Compliance Framework

Rechtsverbindliche Parameter, Datenschutzrichtlinien und Service Level Agreements für den vollumfänglichen B2B-Enterprise-Betrieb der Compression Cloud Infrastruktur.

I. Impressum (Provider Identification)

Angaben gemäß § 5 DDG

QTIZE Quantum Solutions
Florian Santo
Franz-Joseph-Str. 11
80801 München
Deutschland

Vertretung

Vertreten durch: Florian Santo (CEO)

Digitale Kommunikation

E-Mail: legal@compressioncloud.io
Web: compressioncloud.io

Verantwortlichkeit

Verantwortlich für redaktionelle Inhalte nach § 18 Abs. 2 MStV: Florian Santo (Anschrift wie oben).

II. Datenschutz & Data Privacy (DSGVO)

Transitorische Datenverarbeitung (Zero-Retention)

Compression Cloud agiert als deterministischer Middleware-Layer. Die Verarbeitung von API-Requests (Payloads, Prompts) erfolgt strikt ephemer im flüchtigen Arbeitsspeicher (RAM) auf ISO-zertifizierten Servern innerhalb Deutschlands (AWS Frankfurt/Hetzner DE). Es erfolgt zu keinem Zeitpunkt eine persistente Speicherung auf physischen oder virtuellen Datenträgern (Zero-Retention-Policy). Eine Zweckentfremdung der Daten, insbesondere für das Training eigener oder fremder KI-Modelle, wird physisch und vertraglich kategorisch ausgeschlossen (Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO).

Internationaler Datentransfer & Conduit-Status

Soweit der Kunde durch die Nutzung unseres Gateways Endpunkte von Providern außerhalb des Europäischen Wirtschaftsraums (EWR) aufruft (z.B. OpenAI LLC, Anthropic PBC), agiert Compression Cloud ausschließlich als technischer Durchleiter (Conduit). Der Kunde trägt als "Verantwortlicher" (Art. 4 Nr. 7 DSGVO) die vollumfängliche juristische Verantwortung für die Gewährleistung der Rechtsgrundlage für diesen Drittlandtransfer (z.B. über das EU-US Data Privacy Framework oder den Abschluss von EU-Standardvertragsklauseln) mit dem jeweiligen Ziel-Provider.

Telemetrie, Sicherheit & TDDDG

Die Erhebung technischer Verbindungsdaten (anonymisierte IP-Adressen, Request-Timestamps, Token-Volumina) erfolgt ausschließlich zur Sicherstellung der Netz- und Informationssicherheit sowie zur Abwehr von Denial-of-Service-Angriffen gemäß Art. 6 Abs. 1 lit. f DSGVO. Die Speicherfristen für Server-Logs betragen maximal 7 Tage. Der Einsatz essenzieller Sitzungsspeicher ("Local Storage" / Session-Cookies) zur Authentifizierung im Vault-Dashboard erfolgt ohne Einwilligungspflicht zwingend nach Maßgabe des § 25 Abs. 2 Nr. 2 TDDDG. Betroffenenrechte (Auskunft, Löschung, Einschränkung nach Art. 15 ff. DSGVO) können jederzeit formlos über legal@compressioncloud.io geltend gemacht werden.

III. Allgemeine Geschäftsbedingungen (AGB)

1. Ausschließlicher B2B-Geltungsbereich

Die Dienste der Compression Cloud richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts sowie öffentlich-rechtliche Sondervermögen. Eine Nutzung durch Verbraucher (§ 13 BGB) ist ausgeschlossen. Die Pflichten im elektronischen Geschäftsverkehr gemäß § 312i Abs. 1 Nr. 1 bis 3 und Satz 2 BGB werden hiermit einvernehmlich abbedungen. Entgegenstehende oder abweichende Bedingungen des Kunden werden nicht anerkannt.

2. Leistungsbeschreibung & Zahlungsbedingungen

Compression Cloud stellt eine API-Schnittstelle zur Kompression von Text-Payloads zur Verfügung. Die Abrechnung erfolgt nutzungsbasiert (Pay-As-You-Go) über ein Prepaid-Wallet-System oder via fixiertem monatlichen Kontingent (Scale Tier). Ein Anspruch auf ständige Erreichbarkeit besteht im Rahmen des SLA. Alle Preise verstehen sich netto zuzüglich der gesetzlichen Umsatzsteuer.

3. Service Level Agreement (SLA) & Höhere Gewalt

Wir gewährleisten eine Verfügbarkeit unserer API-Schnittstelle (Übergabepunkt in unser Netzwerk) von 99,9 % im Jahresmittel. Ausgenommen hiervon sind geplante Wartungsfenster sowie Ausfälle durch höhere Gewalt (Force Majeure, z.B. Naturkatastrophen, kriegerische Handlungen, unvorhersehbare staatliche Eingriffe) oder die Nichterreichbarkeit externer Dritt-Provider (Ziel-LLMs).

4. Haftungsbeschränkung

Die QTIZE Quantum Solutions GmbH haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. Bei der leicht fahrlässigen Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung zwingend auf den vertragstypischen, vernünftigerweise vorhersehbaren Schaden begrenzt. Eine Haftung für mittelbare Schäden, Folgeschäden, insbesondere entgangenen Gewinn durch API-Downtimes oder Datenverluste, ist im gesetzlich zulässigen Rahmen vollständig ausgeschlossen.

5. Geheimhaltung (NDA)

Beide Parteien verpflichten sich, alle im Rahmen der Vertragsdurchführung ausgetauschten vertraulichen Informationen (insbesondere API-Keys, technische Infrastruktur-Details) strikt geheim zu halten und angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz dieser Daten zu ergreifen.

IV. Vertrag zur Auftragsverarbeitung (AVV)

Gemäß Art. 28 Abs. 3 DSGVO

Dieser Vertrag wird integrativer Bestandteil der Nutzungsbedingungen (Main Agreement), sobald der Kunde (im Folgenden: Verantwortlicher) die API-Infrastruktur der QTIZE Quantum Solutions GmbH (im Folgenden: Auftragsverarbeiter) zur Verarbeitung personenbezogener Daten Dritter nutzt.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter übernimmt die transitorische Verarbeitung (Kompression und Weiterleitung) von Text-Prompts, die personenbezogene Daten enthalten können. Die Verarbeitung erfolgt automatisiert über die API. Die Dauer dieses AVV richtet sich nach der Laufzeit des Hauptvertrages.

2. Art der Daten und Kreis der Betroffenen

Art der Daten: Unstrukturierte Textdaten innerhalb der API-Payloads. Da der Auftragsverarbeiter keine Einsicht in die Payloads nimmt, obliegt die Klassifizierung (inkl. Art. 9 DSGVO Daten) dem Verantwortlichen. Betroffene: Endnutzer, Kunden oder Mitarbeiter des Verantwortlichen, deren Daten in die Prompts eingegeben werden.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Die API-Nutzung gilt als Weisung). Er gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind. Er ergreift alle erforderlichen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO (insb. Transportverschlüsselung via TLS 1.3, ephemere In-Memory-Verarbeitung).

4. Unterauftragsverhältnisse

Die Inanspruchnahme von Subunternehmern (z.B. Hosting-Provider wie AWS/Hetzner DE) ist gestattet. Die Ziel-Modelle (OpenAI, Anthropic etc.), an die das Gateway die Daten weiterleitet, werden vom Verantwortlichen selbst über die Hinterlegung seines API-Keys mandatiert und gelten rechtlich als Unterauftragsverarbeiter, die der Verantwortliche selbst legitimiert.

5. Unterstützungspflichten & Löschung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15-22 DSGVO). Da aufgrund der Zero-Retention-Architektur nach Abschluss des Requests keine Daten persistent gespeichert werden, entfällt eine aktive Löschpflicht nach Beendigung der Dienste, da systembedingt keine Restdaten existieren.

V. EU AI Act 2026 Compliance Statement

Als Infrastruktur-Provider mit Sitz in der Europäischen Union operiert die QTIZE Quantum Solutions GmbH in absoluter Konformität mit dem im Jahr 2026 vollumfänglich anwendbaren Artificial Intelligence Act (Verordnung (EU) 2024/1689).

Juristische Klassifizierung: Die proprietäre Kompressions-Heuristik der Compression Cloud qualifiziert sich rechtlich ausdrücklich nicht als KI-Modell mit allgemeinem Verwendungszweck (GPAI - General Purpose AI) und stellt kein Hochrisiko-KI-System gemäß Art. 6 des AI Acts dar. Die Engine trifft keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung gegenüber natürlichen Personen (wie in Anhang III definiert), sondern operiert als rein deterministischer Sprach-Verkürzungsalgorithmus auf syntaktischer Ebene.

Enterprise Enablement (Compliance-as-a-Service): Durch die vorgeschaltete Architektur unterstützen wir unsere B2B-Kunden ("Deployer" von KI-Systemen) aktiv dabei, ihre eigenen Transparenz-, Datenminimierungs- und Risikomanagement-Pflichten nach dem EU AI Act proaktiv und revisionssicher zu erfüllen.