Privacy

Data Processing Agreement (DPA)

Stand: Juni 2026

1. Geltung und Vertragsparteien

Diese Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO gilt zwischen dem Kunden (Verantwortlicher) und der anycast.io UG (haftungsbeschränkt), Hintere Straße 125a, 90768 Fürth, Deutschland (Auftragsverarbeiter), soweit bei der Nutzung von 2342.ai personenbezogene Daten im Auftrag des Kunden verarbeitet werden.

Sie ist Bestandteil des Nutzungsvertrags für Geschäftskunden. Eine unterzeichnete Fassung stellen wir auf Anfrage an info@2342.ai bereit.

2. Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand ist der Betrieb der 2342.ai-Plattform: KI-Chat, API-Gateway, Research-Funktionen, Datei- und Vektorspeicher, Automationen sowie Team- und Budgetverwaltung.

Die Dauer entspricht der Laufzeit des Nutzungsvertrags. Zweck der Verarbeitung ist die Bereitstellung der vom Kunden konfigurierten Plattformfunktionen einschließlich der Weiterleitung von Anfragen an freigegebene KI-Modellanbieter.

3. Datenarten und betroffene Personen

Betroffene Personen sind insbesondere Mitarbeitende und Endnutzer des Kunden sowie Dritte, deren Daten der Kunde in die Plattform einbringt.

  • Account- und Stammdaten (Name, E-Mail-Adresse, Rollen)
  • Inhaltsdaten (Chats, Prompts, Dateien, Vektor-Speicher, Research-Ergebnisse)
  • Nutzungs- und Abrechnungsdaten (Modell, Token, Kosten, Zeitstempel)
  • Technische Daten (IP-Adressen, Geräteinformationen, Logs)

4. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Kunden (Art. 28 Abs. 3 lit. a DSGVO)
  • Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Ziffer 8)
  • Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten
  • Unterstützung des Kunden bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und Anfragen von Aufsichtsbehörden
  • Nachweis der Einhaltung dieser Vereinbarung und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO)

5. Unterauftragsverarbeiter

Der Kunde erteilt die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die aktuelle Liste ist veröffentlicht unter https://2342.ai/de/unterauftragsverarbeiter.

Über beabsichtigte Änderungen informieren wir Kunden mit AVV vorab. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Bei Übermittlungen in Drittländer werden geeignete Garantien nach Kapitel V DSGVO eingesetzt, insbesondere EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss (z. B. EU-U.S. Data Privacy Framework).

6. KI-Modellnutzung

Anfragen an KI-Modelle werden ausschließlich über die in der Subprocessor-Liste genannten Anbieter in EU-Rechenzentren mit vertraglich zugesicherter Datenresidenz verarbeitet.

Ein- und Ausgaben werden von den Modellanbietern nicht zum Training ihrer Modelle verwendet. Eine vorübergehende Verarbeitung zur Missbrauchserkennung gemäß den Auftragsverarbeitungsverträgen der Anbieter kann erfolgen.

Arbeitsbereiche können auf freigegebene Modellkonfigurationen beschränkt werden; Admins können Anbieter oder Modelle pro Arbeitsbereich deaktivieren.

7. Löschung und Rückgabe

Nach Abschluss der Erbringung der Verarbeitungsleistungen werden personenbezogene Daten nach Wahl des Kunden gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.

Kunden können Inhalte, Konten und Organisationen selbst löschen; ein vollständiger Datenexport steht über die Plattform zur Verfügung.

8. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Betrieb auf eigener Hardware in einem zugangskontrollierten Rechenzentrum in Nürnberg, Deutschland
  • Verschlüsselung der Datenübertragung (TLS) und der Datenspeicherung
  • Rollenbasierte Zugriffskontrolle, Mandantentrennung und Protokollierung administrativer Zugriffe
  • Server-Logs mit kurzer Aufbewahrung (maximal 14 Tage)
  • Regelmäßige Backups sowie Härtung und Aktualisierung der Systeme
  • Beschränkung der KI-Inferenz auf EU-Rechenzentren mit Datenresidenz-Zusagen

9. Schlussbestimmungen

Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Bei Widersprüchen zwischen dieser AVV und den Allgemeinen Geschäftsbedingungen geht diese AVV hinsichtlich des Datenschutzes vor.