1. Verantwortlicher
Sebastian Fürst
Fürst Data Solution (Einzelunternehmen)
c/o Impressumservice Dein-Impressum
Stettiner Straße 41
35410 Hungen, Deutschland
E-Mail: privacy@oros.bi
Telefon: 0157 9234 1658 (betreute Weiterleitungsnummer von Dein-Impressum)
Rollenverteilung: Gegenüber den eigenen Nutzer- und Login-Konten unserer Kunden (Tenant-Mitglieder) sind wir Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Gegenüber den im Rahmen der Auftragsverarbeitung verarbeiteten Endkunden- daten (CSV-/API-Uploads der Tenants) sind wir Auftragsverarbeiter nach Art. 28 DSGVO. Für die Auftragsverarbeitung gilt ein gesonderter AVV zwischen Oros.BI und dem jeweiligen Kunden (Tenant).
2. Hosting in der EU
Oros.BI wird ausschließlich in Rechenzentren innerhalb der Europäischen Union betrieben (Contabo GmbH, Rechenzentrum Frankfurt am Main, Deutschland). Die Verarbeitung erfolgt auf Basis von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO. Eine vollständige Liste der Auftragsverarbeiter finden Sie in Abschnitt 7.
Hinweis zu LLM-Anbietern: Die für KI-gestützte Verarbeitung eingesetzten Anbieter (OpenAI Ireland Ltd., Anthropic Ireland Ltd.) sind EU-Niederlassungen mit Geschäftssitz in Irland. Die jeweiligen Konzernmütter sitzen in den USA. Ein Transfer personenbezogener Daten in die USA wird im Rahmen der Verarbeitung vertraglich und technisch abgesichert bzw. ausgeschlossen — durch EU-Data-Residency-Konfiguration sowie vertragliche Zero-Data-Retention- und Standard-Vertragsklauseln (SCC nach EU-Beschluss 2021/914). Sämtliche Inhalte werden vor jedem KI-Aufruf durch unseren PII-Shield maskiert (siehe DPIA §4).
3. Welche Daten wir verarbeiten
- Account-Daten: E-Mail, Passwort-Hash (bcrypt, Cost-Faktor 12), Tenant-Zuordnung, Rolle, MFA-Secret (verschlüsselt). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
- Hochgeladene Daten: CSV-/API-Datensätze, die durch Sie als Tenant zur Verarbeitung eingespeist werden. Diese Daten gelten als Auftragsdaten gemäß Art. 28 DSGVO. Ein gesonderter AVV ist mit jeder Agentur zu schließen.
- Telemetrie: Job-Logs (Status, Dauer, Repair-Counts), pseudonymisiert. Keine PII in Logs (siehe auch unsere PII-Shield-Architektur).
- Cookies: Ausschließlich strikt notwendige Cookies (Refresh-Token als HttpOnly-Cookie, CSRF-Token, Cookie-Banner-Auswahl). Es findet kein Tracking, keine Reichweitenmessung und kein Drittanbieter-Cookie statt.
4. Cookies und lokale Speicherung
Wir setzen ausschließlich Cookies ein, die für den Betrieb der Anwendung erforderlich sind:
| Name | Zweck | Laufzeit |
|---|---|---|
| refresh_token | Session-Erneuerung (HttpOnly, Secure) | 7 Tage |
| csrf_token | Cross-Site-Request-Forgery-Schutz | 7 Tage |
| oros-consent | Cookie-Banner-Auswahl persistieren (localStorage) | bis Widerruf |
5. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Account, Job-Verarbeitung)
- Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtungen (Buchhaltung)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Sicherheits-Logs)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (sofern für optionale Funktionen explizit eingeholt)
6. Speicherdauer
- Account-Daten: Löschung 30 Tage nach Vertragsende.
- Hochgeladene Auftragsdaten: gemäß tenant-spezifischer Retention-Policy, Default 90 Tage nach letztem Job; Löschung oder Anonymisierung.
- Pipeline-Artefakte (Cleaning-Audit-Logs): 90 Tage rollend.
- Request-Logs / Telemetrie: 30 Tage rollend.
- Sicherheitsvorfall-Logs: bis zu 12 Monate.
- Audit-Log-Einträge: 12 Monate.
- Steuerlich relevante Daten (Rechnungen): 10 Jahre gemäß § 257 HGB.
7. Auftragsverarbeitung — Sub-Dienstleister
Für den Betrieb von Oros.BI nutzen wir folgende Auftragsverarbeiter:
- Contabo GmbH (DE) — Hosting & Infrastruktur
- OpenAI Ireland Ltd. (IE/EU) — LLM-Verarbeitung; nur maskierte Eingaben (PII-Shield)
- Anthropic Ireland Ltd. (IE/EU) — LLM-Verarbeitung; optional, nur maskierte Eingaben
- Mistral AI (FR/EU) — EU-LLM-Verarbeitung; geplant, noch nicht aktiv; künftig nur maskierte Eingaben
- Stripe Payments Europe Ltd. (IE/EU) — Zahlungsabwicklung, Billing
- Postmark / ActiveCampaign (EU-Region) — transaktionaler E-Mail-Versand (z. B. Bestätigungs-/System-Mails); US-Muttergesellschaft, abgesichert über SCC
Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Änderungen werden den vertraglich gebundenen Tenants gemäß AVV §7 mindestens 30 Tage vor Wirksamwerden mitgeteilt. Die jeweils aktuelle Fassung der Sub-Processor-Liste ist auf Anfrage über privacy@oros.bi erhältlich.
8. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung oder Löschung (Art. 16/17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Anfragen richten Sie bitte an privacy@oros.bi. Wir bearbeiten Auskunfts-, Berichtigungs-, Lösch- und Datenübertragbarkeitsanfragen innerhalb der gesetzlichen Frist von 30 Tagen (Art. 12 Abs. 3 DSGVO). Bei Anträgen auf Datenübertragbarkeit (Art. 20 DSGVO) liefern wir die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV).
9. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Wir setzen KI-gestützte Verarbeitung zur Datenklassifikation, -bereinigung und Dashboard-Generierung ein. Diese Entscheidungen sind technischer Natur (Schema-Mapping, Duplikat-Erkennung, KPI-Aggregation) und entfalten keine rechtlichen Wirkungen für die betroffenen Personen im Sinne von Art. 22 Abs. 1 DSGVO. Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung findet nicht statt.
10. SSL-/TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung (Let's Encrypt). Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in der Adresszeile Ihres Browsers.
11. Aufsichtsbehörde
Zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
www.lda.brandenburg.de