Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO):

2. Welche Daten erheben wir?

2.1 Accountdaten

Bei der Registrierung erheben wir:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Registrierungsdatum

2.2 Vertragsdaten

Bei der Nutzung speichern wir:

• Hochgeladene Vertragsdokumente (PDFs)
• Vertragsdetails (Name, Anbieter, Kosten, Laufzeiten)
• Nutzungsstatistiken (OCR-Credits, Anzahl Verträge)

2.3 Zahlungsdaten

Bei Abonnements:

• Zahlungsinformationen werden direkt bei Stripe verarbeitet
• Wir speichern nur: Subscription-Status, Tier, Ablaufdatum
• Keine Kreditkartendaten auf unseren Servern

3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre Daten für:

• Bereitstellung unserer Dienste (Vertragsverwaltung, OCR-Verarbeitung)
• Account-Management und Authentifizierung
• Abwicklung von Zahlungen und Abonnements
• Versand von E-Mail-Benachrichtigungen (Vertragsablauf, Trial-Ende)
• Technischer Support

4. Rechtsgrundlage (DSGVO)

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Bereitstellung unserer Dienste)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Sicherheit, Betrug-Prävention)
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z.B. für Marketing-E-Mails)

5. Drittanbieter-Dienste

5.1 Supabase (Datenbank & Authentifizierung)

• Anbieter: Supabase Inc., USA
• Server-Standort: EU (Frankfurt)
• Zweck: Speicherung von Account- und Vertragsdaten
• Datenschutz: https://supabase.com/privacy

5.2 Stripe (Zahlungsabwicklung)

• Anbieter: Stripe Inc., USA
• Zweck: Abwicklung von Zahlungen und Abonnements
• Datenschutz: https://stripe.com/privacy

5.3 SendGrid (E-Mail-Versand)

• Anbieter: Twilio SendGrid Inc., USA
• Zweck: Versand von Benachrichtigungs-E-Mails
• Datenschutz: https://www.twilio.com/legal/privacy

5.4 Vercel (Hosting)

• Anbieter: Vercel Inc., USA
• Server-Standort: Europa
• Zweck: Hosting der Website
• Datenschutz: https://vercel.com/legal/privacy-policy

5.5 Sentry (Fehlerüberwachung)

• Anbieter: Functional Software Inc. (Sentry), USA
• Zweck: Erkennung und Behebung von technischen Fehlern zur Sicherstellung der Dienstverfügbarkeit
• Verarbeitete Daten: Technische Fehlermeldungen, anonymisierte Nutzungsdaten (keine E-Mail-Adressen oder personenbezogene Vertragsinhalte)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität)
• Datenschutz: https://sentry.io/privacy/

5.6 PostHog (Produktanalyse)

• Anbieter: PostHog Inc., USA
• Server-Standort: EU (Frankfurt, gehostet unter eu.i.posthog.com)
• Zweck: Anonymisierte Produktanalyse zur Verbesserung der Nutzererfahrung
• Verarbeitete Daten: Anonymisierte Nutzungsereignisse (z.B. Seitenaufrufe, Feature-Nutzung). Es werden keine E-Mail-Adressen oder personenbezogene Daten an PostHog übermittelt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
• Datenschutz: https://posthog.com/privacy

5.7 Anthropic Claude (OCR-Verarbeitung)

• Anbieter: Anthropic PBC, USA
• Server-Standort: EU-Region (DSGVO-konform)
• Zweck: Automatische Extraktion von Vertragsdaten aus hochgeladenen PDFs (OCR)
• Verarbeitete Daten: PDF-Dokumente werden zur Analyse an Anthropic Claude API gesendet
• Speicherung: Keine dauerhafte Speicherung durch Anthropic (nur zur Verarbeitung)
• Datenschutz: https://www.anthropic.com/legal/privacy

5.8 Google Search Console

• Anbieter: Google Ireland Limited, Irland
• Zweck: Verifizierung der Website-Inhaberschaft und Analyse der Suchmaschinen-Sichtbarkeit
• Verarbeitete Daten: Ein Meta-Tag zur Verifizierung wird im HTML-Code eingebunden. Es werden keine personenbezogenen Nutzerdaten an Google übermittelt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Suchmaschinen-Optimierung)
• Datenschutz: https://policies.google.com/privacy

5.9 Content Delivery Networks (CDN)

• Für die Darstellung von PDF-Dokumenten im Browser wird eine JavaScript-Bibliothek (PDF.js) über das CDN unpkg.com geladen.
• Anbieter: Cloudflare Inc., USA
• Verarbeitete Daten: IP-Adresse (technisch bedingt beim Abruf der Bibliothek)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung von PDF-Dokumenten)

5.10 Auftragsverarbeitungsverträge (AVV/DPA)

Gemäß Art. 28 DSGVO haben wir mit allen oben genannten Drittanbietern Auftragsverarbeitungsverträge (Data Processing Agreements) abgeschlossen, die einen angemessenen Schutz Ihrer Daten garantieren:

• Supabase: Data Processing Agreement
• Stripe: Data Processing Agreement (PCI-DSS Level 1 zertifiziert)
• SendGrid/Twilio: Data Protection Addendum
• Vercel: Data Processing Agreement
• Anthropic: Data Processing Addendum (EU-Region, DSGVO-konform)
• Sentry: Data Processing Agreement
• PostHog: Data Processing Agreement (EU-Region, Frankfurt)

Alle Verträge stellen sicher, dass Ihre Daten ausschließlich in unserem Auftrag und nach unseren Weisungen verarbeitet werden. Bei Fragen zu den AVVs kontaktieren Sie uns bitte unter info@aivoria.de.

5.9 Datenübermittlung in Drittländer

Einige unserer Drittanbieter haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Basis folgender Garantien:

• EU-US Data Privacy Framework (DPF): Stripe, Vercel, Sentry und PostHog sind unter dem EU-US Data Privacy Framework zertifiziert, das einen angemessenen Datenschutz gemäß Art. 45 DSGVO gewährleistet.
• Standardvertragsklauseln (SCC): Zusätzlich haben wir mit allen US-Anbietern EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
• EU-Region-Hosting: Supabase (Frankfurt), PostHog (Frankfurt) und Anthropic Claude (EU-Region) verarbeiten Daten primär innerhalb der EU.

5.10 Automatisierte Verarbeitung (AI/OCR)

Aivoria verwendet künstliche Intelligenz (Anthropic Claude) zur automatischen Extraktion von Vertragsdaten aus hochgeladenen PDF-Dokumenten. Es handelt sich dabei um eine unterstützende Datenextraktion, nicht um eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO.

• Zweck: Extraktion von Vertragsname, Anbieter, Kosten, Laufzeiten und Kündigungsfristen aus PDF-Dokumenten
• Keine automatisierte Entscheidung: Die extrahierten Daten werden dem Nutzer zur Überprüfung und Bearbeitung angezeigt. Es werden keine rechtsverbindlichen Entscheidungen automatisch getroffen.
• Nutzerkontrolle: Sie können alle extrahierten Daten vor dem Speichern korrigieren oder verwerfen. Die manuelle Eingabe steht jederzeit als Alternative zur Verfügung.
• Datenverarbeitung: PDFs werden zur einmaligen Verarbeitung an Anthropic Claude (EU-Region) gesendet und nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Sie beauftragen die OCR-Analyse aktiv).

5.11 Cookies und lokale Speicherung

Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies für:

• Session-Management (Login, Authentifizierung via Supabase)
• Sicherheit (CSRF-Schutz)
• Cookie-Einwilligung (Speicherung Ihrer Präferenz im Browser-LocalStorage)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Optionale Cookies

Analyse-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Bei Zustimmung nutzen wir PostHog (EU-Server, Frankfurt) zur anonymisierten Produktanalyse. Es werden keine personenbezogenen Daten wie E-Mail-Adressen an PostHog übermittelt.

Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Banner anpassen.

6. Speicherdauer

• Accountdaten: Bis zur Account-Löschung
• Vertragsdaten: Bis zur manuellen Löschung durch den Nutzer
• Zahlungsdaten: Gesetzliche Aufbewahrungsfristen (10 Jahre)
• Logs und Protokolle: 30 Tage

7. Ihre Rechte (DSGVO)

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie speichern
• Berichtigung (Art. 16 DSGVO): Korrektur falscher Daten
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten („Recht auf Vergessenwerden“)
• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitung

Kontaktieren Sie uns unter: info@aivoria.de

7.7 Beschwerderecht bei Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

8. Datensicherheit

Wir verwenden moderne Sicherheitsmaßnahmen zum Schutz Ihrer Daten:

• SSL/TLS-Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Speicherung von Passwörtern
• Sichere Server in EU-Rechenzentren
• Regelmäßige Sicherheitsupdates