Privacy Policy

Last updated: May 22, 2026

1. Data Controller and Contact

We process any personal data you provide exclusively in accordance with the statutory provisions (GDPR, DSG, TKG 2021).

Data Controller: Leibniz Mechanics FlexCo
Address: Zieglergasse 57/26, 1070 Vienna, Austria
Email: prudentia@leibniz-mechanics.ai
Commercial Register Number: FN 665508p
Commercial Register Court: Vienna Commercial Court, Austria

2. Data Processed

In order to provide our service, we process the following categories of data relating to you:

Master data: Email address (via Clerk).
Legal basis: Article 6(1)(b) of the GDPR (performance of a contract)
Usage data: Chat inputs (prompts), uploaded text and PDF documents, search queries, generated responses.
Legal basis: Article 6(1)(b) of the GDPR (performance of a contract)
Technical data: IP address, browser type, device information, timestamps, operating system.
Legal basis: Article 6(1)(f) of the GDPR (legitimate interest in the security and stability of the system)
Payment data: Transaction IDs, payment status (we do not store full credit card details; this is handled solely by the payment service provider).
Legal basis: Article 6(1)(b) of the GDPR (performance of a contract)

Obligation to provide data: The provision of your personal data is contractually required for the use of our platform. Failure to provide such data means that we cannot conclude the contract or that you cannot use the platform.

3. Cookies and Storage

We use only technically necessary cookies and similar storage technologies (local storage) on our website. These are necessary to ensure the operation of the website, security and login status.

Legal basis: In accordance with Section 165(3) of the Telecommunications Act 2021 (TKG 2021), no consent (cookie banner) is required for these strictly necessary cookies.

Name	Purpose	Storage Period	Provider	Category
Clerk	Authentication, login status	Session-based	Clerk, Inc., USA	Required
Stripe	Fraud prevention, payment processing	Variable	Stripe Technology Europe, Ltd., Ireland	Required
Session	Session management	Session-based	Leibniz Mechanics FlexCo	Required

4. Web Hosting (Vercel)

Our website and user interface are hosted by Vercel Inc. (USA). To deliver the website securely, Vercel processes technical log data (e.g. IP address, browser information).

Vercel Address: Vercel Inc., 340 S Lemon Ave 4133, Walnut, CA 91789, USA.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in the secure and rapid provision of the service).
Transfer to third countries: Vercel is certified under the EU-US Data Privacy Framework (DPF), which ensures an adequate level of data protection for data transfers to the USA. Data is transferred for the duration of the contractual relationship and for up to 30 days after the end of the contract, provided that no statutory retention obligations prevent this.
Data processing: We have entered into a data processing agreement with Vercel in accordance with Article 28 of the GDPR, which ensures that data processing is carried out in accordance with data protection regulations.

5. AI Services & Database (Google Cloud & Vertex AI)

Our AI service, document processing and the storage of your chat history are technically based on the Google Cloud Platform (in particular Vertex AI and Firestore).
Google Address: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(f) GDPR (legitimate interest in the provision of AI services).
Server location: Data processing and storage take place primarily in the European Union (Region Europe-West1).
Transfer to third countries: The parent company Google LLC (USA) is certified under the EU-US Data Privacy Framework (DPF). Should data be transferred to the USA in exceptional cases (e.g. AI web searches, maintenance, security), this is covered by the DPF. Data is transferred for the duration of the contractual relationship and for up to 30 days after the end of the contract, provided that no statutory retention obligations prevent this.
No AI training: We have configured our systems so that your inputs and uploaded documents are expressly not used to train Google’s general AI models (zero-data retention for model training).
Abuse detection (Abuse Monitoring): To prevent illegal content, user input is checked automatically. For technical reasons, Google may store the data in encrypted form for a short period in order to analyse cases of abuse.
No processing of sensitive data: The application is not intended for the processing of special categories of personal data (Art. 9 GDPR, e.g. health data) or unprotected bank customer data. The upload of such data is prohibited under our Terms and Conditions.
Data processing: We have entered into a data processing agreement with Google in accordance with Art. 28 GDPR, which ensures that data processing is carried out in accordance with data protection regulations.

6. Registration & Security (Clerk)

We use the Clerk service (Clerk, Inc., USA) for registration.
Clerk Address: Clerk, Inc., 660 King Street, Unit 345, San Francisco, CA 94107, USA.

Purpose: Authentication and account security. Use is not possible without this service.
Legal basis: Performance of a contract, Art. 6(1)(b) GDPR.
Transfer to third countries: Clerk is certified under the EU-US Data Privacy Framework (DPF). Data is transferred for the duration of the contractual relationship and for up to 30 days after the end of the contract, provided that no statutory retention obligations prevent this.
Data processing: We have concluded a data processing agreement with Clerk in accordance with Article 28 of the GDPR, which ensures that data processing is carried out in accordance with data protection regulations.

7. Payment Processing (Stripe)

Payments for paid plans are processed via Stripe Technology Europe, Ltd. (Ireland). We do not store any credit card details ourselves.
Stripe Address: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

Legal basis: Performance of a contract, Article 6(1)(b) GDPR, and legitimate interest in fraud prevention, Article 6(1)(f) GDPR.
Data handling: Stripe also processes technical usage data for the purpose of fraud prevention. Data is transferred for the duration of the contractual relationship and for up to 30 days after the end of the contract, provided that no statutory retention obligations preclude this.
Data processing: We have entered into a data processing agreement with Stripe in accordance with Article 28 of the GDPR, which ensures that data processing is carried out in accordance with data protection regulations.

8. Retention Period & Third Party Transfers

Data transfer to third parties: We transfer your data to the following categories of recipients: Data processors (Vercel, Google, Clerk, Stripe) and Public authorities, where we are legally obliged to do so. No data is transferred to other third parties.

We only store your data for as long as is necessary to provide the service or to comply with legal obligations:

Account data: Until your account is deleted or the contractual relationship is terminated.
Chat content & documents: To provide the chat history within the application, your inputs and results are stored in encrypted form in our database (Firestore). All chat histories are irrevocably deleted no later than 30 days after the termination of the contractual relationship. Uploaded documents are stored only in the working memory (RAM) for the duration of processing, after which they are instantly deleted and are never stored permanently in the database history.
Invoice data: We retain this for 7 years in accordance with the tax law retention obligation (Section 132 BAO).

9. Administrative Provisions & Rights

Record of processing activities: We maintain a record of all processing activities in accordance with Article 30 of the GDPR. You may request information regarding which data we process and for what purposes.

Data Protection Officer: We have not appointed a Data Protection Officer, as the requirements of Article 37 of the GDPR are not met.

Web analytics and social media: We do not use web analytics tools to analyse user behaviour, nor do we deploy social media plugins on our website.

Automated decision-making: No automated decision-making, including profiling, takes place in accordance with Article 22(1) and (4) of the GDPR. The corresponding information obligations under Article 13(2)(f) of the GDPR do not apply.

Your rights: You have the rights of access, rectification, erasure, restriction, data portability, withdrawal, and objection. Please contact: prudentia@leibniz-mechanics.ai.

You have the right to lodge a complaint with a supervisory authority if you believe that the processing of your data infringes data protection law. You may do so with the Austrian Data Protection Authority (Barichgasse 40-42, 1030 Vienna, Austria).

Datenschutzerklärung (German)

1. Verantwortlicher und Kontakt

Wir verarbeiten Ihre etwaigen personenbezogenen Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, DSG, TKG 2021).

Verantwortlicher: Leibniz Mechanics FlexCo
Adresse: Zieglergasse 57/26, 1070 Wien, Österreich
E-Mail: prudentia@leibniz-mechanics.ai
Firmenbuchnummer: FN 665508p
Firmenbuchgericht: Handelsgericht Wien

2. Verarbeitete Daten

Damit wir unseren Dienst erbringen können, verarbeiten wir folgende Datenkategorien von Ihnen:

Stammdaten: E-Mail-Adresse (via Clerk).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Nutzungsdaten: Chat-Eingaben (Prompts), hochgeladene Text- und PDF-Dokumente, Suchanfragen, generierte Antworten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Technische Daten: IP-Adresse, Browsertyp, Geräteinformationen, Zeitstempel, Betriebssystem.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Sicherheit und Stabilität des Systems)
Zahlungsdaten: Transaktions-IDs, Zahlungsstatus (wir speichern keine vollständigen Kreditkartendaten, dies erfolgt nur beim Zahlungsdienstleister).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Pflicht zur Bereitstellung der Daten: Die Bereitstellung Ihrer personenbezogenen Daten ist für die Nutzung unserer Plattform vertraglich erforderlich. Eine Nichtbereitstellung führt dazu, dass wir den Vertrag nicht abschließen können bzw. die Plattform nicht nutzen können.

3. Cookies und Speicherung

Wir verwenden auf unserer Website ausschließlich technisch notwendige Cookies und ähnliche Speichertechnologien (Local Storage). Diese sind erforderlich, um den Betrieb der Website, die Sicherheit und den Login-Status zu gewährleisten.

Rechtsgrundlage: Gemäß § 165 Abs. 3 TKG 2021 ist für diese unbedingt erforderlichen Cookies keine Einwilligung (Cookie-Banner) erforderlich.

Name	Zweck	Speicherdauer	Anbieter	Kategorie
Clerk	Authentifizierung, Login-Status	Sitzungsbasiert	Clerk, Inc., USA	Notwendig
Stripe	Betrugsprävention, Zahlungsabwicklung	Variabel	Stripe Technology Europe, Ltd., Irland	Notwendig
Session	Session-Management	Sitzungsbasiert	Leibniz Mechanics FlexCo	Notwendig

4. Webhosting (Vercel)

Unsere Website und Benutzeroberfläche wird bei Vercel Inc. (USA) gehostet. Um die Webseite sicher auszuliefern, verarbeitet Vercel technische Protokolldaten (z.B. IP-Adresse, Browser-Informationen).

Vercel: Vercel Inc., 340 S Lemon Ave 4133, Walnut, CA 91789, USA.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an einer sicheren und schnellen Bereitstellung des Dienstes).
Drittlandtransfer: Vercel ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, wodurch ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleistet ist. Die Datenübermittlung erfolgt für die Dauer der Vertragsbeziehung und bis zu 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Auftragsverarbeitung: Wir haben mit Vercel einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

5. KI-Dienste & Datenbank (Google Cloud & Vertex AI)

Unser KI-Service, die Dokumentenverarbeitung sowie die Speicherung Ihrer Chat-Historie basieren technisch auf der Google Cloud Plattform (insb. Vertex AI und Firestore).
Google: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Bereitstellung der KI-Dienste).
Serverstandort: Die Datenverarbeitung und Speicherung erfolgt primär in der Europäischen Union (Region Europe-West1).
Drittlandtransfer: Der Mutterkonzern Google LLC (USA) ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Sollten in Ausnahmefällen Daten in die USA übertragen werden, ist dies durch das DPF abgedeckt. Die Datenübermittlung erfolgt für die Dauer der Vertragsbeziehung und bis zu 30 Tage nach Vertragsende.
Kein Training der KI: Wir haben unsere Systeme so konfiguriert, dass Ihre Eingaben und hochgeladenen Dokumente ausdrücklich nicht verwendet werden, um die allgemeinen KI-Modelle von Google zu trainieren (Zero-Data-Retention für Modelltraining).
Missbrauchserkennung (Abuse Monitoring): Um illegale Inhalte zu verhindern, werden Eingaben automatisiert geprüft. Hierbei kann Google die Daten technisch bedingt kurzzeitig verschlüsselt speichern, um Missbrauchsfälle zu analysieren.
Keine Verarbeitung sensibler Daten: Die Applikation ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheitsdaten) oder ungeschützter Bankkundendaten vorgesehen. Der Upload derartiger Daten ist gemäß unseren AGB untersagt.
Auftragsverarbeitung: Wir haben mit Google einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

6. Registrierung & Sicherheit (Clerk)

Für die Anmeldung nutzen wir den Dienst Clerk (Clerk, Inc., USA).
Clerk: Clerk, Inc., 660 King Street, Unit 345, San Francisco, CA 94107, USA.

Zweck: Authentifizierung und Account-Sicherheit. Ohne diesen Dienst ist die Nutzung nicht möglich.
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: Clerk ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Die Datenübermittlung erfolgt für die Dauer der Vertragsbeziehung und bis zu 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Auftragsverarbeitung: Wir haben mit Clerk einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

7. Zahlungsabwicklung (Stripe)

Zahlungen für kostenpflichtige Modelle werden über Stripe Technology Europe, Ltd. (Irland) abgewickelt. Wir speichern selbst keine Kreditkartendaten.
Stripe: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO sowie berechtigtes Interesse an der Betrugsprävention, Art. 6 Abs. 1 lit. f DSGVO.
Datenverarbeitung: Stripe verarbeitet technische Nutzungsdaten auch zur Betrugsprävention. Die Datenübermittlung erfolgt für die Dauer der Vertragsbeziehung und bis zu 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Auftragsverarbeitung: Wir haben mit Stripe einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.

8. Speicherdauer & Datenübermittlung

Datenübermittlung an Dritte: Wir übermitteln Ihre Daten an folgende Kategorien von Empfängern: Auftragsverarbeiter (Vercel, Google, Clerk, Stripe) sowie Behörden, sofern wir gesetzlich dazu verpflichtet sind. Eine Übermittlung an andere Dritte erfolgt nicht.

Wir speichern Ihre Daten nur so lange, wie es für die Bereitstellung des Dienstes oder aufgrund gesetzlicher Pflichten notwendig ist:

Account-Daten: Bis zur Löschung Ihres Accounts oder Beendigung des Vertragsverhältnisses.
Chat-Inhalte & Dokumente: Zur Bereitstellung der Chat-Historie in der Applikation werden Ihre Eingaben und Ergebnisse verschlüsselt in unserer Datenbank (Firestore) gespeichert. Sämtliche Chat-Verläufe werden spätestens 30 Tage nach Beendigung des Vertragsverhältnisses unwiderruflich gelöscht. Hochgeladene Dokumente werden ausschließlich im Arbeitsspeicher (RAM) für die Dauer der Verarbeitung gehalten, danach umgehend gelöscht und zu keinem Zeitpunkt persistent in der Datenbank-Historie abgelegt.
Rechnungsdaten: Diese bewahren wir aufgrund der steuerrechtlichen Aufbewahrungspflicht für 7 Jahre auf (§ 132 BAO).

9. Interne Verwaltung & Ihre Rechte

Verarbeitungsverzeichnis: Wir führen ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Sie können Auskunft darüber erhalten, welche Daten wir zu welchen Zwecken verarbeiten.

Datenschutzbeauftragter: Wir haben keinen Datenschutzbeauftragten benannt, da die Voraussetzungen des Art. 37 DSGVO nicht vorliegen.

Webanalyse und Social Media: Wir verwenden keine Webanalyse-Tools zur Analyse des Nutzerverhaltens und binden keine Social Media Plugins auf unserer Website ein.

Automatisierte Entscheidungsfindung: Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO findet nicht statt. Die entsprechenden Informationspflichten gemäß Art. 13 Abs. 2 lit. f DSGVO entfallen.

Ihre Rechte: Ihnen stehen die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenden Sie sich dazu an: prudentia@leibniz-mechanics.ai.

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt. Dies können Sie bei der Österreichischen Datenschutzbehörde (Barichgasse 40-42, 1030 Wien, Österreich) tun.