EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

Datenschutzerklärung

Gültig nach EU-Datenschutz-Grundverordnung (DSGVO), Schweizer revidiertem Datenschutzgesetz (revDSG) und Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Inhaltsverzeichnis

  1. Verantwortlicher & Kontakt
  2. Begriffsdefinitionen
  3. Rechtsgrundlagen der Verarbeitung
  4. Daten beim Besuch der Website
  5. Daten bei Nutzerkonto-Erstellung
  6. Daten bei Nutzung der Anwendung
  7. Zahlungsdaten (Stripe)
  8. Team- & Workspace-Daten
  9. KI-Kompetenz-Modul (Mitarbeiter-Daten)
  10. Verarbeitung durch Anthropic Claude (KI)
  11. Cookies & lokale Speicherung
  12. Analyse-Tools (PostHog)
  13. Empfänger & Auftragsverarbeiter
  14. Datenübermittlung in Drittländer
  15. Speicherdauer & Löschung
  16. Ihre Rechte als betroffene Person
  17. Technische & organisatorische Massnahmen
  18. Änderungen dieser Erklärung

1. Verantwortlicher & Kontakt

Verantwortliche Stelle im Sinne der DSGVO und Verantwortliche im Sinne des revDSG:

Innopulse Consulting GmbH
Gotthardstrasse 30
6300 Zug, Schweiz
UID: CHE-219.727.921
Vertreten durch: Leutrim Miftaraj (Geschäftsführer)

Kontakt für Datenschutzanfragen:
datenschutz@ai-risk-check.com

Datenschutzbeauftragter (DSB): Innopulse Consulting GmbH ist gemäss Art. 37 DSGVO und Art. 10 revDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet: Wir verarbeiten weder Kerntätigkeiten in besonders sensiblen Daten noch erfolgt umfangreiche regelmässige Überwachung. Anfragen können direkt an die o.g. E-Mail gerichtet werden.

EU-Vertreter (Art. 27 DSGVO): Da Innopulse Consulting GmbH keine Niederlassung in der EU unterhält, jedoch Personen in der EU Dienstleistungen anbietet, prüfen wir die Notwendigkeit eines EU-Vertreters laufend. Bei Bedarf wird ein Vertreter bestellt und an dieser Stelle benannt.

2. Begriffsdefinitionen

Wir verwenden in dieser Erklärung die Begrifflichkeiten aus Art. 4 DSGVO und Art. 5 revDSG, insbesondere:

  • Personenbezogene Daten — alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung — jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erhebung, Speicherung, Übermittlung, Löschung).
  • Verantwortlicher — wer über die Zwecke und Mittel der Verarbeitung entscheidet (hier: Innopulse Consulting GmbH).
  • Auftragsverarbeiter — Dienstleister, die in unserem Auftrag Daten verarbeiten (z.B. Vercel, Supabase).
  • Betroffene Person — die natürliche Person, deren Daten verarbeitet werden (Sie als Nutzer).
  • Profiling — automatisierte Verarbeitung zur Bewertung persönlicher Aspekte (Art. 4 Nr. 4 DSGVO).

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschliesslich auf Basis einer der folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO & Art. 6 Abs. 6 revDSG — Einwilligung:

Z.B. für nicht-essenzielle Cookies und Analyse-Tools.

Art. 6 Abs. 1 lit. b DSGVO & Art. 31 Abs. 2 lit. a revDSG — Vertrag:

Bereitstellung der vertraglich geschuldeten SaaS-Leistung (Konto, Assessments, Reports, Zahlung).

Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung:

Z.B. handelsrechtliche Aufbewahrungspflichten (10 Jahre nach OR Art. 958f / § 257 HGB für Rechnungen).

Art. 6 Abs. 1 lit. f DSGVO & Art. 31 Abs. 1 revDSG — Berechtigtes Interesse:

Z.B. Server-Log-Analyse zur IT-Sicherheit, Betrugsprävention bei Zahlungen, Erstellung aggregierter Nutzungsstatistiken.

4. Daten beim Besuch der Website

Beim Aufruf unserer Website werden automatisch folgende Daten in Server-Logs erfasst:

  • IP-Adresse (gekürzt nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite (URL)
  • Referrer-URL (vorherige Seite)
  • User-Agent (Browser, Betriebssystem)
  • Übertragene Datenmenge und HTTP-Statuscode

Zweck: Sicherstellung des Betriebs, Fehleranalyse, Schutz vor Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
Speicherdauer: 30 Tage. Anschliessend automatische Löschung.
Verarbeiter: Vercel Inc. (US, mit EU-Hosting für unsere Region).

5. Daten bei Nutzerkonto-Erstellung

Bei der Registrierung erheben wir folgende Daten:

  • E-Mail-Adresse (Pflicht — dient als Login-Kennung)
  • Passwort (Pflicht — wird ausschliesslich als bcrypt-Hash gespeichert, niemals im Klartext)
  • Optional: Name, Unternehmen, Rolle
  • Bei Aktivierung der Zwei-Faktor-Authentifizierung: TOTP-Secret (verschlüsselt gespeichert)
  • Zeitstempel der Registrierung und letzter Login
  • IP-Adresse zum Zeitpunkt der Registrierung (für Spam-/Missbrauchsschutz)

Zweck: Bereitstellung des Dienstes, Authentifizierung, Kontoverwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Speicherdauer: Bis zur Konto-Löschung durch den Nutzer + 30 Tage Recovery-Frist. Anschliessend technische Löschung. Audit-Trail-Einträge bleiben gemäss EU AI Act Art. 12 für die gesetzliche Aufbewahrungsfrist (max. 6 Jahre) erhalten.

6. Daten bei Nutzung der Anwendung

Im Rahmen der Nutzung von ai-risk-check.com werden folgende Daten verarbeitet:

a) KI-System-Erfassung

  • Bezeichnung des erfassten KI-Systems (vom Nutzer eingegeben)
  • Beschreibung, Anbieter, Einsatzbereich
  • Antworten zu den Risiko-Klassifikationsfragen
  • Generierte Risikoklasse, Konfidenz-Score, Compliance-Pflichten

Hinweis: Bitte erfassen Sie hier keine personenbezogenen Daten Dritter (z.B. Namen von Bewerbern oder Mitarbeitern). Die App ist als generisches Compliance-Werkzeug konzipiert.

b) FRIA (Fundamental Rights Impact Assessment)

  • Ihre Eingaben zu Stakeholders, Risiken, Massnahmen
  • Sign-Off-Daten (Name, Funktion, Zeitstempel)

c) Generierte Reports & Verifikation

  • PDF-Reports mit allen Assessment-Daten
  • SHA-256-Result-Hash für öffentliche Verifizierung unter /verify/[hash]
  • Branding-Logo (nur Agency-Plan; vom Nutzer hochgeladen)

d) Audit-Trail

Alle relevanten Aktionen (Assessment durchgeführt, Report generiert, Plan-Upgrade, Konto-Änderungen) werden im Audit-Trail protokolliert — als Compliance-Nachweis nach EU AI Act Art. 12. Eine vorzeitige Löschung ist nicht möglich, ausser durch DSGVO-Anfrage; gelöschte Originale bleiben im Audit-Trail referenziert (pseudonymisiert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) + Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gemäss EU AI Act).
Speicherdauer: Solange das Konto besteht; Audit-Trail-Einträge bis zu 6 Jahre nach Konto-Löschung (Aufbewahrungspflicht EU AI Act).

7. Zahlungsdaten (Stripe)

Die Zahlungsabwicklung erfolgt durch Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland). Bei Buchung eines kostenpflichtigen Plans werden folgende Daten an Stripe übermittelt:

  • E-Mail-Adresse
  • Name, Adresse (für Rechnung)
  • Optional: Firmenname, USt-IdNr.
  • Zahlungsdaten (Kreditkarte, SEPA, Apple/Google Pay) — direkt an Stripe; wir speichern keine Kartendaten
  • Stripe Customer ID (intern bei uns hinterlegt zur Zuordnung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) + Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten).
Speicherdauer: Rechnungs- und Zahlungsdaten 10 Jahre (handelsrechtliche Aufbewahrung gemäss OR Art. 958f bzw. § 257 HGB).
Datenschutz Stripe: stripe.com/de/privacy

8. Team- & Workspace-Daten

Auf den Plänen Team und Agency können Sie weitere Personen einladen. Dabei verarbeiten wir:

  • E-Mail-Adresse der eingeladenen Person
  • Optional: Name, Rolle (Bearbeiter/Betrachter)
  • Einladungs-Token (verschlüsselt, 7 Tage gültig)
  • Zeitstempel der Einladung und Annahme

Hinweis Workspace-Owner: Wenn Sie Personen einladen, werden Sie für deren E-Mail- Verarbeitung als gemeinsam Verantwortlicher (Art. 26 DSGVO) mit uns betrachtet. Sie versichern, die rechtliche Grundlage zur Einladung der Person zu haben (z.B. Arbeitsverhältnis, vertragliche Beziehung).

Agency-Plan — Kunden-Workspaces: Bei der Verwaltung von Kunden-Workspaces durch Berater/DSBs/Kanzleien gilt unser separater Auftragsverarbeitungsvertrag (AVV), den wir auf Anfrage zustellen.

9. KI-Kompetenz-Modul (Mitarbeiter-Daten)

Das KI-Kompetenz-Modul (gemäss EU AI Act Art. 4) ermöglicht Workspace-Ownern, das KI-Kompetenz-Niveau ihrer Mitarbeiter zu prüfen und nachzuweisen.

Verarbeitete Mitarbeiter-Daten:

  • E-Mail-Adresse (Pflicht — für Versand des Quiz-Tokens)
  • Optional: Vor- und Nachname
  • Antworten auf Quiz-Fragen
  • Erreichter Score (0–100%)
  • Zeitstempel: Einladung, Quiz-Bearbeitung, Abschluss
  • Bestanden/Nicht-Bestanden-Status

Rolle: Der Workspace-Owner ist Verantwortlicher für diese Mitarbeiter-Daten (sein Beschäftigungsverhältnis); Innopulse Consulting GmbH ist Auftragsverarbeiter nach Art. 28 DSGVO. Ein AVV gilt durch Akzeptanz unserer AGB als geschlossen; ein eigenständiger Vertragstext wird auf Anfrage bereitgestellt.
Rechtsgrundlage des Owners: i.d.R. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht nach EU AI Act Art. 4) bzw. Art. 88 DSGVO i.V.m. nationalem Arbeitsrecht.
Speicherdauer: Solange im Konto sichtbar; gelöschte Einträge bleiben pseudonymisiert im Audit-Trail bis zu 6 Jahre (Art. 12 EU AI Act).

10. Verarbeitung durch Anthropic Claude (KI)

Für bestimmte Funktionen (KI-Massnahmenplan, Co-Pilot, Tooltip-Erklärungen, Vertragsklausel-Generator) nutzen wir die API von Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA).

An Anthropic übermittelte Daten:

  • Ihre Assessment-Antworten (anonymisiert, ohne Konto-Identifikatoren)
  • Generierte Risikoklasse und kontextuelle Daten
  • Ihre Eingaben in Co-Pilot oder Klausel-Generator

Wichtig: Wir nutzen den Anthropic Commercial Service mit folgenden Garantien:

  • Eingaben werden nicht zum Training verwendet (Anthropic Zero-Retention auf Anfrage konfigurierbar)
  • Daten werden gemäss Anthropic-Policy nach max. 30 Tagen gelöscht
  • Datenübermittlung in die USA auf Basis EU-Standardvertragsklauseln (SCCs, 2021/914)
  • Anthropic ist SOC 2 Type II zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) + Art. 49 Abs. 1 lit. b DSGVO (Drittlandtransfer für Vertragserfüllung) i.V.m. SCCs.
Datenschutz Anthropic: anthropic.com/legal/privacy

11. Cookies & lokale Speicherung

Wir nutzen Cookies und lokale Speichermechanismen in zwei Kategorien:

a) Technisch notwendige Cookies (immer aktiv)

  • sb-access-token, sb-refresh-token — Authentifizierung (Supabase)
  • __stripe_sid, __stripe_mid — Zahlungssicherheit (nur auf Checkout-Seiten)
  • cookie_consent — speichert Ihre Cookie-Wahl

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich) + Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

b) Optionale Cookies (nur mit Einwilligung)

  • PostHog Analytics — Produkt-Telemetrie (siehe Abschnitt 12)

Rechtsgrundlage: § 25 Abs. 1 TTDSG + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Einwilligung jederzeit über das Cookie-Banner-Settings-Icon (unten rechts) widerrufen.

12. Analyse-Tools (PostHog)

Mit Ihrer Einwilligung nutzen wir PostHog (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA — gehostet in EU-Rechenzentrum (Frankfurt)) zur Produkt-Analyse.

Erhobene Daten:

  • Aufgerufene Seiten und Klick-Pfade
  • Anonymisierte IP-Adresse (gekürzt)
  • Browser, OS, Bildschirmgrösse
  • Anonyme PostHog-User-ID (kein Bezug zu Ihrer E-Mail)

Zweck: Verstehen, welche Funktionen genutzt werden, um die Anwendung zu verbessern. Keine Werbe-Profile.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: 12 Monate, danach automatische Anonymisierung.
Datenschutz PostHog: posthog.com/privacy

13. Empfänger & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen wir AVV gemäss Art. 28 DSGVO abgeschlossen haben:

AnbieterZweckSitz / HostingRechtsgrundlage
Vercel Inc.Hosting (Frontend, API)USA (EU-Region für unseren Traffic)SCCs + AVV
Supabase Inc.Datenbank, Auth, StorageEU (Irland, eu-west-1)AVV
Stripe Payments Europe Ltd.ZahlungsabwicklungIrland (EU)AVV
Resend Inc.Transaktionale E-MailsUSA (EU-Region)SCCs + AVV
Anthropic, PBCKI-Verarbeitung (Claude)USASCCs + Commercial DPA
PostHog Inc.Produkt-AnalyseEU (Frankfurt)AVV

Eine aktuelle Liste der Auftragsverarbeiter wird auf Anfrage an datenschutz@ai-risk-check.com übermittelt.

14. Datenübermittlung in Drittländer

Übermittlungen in die USA (Vercel, Resend, Anthropic) erfolgen auf Basis der EU-Standardvertragsklauseln (SCCs) nach Durchführungsbeschluss (EU) 2021/914 sowie dem EU-US Data Privacy Framework, soweit der Anbieter zertifiziert ist (Stripe, Supabase, Anthropic).

Wir haben für jede Übermittlung eine Transfer Impact Assessment (TIA) dokumentiert und ergänzende technische Massnahmen implementiert (Pseudonymisierung, Verschlüsselung, Datenminimierung).

Sie können die SCCs sowie unsere TIA-Dokumentation auf Anfrage einsehen.

15. Speicherdauer & Löschung

  • Server-Logs: 30 Tage
  • Konto-Daten: Bis Konto-Löschung + 30 Tage Recovery
  • Assessment-/Report-Daten: Solange Konto besteht
  • Audit-Trail (EU AI Act Art. 12): Bis zu 6 Jahre nach Konto-Löschung (pseudonymisiert)
  • Rechnungs-/Zahlungsdaten: 10 Jahre (handelsrechtliche Aufbewahrung)
  • Cookie-Einwilligung: 12 Monate, dann erneute Abfrage
  • PostHog-Analytics: 12 Monate
  • Anthropic-API-Daten: max. 30 Tage bei Anthropic

16. Ihre Rechte als betroffene Person

Sie haben unter DSGVO und revDSG folgende Rechte:

  • Auskunft (Art. 15 DSGVO / Art. 25 revDSG) — welche Daten zu Ihrer Person verarbeitet werden
  • Berichtigung (Art. 16 DSGVO / Art. 32 Abs. 1 revDSG) — Korrektur unrichtiger Daten
  • Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO / Art. 32 Abs. 2 lit. c revDSG)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — wir stellen Daten auf Anfrage als JSON/CSV bereit
  • Widerspruch (Art. 21 DSGVO) — gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
  • Recht, keiner ausschliesslich automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO / Art. 21 revDSG)

So nehmen Sie Ihre Rechte wahr: Senden Sie eine E-Mail an datenschutz@ai-risk-check.com. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Im Konto unter Einstellungen → Datenschutz können Sie zudem direkt einen Datenexport oder eine Konto-Löschung anstossen (Self-Service).

Aufsichtsbehörden:

  • Schweiz: EDÖB — Feldeggweg 1, 3003 Bern · www.edoeb.admin.ch
  • Deutschland: Zuständige Landesdatenschutzbehörde Ihres Bundeslandes
  • Österreich: Datenschutzbehörde — Barichgasse 40-42, 1030 Wien · www.dsb.gv.at

17. Technische & organisatorische Massnahmen

Wir setzen umfangreiche technische und organisatorische Massnahmen (TOM) gemäss Art. 32 DSGVO und Art. 8 revDSG um:

  • Verschlüsselung in Transport (TLS 1.3) und at-Rest (AES-256)
  • Passwörter ausschliesslich als bcrypt-Hash gespeichert
  • Optionale Zwei-Faktor-Authentifizierung (TOTP)
  • Zugriffs-Rechte-Modell (RLS — Row-Level-Security in Supabase)
  • Regelmässige Security-Updates und Vulnerability-Scans
  • Backup-Strategie mit täglichen Snapshots, geo-redundant
  • Audit-Trail aller administrativen Aktionen
  • HTTPS-Only, HSTS, CSP-Header, X-Frame-Options DENY
  • Secret-Management via Vercel Environment Variables
  • Mitarbeiter (aktuell: Geschäftsführer) auf Datenschutz verpflichtet

Eine vollständige TOM-Dokumentation wird im Rahmen eines AVV bereitgestellt.

18. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail und/oder durch einen Hinweis im Konto.

Stand: 6. Mai 2026 · Version 2.0 · Innopulse Consulting GmbH

Datenschutzerklärung — ai-risk-check.com | ai-risk-check.com