RECHTLICHES · DSGVO / ART. 13/14

Datenschutzerklärung

STAND · 6. JUNI 2026 · VERARBEITUNG GEMÄSS DSGVO

01 · VERANTWORTLICHER

1. Verantwortlicher

Sebastian Fürst
Fürst Data Solution (Einzelunternehmen)
c/o Impressumservice Dein-Impressum
Stettiner Straße 41
35410 Hungen, Deutschland
E-Mail: privacy@oros.bi
Telefon: 0157 9234 1658 (betreute Weiterleitungsnummer von Dein-Impressum)

Rollenverteilung: Gegenüber den eigenen Nutzer- und Login-Konten unserer Kunden (Tenant-Mitglieder) sind wir Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Gegenüber den im Rahmen der Auftragsverarbeitung verarbeiteten Endkunden- daten (CSV-/API-Uploads der Tenants) sind wir Auftragsverarbeiter nach Art. 28 DSGVO. Für die Auftragsverarbeitung gilt ein gesonderter AVV zwischen Oros.BI und dem jeweiligen Kunden (Tenant).

02 · EU-HOSTING

2. Hosting in der EU

Oros.BI wird ausschließlich in Rechenzentren innerhalb der Europäischen Union betrieben (Contabo GmbH, Rechenzentrum Frankfurt am Main, Deutschland). Die Verarbeitung erfolgt auf Basis von Auftragsverarbeitungs­verträgen gemäß Art. 28 DSGVO. Eine vollständige Liste der Auftrags­verarbeiter finden Sie in Abschnitt 7.

Hinweis zu LLM-Anbietern: Die für KI-gestützte Verarbeitung eingesetzten Anbieter (OpenAI Ireland Ltd., Anthropic Ireland Ltd.) sind EU-Niederlassungen mit Geschäftssitz in Irland. Die jeweiligen Konzernmütter sitzen in den USA. Ein Transfer personenbezogener Daten in die USA wird im Rahmen der Verarbeitung vertraglich und technisch abgesichert bzw. ausgeschlossen — durch EU-Data-Residency-Konfiguration sowie vertragliche Zero-Data-Retention- und Standard-Vertragsklauseln (SCC nach EU-Beschluss 2021/914). Sämtliche Inhalte werden vor jedem KI-Aufruf durch unseren PII-Shield maskiert (siehe DPIA §4).

03 · DATENKATEGORIEN

3. Welche Daten wir verarbeiten

  • Account-Daten: E-Mail, Passwort-Hash (bcrypt, Cost-Faktor 12), Tenant-Zuordnung, Rolle, MFA-Secret (verschlüsselt). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
  • Hochgeladene Daten: CSV-/API-Datensätze, die durch Sie als Tenant zur Verarbeitung eingespeist werden. Diese Daten gelten als Auftragsdaten gemäß Art. 28 DSGVO. Ein gesonderter AVV ist mit jeder Agentur zu schließen.
  • Telemetrie: Job-Logs (Status, Dauer, Repair-Counts), pseudonymisiert. Keine PII in Logs (siehe auch unsere PII-Shield-Architektur).
  • Cookies: Ausschließlich strikt notwendige Cookies (Refresh-Token als HttpOnly-Cookie, CSRF-Token, Cookie-Banner-Auswahl). Es findet kein Tracking, keine Reichweitenmessung und kein Drittanbieter-Cookie statt.
04 · COOKIES

4. Cookies und lokale Speicherung

Wir setzen ausschließlich Cookies ein, die für den Betrieb der Anwendung erforderlich sind:

NameZweckLaufzeit
refresh_tokenSession-Erneuerung (HttpOnly, Secure)7 Tage
csrf_tokenCross-Site-Request-Forgery-Schutz7 Tage
oros-consentCookie-Banner-Auswahl persistieren (localStorage)bis Widerruf
05 · RECHTSGRUNDLAGEN

5. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Account, Job-Verarbeitung)
  • Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtungen (Buchhaltung)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Sicherheits-Logs)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (sofern für optionale Funktionen explizit eingeholt)
06 · SPEICHERDAUER

6. Speicherdauer

  • Account-Daten: Löschung 30 Tage nach Vertragsende.
  • Hochgeladene Auftragsdaten: gemäß tenant-spezifischer Retention-Policy, Default 90 Tage nach letztem Job; Löschung oder Anonymisierung.
  • Pipeline-Artefakte (Cleaning-Audit-Logs): 90 Tage rollend.
  • Request-Logs / Telemetrie: 30 Tage rollend.
  • Sicherheitsvorfall-Logs: bis zu 12 Monate.
  • Audit-Log-Einträge: 12 Monate.
  • Steuerlich relevante Daten (Rechnungen): 10 Jahre gemäß § 257 HGB.
07 · SUB-DIENSTLEISTER

7. Auftragsverarbeitung — Sub-Dienstleister

Für den Betrieb von Oros.BI nutzen wir folgende Auftragsverarbeiter:

  • Contabo GmbH (DE) — Hosting & Infrastruktur
  • OpenAI Ireland Ltd. (IE/EU) — LLM-Verarbeitung; nur maskierte Eingaben (PII-Shield)
  • Anthropic Ireland Ltd. (IE/EU) — LLM-Verarbeitung; optional, nur maskierte Eingaben
  • Mistral AI (FR/EU) — EU-LLM-Verarbeitung; geplant, noch nicht aktiv; künftig nur maskierte Eingaben
  • Stripe Payments Europe Ltd. (IE/EU) — Zahlungsabwicklung, Billing
  • Postmark / ActiveCampaign (EU-Region) — transaktionaler E-Mail-Versand (z. B. Bestätigungs-/System-Mails); US-Muttergesellschaft, abgesichert über SCC

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Änderungen werden den vertraglich gebundenen Tenants gemäß AVV §7 mindestens 30 Tage vor Wirksamwerden mitgeteilt. Die jeweils aktuelle Fassung der Sub-Processor-Liste ist auf Anfrage über privacy@oros.bi erhältlich.

08 · BETROFFENENRECHTE

8. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung oder Löschung (Art. 16/17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen richten Sie bitte an privacy@oros.bi. Wir bearbeiten Auskunfts-, Berichtigungs-, Lösch- und Datenübertragbarkeits­anfragen innerhalb der gesetzlichen Frist von 30 Tagen (Art. 12 Abs. 3 DSGVO). Bei Anträgen auf Datenübertragbarkeit (Art. 20 DSGVO) liefern wir die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV).

09 · AUTOMATISIERTE ENTSCHEIDUNG

9. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Wir setzen KI-gestützte Verarbeitung zur Datenklassifikation, -bereinigung und Dashboard-Generierung ein. Diese Entscheidungen sind technischer Natur (Schema-Mapping, Duplikat-Erkennung, KPI-Aggregation) und entfalten keine rechtlichen Wirkungen für die betroffenen Personen im Sinne von Art. 22 Abs. 1 DSGVO. Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung findet nicht statt.

10 · SSL / TLS

10. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung (Let's Encrypt). Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in der Adresszeile Ihres Browsers.

11 · AUFSICHTSBEHÖRDE

11. Aufsichtsbehörde

Zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
www.lda.brandenburg.de

Siehe auch: Impressum · AGB