Datenschutz

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

BrAInEngine
Chenesai Mafara
Matthiasstraße 43
50354 Hürth
Deutschland

E-Mail: support@brainengine.io
Telefon: 02233 5412531

2. Arten der verarbeiteten Daten

2.1 Bestandsdaten

Bei der Registrierung und Nutzung unserer Plattform erheben wir folgende Daten:

• Vor- und Nachname
• Anschrift (Straße, PLZ, Ort, Land)
• Firmenname und USt-ID (optional, für B2B-Kunden)
• E-Mail-Adresse
• Zahlungsdaten (werden ausschließlich über Stripe verarbeitet, nicht auf unseren Servern gespeichert)
• Social-Media-Zugangstokens (Meta/Facebook, Instagram, Threads, LinkedIn, TikTok, YouTube – nur bei Verbindung des entsprechenden Dienstes)
• E-Mail-Account-Zugangsdaten (Gmail OAuth, Microsoft OAuth oder IMAP – nur bei Verbindung des E-Mail-Agents; Passwörter werden AES-verschlüsselt gespeichert)

2.2 Nutzungsdaten

• IP-Adresse (gekürzt zur Reichweitenmessung)
• Browsertyp und -version
• Betriebssystem
• Referrer-URL
• Datum und Uhrzeit des Zugriffs
• Im Dashboard erstellte Inhalte, Kampagnen, Konfigurationen und Agent-Setups

2.3 Besondere Kategorien von Daten

Im Rahmen der Voice-Agent-Funktion (VAPI) werden potenziell Stimmaufzeichnungen verarbeitet. Diese werden ausschließlich mit ausdrücklicher Einwilligung aller Gesprächsparteien aufgezeichnet und können im Dashboard jederzeit gelöscht werden. Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Im Rahmen des Finance Agents werden Rechnungs- und Belegdaten verarbeitet. Diese können personenbezogene Daten Dritter (Rechnungsaussteller) enthalten. Der Kunde ist als Verantwortlicher dafür zuständig, dass die Verarbeitung in seinem Kontext rechtmäßig erfolgt.

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Account, Abonnement, Nutzung der Plattform)
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Aufzeichnung von Telefonanrufen, Verbindung von Social-Media- oder E-Mail-Accounts, Cookies)
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (z. B. steuerrechtliche Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (z. B. Betrieb und Sicherheit der Plattform, Betrugsprävention, Reichweitenmessung)
• Art. 9 Abs. 2 lit. a DSGVO – Einwilligung für besondere Kategorien (Sprachaufzeichnungen)

4. Zwecke der Datenverarbeitung

• Bereitstellung, Betrieb und Verbesserung der BrAInEngine-Plattform
• Nutzerverwaltung, Authentifizierung und Workspace-Management
• Abwicklung von Zahlungen und Abonnements
• Verbindung mit externen Social-Media-Plattformen über OAuth
• Verbindung mit E-Mail-Accounts über OAuth oder IMAP
• Betrieb von KI-gestützten Agenten (Content-Generierung, Social-Media-Posting, E-Mail-Agent, Voice-Agent, Finance-Agent)
• Verarbeitung und Speicherung von KI-generierten Inhalten und Aufzeichnungen
• Kommunikation und Support (Transaktions-E-Mails)
• Einhaltung gesetzlicher Verpflichtungen

5. Einsatz von Drittanbietern und Auftragsverarbeitern

Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit diesen wurden entsprechende Auftragsverarbeitungsverträge (AVV) abgeschlossen, sofern erforderlich. Bei Datenübermittlung in Drittländer (insbesondere USA) erfolgt diese auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

5.1 Supabase, Inc. (Datenbank, Auth, Storage)

Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992. Server-Standort: AWS Frankfurt (eu-central-1), Deutschland. Supabase betreibt unsere Datenbank, Authentifizierung und Storage-Dienste. Sämtliche Nutzerdaten, Workspace-Inhalte, Generator-Outputs und Agent-Konfigurationen werden in Frankfurt gespeichert. Datenschutz: https://supabase.com/privacy

5.2 Vercel Inc. (Hosting Frontend)

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Hosting des Dashboards (dashboard.brainengine.io). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://vercel.com/legal/privacy-policy

5.3 Hostinger International Ltd. (Hosting Webseite, DNS, E-Mail)

Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern. Hosting der öffentlichen Webseite (brainengine.io), DNS-Verwaltung und E-Mail-Hosting (info@vyzion.studio, support@brainengine.io). Server-Standort: EU. Datenschutz: https://www.hostinger.com/de/datenschutzerklarung

5.4 Stripe, Inc. (Zahlungsabwicklung)

Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA. Zahlungsdaten werden ausschließlich von Stripe verarbeitet und niemals direkt auf unseren Servern gespeichert. Stripe Tax sorgt für die korrekte Berechnung und Ausweisung der Umsatzsteuer (für B2B-Kunden mit USt-ID Reverse-Charge gemäß § 13b UStG). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://stripe.com/de/privacy

5.5 OpenRouter Inc. (KI-Modell-Gateway)

OpenRouter Inc., USA. OpenRouter ist ein API-Gateway, über das wir auf KI-Sprach- und Bildmodelle zugreifen. Über OpenRouter werden Anfragen an Anbieter wie OpenAI, Anthropic (Claude), Google (Gemini) und weitere weitergeleitet. Datenübermittlung in die USA auf Basis von SCCs. Wir empfehlen Nutzern, keine besonderen Kategorien personenbezogener Daten als Eingabe zu verwenden. Datenschutz: https://openrouter.ai/privacy

5.6 Anthropic, PBC (KI-Modell „Claude“)

Anthropic, PBC, San Francisco, CA, USA. Anbieter des Claude-Modells, das über OpenRouter aufgerufen wird. Datenübermittlung in die USA auf Basis von SCCs. Anthropic verwendet API-Eingaben gemäß eigenen Nutzungsbedingungen nicht zum Training der Modelle. Datenschutz: https://www.anthropic.com/legal/privacy

5.7 OpenAI, L.L.C. (KI-Modelle GPT-4o, GPT-4o-mini, Vision)

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Bereitstellung der GPT-Modelle (über OpenRouter und für die Vision-Funktion im Finance Agent). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://openai.com/privacy

5.8 Replicate, Inc. (Bild- und Videogenerierung)

Replicate, Inc., USA. Generierung von KI-Bildern und -Videos (insbesondere im Content Studio). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://replicate.com/privacy

5.9 fal.ai (Bild- und Videogenerierung, AI Influencer)

fal.ai (Featherless AI, Inc.), USA. Generierung von KI-Bildern und -Videos im AI Influencer Hub und Video Autopilot (z. B. Flux Pro, Kling AI Lipsync). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://fal.ai/privacy

5.10 Vapi, Inc. (Voice-Agent-Infrastruktur)

Vapi, Inc., USA. Betrieb von KI-gestützten Telefonagenten. VAPI orchestriert Sprachmodelle, Speech-to-Text und Text-to-Speech für ein- und ausgehende Anrufe. Datenübermittlung in die USA auf Basis von SCCs. Aufzeichnungen werden ausschließlich mit Einwilligung erstellt. Datenschutz: https://vapi.ai/privacy

5.11 Twilio Inc. (Telefonnummern und Telefonie)

Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USA. Bereitstellung von Telefonnummern und Telefonie-Infrastruktur für Voice-Agents. Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://www.twilio.com/legal/privacy

5.12 Resend, Inc. (Transaktions-E-Mails)

Resend, Inc., USA. Versand von Transaktions-E-Mails (z. B. Account-Bestätigung, Passwort-Reset, Benachrichtigungen). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://resend.com/legal/privacy-policy

5.13 Ayrshare LLC (Social Media Posting)

Ayrshare LLC, USA. Veröffentlichung von Social-Media-Beiträgen über die offiziellen APIs der jeweiligen Plattformen (Meta, LinkedIn, TikTok, YouTube etc.). Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://www.ayrshare.com/privacy-policy

5.14 GitHub, Inc. (Code-Repository)

GitHub, Inc. (Microsoft), USA. Speicherung des Quellcodes der Plattform. Es werden keine Nutzerdaten in GitHub gespeichert; lediglich der Anwendungs-Code. Datenübermittlung in die USA auf Basis von SCCs. Datenschutz: https://docs.github.com/site-policy/privacy-policies/github-general-privacy-statement

5.15 Social-Media-Plattformen (OAuth-Verbindungen)

Bei Verbindung Ihrer Social-Media-Accounts erteilen Sie uns über das OAuth-Verfahren Zugriff auf Ihr Konto. Folgende Plattformen können verbunden werden:

• Meta (Facebook, Instagram, Threads) – Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland
• LinkedIn – LinkedIn Ireland Unlimited Company, Wilton Plaza, Dublin 2, Irland
• TikTok – TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Irland
• Google (YouTube) – Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland

Wir speichern Zugangstokens zur Ausführung von Posting-Aktionen auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die jeweiligen Datenschutzrichtlinien dieser Plattformen gelten zusätzlich.

5.16 E-Mail-Anbieter (OAuth- und IMAP-Verbindungen)

Bei Verbindung Ihres E-Mail-Accounts mit dem E-Mail-Agent erfolgt der Zugriff:

• Gmail (Google OAuth) – Google Ireland Ltd. mit beantragten Berechtigungen gmail.readonly, gmail.send, gmail.modify (jeweils nur sofern vom Nutzer aktiviert)
• Microsoft Outlook (Microsoft OAuth) – Microsoft Ireland Operations Ltd. mit den entsprechenden Berechtigungen
• IMAP (universell, z. B. mailbox.org, IONOS, GMX, Web.de, Strato) – Verbindung mit AES-verschlüsseltem Passwort, das ausschließlich für den E-Mail-Agent verwendet wird

E-Mail-Inhalte werden zur KI-Verarbeitung (Kategorisierung, Antwortvorschläge) an die KI-Modelle (über OpenRouter) übermittelt und nicht dauerhaft gespeichert. Detailregelung in den AGB §9.

6. Cookies und Tracking

6.1 Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies ein, die für den Betrieb des Dashboards erforderlich sind (z. B. Session-Cookies für die Authentifizierung). Diese Cookies sind nicht einwilligungspflichtig (§ 25 Abs. 2 TTDSG).

6.2 Optionale Cookies und Analyse

Optionale Cookies (z. B. Reichweitenmessung, Marketing) werden nur mit Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner gesetzt. Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.

6.3 Stripe Cookies

Stripe setzt im Rahmen der Zahlungsabwicklung eigene Cookies, die für die Betrugsprävention und Zahlungssicherheit notwendig sind. Details: https://stripe.com/de/cookie-settings

7. Speicherdauer

• Account- und Stammdaten: Für die Dauer des Vertragsverhältnisses zuzüglich gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre für steuerrelevante Dokumente gemäß § 147 AO)
• Zahlungsdaten: Gemäß gesetzlicher Aufbewahrungspflichten
• Social-Media-Tokens: Bis zur Trennung der Verbindung oder Account-Löschung
• E-Mail-Account-Zugangsdaten: Bis zur Trennung oder Account-Löschung
• Anrufaufzeichnungen und Transkripte: Bis zur manuellen Löschung durch den Nutzer im Dashboard
• KI-generierte Inhalte: Für die Dauer der Nutzung; nach Vertragsbeendigung Löschung innerhalb von 30 Tagen
• Log-Dateien (Server): 30 Tage, danach automatische Löschung
• Finance-Agent Belegdaten: Bis zur manuellen Löschung durch den Nutzer; gesetzliche Aufbewahrungspflichten beachten

8. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO) – Auskunft über Ihre gespeicherten Daten
• Berichtigungsrecht (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO) – „Recht auf Vergessenwerden“
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in maschinenlesbarem Format (JSON-Export im Dashboard verfügbar)
• Widerspruchsrecht (Art. 21 DSGVO) – Widerspruch gegen auf berechtigtem Interesse beruhende Verarbeitungen
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Jederzeit ohne Angabe von Gründen

Zur Ausübung Ihrer Rechte wenden Sie sich an: support@brainengine.io
Account-Löschung und Datenexport sind direkt im Dashboard unter „Account-Einstellungen“ möglich.

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde für BrAInEngine in Nordrhein-Westfalen ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de

10. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder unberechtigten Zugriff zu schützen. Dazu gehören insbesondere:

• Verschlüsselte Datenübertragung via TLS/HTTPS
• Verschlüsselte Speicherung von API-Keys, OAuth-Tokens und IMAP-Passwörtern (AES-GCM)
• Row-Level-Security (RLS) in der Datenbank für Workspace-Isolation
• Zugriffskontrolle und Berechtigungsmanagement (Mehr-Faktor-Authentifizierung empfohlen)
• Regelmäßige Sicherheitsüberprüfungen und Edge-Function-Audits
• Server-Standort der Datenbank in Deutschland (Frankfurt)

11. KI-Verarbeitung und Trainingsdaten

Hinweis zur KI-Nutzung: Wir können nicht mit abschließender Sicherheit ausschließen, dass Drittanbieter wie OpenAI, Anthropic, Replicate oder fal.ai im Rahmen ihrer eigenen Nutzungsbedingungen übermittelte Daten für interne Zwecke (z. B. Modell-Verbesserung) verwenden, sofern dies nicht explizit über die jeweiligen API-Nutzungsbedingungen ausgeschlossen ist.

Wir empfehlen Nutzern daher, keine Daten als Eingabe zu verwenden, die besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) enthalten oder die der Berufsverschwiegenheit unterliegen.

Wir selbst verwenden Nutzerdaten und -inhalte nicht zum Training eigener KI-Modelle.

12. Auftragsverarbeitung (AVV) für Geschäftskunden

Für B2B-Kunden, die personenbezogene Daten Dritter (z. B. ihrer eigenen Kunden, Mitarbeitenden oder Kontakte) über BrAInEngine verarbeiten, schließen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab.

Der AVV-Vertragsentwurf kann per E-Mail an support@brainengine.io angefordert werden und wird für Beta-Tester auf Anfrage bereitgestellt.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen oder Änderungen unserer Leistungen anzupassen. Die aktuell gültige Datenschutzerklärung ist stets auf unserer Website unter www.brainengine.io/datenschutz abrufbar.