DE
Datenschutzerklärung
Einleitung
Y4 Works Oy ("Suunta.ai", "wir", "uns" oder "unser") betreibt die Suunta.ai-Plattform, einen KI-gestützten strategischen Planungsdienst für Unternehmen. Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erheben, verwenden, offenlegen und schützen, wenn Sie unsere Dienste nutzen.
Suunta.ai ist ein Business-to-Business (B2B)-Dienst. Diese Datenschutzerklärung gilt für Vertreter unserer Geschäftskunden und deren autorisierte Nutzer.
Verantwortlicher: Y4 Works Oy, Handelsregister-Nr.: 2978296-6, Finnland, E-Mail: privacy@suunta.ai
1. Von uns erhobene Informationen
1.1 Von Ihnen bereitgestellte Informationen
Kontoinformationen
| Daten | Erforderlich | Zweck |
|---|---|---|
| E-Mail-Adresse | Ja | Kontoanmeldung, Kommunikation |
| Vor- und Nachname | Nein | Personalisierung |
| Telefonnummer | Nein | Optionaler Kontakt |
| Passwort | Ja* | Authentifizierung |
| Profilbild | Nein | Personalisierung |
| Spracheinstellung | Ja (Standard: Finnisch) | Lokalisierung |
| Zeitzone | Ja (Standard: Europe/Helsinki) | Zeitanzeige |
| Zusätzliche Profildetails | Nein | Personalisierung |
SSO-Nutzer authentifizieren sich über Google oder Microsoft und haben kein Suunta.ai-Passwort.
Organisationsinformationen
| Daten | Erforderlich | Zweck |
|---|---|---|
| Organisationsname | Ja | Kontoidentifikation |
| Land | Ja (Standard: Finnland) | Lokalisierung, Compliance |
| Stadt | Nein | Lokalisierung |
| Branche | Nein | Dienst-Anpassung |
| Organisationsgröße | Nein | Dienst-Anpassung |
| Website | Nein | Organisationsprofil |
| Logo | Nein | Branding |
| Organisationsprofil-Details | Nein | Dienst-Anpassung |
Geschäftsdaten
- Strategiedokumente und -pläne
- OKRs (Objectives and Key Results)
- KPIs (Key Performance Indicators) und Kennzahlen
- Projekte und Aufgaben
- Dokumente für KI-Analyse (RAG-Quellen)
- Chat-Konversationen mit unserem KI-Assistenten
- Andere von Ihnen eingereichte Geschäftsdaten
Diese Geschäftsdaten werden verarbeitet, um Ihnen unsere Dienste bereitzustellen.
1.2 Automatisch erhobene Informationen
Technische Daten
| Daten | Zweck | Aufbewahrung |
|---|---|---|
| IP-Adresse | Sicherheit, Betrugsprävention | Bei neuem Login überschrieben |
| User-Agent (Browser/Gerät) | Sicherheit, Sitzungsverwaltung | Sitzungsdauer |
| Login-Zeitstempel | Sicherheitsaudit | Überschrieben |
| Sitzungsdaten | Authentifizierungsstatus | 14-30 Tage |
| Fehlgeschlagene Login-Versuche | Brute-Force-Schutz | Bei erfolgreichem Login zurückgesetzt |
Nutzungsdaten
| Daten | Zweck | Aufbewahrung |
|---|---|---|
| KI-Funktionsnutzung (Token, Modell, Latenz) | Abrechnung, Analysen | 365 Tage |
| Aktivitätsprotokolle (durchgeführte Aktionen) | Audit-Trail | 12-36 Monate |
Wichtig: Wir speichern KEINE Ihrer KI-Prompts oder KI-generierten Antworten. Nur Metadaten zur KI-Nutzung (wie Token-Anzahl und Antwortzeiten) werden protokolliert.
1.3 Informationen von Dritten
Single Sign-On (SSO) Wenn Sie sich über Google oder Microsoft anmelden, erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild vom SSO-Anbieter.
Zahlungsinformationen Wir nutzen Stripe für die Zahlungsabwicklung. Stripe erhebt und verarbeitet Ihre Zahlungskartendaten direkt. Wir erhalten nur Ihre Stripe-Kunden-ID und den Abonnementstatus – niemals Ihre Kartendaten.
Integrationen Wenn Sie Drittanbieterdienste verbinden (Slack, Google Workspace usw.), erhalten wir Daten, die für die von Ihnen konfigurierte Integration erforderlich sind.
2. Wie wir Ihre Informationen verwenden
| Zweck | Rechtsgrundlage (DSGVO) |
|---|---|
| Bereitstellung der Dienste (Kontoverwaltung, KI-Funktionen, Datenspeicherung) | Vertragserfüllung (Artikel 6(1)(b)) |
| Zahlungsabwicklung und Abonnementverwaltung | Vertragserfüllung |
| Versand transaktionaler E-Mails (OTP-Codes, Benachrichtigungen) | Vertragserfüllung |
| Gewährleistung der Sicherheit und Betrugsprävention | Berechtigtes Interesse (Artikel 6(1)(f)) |
| Führung von Audit-Protokollen für Compliance | Berechtigtes Interesse / Rechtliche Verpflichtung |
| Verbesserung der Dienste (aggregierte Analysen) | Berechtigtes Interesse |
| Beantwortung von Support-Anfragen | Vertragserfüllung |
| Erfüllung rechtlicher Verpflichtungen | Rechtliche Verpflichtung (Artikel 6(1)(c)) |
Wir tun NICHT:
- Ihre personenbezogenen Daten verkaufen
- Ihre Daten für Werbung verwenden
- Ihre Daten mit Datenhändlern teilen
- Ihre Geschäftsdaten zum Training von KI-Modellen verwenden (ohne ausdrückliche Einwilligung)
3. KI-Datenverarbeitung
3.1 Funktionsweise der KI-Features
- Ihre Prompts und der Kontext werden an unsere KI-Anbieter gesendet (Anthropic, OpenAI, Google, Mistral)
- Der KI-Anbieter verarbeitet Ihre Anfrage und gibt eine Antwort zurück
- Wir zeigen Ihnen die Antwort an
- Wir protokollieren nur Metadaten (verwendete Token, Verarbeitungszeit, Kosten)
3.2 Was wir speichern
| Gespeichert | Nicht gespeichert |
|---|---|
| Chat-Konversationsverlauf (für Kontinuität) | Roh-KI-Prompts an Anbieter gesendet |
| KI-Nutzungsmetadaten (Token, Latenz, Kosten) | KI-Anbieter-Antworten |
| Dokument-Embeddings (für Suche) | Original-Dokumenttext nach Indexierung |
3.3 Datenhandhabung durch KI-Anbieter
- OpenAI: store=False-Flag zur Deaktivierung der Speicherung
- Anthropic: Standard-API ohne Training mit Eingaben
- Google Vertex AI: EU-Region, wo verfügbar
- Mistral: EU-basierter Anbieter
Wir gestatten unseren KI-Anbietern nicht, Ihre Daten für das Modelltraining zu verwenden.
3.4 RAG (Dokumentenanalyse)
- Text wird aus Ihrem Dokument extrahiert
- Text wird in Vektor-Embeddings umgewandelt
- Originaltext wird innerhalb von 24 Stunden gelöscht
- Embeddings und Textabschnitte werden für die Suchfunktionalität aufbewahrt
- Das Löschen einer Quelle entfernt alle zugehörigen Daten
4. Weitergabe von Informationen
4.1 Dienstleister (Unterauftragsverarbeiter)
| Anbieter | Zweck | Standort |
|---|---|---|
| AWS | Infrastruktur-Hosting | EU (Stockholm) |
| Anthropic | KI-Verarbeitung | USA |
| OpenAI | KI-Verarbeitung | USA |
| KI-Verarbeitung | EU/USA | |
| Mistral | KI-Verarbeitung | EU (Frankreich) |
| Stripe | Zahlungsabwicklung | USA/EU |
| Resend | E-Mail-Zustellung | EU |
Die vollständige Liste finden Sie in unserer Unterauftragsverarbeiter-Liste unter https://suunta.ai/legal/subprocessors.
4.2 Vom Kunden initiierte Integrationen
- Slack: Nachrichten, Benachrichtigungen wie konfiguriert
- Google Workspace: Kalenderereignisse, Tabellendaten wie konfiguriert
- Zapier/Make: Webhook-Payloads wie konfiguriert
Sie kontrollieren, welche Integrationen aktiviert sind und welche Daten geteilt werden.
4.3 Gesetzliche Anforderungen
- Zur Einhaltung geltender Gesetze oder rechtlicher Verfahren
- Zur Beantwortung rechtmäßiger Anfragen von Behörden
- Zum Schutz unserer Rechte, Privatsphäre, Sicherheit oder unseres Eigentums
- Im Zusammenhang mit einer Fusion, Übernahme oder Veräußerung von Vermögenswerten
4.4 Mit Ihrer Einwilligung
Wir können Informationen mit Dritten teilen, wenn Sie Ihre ausdrückliche Einwilligung erteilt haben.
5. Internationale Übermittlungen
5.1 Wo wir Daten verarbeiten. Die Hauptverarbeitung erfolgt in der EU (AWS Stockholm, eu-north-1). KI-Verarbeitung kann in den USA über KI-Anbieter erfolgen.
5.2 Übermittlungsgarantien. Für Übermittlungen außerhalb des EWR stützen wir uns auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs), ergänzende Maßnahmen einschließlich Verschlüsselung und Zugriffskontrollen sowie Anbieter-Zertifizierungen (z.B. SOC 2, ISO 27001).
6. Datenaufbewahrung
6.1 Aufbewahrungsfristen
| Datentyp | Aufbewahrungsfrist |
|---|---|
| Aktive Benutzerkonten | Nutzungsdauer |
| Gelöschte Benutzerkonten | Sofort anonymisiert |
| Organisationsdaten | Bis zur Löschung der Organisation + 90 Tage (Backups) |
| KI-Nutzungsmetadaten | 365 Tage |
| Audit-Protokolle (Standard) | 24 Monate |
| Audit-Protokolle (kritisch) | 36 Monate |
| Abrechnungsunterlagen | 6 Jahre (finnisches Recht) |
| Backups | 30 Tage |
6.2 Kontolöschung
- Ihre personenbezogenen Daten werden anonymisiert
- Ihre E-Mail wird durch einen Platzhalter ersetzt
- Ihre Organisationsmitgliedschaften werden entfernt
- Ihre Sitzungen werden widerrufen
- Audit-Protokolle werden für Compliance aufbewahrt (mit anonymisierter Akteur-ID)
6.3 Löschung der Organisation
- 30-tägige Karenzzeit (widerrufbar)
- Alle Organisationsdaten werden dauerhaft gelöscht
- Benutzerkonten bleiben erhalten, verlieren aber den Organisationszugriff
- Ein unveränderlicher Compliance-Audit-Protokolleintrag wird erstellt
7. Ihre Rechte
Gemäß DSGVO haben Sie die folgenden Rechte und können diese über die Einstellungen oder per E-Mail an privacy@suunta.ai ausüben:
- Auskunftsrecht (Artikel 15): Einstellungen → Daten exportieren
- Recht auf Berichtigung (Artikel 16): Einstellungen → Profil
- Recht auf Löschung (Artikel 17): Einstellungen → Konto löschen / Organisation löschen
- Recht auf Einschränkung (Artikel 18): E-Mail an privacy@suunta.ai
- Recht auf Datenübertragbarkeit (Artikel 20): Einstellungen → Daten exportieren
- Widerspruchsrecht (Artikel 21): E-Mail an privacy@suunta.ai
- Recht auf Widerruf der Einwilligung: Einstellungen → Marketing-Einstellungen
Sie haben auch das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. In Deutschland sind dies die Datenschutzaufsichtsbehörden der Bundesländer:
Landesbeauftragte(r) für Datenschutz
-
-
Die Zuständigkeit richtet sich nach dem Bundesland, in dem Sie Ihren Sitz haben.
8. Cookies und ähnliche Technologien
8.1 Von uns verwendete Cookies
| Cookie | Typ | Zweck | Dauer |
|---|---|---|---|
| session | Wesentlich | Authentifizierung | 14-30 Tage |
8.2 Was wir nicht verwenden
- Google Analytics
- Facebook Pixel
- Marketing-Cookies
- Tracking-Cookies von Drittanbietern
8.3 Lokaler Speicher
| Schlüssel | Zweck |
|---|---|
| sidebarCollapsed | UI-Einstellung |
| theme | Anzeige-Theme |
| userTimezone | Zeitanzeige |
8.4 Drittanbieter-Skripte
- Stripe (js.stripe.com): Zahlungsabwicklung
- Google Fonts: Typografie
- Font Awesome: Icons
Diese Dienste können eigene Cookies setzen. Siehe deren jeweilige Datenschutzrichtlinien.
9. Sicherheit
9.1 Technische Maßnahmen
- Verschlüsselung: TLS 1.2+ bei Übertragung, AES-256 im Ruhezustand
- Passwortsicherheit: PBKDF2-SHA256-Hashing
- Sitzungssicherheit: HttpOnly, Secure, SameSite Cookies
- Zugriffskontrolle: Rollenbasiert, organisationsisoliert
9.2 Organisatorische Maßnahmen
- Vertraulichkeitsverpflichtungen für Personal
- Sicherheitsbewusstseinstraining
- Incident-Response-Verfahren
- Regelmäßige Sicherheitsbewertungen
9.3 Ihre Verantwortlichkeiten
- Halten Sie Ihr Passwort sicher
- Verwenden Sie ein starkes, einzigartiges Passwort
- Melden Sie verdächtige Aktivitäten sofort
- Melden Sie sich auf gemeinsam genutzten Geräten ab
10. Datenschutz für Kinder
Suunta.ai ist ein B2B-Dienst für Geschäftsfachleute. Die Dienste richten sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern.
11. Änderungen dieser Richtlinie
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wir werden Sie über wesentliche Änderungen per E-Mail-Benachrichtigung mindestens 30 Tage vor Inkrafttreten der Änderungen und durch einen auffälligen Hinweis auf unserer Website informieren. Die fortgesetzte Nutzung der Dienste nach Änderungen gilt als Annahme.
12. Kontaktieren Sie uns
Bei datenschutzbezogenen Fragen oder zur Ausübung Ihrer Rechte: Y4 Works Oy (Suunta.ai), E-Mail: privacy@suunta.ai. Für allgemeine Anfragen: team@suunta.ai.
13. Zusätzliche Informationen für EWR-Nutzer
13.1 Zusammenfassung der Rechtsgrundlagen
| Verarbeitungsaktivität | Rechtsgrundlage |
|---|---|
| Kontoverwaltung | Vertrag |
| Dienstbereitstellung | Vertrag |
| Zahlungsabwicklung | Vertrag |
| Transaktions-E-Mails | Vertrag |
| Sicherheitsmaßnahmen | Berechtigtes Interesse |
| Audit-Protokollierung | Berechtigtes Interesse / Rechtliche Verpflichtung |
| Marketing (bei Einwilligung) | Einwilligung |
13.2 Datenschutzbeauftragter
Als kleines Unternehmen haben wir keinen formellen DSB ernannt. Für Datenschutzanfragen kontaktieren Sie: privacy@suunta.ai.
13.3 Automatisierte Entscheidungsfindung
Wir treffen keine automatisierten Entscheidungen, die rechtliche Auswirkungen haben oder Sie in ähnlicher Weise erheblich beeinträchtigen. KI-Funktionen liefern Empfehlungen und Analysen, aber endgültige Entscheidungen werden von Ihnen getroffen.