Auftragsverarbeitung

Gültig ab: 18. Mai 2026.

Anbieter: OniLink UG (haftungsbeschränkt), Nikopoler Str. 35, 01619 Zeithain, Deutschland.

Diese Vereinbarung zur Auftragsverarbeitung gilt, wenn ein Kunde Tsumu nutzt, um personenbezogene Daten in kundenseitig hochgeladenen Workspace-, Quellen-, Notizbuch- oder Chat-Inhalten zu verarbeiten, und der Kunde für diese personenbezogenen Daten als Verantwortlicher handelt.

Diese Vereinbarung zur Auftragsverarbeitung ist Bestandteil der Tsumu-Nutzungsbedingungen für die Verarbeitung, die sie abdeckt.

Diese deutschsprachige gesetzliche Referenzfassung wird bereitgestellt, weil der Betreiber derzeit in Deutschland niedergelassen ist. Sie bedeutet keine gezielte Ansprache, Werbung oder Vermarktung an Verbraucherinnen oder Verbraucher mit gewöhnlichem Aufenthalt in Deutschland.

Fragen zu dieser Vereinbarung zur Auftragsverarbeitung können an support@tsumuapp.com gesendet werden.

OniLink UG (haftungsbeschränkt) ist Verantwortlicher für Kontodaten, Abrechnungsdaten, Support-Datensätze, Sicherheitsdatensätze, Nutzungs- und Berechtigungsdatensätze, Moderationsdatensätze und Produktbetriebsdatensätze.

OniLink UG (haftungsbeschränkt) ist nur für kundenseitig hochgeladene Workspace-, Quellen-, Notizbuch- und Chat-Inhalte Auftragsverarbeiter, soweit der Kunde die personenbezogenen Daten in diesen Inhalten kontrolliert und Tsumu sie zur Bereitstellung des Dienstes verarbeitet.

Wenn Kundeninhalte keine vom Kunden kontrollierten personenbezogenen Daten enthalten, begründet diese Vereinbarung zur Auftragsverarbeitung für diese Inhalte keine Auftragsverarbeiterpflichten.

Gegenstand der Verarbeitung sind Hosting, Speicherung, Indexierung, Quellenverarbeitung, KI-gestützter Abruf, KI-gestützte Generierung, Export, Löschung und Support für Kundeninhalte durch Tsumu.

Die Verarbeitung dauert so lange, wie der Kunde Tsumu nutzt, die betreffenden Inhalte in Tsumu belässt oder Tsumu Unterstützung bei Löschung, Export, Support, Sicherheit oder rechtlichen Pflichten leisten muss.

Nach einer bestätigten gültigen Löschanfrage entfernt Tsumu Auftragsverarbeitungsinhalte unmittelbar aus aktiven Systemen, soweit die betroffene Produktfunktion oder akzeptierte Support-Weisung dies betrifft.

Supabase-Datenbank-Backups können gelöschte Auftragsverarbeitungsinhalte bis zu 7 Tage bis zum automatischen Ablauf enthalten.

Tsumu kann begrenzte interne Prozessnachweise und Verantwortlichen-Datensätze für Konto-, Abrechnungs-, Support-, Lösch-, Export-, Sicherheits-, Rechts- und Berechtigungsprozesse behalten, wie in der Datenschutzerklärung beschrieben. Diese Datensätze bleiben von zurückgegebenen oder gelöschten Auftragsverarbeitungsinhalten getrennt.

Aufbewahrungsfristen von Anbietern können außerdem für KI-API-Missbrauchsüberwachung, Hosting- oder Laufzeitlogs, E-Mail-Zustelldatensätze, Zahlungsdatensätze, Support-Korrespondenz, Backups sowie Sicherheits- oder Audit-Logs nach Anbieterbedingungen und aktiven Kontoeinstellungen gelten.

Tsumu verarbeitet Kundeninhalte, um Projektkontinuitätsfunktionen bereitzustellen, einschließlich Workspace-Organisation, Quellenimport, Notizbuchspeicherung, Chat-Speicherung, Quellenabruf, generiertem Projektkontext, Entscheidungen, Follow-ups, Prüfpunkten, Chat-to-Memory-Extraktion, Memory-Refresh, begrenzter upgrade-ausgelöster Neuverarbeitung oder Prüfung berechtigter Quellen und Chats, Hintergrund-Verdichtung von Projektgedächtnis für berechtigte Pläne, sauberem Kontinuitätsexport, Kontodatenexport, Löschung, Support, Sicherheit, Missbrauchsvermeidung und Fehlerbehebung.

Tsumu nutzt Auftragsverarbeitungsinhalte nicht für Modelltraining, Werbe-Targeting oder nicht damit zusammenhängende Produktanalysen.

Tsumu aktiviert nicht bewusst eine Nutzung von Auftragsverarbeitungsinhalten für Modelltraining bei KI-Anbietern. Missbrauchsüberwachung, Sicherheits-, Debugging-, Support-, Rechts- oder Service-Aufbewahrungslogs von KI-Anbietern können dennoch nach Anbieterbedingungen und konfigurierten Kontoeinstellungen gelten.

Tsumu verarbeitet Auftragsverarbeitungsinhalte nicht für verhaltensbasierte Werbung über verschiedene Dienste hinweg und verkauft keine Kunden-Workspace-Daten.

Tsumu nutzt Kunden-Workspace-Inhalte nicht, um ausschließlich automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung über Personen zu treffen.

Kundeninhalte können Namen, Kontaktdaten, Arbeitsinformationen, Meetingnotizen, Interviewnotizen, Kundenfeedback, Projektnotizen, Quelldokumente, Notizbuchtext, Chatnachrichten und andere personenbezogene Daten enthalten, die der Kunde in Tsumu hochlädt oder schreibt.

Tsumu kann aus diesen Eingaben abgeleitete Kontinuitätsdaten erstellen, einschließlich Zusammenfassungen, Entscheidungen, offenen Punkten, Follow-ups, Prüfpunkten, aus Quellen oder Chats extrahierten Memory-Datensätzen, Quellenausschnitten, Embeddings oder Verarbeitungsmetadaten, Modell-/Versionsmetadaten und sonstigen Servicemetadaten, die für Kontinuitätsfunktionen erforderlich sind.

Betroffene Personen können Nutzer, Personal, Auftragnehmer, Mandanten, Kunden, Interessenten, Interviewpartner, Meetingteilnehmer, Mitwirkende oder andere Personen sein, die in Kundeninhalten erwähnt werden.

Kunden dürfen keine Inhalte mit personenbezogenen Daten anderer Personen hochladen, schreiben, importieren oder erzeugen lassen, sofern sie dafür keine Einwilligung, Berechtigung oder andere Rechtsgrundlage für die Verarbeitung über Tsumu und seine Anbieter haben.

Kunden sollten keine Passwörter, Secrets, Zahlungskartennummern, Ausweisdaten, regulierte Gesundheitsdaten, Kinderdaten oder andere hochsensible Daten hochladen, sofern keine klare Rechtsgrundlage und ausdrückliche Freigabe für die Verarbeitung über Tsumu und seine Anbieter besteht.

Dokumentierte Weisungen des Kunden sind die Tsumu-Nutzungsbedingungen, diese Vereinbarung zur Auftragsverarbeitung, Produkteinstellungen und Produktfunktionen, Support-Anfragen, Lösch- oder Exportanfragen sowie andere schriftliche Weisungen, die Tsumu akzeptiert.

Veröffentlichte Datenschutz-, Unterauftragsverarbeiter-, Support- und FAQ-Materialien können verfügbare Funktionen und Verarbeitungspraktiken erklären, erweitern aber die dokumentierten Weisungen des Kunden nicht, sofern sie nicht in die Nutzungsbedingungen, diese Vereinbarung, Produktfunktionen oder eine von Tsumu akzeptierte schriftliche Weisung einbezogen werden.

Tsumu verarbeitet Auftragsverarbeitungsinhalte nur, um den Dienst bereitzustellen, zu sichern, zu unterstützen, zu warten, Fehler zu beheben und zu betreiben, oder soweit geltendes Recht dies verlangt.

Der Kunde ist dafür verantwortlich, dass er die erforderliche Rechtsgrundlage, Hinweise, Berechtigungen und Befugnisse hat, um personenbezogene Daten über Tsumu hochzuladen oder verarbeiten zu lassen.

Wenn Tsumu der Ansicht ist, dass eine Kundenweisung gegen geltendes Datenschutzrecht verstößt, kann Tsumu die Weisung aussetzen und den Kunden benachrichtigen, soweit dies angemessen ist.

Zum Start ist direkter menschlicher Admin-, Support- und Datenbankzugriff auf Kundeninhalte auf die Inhaberin oder den Inhaber von Tsumu beschränkt.

Bevor Tsumu Personal oder Auftragnehmer mit direktem menschlichem Zugriff auf Auftragsverarbeitungsinhalte hinzufügt, verlangt Tsumu angemessene Vertraulichkeitspflichten.

Tsumu beschränkt Zugriff auf Auftragsverarbeitungsinhalte auf Personal, Auftragnehmer und Anbieter, die Zugriff für Dienstbereitstellung, Support, Sicherheit, rechtliche oder betriebliche Zwecke benötigen und Vertraulichkeitspflichten unterliegen.

Tsumu unterhält technische und organisatorische Maßnahmen zum Schutz von Auftragsverarbeitungsinhalten, einschließlich gehosteter Authentifizierung, Zugriffskontrollen, beschränkter Admin-Zugangsdaten, Authentifizierungskontrollen für Admin-/Anbieterkonten, Rate Limiting, Cloudflare-Turnstile-Sicherheitsprüfungen soweit aktiviert, Logging, anbieterverwalteter Secret-Speicherung und anbieterverwalteter Infrastruktursicherheit.

Tsumu unterstützt Kunden angemessen bei Anfragen betroffener Personen, Löschung, Export, Sicherheit, Reaktion auf Verletzungen des Schutzes personenbezogener Daten und Compliance-Informationen über verfügbare Produktfunktionen und Support-Kanäle.

Tsumu unterstützt angemessen bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden, soweit dies rechtlich erforderlich ist und unmittelbar mit Tsumus Auftragsverarbeiterrolle zusammenhängt.

Tsumu benachrichtigt betroffene Kunden unverzüglich, nachdem Tsumu von einer Verletzung des Schutzes personenbezogener Daten mit Bezug zu Auftragsverarbeitungsinhalten Kenntnis erlangt hat, soweit eine Benachrichtigung gesetzlich erforderlich oder angemessen erforderlich ist, damit der Kunde eigene Pflichten erfüllen kann.

Der Kunde erteilt Tsumu eine allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, die für Bereitstellung, Sicherheit, Support, Abrechnung und Wartung des Dienstes erforderlich sind.

Die Subprocessor-Seite listet Produktionsanbieter, Zwecke, Datenkategorien, rechtliche Referenzlinks und offene Anbieterhinweise.

Tsumu verlangt von Unterauftragsverarbeitern, personenbezogene Daten durch Verträge oder Anbieterbedingungen zu schützen, die der jeweiligen Verarbeitung angemessen sind.

Anbieterrollen können je nach Dienst variieren. Zahlungs-, Infrastruktur-, E-Mail- und KI-Anbieter können begrenzte Konto-, Nutzungs-, Sicherheits-, Betrugs-, Compliance- oder Rechtsdaten nach ihren eigenen Bedingungen verarbeiten, soweit sie für diese Zwecke als Verantwortliche, Service Provider oder eigenständige Anbieter handeln.

Soweit DSGVO-Übermittlungsregeln gelten, stützt sich Tsumu auf einen Angemessenheitsbeschluss, Standardvertragsklauseln oder einen anderen rechtmäßigen Übermittlungsmechanismus.

Fragen oder Einwände zu Unterauftragsverarbeitern können an support@tsumuapp.com gesendet werden.

Kunden können verfügbare Produktfunktionen und Support-Kanäle nutzen, um Kundeninhalte zu exportieren oder zu löschen.

Bei Kontobeendigung oder gültiger Löschanfrage löscht oder gibt Tsumu Auftragsverarbeitungsinhalte aus aktiven Systemen unmittelbar nach Maßgabe verfügbarer Produktfunktionen, akzeptierter Support-Weisungen, rechtlicher Pflichten und betrieblicher Beschränkungen zurück. Supabase-Datenbank-Backups können gelöschte Auftragsverarbeitungsinhalte bis zu 7 Tage bis zum automatischen Ablauf enthalten.

Tsumu stellt angemessene Informationen bereit, die erforderlich sind, um die Einhaltung dieser Vereinbarung zur Auftragsverarbeitung nachzuweisen, vorbehaltlich Vertraulichkeit, Sicherheit, Missbrauchsvermeidung und angemessener Umfangsgrenzen.

Jede Audit- oder Prüfungsanfrage muss angemessen, schriftlich, auf Auftragsverarbeiterpflichten beschränkt und so strukturiert sein, dass keine Daten anderer Nutzer, sicherheitssensiblen Details oder vertraulichen Anbieterinformationen offengelegt werden.

Diese Vereinbarung zur Auftragsverarbeitung macht den Kunden nicht zum Verantwortlichen für Tsumu-Kontodaten, Abrechnungsdaten, Support-Datensätze, Sicherheitslogs, Moderationsdatensätze, Nutzungsdatensätze, Produktberechtigungsdatensätze oder Rechts-Compliance-Datensätze.

OniLink UG (haftungsbeschränkt) verarbeitet diese Datensätze als Verantwortlicher wie in der Datenschutzerklärung beschrieben.

Wenn eine gesonderte schriftliche Vereinbarung dieser Vereinbarung zur Auftragsverarbeitung widerspricht, gilt die gesonderte schriftliche Vereinbarung für den Kunden und die Verarbeitung, die sie ausdrücklich abdeckt.