Datenschutzerklärung für TensorPM

Version 1.7 – Stand: 1. Februar 2026

Gemäß Artikel 13 der Datenschutz-Grundverordnung (DSGVO)

1. Verantwortlicher

Der für die Datenverarbeitung Verantwortliche ist:

Simon Schwer
Wolfringstraße 14
90765 Fürth, Deutschland
E-Mail: info@tensorpm.com

2. Übersicht über die Datenverarbeitung

Wir verpflichten uns, Ihre personenbezogenen Daten zu schützen. Diese Datenschutzerklärung erläutert, wie wir Ihre Daten verarbeiten, wenn Sie unsere Software TensorPM und unsere Website nutzen.

TensorPM wurde nach den Grundsätzen der Datenminimierung entwickelt. Um jedoch unseren Kerndienst des KI-gestützten Projektmanagements zu erbringen, müssen wir bestimmte Projektdaten verarbeiten.

2.1 Grundsätze der Datenverarbeitung

Wir halten uns bei der Verarbeitung Ihrer Daten an die folgenden Grundsätze:

  • Datenminimierung – wir erheben und verarbeiten nur das Notwendigste
  • Zweckbindung – wir verwenden Daten nur für die in dieser Erklärung genannten Zwecke
  • Speicherbegrenzung – wir bewahren Daten nur so lange wie nötig auf
  • Integrität und Vertraulichkeit – wir ergreifen angemessene technische und organisatorische Maßnahmen

2.2 Betriebsmodi

TensorPM bietet fünf Betriebsmodi mit unterschiedlichen Auswirkungen auf die Datenverarbeitung:

a) Kein-KI-Modus: Alle Projektdaten verbleiben auf Ihrem lokalen Gerät. Nur anonyme Installations-IDs und Versionsinformationen werden zu Aktualisierungszwecken und für Installationsstatistiken an unsere Server gesendet.

b) API-Schlüssel-Modus: Wenn Sie Ihren eigenen API-Schlüssel von Drittanbietern (Google, OpenAI, Anthropic, Mistral oder anderen unterstützten Anbietern) verwenden, werden Ihre Projektdaten direkt an diese Anbieter gesendet. Die API-Schlüssel werden nur auf Ihrem lokalen Gerät gespeichert. Wenn das Betriebssystem sichere Verschlüsselung (z.B. macOS Schlüsselbund / Windows DPAPI / Linux Schlüsselringe) bereitstellt und Sie die Verschlüsselungseinstellung in der App aktiviert haben, werden die Schlüssel verschlüsselt gespeichert. Falls die OS-Verschlüsselung nicht verfügbar oder deaktiviert ist, werden die Schlüssel lokal im Klartext in der App-Datenbank gespeichert; in diesem Fall übertragen wir sie niemals von Ihrem Gerät. Wir speichern, übertragen oder haben niemals serverseitigen Zugriff auf Ihre API-Schlüssel von Drittanbietern.

c) TensorPM Abonnement-Dienst: Bei Nutzung unseres Abonnement-Dienstes (einschließlich des kostenlosen Testzeitraums) werden Ihre Projektdaten über unseren Proxy-Server unter Verwendung von Google Cloud (Vertex AI) mit Gemini-Modellen und Mistral AI verarbeitet, um KI-Anfragen zu ermöglichen. Wir speichern Ihre Projektdaten nicht, sondern verarbeiten sie vorübergehend, um Ihre KI-Anfragen zu erfüllen. Alle registrierten Benutzer erhalten einen kostenlosen Testzeitraum mit 50 KI-Anfragen unter Verwendung von Gemini 2.5 Flash Lite, der niemals abläuft. Benutzer, die auf Pro upgraden, erhalten 500 KI-Anfragen pro Monat mit Zugang zu erweiterten KI-Modellen über Google Cloud Vertex AI und Mistral AI.

d) Lokaler KI-Modus: Bei der Nutzung lokal gehosteter KI-Modelle über Frameworks wie LM Studio, vLLM oder Ollama:

  • Erfolgt die gesamte KI-Verarbeitung ausschließlich auf Ihrem lokalen Gerät
  • Werden keine Projektdaten oder KI-Anfragen an TensorPM-Server oder externe Server übertragen
  • Werden in diesem Modus keine personenbezogenen Daten von TensorPM erhoben oder verarbeitet
  • Bleiben Ihre Daten vollständig unter Ihrer Kontrolle auf Ihrem Gerät
  • Haben wir keinen Zugriff, keine Einsicht oder Kontrolle über die von Ihren lokalen KI-Modellen verarbeiteten Daten
  • Hängt die Privatsphäre Ihrer Daten vollständig von Ihrer lokalen Einrichtung und den von Ihnen gewählten KI-Frameworks ab

e) Cloud Sync (Cloud & Pro): Wenn Sie Cloud Sync aktivieren, werden ausgewählte Projektdaten an unsere Server übertragen und dort gespeichert, um Ihre Projekte zwischen Geräten zu synchronisieren. Cloud Sync ist für Cloud- und Pro-Accounts (inkl. Trials) verfügbar. Wenn Sie Shared Workspaces nutzen, können andere Nutzer, die Sie in denselben Workspace einladen, auf die gemeinsamen Workspace-Daten zugreifen. Die Daten werden in Deutschland (Hetzner, Nürnberg) gehostet. Die Datenübertragung ist via HTTPS/TLS geschützt.

Zusätzlich setzt Cloud Sync Ende-zu-Ende-Verschlüsselung (E2E) ein: Die Verschlüsselung und Entschlüsselung der Workspace-Inhalte erfolgt auf Ihren Geräten. Auf unseren Servern werden Workspace-Inhalte nur in verschlüsselter Form gespeichert. Wir können diese Inhalte nicht entschlüsseln.

Aus technischen Gründen sind bestimmte Metadaten für die Synchronisierung und Zugriffskontrolle weiterhin im Klartext erforderlich (z.B. Workspace- und Projekt-IDs, Zeitstempel, Löschmarker, technische Sync-Metadaten). Diese Metadaten können auf unseren Servern verarbeitet und gespeichert werden.

Die für die Entschlüsselung erforderlichen Schlüssel werden lokal auf Ihren Geräten gespeichert (unter Nutzung der Sicherheitsfunktionen des Betriebssystems, soweit verfügbar). Wir bieten keinen serverseitigen Schlüssel-Hinterlegungsdienst (kein „Key Escrow“). Wenn alle Geräte/Schlüssel verloren gehen, können verschlüsselte Cloud-Sync-Inhalte nicht wiederhergestellt werden.

2.3 Altersbeschränkung

TensorPM ist für Benutzer ab 16 Jahren bestimmt. Wir verlassen uns bei der Kontoerstellung auf die Selbstzertifizierung der Benutzer und führen keine aktive Altersverifikation durch. Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 16 Jahren. Wenn wir feststellen, dass wir personenbezogene Daten von einer Person unter 16 Jahren erhoben haben, werden wir Maßnahmen ergreifen, um diese Informationen aus unseren Systemen zu löschen.

3. Personenbezogene Daten, die wir verarbeiten

3.1 Beim Besuch unserer Website:

Wir verwenden Cloudflare Web Analytics, einen Webanalyse-Dienst ohne Cookies. Er hilft uns, die Nutzung unserer Website in aggregierter Form zu verstehen (z.B. welche Seiten besucht werden), um Inhalte und Performance zu verbessern. Cloudflare verarbeitet technische Request-Daten (z.B. IP-Adresse und User-Agent), um die Website auszuliefern und Analysen bereitzustellen; wir nutzen diese Daten nicht, um Sie zu identifizieren.

Cloudflare Web Analytics stellt uns u.a. folgende aggregierte Daten bereit:

  • Seitenaufrufe und Besucherzahlen (ohne persönliche Identifikation)
  • Verweisquellen (Suchmaschinen, soziale Medien, direkter Verkehr)
  • Herkunftsland (ungefähr, abgeleitet aus der IP-Adresse; wir speichern keine individuellen IP-Adressen als Teil unserer Analytics-Auswertungen)
  • Gerätetyp (Desktop, Mobil, Tablet)
  • Browsertyp (Chrome, Firefox, Safari, etc.)
  • Betriebssystem (Windows, macOS, Linux, etc.)

Diese Daten werden:

  • Ohne Cookies oder dauerhafte Identifikatoren erhoben
  • Aggregiert und können nicht zur Identifizierung von Einzelpersonen verwendet werden
  • Nicht mit persönlichen Informationen verknüpft
  • Nur für Analysezwecke aufbewahrt

Wir verwenden keine Fingerprinting-Techniken und verfolgen Nutzer nicht über Websites oder Geräte hinweg.

3.2 Bei Nutzung des Kontaktformulars:

Wenn Sie das Kontaktformular verwenden, erheben wir:

  • Ihren Namen (sofern angegeben)
  • Ihre E-Mail-Adresse
  • Den Inhalt Ihrer Nachricht
  • IP-Adresse (zu Sicherheitszwecken, wird nach 7 Tagen anonymisiert)

Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Daten aus dem Kontaktformular werden bis zur Klärung Ihrer Anfrage aufbewahrt und danach gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern.

3.3 Bei Nutzung der TensorPM-Software:

In allen Modi: Eine anonyme Installations-ID (UUID) für Installationsstatistiken und Versionsinformationen zu Aktualisierungszwecken. Diese Daten werden unbegrenzt aufbewahrt, enthalten aber keine personenbezogenen Informationen.

Im Abonnement-Modus: Ihre E-Mail-Adresse und Ihr Passwort (gespeichert mit PBKDF2 mit 100.000 Iterationen, SHA-512 Hash-Funktion und einem 32-Byte zufälligen Salt) zur Kontoverwaltung und Authentifizierung bei unserem Proxy-Dienst. JWT-Token werden für die sichere Authentifizierung verwendet. Zugriffstoken sind 60 Minuten gültig. Aktualisierungstoken werden verschlüsselt und bis zu 30 Tage lang lokal auf Ihrem Gerät unter Verwendung der Verschlüsselung Ihres Betriebssystems gespeichert. Aktualisierungstoken werden niemals in unverschlüsselter Form auf unseren Servern gespeichert. Für Windows-Benutzer können Passkey-Anmeldeinformationen sicher auf Ihrem Gerät gespeichert werden, wenn Sie sich für die Passkey-Authentifizierung entscheiden. Projektdaten werden über unseren Proxy-Server verarbeitet, um KI-Anfragen zu ermöglichen, aber nicht dauerhaft auf unseren Servern gespeichert, außer für die Dauer, die zur Bearbeitung Ihrer Anfrage erforderlich ist (normalerweise Sekunden).

Im Cloud-Sync-Modus (Pro): Wenn Sie Cloud Sync aktivieren, werden ausgewählte Projektdaten an unsere Server übertragen und dort gespeichert, um Ihre Projekte zwischen Geräten zu synchronisieren. Wenn Sie Shared Workspaces nutzen, können eingeladene Workspace-Mitglieder auf die gemeinsamen Workspace-Daten zugreifen.

Workspace-Inhalte werden im Cloud Sync Ende-zu-Ende verschlüsselt. Auf unseren Servern werden die Inhalte nur in verschlüsselter Form gespeichert. Wir können die Inhalte nicht entschlüsseln; wir verarbeiten jedoch Metadaten, die für den Sync notwendig sind (z.B. Workspace-ID, Projekt-ID, Zeitstempel). Im API-Schlüssel-Modus: Von uns werden keine personenbezogenen Daten verarbeitet; Ihre Projektdaten werden direkt an Drittanbieter von KI-Diensten gesendet (Google, OpenAI, Anthropic, Mistral). Wir speichern oder haben niemals Zugriff auf Ihre API-Schlüssel von Drittanbietern über die lokale Speicherung auf Ihrem Gerät hinaus. Zu Ihrer Sicherheit können diese API-Schlüssel mit den Sicherheitsfunktionen Ihres Betriebssystems verschlüsselt werden, sofern verfügbar. Wenn die OS-Verschlüsselung nicht verfügbar oder deaktiviert ist, werden die Schlüssel lokal unverschlüsselt gespeichert (niemals an uns übertragen). Sie können sie jederzeit in der Anwendung entfernen.

Authentifizierungsdienste: Für Authentifizierungszwecke (Anmeldung, Passwortzurücksetzung und E-Mail-Verifizierung) verwenden wir SendGrid als unseren E-Mail-Dienstanbieter. Wenn Sie diese Funktionen nutzen, wird Ihre E-Mail-Adresse von SendGrid ausschließlich zur Zustellung der Authentifizierungs-E-Mail verarbeitet. SendGrid bewahrt diese Daten bis zu 5 Tage auf. SendGrid kann Cookies setzen und Nutzungsdaten erheben, wie in deren Datenschutzerklärung (https://www.twilio.com/legal/privacy) beschrieben.

Verarbeitung von Projektdaten: Bei der Nutzung von KI-Funktionen (sowohl im API-Schlüssel- als auch im Abonnement-Modus) werden Ihre Projektinformationen in Echtzeit verarbeitet und an KI-Anbieter gesendet. Dies umfasst nicht nur Ihre direkten Eingaben, sondern auch Projektkontextinformationen wie Projektstatus, importierte Dokumente, Aufgabenbeschreibungen und andere projektbezogene Inhalte, die Kontext für die KI-Verarbeitung liefern.

Für TensorPM Abonnement-Dienste (sowohl Kostenloser Testzeitraum als auch Pro) nutzen wir folgende KI-Anbieter:

  • Google Cloud Vertex AI mit Gemini-Modellen in der Region Europe-West1 (Belgien)
  • Mistral AI (Hauptsitz in Paris, Frankreich) für Mistral-Modelle

Das bedeutet, dass Ihre KI-Anfragen innerhalb der Europäischen Union verarbeitet werden. Mistral AI verarbeitet Daten gemäß ihrem Auftragsverarbeitungsvertrag und hat das Training von KI-Modellen mit Kundendaten deaktiviert (Opt-out).

Im API-Schlüssel-Modus (BYOK - Bring Your Own Key) können Sie jeden unterstützten KI-Anbieter verwenden, einschließlich: Google (Gemini), OpenAI, Anthropic (Claude), Mistral AI oder andere von Ihnen konfigurierte Anbieter. In BYOK-Szenarien leiten wir Ihre Prompts oder Schlüssel nicht über unseren Proxy. Wenn Sie Ihren eigenen API-Schlüssel verwenden, werden Ihre Prompts direkt an den gewählten Anbieter gesendet und unterliegen ausschließlich dessen Bedingungen und werden nicht von unserem Proxy verarbeitet.

Wir haben Datenverarbeitungsverträge mit Google Cloud und Mistral AI abgeschlossen, die sicherstellen, dass Ihre Daten nicht zum Training ihrer KI-Modelle verwendet werden.

Anwendungs- und Fehlerprotokolle: Für Sicherheits-, Fehlerbehebungs- und Überwachungszwecke führen wir verschiedene Protokolle, die Folgendes umfassen:

  • Fehlerzeitstempel und -typen
  • API-Anfrage-Metadaten (Endpunkt, Statuscodes, Antwortzeiten)
  • Authentifizierungsereignisse (Anmeldeversuche, Token-Erneuerungen)
  • Benutzer-E-Mail-Adressen für authentifizierte Anfragen
  • Anfragezähler für Ratenbegrenzung

Wichtig ist, dass wir den tatsächlichen Inhalt Ihrer KI-Prompts oder -Antworten nicht protokollieren. Nur technische Metadaten über Anfragen werden protokolliert. Diese Protokolle werden bis zu 30 Tage aufbewahrt.

3.5 Bei Nutzung der TensorPM Abonnement-Dienste:

Kostenloser Testzeitraum:

  • E-Mail-Adresse (wird für die Dauer Ihres Kontos aufbewahrt)
  • Nutzungsstatistiken (Anzahl der gestellten KI-Anfragen, unbegrenzt gespeichert)

Pro-Abonnement (bei Upgrade vom kostenlosen Testzeitraum):

  • E-Mail-Adresse (wird für die Dauer des Abonnements plus 90 Tage nach Kündigung aufbewahrt)
  • Zahlungsinformationen (von Stripe verarbeitet, nicht auf unseren Servern gespeichert)
  • Start- und Enddatum des Abonnements
  • Nutzungsstatistiken (Anzahl der gestellten KI-Anfragen, unbegrenzt gespeichert)

3.6 Authentifizierungs- und Sicherheitsdaten

Unser Proxy-Server-API verwendet keine Cookies für die Authentifizierung. Stattdessen verwenden wir:

  • JWT Bearer-Token: In Authorization-Headern für API-Authentifizierung gesendet
  • Datenbankspeicherung: Authentifizierungsdaten einschließlich:
    • Passwort-Hashes und Salts (mit PBKDF2)
    • Passkey-Anmeldeinformationen für WebAuthn-Authentifizierung
    • Magic Link Token
    • Authentifizierungsprotokolle
    • Token-Blacklist für widerrufene Token

Unsere Authentifizierungsdatenbank wird auf unseren Servern ohne zusätzliche Anwendungsebenen-Verschlüsselung gespeichert (verlässt sich auf Server-Festplattenverschlüsselung im Ruhezustand). Cloud-Sync-Workspace-Inhalte werden zusätzlich Ende-zu-Ende verschlüsselt gespeichert (Anwendungsebene), sodass wir diese Inhalte nicht entschlüsseln können. Wir implementieren branchenstandardmäßige Sicherheitspraktiken einschließlich gesalzener Passwort-Hashes und sicherer Token-Generierung.

Drittanbieterdienste:

  • Stripe: Verarbeitet Zahlungen und kann Cookies auf deren Zahlungsseiten setzen
  • SendGrid: Sendet Authentifizierungs-E-Mails und kann E-Mail-Interaktionen verfolgen

Sicherheitsdienste:

  • Cloudflare: Wir nutzen Cloudflare für Website-Sicherheit und Performance. Cloudflare kann verarbeiten:

    • IP-Adressen für Sicherheit und Routing (automatisch anonymisiert)
    • Technische Daten (Browsertyp, Request-Header) zur Bedrohungserkennung
    • Begrenzte Cookies für Bot-Schutz (__cf_bm: 30 Minuten, cf_clearance: nur Sitzung)

    Zweck: DDoS-Schutz, Content Delivery und Sicherheitsfilterung. Rechtsgrundlage: Berechtigtes Interesse (Website-Sicherheit und Performance). Siehe Cloudflares Datenschutzrichtlinie.

  • Cloudflare Turnstile: Wir verwenden Cloudflare Turnstile zum Bot-Schutz bei der Registrierung. Turnstile kann folgende Daten erfassen:

    • IP-Adresse
    • Browser- und Geräteinformationen
    • Interaktionsdaten zur Verifizierung, dass Sie ein Mensch sind
    • Turnstile setzt keine Cookies

    Die Daten werden ausschließlich zur Sicherheitsüberprüfung verwendet und nicht für Tracking- oder Werbezwecke genutzt.

Hinweis: Cloudflare Web Analytics verwendet keine Cookies oder andere Tracking-Technologien. Alle Analysedaten werden datenschutzkonform erfasst, ohne Informationen auf Ihrem Gerät zu speichern.

Sie können Cookies über Ihre Browsereinstellungen verwalten oder löschen. Das Blockieren essenzieller Cookies kann die Funktionalität unserer Website beeinträchtigen, insbesondere die Authentifizierung und Zahlungsabwicklung.

4. Rechtsgrundlage für die Verarbeitung

Wir verarbeiten Ihre Daten auf folgender Rechtsgrundlage:

  • Artikel 6 Abs. 1 lit. b DSGVO: Zur Erfüllung unserer vertraglichen Verpflichtungen (z.B. Abonnement-Dienst, Bereitstellung von KI-Funktionalität)
  • Artikel 6 Abs. 1 lit. c DSGVO: Zur Erfüllung rechtlicher Verpflichtungen
  • Artikel 6 Abs. 1 lit. f DSGVO: Zur Wahrung unserer berechtigten Interessen (z.B. Gewährleistung der Softwarefunktionalität, Verbesserung der Dienste, Verhinderung von Betrug und Missbrauch)

4.1 Rollen bei der Datenverarbeitung

Kein-KI-Modus: Wir verarbeiten nur anonyme Installationsstatistiken und Update-Informationen. In diesem Modus handeln wir als Verantwortlicher für die begrenzten erhobenen Daten.

API-Schlüssel-Modus: Wenn Sie Ihren eigenen API-Schlüssel verwenden, verarbeiten wir Ihre Projektdaten nicht. Wir agieren ausschließlich als Softwareanbieter, und Sie gehen eine direkte Beziehung mit dem Drittanbieter des KI-Dienstes ein. Sie sind der Verantwortliche für Ihre Projektdaten, und der Drittanbieter des KI-Dienstes ist Ihr Auftragsverarbeiter. Wir sind an dieser Verarbeitungsbeziehung nicht beteiligt.

Pro-Abonnement-Modus: Bei Nutzung unseres Abonnement-Dienstes agieren wir als Auftragsverarbeiter für die Projektdaten, die unseren Proxy-Server passieren. Diese Verarbeitung ist zur Erfüllung unseres Vertrages mit Ihnen erforderlich (Bereitstellung des von Ihnen abonnierten KI-gestützten Projektmanagement-Dienstes). Sie bleiben der Verantwortliche für diese Daten, und wir sind Ihr Auftragsverarbeiter. Zusätzlich handeln wir als Verantwortlicher für Ihre Kontoinformationen (E-Mail-Adresse, Passwort, Abonnementdetails).

Cloud Sync (Cloud & Pro): Wenn Sie Cloud Sync aktivieren, werden ausgewählte Projektdaten an unsere Server übertragen und dort gespeichert, um Ihre Projekte zwischen Geräten zu synchronisieren. In einem geschäftlichen Kontext ist dies typischerweise eine Verarbeitung in unserem Auftrag als Auftragsverarbeiter. Cloud Sync wird mithilfe der PowerSync-Synchronisationstechnologie bereitgestellt; der PowerSync-Sync-Service wird von uns auf unserer Infrastruktur betrieben. Workspace-Mitglieder, die Sie einladen, können auf geteilte Workspace-Daten zugreifen.

Hinweis zu E2E: Workspace-Inhalte werden Ende-zu-Ende verschlüsselt übertragen und gespeichert. Wir verarbeiten und speichern hierbei insbesondere verschlüsselte Inhalte sowie die für die Synchronisierung und Zugriffskontrolle erforderlichen Metadaten.

Authentifizierungsdienste: Bei authentifizierungsbezogenen Prozessen agiert SendGrid als unser Auftragsverarbeiter, wenn Authentifizierungs-E-Mails gesendet werden. Wir bleiben der Verantwortliche für Ihre Authentifizierungsdaten.

Wir führen Verzeichnisse von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO für alle unter unserer Verantwortung verarbeiteten personenbezogenen Daten.

Wir benötigen keine explizite Zustimmung bei jedem Softwarestart, da die Verarbeitung zur Erfüllung unseres Vertrages mit Ihnen erforderlich ist oder unter berechtigte Interessen fällt (für anonyme Nutzungsstatistiken).

5. Datenempfänger

Ihre personenbezogenen Daten können an folgende Empfänger weitergegeben werden:

  • Cloudflare: Für Website-Sicherheit, CDN und cookie-lose Web-Analytics. Cloudflare verarbeitet technische Request-Daten (u.a. IP-Adresse) für Auslieferung und Sicherheit; die Analytics-Auswertungen, die wir erhalten, sind aggregiert.
  • Stripe: Zur Zahlungsabwicklung im Abonnement-Modus. Die weitergegebenen Daten umfassen Ihre E-Mail-Adresse und Zahlungsinformationen.
  • SendGrid: Zur Zustellung von Authentifizierungs-E-Mails. Die weitergegebenen Daten umfassen Ihre E-Mail-Adresse und temporäre Authentifizierungscodes.
  • Drittanbieter von KI-Diensten: Bei Nutzung von KI-Funktionen. Die weitergegebenen Daten umfassen Ihre zur KI-Verarbeitung übermittelten Projektdaten.
    • Google Cloud (Vertex AI): Für Gemini-Modelle im Abonnement-Modus (Kostenloser Testzeitraum und Pro)
    • Mistral AI: Für Mistral-Modelle im Abonnement-Modus (Pro). Mistral AI hat seinen Hauptsitz in Paris, Frankreich und verarbeitet Daten innerhalb der EU. Wir haben einen Auftragsverarbeitungsvertrag mit Mistral AI, der sicherstellt, dass Ihre Daten nicht zum Training von KI-Modellen verwendet werden.
    • Verschiedene Anbieter (nur BYOK): Im API-Schlüssel-Modus, je nach gewähltem Anbieter (Google, OpenAI, Anthropic, Mistral AI oder andere); direkte Übertragung außerhalb unseres Proxys
  • Hetzner Online GmbH: Unser Server-Hosting-Anbieter. Alle Website-Daten werden auf deren Servern in Nürnberg, Deutschland gehostet.
  • INWX GmbH & Co. KG: Unser Domain-Registrar in Berlin, Deutschland.

Wir haben sichergestellt, dass alle Dienstleister die Datenschutzbestimmungen durch entsprechende Auftragsverarbeitungsverträge einhalten, die bei Bedarf Standardvertragsklauseln für internationale Übermittlungen enthalten. Anbieter, die nur über BYOK genutzt werden und nicht über unseren Proxy geleitet werden (z.B. Mistral AI im BYOK-Modus), sind nicht unsere Auftragsverarbeiter; Sie gehen eine direkte Beziehung mit ihnen ein.

6. Datenspeicherung

  • Server-Logs: Automatisch erfasste Server-Log-Daten werden nach maximal 7 Tagen gelöscht.
  • Kontaktanfragen: Daten aus Kontaktanfragen werden gelöscht, sobald die Anfrage bearbeitet wurde (in der Regel innerhalb von 30 Tagen), es sei denn, gesetzliche Aufbewahrungspflichten erfordern eine längere Speicherung.
  • Fehlerprotokolle: Fehlerprotokolle im Abonnement-Modus werden 30 Tage lang aufbewahrt und danach automatisch gelöscht.
  • Authentifizierungsdaten: SendGrid bewahrt E-Mail-Adressen und Authentifizierungscodes bis zu 5 Tage auf.
  • Zugriffstoken: JWT-Zugriffstoken verfallen nach 60 Minuten.
  • Aktualisierungstoken: JWT-Aktualisierungstoken werden verschlüsselt und bis zu 30 Tage lang lokal auf Ihrem Gerät gespeichert.
  • Abonnementdaten: E-Mail-Adressen und Kontoinformationen werden für die Dauer des Abonnements plus 90 Tage nach Kündigung aufbewahrt.
  • Anonyme Installations-IDs: Werden zu Analysezwecken aufbewahrt, enthalten aber keine personenbezogenen Informationen.
  • Zahlungsdaten: Stripe bewahrt Zahlungsdaten gemäß deren Datenschutzrichtlinie und gesetzlichen Anforderungen auf. Wir speichern keine Zahlungsdaten auf unseren Servern.

7. Datenverarbeitung außerhalb der EU/EWR

Bei der Nutzung von KI-Funktionen (entweder über den API-Schlüssel-Modus oder den Abonnement-Modus) können Ihre Daten je nach Infrastruktur des KI-Anbieters auf Server außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übertragen werden. Diese Übermittlungen sind geschützt durch:

Für den Abonnement-Modus: Angemessene Garantien wie EU-Standardvertragsklauseln (Version 2021) mit Google Cloud. Wir haben Folgenabschätzungen für die Datenübermittlung durchgeführt und bei Bedarf zusätzliche technische Maßnahmen umgesetzt.

Für den API-Schlüssel-Modus: Ihre direkte Beziehung zum KI-Anbieter (wir kontrollieren oder beteiligen uns nicht an diesen Übermittlungen). Je nach gewähltem Anbieter (OpenAI, Anthropic, Mistral AI, Google oder andere) können Daten in verschiedene Rechtsgebiete übertragen werden.

Authentifizierungs-E-Mails werden von SendGrid verarbeitet, das in den USA ansässig ist. Diese Übermittlung ist durch EU-Standardvertragsklauseln (Version 2021) und zusätzliche technische Maßnahmen geschützt, wie in unserem Auftragsverarbeitungsvertrag mit SendGrid beschrieben.

Die spezifischen Standorte, an denen Ihre Daten verarbeitet werden können, umfassen:

  • Vereinigte Staaten (Google Cloud, SendGrid)
  • EU-Länder (Google Cloud unterhält EU-Infrastruktur)
  • Andere Standorte je nach Wahl Ihres BYOK-Anbieters

Wir bewerten regelmäßig die Angemessenheit des Schutzes für diese internationalen Übermittlungen und werden Sie über wesentliche Änderungen informieren.

8. Website-Analysen

8.1 Selbst gehostete Analysen

Wir betreiben ein eigenes Analysesystem auf unserer Infrastruktur (Hetzner, Nürnberg, Deutschland). Dieses System erfordert Ihre ausdrückliche Einwilligung, bevor Daten erfasst werden. Die von uns erhobenen Analysedaten umfassen:

  • Seitenaufrufe und Besucherzahlen
  • Verweisquellen
  • Herkunftsland (ermittelt über eine lokale Geolokalisierungsdatenbank auf unserem Server; Ihre IP-Adresse wird zu diesem Zweck niemals an externe Dienste gesendet)
  • Gerätetyp und Bildschirmauflösung
  • Browsertyp

Datenschutzmaßnahmen:

  • Einwilligung erforderlich: Es findet kein Tracking statt, bis Sie über unser Cookie-Banner ausdrücklich zugestimmt haben
  • Keine Cookies oder dauerhaften Identifikatoren: Wir speichern keine Cookies und nutzen keinen lokalen Speicher für Analysen
  • Kein tagesübergreifendes Tracking: Sitzungskennungen werden aus einem Hash abgeleitet, der sich täglich ändert und nicht dazu verwendet werden kann, Sie über Tage hinweg zu verfolgen
  • IP-Adressen werden niemals gespeichert: IP-Adressen werden ausschließlich für die Ländererkennung über eine lokale Datenbank und zur Erzeugung eines täglichen Sitzungs-Hashes verwendet und anschließend verworfen
  • Ausschließlich lokale Geolokalisierung: Die Ländererkennung erfolgt über eine lokal gehostete MaxMind GeoLite2-Datenbank. Es werden keine IP-Adressen an externe Geolokalisierungsdienste gesendet
  • Bot-Erkennung: Wir verwenden Verhaltenssignale (Vorhandensein oder Fehlen von Mausbewegungen, Scrollen, Tastatureingaben und Touch-Interaktionen) ausschließlich zur Unterscheidung von echten Besuchern und automatisierten Bots. Es werden keine Interaktionsinhalte erfasst.

8.2 Cloudflare Web Analytics

Zusätzlich verwenden wir Cloudflare Web Analytics, ein datenschutzfreundliches Analysetool, das:

  • Keine Cookies verwendet
  • So konzipiert ist, dass keine nutzerbezogene Nachverfolgung stattfindet und Auswertungen aggregiert bereitgestellt werden
  • Besucher nicht über Geräte oder Websites hinweg verfolgt

Abhängig von Ihrer Jurisdiktion und der konkreten Verarbeitung in Ihrem Browser (z.B. essenzielle Sicherheits-Cookies von Cloudflare für Bot-Schutz) kann dennoch ein Cookie-/Consent-Banner erforderlich sein. Sofern eine Einwilligung für nicht-essenzielle Cookies oder ähnliche Technologien erforderlich ist, holen wir diese ein.

Die von uns erfassten Analysedaten sind vollständig anonymisiert und aggregiert. Wir können keine einzelnen Besucher identifizieren und versuchen dies auch nicht. Dieser Ansatz ermöglicht es uns, unsere Website zu verbessern und gleichzeitig Ihre Privatsphäre vollständig zu respektieren.

9. Ihre Rechte

Nach der DSGVO haben Sie folgende Rechte:

  • Auskunftsrecht (Artikel 15 DSGVO): Zu erfahren, welche Daten wir über Sie verarbeiten.
  • Recht auf Berichtigung (Artikel 16 DSGVO): Ungenaue oder unvollständige Daten zu korrigieren.
  • Recht auf Löschung (Artikel 17 DSGVO): Ihre Daten zu löschen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO): Die Verarbeitung Ihrer Daten einzuschränken.
  • Recht auf Datenübertragbarkeit (Artikel 20 DSGVO): Ihre Daten in einem maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Artikel 21 DSGVO): Der Verarbeitung Ihrer Daten zu widersprechen.
  • Recht auf Widerruf der Einwilligung (Artikel 7 Abs. 3 DSGVO): Eine bereits erteilte Einwilligung jederzeit zu widerrufen.

9.1 Wie Sie Ihre Rechte ausüben

Um diese Rechte auszuüben, kontaktieren Sie uns bitte unter info@tensorpm.com mit einer klaren Beschreibung Ihrer Anfrage. Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten. Zu Verifizierungszwecken können wir zusätzliche Informationen anfordern, um Ihre Identität zu bestätigen, wie z.B.:

  • Bestätigung der E-Mail-Adresse
  • Grundlegende Kontoinformationen
  • Andere identifizierende Informationen, die zur Überprüfung Ihrer Identität erforderlich sind

Bei komplexen Anfragen oder bei einer hohen Anzahl von Anfragen können wir diese Frist um weitere 60 Tage verlängern. In diesem Fall werden wir Sie innerhalb der ersten 30 Tage informieren.

9.2 Prozess der Kontolöschung

Für Anfragen zur Kontolöschung kontaktieren Sie uns bitte über das Kontaktformular oder per E-Mail. Wir werden Ihr Konto und die zugehörigen personenbezogenen Daten innerhalb von 30 Tagen nach Ihrer verifizierten Anfrage löschen, mit Ausnahme von Informationen, zu deren Aufbewahrung wir gesetzlich verpflichtet sind. Der Prozess der Kontolöschung umfasst:

  • Überprüfung Ihrer Identität
  • Löschung Ihres Benutzerkontos und der zugehörigen Daten
  • Entfernung aus unseren Mailinglisten
  • Bestätigungs-E-Mail nach Abschluss der Löschung

10. Recht auf Beschwerde

Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzulegen. In Deutschland ist dies in der Regel die Datenschutzbehörde Ihres Bundeslandes.

Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Website: https://www.lda.bayern.de
E-Mail: poststelle@lda.bayern.de

11. Datensicherheit

Wir ergreifen geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen umfassen:

  • Verschlüsselung: HTTPS/TLS 1.3 für alle Datenübertragungen, Passwort-Hashing mit PBKDF2, bedingte OS-Ebenen-Verschlüsselung (safeStorage / Schlüsselbund / DPAPI) für API-Schlüssel & Aktualisierungstoken wenn verfügbar
  • Zugriffskontrollen: Rollenbasierte Zugriffskontrollen, Prinzip der geringsten Rechtevergabe, Multi-Faktor-Authentifizierung für den administrativen Zugriff
  • Regelmäßige Sicherheitsupdates: Monatliche Sicherheitspatches für alle Systeme und Abhängigkeiten
  • Schwachstellenmanagement: Regelmäßiges Scannen auf Schwachstellen und rechtzeitiges Patchen
  • Firewalls und Netzwerksicherheit: Web Application Firewall, Netzwerksegmentierung, Intrusion Detection
  • Überwachung: Echtzeitüberwachung auf verdächtige Aktivitäten und automatisierte Warnmeldungen
  • Sicherungsverfahren: Regelmäßige verschlüsselte Backups mit Integritätsprüfung
  • Datenminimierung: Erhebung und Aufbewahrung nur notwendiger Daten
  • Transparenz bei Verschlüsselungs-Fallback: Wenn OS-Verschlüsselung nicht verfügbar oder deaktiviert ist, bleiben die Anmeldedaten nur lokal auf Ihrem Gerät in unverschlüsselter Form; wir übertragen sie niemals an unsere Server
  • Mitarbeiterschulung: Regelmäßige Sicherheitsschulungen für alle Mitarbeiter mit Systemzugriff
  • Incident-Response-Plan: Dokumentierte Verfahren zum Umgang mit potenziellen Datenpannen
  • Audits durch Dritte: Regelmäßige Sicherheitsbewertungen durch externe Spezialisten

Wir testen, bewerten und evaluieren regelmäßig die Wirksamkeit dieser Maßnahmen, um die fortlaufende Sicherheit der Verarbeitung zu gewährleisten.

12. Keine automatisierte Entscheidungsfindung

Wir verwenden Ihre personenbezogenen Daten nicht für automatisierte Entscheidungsfindungen oder Profiling, die rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen würden.

13. Datenschutz-Folgenabschätzung

Wir haben eine Datenschutz-Folgenabschätzung (DSFA) für die Verarbeitung von Projektdaten durch unseren KI-Proxy-Dienst durchgeführt, da diese Verarbeitung die Übermittlung potenziell sensibler Daten an Drittanbieter beinhaltet. Die in dieser Bewertung identifizierten Maßnahmen wurden umgesetzt, um Risiken zu minimieren, einschließlich Datenminimierung, strenger Verschlüsselung und vertraglicher Absicherungen mit unseren KI-Anbietern.

14. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken oder aus rechtlichen, betrieblichen oder regulatorischen Gründen widerzuspiegeln. Wir werden Sie über wesentliche Änderungen über die Software oder per E-Mail informieren, wenn Sie ein Abonnement-Benutzer sind. Die aktuelle Version ist immer auf unserer Website verfügbar.

Wesentliche Änderungen werden mindestens 30 Tage vor ihrem Inkrafttreten mitgeteilt. Jede aktualisierte Version enthält ein Revisionsdatum und eine Versionsnummer am Anfang des Dokuments.

15. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

Simon Schwer
Wolfringstraße 14
90765 Fürth, Deutschland
E-Mail: info@tensorpm.com

11.1 Verfügbarkeit von Verschlüsselung und Fallback

OS-Ebenen-Verschlüsselung hängt von Plattformfähigkeiten ab. Wenn Verschlüsselung nicht verfügbar ist (z.B. Headless-Umgebungen, eingeschränkte Linux-Konfigurationen) oder der Benutzer die App-interne Verschlüsselungseinstellung deaktiviert, werden Anmeldeinformationen (API-Schlüssel, Aktualisierungstoken) lokal unverschlüsselt gespeichert. Dies ändert nichts daran, dass wir diese Anmeldeinformationen niemals an unsere Server übertragen. Sie können Schlüssel jederzeit aus der Anwendung heraus löschen oder rotieren.

Version: 1.7 Stand: 1. Februar 2026