Clevermation
CleverRouter

Legal

Datenschutzerklärung

Wie wir personenbezogene Daten gemäss DSGVO verarbeiten. Zweisprachig: Deutsch zuerst (verbindlich), englische Übersetzung darunter.

Stand11. Mai 2026 · 11 May 2026

Achtung — Template-Status. Dieses Dokument ist eine für die CleverRouter-MVP generierte Vorlage und wurde nicht von einem deutschen Rechtsanwalt geprüft. Bitte nur als Ausgangspunkt verwenden — vor Go-Live mit zahlenden Kunden zwingend juristische Prüfung einholen.

EN: This is a TEMPLATE generated for the CleverRouter MVP. It has NOT been reviewed by a German lawyer. Use only as starting point — get a real legal review before going live with paying customers.

1. Verantwortlicher / Controller

DE

Verantwortlich im Sinne der DSGVO ist:
Clevermation GmbH, [PLACEHOLDER — Adresse], Deutschland.
E-Mail: privacy@clevermation.com

EN

The controller within the meaning of the GDPR is Clevermation GmbH, [PLACEHOLDER — address], Germany. Email: privacy@clevermation.com.

2. Erhobene Daten / Data we collect

DE

Wir verarbeiten nur Daten, die für den Betrieb des Gateways zwingend erforderlich sind:

  • Account-Daten: E-Mail-Adresse, Name (optional), Passwort-Hash, ggf. Stripe-Customer-ID
  • API-Metadaten: Zeitstempel, verwendetes Modell, Token-Anzahl (Input/Output), HTTP-Status, Latenz, gekürzter Key-Bezeichner. Keine Prompts, keine Completions, keine Tool-Argumente.
  • IP-Adresse: nur kurzzeitig zur Rate-Limit-Durchsetzung und Missbrauchs-Erkennung. Wir hashen sie sofort und löschen das Klar-Logbuch nach 24h.
  • Billing-Daten: verbrauchte Tokens je Modell, aggregierte Monats-Summen für Rechnungslegung.
EN

We process only data strictly required to operate the gateway:

  • Account data: email, optional name, password hash, Stripe customer ID
  • API metadata: timestamp, model used, token counts, HTTP status, latency, truncated key identifier. No prompts, no completions, no tool arguments stored.
  • IP address: short-term only, for rate-limit enforcement and abuse detection. Hashed on capture; raw log purged after 24h.
  • Billing data: tokens consumed per model, aggregated monthly totals for invoicing.

3. Zwecke & Rechtsgrundlagen / Purposes & legal bases

Zweck / PurposeDaten / DataRechtsgrundlage / Legal basis
Vertragserfüllung — Bereitstellung des GatewaysAccount, API-MetadatenArt. 6 Abs. 1 lit. b DSGVO
Abrechnung & BuchhaltungBilling-Daten, Stripe-IDArt. 6 Abs. 1 lit. b + c (HGB/AO)
Missbrauchs-Schutz, Rate-LimitIP (gehasht), AccountArt. 6 Abs. 1 lit. f (berechtigtes Interesse)
Service-Qualität, Latenz-MonitoringAggregierte MetadatenArt. 6 Abs. 1 lit. f

4. Speicherdauer / Retention periods

DE
  • Account-Daten: bis zur Kontolöschung, danach 30 Tage Backup-Cycle
  • API-Metadaten: 90 Tage in Dashboard, danach aggregiert
  • Billing-Daten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht, § 257 HGB / § 147 AO)
  • IP-Adressen (Klartext): max. 24h
  • Prompts / Completions: nicht gespeichert (Zero Data Retention)
EN
  • Account data: until account deletion, then 30-day backup retention
  • API metadata: 90 days in dashboard, aggregated thereafter
  • Billing data: 10 years (German HGB/AO statutory retention)
  • Raw IP addresses: max 24 hours
  • Prompts / completions: not stored (Zero Data Retention)

5. Empfänger / Recipients

DE

Wir setzen folgende Auftragsverarbeiter ein (Art. 28 DSGVO, alle EU-only):

  • Scaleway SAS, Paris, Frankreich — Hosting & Compute der Gateway-Nodes.
  • Stripe Payments Europe Ltd., Dublin, Irland — Zahlungsabwicklung (Stripe-EU-Datenresidenz).
  • Postmark / SendGrid EU — Transaktions-E-Mails.

Die jeweiligen LLM-Provider (Mistral AI, OpenAI EU-Endpoints, Anthropic EU-Endpoints etc.) sind nicht Auftragsverarbeiter im Verhältnis zu uns — sie sind eigenständige Verantwortliche, an die ausschliesslich der Request-Body weitergegeben wird. Du kannst per Header pro Request bestimmen, welcher Provider angesprochen wird.

EN

We use the following processors under Art. 28 GDPR (all EU-only):

  • Scaleway SAS, Paris, France — hosting and compute of gateway nodes
  • Stripe Payments Europe Ltd., Dublin, Ireland — payment processing (EU data residency)
  • Postmark / SendGrid EU — transactional email

The LLM providers (Mistral AI, OpenAI EU endpoints, Anthropic EU endpoints, etc.) are not processors for us — they are independent controllers receiving only the request body. You choose the provider per request via header.

6. Drittland-Transfers / Third-country transfers

DE

Keine. Sämtliche Verarbeitung erfolgt innerhalb der EU/des EWR. Wir nutzen ausschliesslich EU-Subprozessoren mit EU-Datenresidenz. Wenn du als Kunde Modelle mit US-Endpoints ansprechen möchtest, müssen wir das ausdrücklich konfigurieren — Default ist EU-Pinning.

EN

None. All processing happens inside the EU/EEA. We only use EU sub-processors with EU data residency. If you as a customer want to route to models with US endpoints, this requires explicit opt-in — EU-pinning is the default.

7. Deine Rechte / Your rights

DE

Nach Art. 15–22 DSGVO hast du das Recht auf:

  • Auskunft (Art. 15) — welche Daten wir über dich verarbeiten
  • Berichtigung (Art. 16) — Korrektur unrichtiger Daten
  • Löschung(Art. 17, «Recht auf Vergessenwerden»)
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — strukturierter Export aller Daten
  • Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen
  • Beschwerde bei einer Aufsichtsbehörde, z.B. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Alle Rechte kannst du formlos per E-Mail an privacy@clevermation.com geltend machen. Wir antworten innerhalb von 30 Tagen.

EN

Under Art. 15–22 GDPR you have the right to:

  • Access (Art. 15) — see what data we hold about you
  • Rectification (Art. 16) — correct inaccurate data
  • Erasure (Art. 17, "right to be forgotten")
  • Restriction (Art. 18)
  • Portability (Art. 20) — structured export of your data
  • Objection (Art. 21) against processing based on legitimate interest
  • Lodge a complaint with a supervisory authority — for us, that is the Hamburg Commissioner for Data Protection and Freedom of Information

Send any request informally to privacy@clevermation.com — we respond within 30 days.

8. Cookies

DE

Wir setzen ausschliesslich technisch notwendige Cookies ein (Session-Cookie für die Authentifizierung, CSRF-Token). Kein Tracking, kein Drittanbieter-Cookie, kein Werbe-Pixel. Eine Cookie-Banner-Pflicht besteht damit nicht, wir informieren dennoch hier transparent.

EN

We use only strictly necessary cookies (session cookie for authentication, CSRF token). No tracking, no third-party cookies, no advertising pixels. A consent banner is therefore not legally required — we disclose it here for transparency anyway.

9. Datenschutzbeauftragter / DPO Contact

Aufgrund unserer Grösse sind wir derzeit nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (§ 38 BDSG). Inhaltlich verantwortlich für Datenschutz ist: Theo Thomsen, erreichbar unter privacy@clevermation.com.

EN: Given our size we are not currently required to appoint a DPO (§ 38 BDSG). The person responsible for data protection matters is Theo Thomsen, reachable at privacy@clevermation.com.

10. Änderungen dieser Erklärung / Changes

Wir aktualisieren diese Datenschutzerklärung, wenn sich Verarbeitungen ändern. Wesentliche Änderungen kündigen wir per E-Mail an aktive Account-Inhaber mit 30 Tagen Vorlauf an.

EN: We update this policy when processing changes. Material changes are announced by email to active account holders with 30 days notice.

Fragen zum Vertrag?

Schreib direkt an unsere Legal-Adresse

Custom Addenda, DPA-Reviews, Sub-Processor-Listen — alles über legal@clevermation.com.

legal@clevermation.com

Andere Legal-Dokumente: Impressum · Privacy · Terms · DPA · AVV