Datenschutzerklärung

Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website ist der unter der Anbieterkennzeichnung im Impressum genannte Diensteanbieter (Dato Bitarishvili, Einzelunternehmer; zukünftige Umwandlung in eine UG nach Eintragung).

Datenschutzbeauftragter

Adjudon hat aktuell keinen Datenschutzbeauftragten benannt. Adjudon ist Einzelunternehmen ohne weitere Mitarbeiter; die Benennungspflicht nach § 38 Abs. 1 BDSG gilt erst ab 20 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Eine Benennungspflicht nach Art. 37 Abs. 1 lit. b oder lit. c DSGVO greift ebenfalls nicht: Kerntätigkeit ist die Bereitstellung einer Compliance-Audit-Schicht, keine systematische Überwachung Betroffener und keine großflächige Verarbeitung besonderer Kategorien personenbezogener Daten. Datenschutzanfragen richten Sie bitte an [email protected].

Logfiles und IT-Sicherheit

Beim Aufruf der Website erhebt der Server folgende Daten in Logfiles: IP-Adresse, Datum und Uhrzeit der Anfrage, abgerufene URL, Referrer und User-Agent. Zweck: IT-Sicherheit, Erkennung und Abwehr von Angriffen, Rate-Limiting. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Netzsicherheit). Speicherdauer: maximal 7 Tage, danach Löschung oder Anonymisierung. Die 7-Tage-Frist folgt der Aufsichtsbehörden-Praxis (DSK-Orientierungshilfe); BGH-Urteil VI ZR 135/13 („Breyer", 2016) hat dynamische IP-Adressen als personenbezogenes Datum eingeordnet, ohne selbst eine Frist festzulegen.

Account und Authentifizierung

Bei Anlage eines Accounts verarbeiten wir: E-Mail, Name, Passwort (ausschließlich als bcrypt-Hash gespeichert, niemals im Klartext), gegebenenfalls OAuth-Token bei Federated-Login sowie MFA-Zustand. Zweck: Bereitstellung des Adjudon-Dashboards und Authentifizierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Auth-Daten bis zur Account-Löschung plus 30-Tage-Grace-Period; Rechnungsdaten separat nach § 257 HGB und § 147 AO für 10 Jahre (siehe Sub-Block 2.11).

Onboarding-E-Mails

Wir versenden idempotent maximal vier Aktivierungs- und Onboarding-E-Mails (Tag 1, 3, 7 und 14 nach Account-Erstellung). Zweck: produktive Aktivierung neuer Nutzer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Onboarding) beziehungsweise Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Widerruf jederzeit über den Abmelde-Link in jeder E-Mail oder per Nachricht an [email protected]. Versand erfolgt über Resend (EU-Region).

Termin-Buchungen (Cal.com)

Auf /kontakt verlinken wir auf Termin-Buchungs-Seiten bei Cal.com (Cal.com, Inc., San Francisco, USA). Wenn Sie auf einen dieser Links klicken, geben Sie Ihre Buchungsdaten (Name, E-Mail, Zeitfenster, optionale Anmerkung) direkt auf der Cal.com-Plattform ein; Cal.com ist insoweit eigener Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Adjudon erhält von Cal.com die Termin-Bestätigung lediglich zur Kalender-Synchronisation. Vor einer Buchung empfehlen wir die Lektüre der Datenschutzerklärung von Cal.com unter cal.com/privacy.

Billing-Daten (Stripe)

Bei Abschluss eines kostenpflichtigen Plans verarbeitet Stripe Payments Europe Ltd. (Sitz: Dublin, Irland) Ihre Zahlungsdaten als unser Auftragsverarbeiter. Adjudon selbst speichert lediglich die Stripe-Customer-ID, das Plan-Tier und Rechnungs-Metadaten (Rechnungsnummer, Betrag, Datum, Rechnungs-Adresse). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten, §§ 147 AO, 257 HGB). Aufbewahrungsdauer: 10 Jahre gemäß § 147 Abs. 3 AO.

Auftragsverarbeitung für Kunden (AVV)

Wenn Sie als Mitarbeiter, Kunde oder Betroffener eines Adjudon-Kunden in unseren Trace-Daten, Audit-Logs oder Confidence-Engine-Outputs personenbezogen identifizierbar sind: Adjudon agiert in diesem Fall nur als Auftragsverarbeiter nach Art. 28 DSGVO. Verantwortlicher bleibt der Adjudon-Kunde — Ihr Arbeitgeber oder der Datenverarbeiter, der Adjudon einsetzt. Details regelt der zwischen Adjudon und dem jeweiligen Kunden abgeschlossene Auftragsverarbeitungsvertrag.

Empfänger und Auftragsverarbeiter

Folgende Auftragsverarbeiter sind im Sinne des Art. 28 DSGVO eingebunden. Mit jedem besteht ein Auftragsverarbeitungsvertrag. Die vollständige Liste mit Audit-Trail — signedAt, Vertragsstand, DPA-Signatur sowie Sub-Processor-Änderungs-Historie — wird auf /subprozessoren geführt.

Keine Drittlandsübermittlung

Adjudon übermittelt im Rahmen der Plattform-Dienste keine personenbezogenen Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums. Die gesamte Verarbeitung erfolgt in der Europäischen Union — Primärdatenbank in Frankfurt eu-central-1, API-Server in Frankfurt, Transaktions-E-Mails über EU-residente Anbieter, Zahlungsabwicklung über Stripe Payments Europe Ltd. (Dublin, Irland).

Confidence Engine, Säule 3: Die Berechnung der Embedding-Vektoren erfolgt seit dem 11. Mai 2026 ausschließlich durch einen von Adjudon selbst betriebenen Sidecar-Dienst (Text Embeddings Inference, Modell all-MiniLM-L6-v2) im selben Fly.io-Rechenzentrum in Frankfurt eu-central-1. Die vormals genutzte API von OpenAI L.L.C. (USA) wurde als Sub-Processor entfernt; die Vertragsbeendigung wurde per OpenAI-AGB durch Adjudon angefordert.

Historischer Hinweis: Bis zum 10. Mai 2026 war OpenAI L.L.C. (USA) als Sub-Processor für die optionale Embedding-Berechnung gelistet (Rechtsgrundlage damals: DPF / SCCs 2021/914 Modul 2). Für Bestandskunden mit Pre-Mai-2026-Vertragsverhältnis wird eine schriftliche Customer-Notice mit 30-Tage-Frist nach Art. 28 Abs. 3 lit. d DSGVO versendet; der Versand befindet sich in Vorbereitung. Soweit personenbezogene Trace-Texte zwischen dem 1. Januar und dem 10. Mai 2026 an OpenAI übermittelt wurden, unterliegen diese den OpenAI-API-Geschäftsbedingungen und der OpenAI-Aufbewahrungsrichtlinie.

Speicherdauer (Übersicht)

Die Speicherdauer richtet sich nach dem Verarbeitungszweck und gesetzlichen Aufbewahrungspflichten. Die wichtigsten Fristen im Überblick:

Ihre Rechte als Betroffener

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 — insbesondere bei Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO). Soweit eine Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Anfragen richten Sie bitte an [email protected].

Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für Adjudon ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de. Sie können sich daneben auch an jede andere Aufsichtsbehörde im EU-Mitgliedstaat Ihres gewöhnlichen Aufenthalts wenden.

Automatisierte Entscheidungen, Profiling

Adjudon trifft keine eigenständigen automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber Ihnen im Sinne des Art. 22 Abs. 1 DSGVO. Adjudon stellt eine Audit- und Compliance-Schicht bereit, die Entscheidungen unserer Kunden dokumentiert und bewertet — die eigentlichen Entscheidungen liegen bei den jeweiligen Kunden als Verantwortlichen. Soweit ein Adjudon-Kunde automatisierte Entscheidungen im Sinne des Art. 22 DSGVO trifft, obliegen die entsprechenden Informationspflichten dem Kunden.

Cookies

Details zu eingesetzten Cookies (unbedingt erforderliche Sicherheits-Cookies wie __cf_bm und cf_clearance von Cloudflare) ergeben sich aus der separaten Cookie-Policy. Es werden keine Marketing-, Analyse- oder Tracking-Cookies eingesetzt.

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei Änderungen der Rechtslage, neuen Auftragsverarbeitern oder neuen Verarbeitungstätigkeiten. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar; das Stand-Datum oben am Seitenanfang weist die letzte Änderung aus.