Zusammenfassung
Diese Seite bündelt alles, was Rush Studio unternimmt, um die EU-Datenschutz-Grundverordnung (DSGVO), die UK-DSGVO und gleichwertige Datenschutzgesetze anderer Länder einzuhalten. Sie dient zugleich als unser Standard-Auftragsverarbeitungsvertrag (AVV) — die Vertragsbedingungen finden Sie in Abschnitt 9.
Wer ist Verantwortlicher, wer ist Auftragsverarbeiter
In der Terminologie der DSGVO gilt:
- Für Ihre eigenen Kontodaten (Name, E-Mail, Abrechnung) ist Rush Studio der Verantwortliche. Wir entscheiden, welche Daten wir erheben und warum.
- Für die Inhalte, die Sie in Rush Studio einstellen (Ihre Dateien, Segmente, Glossare, TM) ist Rush Studio der Auftragsverarbeiter. Sie sind der Verantwortliche; wir handeln nach Ihren Weisungen.
Diese Seite deckt beide Beziehungen ab. Die Vertragsbedingungen in Abschnitt 9 regeln unsere Rolle als Ihr Auftragsverarbeiter.
Rechtsgrundlage
Je nach Tätigkeit stützen wir uns auf die folgenden Rechtsgrundlagen nach Artikel 6 DSGVO:
- Vertrag (Art. 6 Abs. 1 lit. b) — Bereitstellung des Dienstes für Sie.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Sicherheit, Betrugsprävention, Produktverbesserung, Marketing gegenüber Bestandskunden.
- Einwilligung (Art. 6 Abs. 1 lit. a) — optionale Funktionen, Marketing gegenüber Interessenten.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Steuern, Prüfungen, aufsichtsrechtliche Vorgaben.
Kategorien personenbezogener Daten
Rush Studio verarbeitet die folgenden Kategorien personenbezogener Daten:
- Kontodaten — Name, geschäftliche E-Mail-Adresse, Unternehmen, Rolle, Passwort-Hash, Profileinstellungen.
- Authentifizierungsdaten — Anmeldezeitpunkte, IP-Adresse, Gerät, MFA-Token.
- Kundeninhalte — Dateien, Segmente, Translation Memory, Glossare, Kommentare. Können je nach Upload personenbezogene Daten enthalten.
- Nutzungsdaten — Funktionsnutzung, Fehlerberichte, Sitzungsdauer.
- Abrechnungsdaten — Firmenname, Rechnungsadresse, USt-IdNr., Zahlungsmethode (wir speichern keine vollständigen Kartennummern; das übernimmt Stripe).
- Support-Daten — E-Mails und Tickets, die Sie uns senden.
Betroffene Personen
Zu den Personen, deren personenbezogene Daten wir möglicherweise verarbeiten, gehören:
- Ihr Team — Kolleginnen und Kollegen, die Sie in Ihren Workspace einladen.
- Ihre Prüfer und Übersetzer — Freiberufler oder Agenturen, denen Sie Aufgaben zuweisen.
- In Ihren Inhalten genannte Personen — alle Personen, die in von Ihnen hochgeladenen Dateien erwähnt werden (Mitarbeitende, Kunden, Dritte).
Wenn Sie Inhalte hochladen, die personenbezogene Daten enthalten, sind Sie dafür verantwortlich, sicherzustellen, dass Sie über eine Rechtsgrundlage verfügen, um sie mit uns zu teilen. Wir verarbeiten sie nach Ihren Weisungen gemäß dem AVV.
Unterauftragsverarbeiter
Zur Bereitstellung des Dienstes setzen wir die folgenden Unterauftragsverarbeiter ein. Mit jedem von ihnen haben wir eine schriftliche Vereinbarung zur Auftragsverarbeitung geschlossen. Wir informieren Sie 30 Tage im Voraus, bevor wir einen von ihnen hinzufügen oder ersetzen; Sie können widersprechen über privacy@rush-studio.com.
Speziell für KI-Unterauftragsverarbeiter gilt: Wir übermitteln das zu verarbeitende Segment und den begrenzten Kontext, den die Aufgabe benötigt — benachbarte Segmente für den Zusammenhang, Ihre Glossarbegriffe sowie Ihre Brand-Voice- / Tonalitätseinstellungen. Wir übermitteln niemals Konto-, Abrechnungs- oder Authentifizierungsdaten. Anfragen an OpenAI werden mit deaktivierter Speicherung gesendet (store: false), sodass sie nicht für das Training oder die Bewertung von Modellen aufbewahrt werden; Kunden mit unserem Scale-Tarif können zusätzlich eine Zero-Data-Retention-Vereinbarung auf Kontoebene anfordern. DeepL und Google verarbeiten Inhalte gemäß ihren Standard-Geschäftsbedingungen ohne Training.
Internationale Datenübermittlungen
Die primäre Datenspeicherung verbleibt in der Europäischen Union. Einige Unterauftragsverarbeiter (insbesondere US-basierte KI-Anbieter und unser E-Mail-Zustelldienst) bringen eine Übermittlung personenbezogener Daten außerhalb der EU/UK mit sich.
Für diese Übermittlungen stützen wir uns auf:
- Standardvertragsklauseln (SCCs), die von der Europäischen Kommission genehmigt wurden, mit den Überarbeitungen von 2021.
- UK International Data Transfer Addendum für Daten mit Ursprung im Vereinigten Königreich.
- EU-US Data Privacy Framework für danach zertifizierte Unterauftragsverarbeiter (derzeit AWS, OpenAI, Google).
Folgenabschätzungen zu Übermittlungen sind unter NDA verfügbar — schreiben Sie an privacy@rush-studio.com.
Rechte betroffener Personen
Nach der DSGVO haben natürliche Personen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten sowie das Recht, ihre Einwilligung zu widerrufen und eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Wenn Sie unser direkter Kunde sind: Die meisten Rechte lassen sich über Ihre Kontoeinstellungen ausüben. Für alles Weitere schreiben Sie an privacy@rush-studio.com; wir antworten innerhalb von 30 Tagen.
Wenn Sie nicht unser Kunde sind, sich Ihre Daten aber im Workspace eines Kunden befinden: Wir leiten Ihre Anfrage an den betreffenden Kunden (den Verantwortlichen) weiter. Es gilt dessen Datenschutzerklärung.
Auftragsverarbeitungsvertrag (AVV)
Dieser Abschnitt ist unser Standard-AVV, der Bestandteil Ihrer Nutzungsbedingungen wird, wenn Sie Rush Studio mit personenbezogenen Daten verwenden.
9.1 Anwendungsbereich. Wir handeln als Auftragsverarbeiter in Ihrem Auftrag in Bezug auf die Kundeninhalte, die Sie in den Dienst hochladen. Wir verarbeiten diese Inhalte ausschließlich auf Ihre dokumentierten Weisungen hin, wie in diesen Bedingungen und in der Dokumentation des Dienstes festgelegt.
9.2 Vertraulichkeit. Wir stellen sicher, dass die zur Verarbeitung Ihrer Daten befugten Personen zur Vertraulichkeit verpflichtet sind.
9.3 Sicherheit. Wir setzen die in Abschnitt 11 beschriebenen technischen und organisatorischen Maßnahmen um, die wir für dem Risiko angemessen halten.
9.4 Unterauftragsverarbeiter. Sie erteilen uns eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die aktuelle Liste finden Sie in Abschnitt 6. Wir informieren Sie 30 Tage im Voraus über Änderungen und verpflichten jeden Unterauftragsverarbeiter zu gleichwertigen Pflichten.
9.5 Anfragen betroffener Personen. Wir unterstützen Sie unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung von Anfragen betroffener Personen. Jede Anfrage, die wir direkt erhalten und die Ihre Inhalte betrifft, leiten wir an Sie weiter.
9.6 Vorfälle. Wir benachrichtigen Sie ohne unangemessene Verzögerung über eine Verletzung des Schutzes personenbezogener Daten, in jedem Fall innerhalb von 72 Stunden, nachdem sie uns bekannt geworden ist. Siehe Abschnitt 10.
9.7 Prüfungen. Einmal pro Jahr können Sie unsere Einhaltung dieses AVV überprüfen, vorbehaltlich angemessener Vorankündigung und Vertraulichkeit. In den meisten Fällen werden SOC-2- und vergleichbare Berichte anstelle einer Vor-Ort-Prüfung akzeptiert.
9.8 Rückgabe / Löschung. Bei Kündigung löschen oder retournieren wir Ihre Kundeninhalte innerhalb von 30 Tagen, vorbehaltlich gesetzlich vorgeschriebener Aufbewahrungspflichten.
9.9 Internationale Datenübermittlungen. Soweit Übermittlungen außerhalb des EWR erfolgen, gelten die SCCs des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission, mit den in unserem Standard-AVV-Anhang angegebenen Modulen und Optionen. Fordern Sie den Anhang an, um die förmliche Fassung zu erhalten.
Reaktion auf Vorfälle
Wenn ein Sicherheitsvorfall Ihre Daten betrifft, benachrichtigen wir die betroffenen Kunden ohne unangemessene Verzögerung, in jedem Fall innerhalb von 72 Stunden, nachdem er uns bekannt geworden ist. Die Benachrichtigung umfasst:
- Die Art des Vorfalls und die betroffenen Datenkategorien.
- Die ungefähre Zahl der betroffenen Personen.
- Die wahrscheinlichen Folgen.
- Die von uns ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung.
- Die Ansprechperson bei Rush Studio, an die Sie sich mit weiteren Fragen wenden können.
Schwerwiegende Vorfälle werden zudem innerhalb von 24 Stunden öffentlich auf unserer Statusseite bekannt gegeben.
Sicherheitsmaßnahmen
Zu unseren technischen und organisatorischen Maßnahmen gehören (nicht abschließend):
- TLS-1.3-Verschlüsselung bei der Übertragung; AES-256 im Ruhezustand.
- Rollenbasierte Zugriffskontrolle mit Least-Privilege-Standardeinstellungen.
- Verpflichtende MFA für alle Produktivzugriffe.
- Zentralisierte Audit-Protokollierung, 13 Monate lang aufbewahrt.
- Jährlicher Penetrationstest durch einen externen Anbieter (aktueller Bericht unter NDA verfügbar).
- SOC 2 Type II zertifiziert, ISO 27001 in Bearbeitung.
- Tägliche verschlüsselte Backups mit regionsübergreifender Replikation, Point-in-Time-Recovery über 30 Tage.
- Vierteljährliche Notfallwiederherstellungsübungen.
- Sicherheitsschulungen für alle Mitarbeitenden bei Einstellung und jährlich.
Datenschutzbeauftragter
Rush Studio hat gemäß Artikel 37 DSGVO einen Datenschutzbeauftragten (DSB) benannt (wir verarbeiten personenbezogene Daten in großem Umfang und sind daher zur Benennung verpflichtet).
DSB: Pedro Almeida
E-Mail: privacy@rush-studio.com
Postanschrift: Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, UK
Unser EU-Vertreter nach Artikel 27 DSGVO ist in Berlin benannt und über dieselbe DSB-E-Mail-Adresse erreichbar.
Sollte hier etwas unklar sein, sagen Sie es uns – wir formulieren es in der nächsten Fassung neu.
