Datenschutzerklärung

Stand: 24. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Dänemark
E-Mail: info@aiterm.io
CVR (Dänisches Handelsregister): 46346084

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich, um Ihnen den AITerm-Dienst bereitzustellen und ihn rechts- und betriebssicher zu betreiben.

a) Registrierung und Nutzerkonto

Für die Kontoerstellung erheben wir E-Mail-Adresse, Name und Passwort (als PBKDF2-SHA256-Hash mit Salt gespeichert, niemals im Klartext). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) E-Mail-Verifizierung

Zur Bestätigung der Echtheit Ihrer E-Mail versenden wir einen Verifizierungslink. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

c) Authentifizierung (Login)

Wir setzen ein technisch notwendiges Session-Cookie, um Sie nach dem Login wiederzuerkennen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

d) Betrieb des Dienstes (Connector-Pairing, Maschinenverwaltung)

Wir speichern Hostnamen Ihrer Maschinen, die installierten AI-Backends und Connector-Tokens. Inhalte Ihrer Terminal-Sitzungen werden nicht dauerhaft gespeichert; sie befinden sich ausschließlich flüchtig im RAM für die Dauer der Sitzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

e) Team- und Organisationsfunktionen

Bei Nutzung der Team-Features verarbeiten wir E-Mail-Adressen der eingeladenen Mitglieder. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

f) Server-Logs

Unser Webserver protokolliert IP-Adresse, Zeitstempel, User-Agent und angeforderte URL zur Abwehr von Angriffen und Sicherstellung der Verfügbarkeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

g) Zahlungsabwicklung (kostenpflichtige Pläne)

Für kostenpflichtige Pläne erfolgt die Zahlungsabwicklung über Stripe Payments Europe, Ltd. Wir erhalten nur Status und abstrakte Kennungen, keine Kartendaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3. Welche Daten wir verarbeiten

• Stammdaten: E-Mail, Name, gehashtes Passwort
• Nutzungsdaten: Maschinen-Hostnamen, Pairing-Codes, gescannte AI-Backends, Session-Metadaten (keine Inhalte)
• Technische Daten: IP-Adresse, User-Agent, Zeitstempel (in Logs)
• Kommunikationsdaten: Inhalt von Kontaktanfragen per E-Mail
• Zahlungsdaten: Stripe-Kunden-ID, Abonnement-Status (keine Kartendaten)

4. Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten nur weiter, soweit dies für den Betrieb des Dienstes erforderlich ist und eine Rechtsgrundlage besteht.

Auftragsverarbeiter (Art. 28 DSGVO)

• Hosting-Anbieter: Netcup GmbH, Karlsruhe, Deutschland (Serverstandort EU) (Serverstandort EU) — Serverbetrieb
• Stripe Payments Europe, Ltd. (Irland) — Zahlungsabwicklung (nur bei kostenpflichtigen Plänen)
• E-Mail-Versand: Systemeigener SMTP-Server (kein externer Versanddienstleister)

Mit allen Auftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO geschlossen. Eine Übermittlung in Drittländer außerhalb des EWR findet nicht statt, außer im Rahmen der Stripe-Zahlungsabwicklung, für die Standardvertragsklauseln bestehen.

5. Speicherdauer

• Kontodaten: bis zur Löschung des Kontos, anschließend bis zu 6 Monate in Backup-Systemen
• Server-Logs: maximal 14 Tage, anschließend automatische Löschung
• E-Mail-Verifizierungs-Token: bis zur Bestätigung oder 24 Stunden
• Pairing-Codes: bis zur Bestätigung oder 1 Stunde
• Session-Cookies: 24 Stunden
• Terminal-Sitzungsinhalte: flüchtig im RAM, nicht dauerhaft gespeichert
• Rechnungs-/Steuerunterlagen: gesetzliche Aufbewahrungsfrist (in Deutschland 10 Jahre, § 147 AO)

6. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies im Sinne des § 25 Abs. 2 TTDSG. Ein Consent-Banner ist dafür nach Gesetzeslage nicht erforderlich.

• session: speichert Ihre Anmeldung. HttpOnly, SameSite=Lax, Secure, Laufzeit 24 Stunden.
• aiterm-lang (localStorage): speichert Ihre gewählte Sprache. Kein personenbezogener Inhalt.
• aiterm-bash-warned (localStorage): merkt sich, dass Sie den Sicherheitshinweis beim Bash-Session-Start gesehen haben.

Tracking-Cookies, Analytics-Cookies oder Drittanbieter-Cookies setzen wir nicht ein.

Aggregierte Nutzungszaehler

Fuer den operativen Betrieb und die Abwehr automatisierter Angriffe fuehren wir anonyme aggregierte Ereigniszaehler. Diese Zaehler speisen ausschliesslich das interne Admin-Monitoring (Live-Status, Tages-Trends, Anomalie-Erkennung).

Abschliessende Liste der erfassten Ereignistypen — jeder Eintrag enthaelt nur den Namen des Ereignisses, einen Zeitstempel (auf die Minute gerundet) und gegebenenfalls einen kurzen Kategorie-String:

• signup — eine Registrierung wurde angenommen
• signup_blocked — eine Registrierung wurde vom Schutzmechanismus abgelehnt (Grund: honeypot, timegate oder daily_cap)
• login_ok / login_fail — erfolgreicher bzw. fehlgeschlagener Login (Grund: bad_credentials oder unverified)
• login_rate_limited — Login-Versuch wegen Rate-Limit abgewiesen
• verify_visit — ein Verifizierungslink wurde aufgerufen (ggf. auch von Mail-Security-Gateways)
• verify_confirmed — die Verifizierung wurde durch Button-Klick bestaetigt
• pairing_completed — ein Pairing-Vorgang wurde abgeschlossen
• connector_connect, browser_connect — eine Verbindung wurde hergestellt
• session_start — eine AI-Sitzung wurde gestartet, mit dem Backend-Typ als Kategorie (z. B. claude, ollama, codex, gemini)

Ausdruecklich NICHT gespeichert wird — auch nicht verschluesselt, auch nicht gehashed, auch nicht fuer Sekunden zwischengespeichert:

• keine IP-Adresse, kein Proxy-Header, kein Referrer
• keine Benutzer-ID, keine E-Mail-Adresse, kein Benutzername
• kein Hostname der Maschine, kein System-Fingerprint, kein User-Agent
• kein Session-Token, kein Cookie-Wert, kein Pairing-Code
• kein Inhalt von AI-Sitzungen, keine Prompts, keine AI-Antworten
• keine Datei-Inhalte, keine Ordnernamen, keine hochgeladenen Dokumente
• keine Geolocation, keine Zeitzone, keine Device-ID
• keine Verknuepfung eines Ereignisses mit einem konkreten Benutzer (kein Mapping-Table)

Ein einzelner Zaehlereintrag sieht vollstaendig so aus: {"t":1735000000,"e":"session_start","ai":"claude"}. Er laesst keinen Rueckschluss darauf zu, wer wann was getan hat — nur darauf, dass irgendjemand irgendwo eine Claude-Sitzung gestartet hat.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebsueberwachung, Stabilitaet und Abwehr automatisierter Angriffe). Da die Daten anonym sind, fallen sie streng genommen nicht in den Anwendungsbereich der DSGVO; wir nennen sie hier dennoch aus Gruenden der Transparenz. Aufbewahrung: 30 Tage, danach automatische Loeschung. Die vollstaendige Ereignisliste ist in dieser Erklaerung dokumentiert; Aenderungen am Umfang kuendigen wir Bestandskunden per E-Mail an.

Sicherheits-Ereignisprotokoll (getrennt von den anonymen Zaehlern)

Zusaetzlich zum anonymen Pulse-Protokoll fuehren wir ein getrenntes Sicherheits-Ereignisprotokoll, das bei bestaetigten Missbrauchsversuchen die IP-Adresse des Angreifers enthaelt. Dieses Protokoll existiert ausschliesslich, um automatisierte Angriffe per fail2ban temporaer zu blockieren. Es ist strikt vom anonymen Monitoring getrennt und wird niemals mit Benutzerkonten verknuepft.

Was genau in diesem Protokoll landet:

• honeypot_trip — das Anmelde-Formular hat einen Honeypot-Eintrag (unsichtbares Feld, das nur Bots ausfuellen), der bei richtiger Nutzung nie erreicht werden kann
• timegate_violation — das Formular wurde innerhalb von weniger als zwei Sekunden abgeschickt, was technisch nur ein automatisiertes Skript kann
• login_fail — eine Login-Anmeldung mit falschem Passwort (wiederholte Fails fuehren zur Sperre)
• connector_invalid_token — ein ungueltiges Connector-Token wurde am WebSocket-Endpunkt vorgelegt

Format pro Eintrag: Zeitstempel, IP-Adresse, Ereignistyp, optionale Kategorie. Beispiel: 2026-04-24T14:35:01+02:00 203.0.113.45 honeypot_trip.

Was auch hier ausdruecklich NICHT passiert: kein Mapping der IP zu einem Benutzerkonto, keine Verknuepfung mit E-Mail oder Name, keine Speicherung von Passwort-Versuchen, keine Geolocation-Anreicherung, kein Weitergeben an Dritte.

Die IP-Adresse wird ausschliesslich dazu verwendet, wiederholte Missbrauchsversuche automatisch per iptables zu blockieren (fail2ban). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz des Systems vor automatisierten Angriffen). Aufbewahrung: 14 Tage, danach automatische Rotation und Loeschung durch logrotate.

7. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an info@aiterm.io.

8. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist die Behörde Ihres gewöhnlichen Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Sitz des Verantwortlichen: Datatilsynet, Dänemark (datatilsynet.dk) — Sie können sich auch an die Aufsichtsbehörde Ihres eigenen Aufenthaltslandes wenden.

9. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Manipulation und unbefugtem Zugriff zu schützen:

• Transportverschlüsselung mit TLS 1.2+ für alle Verbindungen zum Dienst
• Passwort-Speicherung mit PBKDF2-SHA256 (100.000 Iterationen, individueller Salt)
• Session-Cookies als HttpOnly, Secure, SameSite=Lax
• Rate-Limiting auf Login- und API-Endpunkten gegen Brute-Force
• Ed25519-signierte Software-Updates des Connectors mit SHA-256-Integritätsprüfung
• TLS-Zertifikats-Pinning (TOFU) auf Connector-Ebene
• Regelmäßige Sicherheits-Audits und Abhärtung der Systemd-Services

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Funktionsumfang oder eingesetzte Drittdienste ändern. Das jeweils aktuelle Stand-Datum finden Sie oben. Bei wesentlichen Änderungen informieren wir aktive Nutzerinnen und Nutzer per E-Mail.

Privacy Policy

Last updated: April 24, 2026

1. Controller

The controller in the sense of the General Data Protection Regulation (GDPR) is:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Denmark
Email: info@aiterm.io
CVR (Danish business registration): 46346084

2. Purposes and legal bases of processing

We process personal data solely to provide the AITerm service and to operate it in a legally and technically sound way.

a) Registration and user account

To create your account we collect your email address, name, and password (stored as a PBKDF2-SHA256 hash with individual salt, never in cleartext). Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

b) Email verification

We send a verification link to confirm the authenticity of your email. Legal basis: Art. 6(1)(b) GDPR.

c) Authentication (login)

We set a technically necessary session cookie to recognise you after login. Legal basis: Art. 6(1)(b) GDPR.

d) Service operation (connector pairing, machine management)

We store the hostnames of your machines, installed AI backends, and connector tokens. The contents of your terminal sessions are not persisted; they live in RAM only for the duration of the session. Legal basis: Art. 6(1)(b) GDPR.

e) Team and organisation features

When you use team features, we process the email addresses of invited members. Legal basis: Art. 6(1)(b) GDPR.

f) Server logs

Our web server logs IP address, timestamp, user agent, and requested URL to defend against attacks and ensure availability. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in IT security).

g) Payment processing (paid plans)

For paid plans, payment is processed by Stripe Payments Europe, Ltd. We receive only status and abstract identifiers — never card data. Legal basis: Art. 6(1)(b) GDPR.

3. Data we process

• Account data: email, name, hashed password
• Usage data: machine hostnames, pairing codes, scanned AI backends, session metadata (no contents)
• Technical data: IP address, user agent, timestamps (in logs)
• Communication data: content of email inquiries
• Payment data: Stripe customer ID, subscription status (no card data)

4. Recipients and processors

We share your data only to the extent necessary to operate the service and where a legal basis exists.

Processors (Art. 28 GDPR)

• Hosting provider: Netcup GmbH, Karlsruhe, Germany (server location: EU) (server location: EU) — server operations
• Stripe Payments Europe, Ltd. (Ireland) — payment processing (for paid plans only)
• Email delivery: our own SMTP server (no external delivery service)

We have concluded data processing agreements (Art. 28 GDPR) with all processors. No transfer outside the EEA takes place, except within Stripe's payment flow, for which Standard Contractual Clauses are in place.

5. Retention periods

• Account data: until account deletion, then up to 6 months in backup systems
• Server logs: maximum 14 days, then automatic deletion
• Email verification tokens: until confirmation or 24 hours
• Pairing codes: until confirmation or 1 hour
• Session cookies: 24 hours
• Terminal session contents: transient in RAM, not persisted
• Invoicing / tax records: statutory retention period (in Germany, 10 years per § 147 AO)

6. Cookies

We use only technically necessary cookies. No consent banner is required for these.

• session: stores your authenticated session. HttpOnly, SameSite=Lax, Secure, lifetime 24 hours.
• aiterm-lang (localStorage): remembers your chosen language. No personal content.
• aiterm-bash-warned (localStorage): remembers that you have seen the security note when starting a bash session.

We do not use tracking, analytics, or third-party cookies.

Aggregate usage counters

For operational monitoring and defence against automated attacks we maintain anonymous aggregate event counters. These counters feed only the internal admin monitoring view (live state, daily trends, anomaly detection).

Exhaustive list of event types we record — each entry contains only the event name, a minute-rounded timestamp, and optionally a short category string:

• signup — a registration was accepted
• signup_blocked — a registration was rejected by the protection mechanism (reason: honeypot, timegate, or daily_cap)
• login_ok / login_fail — successful or failed login (reason: bad_credentials or unverified)
• login_rate_limited — login attempt rejected by the rate limiter
• verify_visit — a verification link was fetched (may include automated mail-security gateways)
• verify_confirmed — verification was confirmed by a button click
• pairing_completed — a pairing flow was completed
• connector_connect, browser_connect — a connection was established
• session_start — an AI session was started, with backend type as category (e.g. claude, ollama, codex, gemini)

What we explicitly DO NOT store — not encrypted, not hashed, not even in transient memory:

• no IP address, no proxy header, no referrer
• no user ID, no email address, no username
• no machine hostname, no system fingerprint, no user-agent
• no session token, no cookie value, no pairing code
• no content of AI sessions, no prompts, no AI responses
• no file contents, no folder names, no uploaded documents
• no geolocation, no timezone, no device ID
• no link between an event and a specific user (there is no mapping table)

A single counter entry looks exactly like this: {"t":1735000000,"e":"session_start","ai":"claude"}. It does not allow any conclusion about who did what or when — only that somebody, somewhere, started a Claude session.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in service monitoring, stability, and defence against automated attacks). Because the data is anonymous, it falls outside the strict scope of the GDPR; we document it here for transparency. Retention: 30 days, then automatic deletion. The complete event list is documented in this policy; we will email existing customers before expanding its scope.

Security event log (separate from the anonymous counters)

In addition to the anonymous pulse log we maintain a separate security event log that records the IP address of confirmed abuse attempts. This log exists solely to let fail2ban block automated attacks at the network level. It is strictly separated from the anonymous monitoring and is never linked to user accounts.

Exactly what goes into this log:

• honeypot_trip — the signup form contains a hidden honeypot field that only bots fill; a legitimate user can never trigger it
• timegate_violation — the form was submitted in under two seconds, which technically only an automated script can do
• login_fail — a login attempt with the wrong password (repeated failures trigger a temporary ban)
• connector_invalid_token — an invalid connector token was presented at the WebSocket endpoint

Entry format: timestamp, IP address, event type, optional category. Example: 2026-04-24T14:35:01+02:00 203.0.113.45 honeypot_trip.

What explicitly does NOT happen here either: no mapping of IP to a user account, no link to email or name, no storage of password attempts, no geolocation enrichment, no sharing with third parties.

The IP address is used solely to automatically block repeated abuse attempts via iptables (fail2ban). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in protecting the system against automated attacks). Retention: 14 days, then automatic rotation and deletion by logrotate.

7. Your rights

Under the GDPR you have the following rights:

• Access to the data we hold about you (Art. 15 GDPR)
• Rectification of inaccurate data (Art. 16 GDPR)
• Erasure of your data (Art. 17 GDPR)
• Restriction of processing (Art. 18 GDPR)
• Data portability in a structured, machine-readable format (Art. 20 GDPR)
• Objection to processing based on legitimate interest (Art. 21 GDPR)
• Withdrawal of consent, effective for the future (Art. 7(3) GDPR)

To exercise any of these rights, send an informal email to info@aiterm.io.

8. Right to lodge a complaint

You have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR). You may contact the authority of your usual residence, place of work, or the location of the alleged infringement. For the controller: Datatilsynet, Denmark (datatilsynet.dk) — you may also contact the authority of your own country of residence.

9. Security

We employ technical and organisational measures to protect your data from loss, manipulation, and unauthorised access:

• TLS 1.2+ transport encryption for all connections to the service
• Password storage with PBKDF2-SHA256 (100,000 iterations, individual salt)
• Session cookies set as HttpOnly, Secure, SameSite=Lax
• Rate limiting on login and API endpoints against brute force
• Ed25519-signed software updates of the connector with SHA-256 integrity checks
• TLS certificate pinning (TOFU) at the connector
• Regular security audits and systemd-level hardening

10. Changes to this policy

We update this privacy policy when the legal situation, feature set, or third-party services change. The current date is shown at the top. For material changes we notify active users by email.

Privatlivspolitik

Senest opdateret: 24. april 2026

1. Dataansvarlig

Dataansvarlig i henhold til databeskyttelsesforordningen (GDPR) er:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Danmark
E-mail: info@aiterm.io
CVR: 46346084

2. Formål og retsgrundlag for behandlingen

Vi behandler personoplysninger udelukkende for at levere AITerm-tjenesten og drive den på en retligt og teknisk forsvarlig måde.

a) Registrering og brugerkonto

For at oprette din konto indsamler vi e-mail, navn og adgangskode (gemt som PBKDF2-SHA256-hash med individuelt salt, aldrig i klartekst). Retsgrundlag: Art. 6, stk. 1, litra b GDPR (opfyldelse af aftale).

b) E-mail-bekræftelse

Vi sender et bekræftelseslink for at verificere ægtheden af din e-mail. Retsgrundlag: Art. 6, stk. 1, litra b GDPR.

c) Autentificering (login)

Vi sætter en teknisk nødvendig session-cookie for at genkende dig efter login. Retsgrundlag: Art. 6, stk. 1, litra b GDPR.

d) Drift af tjenesten

Vi gemmer værtsnavne på dine maskiner, installerede AI-backends og connector-tokens. Indholdet af dine terminal-sessioner gemmes ikke permanent; det findes kun flygtigt i RAM. Retsgrundlag: Art. 6, stk. 1, litra b GDPR.

e) Team-funktioner

Ved brug af team-funktioner behandler vi e-mailadresser på inviterede medlemmer. Retsgrundlag: Art. 6, stk. 1, litra b GDPR.

f) Server-logs

Vores webserver logger IP-adresse, tidsstempel, user agent og anmodede URL for at forhindre angreb og sikre tilgængelighed. Retsgrundlag: Art. 6, stk. 1, litra f GDPR (legitim interesse i IT-sikkerhed).

g) Betalingsbehandling

For betalte abonnementer håndteres betalingen af Stripe Payments Europe, Ltd. Vi modtager kun status og abstrakte identifikatorer — aldrig kortdata. Retsgrundlag: Art. 6, stk. 1, litra b GDPR.

3. Hvilke data vi behandler

• Kontodata: e-mail, navn, hashet adgangskode
• Brugsdata: maskinnavne, pairing-koder, scannede AI-backends, session-metadata (ingen indhold)
• Tekniske data: IP-adresse, user agent, tidsstempler (i logs)
• Kommunikationsdata: indhold af e-mail-henvendelser
• Betalingsdata: Stripe-kunde-ID, abonnementsstatus (ingen kortdata)

4. Modtagere og databehandlere

Vi videregiver dine data kun i det omfang, det er nødvendigt for driften af tjenesten og der er et retsgrundlag.

• Hostingudbyder: Netcup GmbH, Karlsruhe, Germany (server location: EU) (serverlokation: EU)
• Stripe Payments Europe, Ltd. (Irland) — betalingsbehandling
• E-mail-afsendelse: vores egen SMTP-server

Databehandleraftaler (Art. 28 GDPR) er indgået med alle databehandlere. Ingen overførsel uden for EØS finder sted, undtagen inden for Stripes betalingsflow hvor Standardkontraktbestemmelser er på plads.

5. Opbevaringsperiode

• Kontodata: indtil kontoen slettes, derefter op til 6 måneder i backup
• Server-logs: maksimalt 14 dage
• E-mail-bekræftelsestokens: indtil bekræftelse eller 24 timer
• Pairing-koder: indtil bekræftelse eller 1 time
• Session-cookies: 24 timer
• Terminal-sessionsindhold: flygtigt i RAM, ikke gemt
• Faktura-/skatteoptegnelser: lovbestemt opbevaringsperiode

6. Cookies

Vi bruger udelukkende teknisk nødvendige cookies. Der kræves ikke samtykkebanner til disse.

• session: gemmer din login-session. HttpOnly, SameSite=Lax, Secure, levetid 24 timer.
• aiterm-lang (localStorage): husker dit valgte sprog.
• aiterm-bash-warned (localStorage): husker at du har set sikkerhedsadvarslen.

Vi bruger ingen tracking-, analyse- eller tredjepartscookies.

Anonyme anvendelsestaellere

Til driftsovervaagning foerer vi anonyme aggregerede begivenheds-taellere (f.eks. antal connector-forbindelser, antal startede AI-sessioner, antal registreringer, antal fuldfoerte paringer).

Hvad der gemmes: kun begivenhedstypen (en kort streng som signup, connector_connect, session_start) og valgfrit AI-backend-navnet (f.eks. claude, ollama).

Hvad der ikke gemmes: ingen IP-adresse, intet bruger-ID, ingen e-mailadresse, intet sessionsindhold, intet vaertsnavn, intet browser-fingeraftryk, intet token. En enkelt posteringsreferens kan ikke foeres tilbage til en person.

Retsgrundlag: Art. 6, stk. 1, litra f GDPR (legitim interesse i driftsovervaagning). Da dataene er anonyme, falder de strengt taget uden for GDPR's anvendelsesomraade; vi dokumenterer dem her af hensyn til gennemsigtighed. Opbevaring: 30 dage, derefter automatisk sletning.

Fuldstaendig liste over hvilke hændelser vi logger og hvad vi eksplicit ikke gemmer (prompts, AI-svar, IP-adresser, filindhold osv.) findes i den engelske version.

7. Dine rettigheder

• Indsigt i de oplysninger, vi har om dig (Art. 15 GDPR)
• Berigtigelse af urigtige oplysninger (Art. 16 GDPR)
• Sletning af dine oplysninger (Art. 17 GDPR)
• Begrænsning af behandlingen (Art. 18 GDPR)
• Dataportabilitet (Art. 20 GDPR)
• Indsigelse mod behandling baseret på legitim interesse (Art. 21 GDPR)
• Tilbagekaldelse af samtykke med virkning for fremtiden

Send en uformel e-mail til info@aiterm.io for at udøve disse rettigheder.

8. Klageadgang

Du har ret til at klage til en databeskyttelsesmyndighed (Art. 77 GDPR). I Danmark er Datatilsynet (datatilsynet.dk) den kompetente myndighed.

9. Sikkerhed

• TLS 1.2+ transportkryptering for alle forbindelser
• Adgangskoder gemt med PBKDF2-SHA256 (100.000 iterationer, individuelt salt)
• Session-cookies som HttpOnly, Secure, SameSite=Lax
• Rate-limiting på login- og API-endpoints
• Ed25519-signerede software-opdateringer med SHA-256-integritetskontrol
• TLS-certifikat-pinning (TOFU)
• Regelmæssige sikkerhedsrevisioner og systemd-hærdning

10. Ændringer

Vi opdaterer denne privatlivspolitik, når lovgivning, funktionalitet eller tredjepartstjenester ændrer sig. Den aktuelle dato vises øverst. Ved væsentlige ændringer informerer vi aktive brugere via e-mail.

Integritetspolicy

Senast uppdaterad: 24 april 2026

1. Personuppgiftsansvarig

Personuppgiftsansvarig enligt dataskyddsförordningen (GDPR) är:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Danmark
E-post: info@aiterm.io
CVR: 46346084

2. Syften och rättslig grund för behandlingen

Vi behandlar personuppgifter endast för att tillhandahålla AITerm-tjänsten och driva den på ett rättsligt och tekniskt säkert sätt.

a) Registrering och användarkonto

För att skapa ditt konto samlar vi in e-post, namn och lösenord (lagras som PBKDF2-SHA256-hash med individuellt salt, aldrig i klartext). Rättslig grund: Art. 6.1.b GDPR (avtalsuppfyllelse).

b) E-postverifiering

Vi skickar en verifieringslänk för att bekräfta e-postens äkthet. Rättslig grund: Art. 6.1.b GDPR.

c) Autentisering (inloggning)

Vi sätter en tekniskt nödvändig session-cookie för att känna igen dig efter inloggning. Rättslig grund: Art. 6.1.b GDPR.

d) Drift av tjänsten

Vi lagrar värdnamn för dina maskiner, installerade AI-backends och connector-tokens. Innehåll i dina terminal-sessioner lagras inte permanent; det finns endast flyktigt i RAM. Rättslig grund: Art. 6.1.b GDPR.

e) Team-funktioner

Vid användning av team-funktioner behandlar vi e-postadresser till inbjudna medlemmar. Rättslig grund: Art. 6.1.b GDPR.

f) Serverloggar

Vår webbserver loggar IP-adress, tidsstämpel, user agent och begärd URL för att motverka attacker och säkerställa tillgänglighet. Rättslig grund: Art. 6.1.f GDPR (berättigat intresse av IT-säkerhet).

g) Betalningshantering

För betalda abonnemang hanteras betalningen av Stripe Payments Europe, Ltd. Vi mottar endast status och abstrakta identifierare — aldrig kortdata. Rättslig grund: Art. 6.1.b GDPR.

3. Uppgifter vi behandlar

• Kontouppgifter: e-post, namn, hashat lösenord
• Användningsdata: maskinnamn, pairing-koder, skannade AI-backends, sessionsmetadata (inget innehåll)
• Tekniska data: IP-adress, user agent, tidsstämplar (i loggar)
• Kommunikationsdata: innehåll i e-postförfrågningar
• Betalningsdata: Stripe-kund-ID, abonnemangsstatus (inga kortdata)

4. Mottagare och personuppgiftsbiträden

• Hostingleverantör: Netcup GmbH, Karlsruhe, Germany (server location: EU) (serverplats: EU)
• Stripe Payments Europe, Ltd. (Irland) — betalningshantering
• E-postleverans: egen SMTP-server

Personuppgiftsbiträdesavtal (Art. 28 GDPR) har ingåtts med alla biträden. Ingen överföring utanför EES sker, förutom inom Stripes betalflöde där standardavtalsklausuler tillämpas.

5. Lagringstid

• Kontouppgifter: tills kontot raderas, därefter upp till 6 månader i säkerhetskopior
• Serverloggar: maximalt 14 dagar
• E-postverifieringstokens: tills bekräftelse eller 24 timmar
• Pairing-koder: tills bekräftelse eller 1 timme
• Session-cookies: 24 timmar
• Terminal-sessioninnehåll: flyktigt i RAM, ej lagrat
• Faktura-/skattedokument: lagstadgad lagringstid

6. Cookies

Vi använder endast tekniskt nödvändiga cookies. Samtyckesbanner krävs inte för dessa.

• session: lagrar din inloggning. HttpOnly, SameSite=Lax, Secure, livstid 24 timmar.
• aiterm-lang (localStorage): kommer ihåg ditt valda språk.
• aiterm-bash-warned (localStorage): kommer ihåg att du sett säkerhetsvarningen.

Vi använder inga tracking-, analys- eller tredjepartscookies.

Anonyma anvaendningsraeknare

Foer driftsoevervakning foer vi anonyma aggregerade haendelseraeknare (t.ex. antal connector-anslutningar, antal startade AI-sessioner, antal registreringar, antal slutfoerda parningar).

Vad som lagras: endast haendelsetypen (en kort straeng som signup, connector_connect, session_start) och valfritt AI-backend-namnet (t.ex. claude, ollama).

Vad som inte lagras: ingen IP-adress, inget anvaendar-ID, ingen e-postadress, inget sessionsinnehall, inget vaerdnamn, inget webblaesar-fingeravtryck, ingen token. En enskild raeknarpost kan inte kopplas tillbaka till en person.

Raettslig grund: Art. 6.1.f GDPR (beraettigat intresse av driftsoevervakning och servicekvalitet). Eftersom uppgifterna aer anonyma faller de strikt sett utanfoer GDPR:s tillaempningsomraade; vi dokumenterar dem haer foer transparensens skull. Lagring: 30 dagar, daerefter automatisk radering.

Fullstaendig lista oever vilka haendelser vi loggar och vad vi uttryckligen inte sparar (prompts, AI-svar, IP-adresser, filinnehall osv.) finns i den engelska versionen.

7. Dina rättigheter

• Tillgång till de uppgifter vi har om dig (Art. 15 GDPR)
• Rättelse av felaktiga uppgifter (Art. 16 GDPR)
• Radering av dina uppgifter (Art. 17 GDPR)
• Begränsning av behandlingen (Art. 18 GDPR)
• Dataportabilitet (Art. 20 GDPR)
• Invändning mot behandling baserad på berättigat intresse (Art. 21 GDPR)
• Återkallande av samtycke med verkan för framtiden

Skicka ett formlöst e-postmeddelande till info@aiterm.io för att utöva dessa rättigheter.

8. Rätt att lämna klagomål

Du har rätt att lämna in ett klagomål till en dataskyddsmyndighet (Art. 77 GDPR). I Sverige är Integritetsskyddsmyndigheten (imy.se) behörig myndighet.

9. Säkerhet

• TLS 1.2+ för all trafik till tjänsten
• Lösenord lagras med PBKDF2-SHA256 (100 000 iterationer, individuellt salt)
• Session-cookies som HttpOnly, Secure, SameSite=Lax
• Rate-limiting på login- och API-slutpunkter
• Ed25519-signerade programuppdateringar med SHA-256-integritetskontroll
• TLS-certifikatspinning (TOFU)
• Regelbundna säkerhetsrevisioner och systemd-härdning

10. Ändringar

Vi uppdaterar denna policy när lagstiftning, funktioner eller tredjepartstjänster ändras. Aktuellt datum visas överst. Vid väsentliga ändringar informerar vi aktiva användare via e-post.

Personvernerklæring

Sist oppdatert: 24. april 2026

1. Behandlingsansvarlig

Behandlingsansvarlig i henhold til personvernforordningen (GDPR) er:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Danmark
E-post: info@aiterm.io
CVR: 46346084

2. Formål og rettslig grunnlag for behandlingen

Vi behandler personopplysninger utelukkende for å levere AITerm-tjenesten og drive den på en juridisk og teknisk forsvarlig måte.

a) Registrering og brukerkonto

For å opprette kontoen din samler vi inn e-post, navn og passord (lagret som PBKDF2-SHA256-hash med individuelt salt, aldri i klartekst). Rettslig grunnlag: Art. 6 nr. 1 bokstav b GDPR (oppfyllelse av avtale).

b) E-postbekreftelse

Vi sender en bekreftelseslenke for å verifisere ektheten av e-posten din. Rettslig grunnlag: Art. 6 nr. 1 bokstav b GDPR.

c) Autentisering (innlogging)

Vi setter en teknisk nødvendig session-cookie for å gjenkjenne deg etter innlogging. Rettslig grunnlag: Art. 6 nr. 1 bokstav b GDPR.

d) Drift av tjenesten

Vi lagrer vertsnavn på maskinene dine, installerte AI-backends og connector-tokens. Innholdet i terminal-øktene dine lagres ikke permanent; det finnes kun flyktig i RAM. Rettslig grunnlag: Art. 6 nr. 1 bokstav b GDPR.

e) Team-funksjoner

Ved bruk av team-funksjoner behandler vi e-postadresser til inviterte medlemmer. Rettslig grunnlag: Art. 6 nr. 1 bokstav b GDPR.

f) Server-logger

Webserveren vår logger IP-adresse, tidsstempel, user agent og forespurt URL for å motvirke angrep og sikre tilgjengelighet. Rettslig grunnlag: Art. 6 nr. 1 bokstav f GDPR (berettiget interesse av IT-sikkerhet).

g) Betalingshåndtering

For betalte abonnementer håndteres betalingen av Stripe Payments Europe, Ltd. Vi mottar kun status og abstrakte identifikatorer — aldri kortdata. Rettslig grunnlag: Art. 6 nr. 1 bokstav b GDPR.

3. Hvilke data vi behandler

• Kontodata: e-post, navn, hashet passord
• Bruksdata: maskinnavn, pairing-koder, skannede AI-backends, økt-metadata (ikke innhold)
• Tekniske data: IP-adresse, user agent, tidsstempler (i logger)
• Kommunikasjonsdata: innhold i e-posthenvendelser
• Betalingsdata: Stripe-kunde-ID, abonnementsstatus (ingen kortdata)

4. Mottakere og databehandlere

• Hostingleverandør: Netcup GmbH, Karlsruhe, Germany (server location: EU) (serverplassering: EU)
• Stripe Payments Europe, Ltd. (Irland) — betalingshåndtering
• E-postutsending: egen SMTP-server

Databehandleravtaler (Art. 28 GDPR) er inngått med alle databehandlere. Ingen overføring utenfor EØS finner sted, utenom innenfor Stripes betalingsflyt der Standardavtaler er på plass.

5. Lagringstid

• Kontodata: til kontoen slettes, deretter opp til 6 måneder i backup
• Server-logger: maksimalt 14 dager
• E-postbekreftelsestokens: til bekreftelse eller 24 timer
• Pairing-koder: til bekreftelse eller 1 time
• Session-cookies: 24 timer
• Terminal-øktinnhold: flyktig i RAM, ikke lagret
• Faktura-/skattedokumenter: lovbestemt oppbevaringstid

6. Cookies

Vi bruker kun teknisk nødvendige cookies. Samtykke-banner kreves ikke for disse.

• session: lagrer innloggingen din. HttpOnly, SameSite=Lax, Secure, levetid 24 timer.
• aiterm-lang (localStorage): husker språkvalget ditt.
• aiterm-bash-warned (localStorage): husker at du har sett sikkerhetsadvarselen.

Vi bruker ingen tracking-, analyse- eller tredjepartscookies.

Anonyme brukstellere

For driftsovervaaking foerer vi anonyme aggregerte hendelsestellere (f.eks. antall connector-tilkoblinger, antall startede AI-sesjoner, antall registreringer, antall fullfoerte paringer).

Hva som lagres: kun hendelsestypen (en kort streng som signup, connector_connect, session_start) og valgfritt AI-backend-navnet (f.eks. claude, ollama).

Hva som ikke lagres: ingen IP-adresse, ingen bruker-ID, ingen e-postadresse, intet sesjonsinnhold, intet vertsnavn, intet nettleser-fingeravtrykk, ingen token. En enkel tellerfoering kan ikke spores tilbake til en person.

Rettslig grunnlag: Art. 6 nr. 1 bokstav f GDPR (berettiget interesse av driftsovervaaking). Siden dataene er anonyme, faller de strengt tatt utenfor GDPR's anvendelsesomraade; vi dokumenterer dem her for gjennomsiktighetens skyld. Oppbevaring: 30 dager, deretter automatisk sletting.

Fullstendig liste over hvilke hendelser vi logger og hva vi uttrykkelig ikke lagrer (prompts, AI-svar, IP-adresser, filinnhold osv.) finnes i den engelske versjonen.

7. Dine rettigheter

• Innsyn i opplysningene vi har om deg (Art. 15 GDPR)
• Retting av uriktige opplysninger (Art. 16 GDPR)
• Sletting av opplysningene dine (Art. 17 GDPR)
• Begrensning av behandlingen (Art. 18 GDPR)
• Dataportabilitet (Art. 20 GDPR)
• Innsigelse mot behandling basert på berettiget interesse (Art. 21 GDPR)
• Tilbaketrekking av samtykke med virkning for fremtiden

Send en uformell e-post til info@aiterm.io for å utøve disse rettighetene.

8. Klageadgang

Du har rett til å klage til en personvernmyndighet (Art. 77 GDPR). I Norge er Datatilsynet (datatilsynet.no) kompetent myndighet.

9. Sikkerhet

• TLS 1.2+ transportkryptering for all trafikk
• Passord lagret med PBKDF2-SHA256 (100 000 iterasjoner, individuelt salt)
• Session-cookies som HttpOnly, Secure, SameSite=Lax
• Rate-limiting på innlogging- og API-endepunkter
• Ed25519-signerte programvareoppdateringer med SHA-256-integritetskontroll
• TLS-sertifikatpinning (TOFU)
• Regelmessige sikkerhetsrevisjoner og systemd-herding

10. Endringer

Vi oppdaterer denne erklæringen når lovverk, funksjoner eller tredjepartstjenester endres. Aktuell dato vises øverst. Ved vesentlige endringer informerer vi aktive brukere via e-post.

Tietosuojaseloste

Viimeksi päivitetty: 24. huhtikuuta 2026

1. Rekisterinpitäjä

Yleisen tietosuoja-asetuksen (GDPR) mukainen rekisterinpitäjä on:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Tanska
Sähköposti: info@aiterm.io
CVR (Tanskan kaupparekisteri): 46346084

2. Käsittelyn tarkoitukset ja oikeusperusteet

Käsittelemme henkilötietoja ainoastaan AITerm-palvelun tarjoamiseksi ja sen lainmukaiseksi ja teknisesti turvalliseksi pyörittämiseksi.

a) Rekisteröityminen ja käyttäjätili

Tilin luomiseksi keräämme sähköpostin, nimen ja salasanan (tallennetaan PBKDF2-SHA256-tiivisteenä yksilöllisellä suolalla, ei koskaan selkokielisenä). Oikeusperuste: art. 6(1)(b) GDPR (sopimuksen täytäntöönpano).

b) Sähköpostin vahvistaminen

Lähetämme vahvistuslinkin sähköpostin aitouden vahvistamiseksi. Oikeusperuste: art. 6(1)(b) GDPR.

c) Todennus (kirjautuminen)

Asetamme teknisesti välttämättömän istuntoevästeen tunnistaaksemme sinut kirjautumisen jälkeen. Oikeusperuste: art. 6(1)(b) GDPR.

d) Palvelun käyttö

Tallennamme koneidesi isäntänimet, asennetut AI-taustajärjestelmät ja connector-tokenit. Terminaali-istuntojesi sisältöä ei tallenneta pysyvästi; se on ainoastaan hetkellisesti RAM-muistissa. Oikeusperuste: art. 6(1)(b) GDPR.

e) Tiimitoiminnot

Tiimitoimintojen käytössä käsittelemme kutsuttujen jäsenten sähköpostiosoitteita. Oikeusperuste: art. 6(1)(b) GDPR.

f) Palvelinlokit

Palvelimemme kirjaa IP-osoitteen, aikaleiman, user agent -tunnisteen ja pyydetyn URL:n hyökkäysten torjumiseksi ja saatavuuden varmistamiseksi. Oikeusperuste: art. 6(1)(f) GDPR (oikeutettu etu IT-turvallisuuteen).

g) Maksujen käsittely

Maksullisissa tilauksissa maksut käsittelee Stripe Payments Europe, Ltd. Saamme vain tilan ja abstrakteja tunnisteita — emme koskaan korttitietoja. Oikeusperuste: art. 6(1)(b) GDPR.

3. Käsiteltävät tiedot

• Tilitiedot: sähköposti, nimi, tiivistetty salasana
• Käyttötiedot: koneiden isäntänimet, pariutumiskoodit, skannatut AI-taustajärjestelmät, istuntojen metatiedot (ei sisältöä)
• Tekniset tiedot: IP-osoite, user agent, aikaleimat (lokeissa)
• Viestintätiedot: sähköpostitiedustelujen sisältö
• Maksutiedot: Stripe-asiakas-ID, tilauksen tila (ei korttitietoja)

4. Vastaanottajat ja käsittelijät

• Hosting-palveluntarjoaja: Netcup GmbH, Karlsruhe, Germany (server location: EU) (palvelinsijainti: EU)
• Stripe Payments Europe, Ltd. (Irlanti) — maksujen käsittely
• Sähköpostin lähetys: oma SMTP-palvelin

Tietojenkäsittelysopimukset (art. 28 GDPR) on tehty kaikkien käsittelijöiden kanssa. Siirtoja ETA-alueen ulkopuolelle ei tapahdu Stripen maksuvirran vakiosopimuslausekkeita lukuun ottamatta.

5. Säilytysaika

• Tilitiedot: tilin poistoon asti, sen jälkeen enintään 6 kuukautta varmuuskopioissa
• Palvelinlokit: enintään 14 päivää
• Sähköpostivahvistuksen tokenit: vahvistukseen tai 24 tuntiin asti
• Pariutumiskoodit: vahvistukseen tai 1 tuntiin asti
• Istuntoevästeet: 24 tuntia
• Terminaali-istuntojen sisältö: hetkellinen RAM-muistissa, ei tallennettu
• Lasku-/verokirjanpito: lakisääteinen säilytysaika

6. Evästeet

Käytämme ainoastaan teknisesti välttämättömiä evästeitä. Niille ei tarvita suostumusbanneria.

• session: säilyttää kirjautumisesi. HttpOnly, SameSite=Lax, Secure, voimassa 24 tuntia.
• aiterm-lang (localStorage): muistaa valitsemasi kielen.
• aiterm-bash-warned (localStorage): muistaa, että olet nähnyt turvallisuusvaroituksen.

Emme käytä seuranta-, analytiikka- tai kolmannen osapuolen evästeitä.

Anonyymit kaeyttoelaskurit

Palvelun toiminnan seurantaan yllaepidamme anonyymejae koottuja tapahtumalaskureita (esim. connector-yhteyksien maeaerae, AI-istuntojen kaeynnistysten maeaerae, rekisteroitymisten maeaerae, valmiiden paritusten maeaerae).

Mitae tallennetaan: vain tapahtumatyyppi (lyhyt merkkijono kuten signup, connector_connect, session_start) ja valinnaisesti AI-taustajaerestelmaen nimi (esim. claude, ollama).

Mitae ei tallenneta: ei IP-osoitetta, ei kaeyttaejae-ID:tae, ei saehkoepostiosoitetta, ei istunnon sisaeltoeae, ei isaentaenimeae, ei selainsormenjaelkeae, ei tokenia. Yksittaeistae laskurimerkintaeae ei voi yhdistaeae yksittaeiseen henkiloeoen.

Oikeusperuste: art. 6(1)(f) GDPR (oikeutettu etu palvelun seurantaan). Koska tiedot ovat anonyymejae, ne eivaet tiukasti ottaen kuulu GDPR:n soveltamisalaan; dokumentoimme ne taeaellae laepinaekyvyyden vuoksi. Saeilytysaika: 30 paeivaeae, jonka jaelkeen automaattinen poisto.

Taeydellinen lista tallennettavista tapahtumista ja siitae, mitae nimenomaan ei tallenneta (kehoitteet, AI-vastaukset, IP-osoitteet, tiedostojen sisaeltoe jne.), loeytyy englanninkielisestae versiosta.

7. Oikeutesi

• Tiedonsaantioikeus sinusta tallennetuista tiedoista (art. 15 GDPR)
• Oikaisu virheellisiin tietoihin (art. 16 GDPR)
• Poisto tietojesi osalta (art. 17 GDPR)
• Käsittelyn rajoittaminen (art. 18 GDPR)
• Tietojen siirrettävyys (art. 20 GDPR)
• Vastustaminen oikeutettuun etuun perustuvaa käsittelyä (art. 21 GDPR)
• Suostumuksen peruuttaminen tulevaisuuden osalta

Lähetä vapaamuotoinen sähköposti osoitteeseen info@aiterm.io oikeuksien käyttämiseksi.

8. Oikeus tehdä valitus

Sinulla on oikeus tehdä valitus tietosuojavalvontaviranomaiselle (art. 77 GDPR). Suomessa toimivaltainen viranomainen on Tietosuojavaltuutetun toimisto (tietosuoja.fi).

9. Turvallisuus

• TLS 1.2+ -siirtosalaus kaikelle palveluun suuntautuvalle liikenteelle
• Salasanat tallennetaan PBKDF2-SHA256-menetelmällä (100 000 iteraatiota, yksilöllinen suola)
• Istuntoevästeet HttpOnly, Secure, SameSite=Lax
• Rate-limiting kirjautumis- ja API-päätepisteissä
• Ed25519-allekirjoitetut ohjelmistopäivitykset SHA-256-eheystarkistuksella
• TLS-sertifikaattien pinning (TOFU)
• Säännölliset turvallisuusauditoinnit ja systemd-kovennukset

10. Muutokset

Päivitämme tätä selostetta lainsäädännön, toimintojen tai kolmannen osapuolen palvelujen muuttuessa. Ajantasainen päivämäärä näkyy yläosassa. Olennaisista muutoksista ilmoitamme aktiivisille käyttäjille sähköpostitse.

Persónuverndarstefna

Síðast uppfært: 24. apríl 2026

1. Ábyrgðaraðili

Ábyrgðaraðili samkvæmt almennu persónuverndarreglugerðinni (GDPR) er:

Kodeværk Danmark
Manuel Stürz
Tunnelvej 8
6392 Bolderslev
Danmörk
Netfang: info@aiterm.io
CVR (danska fyrirtækjaskrá): 46346084

2. Tilgangur og lagagrundvöllur vinnslunnar

Við vinnum persónuupplýsingar einungis til að veita AITerm-þjónustuna og reka hana á lagalega og tæknilega öruggan hátt.

a) Skráning og notandareikningur

Til að stofna reikninginn þinn söfnum við netfangi, nafni og lykilorði (geymt sem PBKDF2-SHA256-tætigildi með einstaklingsbundnu salti, aldrei á hreinu formi). Lagagrundvöllur: 6. gr. (1)(b) GDPR (efnd samnings).

b) Staðfesting netfangs

Við sendum staðfestingarhlekk til að sannreyna áreiðanleika netfangsins. Lagagrundvöllur: 6. gr. (1)(b) GDPR.

c) Auðkenning (innskráning)

Við setjum tæknilega nauðsynlega lotuköku til að þekkja þig eftir innskráningu. Lagagrundvöllur: 6. gr. (1)(b) GDPR.

d) Rekstur þjónustunnar

Við geymum hýsilheiti véla þinna, uppsett AI-bakenda og connector-tákn. Innihald útstöðvarlota þinna er ekki geymt varanlega; það er aðeins tímabundið í RAM. Lagagrundvöllur: 6. gr. (1)(b) GDPR.

e) Teymisvirkni

Við notkun teymisvirkni vinnum við netföng boðinna meðlima. Lagagrundvöllur: 6. gr. (1)(b) GDPR.

f) Netþjónaskrár

Vefþjónninn okkar skráir IP-tölu, tímastimpil, user agent og umbeðna slóð til að verjast árásum og tryggja aðgengi. Lagagrundvöllur: 6. gr. (1)(f) GDPR (lögmætir hagsmunir af UT-öryggi).

g) Greiðslumeðhöndlun

Í gjaldskyldum áskriftum sér Stripe Payments Europe, Ltd. um greiðsluvinnsluna. Við fáum aðeins stöðu og abstrakt auðkenni — aldrei kortagögn. Lagagrundvöllur: 6. gr. (1)(b) GDPR.

3. Hvaða gögn við vinnum

• Reikningsupplýsingar: netfang, nafn, tætt lykilorð
• Notkunargögn: hýsilheiti véla, pörunarkóðar, skannaðir AI-bakendar, lotu-metagögn (ekkert innihald)
• Tæknileg gögn: IP-tala, user agent, tímastimplar (í skrám)
• Samskiptagögn: innihald fyrirspurna í tölvupósti
• Greiðsluupplýsingar: Stripe-viðskiptamanna-ID, áskriftarstaða (engin kortagögn)

4. Viðtakendur og vinnsluaðilar

• Hýsingaraðili: Netcup GmbH, Karlsruhe, Germany (server location: EU) (staðsetning þjóna: ESB)
• Stripe Payments Europe, Ltd. (Írland) — greiðsluvinnsla
• Sending tölvupósts: okkar eigin SMTP-þjónn

Vinnsluaðilasamningar (28. gr. GDPR) hafa verið gerðir við alla vinnsluaðila. Engir flutningar utan EES eiga sér stað nema innan greiðsluflæðis Stripe þar sem staðlaðir samningsákvæði eru í gildi.

5. Geymslutími

• Reikningsupplýsingar: þar til reikningi er eytt, síðan allt að 6 mánuðir í öryggisafritum
• Netþjónaskrár: að hámarki 14 dagar
• Staðfestingartákn tölvupósts: þar til staðfest eða 24 klst.
• Pörunarkóðar: þar til staðfest eða 1 klst.
• Lotukökur: 24 klst.
• Innihald útstöðvarlota: tímabundið í RAM, ekki geymt
• Reikninga-/skattskjöl: lögbundinn geymslutími

6. Vafrakökur

Við notum aðeins tæknilega nauðsynlegar vafrakökur. Samþykkisborði er ekki nauðsynlegur fyrir þær.

• session: geymir innskráningu þína. HttpOnly, SameSite=Lax, Secure, líftími 24 klst.
• aiterm-lang (localStorage): man valið tungumál.
• aiterm-bash-warned (localStorage): man að þú hefur séð öryggisviðvörunina.

Við notum engar rakninga-, greiningar- eða þriðja-aðila-kökur.

Naflausir notkunartalningar

Til reksturs-eftirlits haldum vidh nafnlausum samantektar-tilvika-teljurum (t.d. fjoldi tenginga connectors, fjoldi upphafinna AI-lota, fjoldi skraninga, fjoldi klaradra porana).

Hvadh er geymt: adheins tilviksgerdin (stutt strengur eins og signup, connector_connect, session_start) og valfrjaalst nafn AI-bakenda (t.d. claude, ollama).

Hvadh er ekki geymt: engin IP-tala, ekkert notenda-ID, ekkert netfang, ekkert setu-innihald, ekkert hysilheiti, ekkert vafrafingraf, ekkert token. Einstoek taelufaersla getur ekki verid tengd vidh einstakling.

Lagagrundvoellur: 6. gr. (1)(f) GDPR (loegmaetir hagsmunir af reksturseftirliti). Thar sem gognin eru naflaus, falla thau strangt tekid utan gildissvids GDPR; vid skraum thau her til gagnsaeis. Geymslutimi: 30 dagar, sidhan sjaalfvirk eyding.

Tæmandi listi yfir atburði sem skraðir eru og það sem vid sérstaklega geymum ekki (boeð til AI, svoer, IP-toelur, innihald skraa osfrv.) er aðgengilegur i ensku útgáfunni.

7. Réttindi þín

• Aðgangsréttur að gögnum um þig (15. gr. GDPR)
• Leiðrétting rangra gagna (16. gr. GDPR)
• Eyðing gagna þinna (17. gr. GDPR)
• Takmörkun vinnslu (18. gr. GDPR)
• Gagnaflytjanleiki (20. gr. GDPR)
• Andmæli gegn vinnslu byggðri á lögmætum hagsmunum (21. gr. GDPR)
• Afturköllun samþykkis með gildi fram í tímann

Sendu óformlegan tölvupóst á info@aiterm.io til að nýta þessi réttindi.

8. Kvörtunarréttur

Þú hefur rétt á að kvarta til persónuverndaryfirvalds (77. gr. GDPR). Á Íslandi er Persónuvernd (personuvernd.is) bært yfirvald.

9. Öryggi

• TLS 1.2+ dulritun á flutningi fyrir allar tengingar við þjónustuna
• Lykilorð geymd með PBKDF2-SHA256 (100.000 endurtekningar, einstaklingsbundið salt)
• Lotukökur sem HttpOnly, Secure, SameSite=Lax
• Hraðatakmörkun á innskráningar- og API-endapunktum
• Ed25519-undirritaðar hugbúnaðaruppfærslur með SHA-256-heilleikaprófun
• TLS-skírteinisfesting (TOFU)
• Reglulegar öryggisúttektir og systemd-herðingar

10. Breytingar

Við uppfærum þessa stefnu þegar lagaumhverfi, virkni eða þjónustur þriðja aðila breytast. Núverandi dagsetning birtist efst. Við verulegar breytingar tilkynnum við virkum notendum í tölvupósti.