DSGVO · GDPR
Datenschutzerklärung
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Website https://app.orconic.de sowie der hierüber angebotenen Software-as-a-Service-Plattform ORCONIC (nachfolgend „Dienst“). Verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO ist die Codaiq LTD, eingetragen beim UK Companies House unter der Nummer 16537316.
Letztes Update: 2026-05-18
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 7 DSGVO ist die Codaiq LTD, eingetragene Gesellschaft nach britischem Recht (Company Number 16537316), Sitz: 71-75 Shelton Street, Covent Garden, London WC2H 9JQ, United Kingdom. Kontakt: info@orconic.de, Telefon +49 15679 202223. Datenschutzanfragen richten Sie bitte mit dem Betreff „Datenschutz“ an die genannte E-Mail-Adresse; wir bestätigen den Eingang und beantworten innerhalb der gesetzlichen Fristen gemäß Art. 12 Abs. 3 DSGVO.
2. Erfassung allgemeiner Informationen beim Seitenbesuch
Beim Aufruf unserer Website erfasst unser Hosting-Dienstleister automatisch Informationen in sogenannten Server-Logfiles. Erfasst werden insbesondere: Datum und Uhrzeit der Anfrage, übertragenes Datenvolumen, HTTP-Statuscode, referrer URL, User-Agent sowie eine gekürzte IP-Adresse. Diese Daten sind technisch erforderlich, um die Auslieferung der Website zu ermöglichen, Stabilität zu gewährleisten und Angriffe zu erkennen. Sie werden nach 30 Tagen automatisch gelöscht, sofern nicht zur Beweissicherung im Rahmen eines konkreten Sicherheitsvorfalls länger aufbewahrt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in der sicheren und stabilen Bereitstellung des Dienstes.
3. Cookies, Local Storage und vergleichbare Technologien
Wir setzen ausschließlich technisch erforderliche Cookies und Local-Storage-Einträge ein, etwa zur Aufrechterhaltung der Sitzung nach dem Login, zur Speicherung Ihrer Cookie-Entscheidung und zur Absicherung gegen CSRF-Angriffe. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TTDSG; eine Einwilligung ist nicht erforderlich. Optionale Analyse- oder Marketing-Cookies setzen wir nur nach ausdrücklicher Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG ein. Eine vollständige Übersicht der eingesetzten Cookies finden Sie in unserer Cookie-Richtlinie.
4. Registrierung und Nutzerkonto
Bei der Registrierung verarbeiten wir folgende Datenkategorien: Bestandsdaten (Vor- und Nachname, Firmierung, Position), Kontaktdaten (E-Mail-Adresse, optional Telefonnummer), Authentifizierungsdaten (gehashte Passwörter, MFA-Secrets, OAuth IDs), Vertragsdaten (gewählter Plan, Rechnungsanschrift, USt-IdNr.) sowie Nutzungsdaten (aufgerufene Funktionen, Workspace- und Workflow-Konfigurationen, Audit-Log-Einträge). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für die Sicherheitsprotokollierung Art. 6 Abs. 1 lit. f DSGVO. Bestands- und Vertragsdaten werden gemäß handels- und steuerrechtlicher Aufbewahrungsfristen (regelmäßig sechs bzw. zehn Jahre) gespeichert.
5. Verarbeitung durch große Sprachmodelle (AI / LLM)
Zur Erbringung der KI-gestützten Funktionen des Dienstes (Workflow-Automatisierung, Klassifikation, Entwurfsgenerierung) übermitteln wir Eingaben und Workflow-Kontext an externe LLM-Anbieter. Eingesetzt werden insbesondere OpenAI Ireland Ltd., Anthropic PBC und OpenRouter Inc., jeweils im Rahmen eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO). Wo verfügbar wählen wir EU-Regionen; ist dies nicht möglich, stützen wir die Übermittlung auf EU-Standardvertragsklauseln (Art. 46 DSGVO) ergänzt um geeignete technische und organisatorische Maßnahmen. Trainings der Modelle mit Ihren Daten finden nicht statt; sämtliche Anbieter sind vertraglich auf Zero-Retention-Einstellungen konfiguriert, soweit technisch verfügbar.
6. Integrationen, Auftragsverarbeiter und Subunternehmer
Zum Betrieb des Dienstes setzen wir sorgfältig ausgewählte Auftragsverarbeiter und Sub-Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern bestehen schriftliche Verträge zur Auftragsverarbeitung. Die nachfolgende Übersicht benennt die wesentlichen Verarbeiter und deren Verarbeitungsorte; eine vollständige, jeweils aktuelle Subprozessor-Liste stellen wir Vertragskunden im Rahmen des AVV zur Verfügung.
| Anbieter | Zweck | Datenkategorien | Verarbeitungsort |
|---|---|---|---|
| Supabase | Primärdatenbank, Authentifizierung, Storage | Bestands-, Inhalts-, Nutzungsdaten | EU (Frankfurt am Main) |
| Vercel Inc. | Hosting, Edge-Delivery, Build-Pipeline | Verbindungs-, Log-, Telemetriedaten | EU-Region (Frankfurt) mit globaler Edge-Auslieferung |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Rechnungsstellung | Zahlungs-, Vertrags- und Rechnungsdaten | EU (Dublin) |
| Resend Inc. | Versand transaktionaler und produktbezogener E-Mails | E-Mail-Adresse, Inhalt der Nachricht | EU-Region (Dublin) |
| Sentry GmbH | Fehler- und Performance-Monitoring | Fehler-Stacktraces, IP-Adresse (gekürzt) | EU (Frankfurt am Main) |
| OpenAI Ireland Ltd. | Bereitstellung großer Sprachmodelle (LLM) | Eingaben (Prompts) und Modellausgaben | EU-Region; Backup-Region USA mit SCC |
| Anthropic PBC | Bereitstellung großer Sprachmodelle (Claude) | Eingaben (Prompts) und Modellausgaben | USA – Standardvertragsklauseln (SCC) Art. 46 DSGVO |
| OpenRouter Inc. | Modell-Routing und Failover-Gateway | Eingaben, Modellausgaben, Routing-Telemetrie | USA – Standardvertragsklauseln (SCC) |
| HubSpot Ireland Ltd. | CRM-Integration (optional, kundenseitig konfiguriert) | Kontakt-, Lead-, Deal-Daten | EU (Dublin) |
| Salesforce Ireland Ltd. | CRM-Integration (optional, kundenseitig konfiguriert) | Kontakt-, Lead-, Opportunity-Daten | EU (Frankfurt) |
| Microsoft Ireland Operations Ltd. | Microsoft 365 / Outlook / Teams Integration | E-Mails, Kalender, Chat-Verläufe (kundenseitig) | EU (Niederlande / Irland) |
| Google Ireland Ltd. | Gmail / Google Workspace Integration | E-Mails, Kalender, Dokument-Metadaten | EU (Belgien / Niederlande) |
| Slack Technologies Ltd. | Chat-Integration (optional) | Nachrichten, Kanal-Metadaten | EU (Dublin) |
| Notion Labs Inc. | Wissensbasis-Integration (optional) | Seiten- und Datenbank-Inhalte | USA – SCC + ergänzende TOMs |
| DATEV eG | DATEV-Anbindung für Buchhaltungsworkflows | Buchhaltungs- und Beleg-Daten | EU (Nürnberg) |
| Twilio Ireland Ltd. | SMS- und WhatsApp-Integration | Telefonnummern, Nachrichteninhalte | EU (Dublin) |
Darüber hinaus stellt unsere Plattform Konnektoren für insgesamt 56 weitere Anbieter bereit (u. a. Asana, ClickUp, Linear, Jira, Pipedrive, Zendesk, Klaviyo, Mailchimp, Sendgrid, GitHub, GitLab, Bitbucket, Discord, Telegram, Mastodon, X, LinkedIn, Bluesky, Reddit, Pinterest, Calendly, cal.com, Plaid, Xero, Quickbooks, sevdesk, lexoffice, Mercury, Brex, Apify, n8n, Shopify, Klaviyo, ConvertKit, Beehiiv, Resend Broadcasts, Mailchimp). Diese Integrationen werden ausschließlich auf Veranlassung und unter Konfiguration durch den Kunden aktiviert; Rechtsgrundlage ist in diesem Fall der Auftragsverarbeitungsvertrag mit dem Kunden in Verbindung mit Art. 6 Abs. 1 lit. b und f DSGVO.
7. Newsletter und produktbezogene Mitteilungen
Wenn Sie unseren Newsletter abonnieren, verarbeiten wir die von Ihnen angegebene E-Mail-Adresse sowie optionale Angaben zum Versand des Newsletters. Der Versand erfolgt im Double-Opt-in-Verfahren. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO; Sie können den Newsletter jederzeit über den Abmelde-Link am Ende jeder Nachricht oder über die Abmelde-Seite widerrufen. Transaktionale E-Mails (Rechnungen, sicherheitsrelevante Hinweise, Vertragsänderungen) versenden wir unabhängig von einem Newsletter-Abonnement auf Grundlage des Art. 6 Abs. 1 lit. b und lit. c DSGVO.
8. Webanalyse und Reichweitenmessung
Wir setzen, vorbehaltlich Ihrer Einwilligung, PostHog (EU-Region) und Plausible Analytics (EU-Region) zur aggregierten Reichweitenmessung ein. Beide Dienste arbeiten cookiefrei oder mit first-party Cookies und erstellen keine personenidentifizierbaren Profile. Ohne Einwilligung verarbeiten wir nur aggregierte Server-Metriken ohne Personenbezug. Rechtsgrundlage für die Analyse mit Einwilligung ist Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
9. Rechte der betroffenen Person (Art. 15–22 DSGVO)
Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO). Bei Verarbeitungen auf Grundlage einer Einwilligung steht Ihnen jederzeit ein Widerrufsrecht zu (Art. 7 Abs. 3 DSGVO). Eine automatisierte Entscheidung im Einzelfall im Sinne des Art. 22 DSGVO findet nicht statt. Zur Wahrnehmung Ihrer Rechte genügt eine formlose E-Mail an info@orconic.de.
10. Datenübermittlung in Drittländer
Da Codaiq LTD ihren Sitz im Vereinigten Königreich hat, beruht die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich auf dem Angemessenheitsbeschluss der Europäischen Kommission vom 28. Juni 2021 (Art. 45 DSGVO). Soweit Auftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten, stützen wir die Übermittlung auf geeignete Garantien gemäß Art. 46 DSGVO, insbesondere die EU-Standardvertragsklauseln in der Fassung des Durchführungsbeschlusses (EU) 2021/914, ergänzt um ergänzende technische und organisatorische Maßnahmen (Verschlüsselung, Pseudonymisierung, Zero-Retention-Konfiguration). Soweit Anbieter unter dem EU-US Data Privacy Framework zertifiziert sind, stützen wir Transfers in die USA zusätzlich auf den Angemessenheitsbeschluss vom 10. Juli 2023.
11. Aufbewahrungsfristen
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Server-Logfiles werden nach 30 Tagen gelöscht. Anwendungslogs und Audit-Trails werden 180 Tage vorgehalten. Inhaltsdaten in Ihrem Workspace bleiben für die Dauer des Vertrags gespeichert; nach Vertragsende wird der gesamte Workspace innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine Aufbewahrungspflichten entgegenstehen. Vertrags-, Rechnungs- und Buchhaltungsdaten werden gemäß § 257 HGB und § 147 AO sechs bzw. zehn Jahre aufbewahrt.
12. Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Innerhalb der EU können Sie die für Ihren üblichen Aufenthaltsort zuständige Behörde kontaktieren; für Sachverhalte mit DACH-Bezug ist regelmäßig der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Straße 153, 53117 Bonn, anrufbar. Für Beschwerden gegen die Codaiq LTD als britische Gesellschaft ist die UK Information Commissioner’s Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, United Kingdom, zuständig.