Datenschutzerklärung

Verantwortlicher

Semy WEB GbR
Zaunkönigstr. 7, 82140 Olching, Deutschland
E‑Mail: kontakt@ki-q.de
Telefon: +49 171 7435373
Datenschutzbeauftragte:r: derzeit nicht benannt (nach aktuellem Stand gesetzlich nicht erforderlich).

Geltungsbereich

Diese Erklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Website und WebApp „KI-Q“ unter ki-q.de sowie der damit verbundenen Funktionen (KI‑Chat/Assistent, Bildgenerierung, Sprachausgabe, öffentliche Galerie, Konto-/Login-Funktionen, Privacy‑Center).

1) Kurzübersicht

• Technische Basis: Laravel 12 (PHP 8.2), React 18 (Inertia, Vite), WebSockets (Laravel Reverb), Filament Admin (vorhanden, nicht öffentlich verlinkt), Mehrsprachigkeit (DE/EN/RU).
• Konto & Login: E‑Mail/Passwort (mit E‑Mail‑Verifizierung), optional Google‑Login (OAuth 2.0).
• Funktionen: KI‑Chat/Assistent, Bildgenerierung (Text→Bild, optional Referenzbild), Sprachausgabe (Text‑to‑Speech), öffentliche Galerie (opt‑in), gespeicherte Prompts, Likes/Favoriten.
• Einwilligungsmanagement: Cookie‑Banner nur für nicht erforderliche Cookies/Analyse. Internationale Übermittlungen an OpenAI erfolgen auf Grundlage von SCCs gemäß unserem DPA (kein separates Drittlands‑Consent erforderlich).
• Selbst‑Service: Privacy‑Center (Export, Widerruf, Entfernen aus Galerie, Kontolöschung).
• Hosting: Hetzner Online GmbH (Deutschland/EU), AVV/DPA vorhanden, TOM/TÜV‑Nachweis.

2) Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO – Vertrag/Vertragserfüllung (Bereitstellung der App, Registrierung/Login, Nutzung von Chat/Bild/TTS, Kontoverwaltung).
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (nur für nicht erforderliche Cookies/Analyse und Veröffentlichung in Galerie; optional zur Aktivierung der KI‑Funktionen, sofern so konfiguriert).
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (IT‑Sicherheit, Missbrauchs-/Fehleranalyse, Nachweis von Einwilligungen).
• § 25 TDDDG – Speichern/Lesen auf Endeinrichtungen (nicht erforderliche Cookies nur mit Einwilligung; erforderliche gem. § 25 Abs. 2 TDDDG).
• Art. 46 DSGVO – internationale Übermittlungen auf Grundlage der Standardvertragsklauseln (SCCs) gemäß unserem DPA mit OpenAI beim Einsatz der OpenAI‑API über api.openai.com.

3) Kategorien personenbezogener Daten

• Stammdaten: E‑Mail‑Adresse, Anzeigename; beim Google‑Login zusätzliche Google‑Kennungen/Profilangaben (sofern freigegeben).
• Nutzungs‑/Inhaltsdaten: Chats/Prompts, generierte Bilder/Audios, gespeicherte Prompts, Likes/Favoriten, Spracheinstellungen.
• Technische Daten: Server‑Logs (IP in gekürzter/Hash‑Form, Timestamp, Statuscodes), Session‑IDs, CSRF‑Token, WebSocket‑Sitzungen.
• Einwilligungsdaten: Cookie‑Entscheidungen (pseudonyme „cid“), Zeitpunkte, UI-/Policy‑Versionen; Nachweise (UI‑Hash, IP‑Hash, User‑Agent‑Kürzung).
• Öffentliche Inhalte (opt‑in): Inhalte, die Sie ausdrücklich für die Galerie freigeben.

Besondere Kategorien: Wir beabsichtigen nicht, besondere Kategorien personenbezogener Daten zu verarbeiten. Bitte geben Sie solche Informationen nicht ein.

4) Zwecke der Verarbeitung

• Bereitstellung der App (Registrierung/Anmeldung, Sitzungen, Realtime‑Antworten, Mehrsprachigkeit).
• KI‑Funktionen: Beantwortung von Prompts, Bild‑ und Audio‑Generierung.
• Community/Galerie: freiwilliges Teilen von Inhalten.
• Sicherheit & Stabilität: Angriffserkennung, Fehlersuche, Nachweis von Einwilligungen.
• Rechtspflichten: Erfüllung gesetzlicher Aufbewahrungs‑ und Nachweispflichten.

5) Hosting & Auftragsverarbeitung (Hetzner)

Betrieb in Rechenzentren der Hetzner Online GmbH (Deutschland/EU) auf Basis eines AVV/DPA; dokumentierte TOM, aktueller TÜV‑Nachweis. Bei Zugriffen fallen Server‑Logs an (u. a. IP‑Adresse, Datum/Uhrzeit, angefragte URL, Referrer, User‑Agent, Statuscode).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit & Stabilität). Speicherdauer Logs: i. d. R. 7–14 Tage, anlassbezogen länger bis zur Klärung.

6) Konto, Registrierung & Google‑Login

E‑Mail/Passwort mit Double‑Opt‑In; optional Google‑Login (Google Ireland Ltd.). Bei Nutzung von Google‑Login kann es zu Datenübermittlungen an Google LLC (USA) kommen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anmeldung/Vertrag). Drittlandtransfers bei Google ggf. nach deren SCC/Datenschutzregeln. Sie können die Verknüpfung sowie die Kontolöschung im Privacy‑Center anstoßen.

Pflicht zur Bereitstellung: E‑Mail + Passwort sind für Registrierung erforderlich.

7) KI‑Funktionen (OpenAI‑API)

Wir setzen ausschließlich die OpenAI‑API über api.openai.com ein. OpenAI verarbeitet die übermittelten Inhalteals Auftragsverarbeiter gemäß unserem DPA. Für die internationale Übermittlung an OpenAI in den USA stützen wir uns auf Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO.

Datenhaltung bei OpenAI (API): keine Verwendung der API‑Daten zu Trainingszwecken; Protokoll-/Sicherheitszwecke bis zu 30 Tagen, danach Löschung (soweit keine gesetzliche Aufbewahrungspflicht besteht).

Rechtsgrundlage für die Nutzung der KI‑Funktionen: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung) – KI‑Funktionen lassen sich im Privacy‑Center aktivieren/deaktivieren. (Alternativ ist Art. 6 Abs. 1 lit. b DSGVO möglich, wenn KI‑Antworten wesentlicher Vertragsbestandteil sind.)

8) Weitere Empfänger / Verarbeitungsvorgänge

E‑Mail‑Versand (transaktional): über eigenen SMTP auf Infrastruktur von Hetzner Online GmbH (AV‑Vertrag). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Registrierung, Benachrichtigungen) und lit. f (Betrieb/Sicherheit). Protokolle (Zeitpunkt, Empfänger, Message‑ID, Status) bis ca. 30 Tage.

Speicherung von Medien/Dateien: hochgeladene/generierte Inhalte ausschließlich auf Servern in Deutschland (Hetzner). Kein CDN. Zugriff nur durch befugte Admins (Need‑to‑know). Speicherdauer gem. Zweck/Privacy‑Center, Projekte ggf. bis zu 12 Monate nach letzter Nutzung.

Server‑ & Sicherheits‑Logs: für Stabilität/Fehlersuche und Missbrauchsabwehr; Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; Speicherdauer i. d. R. 7–30 Tage, länger nur anlassbezogen.

9) Öffentliche Galerie (opt‑in)

Wenn Sie Inhalte ausdrücklich als „öffentlich“ markieren, werden diese mit einem öffentlichen Link veröffentlicht (Slug/Share‑Token). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Veröffentlichung im Privacy‑Center rückgängig machen.

10) Cookies & ähnliche Technologien (TDDDG)

Wir befolgen § 25 TDDDG. Technisch erforderliche Cookies/Local‑Storage sind zur Bereitstellung notwendig; optionale/Analyse‑Cookies nur mit Einwilligung.

11) Speicherdauer

• Konto-/Inhaltsdaten: bis zur Löschung des Kontos bzw. Widerruf/Zweckerreichung.
• Consent‑Protokolle (cid/DB): 13 Monate (Nachweis).
• Datenexporte: automatische Löschung nach ca. 14 Tagen.
• Server‑Logs: i. d. R. 7–14 Tage (anlassbezogen länger), Sicherheits‑/Fehlerprotokolle 7–30 Tage.
• Backups: zyklisch, verschlüsselt, begrenzte Vorhaltezeit.

12) Sicherheit (TOM)

Verschlüsselung (Transport/Ruhe), Zugriffskontrollen, Rollen/Least‑Privilege, Protokollierung, regelmäßige Updates. Hetzner setzt TOM nach Art. 32 DSGVO um (TÜV‑Nachweis vorhanden).

13) Rechte der Betroffenen

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21).
• Widerruf erteilter Einwilligungen jederzeit im Privacy‑Center.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77); zuständig am Sitz des Verantwortlichen: BayLDA, Promenade 18, 91522 Ansbach, Deutschland.

14) Minderjährige

Die Nutzung richtet sich nicht an Personen unter 16 Jahren.

15) Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Rechtslage oder Auftragsverarbeiter ändern. Maßgeblich sind Version/Datum im Kopf. Wesentliche Änderungen werden kenntlich gemacht.

16) Verantwortlichkeiten & Rollen

Wir sind Verantwortlicher (Art. 4 Nr. 7 DSGVO). Hetzner handelt als Auftragsverarbeiter (AVV/DPA). OpenAI (OpenAI Ireland Ltd. und OpenAI, L.L.C.) handelt als Auftragsverarbeiter nach unserem DPA; Übermittlungen stützen sich auf SCCs (Art. 46 DSGVO).

17) Betroffenenrechte – Verfahren & Identitätsprüfung

Anfragen nach Art. 15–22 DSGVO beantworten wir i. d. R. innerhalb eines Monats (Art. 12 Abs. 3). Zur Verifizierung können wir Informationen anfordern (Art. 12 Abs. 6). Ablehnungen/Fristverlängerungen werden begründet.

18) Lösch- & Aufbewahrungskonzept

Löschung/Anonymisierung nach Zweckerreichung bzw. Ablauf der Fristen: Kontoinhalte bei Kontolöschung/Widerruf; Galerie-Freigaben sofort bei Widerruf; Consent 13 Monate; Logs 7–30 Tage; Backups zyklisch, verschlüsselt, begrenzt.

19) Datenschutzverletzungen (Art. 33/34 DSGVO)

Bei Verletzungen bewerten wir das Risiko und melden ggf. binnen 72 Stunden an die zuständige Aufsichtsbehörde; Betroffene werden benachrichtigt, wenn ein hohes Risiko besteht.

20) Internationale Übermittlungen

Übermittlungen an OpenAI (USA) erfolgen auf Grundlage der Standardvertragsklauseln (SCCs) gemäß unserem DPA (Art. 46 DSGVO). Ein Rückgriff auf Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) ist hierfür nicht erforderlich.

21) Protokollierung & Audit

Wir führen ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30), dokumentieren TOM (Art. 32) und Einwilligungen (UI‑Hash, Version, Zeitstempel, IP‑Hash, UA‑Kürzung) und prüfen Prozesse regelmäßig.

22) Keine Profiling-/Marketingzwecke

Kein Profiling zu Marketingzwecken. Optionale Analysen/Telemetrie erfolgen ausschließlich nach Einwilligung.

Anlage: Übersicht Zwecke / Rechtsgrundlage / Daten / Empfänger / Löschung