Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Traffical GmbH
Straßmannstraße 10
10249 Berlin
Deutschland

Geschäftsführer: Christian Niedrich, Marcel Toben
Handelsregister: Amtsgericht Charlottenburg (Berlin) HRB 220914 B
USt-IdNr.: DE334442723

Tel.: +49 (0) 178 29 53 205
E-Mail: [email protected]
Datenschutz: [email protected]

2. Ansprechpartner für Datenschutz

Wir haben keinen formellen Datenschutzbeauftragten bestellt, da wir derzeit nicht der gesetzlichen Pflicht nach Art. 37 DSGVO unterliegen. Für alle Fragen zum Datenschutz erreichen Sie uns unter:

[email protected]

3. Übersicht der Verarbeitungen

Traffical ist eine B2B-SaaS-Plattform für Experimentation, Feature-Management, Rollouts und Optimierung. Unsere Dienste richten sich ausschließlich an Geschäftskunden (Unternehmen). Traffical befindet sich derzeit in der Beta-Phase.

Die nachfolgende Datenschutzerklärung betrifft die Verarbeitung personenbezogener Daten im Zusammenhang mit unserer Website (traffical.io) und unserem Dashboard. Die Verarbeitung von Daten, die über das Traffical SDK durch unsere Kunden erhoben werden, wird in einem gesonderten Auftragsverarbeitungsvertrag (AVV) zwischen Traffical und dem jeweiligen Kunden geregelt.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – Soweit Sie in eine Verarbeitung eingewilligt haben.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – Soweit die Verarbeitung zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen erforderlich ist.
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) – Soweit wir einer rechtlichen Verpflichtung unterliegen.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen) – Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist und Ihre Interessen nicht überwiegen.

5. Hosting und Bereitstellung der Website

Unsere Website und Dienste werden bei Cloudflare, Inc. gehostet. Beim Besuch unserer Website werden automatisch Informationen in sogenannten Server-Logfiles gespeichert, die Ihr Browser automatisch übermittelt. Hierzu gehören:

IP-Adresse des anfragenden Rechners
Datum und Uhrzeit des Zugriffs
Name und URL der abgerufenen Datei
Website, von der aus der Zugriff erfolgte (Referrer-URL)
Verwendeter Browser und ggf. das Betriebssystem sowie der Name des Access-Providers

Hoster: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und effizienten Bereitstellung unserer Website.

Weitere Informationen: Cloudflare Datenschutzerklärung

6. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

7. Cookies

7.1 Session- und Authentifizierungs-Cookies

Wir setzen auf unserem Dashboard funktional notwendige Cookies ein, um Ihre Sitzung und Authentifizierung zu verwalten. Ohne diese Cookies können Sie sich nicht einloggen oder das Dashboard nutzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Authentifizierungsprozess).

7.2 Cloudflare Web Analytics

Wir verwenden Cloudflare Web Analytics, einen datenschutzfreundlichen Analysedienst der Cloudflare, Inc. Cloudflare Web Analytics setzt keine Cookies ein und erhebt keine personenbezogenen Daten. Es werden lediglich aggregierte Nutzungsstatistiken erfasst, die keine Rückschlüsse auf einzelne Besucher ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse der Nutzung unserer Website zur Verbesserung unseres Angebots.

Weitere Informationen: Cloudflare Web Analytics

8. Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, werden die von Ihnen mitgeteilten Daten (z. B. E-Mail-Adresse, Name, Inhalt der Anfrage) von uns gespeichert, um Ihre Anfrage zu bearbeiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).

Wir löschen die im Zusammenhang mit Kontaktanfragen anfallenden Daten, nachdem die Anfrage abschließend bearbeitet wurde, es sei denn, wir sind zur längeren Aufbewahrung gesetzlich verpflichtet.

9. Kundenkonto und Dashboard

Zur Nutzung unserer Plattform können Sie ein Kundenkonto anlegen. Dabei werden folgende Daten verarbeitet:

Name
E-Mail-Adresse
Unternehmensinformationen
Nutzungsdaten des Dashboards (z. B. angelegte Experimente, Konfigurationen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir den Dienst von Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Stripe verarbeitet Zahlungsdaten (z. B. Kreditkartennummer, Bankverbindung) im eigenen Namen als eigenständiger Verantwortlicher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: Stripe Datenschutzerklärung

11. E-Mail-Kommunikation (Google Workspace)

Für unsere interne und externe E-Mail-Kommunikation nutzen wir Google Workspace von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Wenn Sie uns per E-Mail kontaktieren, wird Ihre Nachricht über die Server von Google verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen E-Mail-Infrastruktur).

Weitere Informationen: Google Datenschutzerklärung

12. Datenverarbeitung durch das Traffical SDK

Unsere Kunden können das Traffical SDK in ihre Websites und Anwendungen integrieren, um Experimente durchzuführen und Features zu verwalten. Das SDK kann dabei Daten (z. B. Tracking-Events, Experimentzuweisungen) erfassen und an verschiedene Ziele senden:

Direkt an das eigene Data Warehouse des Kunden (z. B. BigQuery, Redshift)
An Traffical-Server, von wo die Daten im Traffical-Speicher (Cloudflare) abgelegt werden
An Traffical-Server, die die Daten an das Data Warehouse des Kunden weiterleiten

Bei der Data-Warehouse-Integration greift Traffical auf Daten innerhalb des Kunden-Data-Warehouses zu. Nur aggregierte Daten (keine personenbezogenen Daten) verlassen das Data Warehouse. Bei Nutzung des Traffical-Speichers werden die Daten bei Cloudflare gespeichert. Die Region ist konfigurierbar und kann über Jurisdictional Restrictions auf die EU beschränkt werden.

Hinweis: In diesem Kontext handelt Traffical als Auftragsverarbeiter im Auftrag des jeweiligen Kunden. Die Verarbeitung wird durch einen gesonderten Auftragsverarbeitungsvertrag (AVV/DPA) zwischen Traffical und dem Kunden geregelt. Die vorliegende Datenschutzerklärung gilt nicht für diese Datenverarbeitungen.

13. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA. Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage folgender Garantien:

EU-U.S. Data Privacy Framework (DPF): Cloudflare, Stripe und Google sind unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Europäische Kommission hat für das DPF einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen.
Standardvertragsklauseln (SCCs): Ergänzend können Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als Transfermechanismus herangezogen werden.

14. Auftragsverarbeiter und Drittdienste

Wir setzen die folgenden Drittdienste ein:

Cloudflare, Inc. (San Francisco, CA, USA) – CDN, DNS, Workers, Datenbanken, Speicher (R2), Queues, Compute, Web Analytics
Stripe, Inc. (San Francisco, CA, USA) – Zahlungsabwicklung
Google LLC (Mountain View, CA, USA) – Google Workspace (interne E-Mail-Kommunikation)

15. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Server-Logfiles: Maximal 30 Tage (durch Cloudflare verwaltet).
Kontaktanfragen: Bis zur abschließenden Bearbeitung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Kundenkonto-Daten: Für die Dauer des Vertragsverhältnisses und anschließend gemäß handels- und steuerrechtlichen Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre).
Zahlungsdaten: Gemäß steuerrechtlichen Aufbewahrungsfristen (in der Regel 10 Jahre).
Session-Cookies: Werden beim Schließen des Browsers oder nach Ablauf der Sitzung gelöscht.

16. Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Ihnen betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, gegen die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen.
Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]

17. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
https://www.datenschutz-berlin.de

18. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste sowie der Datenverarbeitung anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.

Privacy Policy

Last updated: March 2026

1. Data Controller

Traffical GmbH
Straßmannstraße 10
10249 Berlin
Germany

Managing Directors: Christian Niedrich, Marcel Toben
Commercial Register: Amtsgericht Charlottenburg (Berlin) HRB 220914 B
VAT ID: DE334442723

Phone: +49 (0) 178 29 53 205
Email: [email protected]
Privacy: [email protected]

2. Privacy Contact

We have not appointed a formal Data Protection Officer as we are currently not subject to the statutory obligation under Art. 37 GDPR. For all privacy-related inquiries, please contact us at:

[email protected]

3. Overview of Data Processing

Traffical is a B2B SaaS platform for experimentation, feature management, rollouts, and optimization. Our services are aimed exclusively at business customers (enterprises). Traffical is currently in beta phase.

This privacy policy covers the processing of personal data in connection with our website (traffical.io) and our dashboard. The processing of data collected via the Traffical SDK by our customers is governed by a separate Data Processing Agreement (DPA) between Traffical and the respective customer.

4. Legal Bases for Processing

We process personal data based on the following legal bases under the GDPR:

Art. 6(1)(a) GDPR (Consent) – Where you have given consent to the processing.
Art. 6(1)(b) GDPR (Performance of a contract) – Where processing is necessary for the performance of a contract or pre-contractual measures.
Art. 6(1)(c) GDPR (Legal obligation) – Where we are subject to a legal obligation.
Art. 6(1)(f) GDPR (Legitimate interests) – Where processing is necessary for the purposes of our legitimate interests and your interests do not override those interests.

5. Hosting and Provision of the Website

Our website and services are hosted by Cloudflare, Inc. When you visit our website, information is automatically stored in server log files that your browser transmits. This includes:

IP address of the requesting device
Date and time of access
Name and URL of the retrieved file
Website from which access was made (referrer URL)
Browser used and, if applicable, the operating system and the name of the access provider

Hosting provider: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA

Legal basis: Art. 6(1)(f) GDPR. Our legitimate interest lies in the secure and efficient provision of our website.

More information: Cloudflare Privacy Policy

6. SSL/TLS Encryption

This website uses SSL/TLS encryption for security reasons and to protect the transmission of confidential content. You can recognize an encrypted connection by the browser's address bar changing from "http://" to "https://" and by the lock icon in your browser bar.

When SSL/TLS encryption is activated, the data you transmit to us cannot be read by third parties.

7. Cookies

7.1 Session and Authentication Cookies

We use functionally necessary cookies on our dashboard to manage your session and authentication. Without these cookies, you cannot log in or use the dashboard.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(f) GDPR (legitimate interest in a secure authentication process).

7.2 Cloudflare Web Analytics

We use Cloudflare Web Analytics, a privacy-focused analytics service by Cloudflare, Inc. Cloudflare Web Analytics does not use cookies and does not collect personal data. Only aggregated usage statistics are recorded, which do not allow conclusions about individual visitors.

Legal basis: Art. 6(1)(f) GDPR. Our legitimate interest lies in analyzing the usage of our website to improve our services.

More information: Cloudflare Web Analytics

8. Contact Requests

If you contact us by email, the data you provide (e.g., email address, name, content of your request) will be stored by us to process your inquiry.

Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures or performance of a contract) or Art. 6(1)(f) GDPR (legitimate interest in processing inquiries).

We delete data arising in connection with contact requests after the request has been fully processed, unless we are legally obligated to retain it for a longer period.

9. Customer Account and Dashboard

To use our platform, you can create a customer account. The following data is processed:

Name
Email address
Company information
Dashboard usage data (e.g., created experiments, configurations)

Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

10. Payment Processing

We use Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA, for payment processing. Stripe processes payment data (e.g., credit card number, bank details) in its own name as an independent data controller.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

More information: Stripe Privacy Policy

11. Email Communication (Google Workspace)

We use Google Workspace by Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, for our internal and external email communication. When you contact us by email, your message is processed via Google's servers.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a reliable email infrastructure).

More information: Google Privacy Policy

12. Data Processing via the Traffical SDK

Our customers can integrate the Traffical SDK into their websites and applications to run experiments and manage features. The SDK may collect data (e.g., tracking events, experiment assignments) and send it to various destinations:

Directly to the customer's own data warehouse (e.g., BigQuery, Redshift)
To Traffical servers, where data is stored in Traffical storage (Cloudflare)
To Traffical servers, which forward the data to the customer's data warehouse

With the data warehouse integration, Traffical accesses data within the customer's data warehouse. Only aggregated data (no personally identifiable information) leaves the data warehouse. When using Traffical storage, data is stored on Cloudflare. The region is configurable and can be restricted to the EU via Jurisdictional Restrictions.

Note: In this context, Traffical acts as a data processor on behalf of the respective customer. The processing is governed by a separate Data Processing Agreement (DPA) between Traffical and the customer. This privacy policy does not apply to such data processing.

13. Data Transfers to Third Countries

Some of the service providers we use are based in the United States. Where personal data is transferred to the USA, this is done on the basis of the following safeguards:

EU-U.S. Data Privacy Framework (DPF): Cloudflare, Stripe, and Google are certified under the EU-U.S. Data Privacy Framework. The European Commission has issued an adequacy decision pursuant to Art. 45 GDPR for the DPF.
Standard Contractual Clauses (SCCs): Additionally, Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR may be used as a transfer mechanism.

14. Sub-processors and Third-party Services

We use the following third-party services:

Cloudflare, Inc. (San Francisco, CA, USA) – CDN, DNS, Workers, Databases, Storage (R2), Queues, Compute, Web Analytics
Stripe, Inc. (San Francisco, CA, USA) – Payment processing
Google LLC (Mountain View, CA, USA) – Google Workspace (internal email communication)

15. Data Retention

We store personal data only for as long as necessary for the respective processing purposes or as required by statutory retention obligations:

Server log files: Maximum 30 days (managed by Cloudflare).
Contact requests: Until the request has been fully processed, unless statutory retention obligations apply.
Customer account data: For the duration of the contractual relationship and subsequently in accordance with commercial and tax law retention periods (typically 6 to 10 years).
Payment data: In accordance with tax law retention periods (typically 10 years).
Session cookies: Deleted when the browser is closed or when the session expires.

16. Your Rights as a Data Subject

Under the GDPR, you have the following rights:

Right of access (Art. 15 GDPR): You have the right to request information about the personal data we process about you.
Right to rectification (Art. 16 GDPR): You have the right to request the correction of inaccurate or the completion of incomplete data.
Right to erasure (Art. 17 GDPR): You have the right to request the deletion of your personal data, provided no statutory retention obligations apply.
Right to restriction of processing (Art. 18 GDPR): You have the right to request the restriction of processing of your data.
Right to data portability (Art. 20 GDPR): You have the right to receive your data in a structured, commonly used, and machine-readable format.
Right to object (Art. 21 GDPR): You have the right to object to the processing of your personal data based on Art. 6(1)(f) GDPR.
Right to withdraw consent (Art. 7(3) GDPR): You may withdraw any consent you have given at any time with effect for the future.

To exercise your rights, please contact: [email protected]

17. Right to Lodge a Complaint with a Supervisory Authority

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority if you believe that the processing of your personal data infringes the GDPR.

The competent supervisory authority for us is:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
https://www.datenschutz-berlin.de

18. Changes to This Privacy Policy

We reserve the right to update this privacy policy to reflect changes in legal requirements or changes to our services and data processing. The current version is always available on this page.