Foerdinand AI
nav.whyFoerdinandnav.featuresnav.pricing

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie in ein Kontaktformular eingeben. Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst.

Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website und der Anwendung zu gewährleisten. Eine Analyse Ihres Nutzungsverhaltens zu Werbe- oder Profiling-Zwecken findet nicht statt; eine anonyme Performance-Messung sowie eine einwilligungsbasierte Fehlerdiagnose sind in Abschnitt 4 beschrieben.

Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Einzelheiten und Selbstbedienungs-Funktionen finden Sie in Abschnitt 5.

2. Hosting

Diese Website wird extern gehostet. Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich v.a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten, die über eine Website generiert werden, handeln.

Wir setzen die folgenden Hoster ein:

  • Supabase (Datenbank, Auth und Storage) - primäre Datenhaltung in der konfigurierten EU-Region, Anbieter mit US-Bezug
  • Vercel (Frontend Hosting, Edge/CDN und technische Logs) - globale Edge-Infrastruktur, Anbieter mit US-Bezug
  • Heroku/Salesforce bzw. Hosting-Infrastruktur (Backend API und Worker) - EU-Hosting soweit konfiguriert, Anbieter mit US-Bezug

Je nach aktivierter Funktion können weitere Unterauftragsverarbeiter eingesetzt werden, z. B. für transaktionale E-Mails, Newsletter, KI-Funktionen, Dokumentenverarbeitung, Bot-Schutz, Support oder Zahlungsabwicklung. Die jeweils eingesetzten bzw. optionalen Anbieter sind im AVV zusammengefasst; konkrete Verträge, Transfermechanismen und Produktkonfigurationen sind vor produktiver Nutzung der jeweiligen Funktion zu prüfen.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

totally boring ai
Inhaber: Achim Sondermann
Roonstraße 61
50674 Köln
Telefon: +49 151 22660829
E-Mail: datenschutz@totallyboringai.com

Kontakt für Datenschutzanfragen

Ein gesetzlich vorgeschriebener Datenschutzbeauftragter wurde nicht bestellt (§ 38 BDSG: keine in der Regel mindestens zwanzig ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen, keine besondere Verarbeitungs- risiken im Sinne des Art. 37 DSGVO). Für sämtliche Anliegen rund um den Datenschutz wenden Sie sich bitte an:

Achim Sondermann
Roonstraße 61
50674 Köln
E-Mail: datenschutz@totallyboringai.com

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt.

Für einzelne Datenkategorien gelten feste Löschfristen, die wir durch automatisierte Lösch-Jobs durchsetzen:

  • E-Mail-Versandprotokolle: automatische Löschung nach spätestens 24 Monaten (Inhalte werden nur maskiert protokolliert).
  • KI-Nutzungsprotokolle (Abrechnungs- und Diagnosedaten, keine Prompt-Inhalte): automatische Löschung nach spätestens 24 Monaten.
  • Zugangsanfragen (Warteliste): abgelehnte Anfragen werden nach 12 Monaten, unbearbeitete nach 24 Monaten automatisch gelöscht.
  • Datenauskunfts-Exporte: die Export-Dateien werden 72 Stunden nach Bereitstellung gelöscht.
  • Fehlerdiagnose-Daten (Sentry): 90 Tage Event-Retention beim Anbieter.

Datensicherungen (Backups): Zum Schutz vor Datenverlust erstellen wir regelmäßige Sicherungskopien unserer Datenbank und Dateispeicher. Nach einer Löschung (z. B. einer Konto-Löschung) können die betroffenen Daten daher noch für bis zu 30 Tage in operativen Backups enthalten sein, bis diese turnusmäßig überschrieben bzw. gelöscht werden. Zusätzlich führen wir verschlüsselte Off-Site-Sicherungen bei einem separaten Speicheranbieter, in denen gelöschte Daten für bis zu drei Monate enthalten sein können. Backups werden ausschließlich zur Wiederherstellung im Störungsfall verwendet und nicht für andere Zwecke ausgewertet. Sollte eine Wiederherstellung aus einem Backup erforderlich sein, führen wir zwischenzeitlich erfolgte Löschungen erneut aus.

SSL-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt.

4. Datenerfassung auf dieser Website

Cookies und ähnliche Speichertechnologien

Wir verwenden Cookies sowie ähnliche Technologien (LocalStorage, SessionStorage). Wir unterscheiden dabei strikt zwischen technisch notwendigen und einwilligungsbedürftigen Speicherzugriffen entsprechend § 25 TDDDG.

a) Technisch notwendige Speicherzugriffe (§ 25 Abs. 2 Nr. 2 TDDDG)

Diese Speicherzugriffe sind für den Betrieb der Website unbedingt erforderlich oder erfolgen ausschließlich auf Ihre aktive Nutzerauswahl hin. Sie sind einwilligungsfrei. Es findet kein Tracking, keine Profilbildung und keine Weitergabe an Drittanbieter statt.

  • sb-access-token / sb-refresh-token (Supabase) — Authentifizierung und Sitzungsverwaltung. Sitzung bzw. 7 Tage.
  • foerdinand_cookie_consent — speichert Ihre auf diesem Banner getroffene Einwilligungsentscheidung. 1 Jahr.
  • foerdinand-language-preference — speichert Ihre gewählte Sprache, damit die Website beim nächsten Besuch in derselben Sprache lädt. 1 Jahr.
  • theme — speichert Ihre gewählte Farbschema- Präferenz (hell/dunkel/System). 1 Jahr.
  • foerdinand-sidebar-collapsed — merkt sich, ob Sie die Dashboard-Sidebar eingeklappt haben. 1 Jahr.
  • foerdinand_last_login — speichert nach einer erfolgreichen Anmeldung Ihre E-Mail-Adresse und die genutzte Anmeldemethode lokal in Ihrem Browser, um das Login-Formular vorzubelegen. Wird nicht an unsere Server übertragen und nach 30 Tagen automatisch gelöscht; über „Andere E-Mail verwenden“ jederzeit manuell löschbar.
  • foerdinand-voice-preference — speichert Ihre gewählte Stimme für den Sprach-Assistenten. 1 Jahr.
  • foerdinand-settings-nav-collapsed — merkt sich, ob Sie die Navigation in den Einstellungen eingeklappt haben. 1 Jahr.
  • Weitere funktionale Schlüssel (u. a. foerdinand_oauth_tos_accepted, foerdinand-tos-ok, foerdinand_plain_chat_activated, foerdinand-profile-synced sowie Komfort-Status zu Onboarding, Assistenten und Uploads) — kurzlebige technische Merker im local-/sessionStorage Ihres Browsers, die ausschließlich den von Ihnen ausgelösten Funktionsablauf steuern. Sie enthalten keine Profildaten, werden nicht zu Analyse- oder Werbezwecken ausgewertet und größtenteils beim Schließen des Browser-Tabs gelöscht.

b) Einwilligungsbedürftige Analyse-Tools (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO)

Die folgenden Dienste werden ausschließlich nach Ihrer ausdrücklichen Einwilligung geladen, die Sie über unseren Cookie-Banner erteilen. Sie können Ihre Einwilligung jederzeit über den Punkt „Cookie-Einstellungen“ im Footer mit Wirkung für die Zukunft widerrufen.

Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA)

Wir setzen Sentry zur Fehler- und Performance-Diagnose ein, damit wir technische Probleme erkennen und beheben können. Sentry beinhaltet eine Session-Replay-Funktion, die Interaktionen mit der Seite aufzeichnet, um den Kontext eines Fehlers nachvollziehen zu können. Wir konfigurieren das Replay so, dass alle Texte vollständig maskiert und alle Medien blockiert werden (maskAllText: true, blockAllMedia: true); Netzwerk-Bodies werden nicht erfasst. Aufgezeichnet werden nur ca. 2 % der Sitzungen sowie 100 % der Sitzungen, in denen ein Fehler auftritt. Vor dem Versand entfernen wir personenbezogene Daten (E-Mail-Adresse, IP-Adresse, Username, Auth-Token, Cookies, Query-Strings) durch die in frontend/lib/sentry-scrub.ts implementierten beforeSend- und beforeBreadcrumb-Filter. Übermittlung an einen Dienst mit US-Bezug — Rechtsgrundlage Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung); ergänzende Garantien richten sich nach den jeweils gültigen Anbieterunterlagen und Produktkonfigurationen. Speicherdauer: 90 Tage Event-Retention bei Sentry.

Vercel Speed Insights (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA)

Wir messen anonymisiert die Ladezeiten der Seite (Core Web Vitals: LCP, CLS, INP), um die Performance unserer Anwendung zu verbessern. Es werden keine Cookies gesetzt und keine personenbezogene Nutzerkennung erzeugt. Übermittlung an einen Dienst in den USA — Rechtsgrundlage Art. 49 Abs. 1 lit. a DSGVO sowie EU-Standardvertragsklauseln.

Wir setzen ausdrücklich kein werbliches Tracking, keine Cross-Site-Profilbildung, kein Google Analytics, keinen Meta Pixel, kein Google Ads-Conversion-Tracking und keine LinkedIn- Insights ein.

c) Server- und Edge-seitige Fehlerdiagnose ohne Einwilligung (Art. 6 Abs. 1 lit. f DSGVO)

Auf unseren Servern (Node-Runtime) und in der Edge-Middleware läuft Sentry zusätzlich zur Erfassung uneingeholter Ausnahmen und Trace-Spans des Backends. Diese Verarbeitung erfolgt ohne Einwilligung auf Grundlage unseres berechtigten Interesses an einem stabilen, sicheren Betrieb der Anwendung (Art. 6 Abs. 1 lit. f DSGVO). Es werden keine Cookies gesetzt und kein Session-Replay erfasst. Personenbezogene Daten werden vor dem Versand durch die in frontend/lib/sentry-scrub.ts implementierten Scrubber entfernt: User-Objekt (E-Mail, IP, Username) wird verworfen, Authorization-/Cookie-/Token-/API-Key-Header werden redigiert, freier Text in Fehlernachrichten und Breadcrumbs wird auf E-Mail-Adressen und Bearer-Tokens hin maskiert, und Breadcrumbs zu Auth-/Login-/OTP-Endpunkten werden vollständig verworfen. Zur Zuordnung eines Fehlers zu einem Konto kann ergänzend eine pseudonyme interne Nutzerkennung (eine reine Zahl ohne Klarnamen-, E-Mail- oder IP-Bezug) sowie eine technische Anfrage-Kennung (Request-ID) übermittelt werden. Eine Re-Identifizierung der Person ist hieraus nur uns als Verantwortlichem, nicht dem Dienstleister, möglich. Gegen diese Verarbeitung können Sie nach Art. 21 DSGVO Widerspruch einlegen ( datenschutz@totallyboringai.com). Übermittlung an einen Dienst mit US-Bezug; ergänzende Garantien richten sich nach den jeweils gültigen Anbieterunterlagen und Produktkonfigurationen. Speicherdauer: 90 Tage Event-Retention bei Sentry.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Registrierung auf dieser Website

Sie können sich auf dieser Website registrieren, um zusätzliche Funktionen auf der Seite zu nutzen. Die dazu eingegebenen Daten verwenden wir nur zum Zwecke der Nutzung des jeweiligen Angebotes oder Dienstes, für den Sie sich registriert haben. Die Nutzung von Foerdinand setzt ein Mindestalter von 16 Jahren voraus; dies bestätigen Sie bei der Registrierung (Art. 8 DSGVO).

Zur Erfüllung unserer Nachweispflichten (Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO) speichern wir bei der Annahme der Nutzungsbedingungen und der Altersbestätigung den Zeitpunkt, die IP-Adresse und die Browser-Kennung (User-Agent) Ihres Geräts. Diese Nachweisdaten werden ausschließlich zur Dokumentation der Einwilligung bzw. Vertragsannahme verwendet.

Für angemeldete Konten speichern wir aus Sicherheits- und Supportgründen den Zeitpunkt des letzten Logins sowie den Zeitpunkt der letzten Aktivität. Diese Verarbeitung dient der Erkennung und Behebung technischer Probleme sowie der Absicherung Ihres Kontos und erfolgt auf Grundlage unseres berechtigten Interesses an einem stabilen und sicheren Betrieb der Anwendung (Art. 6 Abs. 1 lit. f DSGVO). Es findet keine Profilbildung und keine Auswertung Ihres Nutzungsverhaltens statt; gespeichert wird jeweils nur der aktuellste Zeitstempel. Sie können dieser Speicherung jederzeit unter Einstellungen → Datenschutz widersprechen (Art. 21 DSGVO); bereits gespeicherte Zeitstempel werden dabei gelöscht.

Zugangsanfragen (Warteliste)

Solange der Zugang zu Foerdinand nur auf Einladung möglich ist, können Sie über das Anfrageformular Zugang beantragen. Dabei verarbeiten wir Ihre E-Mail-Adresse sowie optional Ihren Namen, den Namen Ihrer Organisation und Ihre Nachricht an uns, um Ihre Anfrage zu prüfen und Ihnen ggf. eine Einladung zuzusenden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme auf Ihre Anfrage hin).

Im Rahmen einer Zugangsanfrage können Sie optional einen Gesprächstermin über unseren Anbieter Cal.com, Inc. (Anbieter mit US-Bezug) buchen. Dabei verarbeitet Cal.com die von Ihnen bei der Buchung angegebenen Daten (Name, E-Mail-Adresse, gewählter Termin); wir erhalten den Buchungsstatus und die Termindaten zur Zuordnung zu Ihrer Anfrage. Solange Sie keinen Termin buchen, werden keine Daten an Cal.com übermittelt. Cal.com ist in der Subprozessor-Liste unseres AVV aufgeführt.

Speicherdauer: Abgelehnte Zugangsanfragen werden nach 12 Monaten, unbearbeitete Anfragen nach 24 Monaten automatisch gelöscht. Bei erfolgreicher Registrierung wird die Anfrage Ihrem Konto zugeordnet und unterliegt dann den Löschregeln Ihres Kontos.

5. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten. Viele davon können Sie als angemeldete Nutzerin bzw. angemeldeter Nutzer direkt in der Anwendung selbst ausüben:

  • Recht auf Auskunft und Datenkopie (Art. 15, 20 DSGVO): Unter Einstellungen → Datenschutz können Sie ein Exportpaket anfordern (menschenlesbare Auskunft, strukturierte Verarbeitungsübersicht und maschinenlesbare Datenkopie).
  • Recht auf Berichtigung (Art. 16 DSGVO): Ihre Profildaten (Name, Anzeigename, Organisationsangaben) können Sie jederzeit unter Einstellungen → Profil selbst korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Ihr Konto einschließlich Ihrer personenbezogenen Daten können Sie unter Einstellungen → Profil selbst löschen. Hinweise zu Restlaufzeiten in Datensicherungen finden Sie im Abschnitt „Speicherdauer“.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter Einstellungen → Datenschutz können Sie eine Einschränkung der Verarbeitung beantragen; der Antrag wird an unser Datenschutz-Postfach übermittelt und dort bearbeitet.
  • Widerspruchsrecht (Art. 21 DSGVO): Der Verarbeitung auf Grundlage berechtigter Interessen können Sie widersprechen. Dem Speichern von Login- und Aktivitätszeitpunkten Ihres Kontos können Sie direkt unter Einstellungen → Datenschutz widersprechen (bereits gespeicherte Zeitstempel werden dabei gelöscht). Für den Widerspruch gegen die serverseitige Fehlerdiagnose (Sentry) genügt eine E-Mail an datenschutz@totallyboringai.com.

Auskunft und Datenkopie

Das unter Einstellungen → Datenschutz anforderbare Exportpaket enthält eine menschenlesbare Auskunft gemäß Art. 15 DSGVO, eine strukturierte Verarbeitungsübersicht sowie eine maschinenlesbare Datenkopie gemäß Art. 20 DSGVO. Der Download-Link wird per E-Mail zugestellt und ist aus Sicherheitsgründen 72 Stunden gültig.

Wenn Sie keinen Zugriff mehr auf Ihr Konto haben oder eine weitergehende manuelle Prüfung wünschen, kontaktieren Sie uns bitte unter datenschutz@totallyboringai.com. In diesen Fällen können wir zur Identitätsprüfung zusätzliche Angaben benötigen.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt, haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen — insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de.

6. Dokumentenverarbeitung und KI-Funktionen

Foerdinand bietet KI-gestützte Funktionen (Dokumentenanalyse, Assistenz-Chat, Texterstellung, Sprach-Agent, optionale Bildgenerierung). Alle KI-Funktionen werden nur aktiv auf Ihre Veranlassung ausgeführt — es findet keine automatische KI-Auswertung Ihrer Daten im Hintergrund statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Bereitstellung der von Ihnen angeforderten Funktion).

a) Dokumentenverarbeitung (LandingAI)

Wenn Sie Dokumente hochladen oder Dokumenten-, Formular- oder Budget-Importfunktionen nutzen, verarbeiten wir die hochgeladenen Dateien und deren Inhalte zur Bereitstellung der jeweils angeforderten Funktion. Hierzu setzen wir insbesondere LandingAI Agentic Document Extraction (ADE) für Dokumenten-Parsing, OCR und strukturierte Extraktion ein.

LandingAI wird über den EU-Endpunkt api.va.eu-west-1.landing.ai angebunden. Nach Angaben des Anbieters ist das EU-Deployment für Verarbeitung in der EU vorgesehen. Da der Anbieter einen US-Bezug haben kann, sind die jeweils gültigen Anbieterunterlagen, ein AVV/DPA, EU-Standardvertragsklauseln und technische sowie organisatorische Schutzmaßnahmen zu prüfen. Die Verarbeitung erfolgt nur, soweit sie für die von Ihnen aktiv genutzten Dokumentenfunktionen erforderlich ist.

b) KI-Assistent und Texterstellung (OpenAI, Anthropic)

Wenn Sie den KI-Assistenten (Chat), den Formular-Assistenten, die KI-Budgeterstellung oder Funktionen zur Texterstellung und -überarbeitung (z. B. Sachberichte, Konzepte, Übersetzungen) nutzen, übermitteln wir die dafür erforderlichen Inhalte an KI-Anbieter zur Verarbeitung:

  • Ihre Eingaben — Chat-Nachrichten, Fragen, Anweisungen und im Chat hochgeladene Dateien;
  • Projektkontext — soweit für die angeforderte Funktion erforderlich: Projektdaten (z. B. Titel, Beschreibungen, Budgetpositionen), Entwurfstexte und Auszüge aus von Ihnen bereitgestellten Dokumenten. Diese Inhalte können personenbezogene Daten enthalten, wenn Sie solche dort eingetragen haben.

Eingesetzte Anbieter: OpenAI (OpenAI Ireland Ltd. / OpenAI L.L.C., USA — Sprachmodelle und Embeddings) sowie Anthropic PBC (USA — Claude-Modelle für bestimmte Texterstellungsfunktionen). Für die optionale KI-Bildgenerierung (z. B. Profilbilder) setzen wir Google (Google Ireland Ltd. / Google LLC, Gemini-Bildmodelle) ein.

Nach den jeweils gültigen API-Nutzungsbedingungen der Anbieter werden über die API übermittelte Inhalte nicht zum Training der Modelle verwendet und nur zeitlich begrenzt zur Missbrauchskontrolle gespeichert (nach Anbieterangaben in der Regel bis zu 30 Tage). Es kann eine Übermittlung in die USA stattfinden; diese stützen wir auf EU-Standardvertragsklauseln bzw. die jeweils gültigen Angemessenheits- und Garantiemechanismen der Anbieter. Details und die vollständige Subprozessorenliste finden Sie in unserem AVV.

c) Sprach-Agent (OpenAI Realtime API)

Der optionale Sprach-Agent ermöglicht die Bedienung des KI-Assistenten per Sprache. Wenn Sie den Sprach-Agenten aktiv starten und den Mikrofonzugriff erlauben, wird Ihr Mikrofon-Audio über eine verschlüsselte WebRTC-Verbindung in Echtzeit an die OpenAI Realtime API übertragen, dort in Text umgewandelt und beantwortet. Zusätzlich kann — wie beim Text-Chat — Kontext zum aktiven Projekt übermittelt werden, damit der Agent Ihre Fragen zum Projekt beantworten kann. Gesprächs-Transkripte können im zugehörigen Chat-Verlauf Ihres Kontos gespeichert werden; die Audio-Aufnahmen selbst speichern wir nicht.

Ohne Ihre aktive Nutzung findet keinerlei Audioübertragung statt; der Mikrofonzugriff wird ausschließlich über die Berechtigungsabfrage Ihres Browsers gewährt und kann dort jederzeit widerrufen werden. Alle Funktionen des Sprach-Agenten stehen alternativ als Text-Chat zur Verfügung. Für die Verarbeitung bei OpenAI (US-Bezug, Speicherdauer, kein Modell-Training über die API) gilt das unter b) Gesagte.

d) Speicherdauer und Widerspruch

Ergebnisse der KI-Verarbeitung (z. B. erstellte Texte, extrahierte Dokumentdaten, Chat-Verläufe) werden in Ihrem Konto gespeichert, bis Sie sie löschen oder Ihr Konto gelöscht wird. Bei den KI-Anbietern verbleiben übermittelte Inhalte nur für die oben genannten anbieterseitigen Aufbewahrungsfristen. Da alle KI-Funktionen nur auf Ihre aktive Veranlassung laufen, können Sie der Verarbeitung faktisch jederzeit dadurch begegnen, dass Sie die jeweilige Funktion nicht nutzen. Fragen hierzu beantworten wir unter datenschutz@totallyboringai.com.

7. Newsletter (Brevo / Sendinblue)

Wenn Sie dem optionalen Newsletter zustimmen, verarbeiten wir Ihre E-Mail-Adresse sowie ggf. Ihren Vornamen über unseren Anbieter Sendinblue SAS (Brevo), 106 boulevard Haussmann, 75008 Paris, Frankreich (Hosting/Verarbeitung je nach Produktkonfiguration in der EU möglich). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Eine Einwilligung nach § 7 Abs. 2 Nr. 3 UWG (Bestandskunden-Werbung) nutzen wir nicht — jede Anmeldung erfolgt ausdrücklich per Checkbox.

Wir unterscheiden zwei Kategorien (getrennte Einwilligungen): Marketing (Neuigkeiten, Angebote) und Produkt-Updates (neue Funktionen, Hinweise). Sie erhalten nach Anmeldung eine Bestätigungs-E-Mail (Double-Opt-In); erst nach Klick auf den Link werden Sie für die jeweilige Liste freigeschaltet.

Speicherdauer / Widerruf: Die Daten werden verarbeitet, solange die jeweilige Einwilligung besteht. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — über den Abmeldelink in jeder Newsletter-E-Mail oder in den Kontoeinstellungen unter /dashboard/settings/newsletter. Einwilligungsnachweise (Zeitpunkt, IP-Adresse, User-Agent) speichern wir zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 7 Abs. 1 DSGVO.

Brevo ist in der Subprozessor-Liste unseres AVV aufgeführt.

8. Bot-Schutz für Authentifizierungs-Formulare (Cloudflare Turnstile)

Auf den Formularen für Registrierung, Anmeldung und Passwort-Zurücksetzen setzen wir den datenschutzfreundlichen Bot-Schutz Cloudflare Turnstile ein, um automatisierten Missbrauch (z. B. Credential-Stuffing, Massen-Registrierung, Spam-Anfragen für Passwort-Resets) zu verhindern. Anbieter ist Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.

Verarbeitete Daten: IP-Adresse, User-Agent, anonymisierte Verhaltenssignale (z. B. Maus-/Touch-Bewegungen, Browser-Fingerprint-Merkmale) und ein kurzlebiger Verifizierungs-Token. Es werden keine Cookies gesetzt, keine personenbezogene Nutzerkennung erzeugt und keine Daten für Werbezwecke verwendet. Cloudflare verarbeitet die Daten ausschließlich, um menschliche Nutzer von Bots zu unterscheiden.

Rechtsgrundlage: berechtigtes Interesse am Schutz unserer Anmelde- und Registrierungs-Endpunkte vor automatisierten Angriffen (Art. 6 Abs. 1 lit. f DSGVO). Ohne diesen Schutz wären die Konten unserer Nutzerinnen und Nutzer einem deutlich höheren Risiko durch Brute-Force- und Credential-Stuffing-Bots ausgesetzt.

Drittlandübermittlung: Cloudflare ist ein US-Anbieter. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO). Zusätzlich greifen die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

Speicherdauer: Die Verifizierungs-Token werden unmittelbar nach Prüfung verworfen (Sekundenbereich). Sicherheits- und Missbrauchs-Telemetrie (z. B. zur Erkennung wiederholter Angriffsversuche aus derselben IP-Range) speichert Cloudflare gemäß eigener Vorgaben in der Regel bis zu 30 Tage.

Widerspruchsrecht: Nach Art. 21 DSGVO können Sie der Verarbeitung jederzeit widersprechen ( datenschutz@totallyboringai.com). Beachten Sie jedoch, dass Registrierung, Anmeldung und Passwort-Reset ohne diesen Bot-Schutz aus Sicherheitsgründen nicht funktionsfähig angeboten werden können — eine Anmeldung wäre dann nur über alternative Wege (z. B. OAuth-Login per Google) bzw. nach Kontaktaufnahme mit dem Support möglich.

Weitere Informationen zur Datenverarbeitung durch Cloudflare: cloudflare.com/privacypolicy sowie speziell zu Turnstile: developers.cloudflare.com/turnstile/reference/privacy.

9. Weitere Dienstleister und Empfänger

Für einzelne Funktionen der Anwendung setzen wir die folgenden weiteren Dienstleister ein. Alle Anbieter sind zusätzlich in der Subprozessor-Liste unseres AVV aufgeführt.

Transaktionale E-Mails (Resend)

Für den Versand transaktionaler E-Mails (z. B. Konto-Benachrichtigungen, Passwort-Zurücksetzen, Zustellung von Datenauskunfts-Downloads, projektbezogene Benachrichtigungen) setzen wir Resend, Inc. (USA) ein. Verarbeitet werden Ihre E-Mail-Adresse, ggf. Ihr Name sowie Inhalt und Metadaten der jeweiligen Nachricht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Kontobetrieb). Übermittlung an einen Dienst mit US-Bezug — Absicherung über EU-Standardvertragsklauseln und einen Auftragsverarbeitungsvertrag; ergänzende Garantien richten sich nach den jeweils gültigen Anbieterunterlagen.

Support-Chat (Plain)

Im Hilfe- und Dokumentationsbereich bieten wir einen Support-Chat unseres Anbieters Plain (Plain Software Ltd.), Vereinigtes Königreich, an. Das Chat-Widget wird nicht automatisch geladen, sondern erst, wenn Sie aktiv auf die Chat-Schaltfläche klicken (nutzerinitiierter Abruf, § 25 Abs. 2 Nr. 2 TDDDG). Erst dann wird das Skript des Anbieters nachgeladen und es werden Ihre E-Mail-Adresse, ggf. Ihr Name sowie die von Ihnen eingegebenen Chat-Inhalte an Plain übermittelt, um Ihre Support-Anfrage zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO).

Zahlungsabwicklung (CopeCart)

Kostenpflichtige Pläne werden über CopeCart GmbH, Berlin, Deutschland, abgewickelt (Reseller-Modell). Beim Kauf werden Sie auf die Checkout-Seite von CopeCart weitergeleitet; dort verarbeitet CopeCart Ihre Bestell- und Zahlungsdaten (Name, E-Mail-Adresse, Rechnungsanschrift, Zahlungsinformationen) in eigener datenschutzrechtlicher Verantwortung. Wir erhalten von CopeCart die zur Freischaltung und Verwaltung Ihres Abonnements erforderlichen Daten (z. B. E-Mail-Adresse, gebuchter Plan, Bestellstatus). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Solange Sie keinen Kauf vornehmen, werden keine Daten an CopeCart übermittelt. Weitere Informationen: copecart.com/datenschutz.

Echtzeit-Kollaboration (Liveblocks)

Für das gemeinsame Bearbeiten von Anträgen und Berichten in Echtzeit (gleichzeitiges Schreiben, Anzeige anwesender Personen, Cursor und Kommentare) setzen wir Liveblocks, Inc. (USA) ein. Eine Verbindung zu Liveblocks wird ausschließlich aufgebaut, wenn Sie als angemeldete Nutzerin bzw. angemeldeter Nutzer einen kollaborativen Editor öffnen; auf öffentlichen Seiten findet keine Verarbeitung durch Liveblocks statt. Verarbeitet werden eine pseudonyme Nutzerkennung, Ihr Anzeigename, Präsenz- und Cursordaten sowie die Inhalte der gemeinsam bearbeiteten Dokumente und Kommentare. Diese Verarbeitung ist für die Bereitstellung der Kollaborationsfunktion technisch erforderlich; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Übermittlung an einen Dienst mit US-Bezug — Absicherung über EU-Standardvertragsklauseln und einen Auftragsverarbeitungsvertrag; ergänzende Garantien richten sich nach den jeweils gültigen Anbieterunterlagen. Die Inhalte werden gelöscht, wenn der zugehörige Entwurf bzw. das Projekt gelöscht wird.

Dokument- und Recherche-Werkzeuge (PDFShift, Firecrawl, Browserbase/Browserless)

Für einzelne, von Ihnen aktiv ausgelöste Funktionen setzen wir weitere technische Dienstleister ein: PDFShift für die serverseitige Erstellung von PDF-Exporten (übermittelt werden die zu exportierenden Dokumentinhalte), Firecrawl für die Web-Recherche und den Abruf externer Quellen (übermittelt werden Suchanfragen bzw. abzurufende URLs, ggf. mit Projektkontext) sowie Browserbase/Browserless für die optionale Browser-Automation beim Ausfüllen externer Formulare (übermittelt werden die auszufüllenden Formulardaten). Diese Dienste werden ausschließlich verwendet, wenn Sie die jeweilige Funktion nutzen; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Es handelt sich teilweise um Anbieter mit Drittlandbezug — Absicherung über Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln gemäß den jeweils gültigen Anbieterunterlagen. Alle drei Anbieter sind in der Subprozessor-Liste unseres AVV aufgeführt.

10. Kontakt

Für Fragen zum Datenschutz erreichen Sie uns unter:
E-Mail: datenschutz@totallyboringai.com