Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
DualQ GbR – Krotzek, Schalk, Kaltenstadler
Strassmannstraße 6
10249 Berlin
E-Mail: dualq@mailbox.org
Website: https://www.dualq.de
Bei Forschungsprojekten im Auftrag von Organisationen handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO. In diesen Fällen gelten die Datenschutzbestimmungen des jeweiligen Auftraggebers. Für unsere Website und die dort eingebetteten Angebote sind wir selbst Verantwortlicher.
2. Überblick über die verarbeiteten Daten
Je nach Nutzungskontext verarbeiten wir folgende Datenkategorien:
Website-Zugriff: Technische Metadaten wie aufgerufene Seiten, Browser- und Gerätedaten, Betriebssystem, Bildschirmauflösung, Herkunftsland (aus IP-Adresse abgeleitet, IP selbst wird nicht gespeichert), Zeitstempel und ein kurzlebiger Session-Hash.
Kontaktformular: Name, E-Mail-Adresse, Inhalt der Nachricht, Zeitpunkt der Anfrage.
B2B-Kundendaten: Name und geschäftliche Kontaktdaten, Unternehmensinformationen, Vertrags- und Rechnungsdaten.
Eingebettetes Demo-Chat-Interview (app.dualq.de): Freitextantworten, ggf. politische Meinungen (Art. 9 DSGVO), demografische Angaben (Altersspanne, Geschlecht, Bundesland), Session-ID, Zeitstempel, Gesprächsverlauf. Keine Kontaktdaten, keine IP-Adresse, keine direkten Identifikatoren. Teilnehmende werden ausdrücklich darauf hingewiesen, keine persönlichen Angaben einzugeben.
Eingebettetes Demo-Dashboard (demo.dualq.de): Reine Anzeige aggregierter, anonymisierter Forschungsergebnisse. Es werden keine personenbezogenen Daten der Dashboard-Besucher erhoben.
3. Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
- Bereitstellung und Betrieb der Website
- Beantwortung von Kontaktanfragen
- Verwaltung von Geschäftsbeziehungen
- Demonstration unseres Produkts und Durchführung von Test-Interviews
- Durchführung von Forschungsinterviews im Auftrag von Kunden
- Wartung, Sicherheit und technische Weiterentwicklung unserer Systeme
4. Rechtsgrundlagen
Website-Zugriff (Webanalyse): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionalen Webangebot und an grundlegenden Nutzungsstatistiken).
Kontaktformular: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
B2B-Kundendaten: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
Demo-Chat-Interview: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung zur Verarbeitung ggf. politischer Meinungen). Die Einwilligung wird vor Beginn des Interviews eingeholt.
5. Dienstleister und Datenübermittlungen
5.1 Website-Hosting – AWS Amplify
Unsere Website wird gehostet über:
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxemburg
Daten werden in der Region eu-central-1 (Frankfurt, Deutschland) verarbeitet. AWS ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig. Das AWS Data Processing Addendum (DPA) inklusive Standardvertragsklauseln ist Bestandteil der AWS-Servicebedingungen und gilt automatisch. Da AWS eine US-amerikanische Muttergesellschaft hat, bestehen theoretische Risiken durch US-amerikanische Zugriffsgesetze (CLOUD Act). Wir nutzen ausschließlich die EU-Region Frankfurt und haben keine Anhaltspunkte für einen Datenzugriff durch US-Behörden.
Datenschutzerklärung AWS: https://aws.amazon.com/de/privacy/
5.2 Webanalyse – Umami Cloud
Wir nutzen Umami Cloud für anonymisierte Besucherstatistiken:
Umami Software, Inc.
San Francisco, USA
Umami erhebt keine personenbezogenen Daten und setzt keine Cookies. Es werden ausschließlich aggregierte, nicht personenbezogene Daten erfasst: aufgerufene Seite, Referrer, Browser, Betriebssystem, Gerätetyp, Bildschirmauflösung, Herkunftsland (aus IP-Adresse abgeleitet). Die IP-Adresse selbst wird nicht gespeichert. Zur Sitzungsberechnung wird ein kurzlebiger Hash aus technischen Parametern erzeugt, der täglich erneuert wird und keine Rückverfolgung von Nutzenden ermöglicht.
Da Umami Software, Inc. in den USA ansässig ist, erfolgt eine Datenübermittlung in ein Drittland auf Basis von Standardvertragsklauseln. Umami Cloud bietet einen EU-Hosting-Standort (Deutschland), den wir nutzen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Datenschutzerklärung Umami: https://umami.is/privacy
5.3 Kontaktformular – AWS Lambda und mailbox.org
Nachrichten über unser Kontaktformular werden verschlüsselt (HTTPS) an einen AWS-Lambda-Server (Region: eu-central-1, Frankfurt) übermittelt. Dieser verarbeitet die Nachricht und leitet sie als E-Mail weiter. Die Nachricht wird auf dem Server nicht gespeichert.
Der E-Mail-Versand und -Empfang erfolgt über:
Heinlein Support GmbH (mailbox.org)
Schwedter Straße 8/9b, 10119 Berlin
mailbox.org verarbeitet Daten ausschließlich auf Servern in Deutschland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.
5.4 KI-Anbieter für Interview-Plattform und Analyse
Im Rahmen unserer Interview-Plattform und der KI-gestützten Analyse nutzen wir:
OpenAI Ireland Ltd.
1st Floor, The Liffey Trust Centre, Dublin 1, Irland
API-Daten werden nach eigenen Angaben von OpenAI bis zu 30 Tage gespeichert. Mit OpenAI besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Daten können in die USA übertragen werden (Standardvertragsklauseln).
Anthropic, PBC
548 Market St, San Francisco, CA 94104, USA
Mit Anthropic besteht ein Auftragsverarbeitungsvertrag. Datenübermittlung in die USA auf Basis von Standardvertragsklauseln.
Google Cloud (Vertex AI)
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Verarbeitung in EU-Rechenzentren. Mit Google besteht ein Auftragsverarbeitungsvertrag. Datenübermittlung in die USA auf Basis von Standardvertragsklauseln und ggf. EU-US Data Privacy Framework.
Keiner dieser Anbieter verwendet die übermittelten Daten zum Training ihrer Modelle. Dies ist vertraglich in den jeweiligen Auftragsverarbeitungsverträgen (DPAs) festgelegt.
5.5 Interne Organisation – Notion
Für interne Projektorganisation nutzen wir:
Notion Labs, Inc.
2300 Harrison St, San Francisco, CA 94110, USA
Datenübermittlung in die USA auf Basis von Standardvertragsklauseln und EU-US Data Privacy Framework.
Datenschutzerklärung Notion: https://www.notion.so/privacy
6. Eingebettete Angebote: Demo-Chat und Demo-Dashboard
Auf unserer Website sind zwei eingebettete Anwendungen von Subdomains (app.dualq.de, demo.dualq.de) eingebunden. Diese werden ebenfalls auf AWS-Infrastruktur in der EU betrieben und unterliegen derselben Datenschutzstruktur wie unsere Hauptplattform.
Demo-Chat (app.dualq.de): Das Interview-Fenster wird erst geladen, wenn Sie aktiv auf „Interview starten” klicken. Vor Beginn des Interviews wird eine Datenschutzeinwilligung eingeholt. Das Interview läuft über dieselbe KI-Infrastruktur wie unsere Kundenprojekte. Verarbeitete Daten: Freitextantworten, ggf. politische Meinungen, demographische Angaben, Session-ID, Zeitstempel. Keine Namen, E-Mail-Adressen oder IP-Adressen.
Demo-Dashboard (demo.dualq.de): Das Dashboard zeigt ausschließlich anonymisierte und aggregierte Forschungsergebnisse. Es werden keine personenbezogenen Daten der Besuchenden erfasst.
7. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Website-Analysedaten (Umami) | Keine persönlichen Daten; aggregierte Daten ohne definiertes Ablaufdatum |
| Kontaktanfragen (E-Mail) | 12 Monate, danach aktive Löschung |
| B2B-Kundendaten | 6–10 Jahre gemäß HGB/AO |
| Demo-Interview-Daten | 24 Monate |
| Session-IDs (Interviewplattform) | Maximal 30 Tage |
| AWS-Serverlogs | Bis zu 90 Tage |
8. Datenübermittlungen in Drittländer
Daten werden in folgenden Fällen in die USA übermittelt:
- Umami Cloud (Webanalyse) – Standardvertragsklauseln
- OpenAI (KI-Analyse) – Standardvertragsklauseln
- Anthropic (KI-Interview) – Standardvertragsklauseln
- Google Vertex AI (KI-Analyse) – Standardvertragsklauseln + ggf. EU-US Data Privacy Framework
- Notion (interne Organisation) – Standardvertragsklauseln + EU-US Data Privacy Framework
9. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über Ihre bei uns gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
https://www.datenschutz-berlin.de
10. Keine Pflicht zur Angabe von Daten
Die Nutzung unserer Website ist ohne Angabe personenbezogener Daten möglich. Die Angabe von Daten im Kontaktformular oder im Rahmen eines Demo-Interviews ist freiwillig.
11. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich unsere Verarbeitungsprozesse oder gesetzliche Anforderungen ändern. Die jeweils aktuelle Version ist auf unserer Website abrufbar.
12. Kontakt
Bei Fragen zum Datenschutz:
E-Mail: dualq@mailbox.org
Privacy Policy
Last updated: April 2026
1. Controller
DualQ GbR – Krotzek, Schalk, Kaltenstadler
Strassmannstraße 6
10249 Berlin, Germany
Email: dualq@mailbox.org
Website: https://www.dualq.de
When conducting research projects on behalf of client organisations, we act as a data processor pursuant to Art. 28 GDPR. In those cases, the privacy policy of the respective client applies. For our website and the services embedded within it, we are the data controller.
2. Overview of Data Processed
Depending on the context of use, we process the following categories of data:
Website access: Technical metadata such as pages visited, browser and device data, operating system, screen resolution, country of origin (derived from IP address; the IP address itself is not stored), timestamps, and a short-lived session hash.
Contact form: Name, email address, message content, time of submission.
B2B client data: Name and business contact details, company information, contract and billing data.
Embedded demo chat interview (app.dualq.de): Free-text responses, potentially including political opinions (Art. 9 GDPR), demographic information (age range, gender, federal state), session ID, timestamps, and conversation history. No contact details, no IP address, no direct identifiers. Participants are explicitly asked not to enter personal information.
Embedded demo dashboard (demo.dualq.de): Display of aggregated, anonymised research results only. No personal data of dashboard visitors is collected.
3. Purposes of Processing
We process personal data for the following purposes:
- Providing and operating the website
- Responding to contact enquiries
- Managing business relationships
- Demonstrating our product and conducting test interviews
- Conducting research interviews on behalf of clients
- Maintenance, security, and technical development of our systems
4. Legal Bases
Website access (web analytics): Art. 6(1)(f) GDPR (legitimate interest in operating a secure, functional website and obtaining basic usage statistics).
Contact form: Art. 6(1)(b) GDPR (pre-contractual measures) or Art. 6(1)(f) GDPR (legitimate interest in responding to enquiries).
B2B client data: Art. 6(1)(b) GDPR (contract performance) and Art. 6(1)(c) GDPR (legal retention obligations).
Demo chat interview: Art. 6(1)(a) GDPR (consent) and Art. 9(2)(a) GDPR (explicit consent to the processing of potentially political opinions). Consent is obtained before the interview begins.
5. Service Providers and Data Transfers
5.1 Website Hosting – AWS Amplify
Our website is hosted by:
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxembourg
Data is processed in the eu-central-1 region (Frankfurt, Germany). AWS acts as a data processor pursuant to Art. 28 GDPR. The AWS Data Processing Addendum (DPA), including Standard Contractual Clauses, forms part of the AWS Service Terms and applies automatically. As AWS has a US parent company, theoretical risks exist under US access laws (CLOUD Act). We use exclusively the EU Frankfurt region and have no indication of any data access by US authorities.
AWS Privacy Notice: https://aws.amazon.com/privacy/
5.2 Web Analytics – Umami Cloud
We use Umami Cloud for anonymised visitor statistics:
Umami Software, Inc.
San Francisco, USA
Umami does not collect personal data and does not use cookies. Only aggregated, non-personal data is recorded: pages visited, referrer, browser, operating system, device type, screen resolution, and country of origin (derived from IP address). The IP address itself is not stored. A short-lived hash is generated from technical parameters for session calculation; this hash is renewed daily and does not allow identification of individual users.
As Umami Software, Inc. is based in the USA, data is transferred to a third country on the basis of Standard Contractual Clauses. We use Umami Cloud’s EU hosting location (Germany).
Legal basis: Art. 6(1)(f) GDPR.
Umami Privacy Policy: https://umami.is/privacy
5.3 Contact Form – AWS Lambda and mailbox.org
Messages submitted via our contact form are transmitted in encrypted form (HTTPS) to an AWS Lambda server (region: eu-central-1, Frankfurt). This server processes the message and forwards it by email. The message is not stored on the server.
Email delivery and receipt is handled by:
Heinlein Support GmbH (mailbox.org)
Schwedter Straße 8/9b, 10119 Berlin, Germany
mailbox.org processes data exclusively on servers located in Germany.
Legal basis: Art. 6(1)(b) or Art. 6(1)(f) GDPR.
5.4 AI Providers for Interview Platform and Analysis
We use the following providers for our interview platform and AI-powered analysis:
OpenAI Ireland Ltd.
1st Floor, The Liffey Trust Centre, Dublin 1, Ireland
According to OpenAI, API data is stored for up to 30 days. A Data Processing Agreement (DPA) pursuant to Art. 28 GDPR is in place. Data may be transferred to the USA (Standard Contractual Clauses).
Anthropic, PBC
548 Market St, San Francisco, CA 94104, USA
A Data Processing Agreement is in place. Data is transferred to the USA on the basis of Standard Contractual Clauses.
Google Cloud (Vertex AI)
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Processing takes place in EU data centres. A Data Processing Agreement is in place. Data may be transferred to the USA on the basis of Standard Contractual Clauses and, where applicable, the EU-US Data Privacy Framework.
None of these providers use the data transmitted to them to train their models. This is contractually established in the respective Data Processing Agreements (DPAs).
5.5 Internal Organisation – Notion
For internal project management we use:
Notion Labs, Inc.
2300 Harrison St, San Francisco, CA 94110, USA
Data is transferred to the USA on the basis of Standard Contractual Clauses and the EU-US Data Privacy Framework.
Notion Privacy Policy: https://www.notion.so/privacy
6. Embedded Services: Demo Chat and Demo Dashboard
Our website embeds two applications from subdomains (app.dualq.de, demo.dualq.de). These are also operated on AWS infrastructure within the EU and are subject to the same data protection framework as our main platform.
Demo chat (app.dualq.de): The interview window is only loaded when you actively click “Start interview”. A data protection consent screen is presented before the interview begins. The interview runs on the same AI infrastructure used for client projects. Data processed: free-text responses, potentially political opinions, demographic information, session ID, timestamps. No names, email addresses, or IP addresses.
Demo dashboard (demo.dualq.de): The dashboard displays exclusively anonymised and aggregated research results. No personal data of visitors is collected.
7. Retention Periods
| Data category | Retention period |
|---|---|
| Website analytics data (Umami) | No personal data; aggregated data with no defined expiry |
| Contact enquiries (email) | 12 months, then actively deleted |
| B2B client data | 6–10 years pursuant to HGB/AO |
| Demo interview data | 24 months |
| Session IDs (interview platform) | Maximum 30 days |
| AWS server logs | Up to 90 days |
8. International Data Transfers
Data is transferred to the USA in the following cases:
- Umami Cloud (web analytics) – Standard Contractual Clauses
- OpenAI (AI analysis) – Standard Contractual Clauses
- Anthropic (AI interview) – Standard Contractual Clauses
- Google Vertex AI (AI analysis) – Standard Contractual Clauses + EU-US Data Privacy Framework where applicable
- Notion (internal organisation) – Standard Contractual Clauses + EU-US Data Privacy Framework
9. Your Rights
You have the right at any time to:
- Access the personal data we hold about you (Art. 15 GDPR)
- Rectification of inaccurate data (Art. 16 GDPR)
- Erasure of your data (Art. 17 GDPR)
- Restriction of processing (Art. 18 GDPR)
- Data portability (Art. 20 GDPR)
- Object to processing (Art. 21 GDPR)
- Withdraw consent with effect for the future (Art. 7(3) GDPR)
You also have the right to lodge a complaint with a supervisory authority. The competent authority is:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin, Germany
https://www.datenschutz-berlin.de
10. No Obligation to Provide Data
Our website can be used without providing personal data. Providing data via the contact form or during a demo interview is voluntary.
11. Changes to This Privacy Policy
We update this privacy policy when our processing activities or legal requirements change. The current version is always available on our website.
12. Contact
For questions about data protection:
Email: dualq@mailbox.org