Zuletzt aktualisiert: 1. Januar 2026
Diese Auftragsverarbeitungsvereinbarung ("DPA") ist Teil der Nutzungsbedingungen zwischen RouterShift ("Auftragsverarbeiter" oder "wir") und dem Kunden ("Verantwortlicher" oder "Sie"). Dieser DPA regelt die Verarbeitung personenbezogener Daten, die Sie uns durch Ihre Nutzung des RouterShift API-Gateways und verwandter Dienste (die "Dienste") bereitstellen. Dieser DPA gilt, soweit und insoweit RouterShift personenbezogene Daten in Ihrem Namen als Auftragsverarbeiter verarbeitet und wo die DSGVO, UK-DSGVO, CCPA oder andere geltende Datenschutzgesetze Anwendung finden.
"Personenbezogene Daten" bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die von RouterShift in Ihrem Namen im Zusammenhang mit den Diensten verarbeitet werden. "Verarbeitung" bedeutet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, unabhängig davon, ob automatisiert oder nicht. "Unterauftragsverarbeiter" bedeutet jeden Drittanbieter, der von RouterShift beauftragt wird, personenbezogene Daten in Ihrem Namen zu verarbeiten. "Datenschutzgesetze" bedeutet alle geltenden Datenschutz- und Datenschutzgesetze, einschließlich der DSGVO, UK-DSGVO, CCPA und ihrer Durchführungsverordnungen. Großgeschriebene Begriffe, die in diesem DPA nicht definiert sind, haben die in den Nutzungsbedingungen angegebenen Bedeutungen.
RouterShift verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung, Wartung und Verbesserung der API-Gateway-Dienste. Verarbeitungstätigkeiten umfassen: (a) Weiterleitung von API-Anfragen an Drittanbieter-KI-Modellanbieter gemäß Ihren Anweisungen; (b) Protokollierung von API-Anfragen für Debugging, Abrechnung und Missbrauchsverhinderung; (c) Erstellung von Nutzungsanalysen und Abrechnungsdaten; (d) Authentifizierung von API-Schlüsseln und Verwaltung von Benutzerkonten. Die Kategorien verarbeiteter personenbezogener Daten hängen von Ihrer Nutzung der Dienste ab und können umfassen: API-Anfrage-Payloads (die in Prompts eingebettete personenbezogene Daten enthalten können), API-Schlüssel-Bezeichner, E-Mail-Adressen (für Kontoverwaltung), IP-Adressen (für Rate Limiting und Sicherheit) und Zahlungsinformationen (verarbeitet von unserem Zahlungsabwickler, nicht bei uns gespeichert).
Als Verantwortlicher sind Sie verantwortlich für: (a) die Bestimmung der Zwecke und Mittel der Verarbeitung personenbezogener Daten über die Dienste; (b) die Sicherstellung, dass Sie eine rechtmäßige Grundlage für die Verarbeitung aller personenbezogenen Daten haben, die Sie an die Dienste übermitteln, einschließlich der Einholung erforderlicher Einwilligungen; (c) die Bereitstellung angemessener Informationen an betroffene Personen über Ihre Nutzung von RouterShift als Auftragsverarbeiter; (d) die Nichtübermittlung besonderer Kategorien personenbezogener Daten (gemäß DSGVO Artikel 9) oder Daten über strafrechtliche Verurteilungen, es sei denn, dies wurde ausdrücklich schriftlich vereinbart; (e) die Einhaltung Ihrer eigenen Verpflichtungen nach geltenden Datenschutzgesetzen, einschließlich Anfragen zu Betroffenenrechten.
RouterShift wird: (a) personenbezogene Daten nur gemäß Ihren dokumentierten Anweisungen verarbeiten, einschließlich derjenigen in diesem DPA und den Nutzungsbedingungen; (b) sicherstellen, dass zur Verarbeitung personenbezogener Daten autorisierte Personen zur Vertraulichkeit verpflichtet sind; (c) geeignete technische und organisatorische Maßnahmen wie in Abschnitt 6 unserer Datenschutzrichtlinie (Sicherheitsmaßnahmen) beschrieben implementieren und aufrechterhalten; (d) Sie nach Möglichkeit bei der Beantwortung von Anfragen zu Betroffenenrechten unterstützen und alle direkt bei uns eingehenden derartigen Anfragen unverzüglich an Sie weiterleiten; (e) Sie bei der Einhaltung Ihrer Verpflichtungen bezüglich der Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und der vorherigen Konsultation von Aufsichtsbehörden unterstützen, unter Berücksichtigung der Art der Verarbeitung und uns zur Verfügung stehender Informationen; (f) alle personenbezogenen Daten bei Beendigung der Dienste löschen oder an Sie zurückgeben, außer wo die Aufbewahrung nach geltendem Recht erforderlich ist; (g) Ihnen alle zur Nachweisung der Einhaltung dieses DPA erforderlichen Informationen zur Verfügung stellen und Audits, einschließlich Inspektionen, die von Ihnen oder einem von Ihnen beauftragten unabhängigen Prüfer durchgeführt werden, ermöglichen und dazu beitragen (vorbehaltlich angemessener Benachrichtigung, Umfangbeschränkungen und Vertraulichkeit).
Sie autorisieren RouterShift, die folgenden Kategorien von Unterauftragsverarbeitern einzubeziehen: (a) Cloud-Infrastrukturanbieter (für Hosting und Rechenleistung); (b) Drittanbieter-KI-Modellanbieter (an die API-Anfragen im Rahmen der Dienste weitergeleitet werden); (c) Zahlungsabwickler (für Abrechnung und Zahlungen); (d) E-Mail-Dienstanbieter (für transaktionale E-Mails); (e) Überwachungs- und Analyseanbieter. Eine aktuelle Liste der Unterauftragsverarbeiter ist unter routershift.com/subprocessors verfügbar. RouterShift wird Sie über beabsichtigte Änderungen der Unterauftragsverarbeiter durch Aktualisierung dieser Liste informieren. Sie können innerhalb von 14 Tagen nach Benachrichtigung durch Kündigung der Dienste einem neuen Unterauftragsverarbeiter widersprechen. RouterShift schließt mit allen Unterauftragsverarbeitern schriftliche Vereinbarungen ab, die Datenschutzverpflichtungen enthalten, die nicht weniger schützend sind als die in diesem DPA. RouterShift bleibt für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter haftbar.
Personenbezogene Daten können in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder Ihres Aufenthaltslandes übertragen und dort verarbeitet werden. Wenn solche Übertragungen stattfinden, unterliegen sie: (a) von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCCs) (Durchführungsbeschluss 2021/914/EU der Kommission für Übermittlungen in Drittländer); (b) dem UK International Data Transfer Addendum zu den EU-SCCs, wo die UK-DSGVO gilt; und/oder (c) anderen gültigen Übertragungsmechanismen, die nach geltenden Datenschutzgesetzen anerkannt sind. Die SCCs werden durch Verweis in diesen DPA einbezogen. Für die Zwecke der SCCs: Modul Zwei (Verantwortlicher an Auftragsverarbeiter) gilt; die optionale Docking-Klausel ist eingeschlossen; das anwendbare Recht ist irisches Recht; und Streitigkeiten werden von den irischen Gerichten gelöst.
RouterShift bewahrt personenbezogene Daten wie folgt auf: (a) API-Anfrageprotokolle (einschließlich Prompts und Antworten) für 90 Tage, wonach sie aggregiert oder gelöscht werden; (b) Abrechnungs- und Zahlungsdaten für den Zeitraum, der nach geltenden Steuer- und Rechnungslegungsvorschriften erforderlich ist (typischerweise 7 Jahre); (c) Kontoinformationen für die Dauer Ihres Kontos plus 30 Tage nach Kontolöschung, wonach sie anonymisiert oder gelöscht werden. Bei Beendigung löscht RouterShift alle personenbezogenen Daten innerhalb von 30 Tagen, außer wo die Aufbewahrung gesetzlich vorgeschrieben ist. Sie können eine frühere Löschung bestimmter personenbezogener Daten durch Kontaktaufnahme mit privacy@routershift.com beantragen. Die Löschung gilt nicht für Daten, die aggregiert, anonymisiert wurden oder für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.
RouterShift unterhält einen Sicherheitsvorfall-Reaktionsplan. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird RouterShift: (a) Sie unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls benachrichtigen; (b) Ihnen eine Beschreibung der Art des Vorfalls, der betroffenen Kategorien und ungefähren Anzahl betroffener Personen und Datensätze, der wahrscheinlichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls übermitteln; (c) bei der Untersuchung und Eindämmung des Vorfalls mit Ihnen zusammenarbeiten; (d) Sie bei der Benachrichtigung der Aufsichtsbehörden und betroffenen Personen unterstützen, wo erforderlich. Die Benachrichtigung wird an die mit Ihrem Konto verknüpfte E-Mail-Adresse gesendet. Sie sind dafür verantwortlich, diese Kontaktinformationen aktuell zu halten.
Dieser DPA tritt an dem Datum in Kraft, an dem Sie die Nutzungsbedingungen akzeptieren, und läuft bis zur Kündigung Ihres Kontos oder Kündigung des DPA gemäß seinen Bedingungen. Jede Partei kann diesen DPA mit sofortiger Wirkung kündigen, wenn die andere Partei eine wesentliche Verletzung begeht, die nicht innerhalb von 30 Tagen nach schriftlicher Benachrichtigung behoben wird. Bei Kündigung wird RouterShift nach Ihrer Wahl alle personenbezogenen Daten löschen oder an Sie zurückgeben und alle vorhandenen Kopien löschen, es sei denn, die Aufbewahrung ist nach geltendem Recht erforderlich. Die Verpflichtungen in diesem DPA, die ihrer Natur nach die Kündigung überdauern sollten, überdauern, einschließlich Vertraulichkeit, Datensicherheit und Haftungsbeschränkungsbestimmungen.