Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Muhammet Öztürk & Mustafa Öztürk
Holzhauser Weg 5
49082 Osnabrück
Telefon: 0541 998 797 51
E-Mail: hello@oztric.de

Bei allen Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte Adresse oder an hello@oztric.de.

2. Datenschutzbeauftragter

Wir sind gemäß § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da in unserem Unternehmen weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei datenschutzrechtlichen Anliegen wenden Sie sich direkt an den Verantwortlichen (Ziffer 1).

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen des Verantwortlichen oder Dritter, sofern nicht Interessen oder Grundrechte der betroffenen Person überwiegen

Die jeweils anwendbare Rechtsgrundlage ist bei den einzelnen Verarbeitungstätigkeiten (Ziffer 4) angegeben.

4. Verarbeitungstätigkeiten

4.1 Aufruf unserer Website / Server-Logs

Beim Besuch unserer Website übermittelt Ihr Browser automatisch technische Zugriffsdaten an unseren Server: IP-Adresse (anonymisiert, letztes Oktett gekürzt), Zeitstempel, aufgerufene URL, HTTP-Methode, Antwort-Statuscode sowie den User-Agent-String (Browsertyp, Betriebssystem).

Zweck: Sicherstellung der Erreichbarkeit und Sicherheit des Dienstes, Erkennung und Abwehr von Angriffen, Fehlerdiagnose.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicher betriebenen Dienst).
Speicherdauer: 30 Tage, danach automatische Löschung.

4.2 Registrierung und Nutzerkonto

Zur Nutzung von QULOS können Sie ein Konto anlegen. Dabei erheben wir: E-Mail-Adresse, Name (optional), Organisation sowie ein selbst gewähltes Passwort. Passwörter werden ausschließlich als bcrypt-Hash gespeichert; das Klartextpasswort ist für uns zu keinem Zeitpunkt einsehbar.

Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Vertragsabwicklung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer der Vertragslaufzeit zuzüglich gesetzlicher Aufbewahrungsfristen (in der Regel 10 Jahre für handels- und steuerrechtliche Unterlagen). Nach Kontoauflösung werden personenbezogene Daten binnen 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht.

4.3 Sitzungsverwaltung (Session)

Nach erfolgreicher Anmeldung wird ein signiertes Session-Token im Browser gespeichert (HTTP-Only-Cookie). Das Token enthält keine sensiblen Nutzdaten; es referenziert lediglich die Sitzung in unserer Datenbank. IP-Adressen von Sitzungen werden einseitig gehasht gespeichert und können nicht rekonstruiert werden.

Zweck: Aufrechterhaltung der Anmeldesitzung, Schutz vor unbefugtem Kontozugriff.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Das Session-Cookie erlischt bei Abmeldung oder nach Ablauf der konfigurierten Sitzungsdauer.

4.4 Transaktionale E-Mails

Wir versenden systembedingte E-Mails an registrierte Nutzer: Willkommens-E-Mail nach Registrierung sowie E-Mails zum Zurücksetzen des Passworts. Der Versand erfolgt über unseren eigenen SMTP-Server mit Serverstandort in Deutschland.

Zweck: Vertragserfüllung, Kontosicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: E-Mail-Versandlogs werden maximal 30 Tage vorgehalten.

4.5 Zahlungsabwicklung über Stripe

Zahlungen werden über den Zahlungsdienstleister Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA) abgewickelt. Bei der Zahlung werden Zahlungsdaten (z. B. Kartennummer, Gültigkeitsdatum) direkt an Stripe übermittelt. Wir selbst speichern keine vollständigen Zahlungsmittelinformationen. Wir erhalten von Stripe lediglich eine anonymisierte Kunden-ID sowie Statusinformationen zur Transaktion.

Stripe ist gemäß dem EU-US Data Privacy Framework (DPF) zertifiziert, das einen angemessenen Datenschutz bei der Übermittlung in die USA gewährleistet. Zusätzlich haben wir mit Stripe EU-Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Weitere Informationen: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufzeichnungspflichten).
Speicherdauer: Gemäß steuerlichen Aufbewahrungsfristen (§ 147 AO) bis zu 10 Jahre.

4.6 Datei-Uploads über Bewerbungsformulare

Sofern ein Formular ein Datei-Upload-Feld enthält (z. B. Lebenslauf, Anschreiben), werden hochgeladene Dateien verschlüsselt im Objektspeicher von Cloudflare R2 (EU-Region) abgelegt. Der Zugriff auf die gespeicherten Dateien erfolgt ausschließlich über zeitlich limitierte, signierte URLs (1 Stunde gültig) und ist nur für autorisierte Nutzer (Kunden von QULOS) möglich. Cloudflare verarbeitet dabei technische Metadaten (Dateigröße, Dateityp, Zeitstempel).

Zweck: Sichere Speicherung und Bereitstellung von durch Bewerber hochgeladenen Bewerbungsunterlagen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und skalierbaren Speicherlösung).
Speicherort: Europäische Union (EU) — durch Datenlokalisierung in der R2-EU-Region gewährleistet.
Speicherdauer: Gemäß konfigurierter Bewerber-Aufbewahrungsfrist des Kunden (Standard: 180 Tage).

4.7 Eingebettete Lead-Qualifizierungsformulare (Auftragsverarbeitung)

Kunden von QULOS können Formulare zur Lead-Qualifizierung in ihre eigenen Websites einbetten. Die über diese Formulare von Endnutzern eingegebenen Daten (z. B. Name, E-Mail-Adresse, Unternehmen, sonstige vom Kunden konfigurierte Felder) werden im Auftrag des jeweiligen Kunden gemäß Art. 28 DSGVO verarbeitet. Der QULOS-Kunde ist in diesem Verhältnis der datenschutzrechtlich Verantwortliche; QULOS fungiert als Auftragsverarbeiter.

Unsere Kunden sind selbst dafür verantwortlich, eine rechtsgültige Rechtsgrundlage für die Erhebung der Daten ihrer Endnutzer sicherzustellen (z. B. durch eine eigene Datenschutzerklärung und ggf. Einwilligungsmechanismen).

Rechtsgrundlage für QULOS: Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 28 DSGVO (Auftragsverarbeitungsvertrag mit dem Kunden).
Speicherdauer: Gemäß Vereinbarung mit dem jeweiligen Kunden; nach Vertragsende werden Daten binnen 30 Tagen gelöscht oder dem Kunden zurückgegeben.

4.8 KI-gestütztes Lead-Scoring

QULOS analysiert die über Formulare eingereichten Lead-Daten mittels eines KI-basierten Scoring-Systems. Dabei wird jedem Lead automatisiert ein Score (0–100) sowie eine Qualifizierungs-Kategorie (HOT / WARM / COLD) zugewiesen. Das System gibt zudem eine textliche Begründung für das Scoring aus (erklärbare KI). Das Ergebnis kann durch den jeweiligen Kunden manuell überschrieben werden.

Das KI-Scoring dient der internen Priorisierung von Leads durch unsere Kunden. Es entfaltet keine unmittelbare rechtliche Wirkung gegenüber der betroffenen Person und führt zu keiner abschließenden automatisierten Entscheidung im Sinne von Art. 22 DSGVO, da stets eine menschliche Überprüfung und abschließende Entscheidung durch den Kunden erfolgt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse von QULOS und seiner Kunden an einer effizienten Leadbearbeitung) sowie vertragliche Grundlage gegenüber dem Kunden (Art. 28 DSGVO).

4.9 Double-Opt-In und Einwilligungsprotokolle

Sofern ein Formular eine Newsletter- oder Marketingeinwilligung enthält, setzt QULOS ein Double-Opt-In-Verfahren ein. Einwilligungen werden mit Zeitstempel, IP-Adresse (anonymisiert) und Formular-ID protokolliert, um die datenschutzrechtliche Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO zu erfüllen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 7 Abs. 1 DSGVO (Nachweispflicht).
Speicherdauer: Einwilligungsprotokolle werden für die Dauer des Nutzungsverhältnisses sowie 3 Jahre nach dessen Ende aufbewahrt.

4.10 Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, speichern wir Ihre E-Mail-Adresse sowie den Inhalt Ihrer Nachricht zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage einem bestehenden oder vorvertraglichen Verhältnis zuzuordnen ist.
Speicherdauer: Bis zur abschließenden Klärung Ihres Anliegens, danach binnen 90 Tagen Löschung, soweit keine gesetzliche Aufbewahrungspflicht besteht.

5. Cookies und lokaler Speicher

QULOS verwendet ausschließlich technisch notwendige Cookies:

  • Session-Cookie (HTTP-Only, Secure): Dient der Aufrechterhaltung der Anmeldesitzung. Kein Tracking, keine Weitergabe an Dritte.

Es werden keine Analyse-, Werbe- oder Drittanbieter-Cookies eingesetzt (kein Google Analytics, kein Facebook Pixel o. Ä.). Eine Cookie-Einwilligung (Consent-Banner) ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

6. Datenspeicherung und Hosting

Alle personenbezogenen Daten werden auf Servern der Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen, Deutschland) betrieben. Alle personenbezogenen Daten werden ausschließlich in Rechenzentren in Deutschland verarbeitet und gespeichert. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datei-Uploads (Cloudflare R2): Über Bewerbungsformulare hochgeladene Dateien (z. B. Lebensläufe, Anschreiben) werden im Objektspeicher Cloudflare R2 der Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) gespeichert. Der Speicherort ist auf die Europäische Union (EU-Region) beschränkt. Cloudflare ist gemäß dem EU-US Data Privacy Framework (DPF) zertifiziert; zusätzlich wurden EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Es besteht ein Data Processing Addendum (DPA) mit Cloudflare. Weitere Informationen: cloudflare.com/privacypolicy.

Es findet kein weiterer Transfer in Drittstaaten außerhalb der EU / des EWR statt, mit Ausnahme der Zahlungsabwicklung über Stripe sowie der API-Anbindung für das KI-Scoring über Groq, Inc. (USA), für die jeweils geeignete Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln) vorliegen.

7. Empfänger personenbezogener Daten

Eine Weitergabe Ihrer Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich, gesetzlich vorgeschrieben oder durch berechtigte Interessen gedeckt ist. Im Einzelnen:

  • Stripe, Inc. – Zahlungsabwicklung (vgl. Ziffer 4.5)
  • ALL-INKL.COM – Neue Medien Münnich (Inhaber: René Münnich, Hauptstraße 68, 02742 Friedersdorf) – E-Mail-Versand über SMTP; Serverstandort Deutschland; Auftragsverarbeitungsvertrag abgeschlossen
  • Cloudflare, Inc. (USA) – Objektspeicherung von Datei-Uploads (Bewerbungsunterlagen) über Cloudflare R2; Speicherort EU; zertifiziert gemäß EU-US Data Privacy Framework (DPF); Data Processing Addendum (DPA) abgeschlossen; SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Groq, Inc. (USA) – KI-Infrastruktur / API-Inferenz für das Lead-Scoring; Verarbeitung von Lead-Daten ausschließlich zur Echtzeit-Inferenz, keine Speicherung zu Trainingszwecken; Absicherung durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • QULOS-Kunden – erhalten die über ihre Formulare erhobenen Lead-Daten im Rahmen der Auftragsverarbeitung (Ziffer 4.6)
  • Behörden – bei gesetzlicher Verpflichtung (z. B. Strafverfolgungsbehörden auf rechtmäßige Anfrage)

Eine Übermittlung an weitere Dritte oder eine Nutzung zu Werbezwecken durch Dritte findet nicht statt.

8. Auftragsverarbeitung (Art. 28 DSGVO)

Mit Kunden, die QULOS zur Verarbeitung von Lead-Daten einsetzen, schließen wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO ab. Diese regeln insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Datenkategorien sowie die Rechte und Pflichten des Kunden als Verantwortlichen.

Als Auftragsverarbeiter handeln wir ausschließlich auf dokumentierte Weisung unserer Kunden und ergreifen geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten.

9. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten, deren Herkunft, Empfänger und Verarbeitungszwecke verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können unter den gesetzlichen Voraussetzungen die Löschung Ihrer Daten verlangen. Einem Löschbegehren kann entgegenstehen, dass gesetzliche Aufbewahrungspflichten bestehen oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, soweit die gesetzlichen Voraussetzungen vorliegen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen oder einem von Ihnen benannten Verantwortlichen die Sie betreffenden Daten in einem strukturierten, gängigen, maschinenlesbaren Format bereitstellen, soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Hinweis auf Ihr Widerspruchsrecht gemäß Art. 21 DSGVO

Soweit wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) verarbeiten, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen diese Verarbeitung Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Ausübung Ihres Widerspruchsrechts genügt eine formlose Mitteilung an: hello@oztric.de

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Behörde für unseren Unternehmenssitz in Niedersachsen ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD)
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: www.lfd.niedersachsen.de

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes oder Arbeitsplatzes wenden.

Geltendmachung Ihrer Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich schriftlich oder per E-Mail an: hello@oztric.de
Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO). Zur Identitätsprüfung können wir geeignete Nachweise anfordern.

10. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Dazu zählen u. a.:

  • Verschlüsselte Übertragung mittels TLS (HTTPS) für alle Verbindungen
  • Passwort-Hashing mit bcrypt (Kostenfaktor 10)
  • IP-Adress-Anonymisierung durch einseitiges Hashing
  • HTTP-Only- und Secure-Flags für Session-Cookies
  • Zugriffsbeschränkungen auf Datenbankebene (Least-Privilege-Prinzip)
  • Serverstandort in Deutschland

Die Sicherheitsmaßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.

11. Kinder und Minderjährige

Unser Dienst richtet sich ausschließlich an Personen, die das 16. Lebensjahr vollendet haben. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten uns solche Daten bekannt werden, werden wir diese unverzüglich löschen.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen ändern oder wir neue Datenverarbeitungen einführen. Die jeweils aktuelle Fassung ist stets unter qulos.de/privacy abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail. Stand dieser Version: April 2026.