Datenschutzerklärung

Stand: 08. Januar 2026

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten verarbeiten, wenn Sie

  • unsere Website besuchen,
  • ein Konto erstellen oder
  • unsere SaaS‑Plattform 36leads nutzen.

1. Verantwortlicher

36leads Soziev (Einzelunternehmen)
Inhaber: Stanislav Soziev
Earhart‑Strasse 8, 8152 Opfikon, Kanton Zürich, Schweiz
E‑Mail: info@36leads.io
Website: www.36leads.io

Datenschutz‑Kontakt: info@36leads.io

Vertreter in der EU (Art. 27 DSGVO):

Vadim Soziev
Schrambergerstrasse 3, 78056 Villingen-Schwenningen, Deutschland
E-Mail: info@36leads.io

Vertreter im Vereinigten Königreich (UK GDPR):

Wir sind in der Schweiz ansässig. Sofern wir nach anwendbarem Recht verpflichtet sind, einen Vertreter im Vereinigten Königreich zu benennen, veröffentlichen wir dessen Kontaktdaten an dieser Stelle.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website www.36leads.io sowie für die Plattform 36leads (Web‑App) inklusive aller Funktionen (Post‑Generator, Scheduling/Publishing, ICP‑Setup, Lead‑Finder, Connection‑Engine, Lead‑Scanning, Icebreaker‑Generierung, Conversation‑Autopilot, Engagement‑Automation).

Wir bieten 36leads weltweit an. Je nach Wohnsitz/Standort der Nutzer können zusätzlich lokale Datenschutzgesetze (z. B. DSGVO/UK GDPR) anwendbar sein.

3. Rollenverständnis: Wer ist wofür verantwortlich?

Je nach Kontext können unterschiedliche Rollen gelten:

Website & Account‑Verwaltung:

Wir handeln typischerweise als Verantwortlicher.

Verarbeitung von Daten Ihrer Leads/Kontakte (z. B. LinkedIn‑Zielpersonen):

In der Regel handeln Sie bzw. Ihr Unternehmen als Verantwortlicher und wir als Auftragsverarbeiter (Art. 28 DSGVO / Art. 9 revDSG), weil wir diese Daten ausschließlich nach Ihren Weisungen im Rahmen der Plattform verarbeiten.

Das gilt auch, wenn Sie Enrichment aktivieren und wir dazu (nach Ihren Einstellungen) externe Datenanbieter einbinden; diese agieren dann typischerweise als unsere Unterauftragsverarbeiter/Empfänger oder als eigenständige Verantwortliche (je nach Anbieter‑Modell).

Wenn Sie uns als Kunde Daten Dritter (z. B. Prospect‑Daten) in die Plattform bringen, sind Sie dafür verantwortlich, dass Sie dafür eine gültige Rechtsgrundlage haben und – soweit erforderlich – betroffene Personen informieren.

4. Welche Daten verarbeiten wir?

4.1 Website‑Nutzung (Server‑Logfiles)

Wenn Sie unsere Website aufrufen, verarbeiten wir technisch erforderliche Daten, z. B.:

  • IP‑Adresse (ggf. gekürzt),
  • Datum/Uhrzeit des Zugriffs,
  • aufgerufene Seiten/Dateien,
  • Referrer‑URL,
  • Browser/Device‑Informationen,
  • Betriebssystem,
  • Statuscodes.

Zweck: Auslieferung der Website, Stabilität/Sicherheit, Fehleranalyse, Missbrauchs‑/Betrugserkennung.

4.2 Kontaktaufnahme

Wenn Sie uns kontaktieren (z. B. per E‑Mail), verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E‑Mail, Nachricht, Unternehmensdaten) zur Bearbeitung Ihrer Anfrage.

4.3 Registrierung, Login & Konto

Bei Erstellung und Nutzung eines Kontos verarbeiten wir z. B.:

  • Stammdaten (Name, E‑Mail, Firma, Rolle),
  • Authentifizierungsdaten (z. B. Session‑Tokens),
  • Sicherheits-/Missbrauchsdaten (z. B. technische Signale zur Bot‑/Spam‑Abwehr),
  • ggf. SSO‑Daten (z. B. GitHub OAuth, falls genutzt).
  • Zahlungs- und Abrechnungsdaten (bei kostenpflichtigen Plänen; z. B. Rechnungsadresse, Land, MwSt.-ID, Zahlungsstatus, Transaktions-/Rechnungsnummer, gebuchter Plan),
  • Vertrags-/Abo-Daten (z. B. Laufzeit/Abrechnungsintervall, Abonnementstatus, Verlängerung, Kündigungs-/Enddatum).

Authentifizierung: Wir verwenden für Login und Session‑Management den Dienst Clerk.

CAPTCHA/Bot‑Schutz: Wir setzen zum Schutz vor Missbrauch ein CAPTCHA ein (z. B. hCaptcha).

Zahlungsabwicklung: 36leads ist subscription-basiert (laufende Abrechnung; i. d. R. monatlich kündbar). Zahlungen werden je nach Region/Plan über Stripe oder Paddle abgewickelt. Zahlungsdaten (z. B. Karten-/Kontodaten) werden dabei in der Regel direkt beim jeweiligen Zahlungsanbieter verarbeitet; wir erhalten typischerweise Informationen wie Zahlungsstatus, Rechnungsdaten und Transaktionskennungen.

Weitere Informationen finden Sie in den Datenschutzhinweisen der Zahlungsanbieter:
Stripe: https://stripe.com/privacy
Paddle: https://www.paddle.com/legal/privacy

4.4 Nutzungsdaten in der Plattform (36leads)

Je nach genutzten Features verarbeiten wir insbesondere:

  • Content‑Eingaben (RAW‑Ideen, Notizen, Briefings, Themen),
  • generierte Inhalte (Posts, Hooks, Varianten),
  • Planungsdaten (Scheduling‑Zeitpunkte, Status, Freigaben, Feedback),
  • ICP‑Definitionen (Zielkundenprofil, Kriterien),
  • Lead‑Listen/Selektionen innerhalb der Plattform,
  • Kommunikationsinhalte (z. B. Icebreaker‑Texte, Nachrichten‑Vorlagen, ggf. Conversation‑Verläufe),
  • Engagement‑Inhalte (z. B. Kommentar‑Vorschläge),
  • Nutzungs‑/Eventdaten (z. B. welche Funktionen genutzt wurden, technische Diagnosedaten).

4.5 LinkedIn‑Daten

Damit 36leads LinkedIn‑Automationen ausführen kann, verarbeiten wir – abhängig vom Setup – Daten aus Ihrem LinkedIn‑Konto und aus LinkedIn‑Oberflächen/Endpunkten, z. B.:

  • Daten Ihres LinkedIn‑Profils (Name, Profil‑URL, berufliche Angaben),
  • Inhalte, die Sie posten oder planen möchten,
  • Zielpersonen/Leads (z. B. Name, Position, Unternehmen, Profil‑URL, öffentlich sichtbare Profilinfos),
  • öffentlich sichtbare Beiträge/Interaktionen von Zielpersonen (zur Kontextualisierung),
  • Verbindungsstatus (z. B. Einladung gesendet/angenommen),
  • ggf. Nachrichten/Antworten, soweit Sie Conversation‑Funktionen aktivieren.

Verknüpfung über Unipile: Wenn Sie Ihr LinkedIn‑Konto verbinden, öffnet 36leads ein separates Unipile‑Fenster/Tab. Die Eingabe Ihrer LinkedIn‑Zugangsdaten erfolgt dort direkt bei Unipile; wir erhalten Ihr LinkedIn‑Passwort nicht. Unipile beschreibt zudem, dass es keine Nutzer‑Zugangsdaten speichert, jedoch u. a. Nachrichteninhalte und Account‑Einstellungen verbundener Accounts auf seinen Systemen speichern kann.

Hinweis: Wir sind nicht mit LinkedIn verbunden oder von LinkedIn autorisiert, sofern nicht ausdrücklich anders angegeben.

4.6 Externe Datenquellen & Enrichment

Für Lead‑Scoring, Segmentierung und Personalisierung können wir – abhängig von Ihren Einstellungen – Daten aus externen B2B‑Datenbanken und öffentlich zugänglichen Quellen nutzen („Enrichment“). Dabei können z. B. folgende Kategorien verarbeitet werden:

  • Unternehmens‑ und Rolleninformationen (z. B. Company, Position, Branche),
  • Kontakt-/Identifikationsdaten (z. B. E-Mail-Adresse oder Unternehmensdomain, sofern verfügbar). Soweit im Rahmen der Datenquellen technisch verfügbar, kann dies auch die beim LinkedIn-Konto hinterlegte E-Mail-Adresse sein (häufig eine private Adresse). Diese E-Mail-Adresse geben wir nach aktuellem Stand nicht an unsere Kunden weiter.
  • Firmographics/Signals (z. B. Größe, Standort, Tech‑Stack‑Hinweise),
  • Referenzen/Links (z. B. Website‑URLs, Profil‑URLs).

Keine Telefonnummern: Nach aktuellem Stand verarbeiten wir im Rahmen des Enrichment keine Telefonnummern.

4.7 Uploads (Bilder, Dateien, Kontaktlisten)

Nutzer können Inhalte hochladen, insbesondere:

  • Bilder/Dateien (z. B. für LinkedIn‑Posts),
  • Kontakt-/Leadlisten (z. B. CSV/Dateiformate), damit 36leads diese Kontakte im Rahmen Ihrer Kampagnen/Workflows bearbeiten kann.

5. Zwecke & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Bereitstellung der Website & Plattform (Betrieb, Sicherheit, Support)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Vertragsanbahnung & Vertragsdurchführung (Account, Abonnement-/Abo-Verwaltung, Abrechnung, Service‑Erbringung)

Art. 6 Abs. 1 lit. b DSGVO

Kommunikation (Support, Produkt‑/Service‑Infos, Status‑Mails)

Art. 6 Abs. 1 lit. b DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO

Produktverbesserung & Fehleranalyse (z. B. Stabilität, Performance)

Art. 6 Abs. 1 lit. f DSGVO

Einwilligungsbasierte Verarbeitung (z. B. optionales Tracking/Marketing)

Art. 6 Abs. 1 lit. a DSGVO (Widerruf jederzeit möglich)

Berechtigte Interessen: Soweit wir uns auf Art. 6 Abs. 1 lit. f DSGVO stützen, verfolgen wir insbesondere die folgenden Interessen: IT‑Sicherheit, Betrugs-/Missbrauchsprävention, Stabilität/Betrieb, Produktverbesserung.

Bereitstellungspflicht: Die Bereitstellung bestimmter Daten ist für den Abschluss und die Durchführung des Vertrags erforderlich (z. B. Konto- sowie Zahlungs-/Abrechnungsdaten). Wenn Sie diese Daten nicht bereitstellen, können wir Ihnen die Plattform ggf. nicht bereitstellen oder keine kostenpflichtigen Leistungen abrechnen. Gesetzlich erforderliche Aufbewahrungspflichten (z. B. steuer-/handelsrechtliche Nachweise) bleiben unberührt.

Schweiz (revDSG): Verarbeitung erfolgt nach den Grundsätzen des revDSG (Zweckbindung, Verhältnismäßigkeit, Transparenz); sofern anwendbar, werden die jeweiligen Informations‑ und Mitwirkungsrechte gewahrt.

6. Cookies & ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien.

  • Essenzielle Cookies: erforderlich für Login, Sicherheit und grundlegende Funktionen.
  • Optionale Cookies/Tools (falls eingesetzt): z. B. Analytics, Marketing.

Falls wir optionale Cookies/Tools verwenden, erfolgt dies grundsätzlich nur mit Ihrer Einwilligung über unser Cookie‑Banner bzw. die Cookie‑Einstellungen.

Cookie‑Einstellungen: Derzeit setzen wir nach aktuellem Stand nur essenzielle Cookies ein (z. B. für Login/Sicherheit) und keine Analytics‑ oder Marketing‑Cookies. Sollten wir künftig optionale Cookies/Tools einsetzen, stellen wir ein entsprechendes Consent‑Banner und Einstellmöglichkeiten bereit.

7. KI‑Funktionen & „Human‑in‑the‑Loop“

36leads nutzt KI, um Inhalte (Posts, Kommentare, Icebreaker) zu erzeugen und Workflows zu unterstützen.

  • Input: Für die Hyper‑Personalisierung können – abhängig von den aktivierten Funktionen – alle Daten, die wir im Rahmen der Plattform über Sie und Prospects/Leads verarbeiten, in KI‑Prompts einfließen (z. B. RAW‑Eingaben, ICP‑Kriterien, LinkedIn‑Profil-/Post‑Informationen, Verbindungs‑/Kampagnenstatus und – falls aktiviert – Konversationsinhalte).
  • Output: KI‑generierte Texte/Varianten (z. B. Posts, Kommentare, Icebreaker, Antwortvorschläge).
  • Speicherung: KI‑Outputs sowie (soweit genutzt) relevante Konversations-/Workflow‑Daten werden in 36leads gespeichert, damit Sie Ergebnisse nachvollziehen, weiterbearbeiten und (je nach Einstellung) freigeben können. Ein generelles „Opt‑out“ von dieser Speicherung ist derzeit nicht vorgesehen, da Kernfunktionen der Plattform sonst nicht funktionieren.

7.1 Externe KI‑Dienstleister (falls genutzt)

Sofern wir externe KI‑Dienstleister einsetzen, übermitteln wir dafür nur die Daten, die für die jeweilige Funktion erforderlich sind. Abhängig von Anbieter/Region können dabei auch Drittlandübermittlungen erfolgen (siehe Abschnitt 10).

KI‑Anbieter: OpenAI (direkte API‑Nutzung) sowie OpenRouter (Aggregator; je nach gewähltem Modell können darüber auch Modelle/Provider wie z. B. Google Gemini angebunden sein).

7.2 Training allgemeiner KI‑Modelle

Wir verwenden Kundendaten nicht, um allgemeine KI‑Modelle zu trainieren, es sei denn, Sie stimmen dem ausdrücklich zu.

Nach aktuellem Stand verwenden wir OpenAI (direkt) so, dass Inputs/Outputs nicht zum Training allgemeiner Modelle genutzt werden („no training by default“). OpenAI kann bestimmte Inhalte außerdem zu Sicherheits-/Missbrauchszwecken für eine begrenzte Zeit speichern (z. B. Abuse‑Monitoring‑Logs).

Wenn wir KI über OpenRouter nutzen, gilt:

  • OpenRouter beschreibt, dass es Prompts/Responses nicht speichert, sofern in den OpenRouter‑Einstellungen kein Prompt‑Logging aktiviert wird.
  • Die jeweils angebundenen Model‑Provider (je nach Modell/Endpoint) können eigene Logging-/Retention‑Regeln haben; OpenRouter veröffentlicht Provider‑Policies und bietet Kontrollmechanismen (z. B. Auswahl von Providern nach Datenpolitik).
  • Optional kann OpenRouter so konfiguriert werden, dass nur Zero‑Data‑Retention (ZDR)‑fähige Provider/Endpoints genutzt werden.

Wichtig: Modelle wie „Gemini“ werden bei uns derzeit nicht direkt über Google bezogen, sondern – sofern ausgewählt – über OpenRouter; die konkrete Datenverarbeitung hängt dann von OpenRouter und dem jeweils verwendeten Provider/Endpoint ab.

8. Automatisierte Entscheidungen / Profiling

36leads kann automatisierte Vorschläge erstellen (z. B. Priorisierung von Zielpersonen, Text‑/Kommentarvorschläge) und – je nach Ihrer Konfiguration – Automationen ausführen (z. B. Senden von Kontaktanfragen, Nachrichten oder Kommentaren). Solche Prozesse sind darauf ausgelegt, Unterstützung zu leisten und folgen Ihren Einstellungen (z. B. Review‑Mode mit Freigabe vs. Vollautomatik).

Soweit eine automatisierte Einzelentscheidung im Sinne anwendbarer Gesetze vorliegen sollte, stellen wir geeignete Möglichkeiten bereit, eine menschliche Überprüfung anzufordern bzw. die Verarbeitung zu beeinflussen (z. B. Review‑Mode, Stop‑Kriterien, Safe‑Limits).

9. Empfänger & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein (Hosting, Infrastruktur, Speicherung, Zahlung, ggf. Kommunikation). Diese verarbeiten Daten als Auftragsverarbeiter und nur nach unseren Weisungen.

Aktuell genutzte Kategorien/Dienstleister (Auszug):

  • Hosting/Plattformbetrieb: Railway (Region: Amsterdam, Niederlande)
  • CDN/WAF & DDoS‑Schutz (über Hosting‑Plattform): Cloudflare (über Railway)
  • Authentifizierung/Identity & Session‑Management: Clerk
  • CAPTCHA/Bot‑Schutz: hCaptcha
  • Datenbank/Backend & Speicherung: Supabase (Region: EU; z. B. Frankfurt)
  • Uploads / Image‑CDN: ImageKit (für die Auslieferung/Optimierung von Bildern)
  • LinkedIn‑Account‑Verknüpfung / Messaging‑Infrastruktur: Unipile
  • Zahlungsabwicklung: Stripe (Schweiz; EU & Nordirland für B2B) sowie Paddle (u. a. für weitere Regionen und/oder B2C‑Abwicklung). Zahlungsanbieter verarbeiten Zahlungsdaten typischerweise in eigener datenschutzrechtlicher Verantwortung (z. B. zur Zahlungsabwicklung, Betrugsprävention, Compliance).
  • KI‑Provider: OpenAI (direkt) sowie OpenRouter (inkl. ggf. darüber angebundener Modellanbieter/Modelle wie z. B. Google Gemini)
  • Datenanbieter / Enrichment: Anbieter von B2B‑Datenbanken und Web‑/Daten‑Services zur Anreicherung (Enrichment) von Lead‑/Unternehmensdaten (keine Telefonnummern).
  • Analytics: keine
  • Support‑Chat: keiner

Weitere Dienstleister (z. B. E‑Mail‑Versand, Support‑Ticketing) ergänzen wir, sobald sie final feststehen.

10. Drittlandübermittlungen

36leads ist in der Schweiz ansässig und bietet die Plattform weltweit an. Je nach genutzten Funktionen und Dienstleistern können personenbezogene Daten in Länder außerhalb der Schweiz / des EWR übermittelt werden (z. B. durch LinkedIn, KI‑Provider oder Zahlungsanbieter).

Insbesondere können Übermittlungen in die USA erfolgen (z. B. im Zusammenhang mit OpenAI, Cloudflare, Stripe/Paddle oder OpenRouter/angebundenen Modellanbietern – abhängig von Konfiguration und Routing).

Wenn wir Daten in Drittländer übermitteln, stellen wir – soweit erforderlich – geeignete Garantien sicher, z. B.:

  • Angemessenheitsbeschlüsse,
  • Standardvertragsklauseln (SCCs) und/oder
  • zusätzliche technische und organisatorische Maßnahmen (z. B. Zugriffsbeschränkungen, Verschlüsselung, Minimierung).

Hinweis: Bei KI‑Verarbeitung über OpenRouter können – abhängig vom ausgewählten Modell/Provider – unterschiedliche Transfer‑ und Aufbewahrungsregeln gelten.

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist, insbesondere:

  • Account‑Daten: solange Ihr Konto besteht; eine Kontolöschung können Sie derzeit per E‑Mail an info@36leads.io anfragen.
  • State‑of‑the‑art Löschlogik (Zielbild): Nach bestätigter Löschanfrage deaktivieren wir den Account und löschen oder anonymisieren produktive Kundendaten grundsätzlich innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Daten in Backups werden im Rahmen turnusmäßiger Überschreibungszyklen gelöscht (typischerweise innerhalb von max. 90 Tagen).
  • Testphase (Trial): Wenn Sie eine Testphase nutzen (derzeit i. d. R. 7 Tage, eingeschränkt), gelten für die dabei anfallenden Account‑/Nutzungsdaten die gleichen Grundsätze wie für reguläre Konten.
  • Content/Automations‑Daten: solange Sie sie in der Plattform vorhalten bzw. bis zur Löschung durch Sie oder gemäß vereinbarter Fristen.
  • Nachrichten-/Conversation‑Verläufe: werden in der Plattform gespeichert und sind für Sie einsehbar; grundsätzlich solange Ihr Konto besteht bzw. bis Sie Inhalte löschen.
  • Uploads (Bilder/Dateien) & importierte Kontaktlisten: solange Ihr Konto besteht bzw. bis Sie sie löschen.
  • Support‑Kommunikation: solange erforderlich zur Bearbeitung und Nachvollziehbarkeit.
  • Server‑Logs: werden in der Regel für 30 Tage gespeichert, sofern keine Sicherheitsvorfälle eine längere Aufbewahrung erfordern.
  • Handels‑/Steuerrechtliche Pflichten: soweit anwendbar, Aufbewahrung nach gesetzlichen Fristen.

12. Ihre Rechte

Je nach anwendbarem Recht stehen Ihnen insbesondere folgende Rechte zu:

  • Auskunft über verarbeitete Daten,
  • Berichtigung unrichtiger Daten,
  • Löschung (soweit keine Pflicht zur Aufbewahrung entgegensteht),
  • Einschränkung der Verarbeitung,
  • Datenübertragbarkeit (DSGVO),
  • Widerspruch gegen Verarbeitung (DSGVO, bei berechtigtem Interesse),
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Kontolöschung: Derzeit können Sie die Löschung Ihres 36leads-Kontos per E‑Mail anfordern.

Beschwerderecht: Sie haben das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.

Kontakt für Rechteanfragen: info@36leads.io

Identitätsprüfung: Zum Schutz Ihrer Daten können wir vor der Bearbeitung einer Anfrage angemessene Informationen zur Identitätsbestätigung anfordern (z. B. Antwort von der im Konto hinterlegten E‑Mail‑Adresse oder zusätzliche Nachweise), wenn Zweifel an der Identität bestehen.

Hinweis für Daten von Prospects/Leads, die wir im Auftrag unserer Kunden verarbeiten: Bitte wenden Sie sich in erster Linie an das Unternehmen, das Sie kontaktiert hat (unseren Kunden). Wir unterstützen diesen im Rahmen unserer vertraglichen Pflichten.

13. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen, um Daten zu schützen, u. a.:

  • Authentifizierung & Zugriffsschutz: Login/Sessions über Clerk; globale Zugriffskontrollen (Middleware) für App‑/API‑Routen.
  • Daten‑Isolation: Supabase Row‑Level‑Security (RLS) zur strikten Trennung von Daten nach Organisation/Workspace.
  • Input‑Validierung: Validierung von Eingaben/Antworten (z. B. mit Zod).
  • Transport‑Sicherheit: Verschlüsselte Datenübertragung via HTTPS/TLS.
  • Secret‑Management: API‑Keys/Secrets werden über Environment‑Variables verwaltet und nicht im Code hinterlegt.
  • Schutz vor Missbrauch: CAPTCHA/Bot‑Schutz.
  • Admin‑Zugriffe: Mitarbeitende mit administrativen Berechtigungen können – soweit für Betrieb, Sicherheit, Support und Fehleranalyse erforderlich – auf Kundendaten zugreifen. Es gibt keine externen Dritten mit Admin‑Zugriff auf die Plattform.

14. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn sich Rechtslage, Produkt oder Dienstleister ändern. Die jeweils aktuelle Version finden Sie auf unserer Website unter dem Menüpunkt „Datenschutzerklärung“.