Stand: April 2025
Die nachfolgende Datenschutzerklärung beschreibt, auf welche Weise die Aithera GmbH, Zweibrückenstraße 17, D-80331 München, eingetragen beim Amtsgericht München unter HRB 298155 (nachfolgend „Verantwortlicher"), personenbezogene Daten im Zusammenhang mit der Nutzung der Website, der Dokumentation sowie der Software-as-a-Service-Plattform „offgen" (nachfolgend gemeinsam „Dienste") erhebt, verarbeitet und nutzt.
Diese Datenschutzerklärung gilt für Website-Besucher und Nutzer der Dienste gleichermaßen. Sie erläutert die Rechtsgrundlagen der Verarbeitung und die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend „DSGVO") sowie den ergänzend anwendbaren nationalen Datenschutzgesetzen.
Erläuterung der in dieser Datenschutzerklärung verwendeten zentralen Begriffe
„Verantwortlicher" bezeichnet die Aithera GmbH, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, die im Rahmen der Nutzung der Dienste erhoben werden.
„Nutzer" bezeichnet jede natürliche Person, die die Website besucht, auf die Dokumentation zugreift oder die Dienste im Namen eines Unternehmenskunden in Anspruch nimmt.
„Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, im Sinne von Art. 4 Nr. 1 DSGVO.
„Verarbeitung" bezeichnet jeden Vorgang, der im Zusammenhang mit personenbezogenen Daten vorgenommen wird, etwa das Erheben, Speichern, Übermitteln oder Löschen.
„Dienste" bezeichnet die offgen-Anwendung, einschließlich der Web-Plattform, des Microsoft Office-Add-ins, der Dokumentationsseiten und der damit verbundenen Funktionen.
„Technische und organisatorische Maßnahmen" oder „TOM" bezeichnet die vom Verantwortlichen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO eingesetzten Schutzmaßnahmen.
Die Aithera GmbH ist Verantwortlicher für folgende Verarbeitungstätigkeiten: (a) Website-Analysen, (b) Kundenkonten und Authentifizierung, (c) Abrechnungs- und Abonnementverwaltung, (d) Support-Interaktionen, (e) Überwachung der Produktnutzung und -performance.
Der Unternehmenskunde ist für personenbezogene Daten, die seine Nutzer in Präsentationsinhalte oder KI-Eingaben einbetten, selbst verantwortlich. Der Verantwortliche greift auf solche Inhalte nicht zu und wertet sie nicht aus, es sei denn, dies ist für den Betrieb der Dienste unbedingt erforderlich.
„Auftragsverarbeiter" bezeichnet Drittanbieter, die die Erbringung der Dienste unterstützen. Zum Zeitpunkt der Erstellung dieser Datenschutzerklärung werden insbesondere folgende Dienstleister eingesetzt:
PostHog (Analyse), SendGrid (E-Mail-Versand), Lemlist (Outbound-Kommunikation), Attio (CRM), Cognism (Prospecting), Microsoft (Authentifizierung), AWS, Hetzner sowie Neon (Hosting) und Stripe (Zahlungsabwicklung). Diese Anbieter verarbeiten personenbezogene Daten im Rahmen ihrer jeweiligen datenschutzrechtlichen Verpflichtungen und auf Grundlage abgeschlossener Auftragsverarbeitungsverträge.
Kategorien und Quellen der im Rahmen der Dienste verarbeiteten personenbezogenen Daten
Der Verantwortliche erhebt personenbezogene Daten, die der Nutzer freiwillig bereitstellt, insbesondere: (a) Name, (b) E-Mail-Adresse, (c) Microsoft 365-Authentifizierungsdaten, (d) Organisations- und Mandantenkennungen, (e) Abrechnungs- und Abonnementdaten, (f) Kommunikationsinhalte aus dem Support-Kontakt sowie (g) Einstellungen und Konfigurationspräferenzen innerhalb der Dienste.
Diese Daten werden bei der Kontoerstellung, dem Anmelden, der Abonnementverwaltung oder der direkten Kontaktaufnahme mit dem Verantwortlichen erhoben.
Bei dem Zugriff auf die Dienste verarbeitet der Verantwortliche automatisch technische Daten, darunter: (a) IP-Adresse, (b) Browser-Typ und -Version, (c) Geräte- und Betriebssystemkennungen, (d) Zeitstempel und Sitzungsinformationen, (e) Telemetrie- und Leistungsdaten sowie (f) Seitenaufrufe, Funktionsnutzung und Navigationsmuster.
Diese Daten werden über Server-Logs, Microsoft Office-Add-in-APIs, Telemetrie-Endpunkte und gesicherte Produktinstrumentierung erfasst.
Die Dienste verwenden technisch notwendige Cookies und lokale Speichertechnologien, um: (a) Nutzersitzungen aufrechtzuerhalten, (b) Authentifizierungsprozesse zu ermöglichen, (c) Einstellungen und Oberflächenzustände zu speichern, (d) Sicherheit und Betrugsprävention zu gewährleisten sowie (e) grundlegende betriebliche Funktionen bereitzustellen.
Die Dienste verwenden keine Werbe-Cookies oder Drittanbieter-Marketing-Tracker.
Der Verantwortliche nutzt PostHog zur Erhebung pseudonymisierter Analysedaten, einschließlich: (a) Nutzeraktionen innerhalb der Dienste, (b) Funktionsnutzungskennzahlen, (c) Leistungsindikatoren sowie (d) aggregierter Verhaltensdaten.
Alle Analysedaten werden pseudonymisiert verarbeitet und lassen keine Rückschlüsse auf natürliche Personen zu, sofern dies nicht ausnahmsweise für Debugging- oder Support-Zwecke unbedingt erforderlich ist.
Der Verantwortliche kann personenbezogene Daten über folgende Drittanbieter-Tools verarbeiten: SendGrid (transaktionale E-Mail-Zustellung), Lemlist (Outbound-Kommunikation), Attio (Kundenbeziehungsmanagement) und Cognism (Prospecting, soweit gesetzlich zulässig).
Diesen Tools können folgende Kategorien personenbezogener Daten übermittelt werden: (a) Name, (b) E-Mail-Adresse, (c) Unternehmenszugehörigkeit, (d) Kommunikationsmetadaten sowie (e) Abonnement- oder Interessenkategorie.
Präsentationsinhalte oder KI-Eingabedaten werden nicht an diese Tools weitergegeben.
Die Dienste können technisch Metadaten aus Präsentationsdateien oder KI-Eingaben verarbeiten, etwa strukturelle Layoutinformationen, Formatierungsparameter und Funktionsnutzungsmuster.
Der Verantwortliche liest, extrahiert, speichert, analysiert oder scannt personenbezogene Daten in Präsentationsinhalten oder KI-Eingaben jedoch nicht, es sei denn, dies ist für den Betrieb der Dienste unbedingt erforderlich.
Der Unternehmenskunde trägt die alleinige Verantwortung für personenbezogene Daten, die in solchen Inhalten enthalten sind.
Abonnement- und Zahlungsinformationen werden über Stripe verarbeitet, einschließlich: (a) Rechnungskontaktdaten, (b) Zahlungsmittelmetadaten, (c) Rechnungshistorie, (d) Transaktionskennungen sowie (e) steuerlich relevanter Angaben.
Vollständige Kreditkartennummern werden vom Verantwortlichen nicht gespeichert.
Wenn der Nutzer den Verantwortlichen per E-Mail oder über die Dokumentationsseite kontaktiert, kann der Verantwortliche folgende Daten verarbeiten: (a) E-Mail-Inhalt, (b) freiwillig übermittelte Anhänge, (c) mit der Anfrage verbundene Metadaten sowie (d) die Folgekorrespondenz. Support-Anfragen können intern oder über integrierte Drittanbieter-Systeme bearbeitet werden.
Erläuterung der legitimen und betrieblichen Zwecke, zu denen personenbezogene Daten verarbeitet werden
Der Verantwortliche verarbeitet personenbezogene Daten, um die Dienste zu betreiben, zu pflegen und bereitzustellen, insbesondere zur: (a) Ermöglichung der Authentifizierung über Microsoft 365, (b) Bereitstellung des Zugangs zum offgen-Add-in und zur Plattform, (c) Wiederherstellung von Sitzungen und Zuständen, (d) Sicherstellung technischer Funktionsfähigkeit und Performance, (e) Aktivierung KI-gestützter Funktionen und Inhaltserstellungstools sowie (f) Aufrechterhaltung der Kompatibilität mit Microsoft Office-Umgebungen.
Personenbezogene Daten werden verarbeitet, um: (a) Nutzerkonten zu erstellen und zu verwalten, (b) Abonnements und deren Verlängerung zu administrieren, (c) Rechnungen auszustellen und Zahlungen zu verarbeiten, (d) steuerliche und regulatorische Verpflichtungen zu erfüllen sowie (e) die Berechtigung des Kunden für Unternehmensfunktionen zu überprüfen.
Die Abrechnungsverarbeitung erfolgt in Zusammenarbeit mit Stripe.
Der Verantwortliche verarbeitet personenbezogene Daten, um: (a) auf Support-Anfragen zu reagieren, (b) betriebliche oder sicherheitsbezogene Mitteilungen zu versenden, (c) Onboarding- und Unternehmensimplementierungshilfe bereitzustellen sowie (d) transaktionale Nachrichten über SendGrid zuzustellen.
Personenbezogene Daten werden nicht zu unerbetenen Werbezwecken verwendet, sofern dies nicht nach geltendem Recht zulässig ist.
Der Verantwortliche nutzt pseudonymisierte Analysedaten, um: (a) die Funktionsnutzung zu messen, (b) Nutzungsmuster zu erkennen, (c) Probleme zu identifizieren und die Performance zu optimieren sowie (d) Produktverbesserungen und die Entwicklungs-Roadmap zu planen.
Identifizierbare Nutzerinhalte werden nicht für das Training von Modellen oder für Analysezwecke verwendet, die über den Betrieb der Dienste hinausgehen.
Personenbezogene Daten werden verarbeitet, um: (a) die Systemintegrität zu überwachen, (b) Betrug oder Missbrauch zu verhindern, (c) unberechtigte Zugriffe zu erkennen, (d) Audit-Protokolle zu führen, (e) gesetzliche Verpflichtungen zu erfüllen sowie (f) Sicherheitsvorfälle zu bearbeiten.
Soweit dies nach geltendem Recht zulässig ist und vom Nutzer oder der Organisation initiiert wurde, können personenbezogene Daten in folgenden Systemen verarbeitet werden: Lemlist für Outreach-Kommunikation, Attio für das CRM und Pipeline-Management sowie Cognism für Business-to-Business-Prospecting im gesetzlich erlaubten Umfang.
Präsentationsinhalte oder KI-Eingabedaten werden nicht an diese Tools weitergegeben.
Personenbezogene Daten werden verarbeitet, um: (a) gesetzliche Aufbewahrungspflichten zu erfüllen, (b) finanzielle und steuerliche Vorschriften einzuhalten, (c) vertragliche Pflichten aus dem Nutzungsvertrag zu erfüllen sowie (d) berechtigten Anfragen von Behörden nachzukommen.
Der Verantwortliche verarbeitet personenbezogene Daten nicht zu folgenden Zwecken: (a) Werbung oder Profiling ohne Bezug zu den Diensten, (b) Verkauf oder Weitergabe an Dritte, (c) Training von KI-Modellen Dritter, (d) Überwachung von Präsentationsinhalten über das betrieblich Notwendige hinaus sowie (e) automatisierte Entscheidungen mit Rechtswirkung.
Darstellung der Rechtsgrundlagen nach der DSGVO, auf die sich die Verarbeitung personenbezogener Daten stützt
Der Verantwortliche verarbeitet personenbezogene Daten, soweit dies für folgende Zwecke erforderlich ist: (a) Bereitstellung des Zugangs zu den Diensten, (b) Authentifizierung der Nutzer über Microsoft 365, (c) Betrieb des offgen-Add-ins, (d) Bereitstellung KI-gestützter Funktionen, (e) Verwaltung von Konten, Abonnements und Unternehmensimplementierungen sowie (f) technischer Support.
Ohne diese Verarbeitung können die Dienste nicht erbracht werden.
Personenbezogene Daten werden verarbeitet, um: (a) handels- und steuerrechtliche Aufzeichnungspflichten zu erfüllen, (b) Aufbewahrungsfristen einzuhalten, (c) Anforderungen an Sicherheit, Audit und Betrugsprävention gerecht zu werden sowie (d) behördlichen Anordnungen nachzukommen. Diese Verarbeitung ist auf das zwingend Erforderliche beschränkt.
Der Verantwortliche verarbeitet bestimmte personenbezogene Daten auf Grundlage berechtigter Interessen, insbesondere zur: (a) Sicherstellung der Stabilität, Verfügbarkeit und Sicherheit der Dienste, (b) Schutzmaßnahmen gegen Missbrauch oder unberechtigte Zugriffe, (c) Verbesserung von Performance, Funktionsumfang und Nutzererfahrung, (d) Analyse aggregierter oder pseudonymisierter Nutzungsmuster sowie (e) zulässiger Business-to-Business-Kommunikation.
Diese Interessen überwiegen nicht die Grundrechte und Grundfreiheiten der betroffenen Person.
In bestimmten Fällen kann personenbezogene Daten auf Grundlage einer ausdrücklichen Einwilligung verarbeitet werden, insbesondere für: (a) optionale Newsletter oder Produktaktualisierungen über SendGrid, (b) optionale CRM-bezogene Maßnahmen über Outreach-Kanäle, (c) optionale Feedback-Eingaben oder Umfragen sowie (d) den Einsatz bestimmter Analysefunktionen, soweit gesetzlich erforderlich.
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
Die Dienste sind nicht auf die Verarbeitung besonderer Kategorien personenbezogener Daten ausgelegt, insbesondere nicht für Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen oder biometrische Erkennungsmerkmale.
Sollte der Unternehmenskunde solche Daten in Präsentationsinhalte oder KI-Eingaben einbetten, handelt er als eigenverantwortlicher Verantwortlicher und trägt die alleinige Verantwortung dafür.
Erläuterung, unter welchen Voraussetzungen und an wen personenbezogene Daten im Rahmen der Dienste weitergegeben werden
Der Verantwortliche gibt personenbezogene Daten an sorgfältig ausgewählte Auftragsverarbeiter weiter, die die technische und betriebliche Erbringung der Dienste unterstützen, darunter: (a) KI-Infrastrukturanbieter (OpenAI, Anthropic, Google Gemini), (b) Hosting-Anbieter (AWS, Hetzner, Neon), (c) Analyseplattform (PostHog), (d) Authentifizierungs- und Plattformanbieter (Microsoft), (e) Zahlungsdienstleister (Stripe), (f) E-Mail-Versanddienst (SendGrid) sowie (g) CRM- und Outreach-Tools (Attio, Lemlist, Cognism).
Auftragsverarbeiter verarbeiten personenbezogene Daten ausschließlich auf Grundlage vertraglicher Datenschutzverpflichtungen und nur im erforderlichen Umfang zur Unterstützung der Dienste.
Für die Abonnementabrechnung werden bestimmte personenbezogene Daten an Stripe weitergegeben, darunter: (a) Rechnungskontaktdaten, (b) Transaktionsmetadaten, (c) Rechnungskennungen sowie (d) Abonnementstatus.
Zahlungskarteninformationen werden ausschließlich durch Stripe verarbeitet und nicht vom Verantwortlichen gespeichert.
Der Verantwortliche verkauft personenbezogene Daten nicht, gibt sie nicht zu Werbe- oder Profilingzwecken an Dritte weiter und gestattet Auftragsverarbeitern nicht, personenbezogene Daten für eigene Zwecke zu verwenden. Präsentationsinhalte oder KI-Eingabedaten werden nur dann an Auftragsverarbeiter übermittelt, wenn dies für den Betrieb der Dienste technisch unbedingt erforderlich ist.
Personenbezogene Daten können offengelegt werden, soweit dies zur Erfüllung: (a) gesetzlicher Verpflichtungen, (b) bindender Gerichtsanordnungen oder (c) rechtmäßiger Behördenanfragen erforderlich ist. Der Verantwortliche unterrichtet den Nutzer oder den Unternehmenskunden über solche Offenlegungen, sofern dem keine gesetzlichen Verbote entgegenstehen.
Im Falle einer Verschmelzung, Übernahme, Abspaltung oder Umstrukturierung, die den Verantwortlichen betrifft, können personenbezogene Daten auf das übernehmende oder nachfolgende Unternehmen übertragen werden, sofern dieses die Verpflichtungen aus dieser Datenschutzerklärung übernimmt.
Erläuterung der grenzüberschreitenden Speicherung und Verarbeitung personenbezogener Daten sowie der eingesetzten Schutzmaßnahmen
Der Verantwortliche speichert und verarbeitet personenbezogene Daten in regionalen Hosting-Standorten seiner Infrastrukturpartner (AWS, Hetzner, Neon). Daten können je nach Region des Nutzers gespeichert werden: (a) innerhalb der Europäischen Union für EU-basierte Nutzer, (b) in den Vereinigten Staaten für US-basierte Nutzer oder (c) in anderen Regionen, die geografisch dem Unternehmensstandort des Nutzers entsprechen.
Übermittlungen sind auf das für die Erbringung der Dienste erforderliche Maß beschränkt.
Soweit personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR), der Schweiz oder dem Vereinigten Königreich in ein Drittland ohne angemessenes Schutzniveau übermittelt werden, stellt der Verantwortliche sicher, dass die Übermittlung auf Grundlage geeigneter Garantien erfolgt, insbesondere durch: (a) von der Europäischen Kommission erlassene Standarddatenschutzklauseln (SCC), (b) ergänzende technische und organisatorische Maßnahmen sowie (c) dokumentierte Übermittlungsfolgenabschätzungen.
Bei Übermittlungen außerhalb des EWR setzt der Verantwortliche zusätzliche Maßnahmen zum Schutz von Vertraulichkeit und Integrität ein, insbesondere: (a) Verschlüsselung bei der Übertragung und im Ruhezustand, (b) strikte Zugriffskontrollen, (c) Zugriffsprotokolle, (d) Zugriffsbeschränkungen nach dem „Need-to-know"-Prinzip sowie (e) vertragliche Verpflichtungen der Anbieter zur Vertraulichkeit.
Erläuterung der Speicherdauer und der eingesetzten Löschverfahren
Der Verantwortliche bewahrt personenbezogene Daten nur so lange auf, wie dies zur Erfüllung der in Abschnitt 3 genannten Zwecke erforderlich ist, sofern keine längere Aufbewahrungsdauer gesetzlich vorgeschrieben oder zulässig ist.
Nach Beendigung oder Ablauf der Dienste löscht der Verantwortliche die dem Nutzerkonto zugeordneten personenbezogenen Daten innerhalb von neunzig (90) Tagen, es sei denn:
a) eine weitere Aufbewahrung ist gesetzlich vorgeschrieben (z. B. aus steuer- oder handelsrechtlichen Gründen), b) die Daten sind in gesicherten Backups gespeichert, die planmäßig überschrieben werden, oder c) eine Löschung ist technisch ohne unverhältnismäßigen Aufwand nicht möglich; in diesem Fall werden die Daten sicher isoliert und geschützt aufbewahrt.
Abrechnungs-, Rechnungs- und Transaktionsnachweise werden für die gesetzlich vorgeschriebenen Aufbewahrungsfristen gespeichert, die je nach nationalem Recht typischerweise sechs (6) bis zehn (10) Jahre betragen.
Für personenbezogene Daten in Präsentationsinhalten oder KI-Eingaben gilt: (a) diese Daten werden nur so lange gespeichert, wie es für den Betrieb der Dienste technisch notwendig ist, (b) der Unternehmenskunde ist Verantwortlicher, (c) der Verantwortliche speichert, liest, analysiert oder extrahiert solche Daten nicht außerhalb technischer Prozesse und (d) die Löschverantwortung liegt beim Unternehmenskunden.
Der Verantwortliche setzt anerkannte Löschverfahren ein, darunter: (a) kryptografisches Löschen, (b) geplante Bereinigungsläufe, (c) versioniertes Überschreiben, (d) kontrollierte Entfernung aus Backups, soweit technisch möglich, sowie (e) Audit-Protokolle über Löschereignisse.
Beschreibung der zum Schutz personenbezogener Daten eingesetzten technischen und organisatorischen Schutzmaßnahmen
Der Verantwortliche trifft Sicherheitsmaßnahmen, die ein dem Risiko der Verarbeitung angemessenes Schutzniveau gewährleisten, gemäß Art. 32 DSGVO. Diese Maßnahmen umfassen physische, technische und administrative Vorkehrungen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit.
Der Verantwortliche setzt Verschlüsselungstechnologien zum Schutz personenbezogener Daten ein, insbesondere: (a) Transportverschlüsselung (TLS oder gleichwertig), (b) Verschlüsselung ruhender Daten, (c) sichere Schlüsselverwaltungsverfahren sowie (d) Überwachung und Durchsetzung von Verschlüsselungsstandards in allen Umgebungen.
Der Verantwortliche hält strikte Zugriffskontrollen aufrecht, darunter: (a) Multi-Faktor-Authentifizierung (MFA) für administrative Zugriffe, (b) rollenbasierte Zugriffskontrolle (RBAC), (c) das „Least-Privilege"- und „Need-to-know"-Prinzip, (d) sichere Bereitstellungs- und Deaktivierungsverfahren sowie (e) regelmäßige Überprüfung der Zugriffsberechtigungen.
Der Verantwortliche und seine Hosting-Anbieter (AWS, Hetzner, Neon) unterhalten: (a) Firewalls und Netzwerksegmentierung, (b) Systeme zur Erkennung und Abwehr von Eindringversuchen, (c) DDoS-Schutzmaßnahmen, (d) gesicherte VPN- und Remote-Zugriffslösungen, (e) gehärtete Server-Konfigurationen sowie (f) physische Sicherheitsmaßnahmen in Rechenzentren.
Der Verantwortliche wendet Grundsätze sicherer Softwareentwicklung an, darunter: (a) Code-Reviews, (b) automatisierte Schwachstellen- und Abhängigkeitsprüfungen, (c) Trennung von Entwicklungs-, Test- und Produktionsumgebungen, (d) dokumentierte Deployment-Prozesse mit Integritätsprüfungen sowie (e) regelmäßige Aktualisierungs- und Patch-Zyklen.
Der Verantwortliche betreibt ein kontinuierliches Monitoring der Dienste, darunter: (a) administrative Audit-Protokolle, (b) Ereignis- und Anomalieerkennung, (c) Fehlerprotokollierung und Telemetrie sowie (d) Protokollierung von Zugriffen auf sensible Systeme. Audit-Protokolle sind gegen Manipulation gesichert und werden für angemessene Zeiträume aufbewahrt.
Zur Überprüfung der Wirksamkeit der TOM führt der Verantwortliche durch: (a) regelmäßige Penetrationstests, (b) interne und externe Schwachstellenbewertungen, (c) Sicherheitsüberprüfungen von Auftragsverarbeitern sowie (d) Compliance-Überprüfungen von Datenflüssen und Infrastruktur.
Der Verantwortliche hält vor: (a) redundante Infrastruktur, (b) automatisierte Backups mit Integritätsprüfung, (c) Notfallwiederherstellungspläne, (d) Verfahren zur Reaktion auf Sicherheitsvorfälle sowie (e) Notfallbetriebsprotokolle.
Darstellung der Rechte, die betroffenen Personen nach dem Datenschutzrecht zustehen, sowie der Verfahren zu deren Geltendmachung
Je nach Wohnsitz und anwendbarem Datenschutzrecht stehen dem Nutzer folgende Rechte in Bezug auf seine personenbezogenen Daten zu: (a) Auskunftsrecht, (b) Recht auf Berichtigung, (c) Recht auf Löschung („Recht auf Vergessenwerden"), (d) Recht auf Einschränkung der Verarbeitung, (e) Recht auf Datenübertragbarkeit, (f) Widerspruchsrecht gegen eine auf berechtigte Interessen gestützte Verarbeitung sowie (g) Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden.
Anfragen können an privacy@offgen.ai gerichtet werden.
Zum Schutz der Vertraulichkeit personenbezogener Daten kann der Verantwortliche zusätzliche Informationen anfordern, die zur Verifikation der Identität der anfragenden Person erforderlich sind. Nicht verifizierte Anfragen können im Einklang mit dem Datenschutzrecht abgelehnt werden.
Der Verantwortliche beantwortet berechtigte Anfragen betroffener Personen innerhalb der nach der DSGVO vorgeschriebenen Fristen, in der Regel innerhalb eines (1) Monats, die bei Komplexität oder hohem Aufkommen um bis zu zwei weitere Monate verlängert werden kann.
Soweit personenbezogene Daten in Präsentationsinhalte oder KI-Eingaben eines Unternehmenskunden eingebettet sind: (a) ist der Unternehmenskunde eigenverantwortlicher Verantwortlicher, (b) müssen Anfragen zu diesen Daten an den Unternehmenskunden gerichtet werden, (c) ist der Verantwortliche (Aithera GmbH) nicht in der Lage, solche Daten eigenständig zu löschen, zu bearbeiten oder zu lokalisieren, und (d) erfolgt jegliche Unterstützung nur auf dokumentierte Weisung des Unternehmenskunden hin.
Sofern der Nutzer oder die Organisation Outreach-Nachrichten über Lemlist, Attio oder Cognism erhält und dieser Verarbeitung widersprechen möchte, kann ein Widerspruch an privacy@offgen.ai gerichtet werden. Der Verantwortliche wird die Kontaktdaten für diese Zwecke daraufhin entfernen oder sperren. Notwendige betriebliche Kommunikation bleibt hiervon unberührt.
Erläuterung der Pflichten von Nutzern und Unternehmenskunden beim Zugriff auf und der Nutzung der Dienste
Der Nutzer ist dafür verantwortlich, dass alle an die Dienste übermittelten personenbezogenen Daten, einschließlich Kontodaten, Abrechnungsinformationen und Kommunikationsinhalte, zutreffend, aktuell und rechtmäßig erhoben sind.
Der Nutzer ist verpflichtet: (a) Zugangsdaten vertraulich zu behandeln, (b) den Zugang zu seinem Microsoft 365-Konto abzusichern, (c) eine unbefugte Nutzung der Dienste zu verhindern sowie (d) den Verantwortlichen unverzüglich über jeden vermuteten Missbrauch oder sicherheitsrelevanten Vorfall zu informieren.
Der Verantwortliche haftet nicht für Schäden, die aus kompromittierten Zugangsdaten oder Missbrauch durch den Nutzer entstehen.
Der Nutzer darf keine Inhalte hochladen oder übermitteln, die: (a) besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten, (b) sensible oder regulierte Daten (z. B. Gesundheits-, Finanz- oder biometrische Daten) umfassen, (c) nicht rechtmäßig erhoben wurden, (d) Rechte Dritter verletzen oder (e) Schadcode oder schädliche Dateien beinhalten.
Der Nutzer ist dafür verantwortlich, dass die Nutzung der Dienste in Übereinstimmung mit geltendem Recht, internen Richtlinien und vertraglichen Anforderungen erfolgt, insbesondere mit: (a) der DSGVO und nationalen Datenschutzgesetzen, (b) arbeitgeberseitigen Richtlinien zum Datenschutz, (c) den Nutzungsbedingungen von Microsoft 365 sowie (d) branchenspezifischen Compliance-Verpflichtungen.
Beschreibung der Support-Angebote und der Dienstverfügbarkeit
Der Verantwortliche stellt Support nach einem gestuften Modell bereit: (a) First-Level-Support über die offgen-Dokumentation unter https://www.offgen.ai/docs, (b) Second-Level-Support per E-Mail unter support@offgen.ai sowie (c) Third-Level-Support in Form individueller technischer Implementierungssitzungen, ausschließlich für Unternehmenskunden.
Support-Anfragen müssen ausreichende Informationen enthalten, um dem Verantwortlichen eine Reproduktion oder Beurteilung des gemeldeten Problems zu ermöglichen.
Der Verantwortliche strebt eine hohe Verfügbarkeit der Dienste an und bemüht sich um eine Betriebsbereitschaft von 99,9 % im Jahresdurchschnitt. Der Verantwortliche gewährleistet jedoch keinen unterbrechungsfreien oder fehlerfreien Betrieb und kann für Wartungsarbeiten, Aktualisierungen oder Verbesserungen vorübergehend in die Verfügbarkeit eingreifen. Ausfälle durch externe Abhängigkeiten (Microsoft 365, Hosting-Anbieter, KI-Modellprovider) liegen nicht im Einflussbereich des Verantwortlichen.
Verfahren zur Erkennung, Bewertung und Meldung von Verletzungen des Schutzes personenbezogener Daten
Eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO liegt vor, wenn ein Sicherheitsvorfall zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.
Stellt der Verantwortliche fest, dass eine Datenpanne, die personenbezogene Daten eines Unternehmenskunden betrifft, voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen begründet, informiert er den betroffenen Unternehmenskunden unverzüglich, in jedem Fall aber innerhalb von zweiundsiebzig (72) Stunden nach Bekanntwerden der Panne.
Die Meldung enthält: (a) eine Beschreibung der Art der Panne, (b) die betroffenen Kategorien und die ungefähre Anzahl der betroffenen Personen, (c) die voraussichtlichen Folgen sowie (d) die ergriffenen oder geplanten Abhilfemaßnahmen.
Auf Anfrage unterstützt der Verantwortliche den Unternehmenskunden bei: (a) der Risikoabschätzung, (b) der Vorbereitung von Meldungen an Aufsichtsbehörden sowie (c) der Unterrichtung betroffener Personen. Der Verantwortliche wendet sich nicht eigenständig an betroffene Personen, sofern er nicht hierzu angewiesen wird oder gesetzlich verpflichtet ist.
Erläuterung, wie Aktualisierungen dieser Datenschutzerklärung vorgenommen und kommuniziert werden
Der Verantwortliche kann diese Datenschutzerklärung von Zeit zu Zeit anpassen, um: (a) Änderungen rechtlicher oder regulatorischer Vorgaben, (b) Aktualisierungen der Dienste, (c) neue Sicherheitspraktiken, (d) Änderungen bei Auftragsverarbeitern oder der Infrastruktur sowie (e) Verbesserungen interner Datenschutzprozesse abzubilden. Änderungen erfolgen im Einklang mit dem geltenden Datenschutzrecht.
Soweit Aktualisierungen die Rechte oder Pflichten des Nutzers wesentlich berühren, informiert der Verantwortliche hierüber über: (a) die Website, (b) das Dokumentationsportal, (c) E-Mail-Benachrichtigungen sowie (d) In-Produkt-Meldungen, soweit angemessen und technisch möglich.
Mit der weiteren Nutzung der Dienste nach Inkrafttreten einer aktualisierten Fassung dieser Datenschutzerklärung erkennt der Nutzer die vorgenommenen Änderungen an. Stimmt der Nutzer der aktualisierten Datenschutzerklärung nicht zu, muss er die Nutzung der Dienste einstellen.
Angaben zu den Kontaktmöglichkeiten für datenschutzrechtliche Anfragen sowie zum Beschwerderecht
Für Fragen zu dieser Datenschutzerklärung, zur Verarbeitung personenbezogener Daten oder zur Geltendmachung von Betroffenenrechten steht der Verantwortliche unter folgender Adresse zur Verfügung: privacy@offgen.ai
Anfragen müssen ausreichende Angaben enthalten, um dem Verantwortlichen die Identifikation der anfragenden Person und eine sachgerechte Bearbeitung zu ermöglichen.
Schriftliche Anfragen können auch an folgende Adresse gerichtet werden:
Aithera GmbH
Zweibrückenstraße 17
D-80331 München
Deutschland
Der Nutzer hat das Recht, bei einer zuständigen Datenschutzaufsichtsbehörde Beschwerde einzulegen, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten gegen geltendes Datenschutzrecht verstößt. Die für die Aithera GmbH zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Der Verantwortliche kann auf begründete Anfrage weitere Einzelheiten zu Auftragsverarbeitern, Übermittlungsmechanismen, Aufbewahrungsfristen oder Sicherheitsmaßnahmen mitteilen, soweit dem keine Sicherheits- oder Vertraulichkeitserfordernisse entgegenstehen.