1. Verantwortlicher / Controller
Verantwortlich im Sinne der DSGVO ist:
Clevermation GmbH, [PLACEHOLDER — Adresse], Deutschland.
E-Mail: privacy@clevermation.com
The controller within the meaning of the GDPR is Clevermation GmbH, [PLACEHOLDER — address], Germany. Email: privacy@clevermation.com.
2. Erhobene Daten / Data we collect
Wir verarbeiten nur Daten, die für den Betrieb des Gateways zwingend erforderlich sind:
- Account-Daten: E-Mail-Adresse, Name (optional), Passwort-Hash, ggf. Stripe-Customer-ID
- API-Metadaten: Zeitstempel, verwendetes Modell, Token-Anzahl (Input/Output), HTTP-Status, Latenz, gekürzter Key-Bezeichner. Keine Prompts, keine Completions, keine Tool-Argumente.
- IP-Adresse: nur kurzzeitig zur Rate-Limit-Durchsetzung und Missbrauchs-Erkennung. Wir hashen sie sofort und löschen das Klar-Logbuch nach 24h.
- Billing-Daten: verbrauchte Tokens je Modell, aggregierte Monats-Summen für Rechnungslegung.
We process only data strictly required to operate the gateway:
- Account data: email, optional name, password hash, Stripe customer ID
- API metadata: timestamp, model used, token counts, HTTP status, latency, truncated key identifier. No prompts, no completions, no tool arguments stored.
- IP address: short-term only, for rate-limit enforcement and abuse detection. Hashed on capture; raw log purged after 24h.
- Billing data: tokens consumed per model, aggregated monthly totals for invoicing.
3. Zwecke & Rechtsgrundlagen / Purposes & legal bases
| Zweck / Purpose | Daten / Data | Rechtsgrundlage / Legal basis |
|---|---|---|
| Vertragserfüllung — Bereitstellung des Gateways | Account, API-Metadaten | Art. 6 Abs. 1 lit. b DSGVO |
| Abrechnung & Buchhaltung | Billing-Daten, Stripe-ID | Art. 6 Abs. 1 lit. b + c (HGB/AO) |
| Missbrauchs-Schutz, Rate-Limit | IP (gehasht), Account | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
| Service-Qualität, Latenz-Monitoring | Aggregierte Metadaten | Art. 6 Abs. 1 lit. f |
4. Speicherdauer / Retention periods
- Account-Daten: bis zur Kontolöschung, danach 30 Tage Backup-Cycle
- API-Metadaten: 90 Tage in Dashboard, danach aggregiert
- Billing-Daten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht, § 257 HGB / § 147 AO)
- IP-Adressen (Klartext): max. 24h
- Prompts / Completions: nicht gespeichert (Zero Data Retention)
- Account data: until account deletion, then 30-day backup retention
- API metadata: 90 days in dashboard, aggregated thereafter
- Billing data: 10 years (German HGB/AO statutory retention)
- Raw IP addresses: max 24 hours
- Prompts / completions: not stored (Zero Data Retention)
5. Empfänger / Recipients
Wir setzen folgende Auftragsverarbeiter ein (Art. 28 DSGVO, alle EU-only):
- Scaleway SAS, Paris, Frankreich — Hosting & Compute der Gateway-Nodes sowie transaktionaler E-Mail-Versand via Scaleway TEM.
- Tensorix GmbH, Frankfurt, Deutschland — AI-Inference auf Premium-GPU-Cluster (Frontier-Reasoning).
- Amazon Web Services EMEA SARL (Bedrock), Frankfurt/Irland — AI-Inference über Bedrock-EU-Endpoints (Anthropic, Cohere, Amazon Titan). ZDR auf Enterprise-Anfrage.
- Stripe Payments Europe Ltd., Dublin, Irland — Zahlungsabwicklung (Stripe-EU-Datenresidenz).
Die jeweiligen LLM-Provider sind in unserer Setup-Konstellation gleichzeitig Auftragsverarbeiter (Inference auf unsere Weisung). Wir wählen den Provider per Routing-Strategie oder du legst ihn per Header pro Request fest.
We use the following processors under Art. 28 GDPR (all EU-only):
- Scaleway SAS, Paris, France — hosting and compute of gateway nodes, plus transactional email via Scaleway TEM.
- Tensorix GmbH, Frankfurt, Germany — AI inference on premium GPU clusters (frontier reasoning).
- Amazon Web Services EMEA SARL (Bedrock), Frankfurt/Ireland — AI inference via Bedrock EU endpoints (Anthropic, Cohere, Amazon Titan). ZDR available on Enterprise request.
- Stripe Payments Europe Ltd., Dublin, Ireland — payment processing (EU data residency)
The inference providers act as processors on our instructions in this setup. We route to them based on policy, or you pin a provider per request via the X-CleverRouter-Provider header.
6. Drittland-Transfers / Third-country transfers
Keine. Sämtliche Verarbeitung erfolgt innerhalb der EU/des EWR. Wir nutzen ausschließlich EU-Subprozessoren mit EU-Datenresidenz. Wenn du als Kunde Modelle mit US-Endpoints ansprechen möchtest, müssen wir das ausdrücklich konfigurieren — Default ist EU-Pinning.
None. All processing happens inside the EU/EEA. We only use EU sub-processors with EU data residency. If you as a customer want to route to models with US endpoints, this requires explicit opt-in — EU-pinning is the default.
7. Deine Rechte / Your rights
Nach Art. 15–22 DSGVO hast du das Recht auf:
- Auskunft (Art. 15) — welche Daten wir über dich verarbeiten
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung(Art. 17, «Recht auf Vergessenwerden»)
- Einschränkung (Art. 18)
- Datenübertragbarkeit (Art. 20) — strukturierter Export aller Daten
- Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen
- Beschwerde bei einer Aufsichtsbehörde, z.B. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
Alle Rechte kannst du formlos per E-Mail an privacy@clevermation.com geltend machen. Wir antworten innerhalb von 30 Tagen.
Under Art. 15–22 GDPR you have the right to:
- Access (Art. 15) — see what data we hold about you
- Rectification (Art. 16) — correct inaccurate data
- Erasure (Art. 17, "right to be forgotten")
- Restriction (Art. 18)
- Portability (Art. 20) — structured export of your data
- Objection (Art. 21) against processing based on legitimate interest
- Lodge a complaint with a supervisory authority — for us, that is the Hamburg Commissioner for Data Protection and Freedom of Information
Send any request informally to privacy@clevermation.com — we respond within 30 days.
8. Cookies
Wir setzen ausschließlich technisch notwendige Cookies ein (Session-Cookie für die Authentifizierung, CSRF-Token). Kein Tracking, kein Drittanbieter-Cookie, kein Werbe-Pixel. Eine Cookie-Banner-Pflicht besteht damit nicht, wir informieren dennoch hier transparent.
We use only strictly necessary cookies (session cookie for authentication, CSRF token). No tracking, no third-party cookies, no advertising pixels. A consent banner is therefore not legally required — we disclose it here for transparency anyway.
9. Mindestalter / Minimum age
CleverRouter richtet sich ausschließlich an Entwicklerinnen und Entwickler sowie an Geschäftskunden. Mit der Nutzung versichert der Nutzer, mindestens 16 Jahre alt zu sein (Art. 8 DSGVO). Wir verarbeiten wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollte uns ein solcher Account bekannt werden, löschen wir ihn unverzüglich.
CleverRouter is intended for developers and business customers only. By using the service the user warrants to be at least 16 years of age (Art. 8 GDPR). We do not knowingly process personal data of children under 16. If we become aware of such an account we delete it without undue delay.
10. Datenschutzbeauftragter / DPO Contact
Aufgrund unserer Grösse sind wir derzeit nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (§ 38 BDSG). Inhaltlich verantwortlich für Datenschutz ist: Theo Thomsen, erreichbar unter privacy@clevermation.com.
EN: Given our size we are not currently required to appoint a DPO (§ 38 BDSG). The person responsible for data protection matters is Theo Thomsen, reachable at privacy@clevermation.com.
11. Änderungen dieser Erklärung / Changes
Wir aktualisieren diese Datenschutzerklärung, wenn sich Verarbeitungen ändern. Wesentliche Änderungen kündigen wir per E-Mail an aktive Account-Inhaber mit 30 Tagen Vorlauf an.
EN: We update this policy when processing changes. Material changes are announced by email to active account holders with 30 days notice.