DATENSCHUTZ

Datenschutzerklärung

Stand: 30. März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Stefan Hartmann

Einzelunternehmer, handelnd unter “Hartie Labs”

Kipperweg 5
70569 Stuttgart
Deutschland

E-Mail: info@ai-casefile.eu

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich in Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Die Verarbeitung erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO), aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Sie in die Verarbeitung eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO).

Privacy by Design & Privacy by Default

Wir erheben nur die für den Betrieb der Plattform zwingend erforderlichen Daten. Alle Daten werden organisationsbezogen isoliert gespeichert (Multi-Tenancy). Wir verkaufen keine Daten an Dritte.

3. Erhobene Daten

3.1 Kontodaten

Bei der Registrierung erheben wir: E-Mail-Adresse, vollständiger Name, Organisationsname und Passwort (gehasht gespeichert). Diese Daten sind für die Bereitstellung des Dienstes erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

3.2 KI-Anwendungsfälle & Plattformdaten

Von Nutzern eingegebene Daten zu KI-Anwendungsfällen umfassen: Beschreibungen, Risikobewertungen, Prüfhistorien, Genehmigungsstatus, Impact Assessments und zugehörige Metadaten. Diese werden ausschließlich innerhalb Ihrer Organisation gespeichert und verarbeitet.

3.3 Nutzungsdaten & Aktivitätsprotokolle

Wir protokollieren Aktivitäten (Anmeldungen, Änderungen, Genehmigungen) in einem Aktivitätsprotokoll zur Sicherstellung der Nachvollziehbarkeit und Compliance. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität der Plattform).

3.4 Zahlungsdaten

Zahlungsdaten (Kreditkartennummern, IBAN) werden ausschließlich bei Stripe, Inc. verarbeitet und nicht auf unseren Servern gespeichert. Wir erhalten lediglich eine Zahlungsbestätigung, die gewählte Zahlungsmethode (letzte 4 Ziffern) und die Stripe-Kunden-ID.

4. Drittanbieter und KI-Dienste

4.1 OpenAI (KI-Funktionen)

Wir nutzen OpenAI-Modelle (OpenAI, L.L.C., San Francisco, USA) für folgende Funktionen:

  • Automatische Klassifizierung von KI-Anwendungsfällen sowie Generierung von Risikobewertungen und DSGVO-Flags: dabei werden vom Nutzer eingegebene Textbeschreibungen übermittelt.
  • Sprach-zu-Text-Transkription (gpt-4o-transcribe): bei Nutzung der optionalen Spracheingabe werden Audioaufnahmen zur Transkription an OpenAI übermittelt. Die Aufnahmen werden ausschließlich für die Transkription verarbeitet und nicht dauerhaft gespeichert. Die Nutzung der Spracheingabe ist freiwillig; alternativ steht eine Texteingabe zur Verfügung.
  • KI-Assistent innerhalb der Plattform: dabei werden Nutzereingaben übermittelt.

OpenAI speichert API-Daten maximal 30 Tage zur Missbrauchserkennung und nutzt diese nicht zum Training von Modellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ein Auftragsverarbeitungsvertrag (Data Processing Addendum) liegt vor.

4.2 Stripe (Zahlungsabwicklung)

Zahlungen werden über Stripe, Inc. (San Francisco, USA) abgewickelt. Stripe erhält die für die Zahlungsabwicklung erforderlichen Daten und ist PCI DSS Level 1 zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.3 Resend (E-Mail-Versand)

Transaktionale E-Mails (Einladungen, Passwort-Reset, Benachrichtigungen) werden über Resend, Inc. (USA) versendet. Dabei werden E-Mail-Adresse und Nachrichteninhalt übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.4 PostHog (Webanalyse)

Wir setzen PostHog (PostHog, Inc., USA) zur Analyse der Nutzung unserer Plattform ein. PostHog erfasst anonymisierte Nutzungsdaten wie Seitenaufrufe, Klicks und Feature-Nutzung. Es werden keine personenbezogenen Profile erstellt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes).

5. Internationale Datenübermittlung

Einige unserer Dienstleister (OpenAI, Stripe, Resend, PostHog) haben ihren Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf folgenden Grundlagen:

  • EU-US Data Privacy Framework (DPF): Stripe und OpenAI sind unter dem EU-US Data Privacy Framework zertifiziert, das einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) besitzt.
  • Standardvertragsklauseln (SCCs): Ergänzend bestehen mit allen US-Dienstleistern EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Schutzmaßnahme.

Wir überprüfen regelmäßig, ob die Schutzmaßnahmen unserer Dienstleister dem erforderlichen Datenschutzniveau entsprechen.

6. Hosting

Diese Plattform wird auf eigener Infrastruktur (K3s-Cluster) bei Hetzner Online GmbH in Deutschland betrieben. Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet. Es gilt europäisches Datenschutzrecht.

Server-Log-Dateien

Der Webserver erhebt automatisch: Browsertyp/-version, Betriebssystem, Referrer-URL, Hostname, Zeitpunkt des Zugriffs und IP-Adresse. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nach 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).

7. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookie) und Spracheinstellung. Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 TDDDG.

CookieZweckDauer
next-auth.session-tokenAuthentifizierungSession / 30 Tage
NEXT_LOCALESpracheinstellung1 Jahr

Marketing-Cookies oder Tracking-Cookies Dritter werden nicht eingesetzt. Die Webanalyse erfolgt über PostHog ohne Verwendung von Cookies (siehe Abschnitt 4.4).

8. Speicherdauer

DatenkategorieSpeicherdauer
KontodatenBis zur Löschung des Kontos + 30 Tage Übergangsfrist
KI-Anwendungsfälle & PlattformdatenBis zur Löschung durch den Nutzer oder Kontolöschung
Aktivitätsprotokolle12 Monate, danach automatisch gelöscht
Server-Log-Dateien30 Tage
Zahlungsdaten (Stripe)Gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (bis zu 10 Jahre)
Analysedaten (PostHog)12 Monate

Nach Ablauf der jeweiligen Speicherdauer werden Daten automatisch gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere § 147 AO, § 257 HGB).

9. Datensicherheit

  • HTTPS/TLS-Verschlüsselung aller Verbindungen
  • Verschlüsselung der Daten im Ruhezustand (Encryption at Rest)
  • Passwörter werden mit bcrypt gehasht — Klartextpasswörter werden nie gespeichert
  • Rollenbasierte Zugriffskontrolle (RBAC) auf Organisationsebene
  • Multi-Tenancy-Architektur: strikte Datenisolation zwischen Organisationen
  • Regelmäßige Sicherheitsupdates und Dependency-Monitoring
  • SOPS-verschlüsselte Secrets-Verwaltung in der Infrastruktur

10. Ihre Rechte nach DSGVO

  • Auskunft (Art. 15 DSGVO) — Recht auf Auskunft über Ihre gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) — Recht auf Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) — Recht auf Löschung Ihrer Daten („Recht auf Vergessenwerden“)
  • Einschränkung (Art. 18 DSGVO) — Recht auf Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) — Recht auf Erhalt Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO) — Recht auf Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Recht auf jederzeitigen Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@ai-casefile.eu — Wir antworten innerhalb von 30 Tagen.

11. Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)

Lautenschlagerstraße 20
70173 Stuttgart
Deutschland

www.baden-wuerttemberg.datenschutz.de

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

13. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:

info@ai-casefile.eu

Diese Datenschutzerklärung entspricht den Anforderungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).