Z
Zandura AI

Datenschutzerklärung

Plattform „Zandura AI" – Stand: April 2026

1. Verantwortlicher

Zandura Portal GmbH
Ludwig-Ganghofer-Straße 1, 82031 Grünwald
Vertreten durch den Geschäftsführer René Wendler
HRB 288208, Amtsgericht München
E-Mail: datenschutz@zandura.de

Datenschutzbeauftragte:

Janina Albrecht
Ludwig-Ganghofer-Straße 1, 82031 Grünwald
E-Mail: datenschutz@zandura.de

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der unter app.zandura.ai bereitgestellten Plattform Zandura AI („Dienst") sowie eingebetteter Web-Widgets, mit denen Endkunden mit Ihren KI-Agenten chatten können.

3. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), für uns zuständig: Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach.

4. Bereitstellung der Plattform und Server-Logs

Beim Aufruf der Plattform werden vom Server technisch erforderliche Verbindungsdaten in Logfiles verarbeitet:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • HTTP-Methode, angefragte URL und Statuscode
  • Übertragene Datenmenge
  • Referrer und User-Agent (Browsertyp/-version, Betriebssystem)

Zweck: Bereitstellung des Dienstes, Fehleranalyse und IT-Sicherheit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen Betrieb).

Hosting: Die Plattform wird in der Hetzner Cloud betrieben. Auftragsverarbeiter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Der Verarbeitungsstandort ist ausschließlich die EU.

5. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und lokale Speicher-Einträge ein, die für Anmeldung, Sitzungsverwaltung (NextAuth/Auth.js) und CSRF-Schutz erforderlich sind. Tracking-, Analyse- oder Marketing-Cookies werden derzeit nicht gesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b DSGVO.

6. Registrierung und Konto

Für die Nutzung der Plattform ist die Anlage eines Kontos erforderlich. Verarbeitet werden: Name, E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash) sowie ggf. Profilbild und Workspace-Zugehörigkeit (Tenant, Rolle).

Zur Bestätigung der E-Mail-Adresse senden wir Ihnen einen Aktivierungslink per E-Mail. Eine Anmeldung ist erst nach erfolgreicher Bestätigung möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Löschung des Kontos zuzüglich gesetzlicher Aufbewahrungsfristen.

7. Nutzung der KI-Agenten (Chat, Wissensspeicher, Workflows)

Innerhalb der Plattform können Sie KI-Agenten konfigurieren, mit ihnen chatten, Dokumente in Wissensspeicher hochladen und Workflows ausführen. Dabei verarbeiten wir folgende Daten:

  • Chat-Nachrichten und -Verläufe (in eigener PostgreSQL-Datenbank)
  • Hochgeladene Dateien (in S3-kompatiblem Object Storage)
  • Aus Dokumenten extrahierte Wissens-Chunks und Vektor-Embeddings
  • In einer Graph-Datenbank (Neo4j) abgelegte Wissensgraphen (mandantenisoliert über einen eindeutigen Namespace pro Workspace)
  • Agenten-spezifische Konfigurationen, Memory-Einträge und Tool-Aufruf-Protokolle

Zweck: Bereitstellung der KI-Funktionen, Personalisierung und Lernen des Agenten innerhalb des jeweiligen Workspace. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenbank- und Storage-Infrastruktur (PostgreSQL, Neo4j, Hetzner Object Storage) werden in Rechenzentren in Deutschland (Hetzner) bzw. von uns selbst betrieben.

8. Übermittlung an KI-Modellanbieter

Zur Beantwortung Ihrer Chat-Eingaben übermitteln wir Ihre Anfragen sowie ggf. Konversations- und Wissens-Kontext an den vom Workspace ausgewählten KI-Modellanbieter. Anbieter und Verarbeitungsstandorte:

  • Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA – Modelle der Claude-Familie. Übermittlung in die USA. Datenschutz: anthropic.com/legal/privacy.
  • OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland (Mutter: OpenAI, L.L.C., USA) – Modelle der GPT-Familie. Datenschutz: openai.com/policies/privacy-policy.
  • Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Mutter: Google LLC, USA) – Modelle der Gemini-Familie via Google AI. Datenschutz: policies.google.com/privacy.
  • Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich – Modelle der Mistral-Familie. Verarbeitung in der EU. Datenschutz: mistral.ai/terms.
  • Voyage AI (sofern aktiviert) – Erstellung von Vektor-Embeddings für die Wissenssuche. Datenschutz: voyageai.com/privacy.

Zweck: Erzeugung der KI-Antworten, Embeddings und Retrieval-Augmented Generation (RAG). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Mit den Anbietern in den USA besteht ein Auftragsverarbeitungsvertrag bzw. Data Processing Addendum. Die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und – soweit anwendbar – auf Grundlage des EU-US Data Privacy Frameworks für zertifizierte Empfänger. Wir haben mit den genannten Anbietern, soweit angeboten, die Verarbeitung Ihrer Eingaben zu Trainingszwecken deaktiviert.

9. App-Integrationen über Composio

Wenn Sie für einen Agenten Drittanbieter-Integrationen aktivieren (z. B. Google Workspace, Slack, Cal.com), erfolgt die Einbindung über Composio.

Anbieter: Composio Inc., USA. Es werden ausschließlich solche Daten übermittelt, die zur Ausführung der gewählten Aktion erforderlich sind. Die Authentifizierung gegenüber dem Drittanbieter erfolgt über OAuth bzw. API-Keys, die verschlüsselt in unserer Datenbank gespeichert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung der Integration). Sie können einzelne Integrationen jederzeit in den Workspace-Einstellungen wieder trennen.

10. Workflow-Engine (n8n)

Zur Ausführung von Agenten-Workflows betreiben wir eine selbst gehostete n8n-Instanz innerhalb unserer Hetzner-Cloud-Infrastruktur. Es findet keine Übermittlung von Workflow-Daten an Dritte durch n8n selbst statt; Drittanbieter-Calls innerhalb eines Workflows werden Ihnen transparent in der Workflow-Definition angezeigt.

11. Kommunikationskanäle des Agenten (Web-Widget, E-Mail)

Sie können Ihre Agenten über mehrere Kanäle erreichbar machen. Pro Kanal verarbeiten wir folgende Daten:

  • Web-Widget: Anonyme Session-IDs, Chat-Nachrichten der Endkunden, IP-Adresse zur Missbrauchsabwehr.
  • E-Mail: Eingehende E-Mails werden über IMAP des von Ihnen konfigurierten Postfachs abgerufen, an den Agenten weitergegeben und Antworten via SMTP versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Workspace-Inhaber). Verantwortlicher gegenüber Endkunden ist der jeweilige Workspace-Inhaber; wir handeln insoweit als Auftragsverarbeiter.

12. Zahlungen (Stripe)

Kostenpflichtige Tarife werden über Stripe abgewickelt. Anbieter: Stripe Payments Europe Ltd., Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland (Mutter: Stripe, Inc., USA).

Wir erhalten von Stripe Identifikatoren zu Kunde und Abonnement, Status-, Plan- und Abrechnungsperioden-Informationen. Vollständige Zahlungsmittel-Daten (Kreditkarte, SEPA) werden ausschließlich von Stripe verarbeitet und liegen uns nicht vor. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz von Stripe: stripe.com/de/privacy.

13. Versand von Transaktions-E-Mails

Für den Versand von Bestätigungs-, Einladungs- und sonstigen Transaktions-E-Mails nutzen wir den SMTP-Dienst von Resend.

Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Verarbeitet werden Empfänger-E-Mail-Adresse, Betreff und Mailinhalt sowie Zustell- Metadaten. Mit Resend besteht ein Data Processing Agreement; die Übermittlung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: resend.com/legal/privacy-policy.

14. Speicherdauer

Wir speichern personenbezogene Daten nur solange, wie es zur Erfüllung der genannten Zwecke erforderlich ist:

  • Konto-Daten: bis zur Löschung des Kontos
  • Chat-Verläufe und Wissens-Inhalte: bis zur Löschung durch den Workspace-Inhaber
  • Server-Logs: bis zu 30 Tage
  • Rechnungs-/Steuerunterlagen: 10 Jahre (§ 147 AO, § 257 HGB)

15. Drittlandtransfer

Soweit personenbezogene Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), ergänzenden technischen und organisatorischen Maßnahmen sowie – soweit der Empfänger zertifiziert ist – auf Grundlage des EU-US Data Privacy Frameworks (Angemessenheits-Beschluss der EU-Kommission vom 10.07.2023).

16. Datensicherheit

Die Übertragung erfolgt durchgängig TLS-verschlüsselt. API-Schlüssel und Zugangsdaten zu Drittanbietern werden anwendungsseitig verschlüsselt gespeichert. Mandantendaten sind über einen eindeutigen Tenant-Identifier (inkl. eigenem Neo4j-Namespace) logisch voneinander isoliert.

17. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version finden Sie unter /datenschutz.