SorterAI
StartseiteRechtliches

Datenschutzerklärung

Stand: April 2026

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der EU-Datenschutz-Grundverordnung (DSGVO) über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung des SorterAI-Cloud-Dienstes.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

SorterAI GmbH
[PLATZHALTER Straße und Hausnummer]
[PLATZHALTER PLZ und Ort]
Deutschland
E-Mail: datenschutz@sorterai.de

[PLATZHALTER Datenschutzbeauftragter — falls bestellt: Name, Kontaktdaten]

2. Erhobene Daten

Im Rahmen der Nutzung unserer Dienste verarbeiten wir folgende Kategorien personenbezogener Daten:

Server-Logfiles

  • IP-Adresse (gekürzt nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • User-Agent (Browser, Betriebssystem)
  • Referrer-URL

Account- und Authentifizierungsdaten

  • E-Mail-Adresse
  • Name und Organisationszugehörigkeit (sofern angegeben)
  • Passwort-Hash (bcrypt) bzw. OAuth-Identifier
  • Session-Token und Login-Zeitstempel

Zahlungs- und Abrechnungsdaten

  • Stripe Customer-ID, Subscription-ID, Rechnungsbeträge und Zahlungsstatus
  • Rechnungsadresse und ggf. USt-IdNr. (zur Erfüllung steuerrechtlicher Pflichten)

Inferenz- und Nutzungs-Logs

  • Anzahl und Zeitpunkt der KI-Klassifikationen (zur Abrechnung und Fehleranalyse)
  • Geräte-IDs der angebundenen Edge-Devices (mTLS-Identitäten)
  • Konfigurationsdaten der angelegten Sortier-Regeln und Sample-Sets

3. Rechtsgrundlagen

Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der SaaS-Plattform, Abrechnung)
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. Aufbewahrungspflichten nach HGB / AO)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (IT-Sicherheit, Missbrauchsabwehr, anonymisierte Reichweitenanalyse)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. optionale KI-Inferenz bei externen Anbietern, Marketing-Kommunikation)

4. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform erforderlich sind (Session-Verwaltung, Cookie-Einwilligungs-Status). Optional kommen aggregierte, anonymisierte Analyse-Cookies zum Einsatz; deren Verarbeitung erfolgt nur nach vorheriger Einwilligung. Eine detaillierte Übersicht finden Sie im Cookie-Hinweis.

5. Supabase Auth Session-Cookies

Für die Anmeldung und Sitzungsverwaltung verwenden wir eine selbst gehostete Instanz der Open-Source Bibliothek Supabase Auth (GoTrue). Dabei werden zwei Cookies gesetzt: sb-access-token (kurzlebig, ca. 1 Stunde) und sb-refresh-token (Laufzeit 30 Tage). Beide enthalten ausschließlich signierte JWT-Tokens, die zur Authentifizierung gegenüber unseren Servern dienen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

6. Zahlungsabwicklung über Stripe

Zur Abwicklung von Zahlungen nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe"). Bei der Auswahl einer kostenpflichtigen Subskription übermittelt Ihr Browser Zahlungsdaten direkt an Stripe — wir selbst verarbeiten und speichern keine vollständigen Kreditkarten- oder Bankverbindungsdaten.

Stripe kann personenbezogene Daten in die USA übermitteln. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen unter: https://stripe.com/de/privacy

7. Hosting (Hetzner)

Unsere Plattform wird in Rechenzentren der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland, gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der Server-Standort liegt ausschließlich innerhalb der Europäischen Union.

8. KI-Inferenz (Anthropic / OpenAI)

Auf ausdrücklichen Wunsch oder im Rahmen optional gebuchter Cloud-KI-Modelle übermitteln wir anonymisierte Klassifikationsanfragen an folgende Auftragsverarbeiter:

  • Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USA
  • OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA

Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge inkl. Standardvertragsklauseln (SCCs). Eine Drittlandsübermittlung in die USA findet statt; die Anbieter sichern vertraglich zu, übermittelte Daten nicht zu Trainingszwecken zu nutzen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO. Sie können in den Account-Einstellungen die On-Premise-/Edge-Inferenz aktivieren, sodass keine Daten unsere Infrastruktur verlassen.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist:

  • Server-Logfiles: 14 Tage (gekürzte IP nach 7 Tagen)
  • Account-Daten: für die Dauer des Vertragsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen (HGB/AO bis zu 10 Jahre)
  • Rechnungs- und Buchungsbelege: 10 Jahre gemäß § 147 AO
  • Inferenz-Logs: 90 Tage zur Fehleranalyse, danach Aggregierung in anonymisierte Statistiken

10. Ihre Rechte

Als betroffene Person haben Sie nach der DSGVO folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an datenschutz@sorterai.de.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Behörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Telefon: +49 30 13889-0
Web: https://www.datenschutz-berlin.de

[PLATZHALTER — falls Sitz nicht Berlin: zuständige Landes-Aufsichts­behörde eintragen]