Datenschutzerklärung (DSGVO)

2.1 Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist: deltastone digital solutions GmbH, Sophie-Christ-Straße 4, 55127 Mainz, vertreten durch die Geschäftsführer Rudolf Martin und Carsten Pogede. Datenschutzbeauftragter: Marvin Seith.

2.2 Verarbeitete Daten und Zwecke

Bestandsdaten: Name, E-Mail, Unternehmenszugehörigkeit, Zahlungsdaten – zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Nutzungsdaten: IP-Adresse, Browser-Informationen, Zeitstempel, Seitenaufrufe – zur Bereitstellung und Sicherheit des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

Inhaltsdaten (Prompts): Texteingaben des Nutzers an Claudette, Konfigurationen im SOLUTIONS.designer – zur Leistungserbringung (Art. 6 Abs. 1 lit. b DSGVO).

2.3 Datenübermittlung an Dritte

Zur Erbringung der KI-Funktionalität werden Nutzereingaben (Prompts) an die Anthropic PBC mit Sitz in den USA übermittelt. Die Übermittlung erfolgt auf Basis von:

  • Anthropic Commercial Terms of Service (Auftragsverarbeitung)
  • EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Zusätzlichen technischen und organisatorischen Maßnahmen (TOM)

 

Unter den Anthropic Commercial Terms werden Nutzereingaben NICHT für das Training von KI-Modellen verwendet. Die Datenaufbewahrungsfrist beträgt standardmäßig 30 Tage. 

2.4 Betroffenenrechte

Betroffene Personen haben gemäß DSGVO folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Beschwerderecht bei einer Aufsichtsbehörde.

2.5 Datensicherheit

Der Anbieter trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, insbesondere: Verschlüsselung der Datenübertragung (TLS), Zugangskontrollen, regelmäßige Sicherheitsaudits und Pseudonymisierung wo möglich.

Auftragsverarbeitungsvertrag (AVV)

Vertrag gemäß Art. 28 DSGVO zwischen dem Nutzer (Verantwortlicher) und der deltastone digital solutions GmbH (Auftragsverarbeiter) über die Verarbeitung personenbezogener Daten im Rahmen der Plattform Prompt Your App.

3.1 Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung der Plattform Prompt Your App. Die Dauer entspricht der Laufzeit des Nutzungsvertrags.

3.2 Art und Zweck der Verarbeitung

  • Verarbeitung von Nutzereingaben (Prompts) durch die KI-Assistentin Claudette
  • Speicherung von Konfigurationen im SOLUTIONS.designer
  • Generierung von Webanwendungen
  • Optionales Hosting generierter Anwendungen

3.3 Kategorien betroffener Personen und Daten

Betroffene: Nutzer der Plattform und ggf. Personen, deren Daten in den Prompts oder Konfigurationen enthalten sind. Datenkategorien: Bestandsdaten, Nutzungsdaten, Inhaltsdaten (Prompts und Konfigurationen).

3.4 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

  • Anthropic PBC, San Francisco, USA – KI-API-Dienste (Verarbeitung von Prompts und Rückgabe von Antworten)
  • aws Frankfurt EU – Serverinfrastruktur und Datenspeicherung
  • [ZAHLUNGSDIENSTLEISTER] – Zahlungsabwicklung

3.5 Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
  • Vertraulichkeitsverpflichtung aller mit der Verarbeitung betrauten Personen
  • Umsetzung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO
  • Unterstützung bei Betroffenenrechten und Meldepflichten
  • Löschung oder Rückgabe aller Daten nach Auftragsende
  • Ermöglichung von Audits und Inspektionen

KI-Transparenzerklärung (EU AI Act)

Erklärung gemäß den Transparenzanforderungen der Verordnung (EU) 2024/1689 („EU AI Act“).

4.1 Eingesetztes KI-System

Bezeichnung: Claudette (digitale Assistentin auf der Plattform Prompt Your App)

Zugrundeliegendes Modell: Claude (bereitgestellt von Anthropic PBC über die kommerzielle API)

Modelltyp: General Purpose AI (GPAI) / Large Language Model

Anbieter des KI-Modells: Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA

Deployer des KI-Systems: deltastone digital solutions GmbH

4.2 Zweck und Funktionsweise

Claudette wird eingesetzt, um Nutzern bei der strukturierten Erfassung von Software-Anforderungen zu helfen. Sie nimmt Texteingaben (Prompts) entgegen, interpretiert diese und übersetzt sie in Konfigurationen des SOLUTIONS.designers. Die KI generiert keinen Software-Code. Die Codegenerierung erfolgt regelbasiert durch das SOLUTIONS Framework.

4.3 Risikoklassifizierung

Nach unserer Einschätzung fällt der Einsatz von Claudette in die Kategorie „Minimales oder kein Risiko“ gemäß Art. 6 EU AI Act, da:

  • Keine biometrische Identifizierung oder Kategorisierung erfolgt
  • Keine Entscheidungen in den Hochrisikobereichen gemäß Anhang III getroffen werden (keine Kreditvergabe, kein Recruiting, keine Rechtspflege etc.)
  • Der Mensch stets die Kontrolle behält und finale Entscheidungen trifft
  • Kein autonomes Handeln ohne Bestätigung des Nutzers stattfindet

4.4 Transparenzpflichten

Der Nutzer wird auf folgende Weise über den KI-Einsatz informiert:

  • Kennzeichnung von Claudette als KI-basierte Assistentin in der Benutzeroberfläche
  • Diese KI-Transparenzerklärung ist jederzeit öffentlich zugänglich
  • Hinweis bei jeder Interaktion, dass es sich um KI-generierte Vorschläge handelt
  • Information über die Datenübermittlung an Anthropic in der Datenschutzerklärung

4.5 Menschliche Aufsicht

Die Plattform ist so konzipiert, dass der Mensch stets die finale Entscheidung trifft („Human-in-the-Loop“). KI-generierte Vorschläge werden im SOLUTIONS.designer visuell dargestellt und können vom Nutzer vor der Generierung geprüft, geändert oder verworfen werden. Es findet keine automatische Codegenerierung ohne explizite Bestätigung statt.

KI-Governance-Dokumentation

5.1 KI-Inventar

Gemäß den Anforderungen des EU AI Act führt deltastone ein Inventar aller eingesetzten KI-Systeme:

System

Anbieter

Risikostufe

Zweck

Daten

Claudette (Claude API)

Anthropic PBC

Minimal/Kein Risiko

Anforderungserfassung, Designer-Steuerung

Nutzer-Prompts, Konfig.-Daten

5.2 Risikomanagement

Folgende Maßnahmen werden zum Risikomanagement des KI-Einsatzes umgesetzt:

  • Regelmäßige Überprüfung der Risikoklassifizierung bei Änderungen der Plattform oder Regulierung
  • Monitoring der KI-Outputs auf Qualität und mögliche Bias
  • Dokumentation aller KI-bezogenen Vorfälle
  • Jährliches KI-Governance-Review
  • Benennung eines KI-Verantwortlichen im Unternehmen

5.3 Logging und Nachvollziehbarkeit

Alle Interaktionen mit der KI werden protokolliert (Prompts, Antworten, Zeitstempel, Nutzer-ID). Die Logs werden für [ZEITRAUM] aufbewahrt und sind für interne Audits zugänglich. Personenbezogene Daten in Logs unterliegen den Regelungen der Datenschutzerklärung.

Anthropic API – Compliance-Hinweise

Hinweise zur korrekten Nutzung der Anthropic Claude API im Kontext von Prompt Your App.

6.1 Vertragliche Grundlage

Die Nutzung der Claude API erfolgt unter den Anthropic Commercial Terms of Service. Diese sind zwingend erforderlich (nicht die Consumer Terms). Unter den Commercial Terms gilt:

  • Nutzereingaben werden NICHT für das Training von KI-Modellen verwendet
  • Der Kunde behält Eigentumsrechte an generierten Outputs
  • Anthropic gewährt eine Copyright-Indemnification für die autorisierte Nutzung
  • Standard-Datenaufbewahrung: 30 Tage (Abuse-Monitoring)

6.2 Technische Anforderungen

  • API-Key-Authentifizierung über die Claude Console (NICHT OAuth/Consumer-Login)
  • Es ist gemäß Anthropic Terms NICHT gestattet, Consumer-Account-Credentials (Free/Pro/Max) für den kommerziellen Plattformbetrieb zu verwenden
  • Einhaltung der Anthropic Usage Policy, insbesondere der High-Risk Use Case Requirements
  • Bei consumer-facing Outputs: KI-Disclosure und Human-in-the-Loop gemäß Anthropic Richtlinien

6.3 Datenfluss und Datenschutz

Der Datenfluss bei jeder Claudette-Interaktion ist wie folgt:

1. Nutzer gibt Prompt in die Plattform ein

2. Plattform reichert den Prompt mit System-Kontext und Guardrails an

3. Angereicherter Prompt wird per TLS-verschlüsselter API-Verbindung an Anthropic übermittelt

4. Anthropic verarbeitet den Prompt und sendet die Antwort zurück

5. Plattform verarbeitet die Antwort und steuert den SOLUTIONS.designer

6. Nutzer prüft und bestätigt das Ergebnis

Cookie-Richtlinie

Diese Cookie-Richtlinie erläutert, wie die Plattform Prompt Your App Cookies und ähnliche Technologien einsetzt.

7.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Sie umfassen Session-Cookies, Authentifizierungs-Cookies und CSRF-Tokens.

7.2 Funktionale Cookies

Diese Cookies speichern Nutzerpräferenzen wie Spracheinstellungen und Designer-Konfigurationen. Sie werden nur mit Einwilligung gesetzt.

7.3 Analyse-Cookies

Zur Verbesserung der Plattform können Analyse-Cookies eingesetzt werden (z.B. [TOOL]). Diese werden nur mit ausdrücklicher Einwilligung gesetzt.