Alan Dokumentation

German

English

German

English

Appearance

Datenschutzhinweis für die Nutzung von Alan-Diensten

Vielen Dank für die Nutzung unserer KI-basierten Alan-Dienste. Mit dem folgenden Datenschutzhinweis möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend "Daten" genannt) wir als Verantwortlicher zu welchen Zwecken und in welchem Umfang verarbeiten. Wir verwenden aus Gründen der Leserlichkeit und Barrierefreiheit das generische Maskulinum unabhängig des jeweiligen Geschlechts (w/m/d).

Hinweis:

Nutzen Sie unsere Alan-Dienste als berechtigter Nutzer (bspw. als Mitarbeiter) unseres Vertragspartners (bspw. Ihres Arbeitgebers) handeln wir lediglich als sog. Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Rechtsgrundlage ist in diesen Fällen allein der Auftragsverarbeitungsvertrag, den wir mit unserem Vertragspartner (Ihrem Arbeitgeber) geschlossen haben. Wir verarbeiten personenbezogene Daten in diesem Fall nicht zu eigenen Zwecken, sondern ausschließlich auf Weisung unseres Vertragspartners (Ihres Arbeitgebers). In diesem Fall ist alleiniger Verantwortlicher im Sinne der DSGVO das Unternehmen, das Ihnen die entsprechende Nutzungsberechtigung eingeräumt hat und für das wir personenbezogenen Daten lediglich weisungsgebunden verarbeiten. Haben Sie diesbezüglich Fragen zur Datenverarbeitung (bspw. zur Rechtsgrundlage auf die Ihr Arbeitgeber die Datenverarbeitung stützt oder zum Zweck der Datenverarbeitung), wenden Sie sich bitte unmittelbar an diesen.
Sofern wir nachfolgend Rechtsgrundlagen und Verarbeitungszwecke benennen, beziehen sich diese folglich ausschließlich auf den Anwendungsfall, in dem wir selbst Verantwortlicher (und nicht Auftragsverarbeiter für unseren Vertragspartner) im Sinne der DSGVO sind.

1. Name und Anschrift des Verantwortlichen

Wer Verantwortlicher ist, richtet sich u.a. danach, in welcher Form Sie Alan nutzen. Sind Sie unser Vertragspartner, sind wir, d.h. die

Comma Soft AG
vertreten durch den Vorstand Benjamin Schulte
Pützchens Chaussee 202-204a
53229 Bonn
Tel. +49 228 9770 0
E-Mail alan@comma-soft.com

Verantwortlicher im Sinne der DSGVO.

2. Name und Anschrift des Datenschutzbeauftragten

Unser Datenschutzbeauftragter ist

Frank Becher
Pützchens Chaussee 202-204a
53229 Bonn
Tel. +49 228 9770 0
E-Mail Frank.Becher@comma-soft.com bzw. Datenschutz@comma-soft.com

3. Allgemeines zur Datenverarbeitung

3.1. Umfang der Verarbeitung personenbezogener Daten

Wir erheben und verwenden personenbezogene Daten unserer Nutzer als Verantwortlicher grundsätzlich nur, soweit dies zur Bereitstellung unserer Alan-Dienste und Leistungen erforderlich, die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist oder Sie uns Ihre Einwilligung erteilt haben. Eine automatisierte Entscheidungsfindung oder ein Profiling wird von uns nicht durchgeführt.

3.2. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a) EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c) DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f) DSGVO als Rechtsgrundlage für die Verarbeitung.

3.3. Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden grundsätzlich gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

3.4. Empfänger der Daten

3.4.1. Comma LLM

Empfänger der Daten sind bei Nutzung unserer Comma Soft Large Language Modelle (Comma Soft LLM) ausschließlich wir als Anbieter von Alan und unser in Deutschland ansässiger Cloudbetreiber (sofern nicht ausdrücklich abweichend vereinbart, handelt es sich um die T-Systems International GmbH, Hahnstraße 43 d, D-60528 Frankfurt am Main), der Ihre Daten weisungsgebunden innerhalb der EU / des EWR für uns verarbeitet. Es handelt sich bei diesem um einen Auftragsverarbeiter, mit dem wir einen entsprechende Auftragsverarbeitungsvertrag geschlossen haben.

3.4.2. Drittanbieter LLM

Eine Datenübermittlung in Drittländer findet nur statt, wenn und soweit uns unser Vertragspartner mit der Anbindung eines Drittanbieter LLM beauftragt und dieses vom Nutzer aktiv zur Nutzung ausgewählt wird. Innerhalb von Alan weisen wir deutlich darauf hin, ob und welcher Drittanbieter-LLM aktiviert wurde und ggfs. eine Datenübermittlung stattfindet. Empfänger der Daten ist in diesem Fall der jeweilige Drittanbieter.

3.4.3. Werkzeuge

Sofern Werkzeuge wie z.B. die Internetsuche benutzt werden, findet eine Datenweitergabe an den Dienstleister statt, der die Funktionalität oder Teil davon bereitstellt. Werden die Werkzeuge nicht genutzt, erfolgt keine „stille" Datenübertragung. Die Anbieter einzelner Werkzeuge können auch in einem Drittland ansässig sein. Mit den jeweiligen Anbietern bestehen Auftragsverarbeitungsverträge bzw. Aufträge, die die Standardvertragsklauseln inkludieren. Werkzeuge müssen im Einzelfall durch die (Kunden-)Admins aktiviert werden. Im Einzelnen stehen folgende Werkzeuge zur Verfügung:

  • Internetsuche BRAVE; Brave, Inc.; San Francisco; USA

Eine Datenübermittlung erfolgt ausschließlich, wenn das Werkzeug durch die (Kunden)Administration aktiviert ist und der Übertragung im Einzelfall durch den Nutzer zugestimmt wurde.

4. Datenverarbeitung bei Anbindung von Drittanbieter-LLM

Binden wir auf ausdrücklichen Wunsch unseres Vertragspartners als Vertragsleistung ein Sprachmodell eines Drittanbieters (bspw. Open AI, Anthropic, etc.) in Alan ein, übernehmen wir weder Verantwortung für die Auswahl des Drittanbieter-LLM noch für die dortige Datenverarbeitung. Wir sind ausdrücklich nicht Vertragspartner und / oder Auftraggeber dieses Drittanbieter-LLM. Der Drittanbieter ist daher auch nicht Unterauftragsverarbeiter im Verhältnis zu uns, sondern Auftragsverarbeiter für unseren Vertragspartner, ggfs. gemeinsamer oder getrennter Verantwortlicher mit diesem. Es obliegt unserem Vertragspartner die Datenschutzkonformität dieser Drittanbieter-LLM zu prüfen und zu überwachen. Unsere Leistung beschränkt sich bei der Anbindung eines Drittanbieter-LLM allein darauf eine Schnittstelle zum Drittanbieter-LLM und eine sichere Transportverschlüsselung zum Drittanbieter zur Verfügung zu stellen, um eine Verbindung zwischen Alan und dem Drittanbieter-LLM zu ermöglichen. Die Verbindung setzt insoweit jedoch die aktive Auswahl des Drittanbieter-LLM durch den Nutzer voraus.

Welches Sprachmodell aktiv ist und verwendet wird, wird dem Benutzer in der Eingabemaske angezeigt. Darüber hinaus wird ein visueller Hinweis angezeigt, falls externe Modelle oder Dienste verwendet werden.

Hinweis zur Datenweitergabe in die USA oder sonstige Drittstaaten:

Sofern der Nutzer in Alan auf ein Drittanbieter-LLM zurückgreift, weisen wir darauf hin, dass ggfs. -je nach Anbieter- eine Datenverarbeitung durch den Drittanbieter in einem Drittland außerhalb der EU /des EWR (bspw. den USA) stattfindet / stattfinden kann. In diesen Ländern kann kein mit der EU vergleichbares Datenschutzniveau garantiert werden. Beispielsweise sind US-Unternehmen derzeit -trotz Angemessenheitsbeschluss- dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen können. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z. B. Geheimdienste) Ihre im Rahmen der Nutzung des Drittanbieter-LLM verarbeiteten Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

Die Datenschutzhinweise von OpenAI und Anthropic, sofern sie eingebunden würden, finden Sie hier:

5. Vertragsschluss / Vertragsabwicklung

5.1. Beschreibung und Umfang der Datenverarbeitung

Die Nutzung unserer Dienste setzt den Abschluss eines Vertrags voraus. Zu diesem Zweck verarbeiten wir folgende „Vertragsdaten":

  • Name und Anschrift des Unternehmens und der gesetzlichen Vertreter
  • Ansprechpartner
  • Name und Vorname der Ansprechpartner
  • Telefonnummer
  • E-Mailadresse
  • Rechnungsanschrift
  • Umsatzsteuer-ID

5.2. Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Speicherung der vorgenannten Daten sind Art. 6 Abs. 1 lit. b) DSGVO (Vertrag), Art. 6 Abs. 1 lit. c) DSGVO (gesetzliche Verpflichtung) und Art. 6 Abs. 1 lit. f) DSGVO.

5.3. Zweck der Datenverarbeitung / berechtigtes Interess

Zweck der Datenverarbeitung ist die Begründung eines Vertragsverhältnisses sowie die Erfüllung der uns obliegenden vertraglichen Pflichten gegenüber unserem Kunden. Wir verarbeiten darüber hinaus auch Daten, weil gesetzliche Regelungen uns dazu verpflichten (bspw. BGB, HGB, AO, etc.). Daten von Ansprechpartnern verarbeiten wir, um nutzerfreundlich und schnell Kontakt (bspw. bei Supportanfragen) aufnehmen zu können, zur Pflege der Geschäftsbeziehung, bei der Änderung / Optimierung unserer Leistungen. Darin liegen auch unsere berechtigten Interessen, die den Interessen der jeweiligen Person überwiegen, weil sie für die Person mit keinerlei Nachteilen verbunden ist, weil die Angaben freiwillig erfolgen und auch im Sinne des Vertragspartners sind. Unsere Interessen an einer schnellen und reibungslosen Kommunikation überwiegen insoweit den Interessen des Betroffenen.

5.4. Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist der Fall, wenn das Vertragsverhältnis beendet wurde und uns obliegende gesetzliche Aufbewahrungspflichten nicht mehr bestehen (bspw. § 147 AO). Dieses Fristen können bis zu 10 Jahre betragen. Die Geltendmachung von und / oder die Verteidigung gegen Rechtsansprüche macht ggfs. eine darüberhinausgehende Speicherung notwendig, da bestimmte Gewährleistungsfristen bis zu 30 Jahre betragen können.

5.5. Widerspruchs- und Beseitigungsmöglichkeit

Die oben beschriebene Datenverarbeitung ist zwingend erforderlich. Es besteht folglich seitens des Betroffenen keine Widerspruchsmöglichkeit. Ohne Angabe der Daten können unsere Dienste nicht genutzt werden.

6. Anmeldung /Cookies

6.1. Beschreibung und Umfang der Datenverarbeitung

Zur Nutzung der Alan-Dienste ist eine Anmeldung (Authentifizierung) des berechtigten Nutzers erforderlich. Im Rahmen der Anmeldung werden folgende Daten vom berechtigten Nutzer erhoben:

  • Tenant-Daten: Name des Tenants, globale Einstellungen für den Tenant (nicht pb)
  • Login-Daten: E-Mail-Adresse
  • Protokolldaten: Informationen, die Browser oder Gerät automatisch senden; IP-Adresse; Login ID; Browser Typ; Datum und Uhrzeit der Anmeldung
  • Nutzungsdaten: LoginID; Login Zeit; Akzeptanz der Nutzungsbedingungen (Ja / Nein); User Agent; Version des User Agents
  • Geräteinformationen: Art des Computers/Mobilgeräts; Betriebssystem, Browser
  • API: Bei Nutzung der API wird lediglich der API-Key ausgewertet.

Darüber hinaus setzen wir folgende technisch notwendige Cookies auf dem Endgerät des Nutzers:

  • _oauth2_proxy: Es handelt sich bei diesem Cookie um ein technisch notwendiges Session-Cookie, das für die Dauer der Session gespeichert wird und Ihre Authentifizierung für die Dauer der Session speichert, um Ihre Berechtigung zu gewährleisten.
  • privacyPolicyAccepted: Es handelt sich um ein Cookie, das unbedingt erforderlich ist, damit wir Ihnen einen gewünschten digitalen Dienst (das digitale einmalige Akzeptieren der Nutzungsbedingungen (AGB) per Opt-In) zur Verfügung stellen können.

6.2. Rechtsgrundlage der Datenverarbeitung

Rechtsgrundlagen für die Verarbeitung der Anmeldedaten sind Art. 6 Abs. 1 lit. b) DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f) DSGVO. Rechtsgrundlage für die Cookies ist Art. 6 Abs. 1 lit. f) DSGVO in Verbindung mit § 25 Abs. 2 TDDDG.

6.3. Zweck der Datenverarbeitung / berechtigtes Interesse

Die Anmeldung erfolgt zu dem Zweck die Berechtigung des Nutzers zu prüfen (Authentifizierung), um die vertraglich geschuldeten Dienste zur Verfügung stellen zu können, um mit Ihnen im Supportfall kommunizieren zu können und aus Gründen der IT-Sicherheit (Schutz vor Missbrauch, Betrug, illegaler Nutzung und Zugriff unberechtigter Dritter). In letzterem liegt auch unser berechtigtes Interesse. Dieses überwiegt den Interessen des Betroffenen, da die Authentifizierung und der Schutz vor Missbrauch auch im Interesse des Betroffenen sind.

Die Cookies werden aus Gründen der Nachweisbarkeit der Akzeptanz der Nutzungsbedingungen und der Benutzerfreundlichkeit gesetzt, da der Nutzer die Nutzungsbedingungen dann nur einmalig und nicht bei jeder Nutzung erneut akzeptieren muss. Darin liegen auch unsere berechtigten Interessen, die den Interessen der Nutzer überwiegen, weil kein Nachteil für diese entsteht; es vielmehr auch im Interesse der Nutzer ist, wenn nicht bei jedem Login Nutzungsbedingungen akzeptiert werden müssen.

Dauer der Speicherung

Das Session-Cookie wird nach Beendigung der Session gelöscht. Das weitere Cookie bleibt dauerhaft gespeichert, bis der Nutzer dieses eigens im Browser löscht. Im Übrigen werden die Daten wie folgt gelöscht:

  • Kontodaten = nach Beendigung des Vertrags, jedoch nicht vor Ablauf uns obliegender gesetzlicher Aufbewahrungspflichten
  • Protokolldaten = 7 Tage
  • Nutzungsdaten = 7 Tage
  • Geräteinformationen = 7 Tage

6.4. Widerspruchsmöglichkeit

Der Nutzer kann seinen Widerspruch in Bezug auf die Cookies zunächst mittels der Einstellungen seines Browsers erklären, z.B., indem er die Nutzung von Cookies deaktiviert (wobei hierdurch auch die Funktionsfähigkeit des Alan-Dienstes eingeschränkt werden kann). Ein Widerspruchsrecht gegen die Speicherung der weiteren Anmeldedaten besteht nicht, da wir diese zur Vertragserfüllung und Sicherstellung der IT-Sicherheit benötigen. Der Nutzer kann aber der Verwendung der E-Mailadresse zur Pflege der Geschäftsbeziehung widersprechen.

7 Datenverarbeitung Alan-Dienste

7.1 Beschreibung und Umfang der Datenverarbeitung

Innerhalb des Alan-Workflows kann vereinfacht zwischen zwei Prozessabschnitten unterschieden werden, die unabhängig voneinander ablaufen:

Im ersten Prozessabschnitt, dem Preprocessing (PP), werden die Eingaben vorverarbeitet und anschließend an das nachgelagerte Sprachmodell weitergereicht. Hierbei verarbeiten wir:

  • Ihre Kontodaten: E-Mailadresse (und Name, Vorname, sofern uns zur Verfügung gestellt)
  • Accountnamen in ihrem Tenant: E-Mailadresse (Name, Vorname, sofern bekannt)
  • Protokolldaten: Informationen, die Browser oder Gerät automatisch senden; IP-Adresse; Login ID; Browser Typ; Datum und Uhrzeit der Anmeldung
  • Betriebsdaten: Uhrzeit von Anfrage, Anfragevolumen, Reaktionszeiten
  • Geräte-Informationen: Betriebssystem, Browser, Monitorauflösung (die Daten können von Ihren Einstellungen abhängen).
  • Nutzerinhalte: personenbezogene Daten, die Sie uns bei der Eingabe in unsere Dienste bereitstellen („Inhalte"), einschließlich Ihrer Prompts und aller Inhalte, die Sie hochladen oder die in Alan integriert werden (bspw. Datenbanken, Datenquellen)

Das Ergebnis des ersten Prozessabschnittes wird anschließend an das angebundene Sprachmodell (LLM), weitergegeben und dort im zweiten Prozessabschnitt verarbeitet. Als Ergebnis dieser Datenverarbeitung wird eine Antwort auf den Prompt des Nutzers generiert.

Als Sprachmodell stehen sowohl die Comma LLM als auch optional LLM von Drittanbietern zur Verfügung. Eingegebene Texte sowie die Antworten des Sprachmodells werden in Alan in einer nutzerspezifischen (Chat-)Historie gespeichert. Diese Historie ist ausschließlich für den jeweiligen authentifizierten Nutzer einsehbar und dient der Nutzerfreundlichkeit. Die Comma LLM selbst sind zustandslos, d.h. die Eingaben werden verarbeitet, um eine Antwort zu erzeugen, eine darüberhinausgehende Speicherung erfolgt nicht.

Standardmäßig stellen wir Alan-Dienste mit von uns speziell für Alan trainierte LLM (Comma LLM) zur Verfügung. Diese Comma LLM unterliegen besonders hohen Sicherheitsanforderungen, da insbesondere kein Datenweitergabe an Dritte (mit Ausnahme unseres Cloudbetreibers) und auch kein Training zu eigenen Zwecken erfolgt.

Optional ist jedoch die Anbindung von Drittanbieter LLM möglich. Sofern diese Option von unserem Vertragspartner gewünscht wird, kann sie kundenindividuell aktiviert werden. Sie steht dann sämtlichen berechtigten Nutzern unseres Vertragspartners zur Verfügung und kann vom jeweiligen Nutzer aktiv ausgewählt werden.

In diesem Fall ändert sich das Preprocessing nicht, sehr wohl aber das Sprachmodell (LLM), die Datenverarbeitung innerhalb des LLM und damit die Antwort auf die Benutzereingabe und den im PP erzeugten Prompt.

Es wird ausdrücklich darauf hingewiesen, dass Comma Soft in keinem vertraglichen Verhältnis zu dem Drittanbieter steht. Login-Informationen des Nutzers werden von Comma Soft nicht an das Drittanbieter-LLM übertragen. Comma Soft zeigt in der Oberfläche an, welches LLM gerade verwendet wird und signalisiert visuell bei Verwendung eines Drittanbieter-LLM eine Gefahr für Datenabfluss an externe Dienste.

Es gelten in Bezug auf das Drittanbieter LLM die Vertrags- und Nutzungsbedingungen sowie Datenschutzhinweise des jeweiligen Anbieters. Nähere Informationen finden Sie auch unter Ziffer 3.4.2. dieses Datenschutzhinweises.

Sofern die Funktion zum Teilen von Wissensdatenbanken oder Experten genutzt wird, werden die Kontodaten (E-Mail-Adressen) innerhalb ihres Tenants verarbeitet, um den jeweiligen Adressaten auszuwählen und den Adressaten über die geteilte Datenquelle zu informieren.

Soweit möglich, pseudonymisieren wird Daten. Klarnamen von Nutzern können ausschließlich in besonderen Situationen (z.B. Gefahrenabwehr wie Cyberangriffen, behördlichen Anordnungen, Systeminstabilitäten, Betrug, etc.) verwendet werden, um adäquate Gegenmaßnahmen zu ergreifen und z.B. Verursacher direkt zu adressieren. Der Zugriff auf die Klarnamen ist besonders geschützt (z.B. Audit-Log) und ist generell nur für einem sehr kleinen Personenkreis technisch erlaubt und möglich.

Der Zugriff auf Nutzerinhalte ist besonders geschützt (4-Augen-Prinzip, AuditLog, etc.) und nur in Ausnahmefällen möglich und erfolgt erst nach Abstimmung mit dem Nutzer.

Die vorgenannte Datenverarbeitung bezieht sich auf die Nutzung von Alan über ein Comma Soft LLM, nicht über ein Drittanbieter-LLM.

Wir nutzen E-Mailadressen ferner zur Kommunikation im Falle des Supports, der Pflege der Geschäftsbeziehung, u.a. um Nutzer auf neue Funktionen etc. hinweisen zu können. Da diese Kontaktaufnahmen auch im Interesse des Nutzers sind und er dieser Nutzung jederzeit widersprechen kann, überwiegen insoweit unsere berechtigten Interessen an der Datenverarbeitung der E-Mailadresse zur Pflege der Geschäftsbeziehung.

7.2 Rechtsgrundlage für die Datenverarbeitung

Die Rechtsgrundlagen außerhalb eines Auftragsverarbeitungsvertrags sind Art. 6 Abs. 1 lit. b) DSGVO (Vertrag), Art. 6 Abs. 1 lit c) DSGVO (gesetzliche Anforderungen) und Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse).

7.3 Zweck der Datenverarbeitung

Der Zweck der Datenverarbeitung ist Bereitstellung der vertraglich geschuldeten Leistung (angebotenen Funktionen). Daneben haben wir ein berechtigtes Interesse an einer ordnungsgemäßen Vertragserfüllung, der Analyse und Pflege, der Produktverbesserung sowie der Bereitstellung eines Dienstes mit möglichst nutzerfreundlichen Funktionen (bspw. Speicherung des Chatverlaufs). Da es dem Nutzer freisteht, diesen jederzeit zu löschen, diese Funktionen in seinem Interesse liegt, Comma Soft nur nach Abstimmung mit dem Nutzer und nur in bestimmten kritischen Situationen Zugriff darauf nimmt, überwiegen insoweit unsere berechtigten Interessen an der Datenverarbeitung und der Bereitstellung dieser nutzerfreundlichen Funktion. Die weiteren Daten verarbeiten wir, um einen sicheren und stabilen Systembetrieb, die Bereitstellung der Alan Dienste und eine sichere Benutzerumgebung zu gewährleisten. Wir haben ferner ein berechtigtes Interesse daran, unsere Dienste zu verbessern und modernen technischen Gegebenheiten und Anforderungen anzupassen (Produktverbesserung). Da diese Datenverarbeitung auch dem Nutzer zugutekommt und wir transparent über die Datenverarbeitung informieren, überwiegt unser berechtigtes Interesse den Rechten der Nutzer. Darüber hinaus nutzen wir die Daten auch zu Zwecken der Abrechnung, d.h. um die uns obliegenden gesetzlichen Anforderungen, insbesondere an eine ordnungsgemäße Abrechnung, an IT-Sicherheit und Datenschutzrecht einzuhalten und zu optimieren. Im Falle des Missbrauchs nutzen wir diese Daten auch zum Zwecke der Rechtsverfolgung.

Sofern möglich pseudonymisieren wir Daten. Dies ist z.B. bei der Verwendung zur Verbesserung der Alan Dienste oder dynamischen Leistungsanpassung der Fall.

7.4 Dauer der Speicherung

IP-Adressen, Nutzereingaben, Nutzeruploads und Nutzerhistorien werden wie Prompts (an Alan Dienste) 30 Tage nach Vertragsende gelöscht. Metadaten zum Nutzer und zu Uploads werden 3 Jahre nach Vertragsende gelöscht.

  • Ihre Kontodaten: 30 Tage nach Vertragsende
  • Accountnamen in ihrem Tenant: 30 Tage nach Vertragsende
  • Protokolldaten: 7 Tage
  • Betriebsdaten: 30 Tage nach Vertragsende
  • Geräte-Informationen: 7 Tage
  • Nutzerinhalte: 30 Tage nach Vertragsende

7.5 Widerspruchsmöglichkeiten

Der Nutzer kann die Historie in seinem Account jederzeit löschen. Ein Widerspruch in Bezug auf die weitere Datenverarbeitung ist nicht möglich, da diese zur Durchführung des Vertrags bzw. zu Zwecken der Abrechnung und der IT-Sicherheit zwingend notwendig ist.

7.6 Personenbezogene Daten Dritter

Personenbezogene Daten Dritter verarbeiten wir, sofern sich diese in den Eingaben oder Wissensquellen der Alan Dienste befinden. Ob und welche Daten das sind, entzieht sich unserer Kenntnis und setzt voraus, dass sie legitimiert sind, diese Daten mit Alan zu verarbeiten. Verantwortlicher hierfür im Sinne der DSGVO ist unser Vertragspartner, also im Regelfall ihr Arbeitgeber. Bitte klären sie intern, welche Daten sie mit unseren Alan Diensten verwenden dürfen. Da wir keine Kenntnis über etwaige personenbezogenen Daten Dritter haben, diese nur im Rahmen der Interaktion mit Alan in Form der normalen Chat-Aktivitäten verwendet werden, ergeben sich Speicherdauer etc. aus den Angaben weiter oben.

8 Datenverarbeitung bei Nutzung von Werkzeugen

Die Einbindung von Werkzeugen, die Funktionalitäten eines Drittanbieters in die Alan Dienste einbinden können, müssen durch unseren Vertragspartner (ihren Arbeitgeber) zur Nutzung freigegeben werden, der auch verantwortlicher für die Verarbeitung ist. Ist das erfolgt, gelten die Regelungen des Vertrags zur Auftragsverarbeitung und die Verarbeitung durch uns erfolgt entsprechend weisungsgebunden. D.h. der jeweilige Anbieter befindet sich in einem Unterauftragsverhältnis zu uns. Insofern erfolgt die folgende Darstellung primär aus Gründen der Transparenz für den Nutzer.

8.1 Brave (Internetsuche)

8.1.1 Beschreibung und Umfang der Datenverarbeitung durch uns

Wir haben weder von Ihren Eingaben noch den von Alan generierten Daten für die Internetsuche Kenntnis und arbeiten weisungsgebunden, was bedeutet der Verantwortliche für diese Datenweitergabe entspricht dem Verantwortlichen, also ihrem Arbeitgeber. Faktisch handelt es sich um eine Suche vergleichbar der im Browser, wobei Alan selbst die Sucheingabe erstellt. Das bedeutet, hier können potenziell sämtliche Alan zur Verfügung stehenden Daten Teil des Prompts sein, was sowohl kritische als auch personenbezogene Daten beinhalten kann. Daher wird ihnen die Eingabe, bevor sie übermittelt wird, angezeigt. Eine Übermittlung erfolgt erst nach expliziter Freigabe durch den Nutzer. Optional können Häufigkeit und Bedingungen der Bestätigung reduziert werden. Dies erfolgt jedoch ausschließlich durch die Administration durch unseren Vertragspartner (ihren Arbeitgeber).

Welche Funktionen hier genau zur Verfügung stehen, entspricht insofern der Weisung, die wir von unserem Vertragspartner (ihrem Arbeitgeber) erhalten haben, bzw. dieser selbst administriert hat.

Datenschutzhinweise des Anbieters: https://api-dashboard.search.brave.com/privacy-policy

8.1.2 Rechtsgrundlage für die Datenverarbeitung

Die Rechtsgrundlagen außerhalb eines Auftragsverarbeitungsvertrags sind Art. 6 Abs. 1 lit. b) DSGVO (Vertrag), Art. 6 Abs. 1 lit c) DSGVO (gesetzliche Anforderungen) und Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse). Die explizite Freigabe der Datenübertragung erfüllt darüber hinaus die Legitimation gemäß Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung).

8.1.3 Zweck der Datenverarbeitung/berechtigtes Interesse

Der Zweck der Verarbeitung liegt in der Bereitstellung der Internetsuche mit der Unterstützung von Alan, um so die spezifischen Eigenschaften beider Systeme (Alan, Internetsuche) miteinander zu kombinieren und den Nutzeneffekt zu steigern. Darin liegt auch unser berechtigtes Interesse begründet. Da vor einer Datenübertragung eine Anzeige und eine explizite Freigabe durch den Nutzer zwingend erforderlich ist, überwiegen insoweit unsere berechtigten Interessen an der Datenverarbeitung und der Bereitstellung dieser nutzerfreundlichen Funktion.

8.1.4 Dauer der Speicherung

Die Suchergebnisse werden von Alan zur Generierung der Antwort on-the-fly genutzt und nicht persistiert. Die für die Übermittlung an die Websuche durch Alan vorbereiteten Prompts werden in den Nutzerchats gespeichert und stehen hier für die weitere Verwendung und Dokumentation zur Verfügung. Hier können sie auch gelöscht werden.

Die Datenübermittlung selbst erfolgt ohne Übertragung ihres Benutzerkontos oder ihrer Identität.

8.1.5 Widerspruchs und Beseitigungsmöglichkeiten

Der Nutzer entscheidet selbst im Einzelfall über die Nutzung des Werkzeugs und kann die gegebenenfalls bestehende Historie in seinem Account jederzeit löschen. Ein Widerspruch in Bezug auf die weitere Datenverarbeitung ist nicht möglich, da diese zur Durchführung des Vertrags bzw. zu Zwecken der Bereitstellung des Werkzeugs zwingend erforderlich ist.

9 E-Mail-Anfragen /Support-Anfragen

9.1 Beschreibung und Umfang der Datenverarbeitung

Es besteht Möglichkeit die von uns vorgehaltene E-Mailadresse Kontakt mit uns aufzunehmen. Wird zur Kontaktaufnahme E-Mail genutzt, werden folgende Daten an uns übermittelt und gespeichert.

  • Absenderadresse nebst Mail-Metadaten wie Datum, Uhrzeit, Wichtigkeit oder Anforderung einer Lesebestätigung
  • Weitere Adressaten die direkt oder per cc adressiert wurden,
  • Betreff und Mailtext inkl. ggf. darin enthaltener personenbezogenen Daten

Die Daten werden ausschließlich für die Verarbeitung der Konversation bzw. Anfrage verwendet.

9.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten im Zusammenhang mit dem Kontaktformular und einer E-Mailanfrage ist Artikel 6 Abs. 1 lit. f) DSGVO. Wir haben ein berechtigtes Interesse daran, Ihre Anfrage zu beantworten.

Zielt der Kontakt auf den Abschluss eines Vertrags oder auf ein Support-Ticket ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b) DSGVO.

9.3 Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten aus dem Kontaktformular und der E-Mailanfrage dient allein der Beantwortung Ihrer Anfrage bzw. technischen Support zu erbringen.

9.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist und keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.

9.5 Widerspruchs- und Beseitigungsmöglichkeit

Der Nutzer hat jederzeit die Möglichkeit der Speicherung seiner personenbezogenen Daten zu widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden. Der Widerspruch der Speicherung kann per E-Mail oder per Post erfolgen. Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht, es sei denn gesetzliche Aufbewahrungsfristen stehen dem zuwider.

10 Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

  • Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten einschließlich eventueller Empfänger und der geplanten Speicherdauer, Art. 15 DSGVO
  • Recht auf Berichtigung, sollten unrichtige Daten von Ihnen verarbeitet werden, Art. 16 DSGVO

Sofern die gesetzlichen Voraussetzungen hierzu vorliegen, stehen Ihnen folgende weitere Rechte zu:

  • Recht auf Löschung, Art. 17 DSGVO
  • Recht auf eingeschränkte Verarbeitung, Art. 18 DSGVO
  • Recht auf Unterrichtung, Art. 19 DSGVO
  • Recht auf Datenübertragbarkeit, Art. 20 DSGVO
  • Recht auf Widerspruch, Art. 21 DSGVO
  • Recht auf Widerruf einer erteilten Einwilligung, Art. 7 Abs. 3 S. 1 DSGVO

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie gemäß Art. 77 Abs. 1 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde eigener Wahl zu beschweren.

11 Widerspruchsrecht, Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft -- ungeachtet der Richtlinie 2002/58/EG -- Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

12 IT-Sicherheit

Um die Sicherheit Ihrer Daten zu schützen, verwenden wir umfangreiche IT-Sicherheitsvorkehrungen, die Sie auch unserem Technischen und Organisatorischen Maßnahmen entnehmen können.

13 Änderungsvorbehalt

Wir behalten uns vor, diesen Datenschutzhinweis anzupassen, damit er den aktuellen rechtlichen Anforderungen entspricht.

Copyright © 2023-2025 Comma Soft AG