Datenschutzerklärung
Stand: April 2026 · Gültig ab Veröffentlichung
1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)
AiNemix UG (haftungsbeschränkt)
Paul Kuhn, Geschäftsführer
Deutschland
E-Mail: datenschutz@ainemix.com
2. Datenschutzbeauftragter (Art. 37 DSGVO)
Bei Fragen zum Datenschutz wenden Sie sich an: datenschutz@ainemix.com. Gemäß den aktuellen Schwellenwerten des BDSG ist die Bestellung eines externen DSB nicht verpflichtend; die Rolle wird intern durch die Geschäftsführung wahrgenommen.
3. Erhobene Daten & Zwecke (Art. 13 Abs. 1 lit. c, Art. 30)
| Kategorie | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Stammdaten (Name, Email) | Vertragsdurchführung | Art. 6 Abs. 1 lit. b | bis 3 Jahre nach Vertragsende |
| Session-Daten (IP, Browser) | Anmeldung, Sicherheit | Art. 6 Abs. 1 lit. f | 30 Tage |
| Kundendaten im ERP | Vertragsdurchführung | Art. 6 Abs. 1 lit. b | 10 Jahre (GoBD) |
| IBAN, USt-ID (verschlüsselt) | Zahlungsabwicklung, Steuer | Art. 6 Abs. 1 lit. c | 10 Jahre (GoBD) |
| Audit-Log (KI-Aktionen) | Revisionssicherheit | Art. 6 Abs. 1 lit. c | 10 Jahre (GoBD) |
| Cookies (nicht notwendig) | Analyse, Marketing | Art. 6 Abs. 1 lit. a (Einwilligung) | bis Widerruf |
4. Empfänger / Auftragsverarbeiter (Art. 13 Abs. 1 lit. e, Art. 28)
Für einzelne Verarbeitungsvorgänge bedienen wir uns spezialisierter Dienstleister (Auftragsverarbeitung nach Art. 28 DSGVO):
- Anthropic PBC (USA) – KI-Modell-Inferenz (Claude). Standardvertragsklauseln, DPA signiert.
- Resend Inc. (USA) – Transaktionale E-Mails. Standardvertragsklauseln.
- Stripe Inc. (USA) – Zahlungsabwicklung. PCI-DSS Level 1, Standardvertragsklauseln.
- Hostinger International Ltd. (Litauen/EU) – Hosting, Server-Infrastruktur.
Eine vollständige, stets aktuelle Liste finden Sie nach Login unter /settings/privacy oder als JSON unter /api/v1/gdpr/data-processing.
5. Datenübermittlung in Drittländer (Art. 13 Abs. 1 lit. f, Kapitel V)
Übermittlungen in die USA erfolgen auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzenden technischen Maßnahmen (Verschlüsselung im Transport und at-rest).
6. Technische Sicherheitsmaßnahmen (Art. 32)
- AES-256-GCM Feld-Verschlüsselung für PII (IBAN, USt-ID) mit Per-Tenant-Keys (HKDF-SHA256)
- TLS 1.3 für alle API-Verbindungen
- HMAC-SHA256 Hash-Chain für GoBD-konformes Audit-Log (nachträgliche Änderungen erkennbar)
- Mehrstufige Backup-Strategie (täglich, verschlüsselt)
- Rollenbasierte Zugriffskontrolle (RBAC) mit Principle-of-Least-Privilege
7. Ihre Rechte (Art. 15–22)
- Auskunft (Art. 15): Abrufbar als JSON-Export unter
/settings/privacy. - Berichtigung (Art. 16): Profil-Daten jederzeit editierbar.
- Löschung (Art. 17): Selbstbedienung im Privatbereich (Anonymisierung + 30-Tage-Grace-Period + Hard-Delete).
- Einschränkung (Art. 18) und Widerspruch (Art. 21): auf formlose Anfrage an datenschutz@ainemix.com.
- Datenübertragbarkeit (Art. 20): JSON-Export, maschinenlesbar.
- Widerruf einer Einwilligung (Art. 7 Abs. 3): jederzeit unter
/settings/privacy. - Beschwerde bei der Aufsichtsbehörde (Art. 77): z.B. BfDI oder zuständige Landesbehörde.
8. Automatisierte Entscheidungsfindung (Art. 22)
Wir nutzen KI-Modelle (Claude, Anthropic) zur Unterstützung betrieblicher Abläufe. Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung werden NICHT vollautomatisch getroffen – es gibt stets eine menschliche Prüfungs- oder Bestätigungsstufe (siehe unsere 3-Stufen-Ausführung: passiv/aktiv/autonom, wobei destruktive Aktionen immer Bestätigung erfordern).
9. Pflicht zur Bereitstellung (Art. 13 Abs. 2 lit. e)
Die Bereitstellung Ihrer Stammdaten ist zur Nutzung der Plattform erforderlich. Ohne diese Daten kann der Vertrag nicht durchgeführt werden.
10. Änderungen dieser Erklärung
Wir aktualisieren diese Datenschutzerklärung bei wesentlichen Änderungen der Verarbeitung oder Rechtslage. Die jeweils aktuelle Version ist stets unter /legal/privacy abrufbar.