Datenschutzerklärung

🏢 1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Thomas Brandt
Einzelunternehmer handelnd unter den Marken AX1S und AIGOY

AX1S c/o Clevver
Winterhuder Weg 29, 7. Stock
22085 Hamburg, Germany

E-Mail: [email protected]
Website: aigoy.io · aigoy.ch

Im Folgenden „wir“ oder „Anbieter“ genannt.

📋 2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen AI Governance Platform für EU AI Act Compliance sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

⚖ 3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Betroffenen
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (insbesondere EU AI Act Art. 4, NIS2, DORA)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Betrugsprävention)

🌐 4. Hosting und Bereitstellung der Website

🇪🇺 EU-Hosting

Diese Website wird gehostet bei:

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Beim Besuch unserer Website erfasst der Webserver automatisch:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung, ob der Abruf erfolgreich war
• Erkennungsdaten des verwendeten Browsers und Betriebssystems
• Webseite, von der aus der Zugriff erfolgt (Referrer-URL)

Diese Daten werden aus berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung eines störungsfreien Betriebs temporär in Server-Logfiles gespeichert und nach spätestens 7 Tagen gelöscht.

Auftragsverarbeitung: Wir haben mit IONOS einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

🗄 5. Backend-Infrastruktur (Supabase)

🇪🇺 EU-Rechenzentrum SOC 2 Type II

Für die Authentifizierung, Datenhaltung und serverseitige Logik nutzen wir:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Unser Supabase-Projekt wird in der AWS-Region eu-central-1 (Frankfurt) gehostet. Alle personenbezogenen Daten verbleiben damit innerhalb der Europäischen Union.

5.1 Verarbeitete Daten in Supabase

• Authentifizierung: E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Login-Zeitstempel, Session-Token
• Profildaten: Vorname, Nachname, E-Mail, Abteilung, Mandanten-Zuordnung (tenant_id)
• KI-System-Einträge: System-ID, Systemname, Anbieter, Einsatzzweck, Risikobewertung (Impact, Autonomie, Daten-Sensitivität), Risikolevel, KI-gestützte Vorschläge
• Mandantendaten (B2B): Firmenname, Lizenzschlüssel, Abonnement-Status, Einladungen
• Kaufdaten: Lizenz-ID, Kauf-Status, Referenz zu Stripe-Zahlung

5.2 KI-gestützte Verarbeitung (Edge Functions)

Zur KI-gestützten Risikobewertung nutzen wir Supabase Edge Functions, die einen Drittanbieter-KI-Dienst (Anthropic Claude) aufrufen. Dabei werden folgende Daten übermittelt:

• Systemname und Einsatzzweck des KI-Systems
• Aktuelle Risikobewertung (numerische Werte)

Es werden keine personenbezogenen Daten an den KI-Dienst übermittelt. Die Übermittlung beschränkt sich auf sachbezogene Systeminformationen zur Risikokategorisierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung des Dienstes).

5.3 Sicherheitsmaßnahmen

• Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256)
• Row Level Security (RLS) – Nutzer können nur eigene Daten einsehen
• Regelmäßige Backups innerhalb der EU-Region
• SOC 2 Type II zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gem. EU AI Act).

Auftragsverarbeitung: Die Datenverarbeitung durch Supabase erfolgt auf Grundlage eines Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.

💳 6. Zahlungsabwicklung (Stripe)

🇪🇺 EU-Datenverarbeitung PCI DSS Level 1

Für die Abwicklung kostenpflichtiger Lizenzen nutzen wir:

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Bei einem Kauf werden Sie zur Zahlungsseite von Stripe weitergeleitet (Stripe Payment Links). Folgende Daten werden von Stripe verarbeitet:

• Name und E-Mail-Adresse
• Zahlungsdaten (Kreditkartennummer, Ablaufdatum, etc.)
• Rechnungsadresse
• IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzhinweise Stripe: stripe.com/de/privacy

📊 7. AIGOY AI Governance Platform

7.1 Registrierung und Kontoerstellung

Zur Nutzung der AIGOY Platform werden folgende Daten verarbeitet:

• Vorname und Nachname
• E-Mail-Adresse
• Abteilung / Organisationseinheit
• Passwort (verschlüsselt gespeichert via bcrypt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 KI-System-Inventar und Risikobewertung

Im Rahmen der AIGOY Platform erfassen und speichern wir Informationen zu den KI-Systemen Ihres Unternehmens:

• Stammdaten: KI-System-ID, Systemname, Anbieter, Kategorie, Einsatzzweck
• Risikobewertung: Impact-Wert, Autonomie-Wert, Daten-Sensitivität, Risiko-Score, Risikolevel
• KI-Vorschlag: Automatisierte Risikobewertung auf Basis des EU AI Act (via Supabase Edge Function)
• Begründung: KI-generierte Erläuterung zur vorgeschlagenen Risikoklassifizierung

Diese Verarbeitung ist erforderlich für die Dokumentation und den Nachweis der KI-Governance gemäß EU AI Act (Verordnung 2024/1689) sowie weiterer EU-Regulierungen (NIS2, DORA, DSGVO, CSRD, CRA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und rechtliche Verpflichtung).

7.3 Kompetenznachweise

Im Rahmen der integrierten Schulungsmodule werden bei erfolgreichem Abschluss interne Kompetenznachweise erstellt. Diese enthalten Name, Firma, Datum, Regulierung und Ergebnis. Die Kompetenznachweise dienen als interner Nachweis der KI-Kompetenz gemäß Art. 4 EU AI Act.

Die Speicherung erfolgt zum Nachweis der Compliance gemäß EU AI Act und kann bei Audits vorgelegt werden.

7.4 Einladungssystem (B2B)

Für B2B-Kunden bietet die AIGOY Platform ein Einladungssystem. Dabei werden E-Mail-Adressen eingeladener Nutzer gespeichert, bis die Einladung angenommen oder widerrufen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung B2B-Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an Compliance-Maßnahmen).

7.5 Lizenzschlüssel (B2B)

Für B2B-Kunden verarbeiten wir Lizenzschlüssel, Kundennummern und Nutzungsdaten zur Lizenzverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

💾 8. Lokale Datenspeicherung (localStorage)

Ergänzend zur serverseitigen Speicherung nutzt die Anwendung den localStorage Ihres Browsers für:

• Sprachauswahl
• KI-System-Einträge (lokaler Cache für Offline-Fähigkeit)
• Temporäre Sitzungsdaten

Diese Daten verlassen Ihren Computer nicht und werden nicht an unsere Server übertragen. Sie können diese Daten jederzeit über die Browser-Einstellungen löschen.

🍪 9. Cookies & technische Speicher

Diese Website verwendet ausschließlich technisch notwendige Cookies und localStorage-Einträge für:

• Sprachauswahl (Präferenz)
• Sitzungsverwaltung / Login-Status (Supabase Auth Token)
• KI-Register-Daten (lokaler Cache)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb) sowie § 25 Abs. 2 TDDDG (technisch erforderlich).

✉ 10. E-Mail-Kommunikation

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (inkl. E-Mail-Adresse) zum Zweck der Bearbeitung der Anfrage und für Anschlussfragen gespeichert. Diese Daten werden nicht ohne Ihre Einwilligung weitergegeben.

Systembenachrichtigungen (z.B. Einladungs-E-Mails, Passwort-Reset) werden über Supabase Auth versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

🔄 11. Datenweitergabe an Dritte

Eine Übermittlung personenbezogener Daten an Dritte findet nur statt, wenn:

• dies zur Vertragserfüllung erforderlich ist (z.B. Stripe bei Zahlungen)
• eine gesetzliche Verpflichtung besteht
• Sie ausdrücklich eingewilligt haben

Aktuelle Auftragsverarbeiter:

• IONOS SE (Deutschland) – Webhosting
• Supabase Inc. (EU-Region Frankfurt) – Backend, Datenbank, Authentifizierung, Edge Functions
• Stripe Payments Europe, Ltd. (Irland) – Zahlungsabwicklung
• Anthropic PBC (USA) – KI-Dienst für Risikobewertung (keine personenbezogenen Daten)
• Clevver GmbH (Deutschland) – Virtuelle Geschäftsadresse

🌍 12. Datenübermittlung in Drittländer

Alle personenbezogenen Daten werden innerhalb der Europäischen Union bzw. des EWR verarbeitet:

• IONOS: Deutschland 🇩🇪
• Supabase: AWS eu-central-1, Frankfurt 🇩🇪
• Stripe: Dublin, Irland 🇮🇪

Supabase Inc. hat seinen Hauptsitz in Singapur. Die Datenverarbeitung unserer Instanz erfolgt jedoch ausschließlich in der EU-Region (Frankfurt). Für den Fall, dass Supabase-Mitarbeiter aus Drittländern Zugriff auf Systeme benötigen, erfolgt dies auf Grundlage von Standard Contractual Clauses (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Stripe Payments Europe, Ltd. verarbeitet Zahlungsdaten in der EU. Für die Übermittlung an die Stripe, Inc. (USA) gelten ebenfalls SCCs und das EU-U.S. Data Privacy Framework.

Die KI-gestützte Risikobewertung nutzt einen Dienst von Anthropic PBC (USA). Es werden dabei keine personenbezogenen Daten übermittelt – lediglich sachbezogene Systeminformationen (Systemname, Einsatzzweck) zur Risikokategorisierung.

⏱ 13. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

• Server-Logfiles: max. 7 Tage
• Kontodaten: bis zur Kontolöschung bzw. Vertragsende, zzgl. gesetzlicher Aufbewahrungsfristen
• Rechnungs-/Zahlungsdaten: 10 Jahre (steuerrechtlich, §147 AO)
• Vertragsdaten: 6 Jahre (handelsrechtlich, §257 HGB)
• KI-Register-Einträge und Kompetenznachweise: Für die Dauer der gesetzlichen Nachweispflicht gemäß EU AI Act, NIS2 und weiteren EU-Regulierungen (mindestens 5 Jahre empfohlen)
• Einladungen: bis zur Annahme oder Widerruf, max. 12 Monate

🛡 14. Ihre Rechte (DSGVO)

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden“
• Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Daten in einem gängigen Format erhalten
• Widerspruch (Art. 21 DSGVO) – Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
• Widerruf – Erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO).

📮 15. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde für unseren Geschäftssitz:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
Telefon: +49 40 42854-4040
E-Mail: [email protected]
Website: datenschutz-hamburg.de

🤖 16. Hinweis zur KI-gestützten Risikobewertung

Die AIGOY Platform bietet eine KI-gestützte Risikobewertung auf Basis der EU AI Act Risikokategorien. Diese Bewertung dient ausschließlich als Orientierungshilfe und stellt keine rechtsverbindliche Einstufung, kein Zertifikat und keinen staatlich anerkannten Nachweis dar.

Die automatisierte Risikobewertung ersetzt keine individuelle rechtliche Prüfung durch qualifizierte Fachpersonen oder Behörden. Die endgültige Verantwortung für die korrekte Risikoklassifizierung und Compliance-Einhaltung gemäß EU AI Act (Verordnung 2024/1689) liegt beim Betreiber bzw. Anbieter des jeweiligen KI-Systems.

AIGOY by AX1S übernimmt keine Haftung für Entscheidungen, die auf Grundlage der KI-gestützten Risikobewertung getroffen werden. Die bereitgestellten Ergebnisse können von offiziellen behördlichen Einstufungen abweichen.

📝 17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils neue Datenschutzerklärung.

Letzte Aktualisierung: März 2026