Live-Demo Ablauf Zero Knowledge FAQ
Kanzleien Arztpraxen Unternehmen Developer Behörden NEU
API NEU Post-Quantum NEU
Preise Blog Kontakt
Login Kostenlos testen

Datenschutzerklärung

Stand: 3. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

KI-Shield UG (haftungsbeschränkt) i.G.
Geschäftsführerin: Johanna Bringezu
Ritterstraße 2
99718 Greußen
Deutschland

Telefon: 0175 6486634
E-Mail: info@ki-shield.de

2. Datenschutzbeauftragter

Wir sind gemäß § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da wir weniger als 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@ki-shield.de

3. Übersicht der Verarbeitungen

KI-Shield ist ein Compliance-Proxy und eine zusätzliche technische Schutzmaßnahme im Sinne von Art. 25 und Art. 32 DSGVO für KI-Dienste. Der Dienst pseudonymisiert personenbezogene Daten (PII) in Echtzeit, bevor Anfragen an KI-Provider weitergeleitet werden. Dadurch verlassen keine personenbezogenen Daten im Klartext den europäischen Rechtsraum.

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten, die Zwecke ihrer Verarbeitung und die betroffenen Personen zusammen.

Arten verarbeiteter Daten:

  • Bestandsdaten (Name, E-Mail-Adresse)
  • Authentifizierungsdaten (Passwort-Hashes, JWT-Tokens, API-Keys)
  • Inhaltsdaten (Chat-Texte zur PII-Erkennung und Pseudonymisierung)
  • Nutzungsdaten (Token-Verbrauch, gewähltes KI-Modell, Latenz)
  • Meta-/Kommunikationsdaten (IP-Adresse, Browsertyp, Zeitstempel)
  • Zahlungsdaten (nur bei Stripe gespeichert, nicht bei uns)

Kategorien betroffener Personen:

  • Registrierte Nutzer des KI-Shield-Dienstes
  • Besucher der Website
  • Newsletter-Abonnenten

4. Erhobene personenbezogene Daten

4.1 Registrierung und Benutzerkonto

Bei der Registrierung erheben wir:

  • Name
  • E-Mail-Adresse
  • Passwort (als kryptographischer bcrypt-Hash gespeichert, nicht im Klartext)
  • Auth-Provider (E-Mail oder Google)

Diese Daten sind für die Begründung und Durchführung des Nutzungsvertrags erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Google-Login (Google Identity Services)

Sofern Sie sich über Google anmelden, erhalten wir von Google ausschließlich Ihren Namen und Ihre E-Mail-Adresse. Es werden keine weiteren Google-Daten abgerufen. Die Datenübermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Datenschutzerklärung: https://policies.google.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.3 KI-Anfragen (Chat-Daten)

Wenn Sie eine KI-Anfrage stellen, verarbeiten wir den Inhalt Ihrer Nachrichten ausschließlich zum Zweck der PII-Erkennung und Pseudonymisierung. Der Ablauf:

  • Schritt 1 — PII-Erkennung: Ihr Text wird lokal auf unserem Server analysiert (Presidio + spaCy de_core_news_lg + 43 eigene Recognizer). Erkannte personenbezogene Daten (Namen, E-Mails, IBANs, Adressen, Steuer-IDs, Gesundheitsdaten, Kfz-Kennzeichen etc.) werden durch Pseudonyme ersetzt (z.B. „PERSON_001“, „IBAN_001“).
  • Schritt 2 — Weiterleitung: Nur der pseudonymisierte Text wird an den gewählten KI-Provider weitergeleitet. Ihre Originaldaten verlassen unseren Server nie.
  • Schritt 3 — Re-Identifikation: Die KI-Antwort wird empfangen und die Pseudonyme werden für Sie wieder aufgelöst.

Die Zuordnung Pseudonym ↔ Original wird verschlüsselt (AES-256 Fernet, Zero-Knowledge) in der Datenbank gespeichert und nach Ablauf einer konfigurierbaren Frist (Standard: 24 Stunden) automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an DSGVO-konformer KI-Nutzung).

4.4 Audit-Logs

Zu Compliance-Zwecken protokollieren wir Meta-Daten jeder Anfrage: Zeitstempel, Provider, Modell, Anzahl erkannter PII-Typen, Latenz und Token-Verbrauch. Audit-Logs enthalten keine Klartextdaten und sind digital signiert (Ed25519 + ML-DSA-65 Hybrid-Signatur) zur Manipulationssicherheit. Die Einträge werden in einer kryptographischen Hash-Kette verkettet und regelmäßig auf der Polygon-Blockchain verankert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gem. EU AI Act), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachweisbarkeit und Integrität).

4.5 Kontaktaufnahme

Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden die von Ihnen mitgeteilten Daten (E-Mail-Adresse, ggf. Name, Telefonnummer, Inhalt der Anfrage) zum Zweck der Bearbeitung Ihres Anliegens verarbeitet und gespeichert. Diese Daten werden nach vollständiger Bearbeitung Ihres Anliegens gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

4.6 Zahlungsdaten (Stripe)

Zahlungen werden über Stripe abgewickelt. Wir speichern selbst keine Kreditkarten- oder Bankdaten. Bei uns werden lediglich die Stripe-Kunden-ID und der Abonnement-Status gespeichert. Stripe erhält und verarbeitet:

  • E-Mail-Adresse (zur Rechnungszustellung)
  • Zahlungsinformationen (Kreditkarte, SEPA etc. — ausschließlich bei Stripe gespeichert)
  • Abrechnungsverlauf und Abonnement-Status

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.

Datenschutzerklärung: https://stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. KI-Provider (Auftragsverarbeitung / Drittlandtransfer)

KI-Shield unterstützt verschiedene KI-Provider. An diese wird ausschließlich pseudonymisierter Text übermittelt. Folgende Provider können je nach Nutzerkonfiguration und gewähltem Plan verwendet werden:

Anbieter Modelle Cloud-Region Training mit Kundendaten
OpenAI, Inc. (USA)GPT-4o, GPT-4o-miniUSA (API: kein EU-Hosting)Nein (API-Nutzung)
Anthropic, PBC (USA)Claude Opus, Sonnet, HaikuUSA (GCP us-east)Nein (API-Nutzung)
Google LLC (USA)Gemini Pro, FlashEU (europe-west) verfügbarNein (API-Nutzung)
Mistral AI (Frankreich)Mistral, MixtralEU (Paris)Nein
Groq, Inc. (USA)LLaMA-basierte ModelleUSANein
Perplexity AI (USA)Sonar-ModelleUSANein (API-Nutzung)
DeepSeek (China)DeepSeek-V3, R1ChinaNein (API-Nutzung)
Cohere, Inc. (Kanada)Command-RKanada/USANein (API-Nutzung)
OpenRouter (USA)Meta-Router (300+ Modelle)variiert je ModellNein

Wichtig: Alle genannten Provider erhalten ausschließlich pseudonymisierte Daten. Keiner der Provider nutzt API-Anfragen zum Training seiner Modelle. Im Browser-ZK-Modus verlassen Klartextdaten zu keinem Zeitpunkt den Browser des Nutzers.

Da ausschließlich pseudonymisierte Daten übermittelt werden, vertreten wir die Auffassung, dass pseudonymisierte Daten für den Empfänger ohne Zugang zur Zuordnungstabelle keine personenbezogenen Daten darstellen (vgl. EuGH C-413/23, Erwg. 26 DSGVO). Die Zuordnungstabelle verbleibt verschlüsselt (AES-256 Fernet) auf unserem Server in Deutschland und wird den KI-Providern nicht zugänglich gemacht. Zusätzlich setzen wir EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Absicherung für Drittlandtransfers ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), Art. 46 Abs. 2 lit. c DSGVO (SCCs).

5a. Kategorien von Empfängern

Wir übermitteln personenbezogene Daten nur an Dritte, soweit dies zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei unterscheiden wir:

Auftragsverarbeiter (Art. 28 DSGVO)

Folgende Dienstleister verarbeiten Daten in unserem Auftrag auf Grundlage von Auftragsverarbeitungsverträgen:

  • Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting, Backup-Speicher
  • Stripe Payments Europe, Ltd. (Dublin, Irland) — Zahlungsabwicklung

Empfänger pseudonymisierter Daten

Die unter Abschnitt 5 genannten KI-Provider erhalten ausschließlich pseudonymisierte Texte ohne Zugang zur Zuordnungstabelle. Nach unserer Auffassung stellen diese Daten für den Empfänger keine personenbezogenen Daten dar (vgl. EuGH C-413/23, Erwg. 26 DSGVO).

Keine weiteren Empfänger

Wir setzen keine Analyse-, Tracking- oder Werbedienste ein (kein Google Analytics, kein Meta Pixel, keine Drittanbieter-Fonts). Alle statischen Ressourcen (JavaScript, CSS, Schriftarten) werden von unseren eigenen Servern ausgeliefert. Eine Weitergabe an sonstige Dritte erfolgt nur, soweit wir hierzu gesetzlich verpflichtet sind (z.B. auf Anordnung einer Behörde oder eines Gerichts).

5b. Datenübermittlung in Drittländer

Soweit wir Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, stellen wir durch geeignete Garantien sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

  • KI-Provider (USA, Kanada, China): Es werden ausschließlich pseudonymisierte Daten übermittelt. Zusätzlich setzen wir EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Absicherung ein. Siehe Abschnitt 5 für Details zu den einzelnen Providern.
  • Google Identity Services (Login): Name und E-Mail-Adresse werden auf Grundlage der SCCs an Google Ireland Limited übermittelt. Siehe Abschnitt 4.2.
  • Stripe (Zahlungen): Zahlungsdaten werden von Stripe Payments Europe, Ltd. (Irland) verarbeitet. Stripe kann Daten in die USA übertragen; Grundlage ist der EU-US Data Privacy Framework (Angemessenheitsbeschluss) sowie SCCs.

Hetzner-Hosting: Sämtliche eigenen Server stehen in Deutschland. Hier findet kein Drittlandtransfer statt.

Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln), Art. 45 DSGVO (Angemessenheitsbeschluss für EU-US Data Privacy Framework).

6. Hosting und Infrastruktur

6.1 Server-Hosting (Hetzner)

Unsere Server werden bei Hetzner Online GmbH betrieben. Sämtliche Daten werden ausschließlich auf Servern in Deutschland gespeichert und verarbeitet. Eine Übermittlung in Drittländer findet nicht statt.

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Datenschutzerklärung: https://www.hetzner.com/de/legal/privacy-policy

Hetzner verarbeitet Daten im Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Hosting), Art. 28 DSGVO (Auftragsverarbeitung).

6.2 Technische Infrastruktur

Wir setzen folgende Technologien ein, die ausschließlich auf unseren Hetzner-Servern in Deutschland laufen:

  • PostgreSQL 16: Datenbank für Benutzerkonten, verschlüsselte Pseudonym-Mappings und Audit-Logs (mTLS-gesichert)
  • Redis 7: In-Memory-Cache für Rate-Limiting und Session-Verwaltung (TLS-verschlüsselt, keine persistenten personenbezogenen Daten)
  • Caddy: Reverse-Proxy mit automatischer TLS-1.3-Terminierung (HTTPS), eingebetteter Coraza WAF (OWASP CRS v4.13)

Alle Datenübertragungen erfolgen TLS-1.3-verschlüsselt. Die interne Kommunikation zwischen Diensten ist zusätzlich durch mTLS (gegenseitige Zertifikat-Authentifizierung) abgesichert. Zugang zu den Servern ist auf SSH mit Public-Key-Authentifizierung beschränkt.

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und lokale Speicherung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

  • JWT-Session-Token: Verschlüsseltes Authentifizierungstoken zur Aufrechterhaltung Ihrer Sitzung, gespeichert im localStorage. Ed25519-signiert. Access-Token: 15 Minuten, Refresh-Token: max. 7 Tage.
  • Dark-Mode-Präferenz: Speicherung Ihrer Anzeigeeinstellung (Hell/Dunkel-Modus) im localStorage. Keine personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähigem Dienst), § 25 Abs. 2 Nr. 2 TDDDG (technische Notwendigkeit).

8. Newsletter

Sofern Sie sich für unseren Newsletter anmelden, verarbeiten wir Ihre E-Mail-Adresse zum Zweck des regelmäßigen Versands von Informationen über KI-Shield, Produktneuheiten und DSGVO-relevante Themen.

Der Newsletter-Versand erfolgt über einen selbst betriebenen Mailserver auf unserer Hetzner-Infrastruktur in Deutschland. Es werden keine Daten an Drittanbieter übermittelt.

Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink werden Sie in den Verteiler aufgenommen. Wir protokollieren die Anmeldung (Zeitpunkt, IP-Adresse, Bestätigungszeitpunkt) als Nachweis Ihrer Einwilligung.

Sie können den Newsletter jederzeit abbestellen. Ein Abmeldelink ist in jeder Newsletter-E-Mail enthalten. Ihre E-Mail-Adresse wird nach Abmeldung unverzüglich gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO).

9. Server-Logfiles

Bei jedem Zugriff auf unsere Website erhebt und speichert der Server automatisch Informationen in sogenannten Server-Logfiles:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Uhrzeit der Serveranfrage
  • HTTP-Statuscode
  • Übertragene Datenmenge

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nach spätestens 30 Tagen automatisch gelöscht. Die Erhebung ist für den sicheren Betrieb der Website technisch zwingend erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität des Dienstes).

10. Datensicherheit (Technische und organisatorische Maßnahmen)

Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • Transportverschlüsselung: TLS 1.3 für alle externen Verbindungen, mTLS (gegenseitige Zertifikat-Authentifizierung) für alle internen Dienste
  • Verschlüsselung ruhender Daten: AES-256 (Fernet) für gespeicherte Pseudonym-Mappings, Zero-Knowledge-Architektur (Server sieht Klartextdaten nie)
  • Zugriffskontrolle: API-Key-Authentifizierung (timing-safe), JWT-basierte Session-Tokens (Ed25519-signiert), rollenbasierte Zugriffskontrolle, Rate-Limiting (300 req/min)
  • Netzwerksicherheit: Web Application Firewall (Coraza WAF, OWASP CRS v4.13), CrowdSec IP-Reputation-Blocking, Fail2Ban SSH-Schutz, UFW-Firewall
  • Security Headers: HSTS, Content-Security-Policy, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin
  • Audit-Trail: Digital signierte Audit-Logs (Ed25519 + ML-DSA-65 Post-Quantum-Hybrid) mit kryptographischer Hash-Kette zur Manipulationserkennung, regelmäßige Blockchain-Verankerung (Polygon PoS)
  • Privacy by Design: PII-Erkennung mit 43 Recognizern (Presidio + spaCy NER + eigene Regex- und Kontextanalyse), automatische Pseudonymisierung vor jeder Drittanbieter-Kommunikation, Unicode-NFKC-Normalisierung zum Schutz vor Bypass-Versuchen
  • Monitoring: Wazuh HIDS/IDS (Host-basierte Eindringungserkennung), Grafana/Loki Log-Aggregation, automatische Telegram-Alerts bei Sicherheitsereignissen
  • Backup: Verschlüsselte Backups alle 30 Minuten, tägliche Offsite-Backups auf separaten Hetzner-Storage-Servern in Deutschland

11. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte gegenüber uns hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit unentgeltlich Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten, deren Herkunft, Empfänger und den Zweck der Verarbeitung verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden“), sofern nicht gesetzliche Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen. Die Kontolöschung ist direkt in den Kontoeinstellungen möglich.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen, z.B. wenn Sie die Richtigkeit der Daten bestreiten.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, können Sie jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht (z.B. Newsletter), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@ki-shield.de

Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb eines Monats bearbeiten (Art. 12 Abs. 3 DSGVO).

12. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8
99096 Erfurt
Telefon: 0361 57-3112900
E-Mail: poststelle@datenschutz.thueringen.de
Web: https://www.tlfdi.de

12a. Widerspruchsrecht (Art. 21 DSGVO)

Widerspruch gegen Verarbeitung aufgrund berechtigter Interessen (Art. 21 Abs. 1 DSGVO):

Sofern wir Ihre personenbezogenen Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen. Wir verarbeiten Ihre Daten dann nicht mehr zu diesem Zweck, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO):

Soweit wir Ihre personenbezogenen Daten zum Zwecke der Direktwerbung verarbeiten (z.B. Newsletter), haben Sie das Recht, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Nach Ausübung des Widerspruchs werden Ihre Daten nicht mehr für Direktwerbung verwendet.

Zur Ausübung Ihres Widerspruchsrechts genügt eine formlose Mitteilung an: info@ki-shield.de

13. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten (Name, E-Mail-Adresse, Passwort) ist für die Begründung des Nutzungsvertrags und die Erbringung unserer Dienstleistung erforderlich. Ohne diese Daten können wir den Vertrag nicht schließen und den Dienst nicht erbringen (Art. 13 Abs. 2 lit. e DSGVO).

Eine gesetzliche Pflicht zur Bereitstellung besteht nicht. Die Nichtbereitstellung hat lediglich zur Folge, dass Sie den Dienst nicht nutzen können. Der Besuch der Website ist ohne Registrierung möglich.

14. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO statt. Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die PII-Erkennung durch KI-Shield ist eine rein technische Schutzmaßnahme und stellt keine Entscheidung über oder gegenüber betroffenen Personen dar.

15. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Pseudonym-Mappings: Automatische Löschung nach konfigurierbarer Frist (Standard: 24 Stunden)
  • Chat-Verlauf: Gespeichert bis zur Löschung durch den Nutzer oder Kontolöschung
  • Audit-Logs: Aufbewahrung für 12 Monate (Compliance-Nachweis gem. EU AI Act), danach automatische Löschung
  • Benutzerkonto: Bis zur Kontolöschung durch den Nutzer
  • Server-Logfiles: IP-Anonymisierung nach 7 Tagen, vollständige Löschung nach 30 Tagen
  • Newsletter-Daten: Bis zum Widerruf der Einwilligung (Abmeldung)
  • Kontaktanfragen: Bis zur vollständigen Bearbeitung des Anliegens, max. 6 Monate
  • Rechnungsdaten (Stripe): Gemäß steuerrechtlicher Aufbewahrungsfristen (10 Jahre, § 147 AO, § 257 HGB)
  • Blockchain-Verankerungen: Technisch unveränderlich und nicht löschbar. Es werden jedoch keine personenbezogenen Daten auf der Blockchain gespeichert — ausschließlich kryptographische Hashes.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, behördliche Vorgaben oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets unter https://ki-shield.de/datenschutz. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden registrierte Nutzer per E-Mail benachrichtigt.