Legal document · bilingual DE / EN
Datenschutzerklärung / Privacy Policy
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO. Verbindlich ist die deutsche Sprachfassung.
Maßgebliche Sprachfassung / Binding language
Maßgeblich ist die deutsche Sprachfassung. Die englische Übersetzung ist eine reine Lesehilfe; bei Auslegungsfragen geht der deutsche Wortlaut vor.
The German-language version is the binding version. The English translation is provided for reader convenience only; in the event of any divergence, the German wording prevails.
Deutsche Fassung
Verbindliche Sprachfassung. Im Zweifel maßgeblich gegenüber der englischen Übersetzung.
Datenschutzerklärung — Stand: [DATUM]
1. Verantwortlicher
Acutic UG (haftungsbeschränkt)[Adresse]
10[XXX] Berlin
E-Mail: privacy@acutic.io
Eine Datenschutzbeauftragte ist nicht bestellt; die gesetzlichen Voraussetzungen einer Bestellpflicht (§ 38 BDSG) liegen nicht vor.
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich auf der Grundlage von Art. 6 (1) (a) bis (f) DSGVO. Bei jeder unten beschriebenen Verarbeitung wird die jeweilige Rechtsgrundlage gesondert ausgewiesen.
3. Server-Logs
| Datenkategorie | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| IP-Adresse, Browser-Typ, Referrer, Zeitpunkt | Bereitstellung, Sicherheit | Art. 6 (1) f DSGVO | 90 Tage |
4. Registrierung, Konto und Erbringung des Dienstes
| Datenkategorie | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| E-Mail, Name, gehashtes Passwort | Vertragserfüllung | Art. 6 (1) b DSGVO | bis 3 Jahre nach Vertragsende |
| Watchlists, Suchen, Notizen | Vertragserfüllung | Art. 6 (1) b DSGVO | bis Vertragsende, danach 30 Tage |
| KI-Anfragen und KI-Antworten | Vertragserfüllung, Modellqualität | Art. 6 (1) b / f DSGVO | bis 90 Tage |
| Rechnungs- und Steuerbelege (über Paddle) | Steuerliche Aufbewahrung | Art. 6 (1) c DSGVO, § 147 AO | 10 Jahre |
5. Empfänger / Auftragsverarbeiter und Drittstaatentransfer
5.1 Hosting / Infrastruktur
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Server-Hosting in Deutschland; AVV gemäß Art. 28 DSGVO; kein Drittstaatentransfer.
- Cloudflare, Inc., USA — CDN, DDoS-Schutz; AVV; SCCs (Modul 2) zzgl. EU-US Data Privacy Framework.
5.2 KI-Verarbeitung
- Microsoft Ireland Operations Ltd. (Microsoft Azure OpenAI Service) — Region: West Europe / EU Data Boundary; SCCs sind im Microsoft Product Terms vorab inkorporiert.
5.3 Zahlungsabwicklung
- Paddle.com Market Limited (UK) bzw. Paddle.com Inc. (USA) — Merchant of Record; UK-Adäquanzbeschluss bzw. SCCs + DPF.
5.4 Transaktionale E-Mails
- Resend (USA) — Versand von Transaktions-E-Mails; SCCs + DPF.
5.5 Authentifizierung mit Identitätsanbietern
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (sowie Google LLC, USA, als Unterauftragsverarbeiter) — „Mit Google anmelden“ (Google Identity / OAuth 2.0). Wenn Sie auf den Button „Mit Google fortfahren“ klicken, übermittelt Ihr Browser eine Anmeldeanfrage an accounts.google.com. Nach Ihrer Einwilligung gegenüber Google erhalten wir von Google ausschließlich: Ihre E-Mail-Adresse, Ihren Namen, Ihr Profilbild und einen stabilen Google-Identifikator (sub). Weitere Daten werden weder von uns angefragt noch an Google übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung durch Klick auf den Anmelde-Button). Vertraglich: Google Cloud Data Processing Addendum (CDPA), automatisch in die Google-Cloud-Bedingungen integriert. Drittstaatentransfer in die USA gestützt auf EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) sowie subsidiär SCCs (Modul 2 und 3).
5.6 Übersicht der Drittlandtransfers
Alle Übermittlungen in die USA stützen wir primär auf den Angemessenheitsbeschluss (EU)-US Data Privacy Framework (Beschluss der Kommission vom 10.07.2023). Subsidiär gelten Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914, Modul 2). Eine Transfer Impact Assessment liegt vor und kann unter privacy@acutic.io angefordert werden.
6. Cookies und ähnliche Technologien
Wir verwenden auf unserer Website Cookies und ähnliche Speichertechnologien gemäß § 25 TDDDG. Wir unterscheiden drei Kategorien:
- Notwendig — keine Einwilligung erforderlich (Session, Login, CSRF, Spracheinstellung, Einwilligungsprotokoll).
- Statistik — nur mit Einwilligung.
- Marketing — nur mit Einwilligung.
Eine vollständige, kategorisierte Liste aller eingesetzten Cookies und Speicherobjekte finden Sie unter https://acutic.io/cookies. Sie können Ihre Einwilligungen jederzeit über den Footer-Link „Cookie-Einstellungen" ändern.
7. Rechte der betroffenen Personen
Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf einer erteilten Einwilligung (Art. 15-21 DSGVO) sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Zuständige Aufsichtsbehörde für Acutic ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.
8. Aufbewahrungs- und Löschfristen
Server-Logs werden nach 90 Tagen gelöscht. Kontodaten werden bis zu drei Jahre nach Vertragsende aufbewahrt. Rechnungs- und steuerrelevante Belege werden zehn Jahre aufbewahrt (§ 147 AO). Einwilligungsnachweise werden drei Jahre nach Widerruf aufbewahrt.
9. Automatisierte Entscheidungen / KI
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. KI-gestützte Inhalte werden ausschließlich zur Information bereitgestellt. Hinweise zu Funktionsweise, Trainingsdaten und Limitierungen finden Sie in unserer KI-Transparenzerklärung unter https://acutic.io/ai-transparency.
10. Änderungen
¶ Stub — pending lawyer review (AISA-268-LEGAL-REVIEW)
Standardklausel zu Änderungen der Datenschutzerklärung: Anlass, Form der Bekanntmachung und Zeitpunkt des Inkrafttretens werden im Zuge der anwaltlichen Endprüfung textlich finalisiert.English version
Reader convenience translation. In case of conflict, the German version above governs.
Privacy Policy — Effective: [DATE]
1. Controller
Acutic UG (haftungsbeschränkt)[Address]
10[XXX] Berlin, Germany
Email: privacy@acutic.io
We have not appointed a Data Protection Officer; the statutory thresholds for a mandatory DPO appointment under § 38 BDSG are not met.
2. General information on processing
We process personal data exclusively on the basis of Article 6 (1) (a) to (f) GDPR. The applicable legal basis is identified separately for each processing activity described below.
3. Server logs
| Data category | Purpose | Legal basis | Retention |
|---|---|---|---|
| IP address, browser type, referrer, timestamp | Service provision, security | Art. 6 (1) f GDPR | 90 days |
4. Registration, account and service delivery
| Data category | Purpose | Legal basis | Retention |
|---|---|---|---|
| Email, name, hashed password | Performance of contract | Art. 6 (1) b GDPR | up to 3 years after end of contract |
| Watchlists, searches, notes | Performance of contract | Art. 6 (1) b GDPR | until end of contract, then 30 days |
| AI prompts and AI responses | Performance of contract, model quality | Art. 6 (1) b / f GDPR | up to 90 days |
| Invoices and tax receipts (via Paddle) | Statutory tax retention | Art. 6 (1) c GDPR, § 147 AO | 10 years |
5. Recipients / processors and third-country transfers
5.1 Hosting / Infrastructure
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany — server hosting in Germany; Data Processing Agreement per Art. 28 GDPR; no third-country transfer.
- Cloudflare, Inc., USA — CDN, DDoS protection; DPA; SCCs (Module 2) plus the EU-US Data Privacy Framework.
5.2 AI processing
- Microsoft Ireland Operations Ltd. (Microsoft Azure OpenAI Service) — Region: West Europe / EU Data Boundary; SCCs are pre-incorporated in the Microsoft Product Terms.
5.3 Payment processing
- Paddle.com Market Limited (UK) and Paddle.com Inc. (USA) — Merchant of Record; UK adequacy decision and SCCs + DPF respectively.
5.4 Transactional email
- Resend (USA) — delivery of transactional email; SCCs + DPF.
5.5 Authentication via identity providers
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (with Google LLC, USA, as onward sub-processor) — “Sign in with Google” (Google Identity / OAuth 2.0). When you click the “Continue with Google” button, your browser sends a sign-in request to accounts.google.com. After you grant consent to Google, we receive from Google only: your email address, your name, your profile picture, and a stable Google identifier (sub). We do not request, and Google does not send us, any other data. Legal basis: Art. 6(1)(a) GDPR (your explicit consent by clicking the sign-in button). Contractual basis: Google Cloud Data Processing Addendum (CDPA), automatically incorporated into the Google Cloud terms. Transfer to the United States is based on the EU-US Data Privacy Framework (Google LLC is DPF-certified) and, subsidiarily, on Standard Contractual Clauses (Module 2 and Module 3).
5.6 Overview of third-country transfers
All transfers to the United States are based primarily on the EU-US Data Privacy Framework adequacy decision (Commission Decision of 10 July 2023). Standard Contractual Clauses (Implementing Decision (EU) 2021/914, Module 2) apply on a subsidiary basis. A Transfer Impact Assessment is on file and is available on request to privacy@acutic.io.
6. Cookies and similar technologies
We use cookies and similar storage technologies pursuant to § 25 TDDDG. We distinguish three categories:
- Strictly necessary — no consent required (session, login, CSRF, language preference, the consent record itself).
- Statistics — only with your consent.
- Marketing — only with your consent.
A complete, categorised list of all cookies and storage objects in use is available at https://acutic.io/cookies. You can change your consent at any time via the footer link "Cookie settings".
7. Rights of data subjects
You have the right at any time to access, rectify, erase, restrict processing, port your data, object to processing, and withdraw consent (Art. 15-21 GDPR). You also have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR).
The supervisory authority competent for Acutic is the Berlin Commissioner for Data Protection and Freedom of Information (Berliner Beauftragte für Datenschutz und Informationsfreiheit), Friedrichstr. 219, 10969 Berlin.
8. Retention and deletion periods
Server logs are deleted after 90 days. Account data is retained for up to three years after the contract ends. Invoice and tax-relevant data is retained for ten years (§ 147 AO). Consent records are retained for three years after withdrawal.
9. Automated decision-making / AI
Solely automated decision-making within the meaning of Art. 22 GDPR does not take place. AI-supported content is provided for informational purposes only. Information on how the system works, training data, and limitations is available in our AI transparency notice at https://acutic.io/ai-transparency.
10. Amendments
¶ Stub — pending lawyer review (AISA-268-LEGAL-REVIEW)
Standard amendment clause for the privacy policy: triggering events, form of notification, and effective date will be finalised during the lawyer review.Document Datenschutzerklärung / Privacy Policy
Last updated 2026-05-06
Binding language DE
Bei Abweichungen zwischen der deutschen und der englischen Fassung ist ausschließlich die deutsche Fassung verbindlich. / In the event of any divergence between the German and English versions, only the German version is binding.