Datenschutz
Präambel
Der Schutz Ihrer personenbezogenen Daten hat für uns, die Airlead GmbH, höchste Priorität. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der geltenden Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO). Mit dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir erheben, wie wir sie verwenden, an wen wir sie weitergeben und welche Rechte Sie in Bezug auf Ihre Daten haben.
Diese Datenschutzerklärung gilt für alle Datenverarbeitungen im Zusammenhang mit der Leadgenerierung über unsere eigenen Webseiten, Werbeanzeigen, Formulare, Softwarelösungen sowie über unsere Partnerseiten.
Verantwortlicher
Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO)
Hyperplace ist ein Geschäftsbereich der Airlead GmbH.
Airlead GmbH
Gablonzer Straße 2
76185 Karlsruhe
Deutschland
Telefon: 07251 9637190
E-Mail: info@hyperplace.de
Datenschutzbeauftragter: Marco Kolb
E-Mail: datenschutz@hyperplace.de
Die Airlead GmbH („Hyperplace“, „wir“, „uns“) ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für sämtliche im Rahmen der Hyperplace-Plattform, der Field-Agent-App, der internen Systeme, der Lead- und Vertragsverarbeitung sowie der angebundenen Dienste erfolgenden Verarbeitungen personenbezogener Daten, soweit in dieser Datenschutzerklärung nichts Abweichendes geregelt ist.
Soweit personenbezogene Daten an externe Partnerunternehmen (z. B. Energieversorger, Installationsbetriebe, Vergleichsplattformen, Callcenter oder sonstige Leistungserbringer) übermittelt werden, erfolgt dies – abhängig vom jeweiligen Verarbeitungskontext – entweder:
als Übermittlung an eigenständig Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO oder
im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
Die jeweilige datenschutzrechtliche Rollenverteilung richtet sich nach der konkreten Ausgestaltung der Zusammenarbeit und wird vertraglich festgelegt.
Ein Datenschutzbeauftragter ist bestellt. Die Kontaktdaten ergeben sich aus dem Impressum.
II. Geltungsbereich und Systemlandschaft / Scope and System Landscape
Diese Datenschutzerklärung gilt für sämtliche Verarbeitungsvorgänge personenbezogener Daten im Zusammenhang mit:
der Website hyperplace.de sowie sämtlichen Landingpages, Funnels und Formularstrecken,
der Hyperplace Field-Agent-App,
Door-to-Door-Erhebungen durch selbständige Field Agents,
internen Systemen, Datenbanken und CRM-Strukturen,
der eigenen Verwertung von Daten, insbesondere im Rahmen von Strom- und Gaswechselservices,
der automatisierten Qualifikation, Anreicherung, Analyse, Segmentierung und Bewertung von Datensätzen,
der Weitergabe von Leads und Datensätzen an Partnerunternehmen,
dem Einsatz KI-gestützter Systeme (u. a. Sprachanalyse/Transkription, OCR, Scoring, Matching, Entscheidungsunterstützung).
Die Verarbeitung erfolgt sowohl automatisiert als auch manuell, lokal sowie cloudbasiert, unter Einbindung einer Systemlandschaft, u. a.:
Sipgate, Inopla, Vercel, Supabase, Meta, Google, TikTok, Taboola, Outbrain, n8n, Make, ActiveCampaign, Bravo, Twilio, WhatsApp, Prelude, Microsoft, Cohere, Cello, Segment.io, Perspective, Ocean.io, Langflow, OpenAI (ChatGPT), Anthropic (Claude), Google Analytics, Umami, Google Tag Manager, Hotjar, Amplitude sowie weitere vergleichbare Dienste.
Die Nutzung dieser Systeme erfolgt zur Erfüllung vertraglicher und vorvertraglicher Maßnahmen, zur Durchführung von Marketing- und Vertriebsprozessen, zur operativen Abwicklung von Wechsel- und Vermittlungsprozessen sowie zur technischen, analytischen und organisatorischen Steuerung der Plattform.
III. Kategorien personenbezogener Daten / Categories of Personal Data
Je nach Nutzungskontext, Interaktionskanal und Produktkategorie verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:
Stammdaten
Vor- und Nachname, Anrede, ggf. Haushaltszusammensetzung.Kontakt- und Kommunikationsdaten
Anschrift, Telefonnummern, E-Mail-Adressen, bevorzugte Kontaktkanäle, Erreichbarkeiten.Objekt- und Gebäudedaten
Gebäudetyp, Dachform, Dachfläche, Ausrichtung, Verschattung, Bauart, Eigentümerstatus.Energie- und Verbrauchsdaten
Strom- und Gasverbrauch, Anbieter, Kosten, Zählernummern, ggf. MaLo-IDs, Heizsystem-Informationen.Vertrags- und Mandatsdaten
Vertragsstatus, Wechselzeitpunkte, Mandate, digitale Signaturen, IBAN (sofern erforderlich).Interaktions- und Gesprächsdaten
Gesprächsprotokolle, Call-Logs, Chat-Verläufe, Notizen, Qualifizierungsmerkmale.Standort- und Geodaten
Adresskoordinaten, ggf. Bewegungsdaten im Rahmen der Field-Agent-App.Einwilligungs- und Nachweisdaten
Opt-ins, Zeitstempel, IP-Adressen, Double-Opt-In-/OTP-Status, Widerrufe.Technische Metadaten
IP-Adresse, User-Agent, Header-Informationen, Session-IDs, Geräte- und Browserinformationen.System- und Prozessdaten
Lead-IDs, Vendor-IDs, Statusfelder, Routing-Informationen, Matching-Ergebnisse, Bewertungs- und Scoringdaten.
Diese Daten können – abhängig vom jeweiligen Verarbeitungskontext – miteinander verknüpft, angereichert, bewertet und in strukturierte Entscheidungsprozesse überführt werden.
IV. Verarbeitungszwecke und Rechtsgrundlagen / Purposes of Processing and Legal Bases
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der nachfolgend beschriebenen Zwecke und auf Grundlage der jeweils einschlägigen Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO. Soweit eine Verarbeitung auf einer Einwilligung beruht, ist diese jederzeit mit Wirkung für die Zukunft widerrufbar.
Die Verarbeitung ist funktional in mehrere Verarbeitungskontexte gegliedert, die jeweils eigenständig rechtlich bewertet werden:
Betrieb der Plattform, Website und App
Zweck: Bereitstellung, Stabilität und Sicherheit; Authentifizierung; Sitzungsverwaltung; Fehleranalyse; Missbrauchsverhinderung; technischer Betrieb.Daten: technische Metadaten, System- und Prozessdaten.Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und wirtschaftlichem Betrieb).Lead-Erhebung und Qualifikation (Website, Door-to-Door, App)
Zweck: Entgegennahme und Bearbeitung von Anfragen; Vorqualifikation; Vorbereitung von Angeboten/Beratungsleistungen.Daten: Stamm-, Kontakt-, Objekt-, Energie-, Einwilligungsdaten.Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit erforderlich); Art. 6 Abs. 1 lit. f DSGVO (effiziente Vorqualifikation).Weitergabe an Partnerunternehmen
Zweck: Vermittlung an geeignete Anbieter; Einholung/Übermittlung von Angeboten; exklusive oder parallele Angebotsprozesse; Vergleichsmodelle.Daten: produkt- und prozessrelevante Stamm-, Kontakt-, Objekt-, Energie- und Prozessdaten.Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (exklusive Vermittlung / vorvertragliche Maßnahmen) und/oder Art. 6 Abs. 1 lit. a DSGVO (Mehrfachweitergabe), ergänzend Art. 6 Abs. 1 lit. f DSGVO (wirtschaftliche Verwertung).Eigene Verwertung (z. B. Strom- und Gaswechselservice)
Zweck: Durchführung von Wechsel-/Optimierungsprozessen; Mandatsabwicklung; Vertragsmanagement; Kommunikation.Daten: Kontakt-, Energie-, Vertrags- und Mandatsdaten, Signaturen, Identifikationsmerkmale.Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. a DSGVO.Analyse, Optimierung und Steuerung
Zweck: Produkt- und Prozessoptimierung; Performanceanalyse; Betrugsprävention; Qualitätssicherung; Bedarfsanalyse.Daten: technische Metadaten, Nutzungs- und Systemdaten (ggf. aggregiert).Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; soweit gesetzlich erforderlich Art. 6 Abs. 1 lit. a DSGVO.Einsatz KI-gestützter Systeme
Zweck: Automatisierte Vorqualifikation; Sprachanalyse/Transkription; OCR; Scoring; Matching; Entscheidungsunterstützung; Effizienzsteigerung.Daten: Interaktions-, Gesprächs-, Objekt-, Energie- und Systemdaten.Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO; ggf. Art. 6 Abs. 1 lit. a DSGVO.
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt, soweit nicht im Einzelfall ausdrücklich anders gekennzeichnet.
V. Verarbeitungskontexte im Detail / Detailed Processing Contexts
Die nachfolgenden Abschnitte konkretisieren die Zwecke und Rechtsgrundlagen anhand der einzelnen Verarbeitungskontexte.
Website, Landingpages und Funnels
Verarbeitungsvorgänge: Bereitstellung der Inhalte; Formularerfassung und Übermittlung von Anfragen; Session und Fehleranalyse; Einsatz von Analyse-, Marketing- und Tag-Management-Systemen.
Datenkategorien: Kontakt- und Stammdaten; technische Metadaten; Einwilligungsdaten; Nutzungsdaten.
Empfänger: Hosting- und Infrastrukturprovider (z. B. Vercel, Supabase); Analyse- und Marketingdienste (z. B. Google, Meta, TikTok, Taboola, Outbrain, Segment, Hotjar, Amplitude, Umami; Google Tag Manager).
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Anfragebearbeitung); Art. 6 Abs. 1 lit. f DSGVO (Betrieb und Sicherheit); Art. 6 Abs. 1 lit. a DSGVO (Tracking/Marketing, soweit erforderlich).
Field-Agent App
Verarbeitungsvorgänge: Authentifizierung; Erfassung von Lead-/Objektdaten; ggf. Standort-/Bewegungsdaten; Synchronisation mit zentralen Systemen.
Datenkategorien: Stamm-, Kontakt-, Objekt-, Energie-, Standort-, System- und Prozessdaten.
Empfänger: interne Systeme; technische Dienstleister (z. B. Supabase, Vercel).
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vertragliche Nutzung); Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit, Qualitätssicherung).
Door-to-Door-Erhebung
Verarbeitungsvorgänge: Manuelle Datenerhebung durch Field Agents; digitale Erfassung vor Ort; Übermittlung an zentrale Systeme.
Datenkategorien: Kontakt-, Objekt-, Energie- und Einwilligungsdaten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. a DSGVO (Einwilligungen); Art. 6 Abs. 1 lit. f DSGVO (wirtschaftliche Verwertung).
Interne Systeme und CRM
Verarbeitungsvorgänge: Speicherung, Strukturierung, Anreicherung; Status- und Prozesssteuerung; Routing/Matching/Priorisierung; Qualitätssicherung; Betrugsprävention.
Datenkategorien: sämtliche in Abschnitt III genannten Kategorien.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO.
Partnerweitergabe
Verarbeitungsvorgänge: Exklusive oder parallele Übermittlung; API-basierte Übergabe; Vergleichs- und Angebotsprozesse.
Empfänger: Energieversorger, Installationsbetriebe, Vergleichs-/Vermittlungsplattformen, Callcenter, Vertriebsdienstleister.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (exklusive Vermittlung); Art. 6 Abs. 1 lit. a DSGVO (Mehrfachweitergabe); Art. 6 Abs. 1 lit. f DSGVO (wirtschaftliche Verwertung).
Eigene Wechsel- und Vermittlungsservices
Verarbeitungsvorgänge: Mandatsverwaltung; Vertragsabwicklung; Kommunikation mit Netzbetreibern/Anbietern; Statusverfolgung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. a DSGVO.
VI. Empfänger, Auftragsverarbeiter und Datenweitergabe / Recipients, Processors and Data Transfers
Personenbezogene Daten werden innerhalb der Airlead-/Hyperplace-Organisation ausschließlich denjenigen Stellen zugänglich gemacht, die diese zur Erfüllung der jeweils definierten Zwecke benötigen („Need-to-know-Prinzip“).
Darüber hinaus erfolgt eine Weitergabe personenbezogener Daten an externe Dritte ausschließlich in den nachfolgend beschriebenen Konstellationen:
Konzerninterne Verarbeitung
Innerhalb der Airlead-Gruppe können personenbezogene Daten an weitere Gesellschaften oder Organisationseinheiten übermittelt werden, sofern dies für den Betrieb der Plattform, die Durchführung von Verträgen oder die Wahrnehmung berechtigter Interessen erforderlich ist. Die Verarbeitung erfolgt in diesem Fall entweder:
im Rahmen einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO oder
auf Grundlage einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
Die konkrete Rollenverteilung ist jeweils vertraglich geregelt.
Auftragsverarbeiter (Art. 28 DSGVO)
Wir bedienen uns externer Dienstleister, die personenbezogene Daten in unserem Auftrag verarbeiten, insbesondere in den Bereichen:
Hosting und Infrastruktur (z. B. Vercel, Supabase)
Kommunikations- und Telefoniedienste (z. B. Sipgate, Twilio, WhatsApp)
Marketing- und Automatisierungsplattformen (z. B. ActiveCampaign, n8n, Make)
Analyse- und Trackingdienste (z. B. Google Analytics, Amplitude, Hotjar, Umami, Google Tag Manager)
KI-gestützte Dienste (z. B. OpenAI, Anthropic, Cohere, Langflow)
Mit sämtlichen Auftragsverarbeitern werden Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen, die insbesondere Regelungen zu Vertraulichkeit, Datensicherheit, Weisungsgebundenheit und Kontrollrechten enthalten.
Übermittlung an eigenständig Verantwortliche
Personenbezogene Daten werden an externe Partner als eigenständig Verantwortliche übermittelt, sofern dies zur Erfüllung der angefragten Leistungen erforderlich ist, insbesondere an:
Energieversorger und Netzbetreiber
Installationsbetriebe und Handwerksunternehmen
Vergleichs- und Vermittlungsplattformen
Callcenter und Vertriebsdienstleister
Die Übermittlung erfolgt:
im Rahmen exklusiver Vermittlungsmodelle oder
im Rahmen paralleler Angebots- und Vergleichsmodelle, sofern der Betroffene dem ausdrücklich zugestimmt hat.
In diesen Fällen verarbeiten die Empfänger die Daten in eigener datenschutzrechtlicher Verantwortung.
Keine Weitergabe im Übrigen
Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn:
sie ist gesetzlich vorgeschrieben (z. B. gegenüber Behörden),
sie ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, oder
der Betroffene hat ausdrücklich eingewilligt.
Erweiterte Transparenz für benannte Partner
Ergänzend zu den vorstehenden Empfängerkategorien stellen wir eine gesonderte Übersicht über aktuell namentlich benannte Partner zur Verfügung, an die personenbezogene Daten im Rahmen der Hyperplace-Plattform übermittelt werden können.
Abrufbar unter: https://www.hyperplace.de/datenschutzerklärung/partner
Die dort aufgeführte Liste stellt eine nicht abschließende Momentaufnahme dar und wird bei Bedarf aktualisiert. Sie dient der erweiterten Transparenz gegenüber betroffenen Personen und Geschäftspartnern, ohne die vorstehende kategoriale Beschreibung der Empfänger zu ersetzen oder einzuschränken.
VII. Drittlandübermittlungen und internationale Datenverarbeitung / International Data Transfers
Ein Teil der in dieser Datenschutzerklärung beschriebenen Verarbeitungsvorgänge erfolgt unter Einbindung von Dienstleistern oder Systemen mit Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums („Drittländer“), insbesondere in den Vereinigten Staaten von Amerika.
Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich unter Beachtung der Vorgaben der Art. 44 ff. DSGVO und nur, sofern mindestens eine der folgenden Voraussetzungen erfüllt ist:
Angemessenheitsbeschluss gemäß Art. 45 DSGVO; oder
geeignete Garantien gemäß Art. 46 DSGVO, insbesondere Standarddatenschutzklauseln (SCC); oder
Ausnahmetatbestände gemäß Art. 49 DSGVO.
Soweit eine Übermittlung auf SCC gestützt wird, werden ergänzend risikobasierte technische und organisatorische Maßnahmen implementiert, u. a. Verschlüsselung, Zugriffsbeschränkungen, Protokollierung/Monitoring, Datenminimierung und Pseudonymisierung.
Wir führen – entsprechend EDPB-Leitlinien – Transfer Impact Assessments (TIA) durch. Ein Restrisiko staatlicher Zugriffe in Drittländern kann trotz Maßnahmen nicht vollständig ausgeschlossen werden.
VIII. Automatisierte Entscheidungen, Profiling und KI-Verarbeitung / Automated Decision-Making, Profiling and AI
Wir setzen automatisierte Verarbeitungsmechanismen und KI-gestützte Verfahren u. a. zur Normalisierung, Vorqualifikation, Bewertung, Priorisierung/Routing, Transkription, OCR, Prognosen und Handlungsempfehlungen ein. Diese Vorgänge können Profiling-Elemente i. S. v. Art. 4 Nr. 4 DSGVO enthalten.
Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung i. S. v. Art. 22 DSGVO findet nicht statt, sofern nicht im Einzelfall ausdrücklich anders gekennzeichnet. Menschliche Eingriffsmöglichkeiten sind vorgesehen.
IX. Speicherdauer und Löschkonzepte / Retention Periods and Deletion
Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Erfüllung der beschriebenen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Die Speicherdauer richtet sich u. a. nach Verarbeitungskontext, Prozessstadium, gesetzlichen Fristen, Einwilligungsstatus sowie Widerruf/Widerspruch/Löschereignissen.
Grundsätze:
Anfragen ohne Vertragsbezug: regelmäßig 6–24 Monate nach Abschluss des Vorgangs.
Leads/Vermittlung: Dauer der aktiven Bearbeitung + angemessene Nachlaufphase.
Vertrags-/Mandatsdaten: Dauer des Vertrags + gesetzliche Aufbewahrung (regelmäßig bis zu 10 Jahre).
Einwilligungs-/Nachweisdaten: Dauer der Verarbeitung + Verjährungsfristen zur Nachweisführung.
Technische Logs: regelmäßig 7–90 Tage, soweit nicht sicherheitsrelevant erforderlich.
Statt Löschung kann eine Einschränkung gem. Art. 18 DSGVO erfolgen. Backups unterliegen gesonderten Löschzyklen.
X. Rechte der betroffenen Personen / Data Subject Rights
Betroffene Personen haben die Rechte aus Art. 15–21 DSGVO, insbesondere: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf erteilter Einwilligungen (Art. 7 Abs. 3).
Zur Geltendmachung kann sich die betroffene Person an die Kontaktdaten in Abschnitt I wenden.
XI. Beschwerderecht / Right to Lodge a Complaint
Unbeschadet anderweitiger Rechtsbehelfe besteht gem. Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, insbesondere am gewöhnlichen Aufenthaltsort, Arbeitsplatz oder Ort des mutmaßlichen Verstoßes. Zuständig ist grundsätzlich die Behörde des Bundeslandes des Gesellschaftssitzes.
XII. Technische und organisatorische Maßnahmen (TOMs) / Technical and Organizational Measures
Wir treffen angemessene TOMs i. S. v. Art. 32 DSGVO, u. a. Verschlüsselung (in transit/at rest), rollenbasierte Zugriffskontrollen, Protokollierung/Monitoring, Trennung von Umgebungen, regelmäßige Audits/Tests, Backup/Recovery, Schulungen/Vertraulichkeitsverpflichtungen, Incident-Response, Datenminimierung und Pseudonymisierung (soweit möglich). TOMs werden regelmäßig überprüft und fortentwickelt.
XIII. Versionierung, Änderungen und Geltung / Versioning, Amendments and Applicability
Diese Datenschutzerklärung gilt in der jeweils aktuellen Fassung für sämtliche in Abschnitt II beschriebenen Verarbeitungskontexte. Wir behalten uns Anpassungen vor, sofern dies aufgrund geänderter rechtlicher Anforderungen, technischer Entwicklungen, organisatorischer Änderungen oder der Erweiterung unserer Leistungen erforderlich wird. Die jeweils aktuelle Fassung wird veröffentlicht; wesentliche Änderungen werden geeignet kommuniziert.
