR) ausgelesen und strukturiert.

In beiden Fällen wird der Dokumentinhalt — der zu diesem Zeitpunkt noch personenbezogene Daten (z. B. Name, Anschrift, Telefon, E-Mail, IBAN, Steuer- und Handelsregisternummern) enthalten kann — zunächst an den KI-Dienst übermittelt. Die Entfernung dieser personenbezogenen Daten (Pseudonymisierung durch Platzhalter) erfolgt anschließend serverseitig, bevor die Daten gespeichert oder für die weitere Auswertung verwendet werden.

Die Extraktion bzw. Texterkennung — also der Schritt, in dem der noch nicht anonymisierte Dokumentinhalt verarbeitet wird — erfolgt ausschließlich über Mistral AI (Mistral AI SAS, Paris, Frankreich). Mistral verarbeitet die Daten nach eigenen Angaben standardmäßig auf Servern innerhalb der Europäischen Union. Eine vorübergehende Übermittlung an Unterauftragsverarbeiter außerhalb der EU ist nicht vollständig ausgeschlossen; solche Übermittlungen sichert Mistral durch Standardvertragsklauseln (Art. 46 DSGVO) ab. Die übermittelten Inhalte werden bei Mistral für bis zu 30 Tage zur Missbrauchserkennung vorgehalten und anschließend gelöscht.

Die anschließende inhaltliche Analyse (Einzel-Auswertung und Angebotsvergleich) arbeitet ausschließlich mit den bereits anonymisierten Daten und wird je nach Konfiguration durch ein Modell von Mistral AI (EU) oder Google ausgeführt. Personenbezogene Klardaten werden dabei nicht übermittelt.

Transparenzhinweis

Da die Pseudonymisierung erst nach der KI-gestützten Extraktion bzw. Texterkennung erfolgt, erhält der eingesetzte KI-Dienst den ursprünglichen Dokumentinhalt einschließlich etwaiger personenbezogener Daten. Dieser verarbeitet die Daten als Auftragsverarbeiter gemäß abgeschlossenem Auftragsverarbeitungsvertrag (AVV) ausschließlich zur Auftragserfüllung und nicht zum Training der Modelle. Es kann zudem nicht garantiert werden, dass die anschließende automatische Pseudonymisierung in 100 % der Fälle vollständig ist.

Für eine interne Ähnlichkeitssuche (Vergleichbarkeit von Angeboten und Positionen) werden aus der bereits anonymisierten Auswertung numerische Vektoren („Embeddings") berechnet. Hierfür wird ein Dienst von Google eingesetzt; übergeben wird ausschließlich der anonymisierte Inhalt, keine Klarnamen oder Adressen.

Gespeichert wird ausschließlich die strukturierte Auswertung — keine Originaltexte, keine Klarnamen, keine Adressen.

Die Original-PDF wird nach Verarbeitung verworfen.

Die übermittelten Inhalte werden ausschließlich zur Erstellung Ihrer Analyse verarbeitet und nicht zum Training von KI-Modellen verwendet.

7. Anbieter-Online-Check (Websuche)

Optional können Sie im Prüf-Schritt eine Online-Recherche zu dem Handwerksbetrieb auslösen, dessen Angebot Sie prüfen. Dieses Feature ist opt-in — es läuft nur, wenn Sie es aktiv anstoßen.

Dabei werden die von Ihnen bestätigten Geschäftsdaten des Betriebs (Firmenname, ggf. Adresse oder Region, Gewerk) an Google übermittelt und per Websuche (Gemini-Modell mit Google-Search-Grounding) ausgewertet. Das Ergebnis ist eine Zusammenfassung öffentlich auffindbarer Informationen (Website, Bewertungen, Warnsignale) samt Quellenangaben.

Es werden bewusst keine Daten über Sie als Privatperson an die Suche übergeben — ausschließlich die genannten Geschäftsdaten des Betriebs. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie durch Nichtnutzung des Features vermeiden bzw. für künftige Recherchen widerrufen können.

8. Zahlungsabwicklung

Im Web wickeln wir den Kauf von Guthaben über Stripe ab (Stripe Payments Europe Ltd., Irland; ggf. Stripe, Inc., USA). Sie geben Ihre Zahlungsdaten direkt auf der Stripe-Bezahlseite ein; wir erhalten lediglich eine Bestätigung und die zugehörigen Metadaten (Paket, Betrag, Transaktionskennung). Stripe verarbeitet die Zahlung als Auftragsverarbeiter und ist für Zwecke der Betrugsprävention zugleich eigenständig Verantwortlicher.

In der Android-App erfolgen Käufe über Google Play (In-App-Kauf). Hierfür gelten zusätzlich die Bedingungen und Datenschutzhinweise von Google.

9. Fehler-Diagnose (Error-Tracking)

Zur Wahrung der Stabilität und Sicherheit erfassen wir technische Fehlerdaten mit einer selbst gehosteten Diagnose-Lösung (GlitchTip, eigene Infrastruktur). Erfasst werden Fehlermeldungen, Stack-Traces und grobe Anfrage-Informationen (ggf. IP-Adresse, User-Agent). Personenbezogene Inhalte werden vor der Speicherung durch einen automatischen Filter (PII-Scrubber) entfernt. Rechtsgrundlage ist unser berechtigtes Interesse an einem fehlerfreien Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

10. Auftragsverarbeitung

DienstleisterZweckAVV-Status
Mistral AI (Frankreich, EU)KI-Extraktion und Texterkennung (OCR) der Angebote; KI-Analyse (auf anonymisierten Daten)AVV; EU-Hosting (Standard), Ausnahmen via SCC
Google (USA / Irland)KI-Analyse (auf anonymisierten Daten); KI-Embeddings (Ähnlichkeitssuche); Anbieter-Online-Check (Websuche)DPA; DPF/SCC
Stripe (Irland / USA)Zahlungsabwicklung (Web-Checkout)DPA; DPF/SCC
Google (USA)Zahlungsabwicklung App-Käufe (Google Play)DPA; DPF/SCC
IONOS (DE)Hosting, Server, E-Mail-Versand (Verifizierungs-, Passwort-Reset- und Benachrichtigungs-Mails)AVV abgeschlossen

Das Hosting und der E-Mail-Versand (IONOS) sowie die KI-gestützte Extraktion und Texterkennung der Angebote (Mistral AI) erfolgen standardmäßig innerhalb der EU. Die anschließende inhaltliche Analyse erfolgt — je nach Konfiguration — über ein EU-Modell (Mistral AI) oder über Google, in beiden Fällen ausschließlich auf bereits anonymisierten Daten. Soweit personenbezogene Daten an Empfänger außerhalb der EU übermittelt werden (US-Dienstleister wie Google oder Stripe, ggf. auch Unterauftragsverarbeiter von Mistral), stützen wir uns auf einen Angemessenheitsbeschluss (EU-US Data Privacy Framework, soweit der Empfänger zertifiziert ist) bzw. ergänzend auf Standard-Vertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

11. Datenspeicherung & Sicherheit

  • PostgreSQL-Datenbank auf dem Hosting-Server (IONOS, Serverstandort innerhalb der Europäischen Union)
  • Redis wird ausschließlich als transienter Cache genutzt (kein persistenter Speicher personenbezogener Daten)
  • TLS-Verschlüsselung für alle Verbindungen
  • Passwörter werden mit Argon2id gehasht (zzgl. Server-seitigem Pepper)

12. Speicherdauer & Aufbewahrung

  • Konto-, Analyse- und Vergleichsdaten: bis zur Löschung des Kontos durch Sie.
  • Server-Logs / IP-Adressen: 30 Tage.
  • Zahlungs- und Kaufbelege: unterliegen den gesetzlichen Aufbewahrungsfristen von bis zu 10 Jahren (§ 147 AO, § 257 HGB). Diese Datensätze bleiben auch nach einer Konto-Löschung erhalten und werden, soweit möglich, von Ihrem übrigen Profil entkoppelt.

13. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — etwa für den Anbieter-Online-Check

Löschung: Über die Kontoeinstellungen können Sie Ihr Konto und alle zugehörigen Daten jederzeit vollständig löschen. Ausgenommen hiervon sind gesetzlich aufbewahrungspflichtige Zahlungsbelege (siehe Abschnitt 12).

Beschwerderecht: Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar.

15. Stand

Juni 2026