General Information

When you use our application (hereinafter “App”) and Caspering AI, we process your personal data. The protection of this data is just as important to us as it is to you, which is why we comply with all relevant laws, particularly the General Data Protection Regulation (GDPR). In this data protection information, you will receive all important information about the legal basis, purposes, and duration for which we process your data.

1. Name and Contact Details of the Data Controller and Data Protection Officer

For the processing of your data via Caspering AI, the responsible party within the meaning of the GDPR is:

Company: Caspering AI.Lab GmbH
Address: Goerzallee 299, 14167 Berlin, Germany
Email: datenschutz@caspering-ai.de

2. Third Country Transfer

In connection with data processing, there may be data transfers to third countries, i.e., to recipients outside the EU or the European Economic Area (EEA). If there is a decision by the European Commission on the existence of an adequate level of protection (cf. Art. 45 para. 3 GDPR) regarding the third country, no additional measures are required for the data transfer. In the case of data sharing with recipients based in the USA, this is done on the basis of the so-called Transatlantic Data Privacy Framework (DPF) of July 10, 2023, provided that the recipient has appropriate certification. A list of currently certified companies can be found here. In other cases and for data transfers to other so-called non-secure third countries, data sharing only takes place if the requirements of Art. 46 ff. GDPR are met. Specifically, this means that a transfer to third countries only occurs if

• the recipient provides adequate so-called guarantees according to Art. 46 GDPR for the protection of personal data,
• you have expressly consented to the transfer after we have informed you about the risks, according to Art. 49 para. 1 lit. a GDPR,
• the transfer is necessary for the fulfillment of contractual obligations between you and us, or
• another exception according to Art. 49 GDPR applies.

Which of the aforementioned legal bases applies in individual cases will be shown to you in the respective processing. Data transfers to recipients based in the USA who do not have DPF certification and for whom an adequate level of data protection cannot be established through guarantees within the meaning of Art. 46 GDPR are carried out exclusively with your consent within the meaning of Art. 49 para. 1 lit. a GDPR. We point out that for recipients based in the USA without DPF certification, no adequate level of data protection can be guaranteed that would be comparable to that in the EU. In such a transfer of personal data, the following risks therefore exist: There is a risk that US authorities can gain access to personal data based on the surveillance programs PRISM and UPSTREAM based on Section 702 of FISA (Foreign Intelligence Surveillance Act) as well as on the basis of Executive Order 12333 or Presidential Policy Directive 28. EU citizens have no effective legal remedies against these accesses in the USA or the EU. Further information and a copy or reference to the respective adequate guarantees can be found in the description of the respective processing.

3. Processing Activities

a) When visiting our App

aa) Processing Activity

When accessing our App, technical data is collected that is necessary to transmit the App to your browser and ensure its functionality. The processed data includes:

• User’s IP address
• Date and time of access
• Pages and files accessed
• Amount of data transferred
• Browser type and version used
• User’s operating system
• Referrer URL
• Status messages of accesses (e.g., error codes)

bb) Purposes

This data is processed by our hosting service provider to ensure the security and stability of the App. The processing serves the purpose of providing and operating the App to ensure technical functionality as well as to detect and defend against attacks.

cc) Legal Basis

The processing of data is based on Art. 6 para. 1 sentence 1 lit. f GDPR, based on our legitimate interest in a secure and efficient operation of our App.

dd) Recipients

The provision of Caspering AI is carried out by the web host and service provider Cloudflare Inc. 101 Townsend St, San Francisco, CA 94107, USA.

ee) Storage Periods

The collected data is stored in the form of log files for a maximum of 7 days and then deleted or anonymized, unless longer storage is required for security reasons (e.g., to investigate cases of abuse).

b) When registering and managing an account

aa) Processing Activity

You can register and manage an account for using Caspering AI in our App. Through the account, depending on the option selected during registration, you can use Caspering AI to create, upload, and manage content (such as texts, images) for Social Media posts, and post these directly in the respective connected Social Media channels via corresponding interfaces. Creating a user account requires prior registration. You must provide the following data:

• First name,
• Last name,
• Email address and
• Password,
• Payment information.

After entering, you will receive an email to confirm the registration (so-called Double-Opt-In) to validate the process again and prevent abusive profile creation by third parties. When editing the profile, additional data can be voluntarily stored, such as:

• Short description of the person,
• Birthday,
• Usernames of social media channels.

You can edit and change this data at any time.

bb) Purpose

The data processing serves to provide all functionalities of Caspering AI.

cc) Legal Basis

The processing of data required for registration and account creation is justified for the fulfillment of our contractual obligations according to Art. 6 para. 1 sentence 1 lit. b GDPR, as this is the only way our offer via Caspering AI can be used.

Additional, voluntarily entered information is processed on the basis of Art. 6 para. 1 lit. f GDPR, as we have a legitimate interest in giving you the opportunity to freely design your use of Caspering AI.

dd) Storage Periods

Personal data is stored as long as the profile is active. As soon as the profile is deleted, the data is usually also deleted.

c) When using Caspering AI

aa) Processing Activity

In the context of using Caspering AI, we process content provided by you (images, texts) to generate corresponding outputs, such as texts and images. For this purpose, we use generative artificial intelligence models (hereinafter AI models). The inputs are passed through an interface (API) to the respective AI models, processed by the AI models exclusively for the purpose of generating output, and output via Caspering AI. In addition, your content and the AI-generated content can be automatically forwarded to the respective Social Media services for publication. In this process, personal data contained in your input is processed.

bb) Purposes

This processing is carried out to enable and/or facilitate the creation and publication of appealing content on your selected Social Media channels.

cc) Legal Basis

This processing is necessary for the fulfillment of the contract with you, as it includes core functionalities of Caspering AI. Therefore, the legal basis for this processing is Art. 6 para. 1 lit. b GDPR.

dd) Recipients

(1) OpenAI (ChatGPT) The processing is carried out by AI models from the provider OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. The content you enter (e.g., texts, images) is transmitted via an API to OpenAI’s servers to generate the desired results (outputs). Your inputs are processed exclusively for this purpose.

OpenAI processes the data as a processor within the meaning of Art. 28 GDPR. A corresponding contract for data processing has been concluded with OpenAI, which takes into account the data protection requirements applicable in the EU. A transfer of personal data to a third country (USA) is based on standard contractual clauses according to Art. 46 para. 2 lit. c GDPR, supplemented by additional technical and organizational measures that are intended to ensure an adequate level of protection.

OpenAI stores inputs and outputs for a limited period to prevent abuse and ensure system security. Use of the data for training purposes does not take place when using Caspering AI based on contractual agreements with OpenAI.

(2) Cloudflare We use the services of Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA, to ensure the security and performance of our App. Cloudflare acts as a so-called Content Delivery Network (CDN) as well as a security service provider (e.g., protection against DDoS attacks, firewall, TLS encryption). In this process, requests to our servers are routed through Cloudflare’s systems to optimize loading times and ward off attacks.

In the context of this process, technically necessary data - in particular IP addresses, system configuration information, and possibly log data - is processed. This processing is carried out to ensure stable, performant, and secure use of our App.

The data processing is based on Art. 6 para. 1 lit. f GDPR. Our legitimate interest lies in maintaining technical security as well as optimizing loading times and availability of our online services.

Cloudflare acts as a processor within the meaning of Art. 28 GDPR and processes the data exclusively according to our instructions. A corresponding contract for data processing has been concluded with Cloudflare.

Since a transfer of personal data to the USA may take place, we base this on the standard contractual clauses of the European Commission according to Art. 46 para. 2 lit. c GDPR. Cloudflare has also implemented measures to ensure a level of protection corresponding to the EU data protection level (e.g., encryption, access restrictions, regular security audits).

Cloudflare stores personal data in principle only as long as this is necessary for the provision of the aforementioned services, and then automatically deletes it, unless legal retention obligations exist.

(3) Supabase (PostgreSQL Database) We use Supabase, an open-source database solution, to store and manage user data of our App. The database is hosted by Supabase Inc., 1803 E Rio Salado Pkwy, Tempe, Arizona, USA. Supabase enables secure and performant storage of data that is required for the functionality of our App and offers real-time synchronization as well as API interfaces. In the context of using this service, various personal data (e.g., user data, IP addresses) is processed.

The use of Supabase serves to manage user data in our App, in particular for secure storage and management of application data as well as for providing real-time functionalities.

The processing of data by Supabase is based on Art. 6 para. 1 lit. b GDPR, as it is necessary for the provision of App functionalities. Where necessary, we also rely on Art. 6 para. 1 lit. f GDPR (legitimate interest), as we have an interest in stable and secure data processing by external specialized providers.

The data processing is carried out by Supabase Inc. as our processor. Supabase acts exclusively according to our instructions and does not process the data for its own purposes.

The data is stored in the USA. The data transfer is based on standard contractual clauses of the European Commission to ensure an adequate level of data protection.

Personal data is stored as long as this is necessary for the fulfillment of the processing purposes. Upon deletion request by the user or at the end of the usage relationship, the data is immediately deleted, unless legal retention obligations exist.

ee) Storage Duration

We store content and associated log data in Caspering AI as long as the respective user account exists.

d) Account linking to Social Media accounts (OAuth)

aa) Processing Activity

We offer the linking of your Social Media account via a “Social Login” (OAuth) to authorize the publication of content created by our AI software on your profile. For this purpose, you will be redirected to the respective platform; after your approval, the platform transmits an access token and account information (e.g., user/page ID, roles/scopes) to us. The platform processes data independently according to its terms; any joint responsibility only concerns platform-specific “Insights” and is not the subject of the Social Login.

bb) Purpose

The processing serves the purpose of authentication, management of the account connection, granting and management of publication rights, as well as automated publication of content on your linked Instagram account.

cc) Legal Basis

The processing in the context of voluntary account linking is based on your consent, Art. 6 para. 1 sentence 1 lit. a GDPR. You can revoke your consent at any time with effect for the future.

dd) Recipients

(1) Instagram The operator of the Instagram service is Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland (“Meta”). Meta processes your data when interacting with the service for its own purposes. We have no knowledge beyond this about the data processing carried out by Meta. To the extent that you interact with our Instagram profile, we process your data with Meta in so-called joint responsibility according to Art. 26 GDPR for so-called Insights. It has been agreed that Meta is responsible for informing data subjects according to Art. 13 and 14 GDPR and for fulfilling data subject requests according to Art. 15-21 GDPR and reporting and notification obligations according to Art. 33 and 34 GDPR. You can view the agreement here. You can assert your rights at any time against both controllers. The parent company of Meta Platforms Ireland is Meta Platforms, Inc. in the USA. The information generated by Meta is transmitted to servers of Meta Platforms, Inc. in the USA and processed there. On July 10, 2023, the EU Commission issued an adequacy decision for the Data Privacy Framework for data transfers to recipients based in the USA. According to this, an adequate level of data protection is assumed for data transfers to certified recipients based in the USA (see also section III). Meta Platforms, Inc. is a certified company. More information about the handling of personal data at Meta can be found in the respective privacy policy. Instagram: https://privacycenter.instagram.com/policy

(2) LinkedIn The operator of LinkedIn is LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland (“LinkedIn”). LinkedIn processes personal data independently for its own purposes, such as analyzing user behavior, improving services, and for personalized advertising. We have no influence on this processing. To the extent that you interact with our company profile or content on LinkedIn, we may process your data jointly with LinkedIn in the context of the Page Insights function in joint responsibility according to Art. 26 GDPR. The agreement on joint responsibility stipulates that LinkedIn assumes primary responsibility for fulfilling data protection obligations, particularly with regard to information obligations according to Art. 13 f. GDPR as well as the exercise of data subject rights according to Art. 15-22 GDPR. You can view the agreement at the following link: https://legal.linkedin.com/pages-joint-controller-addendum You can assert your rights both against LinkedIn and against us. The parent company LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085, USA, may carry out data processing outside the EEA. In these cases, data transfer is based on the EU-U.S. Data Privacy Framework, as LinkedIn Corporation is certified for this. Thus, an adequate level of data protection within the meaning of Art. 45 GDPR is guaranteed.

Further information about data processing by LinkedIn can be found in LinkedIn’s privacy policy: https://www.linkedin.com/legal/privacy-policy

ee) Storage Periods

We store access tokens and linking data as long as your account with us exists or until you revoke the link; after that, we delete this data. (The “determinability” of the period is sufficient).

4. Data Subject Rights

You have several rights under the GDPR. These are:

a) Right to Information

According to Art. 15 GDPR, you have the right at any time to request information from us about all data we store about you. This includes in particular information about

• the purposes for which we process your data,
• the categories of data we process from you,
• the specific recipients or, if these are not known, the categories of recipients to whom we transmit your data,
• the duration for which we store your data or, if this cannot be determined, the criteria under which we store your data, and
• if applicable, the origin of the data, if we did not collect it from you.

b) Right to Rectification

If your data that we process is incorrect or incomplete, you can request the correction or completion of this data from us at any time according to Art. 16 GDPR.

c) Right to Erasure (Right to be Forgotten)

If the original legal basis for data processing no longer applies or you have revoked your consent or objected to the processing or we may not continue to process your data for another of the reasons mentioned in Art. 17 para. 1 GDPR, you can request the erasure of your personal data from us according to Art. 17 GDPR.

This right does not apply to you if the processing is necessary for the exercise of freedom of expression and information or for the protection of public interests, there is a legal obligation to this effect, or it is necessary for the assertion, exercise, or defense of legal claims.

d) Right to Restriction

According to Art. 18 GDPR, you can also request the restriction of processing. This right applies to you if you dispute the accuracy of the data, the processing is unlawful, we no longer need the data for the stated purposes, or you have objected to the processing and we may not otherwise lawfully continue processing the data in the two latter cases.

e) Right to Data Portability

In addition, you can request from us according to Art. 20 GDPR the transfer of your data in a structured, common, and machine-readable format to yourself or another controller.

f) Right to Withdraw Consent

If you have given your consent as the legal basis for the processing of your data by us, for example according to Art. 6 para. 1 sentence 1 lit. a or Art. 9 para. 2 lit. a GDPR, you can revoke this consent at any time according to Art. 7 para. 3 GDPR. If you do this, we will stop processing your data, but the lawfulness of the processing until the revocation remains unaffected by the revocation.

g) Right to Complain to a Supervisory Authority

According to Art. 77 GDPR, you can also contact a supervisory authority with a complaint. As a rule, this should be the supervisory authority of your usual place of residence or workplace; alternatively, you can also direct your complaint to the supervisory authority of our company headquarters.

5. RIGHT TO OBJECT

ACCORDING TO ART. 21 GDPR, YOU HAVE THE RIGHT TO OBJECT TO THE PROCESSING OF YOUR PERSONAL DATA IF WE PROCESS YOUR PERSONAL DATA MERELY ON THE BASIS OF OUR LEGITIMATE INTERESTS AND REASONS ARISING FROM YOUR PARTICULAR SITUATION SPEAK FOR THIS. IF YOUR OBJECTION IS DIRECTED AGAINST DIRECT ADVERTISING, YOU HAVE A GENERAL RIGHT TO OBJECT WITHOUT GIVING REASONS.

YOU CAN DECLARE YOUR OBJECTION BY EMAIL TO datenschutz@caspering-ai.de.

Allgemeines

Wenn Sie unsere Applikation (im Folgenden „App“) und Caspering AI nutzen, verarbeiten wir Ihre personenbezogenen Daten. Der Schutz dieser Daten ist uns genauso wichtig wie Ihnen, deshalb halten wir uns an alle einschlägigen Gesetze insbesondere die Datenschutz-Grundverordnung (DSGVO). In dieser Datenschutzinformation erhalten Sie alle wichtigen Informationen darüber, auf welchen Grundlagen, zu welchen Zwecken und wie lange wir Ihre Daten verarbeiten.

1. Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des Datenschutzbeauftragten

Für die Verarbeitung Ihrer Daten über Caspering AI ist Verantwortliche i.S.d. DSGVO:

Firma: Caspering AI.Lab GmbH
Adresse: Goerzallee 299, 14167 Berlin, Deutschland
E-Mail: datenschutz@caspering-ai.de

2. Drittstaatentransfer

Im Zusammenhang mit der Datenverarbeitung kann es zu einer Datenübermittlung in Drittstaaten, d.h. an Empfänger außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR), kommen. Soweit in Bezug auf den Drittstaat ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) vorliegt, sind für die Datenübermittlung keine zusätzlichen Maßnahmen erforderlich. Im Falle einer Datenweitergabe an Empfänger mit Sitz in den USA erfolgt diese auf Grundlage des sog. Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023, sofern der Empfänger über eine entsprechende Zertifizierung verfügt. Eine Auflistung der aktuell zertifizierten Unternehmen ist hier abrufbar. In anderen Fällen sowie bei Datenweitergaben in andere sog. nicht-sichere Drittstaaten findet eine Datenweitergabe nur statt, wenn die Voraussetzung der Art. 46 ff. DSGVO gegeben sind. Konkret bedeutet das, dass eine Übermittlung in Drittstaaten nur erfolgt, wenn

• durch den Empfänger ausreichende sogenannte Garantien nach Art. 46 DSGVO für den Schutz der personenbezogenen Daten geboten werden,
• Sie in die Übermittlung, nachdem wir Sie über die Risiken informiert haben, nach Art. 49 Abs. 1 lit. a DSGVO ausdrücklich eingewilligt haben,
• die Übermittlung erforderlich ist, für die Erfüllung vertraglicher Verpflichtungen zwischen Ihnen und uns oder
• eine andere Ausnahme gemäß Art. 49 DSGVO greift.

Welcher der vorstehend erwähnten Grundlagen im Einzelfall Anwendung findet, wird Ihnen bei der jeweiligen Verarbeitung dargestellt. Datenübertragungen an Empfänger mit Sitz in den USA, die nicht über eine DPF-Zertifizierung verfügen und hinsichtlich derer ein angemessenes Datenschutzniveau auch nicht über Garantien im Sinne von Art. 46 DSGVO hergestellt werden kann, erfolgen ausschließlich nach Ihrer Einwilligung im Sinne von Art. 49 Abs. 1 lit. a DSGVO. Wir weisen darauf hin, dass bei Empfängern mit Sitz in den USA ohne DPF-Zertifizierung kein angemessenes Datenschutzniveau gewährleistet werden kann, das mit dem in der EU vergleichbar wäre. Bei einer solchen Übermittlung von personenbezogenen Daten bestehen deshalb folgende Risiken: Es besteht das Risiko, dass US-amerikanische Behörden aufgrund der auf Section 702 des FISA (Foreign Intelligence Surveillance Act) gestützten Überwachungsprogramme PRISM und UPSTREAM sowie auf Grundlage der Executive Order 12333 oder der Presidential Police Directive 28 Zugriff auf die personenbezogenen Daten erlangen können. EU-Bürgern stehen gegen diese Zugriffe keine effektiven Rechtsschutzmöglichkeiten in den USA oder der EU zu. Nähere Informationen sowie eine Kopie beziehungsweise einen Verweis auf die jeweiligen angemessenen Garantien finden Sie in der Beschreibung der jeweiligen Verarbeitung.

3. Verarbeitungen

a) Bei Besuch unserer App

aa) Verarbeitungstätigkeit

Bei Aufruf unserer App werden technische Daten erfasst, die notwendig sind, um die App an Ihren Browser zu übermitteln und ihre Funktionsfähigkeit zu gewährleisten. Zu diesen verarbeiteten Daten gehören:

• IP-Adresse des Nutzers
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seiten und Dateien
• Übertragene Datenmenge
• Verwendeter Browsertyp und -version
• Betriebssystem des Nutzers
• Referrer-URL
• Statusmeldungen der Zugriffe (z.B. Fehlercodes)

bb) Zwecke

Diese Daten werden durch unseren Hosting-Dienstleister verarbeitet, um Sicherheit und Stabilität der App zu gewährleisten. Die Verarbeitung erfolgt zum Zweck der Bereitstellung und des Betriebs der App zur Sicherstellung der technischen Funktionsfähigkeit sowie zur Erkennung und Abwehr von Angriffen.

cc) Rechtsgrundlage

Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO, basierend auf unserem berechtigten Interesse an einem sicheren und effizienten Betrieb unserer App.

dd) Empfänger

Die Bereitstellung von Caspering AI erfolgt durch den Webhoster und Dienstleister Cloudflare Inc. 101 Townsend St, San Francisco, CA 94107, USA.

ee) Speicherfristen

Die erfassten Daten werden in Form von Logfiles maximal 7 Tage gespeichert und anschließend gelöscht oder anonymisiert, es sei denn, eine längere Speicherung ist aus Sicherheitsgründen erforderlich (z.B. zur Aufklärung von Missbrauchsfällen).

b) Bei Registrierung und Verwaltung eines Kontos

aa) Verarbeitungstätigkeit

Sie können in unserer App ein Konto für die Nutzung von Caspering AI registrieren und verwalten. Über das Konto können Sie, abhängig von der im Rahmen der Anmeldung ausgewählten Option, Caspering AI verwenden, um Inhalte (wie z.B. Texte, Bilder) für Social Media Posts zu erstellen, hochzuladen und zu verwalten, sowie diese über entsprechende Schnittstellen direkt in den einzelnen angebundenen Social Media Kanälen zu posten. Für die Erstellung eines Nutzerkontos ist eine vorherige Registrierung erforderlich. Hierbei müssen Sie folgende Daten bereitstellen:

• Vorname,
• Nachname,
• E-Mail-Adresse und
• Passwort,
• Zahlungsinformationen. Nach der Eingabe erhalten Sie eine E-Mail zur Bestätigung der Registrierung (sog. Double-Opt-In), um den Vorgang durch Sie nochmals zu validieren und eine missbräuchliche Profilerstellung durch Dritte zu verhindern. Bei der Bearbeitung des Profils können freiwillig weitere Daten hinterlegt werden, diese sind bspw.:
• Kurzbeschreibung zur Person,
• Geburtstag,
• Nutzernamen von Social-Media-Kanälen.

Sie können diese Daten jederzeit bearbeiten und ändern.

bb) Zweck

Die Datenverarbeitung erfolgt zur Bereitstellung aller Funktionalitäten von Caspering AI.

cc) Rechtsgrundlage

Die Verarbeitung der für die Registrierung und Konto-Erstellung erforderlichen Daten ist zur Erfüllung unserer vertraglichen Pflichten nach Art. 6 Abs. 1 S. 1 lit. b DSGVO gerechtfertigt, da nur so unser Angebot über die Caspering AI wahrgenommen werden kann.

Darüberhinausgehende, freiwillig eingegebene Informationen werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet, da wir ein berechtigtes Interesse daran haben, Ihnen die Möglichkeiten zu geben Ihre Nutzung von Caspering AI frei gestalten zu können.

dd) Speicherfristen

Die personenbezogenen Daten werden so lange gespeichert, wie das Profil aktiv ist. Sobald das Profil gelöscht wird, werden in der Regel auch die Daten gelöscht. c) Bei Nutzung von Caspering AI aa) Verarbeitungstätigkeit Im Rahmen der Nutzung von Caspering AI verarbeiten wir von Ihnen bereitgestellte Inhalte (Bilder, Texte), um entsprechende Ausgaben, wie Texte und Bilder zu generieren. Hierfür nutzen wir Modelle generativer künstlicher Intelligenz (nachfolgend KI-Modelle). Die eingaben werden über eine Schnittstelle (API) an die jeweiligen KI-Modelle durchgereicht, durch die KI-Modelle ausschließlich zum Zweck der Generierung von Output verarbeitet und über Caspering AI ausgegeben. Zudem können Ihre Inhalte und die KI-generierten Inhalte automatisch an die jeweiligen Social Media Dienste zur Veröffentlichung durchgereicht werden. Dabei werden in Ihrem Input enthaltene personenbezogenen Daten verarbeitet. bb) Zwecke Diese Verarbeitung erfolgt, um Ihnen die Erstellung und die Veröffentlichung von ansprechenden Inhalten auf Ihren ausgewählten Social-Media-Kanälen zu ermöglichen und/oder erleichtern. cc) Rechtsgrundlage Diese Verarbeitung ist zur Erfüllung des Vertrags mit Ihnen erforderlich, da sie Kernfunktionalitäten von Caspering AI umfasst. Daher ist Rechtsgrundlage für diese Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. dd) Empfänger (1) OpenAI (ChatGPT) Die Verarbeitung erfolgt durch KI-Modelle des Anbieters OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Dabei werden die von Ihnen eingegebenen Inhalte (z. B. Texte, Bilder) über eine API an die Server von OpenAI übermittelt, um die gewünschten Ergebnisse (Outputs) zu generieren. Die Verarbeitung Ihrer Eingaben erfolgt ausschließlich zu diesem Zweck.

OpenAI verarbeitet die Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit OpenAI wurde ein entsprechender Vertrag über die Auftragsverarbeitung geschlossen, der die in der EU geltenden Datenschutzanforderungen berücksichtigt. Eine Übermittlung personenbezogener Daten in ein Drittland (USA) erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt um zusätzliche technische und organisatorische Maßnahmen, die ein angemessenes Schutzniveau gewährleisten sollen.

OpenAI speichert Eingaben und Ausgaben für einen begrenzten Zeitraum, um Missbrauch zu verhindern und die Systemsicherheit zu gewährleisten. Eine Nutzung der Daten zu Trainingszwecken findet bei der Verwendung von Caspering AI auf Basis vertraglicher Vereinbarungen mit OpenAI nicht statt. (2) Cloudflare Wir nutzen die Dienste der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA, um die Sicherheit und Leistungsfähigkeit unserer App zu gewährleisten. Cloudflare fungiert als sogenanntes Content Delivery Network (CDN) sowie als Sicherheitsdienstleister (z. B. Schutz vor DDoS-Angriffen, Firewall, TLS-Verschlüsselung). Hierbei werden Anfragen an unsere Server über die Systeme von Cloudflare geleitet, um die Ladezeiten zu optimieren und Angriffe abzuwehren.

Im Rahmen dieses Prozesses werden technisch notwendige Daten – insbesondere IP-Adressen, Systemkonfigurationsinformationen, und ggf. Protokolldaten – verarbeitet. Diese Verarbeitung erfolgt, um eine stabile, performante und sichere Nutzung unserer App zu gewährleisten.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Aufrechterhaltung der technischen Sicherheit sowie der Optimierung der Ladezeiten und Verfügbarkeit unserer Online-Dienste.

Cloudflare agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO und verarbeitet die Daten ausschließlich nach unseren Weisungen. Mit Cloudflare wurde ein entsprechender Vertrag über die Auftragsverarbeitung geschlossen.

Da eine Übermittlung personenbezogener Daten in die USA stattfinden kann, stützen wir diese auf die Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Cloudflare hat zudem Maßnahmen implementiert, um ein dem EU-Datenschutzniveau entsprechendes Schutzniveau sicherzustellen (z. B. Verschlüsselung, Zugriffsbeschränkungen, regelmäßige Sicherheitsprüfungen).

Cloudflare speichert personenbezogene Daten grundsätzlich nur so lange, wie dies zur Erbringung der genannten Dienste erforderlich ist, und löscht sie anschließend automatisch, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. (3) Supabase (PostgreSQL-Datenbank) Wir nutzen Supabase, eine Open-Source-Datenbanklösung, zur Speicherung und Verwaltung von Nutzerdaten unserer App. Die Datenbank wird von Supabase Inc., 1803 E Rio Salado Pkwy, Tempe, Arizona, USA, gehostet. Supabase ermöglicht die sichere und performante Speicherung von Daten, die für die Funktionsweise unserer App erforderlich sind, und bietet Echtzeit-Synchronisation sowie API-Schnittstellen. Im Rahmen der Nutzung dieses Dienstes werden verschiedene personenbezogene Daten (z. B. Nutzerdaten, IP-Adressen) verarbeitet.

Die Nutzung von Supabase erfolgt zur Verwaltung von Nutzerdaten in unserer App, insbesondere zur sicheren Speicherung und Verwaltung von Anwendungsdaten sowie zur Bereitstellung von Echtzeit-Funktionalitäten.

Die Verarbeitung der Daten durch Supabase erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, da sie für die Bereitstellung der App-Funktionalitäten erforderlich ist. Soweit erforderlich, stützen wir uns auch auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), da wir ein Interesse an einer stabilen und sicheren Datenverarbeitung durch externe spezialisierte Anbieter haben.

Die Datenverarbeitung erfolgt durch Supabase Inc. als unseren Auftragsverarbeiter. Supabase agiert hierbei ausschließlich nach unseren Weisungen und verarbeitet die Daten nicht für eigene Zwecke.

Die Daten werden in den USA gespeichert. Die Datenübertragung wird auf Standardvertragsklauseln der Europäischen Kommission gestützt, um ein angemessenes Datenschutzniveau zu gewährleisten.

Die personenbezogenen Daten werden so lange gespeichert, wie dies zur Erfüllung der Verarbeitungszwecke erforderlich ist. Bei einem Löschungswunsch des Nutzers oder dem Ende des Nutzungsverhältnisses werden die Daten, soweit keine gesetzlichen Aufbewahrungspflichten bestehen, unverzüglich gelöscht.

ee) Speicherdauer

Wir speichern Inhalte und zugehörige Protokolldaten in Caspering AI, solange das jeweilige Nutzerkonto besteht.

d) Account-Verknüpfung zu Social-Media-Konten (OAuth)

aa) Verarbeitungstätigkeit

Wir bieten die Verknüpfung Ihres Social-Media-Kontos über einen „Social Login“ (OAuth) an, um die Veröffentlichung der von unserer KI-Software erstellten Inhalte auf Ihrem Profil zu autorisieren. Hierfür werden Sie zur jeweiligen Plattform weitergeleitet; nach Ihrer Freigabe übermittelt uns die Plattform ein Zugriffstoken sowie Konto-Informationen (z. B. Nutzer-/Seiten-ID, Rollen/Scopes). Die Plattform verarbeitet dabei Daten eigenverantwortlich nach deren Bestimmungen; eine etwaige gemeinsame Verantwortlichkeit betrifft nur plattformspezifische „Insights“ und ist nicht Gegenstand des Social-Logins.

bb) Zweck

Die Verarbeitung erfolgt zum Zweck der Authentifizierung, Verwaltung der Kontoverbindung, Erteilung und Verwaltung von Veröffentlichungsrechten sowie zur automatisierten Veröffentlichung von Inhalten auf Ihrem verknüpften Instagram-Konto.

cc) Rechtsgrundlage

Die Verarbeitung im Rahmen der freiwilligen Konto-Verknüpfung erfolgt auf Grundlage Ihrer Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

dd) Empfänger

(1) Instagram Betreiber des Dienstes Instagram ist die Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland („Meta“). Meta verarbeitet Ihre Daten bei Interaktion mit dem Dienst zu eigenen Zwecken. Wir haben keine darüberhinausgehenden Kenntnisse über die durch Meta durchgeführte Datenverarbeitung. Soweit Sie mit unserem Instagram-Profil interagieren, verarbeiten wir Ihre Daten mit Meta in sogenannter gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO für sog. Insights. Hier wurde vereinbart, dass Meta für die Information der Betroffenen nach Art. 13 und 14 DSGVO und die Erfüllung von Betroffenengesuchen nach Art. 15 – 21 DSGVO und Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO zuständig ist. Sie können die Vereinbarung hier einsehen. Sie können Ihre Rechte jederzeit gegenüber beiden Verantwortlichen geltend machen. Der Mutterkonzern von Meta Platforms Ireland ist die Meta Platforms, Inc. in den USA. Die durch Meta erzeugten Informationen werden an Server der Meta Platforms, Inc. in die USA übertragen und dort verarbeitet. Am 10.07.2023 hat die EU-Kommission einen Angemessenheitsbeschluss für das Data Privacy Framework für die Datenübermittlung an Empfänger mit Sitz in den USA erlassen. Hiernach wird bei einer Datenübermittlung an zertifizierte Empfänger mit Sitz in den USA ein angemessenes Datenschutzniveau angenommen (siehe dazu auch Ziffer III). Bei der Meta Platforms, Inc. handelt es sich um ein zertifiziertes Unternehmen. Mehr Informationen über den Umgang mit personenbezogenen Daten bei Meta finden Sie in der jeweiligen Datenschutzerklärung. Instagram: https://privacycenter.instagram.com/policy (2) LinkedIn Betreiber von LinkedIn ist LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland („LinkedIn“). LinkedIn verarbeitet personenbezogene Daten eigenverantwortlich zu eigenen Zwecken, etwa zur Analyse des Nutzerverhaltens, zur Verbesserung der Dienste und für personalisierte Werbung. Auf diese Verarbeitung haben wir keinen Einfluss. Soweit Sie mit unserem Unternehmensprofil oder Inhalten auf LinkedIn interagieren, verarbeiten wir Ihre Daten ggf. gemeinsam mit LinkedIn im Rahmen der Page Insights-Funktion in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO. Die Vereinbarung zur gemeinsamen Verantwortlichkeit legt fest, dass LinkedIn die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten übernimmt, insbesondere im Hinblick auf Informationspflichten nach Art. 13 f. DSGVO sowie die Wahrnehmung von Betroffenenrechten nach Art. 15–22 DSGVO. Sie können die Vereinbarung unter folgendem Link einsehen: https://legal.linkedin.com/pages-joint-controller-addendum Sie können Ihre Rechte sowohl gegenüber LinkedIn als auch gegenüber uns geltend machen. Der Mutterkonzern LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085, USA, kann Datenverarbeitungen außerhalb des EWR durchführen. In diesen Fällen erfolgt eine Datenübermittlung auf Grundlage des EU-U.S. Data Privacy Framework, da LinkedIn Corporation für dieses zertifiziert ist. Somit ist ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO gewährleistet.

Weitere Informationen zur Datenverarbeitung durch LinkedIn finden Sie in der Datenschutzerklärung von LinkedIn: https://www.linkedin.com/legal/privacy-policy

ee) Speicherfristen

Wir speichern Zugriffstoken und Verknüpfungsdaten, solange Ihr Konto bei uns besteht oder bis Sie die Verknüpfung widerrufen; danach löschen wir diese Daten. (Die „Bestimmbarkeit“ der Frist genügt).

4. Betroffenenrechte

Ihnen stehen einige Rechte nach der DSGVO zu. Diese sind:

a) Recht auf Auskunft

Sie haben gemäß Art. 15 DSGVO jederzeit das Recht, von uns Auskunft über alle Daten zu verlangen, die wir über Sie speichern. Das beinhaltet insbesondere die Auskunft über

• die Zwecke, zu denen wir Ihre Daten verarbeiten,
• die Kategorien von Daten, die wir von Ihnen verarbeiten,
• die konkreten Empfänger oder, sollten diese nicht bekannt sein, die Kategorien von Empfängern, an die wir Ihre Daten übermitteln,
• die Dauer, für die wir Ihre Daten speichern oder, sollte diese nicht bestimmbar sein, die Kriterien unter denen wir Ihre Daten speichern und
• gegebenenfalls die Herkunft der Daten, falls wir diese nicht bei Ihnen erhoben haben.

b) Recht auf Berichtigung

Sollten Ihre Daten, die bei uns verarbeitet werden, unrichtig oder unvollständig sein, so können Sie von uns jederzeit die Berichtigung oder Vervollständigung dieser Daten nach Art. 16 DSGVO verlangen.

c) Recht auf Löschung (Vergessenwerden)

Sollte die ursprüngliche Rechtsgrundlage für die Datenverarbeitung nicht mehr greifen oder haben Sie Ihre Einwilligung widerrufen oder der Verarbeitung widersprochen oder dürfen wir Ihre Daten aus einem anderen der in Art. 17 Abs. 1 DSGVO genannten Gründe nicht weiter verarbeiten, so können Sie von uns nach Art. 17 DSGVO die Löschung der Sie betreffenden personenbezogenen Daten verlangen.

Dieses Recht steht Ihnen nicht zu, wenn die Verarbeitung zur Ausübung der Meinungs- und Informationsfreiheit oder zur Wahrung öffentlicher Interessen erforderlich ist, eine dahingehende Rechtspflicht besteht oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist.

d) Recht auf Einschränkung

Gemäß Art. 18 DSGVO können Sie auch die Einschränkung der Verarbeitung verlangen. Dieses Recht steht Ihnen zu, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten für die angegebenen Zwecke nicht mehr benötigen oder Sie der Verarbeitung widersprochen haben und wir die Daten in den beiden letztgenannten Fällen nicht anderweitig rechtmäßig weiterverarbeiten dürfen.

e) Recht auf Datenübertragbarkeit

Außerdem können Sie von uns nach Art. 20 DSGVO die Übertragung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format an sich selbst oder einen anderen Verantwortlichen verlangen.

f) Recht auf Widerruf der Einwilligung

Haben Sie als Rechtsgrundlage für die Verarbeitung Ihrer Daten durch uns Ihre Einwilligung zum Beispiel nach Art. 6 Abs. 1 S. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO erklärt, so können Sie gemäß Art. 7 Abs. 3 DSGVO diese Einwilligung jederzeit widerrufen. Wenn Sie dies tun, stellen wir die Verarbeitung Ihrer Daten ein, allerdings bleibt die Rechtmäßigkeit der Verarbeitung bis zum Widerruf von dem Widerruf unberührt.

g) Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie können sich gemäß Art. 77 DSGVO auch mit einer Beschwerde an eine Aufsichtsbehörde wenden. In der Regel sollte dies die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes sein; wahlweise können Sie Ihre Beschwerde auch an die Aufsichtsbehörde unseres Unternehmenssitzes richten.

5. WIDERSPRUCHSRECHT

NACH ART. 21 DSGVO STEHT IHNEN DAS RECHT ZU, WIDERSPRUCH GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN EINZULEGEN, WENN WIR IHRE PERSONENBEZOGENEN DATEN LEDIGLICH AUF GRUNDLAGE UNSERER BERECHTIGTEN INTERESSEN VERARBEITEN UND SICH AUS IHRER BESONDEREN SITUATION ERGEBENDE GRÜNDE DAFÜR SPRECHEN. SOLLTE SICH IHR WIDERSPRUCH GEGEN DIREKTWERBUNG RICHTEN, STEHT IHNEN EIN GENERELLES WIDERSPRUCHSRECHT OHNE ANGABE VON BESONDEREN GRÜNDEN ZU.

IHREN WIDERSPRUCH KÖNNEN SIE DURCH E-MAIL AN datenschutz@caspering-ai.de ERKLÄREN.