Datenschutz

Version 1

Datenschutzerklärung

für Website-, B2B-, LLM-, API-, Frontend-, Marketing-, Publishing-, Webseiten-, Domain-, Hosting- und Support-Services von CASTL unter der Marke MOM

Stand: 28. März 2026

Diese Datenschutzerklärung beschreibt, wie CASTL personenbezogene Daten im Zusammenhang mit der Website, Kontakt- und Bewerbungsformularen sowie den unter der Marke MOM angebotenen Services verarbeitet. Sie berücksichtigt insbesondere cloudbasierte KI-Services, APIs, Frontends, Mainframes/Workstations, MOM Marketing, Webseiten-, Domain- und Hosting-Services, Zahlungsabwicklung über Stripe sowie Hosting- und Serverleistungen über eigene Infrastruktur und externe Rechenzentrumsanbieter.

1. Verantwortlicher und Kontakt

Verantwortlicher für die Verarbeitung personenbezogener Daten nach dem Schweizer Datenschutzgesetz (DSG) und - soweit anwendbar - nach der EU-Datenschutz-Grundverordnung (DSGVO) ist:

CASTL AG - Cyber Applied Science and Tech Labs
Oberdorf 970
9427 Wolfhalden
Schweiz
E-Mail: data.protection@castl.rocks

Soweit in dieser Datenschutzerklärung von „CASTL", „wir" oder „uns" gesprochen wird, ist damit die CASTL AG gemeint.

2. Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit:

  • dem Besuch unserer Website sowie der Nutzung von Kontakt-, Anfrage-, Bewerbungs- oder sonstigen Formularen;
  • der Registrierung, Bereitstellung und Nutzung unserer Services unter der Marke MOM, einschließlich Online-Plattform, Frontends und API-Services;
  • lokalen, hybriden oder dediziert bereitgestellten Mainframes, Workstations und vergleichbaren Infrastrukturen;
  • optionalen Marketing-, Publishing- und Automationsfunktionen, insbesondere MOM Marketing;
  • optionalen Webseiten-, Domain-, URL-, Webspace- und Hosting-Services;
  • Support-, Sicherheits-, Abrechnungs-, Dokumentations- und Kommunikationsprozessen.

Diese Datenschutzerklärung gilt sowohl für Situationen, in denen CASTL selbst datenschutzrechtlich Verantwortlicher ist, als auch ergänzend für die Fälle, in denen CASTL personenbezogene Daten als Auftragsverarbeiter im Auftrag von Geschäftskunden verarbeitet.

3. Rollen im Datenschutz

3.1 CASTL als Verantwortlicher

CASTL ist insbesondere dann Verantwortlicher, wenn wir personenbezogene Daten für eigene Zwecke verarbeiten, zum Beispiel für den Betrieb unserer Website, die Bearbeitung von Kontaktanfragen, Bewerbungen, Vertragsabschlüssen, Abrechnung, Betrugsprävention, IT-Sicherheit, Kommunikation mit Geschäftskunden oder die Verwaltung unserer eigenen Unternehmens- und Serviceprozesse.

3.2 CASTL als Auftragsverarbeiter

Soweit Geschäftskunden mit MOM personenbezogene Daten ihrer eigenen Mitarbeiter, Kunden, Interessenten, Mieter, Eigentümer, Lieferanten oder sonstiger Dritter verarbeiten, erfolgt dies regelmäßig im Auftrag und nach Weisung des jeweiligen Geschäftskunden. In diesen Fällen ist grundsätzlich der jeweilige Kunde datenschutzrechtlich Verantwortlicher und CASTL Auftragsverarbeiter, soweit gesetzlich nichts anderes vorgeschrieben ist.

3.3 Drittplattformen und Drittanbieter

Werden über MOM externe Plattformen, Modelle oder Dienste angebunden, kann es sein, dass diese Anbieter personenbezogene Daten für eigene Zwecke verarbeiten. Soweit solche Anbieter eigenständig über Zwecke und Mittel der Verarbeitung entscheiden, sind sie datenschutzrechtlich eigenständige Verantwortliche.

4. Welche personenbezogenen Daten wir verarbeiten

Je nach Art der Nutzung können wir insbesondere folgende Kategorien personenbezogener Daten verarbeiten:

  • Stamm- und Kontaktdaten, z. B. Name, Unternehmen, Position, E-Mail-Adresse, Telefonnummer, Rechnungsadresse und sonstige Kommunikationsdaten;
  • Vertrags-, Bestell- und Abrechnungsdaten, z. B. gebuchte Services, Preise, Laufzeiten, Rechnungsinformationen, Zahlstatus, Steuerinformationen und Transaktionsreferenzen;
  • Account-, Authentifizierungs- und Berechtigungsdaten, z. B. Login-Daten, Rollen, API-Schlüssel, Benutzerkennungen, Freigaben und sicherheitsrelevante Metadaten;
  • Nutzungs-, Protokoll-, Diagnose-, Telemetrie- und Sicherheitsdaten, z. B. IP-Adresse, Zeitstempel, Zugriffe, Geräte- und Browserinformationen, Fehlermeldungen, Performance-Metriken, Systemereignisse und Missbrauchsindikatoren;
  • Kommunikations- und Supportdaten, z. B. Inhalte von Supportanfragen, Tickets, E-Mails, Besprechungsnotizen, Konfigurationsangaben und freigegebene Protokolle;
  • Inhaltsdaten, die im Rahmen der Nutzung von MOM verarbeitet werden, z. B. Prompts, Eingaben, Dateien, Konversationen, Outputs, Dokumente, Webseiteninhalte, Kampagnentexte, Bild- oder Videobeschreibungen und sonstige Arbeitsinhalte;
  • Social-Media- und Publishing-Daten im Rahmen von MOM Marketing, z. B. Account-Bezeichnungen, Seiten-/Kanal-IDs, Post-Inhalte, Veröffentlichungszeitpunkte, Entwürfe, Freigaben, Medien und plattformspezifische Reaktionen oder Fehlermeldungen;
  • Daten im Zusammenhang mit Webseiten-, Domain- und Hosting-Services, z. B. Domaininhaber- und Registrierungsdaten, DNS- und Konfigurationsdaten, Hosting-Metadaten, Websiteinhalte und technische Kontaktinformationen;
  • Bewerbungs- und Anfragedaten, einschließlich freiwillig übermittelter Anhänge, wenn Sie uns über die Website oder per E-Mail kontaktieren oder sich bewerben.

Bitte übermitteln Sie besondere Kategorien personenbezogener Daten oder sonstige besonders sensible Informationen nur dann, wenn dies für den jeweiligen Zweck erforderlich ist und eine ausreichende Rechtsgrundlage besteht.

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten - je nach Nutzungssituation - insbesondere zu folgenden Zwecken:

  • Bereitstellung, Betrieb, Administration und Absicherung unserer Website und Services;
  • Registrierung von Unternehmenskunden, Einrichtung von Accounts, Autorisierung von Benutzern und Verwaltung von Zugriffsrechten;
  • Erbringung der vertraglich geschuldeten Services, einschließlich LLM-Services, APIs, Frontends, Mainframes/Workstations, Marketing-, Publishing-, Webseiten-, Domain- und Hosting-Services;
  • technische Verarbeitung von Eingaben, Dateien, Konversationen und sonstigen Inhalten zur Ausführung angeforderter Funktionen;
  • Abrechnung, Zahlungsabwicklung, Forderungsmanagement und Buchhaltung;
  • Bearbeitung von Kontaktanfragen, Supportfällen, Störungsmeldungen, Sicherheitsvorfällen und Migrations- oder Integrationsprojekten;
  • Missbrauchs-, Betrugs- und Angriffserkennung, Performance- und Fehleranalyse, Kapazitätsplanung sowie Wahrung der System- und Servicesicherheit;
  • Erfüllung gesetzlicher Pflichten, Durchsetzung eigener Ansprüche sowie Abwehr von Ansprüchen Dritter.

Soweit die EU-DSGVO anwendbar ist, stützen wir die Verarbeitung insbesondere auf Art. 6 Abs. 1 lit. b DSGVO (Vertrag oder vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, insbesondere Betriebssicherheit, Missbrauchsprävention, Produkt- und Servicebetrieb, Unternehmensorganisation und Rechtsverteidigung) sowie - soweit erforderlich - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Nach Schweizer DSG erfolgt die Bearbeitung im Rahmen der gesetzlichen Grundsätze, insbesondere nach Rechtmäßigkeit, Verhältnismäßigkeit, Zweckbindung, Transparenz und Datensicherheit.

6. Verarbeitung im Rahmen von MOM, LLM-Services, APIs und Frontends

Wenn Unternehmenskunden MOM nutzen, verarbeiten wir personenbezogene Daten in dem Umfang, der zur technischen Bereitstellung und Ausführung der angeforderten Services erforderlich ist. Dies kann insbesondere die Verarbeitung von Prompts, Dateien, Konversationen, Dokumenteninhalten, API-Anfragen, generierten Outputs, Konfigurationsdaten, Metadaten, Systemprotokollen und sicherheitsrelevanten Informationen umfassen.

Soweit nicht ausdrücklich schriftlich anders vereinbart, nutzt CASTL kundenspezifische Inhaltsdaten - insbesondere Prompts, Eingaben, Dateien, Konversationen, Outputs oder sonstige Inhalte - nicht zum Training allgemeiner Modelle von CASTL. Unberührt bleiben technisch erforderliche flüchtige Verarbeitungsvorgänge, notwendige Sicherheits- und Missbrauchsanalysen, Supportzugriffe, Fehleranalyse, Qualitätssicherung im konkreten Support- oder Betriebsfall sowie die Nutzung aggregierter oder de-identifizierter betrieblicher Metadaten.

Wir verfolgen für nicht betriebsnotwendige Inhaltsdaten eine restriktive Speicher- und Löschpraxis. Soweit für bestimmte Zusatzfunktionen eine weitergehende Speicherung vorgesehen ist, erfolgt diese grundsätzlich nur, wenn der jeweilige Kunde sie aktiviert, beauftragt oder sonst eindeutig veranlasst hat.

Alle LLM-Server von CASTL befinden sich nach dem derzeitigen Betriebsmodell in der Schweiz und in der Europäischen Union. Zusätzlich zu eigener Infrastruktur am Standort Oberdorf 970, 9427 Wolfhalden, Schweiz, nutzen wir auch Infrastruktur externer Rechenzentrums- und Hosting-Anbieter, insbesondere Hetzner.

Soweit Kunden externe KI-Dienste, Drittmodelle oder sonstige Fremdsysteme anbinden lassen, können Daten - je nach konkreter Konfiguration - an weitere Systeme übermittelt werden. Für die datenschutzrechtliche Zulässigkeit des konkreten Einsatzes und der eingebrachten Daten bleibt grundsätzlich der jeweilige Kunde verantwortlich.

7. MOM Marketing sowie Social-Media-, Publishing- und Business-Plattformen

MOM Marketing ist ein optionales Modul, mit dem Inhalte technisch erstellt, geplant, verwaltet, freigegeben, unterstützt oder automatisiert auf Drittplattformen veröffentlicht werden können.

Wenn ein Kunde MOM Marketing verwendet, können insbesondere folgende Daten verarbeitet werden:

  • Zugangsdaten, Tokens, technische Berechtigungen und plattformspezifische Identifikatoren;
  • Entwürfe, Post-Texte, Bild-/Video-Metadaten, Veröffentlichungspläne und Freigabestände;
  • Informationen über verbundene Konten, Seiten, Profile, Kanäle oder Unternehmensstandorte;
  • technische Rückmeldungen der Plattformen, etwa Fehlermeldungen, Statusinformationen oder Zustell-/Veröffentlichungsbestätigungen.

Je nach vom Kunden genutzter Integration können Inhalte insbesondere auf Plattformen wie Facebook, Instagram, LinkedIn, YouTube, TikTok und Google Business Profile bzw. vergleichbaren Drittplattformen verarbeitet oder veröffentlicht werden.

Soweit Inhalte auf solchen Plattformen veröffentlicht werden, verarbeiten die jeweiligen Plattformbetreiber personenbezogene Daten in aller Regel auch in eigener Verantwortlichkeit. CASTL hat keinen vollständigen Einfluss auf die weitere Verarbeitung durch diese Plattformen, insbesondere nicht auf deren eigene Analyse-, Moderations-, Reichweiten-, Sicherheits- oder Compliance-Prozesse.

Weitere Informationen zur Verarbeitung personenbezogener Daten durch die jeweiligen Plattformbetreiber finden Sie in den Datenschutzhinweisen der jeweils angebundenen Anbieter.

Der jeweilige Kunde ist dafür verantwortlich, nur solche Plattformkonten zu verbinden und nur solche Inhalte zu verarbeiten oder zu veröffentlichen, für die eine ausreichende Rechtsgrundlage und die erforderlichen Berechtigungen bestehen.

8. Webseiten-, Domain-, URL-, Webspace- und Hosting-Services

Soweit CASTL für Kunden Webseiten erstellt, bereitstellt, veröffentlicht, konfiguriert oder technische Leistungen im Zusammenhang mit Domains, URLs, Webspace oder Hosting erbringt, verarbeiten wir die dafür erforderlichen personenbezogenen Daten und technischen Informationen. Dazu können insbesondere Domaininhaber- und Kontaktdaten, Registrierungsdaten, technische Konfigurationsdaten, Inhaltsdaten von Webseiten, Projekt- und Kommunikationsdaten sowie Abrechnungsdaten gehören.

Bei Domain-Registrierungen, Hosting-Leistungen oder sonstigen Internet-Infrastrukturleistungen können Daten an Registrare, Registries, Hosting-Provider, DNS-Dienstleister, Zertifikatsanbieter oder sonstige technische Dienstleister übermittelt werden, soweit dies für die Leistungserbringung erforderlich ist.

Soweit Website-Besucher auf durch CASTL für Kunden bereitgestellten Seiten interagieren, ist für die Inhalte und die datenschutzrechtliche Zulässigkeit der jeweiligen Website-Funktionalitäten grundsätzlich der jeweilige Kunde verantwortlich, sofern nicht CASTL im Einzelfall selbst als Verantwortlicher auftritt.

9. Zahlungsabwicklung und Stripe

Für die Abwicklung von Zahlungen, insbesondere von Karten- oder sonstigen elektronischen Zahlungen, kann CASTL den Zahlungsdienstleister Stripe einsetzen.

In diesem Zusammenhang können insbesondere Name, Rechnungsadresse, E-Mail-Adresse, Zahlungsbetrag, Währung, Transaktionszeitpunkt, Steuerinformationen, Transaktions- und Rechnungsreferenzen sowie weitere für die Zahlungsabwicklung erforderliche Daten verarbeitet werden.

Die eigentliche Zahlungsabwicklung erfolgt regelmäßig direkt über Stripe oder über von Stripe bereitgestellte Zahlungsseiten bzw. technische Schnittstellen. CASTL erhält dabei grundsätzlich nur diejenigen Informationen, die für die Vertragsabwicklung, Buchhaltung, Missbrauchsprävention und Nachweiszwecke erforderlich sind.

Stripe kann personenbezogene Daten sowohl als eigenständig Verantwortlicher als auch - je nach technischer Einbindung - als Dienstleister verarbeiten. Soweit Stripe eingesetzt wird, erfolgt die Verarbeitung personenbezogener Daten im Umfang, der für die Zahlungsabwicklung und die damit verbundenen Compliance-, Sicherheits- und Nachweiszwecke erforderlich ist.

Weitere Informationen entnehmen Sie den Datenschutzhinweisen von Stripe: https://stripe.com/privacy

10. Empfänger, Dienstleister und Unterauftragsverarbeiter

Personenbezogene Daten werden innerhalb von CASTL nur denjenigen Stellen zugänglich gemacht, die sie zur Erfüllung der jeweiligen Zwecke benötigen.

Hosting-, Server-, Rechenzentrums-, Netzwerk-, Speicher- und Infrastrukturprovider, einschließlich eigener Infrastruktur von CASTL, Amazon Web Services (AWS) und Hetzner;

Wenn Sie unsere Website besuchen oder webbasierte Services von CASTL nutzen, können personenbezogene Daten auf Servern von Amazon Web Services (AWS) verarbeitet werden. Unsere AWS-Infrastruktur ist nach dem derzeitigen Betriebsmodell ausschließlich in der Region Frankfurt (eu-central-1) eingerichtet, sodass die Speicherung und Verarbeitung dieser Daten in Deutschland erfolgt.

Weitere Informationen entnehmen Sie der Datenschutzerklärung von AWS: https://aws.amazon.com/de/privacy/

Zusätzlich nutzen wir Server- und Infrastrukturleistungen von Hetzner. Soweit personenbezogene Daten über Systeme von Hetzner verarbeitet werden, erfolgt dies im Rahmen der von CASTL gewählten technischen Betriebsumgebung und grundsätzlich innerhalb der von CASTL vorgesehenen europäischen Infrastruktur.

Weitere Informationen entnehmen Sie den Datenschutzhinweisen von Hetzner: https://www.hetzner.com/de/legal/privacy-policy/

  • Hosting-, Server-, Rechenzentrums-, Netzwerk-, Speicher- und Infrastrukturprovider, einschließlich eigener Infrastruktur von CASTL sowie externer Anbieter wie Hetzner;
  • Zahlungsdienstleister und Finanzdienstleister, insbesondere Stripe;
  • E-Mail-, Kommunikations-, Support-, Monitoring-, Sicherheits-, Analyse- und Dokumentationsdienstleister;
  • Registrare, Registries, DNS-, Zertifikats-, Hosting- und sonstige Internet-Infrastrukturanbieter im Rahmen von Webseiten-, Domain- und Hosting-Services;
  • angeschlossene Drittplattformen und Integrationen, insbesondere Social-Media-, Business-, Karten-, Video-, Publishing- oder Branchenplattformen, wenn der Kunde entsprechende Funktionen nutzt;
  • Berater, Prüfer, Rechtsanwälte, Versicherer, Behörden oder Gerichte, soweit dies rechtlich erforderlich oder zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen notwendig ist.

Beim Besuch unserer Website oder webbasierten Services können technisch notwendige Daten verarbeitet werden, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Inhalte, Referrer, Geräte- und Browserinformationen sowie sicherheits- und funktionsbezogene Logdaten.

Wenn Sie unsere Website besuchen, werden personenbezogene Daten im Rahmen des technischen Betriebs und der Bereitstellung der Website auch auf Servern von Amazon Web Services (AWS) verarbeitet. Wir haben unsere AWS-Infrastruktur ausschließlich in der Region Frankfurt (eu-central-1) eingerichtet, sodass die Speicherung und Verarbeitung Ihrer Daten in Deutschland erfolgt.

Weitere Informationen entnehmen Sie der Datenschutzerklärung von AWS: https://aws.amazon.com/de/privacy/

11. Übermittlungen ins Ausland

Ein Teil der Verarbeitung erfolgt in der Schweiz und in der Europäischen Union. Soweit für einzelne Leistungen oder Integrationen Anbieter mit Sitz oder Verarbeitung außerhalb dieser Gebiete eingesetzt werden, kann eine Übermittlung personenbezogener Daten in Drittländer erfolgen.

Soweit für eine solche Übermittlung nach anwendbarem Datenschutzrecht zusätzliche Garantien erforderlich sind, werden geeignete Maßnahmen vorgesehen, etwa Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere rechtlich anerkannte Garantien. Dabei ist zu beachten, dass bei vom Kunden aktiv genutzten Drittplattformen oder Integrationen zusätzliche Datenschutzregime der jeweiligen Anbieter gelten können.

12. Cookies, Logfiles und technisch notwendige Website-Daten

Beim Besuch unserer Website oder webbasierten Services können technisch notwendige Daten verarbeitet werden, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Inhalte, Referrer, Geräte- und Browserinformationen, Session-Informationen sowie sicherheits- oder betriebsrelevante Logdaten.

Soweit Cookies oder ähnliche Technologien eingesetzt werden, geschieht dies grundsätzlich nur, soweit sie für technische Funktionen, Sicherheit, Sitzungsverwaltung, Missbrauchsprävention oder den stabilen Betrieb erforderlich sind, sofern nicht im Einzelfall anders angegeben.

Wir setzen nach dieser Datenschutzerklärung keine Social-Media-Plugins ein, um Besucher unserer Website zu tracken. Veröffentlichungen oder Verlinkungen auf externe Plattformen führen jedoch dazu, dass bei einem Aufruf dieser Drittseiten die Datenschutzbedingungen des jeweiligen Plattformbetreibers gelten.

13. Speicher- und Löschfristen

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke, für vertragliche Leistungen, für berechtigte betriebliche Interessen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Maßgebliche Kriterien für die Speicherdauer sind insbesondere:

  • die Dauer der Vertragsbeziehung und der aktiven Servicebereitstellung;
  • laufende Support-, Sicherheits-, Fehleranalyse- oder Migrationsvorgänge;
  • gesetzliche Aufbewahrungs-, Nachweis- und Dokumentationspflichten;
  • laufende oder drohende Rechtsstreitigkeiten, Ansprüche oder Missbrauchsfälle;
  • turnusmäßige Backup-, Wiederherstellungs- und Löschzyklen.

Nach Wegfall des jeweiligen Zwecks löschen, anonymisieren oder sperren wir Daten im Rahmen des anwendbaren Rechts und der betrieblichen Löschprozesse. Ein Anspruch auf sofortige Löschung sämtlicher Sicherungskopien oder Systemabbilder besteht nicht, sofern deren weitere Vorhaltung technisch üblich, sicher beschränkt und zeitlich angemessen ist.

14. Datensicherheit

CASTL trifft angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Manipulation, Offenlegung oder sonstiger unzulässiger Verarbeitung zu schützen. Dazu können je nach System insbesondere rollenbasierte Zugriffskonzepte, Authentifizierungs- und Berechtigungsverfahren, Protokollierung, Segmentierung, Verschlüsselung, Backup- und Wiederherstellungsprozesse, Monitoring sowie Maßnahmen zur Angriffserkennung und Missbrauchsprävention gehören.

Da digitale Systeme und Kommunikationswege nie vollständig risikofrei sind, kann jedoch keine absolute Sicherheit garantiert werden.

15. Betroffenenrechte

Soweit die EU-DSGVO anwendbar ist, haben betroffene Personen nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen.

Nach Schweizer Datenschutzrecht bestehen insbesondere Rechte auf Auskunft sowie - soweit gesetzlich vorgesehen - auf Berichtigung, Löschung oder Einschränkung.

Wenn CASTL personenbezogene Daten ausschließlich als Auftragsverarbeiter für einen Geschäftskunden verarbeitet, sollten sich betroffene Personen primär an den jeweiligen Geschäftskunden als Verantwortlichen wenden. CASTL unterstützt Kunden in angemessenem Umfang bei der Bearbeitung entsprechender Anfragen, soweit dies erforderlich und zumutbar ist.

Anfragen zu Datenschutzrechten können an data.protection@castl.rocks gerichtet werden. Betroffene Personen haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren.

16. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen, insbesondere bei rechtlichen, technischen, organisatorischen oder produktbezogenen Änderungen. Maßgeblich ist die jeweils aktuelle Fassung, die von CASTL bereitgestellt oder veröffentlicht wird.

Gültig seit: 17.04.2026