Datenschutzerklärung

Stand: 13. Juni 2026

Kurzfassung: EU-Hosting, kein Werbenetzwerk. Standardmäßig keine Cookies — optionales Google Analytics wird nur nach Ihrer ausdrücklichen Einwilligung geladen. Ihre Inhalte gehören Ihnen — vollständiger Export und vollständige Löschung jederzeit per API.

1. Verantwortlicher

11data (Anschrift folgt)
E-Mail: [email protected]

2. Welche Daten wir verarbeiten

Kontodaten: E-Mail-Adresse, Tarif, Erstellungsdatum.
Inhaltsdaten: Texte, Dateien und Metadaten, die Sie über die API, den Drop oder Konnektoren speichern ("Memories"). Inhalt und Umfang bestimmen Sie.
Nutzungsdaten (cookielos, ohne Einwilligung): beim Besuch der Website nur Pfad, Referrer und Zeitstempel — keine Cookies, keine IP-Speicherung, keine Profile.
Analytics (cookielos, Google Consent Mode): wir nutzen Google Analytics 4 im Consent Mode mit standardmäßig deaktivierten Analyse-Cookies (Speicherung "denied") — kein Cookie-Banner, nur aggregierte, cookielose Messungssignale an Google (USA). Cookiebasiertes Analytics können Sie über „Cookie-Einstellungen" im Footer ausdrücklich aktivieren (jederzeit widerrufbar). Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (cookielose Messung), lit. a (Einwilligung für optionale Cookies).
Zahlungsdaten: werden direkt von Stripe verarbeitet; wir speichern keine Kartendaten.
Technische Protokolle: kurzlebige Server-Logs zur Fehleranalyse (ohne Inhaltsdaten und ohne Geheimnisse).

3. Zwecke und Rechtsgrundlagen

Bereitstellung des Dienstes (Speichern, Suchen, Verarbeiten Ihrer Memories) — Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Sicherheit, Missbrauchsabwehr, aggregierte cookielose Reichweitenmessung — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Abrechnung — Art. 6 Abs. 1 lit. b und c DSGVO.

4. KI-Verarbeitung und Drittlandtransfer

Für die Graph-Memory-Extraktion sowie Audio-Transkription und Bildbeschreibung nutzt RememberOS standardmäßig OpenAI (USA) auf Basis von EU-Standardvertragsklauseln (SCCs). Embeddings werden standardmäßig auf unserem Server in der EU berechnet — dafür verlässt kein Text die Infrastruktur. Sie können die KI-Verarbeitung vollständig auf eigene Infrastruktur verlagern (BYO: eigener S3, eigene Datenbank, eigenes LLM) — dann erhält OpenAI keine Inhaltsdaten.

5. Auftragsverarbeiter / Sub-Prozessoren

Anbieter	Sitz/Region	Zweck
Hetzner Online GmbH	Deutschland	Hosting und Objektspeicher (Dateien)
OpenAI, L.L.C.	USA (SCCs)	Fakten-Extraktion, Transkription, Bildbeschreibung (abwählbar via BYO)
Stripe	Irland/USA	Zahlungsabwicklung
Resend	USA (SCCs)	Transaktions-E-Mails (z. B. Schlüssel-Wiederherstellung)
Cloudflare	global (SCCs)	CDN, TLS, DDoS-Schutz
Google (Analytics)	USA (SCCs)	Reichweitenmessung — nur nach Einwilligung

6. Speicherdauer

Konto- und Inhaltsdaten speichern wir für die Dauer des Kontos. Auf Löschung reagieren wir unverzüglich; Sicherungskopien laufen spätestens nach 30 Tagen aus. Zeitgebundene Memories können automatisch ablaufen (Expiry).

7. Ihre Rechte

Sie haben die Rechte aus Art. 15–21 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch — sowie das Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.

Export (Art. 15/20): GET /v1/memory/admin/export liefert sämtliche Daten Ihres Kontos als JSON-Download.
Löschung (Art. 17): POST /v1/memory/admin/delete-account löscht Konto, Collections, Memories und gespeicherte Dateien unwiderruflich.

8. Sicherheit

Mandantentrennung per Postgres Row-Level-Security (FORCE), API-Schlüssel nur als SHA-256-Hash, Verschlüsselung hinterlegter Zugangsdaten (Fernet), TLS überall, EU-Hosting. Siehe auch die AVV-Vorlage (DPA).

Privacy Policy

Last updated: June 13, 2026

Short version: EU hosting, no ad networks. No cookies by default — optional Google Analytics loads only if you opt in. Your content is yours — full export and full erasure available any time via the API.

1. Controller

11data (address to follow)
Email: [email protected]

2. What we process

Account data: email address, plan, creation date.
Content data: the text, files, and metadata you store via the API, the drop zone, or connectors ("memories"). You decide what goes in.
Usage data (cookieless, no consent needed): website visits record only path, referrer, and a timestamp — no cookies, no IP storage, no profiles.
Analytics (cookieless, Google Consent Mode): we use Google Analytics 4 in Consent Mode with analytics cookies disabled by default (storage "denied") — no cookie banner, only aggregated, cookieless measurement sent to Google (US). You can explicitly enable cookie-based analytics via "Cookie settings" in the footer (revocable any time). Legal bases: Art. 6(1)(f) GDPR (cookieless measurement), 6(1)(a) (consent for optional cookies).
Payment data: handled directly by Stripe; we never store card details.
Technical logs: short-lived server logs for debugging (no content, no secrets).

3. Purposes and legal bases

Providing the service (storing, searching, processing your memories) — Art. 6(1)(b) GDPR (contract).
Security, abuse prevention, aggregate cookieless analytics — Art. 6(1)(f) GDPR (legitimate interest).
Billing — Art. 6(1)(b) and (c) GDPR.

4. AI processing and international transfers

Graph-memory extraction, audio transcription, and image captioning use OpenAI (US) by default, under EU Standard Contractual Clauses. Embeddings are computed on our EU server by default — no text leaves the infrastructure for that step. You can move AI processing entirely onto your own infrastructure (BYO: your S3, your database, your LLM) — then OpenAI receives no content at all.

5. Sub-processors

Provider	Location	Purpose
Hetzner Online GmbH	Germany	Hosting and object storage (files)
OpenAI, L.L.C.	USA (SCCs)	Fact extraction, transcription, captioning (opt out via BYO)
Stripe	Ireland/USA	Payments
Resend	USA (SCCs)	Transactional email (e.g. key recovery)
Cloudflare	global (SCCs)	CDN, TLS, DDoS protection
Google (Analytics)	USA (SCCs)	Audience measurement — only after consent

6. Retention

Account and content data are kept for the life of the account. Deletion requests are honored immediately; backups expire within 30 days. Time-bound memories can expire automatically.

7. Your rights

You have the rights of Art. 15–21 GDPR — access, rectification, erasure, restriction, portability, objection — plus the right to complain to a supervisory authority.

Export (Art. 15/20): GET /v1/memory/admin/export returns everything in your account as a JSON download.
Erasure (Art. 17): POST /v1/memory/admin/delete-account irreversibly deletes the account, collections, memories, and stored files.

8. Security

Tenant isolation via Postgres row-level security (FORCE mode), API keys stored only as SHA-256 hashes, customer credentials encrypted at rest (Fernet), TLS everywhere, EU hosting. See also the DPA template.