Rechtliches

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, wie die Digitalalchemisten UG (haftungsbeschränkt) personenbezogene Daten im Rahmen des Dienstes PrivateRouter erhebt, verarbeitet und schützt.

Stand: Juni 2026

1.

Verantwortlicher

Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten auf und über diese Plattform ist:

Digitalalchemisten UG (haftungsbeschränkt)

[TODO: Straße und Hausnummer]

[TODO: PLZ Ort]

E-Mail: datenschutz@privaterouter.de

[TODO: Telefonnummer oder Zeile entfernen]

2.

Datenschutzbeauftragter

Gemäß Art. 37 DSGVO i. V. m. § 38 BDSG ist die Bestellung eines Datenschutzbeauftragten nur erforderlich, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder bestimmte Verarbeitungstätigkeiten (z. B. umfangreiche Verarbeitung besonderer Kategorien von Daten) vorliegen.

Diese Voraussetzungen sind bei der Digitalalchemisten UG (haftungsbeschränkt) derzeit nicht erfüllt. Es ist daher kein Datenschutzbeauftragter bestellt. Datenschutzanfragen richten Sie bitte direkt an die unter Abschnitt 1 genannte E-Mail-Adresse.

3.

Welche personenbezogenen Daten wir verarbeiten

3.1 Registrierungsdaten

Bei der Registrierung für ein PrivateRouter-Konto erheben wir folgende Daten:

  • E-Mail-Adresse (Pflichtfeld, zur Konto-Authentifizierung)
  • Name (optional, zur Anzeige im Dashboard)
  • Passwort (gespeichert ausschließlich als bcrypt-Hash, niemals im Klartext)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 API-Nutzungsdaten (Metadaten)

Wichtig: Wir speichern keinerlei Inhalte Ihrer API-Anfragen oder der generierten Antworten. Gespeichert werden ausschließlich die nachfolgend beschriebenen Metadaten zum Zweck der Abrechnung und Missbrauchserkennung.

Für jeden API-Aufruf erfassen wir folgende Metadaten:

  • Zeitstempel der Anfrage (UTC)
  • Gewähltes Sprachmodell (z. B. „glm-5.2")
  • Anzahl der Input-Token und Output-Token
  • Berechnete Kosten in Micro-EUR
  • HTTP-Statuscode der Antwort
  • Verwendeter API-Schlüssel (gehashter Identifier, nicht der Klartext-Key)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Abrechnung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Betrugsprävention, Systemsicherheit).

3.3 Zahlungsdaten

Die Zahlungsabwicklung erfolgt ausschließlich über den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (im Weiteren: „Stripe"). Wir selbst speichern keine vollständigen Zahlungsdaten (z. B. Kreditkartennummern).

An Stripe übermitteln wir: den aufzuladenden Betrag, Ihre E-Mail-Adresse sowie technische Sitzungsdaten. Stripe verarbeitet die Zahlungsdaten gemäß seiner eigenen Datenschutzerklärung (stripe.com/de/privacy). Stripe ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Server-Log-Daten

Beim Zugriff auf unsere Webseite und API speichern unsere Server automatisch folgende Daten in Server-Logs:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • HTTP-Methode und Statuscode
  • Übertragene Datenmenge
  • User-Agent-String des Browsers oder API-Clients

Diese Daten werden ausschließlich zur Erkennung und Abwehr von Angriffen, zur Fehlerdiagnose sowie zur Systemstabilität verarbeitet. Die Löschung erfolgt nach spätestens 7 Tagen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: IT-Sicherheit und Betriebsstabilität).

4.

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen gemäß Art. 6 DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Erbringung des API-Dienstes, zur Nutzerverwaltung und zur Abrechnung.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Aufbewahrung von Rechnungsdaten gemäß § 14b UStG, § 147 AO (10 Jahre).
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Sicherstellung der IT-Sicherheit, Betrugsprävention, Missbrauchserkennung. Unser berechtigtes Interesse überwiegt, da die Maßnahmen technisch erforderlich und zeitlich begrenzt sind.
5.

Weitergabe personenbezogener Daten an Dritte

Wir geben personenbezogene Daten nur in folgenden Fällen an Dritte weiter:

  • Stripe Payments Europe Ltd. (Zahlungsabwicklung): Auftragsverarbeiter gemäß Art. 28 DSGVO. Übermittlung beschränkt auf die zur Zahlungsabwicklung erforderlichen Daten. Sitz in der EU (Irland).
  • IONOS SE bzw. StackIT GmbH (Hosting / Infrastruktur): Auftragsverarbeiter gemäß Art. 28 DSGVO. Betrieb der Server-Infrastruktur ausschließlich in deutschen Rechenzentren (Frankfurt am Main / Stuttgart). ISO 27001 zertifiziert.

Eine Weitergabe an weitere Dritte, insbesondere zu Marketingzwecken oder an Modell-Anbieter, findet nicht statt. KI-Modell-Anfragen werden als Durchleitungsverkehr (Proxy) behandelt; die KI-Anbieter erhalten keine Nutzer-Identifikatoren.

6.

Kein Training mit Kundendaten

Explizite Zusicherung: Weder PrivateRouter noch die eingesetzten KI-Modell-Anbieter verwenden die Inhalte Ihrer API-Anfragen für das Training, Fine-Tuning oder sonstige Verbesserung von KI-Modellen. Diese Zusicherung ist vertraglich verankert (vgl. AGB § 8 sowie AVV).

Im Einzelnen gilt:

  • Der Inhalt von API-Anfragen (Prompt-Text, Kontext) und Antworten wird weder gespeichert noch analysiert.
  • Lediglich Metadaten (Token-Anzahl, Modellname, Zeitstempel — ohne Inhalt) werden zur Abrechnung erfasst (vgl. Abschnitt 3.2).
  • Bei Einsatz von API-Anbietern werden vertraglich keine Trainingsrechte eingeräumt.
7.

Speicherdauer

DatenkategorieSpeicherdauer
Registrierungsdaten (E-Mail, Name)Bis zur Kontolöschung + 30 Tage Karenzzeit
API-Nutzungsmetadaten (Token, Kosten)Bis zur Kontolöschung + 30 Tage
Rechnungs- und Zahlungsdaten10 Jahre (§ 147 AO, § 14b UStG)
Server-Log-Daten (IP-Adressen)Maximal 7 Tage
API-Schlüssel (gehasht)Bis zur manuellen Löschung durch Nutzer
8.

Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunft (Art. 15)Sie können Auskunft über die von uns verarbeiteten Daten, deren Herkunft, Empfänger und Verarbeitungszweck verlangen.
  • Berichtigung (Art. 16)Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschung (Art. 17)Sie können unter den gesetzlichen Voraussetzungen die Löschung Ihrer Daten verlangen. Für Buchhaltungsdaten gelten gesetzliche Aufbewahrungspflichten.
  • Einschränkung (Art. 18)Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten.
  • Portabilität (Art. 20)Sie können die Herausgabe Ihrer Daten in einem strukturierten, maschinenlesbaren Format verlangen (soweit technisch möglich).
  • Widerspruch (Art. 21)Sie können der Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f) widersprechen. Wir stellen dann die Verarbeitung ein, sofern keine zwingenden schutzwürdigen Gründe überwiegen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@privaterouter.de. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

9.

Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist insbesondere die Behörde des Bundeslandes, in dem Sie Ihren gewöhnlichen Aufenthaltsort, Ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes haben.

Die für uns zuständige Aufsichtsbehörde ist: [TODO: Zuständige Landesdatenschutzbehörde nach Unternehmenssitz eintragen]

Eine Liste aller deutschen Datenschutzaufsichtsbehörden finden Sie unter: bfdi.bund.de.

10.

Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) findet grundsätzlich nicht statt.

Sämtliche Server-Infrastruktur wird in Deutschland betrieben (Rechenzentren in Frankfurt am Main und/oder Stuttgart). Auch unsere Auftragsverarbeiter sind in der EU ansässig:

  • Stripe Payments Europe Ltd.: Dublin, Irland (EU)
  • IONOS SE: Montabaur, Deutschland
  • StackIT GmbH: Heilbronn, Deutschland

Soweit bei der Nutzung bestimmter KI-Modelle eine Weiterleitung an außereuropäische Anbieter technisch erforderlich sein sollte, wird dies in der Preisliste und Modellbeschreibung explizit ausgewiesen. In diesem Fall erfolgt die Übermittlung auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder eines gleichwertigen Angemessenheitsbeschlusses.

11.

Cookies und lokale Speicherung

Wir setzen keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies ein.

Wir verwenden ausschließlich technisch notwendige Speichermechanismen:

  • Session-Token (localStorage): Zur Aufrechterhaltung der Anmeldesitzung im Dashboard. Keine Ablaufzeit beim Schließen des Browsers; manuell löschbar über Abmelden.
  • Theme-Präferenz (localStorage): Speicherung der Hell-/Dunkel-Modus-Einstellung lokal im Browser.

Da nur technisch notwendige Cookies zum Einsatz kommen, ist kein Cookie-Banner erforderlich (§ 25 Abs. 2 TTDSG).

12.

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes und der Datenverarbeitung aktuell zu halten. Die jeweils aktuelle Fassung ist stets unter privaterouter.de/datenschutz abrufbar. Wesentliche Änderungen teilen wir registrierten Nutzern per E-Mail mit.