Datenschutz-
Erklärung

1. Verantwortlicher

AI FIRST GmbH
Ballindamm 3
20095 Hamburg
E-Mail: hi@ai-first.ai

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

3. Empfänger und Kategorien von Empfängern

Im Rahmen unserer Geschäftstätigkeit setzen wir folgende Dienstleister ein, die als Auftragsverarbeiter oder eigenverantwortlich personenbezogene Daten verarbeiten:

  • Vercel Inc. (USA) – Hosting und Content Delivery
  • Supabase, Inc. (USA, Datenbank in EU) – Authentifizierung, Datenbank
  • Notion Labs, Inc. (USA) – Content Management, Teilnehmerverwaltung
  • Resend, Inc. (USA) – E-Mail-Versand (Newsletter, transaktionale E-Mails)
  • Stripe, Inc. (USA) – Zahlungsabwicklung (via Circle.so)
  • Circle.so, Inc. (USA) – Lernplattform und Community (AI FIRST Collective, AI FIRST School)
  • Cloudflare, Inc. (USA) – Bot-Schutz (Turnstile) auf Formularen

Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO) bzw. es gelten die jeweiligen Data Processing Agreements. Die Datenübertragung in die USA erfolgt jeweils auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Eine Weitergabe personenbezogener Daten an Dritte über die genannten Dienstleister hinaus erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet oder du hast ausdrücklich eingewilligt.

4. Hosting und Content Delivery

Unsere Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Aufruf unserer Website werden automatisch Informationen in sogenannten Server-Logfiles gespeichert, die dein Browser automatisch übermittelt. Dies sind:

  • IP-Adresse (anonymisiert)
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zur GMT
  • Inhalt der Anforderung (aufgerufene Seite)
  • HTTP-Statuscode
  • übertragene Datenmenge
  • Referrer-URL
  • Browser und Betriebssystem

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der stabilen und sicheren Bereitstellung unserer Website. Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

5. SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in deiner Browserzeile.

6. Webanalyse (Umami)

Wir nutzen Umami, eine datenschutzfreundliche, selbst gehostete Webanalyse-Software. Umami setzt keine Cookies und speichert keine personenbezogenen Daten. Es findet kein Cross-Site-Tracking und keine Erstellung von Nutzerprofilen statt.

Folgende Daten werden anonymisiert erfasst:

  • Aufgerufene Seiten und Verweildauer
  • Referrer (verweisende Seite)
  • Browser und Betriebssystem
  • Gerätetyp (Desktop/Mobil)
  • Land (basierend auf anonymisierter IP)

Die IP-Adresse wird zur Ermittlung des ungefähren Standorts (Land) an die Umami-Instanz übermittelt, dort jedoch nicht dauerhaft gespeichert. Umami generiert einen anonymen Hash aus IP + User-Agent, der täglich zurückgesetzt wird und keinen Rückschluss auf einzelne Personen erlaubt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Reichweitenmessung). Da Umami keine Cookies setzt und keine personenbezogenen Daten dauerhaft verarbeitet, ist § 25 TDDDG nicht einschlägig und eine Einwilligung nicht erforderlich.

Hosting: Die Umami-Instanz wird auf Vercel (USA) betrieben. Die Datenübertragung erfolgt auf Grundlage der EU-Standardvertragsklauseln. Die zugehörige Datenbank liegt in der EU (Frankfurt am Main, Supabase, AWS eu-central-1).

7. Vercel Analytics

Wir nutzen Vercel Analytics (Vercel Inc., USA) zur Messung der Website-Performance (Core Web Vitals). Dabei werden anonymisierte Leistungsdaten wie Seitenladezeiten, Interaktionsverzögerungen und visuelle Stabilität erfasst. Es werden keine Cookies gesetzt und keine personenbezogenen Nutzerprofile erstellt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung der Website-Performance). Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

8. Nutzerkonto und Authentifizierung

Für die Registrierung und Anmeldung nutzen wir Supabase Auth (Supabase, Inc., San Francisco, USA). Bei der Registrierung werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, bcrypt)
  • Name und optionale Profilangaben
  • Login-Zeitpunkt und genutzter Anmelde-Provider

Optional kannst du dich über Drittanbieter anmelden (Google, LinkedIn). Dabei erhalten wir ausschließlich deinen Namen und deine E-Mail-Adresse vom jeweiligen Provider — wir erhalten kein Passwort und keinen Zugriff auf dein Konto beim Drittanbieter.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen). Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

Die Supabase-Datenbank wird in der EU (Frankfurt am Main, AWS eu-central-1) betrieben.

9. Newsletter

Für den Newsletter-Versand nutzen wir Resend (Resend, Inc., San Francisco, USA). Die Anmeldung erfolgt über ein Double-Opt-In-Verfahren: Nach Eingabe deiner E-Mail-Adresse erhältst du eine Bestätigungsmail. Erst nach Klick auf den Bestätigungslink wirst du in den Verteiler aufgenommen.

Folgende Daten werden verarbeitet:

  • E-Mail-Adresse
  • Zeitpunkt der Anmeldung und Bestätigung
  • Abmelde-Status

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst den Newsletter jederzeit über den Abmeldelink in jeder E-Mail oder per Nachricht an hi@ai-first.ai abbestellen.

Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

10. Content Management und Teilnehmerverwaltung (Notion)

Wir nutzen Notion (Notion Labs, Inc., San Francisco, USA) als Content-Management-System und zur Verwaltung von Teilnehmerdaten. Inhalte wie Artikel, Podcast-Episoden und Seiten werden in Notion gepflegt und über die Notion-API auf unserer Website dargestellt.

Darüber hinaus werden in Notion personenbezogene Daten im Rahmen folgender Zwecke gespeichert:

  • Newsletter: E-Mail-Adresse und Abonnenten-Status
  • Kontoerstellung: E-Mail-Adresse und Registrierungsdaten
  • AI FIRST Collective und AI FIRST School: E-Mail-Adresse, Name, Programm-Zugehörigkeit, Anmeldezeitpunkt, Teilnahme-Status, Fortschritt sowie ggf. Zahlungsstatus

Zweck der Speicherung ist die Verwaltung der Teilnahme, Zugangssteuerung zu Programminhalten sowie die Kommunikation im Rahmen des jeweiligen Programms.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für zahlende Teilnehmer bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) für Interessenten und Wartelisten-Einträge. Für die Inhaltsverwaltung gilt Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Inhaltsverwaltung).

Mit Notion Labs, Inc. besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO. Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

11. Lernplattform und Community (Circle.so)

Für die Bereitstellung des AI FIRST Collective und der AI FIRST School nutzen wir Circle.so (Circle.so, Inc., New York, USA) als Lernplattform und Community-Lösung.

Folgende Daten werden bei Circle.so verarbeitet:

  • Name und E-Mail-Adresse
  • Mitgliedschaftsstatus und Programm-Zugehörigkeit
  • Aktivitätsdaten (Kursfortschritt, Beiträge, Kommentare)
  • Login-Zeitpunkte

Die Zahlungsabwicklung für kostenpflichtige Mitgliedschaften erfolgt über den in Circle.so integrierten Zahlungsdienstleister Stripe (siehe Abschnitt 12).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

12. Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung für kostenpflichtige Angebote (insbesondere AI FIRST Collective und AI FIRST School) erfolgt über den in Circle.so integrierten Zahlungsdienstleister Stripe (Stripe, Inc., San Francisco, USA / Stripe Payments Europe, Ltd., Dublin, Irland).

Folgende Daten werden im Rahmen des Zahlungsvorgangs verarbeitet:

  • Name und E-Mail-Adresse
  • Zahlungsdaten (Kreditkarten- oder Bankverbindungsdaten)
  • Rechnungsadresse
  • Transaktionsdaten (Betrag, Zeitpunkt, Status)

Die Zahlungsdaten werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Wir erhalten von Stripe lediglich eine Bestätigung über den Zahlungsstatus sowie eine verkürzte Referenz der Zahlungsmethode.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist als eigenverantwortlicher Zahlungsdienstleister gemäß den geltenden Datenschutzbestimmungen tätig. Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln. Stripe ist zudem PCI-DSS-zertifiziert.

13. Bot-Schutz (Cloudflare Turnstile)

Zum Schutz unserer Formulare (Kontakt, Newsletter-Anmeldung) vor automatisiertem Missbrauch setzen wir Cloudflare Turnstile (Cloudflare, Inc., San Francisco, USA) ein. Turnstile ist eine datenschutzfreundliche Alternative zu herkömmlichen CAPTCHAs.

Bei der Nutzung eines geschützten Formulars werden folgende Daten an Cloudflare übermittelt:

  • IP-Adresse
  • Browser- und Geräteinformationen
  • Interaktionsdaten zur Bot-Erkennung

Cloudflare Turnstile setzt keine Cookies und erfordert keine aktive Nutzerinteraktion. Die Prüfung erfolgt im Hintergrund.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Spam und Missbrauch). Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

14. Kontaktformular

Wenn du uns per Kontaktformular Anfragen zukommen lässt, werden deine Angaben aus dem Anfrageformular inklusive der von dir dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

14. Cookies und Local Storage

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Wir setzen keine Marketing- oder Tracking-Cookies ein. Im Einzelnen:

  • Session-Cookies (Supabase Auth): Für die Anmeldung und Sitzungsverwaltung
  • Aktivitäts-Cookie: Ein technisches Cookie speichert das Datum des letzten Logins, um inaktive Sitzungen zu erkennen (Laufzeit: 30 Tage, httpOnly)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Technisch notwendige Cookies sind gemäß § 25 Abs. 2 Nr. 2 TDDDG von der Einwilligungspflicht ausgenommen.

15. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Speicherdauern bzw. Löschkriterien:

  • Nutzerkonten: Bis zur Löschung des Kontos durch den Nutzer, anschließend Aufbewahrung gemäß gesetzlicher Fristen (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten von bis zu 10 Jahren)
  • Newsletter: Bis zur Abmeldung durch den Abonnenten
  • AI FIRST Collective / AI FIRST School: Für die Dauer der Mitgliedschaft bzw. Kursteilnahme, danach Löschung auf Anfrage unter Beachtung gesetzlicher Aufbewahrungspflichten
  • Kontaktanfragen: Bis zur abschließenden Bearbeitung der Anfrage, spätestens nach 6 Monaten, sofern kein Vertragsverhältnis entsteht
  • Zahlungsdaten: Gemäß handels- und steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) bis zu 10 Jahre
  • Server-Logfiles: Maximal 30 Tage

Nach Ablauf der jeweiligen Speicherdauer werden die Daten gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

16. Deine Rechte

Du hast gegenüber uns folgende Rechte hinsichtlich der dich betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung deiner Rechte wende dich bitte an hi@ai-first.ai.

17. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: 040 / 428 54 – 4040
E-Mail: mailbox@datenschutz.hamburg.de

18. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026. Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden.