Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Unternehmen mit Zukunft GmbH
Mamhofener Str. 4
82319 Starnberg
Deutschland

Geschäftsführung und Datenschutzverantwortlicher:
Diplom Informatiker Robert Vogel

Kontakt:
E-Mail: dsgvo@umz.app
Telefon: +49 157 5015 9409
Website: https://unternehmen-mit-zukunft.com/

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung der Plattform und ihrer Funktionen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach ausdrücklicher Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

2.2 Zweck der Datenverarbeitung

Es handelt sich um eine B2B-Plattform für KI-gestützte Aufgabenverwaltung und Agenten-Orchestrierung. Die Datenverarbeitung erfolgt ausschließlich zur:

• Bereitstellung der Plattform-Funktionalität
• Authentifizierung und Zugriffsverwaltung
• KI-gestützten Aufgabenbearbeitung
• Verbesserung der Nutzerfreundlichkeit
• Sicherstellung der IT-Sicherheit

2.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist für die Erfüllung des Nutzungsvertrags erforderlich.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (z.B. IT-Sicherheit).
• Art. 88 DSGVO i.V.m. § 26 BDSG (Beschäftigtendatenschutz): Bei internem B2B-Einsatz gelten Sonderregelungen für Beschäftigtendaten.

2.4 Löschung und Speicherdauer

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur solange, wie dies für den Verarbeitungszweck erforderlich ist oder eine gesetzliche Aufbewahrungsfrist besteht.

• User-Accounts: Solange aktiv; Löschung auf Anfrage oder bei Inaktivität
• Sessions: Nach Ablauf oder Logout; inaktive Sessions nach 30 Tagen
• Audit-Logs: 12 Monate
• Verification Codes: 7 Tage nach Verwendung oder Ablauf
• Task-Daten: Solange für Geschäftszwecke erforderlich

3. Bereitstellung der Website und Logfiles

Bei jedem Aufruf unserer Website erfasst unser System automatisiert technische Daten des aufrufenden Rechners:

1. IP-Adresse des Nutzers (gekürzt)
2. Datum und Uhrzeit des Zugriffs
3. Aufgerufene Seiten und Ressourcen
4. Browser-Typ und -Version
5. Verwendetes Betriebssystem
6. Referrer URL (zuvor besuchte Seite)
7. Hostname des zugreifenden Rechners

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse).
Zweck: Funktionsfähigkeit der Website, IT-Sicherheit, Fehleranalyse, Missbrauchserkennung.
Speicherdauer: Server-Logfiles werden nach 30 Tagen automatisch gelöscht.

4. Registrierung und User-Account

Für die Registrierung werden folgende personenbezogene Daten erhoben:

Pflichtangaben:

• E-Mail-Adresse
• Vollständiger Name
• Passwort (verschlüsselt gespeichert)

Optional:

• Benutzername
• Telefonnummer
• Profilbild (Avatar)

Im Zeitpunkt der Registrierung werden zusätzlich gespeichert: Datum und Uhrzeit der Registrierung, IP-Adresse (für Sicherheitszwecke) und User-Agent (Browser-Information).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei B2B-internem Einsatz zusätzlich Art. 88 DSGVO i.V.m. § 26 BDSG.
Speicherdauer: Löschung bei Account-Löschung, auf Aufforderung oder nach mehr als 2 Jahren Inaktivität.

5. Authentifizierung und Session-Management

Für die Authentifizierung verwenden wir ein JWT-basiertes System (JSON Web Token). Bei erfolgreicher Anmeldung werden Session-Daten verarbeitet: Session-ID, User-ID, Zeitstempel der Anmeldung, Ablaufdatum, IP-Adresse und User-Agent (Sicherheitszweck).

Es werden zwei technisch notwendige Cookies gesetzt (jeweils HttpOnly und Secure, also nicht per JavaScript auslesbar und nur über verschlüsselte Verbindungen übertragen): access_token (2 Stunden Gültigkeit) und refresh_token (7 Tage Gültigkeit).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig).
Speicherdauer: Access-Token 2 Stunden, Refresh-Token 7 Tage, Session bis Logout oder 30 Tage nach letzter Aktivität.
Widerruf: Sie können sich jederzeit abmelden, wodurch die Session beendet und die Tokens ungültig werden.

6. KI-Verarbeitung durch Anthropic Claude (AWS Bedrock EU)

Zur intelligenten Verarbeitung von Aufgaben und zur Unterstützung der Nutzer wird Anthropic Claude eingesetzt. Die KI-Verarbeitung erfolgt über AWS Bedrock in der Europäischen Union, womit alle Daten innerhalb der EU verarbeitet werden.

Übermittelte Daten: Nutzer-Prompts und Aufgabenbeschreibungen, Task-Metadaten, optional Konversations-Kontext sowie technische Metadaten.

Nicht übermittelt werden: E-Mail-Adressen, Passwörter, Zahlungsinformationen, direkte Kontaktdaten.

6.1 EU-basierte Datenverarbeitung

Wir nutzen AWS Bedrock mit EU Inference Profiles für die Anthropic Claude Modelle. Alle Daten bleiben in der Europäischen Union, es findet kein Drittlandtransfer in die USA statt. AWS Bedrock verarbeitet Anfragen über mehrere EU-Regionen (Cross-Region Inference):

• Frankfurt, Deutschland (eu-central-1)
• Irland (eu-west-1)
• Paris, Frankreich (eu-west-3)
• Stockholm, Schweden (eu-north-1)

Die Daten verlassen niemals die EU. Bei Nutzung von EU Inference Profiles finden alle Datenverarbeitungen ausschließlich in den aufgeführten EU-Regionen statt.

6.2 Auftragsverarbeitung

Amazon Web Services EMEA SARL (Luxemburg, EU) agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage des AWS Customer Agreement mit Data Processing Addendum (DPA). AWS verarbeitet Daten ausschließlich nach unseren Weisungen. Die über AWS Bedrock bereitgestellten Anthropic Claude Modelle trainieren nicht auf unseren Daten (Business Use).

6.3 Speicherdauer

Prompts und Antworten werden bei AWS Bedrock nicht dauerhaft gespeichert (nur während der Verarbeitung) und nicht für KI-Training genutzt. Task-Daten bei uns: solange für Geschäftszwecke erforderlich (siehe Abschnitt 11).

7. Online-Status und Echtzeit-Funktionen

Über Socket.io (WebSocket-Technologie) werden Echtzeit-Funktionen bereitgestellt. Verarbeitet werden Online-Status, letzter Aktivitätszeitpunkt, aktueller Bereich und Socket-ID. Diese Daten werden nur während der aktiven Session gespeichert und bei Logout oder Verbindungsabbruch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies. Diese sind für die Funktionalität der Plattform unerlässlich.

Wir verwenden keine Tracking-, Analyse- oder Marketing-Cookies. Da ausschließlich technisch notwendige Cookies zum Einsatz kommen, ist gemäß Art. 6 Abs. 1 lit. b DSGVO und § 25 TTDSG keine Einwilligung erforderlich. Sie können gespeicherte Cookies jederzeit im Browser löschen, wodurch Ihre Login-Session beendet wird.

9. Datensicherheit

Wir setzen umfassende technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

Verschlüsselung

• HTTPS/TLS: Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.2+)
• Passwort-Hashing: bcrypt mit Salt (irreversibel)
• Datenbank: PostgreSQL mit TLS-Verschlüsselung
• Backups: verschlüsselte Speicherung

Zugriffskontrolle

• Multi-Faktor-Authentifizierung für erhöhte Sicherheit verfügbar
• Role-Based Access Control (RBAC): Zugriffsrechte nach Nutzerrolle
• JWT-basierte Sessions: sichere Token-Verwaltung
• Rate Limiting: Schutz vor Brute-Force-Angriffen

Infrastruktur

• Hosting bei der Hetzner Online GmbH in Rechenzentren in Deutschland und Finnland (EU), zertifiziert nach DIN ISO/IEC 27001
• WireGuard VPN: Server sind nicht direkt aus dem Internet erreichbar
• Vollständig selbst gehostete Datenbanken (PostgreSQL für Anwendungsdaten, Qdrant für Vektordaten)
• Aktive Firewall-Überwachung und 24/7 Monitoring

9.2 Backups

• Häufigkeit: täglich (automatisiert)
• Aufbewahrung: 30 Tage
• Verschlüsselt, Speicherort innerhalb der EU

10. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO): Auskunft über Ihre verarbeiteten personenbezogenen Daten, Verarbeitungszwecke, Empfänger, Speicherdauer und Herkunft.
• Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten, über Profil und Einstellungen oder per Kontaktaufnahme.
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Per E-Mail an dsgvo@umz.app, Bearbeitung innerhalb von 30 Tagen.
• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung unter den gesetzlichen Voraussetzungen.
• Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
• Beschwerde (Art. 77 DSGVO): Beschwerde bei einer Datenschutz-Aufsichtsbehörde.

Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Deutschland
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: https://www.lda.bayern.de/

11. Weitere Datenverarbeitungen

11.1 E-Mail-Kommunikation

Bei Kontaktaufnahme per E-Mail verarbeiten wir Ihre Angaben (E-Mail-Adresse, Name, Nachricht) zur Bearbeitung der Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder f DSGVO. Speicherdauer: maximal 3 Jahre, Löschung auf Anfrage oder nach Erledigung.

11.2 Task- und Workspace-Daten

Bei der Nutzung erstellen Sie Tasks, Agenten und Workspaces (Titel, Beschreibungen, Konversationen mit Agenten, hochgeladene Dokumente, Metadaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Sie können diese Inhalte jederzeit selbst löschen.

Wichtig: Bitte übermitteln Sie keine besonders sensiblen Daten (z.B. Gesundheitsdaten, biometrische Daten), es sei denn, dies ist für den Geschäftszweck erforderlich und rechtlich zulässig.

11.3 Admin-Funktionen

Administratoren haben erweiterte Rechte (Nutzerverwaltung, System-Logs, Monitoring). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Administrative Aktionen werden protokolliert.

12. Keine automatisierte Entscheidungsfindung

Wir setzen keine automatisierten Entscheidungsverfahren gemäß Art. 22 DSGVO ein, die für Sie rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Die KI-Verarbeitung dient der Unterstützung Ihrer Arbeit, trifft aber keine automatisierten Entscheidungen über Sie als Person.

13. Keine Profilbildung

Wir erstellen keine Nutzerprofile zu Marketing- oder Tracking-Zwecken. Die Verarbeitung Ihrer Daten dient ausschließlich der Bereitstellung der Plattform-Funktionen.

14. Datenschutz bei Bewerbungen

Sofern Sie sich bei uns bewerben, verarbeiten wir Ihre Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse) zur Prüfung Ihrer Eignung. Rechtsgrundlage: Art. 88 DSGVO i.V.m. § 26 BDSG. Speicherdauer: maximal 6 Monate nach Abschluss des Bewerbungsverfahrens (bei Ablehnung); längere Aufbewahrung (z.B. Talent Pool) nur mit Ihrer Einwilligung.

15. Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten erfolgt nur:

• an Auftragsverarbeiter im Rahmen der genannten Funktionen: AWS Bedrock für die KI-Verarbeitung (Abschnitt 6) und Hetzner Online GmbH für das Hosting (Abschnitt 9)
• bei gesetzlicher Verpflichtung (z.B. Strafverfolgung)
• mit Ihrer ausdrücklichen Einwilligung

Wir verkaufen Ihre Daten niemals an Dritte. Alle Auftragsverarbeiter sind EU-basiert; es erfolgt keine Weitergabe von Daten außerhalb der Europäischen Union.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Bei wesentlichen Änderungen werden Sie per E-Mail informiert oder beim nächsten Login darauf hingewiesen.

Änderungen in Version 1.2:

• Umstellung auf vollständig selbst gehostete Infrastruktur (PostgreSQL und Qdrant auf eigenen Hetzner Servern)
• Einführung WireGuard VPN: Server nicht mehr direkt aus dem Internet erreichbar
• Entfernung externer Cloud-Datenbank-Dienste

Änderungen in Version 1.1:

• Migration auf AWS Bedrock EU für die KI-Verarbeitung
• Entfernung des Drittlandtransfers in die USA, alle Daten verbleiben in der EU

17. Kontakt für Datenschutzanfragen

Diplom Informatiker Robert Vogel
Unternehmen mit Zukunft GmbH
Mamhofener Str. 4, 82319 Starnberg, Deutschland
E-Mail: dsgvo@umz.app
Telefon: +49 157 5015 9409

Reaktionszeit: innerhalb von 30 Tagen (gemäß Art. 12 Abs. 3 DSGVO).

18. Schlussbemerkungen

Diese Datenschutzerklärung entspricht den Anforderungen der DSGVO (EU 2016/679), des BDSG und des TTDSG. Sie ist in deutscher Sprache verfasst, die deutsche Fassung ist maßgeblich.

Stand: 18. Dezember 2025 | Version 1.2 | Unternehmen mit Zukunft GmbH