Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

weyer data engineering gmbh Schillingsstraße 329, 52355 Düren, Deutschland E-Mail: info@weyer-data-engineering.com Telefon: +49 (0) 2421 69091 0

2. Kontakt für Datenschutzanfragen

Ein Datenschutzbeauftragter ist gesetzlich nicht benennungspflichtig. Für Datenschutzanfragen können Sie sich an folgende Kontaktstelle wenden:

Cihangir Günbay (Informationssicherheitsbeauftragter / ISB)

weyer data engineering gmbh Schillingsstraße 329, 52355 Düren, Deutschland E-Mail: data-privacy@aiteza.ai Telefon: +49 (0) 2421 69091 0

3. Allgemeines zur Datenverarbeitung

Wir erheben personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder Sie uns diese freiwillig mitteilen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

4. Zwecke der Datenverarbeitung

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

• Bereitstellung, Betrieb und Verbesserung unserer Website und der AITEZA-Plattform

• Authentifizierung und Verwaltung Ihres Nutzerkontos

• Verarbeitung Ihrer Eingaben (Prompts, hochgeladene Dokumente) zur Erbringung der KI-gestützten Dienstleistung

• Beantwortung von Anfragen über das Kontaktformular

• Versand von Informationen, sofern Sie dem ausdrücklich zugestimmt haben

• Gewährleistung der IT-Sicherheit und Systemstabilität

• Erfüllung gesetzlicher Verpflichtungen

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für den Erhalt von Newslettern.

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, insbesondere für die Bereitstellung der AITEZA-Plattform.

• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit wir einer gesetzlichen Verpflichtung unterliegen, z. B. steuerrechtliche Aufbewahrungspflichten.

• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist. Unsere berechtigten Interessen liegen insbesondere in der Gewährleistung der IT-Sicherheit, der Betrugsprävention, der Verbesserung unserer Dienste sowie der Durchsetzung rechtlicher Ansprüche.

6. Server-Logfiles

Bei jedem Zugriff auf unsere Website bzw. Plattform werden automatisch folgende Daten durch den Webserver erfasst:

• IP-Adresse des anfragenden Geräts

• Datum und Uhrzeit des Zugriffs

• Name und URL der abgerufenen Seite

• Übertragene Datenmenge

• Browsertyp und -version

• Betriebssystem

• Referrer-URL

Diese Daten werden ausschließlich zur Gewährleistung eines reibungslosen Betriebs sowie zur Sicherung der IT-Sicherheit verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Logfiles werden nach 30 Tagen automatisch gelöscht.

7. Cookies und ähnliche Technologien

Unsere Website verwendet ausschließlich technisch notwendige Cookies bzw. vergleichbare Technologien, soweit dies für den Betrieb der Website, die Anmeldung und die Authentifizierung erforderlich ist. Der Einsatz erfolgt auf Grundlage von §25 Abs.2 TDDDG sowie, hierbei personenbezogene Daten verarbeitet werden, auf Grundlage von Art. 6 Abs.1 lit. B und f DSGVO.

Wir setzen keine Analyse- oder Marketing Cookies ein. Die statistische Auswertung der Website-Nutzung erfolgt gegebenenfalls über einen cookieless Webanalysedienst. Nähere Informationen finden Sie im nachfolgenden Abschnitt.

8. Webanalyse mit Plausible Analytics

Zur statistischen Auswertung der Nutzung unserer Website setzen wir Plausible Analytics in der Cloud-Version ein. Plausible Analytics ist ein datenschutzfreundlicher Webanalysedienst, der ohne Cookies, ohne dauerhafte Identifikatoren, ohne IP-Adressspeicherung und ohne nutzerbezogene Profile arbeitet.

Die Verarbeitung erfolgt zur Reichweitenmessung, zur technischen Optimierung unserer Website sowie zur Verbesserung unseres Angebots. Hierbei werden insbesondere Informationen über aufgerufene Seiten, Referrer, verwendete Browser, Betriebssysteme, Gerätetypen sowie Datum und Uhrzeit des Zugriffs in aggregierter Form verarbeitet. Eine Wiedererkennung einzelner Nutzer, eine geräteübergreifende Nachverfolgung oder eine Profilbildung findet nicht statt.

IP-Adressen werden im Zusammenhang mit Plausible Analytics nicht verarbeitet oder gespeichert. Eine Verarbeitung von IP-Adressen erfolgt ausschließlich im Rahmen der Server-Logfiles gemäß Abschnitt 6.

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der datenschutzfreundlichen Analyse der Nutzung unserer Website, der Reichweitenmessung sowie der Optimierung unseres Online-Angebots.

Plausible Analytics wird als externer Dienstleister eingesetzt. Soweit hierbei personenbezogene Daten im Auftrag verarbeitet werden, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Weitere Informationen zur Datenverarbeitung durch Plausible Analytics finden Sie unter plausible.io/privacy.

9. Nutzerkonto / Registrierung

Für die Nutzung der AITEZA-Plattform ist die Erstellung eines Nutzerkontos erforderlich. Dabei erheben wir:

• Vor- und Nachname

• E-Mail-Adresse

• Unternehmenszugehörigkeit

• Passwort (verschlüsselt gespeichert)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer der Vertragsbeziehung und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen gespeichert.

10. KI-spezifische Datenverarbeitung

Die AITEZA-Plattform verarbeitet Texteingaben (Prompts), hochgeladenen Dokumenten und Chat-Verläufen mittels KI-Modellen. Hierzu gelten folgende Grundsätze:

• Verarbeitung in kontrollierter Infrastruktur: Nutzereingaben und Dokumente werden je nach gewähltem Modell entweder in unserer kontrollierten Infrastruktur oder über die in Abschnitt 11 benannten externen KI-Dienste verarbeitet. Unsere eigene SaaS und Demo Infrastruktur für Hosting und lokal betriebene Modelle, wird in der Google Cloud Region europe-west3 (Frankfurt, Deutschland) betrieben.

• Kein Training mit Ihren Daten: Ihre Eingaben und Dokumente werden nicht zum Training von KI-Modellen verwendet.

• Speicherdauer von Chat-Verläufen: Chat-Verläufe werden für die Dauer Ihrer aktiven Nutzung gespeichert, um Ihnen den Zugriff auf frühere Konversationen zu ermöglichen. Sie können einzelne Verläufe jederzeit löschen. Nach Löschung des Nutzerkontos werden alle Verläufe innerhalb von 30 Tagen unwiderruflich gelöscht.

• Kein Zugriff durch Dritte: Auf Ihre Eingaben oder hochgeladenen Dokumente erhalten nur diejenigen technischen Systeme und Dienstleister Zugriff, die für die Bereitstellung der jeweils ausgewählten Funktion erforderlich sind. Die konkret eingesetzten Dienstleister und Verarbeitungsstandort ergeben sich aus Abschnitt 11.

Rechtsgrundlage für die Nutzung der Plattform erforderliche Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO. Soweit darüber hinaus einzelne Verarbeitungen auf anderen Rechtsgrundlagen beruhen, wird hierauf in den jeweiligen Abschnitten gesondert hingewiesen.

11. Hosting, Auftragsverarbeiter und KI Dienstleister

Unsere Demo- Plattform und Website werden in einer von uns kontrollierten Infrastruktur betrieben. Für das Hosting und den Betrieb der Plattform setzen wir Google Cloud EMEA Limited als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Die Speicherung und Verarbeitung von Nutzungs- und Anmeldedaten erfolgt ausschließlich in der Google-Cloud-Region europe-west3 (Frankfurt, Deutschland).

Ein Teil der KI-Verarbeitung erfolgt lokal mit intern betriebenen Modellen innerhalb unserer eigenen Kubernetes-Umgebung. Für diesen lokalen Modellbetrieb setzen wir keine externen Auftragsverarbeiter ein.

Soweit Nutzer innerhalb der AITEZA-Plattform externe KI-Modelle oder KI-API-Dienste auswählen, erfolgt die Verarbeitung der hierfür erforderlichen Daten ausschließlich zur Bereitstellung der jeweils angeforderten KI-Funktion. Die eingesetzten KI-Dienstleister werden hierbei als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig, soweit sie personenbezogene Daten im Auftrag und nach Weisung der weyer data engineering gmbh verarbeiten.

Im Rahmen der KI-API-Nutzung können insbesondere folgende Datenkategorien verarbeitet werden:

• Texteingaben des Nutzers, insbesondere Prompts, Fragen, Arbeitsanweisungen und sonstige Eingaben in der AITEZA-Plattform,

• hochgeladene oder durch den Nutzer bereitgestellte Dokumente und Dateiinhalte, soweit diese für die ausgewählte KI-Funktion verarbeitet werden,

• Chat-Verläufe und Konversationsinhalte, soweit diese zur Fortführung oder Kontextualisierung einer Anfrage erforderlich sind,

• technische Metadaten, insbesondere Zeitstempel, Sitzungsinformationen, Modell- und API-Informationen sowie technische Protokolldaten zur Bereitstellung, Absicherung und Nachvollziehbarkeit der Verarbeitung,

• Nutzer- und Kontoinformationen, soweit diese zur Authentifizierung, Autorisierung, Mandantenzuordnung oder technischen Bereitstellung der Plattform erforderlich sind.

Der Zweck der Verarbeitung durch die eingesetzten KI-Dienstleister ist ausschließlich die Durchführung der vom Nutzer ausgelösten KI-Inferenz, also die technische Verarbeitung der Eingaben zur Erzeugung einer Antwort, Zusammenfassung, Analyse, Strukturierung oder sonstigen Ausgabe innerhalb der AITEZA-Plattform. Eine Verarbeitung zu eigenen Zwecken der KI-Dienstleister findet nicht statt.

Insbesondere werden Eingaben, hochgeladene Dokumente, Chat-Verläufe und sonstige Inhalte der Nutzer nicht zum Training, zur Weiterentwicklung oder zur Verbesserung von KI-Modellen der eingesetzten Dienstleister verwendet. Eine Nutzung der verarbeiteten Inhalte für Modelltraining, Produktverbesserung oder Profilbildung durch die KI-Dienstleister ist vertraglich ausgeschlossen.

Die Verarbeitung erfolgt auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO. Diese regeln insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die verarbeiteten Datenarten, die Kategorien betroffener Personen, die technischen und organisatorischen Maßnahmen, Weisungsrechte, Vertraulichkeitspflichten sowie den Einsatz etwaiger Unterauftragsverarbeiter. Die eingesetzten Dienstleister dürfen personenbezogene Daten nur im Rahmen der vertraglich vereinbarten Zwecke und Weisungen verarbeiten.

Die jeweils eingesetzten KI-Dienstleister, deren Zweck, Verarbeitungsstandort bzw. Region sowie ihre Rolle als Auftragsverarbeiter gemäß Art. 28 DSGVO ergeben sich aus der nachfolgenden Übersicht:

Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

12. Datenübermittlung in Drittländer

Nach der derzeitigen technischen und vertraglichen Konfiguration erfolgt die Verarbeitung personenbezogener Daten über die eingesetzten Hosting-, Plattform-, Analyse- und KI-Dienste innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Die eingesetzten Anbieter sind vertraglich verpflichtet, die Verarbeitung auf die vereinbarten Verarbeitungsstandorte zu beschränken.

Eine Übermittlung personenbezogener Daten in ein Drittland findet grundsätzlich nicht statt. Sollte im Einzelfall dennoch eine Übermittlung oder ein Zugriff aus einem Drittland erforderlich werden, erfolgt dies nur auf Grundlage der jeweils anwendbaren Garantien nach Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission oder geeigneter Standardvertragsklauseln.

13. Weitergabe von Daten an Dritte

Eine Übermittlung personenbezogener Daten an externe Stellen erfolgt nur, soweit dies gesetzlich zulässig ist, insbesondere zur Vertragserfüllung, aufgrund gesetzlicher Verpflichtungen oder beim Einsatz von Auftragsverarbeitern gemäß Art. 28 DSGVO. Eingesetzte Auftragsverarbeiter verarbeiten personenbezogene Daten ausschließlich auf Grundlage vertraglicher Vereinbarungen und nach Weisung der weyer data engineering gmbh. Weitere Informationen zu eingesetzten Dienstleistern finden Sie in Abschnitt 11.

14. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist.

Soweit in dieser Datenschutzerklärung keine speziellere Speicherdauer genannt ist, werden personenbezogene Daten grundsätzlich nach 30 Tagen gelöscht.

Hiervon ausgenommen sind Daten, die zur Authentifizierung, Verwaltung und Bereitstellung des Nutzerkontos erforderlich sind. Diese Daten werden für die Dauer des Bestehens des jeweiligen Nutzerkontos gespeichert. Wird das Nutzerkonto gelöscht oder geschlossen, werden die hierzu gespeicherten personenbezogenen Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Hochgeladene Dokumente und vom Nutzer bereitgestellte Dateiinhalte werden solange gespeichert, bis der Nutzer diese löscht oder das zugehörige Nutzerkonto geschlossen wird. Wird das Nutzerkonto geschlossen, werden die hochgeladenen Dokumente und zugehörigen Dateiinhalte gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Chat-Verläufe werden für die Dauer der aktiven Nutzung des Nutzerkontos gespeichert, um den Zugriff auf frühere Konversationen zu ermöglichen. Nutzer können einzelne Chat-Verläufe jederzeit löschen. Nach Löschung oder Schließung des Nutzerkontos werden gespeicherte Chat-Verläufe innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Prompts, KI-Eingaben, KI-Ausgaben, temporäre Verarbeitungsdaten sowie technische Verarbeitungsdaten werden grundsätzlich nach 30 Tagen gelöscht, soweit sie nicht Bestandteil eines gespeicherten Chat-Verlaufs, eines Datarooms oder einer sonstigen vom Nutzer genutzten Plattformfunktion sind.

Soweit aus hochgeladenen Dokumenten technische Index-, Such- oder Vektordaten erzeugt werden, werden diese zusammen mit dem zugrunde liegenden Dokument gelöscht, spätestens jedoch bei Schließung des zugehörigen Nutzerkontos.

Gesetzliche Aufbewahrungspflichten bleiben unberührt.

Relevante Aufbewahrungsfristen ergeben sich insbesondere aus:

• § 147 AO (steuerrechtlich: bis zu 10 Jahre)

• § 257 HGB (handelsrechtlich: bis zu 6 Jahre)

15. SSL/TLS-Verschlüsselung

Wir treffen geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Manipulation, unbefugten Zugriff und unbefugte Offenlegung zu schützen. Hierzu gehören insbesondere Transportverschlüsselung mittels TLS, rollenbasierte Zugriffskontrollen, Mandantentrennung, Protokollierung sicherheitsrelevanter Ereignisse, Schutz hochgeladener Dokumente, regelmäßige Datensicherungen sowie organisatorische Berechtigungskonzepte.

Die Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Art, des Umfangs und der Zwecke der Verarbeitung sowie des jeweiligen Risikos ausgewählt und fortlaufend überprüft.

16. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die KI-gestützte Verarbeitung innerhalb von AITEZA dient ausschließlich der Informationsaufbereitung und Unterstützung. Die erzeugten Inhalte sind durch den Nutzer fachlich zu prüfen; finale Entscheidungen werden stets durch den Nutzer selbst getroffen. Ein Profiling findet nicht statt.

17. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)

• Recht auf Berichtigung (Art. 16 DSGVO)

• Recht auf Löschung (Art. 17 DSGVO)

• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

• Widerspruchsrecht (Art. 21 DSGVO) – Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen.

• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – Soweit Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unsere Datenschutzkontaktstelle (siehe Abschnitt 2).

18. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch allgemein vertraglich vorgeschrieben. Für die Nutzung der AITEZA-Plattform sowie für bestimmte Funktionen, insbesondere Registrierung, Authentifizierung und die Nutzung ausgewählter KI-Funktionen, ist jedoch die Angabe bestimmter Daten erforderlich. Ohne diese Daten kann kein Nutzerkonto angelegt bzw. die jeweilige Funktion nicht bereitgestellt werden.

19. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Postfach 20 04 44, 40102 Düsseldorf Telefon: +49 (0) 211 38424-0 E-Mail: poststelle@ldi.nrw.de

20. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Juni 2026. Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, behördliche Vorgaben oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf unserer Website.