Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website und im gehosteten Subsumio-Dienst (im Folgenden „Dienst“) ist:
[Firmenname]
[Straße, Hausnummer]
[PLZ, Ort, Land]
E-Mail: hello@subsum.eu
Datenschutzbeauftragte/r (sofern bestellt): [Name, Kontakt]. Eine Bestellpflicht besteht u. a. bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 37 DSGVO i. V. m. § 38 BDSG).
2. Grundsatz: Datensparsamkeit und Betriebsmodelle
Subsumio ist als datensparsames Produkt konzipiert. Es gibt zwei Betriebsmodelle mit unterschiedlichen datenschutzrechtlichen Rollen:
- Self-Hosting: Die Engine läuft auf Ihrer eigenen Infrastruktur. Inhalte werden nicht an uns übermittelt; wir haben keinen Zugriff.
- Gehostete EU-Cloud: Wir verarbeiten Inhalte ausschließlich zur Erbringung des Dienstes — niemals zum Training von KI-Modellen.
3. Betrieb der Website
Beim Aufruf verarbeitet der Hosting-Dienstleister technisch notwendige Server-Logdaten (IP-Adresse, Zeitpunkt, abgerufene Ressource, User-Agent) zur Auslieferung und Absicherung — berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Es werden keine Marketing-/Tracking-Cookies ohne Einwilligung gesetzt.
4. Konto, Authentifizierung, Abrechnung
Zur Nutzung verarbeiten wir Bestandsdaten: E-Mail, Name, ein nicht umkehrbar gehashtes Passwort (scrypt), Empfehlungscode — zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Login-/Registrierungsversuche werden zur Missbrauchsabwehr ratenbegrenzt (Art. 6 Abs. 1 lit. f DSGVO). Kostenpflichtige Pläne werden über einen Zahlungsdienstleister abgerechnet.
5. Inhalte und Mandantendaten — Auftragsverarbeitung
Soweit Sie personenbezogene Daten Ihrer Mandanten/Kunden einstellen, sind Sie der Verantwortliche und wir handeln als Auftragsverarbeiter (Art. 28 DSGVO). Vor einer solchen Nutzung ist ein AVV abzuschließen (Vorlage wird bereitgestellt). Berufsgeheimnisträger (§ 203 StGB) beachten zusätzlich die Anforderungen an mitwirkende Personen — hierfür empfehlen wir Self-Hosting oder die EU-Cloud mit gesonderter Verschwiegenheitsverpflichtung.
6. KI-Funktionen
Für Synthese- und Agentenfunktionen werden relevante Inhaltsausschnitte an LLM-/Embedding- Anbieter übermittelt, die weisungsgebunden verarbeiten und die Daten nicht zum Training verwenden (Art. 6 Abs. 1 lit. b DSGVO bzw. AVV). Beim Self-Hosting wählen Sie Anbieter und Modelle frei oder betreiben ein lokales Modell.
7. Auftragsverarbeiter und Empfänger
Je nach Konfiguration können folgende Kategorien eingebunden sein (alle mit AVV; Drittland-Transfers nur auf Basis von EU-Standardvertragsklauseln, Art. 46 DSGVO):
- Hosting/Infrastruktur (Web-App und/oder Engine), vorrangig EU-Rechenzentren
- LLM-Anbieter (Antworten/Agenten) und Embedding-Anbieter (Suche)
- Zahlungsdienstleister für kostenpflichtige Pläne
- E-Mail-Versanddienst für transaktionale Nachrichten (Fristen-Digest, Passwort-Reset)
- Optional: Dienst zur verteilten Ratenbegrenzung
Vor Launch konkret benennen: [Anbieter mit Sitzland und Transfergrundlage].
8. Speicherdauer
Kontodaten für die Vertragsdauer; Löschung nach Kündigung, soweit keine Aufbewahrungspflichten (§ 147 AO, § 257 HGB) entgegenstehen. Inhalte werden auf Ihre Weisung bzw. mit Vertragsende gelöscht. Server-Logs nach [z. B. 14 Tagen].
9. Ihre Rechte
Sie haben Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO). Einen vollständigen Export Ihrer Konto- und Brain-Daten als JSON können Sie selbst über Einstellungen → Account → Daten exportieren auslösen. Es besteht ein Beschwerderecht bei einer Aufsichtsbehörde.
10. Änderungen
Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.