Rechtliches
Stand: Juli 2026 · Version 2026-06-15-v4 (KI-Verarbeitung auf AWS Bedrock EU umgestellt)
Verantwortlicher im Sinne der DSGVO für diesen Dienst ist der Betreiber von FragPolly™. Die vollständigen Kontaktdaten finden Sie im Impressum.
Anwendungs-Server (Compute) werden in Frankfurt am Main (Deutschland) betrieben.
Sämtliche serverseitige Verarbeitung deiner Anfragen — also alles, was unsere App an Logik, Datenbank-Abfragen, Authentifizierung, Vertragsanalyse, Schaden-Wizard etc. ausführt — läuft auf Servern in Frankfurt am Main bei Vercel Inc. (Region fra1). Datenbank- und Storage-Hosting (Supabase) ebenfalls in EU-Region. Auch die KI-Verarbeitung (Claude-Modell von Anthropic) läuft seit Juni 2026 ausschließlich über Amazon Web Services Bedrock in der Region eu-central-1 (Frankfurt am Main, Deutschland) — es findet keine Übermittlung deiner Inhalte mehr in die USA statt. Einzelne übrige Drittanbieter (z. B. transaktionaler E-Mail-Versand) sind im Abschnitt 22. Auftragsverarbeiter einzeln aufgeführt und jeweils mit Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Beim anonymen Chat (ohne Anmeldung):
Bei freiwilliger Anmeldung (Nutzerkonto):
FragPolly™ bietet die Möglichkeit, PDF-Dokumente (z. B. Versicherungspolicen) sowie Dateianhänge zu Schadensmeldungen (Fotos, PDFs) hochzuladen. Für diese Dateien gilt:
Wenn Sie über FragPolly™ eine Schadensmeldung einreichen, werden folgende Daten verarbeitet und dem zugewiesenen Experten (ungebundener Versicherungsmakler) zugänglich gemacht:
Der Experte kann einzelne Chat-Nachrichten für die Aufnahme in das Schaden-PDF markieren. Diese markierten Nachrichten erscheinen dann im offiziellen Schadensdokument.
Der Experte nutzt diese Daten ausschließlich zur Bearbeitung und Weiterleitung Ihrer Schadensmeldung. Die Daten werden nicht für andere Zwecke verwendet.
Alle im FragPolly™-Netzwerk tätigen Fachleute sind zugelassene, ungebundene Versicherungsmakler gemäß §34d GewO. Sie können – sofern von Ihnen initiiert oder bei Schadensmeldungen – auf folgende Daten zugreifen:
Experten unterliegen der gesetzlichen Verschwiegenheitspflicht und dürfen Ihre Daten ausschließlich zur Erfüllung ihrer Maklertätigkeit verwenden.
Mandanten-Erkennung (kryptografisch): Damit Bestandskunden eines Experten bei einer Neuregistrierung automatisch wieder ihrem bekannten Ansprechpartner zugeordnet werden, können Experten eine Liste der E-Mail-Adressen ihrer Bestandsmandanten hinterlegen. Diese E-Mail-Adressen werden dabei niemals im Klartext gespeichert, sondern ausschließlich als kryptografischer Hash (HMAC-SHA256 mit serverseitigem Geheimnis). Aus dem Hash kann die ursprüngliche E-Mail nicht zurückgerechnet werden. Auch FragPolly-Mitarbeiter haben keinen Zugriff auf die Klartext-Adressen. Für diese Verarbeitung wird zwischen Experte und FragPolly ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Du kannst der Zuordnung jederzeit widersprechen — schreibe uns dazu an datenschutz@fragpolly.de.
Empfehlungs-Cookie (QR-Code / Link): Wenn du einem persönlichen Empfehlungs-Link eines Experten folgst (z. B. via QR-Code, URL der Form /r/<name>), setzen wir ein technisch notwendiges Cookie namens fp_ref. Dieses Cookie speichert ausschließlich den Slug (Kürzel) des Experten und den Zeitpunkt deines Klicks und ist 90 Tage gültig. Es wird ausschließlich serverseitig ausgelesen (HttpOnly), um dich bei einer Registrierung dem werbenden Experten zuzuordnen. Es enthält keine Tracking-IDs und wird nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fairen Lead-Zuordnung). Du kannst das Cookie jederzeit in deinem Browser löschen — die Funktion „Empfehlung" entfällt dann ersatzlos.
Konfliktauflösung bei Mehrfach-Anspruch: Wenn mehrere Experten Anspruch auf dich erheben (z. B. einer hat dich vor Jahren in seine Mandantenliste geladen, ein anderer zeigt dir heute seinen QR-Code), gewinnt die zuletzt geltend gemachte Beziehung. So bleibt aktuelle Beratung im Vordergrund. Auch hier kannst du jederzeit widersprechen.
Öffentliche Experten-Profile: Aktive Experten erscheinen mit Vorname, Nachname, Foto, Spezialisierung, einer Kurzbiografie, ihren beruflichen Qualifikationen und veröffentlichten Kundenbewertungen auf einer öffentlichen Profilseite (/experte/<name>) sowie im Footer dieser Website. Die Profilseite kann von Suchmaschinen über einen pro Experte einstellbaren noindex-Schalter ausgeschlossen werden. Eine direkte Kontaktaufnahme erfolgt ausschließlich über ein integriertes Kontaktformular; Telefonnummer und E-Mail-Adresse des Experten werden auf der Profilseite nicht veröffentlicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber Experten) bzw. lit. f (berechtigtes Interesse an Transparenz für Endkunden).
Im Schaden-Check (/schaden-check) kannst du frei beschreiben, was dir passiert ist. FragPolly liefert dir auf Basis ihrer Wissensdatenbank eine indikative, KI-basierte Einordnung — welche Versicherungssparte wahrscheinlich zuständig ist, ob der Fall vermutlich gedeckt ist und welche Faktoren entscheidend sind. Es handelt sich ausdrücklich um keine Rechtsberatung und keine verbindliche Schadenentscheidung.
Was wir verarbeiten: deine Schadensbeschreibung, das KI-Ergebnis (Ampel + Begründung + Faktoren), die erkannte Sparte sowie technische Begleitdaten (Zeitstempel, ein gehashter IP-Stempel, dein User-Agent).
Speicherung: nur für eingeloggte Nutzer — damit du deinen Verlauf unter „Meine Schaden-Checks" wieder ansehen kannst. Anonym genutzt: das Ergebnis wird dir einmalig im Browser angezeigt und nicht persistiert.
Wichtig — keine Daten Dritter: Wir bitten dich ausdrücklich, in der Beschreibung keine personenbezogenen Daten Dritter (Namen von Geschädigten, Adressen, Geburtsdaten, Gesundheitsdaten) anzugeben. Falls du den Fall an einen Experten übergibst, fließen die Beschreibung sowie deine Kontaktdaten in den klassischen Schaden-Workflow (siehe Abschnitt „Schadensmeldungen").
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vorbereitung/Durchführung einer Anfrage) bzw. lit. f (berechtigtes Interesse an einer schnellen ersten Orientierung des Nutzers).
Wenn du im Schaden-Wizard oder unter /nutzer/handwerker-finden aktiv einen Handwerker buchst, übermittelt FragPolly Daten an den ausgewählten Handwerker. Da hier ein eigenständiger Werkvertrag zwischen dir und dem Handwerker zustande kommt, ist der Handwerker hinsichtlich der von dir an ihn übergebenen Daten eigenständig Verantwortlicher im Sinne der DSGVO — nicht Auftragsverarbeiter von FragPolly.
Die Übermittlung erfolgt in zwei Stufen, damit du nicht am FragPolly-System vorbei kontaktiert werden kannst und die Vermittlungsleistung dokumentiert bleibt:
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung zwischen dir und dem Handwerker, durch dich initiiert) sowie lit. f (berechtigtes Interesse von FragPolly an der Dokumentation der Vermittlung für Abrechnung und Refund-Streitfälle).
Innerhalb des Handwerker-Betriebs sehen die Daten nur diejenigen Team-Mitglieder, die der Owner explizit mit der Berechtigung „Lead-Empfang" markiert hat. Die Berechtigungs-Verwaltung liegt beim jeweiligen Handwerker-Betrieb; FragPolly stellt dafür ein granulares Rechte-System bereit (Rollen Owner / Admin / Disponent / Mitarbeiter).
FragPolly speichert die Lead-Daten zum Vermittlungsvorgang inklusive Verlauf (Annahme, Ablehnung, Abschluss, Bewertung) für die Dauer der gesetzlichen handelsrechtlichen Aufbewahrungsfristen (6/10 Jahre, § 257 HGB / § 147 AO). Was der Handwerker mit den ihm übermittelten Daten in seinen eigenen Systemen macht (CRM, Auftragsverwaltung, Rechnungsstellung), unterliegt der Datenschutzerklärung des jeweiligen Handwerkers.
Nach Annahme ist eine vollständige Rückholung der Daten beim Handwerker nicht mehr möglich (der Handwerker benötigt sie zur Auftragsabwicklung). Du kannst den Handwerker direkt unter den dir mitgeteilten Kontaktdaten zur Löschung auffordern. FragPolly löscht die Vermittlungs-Metadaten nach Ablauf der gesetzlichen Aufbewahrungsfristen ohne weiteres Zutun.
Wenn du nach Abschluss eine Bewertung abgibst (1–5 Sterne + Freitext), wird diese auf dem öffentlichen Handwerker-Profil (/handwerker/<slug>) anonymisiert (nur Sterne + Datum + Text, keine personenbezogenen Daten) angezeigt. Du kannst eine bereits abgegebene Bewertung aktualisieren; bei Bedarf wende dich an datenschutz@fragpolly.de zur Löschung.
FragPolly™ bietet eine Integration mit simplr, einer digitalen Vertragsmappen-Plattform von blau direkt GmbH. Wenn Sie simplr nutzen:
FragPolly™ nutzt zur KI-Verarbeitung den Dienst Amazon Bedrock der Amazon Web Services EMEA SARL (Sitz: Luxemburg, EU). Sämtliche Anfragen werden in der Region eu-central-1 (Rechenzentrum Frankfurt am Main, Deutschland) verarbeitet. Es findet keine Übermittlung deiner Inhalte in die USA oder andere Drittländer statt. Modell ist Claude von Anthropic, PBC (Subprozessor von AWS innerhalb der EU-Inferenz-Infrastruktur).
Folgende Daten werden an AWS Bedrock übermittelt:
Nicht übermittelt werden im laufenden Chat-Betrieb: Ihre Antwort-Bewertungen (👍/👎, Kategorien, Freitext-Kommentare), Ihr FragPolly-Stil-Profil sowie Ihre Konto- und Profildaten. Diese verbleiben ausschließlich auf unseren EU-Servern. Eine Ausnahme bildet die wöchentliche KB-Vorschlag-Generierung — siehe Abschnitt 7a.
Mit AWS besteht ein Auftragsverarbeitungsvertrag in Form des automatisch anwendbaren AWS GDPR Data Processing Addendums (integraler Bestandteil der AWS Service Terms, Section 12). Eingaben aus API-Anfragen werden im Rahmen von Amazon Bedrock weder zum Modelltraining genutzt noch außerhalb der EU gespeichert.
Weitere Informationen: aws.amazon.com/de/compliance/gdpr-center · aws.amazon.com/de/bedrock/security-compliance
Zur kontinuierlichen Verbesserung der KI-Antworten verarbeiten wir Ihre Chat-Interaktionen in aggregierter Form für drei Lern-Mechaniken:
Wöchentliche KB-Vorschlag-Generierung: Einmal pro Woche werden Frage-Wortlaute aus unbeantworteten Chat-Anfragen und Antworten mit negativem Feedback an AWS Bedrock (Region eu-central-1 / Frankfurt) übermittelt, damit Claude daraus Vorschläge für neue Wissensdatenbank-Einträge erstellt. Übermittelt wird nur der reine Frage-Text (PII-gefiltert), niemals Nutzerprofile, E-Mail-Adressen oder Konto-IDs. Die generierten Vorschläge werden von einem Admin manuell geprüft, bevor sie aktiv werden.
A/B-Tests von Antwort-Stilen: Wir testen gelegentlich verschiedene Formulierungs-Varianten parallel, um zu lernen welche Variante besser funktioniert. Sie können davon nichts bemerken — alle Varianten halten sich an FragPolly's Kernregeln (kein Web-Search, keine individuelle Beratung, Verweis aufs Expertenteam).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung und Qualitätssicherung). Diese Verarbeitungen werden nicht für personalisierte Werbung genutzt und nicht an Dritte weitergegeben (außer der oben genannten KB-Vorschlag-Generierung über AWS Bedrock EU).
Widerspruch: Sie können dieser Verarbeitung jederzeit per E-Mail an datenschutz@fragpolly.de widersprechen. Wir entfernen Ihre Bewertungen und Stil-Metadaten dann aus den Lern-Datensätzen.
Sie können Ihr Konto und alle zugehörigen Daten jederzeit selbst über Ihren Profilbereich oder per E-Mail an die im Impressum genannte Adresse löschen lassen.
Bei einer vom Administrator initiierten Kontolöschung (siehe Abschnitt 10) werden Sie mindestens 7 Tage vor der Löschung per E-Mail informiert und aufgefordert, relevante Daten zu sichern. Schadensmeldungen werden in anonymisierter Form (ohne Ihren Namen und Kontaktdaten) für den zuständigen Experten zur Weiterverarbeitung aufbewahrt.
Der Anbieter kann Nutzerkonten bei Verstößen gegen die AGB oder aus anderen berechtigten Gründen moderieren:
Gegen eine Sperrung oder Löschung können Sie sich per E-Mail an den im Impressum genannten Kontakt wenden.
FragPolly™ nutzt die Schriften Playfair Display und Lato aus dem Google-Fonts-Verzeichnis. Diese Schriften werden nicht zur Laufzeit von Google geladen, sondern beim Build unserer Anwendung einmalig heruntergeladen und anschließend ausschließlich von unserer eigenen Domain (bzw. unserem CDN-Anbieter Vercel) ausgeliefert. Es findet damit keine Datenübermittlung von IP-Adressen oder anderen Browser-Informationen an Google statt, wenn Sie FragPolly nutzen.
Technischer Hintergrund: Wir verwenden das next/font/google-Modul, das die Schriftdateien zum Build-Zeitpunkt einmalig abruft und in unser Bundle aufnimmt.
FragPolly™ unterscheidet drei Cookie-Kategorien. Beim ersten Besuch erscheint ein Cookie-Banner, in dem Sie für die Kategorien Statistik und Marketing jeweils einzeln zustimmen oder ablehnen können. Ihre Entscheidung wird im lokalen Speicher Ihres Browsers sowie zu Audit-Zwecken datenschutzkonform (anonyme Client-ID, gehashte IP) auf unseren Servern protokolliert. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen oder anpassen.
a) Notwendige Cookies (immer aktiv)
Session-Cookies für eingeloggte Nutzer, CSRF-Token, Speicherung der Cookie-Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
b) Statistik (optional, nur mit Einwilligung)
Anonymisierte Reichweitenmessung und Nutzungsanalyse. Eingesetzte Dienste können sein: Google Analytics 4 (Google Ireland Ltd.), Microsoft Clarity (Microsoft Corporation), Hotjar (Hotjar Ltd.). Diese Dienste laden ihre Skripte erst, nachdem Sie aktiv zugestimmt haben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
c) Marketing (optional, nur mit Einwilligung)
Tracking-Pixel zur Aussteuerung passender Werbung auf Drittplattformen (Retargeting, Conversion-Messung). Eingesetzte Dienste können sein: Meta Pixel (Meta Platforms Ireland Ltd. – inkl. Conversions API serverseitig), Google Tag Manager (Google Ireland Ltd.), LinkedIn Insight Tag (LinkedIn Ireland Ltd.), Pinterest Tag (Pinterest Europe Ltd.). Auch diese Skripte werden ausschließlich nach ausdrücklicher Einwilligung geladen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Hinweis zur Datenübermittlung in Drittländer: Einige der genannten Dienste übermitteln Daten in die USA. Wir setzen ausschließlich Anbieter ein, die sich entweder dem EU-US Data Privacy Framework unterworfen oder Standardvertragsklauseln gemäß Art. 46 DSGVO vereinbart haben. Sie können diese Übermittlung jederzeit durch Widerruf Ihrer Einwilligung beenden.
Wir versenden E-Mails über Resend Inc. (USA), einen spezialisierten E-Mail-Versand-Dienstleister. Die Datenverarbeitung erfolgt auf Basis eines Auftragsverarbeitungsvertrags (AVV) sowie Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Versandregion ist auf die EU (Irland) konfiguriert. Zusätzlich können Mails optional über die SMTP-Konfiguration einzelner Versicherungsmakler unseres Netzwerks versendet werden (für Mails, die im Namen eines Experten verschickt werden). Häufig genutzte Versand-Backends dieser Experten-Konfiguration sind z. B. Amazon SES (Amazon Web Services EMEA SARL, Region Frankfurt eu-central-1), Mailgun, SendGrid oder Microsoft 365 — jeweils direkt zwischen dem Experten und seinem SMTP-Anbieter.
Pflicht-Mails (Sicherheit, Konto, Schadensmeldungen): Diese E-Mails werden ohne Tracking-Pixel und ohne Click-Tracking versendet. Erfasst werden lediglich technische Zustellungs-Statusmeldungen (zugestellt, nicht zustellbar, als Spam markiert), die wir zur Sicherstellung der Zustellbarkeit und zur Pflege unserer Versandqualität benötigen (Art. 6 Abs. 1 lit. f DSGVO).
Marketing-Mails & Newsletter: Diese E-Mails werden ausschließlich nach ausdrücklicher Einwilligung versendet (Double-Opt-In-Verfahren mit Bestätigungs-Mail). Bei diesen Mails verwenden wir ein Open-Tracking-Pixel und Click-Tracking, um den Erfolg unserer Inhalte zu messen. Erfasst werden Öffnungs- und Klickzeitpunkt sowie eine pseudonymisierte IP-Adresse (gehasht). Die Einwilligung können Sie jederzeit über den Abmelde-Link am Ende jeder Mail oder unter E-Mail-Einstellungen widerrufen (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 UWG).
Jede Marketing-Mail enthält zusätzlich einen List-Unsubscribe-Header (RFC 8058), so dass Sie sich auch direkt im E-Mail-Programm mit einem Klick abmelden können.
Versand-Logs (Empfänger, Vorlage, Status, Zeitpunkt) werden 12 Monate aufbewahrt und danach automatisch gelöscht. Webhook-Events des Versand-Dienstleisters speichern wir für 30 Tage zur Audit- und Fehleranalyse.
FragPolly™ bietet optional Web-Push-Benachrichtigungen an. Diese erlauben es, dich z. B. bei Antworten deines Experten oder Status-Änderungen deiner Schadensmeldung sofort zu informieren — auch wenn FragPolly gerade nicht im Browser geöffnet ist.
Push-Benachrichtigungen sind strikt opt-in: Sie funktionieren erst, nachdem du in deinem Browser ausdrücklich „Erlauben" geklickt hast. Wir speichern dazu eine vom Browser ausgegebene Push-Subscription (Endpunkt-URL, Verschlüsselungs-Schlüssel, User-Agent), die ausschließlich dazu dient, Nachrichten an deinen Browser zuzustellen. Ohne diese Subscription ist keine Zustellung möglich.
Die Zustellung erfolgt über die Push-Dienste der Browser-Hersteller (Google FCM für Chrome/Edge, Mozilla für Firefox, Apple für Safari). Inhalte sind Ende-zu-Ende mit deinem Browser-Schlüssel verschlüsselt — die Hersteller sehen nur den verschlüsselten Push, nicht den Inhalt.
Du kannst Push-Benachrichtigungen jederzeit in deinem Browser deaktivieren (Schloss-Symbol in der Adresszeile → Berechtigungen → Benachrichtigungen blockieren) oder direkt in deinen FragPolly-Einstellungen abbestellen. Bei Deaktivierung wird die Subscription auf unseren Servern gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
FragPolly™ enthält eine lernende Anpassungsfunktion, mit der FragPolly ihren Antwort-Stil schrittweise an Ihre Vorlieben angleicht (z. B. kürzere Antworten, einfachere Sprache, klarere Empfehlungen). Grundlage dafür sind ausschließlich die von Ihnen abgegebenen Bewertungen (👍/👎 mit optionalen Begründungs-Kategorien und Freitext-Kommentaren).
Zwei Stufen — Sie entscheiden:
Ihre Kontrolle, jederzeit:
Speicherort der Bewertungs-Daten: Bewertungen, Begründungs-Kategorien und Freitext-Kommentare werden in unserer Cloud-Datenbank (EU-Hosting) gespeichert. Sie sind im Nutzerkonto Ihrem Profil zugeordnet (sofern Sie eingeloggt sind) bzw. nur der jeweiligen Session (im anonymen Chat). Die Speicherung dient der dauerhaften Qualitätsverbesserung und ist Teil der ordentlichen Geschäftsdokumentation.
Anonyme Nutzung: Auch wenn Sie nicht eingeloggt sind, kann FragPolly Ihren Stil innerhalb derselben Browser-Session anpassen. Die Inferenz-Daten gehören dann zur Chat-Session und werden mit dieser nach Ihrer Speicherdauer (siehe § 9) gelöscht. Eine inhaltliche Memory findet bei anonymer Nutzung nicht statt.
FragPolly™ bietet die Möglichkeit, deinen Chatverlauf als PDF-Dokument zu exportieren. Es gibt zwei Varianten:
Übersicht & Verwaltung: Im Bereich „Meine Zusammenfassungen" kannst du jederzeit alle deine PDF-Exporte einsehen, den Status verfolgen und freigegebene Dokumente herunterladen oder löschen lassen.
Speicherdauer: Sofort-Exporte werden 12 Monate aufbewahrt; Premium-Exporte solange dein Konto aktiv ist. Du kannst exportierte PDFs jederzeit über die Funktion „Meine Zusammenfassungen" einsehen oder löschen lassen.
Hinweis zur Sensibilität: Bitte gib in deinem Chat keine besonders sensiblen personenbezogenen Daten an (z. B. Bankverbindungen, Sozialversicherungsnummer, vollständige Diagnose-Codes), wenn diese für die Beantwortung deiner Frage nicht zwingend erforderlich sind. Diese würden sonst auch im PDF-Export erscheinen.
Im Nutzerbereich kannst du eine Bedarfsanalyse durchlaufen. Dafür verarbeiten wir:
Wir erfassen bewusst keine Gesundheitsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Sharing mit Experten zusätzlich Art. 6 Abs. 1 lit. a (Einwilligung).
Du kannst deine gesamte Bedarfsanalyse jederzeit unter /nutzer/navigator vollständig löschen. Die Daten werden hard-gelöscht, ein Audit-Eintrag bleibt zur Dokumentation.
Im Nutzerbereich kannst du einen Vertrags-Check anlegen. Dafür verarbeiten wir:
Bei Wahl der KI-Analyse werden die hochgeladenen Dokumente an AWS Bedrock (eu-central-1 / Frankfurt) übermittelt und dort mit Claude analysiert. Bei Übergabe an einen Experten werden die Daten zusätzlich für den Experten freigegeben — nur mit deiner expliziten Zustimmung. Audit-Log dokumentiert jede Freigabe.
Vollständige Löschung jederzeit per Klick — Datenbank-Einträge + Storage-Dateien werden hard-gelöscht.
Du kannst FragPolly Freunden empfehlen und einen Amazon-Gutschein erhalten. Dafür verarbeiten wir:
fp_uref beim Aufruf des Einladungs-Links (HttpOnly, 90 Tage)Geworbene Freunde werden nicht automatisch zu Mandanten des Werbers. Der Eingeladene erfährt nicht, dass er empfohlen wurde — wir speichern lediglich den Cookie-basierten Bezug.
Wenn du eine Funktion nutzen möchtest, die dein zugewiesener Experte aktuell nicht freigeschaltet hat, speichern wir die Anfrage in locked_feature_requests: User-ID, Expert-ID, Feature-Key, Zeitstempel. Der Experte sieht nur die Anzahl und Art der Anfragen — nicht deinen Namen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Funktions-Bedarf zwischen Nutzer und Experte vermitteln).
Folgende Anbieter verarbeiten in unserem Auftrag personenbezogene Daten:
eu-central-1/Frankfurt): KI-Verarbeitung (Amazon Bedrock) von Chat-Inhalten, Vertrags-Dokumenten und Sonstiges-Freitext. Modell-Anbieter Anthropic, PBC ist Unter-Auftragsverarbeiter von AWS innerhalb der EU-Bedrock-Infrastruktur — es findet keine eigenständige Datenübermittlung an Anthropic statt. Rechtsgrundlage: AWS GDPR Data Processing Addendum (Bestandteil der AWS Service Terms).Alle US-Sub-Prozessoren wurden mit Standardvertragsklauseln und (sofern möglich) EU-Hosting-Region konfiguriert.
Für Experten- und Handwerker-Partner berechnet FragPolly intern einen Quality-Score (0–100). Der Score steuert die dynamische Lead-Preis-Berechnung (Discount −40 % bis Aufschlag +60 % auf den Basispreis pro Sparte), die Reihenfolge der Lead-Zuweisung sowie ggf. Suspension-Stufen (🟡 Beobachtung / 🟠 Eingeschränkt / 🔴 Suspendiert).
Faktoren und Gewichtung: Mandanten-Rating 30 %, Conversion-Rate 25 %, durchschnittliche Reaktionszeit 20 %, Penalty-Free-Quote 15 %, Plan-Tier 10 %. Zusätzlich können Demand- und Exclusivity-Multiplikatoren (max. ×1,5 bzw. ×1,8) greifen. Die Berechnung wird täglich um 04:00 UTC aktualisiert.
Deine Rechte gem. Art. 22 DSGVO: Auskunft über die zugrundeliegende Logik · Anfechtung einer konkreten Entscheidung · Anspruch auf menschliche Überprüfung durch einen FragPolly-Admin innerhalb von 14 Tagen ab Kenntnis. Antrag formlos via Backend-Formular „Score anfechten" oder E-Mail an hallo@fragpolly.de. Antwort binnen 10 Werktagen; während der Prüfung kann die strittige Maßnahme ausgesetzt werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Vertragsdurchführung / berechtigtes Interesse an Plattform-Qualität). Speicherort der Score-Breakdowns: team_members.quality_score_breakdown. Speicherdauer: solange die Plattform-Mitgliedschaft besteht plus 36 Monate für Audit-Zwecke.
Zu jedem Lead protokollieren wir in der Tabelle lead_events Ereignisse wie Zuweisung, Annahme, Erstkontakt, Refund-Anträge, Status-Wechsel sowie die im Kontext einer Refund- oder Score-Berechnung relevanten Metadaten.
Zweck: Audit-Sicherheit, Refund-Plausibilitätsprüfung, Pricing-/Quality-Score-Lerneffekte, interne Plattform-Steuerung.
Speicherdauer: 36 Monate ab letzter Aktivität pro Lead. Zugriff: der betroffene Experte/Partner (eigene Events), das FragPolly-Admin-Team (alle Events). Mandanten erhalten auf Anfrage Auskunft über sie betreffende Events.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.
Für Handwerker-Partner kann administrativ durch HeldFinanz.digital UG (haftungsbeschränkt) eine BD-Mandantennummer hinterlegt werden, um den HeldFinanz-Mandanten-Vorteil (0-€-Lead-Pauschale) in Anspruch zu nehmen. Die Eingabe erfolgt nicht durch den Handwerker selbst, sondern ausschließlich nach Abstimmung im Backend.
Empfänger: HeldFinanz.digital UG (haftungsbeschränkt), Rothenburg ob der Tauber, und blau direkt GmbH, Lübeck — ausschließlich zum Abgleich der Mandantenliste, nicht für Werbung. Speicherzweck: Prüfung der 0-€-Regel. Speicherform: aktuell Klartext in der Tabelle der Partner-Stammdaten; ein folgender Release verschlüsselt das Feld (AES-256-GCM). Speicherdauer: für die Dauer der Plattform-Mitgliedschaft, danach 30 Tage Übergangsfrist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
Du kannst in deinem Konto eine zweite Anmelde-Stufe per Authenticator-App (TOTP) aktivieren. In diesem Fall speichern wir:
Speicherdauer: bis zur MFA-Deaktivierung durch dich oder Account-Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kontosicherheit).
Sobald der Lead-Markt aktiv ist, speichern wir pro Experte:
Zweck: Audit, Anti-Fraud, Abrechnung, Score-Recalc. Speicherdauer: 36 Monate ab Aktivität. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.
Wenn du als Mandant einen Vorgang als „Experte hat sich nicht gemeldet" markierst, speichern wir die Markierung mit Zeitstempel, Lead-Referenz und IP-Adresse zur Missbrauchs-Erkennung. Der betroffene Experte sieht den Auslöser (anonymisiert) sowie die Auswirkung auf seinen Quality-Score (siehe § 23). Daten zur Markierung werden 24 Monate aufbewahrt, danach gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Anti-Fraud und Plattform-Qualität).
Du hast jederzeit das Recht auf vollständige Auskunft über alle bei uns gespeicherten personenbezogenen Daten. Diese Auskunft kannst du selbst direkt unter /nutzer/profil als ZIP-Download anfordern. Das Archiv enthält:
Rate-Limit: Aus Sicherheits- und Performancegründen ist die Auskunft auf 1× pro 24 Stunden pro Konto begrenzt. Verschlüsselte Felder werden im Archiv entschlüsselt ausgegeben (z. B. Klartext-Kennzeichen, Klartext-Adressen) — bitte verwahre die ZIP-Datei daher sicher und teile sie nicht unverschlüsselt.
Rechtsgrundlage: Art. 15 DSGVO.
Du kannst dein Konto und sämtliche zugehörigen Daten jederzeit selbst über /nutzer/profil löschen. Die Löschung erfolgt in zwei Stufen:
Rechtsgrundlage: Art. 17 DSGVO. Die 30-Tage-Frist dient dem Schutz vor versehentlicher Löschung sowie der Abwehr von Account-Übernahme-Angriffen.
Nach 5 fehlgeschlagenen Login-Versuchen innerhalb von 15 Minuten wird dein Konto für 15 Minuten vorübergehend gesperrt. Während dieser Zeit sind keine weiteren Login-Versuche möglich — auch bei korrektem Passwort. Nach Ablauf der Sperre kannst du dich wieder normal anmelden; der Zähler wird zurückgesetzt.
Diese Maßnahme dient ausschließlich der Abwehr automatisierter Brute-Force-Angriffe auf dein Passwort. Sie stellt keine Sperre deines Kontos im rechtlichen Sinne (z. B. wegen AGB-Verstoß) dar. Dein Konto und alle deine Daten bleiben uneingeschränkt erhalten. Es findet keine Information an Dritte statt.
Gespeichert wird dabei: Zeitstempel der fehlgeschlagenen Versuche, gehashte IP-Adresse (SHA-256 mit Server-Salt), User-Agent. Diese Daten werden nach 7 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kontosicherheit).
Mandanten erhalten von uns E-Mails (z. B. Marketing- und Newsletter-Mails, siehe § 13), die ein unsichtbares 1×1-Pixel zur Öffnungs-Erkennung enthalten. Damit messen wir, ob und wann eine Mail geöffnet wurde — nicht jedoch, was du innerhalb der Mail gelesen hast.
Was wir speichern: Mail-ID, Öffnungs-Zeitpunkt, IP-Adresse und User-Agent jeweils ausschließlich als SHA-256-Hash (mit serverseitigem Salt). Die Klartext-IP-Adresse wird nie gespeichert. Aus dem Hash kann die ursprüngliche IP nicht zurückgerechnet werden.
Opt-Out: Jede Mail enthält am Ende einen „Tracking deaktivieren"-Link sowie einen separaten Abmelde-Link für die gesamte Mail-Kommunikation. Du kannst Tracking auch dauerhaft unter E-Mail-Einstellungen deaktivieren. Pflicht-Mails (Sicherheit, Konto, Schadensmeldungen) werden ohne Tracking-Pixel versendet — siehe § 13.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Marketing-Consent).
Damit die KI-gestützte Wissensvermittlung über FragPolly stabil und sicher bleibt, setzen wir automatische Schutzmechanismen gegen Prompt-Injection und Jailbreak-Versuche ein. Jeder Chat-Input wird vor der Weitergabe an unser Sprachmodell (Claude via AWS Bedrock EU) maschinell auf typische Manipulations-Muster geprüft (z. B. Anweisungen, das System zu ignorieren oder geheime Daten preiszugeben).
Was passiert:
Was wir dabei speichern (Tabelle ai_guardrail_events): Event-Typ, Schweregrad, ausgelöste Muster (z. B. „ignore_previous"), ein Ausschnitt von maximal 200 Zeichen des betroffenen Textes (zur Forensik), gehashte IP-Adresse, optional User- und Session-ID, Zeitstempel. Der vollständige Inhalt wird nicht gespeichert. Speicherdauer: 90 Tage; danach automatische Löschung. Zugriff: ausschließlich FragPolly-Admin.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an KI-Sicherheit und Plattform-Integrität).
Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an die im Impressum genannte Kontaktadresse: Kontaktdaten im Impressum