Vertrauen ist das Produkt.
Overwise versendet E-Mails unter deinem Namen an deine Wunschkunden. Jeder Schutzmechanismus auf dieser Seite ist ab Werk aktiv — die meisten kannst du nicht einmal abschalten. Der Ruf deiner Domain, dass deine Mails ankommen statt im Spam zu landen, und der Grundsatz „nie etwas behaupten, was sich nicht belegen lässt“ sind keine Zusatzoptionen, sondern Grundausstattung.
8 Dinge, die du nicht abschalten kannst.
Die erste Frage an jede Vertriebs-KI: „Ruiniert mir das Ding den Ruf meiner Domain?“ Die Antwort ist nein — weil die Schutzmechanismen unten deine Kampagnen-Einstellungen überstimmen, nicht umgekehrt.
Jede KI-geschriebene Nachricht wird gegen die echten Signale des Leads geprüft — LinkedIn-Profil, Karriereseite, frische Finanzierung. Behauptet nur, was belegbar ist — sonst wird der Entwurf verworfen und der Lead zurückgehalten statt angeschrieben (intern: MessageVerifier). Wir erfinden nie Fakten über deinen Wunschkunden.
Zu jedem Versand siehst du genau, welche Signale der Agent genutzt und welchen Kanal er gewählt hat. Keine Blackbox, kein „die KI hat entschieden“. Vertrauen entsteht, wenn du jede Entscheidung nachvollziehen kannst.
Die ersten 7 Tage eines neuen Postfachs: Jeder Versand wartet auf deine Freigabe per Klick. Erst nach 7 Tagen sauberem Versand kannst du auf Autopilot umstellen. Sicherheit ab Werk schlägt Vollgas ab Werk.
Dein Postfach wird schonend aufgewärmt: In den ersten 14 Tagen gelten harte Versandlimits, egal was deine Kampagne sagt — 10 → 25 → 50 → 100 Mails pro Tag. Wir schützen den Ruf deiner Domain konservativer, als du es selbst tun würdest; abschalten kannst du das nicht.
Erreicht die Bounce-Rate deines Postfachs 8 %, pausiert die Kampagne automatisch und du bekommst einen Hinweis mit Diagnose (Mails landen im Spam / Listenqualität / DNS / OAuth). Weiter geht es erst, wenn du das Problem behoben und manuell fortgesetzt hast.
Eine einzige Stelle setzt Sperrungen durch — über alle deine Kampagnen und Postfächer hinweg. Absagen, Abmeldungen und Opt-outs landen in einer Liste. Wer in einer Kampagne „kein Interesse“ sagt, wird in jeder anderen Kampagne automatisch ausgeschlossen — für immer.
Jede Nachricht endet mit einem einzeiligen Hinweis, dass eine KI beim Verfassen geholfen hat — wo nötig in der Sprache des Empfängers. Konform per Voreinstellung; du musst nicht daran denken.
Automatisch in jedem Versand: deine Geschäftsadresse, ein gültiger List-Unsubscribe-Header (Abmelden mit einem Klick) und der zugehörige Abmelde-Mechanismus im Hintergrund. Ob du konform sein willst, fragen wir nicht.
Deine Daten, deine Domain, deine Entscheidung.
Ausschließlich Google- oder Microsoft-OAuth — dein Passwort speichern wir nie. Refresh-Tokens sind AES-256 mit Envelope-Encryption verschlüsselt. Für Administrationszugriffe ist MFA verpflichtend; für Nutzer-Accounts verfügbar.
Lead-Daten und Ansprache-Verlauf liegen in MongoDB Atlas in EU-Central (Frankfurt). Schreibstil-Embeddings in Qdrant Cloud (EU). AES-256 im Ruhezustand, TLS 1.3 in der Übertragung, private Subnets — zustandsbehaftete Dienste sind nicht öffentlich erreichbar.
Deine Daten gehören dir. Export als CSV/JSON aus jeder Kampagne. Nach Kontoschließung: 30 Tage Lesezugriff für Reaktivierung, danach Hard-Delete aus dem Primärspeicher; Backups innerhalb weiterer 60 Tage gelöscht; Postfach-Refresh-Tokens binnen 24 Stunden entfernt. Buchhaltung 7 Jahre nach UGB §190.
Kundendaten werden nicht zum Training von Anthropic-, OpenAI- oder Overwise-Modellen genutzt. Wir rufen Anthropic und OpenAI über deren kommerzielle APIs unter abgeschlossenen DPAs auf; beide API-Bedingungen schließen Training auf Inputs/Outputs aus. Schreibstil-Samples liegen im privaten Vector-Index deines Projekts — nie geteilt, nie aggregiert, nie tenant-übergreifend abrufbar.
Transparenz nach DSGVO Art. 13/14 ab Werk (Datenschutzerklärung + Datenherkunfts-Hinweis in der ersten Nachricht). CAN-SPAM-konforme Header und Abmeldung. EU-AI-Act Art. 50 Disclosure-Footer in jeder ausgehenden Nachricht. SOC 2 Type 1 angestrebt Q2 2026, Type 2 Q4 2026. ISO-27001-Roadmap auf Anfrage. AVV in jedem bezahlten Plan verfügbar.
Jeder Dritte, der deine Daten berührt.
Die vollständige Liste — mit der Rolle nach Art. 28 DSGVO und dem SCC-Modul, das wir für Transfers außerhalb des EWR nutzen. Das ist die aktuelle Zuordnung, auf die Datenschutzerklärung und AVV verweisen. 30 Tage Vorankündigung vor jedem Hinzufügen oder Austausch.
| Anbieter | Zweck | Standort | Rolle / SCC-Modul |
|---|---|---|---|
| Anthropic, PBC | LLM — Entwürfe und Reply-Klassifikation | USA | Auftragsverarbeiter (Modul 2) |
| OpenAI Ireland Ltd / OpenAI, L.L.C. | Embeddings und Fallback-LLM | IE / USA | Auftragsverarbeiter (Modul 2) |
| MongoDB Ltd (IE) / MongoDB, Inc. | Primärdatenbank — EU-Central (Frankfurt) | IE / USA | Auftragsverarbeiter (Modul 2) |
| Qdrant Solutions GmbH | Vector-Datenbank (Schreibstil, Contact-Similarity) | Deutschland | Auftragsverarbeiter (Modul 2) |
| Stripe Payments Europe Ltd / Stripe, Inc. | Abrechnung — inkl. Fraud / AML | IE / USA | Unabhängiger Verantwortlicher (Modul 1) |
| Resend Inc. | Transaktionale E-Mail — primary | USA | Auftragsverarbeiter (Modul 2) |
| ActiveCampaign LLC (Wildbit / Postmark) | Transaktionale E-Mail — failover | USA | Auftragsverarbeiter (Modul 2) |
| Sideguide Technologies Inc. (d/b/a Firecrawl) | Website-Rendering für Lead-Research | USA | Auftragsverarbeiter (Modul 2) |
| Apify Technologies s.r.o. | Optionales Lead-Discovery-Scraping | Tschechien | Auftragsverarbeiter (Modul 2) |
| Functional Software, Inc. (d/b/a Sentry) | Error-Tracking | USA | Auftragsverarbeiter (Modul 2) |
| Plausible Insights OÜ | Cookieloses Analytics für overwise.com | Estland | Auftragsverarbeiter (Art. 28) |
Vom Kunden konfigurierte Integrationen. Das sind keine Overwise-Unterauftragsverarbeiter — es sind Dienste, die du auf eigene Rechnung mit deinen Zugangsdaten anbindest. Es gelten die Terms und DPAs der jeweiligen Anbieter zwischen dir und ihnen:
- Google (Gmail-API + OAuth) — Wenn du ein Gmail-Postfach verbindest
- Microsoft (Microsoft Graph + OAuth) — Wenn du ein Outlook-Postfach verbindest
- Instantly — Wenn du deinen eigenen Instantly-API-Key für Reply-Webhooks bereitstellst
Wie wir Daten in Frankfurt halten — und was passiert, wenn sie raus müssen.
Die primäre Verarbeitung der Kundendaten bleibt in der EU (Frankfurt). Für Transfers außerhalb des EWR stützen wir uns gestaffelt. Die aktuelle Zuordnung unten ist das, worauf Datenschutzerklärung §8 und AVV §9 verweisen; wir verifizieren jede Rechtsperson vor jeder Veröffentlichung neu.
- EU-US Data Privacy Framework (DPF) — wir prüfen jede empfangende Rechtsperson auf dataprivacyframework.gov/list vor jeder Sub-Processor-Änderung.
- SCCs 2021 (Durchführungsbeschluss 2021/914) — Modul 2 (Controller→Processor) für unsere Sub-Processors als unsere Auftragsverarbeiter; Modul 3 (Processor→Processor) für weitergeleitete Transfers, bei denen Overwise als Auftragsverarbeiter des Kunden handelt; Modul 1 (Controller→Controller), wo die empfangende Rechtsperson selbst Verantwortlicher ist (Stripe für Fraud/AML).
- UK Addendum (IDTA) für Transfers mit UK-Personendaten.
- Schweiz-SCC-Anhang für Transfers mit Schweizer Personendaten.
- Transfer Impact Assessment pro empfangender Rechtsperson nach EDSA-Empfehlung 01/2020 — mindestens jährlich und bei Triggern überprüft (FISA §702-Reauthorisation, Executive Order 14086, neue SCC-Versionen).
Fragen zum Vertrauen, kurz beantwortet.
Die Sicherheits- und Compliance-Fragen, die jeder Gründer stellen sollte, bevor eine KI unter seinem Namen versendet.
Versendet Overwise etwas ohne meine Freigabe?
Nicht von einem frischen Postfach. In den ersten 7 Tagen wartet jeder Entwurf auf deine Freigabe per Klick. Erst nach einer sauberen Anfangsphase kannst du pro Kampagne auf Autopilot umstellen. Sicherheit ist die Voreinstellung — Autonomie schaltest du bewusst frei.
Kann die KI Fakten über meine Kontakte erfinden?
Nein. Vor dem Versand wird jede Behauptung im Entwurf gegen ein Signal geprüft, das wir tatsächlich gefunden haben — LinkedIn-Rolle, frische Finanzierung, Karriereseite. Lässt sich etwas nicht belegen, wird der Entwurf verworfen und der Lead zurückgehalten. Wir versenden nichts, was wir nicht belegen können.
Was passiert, wenn der Ruf meiner Domain in Gefahr ist?
Drei Schutzmechanismen greifen automatisch: (1) Neue Postfächer werden 14 Tage lang schonend aufgewärmt — harte Tageslimits, egal was deine Kampagne sagt. (2) Bei 8 % Bounce-Rate im Postfach pausiert die Kampagne automatisch. (3) SPF/DKIM/DMARC-Checks blockieren den Versand von falsch eingerichteten Domains. Abschalten kannst du davon nichts — die Mechanismen schützen dich.
Ist Overwise DSGVO-konform?
Ja. Daten liegen in der EU (Frankfurt), die Datenschutzerklärung unter /de/privacy deckt Art. 13/14 vollständig ab, die AVV unter /de/dpa ist in jedem bezahlten Plan verfügbar, die Suppression ist eine zentrale Stelle über all deine Kampagnen und Postfächer, und der Datenherkunfts-Hinweis nach DSGVO Art. 14 sowie der EU-AI-Act-Art.-50-Footer werden in jede Nachricht eingefügt. Wir reichern nicht über den öffentlich beobachtbaren Geschäftskontext hinaus an — keine Privatadressen, keine Art.-9-Indikatoren.
Werden meine Daten zum Training von KI-Modellen verwendet?
Nein. Wir rufen Anthropic und OpenAI über deren kommerzielle APIs unter abgeschlossenen DPAs auf; die API-Bedingungen beider Anbieter schließen Training auf Inputs und Outputs aus. Die Beispiele aus deinem Gesendet-Ordner, aus denen Overwise deinen Schreibstil lernt, liegen nur im privaten Index deines Projekts — nie geteilt, nie über Kunden hinweg zusammengeführt.
Wie lösche ich meine Daten?
Kündige auf der Abrechnungsseite. Danach bleiben deine Daten 30 Tage schreibgeschützt (damit du ohne Verlust reaktivieren kannst), dann werden sie endgültig aus dem Primärspeicher gelöscht. Verschlüsselte Backups werden binnen weiterer 60 Tage gelöscht. Postfach-Refresh-Tokens werden beim Anbieter widerrufen und in unserer Datenbank binnen 24 Stunden entfernt. Buchhaltungsunterlagen bleiben 7 Jahre (UGB §190). Soll es schneller gehen — schreib an [email protected], soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
In 5 Minuten startklar. Heute die ersten Leads.
"Set it up in five minutes, no demo gate. First verified list before my coffee was cold — and it sounds exactly like me."