Rechtliches
Datenschutzerklärung
Zuletzt aktualisiert: 11. Mai 2026
Diese Datenschutzerklärung beschreibt, wie die Ironact, Inc. ("Prompt Architect", "wir", "uns" oder "unser") personenbezogene Daten erhebt, verwendet, offenlegt und schützt, wenn Sie die Prompt-Architect-Plattform, die Websites und die zugehörigen Dienste (die "Dienste") nutzen. Sie gilt weltweit und enthält besondere Hinweise für Einwohner der Vereinigten Staaten (Bundesebene, Kalifornien und das State-Patchwork), des Vereinigten Königreichs, des Europäischen Wirtschaftsraums (EWR), der Republik Korea, Deutschlands und Frankreichs.
1. Verantwortlicher und Vertreter
Verantwortlicher ist:
Ironact, Inc. 1111B S Governors Ave Ste 51691 Dover, DE 19904 United States Telefon: +1 (415) 851-9366 contact@ironact.net
EU-Vertreter (GDPR Art. 27)
EU Representative — appointment in progress. Ironact is in the process of designating an EU representative under GDPR Art. 27 and will publish the appointee here as soon as the appointment is complete. In the interim, EEA residents who wish to exercise rights under the GDPR (access, rectification, erasure, restriction, portability, objection, withdrawal of consent) or who otherwise need to contact us about personal data may do so at contact@ironact.net or contact@ironact.net. We will respond within the timelines required by GDPR Art. 12 (generally one month, extendable by two further months for complex requests).
UK-Vertreter (UK GDPR Art. 27)
Eui Sung Ko (acting as UK Representative), 267 Hanbury Street, London E1 5JY, United Kingdom. Contact: contact@ironact.net.
Personal Information Protection Officer / CPO (Korea, PIPA § 31)
Eui Sung Ko (고의성), Co-founder and Personal Information Protection Officer (개인정보 보호책임자). Phone: +82 10 8757 2946 · Email: contact@ironact.net (한국어 응대 가능).
Koreanischer inländischer Vertreter (PIPA § 39-14)
Not applicable. Ironact does not currently meet either threshold under PIPA Art. 39-14 (prior-year revenue under KRW 1 trillion; fewer than 1 million daily Korean users averaged over three months) and does not have a Korean subsidiary with ≥30% equity. We will designate a domestic agent before crossing either threshold and update this notice accordingly.
Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten förmlich benannt, da die gesetzlichen Schwellen nach Art. 37 DSGVO durch unsere derzeitige Verarbeitung nicht erreicht werden. Ansprechpartner für alle datenschutzrechtlichen Belange ist contact@ironact.net.
2. Welche Informationen wir erheben
2.1 Von Ihnen bereitgestellte Informationen
| Kategorie | Beispiele |
|---|---|
| Kontoinformationen | Name, E-Mail-Adresse, Passwort (gehasht), Unternehmensgröße, Rolle, Sprachpräferenz |
| Marken- und Projektdaten | Markennamen, Website-URLs, Wettbewerberlisten, Prompts, zur Analyse hochgeladene Inhalte |
| Abrechnungsinformationen | Rechnungsname, Anschrift, USt-IdNr., letzte 4 Stellen der Karte (vollständige Kartendaten verarbeitet unser Zahlungsdienstleister) |
| Kommunikation | Nachrichten, Support-Tickets, Umfrageantworten |
2.2 Automatisch erfasste Informationen
| Kategorie | Beispiele |
|---|---|
| Nutzungsdaten | Aufgerufene Seiten und Funktionen, Klicks, Sitzungsdauer, Fehlerereignisse |
| Geräte- und Verbindungsdaten | IP-Adresse, Browsertyp und -version, Betriebssystem, Gerätetyp, Verweis-URL |
| Cookies | Siehe Cookie-Richtlinie |
2.3 Informationen aus Drittquellen
| Kategorie | Quelle |
|---|---|
| Ergebnisse von KI-Antwortmaschinen | ChatGPT, Perplexity, Gemini, Claude, Grok, Microsoft Copilot (wir senden markenbezogene Anfragen und empfangen Antworten) |
| Öffentliche Webinhalte | Seiten und Feeds unter den von Ihnen zur Beobachtung registrierten URLs |
| Authentifizierungsanbieter | Google OAuth (bei Anmeldung mit Google): Name, E-Mail, Profilbild, Google-Nutzer-ID |
2.4 Sensible personenbezogene Daten (CCPA / CPRA)
Die einzigen Kategorien "sensibler personenbezogener Daten" im Sinne von Cal. Civ. Code § 1798.140(ae), die wir erheben, sind:
- Kontozugangsdaten (gehashtes Passwort) — ausschließlich zur Authentifizierung verwendet;
- Genaue Standortdaten — wir erheben diese nicht absichtlich. Aus der IP-Adresse kann ein ungefährer Standort zur Betrugsprävention und für Analytics abgeleitet werden; einen genauen Standort leiten wir jedoch nicht ab.
Wir nutzen diese ausschließlich für die Zwecke (i) Ihrer Authentifizierung, (ii) der Absicherung der Dienste und (iii) der Erbringung der von Ihnen angeforderten Dienste. Keine dieser Nutzungen löst das "Right to Limit Use of Sensitive Personal Information" nach Cal. Civ. Code § 1798.121 aus, sodass wir keinen "Limit Use"-Link anzeigen müssen. Sollten sich unsere Nutzungen ändern, werden wir den Link bereitstellen.
Wir erheben wissentlich keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (etwa Daten zu rassischer oder ethnischer Herkunft, politischen Meinungen, religiösen Überzeugungen, Gesundheit, Sexualleben oder sexueller Orientierung) und keine sensiblen Datenkategorien nach Art. 23 PIPA. Bitte übermitteln Sie solche Daten nicht über die Dienste.
Texas-Hinweis (Tex. Bus. & Com. Code § 541.105). Wir verkaufen keine sensiblen personenbezogenen Daten und keine biometrischen personenbezogenen Daten im Sinne des Texas Data Privacy and Security Act.
3. Zwecke und Rechtsgrundlagen (DSGVO / UK GDPR)
Für Nutzer im EWR, im Vereinigten Königreich und in anderen Rechtsordnungen mit vergleichbaren Gesetzen verarbeiten wir personenbezogene Daten auf folgenden Rechtsgrundlagen. Die Spalte "Aufbewahrung" verweist auf die kategoriebezogenen Aufbewahrungsfristen in § 7.
| Zweck | Verwendete Kategorien | Rechtsgrundlage | Aufbewahrungshinweis |
|---|---|---|---|
| Bereitstellung und Betrieb der Dienste (Konten, Dashboards, Markenmonitoring) | Konto-, Marken-, Nutzungsdaten | Vertrag (Art. 6 Abs. 1 lit. b) | Bis zur Löschung + 90 Tage (§ 7) |
| Zahlungsabwicklung und Betrugsprävention | Abrechnungs-, Nutzungsdaten | Vertrag (Art. 6 Abs. 1 lit. b) und berechtigte Interessen (Art. 6 Abs. 1 lit. f) — Betrugsprävention | Steuerrechtliche Aufbewahrung (§ 7) |
| Versand servicebezogener E-Mails (transaktional, Sicherheit, Abrechnung) | Konto-, Kommunikationsdaten | Vertrag (Art. 6 Abs. 1 lit. b) | Während Konto aktiv (§ 7) |
| Marketing-E-Mails zu neuen Funktionen | Kontodaten | Einwilligung (Art. 6 Abs. 1 lit. a) — opt-in; jederzeit abbestellbar. Für Deutschland Double-Opt-in gemäß § 7 UWG | Bis zur Abmeldung (§ 7) |
| Verbesserung der Dienste, Debugging und Nutzungsmessung | Nutzungs-, Gerätedaten | Berechtigte Interessen (Art. 6 Abs. 1 lit. f) — Betrieb und Absicherung der Plattform | 30–90 Tage (§ 7) |
| Erfüllung gesetzlicher Pflichten (Steuer, Buchhaltung, rechtmäßige Anfragen) | Konto-, Abrechnungsdaten | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Gesetzlich vorgegeben (§ 7) |
| Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen | Alle einschlägigen | Berechtigte Interessen (Art. 6 Abs. 1 lit. f) | Verjährungsfrist |
Sie können einer Verarbeitung auf Grundlage berechtigter Interessen unter contact@ironact.net widersprechen (siehe § 8).
4. Wie wir KI-Antwortmaschinen einsetzen
Die Kernfunktion der Dienste besteht darin, KI-Antwortmaschinen Dritter mit markenbezogenen Prompts abzufragen und die Antworten zu analysieren. Wir senden keine identifizierbaren personenbezogenen Daten Ihrer Endnutzer an KI-Antwortmaschinen. Die Anfragen enthalten typischerweise Markennamen, Produktnamen und von Ihnen konfigurierte Kategorie-Stichworte.
Wenn Sie eigene Markeninhalte für das Brand Intelligence Model (BIM) hochladen, können diese Inhalte von KI-Drittanbietern (etwa OpenAI für Embeddings) nach deren Datenverarbeitungsbedingungen verarbeitet werden. Wir setzen, soweit verfügbar, Enterprise- bzw. API-Endpunkte ein; diese Anbieter trainieren nach deren Standard-API-Bedingungen keine Modelle mit Ihren Inhalten. Bitte prüfen Sie deren Richtlinien, die in § 5 verlinkt sind.
5. Weitergabe und Unterauftragsverarbeiter
Wir verkaufen keine personenbezogenen Daten. Wir geben personenbezogene Daten ausschließlich weiter an:
5.1 Unterauftragsverarbeiter, die uns bei der Erbringung der Dienste unterstützen
| Unterauftragsverarbeiter | Funktion | Standort | Datenschutz-Link |
|---|---|---|---|
| Vercel, Inc. | Web-/Anwendungshosting, Edge-Netzwerk | USA (mit globalen Edge-Regionen) | https://vercel.com/legal/privacy-policy |
| Railway Corp. | Worker-/Backend-Hosting | USA | https://railway.com/legal/privacy |
| Neon, Inc. | Verwaltete PostgreSQL-Datenbank | USA / EU (Region Ihres Projekts) | https://neon.tech/privacy-policy |
| OpenAI, L.L.C. | LLM-Inference und Embeddings | USA | https://openai.com/policies/privacy-policy |
| Anthropic, PBC | LLM-Inference (Claude) | USA | https://www.anthropic.com/legal/privacy |
| Google LLC | LLM-Inference (Gemini), OAuth-Login | USA / EU | https://policies.google.com/privacy |
| Perplexity AI, Inc. | Anfragen an KI-Antwortmaschine | USA | https://www.perplexity.ai/hub/legal/privacy-policy |
| xAI Corp. | Anfragen an KI-Antwortmaschine (Grok) | USA | https://x.ai/legal/privacy-policy |
| Microsoft Corporation | Anfragen an KI-Antwortmaschine (Copilot) | USA | https://privacy.microsoft.com/privacystatement |
| Stripe, Inc. | Zahlungsabwicklung | USA / EU | https://stripe.com/privacy |
| Axiom Inc. | Anwendungslogs und Observability | USA / EU | https://axiom.co/privacy |
| Sentry (Functional Software, Inc.) | Fehler-Monitoring | USA | https://sentry.io/privacy/ |
| Resend, Inc. | Transaktions- und Marketing-E-Mails | United States | https://resend.com/legal/privacy-policy |
Wir setzen derzeit keine Analytics-, Werbe-, Session-Replay-, CRM- oder Kundensupport-Tools ein, die personenbezogene Daten von Endnutzern verarbeiten. Sollten wir solche einsetzen, werden wir diese Erklärung und die Cookie-Richtlinie aktualisieren und, sofern erforderlich, eine erneute Einwilligung einholen.
Eine aktuelle Liste der Unterauftragsverarbeiter wird unter /docs/legal/sub-processors geführt. Wesentliche Änderungen werden in dieser Erklärung mit einer Vorankündigungsfrist von mindestens 30 Tagen bekanntgegeben.
5.2 Weitere Empfänger
- Justiz- und Aufsichtsbehörden, soweit gesetzlich, gerichtlich oder durch rechtmäßige Anfragen vorgeschrieben (wir wehren überschießende Anfragen ab und benachrichtigen betroffene Nutzer, soweit zulässig).
- Berufsmäßige Berater (Rechtsanwälte, Wirtschaftsprüfer, Steuerberater) unter Verschwiegenheitspflicht.
- Rechtsnachfolger im Rahmen einer Verschmelzung, Übernahme, Finanzierung oder eines Asset-Deals; betroffene Nutzer werden in diesem Fall informiert.
5.3 Behandlung nach CCPA / Landesrecht
Wir "verkaufen" keine personenbezogenen Informationen gegen Geld oder andere wertvolle Gegenleistung und wir "teilen" keine personenbezogenen Informationen zu kontextübergreifender verhaltensbasierter Werbung im Sinne der CCPA/CPRA, VCDPA, CPA, CTDPA, UCPA, TDPSA, OCPA, MCDPA oder eines anderen US-Landesdatenschutzgesetzes. Wir haben in den vorangegangenen 12 Monaten weder verkauft noch geteilt und planen dies auch nicht.
6. Internationale Datenübermittlungen
Personenbezogene Daten werden vorrangig in den Vereinigten Staaten und je nach Projektregion in EU-Regionen (Neon) verarbeitet.
EWR-/UK-/Schweiz-Übermittlungen. Soweit wir personenbezogene Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in die USA oder ein anderes nicht adäquat eingestuftes Land übermitteln, stützen wir uns in folgender Reihenfolge auf:
- EU-US Data Privacy Framework (DPF) — für Unterauftragsverarbeiter, die sich unter dem DPF selbstzertifizieren (Durchführungsbeschluss (EU) 2023/1795). Sub-processors with confirmed self-certification under the EU-US Data Privacy Framework (verified at https://www.dataprivacyframework.gov/list) include: Google LLC, OpenAI L.L.C., Anthropic, PBC, Microsoft Corporation, Stripe, Inc., and Vercel, Inc. Remaining US sub-processors rely on Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914) together with supplementary technical and organizational measures. We re-audit DPF participation annually.
- Standardvertragsklauseln (SCCs) nach Durchführungsbeschluss (EU) 2021/914;
- UK International Data Transfer Addendum (IDTA) oder das UK Addendum to the EU SCCs;
- Swiss SCCs für Übermittlungen aus der Schweiz.
Soweit auf SCCs gestützt wird, führen wir ein Transfer Impact Assessment (TIA) durch und treffen ergänzende technische und organisatorische Maßnahmen (Verschlüsselung bei Übertragung, Verschlüsselung im Ruhezustand, Schlüsselmanagement, Zugriffskontrollen). Eine Kopie der maßgeblichen Garantien ist auf Anfrage unter contact@ironact.net erhältlich.
Koreanische Nutzer (PIPA Art. 28-8). Personenbezogene Daten koreanischer Nutzer können in die Vereinigten Staaten und an die in § 5 aufgeführten Unterauftragsverarbeiter übermittelt werden. Wir stützen uns auf PIPA Art. 28-8(1)(iii) — die Offenlegung in der Datenschutzerklärung — für Übermittlungen, die zur Vertragsdurchführung über die Dienste erforderlich sind. Die erforderlichen Offenlegungen sind:
- Empfänger: wie in § 5.1 aufgeführt.
- Empfängerland: vorrangig die Vereinigten Staaten; die EU, sofern Sie eine EU-Projektregion wählen.
- Art und Zeitpunkt der Übermittlung: verschlüsselte Übertragung über das Internet (TLS 1.2+) und API-Aufrufe zum Zeitpunkt Ihrer Nutzung der Dienste.
- Übermittelte Datenkategorien: Kontoinformationen, Markendaten, Nutzungsdaten, Abrechnungsinformationen, Inhalt von Prompt-Ausführungen wie in § 2 beschrieben.
- Zweck: Bereitstellung der Dienste wie in § 3 beschrieben.
- Aufbewahrung: wie in § 7 beschrieben.
- Kontakt des Empfängers für Widersprüche: contact@ironact.net.
Wenn Sie der Auslandsübermittlung widersprechen, können wir die Dienste möglicherweise nicht erbringen. Widerspruch unter contact@ironact.net.
7. Aufbewahrung
Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke der Erhebung erforderlich ist, einschließlich zur Erfüllung gesetzlicher Pflichten.
7.1 Nach Datenkategorie (CCPA / CPRA / Landesgesetze)
| CCPA-Kategorie | Beispiele in unserem System | Aufbewahrungsdauer |
|---|---|---|
| Kennungen (Name, E-Mail, Konto-ID) | Kontoinformationen | Bis zur Kontolöschung + 90 Tage Backup; Abrechnungskennungen bis zu 10 Jahre (Steuerrecht) |
| Kundendaten (Cal. Civ. Code § 1798.80(e)) | Name, E-Mail, Zahlungsinstrument | wie vorstehend |
| Kommerzielle Informationen | Abonnementverlauf, Transaktionen | 10 Jahre (Steuer-/Buchhaltungsrecht) |
| Internet-/Netzaktivität | Aufgerufene Seiten, Fehlerlogs, IP-Adresse | 30–90 Tage für Logs; 12 Monate für Sicherheitsereignisse |
| Standort (ungefähr, aus IP abgeleitet) | aus IP abgeleitet | wie Internet-/Netzaktivität |
| Beruf/Anstellung | Rolle, Unternehmensgröße | Bis zur Kontolöschung + 90 Tage |
| Schlussfolgerungen (aus dem Vorstehenden) | Sichtbarkeitsanalysen | Während Projekt aktiv + 24 Monate |
| Sensible PI (Zugangsdaten) | gehashtes Passwort | Bis zur Kontolöschung |
7.2 Nach Datentyp (operative Referenz)
| Daten | Aufbewahrungsdauer |
|---|---|
| Kontoinformationen | Bis zur Kontolöschung, danach bis zu 90 Tage für Backups und Streitbeilegung |
| Marken- und Projektdaten | Bis zur Löschung oder Kontoschließung, danach bis zu 90 Tage |
| Prompt-Ausführungen und Analyseergebnisse | Während das Projekt aktiv ist, danach bis zu 24 Monate für Trendanalysen (frühere Löschung auf Anfrage) |
| Abrechnungsunterlagen und Rechnungen | Bis zu 10 Jahre, soweit steuerrechtlich erforderlich (z. B. Deutschland — § 147 AO; Frankreich — Art. L102-B LPF; Korea — VAT Act; USA — IRC) |
| Server- und Anwendungslogs | 30–90 Tage |
| Sicherheitsereignis-Logs | Bis zu 12 Monate |
| Marketing-E-Mail-Abonnentendaten | Bis zur Abmeldung |
| Backups | Bis zu 30 Tage, danach automatisch gelöscht |
Nach Ablauf der Aufbewahrungsfrist löschen oder anonymisieren wir die Daten unwiderruflich.
8. Ihre Rechte
8.1 EWR / Vereinigtes Königreich (DSGVO / UK GDPR)
- Auskunft — eine Kopie Ihrer personenbezogenen Daten anfordern;
- Berichtigung — unrichtige oder unvollständige Daten korrigieren;
- Löschung — uns auffordern, Ihre Daten zu löschen ("Recht auf Vergessenwerden");
- Einschränkung — die Verarbeitung in bestimmten Fällen einschränken;
- Datenübertragbarkeit — Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln;
- Widerspruch — gegen Verarbeitungen auf Grundlage berechtigter Interessen oder zu Zwecken der Direktwerbung (wir stellen die Verarbeitung ein, sofern keine zwingenden schutzwürdigen Gründe entgegenstehen, die Ihre Interessen überwiegen);
- Einwilligung widerrufen — jederzeit, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird;
- Kein automatisiertes Entscheiden — siehe § 11;
- Beschwerde — bei Ihrer zuständigen Aufsichtsbehörde (siehe § 13).
Wir antworten innerhalb eines Monats (verlängerbar um zwei weitere Monate bei komplexen Anfragen). Die erste Anfrage ist kostenfrei; für offenkundig unbegründete oder wiederholte Anfragen können wir ein angemessenes Entgelt erheben.
8.2 Kalifornien (CCPA / CPRA)
Einwohner Kaliforniens haben das Recht:
- Zu erfahren, welche Kategorien und konkreten personenbezogenen Informationen wir erheben, verwenden, offenlegen und (falls zutreffend) verkaufen oder teilen;
- Personenbezogene Informationen löschen zu lassen, vorbehaltlich Ausnahmen;
- Unrichtige personenbezogene Informationen berichtigen zu lassen;
- Dem "Verkauf" oder "Teilen" personenbezogener Informationen zu widersprechen — wir verkaufen oder teilen keine personenbezogenen Informationen zu kontextübergreifender verhaltensbasierter Werbung;
- Die Nutzung sensibler personenbezogener Informationen zu beschränken — siehe § 2.4 zur Begründung, warum kein Link erforderlich ist;
- Nicht wegen der Ausübung Ihrer Rechte benachteiligt zu werden;
- Einen Bevollmächtigten zur Wahrnehmung Ihrer Rechte zu benennen.
Automated Decision-Making Technology ("ADMT", ab 1. Januar 2026). Nach den 2025 von der California Privacy Protection Agency erlassenen ADMT-Vorschriften (Cal. Code Regs. Tit. 11) hat ein Verbraucher Anspruch auf Vorab-Information, Opt-out und Auskunft zur ADMT, sofern ein Unternehmen ADMT für eine "wesentliche Entscheidung" über einen Verbraucher einsetzt. Wie in § 11 dargelegt, treffen die Dienste heute keine wesentlichen Entscheidungen über Verbraucher mittels ADMT. Falls dies künftig geschehen sollte, werden wir die geforderten Hinweise, Opt-out- und Auskunftskanäle bereitstellen.
Zur Ausübung dieser Rechte schreiben Sie an contact@ironact.net oder an die oben genannte Anschrift. Wir verifizieren Ihre Identität vor der Beantwortung.
8.3 Sonstige US-Bundesstaaten
Möglicherweise stehen Ihnen Rechte nach dem Datenschutzgesetz Ihres Bundesstaates zu:
| Bundesstaat | Gesetz | Rechte | Einspruch |
|---|---|---|---|
| Virginia | VCDPA (§ 59.1-575 ff.) | Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Opt-out bei Verkauf/zielgerichteter Werbung/Profiling; sensible Daten opt-in | Ja — 60 Tage |
| Colorado | CPA (§ 6-1-1301 ff.) | Wie zuvor; Universal Opt-Out (OOPS) wird beachtet | Ja — 45 Tage |
| Connecticut | CTDPA | Wie zuvor; OOPS wird beachtet | Ja |
| Utah | UCPA | Auskunft, Löschung, Datenübertragbarkeit, Opt-out | Kein Einspruchsverfahren |
| Texas | TDPSA | Wie VCDPA | Ja |
| Oregon | OCPA | Wie zuvor; weitergehende Behandlung sensibler Daten | Ja |
| Montana | MCDPA | Wie VCDPA | Ja |
| Iowa, Tennessee, New Jersey, Delaware, Indiana, Kentucky, New Hampshire, Maryland, Minnesota, Rhode Island | Verschiedene | Im Allgemeinen vergleichbar; siehe die Website des jeweiligen Attorney General | Meist Einspruch möglich |
Einspruchsverfahren. Lehnen wir Ihren Rechtsantrag ab, können Sie innerhalb von 60 Tagen Einspruch einlegen, indem Sie eine E-Mail an contact@ironact.net mit dem Betreff "Appeal" senden. Wir beantworten den Einspruch innerhalb der vom Landesgesetz vorgeschriebenen Frist (typischerweise 45–60 Tage). Wird der Einspruch zurückgewiesen, können Sie sich an den Attorney General Ihres Bundesstaates wenden.
Zur Ausübung von Rechten oder Einlegung eines Einspruchs wenden Sie sich an contact@ironact.net. Wir verifizieren Ihre Identität, gegebenenfalls auch über Ihren Bevollmächtigten.
8.4 Korea (PIPA)
Koreanische Nutzer haben das Recht, (i) über die Verarbeitung personenbezogener Daten informiert zu werden und einzuwilligen; (ii) Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen; (iii) nach PIPA Art. 37-2 (in Kraft seit 15. März 2024) Entscheidungen vollautomatisierter Systeme, die ihre Rechte oder Pflichten erheblich beeinflussen, abzulehnen, eine Erläuterung oder eine menschliche Überprüfung zu verlangen (siehe § 11); (iv) Beschwerde beim Personal Information Dispute Mediation Committee (개인정보 분쟁조정위원회, https://www.kopico.go.kr) oder der Personal Information Protection Commission (PIPC, https://www.pipc.go.kr) einzulegen; und (v) Schadensersatz vor den ordentlichen Gerichten zu verlangen.
Sie können diese Rechte über Ihre Kontoeinstellungen oder durch Kontaktaufnahme mit dem in § 1 genannten CPO ausüben.
8.5 Kalifornien-Offenlegungen (CCPA-spezifischer Anhang)
Für jede CCPA-Kategorie personenbezogener Informationen führt die folgende Tabelle die Quellen der Erhebung, die geschäftlichen oder kommerziellen Zwecke der Erhebung und die Kategorien Dritter auf, an die wir offenlegen (Cal. Code Regs. Tit. 11 § 7011(e)):
| CCPA-Kategorie | Quellen | Zwecke | Empfänger | Verkauf / Teilen? |
|---|---|---|---|---|
| Kennungen | Sie; Google OAuth | Bereitstellung der Dienste, Betrugsprävention, transaktionale E-Mails | Hosting-/Datenbank-Unterauftragsverarbeiter (§ 5.1) | Nein |
| Kundendaten | Sie; Stripe | Abrechnung, Steuerkonformität | Stripe, Buchhaltungsanbieter | Nein |
| Kommerzielle Informationen | Sie | Bereitstellung von Abonnements, Analytics | Hosting-/Datenbank-Unterauftragsverarbeiter | Nein |
| Internet-/Netzaktivität | Sie / Ihr Browser | Plattformbetrieb, Sicherheit | Hosting, Logging, Fehler-Monitoring (§ 5.1) | Nein |
| Standort (ungefähr) | IP-Adresse | Betrugsprävention, Sicherheit | Hosting, Logging | Nein |
| Beruf/Anstellung | Sie | Personalisierung | Hosting-/Datenbank-Unterauftragsverarbeiter | Nein |
| Schlussfolgerungen | Abgeleitet | Analytics, Empfehlungen | Nur intern | Nein |
| Sensible PI (Zugangsdaten) | Sie | Authentifizierung | Hosting-/Datenbank-Unterauftragsverarbeiter | Nein |
Wir haben in den vorangegangenen 12 Monaten keine personenbezogenen Informationen verkauft oder geteilt.
9. Cookies und ähnliche Technologien
Wir verwenden eine geringe Zahl unbedingt erforderlicher Cookies (Sitzung, Sprache) und ggf. First-Party-Analytics-Cookies. Wir setzen keine Werbe-Cookies Dritter ein. Vollständige Angaben einschließlich der Cookie-Tabelle und der Verwaltung Ihrer Präferenzen siehe Cookie-Richtlinie.
Für Nutzer im EWR, im Vereinigten Königreich, in Frankreich und in Deutschland holen wir, soweit für nicht zwingend erforderliche Cookies eine Einwilligung erforderlich ist (ePrivacy-Richtlinie, § 25 TDDDG in Deutschland, französisches Loi Informatique et Libertés Art. 82), die Einwilligung vor dem Setzen über das Cookie-Banner ein. Die Schaltflächen "Alle akzeptieren" und "Alle ablehnen" sind gemäß CNIL Délibération 2020-091 und ICO-Leitlinien auf der ersten Banner-Ebene gleichwertig zugänglich.
10. Kinder
Die Dienste richten sich nicht an Kinder unterhalb der in § 1 der AGB beschriebenen Altersgrenzen. Wir erheben wissentlich keine personenbezogenen Daten von Kindern.
Vereinigte Staaten (COPPA). Die Dienste richten sich nicht an Kinder unter 13 Jahren. Wir erheben wissentlich keine personenbezogenen Informationen von Kindern unter 13 Jahren. Erfahren wir, dass solche Informationen erhoben wurden, löschen wir sie. Eltern/Erziehungsberechtigte können sich an contact@ironact.net wenden, um eine Überprüfung oder Löschung zu verlangen. Wir werden die Änderungen der FTC zur COPPA-Rule von 2025 bis zu deren Inkrafttreten umsetzen.
Sollten Sie der Auffassung sein, dass ein Kind uns personenbezogene Informationen übermittelt hat, kontaktieren Sie contact@ironact.net; wir werden diese löschen.
11. Automatisierte Entscheidungen
Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhen und Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in vergleichbarer Weise erheblich beeinträchtigen im Sinne von Art. 22 DSGVO / Art. 22 UK GDPR / PIPA Art. 37-2 / der CCPA-ADMT-Vorschriften. Die von den Diensten erzeugten KI-Analysen sind entscheidungsunterstützende Ergebnisse, die von Ihrem Team geprüft werden, und keine Entscheidungen über Sie.
Sollte sich unsere Verarbeitung dahingehend ändern, dass ADMT- oder Art. 22-ähnliche Entscheidungen relevant werden, stellen wir die erforderlichen Hinweise, Opt-out- und Kanäle für menschliche Überprüfung bereit und aktualisieren diese Erklärung.
12. Sicherheit
Wir setzen branchenübliche technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ein, einschließlich:
- TLS 1.2+ Verschlüsselung bei der Übertragung und AES-256-Verschlüsselung im Ruhezustand für Datenbanken und Backups;
- Rollenbasierte Zugriffskontrolle und Least-Privilege-Prinzip;
- Protokollierung und Überwachung administrativer Zugriffe;
- Regelmäßige Sicherheitsupdates für Abhängigkeiten und Infrastruktur;
- Jährliche Sicherheitsüberprüfungen; SOC 2 Type II-Kontrollen für Enterprise-Tarife (in Vorbereitung / auf Anfrage verfügbar).
Kein System ist zu 100 % sicher. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, werden wir die zuständige Aufsichtsbehörde (und gegebenenfalls die betroffenen Nutzer) innerhalb der nach Art. 33–34 DSGVO, PIPA Art. 34 (unverzüglich) und den anwendbaren US-Landesmeldegesetzen vorgeschriebenen Fristen benachrichtigen.
13. Aufsichtsbehörden
Sie können bei der Aufsichtsbehörde Ihres Landes Beschwerde einlegen, insbesondere:
| Rechtsraum | Behörde | Website |
|---|---|---|
| EU (One-Stop-Shop) | Ihre lokale Datenschutzbehörde — Liste unter https://edpb.europa.eu/about-edpb/about-edpb/members_en | edpb.europa.eu |
| Frankreich | Commission Nationale de l'Informatique et des Libertés (CNIL) | cnil.fr |
| Deutschland | Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) und die zuständige Landesdatenschutzbehörde | bfdi.bund.de |
| Vereinigtes Königreich | Information Commissioner's Office (ICO) | ico.org.uk |
| Korea | Personal Information Protection Commission (PIPC) | pipc.go.kr |
| Kalifornien | Attorney General / California Privacy Protection Agency (CPPA) | oag.ca.gov · cppa.ca.gov |
| Texas | Office of the Attorney General | texasattorneygeneral.gov |
| Virginia, Colorado, Connecticut und weitere Bundesstaaten | State Attorney General | (siehe Website des jeweiligen Bundesstaates) |
Wir ermutigen Sie, sich zuerst an uns zu wenden, damit wir Ihr Anliegen unmittelbar adressieren können.
14. Änderungen dieser Erklärung
Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail oder Hinweis im Produkt angekündigt (bzw. innerhalb eines längeren, gesetzlich vorgesehenen Zeitraums). Das Datum unter "Zuletzt aktualisiert" am Ende dieser Seite gibt stets die aktuelle Fassung wieder. Die fortgesetzte Nutzung der Dienste nach dem Wirksamkeitsdatum gilt als Zustimmung zur aktualisierten Erklärung.
15. Kontakt
E-Mail: contact@ironact.net Allgemein: contact@ironact.net
Ironact, Inc. 1111B S Governors Ave Ste 51691 Dover, DE 19904 United States Telefon: +1 (415) 851-9366