Datenschutzerklärung - Smartegy.ai

Datenschutzerklärung

Smartegy.ai

Gültig ab: 1. Februar 2026

Gültig: bis zum Widerruf oder zur Änderung

1. Einleitung

Der Entwickler und Rechteinhaber von Smartegy.ai (im Folgenden: 'Dienst') ist die Chain Advisory Kft., der gemeinsame Betreiber ist die Erba 96 Kft. (im Folgenden gemeinsam: 'Verantwortliche', 'wir', 'uns'). Wir haben uns dem Schutz der personenbezogenen Daten der Nutzer verpflichtet. Der Zweck dieser Datenschutzerklärung ist es, Sie darüber zu informieren, wie wir Ihre personenbezogenen Daten gemäß der Datenschutz-Grundverordnung der Europäischen Union (DSGVO - Verordnung 2016/679/EU) und den ungarischen Datenschutzgesetzen (Gesetz CXII von 2011 über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit) erheben, verwenden, speichern und schützen. Die Chain Advisory Kft. und die Erba 96 Kft. sind gemeinsam Verantwortliche gemäß Artikel 26 der DSGVO.

2. Angaben zu den Verantwortlichen

  • Entwickler und Rechteinhaber: Chain Advisory Kft.
  • Sitz: 1037 Budapest, Táborhegyi út 18/f, Ungarn
  • Handelsregister: 01-09-326168
  • Steuernummer: 26361518-2-41

Gemeinsamer Verantwortlicher und Betreiber:

  • Erba 96 Kft.
  • Sitz: 1142 Budapest, Stubnyai utca 4., Ungarn
  • Handelsregister: 01-09-561901
  • Steuernummer: 12175590-2-42

Datenschutzbeauftragter (DSB):

3. Begriffsbestimmungen

  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Datenverarbeitung: jeder mit personenbezogenen Daten durchgeführte Vorgang (Erhebung, Erfassung, Speicherung, Änderung, Abfrage, Verwendung, Löschung usw.).
  • Betroffene Person: die natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • Auftragsverarbeiter: eine Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Geschäftsdaten: Unternehmens-/Geschäftsinformationen, die von der betroffenen Person in den Dienst hochgeladen oder vom Dienst analysiert werden.

4. Umfang der verarbeiteten personenbezogenen Daten

4.1. Registrierungs- und Kontodaten

Vollständiger Name, E-Mail-Adresse, Passwort (verschlüsselt), Firmenname, Telefonnummer, Berufsbezeichnung/Position, Firmenadresse.

4.2. Nutzungsdaten des Dienstes

Anmeldedaten und Zeitstempel, Nutzungsstatistiken, Abfrageverlauf, generierte Berichte und Analysen, IP-Adresse, Browsertyp und -version, Geräteinformationen.

4.3. Geschäftsdaten

Von Ihnen hochgeladene oder aus mit dem System verbundenen Geschäftsdatenbanken stammende Informationen, die wir für KI-basierte Analysen verwenden. Diese Daten werden ausschließlich in Ihrer isolierten Umgebung verarbeitet.

4.4. Kommunikationsdaten

Korrespondenz mit dem Kundendienst, Feedback und Meinungen.

5. Zwecke und Rechtsgrundlagen der Datenverarbeitung

ZweckRechtsgrundlageSpeicherdauer
Erstellung und Verwaltung des BenutzerkontosVertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b)Bis zur Kontolöschung
Bereitstellung des Dienstes (KI-basierte Analysen)Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b)Bis zur Kontolöschung
Kundendienst und SupportBerechtigtes Interesse (DSGVO Art. 6 Abs. 1 lit. f)2 Jahre
Abrechnung und BuchhaltungRechtliche Verpflichtung (DSGVO Art. 6 Abs. 1 lit. c)8 Jahre (Buchhaltungsgesetz)
Verbesserung des DienstesBerechtigtes Interesse (DSGVO Art. 6 Abs. 1 lit. f)Unbegrenzt bei Anonymisierung
Sicherheitszwecke, BetrugspräventionBerechtigtes Interesse (DSGVO Art. 6 Abs. 1 lit. f)1 Jahr
Marketingkommunikation (bei Einwilligung)Einwilligung (DSGVO Art. 6 Abs. 1 lit. a)Bis zum Widerruf

6. Auftragsverarbeiter und Dritte

Wir setzen beim Betrieb des Dienstes folgende Auftragsverarbeiter ein:

6.1. Hosting-Anbieter

6.2. Georedundante Backup-Speicherung

Smartegy.ai erstellt täglich automatische Sicherungen aller Kundeninstanzen, Datenbanken, Auditprotokolle und gespeicherten Daten. Die Backups werden georedundant im deutschen Rechenzentrum der Hetzner Online GmbH gespeichert, vollständig innerhalb der Europäischen Union.

  • Anbieter: Hetzner Online GmbH
  • Sitz: Industriestr. 25, 91710 Gunzenhausen, Deutschland
  • Handelsregister: Amtsgericht Ansbach, HRB 6089
  • USt-IdNr.: DE 812871812
  • Zweck: Georedundante Speicherung täglicher automatischer Backups
  • Datenstandort: Deutschland (EU)
  • Hetzner Datenschutzerklärung
  • Hetzner Impressum

6.3. KI-Anbieter

Datenfluss bei der KI-Verarbeitung:

Für die Bereitstellung des Dienstes werden Ihre Geschäftsdaten in ihrer ursprünglichen Form vom KI-System verarbeitet. Dies ist notwendig, damit das System genaue Analysen, Abfragen und Berichte erstellen kann. Der Datenfluss ist wie folgt: Ihre Anfrage und die relevanten Geschäftsdaten werden über einen verschlüsselten Kanal (TLS 1.3) an den AWS Bedrock-Dienst übermittelt, der die KI-Antwort generiert, und das Ergebnis wird in Ihre isolierte Umgebung zurückgegeben.

Datenschutzgarantien:

Kein Modelltraining: Der AWS Bedrock-Dienst verwendet Ihre Daten NICHT zum Training, zur Feinabstimmung oder zur Verbesserung von KI-Modellen. Dies wird vertraglich durch das AWS Data Processing Addendum (DPA) garantiert.
Keine Datenspeicherung: AWS Bedrock speichert nach Abschluss der Verarbeitung KEINE Eingabedaten (Prompts) oder generierten Antworten. Die Daten existieren im AWS-System nur für die Dauer der Antwortgenerierung.
Verarbeitung nur in der EU: Die gesamte KI-Verarbeitung findet ausschließlich in der AWS-Region eu-central-1 (Frankfurt, Deutschland) statt. Daten werden unter keinen Umständen außerhalb der Europäischen Union übertragen.
Datenisolierung: Jeder Kunde arbeitet in seiner eigenen isolierten Umgebung (Docker-Container). Ihre Daten sind für andere Kunden nicht zugänglich.
Verschlüsselte Übertragung: Die gesamte Kommunikation zwischen dem Server und AWS Bedrock ist durch TLS 1.3-Verschlüsselung geschützt.

Wichtiger Hinweis: Geschäftsdaten werden bei der KI-Verarbeitung standardmäßig NICHT anonymisiert, da die Maskierung und das Verbergen personenbezogener Daten vor dem LLM aufgrund der technologischen Natur von LLM-Systemen kundenspezifische, individuelle Lösungen erfordert. Der Datenschutz wird durch Isolierung, Verschlüsselung, ausschließliche EU-Verarbeitung und das Verbot des Modelltrainings gewährleistet.

Individuelle Anonymisierungsoption:

Wenn der Kunde auf eine Datenanonymisierung besteht, kann diese auf Basis eines gemeinsam erarbeiteten Plans umgesetzt werden. Der Prozess ist wie folgt: (1) Wir stimmen mit dem Kunden den Umfang und die Details der zu anonymisierenden Daten ab. (2) Wir entwickeln einen detaillierten Anonymisierungsplan, der die Verwendung von Pseudonymen, Maskierungstechniken oder andere Datenschutzlösungen umfassen kann. (3) Der Plan definiert den Ablauf: wer macht was - d.h. welche Änderungen auf der Datenquellenseite erforderlich sind und wie wir bei der Umsetzung unterstützen können. (4) Der Plan beschreibt im Detail die funktionalen Einschränkungen, die die Anonymisierung für die Nutzung mit sich bringt, und welche speziellen Nutzungspraktiken befolgt werden müssen (z.B. Verwendung von Pseudonymen bei Abfragen, spezielle Identifikationssysteme usw.). Es ist wichtig zu wissen, dass die Anonymisierung immer mit gewissen Nutzungseinschränkungen verbunden ist, über die der Kunde bei der Annahme des Plans informiert wird.

Datenbankzugriff und Datenschutz:

Es ist wichtig klarzustellen, dass das KI-System (LLM) KEINEN direkten Zugriff auf die Datenbank des Kunden hat. Das LLM sieht ausschließlich die Datenbankstruktur (Schema) — also Tabellennamen, Spalten und Datentypen — sowie die in natürlicher Sprache formulierte Anfrage des Benutzers. Datenbankabfragen werden von einem spezialisierten Agenten im SQL-Format generiert, aber die Abfrageausführung erfolgt ausschließlich in der lokal gehosteten oder der eigenen Datenbank des Kunden, nicht im LLM. Das LLM sieht daher niemals die gesamte Datenbank — es kennt nur die Struktur und die Abfrageparameter des Benutzers und erhält dann die Abfrageergebnisse zur Formulierung der Antwort. Die Datenerfassung wird in jedem Fall von einem spezialisierten Agenten auf Anweisung des LLM durchgeführt.

Agentenbasierte (agentic) Workflow-Architektur:

Smartegy.ai verwendet eine agentenbasierte (agentic) Architektur, die eine sichere und deterministische Datenverarbeitung wie folgt gewährleistet:

BENUTZERORCHESTRÁTOR (LLM)AGENTLOCAL DB / SERVICE
←←← response ←←←
1Der Benutzer stellt seine Frage in natürlicher Sprache.
2Der Orchestrator (zentrales LLM) interpretiert die Anfrage und entscheidet, welcher spezialisierte Agent einbezogen werden soll (z.B. Datenbankabfrage-Agent, Berichtsgenerator, E-Mail-Versand usw.).
3Der spezialisierte Agent führt die Aufgabe deterministisch aus: SQL-Abfragen laufen in der lokalen Datenbank, Dateigenerierung erfolgt auf dem lokalen Server, E-Mail-Versand läuft über einen dedizierten Dienst.
4Das Ergebnis wird an den Orchestrator zurückgegeben, der die Antwort für den Benutzer formuliert.
Warum ist diese Lösung deterministisch? Das LLM dient ausschließlich als Denk- und Entscheidungskomponente: Es entscheidet, WAS getan werden muss und WIE die Antwort formuliert werden soll. Die tatsächliche Ausführung (Datenabfragen, Dateigenerierung, E-Mail-Versand) findet immer in lokalem, isoliertem Code statt, den das LLM nicht umgehen kann. Die Agenten verfügen über streng regulierte Berechtigungen (z.B. kann der Datenbankabfrage-Agent nur SELECT-Anweisungen ausführen, d.h. er kann nur Daten lesen, nicht ändern). Diese Trennung stellt sicher, dass Daten niemals die geschützte Umgebung verlassen und Operationen immer innerhalb kontrollierter Grenzen ablaufen.

6.4. Vertriebspartner

Der Dienst kann über Vertriebspartner verkauft werden. Vertriebspartner handeln in ihren eigenen Vertriebs- und Kundenbeziehungsprozessen als eigenständige Verantwortliche. Vertriebspartner nehmen grundsätzlich nicht an der Verarbeitung der im Rahmen der Dienstleistung verarbeiteten Geschäftsdaten und der mit der Nutzung des Dienstes zusammenhängenden Daten teil und haben keinen Zugang zu diesen, es sei denn, die Parteien vereinbaren in einer gesonderten Vereinbarung (z.B. Supportleistungen) etwas anderes.

6.6. EU-GPU-Server

Smartegy.ai betreibt seine spezialisierten KI-Mikrodienste (Prognosen, Eigennamenerkennung, neuronale Zeitreihenanalyse) auf einem eigenen, in der EU gemieteten Hochleistungs-GPU-Server. Diese Modelle verarbeiten Daten ausschließlich innerhalb des EU-Gebiets. Der GPU-Server ist kein Cloud-Dienst eines Drittanbieters, sondern dedizierte Hardware unter eigener Aufsicht.

Datenstandort: Europäische Union

6.7. Google Speech Recognition (Spracherkennung)

Die Spracherkennungsfunktion von Smartegy.ai nutzt die Google Web Speech API, die direkt im Browser des Benutzers läuft. Audiodaten werden nicht an die Server von Smartegy.ai gesendet — die Verarbeitung erfolgt zwischen dem Browser und Google. Auf unseren Servern werden keine Audioaufnahmen gespeichert.

Durch die Nutzung der Mikrofon-Taste bestätigt der Benutzer, dass die Spracherkennung über die Google Web Speech API erfolgt.

6.8. ElevenLabs (Text-to-Speech)

Die Text-to-Speech-Funktion von Smartegy.ai nutzt den ElevenLabs-Dienst. Der KI-Antworttext wird zur Sprachsynthese an die Server von ElevenLabs gesendet. ElevenLabs löscht die Daten nach der Nutzung.

Der Benutzer kann die Text-to-Speech-Funktion jederzeit in seinen Einstellungen deaktivieren.

Durch die Nutzung der Sprachfunktionen (Mikrofon-Taste, Vorlesefunktion) bestätigt der Benutzer, dass wir die Google Web Speech API für die Spracherkennung und den ElevenLabs-Dienst für die Sprachsynthese verwenden.

ElevenLabs Datenschutzerklärung: https://elevenlabs.io/privacy

Wir haben mit allen Auftragsverarbeitern Auftragsverarbeitungsverträge abgeschlossen, die einen DSGVO-konformen Datenschutz gewährleisten.

Wichtig: Das Smartegy.ai-System wird vollständig innerhalb der Europäischen Union betrieben. Die KI-Verarbeitung findet in der AWS-Region eu-central-1 (Frankfurt) statt. Personenbezogene Daten werden NICHT außerhalb der EU übertragen.

7. Ihre Rechte

Nach der DSGVO haben Sie folgende Rechte:

7.1. Auskunftsrecht (Artikel 15)

Sie haben das Recht, Auskunft darüber zu verlangen, welche personenbezogenen Daten wir verarbeiten, und eine Kopie davon zu erhalten.

7.2. Recht auf Berichtigung (Artikel 16)

Sie können die Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger Daten verlangen.

7.3. Recht auf Löschung ('Recht auf Vergessenwerden') (Artikel 17)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, wenn: die Daten nicht mehr benötigt werden; Sie Ihre Einwilligung widerrufen; Sie der Verarbeitung widersprechen; die Verarbeitung unrechtmäßig ist.

7.4. Recht auf Einschränkung der Verarbeitung (Artikel 18)

Sie können in bestimmten Fällen die Einschränkung der Verarbeitung verlangen.

7.5. Recht auf Datenübertragbarkeit (Artikel 20)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.

7.6. Widerspruchsrecht (Artikel 21)

Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten auf Grundlage berechtigter Interessen zu widersprechen.

7.7. Rechte bei automatisierten Entscheidungen (Artikel 22)

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet.

Um Ihre Rechte auszuüben, kontaktieren Sie bitte unseren Datenschutzbeauftragten unter [email protected]. Wir werden Anfragen innerhalb von 30 Tagen beantworten. Bei komplexen Anfragen kann diese Frist um weitere 60 Tage verlängert werden.

8. Datensicherheit

Zum Schutz Ihrer Daten setzen wir folgende technische und organisatorische Maßnahmen ein:

  • Verschlüsselung: Alle Daten werden verschlüsselt gespeichert (AES-256) und über verschlüsselte Kanäle übertragen (TLS 1.3).
  • Isolierte Umgebungen: Die Daten jedes Kunden werden in separaten, isolierten Umgebungen gespeichert und verarbeitet.
  • Zugriffsverwaltung: Strenge Zugriffsregeln, Option zur Multi-Faktor-Authentifizierung.
  • Regelmäßige Backups: Es werden regelmäßige Sicherungskopien der Daten erstellt.
  • Sicherheitsaudits: Regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen.
  • Vorfallmanagement: Dokumentiertes Verfahren zum Management von Datenschutzvorfällen.

Zwei-Faktor-Authentifizierung (2FA)

Smartegy.ai empfiehlt dringend, die Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer zu aktivieren. 2FA reduziert das Risiko eines unbefugten Zugriffs erheblich. Der Benutzer trägt die alleinige Verantwortung für Datenlecks oder unbefugten Zugriff, die aus der Nichtaktivierung von 2FA resultieren.

Passwortverwaltung und Benutzerverantwortung

Der Benutzer ist verpflichtet, sein Passwort vertraulich zu behandeln und sicher aufzubewahren. Wenn der Benutzer sein Passwort an Dritte weitergibt, offenlegt oder es fahrlässig und unsicher aufbewahrt (z.B. in einer Klartextdatei, auf Papier, auf einem gemeinsam genutzten Gerät), trägt der Benutzer die alleinige Verantwortung für jeden daraus resultierenden unbefugten Zugriff und dessen Folgen.

Passwortänderung nach der ersten Anmeldung

Es wird dringend empfohlen, das vom System vergebene Passwort unmittelbar nach der ersten Anmeldung in ein individuelles, starkes Passwort zu ändern. Versäumt der Benutzer die Passwortänderung, trägt er die Verantwortung für daraus resultierende Sicherheitsrisiken.

9. Cookies

Die Smartegy.ai-Website und -Anwendung verwendet nur für den Betrieb unerlässliche Cookies:

  • Sitzungs-Cookies: Für die Anmeldung und Aufrechterhaltung sicherer Sitzungen.
  • Spracheinstellungen: Um Ihre Sprachpräferenz zu speichern.

Wir verwenden keine: Tracking-Cookies, Marketing-/Werbe-Cookies, Analysecookies von Drittanbietern.

10. Schutz von Kinderdaten

Der Dienst ist nicht für Kinder bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Wenn wir erfahren, dass wir Daten einer Person unter 16 Jahren verarbeiten, werden wir diese unverzüglich löschen.

11. Änderungen der Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung zu ändern. Wir werden Nutzer über Änderungen durch den Dienst oder per E-Mail informieren. Über wesentliche Änderungen werden wir mindestens 30 Tage im Voraus informieren.

12. Beschwerderecht

Wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen:

Ungarische Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH)

  • Adresse: 1055 Budapest, Falk Miksa utca 9-11., Ungarn
  • Postanschrift: 1363 Budapest, Pf. 9., Ungarn
  • Telefon: +36 1 391 1400
  • E-Mail: [email protected]
  • Webseite: https://naih.hu

Sie können sich auch an ein Gericht wenden, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig ist.

13. Kontakt

Wenn Sie Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten haben, kontaktieren Sie uns bitte:

Chain Advisory Kft. (Entwickler, Rechteinhaber)

  • Adresse: 1037 Budapest, Táborhegyi út 18/f, Ungarn

Erba 96 Kft. (gemeinsamer Verantwortlicher, Betreiber)

  • Adresse: 1142 Budapest, Stubnyai utca 4., Ungarn

Datenschutzbeauftragter: