Datenschutzerklärung

Wie wir personenbezogene Daten erheben, verwenden und schützen, wenn Sie unseren Dienst nutzen.

Erstellt für SyntaxKit Inc.

Diese Datenschutzerklärung beschreibt, wie SyntaxKit Inc. ("wir", "uns" oder "unser") personenbezogene Daten erhebt, verwendet, weitergibt und schützt, wenn Sie unsere Website besuchen, ein Konto erstellen oder unsere Leistungen nutzen (gemeinsam der "Dienst"). Wir respektieren Ihre Privatsphäre und verarbeiten Ihre Daten transparent und im Einklang mit den anwendbaren Datenschutzgesetzen, insbesondere der EU-Datenschutz-Grundverordnung und der UK GDPR ("DSGVO") sowie dem California Consumer Privacy Act in der jeweils geltenden Fassung ("CCPA/CPRA").

Wenn Sie mit dieser Datenschutzerklärung nicht einverstanden sind, nutzen Sie den Dienst bitte nicht. Begriffe, die hier nicht definiert sind, haben die in unseren Nutzungsbedingungen festgelegte Bedeutung.

1. Wer wir sind

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist SyntaxKit Inc. mit Sitz in 1 Example Way, San Francisco, CA 94110, United States. Sie erreichen uns unter legal@syntaxkit.com für alle Fragen, Anliegen oder Beschwerden zum Datenschutz. Sind wir verpflichtet, einen Vertreter im Europäischen Wirtschaftsraum oder im Vereinigten Königreich gemäß Art. 27 DSGVO zu benennen, ist unser Vertreter Example EU Representative GmbH, Friedrichstraße 100, 10117 Berlin, Germany.

Sofern Sie uns auf Grundlage einer separaten Auftragsverarbeitungsvereinbarung als Auftragsverarbeiter beauftragt haben, gilt jene Vereinbarung für die Verarbeitung der von Ihnen über den Dienst hochgeladenen personenbezogenen Daten. Diese Erklärung beschreibt unsere Verarbeitung als Verantwortlicher für Website, Marketing, Kontoverwaltung und Abrechnung.

2. Welche Daten wir erheben

Wir erheben Daten, die Sie uns zur Verfügung stellen, Daten, die bei der Nutzung des Dienstes automatisch entstehen, sowie Daten, die wir von Dritten erhalten.

2.1 Von Ihnen bereitgestellte Daten

  • Kontoinformationen. Bei der Registrierung erheben wir Ihren Namen, Ihre E-Mail-Adresse, ein gehashtes Passwort, optional Ihr Profilbild und die Organisation oder den Arbeitsbereich, dem Sie angehören. Bei Anmeldung über einen externen Identitätsanbieter (z. B. Google oder GitHub) erhalten wir die grundlegenden Profildaten, die Sie diesem Anbieter zur Weitergabe freigegeben haben.
  • Abrechnungsdaten. Abonnement- und Zahlungsdaten verarbeitet unser Zahlungsdienstleister Stripe. Wir speichern keine vollständigen Kartennummern; wir erhalten eine Kundenkennung, das Plan-Abonnement, den Abrechnungsstatus, die letzten vier Stellen der Karte, das Rechnungsland und Steuerstatusinformationen.
  • Kommunikation. Wenn Sie uns über das Kontaktformular, per E-Mail oder einen Support-Kanal kontaktieren, speichern wir Ihre Nachrichten und unsere Antworten einschließlich beigefügter Anlagen.
  • Von Ihnen erstellte Inhalte. Dokumente, Dateien, Chat-Nachrichten (einschließlich KI-Assistent-Konversationen), Uploads und sonstige Inhalte, die Sie über den Dienst übermitteln, werden in Ihrem Auftrag verarbeitet und gespeichert.

2.2 Automatisch erhobene Daten

  • Nutzungs- und Produktanalytik. Wir erheben anonymisierte oder pseudonymisierte Ereignisdaten zu Ihrer Nutzung des Dienstes, etwa Seitenaufrufe, Funktionsaufrufe, Klicks sowie Zeitpunkt und Dauer von Sitzungen. Erhebung erfolgt über PostHog.
  • Geräte- und Protokolldaten. Server- und Anwendungsprotokolle enthalten Ihre IP-Adresse, den User-Agent, die aufgerufenen Seiten oder Endpunkte, Anfrage- und Antwortgrößen, Fehlercodes und Zeitstempel. Wir nutzen sie für Sicherheit, Missbrauchsprävention und betriebliche Fehleranalyse.
  • Cookies und ähnliche Technologien. Wir verwenden First-Party-Cookies und ähnliche Speichertechnologien, um Sie eingeloggt zu halten, Einstellungen wie Sprache und Theme zu merken sowie den Dienst vor Missbrauch zu schützen. Siehe Abschnitt 7.

2.3 Daten von Dritten

  • Identitätsanbieter (Google, GitHub und weitere von Ihnen aktivierte OAuth-Anbieter) übermitteln bei der Anmeldung grundlegende Profilinformationen.
  • Zahlungsdienstleister (Stripe) sendet uns Abonnement-, Rechnungs- und Zahlungsstatusereignisse über sein Webhook-System.
  • Bot-Schutz (Cloudflare Turnstile) übermittelt das Ergebnis von Challenges, damit wir Anmeldung, Registrierung und sensible Endpunkte schützen können.

3. Wie wir Daten verwenden

Wir verwenden personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung und Betrieb des Dienstes, einschließlich Authentifizierung, Zusammenarbeit innerhalb Ihrer Organisation, Abwicklung Ihres Abonnements und Bereitstellung der von Ihnen angeforderten Funktionen.
  • Kommunikation mit Ihnen zu Konto, Sicherheitsereignissen, Abrechnungsänderungen, Produkt-Updates und zur Beantwortung von Support-Anfragen.
  • Verbesserung des Dienstes durch Analyse aggregierter Nutzungsmuster, Diagnose von Abstürzen und Fehlern, A/B-Tests und Roadmap-Planung.
  • Schutz des Dienstes vor Betrug, Missbrauch und unbefugtem Zugriff, einschließlich Rate-Limits, Captchas und Anomalieerkennung.
  • Erfüllung gesetzlicher Pflichten (Steuern, Buchhaltung, Geldwäschebekämpfung, Sanktionen, behördliche Anfragen).
  • Versand von Marketing-Nachrichten über Funktionen und Angebote, soweit Sie eingewilligt haben oder ein berechtigtes Interesse besteht und Sie nicht widersprochen haben. Sie können dem jederzeit über den Abmeldelink in jeder Marketing-E-Mail widersprechen.

4. Rechtsgrundlagen (EWR, UK, Schweiz)

Sofern die DSGVO oder die UK GDPR gilt, stützen wir uns auf folgende Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Bereitstellung des Kontos, des Dienstes und Ihres Abonnements.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für Produktanalyse, Sicherheit, Missbrauchsprävention, Basiskommunikation zu ähnlichen Diensten und Verbesserung des Angebots. Wir wägen unsere Interessen gegen Ihre Rechte und Freiheiten ab und setzen Schutzmaßnahmen wie Pseudonymisierung und Zugriffskontrollen ein.
  • Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) für Steuerunterlagen, behördliche Anfragen und buchhalterische Pflichten.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), wenn erforderlich, etwa für nicht notwendige Cookies oder Marketing-Kommunikation in Jurisdiktionen mit Opt-in-Pflicht. Sie können Ihre Einwilligung jederzeit widerrufen.

5. Weitergabe und Auftragsverarbeiter

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben sie nur weiter, soweit es zur Bereitstellung des Dienstes erforderlich ist, und nur an die unten genannten Empfängerkategorien. Jeder Empfänger ist vertraglich auf angemessene Vertraulichkeits- und Sicherheitsanforderungen verpflichtet.

  • Stripe — Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung, Steuerberechnung. Erhält Abrechnungsdaten, Kundenkennung und Beträge.
  • PostHog — Produktanalytik, Fehler-Tracking, Sitzungsanalyse. Erhält pseudonyme Ereignisdaten, gegebenenfalls verkürzte IP-Adresse und Feature-Flag-Zustände.
  • Plunk — Versand transaktionaler und Marketing-E-Mails. Erhält Empfänger, Betreff und Inhalt der Nachricht.
  • Cloudflare Turnstile — Bot-Schutz für Registrierung, Anmeldung und Kontaktformular. Erhält Challenge-Token, IP-Adresse und groben User-Agent.
  • Objektspeicher (S3-kompatibel) — Speicherung von Avataren, Organisationslogos, Datei-Uploads und Chat-Anhängen. Erhält Objektdaten und Metadaten, die Sie hochladen.
  • KI-Anbieter-Gateway — empfängt Prompts und Konversationsverlauf, soweit zur Erzeugung einer Antwort erforderlich. Wir gestatten den Anbietern nicht, Ihre Prompts zum Training ihrer Modelle zu verwenden.
  • Identitätsanbieter (Google, GitHub und weitere von Ihnen aktivierte OAuth-Anbieter) — erhalten nur die zur Authentifizierung erforderlichen Metadaten.
  • Hosting- und Infrastrukturanbieter, die die Server für unseren Dienst betreiben.
  • Berufliche Berater (Anwältinnen, Wirtschaftsprüfer, Steuerberater, Versicherer) unter Vertraulichkeitsverpflichtung.
  • Behörden und Rechtsnachfolger, soweit gesetzlich vorgeschrieben, in Reaktion auf rechtmäßige Anordnungen oder im Rahmen einer Unternehmenstransaktion.

Eine aktuelle Liste unserer Auftragsverarbeiter erhalten Sie auf Anfrage unter legal@syntaxkit.com.

6. Internationale Datenübermittlungen

Wir haben unseren Sitz in Delaware, United States. Einige unserer Auftragsverarbeiter sind in anderen Ländern ansässig, einschließlich der USA. Übermittelt werden personenbezogene Daten in diese Länder, stützen wir die Übermittlung auf geeignete Garantien, insbesondere die Standardvertragsklauseln der EU-Kommission, das UK Addendum, gegebenenfalls Angemessenheitsbeschlüsse sowie ergänzende Schutzmaßnahmen wie Verschlüsselung bei Übertragung und Speicherung.

7. Cookies und ähnliche Technologien

Wir verwenden eine kleine Anzahl an Cookies und ähnlichen Technologien in den nachstehenden Kategorien. Wir nutzen keine Cookies für websiteübergreifende Werbung.

  • Unbedingt erforderlich — Authentifizierung, Sitzung, CSRF-Token und Einstellungen wie Sprache und Theme. Diese Cookies sind notwendig und können nicht deaktiviert werden.
  • Analyse — über PostHog, um die Nutzung des Dienstes zu verstehen. Wo gesetzlich erforderlich, fragen wir vor dem Setzen Analyse-Cookies Ihre Einwilligung ab; in anderen Regionen können Sie über die in Abschnitt 9 beschriebenen Optionen widersprechen.
  • Sicherheit — Bot-Schutz-Challenges von Cloudflare Turnstile.

Sie können Cookies in Ihren Browsereinstellungen löschen; dies meldet Sie ggf. ab und setzt Ihre Einstellungen zurück.

8. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Erklärung beschriebenen Zwecke erforderlich oder gesetzlich vorgeschrieben ist:

  • Kontodaten werden für die Dauer Ihres Kontos aufbewahrt. Nach Löschung Ihres Kontos oder nach Entfernen Ihres Sitzes durch die Organisation löschen oder anonymisieren wir die zugehörigen Daten innerhalb von 90 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Abrechnungsunterlagen werden für die nach Steuer- und Handelsrecht erforderliche Dauer aufbewahrt (in der Regel sechs bis zehn Jahre).
  • Serverprotokolle werden bis zu 30 Tage zu Betriebszwecken aufbewahrt; sicherheitsrelevante Einträge bis zu 12 Monate.
  • Produktanalyse-Ereignisse werden gemäß der projektbezogenen Aufbewahrungsdauer in PostHog gespeichert, standardmäßig 12 Monate.
  • E-Mail-Kommunikation wird für die Dauer der Bearbeitung sowie bis zu 24 Monate darüber hinaus zu Qualitäts- und Compliance-Zwecken aufbewahrt.

9. Ihre Rechte

Je nach Wohnort können Sie folgende Rechte hinsichtlich Ihrer personenbezogenen Daten haben:

  • Auskunft über die zu Ihrer Person gespeicherten Daten;
  • Berichtigung unrichtiger oder unvollständiger Daten;
  • Löschung Ihrer Daten;
  • Einschränkung der Verarbeitung;
  • Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format;
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen, insbesondere für Direktwerbung;
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft;
  • Beschwerde bei der zuständigen Aufsichtsbehörde. Im EWR finden Sie diese unter edpb.europa.eu; im Vereinigten Königreich beim Information Commissioner's Office unter ico.org.uk.

Soweit die CCPA/CPRA gilt, haben Sie zudem das Recht zu erfahren, welche Kategorien personenbezogener Daten wir erheben, das Recht auf Löschung, Berichtigung, Opt-out vom "Verkauf" oder "Teilen" (wir verkaufen oder teilen keine Daten für übergreifende Verhaltenswerbung) sowie das Recht auf Nichtdiskriminierung bei Ausübung Ihrer Rechte.

Zur Ausübung dieser Rechte kontaktieren Sie uns unter legal@syntaxkit.com von der mit Ihrem Konto verknüpften E-Mail-Adresse. Wir können Ihre Identität verifizieren müssen, in der Regel durch Bestätigung der hinterlegten E-Mail-Adresse. Wir antworten innerhalb der gesetzlichen Fristen (in der Regel 30 Tage gemäß DSGVO bzw. 45 Tage gemäß CCPA/CPRA, mit zulässigen Verlängerungen).

10. Sicherheit

Wir setzen einen mehrstufigen Schutz ein: Verschlüsselung bei Übertragung (TLS), Verschlüsselung im Ruhezustand sofern unterstützt, gehashte Passwörter, prinzipielle Zugriffsbeschränkung nach Need-to-know, Missbrauchs- und Rate-Limit-Kontrollen, verpflichtende Zwei-Faktor-Authentifizierung für sensible Operatorzugänge, regelmäßige Aktualisierung von Abhängigkeiten sowie Überwachung von Authentifizierungs- und Abrechnungsereignissen. Kein System ist vollkommen sicher; sollten Sie eine Kompromittierung Ihres Kontos vermuten, melden Sie sich umgehend unter legal@syntaxkit.com.

11. Kinder

Der Dienst richtet sich nicht an Kinder. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren (oder dem in Ihrer Jurisdiktion zulässigen niedrigeren Mindestalter). Sollten Sie feststellen, dass ein Kind uns Daten übermittelt hat, kontaktieren Sie uns; wir werden die Daten unverzüglich löschen.

12. Automatisierte Entscheidungsfindung und KI-Funktionen

Der Dienst kann KI-Assistent-Funktionen enthalten. Deren Ausgaben werden von Sprachmodellen erzeugt und sollten vor jeder folgenreichen Verwendung geprüft werden. Wir treffen keine Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Wirkung allein auf Basis automatisierter Verarbeitung. Werden personenbezogene Daten in KI-Funktionen verarbeitet, gelten die in dieser Erklärung beschriebenen Schutzmaßnahmen.

13. Do Not Track und Global Privacy Control

Manche Browser senden ein "Do Not Track"-Signal oder implementieren das Global Privacy Control. Wo gesetzlich erforderlich, beachten wir anerkannte Opt-out-Signale (einschließlich GPC) für Analyse- und vergleichbare Verarbeitungen. Wir verkaufen oder teilen keine personenbezogenen Daten für übergreifende Verhaltenswerbung.

14. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung gelegentlich aktualisieren. Das Datum der letzten Aktualisierung oben auf dieser Seite gibt die jeweils gültige Fassung an. Bei wesentlichen Änderungen werden wir Sie vorab per E-Mail oder im Dienst informieren. Mit fortgesetzter Nutzung nach Wirksamwerden einer Änderung erklären Sie sich mit der aktualisierten Fassung einverstanden.

15. Kontakt

Bei Fragen, Anliegen oder Beschwerden zum Datenschutz erreichen Sie uns unter:

Sofern wir eine/n Datenschutzbeauftragte/n bestellt haben, erreichen Sie diese/n unter dpo@syntaxkit.com.