Deutsch
Datenschutzhinweise
AUVY Cortex — In-Product
AUVY GmbH · Am Haag 8 · 82166 Gräfelfing · HRB 311039 (AG München) · USt-IdNr. DE461400892
Datenschutz: privacy@auvy.ai · Sicherheit: security@auvy.ai · Allgemein: contact@auvy.ai
Stand: 18. Mai 2026
Geltung für Privatkunden (B2C): Bei Verträgen mit Verbrauchern i.S.v. § 13 BGB besteht keine Auftragsverarbeitung. AUVY ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO für alle in diesem Rahmen verarbeiteten personenbezogenen Daten — einschließlich der vom Verbraucher in seinen persönlichen Workspace eingebrachten Inhalte. Die unten beschriebenen Zwecke, Rechtsgrundlagen, Speicherdauern, Empfänger und Betroffenenrechte gelten entsprechend; an die Stelle der AVV tritt diese Hinweise als alleinige Verarbeitungsgrundlage. Berufsgeheimnissträger-Daten (§ 203 StGB) bleiben für Verbraucher-Verträge untersagt (siehe § 6).
§ 1 Zweck dieser Hinweise
Diese Datenschutzhinweise informieren Sie nach Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten durch die AUVY GmbH („AUVY"), wenn Sie Cortex als Endnutzer:in Ihres Workspaces nutzen.
Diese Hinweise gelten zusätzlich zu den AGB – AUVY Cortex sowie zur AVV; bei Konflikten gehen die individualvertraglichen Regelungen vor.
§ 2 Verantwortlicher und Kontaktdaten
Verantwortlicher für die in diesen Hinweisen beschriebenen Verarbeitungstätigkeiten ist:
AUVY GmbH · Am Haag 8 · 82166 Gräfelfing · Deutschland
Vertreten durch die Geschäftsführer Achim Ströbel und Patrick Schröppel.
Datenschutz: privacy@auvy.ai
Sicherheit: security@auvy.ai
Allgemein: contact@auvy.ai
Einen externen Datenschutzbeauftragten haben wir derzeit nicht benannt.
§ 3 Rollenverteilung im Detail
| Datenkategorie | AUVY-Rolle | Rechtsverhältnis |
|---|---|---|
| Workspace-Inhalte, Prompts, hochgeladene Dateien, KI-Outputs („Customer Data“) | Auftragsverarbeiter bei B2B-Workspaces; Verantwortlicher bei B2C-Verbraucher-Workspaces | AVV (B2B) bzw. diese Hinweise (B2C) |
| Account-Stammdaten (Name, E-Mail, Workspace-Rolle) | Verantwortlicher | diese Hinweise |
| Authentifizierung, MFA-Faktoren, Sitzungs-Tokens | Verantwortlicher | diese Hinweise |
| Abrechnungs- und Vertragsdaten | Verantwortlicher | diese Hinweise |
| Sicherheits-, Audit- und Diagnose-Logs zum Betrieb der Plattform | Verantwortlicher | diese Hinweise |
| Telemetrie zur Stabilität der Plattform (pseudonymisiert) | Verantwortlicher | diese Hinweise |
Die folgenden Abschnitte beschreiben ausschließlich die Verarbeitungstätigkeiten, in denen AUVY Verantwortlicher ist. Für die Auftragsverarbeitung von Customer Data gilt die AVV.
§ 4 Verarbeitungstätigkeiten und Rechtsgrundlagen
§ 4.1 Account-Anlage und Authentifizierung
Daten: Name, E-Mail-Adresse, Passwort-Hash, MFA-Faktoren (TOTP-Geheimnis bzw. WebAuthn-Schlüssel), Workspace-Zugehörigkeit und -Rolle.
Zweck: Bereitstellung des Dienstes, Zugangskontrolle, Identitätsprüfung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f DSGVO (berechtigtes Interesse an sicherer Authentifizierung).
§ 4.2 Workspace-Verwaltung
Daten: Workspace-Name, Mitgliedschaften, Rollen, Einstellungen, Lizenz-Zuteilungen.
Zweck: Konfiguration und Verwaltung des Kunden-Workspaces.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
§ 4.3 KI-Inferenz und Customer-Data-Verarbeitung
Die inhaltliche KI-Inferenz auf Customer Data erfolgt im Rahmen der Auftragsverarbeitung; insoweit ist der Kunde Verantwortlicher und AUVY Auftragsverarbeiter (siehe AVV).
Für betriebliche Telemetrie der Inferenz-Pipeline (Latenzen, Modell-Routing, Fehler) erfasst AUVY pseudonymisierte Metadaten als Verantwortlicher zur Sicherstellung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO). Inhalte selbst fließen nicht in diese Telemetrie.
§ 4.4 Sicherheits- und Audit-Logs
Daten: Login-Events, Auth-Erfolge/-Fehlschläge, Geo-IP, User-Agent, sicherheitsrelevante Aktionen (Workspace-Settings, Rollenwechsel, Token-Erstellung).
Zweck: Schutz vor unbefugtem Zugriff, Nachvollziehbarkeit, Erfüllung Sicherheitspflichten gegenüber Kunden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit) i. V. m. Art. 32 DSGVO.
§ 4.5 Abrechnung und Vertragsverwaltung
Daten: Vertragspartner-Stammdaten, Rechnungsdaten, Zahlungsbelege, Akzeptanz-Logs der AGB/AUP-Versionen.
Zweck: Rechnungsstellung, Steuerpflichten, Beweisbarkeit der AGB-Einbeziehung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), lit. c DSGVO (gesetzliche Pflichten, insbes. § 14 UStG, §§ 147 AO, 257 HGB).
Zahlungsabwicklung: Stripe Payments Europe Ltd., Irland.
§ 4.6 Support und Kommunikation
Daten: Inhalte Ihrer Anfragen, Kontaktdaten, ggf. Workspace-IDs zur Reproduktion.
Zweck: Bearbeitung von Support-Anfragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
§ 4.7 Produktverbesserung
Daten: ausschließlich anonymisierte und aggregierte Nutzungsstatistiken (z. B. Anzahl aktiver Sitzungen, Feature-Nutzung).
Zweck: Stabilität und Weiterentwicklung der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Wichtig: Customer Data wird nicht zu Produktverbesserungs- oder Trainingszwecken verwendet (siehe § 5).
§ 4.8 Kundenseitig aktivierte Integrationen (AUVY Connect)
Wenn Sie Drittanbieter-Integrationen über AUVY Connect aktivieren, verarbeitet AUVY Verbindungsmetadaten, OAuth-Tokens sowie Tool-Anfrage- und -Antwortdaten, die für den Betrieb der Integration erforderlich sind. Der verbundene Drittanbieter kann Daten unter eigenen Bedingungen als eigenständiger Empfänger verarbeiten.
Zweck: Bereitstellung der von Ihnen im Workspace ausdrücklich verbundenen Integrationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im OAuth-Flow).
Empfänger: der verbundene Dienst und die für Connect erforderliche Infrastruktur (siehe Subprozessoren-Register). AUVY betreibt keine Drittanbieter-Integrations-Marktplatz-Weiterverkaufslösung; Verbindungen laufen über die eigene Connect-Schicht von AUVY.
§ 5 KI-spezifische Verarbeitung
(1) Kein Training mit Kundendaten. AUVY verwendet Customer Data und KI-Outputs nicht zum Training oder zur Feinabstimmung eigener oder fremder KI-Modelle.
(2) Vertragliche Zusicherungen der Modellanbieter. AUVY setzt KI-Modelle in der Regel über AWS Bedrock (EU Frankfurt) und Microsoft Azure OpenAI (EU Frankfurt und Schweden) ein. Die Anbieter sind vertraglich verpflichtet, eingegebene Inhalte nicht zum Modelltraining zu verwenden.
(3) Speicherdauer KI-Inferenz. Inhalte einer Inferenz werden bei den Modellanbietern entsprechend deren vertraglichen Zusagen kurzzeitig (typischerweise wenige Stunden) zur Missbrauchsprüfung gehalten oder direkt verworfen.
(4) Transparenz nach Art. 50 EU-KI-Verordnung. AUVY weist Sie im Onboarding und in der Benutzeroberfläche darauf hin, dass Sie mit einem KI-System interagieren. Die Verantwortung für ggf. weitergehende Kennzeichnungspflichten gegenüber Endkunden des Kunden liegt beim Kunden.
(5) Hochrisiko-KI. Cortex ist standardmäßig nicht für Hochrisiko-Anwendungsfälle nach Anhang III KI-VO freigegeben; siehe AUP, § 6.
§ 6 Berufsgeheimnisträger und besondere Datenkategorien
(1) Die Eingabe von besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO durch den Kunden ist nur zulässig, wenn der Kunde über eine wirksame Rechtsgrundlage verfügt und AUVY vorab informiert wurde (siehe AUP § 7).
(2) Die Verarbeitung von Berufsgeheimnisträger-Daten im Sinne von § 203 StGB (insbesondere Daten von Mandant:innen, Patient:innen oder vergleichbaren Anvertrauenden bei Ärzt:innen, Rechtsanwält:innen, Steuerberater:innen, Notar:innen, Psychotherapeut:innen) ist in Cortex nur dann zulässig, wenn die Verschwiegenheitsklausel des § 12 AVV beidseitig in Textform aktiviert wurde — d. h. Textform-Bestätigung des Kunden und Textform-Gegenbestätigung von AUVY, dass die nach § 12 Abs. 3 AVV erforderlichen Verpflichtungen der Beschäftigten und Subprozessoren vorliegen.
Solange diese beidseitige Aktivierung nicht erfolgt ist, ist die Eingabe von Berufsgeheimnisträger-Daten untersagt. Eine technische Freischaltung im Produkt existiert nicht; die Zulässigkeit ergibt sich ausschließlich aus der vertraglichen Aktivierung. Da die Voraussetzungen der Gegenbestätigung organisatorisch aufwendig sind, ist die Aktivierung faktisch Enterprise-Kunden vorbehalten.
§ 7 Empfänger und Subprozessoren
(1) Im Rahmen des Cortex-Betriebs setzt AUVY folgende Subprozessoren ein — sowohl für Customer Data (auftragsverarbeitend) als auch für Verantwortlichen-Daten (Auftragsverarbeitung im engeren Sinn nach Art. 28 DSGVO):
| Anbieter | Zweck | Standort |
|---|---|---|
| AWS EMEA SARL | Compute, Speicher, KI-Inferenz (Bedrock) | EU (Frankfurt) |
| Microsoft Ireland | KI-Inferenz (Azure OpenAI) | EU (Frankfurt, Schweden) |
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) |
| Railway Corp. | Backend-/API-Hosting | EU (Amsterdam) |
| Vercel Inc. | Frontend-/Edge-Hosting | EU (Frankfurt), Global Edge |
| PostHog Inc. | Produkt-Telemetrie (pseudonymisiert) | EU |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Steuerlogik | EU (Irland) |
| Resend Inc. | Transaktions-Mails (Login, Bestätigungen) | EU |
| Gladia SAS | Spracherkennung und Audio-Transkription (Voice-Features) | EU (Frankreich) |
(2) Die jeweils aktuelle Liste mit Update-Datum ist unter trust.auvy.ai/subprocessors abrufbar. Änderungen werden mindestens 30 Tage im Voraus angekündigt; Widerspruchsrechte richten sich nach der AVV.
(3) Eine Weitergabe an Behörden erfolgt nur bei zwingender gesetzlicher Verpflichtung.
§ 8 Drittlandtransfer
Soweit personenbezogene Daten in Drittländer übermittelt werden, stützt AUVY den Transfer auf:
das EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist;
die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) gemäß Modul 2/3;
ergänzende technische und organisatorische Garantien (Verschlüsselung, Zugriffsbeschränkungen, EU-Region-Pinning wo angeboten).
Kopien der einschlägigen Garantien sind über privacy@auvy.ai erhältlich.
§ 9 Speicherdauer
| Datenkategorie | Aufbewahrung |
|---|---|
| Account-Stammdaten | solange das Nutzerkonto besteht; Sperre bzw. Löschung nach 30 Tagen ab Vertragsende des Workspaces |
| Authentifizierungs-Tokens | nur solange Sitzung aktiv ist; max. nach abgelaufener Token-Lifetime |
| Customer Data (Workspace-Inhalte) | gemäß AVV; Export- und Löschfunktionen im Produkt; endgültige Löschung 30 Tage nach Vertragsende |
| Sicherheits-/Audit-Logs | typischerweise 12 Monate; sicherheitsrelevante Verlängerung im Einzelfall |
| Telemetrie/Diagnose | pseudonymisiert; bis zu 90 Tage personenbeziehbar, danach aggregiert/anonymisiert |
| Vertrags- und Rechnungsdaten | 10 Jahre (§§ 147 AO, 257 HGB) |
| AGB-/AUP-Akzeptanz-Logs | 10 Jahre als Beweismittel der Vertragseinbeziehung |
§ 10 Sicherheitsmaßnahmen
AUVY trifft angemessene technische und organisatorische Maßnahmen, insbesondere:
TLS 1.2+ in Transit · AES-256 at-rest;
MFA-Unterstützung, RBAC, logische Mandantentrennung;
tägliche verschlüsselte Backups;
zentrale Audit-Logs;
dokumentierter Incident-Response-Prozess inkl. Meldewege gemäß Art. 33 DSGVO und Vertragspflichten.
Vollständige TOMs siehe AVV, Anlage 3.
§ 11 Ihre Rechte als betroffene Person
(1) Soweit AUVY Verantwortlicher ist (siehe § 3), haben Sie folgende Rechte:
Auskunft (Art. 15 DSGVO),
Berichtigung (Art. 16 DSGVO),
Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen,
Einschränkung der Verarbeitung (Art. 18 DSGVO),
Datenportabilität (Art. 20 DSGVO),
Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO),
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
(2) Soweit AUVY Auftragsverarbeiter ist (Customer Data), wenden Sie sich bitte zunächst an Ihren Workspace-Administrator bzw. den Vertragspartner Ihres Unternehmens, der als Verantwortlicher die Anfrage bearbeitet. AUVY unterstützt den Verantwortlichen gemäß Art. 28 Abs. 3 DSGVO.
(3) Anfragen direkt an AUVY: privacy@auvy.ai. Zum Schutz vor Missbrauch können wir zusätzliche Identitätsnachweise verlangen.
§ 12 Beschwerderecht
Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere bei der zuständigen Behörde am Sitz von AUVY:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18 · 91522 Ansbach · lda.bayern.de
§ 13 Automatisierte Entscheidungen
AUVY trifft im Cortex-Produkt keine ausschließlich automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO gegenüber den Endnutzer:innen. KI-generierte Outputs sind unverbindliche Vorschläge, deren Verwendung in der Verantwortung des Kunden liegt; siehe AGB § 14.
§ 14 Änderungen dieser Hinweise
AUVY passt diese Hinweise an, wenn sich rechtliche Rahmenbedingungen oder Verarbeitungstätigkeiten ändern. Wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail oder im Produkt angekündigt.
§ 15 Kontakt
Datenschutz-Anfragen: privacy@auvy.ai
Sicherheitsmeldungen: security@auvy.ai
Allgemein: contact@auvy.ai