Datenschutz

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

2. Infrastruktur und Serverstandorte (Europäische Union)

Unsere informationstechnologische Kern-Infrastruktur – bestehend aus Anwendungslogik, Datenbank und Produktanalyse – wird ausnahmslos auf Servern innerhalb der Europäischen Union betrieben. Ein Datentransfer dieser Kern-Systemdaten in Drittstaaten findet nicht statt:

• –Anwendungsserver (Vercel): Frankfurt am Main, Deutschland (Region: eu-central-1 / fra1).
• –Datenbank & Dateispeicher (Supabase): Dublin, Irland, EU (Region: eu-west-1).
• –Produktanalyse (PostHog): Frankfurt am Main, Deutschland (EU-Cloud).

3. Drittanbieter und EU-US Data Privacy Framework

Für hochspezialisierte Teildienste (Authentifizierung, Zahlungsabwicklung und KI-Routing) arbeiten wir mit Dienstleistern zusammen, deren Infrastruktur sich teilweise in den USA befindet. Diese Datenübermittlung ist rechtlich durch das EU-US Data Privacy Framework (DPF) – den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 – abgesichert. Wir übermitteln an diese Dienste ausschließlich jene Daten, die für die Erfüllung des jeweiligen technischen Zwecks zwingend erforderlich sind:

• –Benutzerauthentifizierung (Clerk): Verarbeitet ausschließlich Login-Tokens und grundlegende Session-Daten zur Zugriffssteuerung und Kontoführung. Es erfolgt kein Zugriff auf Ihre Systemeingaben (Prompts) oder inhaltlichen Nutzungsdaten.
• –Zahlungsabwicklung (LemonSqueezy): Verarbeitet rein transaktionale Zahlungs- und Rechnungsdaten zur Erfüllung des Kaufvertrags (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

4. KI-Modell-Routing und Zero-Data-Retention (OpenRouter)

Zur Bereitstellung der kognitiven Workflows werden Ihre Eingaben (Prompts) an die Application Programming Interfaces (APIs) von externen KI-Anbietern (z. B. Google Gemini, Anthropic Claude) weitergeleitet. Diese Weiterleitung erfolgt über den spezialisierten Routing-Dienst OpenRouter.

Hierbei greift eine strikte Zero-Data-Retention-Architektur, die den Schutz Ihrer Geschäftsgeheimnisse und Daten garantiert:

• –Kein Logging bei OpenRouter: Die Protokollierung von Inhaltsdaten ist bei unserem OpenRouter-Account technisch hart deaktiviert (Opt-Out). OpenRouter fungiert als reiner Transit-Layer; Ihre Prompts und die generierten Outputs werden dort lediglich flüchtig im Arbeitsspeicher (RAM) durchgeleitet und nicht dauerhaft in Datenbanken gespeichert.
• –Kein KI-Modell-Training: Da die Abwicklung über die kommerziellen B2B-API-Endpunkte der jeweiligen Basismodell-Anbieter (OpenAI, Anthropic, Google) erfolgt, unterliegen Ihre Eingaben deren strengen API-Richtlinien. Ihre Prompts, hochgeladenen Dokumente und Ergebnisse werden von den KI-Providern vertraglich zugesichert nicht für das Training, das Fine-Tuning oder die Weiterentwicklung der zugrundeliegenden KIs verwendet.

5. Cookies und Endgerätezugriffe (§ 165 Abs. 3 TKG 2021)

Diese Plattform verwendet ausschließlich essenzielle, technisch zwingend notwendige Cookies und Session-Tokens (Local Storage) des Authentifizierungs-Providers Clerk. Diese sind zwingend erforderlich, um Ihre sichere Anmeldung aufrechtzuerhalten und den autorisierten Zugriff auf Ihren Account zu gewährleisten.

Gemäß § 165 Abs. 3 TKG 2021 ist für den Einsatz dieser rein funktionalen und technisch notwendigen Speicherelemente keine vorherige Einwilligung erforderlich. Für Analysezwecke, Nutzer-Tracking oder Marketing setzen wir ausdrücklich keine Cookies, keine clientseitigen Tracking-Skripte und keine Browser-Fingerprinting-Technologien auf Ihrem Endgerät ein. Ein sogenanntes „Cookie-Banner“ ist aus diesem Grund rechtlich nicht notwendig und architektonisch nicht vorhanden.

6. Serverseitige Produktanalyse und Telemetrie (Cookieless)

Für die Bereitstellung, Fehleranalyse in mehrstufigen Workflows und die kontinuierliche evidenzbasierte Weiterentwicklung unserer Softwarearchitektur erfassen wir technische Interaktionsdaten (Telemetrie). Dies geschieht unter Beachtung folgender technischer und rechtlicher Prämissen:

• –100 % Serverseitige Erfassung: Die Erfassung der Telemetriedaten erfolgt rein serverseitig (Server-to-Server). Es werden keine Analyse-Skripte in Ihrem Browser ausgeführt. Wenn Sie einen Prozess in der Software initiieren, generiert unser Server abstrakte Ereignismeldungen und leitet diese an die Analyse-Datenbank in Frankfurt am Main (PostHog EU) weiter. Ein Zugriff auf Ihr Endgerät findet nicht statt.
• –Strikte Pseudonymisierung (Zero PII):
  • –Keine IP-Adressen: Ihre IP-Adresse wird zu keinem Zeitpunkt in der Analyse-Datenbank gespeichert. Die Übermittlung an den Analyseserver erzwingt technisch eine sofortige Anonymisierung der IP-Adresse (überschrieben durch 127.0.0.1).
  • –Keine Klarnamen: Es werden keine personenbezogenen Stammdaten (wie E-Mail-Adressen oder Namen) an das Analysesystem übergeben.
  • –Rotierender Identifikator: Zur rein logischen Zusammenführung von technischen Sitzungen (z. B. um Prozessabbrüche nachzuvollziehen) generiert unser System einen abstrakten, 8-stelligen kryptografischen Hash-Wert. Dieser rotiert automatisch und unwiderruflich alle 30 Tage. Eine Profilbildung über längere Zeiträume oder eine nachträgliche Re-Identifikation Ihrer Person ist dadurch mathematisch und technisch ausgeschlossen.

Rechtsgrundlage und Zweckbindung: Die Verarbeitung dieser stark aggregierten und pseudonymisierten Metadaten erfolgt auf Basis unseres überwiegenden berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Dieses besteht in der Gewährleistung der technischen Systemstabilität (Fehlerbehebung) sowie der ressourceneffizienten Weiterentwicklung der Softwarearchitektur. Eine Weitergabe der Telemetriedaten an Dritte, die Verknüpfung mit externen Datenquellen oder die Nutzung für Marketingzwecke ist technisch und vertraglich vollkommen ausgeschlossen.

7. Ihre Rechte als betroffene Person

Gemäß der DSGVO stehen Ihnen umfassende Rechte bezüglich Ihrer bei uns verarbeiteten personenbezogenen Daten zu:

• –Auskunftsrecht (Art. 15 DSGVO)
• –Recht auf Berichtigung (Art. 16 DSGVO)
• –Recht auf Löschung (Art. 17 DSGVO)
• –Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• –Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• –Widerspruchsrecht gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte oder bei spezifischen datenschutzrechtlichen Fragen kontaktieren Sie uns bitte formlos per E-Mail unter: hello@thereactor.cc

Da wir bei der Produktanalyse auf eine vollständige Pseudonymisierung setzen (Art. 11 DSGVO), bedarf es bei Auskunftsersuchen, die spezifisch diese Telemetrie-Metadaten betreffen, gegebenenfalls zusätzlicher technischer Informationen Ihrerseits, um den rotierenden Hash zuzuordnen. Davon unberührt bleiben selbstverständlich Ihre uneingeschränkten Rechte bezüglich Ihrer Account-Stammdaten bei unserem Authentifizierungs-Provider Clerk.