Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Johannes Wielsch
Privatperson
Deutschland
E-Mail: [JavaScript erforderlich]
Hinweis zum Nutzungsstatus: OPERAD befindet sich derzeit in einer geschlossenen Beta-Phase und ist nicht öffentlich zugänglich. Der Betrieb erfolgt als Privatperson zu Testzwecken.
OPERAD ist eine webbasierte Plattform zur Organisation und Dokumentation von Unternehmenswissen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der Bereitstellung dieser Dienstleistung.
| Datenkategorie | Rechtsgrundlage | Zweck | Speicherdauer |
|---|---|---|---|
| E-Mail-Adresse | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Authentifizierung (passwortlos per Magic Link), Kommunikation | Bis Löschung des Accounts + 30 Tage |
| User-ID (UUID) | Art. 6 Abs. 1 lit. b DSGVO | Eindeutige Zuordnung | Bis Löschung des Accounts |
| Datenkategorie | Rechtsgrundlage | Zweck | Speicherdauer |
|---|---|---|---|
| Chat-Nachrichten an den KI-Assistenten | Art. 6 Abs. 1 lit. b DSGVO | Erbringung der KI-gestützten Dienstleistung | Dauer des Nutzungsverhältnisses |
| Erfasste Wissensdaten (Fragen, Antworten, Dokumente) | Art. 6 Abs. 1 lit. b DSGVO | Kernfunktionalität: Wissensorganisation | Dauer des Nutzungsverhältnisses |
| Vorschläge | Art. 6 Abs. 1 lit. b DSGVO | Vorschlagwesen | Dauer des Nutzungsverhältnisses |
| Aus Gesprächen extrahierte Zusammenfassungen | Art. 6 Abs. 1 lit. b DSGVO | Kontextbezogene KI-Assistenz | Dauer des Nutzungsverhältnisses |
| Datenkategorie | Rechtsgrundlage | Zweck | Speicherdauer |
|---|---|---|---|
| IP-Adresse | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit) | Schutz vor Missbrauch, technischer Betrieb | Max. 30 Tage in Server-Logs |
| Browser-Typ/-Version, Betriebssystem | Art. 6 Abs. 1 lit. f DSGVO | Kompatibilität, Fehleranalyse | Max. 30 Tage in Server-Logs |
| Gerätetyp (Desktop/Mobile/Tablet) | Art. 6 Abs. 1 lit. f DSGVO | Responsive Darstellung, Fehleranalyse | Max. 30 Tage in Server-Logs |
| Geolocation (Stadt/Land, abgeleitet aus IP) | Art. 6 Abs. 1 lit. f DSGVO | Aggregierte Statistiken, kein Tracking | Aggregiert gespeichert, kein Personenbezug |
| Referrer-URL | Art. 6 Abs. 1 lit. f DSGVO | Aggregierte Traffic-Analyse | Aggregiert gespeichert, kein Personenbezug |
| Seitenzugriffe und -übergänge | Art. 6 Abs. 1 lit. f DSGVO | Aggregierte Nutzungsstatistik | Aggregiert gespeichert, kein Personenbezug |
| Datenkategorie | Rechtsgrundlage | Zweck | Speicherdauer |
|---|---|---|---|
| Session-Token (JWT) | Art. 6 Abs. 1 lit. b DSGVO | Authentifizierung | Max. 1 Stunde (Token-Gültigkeit) |
| Chat-Session-Cache | Art. 6 Abs. 1 lit. b DSGVO | Performante Gesprächsführung | 24 Stunden TTL, danach automatische Löschung |
Wir nutzen Vercel Web Analytics zur anonymisierten Analyse der Webseitennutzung. Vercel Web Analytics erhebt keine personenbezogenen Daten, die eine Identifizierung einzelner Nutzer ermöglichen. Es werden:
Es werden ausschließlich aggregierte Daten erhoben (Seitenaufrufe, Gerätetypen, Referrer, Geolocation auf Stadt-/Landesebene). Ein Rückschluss auf einzelne Personen ist nicht möglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots). Aufgrund der vollständigen Anonymisierung ist nach Auffassung der meisten Datenschutzbehörden keine Einwilligung erforderlich.
OPERAD nutzt Anthropic Claude als KI-Sprachmodell zur Verarbeitung von Nutzeranfragen. Dabei werden:
Anthropic speichert Eingaben und Ausgaben für maximal 30 Tage bei Standard-API-Nutzung und löscht diese danach automatisch (Quelle: Anthropic Data Retention). Bei Verstößen gegen Anthropics Usage Policy (AUP) können Eingaben und Ausgaben bis zu 2 Jahre, Sicherheitsklassifizierungen bis zu 7 Jahre aufbewahrt werden. Kommerzielle API-Daten werden nicht zum Training von KI-Modellen verwendet.
Hinweis: OPERAD nutzt Prompt Caching, wobei zwischengespeicherte Anfrageteile für 5–60 Minuten bei Anthropic vorgehalten werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die KI-Assistenz ist Kernbestandteil des Dienstes).
Drittlandtransfer: USA. Absicherung über EU Standard Contractual Clauses (SCCs)
und Anthropics Datenschutzbestimmungen.
Weitere Informationen:
Anthropic Data Retention |
Usage Policy (AUP) |
Privacy Policy
Transparenzhinweis: OPERAD weist Sie darauf hin, dass Sie mit einer KI interagieren. Entscheidungen, die Ihre Organisation betreffen, durchlaufen stets ein Bestätigungsverfahren durch einen verantwortlichen Menschen.
Zur Erbringung unserer Dienstleistung setzen wir folgende Auftragsverarbeiter ein:
| Anbieter | Zweck | Sitz | Datenarten | Löschfrist | DPA/AV-Vertrag |
|---|---|---|---|---|---|
| Vercel Inc. | Hosting, Serverless Functions, Edge Network, Web Analytics | USA (Delaware) | IP-Adressen, HTTP-Requests, aggregierte Analytics | Customer Data: Löschung nach Vertragsende (commercially reasonable). Analytics-Sessions: 24h. Server-Logs: nicht konkret publiziert. | DPA inkl. SCCs. EU-U.S. DPF zertifiziert. DPA |
| Supabase Inc. | Datenbank, Authentifizierung, Zugriffskontrolle | USA / Singapur | E-Mail, User-ID, Inhaltsdaten, Änderungsverlauf | Kontaktdaten: 60 Tage nach Account-Löschung. Customer Data: unter Kundensteuerung. Logs: nicht konkret publiziert. | DPA via Dashboard (PandaDoc). SOC2 Type 2, HIPAA. DPA |
| Upstash Inc. | Redis-Cache (Chat-Sessions, temporäre Daten) | USA | Session-Referenzen, temporäre Chat-Daten | TTL-basiert: automatische Löschung nach 24h. Backups: AWS S3 (verschlüsselt). Konkrete Aufbewahrungsfrist: siehe Upstash DPA (PDF). | DPA verfügbar. SOC2 (Pro). DPA |
| Anthropic PBC | KI-Sprachmodell (Claude) zur Verarbeitung von Chat-Anfragen | USA (San Francisco) | Chat-Nachrichten (Eingabe/Ausgabe), temporär zur Laufzeit | Standard-API: automatische Löschung von Eingaben/Ausgaben innerhalb von 30 Tagen. Bei Usage-Policy-Verstößen: bis zu 2 Jahre. Sicherheitsklassifizierungen: bis 7 Jahre. Prompt-Cache: 5–60 Min. | API Terms inkl. DPA. Data Retention | AUP |
Alle Auftragsverarbeiter haben ihren Sitz in den USA. Der Drittlandtransfer wird abgesichert durch:
Wir haben für Vercel und Supabase die Region Frankfurt (FRA) gewählt. Wir können jedoch nicht garantieren, dass Daten ausschließlich innerhalb der EU verarbeitet werden. Vercel und Supabase behalten sich in ihren Datenschutzvereinbarungen vor, Daten weltweit zu verarbeiten, soweit dies zur Bereitstellung der Dienste erforderlich ist. Die Übermittlung erfolgt in diesen Fällen auf Grundlage der oben genannten Garantien (SCCs, DPF).
OPERAD verwendet keine Marketing- oder Tracking-Cookies.
Folgende technisch notwendige Speichermechanismen werden eingesetzt:
| Technologie | Zweck | Dauer | Rechtsgrundlage |
|---|---|---|---|
| Supabase Auth Token (localStorage) | Authentifizierung / Session-Verwaltung | Bis Logout oder Token-Ablauf (1h, Refresh bis 7 Tage) | Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig) |
| Vercel Web Analytics (kein Cookie) | Anonymisierte Nutzungsstatistik | Session-Hash: 24h, dann verworfen | Art. 6 Abs. 1 lit. f DSGVO |
Da keine Einwilligungs-pflichtigen Cookies eingesetzt werden, wird derzeit kein Cookie-Consent-Banner angezeigt.
| Datenkategorie | Löschfrist | Mechanismus |
|---|---|---|
| Account-Daten (E-Mail, User-ID) | 30 Tage nach Account-Löschung | Automatische Löschung |
| Wissensdaten (Fragen, Antworten, Dokumente) | Bei Account- oder Organisationslöschung | Vollständige Löschung aller zugehörigen Daten |
| Chat-Sessions (Cache) | 24 Stunden | Automatische Löschung nach Ablauf |
| Chat-Verlauf | Bei Account- oder Organisationslöschung | Vollständige Löschung |
| Zusammenfassungen aus Gesprächen | Bei Account- oder Organisationslöschung | Vollständige Löschung |
| Server-Logs (Vercel) | Gemäß Vercel Retention Policy | Automatisch durch Vercel |
| KI-Anfragen (Anthropic) | Max. 30 Tage (automatische Löschung). Prompt-Cache: 5–60 Min. | Automatisch durch Anthropic gemäß Data Retention Policy |
| Web Analytics | Session: 24h. Aggregierte Daten: unbefristet (anonym) | Automatisch durch Vercel |
Nach der DSGVO stehen Ihnen folgende Rechte zu:
| Recht | Artikel | Beschreibung |
|---|---|---|
| Auskunft | Art. 15 DSGVO | Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen. |
| Berichtigung | Art. 16 DSGVO | Sie können die Berichtigung unrichtiger Daten verlangen. |
| Löschung | Art. 17 DSGVO | Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht. |
| Einschränkung | Art. 18 DSGVO | Sie können die Einschränkung der Verarbeitung unter bestimmten Voraussetzungen verlangen. |
| Datenübertragbarkeit | Art. 20 DSGVO | Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. |
| Widerspruch | Art. 21 DSGVO | Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen. |
| Widerruf der Einwilligung | Art. 7 Abs. 3 DSGVO | Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. |
| Beschwerde bei Aufsichtsbehörde | Art. 77 DSGVO | Sie können sich bei der zuständigen Datenschutzaufsichtsbehörde beschweren. |
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [JavaScript erforderlich]
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2-4
40213 Düsseldorf
https://www.ldi.nrw.de
Wir setzen folgende technische und organisatorische Maßnahmen ein:
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken oder rechtlichen Anforderungen zu berücksichtigen. Die aktuelle Version ist stets unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.