Datenschutzerklärung – Zentre (Website & SaaS)
Letzte Aktualisierung: 06. Jun 2026
1. Verantwortlicher
EZTO TECHNOLOGIES GmbH, Am Brand 41, 55116 Mainz, Deutschland
Datenschutzkontakt: dpo@ezto.io | Rechtserhebliche Mitteilungen: legal@ezto.io
Zentre wird im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) betrieben.
2. Rollenverteilung (Website/Business vs. SaaS)
- SaaS / Zentre (Kundentenant): EZTO verarbeitet personenbezogene Daten im Rahmen der Bereitstellung von Zentre grundsätzlich als Auftragsverarbeiter (Art. 28 DSGVO) im Auftrag des Kunden (Verantwortlicher). Details ergeben sich aus dem Auftragsverarbeitungsvertrag (AVV/DPA).
- Support & Security im SaaS-Kontext: Soweit Support, Fehleranalyse, Security/Missbrauchsprävention oder Incident-Handling die Verarbeitung von Kundendaten im Kundentenant erfordern, erfolgt diese Verarbeitung als Auftragsverarbeitung nach dem AVV/DPA.
- Website & Business-Betrieb: Für Websitebetrieb, Marketing/Kommunikation, Vertragsanbahnung/-abschluss sowie Abrechnung/Zahlungsabwicklung verarbeitet EZTO personenbezogene Daten als eigener Verantwortlicher; hierfür gilt diese Datenschutzerklärung.
- Kein BYOK: Zentre unterstützt derzeit kein „Bring Your Own Key“ (BYOK).
3. Zwecke, Datenkategorien und Rechtsgrundlagen (Website & Business)
- Websitebetrieb, Bereitstellung von Inhalten, IT-Sicherheit: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
- Vertragsanbahnung/-durchführung, Account-Administration, Kommunikation: Art. 6 Abs. 1 lit. b DSGVO.
- Abrechnung, Buchhaltung, Aufbewahrungspflichten: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht) und/oder Art. 6 Abs. 1 lit. b DSGVO.
- Einwilligungsbasierte Technologien (z. B. Analytics): Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG.
4. Website: Cookies & Consent
- Consent-Management: Usercentrics
- Plausible Analytics: datensparsam/cookielos, nur nach Einwilligung (Opt-in)
- Erforderliche Cookies: Betrieb, Sicherheit, Missbrauchsprävention (§ 25 Abs. 2 TDDDG)
5. SaaS (Zentre): Datenkategorien und Grundsätze
- Account-/Org-Daten (z. B. Name, E-Mail, Organisation, Rollen/Berechtigungen)
- Nutzungs-/Security-/Abrechnungsmetadaten (z. B. Zeitstempel, Request-IDs, Usage/Kosten, sicherheitsrelevante Ereignisse, IP soweit erforderlich)
- Inhaltsdaten (Prompts/Uploads/Outputs) zur Service-Erbringung, use-case- und konfigurationsabhängig
- Web-Suche (sofern aktiviert): Bei Nutzung der Websuche-Funktion werden Suchanfragen (die personenbezogene Daten enthalten können) an den Such-Provider Linkup (Linkup Technologies SAS, Frankreich) übermittelt, um aktuelle Informationen aus dem öffentlichen Web abzurufen. Linkup verarbeitet innerhalb der EU; eine Zero-Data-Retention-Option ist verfügbar.
- Standard: keine allgemeine Inhalts-Logspeicherung von Prompts/Outputs; Chat-Aufbewahrung betrifft die Nutzer-/Workspace-Historie.
- Ausnahmen: Vorübergehende Verarbeitung/Speicherung kann erforderlich sein bei aktivierten Debug-/Logging-Optionen, Supportfällen auf Weisung oder sicherheitsrelevanten Ereignissen (jeweils nach Erforderlichkeit und Retention-Konfiguration).
- Kein Training durch EZTO: EZTO nutzt Inhaltsdaten nicht zum Training eigener KI-Modelle. Eine Nutzung zu Trainingszwecken ist – soweit vertraglich vereinbart und technisch verfügbar – auch gegenüber den eingebundenen Modellanbietern ausgeschlossen (z. B. Zero Data Retention).
- KI-Routing über Cortecs: Das Routing zu KI-Modellen erfolgt standardmäßig über das EU-basierte KI-Gateway Cortecs (Cortecs GmbH, Wien), das Daten innerhalb der EU verarbeitet und die nachgelagerten Modellanbieter als eigene Unterauftragsverarbeiter einbindet. Sofern Inhalte an Modellanbieter weitergeleitet werden, richtet sich deren Verarbeitung nach den jeweiligen Bedingungen und der gewählten Konfiguration.
- KI-Verordnung (AI Act) & Transparenz: Zentre ist als Orchestrierungs- und Governance-Schicht darauf ausgelegt, Kunden bei der Einhaltung der Verordnung (EU) 2024/1689 (KI-VO) zu unterstützen. Nutzer interagieren mit KI-Systemen; Ausgaben werden automatisiert von KI-Modellen erzeugt und können fehlerhaft sein (Transparenz i. S. d. Art. 50 KI-VO). Die KI-VO gilt stufenweise; konkrete Pflichten richten sich nach der Rolle der Beteiligten und dem Anwendungsfall.
- Hinweis: Supportanfragen/Tickets können personenbezogene Daten enthalten (z. B. Name, E-Mail, Screenshots, Diagnosedaten). Eine Verarbeitung erfolgt nur soweit erforderlich zur Bearbeitung des Supportfalls und nach Maßgabe des AVV/DPA.
6. Hosting & Datenstandort
Standard: Hosting bei Scaleway (Scaleway SAS, Frankreich) in der EU-Region Paris (fr-par), soweit im jeweiligen Service/Plan technisch vorgesehen. Die produktive Datenhaltung erfolgt innerhalb der EU/des EWR.
Enterprise / Private Cloud: Abweichende EU-Hosting-, On-Prem- oder Private-Cloud-Optionen möglich, sofern vereinbart.
7. Empfänger / Dienstleister
- Zur Erbringung der Services können Dienstleister (Subprozessoren) eingesetzt werden, insbesondere für Hosting/Infrastruktur (Scaleway, EU), KI-Gateway/Routing zu Modellanbietern (Cortecs, EU), Web-Suche (Linkup, EU, sofern genutzt), E-Mail/Kommunikation sowie Engineering-/Support-Leistungen.
- Die aktuelle Liste der Subprozessoren (inkl. Zweck und soweit verfügbar Standort/Land) ist einsehbar unter /legal/subprocessors.
- Änderungen werden grundsätzlich mindestens 30 Tage vor Wirksamwerden angekündigt, sofern nicht zwingende Sicherheitsgründe eine schnellere Änderung erfordern.
8. Remote Access / Zugriff aus Drittländern
Zur Erbringung von Engineering- und Support-Leistungen können geprüfte Mitarbeitende und Dienstleister auch außerhalb EU/EWR eingesetzt werden. Soweit dies einen Zugriff auf Kundendaten im SaaS-Kontext erfordert, erfolgt dieser Zugriff nur soweit erforderlich, nach Need-to-know, möglichst zeitlich begrenzt, freigegeben und protokolliert. Soweit eine Drittlandübermittlung erforderlich ist (inkl. Remote Access), erfolgt diese unter geeigneten Garantien nach Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln) sowie – soweit erforderlich – ergänzenden Maßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkungen).
9. Drittlandübermittlungen
Im Standard-Setup (EU-Hosting bei Scaleway/Paris, EU-Routing über Cortecs, ggf. Linkup in der EU) finden regelmäßig keine Drittlandübermittlungen statt. Soweit Übermittlungen außerhalb EU/EWR erforderlich sind (z. B. bei aktiver Auswahl von Nicht-EU-Modellen oder Remote Access), erfolgen sie unter geeigneten Garantien nach Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln/SCC). Ergänzende Maßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkungen) werden – soweit erforderlich – berücksichtigt.
10. Speicherdauer / Löschung
- Website & Business-Daten: Speicherung nach Zweck sowie gesetzlichen Aufbewahrungspflichten (insb. Vertrags-/Abrechnungsdaten).
- SaaS / Zentre:
- Chat-/Workspace-Inhaltsdaten: standardmäßig 90 Tage, sofern nicht abweichend konfiguriert oder vereinbart (z. B. Enterprise/Private Cloud).
- Backups: technische Lösch-/Überschreibzyklen typischerweise bis zu 90 Tage.
- Security-Daten/Protokolle: nur solange erforderlich für Sicherheit, Missbrauchsprävention und Incident-Analyse; ggf. längere Aufbewahrung bei Rechtsansprüchen oder gesetzlichen Pflichten.
- Web-Suche: keine dauerhafte Speicherung der Suchanfragen durch EZTO.
- Nach Vertragsende erfolgt Rückgabe und/oder Löschung von Kundendaten nach Maßgabe des AVV/DPA.
11. Datensicherheit
EZTO setzt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ein (Art. 32 DSGVO), insbesondere Zugriffskontrollen, Transportverschlüsselung (TLS 1.3), Verschlüsselung ruhender Daten/Artefakte (AES-256-GCM), Mandantentrennung und Sicherheitsmonitoring, entsprechend dem jeweiligen Risiko. EZTO betreibt ein an ISO/IEC 27001 ausgerichtetes ISMS und befindet sich derzeit im Zertifizierungsprozess.
12. Rechte der betroffenen Personen
Betroffenenrechte nach DSGVO, insbesondere Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen. Widerruf von Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3). Es besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde, insbesondere der für EZTO zuständigen Behörde (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz).
13. Kontakt
- Für Datenschutzanfragen: dpo@ezto.io
- Für rechtserhebliche Mitteilungen: legal@ezto.io