Datenschutzerklärung

Stand: 23. April 2026

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, BDSG, DDG). In dieser Erklärung informieren wir Sie transparent darüber, welche Daten wir zu welchem Zweck verarbeiten.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Ein Datenschutzbeauftragter ist nicht gesetzlich vorgeschrieben und wurde nicht bestellt.

2. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an contact@merlon.ai. Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig ist die Sächsische Datenschutz- und Transparenzbeauftragte (Devrientstraße 1, 01067 Dresden).

3. Bereitstellung der Website und Server-Logs

Beim Aufruf unserer Website werden technisch notwendige Daten automatisch durch unseren Hosting-Dienstleister in Log-Dateien erfasst. Dies umfasst: gekürzte IP-Adresse, Datum und Uhrzeit, aufgerufene URL, Referrer, User-Agent.

Zweck: Gewährleistung der technischen Bereitstellung, Sicherheit und Stabilität der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: Log-Daten werden nach spätestens 14 Tagen gelöscht oder anonymisiert.

4. Kontaktaufnahme

4.1 Kontaktformular

Wenn Sie uns über das Kontaktformular eine Nachricht zukommen lassen, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, optional Organisation, Nachricht) zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: Daten werden gelöscht, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO: sechs Jahre) entgegenstehen.

4.2 E-Mail und Telefon

Bei Kontaktaufnahme per E-Mail oder Telefon werden die von Ihnen mitgeteilten Angaben zur Bearbeitung der Anfrage verarbeitet. Rechtsgrundlage und Speicherdauer entsprechen Abschnitt 4.1.

4.3 Checklisten-Anforderung (Lead-Magnet)

Auf der Seite /checkliste (oder englisch unter /en/checkliste) können Sie unsere zweiseitige Checkliste „KI in Kanzlei und Praxis" als PDF per E-Mail anfordern. Beide Sprachfassungen behandeln inhaltlich deutsches Recht (§ 203 StGB, DSGVO, Berufsordnungen); die englische Variante enthält zusätzlich einen Jurisdiction-Hinweis auf Seite 1. Dabei verarbeiten wir Ihre E-Mail-Adresse und Ihre Berufsangabe (Steuerberater / Rechtsanwalt / Arzt / Andere).

Zweck: einmalige Zusendung der angeforderten Checkliste an die von Ihnen angegebene E-Mail-Adresse sowie interne Nachvollziehbarkeit und Qualifizierung der Anfrage (welcher Beruf, welches Land, welcher Zeitpunkt) für eine etwaige spätere persönliche Kontaktaufnahme durch uns.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Ankreuzen der Consent-Checkbox) sowie ergänzend Art. 6 Abs. 1 lit. b DSGVO (Durchführung einer von Ihnen angeforderten vorvertraglichen Maßnahme) und für die interne Lead-Qualifikation Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nachvollziehbarkeit eigener Marketing-Maßnahmen).
Empfänger / Auftragsverarbeiter: Der E-Mail-Versand erfolgt technisch über Resend (siehe Abschnitt 6); die eingehende Benachrichtigungs-Kopie an uns wird im Mailpostfach bei Mailbox.org (siehe Abschnitt 5) gespeichert. Zusätzlich speichern wir E-Mail-Adresse, Berufsangabe, Sprache, ungefähren Standort (Land/Stadt aus der IP-Geolocation, keine IP-Speicherung), User-Agent und Zeitpunkt in einer internen Datenbank bei Cloudflare D1 (Region EU-West, siehe Abschnitt 8). Es findet keine Aufnahme in ein Newsletter-System und keine Weitergabe an Dritte statt.
Speicherdauer: Die Daten in der D1-Datenbank werden bis zu 24 Monate aufbewahrt und anschließend gelöscht, sofern keine darüber hinausgehende Kontaktaufnahme durch Sie erfolgt. Die Mail-Kopien im Postfach folgen der allgemeinen Mail-Retention (Abschnitt 5).
Widerruf / Löschung: Sie können Ihre Einwilligung jederzeit widerrufen — formlos per Antwort auf die erhaltene E-Mail oder an contact@merlon.ai. Wir löschen dann sowohl Mail-Kopie als auch den D1-Eintrag.

Kein Newsletter, keine automatisierten Folgemails: Mit der Anforderung der Checkliste entsteht kein Newsletter-Abonnement und keine automatisierte Folge-Kommunikation. Eine etwaige persönliche Kontaktaufnahme durch uns (z.B. Hinweis auf ein passendes Angebot) erfolgt manuell und nur in begründeten Einzelfällen.

5. E-Mail-Hosting (Mailbox.org)

Unsere E-Mail-Postfächer (u. a. contact@merlon.ai) werden durch den deutschen Anbieter Mailbox.org gehostet. Alle an uns gerichteten E-Mails werden auf Servern von Mailbox.org in Deutschland empfangen, gespeichert und verarbeitet. Ebenso werden automatisierte Bestätigungs- und Terminmails aus unserer Terminbuchung (siehe Abschnitt 9) über Mailbox.org versendet. Mailbox.org verschlüsselt ruhende Daten sowie den Transportweg zu anderen Mail-Servern nach dem Stand der Technik (u. a. TLS, PGP/S-MIME-Unterstützung).

Auftragsverarbeiter: Heinlein Support GmbH, Schwedter Straße 8/9a, 10119 Berlin, Deutschland. Die Datenverarbeitung findet ausschließlich innerhalb der Europäischen Union statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung von Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger, DSGVO-konformer E-Mail-Infrastruktur).
AVV: Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde angefordert und liegt vor Eintritt des Produktivbetriebs vor.
Weitere Informationen: mailbox.org/datenschutz.

6. Automatisierter E-Mail-Versand (Resend)

Für den automatisierten Versand von E-Mails aus dem Kontaktformular (Abschnitt 4.1) sowie für die Zusendung der angeforderten Checklisten-PDF (Abschnitt 4.3) nutzen wir den Dienst Resend. Dabei werden die im jeweiligen Formular angegebenen Daten an Resend übermittelt und von dort entweder in unser bei Mailbox.org gehostetes E-Mail-Postfach oder an die von Ihnen angegebene E-Mail-Adresse zugestellt.

Auftragsverarbeiter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender technischer Schutzmaßnahmen. Ein AVV gemäß Art. 28 DSGVO wurde abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effizienter und zuverlässiger E-Mail-Versand aus dem Kontaktformular).
Weitere Informationen: resend.com/legal/privacy-policy.

7. AI-Chatbot (Anthropic)

Auf dieser Website steht Ihnen ein AI-Chatbot zur Verfügung, der Fragen zu den Leistungen, Preisen und dem Ablauf von merlon.ai beantwortet. Das zugehörige Script wird nicht beim Seitenaufruf geladen, sondern erst, wenn Sie die Chat-Schaltfläche rechts unten aktiv anklicken.

Sobald Sie den Chat öffnen und eine Nachricht senden, werden der Text Ihrer Nachricht sowie der bisherige Gesprächsverlauf über unseren eigenen Cloudflare Worker an den KI-Anbieter Anthropic übermittelt und dort von einem Sprachmodell (Claude) verarbeitet. merlon.ai selbst speichert den Gesprächsverlauf nicht persistent; er existiert ausschließlich flüchtig in Ihrem Browser-Fenster, bis Sie den Chat schließen oder die Seite verlassen.

Auftragsverarbeiter: Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA. Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Anthropic ist derzeit nicht im EU-U.S. Data Privacy Framework zertifiziert. Ein AVV gemäß Art. 28 DSGVO ist im Rahmen der Anthropic-Nutzungsbedingungen (Data Processing Addendum) abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem unmittelbar verfügbaren Informationsangebot für Website-Besucher).
Speicherdauer bei Anthropic: Chatinhalte werden laut Anbieter bis zu 30 Tage zu Zwecken der Missbrauchserkennung vorgehalten und anschließend gelöscht. Eine Nutzung zum Training der Modelle findet nach Anbieterangaben nicht statt.
Weitere Informationen: anthropic.com/legal/privacy.

Wichtiger Hinweis: Der Chatbot dient ausschließlich der Beantwortung von Fragen zu merlon.ai. Er ist nicht geeignet für die Übermittlung vertraulicher Mandanten-, Patienten- oder Klient:innendaten. Für Rückfragen mit Personenbezug oder eine verbindliche Kontaktaufnahme nutzen Sie bitte unser Kontaktformular oder contact@merlon.ai.

8. Hosting und Content Delivery (Cloudflare)

Diese Website wird auf der Infrastruktur von Cloudflare bereitgestellt. Cloudflare liefert Inhalte über ein globales Netzwerk aus und stellt Schutzmechanismen gegen Angriffe (DDoS, Bots) zur Verfügung. Hierbei verarbeitet Cloudflare technisch notwendige Verbindungsdaten — insbesondere IP-Adresse, Browsertyp, angefragte Inhalte und Zeitstempel.

Auftragsverarbeiter: Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München (deutsche Niederlassung) sowie Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA. Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-U.S. Data Privacy Framework. Ein AVV gemäß Art. 28 DSGVO wurde abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sichere und performante Bereitstellung der Website).
Weitere Informationen: cloudflare.com/privacypolicy.

Bot-Schutz (Cloudflare Turnstile): Zum Schutz unseres Kontaktformulars vor automatisierten Spam-Einsendungen setzen wir Cloudflare Turnstile ein — eine datenschutzfreundliche Alternative zu klassischen CAPTCHAs. Das zugehörige Script wird nicht beim Seitenaufruf geladen, sondern erst, wenn Sie das Kontaktformular aktiv benutzen (erster Cursor-Fokus auf ein Formularfeld). Turnstile analysiert dabei anonyme Telemetrie- und Verhaltenssignale (u. a. Browser-Fingerprint, IP-Adresse, Interaktionsmuster), um menschliche Nutzer von Bots zu unterscheiden. Es werden keine Cookies zu Tracking- oder Marketing-Zwecken gesetzt; personenbezogene Daten werden laut Anbieter nicht für andere Zwecke als die Bot-Abwehr verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr automatisierter Angriffe auf unser Kontaktformular).
Weitere Informationen: cloudflare.com/turnstile.

Datenbank (Cloudflare D1): Die im Rahmen der Checklisten-Anforderung (Abschnitt 4.3) erfassten Lead-Daten werden in Cloudflare D1 gespeichert — einer serverlosen SQL-Datenbank von Cloudflare. Gespeichert werden: E-Mail-Adresse, Berufsangabe, Sprache der Anfrage, Land und Stadt (abgeleitet aus der IP-Geolocation zum Zeitpunkt der Anfrage, nicht die IP-Adresse selbst), User-Agent und Zeitpunkt. Die Datenbank wird in der Region EU-West (Europa) betrieben; eine Übermittlung in Drittländer findet für diese Daten nicht statt. Der AVV mit Cloudflare (siehe Abschnitt 8, erster Abschnitt) deckt auch die D1-Nutzung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a und lit. b DSGVO (Einwilligung bzw. vorvertragliche Maßnahme) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Lead-Qualifikation).
Speicherdauer: bis zu 24 Monate, siehe Abschnitt 4.3.

9. Terminbuchung (self-hosted Cal.com)

Für die Online-Buchung eines Erstgesprächs setzen wir eine selbst betriebene Instanz der Open-Source-Software Cal.com unter der Subdomain cal.merlon.ai ein. Es handelt sich nicht um den gehosteten Dienst von Cal.com Inc. — die Software läuft auf unserer eigenen Server-Infrastruktur bei Hetzner (siehe Abschnitt 10).

Das Buchungs-Widget wird auf unserer Website erst geladen, wenn Sie aktiv auf den Button „Erstgespräch buchen" klicken. Vorher findet keinerlei Verbindung zur Buchungs-Infrastruktur statt. Sobald Sie das Widget öffnen, werden technisch notwendige Session-Cookies auf cal.merlon.ai gesetzt, um den Buchungsablauf abzubilden. Diese Cookies dienen keinem Tracking, keinem Marketing und verlassen unsere Infrastruktur nicht.

Im Rahmen der Buchung verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, optional Telefonnummer, ausgewählter Termin, ggf. eine kurze Nachricht). Diese Daten werden ausschließlich zum Zweck der Terminkoordination verarbeitet und dauerhaft bis zum Widerruf Ihrer Einwilligung bzw. bis zum Ende der gesetzlichen Aufbewahrungsfrist gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Terminkoordination).
Auftragsverarbeiter: Kein externer Anbieter — die Software läuft auf einem dedizierten Server bei der Hetzner Online GmbH in Deutschland (siehe Abschnitt 10).

10. Server-Infrastruktur (Hetzner)

Unsere Anwendungs-Server — insbesondere die unter Abschnitt 9 genannte Terminbuchungs-Instanz — laufen bei der Hetzner Online GmbH im Rechenzentrum Falkenstein, Sachsen. Hetzner verarbeitet in diesem Rahmen technisch notwendige Verbindungsdaten (u. a. IP-Adresse, Zeitstempel) zur Bereitstellung der Server-Infrastruktur.

Auftragsverarbeiter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Datenverarbeitung findet ausschließlich innerhalb der Europäischen Union statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger, DSGVO-konformer Server-Infrastruktur).
AVV: Ein separater Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde mit Hetzner abgeschlossen; die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO sind als Anlage Bestandteil des Vertrags.
Weitere Informationen: hetzner.com/rechtliches/datenschutz.

11. Keine Cookies, kein Tracking

Wir setzen auf dieser Website keine eigenen Cookies, kein Webanalyse-Tool, kein Pixel-Tracking und keine Social-Media-Widgets ein. Es werden keine externen Third-Party-Skripte geladen. Ein Cookie-Banner ist daher nicht erforderlich.

Einzige Ausnahme: Wenn Sie aktiv auf „Erstgespräch buchen" klicken, laden wir unser self-hosted Terminbuchungs-Widget nach, das technisch notwendige Session-Cookies auf cal.merlon.ai setzt (siehe Abschnitt 9). Diese Cookies dienen ausschließlich dem Buchungsablauf, nicht dem Tracking.

Serverseitiger Seitenaufruf-Zähler: Zur internen Reichweiten- und Funnel-Messung führen wir auf unserem Server aggregierte Tageszähler (Datum, Pfad, Anzahl) ohne Bezug zu Ihrer IP-Adresse, zu Browser-Merkmalen, zu einer Sitzungs-ID oder zu Cookies. Es werden keine personenbezogenen Daten gespeichert; eine Wiedererkennung einzelner Besucher ist technisch ausgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung unserer eigenen Website).

Herkunft des Zugriffs (Referrer-Host): Zusätzlich zählen wir pro Tag, von welcher externen Website Besucher zu uns gelangen — gespeichert wird ausschließlich der Host-Anteil der verweisenden URL (z. B. linkedin.com, google.com) oder der Eintrag direct, wenn kein Verweis vorliegt (Bookmark, direkte URL-Eingabe, E-Mail-Client). Pfade, Query-Parameter und Tracking-Tokens aus der Referer-URL werden nicht gespeichert. Die Zählung erfolgt aggregiert (Datum × Host × Anzahl) ohne Bezug zu IP, Browser-Merkmal oder Cookie. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Traffic-Quellen unserer eigenen Website).

12. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt. Bei aktivierter Verschlüsselung können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.