Datenschutz

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

2. Infrastruktur und Serverstandorte (Europäische Union)

Unsere informationstechnologische Kern-Infrastruktur – bestehend aus Anwendungslogik, Datenbank und Produktanalyse – wird ausnahmslos auf Servern innerhalb der Europäischen Union betrieben. Ein Datentransfer dieser Kern-Systemdaten in Drittstaaten findet nicht statt:

• –Anwendungsserver (Vercel): Frankfurt am Main, Deutschland (Region: eu-central-1 / fra1).
• –Datenbank & Dateispeicher (Supabase): Dublin, Irland, EU (Region: eu-west-1).
• –Produktanalyse (PostHog): Frankfurt am Main, Deutschland (EU-Cloud).

3. Drittanbieter und EU-US Data Privacy Framework

Für hochspezialisierte Teildienste (Authentifizierung, Zahlungsabwicklung und KI-Routing) arbeiten wir mit Dienstleistern zusammen, deren Infrastruktur sich teilweise in den USA befindet. Diese Datenübermittlung ist rechtlich durch das EU-US Data Privacy Framework (DPF) – den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 – abgesichert. Wir übermitteln an diese Dienste ausschließlich jene Daten, die für die Erfüllung des jeweiligen technischen Zwecks zwingend erforderlich sind:

• –Benutzerauthentifizierung (Clerk): Verarbeitet ausschließlich Login-Tokens und grundlegende Session-Daten zur Zugriffssteuerung und Kontoführung. Es erfolgt kein Zugriff auf Ihre Systemeingaben (Prompts) oder inhaltlichen Nutzungsdaten.
• –Zahlungsabwicklung (LemonSqueezy): Verarbeitet rein transaktionale Zahlungs- und Rechnungsdaten zur Erfüllung des Kaufvertrags (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

4. KI-Modell-Routing und Zero-Data-Retention

Zur Bereitstellung der kognitiven Workflows werden Ihre Eingaben (Prompts) an die Application Programming Interfaces (APIs) von externen KI-Anbietern (z. B. Google Gemini, Anthropic Claude) weitergeleitet. Diese Weiterleitung erfolgt über spezialisierte Routing-Dienste (derzeit: OpenRouter sowie für das EU Privacy Gateway Opper.ai). Mit den Routing-Diensten besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter (Sub-Processors) ist über die Routing-Dienste öffentlich einsehbar.

Hierbei greift eine strikte Zero-Data-Retention-Architektur, die den Schutz Ihrer Geschäftsgeheimnisse und Daten garantiert:

• –Kein Logging beim Routing-Dienst: Die Protokollierung von Inhaltsdaten ist bei unserem Routing-Account technisch hart deaktiviert (Opt-Out). Der Dienst fungiert als reiner Transit-Layer; Ihre Prompts und die generierten Outputs werden dort lediglich flüchtig im Arbeitsspeicher (RAM) durchgeleitet und nicht dauerhaft in Datenbanken gespeichert.
• –Kein KI-Modell-Training: Da die Abwicklung über die kommerziellen B2B-API-Endpunkte der jeweiligen Basismodell-Anbieter (OpenAI, Anthropic, Google) erfolgt, unterliegen Ihre Eingaben deren strengen API-Richtlinien. Ihre Prompts, hochgeladenen Dokumente und Ergebnisse werden von den KI-Providern vertraglich zugesichert nicht für das Training, das Fine-Tuning oder die Weiterentwicklung der zugrundeliegenden KIs verwendet. Provider können jedoch im Rahmen ihrer API-Richtlinien temporäre Abuse-Monitoring-Logs führen, die automatisiert gelöscht werden.

Zusätzlich bietet die Plattform ein optionales Pseudonymisierungswerkzeug („EU Privacy Gateway“). Bei dessen Aktivierung durchläuft die Nutzereingabe vor der Weiterleitung an das Sprachmodell eine automatische Echtzeit-Analyse durch ein spezialisiertes, ausschließlich innerhalb der EU gehostetes LLM-System. Dieses erkennt personenbezogene Daten (Namen, Adressen, Telefonnummern, Steuernummern, Zahlungsinformationen) und ersetzt sie durch sichere Platzhalter (Tokens). Die Maskierung erfolgt vor der eigentlichen Prompt-Verarbeitung — das Zielmodell erhält ausschließlich den pseudonymisierten Text. Dieser Dienst wird durch den Sub-Prozessor Opper.ai (Serverstandort: EU) bereitgestellt.

Die Aktivierung dieses Werkzeugs ist optional und erfolgt ausschließlich durch explizite Nutzerinteraktion. Im Standardbetrieb ist die PII-Maskierung nicht aktiv.

4a. Live-Audiotranskription

Die Plattform bietet eine optionale Live-Audiotranskription. Bei Aktivierung wird über die Web-API des Browsers auf das Mikrofon Ihres Endgeräts zugegriffen. Dieser Zugriff erfolgt ausschließlich nach expliziter Genehmigung durch den nativen Berechtigungsdialog Ihres Browsers (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 165 Abs. 1 TKG 2021).

Die Audiodaten werden in Echtzeit an einen spezialisierten Transkriptionsdienst mit Serverstandort in der Europäischen Union übertragen. Die Verarbeitung erfolgt ausschließlich als flüchtiger Stream — es findet keine dauerhafte Speicherung der Rohaudiodaten statt, weder auf unseren Servern noch beim Transkriptionsdienst. Der Dienst wandelt die Audiodaten in Text um und verwirft den Audio-Stream unmittelbar nach der Verarbeitung.

Aus der Transkription abgeleitete strukturierte Textfragmente (Zusammenfassungen, Schlüsselbegriffe) können optional in der aktiven Sitzung gespeichert werden. Die zugrundeliegende Sprachaufnahme wird nicht persistiert.

Biometrische Ausschlussklausel: Es findet keine biometrische Identifikation, keine Emotionserkennung und keine Stimmprofilbildung statt (Art. 5 Abs. 1 lit. f Verordnung (EU) 2024/1689).

5. Cookies und Endgerätezugriffe (§ 165 Abs. 3 TKG 2021)

Diese Plattform verwendet ausschließlich essenzielle, technisch zwingend notwendige Cookies und Session-Tokens (Local Storage) des Authentifizierungs-Providers Clerk. Diese sind zwingend erforderlich, um Ihre sichere Anmeldung aufrechtzuerhalten und den autorisierten Zugriff auf Ihren Account zu gewährleisten.

Gemäß § 165 Abs. 3 TKG 2021 ist für den Einsatz dieser rein funktionalen und technisch notwendigen Speicherelemente keine vorherige Einwilligung erforderlich. Für Analysezwecke, Nutzer-Tracking oder Marketing setzen wir ausdrücklich keine Cookies, keine clientseitigen Tracking-Skripte und keine Browser-Fingerprinting-Technologien auf Ihrem Endgerät ein. Ein sogenanntes „Cookie-Banner“ ist aus diesem Grund rechtlich nicht notwendig und architektonisch nicht vorhanden.

6. Serverseitige Produktanalyse und Telemetrie (Cookieless)

Für die Bereitstellung, Fehleranalyse in mehrstufigen Workflows und die kontinuierliche evidenzbasierte Weiterentwicklung unserer Softwarearchitektur erfassen wir technische Interaktionsdaten (Telemetrie). Dies geschieht unter Beachtung folgender technischer und rechtlicher Prämissen:

• –100 % Serverseitige Erfassung: Die Erfassung der Telemetriedaten erfolgt rein serverseitig (Server-to-Server). Es werden keine Analyse-Skripte in Ihrem Browser ausgeführt. Wenn Sie einen Prozess in der Software initiieren, generiert unser Server abstrakte Ereignismeldungen und leitet diese an die Analyse-Datenbank in Frankfurt am Main (PostHog EU) weiter. Ein Zugriff auf Ihr Endgerät findet nicht statt.
• –Strikte Pseudonymisierung (Zero PII):
  • –Keine IP-Adressen: Ihre IP-Adresse wird zu keinem Zeitpunkt in der Analyse-Datenbank gespeichert. Die Übermittlung an den Analyseserver erzwingt technisch eine sofortige Anonymisierung der IP-Adresse (überschrieben durch 127.0.0.1).
  • –Keine Klarnamen: Es werden keine personenbezogenen Stammdaten (wie E-Mail-Adressen oder Namen) an das Analysesystem übergeben.
  • –Rotierender Identifikator: Zur rein logischen Zusammenführung von technischen Sitzungen (z. B. um Prozessabbrüche nachzuvollziehen) generiert unser System einen abstrakten, 8-stelligen kryptografischen Hash-Wert. Dieser rotiert automatisch und unwiderruflich alle 30 Tage. Eine Profilbildung über längere Zeiträume oder eine nachträgliche Re-Identifikation Ihrer Person ist dadurch mathematisch und technisch ausgeschlossen.

Auftragsverarbeiter und internationaler Datentransfer: Zur Auswertung dieser Telemetriedaten bedienen wir uns des Auftragsverarbeiters PostHog, Inc. (San Francisco, USA). Die Daten werden ausschließlich auf Servern in der PostHog EU-Cloud (Rechenzentrum Frankfurt am Main, Deutschland) verarbeitet. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Für den Fall eines potenziellen administrativen Zugriffs auf die EU-Infrastruktur durch die US-Muttergesellschaft stützen wir uns auf den Angemessenheitsbeschluss der EU-Kommission für das EU-US Data Privacy Framework (DPF), unter dem PostHog Inc. vollumfänglich zertifiziert ist.

Rechtsgrundlage und Zweckbindung: Die Verarbeitung dieser stark aggregierten und pseudonymisierten Metadaten erfolgt auf Basis unseres überwiegenden berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Dieses besteht in der Gewährleistung der technischen Systemstabilität (Fehlerbehebung) sowie der ressourceneffizienten Weiterentwicklung der Softwarearchitektur. Eine Weitergabe der Telemetriedaten an weitere Dritte, die Verknüpfung mit externen Datenquellen oder die Nutzung für Marketingzwecke ist technisch und vertraglich vollkommen ausgeschlossen.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, dieser auf berechtigten Interessen basierenden Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit zu widersprechen. Senden Sie uns hierzu eine Nachricht an hello@brainstormreactor.com.

7. Ihre Rechte als betroffene Person

Gemäß der DSGVO stehen Ihnen umfassende Rechte bezüglich Ihrer bei uns verarbeiteten personenbezogenen Daten zu:

• –Auskunftsrecht (Art. 15 DSGVO)
• –Recht auf Berichtigung (Art. 16 DSGVO)
• –Recht auf Löschung (Art. 17 DSGVO)
• –Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• –Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• –Widerspruchsrecht gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte oder bei spezifischen datenschutzrechtlichen Fragen kontaktieren Sie uns bitte formlos per E-Mail unter: hello@brainstormreactor.com

Da wir bei der Produktanalyse auf eine vollständige Pseudonymisierung setzen (Art. 11 DSGVO), bedarf es bei Auskunftsersuchen, die spezifisch diese Telemetrie-Metadaten betreffen, gegebenenfalls zusätzlicher technischer Informationen Ihrerseits, um den rotierenden Hash zuzuordnen. Davon unberührt bleiben selbstverständlich Ihre uneingeschränkten Rechte bezüglich Ihrer Account-Stammdaten bei unserem Authentifizierungs-Provider Clerk.