Datenschutzerklärung

Stand: Juni 2026 1. Verantwortlicher custix – Gesellschaft bürgerlichen Rechts (GesbR) Gesellschafter (alle einzeln vertretungsbefugt): Laurenz Lettner, Lorenz Kutschka, Moritz Lumetsberger Walling 12, 4300 St. Valentin, Österreich E-Mail: contact@custix.ai Ein Datenschutzbeauftragter ist gesetzlich nicht zu bestellen. 2. Geltungsbereich und Grundprinzip Diese Datenschutzerklärung gilt für unsere Website (custix.ai) sowie für die Bereitstellung und Lizenzierung der Software „custix”. Die eigentliche Dokumentenverarbeitung findet ausschließlich lokal auf Ihrem Gerät statt. Die Erkennung und Pseudonymisierung personenbezogener Daten (mittels lokaler NLP-Modelle und Regex) sowie die anschließende Re-Identifizierung laufen vollständig auf Ihrem Rechner. Dokumenteninhalte, die dabei erkannten personenbezogenen Daten und die Zuordnung zwischen Platzhaltern und Originaldaten verlassen Ihr Gerät zu keinem Zeitpunkt. Es findet weder Telemetrie noch Crash-Reporting statt. Für diese Inhalte sind wir daher weder Verantwortliche noch Auftragsverarbeiter. Die App kontaktiert unsere Server ausschließlich für Lizenzierung und Updates (siehe Punkte 9 und 10). Web-App (custix.ai/app): Auch bei Nutzung der Web-Version findet die gesamte Dokumentenverarbeitung ausschließlich lokal in Ihrem Browser statt (WebAssembly). Dokumente, Zuordnungstabellen und das Prüfprotokoll werden ausschließlich verschlüsselt im lokalen Speicher Ihres Browsers (Origin Private File System) auf Ihrem Gerät abgelegt und nicht an uns übertragen. Das für die Namenserkennung erforderliche KI-Modell wird einmalig von unserer eigenen Domain (custix.ai) geladen und lokal im Browser gespeichert; dabei werden keine Dokumenteninhalte übermittelt. An unsere Server gehen — wie bei der Desktop-App — ausschließlich Anmelde- und Lizenzdaten (Abschnitt Lizenzprüfung). 3. Hosting und Server-Logfiles Unsere Website wird bei Cloudflare betrieben (Cloudflare, Inc., 101 Townsend St., San Francisco, USA, mit Niederlassungen in der EU). Cloudflare stellt die Server-Infrastruktur (Cloudflare Workers), das Content Delivery Network und die Datenbank (Cloudflare D1) bereit. Es besteht ein Auftragsverarbeitungsvertrag (siehe Cloudflare-Auftragsverarbeitungsvertrag (PDF)); eine EU-Datenlokalisierung wird genutzt. Beim Aufruf der Website verarbeitet Cloudflare technisch notwendige Server-Logdaten (insbesondere IP-Adresse, Zeitpunkt des Zugriffs, User-Agent) zur Auslieferung der Seite sowie zur Gewährleistung von Betrieb und Sicherheit. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art 6 Abs 1 lit f DSGVO). Für diese Edge-Logs gelten die Aufbewahrungsfristen von Cloudflare. 4. Cookies und Einwilligung Technisch notwendige Speicherung erfolgt einwilligungsfrei: ein lokaler Eintrag zur Speicherung Ihrer Cookie-Entscheidung (cookie-consent) sowie – nur bei angemeldeten Nutzern – ein Session-Cookie zur Aufrechterhaltung der Anmeldung (Laufzeit bis zu rund 400 Tage). Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO bzw. § 165 Abs 3 TKG 2021. Einwilligungspflichtige Dienste (insbesondere die Webanalyse, Punkt 5) werden erst nach Ihrer aktiven Zustimmung über unseren Cookie-Banner geladen. Vor der Zustimmung werden insoweit keine Cookies gesetzt und keine Daten an Dritte übertragen. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. 5. Webanalyse – Google Analytics 4 Wir setzen Google Analytics 4 (Anbieter: Google Ireland Ltd., Irland, bzw. Google LLC, USA) ein, jedoch ausschließlich nach Ihrer Einwilligung. Erst nach aktiver Zustimmung wird das Analyse-Skript geladen. Google Analytics 4 speichert standardmäßig keine IP-Adressen; die Verarbeitung erfolgt auf Servern von Google, auch in den USA. Rechtsgrundlage ist Ihre Einwilligung (Art 6 Abs 1 lit a DSGVO), die Sie jederzeit widerrufen können. Zur Drittlandübermittlung siehe Punkt 12. 6. Schriftarten Die verwendeten Schriftarten (Plus Jakarta Sans, Inter) werden lokal von unserem Server ausgeliefert (Einbindung zur Build-Zeit). Es erfolgt dabei keine Verbindung zu Servern von Google und keine Übertragung Ihrer IP-Adresse an Dritte. 7. Terminbuchung (Cal.com) Auf unserer Kontaktseite bieten wir einen Link zur Online-Terminbuchung über Cal.com (Cal.com, Inc., USA) an. Die externe Buchungsseite wird erst geladen, wenn Sie den Link aktiv anklicken. Bei einer Buchung verarbeitet Cal.com die von Ihnen eingegebenen Daten (z. B. Name, E-Mail, Terminwunsch). Rechtsgrundlage ist die Anbahnung bzw. Durchführung der gewünschten Kommunikation (Art 6 Abs 1 lit b und lit f DSGVO). 8. Kontaktaufnahme Sie können uns per E-Mail (contact@custix.ai) kontaktieren. Eingehende Nachrichten werden über Cloudflare Email Routing an unser Postfach weitergeleitet. Wir verarbeiten die von Ihnen übermittelten Daten (insbesondere Name, E-Mail-Adresse und Inhalt der Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art 6 Abs 1 lit b DSGVO (bei vertragsbezogenen Anfragen) bzw. Art 6 Abs 1 lit f DSGVO (sonstige Anfragen). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. 9. Versand transaktionaler E-Mails (Resend) Für den Versand transaktionaler E-Mails (insbesondere Lizenzschlüssel und Passwort-Zurücksetzung) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden Ihre E-Mail-Adresse und der jeweilige Nachrichteninhalt verarbeitet. Rechtsgrundlage ist die Vertragserfüllung (Art 6 Abs 1 lit b DSGVO). Es besteht ein Auftragsverarbeitungsvertrag; zur Drittlandübermittlung siehe Punkt 12. 10. Benutzerkonto und Lizenzverwaltung Zur Verwaltung Ihrer Lizenz können Sie ein Konto anlegen und sich anmelden. Dabei verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Berufsangabe). Diese werden in unserer Datenbank (Cloudflare D1, EU-Datenlokalisierung) gespeichert. Rechtsgrundlage ist die Vertragserfüllung (Art 6 Abs 1 lit b DSGVO). Die Daten werden für die Dauer des Vertragsverhältnisses und darüber hinaus im Rahmen gesetzlicher Aufbewahrungspflichten gespeichert. 11. Lizenzaktivierung und -validierung in der App Bei der Aktivierung Ihres Lizenzschlüssels sowie bei der laufenden (täglichen) Validierung übermittelt die App Ihren Lizenzschlüssel und die App-Version an unseren Server (custix.ai, betrieben über Cloudflare mit EU-Datenlokalisierung). Serverseitig speichern wir dabei die zuletzt gesehene IP-Adresse, die App-Version und einen Zeitstempel, verknüpft mit Ihrer Lizenz. Es wird nur der jeweils letzte Stand gespeichert; die zuletzt gesehene IP-Adresse wird überschrieben, es entsteht keine fortlaufende IP-Historie. Zweck ist der Schutz vor missbräuchlicher Mehrfachnutzung der Lizenz. Rechtsgrundlage ist unser berechtigtes Interesse an der Verhinderung von Lizenzmissbrauch (Art 6 Abs 1 lit f DSGVO). Dokumenteninhalte, erkannte personenbezogene Daten oder Re-Identifizierungs-Zuordnungen werden dabei nicht übermittelt (siehe Punkt 2). 12. App-Updates und Sprachmodell Die App bezieht Aktualisierungen über einen automatischen Updater und lädt das verwendete Sprachmodell einmalig herunter. Dies erfolgt über GitHub (GitHub, Inc., ein Unternehmen von Microsoft, USA). Bei diesen Abrufen wird Ihre IP-Adresse technisch bedingt an GitHub übermittelt. Rechtsgrundlage ist unser berechtigtes Interesse an der Auslieferung von Updates und der Funktionsfähigkeit der App (Art 6 Abs 1 lit f DSGVO). 13. Zahlungsabwicklung (bei kostenpflichtiger Nutzung) Sofern Sie kostenpflichtige Leistungen erwerben, erfolgt die Zahlungsabwicklung über Stripe (Stripe Payments Europe Ltd., Irland, sowie Stripe, Inc., USA). Dabei werden die für die Zahlung erforderlichen Daten (z. B. Name, E-Mail-Adresse, Zahlungs- und Rechnungsdaten) verarbeitet. Rechtsgrundlage ist die Vertragserfüllung (Art 6 Abs 1 lit b DSGVO). Es besteht ein Auftragsverarbeitungsvertrag; zur Drittlandübermittlung siehe Punkt 15. 14. Empfänger / Auftragsverarbeiter im Überblick • Cloudflare, Inc. (USA, EU-Niederlassung) – Hosting, CDN, Datenbank, E-Mail-Weiterleitung • Resend, Inc. (USA) – Versand transaktionaler E-Mails • Google Ireland Ltd. / Google LLC (USA) – Webanalyse (nur nach Einwilligung) • GitHub, Inc. / Microsoft (USA) – App-Updates und Sprachmodell • Stripe Payments Europe Ltd. (Irland) / Stripe, Inc. (USA) – Zahlungsabwicklung (bei Aktivierung) • Cal.com, Inc. (USA) – Online-Terminbuchung (nur bei aktiver Nutzung) 15. Übermittlung in Drittländer Einzelne der genannten Dienstleister verarbeiten Daten (auch) in den USA. Soweit eine Übermittlung in ein Drittland erfolgt, ist diese durch geeignete Garantien abgesichert – insbesondere durch die Standardvertragsklauseln der Europäischen Kommission und, soweit die Anbieter zertifiziert sind, durch das EU-US Data Privacy Framework. 16. Speicherdauer Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Bei der Lizenzvalidierung wird nur der letzte Stand gespeichert (Punkt 11); Anfragen werden nach Erledigung gelöscht (Punkt 8); Konto- und Vertragsdaten werden für die Dauer des Vertragsverhältnisses zuzüglich gesetzlicher Fristen aufbewahrt. 17. Ihre Rechte Sie haben das Recht auf Auskunft (Art 15), Berichtigung (Art 16), Löschung (Art 17), Einschränkung der Verarbeitung (Art 18), Datenübertragbarkeit (Art 20) sowie auf Widerspruch gegen Verarbeitungen, die auf Art 6 Abs 1 lit f beruhen (Art 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art 7 Abs 3 DSGVO). Zudem haben Sie das Recht auf Beschwerde bei der Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at. 18. Datensicherheit Die Datenübertragung auf unserer Website erfolgt verschlüsselt (TLS/HTTPS). Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten. 19. Änderungen Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Leistungen anzupassen. Es gilt die jeweils aktuelle, auf der Website veröffentlichte Fassung.