Datenschutzerklärung

Stand: März 2026 · Gemäß EU-DSGVO (Verordnung 2016/679)

🏢 1. Verantwortlicher

📋 2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen AI Governance Platform sowie unserer Inhalte und Leistungen erforderlich ist.

⚖ 3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Betroffenen
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (EU AI Act, NIS2, DORA)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (IT-Sicherheit, Betrugsprävention)

🌐 4. Hosting (IONOS)

Diese Website wird bei IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland gehostet. Beim Besuch erfasst der Webserver automatisch IP-Adresse, Zeitstempel, angeforderte Dateien und Referrer-URL. Diese Daten werden nach spätestens 7 Tagen gelöscht.

Auftragsverarbeitung: Vertrag gemäß Art. 28 DSGVO mit IONOS abgeschlossen.

🗄 5. Backend-Infrastruktur (Supabase)

Für Authentifizierung, Datenhaltung und serverseitige Logik nutzen wir Supabase Inc. Unser Projekt wird in AWS eu-central-1 (Frankfurt) gehostet — alle Daten verbleiben in der EU.

5.1 Verarbeitete Daten

• Authentifizierung: E-Mail, verschlüsseltes Passwort (bcrypt), Login-Zeitstempel
• Profildaten: Name, E-Mail, Abteilung, Mandanten-Zuordnung
• KI-System-Einträge: System-ID, Name, Anbieter, Risikobewertung
• Mandantendaten (B2B): Firmenname, Lizenzschlüssel, Abonnement-Status

5.2 KI-gestützte Verarbeitung (Edge Functions)

Zur Risikobewertung nutzen wir Supabase Edge Functions, die Anthropic Claude aufrufen. Es werden keine personenbezogenen Daten übermittelt — nur Systemname und Einsatzzweck. Anthropic trainiert seine Modelle vertraglich nicht mit den übermittelten Daten (No-Training-Zusage); ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist abgeschlossen.

5.3 Sicherheitsmaßnahmen

Verschlüsselung (TLS 1.2+ / AES-256), Row Level Security, regelmäßige Backups in der EU, Hosting bei SOC-2-Type-II-zertifiziertem Anbieter (Supabase).

💳 6. Zahlungsabwicklung (Stripe)

Kostenpflichtige Lizenzen werden über Stripe Payments Europe, Ltd. (Dublin, Irland) abgewickelt. Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert.

Datenschutzhinweise Stripe: stripe.com/de/privacy

📊 7. AIGOY AI Governance Platform

7.1 Registrierung

Zur Nutzung werden E-Mail-Adresse, Name und Passwort (verschlüsselt) verarbeitet.

7.2 KI-System-Inventar und Risikobewertung

Wir speichern Stammdaten, Risikobewertungen und KI-Vorschläge zu Ihren KI-Systemen. Diese Verarbeitung ist für die Dokumentation gemäß EU AI Act, NIS2 und DORA erforderlich.

7.3 Kompetenznachweise

Bei Schulungsabschluss werden interne Kompetenznachweise erstellt. Diese sind keine staatlich anerkannten Zertifikate.

💾 8. Lokale Datenspeicherung

Die Anwendung nutzt den localStorage Ihres Browsers für Sprachauswahl, KI-System-Einträge (Cache) und Sitzungsdaten. Diese Daten verlassen Ihren Computer nicht.

🍪 9. Cookies & technische Speicher

✉ 10. E-Mail-Kommunikation

E-Mail-Anfragen werden zur Bearbeitung gespeichert. Systembenachrichtigungen werden über Supabase Auth versendet.

🔄 11. Datenweitergabe an Dritte

Aktuelle Auftragsverarbeiter: IONOS SE (DE, Hosting), Supabase Inc. (EU Frankfurt, Backend), Stripe Payments Europe (IE, Zahlung), Anthropic PBC (USA, KI-Dienst Modell Claude — keine Nutzung der übermittelten Daten zu Trainingszwecken, AVV gem. Art. 28 DSGVO).

🌍 12. Datenübermittlung in Drittländer

Alle personenbezogenen Daten werden innerhalb der EU/EWR verarbeitet: IONOS (DE), Supabase (Frankfurt), Stripe (Dublin). Für etwaige Zugriffe aus Drittländern gelten Standard Contractual Clauses.

KI-Dienst (Anthropic): Für KI-gestützte Analysen und den Compliance CoWorker „Felix" nutzen wir das Modell Claude von Anthropic PBC (San Francisco, USA). Anthropic trainiert seine Modelle vertraglich nicht mit den über die API übermittelten Daten (No-Training-Zusage). Für die Drittlandübermittlung in die USA gelten Standard Contractual Clauses (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie das EU-U.S. Data Privacy Framework; ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist abgeschlossen. Eine EU-Inferenz (z. B. über AWS Bedrock in Frankfurt) sowie eine kundenseitige Modell-/Schlüsselwahl (BYOK) sind in Vorbereitung.

⏱ 13. Speicherdauer

• Server-Logfiles: max. 7 Tage
• Kontodaten: bis Kontolöschung + Aufbewahrungsfristen
• Rechnungsdaten: 10 Jahre (§147 AO)
• KI-Register-Einträge: mind. 5 Jahre (EU AI Act Nachweispflicht)

🛡 14. Ihre Rechte (DSGVO)

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf von Einwilligungen.

Kontakt: · Bearbeitungsfrist: max. 1 Monat.

📮 15. Beschwerderecht

🤖 16. KI-gestützte Risikobewertung

Die AIGOY Platform bietet eine KI-gestützte Risikobewertung als Orientierungshilfe. Sie ersetzt keine rechtliche Prüfung. AIGOY übernimmt keine Haftung für Entscheidungen, die auf Grundlage der KI-gestützten Risikobewertung getroffen werden.

📝 17. Änderungen

Wir behalten uns das Recht vor, diese Datenschutzerklärung anzupassen, um geänderte rechtliche Anforderungen oder Änderungen unserer Dienste abzubilden. Es gilt stets die aktuelle Fassung.