Vertrauen & Sicherheit
Ehrliche Offenlegung der Datenflüsse.
Ataski verarbeitet Ihre Daten ausschließlich, um den von Ihnen gebuchten Dienst zu erbringen. Wir verkaufen Ihre Daten nicht. Wir trainieren keine KI-Modelle mit Ihren Daten. Wir teilen Ihre Daten nicht mit Werbenetzwerken, Datenhändlern oder verbundenen Unternehmen. Nachfolgend finden Sie die ehrliche Übersicht darüber, was wir zum Betrieb des Dienstes nutzen und was jeder Anbieter sieht.
Zuletzt aktualisiert 2026-05-23 · innerhalb von 14 Tagen nach jeder Änderung eines Unterauftragsverarbeiters aktualisiert.
Standardhaltung
KI mit Ihren Daten trainieren.
Anthropic und OpenAI verwenden auf der API-Ebene standardmäßig kein Training. Wir stimmen einem Training niemals zu. Die Einschreibung in die Zero-Data-Retention bei OpenAI ist in Arbeit, um deren standardmäßiges 30-tägiges Missbrauchsüberwachungsfenster zu entfernen.
Standardhaltung
Standardmäßig schreibgeschützt.
Jede Integration wird mit schreibgeschützten OAuth-Berechtigungen ausgeliefert. Wir schreiben nicht in Ihr CRM, Ihren Kalender, Ihr Postfach oder Ihr Nachrichtensystem. Jede künftige Schreibfunktion ist durch einen separaten, geprüften Freigabeprozess pro Integration abgesichert — niemals stillschweigend durch eine Berechtigungsänderung aktiviert.
Grenzen
Was wir nicht tun.
-
Sell your data.
We have never sold customer data. We do not have a commercial relationship with data brokers, marketing networks, or affiliated companies that would receive it.
-
Train AI on your data.
Anthropic and OpenAI both default to no-train on the API tier. We never opt in to training. We are pursuing zero-data-retention enrollment with OpenAI to remove their default 30-day abuse-monitoring retention.
-
Share data across customers.
Every tenant-scoped table enforces Postgres Row Level Security via a session variable that follows every query. A query without a tenant context returns zero rows. The boundary is enforced at the database, not at the application layer.
-
Read your meeting transcripts.
When live meeting recording re-enables (paused per ADR-0068 pending the consent-capture flow), Recall.ai will capture the transcript on your behalf. Today: you upload the transcript directly via the meeting dashboard. Our server reads each transcript once to produce the recap email you requested, and the recap goes through cross-family supervisor review before send. No human at Ataski reads the transcript outside an incident-response investigation, which is itself audit-logged.
-
Write to your tools.
Every integration we ship is read-only by default. OAuth scopes are pinned to read-only at registration. A separate, audited approval flow gates any future write capability.
Praktiken
Was wir tun.
-
Use named sub-processors under DPA.
Every vendor below holds bytes of customer data only because they power a feature you are using. Each has a written Data Processing Agreement. We update this page within 14 days of any sub-processor change.
-
Audit every action.
Append-only audit log captures every LLM call, external API hit, data modification — with tenant, user, cost, latency, correlation ID. Retained for the life of the tenant, hard-deleted at offboarding.
-
Encrypt OAuth tokens at rest.
Refresh tokens are Fernet-encrypted in the database. Per-tenant encryption keys (envelope encryption) ship before any non-FreeBusy integration goes live.
-
Honour deletion within 30 days.
Cancel from /app/settings → Delete workspace. A 30-day reversible grace, then a hard purge across every tenant-scoped table propagates to every sub-processor we send your data to. Audit log goes too.
-
Cross-family supervisor review.
Every drafted output is re-read by a different model family before send. Same blind spots fail together; cross-family supervision catches the hallucinations a single LLM cannot self-diagnose. Lead-identity tokens are redacted before the supervisor sees them.
Unterauftragsverarbeiter
Anbieter, die Bytes Ihrer Daten speichern.
Jeder ist durch einen schriftlichen Auftragsverarbeitungsvertrag gebunden. Sie betreiben eine bestimmte Funktion, die Sie nutzen; Bytes gelangen sonst nirgendwohin.
| Anbieter | Zweck | Zugegriffene Daten | Region | DPA |
|---|---|---|---|---|
| Hetzner Online GmbH | Application server hosting (CCX23 Ashburn) | all customer data via application access | Germany (data center USA) | Ansehen → |
| Neon, Inc. | Postgres database hosting | all customer data via RLS | USA | Ansehen → |
| Cloudflare, Inc. | DNS, CDN, WAF, R2 object storage (PDFs, HTML snapshots) | board pack PDFs; HTML snapshots; static assets; network metadata (IP, request path) | USA | Ansehen → |
| WorkOS, Inc. | Authentication (SSO / SAML / passwordless) | authentication credentials; user identity | USA | Ansehen → |
| Wildbit, LLC (Postmark) | Transactional email delivery + inbound webhook | recipient email addresses; email body content | USA | Ansehen → |
| Anthropic, PBC | Worker LLM inference (Claude API) | user prompts; model outputs | USA | Ansehen → |
| OpenAI, OpCo, LLC | Cross-family supervisor LLM + embeddings | user prompts; model outputs; embedding inputs | USA | Ansehen → |
| Google LLC (Vertex AI / Gemini) | Tier-3 tiebreaker LLM when worker and supervisor disagree | user prompts; model outputs | USA | Ansehen → |
| Recall.ai (Reduct Video, Inc.) | Meeting bot identity + transcription (Meeting Coordinator, Board Pack co-pilot) | meeting audio; meeting transcripts; participant names and emails; meeting chat messages | USA | Ansehen → |
| Bright Data Ltd | MCP-orchestrator primary: SERP search, Web Unlocker, firmographic datasets | customer ICP query; public-web search results; company and team page extractions | Israel (global data centers) | Ansehen → |
| Perplexity AI, Inc. | Sonar API — search and synthesis for personalization context | email or domain inputs; public-web summaries | USA | Ansehen → |
| ZeroBounce, Inc. | Email deliverability verification (PAYG, no vendor-side PII retention) | email addresses submitted for verification | USA | Ansehen → |
| Apify Technologies s.r.o. | Pre-built actors for non-LinkedIn scraping and signal aggregation | per-actor query inputs; structured public-web extractions | Czech Republic (EU) | Ansehen → |
| Stripe, Inc. | Billing / payment processing (Checkout, customer portal, Stripe Tax) | billing details; subscription data | USA | Ansehen → |
| Langfuse GmbH | LLM trace storage (async-pushed prompts + completions) | LLM prompt content; LLM completion content; model and cost metadata | Germany (EU) | Ansehen → |
| Bugsink B.V. | Error tracking (Sentry-compatible, PII off by default) | stack traces; request metadata (tenant_id, correlation_id) | Netherlands (EU) | Ansehen → |
| PostHog, Inc. | Product analytics (page-view and event telemetry) | page-view events; anonymized session traces | USA | Ansehen → |
| Better Stack sp. z o.o. (Logtail) | Uptime monitoring and heartbeats | endpoint health metadata | Poland (EU) | Ansehen → |
Ihre Rechte
Exportieren, korrigieren, löschen.
Nach der DSGVO / UK GDPR können Sie eine Kopie Ihrer Daten anfordern, uns um Korrektur bitten oder uns um Löschung bitten. Die Löschung erfolgt innerhalb von 30 Tagen nach Ihrer Anfrage und wird an jeden oben genannten Unterauftragsverarbeiter weitergegeben. Export per Selbstbedienung über Ihr Dashboard; Löschanfrage an info@globaldeal.app oder über /app/settings → Workspace löschen.
Sicherheitsarchitektur
Mandantenisolierung, nur-anhängendes Audit, verschlüsselte Geheimnisse.
Postgres Row Level Security für jede mandantenbezogene Tabelle. Nur-anhängendes Audit-Log mit Kosten + Latenz + Korrelations-ID pro Aktion. Fernet-verschlüsselte OAuth-Tokens im Ruhezustand, mit Envelope-Verschlüsselung (mandantenbezogene DEKs), die vor jeder Nicht-FreeBusy-Integration ausgeliefert wird. TLS 1.2+ bei der Übertragung. WorkOS-vorgeschaltetes SSO mit versiegelten Session-Cookies (__Host--Attribut). Cloudflare WAF. Hetzner-Snapshots rotieren innerhalb von 7 Tagen.
Compliance
DSGVO umgesetzt. SOC 2 in Arbeit.
DSGVO-Kontrollen gemäß den obigen Abschnitten zu Rechten und Löschung umgesetzt. Die Sammlung von Nachweisen für SOC 2 Type 1 läuft; wir veröffentlichen ein Status-Badge auf dieser Seite, sobald der Bericht ausgestellt ist. HIPAA gehört derzeit nicht zum Umfang.
Unternehmensinformationen
Wer Ataski betreibt.
GlobalDeal Inc.
Ataski wird von GlobalDeal Inc. betrieben, einer Delaware C-Corporation. Postanschrift:
GlobalDeal Inc.1720 W Ball Rd, Ste 4B #136
Anaheim, CA 92804
United States
Allgemeine Anfragen: info@globaldeal.app · Rechtliches: legal@ataski.com
Fragen
Erreichen Sie den Gründer.
Schreiben Sie an info@globaldeal.app. Für Beschaffung / Sicherheitsprüfung senden Sie Ihren DPA + Unterauftragsverarbeiter-Fragebogen, und wir bearbeiten ihn innerhalb von 48 Stunden.