orain.ai
AnmeldenLoslegen
Legal

Datenschutzerklärung

Stand: Mai 2026 · Gültig für orain.ai (Website) und die orain-Plattform (App)

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

SolidScale Ltd.
Georgiou Karaiskaki 11-13, Carisa Salonica, Office 102
7560 Perivolia, Larnaca, Cyprus
HE 482387 · VAT: CY 60249085R

E-Mail: info@solidscale.co
Vertreten durch: Patrick Zambrano (Managing Director)

2. Hosting & Infrastruktur

Diese Website (orain.ai) wird gehostet bei Vercel Inc., 340 Pine Street, Suite 701, San Francisco, CA 94104, USA. Die Bereitstellung erfolgt über Vercel-Rechenzentren in der Europäischen Union. Vercel ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden.

Die orain-Plattform (App, API, Vektordatenbank) wird ausschließlich auf Microsoft Azure in der EU betrieben. Es findet keine Übermittlung von Plattformdaten in Drittländer außerhalb der EU statt.

Beim Aufruf unserer Website werden durch den Hosting-Anbieter automatisch Server-Logfiles erfasst, die folgende Informationen enthalten können: IP-Adresse (anonymisiert), Browsertyp, Betriebssystem, Referrer-URL, Uhrzeit der Anfrage. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung des Dienstes).

3. Kontaktformular & Demo-Anfragen

Wenn Sie unser Kontakt- oder Demo-Formular nutzen, erheben wir folgende Daten:

  • Name (Pflichtfeld)
  • E-Mail-Adresse (Pflichtfeld)
  • Unternehmen (optional)
  • Use Case / Betreff (optional)
  • Nachricht (optional)

Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage bzw. zur Vereinbarung einer Demo verwendet und per E-Mail an unser Team weitergeleitet. Sie werden nicht an Dritte weitergegeben und nicht für Werbezwecke genutzt.

Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung über die Datenschutz-Checkbox). Speicherdauer: bis zu 12 Monate nach Abschluss des Vorgangs, sofern keine gesetzliche Aufbewahrungspflicht besteht.

4. orain Chat-Widget

Auf dieser Website ist ein KI-Chat-Widget der orain-Plattform eingebunden. Das Widget wird über ein Script von api.orain.ai geladen, das auf Microsoft Azure in der EU betrieben wird. Beim Laden des Widgets und bei einer Chat-Interaktion können folgende Daten verarbeitet werden:

  • IP-Adresse (für den Verbindungsaufbau)
  • Inhalte von Chat-Nachrichten (nur bei aktiver Nutzung des Widgets)
  • Technische Sitzungsmetadaten (Agent-ID, Timestamp)

Die Datenverarbeitung erfolgt ausschließlich innerhalb der EU auf Microsoft Azure. Es findet keine Übermittlung in Drittländer statt. Da es sich bei orain um unsere eigene Infrastruktur handelt, findet keine Weitergabe an externe Dritte statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung von Kundensupport in Echtzeit). Chat-Inhalte werden nur bei aktiver Nutzung des Widgets verarbeitet.

5. Google Tag Manager

Wir setzen den Google Tag Manager (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) ein. Der Google Tag Manager ist ein Tag-Management-System, das die zentrale Verwaltung und Einbindung von Drittanbieter-Scripts (Tags) auf unserer Website ermöglicht.

Der Google Tag Manager selbst setzt keine Cookies, erhebt keine personenbezogenen Daten und nimmt keine eigenständige Datenauswertung vor. Er steuert lediglich den Ladevorgang anderer Tags (z. B. Google Analytics 4, Google Ads Conversion Tracking), die erst nach Ihrer Einwilligung über unser Cookie-Banner aktiviert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Verwaltung von Website-Tags). Die durch den Tag Manager gesteuerten einzelnen Dienste unterliegen jeweils eigenen Rechtsgrundlagen (siehe entsprechende Abschnitte dieser Datenschutzerklärung).

6. Google Analytics 4Einwilligung erforderlich

Wir setzen Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) ein, um das Nutzerverhalten auf unserer Website anonymisiert zu analysieren. Dabei werden u. a. Seitenaufrufe, Verweildauer, Absprungraten und Geräteinformationen erfasst. Google Analytics 4 wird über den Google Tag Manager geladen und nur nach Ihrer Einwilligung aktiviert.

IP-Adressen werden durch aktivierte IP-Anonymisierung vor der Übermittlung an Google-Server gekürzt. Eine Zusammenführung mit anderen Google-Daten findet nur statt, wenn Sie dem ausdrücklich zugestimmt haben.

Google Analytics setzt Cookies ein, die eine Wiedererkennung Ihres Browsers ermöglichen. Die Daten können auf Server in den USA übertragen werden; Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über unser Cookie-Banner). Sie können Ihre Einwilligung jederzeit widerrufen. Widerspruch auch möglich über das Google Analytics Opt-Out-Add-on.

7. Google Ads Conversion TrackingEinwilligung erforderlich

Wir nutzen Google Ads Conversion Tracking (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland), um die Wirksamkeit unserer Google Ads-Kampagnen zu messen. Wenn Sie über eine unserer Anzeigen auf unsere Website gelangen und dort eine definierte Aktion ausführen (z. B. Registrierung, Kontaktanfrage), wird ein Conversion-Cookie gesetzt, das uns ermöglicht, diese Aktion der ursprünglichen Anzeige zuzuordnen.

Die dabei erfassten Informationen (z. B. welche Seite nach dem Klick auf eine Anzeige besucht wurde) werden pseudonymisiert übermittelt. Wir erhalten dabei keine personenbezogenen Daten; wir sehen lediglich die Gesamtanzahl der Nutzer, die auf unsere Anzeige geklickt und anschließend eine Conversion-Aktion ausgeführt haben. Google Ads Conversion Tracking wird über den Google Tag Manager geladen und nur nach Ihrer Einwilligung aktiviert.

Die Daten können auf Server von Google in den USA übertragen werden; Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert. Conversion-Cookies haben eine Laufzeit von in der Regel 30 Tagen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über unser Cookie-Banner). Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

8. Google Search Console

Wir nutzen die Google Search Console (Google Ireland Ltd.) zur Analyse der Sichtbarkeit unserer Website in der Google-Suche. Die Search Console verarbeitet aggregierte, nicht-personenbezogene Suchanfragedaten. Es werden keine personenbezogenen Daten von Website-Besuchern durch uns über dieses Tool erhoben oder eingesehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unserer organischen Sichtbarkeit).

9. Meta Pixel (Facebook / Instagram)Einwilligung erforderlich

Wir verwenden den Meta Pixel von Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland). Der Meta Pixel ermöglicht es uns, Besucher unserer Website als Zielgruppe für Werbeanzeigen auf Facebook und Instagram zu definieren (Custom Audiences) sowie die Wirksamkeit unserer Werbeanzeigen zu messen (Conversion Tracking).

Beim Laden des Pixels kann Ihre IP-Adresse an Meta-Server in den USA übertragen werden. Meta LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über unser Cookie-Banner). Sie können Ihre Einwilligung jederzeit widerrufen. Weitere Informationen finden Sie in der Datenschutzrichtlinie von Meta.

10. Cookies

Unsere Website verwendet Cookies. Wir unterscheiden zwischen:

  • Technisch notwendige Cookies — für die Grundfunktionen der Website erforderlich, inkl. Cookie-Consent-Einstellungen (CCM19). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Analyse-Cookies (Google Analytics 4) — nur nach Ihrer Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • Marketing-Cookies (Google Ads Conversion Tracking, Meta Pixel) — nur nach Ihrer Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Die Aktivierung einwilligungspflichtiger Cookies wird durch den Google Tag Manager gesteuert und erfolgt erst nach Ihrer Einwilligung über unser Cookie-Banner. Ihre Cookie-Einstellungen können Sie jederzeit über unser Cookie-Banner anpassen.

11. Datenverarbeitung in der orain-Plattform

Bei Nutzung der orain-Plattform (App) werden folgende Daten verarbeitet:

  • Kontodaten: Name, E-Mail, Unternehmen (bei Registrierung)
  • Konversationsdaten: Chat-Verläufe zwischen Endnutzern und KI-Agenten
  • Wissensbasis-Inhalte: Hochgeladene Dokumente und URLs, die zur KI-Vektorisierung verarbeitet werden
  • Nutzungsdaten: API-Anfragen, Token-Verbrauch, Fehlerlogs

Alle Plattformdaten werden ausschließlich auf Microsoft Azure in der EU gespeichert und verarbeitet. Es erfolgt keine Übermittlung in Drittländer.

Als Auftragsverarbeiter für unsere Unternehmenskunden schließen wir einen Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO ab. Dieser ist auf Anfrage erhältlich: info@orain.ai

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Kontodaten; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für technische Betriebsdaten.

12. Weitergabe an Dritte

Wir geben personenbezogene Daten nur weiter, wenn:

  • Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO),
  • dies zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
  • eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), oder
  • es sich um Auftragsverarbeiter handelt, die vertraglich gebunden sind (Art. 28 DSGVO) — insbesondere Vercel (Website-Hosting), Microsoft Azure (Plattform-Hosting & orain Chat-Widget), Google Ireland Ltd. (Google Tag Manager, Google Analytics 4, Google Ads) und Stripe (Zahlungsabwicklung).

Eine Weitergabe zu Werbezwecken an Dritte findet nicht statt.

13. Zahlungsabwicklung über Stripe

Für die Abwicklung von Zahlungen auf der orain-Plattform setzen wir Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) ein. Stripe ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden und nach PCI DSS zertifiziert.

Bei der Durchführung einer Zahlung übermitteln wir an Stripe folgende Daten:

  • Name und E-Mail-Adresse des Zahlungspflichtigen
  • Rechnungsadresse
  • Zahlungsmittelinformationen (Kreditkarte, SEPA-Lastschrift o. Ä.)
  • Transaktionsbetrag und Währung

Vollständige Kreditkartendaten werden ausschließlich auf den Servern von Stripe gespeichert und verarbeitet — wir haben zu keinem Zeitpunkt Zugriff auf unverschlüsselte Zahlungsdaten. Stripe kann Daten in die USA übermitteln; Stripe Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

14. KI-Modelle (Azure OpenAI Service)

Die KI-Agenten der orain-Plattform basieren auf Sprachmodellen von OpenAI, die wir ausschließlich über den Azure OpenAI Service von Microsoft Azure in der EU betreiben. Die Modelle laufen vollständig innerhalb unserer eigenen Azure-Infrastruktur in der EU — eine Übermittlung von Nutzer- oder Konversationsdaten an OpenAI-Server außerhalb der EU findet dabei nicht statt.

Im Rahmen der KI-Verarbeitung können folgende Daten verarbeitet werden:

  • Inhalte von Chat-Nachrichten (Endnutzeranfragen und KI-Antworten)
  • Auszüge aus der Wissensbasis (zur Kontextualisierung von Antworten)
  • Metadaten zur Sitzung (Timestamp, Agent-ID)

Microsoft Azure verarbeitet diese Daten ausschließlich zur Erbringung des Dienstes und nicht zu eigenen Trainingszwecken. Microsoft ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erbringung des KI-Dienstes).

15. Google Calendar Integration

Wenn ein Nutzer die Google Calendar-Integration in orain.ai aktiviert, wird ein OAuth 2.0-Verbindungsverfahren über Google durchgeführt. Dabei werden folgende Daten von Google abgerufen und verarbeitet:

Welche Daten wir abrufen

  • E-Mail-Adresse (userinfo.email): Die E-Mail-Adresse des verbundenen Google-Kontos wird abgerufen, um die Integration dem Nutzerkonto zuzuordnen.
  • Kalender-Verfügbarkeit (calendar.readonly): Frei/Belegt-Informationen des Kalenders werden ausgelesen, um buchbare Zeitslots für Website-Besucher zu ermitteln. Keine Ereignisinhalte, Titel oder Teilnehmerlisten werden gelesen.
  • Kalenderereignisse (calendar.events.owned): Neue Ereignisse werden erstellt, wenn ein Website-Besucher einen Termin bucht. Bestehende Ereignisse werden aktualisiert bei Umbuchungen, Agendasänderungen oder Teilnehmeranpassungen.

Zweck der Verarbeitung

Die abgerufenen Google-Daten werden ausschließlich zur Bereitstellung der Terminbuchungsfunktion verwendet. Eine Nutzung für andere Zwecke – einschließlich Werbung, Analyse oder KI-Training – findet nicht statt.

Speicherung

Das OAuth-Access-Token und das Refresh-Token werden mittels AES-256-GCM verschlüsselt in unserer Datenbank auf Microsoft Azure (EU West Europe) gespeichert. Die E-Mail-Adresse des verbundenen Google-Kontos sowie die Google-Ereignis-IDs erstellter Termine werden gespeichert, um Folgeaktionen (z. B. Umbuchungen) zu ermöglichen. Keine weiteren Kalenderinhalte werden gespeichert.

Löschung

Bei Trennung der Google Calendar-Integration werden die OAuth-Token sofort aus der Datenbank gelöscht und bei Google widerrufen. Die E-Mail-Adresse und die Ereignis-IDs verbleiben im Nutzerkonto. Bei vollständiger Kontolöschung werden alle Google-Integrationsdaten unwiderruflich gelöscht.

Weitergabe

Google-Nutzerdaten werden nicht an Dritte verkauft, weitergegeben oder übermittelt. Sie werden nicht für Werbung, Tracking, Analyse oder das Training von KI-Modellen verwendet. Mitarbeiter von orain.ai greifen nicht auf Google-Nutzerdaten zu, es sei denn, der Nutzer fordert dies ausdrücklich für Supportzwecke an.

Einhaltung der Google API-Richtlinien

Die Nutzung von Google-Nutzerdaten durch orain.ai erfolgt gemäß der Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use). Google-Kalenderdaten werden ausschließlich zur Bereitstellung der dem Nutzer angezeigten Funktion verwendet.

Widerruf

Die Google Calendar-Integration kann jederzeit im orain.ai-Dashboard getrennt werden. Die Verbindung kann zusätzlich direkt über die Google-Kontoeinstellungen widerrufen werden.

Datenschutzmechanismen für sensible Daten

Wenn Sie Ihr Google-Kalender-Konto mit orain.ai verbinden, setzen wir die folgenden technischen und organisatorischen Maßnahmen zum Schutz dieser Daten ein:

  • Verschlüsselung im Ruhezustand: Google OAuth-Zugriffs- und Aktualisierungstoken werden mit AES-256-GCM verschlüsselt, bevor sie in unserer Datenbank gespeichert werden. Die Verschlüsselungsschlüssel werden mittels PBKDF2 mit 100.000 Iterationen abgeleitet und niemals zusammen mit den verschlüsselten Daten gespeichert.
  • Verschlüsselung bei der Übertragung: Die gesamte Kommunikation zwischen orain.ai, unseren Servern und den Google-APIs erfolgt verschlüsselt über TLS (HTTPS).
  • Zugriffskontrolle: OAuth-Token und Kalenderdaten sind ausschließlich für das authentifizierte Benutzerkonto und unsere Backend-Dienste zugänglich. Kein anderer Nutzer und kein Dritter kann auf diese Daten zugreifen.
  • Minimaler Umfang: Wir fordern nur die minimal notwendigen Google-Kalender-Berechtigungen an (Verfügbarkeit lesen, von Ihnen erstellte Termine verwalten sowie Ihre grundlegende Konto-E-Mail-Adresse) — wir können keine von anderen erstellten Termine lesen, ändern oder löschen.
  • Datenspeicherung: Kalender-Token werden nur gespeichert, solange Ihre Google-Kalender-Integration aktiv ist. Wenn Sie Ihren Google-Kalender trennen, werden Ihre Zugriffs- und Aktualisierungstoken sofort und endgültig aus unserer Datenbank gelöscht.
  • Kontolöschung: Sie können jederzeit über Ihre Kontoeinstellungen die Löschung Ihres orain.ai-Kontos beantragen. Sobald Ihr Löschantrag bearbeitet wurde, werden alle zugehörigen Google-Integrationsdaten — einschließlich Zugriffs- und Aktualisierungstoken sowie Kalenderzugriffsberechtigungen — endgültig gelöscht.

16. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunft über verarbeitete Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@orain.ai

16a. Daten, die nach Kontolöschung aufbewahrt werden

Das Recht auf Löschung gilt nicht uneingeschränkt. Nach Art. 17 Abs. 3 DSGVO entfällt es, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Folgende Daten werden daher nach Löschung Ihres Kontos für einen begrenzten Zeitraum weiterhin aufbewahrt:

Zahlungsbelege und Transaktionsdaten

Zahlungsdatensätze werden gemäß den handels- und steuerrechtlichen Aufbewahrungspflichten nach deutschem Recht (HGB § 257, AO § 147) für 10 Jahre aufbewahrt. Die Verknüpfung mit Ihrem Nutzerkonto wird bei Kontolöschung aufgehoben; es verbleiben lediglich Transaktions-IDs, Beträge und Buchungsdaten ohne direkten Personenbezug.

Anonymisierter Sicherheitsdatensatz

Zur Betrugsprävention und zur Verteidigung gegen etwaige Rückbuchungsansprüche (Chargebacks) wird ein anonymisierter Datensatz gespeichert, der ausschließlich einen nicht rückführbaren Hash-Wert Ihrer E-Mail-Adresse sowie aggregierte Zahlungs- und Kontoinformationen enthält. Dieser Datensatz enthält keinen Namen, keine E-Mail-Adresse, keine IP-Adresse oder sonstige direkt identifizierende Informationen und wird nach 3 Jahren automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

Löschprotokoll

Im Rahmen unserer Pflichten nach Art. 30 DSGVO (Verarbeitungsverzeichnis) wird ein Nachweis darüber gespeichert, dass und wann Ihr Löschantrag bearbeitet wurde. Dieser Eintrag enthält keine Inhaltsdaten und wird nach 7 Jahren gelöscht.

17. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde für SolidScale Ltd. als zypritisches Unternehmen ist der Commissioner for Personal Data Protection (Cyprus): dataprotection.gov.cy. Alternativ können Sie sich an die Datenschutzbehörde Ihres Wohnsitzlandes wenden.

18. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Juni 2026. Wir behalten uns vor, sie bei Änderungen unserer Dienste oder der gesetzlichen Lage zu aktualisieren. Die jeweils aktuelle Fassung ist unter orain.ai/datenschutz abrufbar.