CUPRES AI
EN DE HR
Ausprobieren

DATENSCHUTZRICHTLINIE

Letzte Änderung: Juni 2026

CUPRES AI

Marke des Unternehmens BLUE SAND d.o.o.

Rovinjska 4, 21000 Split, Republik Kroatien | OIB: 09275447629

info@cupres-ai.com

Schutz personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (DSGVO)

Artikel 1: Einführung und Identität des Verantwortlichen

Das Unternehmen BLUE SAND d.o.o., das unter der Marke CUPRES AI auf dem Markt agiert, mit Sitz in Rovinjska 4, 21000 Split, Republik Kroatien, OIB: 09275447629 (im Folgenden „Verantwortlicher“), respektiert das Recht natürlicher Personen auf den Schutz personenbezogener Daten in vollem Umfang.

Diese Datenschutzrichtlinie wurde in Übereinstimmung mit folgenden Rechtsvorschriften entwickelt:

• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten (DSGVO),

• Gesetz zur Umsetzung der Datenschutzverordnung (OG 42/18, 144/21),

• Gesetz über die elektronische Kommunikation (Amtsblatt 76/22) in dem Teil, der sich auf Cookies bezieht.

Datenschutzkontakt: info@cupres-ai.com

Artikel 2: Kategorien der personenbezogenen Daten, die wir verarbeiten

2.1. Daten, die von Website-Besuchern und potenziellen Kunden gesammelt werden
Über die Kontaktformulare auf der Website cupresai.com sammeln wir ausschließlich:

• Name und Nachname der Kontaktperson,

• geschäftliche E-Mail-Adresse,

• Name und grundlegende Informationen über das Unternehmen,

• Geschäftsziele und eine Beschreibung des Projekts, die von der Kontaktperson freiwillig bereitgestellt wurden.

2.2. Datenverarbeitung im Zusammenhang mit der Erbringung der Dienstleistung an Kunden (B2B-Verarbeitung)
Im Rahmen der Implementierung und des Betriebs von KI-Agenten für Kunden kann der Verantwortliche je nach spezifischer Konfiguration der Lösung die personenbezogenen Daten der Endnutzer des Kunden im Auftrag des Kunden verarbeiten. In solchen Fällen agiert BLUE SAND d.o.o. als Auftragsverarbeiter (Data Processor) im Sinne von Artikel 28 der DSGVO, und der Kunde bleibt der Verantwortliche (Data Controller) für die Rechtmäßigkeit der Verarbeitung gegenüber den Endnutzern.

Diese Verarbeitung wird durch eine separate Auftragsverarbeitungsvereinbarung (Data Processing Agreement : DPA) geregelt, die ein integraler Bestandteil des jeweiligen Dienstleistungsvertrags ist.

Artikel 3: Zweck und rechtliche Grundlage der Verarbeitung

Personenbezogene Daten, die über die Kontaktformulare erhoben werden, werden ausschließlich für folgende Zwecke und auf folgenden rechtlichen Grundlagen verarbeitet:

• Beantwortung der Anfrage und Abschluss des Vertrags (Art. 6 Abs. 1 lit. b DSGVO) : Die Verarbeitung ist notwendig, um auf Wunsch der betroffenen Person vor Vertragsabschluss Maßnahmen zu ergreifen.

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) : Senden relevanter Geschäftsinformationen an potenzielle Kunden, die Interesse an unseren Dienstleistungen bekundet haben.

• Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) : Aufbewahrung von Daten über Geschäftstransaktionen gemäß den Steuer- und Buchhaltungsvorschriften der Republik Kroatien.

Artikel 4: Empfänger und Datenaustausch

Personenbezogene Daten werden nicht verkauft, vermietet oder zu kommerziellen Zwecken an Dritte weitergegeben.

In begrenztem Umfang können folgende Kategorien von Empfängern Daten erhalten:

• Drittanbieterplattformen für die Bereitstellung des Dienstes : n8n GmbH (Deutschland), Voiceflow Inc. (Kanada/USA), OpenAI LLC (USA), Google LLC (USA) und weitere Technologiepartner, die als Unterauftragsverarbeiter (Sub-processors) tätig sind und mit denen entsprechende Vereinbarungen (DPAs) abgeschlossen wurden. Eine vollständige Liste der aktiven Unterauftragsverarbeiter ist auf Anfrage verfügbar.

• Zuständige Behörden : ausschließlich auf Grundlage einer gesetzlichen Verpflichtung (Gerichte, Steuerverwaltung, Aufsichtsbehörden).

Artikel 5: Übertragung personenbezogener Daten außerhalb des EWR

Einige der von uns genutzten Drittanbieterplattformen (z. B. OpenAI, Anthropic, Voiceflow) befinden sich außerhalb des Europäischen Wirtschaftsraums (EWR), überwiegend in den Vereinigten Staaten.

Die Übertragung personenbezogener Daten in die USA und andere Drittländer erfolgt ausschließlich unter Anwendung geeigneter Schutzmaßnahmen:

• Standardvertragsklauseln (SCCs), die von der Europäischen Kommission verabschiedet wurden (EU-Durchführungsentscheidung 2021/914),

• EU-US Data Privacy Framework : Angemessenheitsbeschluss der Europäischen Kommission aus dem Jahr 2023,

• Zusätzliche technische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung), wo angemessen.

Die Geschäftsdaten des Kunden werden in isolierten Umgebungen verarbeitet und niemals zum Training öffentlicher KI-Modelle oder für andere Zwecke als die Ausführung der vereinbarten Automatisierungen verwendet.

Artikel 6: Speicherdauer personenbezogener Daten

• Daten aus Kontaktformularen für Interessenten : bis zu 2 (zwei) Jahre ab dem letzten Kontakt bzw. bis zur Abmeldung von der Marketingkommunikation.

• Daten zu abgeschlossenen Verträgen : 11 (elf) Jahre nach dem Ende des Geschäftsjahres, in dem das Vertragsverhältnis endete, gemäß dem kroatischen Rechnungslegungsgesetz (Amtsblatt 78/15 und Änderungen).

• Im Rahmen der Dienstleistung verarbeitete Kundendaten : gemäß den Anweisungen des Kunden als Verantwortlichem (wie im DPA definiert), maximal jedoch 90 (neunzig) Tage nach Beendigung des Vertragsverhältnisses. Danach werden sie unwiderruflich gelöscht.

Artikel 7: Rechte der betroffenen Personen

Jede natürliche Person, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden, hat das Recht auf:

• Recht auf Auskunft (Art. 15 DSGVO) : Bestätigung darüber zu verlangen, ob Daten verarbeitet werden, sowie Erhalt einer Kopie dieser Daten.

• Recht auf Berichtigung (Art. 16 DSGVO) : Berichtigung ungenauer oder Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

• Recht auf Löschung (Art. 17 DSGVO – „Recht auf Vergessenwerden“) : Löschung der Daten zu verlangen, wenn keine rechtliche Grundlage mehr für die Verarbeitung besteht.

• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) : die vorübergehende Einschränkung der Verarbeitung in gesetzlich vorgeschriebenen Fällen zu beantragen.

• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) : Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format sowie Übermittlung an einen anderen Verantwortlichen.

• Recht auf Widerspruch (Art. 21 DSGVO) : jederzeit gegen die Verarbeitung von Daten, die auf einem berechtigten Interesse basiert, Widerspruch einzulegen.

Alle genannten Rechte können durch eine Anfrage an die E-Mail-Adresse info@cupres-ai.com ausgeübt werden. Der Verantwortliche wird innerhalb von 30 (dreißig) Tagen nach Erhalt der Anfrage gemäß Artikel 12 DSGVO antworten.

Die betroffene Person hat zudem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. In der Republik Kroatien ist dies die Agentur für den Schutz personenbezogener Daten (AZOP), Selska cesta 136, 10000 Zagreb, www.azop.hr.

Artikel 8: Sicherheit personenbezogener Daten

Der Verantwortliche ergreift gemäß Artikel 32 der DSGVO geeignete technische und organisatorische Schutzmaßnahmen, darunter:

• Verschlüsselung von Daten bei der Übertragung (TLS/HTTPS-Protokoll) und bei der Speicherung,

• Zugriffskontrolle und Berechtigungsmanagement (Prinzip der minimalen Rechtevergabe),

• Pseudonymisierung und Datenminimierung, wo angemessen,

• regelmäßige Sicherheitsbewertungen und Überwachung von Sicherheitsvorfällen,

• Schulung der Mitarbeiter zum Thema Datenschutz.

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, meldet der Verantwortliche dies der AZOP innerhalb von 72 Stunden, nachdem ihm die Verletzung bekannt wurde (gemäß Artikel 33 DSGVO).

Artikel 9: Cookies

Die Website cupresai.com verwendet ausschließlich funktionale Cookies, die für das ordnungsgemäße Funktionieren der Seite und der KI-Chat-Oberfläche (Voiceflow) notwendig sind. Wir verwenden keine Marketing-, Werbe- oder Tracking-Cookies, um Nutzer auf Drittseiten zu verfolgen.

• Streng notwendige Cookies : Ermöglichen die Grundfunktionen der Website und des KI-Chats. Sie können nicht deaktiviert werden und sammeln keine personenbezogenen Daten.

• Voiceflow-Session-Cookies : Temporäre Cookies, die den Kontext des Gesprächs innerhalb einer einzigen Sitzung speichern. Sie werden beim Schließen des Browsers gelöscht und verfolgen keine Aktivitäten auf anderen Websites.

Artikel 10: Automatisierte Entscheidungsfindung und Profiling

Der Verantwortliche führt keine automatisierten Entscheidungsfindungen durch, die rechtliche oder erhebliche Auswirkungen auf die betroffenen Personen haben (Profiling im Sinne von Artikel 22 der DSGVO), es sei denn, es liegt eine vorherige Einwilligung oder eine spezifische gesetzliche Grundlage vor.

Für Kunden implementierte KI-Agenten können eine automatisierte Datenverarbeitung durchführen, um schnellere Antworten zu generieren – finale geschäftliche Entscheidungen verbleiben jedoch stets in den Händen des Kunden und seiner Mitarbeiter.

Artikel 11: Änderungen der Datenschutzrichtlinie

Der Verantwortliche behält sich das Recht vor, diese Datenschutzrichtlinie zu ändern, um sie an geänderte Gesetze, Geschäftsprozesse oder technische Lösungen anzupassen. Alle Änderungen werden auf der Website unter Angabe des Wirksamkeitsdatums veröffentlicht.

Diese Datenschutzrichtlinie wurde zuletzt aktualisiert und tritt am 1. April 2026 in Kraft.

Artikel 12: Kontakt

BLUE SAND d.o.o. (CUPRES AI)
Rovinjska 4, 21000 Split, Republik Kroatien
OIB: 09275447629
E-Mail: info@cupres-ai.com