• Besucher unserer Website
• Nutzer der Plattform und der Workspaces
• Workspace-Mitglieder und Administratoren
• Personen, deren personenbezogene Daten über angebundene Konten und Integrationen verarbeitet werden (zum Beispiel E-Mail-Empfänger, Kontakte, Kalenderteilnehmer und Kollaborateure)

Wir verarbeiten personenbezogene Daten im Einklang mit den Grundsätzen der DSGVO, insbesondere Zweckbindung, Datenminimierung und Speicherbegrenzung. Wir setzen technische und organisatorische Maßnahmen ein, um die Verarbeitung personenbezogener Daten auf das für den jeweiligen Zweck erforderliche Maß zu beschränken.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Acava GmbH
[ADDRESS]
E-Mail: [EMAIL]
Eingetragen im Handelsregister beim [REGISTER_COURT] unter HRB [HRB_NUMBER].

Kontakt für Datenschutzanfragen:
E-Mail: [PRIVACY_EMAIL]

2. Rollen nach der DSGVO (Verantwortlicher und Auftragsverarbeiter)

Verantwortlicher. Acava handelt als Verantwortlicher für personenbezogene Daten, die wir zu eigenen Zwecken verarbeiten, insbesondere für Kontoverwaltung, Authentifizierung, Abrechnung, Sicherheit, Betrugsprävention, Betrieb der Dienste und gegebenenfalls Produktanalysen.

Auftragsverarbeiter. Soweit Acava Inhalte aus angebundenen Konten und Integrationen (einschließlich E-Mails, Kalender, Dateien, Kontakte, Nachrichten, Prompts und Ausgaben) ausschließlich auf Ihre Weisung verarbeitet, handelt Acava als Auftragsverarbeiter in Ihrem Auftrag. In diesen Fällen regelt die Auftragsverarbeitungsvereinbarung (AVV/DPA) die Verarbeitung und die Verteilung der Verantwortlichkeiten.

Verantwortung im Workspace. Wenn Sie Workspace-Inhaber oder Administrator sind, sind Sie dafür verantwortlich, dass für die Verarbeitung personenbezogener Daten von Workspace-Mitgliedern und Dritten über die Dienste eine gültige Rechtsgrundlage besteht und Acava entsprechend angewiesen wird. Dies umfasst insbesondere die Information betroffener Personen sowie die Sicherstellung erforderlicher Einwilligungen oder sonstiger Rechtsgrundlagen.

3. Kategorien personenbezogener Daten

Wir können folgende Kategorien personenbezogener Daten verarbeiten:

• Kontodaten (Name, E-Mail-Adresse, Authentifizierungskennungen und Login-Ereignisse über Auth0)
• Abrechnungsdaten (Rechnungsanschrift, Rechnungen, Zahlungsstatus und Zahlungsmetadaten über Zahlungsdienstleister)
• Workspace-Daten (Workspace-Name, Mitgliedschaften, Rollen, Berechtigungen, Konfigurationseinstellungen)
• Metadaten angebundener Konten und Integrationen (Anbieterkennungen, Berechtigungen/Scopes, Synchronisationsstatus, Tokens soweit einschlägig)
• Kundeninhalte, die über Integrationen verarbeitet werden (E-Mails, Kalendereinträge, Dateien, Nachrichten, Prompts, Ausgaben, Kontakte und zugehörige Inhalte)
• Aktionsmetadaten (zum Beispiel Zeitstempel, Aktionstyp, Empfängerkennungen, Systemstatus, Fehlermeldungen, Request-IDs, Audit-Trails)
• Nutzungs- und Leistungsdaten (aggregierte, datenschutzfreundliche Analysen über Plausible, soweit eingesetzt)
• Sicherheits- und Audit-Protokolle (Zugriffsprotokolle, Geräte- und Sitzungskennungen, Sicherheitsereignisse)
• Support-Kommunikation (wenn Sie uns kontaktieren)

Wir erheben nicht gezielt besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Solche Daten können jedoch in von Ihnen bereitgestellten Kundeninhalten oder in Daten aus angebundenen Konten enthalten sein (zum Beispiel im E-Mail-Inhalt). In diesen Fällen entscheiden Sie, ob solche Daten über die Dienste verarbeitet werden, und müssen eine geeignete Rechtsgrundlage sicherstellen.

4. Quellen personenbezogener Daten

Wir erheben personenbezogene Daten aus folgenden Quellen:

• direkt von Ihnen (zum Beispiel bei Kontoerstellung, Workspace-Konfiguration oder Supportanfragen)
• von Ihrer Organisation oder Workspace-Administratoren (zum Beispiel bei einer Einladung in einen Workspace)
• aus angebundenen Konten und Integrationen, die Sie autorisieren (zum Beispiel Google- oder Microsoft-Dienste), einschließlich Kundeninhalten und zugehöriger Metadaten

Insbesondere können personenbezogene Daten Dritter (zum Beispiel E-Mail-Empfänger, Kontakte, Kalenderteilnehmer oder Datei-Kollaborateure) verarbeitet werden, wenn diese in Kundeninhalten oder Metadaten aus angebundenen Konten enthalten sind.

5. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

• Bereitstellung und Betrieb der Dienste (einschließlich Verwaltung von Konten und Workspaces)
• Authentifizierung, Zugriffskontrolle und Kontosicherheit
• Ausführung von durch Nutzer konfigurierten Aktionen (einschließlich automatisierter, im Hintergrund oder zeitgesteuert ausgeführter Aktionen)
• Synchronisation und Verarbeitung von Kundeninhalten über angebundene Konten und Integrationen
• Verhinderung von Missbrauch, Betrug und Sicherheitsvorfällen sowie Gewährleistung der Nachvollziehbarkeit
• Abrechnung, Abonnementverwaltung und Buchhaltung
• Verbesserung von Zuverlässigkeit, Leistung und Funktionalität der Dienste
• Einhaltung gesetzlicher Pflichten und Durchsetzung unserer Bedingungen
• Support und Kommunikation

6. Rechtsgrundlagen (Art. 6 DSGVO)

Je nach Kontext und Zweck stützen wir die Verarbeitung auf folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) zur Bereitstellung der Dienste, Ermöglichung von Workspaces und Ausführung der von Ihnen angeforderten oder konfigurierten Aktionen
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) zur Einhaltung gesetzlicher Vorgaben und Aufbewahrungspflichten
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Gewährleistung von Sicherheit, Integrität der Dienste, Missbrauchs- und Betrugsprävention, Vorfallreaktion, Betriebszuverlässigkeit und Nachvollziehbarkeit
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) soweit erforderlich, zum Beispiel für optionale Funktionen oder spezielle Verarbeitungen

Berechtigte Interessen. Unsere berechtigten Interessen bestehen insbesondere darin, die Dienste sicher zu betreiben, Missbrauch und Betrug zu verhindern, Verfügbarkeit und Leistung zu gewährleisten, Nachvollziehbarkeit sicherzustellen, Rechtsansprüche zu verteidigen und die Dienste weiterzuentwickeln. Dabei nehmen wir eine Abwägung mit Ihren Rechten und Freiheiten vor und setzen geeignete Schutzmaßnahmen ein.

Soweit Acava als Auftragsverarbeiter tätig wird (siehe Abschnitt 2), bestimmen Sie als Verantwortlicher die Rechtsgrundlage für die Verarbeitung von Kundeninhalten. Die Verarbeitung erfolgt ausschließlich auf Grundlage der AVV/DPA und Ihrer dokumentierten Weisungen.

7. Einsatz von KI-Anbietern

Zur Generierung von Ausgaben und Bereitstellung von KI-Funktionalität können Kundeninhalte von KI-Anbietern verarbeitet werden, darunter OpenAI, Google (Gemini) und Anthropic (Claude), die je nach Konstellation als Auftragsverarbeiter oder Unterauftragsverarbeiter tätig sind. Diese Verarbeitung kann das Verstehen von Inhalten, Zusammenfassungen, Entwürfe, Klassifizierungen, Extraktionen und vergleichbare KI-gestützte Funktionen umfassen.

Kundeninhalte werden nicht zum Training allgemeiner KI-Modelle verwendet, es sei denn, Sie stimmen einer solchen Funktion ausdrücklich zu (sofern angeboten). Sofern eine optionale Trainings- oder Verbesserungsfunktion angeboten wird, wird diese klar im Produkt beschrieben und erfordert Ihre ausdrückliche Einwilligung.

Wir treffen Maßnahmen, um den Zugriff und die Nutzung von Kundeninhalten durch KI-Anbieter auf das für die angeforderte Funktion erforderliche Maß zu beschränken, vorbehaltlich der AVV/DPA, vertraglicher Schutzmaßnahmen sowie geeigneter technischer und organisatorischer Maßnahmen.

8. Automatisierte Verarbeitung und KI-Ausgaben

Die Dienste nutzen KI-gestützte Verarbeitung zur Generierung von Ausgaben und können automatisierte oder zeitgesteuerte Aktionen unterstützen, die von Nutzern konfiguriert werden. KI-generierte Ausgaben können unzutreffend, unvollständig oder für Ihren konkreten Anwendungsfall ungeeignet sein.

Kein Ersatz menschlicher Entscheidungsfindung. Die Dienste sind nicht dazu bestimmt, menschliche Entscheidungsfindung zu ersetzen. Sie bleiben dafür verantwortlich, Ausgaben zu prüfen und eine angemessene menschliche Kontrolle über Aktionen, einschließlich automatisierter oder zeitgesteuerter Aktionen, auszuüben, insbesondere soweit dies gesetzlich oder durch interne Richtlinien erforderlich ist.

Keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung als Regelfall. Acava beabsichtigt nicht, ausschließlich automatisierte Entscheidungen zu treffen, die Ihnen gegenüber rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen im Sinne von Art. 22 DSGVO. Nutzer können jedoch Aktionen konfigurieren (einschließlich automatisierter oder zeitgesteuerter Aktionen), die externe Wirkungen haben können (zum Beispiel das Versenden von Nachrichten oder das Erstellen von Kalendereinträgen). Für solche Konfigurationen und die erforderliche menschliche Aufsicht bleiben Sie verantwortlich.

Wenn Sie der Auffassung sind, dass eine bestimmte Funktion in Ihrem Anwendungsfall ein Profiling oder eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO darstellt, kontaktieren Sie uns bitte unter [PRIVACY_EMAIL], damit wir die Konfiguration prüfen und geeignete Informationen und Schutzmaßnahmen bereitstellen können.

9. Empfänger und Kategorien von Empfängern

Wir können personenbezogene Daten, soweit für die oben beschriebenen Zwecke erforderlich, an folgende Kategorien von Empfängern weitergeben:

• Hosting- und Infrastruktur-Anbieter (zum Beispiel Hetzner Cloud, EU)
• Authentifizierungsanbieter (Auth0)
• Analyseanbieter (Plausible), soweit eingesetzt
• KI-Anbieter (zum Beispiel OpenAI, Google, Anthropic) zur Bereitstellung von KI-Funktionalität
• Zahlungsdienstleister und Abrechnungsanbieter
• Anbieter von Support- und Betriebssystemen (soweit eingesetzt)
• Berufliche Berater (Rechtsanwälte, Wirtschaftsprüfer), soweit erforderlich
• Behörden oder sonstige Stellen, soweit gesetzlich erforderlich

Empfänger verarbeiten personenbezogene Daten entweder (i) auf Grundlage unserer dokumentierten Weisungen für die in dieser Datenschutzerklärung beschriebenen Zwecke, soweit Acava als Verantwortlicher handelt, oder (ii) als Unterauftragsverarbeiter im Rahmen der AVV/DPA, soweit Acava als Auftragsverarbeiter handelt, jeweils unter Beachtung geeigneter vertraglicher, technischer und organisatorischer Schutzmaßnahmen.

Soweit Acava als Auftragsverarbeiter handelt, erfolgen Offenlegungen an Unterauftragsverarbeiter im Rahmen der AVV/DPA. Eine aktuelle Liste der Unterauftragsverarbeiter und deren Standorte ist in der AVV/DPA oder auf Anfrage verfügbar.

10. Unterauftragsverarbeiter (Auftragsverarbeitungskontext)

Soweit wir als Auftragsverarbeiter tätig sind, setzen wir sorgfältig ausgewählte Unterauftragsverarbeiter für Hosting, Authentifizierung, Analyse, KI-Verarbeitung und Infrastruktur ein. Dazu können insbesondere gehören:

• Hosting-Anbieter in der Europäischen Union (Hetzner Cloud)
• Auth0 für Authentifizierung
• Plausible.io für datenschutzfreundliche Analysen (soweit eingesetzt)
• KI-Anbieter (OpenAI, Google, Anthropic)
• Zahlungsdienstleister

Unterauftragsverarbeiter verarbeiten personenbezogene Daten ausschließlich auf dokumentierte Weisung und auf Grundlage der AVV/DPA, einschließlich angemessener Vertraulichkeitsverpflichtungen, technischer und organisatorischer Maßnahmen sowie Beschränkungen hinsichtlich weiterer Unterauftragsverarbeiter.

Eine aktuelle Liste der Unterauftragsverarbeiter, einschließlich Standorten und Art der Verarbeitung, ist in der AVV/DPA oder auf Anfrage verfügbar, im Einklang mit den Regelungen der AVV/DPA.

11. Cookies, ähnliche Technologien und Website-Analyse

Cookies. Unsere Website ist so konzipiert, dass sie ohne Tracking-Cookies funktioniert. Wir können technisch notwendige Cookies oder vergleichbare Technologien (z. B. Session-Cookies) einsetzen, soweit dies für Betrieb, Sicherheit und grundlegende Funktionalität der Website und der Dienste erforderlich ist (zum Beispiel zur Aufrechterhaltung einer Sitzung oder zum Schutz vor Missbrauch). Der Einsatz erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO sowie, soweit anwendbar, § 25 Abs. 2 TTDSG (oder einer Nachfolgeregelung) und zur Bereitstellung des angeforderten Dienstes nach anwendbarem Recht.

Keine Marketing- oder Werbe-Cookies. Wir verwenden keine Marketing-, Tracking- oder Werbe-Cookies.

Plausible Analytics. Wir nutzen Plausible Analytics, eine datenschutzfreundliche Analyse-Lösung. Plausible ist so konzipiert, dass es ohne Cookies und ohne dauerhafte Identifikatoren arbeitet. Die Analysedaten sind aggregiert.

Je nach Konfiguration können begrenzte technische Informationen (zum Beispiel eine gekürzte IP-Adresse, Browser- oder User-Agent-Informationen sowie Seiteninteraktionen) verarbeitet werden, um aggregierte Statistiken zu erstellen. Wir konfigurieren die Analyse so, dass die Datenerhebung minimiert und unnötiges Tracking vermieden wird.

Soweit aufgrund spezifischer Konfigurationen oder zusätzlicher Tools in Ihrem Rechtsraum eine Einwilligung erforderlich ist, setzen wir einen entsprechenden Einwilligungsmechanismus ein. Sollten Sie ein Verhalten feststellen, das nicht mit dieser Erklärung übereinstimmt, kontaktieren Sie uns bitte unter [PRIVACY_EMAIL].

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Erklärung beschriebenen Zwecke erforderlich ist, vorbehaltlich gesetzlicher Aufbewahrungspflichten und berechtigter Aufbewahrungsinteressen. Die Speicherdauer kann je nach Verarbeitungskontext, Workspace-Konfiguration und rechtlichen Anforderungen variieren.

• Konto- und Workspace-Daten: Speicherung für die Dauer Ihres Kontos oder Ihrer Workspace-Mitgliedschaft sowie soweit für die Dienstverwaltung erforderlich.
• Kundeninhalte (Auftragsverarbeitungskontext): Speicherung entsprechend Ihrer Konfiguration oder solange Ihr Konto aktiv ist, vorbehaltlich Ihrer Lösch- oder Exporthandlungen und der AVV/DPA.
• Abrechnungs- und Buchhaltungsunterlagen: Speicherung gemäß den einschlägigen gesetzlichen Aufbewahrungspflichten, insbesondere handels- und steuerrechtlichen Vorgaben.
• Sicherheitsprotokolle und Aktionsmetadaten: Speicherung für einen begrenzten Zeitraum, der für Sicherheit, Auditierung, Betrugsprävention und Vorfallreaktion erforderlich ist, sowie gegebenenfalls länger zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Nach Beendigung werden Kundeninhalte nach Ablauf einer angemessenen Exportfrist gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder eine Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Konkrete Aufbewahrungseinstellungen können zudem durch die Workspace-Konfiguration gesteuert werden.

13. Internationale Datenübermittlungen

Wir verarbeiten Daten primär innerhalb der EU/des EWR. Soweit personenbezogene Daten in Drittländer übermittelt werden (zum Beispiel an bestimmte KI-Anbieter oder Dienstleister), setzen wir geeignete Garantien gemäß DSGVO ein, insbesondere:

• Standardvertragsklauseln (SCCs)
• zusätzliche technische und organisatorische Maßnahmen, soweit erforderlich
• Angemessenheitsbeschlüsse, soweit anwendbar

Weitere Informationen zu den eingesetzten Garantien können Sie unter [PRIVACY_EMAIL] anfordern, vorbehaltlich Vertraulichkeits- und Sicherheitsanforderungen.

14. Ihre Rechte

Sie haben je nach anwendbarem Recht insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), insbesondere wenn wir uns auf berechtigte Interessen stützen
• Widerruf einer Einwilligung jederzeit (Art. 7 Abs. 3 DSGVO), sofern die Verarbeitung auf Einwilligung beruht

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter [PRIVACY_EMAIL]. Wir können Informationen zur Identitätsprüfung anfordern.

Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde an Ihrem Wohnsitz, Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes oder die für den Sitz von Acava zuständige Behörde. Zuständige Behörde für Acava:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
https://www.lda.bayern.de

Hinweis zum Auftragsverarbeitungskontext. Soweit Acava als Auftragsverarbeiter für Kundeninhalte tätig ist, ist der jeweilige Workspace-Inhaber bzw. Verantwortliche Ihr primärer Ansprechpartner für Betroffenenanfragen. Wir unterstützen Verantwortliche im Rahmen der AVV/DPA.

15. Informationen für Personen, deren Daten wir über angebundene Konten verarbeiten (Art. 14 DSGVO)

Wenn Ihre personenbezogenen Daten verarbeitet werden, weil sie in Kundeninhalten oder Metadaten aus einem angebundenen Konto eines Nutzers enthalten sind (zum Beispiel als E-Mail-Empfänger, Kontakt, Kalenderteilnehmer oder Datei-Kollaborateur), gilt Folgendes:

• Quelle: Die Daten stammen aus dem angebundenen Konto oder der Integration, die der Nutzer autorisiert hat.
• Zweck: Ermöglichung der Dienste für den Nutzer, einschließlich Organisation, Zusammenfassung, Erstellung von Entwürfen und Ausführung nutzerkonfigurierter Aktionen.
• Rechtsgrundlage: Regelmäßig Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) im Verantwortlichenkontext sowie die vom Nutzer bestimmte Rechtsgrundlage im Auftragsverarbeitungskontext.
• Empfänger: Kategorien gemäß Abschnitten 9 und 10.
• Speicherdauer: Gemäß Abschnitt 12, vorbehaltlich der Konfiguration durch Nutzer/Workspace und der AVV/DPA.

Acava hat zu diesen Personen regelmäßig keine direkte Beziehung und verarbeitet solche Daten ausschließlich im Auftrag des jeweiligen Nutzers/Verantwortlichen, sofern Acava nicht selbst für eine bestimmte Verarbeitung als Verantwortlicher handelt.

Eine individuelle Information jeder betroffenen Person kann unmöglich sein oder einen unverhältnismäßigen Aufwand darstellen, insbesondere bei umfangreichen Kontakt- und Kommunikationsnetzwerken. Soweit zulässig, stützt sich Acava daher auf die Ausnahme nach Art. 14 Abs. 5 lit. b DSGVO, während gleichzeitig geeignete Schutzmaßnahmen und Transparenz über diese Erklärung sowie vertragliche Verpflichtungen über die AVV/DPA sichergestellt werden.

Wenn Sie eine solche Person sind und Ihre Rechte ausüben möchten, können Sie sich an den jeweiligen Nutzer/Verantwortlichen (zum Beispiel die Organisation, die den Workspace betreibt) wenden oder uns unter [PRIVACY_EMAIL] kontaktieren. Wir leiten die Anfrage entsprechend und im Einklang mit der AVV/DPA und geltendem Recht weiter.

16. Sicherheitsmaßnahmen

Acava setzt angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten um, insbesondere Verschlüsselung bei der Übertragung, Zugriffskontrollen, das Prinzip der minimalen Rechtevergabe, Audit-Logging, Token-Management, sichere Infrastrukturkonfiguration, Vorfallreaktionsprozesse sowie kontinuierliche Sicherheitsverbesserungen.

Kein System kann eine vollständige Sicherheit garantieren. Sie sind dafür verantwortlich, Ihre Zugangsdaten sicher aufzubewahren und Workspace-Berechtigungen sowie Berechtigungen angebundener Konten sachgerecht zu konfigurieren.

17. Verpflichtung zur Bereitstellung von Daten

Bestimmte personenbezogene Daten sind erforderlich, um die Dienste bereitzustellen (zum Beispiel Kontokennungen zur Authentifizierung und Abrechnungsinformationen für kostenpflichtige Tarife). Wenn Sie diese Daten nicht bereitstellen, können wir die Dienste oder einzelne Funktionen möglicherweise nicht bereitstellen.

Die Anbindung von Drittanbieter-Konten ist optional. Wenn Sie Konten anbinden, verarbeiten die Dienste die zugehörigen Kundeninhalte und Metadaten entsprechend Ihrer Konfiguration.

18. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung an rechtliche, technische oder betriebliche Änderungen anpassen. Soweit erforderlich, informieren wir Nutzer in geeigneter Weise (zum Beispiel innerhalb des Produkts oder per E-Mail).

Soweit Acava als Auftragsverarbeiter tätig ist, wird diese Datenschutzerklärung durch unsere Auftragsverarbeitungsvereinbarung (AVV/DPA) ergänzt und konkretisiert.