Datenschutzerklärung
Inkrafttreten: 2026-04-23 Letzte Aktualisierung: 2026-04-23
Sprachen. Dieses Dokument wird in englischer und spanischer Sprache veröffentlicht; beide Fassungen (Englisch, Spanisch) sind gleichermaßen verbindlich. Die vorliegende Übersetzung dient Informationszwecken und ändert Ihre Rechte oder Pflichten nicht. Zwingende Verbraucherschutzvorschriften Ihres Wohnsitzlands gelten unabhängig von der Sprachfassung.
Diese Datenschutzerklärung beschreibt, wie Overspiral S.L. („Overspiral", „wir") personenbezogene Daten im Zusammenhang mit dem Dienst Overslash (https://overslash.com, https://app.overslash.com — der „Dienst") verarbeitet.
1. Verantwortlicher
- Verantwortlicher: Overspiral S.L.
- Steuernummer (NIF): B27633486
- Geschäftssitz: C/ Fuenterrabía 9, 28014 Madrid, Spanien
- E-Mail: privacy@overslash.com
- Sicherheitskontakt: security@overslash.com
Wenn Sie eine Organisation sind, die Overslash zur Vermittlung des Zugriffs auf eigene Datenquellen (Google Workspace usw.) einsetzt, handelt Overspiral hinsichtlich der in diesen Quellen enthaltenen personenbezogenen Daten als Auftragsverarbeiter, und Sie bleiben Verantwortlicher. Hinsichtlich der nachstehend beschriebenen Konto-, Abrechnungs- und Telemetriedaten des Dienstes ist Overspiral selbst Verantwortlicher.
2. Erhobene Daten
Kontodaten
E-Mail-Adresse, angezeigter Name, Organisation und Authentifizierungskennungen des OAuth-Anbieters, mit dem Sie sich anmelden (Google, GitHub usw.).
Abrechnungsdaten
Bei kostenpflichtigen Plänen: Firmenname, Rechnungsanschrift, USt-IdNr. und Zahlungsmetadaten. Kartendaten werden direkt von unserem Zahlungsdienstleister (Stripe) verarbeitet und gelangen nie auf unsere Server.
Dienst-Telemetrie
Betriebsprotokolle des Dienstes: Zeitstempel, IP-Adressen, User-Agent-Strings, Anfragepfade, Fehlertraces und aggregierte Nutzungszähler. Werden zum Betrieb, zur Sicherung und zur Fehleranalyse des Dienstes verwendet.
Daten verbundener Dienste (wenn Sie Google Workspace usw. anbinden)
Wenn Sie Overslash autorisieren, in Ihrem Namen als Gateway vor einem Drittdienst zu agieren, halten wir die OAuth-Token für diesen Dienst und leiten die von Ihren Agenten gestellten Anfragen über diese Token weiter. Inhalte dieser Anfragen und Antworten werden vorübergehend verarbeitet, um Ihre Richtlinien durchzusetzen und einen Audit-Datensatz zu erzeugen, und werden nicht über das hierfür Erforderliche hinaus aufbewahrt, sofern Sie nicht ausdrücklich eine längere Aufbewahrung aktivieren.
Granularität
Overslash erlaubt Ihnen konstruktionsbedingt, nutzer- und agentenbezogene Berechtigungen zu erteilen, die enger gefasst sind als die Berechtigungsumfänge des zugrunde liegenden Anbieters. Sie können jede Delegation jederzeit über den Dienst widerrufen.
3. Google-API-Dienste — Limited Use
Wenn Sie Google Workspace, Google Docs, Google Drive oder Gmail an Overslash anbinden, erfolgt die Verwendung der von Google-APIs empfangenen Informationen durch Overslash im Einklang mit der Google API Services User Data Policy, einschließlich der Anforderungen an Limited Use.
Im Einzelnen:
- Wir verwenden Google-Nutzerdaten ausschließlich, um die nutzerseitigen Funktionen von Overslash bereitzustellen und zu verbessern, die Sie ausdrücklich autorisiert haben (Vermittlung und Weiterleitung von Aufrufen zwischen Ihren Agenten und dem Google-Dienst).
- Wir verwenden Google-Nutzerdaten nicht zur Entwicklung, Verbesserung oder zum Training generischer KI-/ML-Modelle.
- Wir verkaufen, vermieten oder übertragen Google-Nutzerdaten nicht an Dritte zu Werbezwecken, zur Werbeanpassung oder zu sonstigen, nicht zusammenhängenden Zwecken.
- Wir gestatten keinem Menschen, Google-Nutzerdaten zu lesen, es sei denn: (a) wir haben Ihre ausdrückliche Einwilligung für die konkreten Nachrichten oder Dateien; (b) es ist aus Sicherheitsgründen erforderlich (etwa zur Untersuchung eines Missbrauchs oder eines Fehlers); (c) wir sind dazu nach geltendem Recht verpflichtet; oder (d) die Daten werden aggregiert und für interne Vorgänge in einer Form verwendet, in der einzelne Nutzer nicht identifiziert werden können.
Derzeit fordern wir OAuth-Berechtigungen ausschließlich für Google Workspace, Google Docs, Google Drive und Gmail an, und nur in dem Umfang, der für den von Ihnen aktivierten Konnektor erforderlich ist.
4. Zwecke und Rechtsgrundlagen (DSGVO, Art. 6)
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Dienstes (Konto, Gateway, Audit) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Abrechnung und steuerliche Pflichten | Rechtliche Verpflichtung + Vertragserfüllung |
| Sicherheit, Missbrauchsprävention, Betrugserkennung | Berechtigtes Interesse |
| Verbesserung des Dienstes über aggregierte Telemetrie | Berechtigtes Interesse |
| Marketing-E-Mails (sofern vorhanden) | Einwilligung — Opt-in, widerrufbar |
| Beantwortung rechtmäßiger Anfragen von Behörden | Rechtliche Verpflichtung |
5. Unterauftragsverarbeiter und Dritte
Wir setzen für den Betrieb des Dienstes eine kleine Anzahl von Anbietern ein. Aktuelle Unterauftragsverarbeiter:
- Vercel Inc. — Hosting der Marketingseite und Edge-Hosting (USA/EU).
- Google LLC (Google Cloud) — Hosting von Anwendung und Datenbank (EU-Region).
- Stripe Payments Europe Ltd. — Zahlungsabwicklung (IE / USA).
- Anthropic, PBC — KI-Inferenz für interne Funktionen des Dienstes (USA).
- Google LLC (Google-Workspace-APIs) — wenn Sie Google Workspace, Docs, Drive oder Gmail als Datenquellen anbinden (USA).
Wir setzen derzeit keinen Drittanbieter für den Versand transaktionaler E-Mails ein; System-E-Mails werden direkt aus unserer eigenen Infrastruktur verschickt. Sollten wir einen hinzunehmen, listen wir ihn hier vorab.
Diese Liste kann aktualisiert werden. Wesentliche Änderungen bei Unterauftragsverarbeitern werden hier reflektiert und aktiven Kunden – soweit billigerweise möglich – im Voraus angekündigt.
6. Internationale Übermittlungen
Einige der oben genannten Unterauftragsverarbeiter befinden sich in den Vereinigten Staaten oder übermitteln Daten dorthin. In diesen Fällen erfolgen die Übermittlungen auf der Grundlage der EU-Standardvertragsklauseln und, soweit anwendbar, des Datenschutzrahmens EU–USA (EU–US Data Privacy Framework). Wir setzen ergänzende technische Maßnahmen ein (Verschlüsselung bei Übertragung und Speicherung, Berechtigungsminimierung), um die übermittelten Daten auf das strikt Erforderliche zu beschränken.
7. Speicherdauer
- Kontodaten: solange Ihr Konto aktiv ist, zuzüglich bis zu 12 Monate für eine Reaktivierung; länger, sofern gesetzlich vorgeschrieben (z. B. Rechnungsbelege, in Spanien 6 Jahre).
- Abrechnungsbelege: gemäß den Anforderungen des spanischen Steuerrechts (derzeit 6 Jahre).
- Betriebsprotokolle: 30 bis 90 Tage, danach aggregiert oder gelöscht.
- OAuth-Token verbundener Dienste: bis Sie den Dienst trennen oder Ihr Konto löschen.
- Inhalte von Anfragen/Antworten verbundener Dienste: transient — werden über den Aufruf hinaus nicht aufbewahrt, mit Ausnahme von Audit-Datensätzen (nur Anfrage-Metadaten), die für den von Ihnen konfigurierten Zeitraum aufbewahrt werden.
8. Ihre Rechte
Unabhängig von Ihrem Wohnsitz können Sie an privacy@overslash.com schreiben, um:
- Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten zu verlangen;
- diese berichtigen oder aktualisieren zu lassen;
- diese löschen zu lassen (vorbehaltlich der oben genannten gesetzlichen Aufbewahrungsausnahmen);
- diese in einem maschinenlesbaren Format zu exportieren;
- bestimmten Verarbeitungen zu widersprechen oder sie einschränken zu lassen;
- erteilte Einwilligungen zu widerrufen;
- jeden von Ihnen autorisierten Drittdienst zu trennen.
Wenn Sie im EWR / Vereinigten Königreich ansässig sind, haben Sie zudem das Recht, Beschwerde bei Ihrer Aufsichtsbehörde einzureichen. In Spanien ist dies die Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es. In Deutschland können sich Betroffene zudem an die zuständige Landesdatenschutzbehörde wenden.
9. Kinder
Der Dienst richtet sich nicht an Kinder unter 14 Jahren (Schwelle nach spanischem Recht). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter dieser Altersgrenze. Sollten Sie der Auffassung sein, dass uns ein Kind personenbezogene Daten übermittelt hat, wenden Sie sich bitte an uns, und wir werden die Daten löschen.
10. Cookies und ähnliche Technologien
Die Marketingseite (overslash.com) verwendet ausschließlich strikt erforderlichen lokalen Speicher (Designeinstellung) und keine Tracking-Cookies. Die Anwendung (app.overslash.com) verwendet strikt erforderliche Cookies, um Ihre Anmeldung aufrechtzuerhalten. Wir verwenden derzeit keine Werbe- oder Cross-Site-Tracking-Cookies Dritter. Sollte sich dies ändern, veröffentlichen wir eine separate Cookie-Richtlinie und holen, soweit erforderlich, eine Einwilligung ein.
11. Änderungen dieser Erklärung
Wir aktualisieren diese Erklärung im Zuge der Weiterentwicklung des Dienstes. Wesentliche Änderungen werden aktiven Nutzern per E-Mail und/oder per In-App-Hinweis mindestens 14 Tage vor ihrem Inkrafttreten mitgeteilt. Das Datum der „Letzten Aktualisierung" oben spiegelt stets die aktuelle Fassung wider.
12. Kontakt
Anfragen, Anliegen oder Beschwerden: privacy@overslash.com. Für Sicherheitsmeldungen: security@overslash.com.