Rechtliches

·English →

Datenschutzerklärung

Zuletzt aktualisiert: 19. April 2026

⚠️ Inoffizielle Referenzübersetzung / Unofficial Reference Translation

Dieses Dokument ist eine deutschsprachige Referenzübersetzung. Bei Abweichungen zur englischen Fassung (anvilhk.com/privacy) ist die englische Fassung maßgeblich. Wir empfehlen, vor geschäftlicher Nutzung in der EU einen lokalen Rechtsanwalt zu konsultieren.

Diese Datenschutzerklärung beschreibt, wie Hong Kong Anvil Ltd. („Anvil", „wir", „uns") personenbezogene Daten im Rahmen unserer KI-gestützten Lead-Generierung- und CRM-Software (der „Dienst"), erreichbar unter anvilhk.com, erhebt, verwendet, offenlegt und schützt. Mit der Nutzung des Dienstes erklären Sie sich mit den hier beschriebenen Praktiken einverstanden.

Wir beachten die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die Empfehlungen der Datenschutzkonferenz (DSK). Für Betroffene außerhalb der EU gelten zusätzlich die jeweils anwendbaren lokalen Datenschutzgesetze (UK GDPR, HK PDPO, PIPL, CCPA/CPRA).

1. Verantwortlicher im Sinne der DSGVO

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

  • Firmenname: Hong Kong Anvil Ltd.
  • Geschäftsadresse: Hong Kong SAR (Sonderverwaltungsregion Hongkong)
  • E-Mail: 738888@proton.me
  • Telefon: +852 4748 1911
  • Datenschutzbeauftragter (DSB): erreichbar unter der o.g. E-Mail-Adresse

Für Daten, die Sie über Ihren Anvil-Mandanten hochladen oder erzeugen (z. B. eigene Kundenkontakte, Nachrichteninhalte), sind Sie (der Kunde) der Verantwortliche, und Anvil ist Auftragsverarbeiter. Einzelheiten regelt unser Auftragsverarbeitungsvertrag (AVV / DPA).

2. Welche Daten wir erheben

2.1 Von Ihnen bereitgestellte Daten

  • Kontodaten: Name, geschäftliche E-Mail, Telefonnummer, Passwort-Hash (bcrypt/argon2), Unternehmen, Position, Mandantenname.
  • Abrechnungsdaten: Zahlungsmethode (von Stripe verarbeitet, wir speichern keine vollständigen Kartennummern), Rechnungsanschrift, USt-ID.
  • Kundendaten: Kontakte, Leads, Pipelines, Notizen, E-Mail-Vorlagen, Drip-Sequenzen, Sammelaufgaben, Deal-Rooms, Workflows sowie hochgeladene Dateien.
  • Inhaltsdaten: Von Ihnen versendete E-Mails, Nachrichten, KI-Prompts, Dokumente in Ihrer Wissensdatenbank.
  • Verbindungsanmeldedaten: SMTP-Passwörter, OAuth-Refresh-Tokens (Google Calendar/Gmail), WhatsApp Business Access Tokens. Diese werden ruhend mit AES-256-GCM verschlüsselt.

2.2 Automatisch erhobene Daten

  • Geräteinformationen: IP-Adresse (letztes Oktett maskiert), Browsertyp, Betriebssystem, Bildschirmauflösung, Sprache, Zeitzone.
  • Nutzungsprotokolle: Seitenaufrufe, Funktionsaufrufe, Fehler-Stacks, Leistungskennzahlen.
  • Cookies und ähnliche Technologien: Einzelheiten in unserer Cookie-Richtlinie.

2.3 Besondere Kategorien personenbezogener Daten

Wir erheben keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen, biometrische Daten, Gewerkschaftszugehörigkeit). Sollten Sie solche Daten eigenständig in Anvil hochladen, sind Sie dafür verantwortlich, zuvor eine ausdrückliche Einwilligung der Betroffenen eingeholt zu haben (Art. 9 Abs. 2 lit. a DSGVO).

3. Erhebungsarten

  • Direkt von Ihnen bei Registrierung, Nutzung und Kommunikation.
  • Automatisiert über Cookies, SDKs und API-Anfragen während der Nutzung.
  • Über Integrationen (Google/Stripe/Enterprise-SSO) nach Ihrer Autorisierung.
  • Über die von Ihnen aktivierten öffentlichen Quellen (Crawler, Social-Plattform-APIs) für B2B-Geschäftskontakte — siehe § 5.

4. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

ZweckRechtsgrundlage
Bereitstellung und Wartung des DienstesArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Kontosicherung und MissbrauchsabwehrArt. 6 Abs. 1 lit. b und lit. f DSGVO
Rechnungsstellung, Steuer- und BuchhaltungspflichtenArt. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO
Produktverbesserung, FehlerdiagnoseArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Marketingkommunikation (abmeldbar)Art. 6 Abs. 1 lit. a oder lit. f DSGVO
Betrugsprävention, MissbrauchserkennungArt. 6 Abs. 1 lit. f und lit. c DSGVO
Offenlegung auf behördliche AnordnungArt. 6 Abs. 1 lit. c DSGVO

Für den Zugriff auf Informationen in Ihrem Endgerät (Cookies, Local Storage) beachten wir zusätzlich § 25 TTDSG und stützen uns auf Ihre Einwilligung bzw. auf die unbedingte Erforderlichkeit gemäß § 25 Abs. 2 Nr. 2 TTDSG.

5. B2B-Kontaktdaten (Prospects — wichtig)

Kernfunktion von Anvil ist die Entdeckung öffentlich verfügbarer Geschäftskontakte: über rechtmäßige Quellen finden wir für Sie Ansprechpartner (Name, geschäftliche E-Mail, Position, Unternehmen) in Ihrer Zielbranche. Dabei gilt:

  • Wir verarbeiten ausschließlich geschäftliche Kontaktdaten (work email, work phone, Jobtitel). Private Mobilnummern, Privatadressen oder Bankdaten werden nicht erhoben.
  • Quellen sind öffentlich zugängliche Unternehmenswebsites, öffentliche LinkedIn-Profile, Handelsverzeichnisse und Presseerklärungen. Wir respektieren robots.txt und die Nutzungsbedingungen der Quell-Sites — siehe Acceptable Use Policy § 6.
  • Jede über Anvil verschickte Werbe-E-Mail enthält zwingend einen funktionierenden Abmelde-Link. Abmeldungen werden global unterdrückt und innerhalb von 24 Stunden wirksam.
  • Als Rechtsgrundlage berufen wir uns auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Für jede Crawling-Kampagne führen wir eine Interessenabwägung (LIA) nach dem Drei-Stufen-Test (Zweck / Erforderlichkeit / Interessenabwägung) durch; das LIA-Dokument wird auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt.
  • Betroffene können direkt unter 738888@proton.me die Löschung verlangen. Wir leiten die Anfrage ggf. an den verantwortlichen Kunden weiter oder bearbeiten sie innerhalb von 30 Tagen selbst und benachrichtigen bereits belieferte Kunden.
  • Nutzer von Anvil sind vertraglich verpflichtet, das UWG, das BDSG sowie sämtliche anderen anwendbaren Anti-Spam- und Datenschutzvorschriften (CAN-SPAM, CASL, Art. 21 DSGVO, ePrivacy, PIPL) einzuhalten.

6. Datenverarbeitung durch KI-Funktionen

  • Anvil nutzt OpenAI GPT-5.4 / GPT-4o / GPT-4o-mini sowie Embedding-Modelle für KI-Funktionen (intelligentes Schreiben, Zusammenfassung, Intent-Erkennung).
  • Aufrufe erfolgen über die OpenAI Enterprise API. OpenAI nutzt die API-Daten der Kunden nicht zum Training ihrer allgemeinen Modelle (siehe OpenAI Enterprise Privacy).
  • KI-Ein- und Ausgaben werden bei uns 30 Tage zur Fehlerdiagnose und Missbrauchsüberwachung gespeichert und anschließend automatisch gelöscht. In den Einstellungen können Sie die Speicherung deaktivieren.
  • Wir verwenden Ihre Daten nicht zum Training eigener Modelle (wir betreiben derzeit keine eigenen Modelle).
  • Gewichtige Entscheidungen (z. B. Kontosperren) treffen wir nicht ausschließlich automatisiert; eine menschliche Überprüfung erfolgt immer (keine automatisierte Entscheidung i. S. v. Art. 22 DSGVO).

7. Weitergabe und Auftragsverarbeiter

Wir verkaufen Ihre personenbezogenen Daten nicht. Eine Weitergabe erfolgt nur:

  • An Auftragsverarbeiter, die zur Erbringung des Dienstes unentbehrlich sind (Cloudflare, Stripe, OpenAI, Resend u. a.). Die vollständige Liste finden Sie auf der Auftragsverarbeiter-Seite.
  • An von Ihnen ausdrücklich autorisierte Integrationen (Google Workspace, Slack u. a.).
  • Bei rechtlicher Verpflichtung, etwa aufgrund einer gerichtlichen Anordnung oder eines behördlichen Auskunftsersuchens.
  • Im Rahmen von Unternehmenstransaktionen (Fusionen, Übernahmen). Wir informieren Sie vorab und gewähren ein Widerspruchsrecht.

8. Datenübermittlung in Drittländer

Die Hauptrechenzentren von Anvil befinden sich in Hong Kong SAR. Einige Auftragsverarbeiter verarbeiten Daten in den USA oder in der EU.

  • Für Übermittlungen aus dem EWR / Vereinigten Königreich / der Schweiz stützen wir uns auf die Standardvertragsklauseln (SCC) der Europäischen Kommission (2021/914, Modul 2) sowie ggf. das UK IDTA und den Schweizer Zusatz.
  • Wir führen gemäß Schrems II eine Transferfolgenabschätzung (TIA) pro Auftragsverarbeiter durch und ergreifen zusätzliche Schutzmaßnahmen (Verschlüsselung, Schlüsseltrennung, Zugriffskontrollen).
  • Für Übermittlungen aus dem chinesischen Festland stützen wir uns auf Art. 38 PIPL und den von der CAC genehmigten Standardvertrag.
  • Enterprise-Kunden können vor Abschluss eine „EU only"- oder „US only"-Datenresidenz wählen.

9. Speicherdauer

  • Kontodaten: für die Dauer des Vertrags zzgl. 60 Tage nach Kündigung (soweit keine gesetzliche Aufbewahrungspflicht besteht).
  • Kundendaten (CRM, E-Mails, Workflows): aktiv während der Laufzeit; Löschung innerhalb von 30 Tagen nach Kontoschließung, sofern kein Exportverlängerungsantrag gestellt wird.
  • Finanz- und Steuerunterlagen: 10 Jahre gemäß § 147 AO und HGB (bzw. 7 Jahre nach HK-Steuerrecht, je nachdem was länger ist).
  • Log-Daten: 90 Tage, Sicherheits- und Audit-Logs bis zu 1 Jahr.
  • Verschlüsselte Backups: 35 Tage Rotation.
  • Abmeldelisten (Suppression Lists): unbegrenzt, um Abmeldewünsche dauerhaft zu respektieren.

10. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein, u. a.: TLS 1.3-Verschlüsselung bei der Übertragung, AES-256-GCM-Verschlüsselung ruhender Daten, rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung, WAF, Intrusion-Detection und jährliche Penetrationstests durch Dritte. Einzelheiten auf unserer Sicherheits-Seite.

Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO binnen 72 Stunden und die betroffenen Kunden bei hohem Risiko ohne unangemessene Verzögerung gemäß Art. 34 DSGVO.

11. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO insbesondere folgende Rechte uns gegenüber:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können eine Kopie der über Sie gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren lassen.
  • Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden"): Sie können die Löschung Ihrer Daten verlangen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie erhalten Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen, einschließlich Direktwerbung.
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
  • Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), z. B. beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) oder bei der jeweils zuständigen Landesbehörde (Liste auf datenschutzkonferenz-online.de).

Zur Ausübung Ihrer Rechte genügt eine E-Mail an 738888@proton.me. Wir antworten innerhalb der gesetzlichen Frist von einem Monat(Art. 12 Abs. 3 DSGVO, ggf. um zwei Monate verlängerbar bei komplexen Anträgen). Zum Schutz Ihrer Rechte können wir eine Identifikation verlangen.

12. Schutz Minderjähriger

Anvil ist ein B2B-Tool und richtet sich nicht an Personen unter 16 Jahren(§ 8 Abs. 1 DSGVO i. V. m. § 7 BDSG). Wir erheben wissentlich keine Daten von Minderjährigen. Sollten Sie feststellen, dass uns solche Daten zugegangen sind, bitten wir um Mitteilung an 738888@proton.me; wir werden die Daten unverzüglich löschen.

13. Kontakt & Impressum

  • E-Mail: 738888@proton.me
  • Telefon: +852 4748 1911
  • Postanschrift: Hong Kong Anvil Ltd., Hong Kong SAR
  • Datenschutzbeauftragter (DSB): per vorstehender E-Mail-Adresse erreichbar

Impressum-Angaben

  • Firmenname: Hong Kong Anvil Ltd.
  • Geschäftsadresse: Hong Kong SAR (Sonderverwaltungsregion Hongkong, VR China)
  • Vertretungsberechtigte Person: Director (im Hong Kong Companies Registry hinterlegt)
  • Kontakt: 738888@proton.me · +852 4748 1911
  • Zuständige Handelsregister-Behörde: Hong Kong Companies Registry (Business Registration Number auf Anfrage)

Ergänzende Impressum-Angaben sind auf der Kontakt-Seite (anvilhk.com/contact) verfügbar.

14. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann gelegentlich aktualisiert werden. Wesentliche Änderungen teilen wir Ihnen mindestens 30 Tage vor Inkrafttreten per E-Mail und Produktbenachrichtigung mit. Sind Sie mit der Änderung nicht einverstanden, können Sie vor deren Wirksamwerden kündigen und die Löschung Ihrer Daten verlangen.