omega123.ai
Documentation
Legal

© 2026 OSOS/Omega. All rights reserved.

Omega version: 0.1.0

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Osos AI GmbH

Cosimastraße 121, 81925 München, Germany

E-Mail: info@ososomega.com

Vertreten durch: Dr. Hải Vân Lê Jorks

2. Geltungsbereich und Nutzerkreis

(1) Diese Datenschutzerklärung gilt für die Nutzung der webbasierten ALM-Software OSOS/Omega (nachfolgend „die App").

(2) Die App richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB sowie an juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen mit Sitz in einem Mitgliedstaat der Europäischen Union. Eine Nutzung durch Verbraucher (§ 13 BGB) oder aus Drittstaaten ist nicht vorgesehen.

3. Zweck der Datenverarbeitung

Wir verarbeiten personenbezogene Daten zur:

  • Bereitstellung und zum Betrieb der ALM-Software (inkl. Authentifizierung, Rollen- und Rechteverwaltung)
  • Speicherung und Verarbeitung von Anforderungen, Testfällen und damit verbundenen Projektartefakten
  • Bereitstellung KI-gestützter Funktionen (Generierung von Anforderungen, Tests und Traceability-Vorschlägen)
  • Abrechnung und Vertragsverwaltung (Subscription und Boost-Käufe)
  • Sicherstellung des technischen Betriebs, einschließlich Monitoring und Fehlerdiagnose
  • Weiterentwicklung des Produkts (auf Basis aggregierter, nicht personenbezogener Metriken)
  • Erfüllung gesetzlicher Pflichten (z. B. handels- und steuerrechtliche Aufbewahrungspflichten)

4. Art der verarbeiteten Daten

4.1 Beim Besuch der Website ohne Login

  • IP-Adresse, Zeitstempel
  • HTTP-Header, technische Zugriffsdaten (Logfiles)

4.2 Bei registrierten Nutzern (Free Trial und zahlende Companies)

  • E-Mail-Adresse, Name, Rolle innerhalb der Company
  • Authentifizierungsdaten (Token, gehashte Passwörter)
  • Nutzungsdaten innerhalb der App (Zugriffe, Aktionen)
  • Inhaltsdaten: Anforderungen, Spezifikationen, Testfälle, Kommentare und Anhänge, die der Nutzer in die App eingibt oder hochlädt
  • KI-Anfragen und KI-generierte Antworten (Prompts und Responses)
  • AI-Verbrauchs-Metriken (Tokens, Modelle, Kosten)

4.3 Bei zahlenden Kunden zusätzlich

  • Rechnungsadresse, USt-IdNr (sofern angegeben)
  • Stripe-Customer-ID
  • Zahlungsmittel-Token (verwaltet von Stripe; nicht im Klartext bei uns gespeichert)

5. Speicherdauer

Datentyp Aufbewahrung
Account-Stammdaten bis zur Account-Löschung durch den Company Admin oder durch uns nach Vertragsende
Nutzungs- und Audit-Logs bis zur Account-Löschung
Inhalte von KI-Anfragen (Prompts und Responses) 90 Tage ab Aufruf, danach automatische Löschung der Inhalte; reduzierte Metriken (Tokens, Kosten, Modell) bleiben dauerhaft
Reduzierte AI-Verbrauchs-Metriken (ohne Inhalte) dauerhaft, zur Pricing-Kalibrierung und Skalierungs-Auswertung
Rechnungs- und Buchhaltungsdaten gemäß handels- und steuerrechtlicher Aufbewahrungspflichten (i. d. R. 10 Jahre)
Logfiles (Zugriffsdaten ohne Login) maximal 30 Tage

Nach Beendigung des Vertrags werden alle Account-Daten innerhalb von 30 Tagen gelöscht. Anonymisierte Aggregat-Metriken können von uns weiter genutzt werden.

6. Hosting und technische Infrastruktur

Die App wird gehostet über:

  • Supabase Inc. als Backend-as-a-Service (Datenbank, Authentifizierung, File-Storage)
  • AWS in der Region eu-central-1 (Frankfurt am Main)

Die Datenverarbeitung erfolgt damit innerhalb der Europäischen Union.

Zusätzlich nutzen wir:

  • Upstash Inc. für schnelle Counter und Sitzungs-Caches (Redis-basiert), Hosting in der EU.

Mit allen Hosting- und Infrastruktur-Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

7. Nutzung externer KI-Dienste

(1) Die App nutzt die API von Mistral AI SAS (Sitz: Frankreich, EU) für KI-gestützte Funktionen.

(2) Bei einer KI-Anfrage werden die für die jeweilige Funktion erforderlichen Eingaben des Nutzers an Mistral übermittelt. Die Übermittlung erfolgt verschlüsselt.

(3) Mistral verarbeitet die übermittelten Inhalte nicht zum Training eigener Modelle. Dies ist vertraglich zugesichert.

(4) Mistral hat seinen Sitz innerhalb der EU; eine Drittstaatenübermittlung findet nicht statt.

Weitere Informationen zur Datenverarbeitung durch Mistral: <https://mistral.ai/terms#privacy-policy>

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an KI-gestützter Funktionalität).

8. Eigene Produktverbesserung

Wir können Nutzungs- und KI-Verbrauchsmetriken in anonymisierter oder pseudonymisierter Form zur Verbesserung unseres Produkts und zur Pricing-Kalibrierung verwenden.

Wir trainieren kein eigenes Large Language Model. Inhalte (Prompts, Responses) werden nicht zu Trainingszwecken verwendet.

9. Zahlungsabwicklung

Für die Abrechnung der Subscription und der Boost-Käufe nutzen wir Stripe Payments Europe Ltd. (Sitz: Irland, EU).

Bei einem Kauf werden Sie zur Stripe-Checkout-Seite weitergeleitet. Die Zahlungsmittel-Daten werden ausschließlich von Stripe verarbeitet; wir erhalten lediglich Bestätigungen über erfolgreiche Zahlungen sowie eine Referenz (Customer-ID).

Stripe ist PCI-DSS-Level-1-zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Weitere Informationen zur Datenverarbeitung durch Stripe: <https://stripe.com/de/privacy>

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Rechtsgrundlagen

Datenverarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, insbesondere an Produktqualität, Sicherheit und Betrugsprävention)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung, insbesondere handels- und steuerrechtliche Aufbewahrungspflichten)

11. Empfänger und Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten erfolgt ausschließlich an folgende Auftragsverarbeiter:

Auftragsverarbeiter Zweck Sitz
Supabase Inc. (auf AWS Frankfurt) Datenbank, Authentifizierung, File-Storage EU
Mistral AI SAS LLM-API für KI-Funktionen Frankreich (EU)
Stripe Payments Europe Ltd. Zahlungsabwicklung Irland (EU)
Upstash Inc. Cache und Counter (Redis) EU

Eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht, sofern keine gesetzliche Verpflichtung besteht.

Eine vollständige und tagesaktuelle Liste der Unterauftragsverarbeiter ist Bestandteil des Auftragsverarbeitungsvertrags (siehe /legal/avv).

12. Auftragsverarbeitungsvertrag (AVV)

Mit zahlenden Kunden schließen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Den Standard-Text finden Sie unter /legal/avv (Deutsch) bzw. /legal/dpa (Englisch).

13. Betroffenenrechte

Betroffene haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Anfragen richten Sie bitte an: info@ososomega.com

Das Beschwerderecht bei einer Aufsichtsbehörde bleibt unberührt. Zuständige Aufsichtsbehörde für unseren Sitz ist:

> Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

> Promenade 18, 91522 Ansbach

> <https://www.lda.bayern.de>

14. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere:

  • Verschlüsselung bei der Übertragung (TLS 1.2+)
  • Verschlüsselung bei der Speicherung (AES-256)
  • Rollenbasierte Zugriffskontrolle und Audit-Logging
  • Mandantentrennung auf Datenbankebene
  • Regelmäßige Sicherheits-Updates und Penetration-Tests

Eine vollständige Beschreibung der Maßnahmen ist Bestandteil des Auftragsverarbeitungsvertrags (Anlage 2).

Trotz aller Sorgfalt kann die Datenübertragung im Internet Sicherheitslücken aufweisen. Ein lückenloser Schutz vor fremdem Zugriff ist nicht möglich.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Verarbeitungstätigkeiten anzupassen. Die jeweils aktuelle Fassung steht auf unserer Website zur Verfügung. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.