RECHTLICHES
Datenschutzerklärung
Gültig ab: 19. März 2026 · Zuletzt aktualisiert: 19. März 2026
1. Einleitung
Comy AI ("Comy", "wir", "unser" oder "uns") betreibt die agentische KI-Plattform unter comy.ai, einschließlich der Webanwendung, Desktop-Anwendung, APIs, SDK, Chat-Widget und aller zugehörigen Dienste (zusammen der "Dienst"). Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erfassen, verwenden, weitergeben und schützen, wenn Sie unseren Dienst nutzen.
Wir verpflichten uns zur Einhaltung der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO"), des EU AI Act (Verordnung (EU) 2024/1689) und aller anderen anwendbaren Datenschutzgesetze. Durch die Nutzung des Dienstes bestätigen Sie, dass Sie diese Datenschutzerklärung gelesen und verstanden haben.
2. Verantwortlicher
Der Verantwortliche für Ihre personenbezogenen Daten ist:
Comy AI
Email: privacy@comy.ai
Website: https://comy.ai
3. Informationen, die wir erheben
3.1 Konto- & Profildaten
Bei der Registrierung erfassen wir Ihren Namen, Ihre E-Mail-Adresse und Anmeldedaten. Wenn Sie sich über Drittanbieter (Google, GitHub, Apple) authentifizieren, erhalten wir grundlegende Profilinformationen (Name, E-Mail, Profilbild) gemäß den Berechtigungen dieser Dienste.
3.2 Workspace- & Organisationsdaten
Wenn Sie einen Workspace erstellen oder beitreten, erfassen wir Workspace-Namen, Teammitglieder-Informationen, Rollenzuweisungen und die von Ihnen konfigurierten Organisationseinstellungen.
3.3 KI-Agenten-Daten
Wenn Sie KI-Agenten erstellen und betreiben, verarbeiten wir: Agenten-Konfigurationen (Name, Rolle, Persönlichkeit, Fähigkeiten), Konversationsnachrichten, Aufgaben-Inputs und -Outputs, Ziele, Gedächtnis-Einträge und alle Dateien oder Daten, die Sie Ihren Agenten bereitstellen. Diese Daten sind notwendig, um die Kernfunktionalität des Dienstes zu erbringen.
3.4 Nutzungs- & Telemetriedaten
Wir erfassen automatisch Informationen darüber, wie Sie mit dem Dienst interagieren, einschließlich besuchter Seiten, genutzter Funktionen, API-Aufrufe, Agenten-Ausführungsprotokolle, Leistungskennzahlen, IP-Adresse, Browsertyp, Geräteinformationen und Zeitstempel. Wir nutzen diese Daten zur Verbesserung des Dienstes, zur Fehlerbehebung und zur Gewährleistung der Sicherheit.
3.5 Zahlungs- & Abrechnungsdaten
Die Zahlungsabwicklung erfolgt vollständig über Stripe, Inc. Wir speichern keine vollständigen Kreditkartennummern, CVVs oder Bankdaten. Wir behalten nur Ihre Stripe-Kunden-ID, Ihren Abonnementplan, Ihre Abrechnungs-E-Mail und den Transaktionsverlauf für Buchhaltungszwecke.
3.6 Kommunikationsdaten
Wenn Sie uns per E-Mail oder über Support-Kanäle kontaktieren, erfassen wir den Inhalt Ihrer Kommunikation und etwaige Anhänge, um auf Ihre Anfragen zu antworten.
3.7 Integrationsdaten
Wenn Sie Drittanbieter-Dienste verbinden (Slack, Discord, Telegram, WhatsApp, Vercel, GitHub, X/Twitter), speichern wir OAuth-Tokens, API-Schlüssel und Webhook-Konfigurationen, die für die Integration erforderlich sind. OAuth-Tokens und API-Schlüssel werden im Ruhezustand mit AES-256-GCM-Verschlüsselung gespeichert.
4. Rechtsgrundlage der Verarbeitung (DSGVO Art. 6)
Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Dienstes (Agenten-Ausführung, Aufgabenverarbeitung) | Vertragserfüllung (Art. 6(1)(b)) |
| Kontoverwaltung und Authentifizierung | Vertragserfüllung (Art. 6(1)(b)) |
| Zahlungsabwicklung und Abrechnung | Vertragserfüllung (Art. 6(1)(b)) |
| Dienstverbesserung und Analyse | Berechtigtes Interesse (Art. 6(1)(f)) |
| Sicherheit, Betrugsprävention, Missbrauchserkennung | Berechtigtes Interesse (Art. 6(1)(f)) |
| Marketingkommunikation (bei Einwilligung) | Einwilligung (Art. 6(1)(a)) |
| Steuer- und Buchhaltungsunterlagen | Gesetzliche Verpflichtung (Art. 6(1)(c)) |
5. KI-Datenverarbeitung & automatisierte Entscheidungsfindung
Der Kern unseres Dienstes besteht darin, Ihre Eingaben durch KI-Sprachmodelle zu verarbeiten, um Antworten zu generieren, Aufgaben abzuschließen und autonome Agenten zu betreiben. Wir möchten diesbezüglich vollständig transparent sein:
- Modellanbieter: Ihre Agenten-Konversationen und Aufgaben-Eingaben werden zur Verarbeitung an KI-Modellanbieter (OpenAI, Anthropic, Google) gesendet. Wir übermitteln nur die minimal notwendigen Daten zur Erfüllung Ihrer Anfrage.
- Kein Training mit Ihren Daten: Wir verwenden Ihre Inhalte nicht zum Training unserer eigenen KI-Modelle. Drittanbieter verarbeiten Ihre Daten gemäß ihren jeweiligen Auftragsverarbeitungsverträgen, die die Nutzung von API-Daten für Modelltraining untersagen.
- Automatisierte Entscheidungsfindung: KI-Agenten können automatisierte Entscheidungen (Aufgabenpriorisierung, Zielplanung, Crew-Delegation) im von Ihnen konfigurierten Umfang treffen. Diese Entscheidungen erzeugen keine rechtlichen Auswirkungen oder ähnlich erhebliche Auswirkungen auf Personen. Sie behalten die volle Kontrolle, um automatisiertes Verhalten zu überprüfen, zu übersteuern oder zu deaktivieren.
- Menschliche Aufsicht: Alle KI-Agenten-Aktionen können so konfiguriert werden, dass vor der Ausführung eine menschliche Genehmigung erforderlich ist. Sie können Genehmigungsrichtlinien pro Agent und pro Aktionstyp festlegen.
- Computer Vision: Bei der Nutzung von Desktop-Automatisierungsfunktionen werden Screenshots erfasst und von KI-Vision-Modellen verarbeitet. Diese Bilder werden ausschließlich zur Aufgabenausführung verwendet und nicht über die Sitzung hinaus gespeichert, es sei denn, sie werden explizit in Ihrem Workspace gespeichert.
6. Unterauftragsverarbeiter & Drittanbieter-Dienste
Wir teilen Ihre Daten mit folgenden Kategorien von Unterauftragsverarbeitern, ausschließlich zur Bereitstellung des Dienstes:
| Anbieter | Zweck | Geteilte Daten |
|---|---|---|
| Convex | Datenbank & Backend-Infrastruktur | Alle Anwendungsdaten |
| Vercel | Web-Hosting & CDN | IP-Adresse, Browser-Metadaten |
| OpenAI | KI-Modell-Inferenz | Agenten-Prompts & Konversationsinhalte |
| Anthropic | KI-Modell-Inferenz | Agenten-Prompts & Konversationsinhalte |
| Google (Gemini) | KI-Modell-Inferenz | Agenten-Prompts & Konversationsinhalte |
| E2B | Sandboxed Code-Ausführung & Desktop-Automatisierung | Code, Dateien, Screenshots |
| Stripe | Zahlungsabwicklung | Abrechnungs-E-Mail, Zahlungsmethode |
| Resend | Transaktions-E-Mail | E-Mail-Adresse, Nachrichteninhalt |
| Sentry | Fehlerüberwachung | Fehlerprotokolle, anonymisierte Stack-Traces |
Wir verkaufen, vermieten oder handeln nicht mit Ihren personenbezogenen Daten. Daten werden nur weitergegeben, soweit dies für den Betrieb des Dienstes erforderlich ist oder zur Erfüllung gesetzlicher Pflichten.
7. Internationale Datenübermittlungen
Einige unserer Unterauftragsverarbeiter befinden sich außerhalb des Europäischen Wirtschaftsraums (EWR). Bei der internationalen Übermittlung personenbezogener Daten gewährleisten wir angemessenen Schutz durch:
- EU-US-Datenschutzrahmen (DPF) (soweit anwendbar)
- Von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)
- Angemessenheitsbeschlüsse der Europäischen Kommission
- Ihre ausdrückliche Einwilligung, wenn andere Schutzmaßnahmen nicht verfügbar sind
8. Datensicherheit
Wir setzen branchenübliche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Alle Daten werden bei der Übertragung mit TLS 1.2+ verschlüsselt
- Sensible Daten werden im Ruhezustand mit AES-256-GCM verschlüsselt
- Integrations-Anmeldedaten und API-Schlüssel werden in einem verschlüsselten Tresor gespeichert
- Authentifizierung erfolgt über sichere OAuth 2.0 / OIDC-Protokolle
- Zugriffskontrollen folgen dem Prinzip der minimalen Berechtigung
- Regelmäßige Sicherheitsüberprüfungen und Abhängigkeits-Audits
- Automatisierte Bedrohungserkennung und Rate-Limiting
Trotz unserer Bemühungen ist keine Methode der elektronischen Speicherung oder Übertragung zu 100% sicher. Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte an security@comy.ai.
9. Datenspeicherung
Wir speichern Daten wie folgt:
| Datentyp | Speicherdauer |
|---|---|
| Kontodaten | Dauer des Kontos + 30 Tage nach Löschung |
| Agenten-Konversationen & Aufgaben | Dauer des Kontos (vom Benutzer löschbar) |
| Agenten-Gedächtnis | Dauer des Kontos (löschbar über "Reborn"-Funktion) |
| Nutzungsprotokolle & Analysen | 90 Tage (rollierend) |
| Abrechnungs- & Transaktionsdaten | 7 Jahre (gesetzliche Anforderung) |
| Desktop-Sitzungs-Screenshots | Dauer der Sitzung (automatisch gelöscht bei Sitzungsende) |
10. Ihre Rechte gemäß DSGVO
Wenn Sie sich im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz befinden, haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
- Auskunftsrecht (Art. 15) — Fordern Sie eine Kopie aller personenbezogenen Daten an, die wir über Sie gespeichert haben.
- Recht auf Berichtigung (Art. 16) — Fordern Sie die Korrektur ungenauer oder unvollständiger Daten an.
- Recht auf Löschung (Art. 17) — Fordern Sie die Löschung Ihrer personenbezogenen Daten an ("Recht auf Vergessenwerden").
- Recht auf Einschränkung der Verarbeitung (Art. 18) — Fordern Sie, dass wir die Verarbeitung Ihrer Daten einschränken.
- Recht auf Datenübertragbarkeit (Art. 20) — Erhalten Sie Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON-Export).
- Widerspruchsrecht (Art. 21) — Widersprechen Sie der Verarbeitung auf Grundlage berechtigter Interessen oder für Direktwerbung.
- Recht, nicht einer automatisierten Entscheidung unterworfen zu werden (Art. 22) — Fordern Sie menschliches Eingreifen bei Entscheidungen, die ausschließlich durch automatisierte Verarbeitung getroffen werden.
- Recht auf Widerruf der Einwilligung (Art. 7) — Widerrufen Sie Ihre Einwilligung jederzeit, wenn wir uns auf die Einwilligung als Rechtsgrundlage stützen.
Um diese Rechte auszuüben, senden Sie eine E-Mail an privacy@comy.ai. Wir antworten innerhalb von 30 Tagen. Wenn Sie mit unserer Antwort unzufrieden sind, haben Sie das Recht, eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einzureichen.
11. Cookies & Tracking-Technologien
Wir verwenden ausschließlich technisch notwendige Cookies für Authentifizierung und Sitzungsverwaltung. Wir verwenden keine Werbe-Cookies, Tracking-Pixel von Drittanbietern oder Analyse-Cookies, die einzelne Benutzer identifizieren. Für technisch notwendige Cookies ist gemäß DSGVO kein Consent-Banner erforderlich.
| Cookie | Zweck | Dauer |
|---|---|---|
| Sitzungstoken | Authentifizierung | Sitzung / 30 Tage |
| Spracheinstellung | Sprachpräferenz | 1 Jahr |
12. Datenschutz für Kinder
Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten wir feststellen, dass wir versehentlich Daten eines Kindes unter 16 Jahren erhoben haben, werden wir diese umgehend löschen. Wenn Sie glauben, dass ein Kind uns Daten bereitgestellt hat, kontaktieren Sie privacy@comy.ai.
13. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung aktualisieren, um Änderungen in unseren Praktiken, Technologien oder rechtlichen Anforderungen widerzuspiegeln. Bei wesentlichen Änderungen werden wir Sie mindestens 30 Tage im Voraus per E-Mail oder In-App-Benachrichtigung informieren. Das Datum "Zuletzt aktualisiert" oben zeigt immer die aktuellste Version an. Die weitere Nutzung des Dienstes nach Inkrafttreten der Änderungen gilt als Annahme der aktualisierten Erklärung.
14. Kontakt
Für Fragen, Anliegen oder Anfragen zu dieser Datenschutzerklärung oder Ihren personenbezogenen Daten:
Comy AI — Datenschutz-Team
Email: privacy@comy.ai
Website: https://comy.ai