Datenschutzerklärung
Updated: 26. März 2026
1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
Auditera.ai UG (haftungsbeschränkt) i. Gr.
[Adresse wird nach Gründung ergänzt]
Geschäftsführer: Anil Colak, Jannik Wienecke
Handelsregister: [wird nach Eintragung ergänzt]
USt-IdNr.: [wird nach Anmeldung beim Finanzamt ergänzt]
E-Mail: hello@auditera.ai
2. Datenschutzbeauftragter
Auditera AI UG (haftungsbeschränkt) ist gemäß § 38 BDSG derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da die gesetzlichen Schwellenwerte nicht erreicht werden. Für Fragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:
Datenschutz-Ansprechpartner: Anil Colak
E-Mail: support@auditera.de
Die Bestellung eines Datenschutzbeauftragten wird bei Erreichen der gesetzlichen Schwellenwerte nach § 38 BDSG zeitnah nachgeholt.
3. Begriffsbestimmungen (Art. 4 DSGVO)
Im Sinne dieser Datenschutzerklärung bedeuten:
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verarbeitung: Jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie das Erheben, Erfassen, Speichern, die Nutzung oder Löschung.
Betroffene Person: Die natürliche Person, zu der personenbezogene Daten verarbeitet werden.
4. Verarbeitete Datenarten und Rechtsgrundlagen
4.1 Registrierungs- und Kontodaten (Art. 6 Abs. 1 lit. b DSGVO)
Bei der Registrierung als Kunde erheben wir folgende Daten zur Vertragsdurchführung:
Vorname und Nachname
E-Mail-Adresse
Unternehmensname und -größe
Passwort-Hash
Berufsbezeichnung
Zeitzone
Branche und Rechtsgebiet
Kontaktdaten des Unternehmens
Die Authentifizierung (einschließlich Passwortverwaltung) erfolgt über das Convex Auth SDK. Auditera speichert keine Passwörter oder Passwort-Hashes direkt. Die Mindestpasswortlänge beträgt 8 Zeichen. Diese Daten sind erforderlich für die Vertragserfüllung und die Kommunikation mit Ihnen.
4.2 Hochgeladene Compliance-Dokumente (Art. 6 Abs. 1 lit. b DSGVO)
Wenn Sie Compliance-Dokumente, Richtlinien oder andere Dateien in die Plattform Auditera hochladen:
Speichern wir diese Dateien auf Convex-Servern in der EU (Irland). Die Verschlüsselung der Daten in Ruhe (at rest) erfolgt durch die Infrastrukturverschlüsselung von Convex. AES-256-GCM wird auf Anwendungsebene ausschließlich für die Verschlüsselung von API-Schlüsseln der KI-Anbieter eingesetzt.
Diese Daten verbleiben in Ihrer vollständigen Kontrolle
Sie können Ihre Dateien jederzeit einsehen, ändern oder löschen
4.3 AI-Verarbeitung durch AWS Bedrock (Art. 6 Abs. 1 lit. b DSGVO)
Unsere Plattform nutzt OpenAI API (Modelle: gpt-4.1-nano für Textanalyse, gpt-4.1-mini für Standards-Analyse, gpt-4o für Bild- und Dokumentenanalyse) für die KI-gestützte Analyse Ihrer Compliance-Dokumente durch den AI-Assistenten \"Era\":
Ihre Dokumente werden an OpenAI API übermittelt zur Verarbeitung gegen Compliance-Frameworks (ISO 27001, ISO 9001, ISO 14001, SOC 2, GDPR, TISAX, NIS2)
Bei der Analyse von Bildern und gescannten Dokumenten werden diese über das Modell gpt-4o an OpenAI übermittelt
OpenAI verarbeitet Daten unter dem EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln (SCCs gemäß Durchführungsbeschluss (EU) 2021/914)
Die Verarbeitung erfolgt nur auf Ihre Anfrage hin
Alle Daten werden per TLS verschlüsselt übertragen
Ihre Daten werden NICHT für das Trainieren oder Verbessern von KI-Modellen durch OpenAI verwendet (Opt-out für API-Nutzung)
BYOM (Bring Your Own Model): Die BYOM-Funktion steht ausschließlich Kunden der Tiers Unlimited und Enterprise zur Verfügung. Unterstützte Anbieter: Ollama, vLLM, LM Studio, LocalAI und jeder OpenAI-kompatible Endpunkt.
4.4 Zahlungsdaten (Art. 6 Abs. 1 lit. b DSGVO)
ahlungen werden vollständig über Polar (Schweden) abgewickelt. Auditera verarbeitet oder speichert keine Kreditkartendaten, IBAN oder sonstige Zahlungsinformationen direkt:
Polar verarbeitet alle Zahlungsinformationen als eigenständiger Zahlungsdienstleister
Auditera speichert ausschließlich die Polar-Kunden-ID, E-Mail-Adresse und den Abonnementstatus
Rechnungsstellung und Zahlungsabwicklung erfolgen ausschließlich über Polar
4.5 Website-Analyse und Cookies (Art. 6 Abs. 1 lit. a DSGVO)
Unsere Dienste bestehen aus zwei Domains mit unterschiedlichen Tracking-Technologien:
Marketing-Website (www.auditera.de, gehostet von Framer B.V.):
Framer Analytics: Anonymisierte Nutzungsstatistiken (cookieless)
Google Analytics (optional): Website-Nutzungsanalyse — nur nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner
Anwendung (app.auditera.de, gehostet von Vercel Inc.):
Authentifizierungs-Cookies: Über Clerk Auth SDK für Sitzungsverwaltung (technisch notwendig, § 25 Abs. 2 TTDSG)
Sentry-Fehlerüberwachung (nur mit Einwilligung): Erfasst Fehlerberichte, IP-Adressen, Benutzer-IDs, Browser-Informationen und Session-Replay-Daten (10 % Sampling-Rate, 100 % bei Fehlern). sendDefaultPii ist aktiviert. Die Bezeichnung als „anonymisiert" trifft nicht zu — personenbezogene Daten werden erfasst.
Performance-Metriken (nur mit Einwilligung): Web-Vitals-Tracking (LCP, INP, CLS) mit userId- und sessionId-Kontext
Sentry und Performance-Metriken werden erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG.
Weitere Details finden Sie in unserer separaten Cookie-Richtlinie.
4.6 KI-Credit-Nutzung und Token-Verbrauch (Art. 6 Abs. 1 lit. b DSGVO)
Im Rahmen der Nutzung der Plattform erfassen wir Daten zum KI-Credit-Verbrauch und Token-Nutzung pro Workspace. Diese Daten dienen der Abrechnung und Fair-Use-Überwachung.
4,7 Performance-Monitoring-Daten (Art. 6 Abs. 1 lit. a DSGVO)
Bei aktiviertem Performance-Monitoring erfassen wir technische Identifikatoren (userId, sessionId, correlationId) zur Diagnose von Leistungsproblemen. Diese Daten werden nur mit Ihrer Einwilligung erhoben.
5. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)
Wir speichern personenbezogene Daten nur so lange wie nötig. Die Aufbewahrungsfristen unterscheiden sich nach Datenkategorie:
Registrierungs- und Kontodaten: Hochgeladene Compliance-Dokumente | Während der Vertragslaufzeit + 7 Werktage nach: Während der Vertragslaufzeit; jederzeit löschbar; | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. b DSGVO nach Kontolöschung: 7 Werktage
Registrierungs- und Kontodaten: Audit-Daten und Findings | Während der Vertragslaufzeit + 7 Werktage nach: Während der Vertragslaufzeit; nach Kontolöschung: | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. b DSGVO 7 Werktage
Registrierungs- und Kontodaten: KI-Credit-Nutzung / Token-Verbrauch | Während der Vertragslaufzeit + 7 Werktage nach: Während der Vertragslaufzeit; nach Kontolöschung: | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. b DSGVO 7 Werktage
Registrierungs- und Kontodaten: Rechnungsdaten (bei Polar) | Während der Vertragslaufzeit + 7 Werktage nach: 10 Jahre (gesetzliche Aufbewahrungspflicht, | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. c DSGVO; § 147 AO, Steuerrecht) | Vertragsende: § 257 HGB
Registrierungs- und Kontodaten: Sentry-Fehlerberichte | Während der Vertragslaufzeit + 7 Werktage nach: 90 Tage (Sentry-Standardeinstellung) | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Registrierungs- und Kontodaten: Performance-Monitoring-Daten | Während der Vertragslaufzeit + 7 Werktage nach: Sitzungsdauer | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Registrierungs- und Kontodaten: Sitzungs-Cookies (Clerk, Framer) | Während der Vertragslaufzeit + 7 Werktage nach: Sitzungsende | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: § 25 Abs. 2 TTDSG (technisch notwendig)
Registrierungs- und Kontodaten: Google Analytics (www.auditera.de) | Während der Vertragslaufzeit + 7 Werktage nach: Bis zu 26 Monate (Google-Standard) | Art. 6 Abs. 1 lit. b DSGVO; Löschung nach Kontolöschung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Die Löschung Ihrer personenbezogenen Daten nach Kontolöschung erfolgt innerhalb von 7 Werktagen. Dies umfasst: Kontodaten, hochgeladene Dokumente, Audit-Findings, extrahierte Dokumenteninhalte und KI-Analyseergebnisse.
6. Rechte der betroffenen Person (Art. 15–22 DSGVO)
Sie haben folgende Rechte:
Recht auf Auskunft (Art. 15 DSGVO): Sie können erfahren, welche Ihrer Daten wir verarbeiten
Recht auf Berichtigung (Art. 16 DSGVO): Sie können fehlerhafte Daten korrigieren lassen
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Die Löschung erfolgt innerhalb von 7 Werktagen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenportabilität (Art. 20 DSGVO): Sie können Ihre Daten in strukturierter Form erhalten
Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen, soweit diese auf berechtigtem Interesse basiert
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Sentry, Performance-Monitoring, Google Analytics), haben Sie das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Sie können Ihre Einwilligung widerrufen über: (a) die Cookie-Einstellungen auf www.auditera.de, (b) den Einwilligungsmechanismus in app.auditera.de oder (c) per E-Mail an hello@auditera.de.
Recht nicht automatisiert unterworfen zu sein (Art. 22 DSGVO): Siehe Punkt 8 (KI-Verarbeitung)
Um diese Rechte auszuüben, kontaktieren Sie bitte hello@auditera.de. Wir werden Ihren Antrag innerhalb von 30 Tagen bearbeiten.
7. Erforderlichkeit der Datenbereitstellung (Art. 13 Abs. 2 lit. e DSGVO)
Die Bereitstellung der folgenden Daten ist vertraglich erforderlich für die Nutzung der Auditera-Plattform:
Name und E-Mail-Adresse (für Registrierung und Authentifizierung)
Unternehmensname (für die Workspace-Einrichtung)
Ohne diese Daten kann kein Nutzungskonto angelegt und der Dienst nicht erbracht werden.
Die Bereitstellung der folgenden Daten ist freiwillig:
Berufsbezeichnung, Branche, Rechtsgebiet, Zeitzone (für eine bessere Nutzererfahrung)
Einwilligung in Analyse-Cookies und Performance-Monitoring (für Produktverbesserung und Fehlerbehebung)
Es besteht keine gesetzliche Pflicht zur Datenbereitstellung. Die Nichtbereitstellung der vertraglich erforderlichen Daten hat jedoch zur Folge, dass der Dienst nicht genutzt werden kann.
8. Internationale Datenübertragungen (Kap. V DSGVO, Art. 44–49)
Da wir US-basierte Dienstleister einsetzen, erfolgen Datenübertragungen in die USA und andere Drittländer. Für jeden Auftragsverarbeiter besteht ein spezifischer Transfermechanismus:
Convex, Inc.: Irland) | USA (Hosting: EU/: alle Anwendungsdaten | Backend-Infrastruktur,: SCCs (2021/914)
Convex, Inc.: OpenAI, L.L.C. | USA (Hosting: EU/: USA | Backend-Infrastruktur,: KI-Dokumentenanalyse | EU-US Data Privacy Framework (DPF) +: DPF + SCCs (2021/914)
Convex, Inc.: Polar | USA (Hosting: EU/: Schweden | Backend-Infrastruktur,: Zahlungsabwicklung | EU-US Data Privacy Framework (DPF) +: EU (kein Drittlandtransfer)
Convex, Inc.: Vercel Inc. | USA (Hosting: EU/: USA | Backend-Infrastruktur,: App-Hosting (app.auditera.de) | EU-US Data Privacy Framework (DPF) +: DPF + SCCs (2021/914)
Convex, Inc.: Clerk Inc. | USA (Hosting: EU/: USA | Backend-Infrastruktur,: Authentifizierung | EU-US Data Privacy Framework (DPF) +: DPF + SCCs (2021/914)
Convex, Inc.: Sentry / Functional Software Inc. | USA (Hosting: EU/: USA | Backend-Infrastruktur,: Fehlerüberwachung, Session | EU-US Data Privacy Framework (DPF) +: DPF + SCCs (2021/914) Replay
Convex, Inc.: Resend Inc. | USA (Hosting: EU/: USA | Backend-Infrastruktur,: Transaktions-E-Mails | EU-US Data Privacy Framework (DPF) +: DPF + SCCs (2021/914)
Convex, Inc.: Framer B.V. | USA (Hosting: EU/: Niederlande | Backend-Infrastruktur,: Website-Hosting | EU-US Data Privacy Framework (DPF) +: EU (kein Drittlandtransfer) (www.auditera.de)
Convex, Inc.: Google LLC | USA (Hosting: EU/: USA | Backend-Infrastruktur,: Website-Analyse | EU-US Data Privacy Framework (DPF) +: DPF + SCCs (2021/914) (www.auditera.de)
Ergänzende Maßnahmen gemäß Empfehlung 01/2020 des EDSA:
TLS-Verschlüsselung für alle Datenübertragungen (bereitgestellt durch Vercel und Convex auf Infrastrukturebene)
AES-256-GCM-Verschlüsselung für API-Schlüssel auf Anwendungsebene
Pseudonymisierung wo möglich (z. B. interne IDs statt Klarnamen)
Vertragliche Zusicherungen der Auftragsverarbeiter zur Einhaltung der DSGVO
Die Standardvertragsklauseln entsprechen dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission.
9. KI-spezifische Offenlegungen (Art. 13 Abs. 2 lit. f, Art. 22 DSGVO)
Unsere AI-Assistentin \"Era\" verarbeitet Ihre Dokumente zur Compliance-Analyse. Im Folgenden legen wir die Logik, Bedeutung und Auswirkungen dieser Verarbeitung offen:
Verarbeitungslogik: Der Text Ihrer hochgeladenen Dokumente wird an OpenAI-Modelle übermittelt, die den Inhalt gegen ausgewählte Compliance-Frameworks (z. B. ISO 27001, SOC 2, DSGVO) analysieren. Die Ergebnisse werden als Findings mit Schweregrad-Bewertung (Critical, High, Medium, Low) in Ihrem Workspace gespeichert.
Bedeutung und Auswirkungen:
Datenverarbeitungsfolgenabschätzung (DPIA) wurde durchgeführt
Keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO: Die KI-Analysen sind Empfehlungen und Entscheidungshilfen, keine rechtsverbindlichen Bewertungen
Sie haben jederzeit das Recht, eine manuelle Überprüfung der KI-Ergebnisse durch qualifizierte Fachkräfte zu verlangen
Ergebnisse der KI werden ausschließlich für Ihren Workspace gespeichert und nicht für andere Kunden zugänglich gemacht
Modelltraining: Ihre Daten werden NICHT für das Trainieren oder Verbessern von KI-Modellen verwendet
10. Sicherheitsmaßnahmen (Art. 32 DSGVO)
Wir implementieren folgende Sicherheitsmaßnahmen:
Verschlüsselung in Ruhe: Infrastrukturverschlüsselung durch Convex (ISO 27001, SOC 2, C5-zertifiziert). AES-256-GCM auf Anwendungsebene ausschließlich für API-Schlüssel der KI-Anbieter.
Verschlüsselung im Transit: TLS-Verschlüsselung bereitgestellt durch Infrastrukturanbieter (Vercel, Convex)
Infrastruktur: Convex (EU/Irland) mit ISO 27001, SOC 2 und C5-zertifizierten Rechenzentren
Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) innerhalb der Plattform
Fehler- und Performance-Monitoring: Sentry-basierte Überwachung von Anwendungsfehlern und Performance-Metriken (nur mit Einwilligung)
Geplante Sicherheitsüberprüfungen: Regelmäßige Überprüfung der Sicherheitsmaßnahmen und Infrastruktur mit dem Ziel, formale Penetrationstests einzuführen
Rate Limiting: Schutz vor automatisierten Angriffen auf Authentifizierungsendpunkte
11. Auftragsverarbeitung (Art. 28 DSGVO)
Soweit Auditera AI personenbezogene Daten im Auftrag des Kunden verarbeitet, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Der AVV wird automatisch mit Akzeptanz der AGB bei Registrierung geschlossen und regelt insbesondere:
Gegenstand und Dauer der Verarbeitung
Weisungsgebundenheit und Pflichten des Auftragsverarbeiters
Genehmigte Unterauftragsverarbeiter (siehe Tabelle in Abschnitt 8)
Technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO
Löschung und Rückgabe von Daten nach Vertragsende (innerhalb von 7 Werktagen)
Der vollständige AVV ist als separates Dokument verfügbar und kann unter hello@auditera.de angefordert werden.
12. TTDSG und Cookie-Richtlinie (DDG/TTDSG)
Im Einklang mit dem Digitale-Dienste-Gesetz (DDG, ehemals TMG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG):
Technisch notwendige Cookies (§ 25 Abs. 2 TTDSG): Werden ohne Einwilligung gesetzt (Authentifizierungs-Cookies über Clerk, Framer-Sitzungs-Cookies)
Einwilligungspflichtige Cookies und Technologien (§ 25 Abs. 1 TTDSG): Google Analytics, Sentry-Fehlerüberwachung und Performance-Monitoring werden erst nach ausdrücklicher Einwilligung aktiviert
Cookie-Banner: Auf www.auditera.de werden Sie beim ersten Besuch über den Framer-Cookie-Banner informiert. Auf app.auditera.de erhalten Sie einen separaten Einwilligungsmechanismus.
Sie können Ihre Cookie-Einstellungen jederzeit ändern
Weitere Details finden Sie in unserer separaten Cookie-Richtlinie.
Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen, insbesondere im Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Die für Auditera AI UG (haftungsbeschränkt) zuständige Aufsichtsbehörde ist:
Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 20459 Hamburg
Telefon: +49 40 428 54 4040
E-Mail: mailbox@datenschutz.hamburg.de
Web: https://datenschutz-hamburg.de
Zusätzlich steht es Ihnen frei, sich an die Aufsichtsbehörde Ihres Bundeslandes zu wenden.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen, neue Dienste oder technische Entwicklungen anzupassen. Die aktuelle Version ist stets auf unserer Website verfügbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.
