Datenschutzerklärung

Datenschutz ist für uns kein notwendiges Übel, sondern Teil unseres Qualitätsversprechens.

Wir bei Prometheus Research setzen auf Datensouveränität und europäische Standards. Deshalb haben wir unsere Infrastruktur so gebaut, dass Ihre Daten maximal geschützt sind: selbst gehostete Open-Source-Lösungen, lokale Ressourcen und minimaler Einsatz externer Dienste.

Hier erfahren Sie in verständlichem Deutsch, was das konkret bedeutet.

1. Verantwortlicher und Sicherheitskonzept

Wir betreiben unsere Webdienste auf einem eigenen Virtual Private Server (VPS) im netcup-Rechenzentrum in Nürnberg/Deutschland. Wir haben die volle Kontrolle über diesen Server.

  • Verschlüsselung: Alle gespeicherten Daten (z. B. Ihre Verträge, Kommunikationswege, sonstige Informationen) liegen serverseitig verschlüsselt (SSE) auf unseren Systemen.
  • Daten bleiben bei uns: Anders als bei vielen anderen Anbietern verlassen Ihre Daten unseren Server nur in wenigen, klar definierten Fällen: bei Nutzung unseres KI-Chats (siehe unten) und bei der cookiefreien Werbe-Messung für Besucher, die über Google Ads kommen (siehe Abschnitt 6).
  • Open Source & selbst gehostet: Wir setzen auf quelloffene Software, die wir selbst betreiben. Externe Dienste kommen nur dort zum Einsatz, wo sie einen klaren Mehrwert bieten — und dann cookiefrei.

Verantwortlicher im Sinne der DSGVO ist:

Jan Simner
Trompeterstraße 5
01069 Dresden
Telefon: +49 (179) 1503336
E-Mail: jan.simner@prometheus-research.de

2. Website-Analyse: Rybbit (auf unserem Server)

Um unsere Website zu verbessern und zu verstehen, wie Besucher sie nutzen, setzen wir das Open-Source-Tool Rybbit ein.

  • Selbst gehostet: Rybbit läuft komplett auf unserem eigenen VPS. Es werden keine Analyse-Daten an externe Drittanbieter übertragen.
  • Was wird erfasst? Technische Daten wie Seitenaufrufe, Verweildauer und verweisende Websites – alles serverseitig, ohne Cookies in Ihrem Browser zu setzen.
  • IP-Adressen: Werden automatisch anonymisiert und nur zur Sessionerkennung genutzt, nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Verbesserung der Nutzererfahrung und der technischen Optimierung unserer Website. Eine Interessenabwägung ergibt, dass aufgrund der vollständigen Anonymisierung der IP-Adressen und des Verzichts auf Cookies keine überwiegenden Interessen der Nutzer entgegenstehen.

3. Unsere KI: High-Tech aus Europa (Mistral AI)

Auf unserer Seite können Sie mit einer Künstlichen Intelligenz chatten. Um Ihnen die beste Qualität zu bieten, ohne den Datenschutz zu opfern, nutzen wir bewusst nicht ChatGPT (OpenAI, USA), sondern den führenden europäischen KI-Anbieter Mistral AI.

So funktioniert's (und wann Daten fließen)

  • Erst bei Klick: Der Chat wird nicht automatisch beim Seitenaufruf geladen. Erst wenn Sie eine auf "Nachricht senden" (Pfeil-Button) klicken, wird die Verbindung zu Mistral AI hergestellt.
  • Datenfluss: Ihre Chat-Eingabe wird über eine API an Mistral AI in Frankreich gesendet, dort verarbeitet und die Antwort zurückgespielt. Es wird nur ihre Nachricht gesendet und keine weiteren Daten.
  • Warum Mistral? Mistral AI unterliegt als französisches Unternehmen vollumfänglich der DSGVO. Die Server stehen in Europa.
  • Kein KI-Training: Ihre Chat-Eingaben werden nicht verwendet, um die allgemeine KI zu trainieren.
  • Freiwilligkeit: Die Nutzung des Chats ist komplett optional. Bitte geben Sie keine hochsensiblen Daten (wie Gesundheitsdaten oder Passwörter) ein. Als Nutzer sind Sie allein für Ihre Eingaben verantwortlich.

Auftragsverarbeitung: Mistral AI handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir als Verantwortlicher behalten die Weisungsbefugnis über die Verarbeitung Ihrer Daten. Mit Mistral AI besteht ein Data Processing Agreement (DPA), das die datenschutzrechtlichen Anforderungen der DSGVO erfüllt. Den vollständigen DPA können Sie unter https://legal.mistral.ai/terms/data-processing-addendum einsehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenkommunikation) bzw. Art. 6 Abs. 1 lit. b DSGVO, wenn Sie konkrete Anfragen zu unseren Leistungen stellen.

4. Hosting & Vertragsdaten

Wir hosten bei der netcup GmbH:

netcup GmbH Emmy-Noether-Straße 10 76131 Karlsruhe Telefon: +49 721 / 7540755-0

Serverstandort: Unsere Server stehen im netcup-Rechenzentrum in Nürnberg/Deutschland.

  • Alles geregelt: Mit diesem Anbieter haben wir einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Das garantiert, dass der Serverzugriff streng nach deutschen Standards erfolgt. Den AVV können Sie im netcup-Wiki unter https://www.netcup-wiki.de/wiki/Zusatzvereinbarung_zur_Auftragsverarbeitung einsehen.
  • Ihre Daten bei uns: Wenn wir für Sie arbeiten und z. B. Rechtstexte speichern oder bearbeiten, liegen diese verschlüsselt in unserer Datenbank auf diesem Server. Zugriff haben nur autorisierte Mitarbeiter zur Erfüllung Ihres Auftrags.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Infrastruktur).

5. Kontaktaufnahme & Verarbeitung von Kundendaten

Wenn Sie uns per E-Mail, Telefon oder die Terminbuchungsseite kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail, Telefonnummer, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage.

  • Speicherdauer: Ihre Daten bleiben gespeichert, bis Ihre Anfrage abgeschlossen ist oder Sie um Löschung bitten. Bei Vertragsabschluss gelten gesetzliche Aufbewahrungsfristen. Nach Vertragsende werden Ihre Daten gelöscht, sobald keine gesetzlichen Aufbewahrungsfristen mehr bestehen (in der Regel nach 10 Jahren gemäß § 147 AO für steuerrelevante Unterlagen).
  • Keine Weitergabe: Wir geben Ihre Daten nicht an Dritte weiter, außer dies ist zur Vertragserfüllung erforderlich (z. B. Steuerberater bei Rechnungsstellung) oder gesetzlich vorgeschrieben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

6. Cookies & Tracking

Keine Cookies auf der Hauptwebsite

Unsere Hauptwebsite (prometheus-research.de) verwendet keine Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt.

Für die Funktionsfähigkeit der Website nutzen wir ausschließlich technisch notwendige Speichertechnologien (Local Storage), z. B. zur Speicherung Ihrer Design-Einstellung (Hell/Dunkel). Diese Daten dienen ausschließlich der technischen Bereitstellung des Dienstes.

Terminbuchung (termin.prometheus-research.de)

Für die Online-Terminbuchung betreiben wir eine eigene Instanz der Open-Source-Software Cal.com auf unserer Subdomain termin.prometheus-research.de. Diese setzt zwei technisch notwendige Sitzungscookies:

  • __Secure-next-auth.csrf-token — Schutz vor Cross-Site-Request-Forgery (CSRF-Angriffe). Sitzungscookie, wird beim Schließen des Browsers gelöscht.
  • __Secure-next-auth.callback-url — Speichert die Rücksprung-URL nach der Authentifizierung. Sitzungscookie, wird beim Schließen des Browsers gelöscht.

Diese Cookies werden ausschließlich auf unserer eigenen Subdomain gesetzt (kein Drittanbieter), sind technisch notwendig für die Funktion der Terminbuchung und fallen unter die Ausnahme nach Art. 25 Abs. 2 Nr. 2 TTDSG. Eine Einwilligung ist hierfür nicht erforderlich.

Conversion-Messung & Seitenanalyse für Werbe-Besucher

Wenn Sie über eine Google-Anzeige auf unsere Website kommen (erkennbar an einem der Werbe-Klick-Parameter gclid, gbraid oder wbraid in der URL), wird das Google-Tag (gtag.js) geladen. Damit messen wir:

  • Conversions (mit Wert): Terminbuchung, Anfrage einer Kurz-Analyse, Start einer Live-Demo, Klick auf Telefonnummer, Klick auf E-Mail-Adresse, qualifizierter Aufenthalt auf der Preise-Seite (≥ 30 Sekunden)
  • Engagement-Signale: Verweildauer auf einer Seite (≥ 30 Sekunden), Scroll-Tiefe (≥ 75 %)
  • Seitenaufrufe: Welche Seiten Sie nach dem Anzeigenklick besuchen

Diese Messpunkte fließen in Googles automatisierte Gebotsstrategien ein, damit unsere Anzeigen den Menschen ausgespielt werden, die mit unseren Inhalten tatsächlich etwas anfangen können.

Was wir technisch tun, um Ihre Daten zu schützen:

  • Consent Mode v2: Alle Einwilligungskategorien sind standardmäßig auf „denied" gesetzt (ad_storage, ad_user_data, ad_personalization, analytics_storage). Das bedeutet: Es werden keine Cookies in Ihrem Browser gesetzt — weder Tracking-, noch Werbe-, noch Analyse-Cookies.
  • Nur für Werbe-Besucher: Wenn Sie unsere Website über eine organische Suche, einen Direktlink oder eine andere Quelle besuchen, wird das Google-Tag nicht geladen. Kein Script, keine Datenübertragung, nichts.
  • Kein Remarketing, keine Personalisierung: Durch die denied-Einstellung findet keine Profilbildung und kein Retargeting statt.
  • Werbe-Klick-IDs nur in der Browser-Sitzung: Die genannten Klick-Parameter werden nur im sessionStorage Ihres Browsers gespeichert (nicht als Cookie) und sind beim Schließen des Tabs wieder weg.

Verbesserte Conversions (Enhanced Conversions): Wenn Sie freiwillig eine E-Mail-Adresse angeben — beim Anfordern einer Kurz-Analyse oder bei einer Terminbuchung — wird diese Adresse vor der Übermittlung in Ihrem Browser per SHA-256 in einen Einweg-Hash umgewandelt. Die Klartext-E-Mail verlässt Ihren Browser nicht und wird nicht an Google übertragen. Der Hash wird ausschließlich in der jeweiligen Conversion-Meldung mitgesendet — er wird in Ihrem Browser nicht gespeichert. Aufgrund unserer denied-Consent-Einstellung verwendet Google diesen Hash derzeit nicht zum direkten Abgleich mit Nutzerprofilen, sondern ausschließlich für aggregierte, anonymisierte Conversion-Modellierung.

Datenübermittlung: Bei Werbe-Besuchern werden cookiefreie Messpings an Google LLC (USA) bzw. Google Ireland Ltd. übermittelt. Diese enthalten die aufgerufene URL, einen Zeitstempel, technische Browserinformationen, die genannten Werbe-Klick-IDs sowie ggf. UTM-Parameter und — bei Conversions mit E-Mail — den oben beschriebenen SHA-256-Hash. Es werden keine Cookies und keine persistenten Identifier gesetzt. Google verarbeitet diese Daten unter dem EU-U.S. Data Privacy Framework.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Messung der Wirksamkeit unserer Werbemaßnahmen. Ohne diese Messung könnten wir nicht feststellen, ob unsere Anzeigen überhaupt funktionieren. Eine Interessenabwägung ergibt, dass aufgrund des Verzichts auf Cookies, der Beschränkung auf Werbe-Besucher, der denied-Consent-Einstellungen und der Hashing-Maßnahme keine überwiegenden Interessen der Nutzer entgegenstehen.

Warum überhaupt Google? Ein ehrliches Wort.

Wir schreiben diesen Abschnitt, weil wir ihn für notwendig halten — nicht weil uns der Gesetzgeber dazu zwingt.

Digitales Marketing in der EU ist ohne Datenübermittlung an Google oder LinkedIn schlicht nicht möglich. Es gibt keine europäische Alternative, die messen kann, ob ein Klick auf eine Google-Suchanzeige zu einem Websitebesuch geführt hat. Es gibt kein EU-basiertes Pendant zu Google Ads, keine europäische Conversion-Messung, kein DSGVO-konformes Werbepixel made in Europe.

Die EU reguliert zu Recht den Umgang mit personenbezogenen Daten. Aber sie bietet keine Alternative. Wer als kleines Unternehmen in Europa digital werben will, kommt an US-Plattformen nicht vorbei. Wir hätten liebend gern eine europäische Lösung — sie existiert nur nicht.

Was wir tun können: den Datentransfer so gering wie möglich halten. Deshalb laden wir das Google-Tag nur für Werbe-Besucher, setzen keine Cookies, verweigern alle Consent-Kategorien und verzichten auf Remarketing. Null Datenübertragung wäre besser. Aber null Datenübertragung bedeutet auch: null Möglichkeit zu messen, ob Werbung funktioniert. Und das bedeutet: kein digitales Marketing.

Kein Tracking für reguläre Besucher

Für alle Besucher, die nicht über eine Werbeanzeige kommen, gilt weiterhin: Es werden keine Tracking-Scripts geladen, keine Daten an Drittanbieter übertragen und keine Cookies gesetzt. Unsere eigene Analyse läuft ausschließlich über Rybbit (selbst gehostet, cookiefrei, siehe Abschnitt 2).

Deshalb brauchen Sie bei uns keinen Cookie-Banner.

7. Externe Ressourcen & Einbindungen

Bunny Fonts (Web-Schriftarten)

Für die Darstellung unserer Website nutzen wir Webfonts von Bunny Fonts (BunnyWay d.o.o., Slowenien), einer DSGVO-konformen Alternative zu Google Fonts. Beim Aufruf unserer Website lädt Ihr Browser die Schriftdateien von Bunny-Fonts-Servern in der EU. Bunny Fonts erstellt keine Logdateien, setzt keine Cookies und erfasst weder IP-Adressen noch Nutzeraktivitäten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Typografie bei gleichzeitigem Datenschutz).

Weitere Informationen: https://bunny.net/privacy

Weitere externe Einbindungen

Wir verzichten auf folgende externe Dienste:

  • Keine Social-Media-Plugins (Facebook, LinkedIn, Instagram)
  • Keine YouTube-Videos ohne Ihre Zustimmung
  • Kein Google reCAPTCHA
  • Kein dauerhaftes Tracking über Sitzungen hinweg

Ihr Vorteil: Wenn Sie unsere Website regulär besuchen (ohne Anzeigenklick), werden keine Daten an Google, Meta oder andere US-Konzerne übertragen. Für Werbe-Besucher gilt die cookiefreie Messung aus Abschnitt 6.

8. Interaktive Tool-Demos

Auf unserer Website bieten wir interaktive Demonstrationen von Open-Source-Software an (NocoBase, n8n, Nextcloud, TwentyCRM). Diese Demos werden auf unserer eigenen Infrastruktur betrieben.

  • Datenverarbeitung: Jede Demo-Sitzung erhält eine eigene isolierte Umgebung, die nach Beendigung der Sitzung (spätestens nach 30 Minuten Inaktivität) automatisch und vollständig gelöscht wird.
  • IP-Adresse: Zur Missbrauchsprävention wird Ihre IP-Adresse vorübergehend im Arbeitsspeicher verarbeitet und nach Sitzungsende automatisch gelöscht.
  • Hinweis: Bitte geben Sie keine personenbezogenen oder vertraulichen Daten in die Demo-Umgebungen ein.
  • Serverstandort: Die gesamte Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung funktionsfähiger Demo-Umgebungen und dem Schutz vor Missbrauch).

9. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung zum Schutz der Datenübertragung. Eine verschlüsselte Verbindung erkennen Sie am „https://" in der Adresszeile und am Schloss-Symbol in Ihrem Browser.

10. Ihre Rechte

Sie behalten die Kontrolle. Nach der DSGVO haben Sie jederzeit das Recht:

  • Auskunft darüber zu verlangen, welche Daten wir über Sie gespeichert haben (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten zu fordern (Art. 16 DSGVO)
  • Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
  • Datenübertragbarkeit – Sie erhalten Ihre Daten in maschinenlesbarem Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung einzulegen, insbesondere bei Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen (Art. 77 DSGVO)

Besonderes Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.

Zuständige Aufsichtsbehörde:

Sächsischer Datenschutzbeauftragter Devrientstraße 5 01067 Dresden Telefon: 0351 85471-101 E-Mail: saechsdsb@slt.sachsen.de

Haben Sie Fragen oder möchten Sie Ihre Rechte ausüben? Schreiben Sie uns einfach: kontakt@prometheus-research.de

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Stand dieser Datenschutzerklärung: 07. April 2026

Hier könnte ein Cookie-Banner stehen.

Tut es aber nicht — diese Website verwendet keine Tracking-Cookies.
Stattdessen: unser KI-Berater.

Datenschutzerklärung →