Datenschutzerklärung

für apertus.ai (Website und Plattform)

§ 1 Allgemeine Hinweise und Verantwortlicher

(1) Allgemeine Hinweise

Diese Datenschutzerklärung gilt für die Website apertus.ai und die Plattform app.apertus.ai (nachfolgend gemeinsam „Dienste").

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Die Nutzung unserer Dienste ist grundsätzlich ohne Angabe personenbezogener Daten möglich. Soweit personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.

(2) Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Flynnt UG (haftungsbeschränkt) Produkt: apertus.ai Museumstraße 31 22765 Hamburg Deutschland

Kontakt: E-Mail: privacy@apertus.ai Web: https://apertus.ai

Geschäftsführer: Lars Stelzer, Phil Stelzer

(3) Datenschutzbeauftragter

Aufgrund unserer Unternehmensgröße (weniger als 20 Mitarbeiter mit Datenverarbeitung) sind wir nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Ansprechpartner für Datenschutzfragen: Lars Stelzer E-Mail: privacy@apertus.ai

§ 2 Datenerfassung auf der Website (apertus.ai)

(1) Hosting und Content Delivery

Website-Hosting: Unsere Website wird auf Servern der Amazon Web Services (AWS) gehostet und über das Content Delivery Network (CDN) CloudFront ausgeliefert.

Anbieter:
Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy
L-1855 Luxemburg

Art der Verarbeitung:

  • Auslieferung statischer Inhalte (HTML, CSS, JavaScript, Bilder)
  • Keine Speicherung von IP-Adressen in CloudFront-Logs
  • Keine Erstellung von Nutzerprofilen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Website)

Verarbeitungsort: Europäische Union (primär Frankfurt/Deutschland)

(2) Web-Analytics (PostHog EU Cloud)

Wir nutzen PostHog für die Analyse der Website-Nutzung zur Verbesserung unseres Angebots. PostHog wird ausschließlich in der EU-Cloud-Version betrieben.

Anbieter:
PostHog Inc.
EU Cloud Server: Frankfurt, Deutschland

Art der Verarbeitung:

  • Erfassung anonymisierter Nutzungsstatistiken (Seitenaufrufe, Klicks, Navigation)
  • Keine Erfassung personenbezogener Daten
  • Keine IP-Adressen werden gespeichert
  • Keine Cookies werden gesetzt
  • Keine Cross-Site-Tracking

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Optimierung unserer Website)

Speicherdauer: Anonymisierte Statistiken werden maximal 90 Tage gespeichert.

Widerspruchsrecht: Sie können PostHog durch Installation eines Browser-Add-Ons oder durch Do-Not-Track-Einstellungen Ihres Browsers blockieren.

Weitere Informationen: Datenschutzerklärung von PostHog: https://posthog.com/privacy

(3) Kontaktformular

Wenn Sie uns über unser Kontaktformular kontaktieren, werden die von Ihnen eingegebenen Daten zur Bearbeitung Ihrer Anfrage verwendet.

Erfasste Daten:

  • Name
  • E-Mail-Adresse
  • Unternehmen (optional)
  • Nachricht

Speicherung: Das Kontaktformular speichert keine Daten auf unseren Servern. Die Nachricht wird direkt per E-Mail über AWS SES (Simple Email Service) an unsere Support-Adresse versendet.

Verarbeitung durch AWS SES: Amazon Web Services EMEA SARL (siehe oben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage)

Speicherdauer: Ihre Anfrage wird in unserem E-Mail-Postfach gespeichert, bis die Anfrage vollständig bearbeitet ist, maximal jedoch 12 Monate, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(4) Meeting-Buchung (Microsoft 365 Booking)

Für die Vereinbarung von Demo-Terminen und Beratungsgesprächen nutzen wir Microsoft 365 Booking.

Anbieter:
Microsoft Ireland Operations Limited
One Microsoft Place
South County Business Park
Leopardstown, Dublin 18
Irland

Erfasste Daten:

  • Name
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Gewünschter Termin

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Durchführung vorvertraglicher Maßnahmen)

Auftragsverarbeitung: Mit Microsoft wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO im Rahmen der Microsoft 365 Business-Lizenz abgeschlossen.

Verarbeitungsort: Europäische Union (Microsoft Rechenzentren in Europa)

Speicherdauer: Buchungsdaten werden 12 Monate nach dem gebuchten Termin gelöscht.

Weitere Informationen: Microsoft Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

§ 3 Datenerfassung auf der Plattform (app.apertus.ai)

(1) Registrierung und Nutzerkonto

Für die Nutzung der apertus.ai Plattform ist eine Registrierung erforderlich. Dabei werden folgende Daten erhoben:

Pflichtangaben:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)

Optional:

  • Unternehmensname
  • Name des Ansprechpartners
  • Telefonnummer
  • Weitere Kontaktdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)

Speicherort: Alle Kundendaten werden ausschließlich auf Servern der Hetzner Online GmbH in Deutschland gespeichert (Rechenzentren in Falkenstein und Nürnberg).

Speicherdauer:

  • Solange Ihr Account aktiv ist
  • Nach Kündigung: 30 Tage (für möglichen Download Ihrer Daten)
  • Anschließend: Vollständige Löschung aller Daten
  • Ausnahme: Rechnungsdaten (10 Jahre gemäß HGB/AO)

(2) Nutzung der Platform

Bei der Nutzung unserer Platform verarbeiten wir folgende Daten:

Nutzungsdaten:

  • Ihre Eingaben (Prompts, Anfragen an KI-Modelle)
  • Generierte Ergebnisse (Outputs)
  • Hochgeladene Dokumente und Inhalte
  • Knowledge Hives / Datenbanken

Technische Daten:

  • Session-Tokens (zur Authentifizierung)
  • Zeitstempel der Nutzung
  • Fehlermeldungen (zur Fehlerbehebung)

Wichtig - Keine KI-Modell-Training: Wir verwenden Ihre Daten niemals zum Training von KI-Modellen. Ihre Eingaben und Ergebnisse bleiben ausschließlich in Ihrem Account und werden nicht mit anderen Nutzern oder für die Verbesserung von Basis-Modellen geteilt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)

Speicherort: Deutschland (Hetzner Online GmbH)

(3) E-Mail-Kommunikation (AWS SES)

Für den Versand von System-E-Mails (Registrierungsbestätigung, Passwort-Reset, Sicherheitshinweise) nutzen wir AWS SES (Simple Email Service).

Anbieter: Amazon Web Services EMEA SARL (siehe oben)

Art der Verarbeitung:

  • Versand transaktionaler E-Mails
  • Keine Speicherung von E-Mail-Inhalten durch AWS SES
  • Ausschließlich Versand-Funktion

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Kommunikation mit unseren Nutzern)

Verarbeitungsort: Europäische Union (AWS Region Frankfurt)

(4) Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe.

Anbieter:
Stripe Payments Europe Ltd.
1 Grand Canal Street Lower
Grand Canal Dock
Dublin 2
Irland

Art der Verarbeitung:

  • Verarbeitung von Zahlungsinformationen (Kreditkarte, SEPA-Lastschrift)
  • Zahlungsdaten werden ausschließlich bei Stripe gespeichert
  • Wir erhalten nur eine anonymisierte Transaktionsbestätigung

Erfasste Daten:

  • Name
  • E-Mail-Adresse
  • Rechnungsadresse
  • Zahlungsinformationen (werden direkt an Stripe übermittelt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)

Auftragsverarbeitung: Mit Stripe wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Verarbeitungsort: Europäische Union (primär Irland)

Speicherdauer: Rechnungsdaten werden 10 Jahre gespeichert (gesetzliche Aufbewahrungspflicht gemäß § 147 AO, § 257 HGB).

Weitere Informationen: Stripe Datenschutzerklärung: https://stripe.com/de/privacy

(5) Server-Logs

Bei jedem Zugriff auf unsere Platform werden folgende technische Daten in Server-Logs erfasst:

Erfasste Daten:

  • Zeitstempel des Zugriffs
  • Angefragte URL
  • HTTP-Statuscode
  • User-Agent (Browser/Betriebssystem)
  • Referrer-URL
  • Keine IP-Adressen (wurden deaktiviert)

Zweck: Fehlerbehebung, Sicherheitsüberwachung, Performance-Optimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unserer Dienste)

Speicherdauer: Maximal 30 Tage, danach automatische Löschung

§ 4 Keine Cookies und kein Tracking

(1) Keine Cookies

Unsere Website und Platform verwenden keine Cookies für Tracking- oder Marketingzwecke.

Technisch notwendige Session-Verwaltung: Die Authentifizierung in der Platform erfolgt über Session-Tokens, die im Local Storage Ihres Browsers gespeichert werden. Diese dienen ausschließlich dazu, Sie während Ihrer Sitzung eingeloggt zu halten.

(2) Kein Marketing-Tracking

Wir verwenden keine Marketing-Tracking-Tools wie:

  • Google Analytics
  • Facebook Pixel
  • LinkedIn Insight Tag
  • Google Ads Conversion Tracking

Unsere einzige Analyse-Software ist PostHog EU Cloud (siehe § 2 Abs. 2), die ausschließlich anonymisierte, aggregierte Statistiken erstellt.

§ 5 Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)

  • Registrierung und Verwaltung Ihres Accounts
  • Bereitstellung der Platform-Funktionen
  • Zahlungsabwicklung
  • E-Mail-Kommunikation

Art. 6 Abs. 1 lit. f) DSGVO (Berechtigte Interessen)

  • Technische Bereitstellung und Sicherheit der Dienste
  • Anonymisierte Web-Analyse (PostHog)
  • Server-Logs zur Fehlerbehebung
  • Beantwortung von Anfragen

Art. 6 Abs. 1 lit. c) DSGVO (Rechtliche Verpflichtung)

  • Aufbewahrung von Rechnungsdaten (10 Jahre gemäß HGB/AO)

§ 6 Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

Nach Ablauf der Speicherfristen werden die Daten unwiderruflich gelöscht.

§ 7 Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

(1) Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.

(2) Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

(3) Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht gesetzliche Aufbewahrungspflichten oder andere gesetzliche Pflichten einer Löschung entgegenstehen.

(4) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

(5) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Export-Funktion: Sie können jederzeit einen vollständigen Export Ihrer Daten in strukturiertem Format (JSON) über privacy@apertus.ai anfordern. Wir stellen Ihnen den Export binnen 30 Tagen zur Verfügung.

(6) Recht auf Widerspruch (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.

(7) Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen.

(8) Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

E-Mail: privacy@apertus.ai Post: Flynnt UG (haftungsbeschränkt), Museumstraße 31, 22765 Hamburg

§ 8 Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:

(1) Hosting und Infrastruktur

Hetzner Online GmbH (primäre Platform-Hosting)
Industriestraße 25
91710 Gunzenhausen
Deutschland

Leistung: Bereitstellung von Server-Infrastruktur und Hosting Verarbeitungsort: Deutschland (Falkenstein, Nürnberg) AVV: Vorhanden gemäß Art. 28 DSGVO Zertifizierungen: ISO 27001, TÜV-zertifizierte Rechenzentren

OVH GmbH (Inferenz-Infrastruktur für KI-Verarbeitung)
Hohenzollernring 72
50672 Köln
Deutschland

Leistung: Rechenleistung für KI-Modell-Verarbeitung Verarbeitungsort: Deutschland (Frankfurt, Limburg), Frankreich (Roubaix, Gravelines) AVV: Vorhanden gemäß Art. 28 DSGVO Zertifizierungen: ISO 27001, ISO 27017, ISO 27018

Amazon Web Services EMEA SARL (Website-Hosting, CDN, E-Mail-Versand)
38 Avenue John F. Kennedy
L-1855 Luxemburg

Leistung:

  • Hosting der Marketing-Website (AWS)
  • Content Delivery (CloudFront)
  • E-Mail-Versand (SES)

Verarbeitungsort: Europäische Union (primär Frankfurt/Deutschland) AVV: AWS Customer Agreement enthält Datenschutzvereinbarungen gemäß Art. 28 DSGVO Zertifizierungen: ISO 27001, ISO 27017, ISO 27018, SOC 2

(2) Zahlungsdienstleister

Stripe Payments Europe Ltd.
1 Grand Canal Street Lower
Grand Canal Dock
Dublin 2
Irland

Leistung: Zahlungsabwicklung Verarbeitungsort: Europäische Union (primär Irland) AVV: Vorhanden gemäß Art. 28 DSGVO Zertifizierungen: PCI DSS Level 1

(3) Produktivitäts- und Kommunikationsdienste

Microsoft Ireland Operations Limited (M365 Booking)
One Microsoft Place
South County Business Park
Leopardstown, Dublin 18
Irland

Leistung: Meeting-Buchungssystem Verarbeitungsort: Europäische Union AVV: Microsoft 365 Business-Lizenz enthält AVV gemäß Art. 28 DSGVO Zertifizierungen: ISO 27001, ISO 27018, SOC 2

PostHog Inc. (Web-Analytics)
EU Cloud: Frankfurt, Deutschland

Leistung: Anonymisierte Web-Analytics Verarbeitungsort: Europäische Union (Frankfurt) Besonderheit: Keine personenbezogenen Daten werden verarbeitet Zertifizierungen: GDPR-konform

(4) Keine Drittland-Übermittlung

Alle unsere Auftragsverarbeiter verarbeiten Daten ausschließlich innerhalb der Europäischen Union bzw. des EWR. Es erfolgt keine Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR).

§ 9 Datensicherheit

(1) Technische und organisatorische Maßnahmen

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen:

Verschlüsselung:

  • TLS 1.3 für alle Datenübertragungen
  • AES-256 für Datenspeicherung
  • Verschlüsselte Backups

Zugriffskontrolle:

  • Multi-Faktor-Authentifizierung (MFA) für Admin-Accounts
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Need-to-Know-Prinzip für Mitarbeiterzugriffe

Verfügbarkeit:

  • Tägliche automatisierte Backups
  • 30 Tage Backup-Aufbewahrung
  • Redundante Systemarchitektur

(2) Incident Response

Bei Sicherheitsvorfällen (z.B. Datenleck, unbefugter Zugriff) benachrichtigen wir betroffene Nutzer unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntniserlangung.

§ 10 Aktualität und Änderung der Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 02. Januar 2026.

Durch die Weiterentwicklung unserer Dienste oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern.

Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf unserer Website unter https://apertus.ai/privacy abgerufen werden.

Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

§ 11 Beschwerde bei Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde für Hamburg:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Ludwig-Erhard-Straße 22 20459 Hamburg Deutschland

Kontakt:
Telefon: +49 40 428 54-4040
E-Mail: mailbox@datenschutz.hamburg.de
Web: https://datenschutz-hamburg.de

§ 12 Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter:

Datenschutz-Kontakt:
E-Mail: privacy@apertus.ai

Postanschrift:
Flynnt UG (haftungsbeschränkt)
Produkt: apertus.ai
Museumstraße 31
22765 Hamburg
Deutschland

Ansprechpartner:
Lars Stelzer (Geschäftsführer)

Ende der Datenschutzerklärung

Flynnt UG (haftungsbeschränkt)
Stand: 02. Januar 2026

Stand: 02. Januar 2026