Datenschutzerklärung

1. Verantwortliche

Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ist:

Weitere Angaben im Impressum.

2. Welche Daten verarbeitet werden

Bei Nutzung der Plattform werden ausschließlich folgende Daten verarbeitet:

• Stammdaten der von Ihnen erfassten KI-Systeme: Name, Beschreibung, Zweckbestimmung (Art. 3 Nr. 12 KI-VO), Einsatzkontext und optional Bezug zu einem Basis-Modell.
• Antworten, die Sie im Wizard zu Risikoklassifikation (Art. 5, Art. 6, Anhang III, Art. 50, Art. 51 ff. KI-VO) und Rollenermittlung (Art. 3, Art. 22, Art. 25 KI-VO) geben.
• Aus diesen Antworten abgeleitete Ergebnisse: Risikoklasse, Rolle(n), anwendbare Pflichten und die zugehörigen Begründungstexte sowie Artikel-Verweise.
• Zugriffstechnische Daten beim Aufruf der Seite (IP-Adresse, Zeitpunkt, abgerufene URL, Status-Code, User-Agent) im Server-Log des Hostings.

Personenbezogene Daten Dritter (z. B. von betroffenen Personen Ihres KI-Systems) werden auf der Plattform nicht erfasst.

3. Rechtsgrundlage

Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrags und zur Vornahme vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie auf Basis berechtigter Interessen am sicheren Betrieb der Plattform (Art. 6 Abs. 1 lit. f DSGVO). Soweit Sie die Plattform zur Erfüllung Ihrer eigenen Pflichten aus der KI-Verordnung 2024/1689 einsetzen, dient die Verarbeitung auch der Erfüllung Ihrer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

4. Empfänger und Auftragsverarbeitung

Es findet keine Übermittlung Ihrer Daten an Werbe-Netzwerke, Analyse-Dienste oder Tracking-Plattformen statt. Die Plattform setzt keinerlei Drittanbieter-Tracker, Analytics-Skripte, Werbe-Pixel oder Heatmap-Tools ein.

Zur technischen Bereitstellung sind folgende Auftragsverarbeiter im Sinne von Art. 28 DSGVO eingebunden:

• Vercel Inc., Sitz in San Francisco, USA. Funktion: Hosting der Web-Anwendung und Ausführung der Server-Funktionen. Region für die Funktionsausführung: aktuell US-Ost (iad1) im Rahmen des Hobby-Plans. Eine Umstellung auf Frankfurt (fra1) ist mit dem Pro-Plan vorgesehen. Auftragsverarbeitungsvertrag (Data Processing Addendum) steht unter vercel.com/legal/dpa zur Verfügung.
• Supabase Inc., Sitz in den USA. Funktion: PostgreSQL-Datenbank, Authentifizierung und Speicher-Backend. Speicherregion: Frankfurt, Deutschland (eu-central-1). Verarbeitung außerhalb des EWR kann ausnahmsweise zu Support- und Administrationszwecken durch Supabase erfolgen. Auftragsverarbeitungsvertrag steht unter supabase.com/legal/dpa zur Verfügung.

Eine Mustervorlage des Auftragsverarbeitungsvertrags zwischen der Plattform und Endkundinnen steht unter /av-vertrag bereit.

5. Cookies und vergleichbare Technologien

Die Plattform setzt keine Marketing- oder Tracking-Cookies. Für das Anmeldeverfahren werden technisch notwendige Cookies (Session-Cookie zur Sitzungsverwaltung) eingesetzt; diese werden zum Schließen des Browser-Tabs bzw. mit Sitzungsende gelöscht und beruhen auf § 25 Abs. 2 Nr. 2 TDDDG.

6. Schriftarten

Die Plattform verwendet die Schriftart „Inter" in ihrer Variable-Variante, ausgeliefert über das Open-Source-Projekt Fontsource. Die Schrift wird ausschließlich vom Server der Plattform geladen. Es findet keine Verbindung zu Google Fonts, Adobe Typekit oder anderen externen Schriftdiensten statt; weder beim ersten Aufruf noch bei späteren Interaktionen.

7. Speicherdauer

• KI-System-Stammdaten, Klassifikationen, Rollen-Zuordnungen und Wizard-Antworten werden gespeichert, solange das jeweilige System in Ihrem Inventar geführt wird.
• Audit-relevante Klassifikations-Versionen werden über die nach KI-VO geltenden Aufbewahrungsfristen hinaus aufbewahrt, längstens jedoch zehn Jahre nach dem letzten Inverkehrbringen (Art. 18 KI-VO).
• Zugriffstechnische Server-Logs werden für maximal 30 Tage aufbewahrt und anschließend gelöscht.

8. Datenübermittlung in Drittländer

Datenbestände der Plattform (System-Inventar, Wizard-Antworten, Klassifikationen und Audit-Spuren) werden ausschließlich in Frankfurt gespeichert (Supabase, eu-central-1). Die Schriftauslieferung erfolgt vom Plattform-Server innerhalb der EU.

Eine Übermittlung in die USA findet statt im Rahmen von Funktions-Logs, Betriebsmetadaten und der Server-seitigen Ausführung der Plattform-Funktionen über Vercel Inc. Solange die Plattform den Vercel-Hobby-Plan nutzt, läuft die Funktionsausführung in der Region US-Ost (iad1); mit dem Vercel-Pro-Plan kann auf Frankfurt umgestellt werden.

Rechtsgrundlage für die Drittlandübermittlung sind die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und – soweit der jeweilige Anbieter zertifiziert ist – das EU-US Data Privacy Framework (Art. 45 DSGVO i. V. m. Durchführungsbeschluss (EU) 2023/1795).

9. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Soweit eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit für die Zukunft widerrufen. Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

10. Kontakt

Datenschutzanfragen richten Sie an die im Impressum genannte Kontaktadresse.