Datenschutzerklärung
Stand: 15. Juni 2026
1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
- Audinero AI UG (haftungsbeschränkt), Sitz Hamburg, Deutschland
- Ladungsfähige Anschrift: [wird nach Gründung unverzüglich ergänzt]
- Geschäftsführer: Anil Colak, Jannik Wienecke
- Handelsregister: [HRB-Nummer wird nach Eintragung unverzüglich ergänzt]
- USt-IdNr.: [wird nach Erteilung unverzüglich ergänzt]
- Telefon: [wird nach Gründung unverzüglich ergänzt]
- E-Mail: hello@audinero.de
- Sicherheitskontakt: security@audinero.de
2. Datenschutzbeauftragter
Audinero AI UG (haftungsbeschränkt) ist gemäß § 38 BDSG derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da die gesetzlichen Schwellenwerte nicht erreicht werden. Für Fragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:
- Datenschutz-Ansprechpartner: Anil Colak
- E-Mail: hello@audinero.de
Die Bestellung eines Datenschutzbeauftragten wird bei Erreichen der gesetzlichen Schwellenwerte nach § 38 BDSG zeitnah nachgeholt.
3. Begriffsbestimmungen (Art. 4 DSGVO)
Im Sinne dieser Datenschutzerklärung bedeuten:
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung: Jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie das Erheben, Erfassen, Speichern, die Nutzung oder Löschung.
- Betroffene Person: Die natürliche Person, zu der personenbezogene Daten verarbeitet werden.
4. Verarbeitete Datenarten und Rechtsgrundlagen
4.1 Registrierungs- und Kontodaten (Art. 6 Abs. 1 lit. b DSGVO)
Bei der Registrierung als Kunde erheben wir folgende Daten zur Vertragsdurchführung:
- Vorname und Nachname
- E-Mail-Adresse
- Unternehmensname und -größe
- Branche und Rechtsgebiet
- Berufsbezeichnung
- Zeitzone
- Kontaktdaten des Unternehmens
Die Authentifizierung (einschließlich Passwortverwaltung) erfolgt über das Convex Auth SDK. Audinero speichert keine Passwörter oder Passwort-Hashes direkt. Die Mindestpasswortlänge beträgt 8 Zeichen.
Diese Daten sind erforderlich für die Vertragserfüllung und die Kommunikation mit Ihnen.
4.2 Hochgeladene Compliance-Dokumente (Art. 6 Abs. 1 lit. b DSGVO)
Wenn Sie Compliance-Dokumente, Richtlinien oder andere Dateien in die Plattform Audinero hochladen:
- Speichern wir diese Dateien auf Convex-Servern in der EU (Irland). Die Verschlüsselung der Daten in Ruhe (at rest) erfolgt durch die Infrastrukturverschlüsselung von Convex. AES-256-GCM wird auf Anwendungsebene ausschließlich für die Verschlüsselung von API-Schlüsseln der KI-Anbieter eingesetzt.
- Diese Daten verbleiben in Ihrer vollständigen Kontrolle
- Sie können Ihre Dateien jederzeit einsehen, ändern oder löschen
4.3 AI-Verarbeitung durch AWS Bedrock (Art. 6 Abs. 1 lit. b DSGVO)
Unsere Plattform nutzt die OpenAI API (Modelle: gpt-4.1-nano für Textanalyse, gpt-4.1-mini für Standards-Analyse, gpt-4o für Bild- und Dokumentenanalyse) für die KI-gestützte Analyse Ihrer Compliance-Dokumente durch den KI-Assistenten "Nero-Ki":
- Ihre Dokumente werden an die OpenAI API übermittelt zur Verarbeitung gegen Compliance-Frameworks (ISO 27001, ISO 9001, ISO 14001, SOC 2, GDPR, TISAX, NIS2)
- Bei der Analyse von Bildern und gescannten Dokumenten werden diese über das Modell gpt-4o an OpenAI übermittelt
- Die KI-Verarbeitung erfolgt ausschließlich in der Region eu-central-1 (Frankfurt)
- OpenAI verarbeitet Daten unter dem EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln (SCCs gemäß Durchführungsbeschluss (EU) 2021/914)
- Die Verarbeitung erfolgt nur auf Ihre Anfrage hin
- Alle Daten werden per TLS verschlüsselt übertragen
- Ihre Daten werden NICHT für das Trainieren oder Verbessern von KI-Modellen durch OpenAI verwendet (Opt-out für API-Nutzung)
- BYOM (Bring Your Own Model): Die BYOM-Funktion steht ausschließlich Kunden der Tiers Professional, Unlimited und Enterprise zur Verfügung. Unterstützte Anbieter: Ollama, vLLM, LM Studio, LocalAI und jeder OpenAI-kompatible Endpunkt.
4.4 Zahlungsdaten (Art. 6 Abs. 1 lit. b DSGVO)
Zahlungen werden vollständig über Polar (Polar, USA) abgewickelt. Audinero verarbeitet oder speichert keine Kreditkartendaten, IBAN oder sonstige Zahlungsinformationen direkt:
- Polar verarbeitet alle Zahlungsinformationen als eigenständiger Zahlungsdienstleister
- Audinero speichert ausschließlich die Polar-Kunden-ID, E-Mail-Adresse und den Abonnementstatus
- Rechnungsstellung und Zahlungsabwicklung erfolgen ausschließlich über Polar
4.5 Website-Analyse und Cookies (Art. 6 Abs. 1 lit. a DSGVO)
Unsere Dienste bestehen aus zwei Domains:
Marketing-Website (www.audinero.de):
- Anonymisierte, cookielose Nutzungsstatistiken
- Optionale Website-Nutzungsanalyse — nur nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner
Anwendung (app.audinero.de):
- Authentifizierungs-Cookies: Über das Convex Auth SDK für die Sitzungsverwaltung (technisch notwendig, § 25 Abs. 2 TDDDG/TTDSG)
- Sentry-Fehlerüberwachung und Session-Replay (nur mit Einwilligung): Erfasst Fehlerberichte, IP-Adressen, Benutzer-IDs und Browser-Informationen. Session-Replay-Inhalte werden maskiert erfasst.
- Performance-Metriken (nur mit Einwilligung): Web-Vitals-Tracking (LCP, INP, CLS) mit userId- und sessionId-Kontext
Sentry und Performance-Metriken werden erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG/TTDSG.
Weitere Details finden Sie in unserer separaten Cookie-Richtlinie.
4.6 KI-Credit-Nutzung und Token-Verbrauch (Art. 6 Abs. 1 lit. b DSGVO)
Im Rahmen der Nutzung der Plattform erfassen wir Daten zum KI-Credit-Verbrauch und Token-Nutzung pro Workspace. Diese Daten dienen der Abrechnung und Fair-Use-Überwachung.
4,7 Performance-Monitoring-Daten (Art. 6 Abs. 1 lit. a DSGVO)
Bei aktiviertem Performance-Monitoring erfassen wir technische Identifikatoren (userId, sessionId, correlationId) zur Diagnose von Leistungsproblemen. Diese Daten werden nur mit Ihrer Einwilligung erhoben.
5. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)
Wir speichern personenbezogene Daten nur so lange wie nötig. Die Aufbewahrungsfristen unterscheiden sich nach Datenkategorie:
Wir speichern personenbezogene Daten nur so lange wie nötig. Die Aufbewahrungsfristen unterscheiden sich nach Datenkategorie:
Datenkategorie: Registrierungs- und Kontodaten
Speicherdauer: Während der Vertragslaufzeit + 7 Werktage nach Kontolöschung
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Vertragsende
Datenkategorie: Hochgeladene Compliance-Dokumente
Speicherdauer: Während der Vertragslaufzeit; jederzeit löschbar; nach Kontolöschung: 7 Werktage
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. b DSGVO
Datenkategorie: Audit-Daten und Findings
Speicherdauer: Während der Vertragslaufzeit; nach Kontolöschung: 7 Werktage
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. b DSGVO
Datenkategorie: KI-Credit-Nutzung / Token-Verbrauch
Speicherdauer: Während der Vertragslaufzeit; nach Kontolöschung: 7 Werktage
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. b DSGVO
Datenkategorie: Rechnungsdaten (bei Polar)
Speicherdauer: 10 Jahre (gesetzliche Aufbewahrungspflicht, Steuerrecht)
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. c DSGVO; § 147 AO, § 257 HGB
Datenkategorie: Sentry-Fehlerberichte
Speicherdauer: 90 Tage (Sentry-Standardeinstellung)
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Datenkategorie: Performance-Monitoring-Daten
Speicherdauer: Sitzungsdauer
Rechtsgrundlage / Kriterium: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Datenkategorie: Sitzungs-Cookies (Convex Auth)
Speicherdauer: Sitzungsende
Rechtsgrundlage / Kriterium: § 25 Abs. 2 TDDDG/TTDSG (technisch notwendig)
Die Löschung Ihrer personenbezogenen Daten nach Kontolöschung erfolgt innerhalb von 7 Werktagen. Dies umfasst: Kontodaten, hochgeladene Dokumente, Audit-Findings, extrahierte Dokumenteninhalte und KI-Analyseergebnisse.
6. Rechte der betroffenen Person (Art. 15–22 DSGVO)
Sie haben folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO): Sie können erfahren, welche Ihrer Daten wir verarbeiten
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können fehlerhafte Daten korrigieren lassen
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.Die Löschung erfolgt innerhalb von 7 Werktagen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenportabilität (Art. 20 DSGVO): Sie können Ihre Daten in strukturierter Form erhalten
- Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen, soweit diese auf berechtigtem Interesse basiert
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Sentry, Performance-Monitoring), haben Sie das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Sie können Ihre Einwilligung widerrufen über: (a) die Cookie-Einstellungen auf www.audinero.de, (b) den Einwilligungsmechanismus in app.audinero.de oder (c) per E-Mail an hello@audinero.de.
- Recht nicht automatisiert unterworfen zu sein (Art. 22 DSGVO): Siehe Punkt 9 (KI-Verarbeitung)
Um diese Rechte auszuüben, kontaktieren Sie bitte hello@audinero.de. Wir werden Ihren Antrag innerhalb von 30 Tagen bearbeiten.
7. Erforderlichkeit der Datenbereitstellung (Art. 13 Abs. 2 lit. e DSGVO)
Die Bereitstellung der folgenden Daten ist vertraglich erforderlich für die Nutzung der Audinero-Plattform:
- Name und E-Mail-Adresse (für Registrierung und Authentifizierung)
- Unternehmensname (für die Workspace-Einrichtung)
Ohne diese Daten kann kein Nutzungskonto angelegt und der Dienst nicht erbracht werden.
Die Bereitstellung der folgenden Daten ist freiwillig:
- Berufsbezeichnung, Branche, Rechtsgebiet, Zeitzone (für eine bessere Nutzererfahrung)
- Einwilligung in Analyse-Cookies und Performance-Monitoring (für Produktverbesserung und Fehlerbehebung)
Es besteht keine gesetzliche Pflicht zur Datenbereitstellung. Die Nichtbereitstellung der vertraglich erforderlichen Daten hat jedoch zur Folge, dass der Dienst nicht genutzt werden kann.
8. Internationale Datenübertragungen (Kap. V DSGVO, Art. 44–49)
Da wir US-basierte Dienstleister einsetzen, erfolgen Datenübertragungen in die USA und andere Drittländer. Für jeden Auftragsverarbeiter besteht ein spezifischer Transfermechanismus:
Auftragsverarbeiter: Convex, Inc.
Standort: USA (Server EU/Irland)
Verarbeitungszweck: Backend-Infrastruktur, Datenbank, alle Anwendungsdaten
Transfermechanismus: EU-US Data Privacy Framework (DPF) + SCCs (2021/914)
Auftragsverarbeiter: OpenAI, L.P.
Standort: USA (Verarbeitung Region eu-central-1, Frankfurt)
Verarbeitungszweck: KI-Dokumentenanalyse
Transfermechanismus: DPF + SCCs (2021/914)
Auftragsverarbeiter: Polar
Standort: USA
Verarbeitungszweck: Zahlungsabwicklung
Transfermechanismus: DPF + SCCs (2021/914)
Auftragsverarbeiter: Resend, Inc.
Standort: USA
Verarbeitungszweck: Transaktions-E-Mails
Transfermechanismus: DPF + SCCs (2021/914)
Auftragsverarbeiter: Sentry / Functional Software, Inc.
Standort: USA
Verarbeitungszweck: Fehler-Monitoring, Session-Replay (Text maskiert)
Transfermechanismus: DPF + SCCs (2021/914)
Auftragsverarbeiter: Tavily, Inc.
Standort: USA
Verarbeitungszweck: Web-Recherche für Checklisten
Transfermechanismus: DPF + SCCs (2021/914); keine direkte Verarbeitung personenbezogener Daten, Suchanfragen können jedoch mittelbar personenbezogene Daten aus Compliance-Dokumenten enthalten
Ergänzende Maßnahmen gemäß Empfehlung 01/2020 des EDSA:
- TLS-Verschlüsselung für alle Datenübertragungen
- AES-256-GCM-Verschlüsselung für API-Schlüssel auf Anwendungsebene
- Pseudonymisierung wo möglich (z. B. interne IDs statt Klarnamen)
- Vertragliche Zusicherungen der Auftragsverarbeiter zur Einhaltung der DSGVO
Die Standardvertragsklauseln entsprechen dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission.
9. KI-spezifische Offenlegungen (Art. 13 Abs. 2 lit. f, Art. 22 DSGVO)
Unser KI-Assistent "Nero-Ki" verarbeitet Ihre Dokumente zur Compliance-Analyse. Im Folgenden legen wir die Logik, Bedeutung und Auswirkungen dieser Verarbeitung offen:
Verarbeitungslogik: Der Text Ihrer hochgeladenen Dokumente wird an OpenAI-Modelle (Region eu-central-1, Frankfurt) übermittelt, die den Inhalt gegen ausgewählte Compliance-Frameworks (z. B. ISO 27001, SOC 2, DSGVO) analysieren. Die Ergebnisse werden als Findings mit Schweregrad-Bewertung (Critical, High, Medium, Low) in Ihrem Workspace gespeichert.
Bedeutung und Auswirkungen:
- Datenverarbeitungsfolgenabschätzung (DPIA) wurde durchgeführt
- Keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO: Die KI-Analysen sind Empfehlungen und Entscheidungshilfen, keine rechtsverbindlichen Bewertungen
- Sie haben jederzeit das Recht, eine manuelle Überprüfung der KI-Ergebnisse durch qualifizierte Fachkräfte zu verlangen
- Ergebnisse der KI werden ausschließlich für Ihren Workspace gespeichert und nicht für andere Kunden zugänglich gemacht
- Modelltraining: Ihre Daten werden NICHT für das Trainieren oder Verbessern von KI-Modellen verwendet
10. Sicherheitsmaßnahmen (Art. 32 DSGVO)
Wir implementieren folgende Sicherheitsmaßnahmen:
- Verschlüsselung in Ruhe: Infrastrukturverschlüsselung durch Convex. AES-256-GCM auf Anwendungsebene ausschließlich für API-Schlüssel der KI-Anbieter.
- Verschlüsselung im Transit: TLS-Verschlüsselung bereitgestellt durch die Infrastrukturanbieter
- Infrastruktur: Convex Cloud (EU/Irland)
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) innerhalb der Plattform
- Fehler- und Performance-Monitoring: Sentry-basierte Überwachung von Anwendungsfehlern und Performance-Metriken (nur mit Einwilligung)
- Geplante Sicherheitsüberprüfungen: Regelmäßige Überprüfung der Sicherheitsmaßnahmen und Infrastruktur mit dem Ziel, formale Penetrationstests einzuführen
- Rate Limiting: Schutz vor automatisierten Angriffen auf Authentifizierungsendpunkte
Sicherheitsrelevante Hinweise und Meldungen richten Sie bitte an security@audinero.de.
11. Auftragsverarbeitung (Art. 28 DSGVO)
Soweit Audinero AI personenbezogene Daten im Auftrag des Kunden verarbeitet, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Der AVV wird automatisch mit Akzeptanz der AGB bei Registrierung geschlossen und regelt insbesondere:
- Gegenstand und Dauer der Verarbeitung
- Weisungsgebundenheit und Pflichten des Auftragsverarbeiters
- Genehmigte Unterauftragsverarbeiter (siehe Tabelle in Abschnitt 8)
- Technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO
- Löschung und Rückgabe von Daten nach Vertragsende (innerhalb von 7 Werktagen)
Der vollständige AVV ist als separates Dokument verfügbar und kann unter hello@audinero.de angefordert werden.
12. Digitale Dienste und Cookie-Richtlinie (DDG/TDDDG/TTDSG)
Im Einklang mit dem Digitale-Dienste-Gesetz (DDG, ehemals TMG) und dem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG, vormals TTDSG):
- Technisch notwendige Cookies (§ 25 Abs. 2 TDDDG/TTDSG): Werden ohne Einwilligung gesetzt (Authentifizierungs-Cookies über das Convex Auth SDK)
- Einwilligungspflichtige Cookies und Technologien (§ 25 Abs. 1 TDDDG/TTDSG): Sentry-Fehlerüberwachung und Performance-Monitoring werden erst nach ausdrücklicher Einwilligung aktiviert
- Cookie-Banner: Auf www.audinero.de werden Sie beim ersten Besuch informiert. Auf app.audinero.de erhalten Sie einen separaten Einwilligungsmechanismus.
- Sie können Ihre Cookie-Einstellungen jederzeit ändern
Weitere Details finden Sie in unserer separaten Cookie-Richtlinie.
Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen, insbesondere im Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Die für Audinero AI UG (haftungsbeschränkt) zuständige Aufsichtsbehörde ist:
- Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
- Ludwig-Erhard-Str. 22, 20459 Hamburg
- Telefon: +49 40 428 54 4040
- E-Mail: mailbox@datenschutz.hamburg.de
- Web: https://datenschutz-hamburg.de
Zusätzlich steht es Ihnen frei, sich an die Aufsichtsbehörde Ihres Bundeslandes zu wenden.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen, neue Dienste oder technische Entwicklungen anzupassen. Die aktuelle Version ist stets auf unserer Website verfügbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.
Ergänzende Hinweise für Nutzer/Betroffene in Österreich
Soweit unser Angebot Nutzer oder betroffene Personen in Österreich betrifft, gelten ergänzend folgende Hinweise:
- Es gelten die Offenlegungs- und Informationspflichten nach § 5 ECG sowie § 25 MedienG.
- Ergänzend zur DSGVO findet das österreichische Datenschutzgesetz (DSG) Anwendung.
- Zuständige Aufsichtsbehörde in Österreich ist die Österreichische Datenschutzbehörde (DSB).
- Für den Einsatz von Cookies und vergleichbaren Technologien gilt ergänzend § 165 TKG 2021 (Einwilligungserfordernis).
16. Ergänzende Hinweise für Personen in der Schweiz
Soweit Daten von Personen in der Schweiz bearbeitet werden, gelten ergänzend folgende Hinweise:
- Es findet das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 01.09.2023) Anwendung.
- Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
- Datenübermittlungen in die USA erfolgen auf Grundlage des Swiss-US Data Privacy Framework sowie ergänzend der Standardvertragsklauseln (SCCs).
- Hinweis: Gegebenenfalls ist ein Vertreter in der Schweiz nach Art. 14 revDSG zu benennen.
