Datenschutzerklärung

Einleitung und Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie helpful bits GmbH ("wir", "uns" oder "unser") Ihre personenbezogenen Daten erfasst, verwendet und weitergibt, wenn Sie unsere Desktop-Anwendung und zugehörige Dienste nutzen. Diese Richtlinie gilt für alle Nutzer unserer KI-gestützten Workflow-Automatisierungsplattform.

Datenverantwortlicher

Der für Ihre personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) verantwortliche Datenverantwortliche ist:

Datenschutzkontakt: Für Datenschutzanfragen wenden Sie sich bitte an unseren Datenschutzkontakt unter Email.

Räumlicher Geltungsbereich & Geolokalisierungskontrollen

Der Dienst ist nur für Nutzer in den Zugelassenen Regionen vorgesehen: der Europäischen Union/Europäischer Wirtschaftsraum, dem Vereinigten Königreich und den Vereinigten Staaten. Wir verarbeiten grobe Standortdaten (IP-basierte Länderbestimmung), um territoriale und Sanktionsbeschränkungen durchzusetzen.

Standortverarbeitung: Wir verarbeiten Standortdaten auf Grundlage unserer berechtigten Interessen an:

• Einhaltung von Exportkontroll- und Sanktionsgesetzen
• Verhinderung unbefugten Zugriffs aus eingeschränkten Gebieten
• Schutz unseres Dienstes vor betrügerischer Nutzung

Zugriffsverweigerung: Wenn wir feststellen, dass Sie sich außerhalb der Zugelassenen Regionen oder in einer eingeschränkten Rechtsordnung befinden, werden wir den Zugriff verweigern und können damit verbundene personenbezogene Daten gemäß unserer Aufbewahrungsrichtlinie löschen oder minimieren. Wir erheben wissentlich keine personenbezogenen Daten von Einwohnern anderer Länder, außer minimalen technischen Protokollen im Zusammenhang mit blockierten Zugriffsversuchen.

Datenminimierung: Standortdaten werden nur auf Länderebene verarbeitet und nicht für andere Zwecke als territoriale Compliance verwendet. Diese Daten werden für den minimal erforderlichen Zeitraum für Sicherheit und rechtliche Compliance aufbewahrt (typischerweise 30 Tage für Zugriffsprotokolle).

Definitionen

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Speicherung, Nutzung oder Löschung
• Betroffene Person: Die natürliche Person, auf die sich personenbezogene Daten beziehen
• Verantwortlicher: Die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt

Datenkategorien, die wir erfassen

• Kontodaten: E-Mail-Adresse, Benutzername, Authentifizierungsdaten
• Authentifizierungsdaten: Sicher verwaltet über die Auth0-Identitätsplattform
• Abrechnungsdaten: Transaktionsaufzeichnungen, Rechnungsadresse (Zahlungsabwicklung über Stripe)
• Nutzungsdaten: Anonymisierte Anwendungsnutzungsstatistiken, Fehlerberichte
• KI-Interaktionsdaten: Prompts und Workflow-Daten, die an KI-Anbieter gesendet werden, wenn Sie KI-Funktionen nutzen
• Website-Analysen: Seitenaufrufe, Sitzungsdaten (mit Einwilligung)

Desktop-Anwendungsdaten

Unsere Desktop-Anwendung verwendet eine verteilte Architektur, bei der die primäre Datenspeicherung lokal auf Ihrem Gerät erfolgt. Ihre Workflow-Daten, Projektdateien und Konfigurationen bleiben unter Ihrer direkten Kontrolle. Wir scannen, indizieren oder übertragen nicht automatisch den Inhalt Ihres Quellcodes oder Ihrer Projektdateien. Solche Inhalte werden nur verarbeitet, wenn Sie sie explizit zur KI-gestützten Analyse einreichen. Wir können anonymisierte Nutzungsstatistiken und Fehlerberichte erfassen, um die Leistung unseres Dienstes zu verbessern.

Rechtsgrundlage für die Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der folgenden Rechtsgrundlagen gemäß Artikel 6 DSGVO:

• Einwilligung (Art. 6(1)(a) DSGVO): Für optionale Funktionen wie Website-Analysen, Marketing-Kommunikation und nicht-essenzielle Cookies
• Vertragserfüllung (Art. 6(1)(b) DSGVO): Für Dienstleistungserbringung, Kontoverwaltung, Zahlungsabwicklung und Erfüllung unserer vertraglichen Verpflichtungen
• Berechtigte Interessen (Art. 6(1)(f) DSGVO): Für Sicherheitsmaßnahmen, Betrugsprävention, Dienstverbesserung und Schutz unserer Systeme und Nutzer
• Rechtliche Verpflichtung (Art. 6(1)(c) DSGVO): Für Steuer-Compliance, regulatorische Anforderungen und andere rechtliche Verpflichtungen

Wo wir uns auf berechtigte Interessen stützen, haben wir unsere Interessen sorgfältig gegen Ihre Rechte und Freiheiten abgewogen und sichergestellt, dass Ihre Interessen unsere berechtigten Geschäftsinteressen nicht überwiegen.

Desktop-Anwendung

Unsere Desktop-Anwendung ist mit einer hybriden Architektur konzipiert, die lokale Datenspeicherung mit cloudbasierter KI-Verarbeitung kombiniert:

• Lokale Datenspeicherung: Ihre Workflow-Sitzungen, Verlauf und Anwendungskonfigurationen bleiben lokal auf Ihrem Gerät gespeichert
• Begrenzte Übertragung: Wir übertragen keine Projektinhalte, außer wenn Sie sie in Prompts senden oder Diagnose aktivieren. Begrenzte technische Metadaten (z. B. Gerät, Version, Netzwerk) können für Sicherheit/Updates gesendet werden
• Optionale Telemetrie: Wir können anonymisierte Nutzungsstatistiken und Fehlerberichte erfassen, um die Anwendungsleistung zu verbessern. Sie können die Telemetrie-Erfassung in den Anwendungseinstellungen deaktivieren
• Datenminimierung: Nur wesentliche Daten, die für die KI-Verarbeitung erforderlich sind, werden übertragen, wenn Sie KI-Funktionen nutzen

Lokale Daten: Ihre Projektdateien, Sitzungsverlauf, Anwendungseinstellungen und alle Inhalte, die nicht explizit zur KI-Verarbeitung eingereicht werden, verbleiben auf Ihrem Gerät.

Datenübertragung: Wenn Sie KI-gestützte Funktionen innerhalb des Dienstes nutzen, werden die von Ihnen explizit zur Verarbeitung ausgewählten Inhalte an Drittanbieter-KI-Dienstleister übertragen. Zusätzlich können wir anonymisierte Fehlerberichte (falls aktiviert), Nutzungsanalysen (vorbehaltlich Ihrer Einwilligung) und begrenzte technische Metadaten erfassen, die für Sicherheit und Service-Updates erforderlich sind.

Weitergabe und Auftragsverarbeiter

Wir arbeiten mit vertrauenswürdigen Drittanbieter-Dienstleistern (Auftragsverarbeitern) zusammen, um unsere Dienste zu erbringen. Wir verkaufen oder teilen keine personenbezogenen Informationen gemäß dem California Privacy Rights Act (CPRA). Unsere Auftragsverarbeiter umfassen:

• Stripe: Zahlungsabwicklung
• KI-Dienstanbieter: OpenAI, Google AI, xAI, OpenRouter (für KI-Funktionsverarbeitung)
• Analysen: Website-Analyseanbieter (mit Einwilligung)

Für eine vollständige und aktuelle Liste unserer Auftragsverarbeiter und deren Standorte besuchen Sie bitte unsere Subprocessors-Seite.

Drittanbieter-KI-Provider

Wenn Sie KI-Funktionen in unserer Anwendung nutzen, können Ihre Prompts und zugehörigen Daten von Drittanbieter-KI-Dienstleistern verarbeitet werden. Wichtige Details zur KI-Datenverarbeitung:

• Nutzung von Trainingsdaten: Wir konfigurieren Drittanbieter-KI-Provider so, dass das Training deaktiviert wird, wo verfügbar, und Ihre Daten nur zur Bereitstellung des Dienstes verwendet werden. Provider können begrenzte Protokolle für Betrug, Missbrauch oder Sicherheit für kurze Zeiträume gemäß ihren Richtlinien aufbewahren
• Datenminimierung: Nur die Inhalte, die Sie explizit in Prompts einschließen, werden an KI-Anbieter gesendet
• Begrenzte Aufbewahrung: Provider können kurzfristige Protokolle für Betrug, Missbrauch oder Sicherheit gemäß ihren Richtlinien aufbewahren; wir konfigurieren, um Training zu deaktivieren, wo verfügbar, und die Nutzung auf die Bereitstellung des Dienstes zu beschränken

Datenschutzerklärungen der KI-Anbieter

• OpenAI: Datenschutzerklärung
• Google Gemini: Datenschutzerklärung
• OpenRouter: Datenschutzerklärung
• xAI: Datenschutzerklärung

Für die vollständige und aktuelle Liste der KI-Anbieter, mit denen wir zusammenarbeiten, besuchen Sie bitte unsere Subprocessors-Seite.

Internationale Übermittlungen

Ihre personenbezogenen Daten können in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt und dort verarbeitet werden, insbesondere bei der Nutzung von KI-Dienstanbietern und anderen Drittanbieter-Auftragsverarbeitern. Wir stellen sicher, dass für alle internationalen Übermittlungen angemessene Schutzmaßnahmen vorhanden sind:

• Angemessenheitsbeschlüsse: Wir stützen uns auf Angemessenheitsbeschlüsse der Europäischen Kommission, wo verfügbar, für Länder, die als angemessenen Schutz bietend gelten
• Standardvertragsklauseln (SCCs): Wir verwenden EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) mit Auftragsverarbeitern in nicht-angemessenen Drittländern
• Ergänzende Maßnahmen: Wir implementieren zusätzliche technische und organisatorische Maßnahmen gemäß EDPB-Empfehlung 01/2020, um einen wirksamen Schutz zu gewährleisten
• Regelmäßige Überprüfung: Wir überprüfen und aktualisieren die Schutzmaßnahmen (SCCs/Angemessenheit plus ergänzende Maßnahmen) bei Bedarf regelmäßig

Für detaillierte Informationen über unsere aktuellen Auftragsverarbeiter, deren Standorte und die spezifischen vorhandenen Schutzmaßnahmen besuchen Sie bitte unsere Subprocessors-Seite.

Datenaufbewahrungsfristen

Wir bewahren personenbezogene Daten nur so lange auf, wie es für die in dieser Richtlinie dargelegten Zwecke erforderlich ist oder gesetzlich vorgeschrieben:

Kriterien zur Bestimmung der Aufbewahrung: Wo bestimmte Fristen nicht festgelegt sind, bestimmen wir die Aufbewahrung basierend auf: (1) dem Zweck, für den Daten erhoben wurden, (2) rechtlichen Verpflichtungen, (3) Verjährungsfristen für rechtliche Ansprüche und (4) branchenüblichen Best Practices.

Sicherheitsmaßnahmen

Wir implementieren branchenübliche technische und organisatorische Sicherheitsmaßnahmen zum Schutz Ihrer personenbezogenen Daten:

• Verschlüsselung: TLS 1.3 für Daten bei der Übertragung, AES-256-Verschlüsselung für ruhende Daten
• Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (RBAC) mit dem Prinzip der geringsten Privilegien
• Authentifizierung: Multi-Faktor-Authentifizierung verfügbar über Auth0
• Überwachung: 24/7-Sicherheitsüberwachung und Intrusion Detection-Systeme
• Regelmäßige Audits: Vierteljährliche Sicherheitsbewertungen und jährliche Penetrationstests
• Mitarbeiterschulung: Jährliche Sicherheitsbewusstseinsschulung für alle Mitarbeiter
• Incident Response: Dokumentierter Incident Response-Plan mit 72-Stunden-Meldung von Datenschutzverletzungen
• Physische Sicherheit: Sichere Rechenzentren mit Unternehmensschutz

Obwohl wir robuste Sicherheitsmaßnahmen implementieren, ist keine Methode der elektronischen Übertragung oder Speicherung zu 100% sicher. Wir können absolute Sicherheit nicht garantieren, verpflichten uns aber, Sie unverzüglich über eine Verletzung zu benachrichtigen, die Ihre Rechte und Freiheiten beeinträchtigen könnte.

Ihre Rechte

Gemäß der DSGVO und anderen anwendbaren Datenschutzgesetzen haben Sie die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

• Auskunftsrecht: Informationen über die Verarbeitung Ihrer personenbezogenen Daten erhalten und eine Kopie Ihrer Daten erhalten
• Recht auf Berichtigung: Unrichtige oder unvollständige personenbezogene Daten korrigieren
• Recht auf Löschung: Löschung personenbezogener Daten beantragen ("Recht auf Vergessenwerden") unter bestimmten Umständen
• Recht auf Einschränkung der Verarbeitung: Verarbeitung in bestimmten Situationen einschränken
• Recht auf Datenübertragbarkeit: Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten
• Widerspruchsrecht: Der Verarbeitung auf Grundlage berechtigter Interessen oder für Direktmarketingzwecke widersprechen
• Recht auf Widerruf der Einwilligung: Einwilligung widerrufen, wenn die Verarbeitung auf Einwilligung basiert, ohne die Rechtmäßigkeit der Verarbeitung vor dem Widerruf zu beeinträchtigen
• Recht auf Beschwerde: Beschwerde bei einer Aufsichtsbehörde einlegen, wenn Sie glauben, dass Ihre Rechte verletzt wurden
• Rechte im Zusammenhang mit automatisierter Entscheidungsfindung: Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung oder ähnlich erhebliche Auswirkungen auf Sie hat

Wie Sie Ihre Rechte ausüben können

Kontaktieren Sie uns unter Email mit Ihrem Anliegen. Wir werden innerhalb von einem Monat nach Erhalt Ihres Antrags antworten, wie es gemäß DSGVO Artikel 12(3) erforderlich ist. In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden.

Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei Ihrer örtlichen Datenschutzbehörde einzulegen. In Deutschland können Sie sich an folgende Stelle wenden:

Detaillierte Rechtsgrundlage für die Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten nur, wenn wir eine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO haben:

Cookies und Tracking

Unsere Website verwendet Cookies und ähnliche Technologien in Übereinstimmung mit §25 TDDDG (Deutsches Telekommunikation-Telemedien-Datenschutz-Gesetz) und der DSGVO:

• Einwilligungsbasierte Verarbeitung: Nicht-essenzielle Cookies und Drittanbieter-SDKs werden NUR geladen, nachdem Sie eine Opt-in-Einwilligung über unser Einwilligungsbanner erteilt haben
• Keine vorausgewählten Kästchen: Unsere Einwilligungsoberfläche verwendet keine vorausgewählten Optionen - alle Einwilligungen müssen aktiv erteilt werden
• Unbedingt erforderliche Cookies: Essenzielle Cookies, die für die Website-Funktionalität erforderlich sind (wie Sitzungsverwaltung und Sicherheit), sind von Einwilligungsanforderungen gemäß §25 TDDDG ausgenommen
• Einwilligung widerrufen: Sie können Ihre Einwilligung jederzeit über Ihre Browsereinstellungen oder durch Klicken auf die Schaltfläche "Cookie-Einstellungen verwalten" unten widerrufen

Arten von Cookies, die wir verwenden

• Erforderlich: Authentifizierung, Sicherheit und Kernfunktionalität der Website
• Analysen: Website-Leistung und Nutzungsstatistiken (erfordert Einwilligung)
• Funktional: Erweiterte Benutzererfahrungsfunktionen (erfordert Einwilligung)
• Marketing: Marketing- und Werbe-Cookies (erfordert Einwilligung)

Datenschutz für Kinder

Unsere Dienste sind nicht für Personen unter 18 Jahren bestimmt. Wir erfassen wissentlich keine personenbezogenen Informationen von Personen unter 18 Jahren. Wenn wir erfahren, dass wir personenbezogene Informationen von jemandem unter 18 Jahren erfasst haben, werden wir Schritte unternehmen, um solche Informationen unverzüglich zu löschen.

Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen in unseren Praktiken oder geltenden Gesetzen widerzuspiegeln. Wir werden Sie über wesentliche Änderungen benachrichtigen, indem wir die aktualisierte Richtlinie auf unserer Website veröffentlichen und das Gültigkeitsdatum aktualisieren. Ihre fortgesetzte Nutzung unserer Dienste nach solchen Änderungen gilt als Annahme der aktualisierten Richtlinie.

Kontaktieren Sie uns

Wenn Sie Fragen zu dieser Datenschutzerklärung oder unseren Datenpraktiken haben, kontaktieren Sie uns bitte unter Email. Sie haben auch das Recht, eine Beschwerde bei Ihrer örtlichen Datenschutzbehörde einzureichen, wenn Sie der Meinung sind, dass Ihre Rechte verletzt wurden.

Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir Sie unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, soweit möglich und wie von der DSGVO gefordert. Benachrichtigungen erfolgen per E-Mail an Ihre registrierte Adresse oder durch prominenten Hinweis auf unserer Website.

CPRA-Compliance

Einwohner Kaliforniens haben zusätzliche Rechte gemäß dem California Privacy Rights Act (CPRA). Sie können diese Rechte ausüben, indem Sie uns unter Email kontaktieren.

Zusätzliche kalifornische Rechte

• Auskunftsrecht: Informationen über die Kategorien und spezifischen personenbezogenen Informationen, die erfasst wurden
• Recht auf Löschung: Löschung personenbezogener Informationen beantragen, vorbehaltlich bestimmter Ausnahmen
• Recht auf Berichtigung: Berichtigung ungenauer personenbezogener Informationen beantragen
• Widerspruchsrecht: Dem Verkauf oder der Weitergabe personenbezogener Informationen widersprechen
• Recht auf Nicht-Diskriminierung: Nicht diskriminiert werden, weil Sie Ihre Datenschutzrechte ausüben

Nicht verkaufen oder teilen

Wir verkaufen oder teilen keine personenbezogenen Informationen wie vom CPRA definiert. Wir verwenden Ihre personenbezogenen Informationen nicht für kontextübergreifende verhaltensbasierte Werbung. Sollten sich unsere Praktiken in Zukunft ändern:

• Wir werden diese Richtlinie aktualisieren und angemessene Opt-out-Mechanismen bereitstellen
• Wir werden Global Privacy Control (GPC)-Signale als Opt-out-Methode respektieren
• Wir werden mindestens zwei Methoden zum Opt-out von Verkäufen oder Weitergaben bereitstellen

Opt-out-Methoden

Obwohl wir derzeit keine personenbezogenen Informationen verkaufen oder teilen, können kalifornische Einwohner bei Bedarf in der Zukunft mit diesen Methoden widersprechen:

• Senden Sie uns eine E-Mail an Email
• Verwenden Sie Global Privacy Control (GPC)-Browsereinstellungen, die wir respektieren werden