[ privacy ]

Datenschutzerklärung

Stand: 2026-05-30.

für den Online-Dienst Oshu (oshu.eu).

Wir freuen uns über Ihr Interesse an unserem Dienst. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Im Folgenden informieren wir Sie ausführlich über den Umgang mit Ihren Daten.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

BeyondSimulations GmbH
Am Eich 9d
22113 Hamburg
Deutschland

E-Mail: oshu@beyondsimulations.com
Telefon: +49 160 9755 8894

Vertreten durch: Dr. Tobias Vlćek (Geschäftsführer)

2. Ansprechpartner für Datenschutz

Sie erreichen unseren Ansprechpartner für Datenschutzfragen unter:

E-Mail: oshu@beyondsimulations.com

Die gesetzlichen Voraussetzungen zur Benennung eines Datenschutzbeauftragten sind derzeit nicht erfüllt.

3. Allgemeines zur Datenverarbeitung

3.1 Umfang

Wir erheben und verwenden personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website oder unseres Dienstes sowie unserer Inhalte und Leistungen erforderlich ist oder Sie eingewilligt haben.

3.2 Rechtsgrundlagen

Soweit nicht für die einzelne Verarbeitung anders angegeben, ergibt sich die Rechtsgrundlage aus den folgenden Vorschriften:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
  • Art. 6 Abs. 1 lit. b DSGVO — Vertrag oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

3.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung erfolgt nur, soweit dies durch gesetzliche Aufbewahrungspflichten (insbesondere §§ 147 AO, 257 HGB) vorgesehen ist.

Konkrete Speicherfristen für die einzelnen Verarbeitungstätigkeiten sind in den nachfolgenden Abschnitten genannt.

4. Bereitstellung der Website und Erstellung von Logfiles

4.1 Beschreibung

Bei jedem Aufruf unserer Website erfasst unser System automatisiert technische Daten Ihres Endgeräts. Folgende Daten werden hierbei erhoben:

  • IP-Adresse des anfragenden Geräts,
  • Datum und Uhrzeit der Anfrage,
  • aufgerufene Ressource,
  • HTTP-Status,
  • übertragene Datenmenge,
  • Referrer-URL,
  • User-Agent (Browser und Betriebssystem).

Die Daten werden in den Logfiles unseres Hosting-Anbieters gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten unserer Nutzer findet nicht statt.

4.2 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist die technische Bereitstellung des Dienstes, die Abwehr von Angriffen sowie die Fehleranalyse.

4.3 Speicherdauer

Server-Logfiles werden für maximal 30 Tage gespeichert und danach automatisch gelöscht oder anonymisiert.

5. Hosting

5.1 Hetzner Online GmbH

Wir hosten unseren Dienst bei der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Sämtliche Daten, die wir im Rahmen der Bereitstellung des Dienstes verarbeiten, liegen auf Servern in Rechenzentren in Deutschland (Nürnberg / Falkenstein). Ein Drittlandtransfer findet nicht statt.

Mit der Hetzner Online GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist die zuverlässige und sichere Bereitstellung unseres Dienstes.

6. Account-Registrierung und Nutzung des Dashboards

6.1 Beschreibung

Zur Nutzung unseres kostenpflichtigen oder kostenfreien SaaS-Angebots ist eine Registrierung erforderlich. Wir erheben dabei folgende Pflichtangaben:

  • Name,
  • E-Mail-Adresse,
  • Passwort (ausschließlich als kryptografischer Hash gespeichert).

Zusätzlich werden Sitzungs-Tokens als HttpOnly-Cookies gespeichert, um Sie eingeloggt zu halten. Zwei-Faktor-Authentifizierung (MFA) ist optional und wird empfohlen.

Bei der Nutzung des Dashboards verarbeiten wir darüber hinaus funktionsbezogene Daten, etwa Workspace- und Agentenkonfiguration, hochgeladene Bibliotheksinhalte sowie Chat-Verläufe.

6.2 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertrag).

6.3 Speicherdauer

Account-Daten werden so lange gespeichert, wie ein aktiver Vertrag besteht. Nach Beendigung des Vertrags werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Ziffer 3.3). Sie können Ihren Account jederzeit über das Dashboard löschen.

7. Chat-Inhalte und Bibliotheksdaten

7.1 Beschreibung

Im Rahmen der vertragsgemäßen Nutzung des Dienstes verarbeiten wir folgende Inhalte im Auftrag unserer Kundinnen und Kunden:

  • Chat-Anfragen, die Endnutzer im eingebetteten Widget oder in der Voll-Seiten-Variante stellen,
  • die Antworten der KI-Modelle,
  • Inhalte hochgeladener Wissensbibliotheken (Markdown, PDF) sowie Daten aus per GitHub angebundenen Repositories.

Diese Verarbeitung erfolgt für den jeweiligen Kunden als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Wir sind insoweit Auftragsverarbeiter im Sinne von Art. 28 DSGVO; die Einzelheiten regelt der zwischen den Parteien geschlossene Auftragsverarbeitungsvertrag (AVV).

7.2 KI-Inferenz durch die Mistral AI SAS

Zur Erzeugung der Chat-Antworten und zur Verarbeitung von PDF-Dokumenten (OCR) übermitteln wir die jeweilige Anfrage sowie den Kontext an die API der Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich. Die Mistral-API-Endpunkte, die wir nutzen, werden innerhalb der Europäischen Union betrieben.

Mistral trainiert keine Modelle mit den über die API übermittelten Daten. Mit Mistral besteht ein Auftragsverarbeitungsvertrag.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 28 DSGVO im Verhältnis zum jeweiligen Kunden.

7.3 BYOK ("Bring Your Own Key")

Im Tarif BYOK bringt der Kunde seinen eigenen Mistral-API-Schlüssel mit. In dieser Konstellation übermitteln wir die Anfragen mit dem vom Kunden bereitgestellten Schlüssel an Mistral; Mistral ist insoweit Auftragsverarbeiter des Kunden, nicht Unterauftragsverarbeiter von BeyondSimulations. API-Schlüssel werden mit AES-256-GCM verschlüsselt in unserer Datenbank abgelegt.

7.4 Speicherdauer

Chat-Verläufe werden automatisch nach Ablauf von zwölf Monaten gelöscht. Inhalte aus Bibliotheken werden so lange gespeichert, wie der Kunde sie eingebunden hat. Der Kunde kann seinen Chat-Verlauf und seine Bibliotheken jederzeit über das Dashboard löschen.

8. Embeddable Widget (oshu.eu/widget.js)

8.1 Beschreibung

Kunden binden unser Chat-Widget über ein JavaScript-Snippet auf ihren eigenen Websites ein. Beim Aufruf der Website unserer Kundin oder unseres Kunden lädt der Browser des Endnutzers das Widget-Skript von unserem Server. Hierbei werden technische Verbindungsdaten übertragen (siehe Ziffer 4).

Das Widget speichert kurze, signierte Sitzungs-Cookies auf dem Endgerät des Endnutzers, damit dieser einen begonnenen Chat fortsetzen kann. Es werden keine Cross-Site-Tracking-Cookies und keine Werbe-IDs gesetzt.

8.2 KI-Transparenz

Der Endnutzer wird im Widget darüber informiert, dass er mit einem KI-System interagiert (vgl. Art. 50 EU AI Act, soweit einschlägig).

8.3 Rechtsgrundlage

Im Verhältnis zum Kunden, der das Widget einbettet: Art. 28 DSGVO (Auftragsverarbeitung). Im Verhältnis zum Endnutzer: berechtigtes Interesse des Kunden gemäß Art. 6 Abs. 1 lit. f DSGVO bzw. Vertragsanbahnung gemäß Art. 6 Abs. 1 lit. b DSGVO; die korrekte Information des Endnutzers nach Art. 13 DSGVO obliegt dem Kunden als Website-Betreiber.

9. Cookies

Wir setzen technisch notwendige Cookies, damit der Dienst funktioniert. Im Einzelnen:

  • Sitzungs-Cookies des Authentifizierungs-Frameworks (HttpOnly, Secure, SameSite=Lax), erforderlich für den Login;
  • Workspace-Slug-Cookie zur Auswahl des aktiven Workspaces nach dem Login;
  • Widget-Sitzungs-Cookies (cw_conv_<agent>, cw_conv_session_<agent>), signiert und kurzlebig, damit ein Endnutzer einen begonnenen Chat fortsetzen kann;
  • Layout-Präferenz (sidebar-collapsed) — ausschließlich im Local-Storage des Browsers, kein Server-Versand.

Es werden keine Tracking-, Marketing- oder Drittanbieter-Cookies zur Profilbildung gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies), in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.

10. Reichweitenmessung (Umami, selbstgehostet)

Wir nutzen eine eigene Instanz der Analyse-Software Umami zur anonymisierten Reichweitenmessung auf unserer Website. Umami wird auf Servern der Hetzner Online GmbH in Deutschland betrieben. Es werden keine Cookies gesetzt, keine IP-Adressen gespeichert und keine Cross-Site-Identifikatoren erzeugt. Das Signal "Do Not Track" Ihres Browsers wird respektiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist die statistische Auswertung der Reichweite zur Verbesserung des Angebots.

11. Zahlungsabwicklung und Rechnungsstellung

11.1 Zahlungsdienstleister (Mollie B.V.)

Für die Abwicklung von Zahlungen auf den kostenpflichtigen Tarifen nutzen wir die Mollie B.V., Keizersgracht 313, 1016 EE Amsterdam, Niederlande. Verarbeitet werden die für die jeweils gewählte Zahlungsmethode erforderlichen Zahlungsdaten (z. B. Kartendaten, IBAN), die Rechnungsanschrift, die E-Mail-Adresse für die Zahlungsbestätigung sowie Transaktionsmetadaten.

Kartendaten werden ausschließlich auf der Infrastruktur von Mollie verarbeitet; wir erhalten und speichern keine Kartendaten. Die Verarbeitung findet innerhalb der Europäischen Union statt; ein Drittlandtransfer findet nicht statt. Mit Mollie besteht ein Auftragsverarbeitungsvertrag.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Mollie tritt ausschließlich als Zahlungsdienst- leister auf; Anbieter und Vertragspartner bleibt die BeyondSimulations GmbH.

11.2 Rechnungsstellung (sevDesk GmbH)

Für die Erstellung, den Versand und die Aufbewahrung von Rechnungen nutzen wir die sevDesk GmbH, Hauptstraße 115, 77652 Offenburg, Deutschland. Verarbeitet werden Rechnungsanschrift, ggf. Umsatzsteuer-Identifikationsnummer, Rechnungspositionen, Zahlbetrag, Zahlungsstatus sowie die E-Mail-Adresse für den Rechnungsversand.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der handels- und steuerrechtlichen Aufbewahrungspflicht (§§ 238 ff. HGB, § 14 UStG). Die Verarbeitung findet ausschließlich innerhalb Deutschlands statt. Mit sevDesk besteht ein Auftragsverarbeitungsvertrag.

11.3 Speicherdauer

Zahlungs- und Rechnungsdaten unterliegen den handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu zehn Jahren (§ 257 HGB, § 147 AO). Nach Ablauf dieser Fristen werden die Daten gelöscht.

12. E-Mail-Versand (AhaSend B.V.)

Für den Versand transaktionaler E-Mails (Konto-Verifizierung, Passwort-Rücksetzung, Rechnungsversand, Service-Benachrichtigungen) nutzen wir die AhaSend B.V., Niederlande. Verarbeitet werden die Empfänger-E-Mail-Adresse, der Nachrichteninhalt, Zeitstempel sowie der Zustellstatus.

Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union statt; ein Drittlandtransfer findet nicht statt. Mit AhaSend besteht ein Auftragsverarbeitungsvertrag.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags, insbesondere Versand kontobezogener Pflichtmitteilungen).

13. Empfänger Ihrer Daten

Empfänger im Sinne von Art. 4 Nr. 9 DSGVO sind ausschließlich die unter Ziffern 5, 7.2, 11 und 12 genannten Auftragsverarbeiter (Hetzner Online GmbH, Mistral AI SAS, Mollie B.V., sevDesk GmbH, AhaSend B.V.). Eine vollständige und aktuelle Liste finden Sie in unserer Subprozessor-Übersicht unter /legal/subprocessors bzw. unter https://oshu.eu/legal/subprocessors.

14. Drittlandtransfer

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt ausschließlich innerhalb der Europäischen Union. Es findet kein Transfer in Drittländer statt.

15. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),

  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),

  • Löschung (Art. 17 DSGVO),

  • Einschränkung der Verarbeitung (Art. 18 DSGVO),

  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO),

  • Datenübertragbarkeit (Art. 20 DSGVO),

  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),

  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

    Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel https://www.datenschutzzentrum.de/

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an oshu@beyondsimulations.com.

16. Datensicherheit

Wir verwenden auf unserer Website das verbreitete TLS-Verfahren (Transport Layer Security) in Verbindung mit einer dem aktuellen Stand der Technik entsprechenden Verschlüsselungsstufe für die Übertragung Ihrer Daten. Eine vollständige Beschreibung unserer technischen und organisatorischen Maßnahmen finden Sie als Anlage zum AVV unter /legal/toms.

17. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den oben genannten Stand. Durch die Weiterentwicklung unseres Dienstes oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter https://oshu.eu/legal/privacy abgerufen werden.

Privacy Policy

Non-binding English translation. In case of doubt, the German version above prevails.

for the online service Oshu (oshu.eu).

Thank you for your interest in our service. Protecting your personal data is important to us. The following sections describe in detail how we handle your data.

1. Controller

The controller within the meaning of Art. 4 no. 7 GDPR is:

BeyondSimulations GmbH
Am Eich 9d
22113 Hamburg, Germany

Email: oshu@beyondsimulations.com
Phone: +49 160 9755 8894

Represented by: Dr. Tobias Vlćek (Managing Director)

2. Contact for data protection

You can reach our contact person for data protection at:

Email: oshu@beyondsimulations.com

The statutory conditions for appointing a data protection officer are currently not met.

3. General information on data processing

3.1 Scope

We collect and use personal data of our users in principle only insofar as this is necessary to provide a functional website or our service and our content and services, or where you have consented.

3.2 Legal bases

Unless stated otherwise for an individual processing operation, the legal basis follows from the following provisions:

  • Art. 6 (1) (a) GDPR — consent
  • Art. 6 (1) (b) GDPR — contract or pre-contractual measures
  • Art. 6 (1) (c) GDPR — legal obligation
  • Art. 6 (1) (f) GDPR — legitimate interest

3.3 Data deletion and storage period

Personal data is deleted or blocked as soon as the purpose of storage ceases to apply. Storage beyond that takes place only insofar as it is required by statutory retention obligations (in particular §§ 147 AO, 257 HGB).

Concrete storage periods for individual processing activities are listed in the sections below.

4. Provision of the website and creation of log files

4.1 Description

Each time our website is accessed, our system automatically collects technical data from your device: IP address, date and time of the request, requested resource, HTTP status, data volume transferred, referrer URL, and user agent (browser and operating system). The data is stored in the log files of our hosting provider. Storage of this data together with other personal data of our users does not take place.

4.2 Legal basis

Art. 6 (1) (f) GDPR. The legitimate interest is the technical provision of the service, defence against attacks, and error analysis.

4.3 Storage period

Server log files are stored for a maximum of 30 days and then automatically deleted or anonymised.

5. Hosting

5.1 Hetzner Online GmbH

We host our service with Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Germany. All data we process while providing the service is held on servers in data centres in Germany (Nuremberg / Falkenstein). No third-country transfer takes place.

A data processing agreement under Art. 28 GDPR is in place with Hetzner Online GmbH.

Legal basis: Art. 6 (1) (f) GDPR. The legitimate interest is the reliable and secure provision of our service.

6. Account registration and use of the dashboard

6.1 Description

Use of our paid or free SaaS offering requires registration. We collect the following mandatory information:

  • name,
  • email address,
  • password (stored only as a cryptographic hash).

In addition, session tokens are stored as HttpOnly cookies to keep you signed in. Two-factor authentication (MFA) is optional and recommended.

When using the dashboard, we also process function-related data such as workspace and agent configuration, uploaded library content, and chat histories.

6.2 Legal basis

Art. 6 (1) (b) GDPR (contract).

6.3 Storage period

Account data is stored for as long as an active contract exists. After the end of the contract, the data is deleted unless statutory retention obligations apply (see section 3.3). You can delete your account at any time via the dashboard.

7. Chat content and library data

7.1 Description

In the course of contractual use of the service, we process the following content on behalf of our customers:

  • chat requests submitted by end users in the embedded widget or in the full-page variant,
  • the responses of the AI models,
  • contents of uploaded knowledge libraries (Markdown, PDF) and data from GitHub-connected repositories.

This processing is carried out for the respective customer as controller within the meaning of Art. 4 no. 7 GDPR. We act as processor within the meaning of Art. 28 GDPR; the details are governed by the data processing agreement (DPA) concluded between the parties.

7.2 AI inference by Mistral AI SAS

To generate the chat responses and to process PDF documents (OCR), we transmit the respective request and context to the API of Mistral AI SAS, 15 rue des Halles, 75001 Paris, France. The Mistral API endpoints we use are operated within the European Union.

Mistral does not train any models on data submitted via the API. A data processing agreement is in place with Mistral.

Legal basis: Art. 6 (1) (b) GDPR or Art. 28 GDPR in relation to the respective customer.

7.3 BYOK ("Bring Your Own Key")

On the BYOK plan, the customer brings their own Mistral API key. In that constellation we forward requests using the key provided by the customer; Mistral acts in that case as processor of the customer, not as sub-processor of BeyondSimulations. API keys are stored encrypted in our database using AES-256-GCM.

7.4 Storage period

Chat histories are automatically deleted after twelve months. Library contents are stored for as long as the customer has them configured. The customer can delete their chat history and libraries at any time via the dashboard.

8. Embeddable widget (oshu.eu/widget.js)

8.1 Description

Customers embed our chat widget via a JavaScript snippet on their own websites. When the customer's website is accessed, the end user's browser loads the widget script from our server. Technical connection data is transmitted in the process (see section 4).

The widget stores short, signed session cookies on the end user's device so that the user can resume an ongoing chat. No cross-site tracking cookies and no advertising IDs are set.

8.2 AI transparency

The end user is informed in the widget that they are interacting with an AI system (cf. Art. 50 EU AI Act, where applicable).

8.3 Legal basis

In relation to the customer embedding the widget: Art. 28 GDPR (processing on behalf). In relation to the end user: legitimate interest of the customer under Art. 6 (1) (f) GDPR, or pre-contractual contact under Art. 6 (1) (b) GDPR; correctly informing the end user under Art. 13 GDPR is the responsibility of the customer as website operator.

9. Cookies

We set technically necessary cookies so that the service works. In detail:

  • Session cookies of the authentication framework (HttpOnly, Secure, SameSite=Lax), required for login;
  • Workspace slug cookie to select the active workspace after login;
  • Widget session cookies (cw_conv_<agent>, cw_conv_session_<agent>), signed and short-lived, so that an end user can resume an ongoing chat;
  • Layout preference (sidebar-collapsed) — stored only in the browser's local storage, not sent to the server.

No tracking, marketing, or third-party profiling cookies are set.

Legal basis: § 25 (2) no. 2 TDDDG (strictly necessary cookies), in conjunction with Art. 6 (1) (b) GDPR.

10. Reach measurement (Umami, self-hosted)

We use a self-hosted instance of the Umami analytics software for anonymised reach measurement on our website. Umami runs on Hetzner Online GmbH servers in Germany. No cookies are set, no IP addresses are stored, and no cross-site identifiers are generated. The browser's "Do Not Track" signal is respected.

Legal basis: Art. 6 (1) (f) GDPR. The legitimate interest is the statistical evaluation of reach for improving the offering.

11. Payment processing and invoicing

11.1 Payment service provider (Mollie B.V.)

For processing payments on the paid plans we use Mollie B.V., Keizersgracht 313, 1016 EE Amsterdam, Netherlands. The data processed includes the payment details required for the chosen payment method (e.g. card data, IBAN), the billing address, the email address for the payment confirmation, and transaction metadata.

Card data is processed exclusively on Mollie-controlled infrastructure; we do not receive or store card data. Processing takes place within the European Union; there is no third-country transfer. A data processing agreement with Mollie is on file.

Legal basis: Art. 6 (1) (b) GDPR (performance of the contract). Mollie acts exclusively as the payment service provider; the provider and contracting party remains BeyondSimulations GmbH.

11.2 Invoicing (sevDesk GmbH)

For creating, sending and retaining invoices we use sevDesk GmbH, Hauptstraße 115, 77652 Offenburg, Germany. The data processed includes the billing address, the VAT ID where applicable, invoice line items, amount due, payment status, and the email address used for invoice delivery.

Legal basis: Art. 6 (1) (c) GDPR in conjunction with the German commercial and tax retention obligation (§§ 238 ff. HGB, § 14 UStG). Processing takes place exclusively within Germany. A data processing agreement with sevDesk is on file.

11.3 Storage period

Payment and invoicing data are subject to commercial and tax retention periods of up to ten years (§ 257 HGB, § 147 AO). After those periods expire the data is deleted.

12. Email delivery (AhaSend B.V.)

For sending transactional emails (account verification, password reset, invoice delivery, service notifications) we use AhaSend B.V., Netherlands. The data processed includes the recipient's email address, the message content, timestamps, and the delivery status.

Processing takes place exclusively within the European Union; there is no third-country transfer. A data processing agreement with AhaSend is on file.

Legal basis: Art. 6 (1) (b) GDPR (performance of the contract, in particular sending mandatory account-related notifications).

13. Recipients of your data

Recipients within the meaning of Art. 4 no. 9 GDPR are exclusively the processors named in sections 5, 7.2, 11 and 12 (Hetzner Online GmbH, Mistral AI SAS, Mollie B.V., sevDesk GmbH, AhaSend B.V.). A complete and current list is provided in our sub-processor overview at /legal/subprocessors or at https://oshu.eu/legal/subprocessors.

14. Third-country transfer

The processing of your personal data takes place exclusively within the European Union. No transfer to third countries takes place.

15. Your rights as a data subject

You have the following rights vis-à-vis us with regard to the personal data concerning you:

  • Access to the data stored about you (Art. 15 GDPR),

  • Rectification of inaccurate data (Art. 16 GDPR),

  • Erasure (Art. 17 GDPR),

  • Restriction of processing (Art. 18 GDPR),

  • Objection to processing based on legitimate interests (Art. 21 GDPR),

  • Data portability (Art. 20 GDPR),

  • Withdrawal of consent with effect for the future (Art. 7 (3) GDPR),

  • Complaint to a supervisory authority (Art. 77 GDPR). The supervisory authority competent for us is:

    Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel, Germany https://www.datenschutzzentrum.de/

To exercise your rights, an informal email to oshu@beyondsimulations.com is sufficient.

16. Data security

We use the widespread TLS (Transport Layer Security) procedure in conjunction with an encryption level corresponding to the current state of the art for transmitting your data. A complete description of our technical and organisational measures is published as an annex to the DPA at /legal/toms.

17. Validity and amendments to this privacy policy

This privacy policy is currently valid and has the version date stated at the top. Through the further development of our service or due to changed legal or regulatory requirements, it may become necessary to amend this privacy policy. The current version of the privacy policy is available at https://oshu.eu/legal/privacy.

Downloads
Deutsch (verbindlich) PDF English (translation) PDF